ESET Remote Administrator

Transkript

1 ESET Remote Administrator Instalační Manuál a Uživatelská příručka chráníme vaše digitální světy

2 obsah 1.. Úvod ERA architektura klient / server ERA Server (ERAS) Požadavky Hierarchie ERAS v rozsáhlejších sítích Instalace Protokoly Konfigurace Licenční klíče Databáze & archivace informací...8 ERA Console (ERAC) Další prvky ESET v síťovém prostředí Klientská řešení ESET Konfigurační editor ESET Vrstvení konfigurací Klíčové položky nastavení Lokální aktualizační server - Mirror Provoz lokálního aktualizačního serveru Typy aktualizací Aktivace a nastavení funkce Mirror v praxi ESET Remote Administrator Console v detailu.15 ESET Remote Administrator Copyright Eset, spol. s r. o Eset software, spol. s r. o. Meteor Centre Office Park Sokolovská 100/ Praha 8 Česká republika Obchodní oddělení obchod@eset.cz tel.: Technická podpora servis@eset.cz tel.: Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani distribuována jakýmkoli způsobem bez předcházejícího písemného povolení společnosti Eset, spol. s r. o. Společnost Eset software, spol. s r. o. si vyhrazuje právo změn programových produktů popsaných v této publikaci bez předchozího upozornění. V dokumentu použité názvy programových produktů, firem apod. mohou být ochrannými známkami nebo registrovanými ochrannými známkami příslušných vlastníků. REV Přihlášení se k ERAS Hlavní okno ERAC Filtrace informací Skupiny Filter Kontextové menu Pohledy Záložky ERAC O záložkách a klientech obecně Replikace & informace na jednotlivých záložkách Záložka Clients Záložka Threat Log Záložka Firewall Log Záložka Event Log Záložka Scan Log Záložka Tasks Záložka Reports Záložka Remote Install Nastavení ERA konzole Záložka Connection Záložka Columns Show / Hide Záložka Colors Záložka Paths Záložka Date / Time Záložka Other Settings Nastavení ERA serveru prostřednictvím konzole Záložka General Záložka Security Záložka Server Maintenance Logging Replication Updates Other Settings... 29

3 5.. Úlohy Úloha typu Configuration Úloha typu On-Demand Scan Úloha typu Update Now Instalace klientských řešení ESET Parametry příkazové řádky klientských řešení. ESET Metody instalace Přímá instalace s předdefinovanou XML konfigurací Obecně o vzdálené instalaci Push metoda vzdálené instalace Vzdálená instalace prostřednictvím logon skriptu / u Vzdálená instalace vlastní cestou Agent einstaller..exe v detailech Obrana před opakovanou instalací Chybové stavy během instalace Diagnostika průběhu vzdálené instalace Praktické ukázky nasazení řešení ESET Remote Administrator, Mirror serveru a klientských řešení ESET Menší síť 1x ERAS, 1x Mirror server Instalace ERA serveru Instalace ERA konzole Konfigurace funkce Mirror Vzdálená instalace na stanice fyzicky ve firmě Vzdálená instalace na notebooky fyzicky mimo firmu Pobočková síť 2x ERAS, 2x Mirror server Instalace na centrále Pobočka: Instalace ERA serveru Pobočka: Instalace HTTP Mirror serveru Pobočka: Vzdálená instalace na klienty Tipy & triky Export a další využití současné XML konfigurace klienta Nastavení aktualizace ze dvou zdrojů pro mobilní zařízení Odstranění existujících profilů Nastavení plánovače úloh Uživatelské custom instalační balíky...51

4 1.. Úvod ESET Remote Administrator je nástrojem, který je určen pro vzdálenou správu řešení ESET v síťovém prostředí. Díky řešení ESET Remote Administrator (dále jen ERA) lze z jednoho místa sledovat činnost řešení ESET na jednotlivých klientech (tedy na stanicích, serverech apod.), reagovat na vzniklé situace díky přítomnosti systému úloh a v neposlední řadě provádět i vzdálené instalace řešení ESET. ERA sám o sobě neřeší antivirovou, ani jinou formu ochrany před průnikem škodlivého kódu. Nasazení ERA je tak podmíněno přítomností klientských nebo serverových řešení ESET NOD32 (typicky ESET NOD32 Antivirus nebo ESET Smart Security běžící na stanicích). Nasazení kompletního portfolia řešení ESET tak spočívá v: instalaci ERA serveru (ERAS), instalaci ERA konzole (ERAC), instalaci Mirror serveru, instalaci klientů (ESET NOD32 Antivirus, ESET Smart Security, ESET Server Edition apod.). Na konci tohoto dokumentu se nacházejí praktické příklady nasazení řešení ESET. V některých pasážích dokumentace mohou být použity systémové proměnné, vyjadřující přesné umístění složek / souborů: %ProgramFiles% = typicky C:\Program Files %ALLUSERSPROFILE% = typicky C:\Documents and Settings\All Users Obrázek 1 Zjednodušené schéma sítě po nasazení řešení ESET pro klienty a ESET Remote Administrator. ERAS a MIRROR SERVERmůže / nemusí být fyzicky na tomtéž stroji. 4

5 2.. ERA architektura klient / server Po technické stránce se řešení ESET Remote Administrator skládá ze dvou částí, ERA Server (ERAS) a ERA Console (ERAC). Počet současně běžících instancí ERAS a ERAC není v rámci licence omezen. Omezen je pouze počet současně spravovaných klientů (viz. ERAS, licenční klíče) ERA Server (ERAS) Serverová část ERA funguje jako služba pod systémy na bázi Microsoft Windows NT (NT4, 2000, XP, 2003). Hlavní úlohou ERAS je sběr informací z klientů a naopak zasílání požadavků klientům. Požadavky (úlohy pro změnu konfigurace, požadavky na vzdálenou instalaci atd.) pro klienty lze vytvářet prostřednictvím druhé části ERA Console (ERAC). Ve výsledku je tak ERAS rozhraním mezi ERAC a klienty a místem, kde se veškeré informace zpracovávají, udržují, popřípadě předávají ke klientům či ERAC Požadavky ERAS funguje jako služba a je tedy nutná přítomnost operačního systému na bázi Microsoft Windows NT (NT4, 2000, XP, 2003). Serverová edice Microsoft Windows není nutností. Počítač na kterém ERAS poběží by měl být v nonstop provozu a síťově dosažitelný pro: klienty (typicky stanice) PC s ERA konzolí ostatní ERAS při použití replikace Následuje přehled síťové komunikace, která se může v souvislosti s ERAS vyskytnout. Na portech TCP 2221, 2222, 2223, 2224, 2846 poslouchá přímo proces era.exe. V dalších případech se komunikace vztahuje i na procesy operačního systému (např. NetBIOS over TCP/IP). Protokol Port Popis TCP 2222 (ERAS poslouchá) Komunikace mezi klienty a ERAS. TCP 2223 (ERAS poslouchá) Komunikace mezi ERAC a ERAS. TCP 2221 (ERAS poslouchá) Na tomto portu jsou standardně poskytovány aktualizace skrze funkci Mirror integrovanou v ERAS (HTTP komunikace). Při využití všech funkcionalit může být síťové požadavky rozšířeny o toto: Protokol Port Popis TCP 2224 (ERAS poslouchá) Komunikace mezi agentem einstaller.exe a ERAS během vzdálené instalace. TCP 2846 (ERAS poslouchá) Replikace mezi ERAS.. TCP 139 (cílový port z pohledu ERAS) Kopírování agenta einstaller.exe z ERAS na klienta prostřednictvím share admin$ během push instalace. UDP 137 (cílový port z pohledu ERAS) Name resolving, během vzdálené instalace. UDP 138 (cílový port z pohledu ERAS) Browsing, během vzdálené instalace. TCP 445 (cílový port z pohledu ERAS) Přímý přístup ke sdíleným prostředkům přes TCP/IP během vzdálené instalace (alternativa k TCP 139). Minimální HW konfigurace pro nasazení ERAS je zároveň doporučenou konfigurací pro použitý operační systém Microsoft Windows. 5

6 2.1.2 Hierarchie ERAS v rozsáhlejších sítích V rozsáhlejších sítích lze nasadit několik ERAS a vzdálenou instalaci klientů a jejich pozdější správu tak realizovat z dostupnějších ERA serverů. Pro tento účel nabízí ERA server tzv. replikaci, kdy je možné veškeré ukládané informace předávat i nadřízenému ERA serveru (tzv. upper server ). Konfiguraci replikace lze realizovat prostřednictvím ERAC. Praktickým příkladem použití replikace může být společnost, která má několik poboček. Nabízí se zde varianta instalace ERA serveru na každou pobočku a jejich podřízení pod ERAS na centrále. Výhoda replikace bude markantnější ve chvíli, kdy mezi centrálou a pobočkami budou nataženy pomalé VPN linky. Administrátorovi na centrále bude totiž ke kompletní správě stačit připojení k hlavnímu ERAS na centrále (na následujícím obrázku jde o komunikaci označenou písmenem A). Nebude muset přistupovat ERA konzolí skrze pomalé VPN linky k jednotlivým pobočkám (komunikace B, C, D, E). Tato nepohodlná komunikace zůstane administrátorovi skrytá díky fungující replikaci mezi ERA servery. V rámci nastavení replikace lze určit, které informace se mají předávat nadřazeným serverům automaticky ve stanoveném intervalu a které až na požádání administrátora spravující nadřazený server. Replikace tak zvyšuje nejen komfort, ale může šetřit i přenosovou kapacitu linky. Zároveň se otevírá možnost přístupu několika osob s různými právy. Administrátor přistupující skrze ERAC na ERAS praha2.firma.cz (komunikace E) bude mít možnost spravovat jen klienty, kteří se hlásí k praha2.firma.cz. Administrátor připojený na praha.firma.cz (C) pak klienty hlásící se k praha.firma.cz, praha1.firma.cz, praha2.firma. cz. Administrátor připojený k centrále (A) pak bude moci spravovat veškeré klienty na centrále i pobočkách. Obrázek 2 Fungování replikace mezi pobočkami a centrálou společnosti. 6

7 2.1.3 Instalace Instalace spočívá ve spuštění instalačního souboru. Během instalace bude požadováno zadání licenčního klíče, tedy souboru s příponou.lic. Při pokročilém režimu instalace lze definovat další parametry serveru, které lze změnit později prostřednictvím ERAC (obvykle je není potřeba měnit). Výjimkou je specifikace názvu serveru. Název by měl odpovídat názvu v DNS, jménu počítače, popřípadě IP adrese, pod kterou bude takto označený server viditelný. Tato informace se stane klíčovou především při realizaci vzdálené instalace. Pokud nebude název serveru specifikován, doplní se automaticky hodnota systémové proměnné %COMPUTERNAME% (název PC), což je většině případů dostačující. Programové části ERAS se standardně instalují do složky %ProgramFiles%\Eset\Eset Remote Administrator\Server a proměnlivé části (protokoly, instalační balíčky, konfigurace atd.) do složky %ALLUSERSPROFILE%\Data aplikací\eset\eset Remote Administrator\Server Na serveru s ERAS by mělo být nainstalováno i klientské řešení ESET. ERAS si z klientského řešení přebírá číslo verze virové databáze a používá ho jako referenční (tuto verzi považuje za aktuální). Nabízí se tak přímo instalace Mirror serveru na shodný server Protokoly ERAS nemá žádný vizuální výstup s výjimkou protokolu v podobě textového souboru. Tento se nachází ve složce %ALLUSERSPROFILE%\Data aplikací\eset\eset Remote Administrator\Server\logs Do protokolu (soubor era.log) jsou průběžně zapisovány události, ke kterým došlo během provozu ERAS, včetně chybových stavů při pokusu o zavedení služby ERAS (například v souvislosti s chybou databáze nebo licenčního klíče). Lze tak zjistit přesný důvod nezavedení se služby ERAS. V nastavení ERAS (prostřednictvím ERAC) lze nastavit několik úrovní logování, včetně rotací protokolů a tím významně omezit velikost nebo růst protokolů. Zároveň lze povolit zápis do aplikačního logu operačního systému Konfigurace ERAS lze částečně nastavit již při samotné instalaci (především v pokročilém režimu) nebo později prostřednictvím ERA konzole, připojené k danému ERA serveru. V nouzi lze editovat přímo konfigurační soubory XML na serveru ve složce %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\configuration Z bezpečnostních důvodů je odděleno nastavení hesel a dalšího nastavení do samostatných XML souborů. Případnou ztrátu hesel (např. pro přístup k ERA serveru) lze tak bez vedlejších efektů řešit odmazáním souboru era_ private.xml ve složce configuration Licenční klíče Licenční klíč je soubor s příponou.lic, strukturou připomíná XML, navíc je ale opatřen elektronickým podpisem. Tento soubor je klíčový pro provoz ERAS, jelikož obsahuje mimo jiné tyto informace: jméno vlastníka licence, počet klientů, které je možno současně spravovat (počet licencí), datum expirace licence. Může tak nastat několik stavů: LIC soubor není přítomen ERAS poběží v režimu, ve kterém lze prostřednictvím ERAC spravovat maximálně 2 klienty (např. stanice) po časově neomezenou dobu. LIC soubor je poškozen Služba ERA serveru v tomto případě vůbec nenaběhne o této skutečnosti bude veden záznam v protokolu era.log. LIC soubor je po expiraci Pokud je datum expirace v LIC souboru starší, než aktuální, pak není možné navázat komunikaci mezi ERAC ERAS. ERAS ale nadále přijímá informace od klientů, brání jen jejich správě. 7

8 LIC soubor je pro menší počet klientů, než je ve skutečnosti spravováno Tento stav bude patrný během používání ERAC, kde bude správce na tuto skutečnost upozorněn a nebude možné spravovat klienty, které jsou nad limitem zapsaným v licenčním klíči. Licenční klíče je potřeba ukládat do složky %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\license Při instalaci ERAS je licenční klíč nakopírován do složky automaticky. V případě rozšíření nebo update licence je ale potřeba zajistit manuální aktualizaci licenčního klíče. V uvedené složce může být umístěno větší množství licenčních souborů, ERAS si sám vybere ten nejvhodnější a jeden z.lic souborů využije (podmínkou je pouze přípona.lic). Pro okamžité převzetí nových licenčních klíčů je nutný restart služby ERAS. Existuje několik metod, jakým dopravit licenční klíč na ERAS: Nakopírováním do uvedené složky na ERA serveru (nutný restart ERAS služby). Využitím funkce v ERAC pro vzdálený import licenčního klíče na ERA server. Využitím funkce v ESS / EA pro import licenčních klíčů Databáze & archivace informací ERAS je databázově jištěn komponentou MDAC (Microsoft Data Access Components), přičemž rozsáhlejší záznamy jsou ukládány do samostatných souborů (složka storage). Součástí ERAS jsou nástroje, které umožňují automatickou správu databáze a udržovaných informací, přičemž je lze nastavit během pokročilého režimu instalace, popř. kdykoliv později pomocí ERAC. Údržba databáze vede k rychlejší odezvě ERAS na případné databázové dotazy a nižšími nároky na volné místo pevného disku. Doporučujeme ponechat minimálně standardní nastavení, kdy jsou automaticky odmazávány záznamy starší než 6 měsíců a v případě vytíženějších strojů s ERAS (několik stovek klientů a více) tuto hodnotu snížit. Databáze je fyzicky uložena ve složce %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\database a soubory vázané k záznamům v databázi v: %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\storage Do složky storage, tedy do samostatných souborů se ukládají informace o klientech, kteří s ERAS komunikují. Jde přitom o: detaily klientů (XML konfigurace, Protection Status, Protection Features, System Information), detaily protokolů (ze záložek Threat Log, Scan Log), detaily úloh, detaily naplánovaných reportů (nesouvisí přímo s komunikací mezi klientem a ERAS). Pokud je složka storage umístěna pod souborovým systémem NTFS, lze uplatnit NTFS kompresi a tak výrazně zredukovat její velikost při větším objemu informací ERA Console (ERAC) ERAC je klientskou částí řešení ERA. ERAC se obvykle instaluje na stanici, ze které bude operovat správce sítě a sledovat provoz řešení ESET na jednotlivých klientech. Pomocí ERA konzole se lze připojit k serverové části ERA na cílový port TCP Tuto komunikaci zajišťuje proces console.exe, obvykle ve složce: %ProgramFiles%\Eset\Eset Remote Administrator\Console ERAC může během instalace vyžadovat zadání jména ERA serveru, ke kterému se pak konzole dokáže automaticky připojit při každém jejím startu. ERA konzoli je možné nastavit kdykoliv později. ERAC lokálně ukládá pouze HTML výstupy z grafických protokolů, veškeré ostatní informace jsou zasílány v rámci komunikace na portu TCP 2223 z ERAS. 8

9 3.. Další prvky ESET v síťovém prostředí 3..1 Klientská řešení ESET Klientským řešením lze označit samotné bezpečností produkty pro detekci škodlivého kódu na stanicích nebo serverech. Jde o řešení ESET NOD32 Antivirus nebo ESET Smart Security. Klienti navazují mimo jiné dva stěžejní komunikační kanály s: ERA serverem na portu TCP 2222 s cílem zaslat aktuální informace o dění (protokoly, aktuální konfiguraci, hlášení o zachycení škodlivého kódu...), a zároveň od ERAS převzít požadavky, které tam pro daného klienta čekají (požadavek na změnu konfigurace, provedení kontroly disku...). Aktualizačním serverem na definovaném portu (jde přitom o protokol HTTP nebo SMB). V dalších částech dokumentace bude vysvětleno, že lze vytvořit lokální aktualizační server (Mirror), popřípadě využít aktualizačních serverů společnosti ESET rozmístěných v síti internet. Obrázek 3 Nejdůležitější komunikace mezi klienty, ERAS, ERAC a aktualizačními servery. ERAS a MIRROR SERVER může být v provozu na totožném stroji Konfigurační editor ESET Konfigurační editor ESET je významnou komponentou, která se využívá hned na několika místech, minimálně při tvorbě: předdefinované konfigurace pro instalační balíčky, konfigurace, zasílané klientům prostřednictvím úloh, obecného konfiguračního souboru. Konfigurační editor je součástí ERAC a fyzicky jde převážně o soubory cfgedit.*. Konfigurační editor ESET umožňuje detailně nastavit většinu parametrů některých řešení ESET (především těch, které se instalují na cílové stanice) a toto nastavení vyexportovat v XML formátu. XML podobu (např. v podobě.xml souboru) pak lze využít na řadě míst (tvorba úloh v ERAC, lokální import konfigurace v ESET Smart Security atd.). Pro konfigurační editor je velice důležitá šablona, podle níž je naplněna celá stromová struktura. Šablona je přímo součástí cfgedit.exe. Při používání konfiguračního editoru se nabízí otevření libovolného.xml souboru. Je potřeba se vyvarovat modifikaci či přepsání souboru cfgedit.xml! Pro kompletní funkcionalitu konfiguračního editoru jsou důležité i soubory eguiepfw.dll, cfgeditlang.dll a eguiepfwlang.dll. 9

10 3.2.1 Vrstvení konfigurací Konfigurační editor ESET zapíše do XML výstupu pouze ty položky ze stromové struktury konfigurace, které mají v editoru modrý symbol. Položky s šedým symbolem nebudou do výstupního XML zapsány. Při uplatnění konfigurace na klientech se tak logicky provedou pouze ty operace, které byly zapsány v XML výstupu (tedy pouze ty s ) a vše ostatní ( ) zůstane v původním stavu.lze tak na klienty postupně uplatnit několik dílčích konfigurací a přitom nepoškodit dříve provedené změny. Příkladem může být následující situace. V rámci této konfigurace bude na klientech nastaveno uživatelské jméno, heslo a zakázáno použití proxy: Druhá konfigurace uplatněná na klientech způsobí, že vše zůstane zachováno (včetně dříve zaslaného jména AV a hesla), avšak bude povoleno použití proxy a nastavena adresa a port proxy serveru Klíčové položky nastavení Následuje přehled klíčových položek dostupných v konfiguračním editoru v souvislosti s klientským řešením ESET Smart Security: Větev Kernel > Setup > Remote administrator Zde lze povolit komunikaci klienta s ERA serverem (Connect to Remote Administrator server). Je potřeba nadefinovat minimálně název nebo IP adresu ERA serveru (Server address). Interval komunikace (Interval between connections to server) doporučujeme ponechat standardní - 5 minut. Pro testovací účely lze nastavit hodnotu intervalu na 0 (komunikace bude zahájena každých 10 sekund). Pokud je nastaveno heslo (Password), je potřeba nastavit shodné i na samotném ERA serveru (viz. kapitola o nastavení ERAS - volba Password for Clients). Komunikace mezi klientem a ERAS bude v takovém případě šifrována. Větev Kernel > Setup > License keys 10

11 Na klientech není nutno žádné licenční klíče přidávat ani spravovat. Tato větev má význam u některých serverových řešení. Větev Kernel > Setup > Set parameters for ThreatSense reporting Definuje chování služby ThreatSense.Net, která zajišťuje odesílání podezřelých souborů k analýze do laboratoří společnosti ESET. Při nasazení v síti jsou stěžejní především volby Submit suspicious files a Enable submission of anonymous statistical information. Těmito lze ThreatSense.Net zcela zakázat (Do not submit), popř. nastavit režim, kdy nebude uživatel obtěžován dialogy pro potvrzení odeslání podezřelých souborů (Submit without asking). Pokud je pro připojení k Internetu vyžadováno proxy, je pro správný chod ThreatSense.Net potřeba nastavit též větev Kernel > Setup > Proxy server. Větev Kernel > Setup > Protect setup parameters Umožňuje uzamknout přístup do nastavení heslem. Toto heslo bude vyžadováno přímo na klientském řešení při vstupu do jeho nastavení. Budoucí úpravy v nastavení skrze řešení ERA nebudou tímto heslem ovlivněny. Větev Kernel > Setup > Scheduler/Planner Plánovač úloh, ve kterém je možné nadefinovat např. pravidelnou antivirovou kontrolu disku apod. Řešení ESET obsahují standardně několik předdefinovaných úloh (včetně pravidelné antivirové ochrany nejvýznamnějších souborů a pravidelné automatické aktualizace) a ve většině případů tak není nutné přidávat nové ani upravovat stávající úlohy. Větev Update V této části konfigurace lze nastavit jednotlivé aktualizační profily. Za normálních okolností stačí změnit nastavení předdefinovaného profilu My profile a zaměřit se především na Update server, User name a Password. Pokud Update server = AUTOSELECT, pak budou aktualizace vyhledávány na aktualizačních serverech společnosti ESET. V tomto případě je nutné doplnit atributy User name a Password údaji získanými při zakoupení licence. Pokud má být klient aktualizován z lokálního aktualizačního serveru (Mirror), jak jsou bližší informace uvedeny v následující kapitole. U mobilních zařízení lze využít dva profily, které zajišťují podle potřeby aktualizaci z lokálního Mirror serveru, popř. ze serverů společnosti ESET. Více informací v závěru této dokumentace. Další informace související s konfigurací lze najít v závěru této dokumentace Lokální aktualizační server - Mirror Funkce Mirror umožňuje vytvoření lokálního aktualizačního serveru. Klienti pak nestahují aktualizace přímo z internetových serverů společnosti ESET, ale přistupují k lokálnímu aktualizačnímu serveru ve stejné, nebo bližší síti. Mezi výhody tohoto řešení patří především nižší objem přenesených dat a nižší nároky na přenosové pásmo (aktualizace stahuje z internetu pouze Mirror server). Jediným možným úskalím se může stát výpadek Mirror serveru v případě, že jde pro klienty o jedinou cestu stahování aktualizací. POZOR! Výpadkem může být i stav, kdy programovou aktualizaci absolvovalo přímo řešení ESET Smart Security nebo ESET NOD32 Antivirus s aktivní funkcí Mirror. Dokončení aktualizace může vyžadovat restart PC a dokud není proveden, nebudou stahovány žádné aktualizace pro server, avšak ani pro klienty! NENÍ PROTO VHODNÉ NUTIT SERVEROVÉ INSTALACE ŘEŠENÍ ESET DO AUTOMATICKÝCH PROGRAMOVÝCH AKTUALIZACÍ! Funkce Mirror je dostupná: v řešení ESET Remote Administrator (fyzicky běží Mirror na straně ERAS, lze ji však spravovat skrze ERA konzoli), v řešení ESET Smart Security Business Edition nebo ESET NOD32 Antivirus Business Edition po vložení licenčního klíče pro Business edici. Je pouze na zvážení administrátora, kterou ze dvou nabízených variant uplatní. Ve větších sítích lze vytvořit celou kaskádu lokálních aktualizačních serverů (např. v rámci poboček), podobně jako v případě ERAS Provoz lokálního aktualizačního serveru Server (může jít i o klasickou stanici) s Mirror serverem by měl být neustále v provozu a připojen k internetu, popř. k nadřazenému Mirror serveru (kaskáda). Obecně lze aktualizační balíčky přijímat ve dvou formách: 1. prostřednictvím protokolu HTTP (preferovaná varianta), 2. prostřednictvím síťově sdíleného adresáře (SMB). 11

12 Aktualizační servery společnosti ESET fungují na protokolu HTTP s využitím autorizace a minimálně hlavní Mirror server musí k těmto serverům přistupovat spolu s vyplněným uživatelským jménem (obvykle ve tvaru AV-xxx nebo E AV-xxx) a heslem. Přímo řešení ESET s funkcí Mirror nabízejí integrovaný HTTP web server (varianta 1). V případě použití integrovaného HTTP web serveru (bez autorizace) je potřeba zajistit, že tento nebude dostupný z jiné sítě, než pro kterou je zakoupena licence. Jmenovaný typ serveru nesmí být v žádném případě dostupný z internetu. Integrovaný HTTP web server poslouchá standardně na portu TCP Pozor, zda na zmiňovaném portu neposlouchá jiná aplikace! V případě potřeby je možné použít jakýkoliv jiný HTTP server. Zároveň pak lze nastavit případnou autorizaci jménem / heslem (v případě Apache Web Server jde o.htaccess metodu), kterou řešení ESET podporuje. Pří použití druhé metody (síťově sdílený adresář) je potřeba složku s aktualizačními balíčky síťově sdílet pro čtení. Klienti se pak musí k tomuto sdílení autorizovat jménem a heslem uživatele, který má k danému sdílení přístup. Klientská řešení ESET fungují pod účtem SYSTEM a mají tak zcela odlišná síťová práva než právě přihlášený uživatel. Autorizace jménem / heslem uživatele je tak nutností i v případě, že síťově sdílený adresář je dostupný pro everyone a s přístupem nemá problém ani právě přihlášený uživatel. Podobná je situace s definováním síťové cesty ve tvaru UNC vs X:\. Nedoporučujeme definovat cesty ve tvaru DISK:\!!! V této souvislosti (varianta 2) doporučujeme založit na Mirror serveru uživatele přímo určeného pro tento účel (např. noduser) a přes něj se autorizovat ze všech klientů. Tento uživatel by měl mít nastaveno právo ke čtení síťově sdílené složky s aktualizačními balíčky. Při autorizaci k síťově sdílené složce je potřeba uživatelské jméno definovat v celém tvaru WORKGROUP\User, popř. DOMAIN\User Kromě případné autorizace je potřeba na klientech přenastavit i zdroj, ze kterého bude řešení ESET aktualizace čerpat. Může tak jít o URL adresu k lokálnímu serveru ve tvaru popř. o UNC síťovou cestu se syntaxí \\nazev_mirror_serveru\nazev_sdileni Typy aktualizací Kromě pravidelné virové aktualizace, kdy je součástí i aktualizace jádra řešení ESET, dochází velice zřídka i k tzv. programové aktualizaci řešení ESET. Programová aktualizace obvykle přidává novou funkcionalitu řešení ESET a ve většině případů vyžaduje restart klienta (celého PC) 1. Pokud je v síti nasazen a využíván Mirror server, logicky musí takovou aktualizaci stáhnout právě tento server. Mirror server nabízí funkci, která dokáže zakázat stažení programových aktualizací z aktualizačních serverů ESET (popř. z nadřazeného Mirror serveru) a tedy i jejich distribuci na klienty. Distribuci programové aktualizace lze kdykoliv vynutit manuálně na povel administrátora (např. v momentě, kdy je zřejmé, že s novou verzí nebude žádný problém vůči jiným používaným aplikacím). Tato funkcionalita je smysluplná z důvodu, že řešení ESET dokážou stahovat a používat virové aktualizace i přes existenci nové programové aktualizace. Stav, kdy se na stanici nenachází poslední programová verze a je využita poslední verze virové databáze, nemusí znamenat méně kvalitní ochranu před škodlivými kódy. Přesto doporučujeme dříve nebo později vždy na poslední programovou aktualizaci přejít Aktivace a nastavení funkce Mirror v praxi If the Mirror integrated directly in the solution ESET Remote Administrator is used (a Business Edition component), connect to the given ERAS using ERA console and proceed as follows: zvolit menu Tools > Server Options... > záložka Updates, jako Update server nastavit AUTOSELECT (aktualizace ze serverů společnosti ESET), popř. URL / UNC cestu k nadřazenému Mirror serveru, nastavit interval (Update interval) aktualizací (doporučujeme 60 minut), 1 V minulosti byl programovou aktualizací proveden automatický upgrade všech klientů z verze NOD na NOD Následně pak přechod z 2.0 na 2.5 a později i na

13 nastavit uživatelské jméno (Update user name) a heslo (Update password). V případě varianty AUTOSELECT jde o jméno / heslo získané při zakoupení licence. V jiných případech jde o jméno / heslo, kterým se bude autorizovat k nadřazenému Mirror serveru. Povolit volbu Create update mirror a nastavit adresář pro ukládání aktualizací. Standardně jde o relativní cestu k adresáři mirror\, který bude při povolení Provide update files via internal HTTP server nabízen skrze protokol HTTP na portu uvedeném v HTTP server port (standardně 2221). Autorizaci (Authentication) nastavit na NONE 2. V záložce Other Settings > Edit Advanced Settings... a větvi ERA Server > Setup > Mirror > Create mirror for the selected program components vybrat komponenty, které mají být stahovány (měly by být vybrány všechny komponenty v takových jazykových verzích, které se reálně na klientech v síti nacházejí). Mirror je součástí i samotného řešení ESET Smart Security Business Edition nebo ESET NOD32 Antivirus Business Edition. Je na zvážení administrátora, zda použije tento Mirror server nebo Mirror server implementovaný do řešení ESET Remote Administrator. Pro aktivaci a provoz Mirror serveru v řešení ESET Smart Security nebo ESET NOD32 Antivirus je potřeba postupovat následovně: nainstalovat ESET Smart Security nebo ESET NOD32 Antivirus, v nastavení řešení ESET zvolit menu Ostatní > Licence a přidat licenční klíč pro Business edici. Tímto se stane funkce Mirror dostupnou. V nastavení řešení ESET zvolit menu Update > Advanced update setup (Setup...) > záložka Mirror. Povolit volbu Create update mirror a ideálně i Provide update files via internal HTTP server. Nastavit adresář pro ukládání aktualizací (Folder to store mirrored files). Jméno a heslo (User name, Password) slouží jako autorizace do výše uvedeného adresáře. Ve většině případů není tyto atributy nutné vyplňovat. 2 Více informací o autorizaci se nachází v kapitole o nastavení ERA serveru.. 13

14 Autorizaci (Authentication) nastavit na NONE 3. Ve spodní části vybrat komponenty 4, které mají být stahovány (měly by být vybrány všechny komponenty v takových jazykových verzích, které se reálně na klientech v síti nacházejí). Pro plnou funkcionalitu Mirror je vhodné povolit stahování a zrcadlení programových aktualizací (komponent). V opačném případě bude aktualizována pouze virová databáze a nikoliv celý program! V případě nasazení funkce Mirror, jakožto součásti ESET Remote Administrator, lze toto nastavit prostřednictvím ERAC, menu Tools -> Server Options... -> záložka Other Settings -> tlačítko Edit Advanced Settings... -> větev ESET Remote Administrator -> ERA Server -> Setup -> Mirror. Vždy je potřeba povolit ty jazykové verze komponent, které se nacházejí na klientech. 3 Více informací o autorizaci se nachází v kapitole o nastavení ERA serveru. 4 V době tvorby této dokumentace neproběhla žádná programová aktualizace, tudíž nebyly dostupné ani žádné programové komponenty k výběru. 14

15 ESET Remote Administrator Console v detailu 4..1 Přihlášení se k ERAS Drtivá většina funkci ERA konzole bude dostupná až po přihlášení se k ERA serveru. Před prvním přihlášením k ERAS je tak potřeba nadefinovat název ERAS, popř. jeho IP adresu: menu File > Edit Connections... (Tools > Console Options... > záložka Connection) Tlačítkem Add/Remove... lze přidávat jména nových ERA serverů, nebo upravovat stávající. V roletě Select connection pak stačí vybrat požadovaný ERAS a stisknout Connect. Další volby: Connect to selected server on the console startup Konzole se po startu automaticky připojí k vybranému ERAS. Show message when connection fails Při chybě během komunikace bude zobrazen varovný dialog. Při přihlášení k ERAS bude vyžadováno heslo. Standardně není na straně ERAS nastaveno žádné heslo a z bezpečnostních důvodů doporučujeme toto změnit volbou v menu File > Change Password... > tlačítko Change... v řádku Password for Console Při zadávání hesla během přihlašování lze zvolit Remember password pro zapamatování hesla (je potřeba zvážit bezpečnostní rizika). Naopak volbou File > Clear Cached Passwords... lze tato zapamatovaná hesla smazat. Jakmile je komunikace navázána, v záhlaví okna konzole se zobrazí Connected [název_serveru] Hlavní okno ERAC Obrázek 4 Základní okno ESET Remote Administrator Console. Stav komunikace ERAC vs ERAS je mimo jiné signalizován na stavovém řádku vpravo dole (1). Potřebná data z ERAS načítá konzole pravidelně (standardně každou minutu, viz. Console Options...), přičemž o průběhu načítání informují další části stavového řádku. Stiskem klávesy F5 lze kdykoliv vynutit aktualizaci zobrazených dat (refresh). 15

16 Data jsou roztříděny do několika záložek (2) podle jejich významu. Ve většině případů lze data (5) třídit vzestupně / sestupně kliknutím na záhlaví s názvem atributu a zároveň lze metodou drag & drop měnit pořadí jednotlivých sloupců. V případě rozsáhlých výstupů lze omezit množství současně zobrazených řádků (Items to show) a listovat po stránkách. Volba View mode omezuje výpis co do množství sloupců (atributů). Více v části o filtraci informací. Horní část (4) nabývá většího smyslu při provozování tzv. replikace. Vždy se zde nacházejí souhrnné informace o ERAS, ke kterému je právě konzole připojena, avšak i informace o případných podřazených ERA serverech. Pomocí filtru v části 4 lze pak ovlivnit rozsah zobrazených informací v části 5: Use All Servers V části 5 budou informace ze všech ERAS. Use Only Checked Servers V části 5 budou informace pouze z vybraných ERAS. Exclude Checked Servers V části 5 budou informace pouze z nevybraných ERAS. Sloupce v části 4: Server Name Název serveru. Clients Celkové množství klientů, které se k danému ERAS hlásí. Oldest Version Číslo nejstarší verze (virová databáze), která se nachází mezi klienty daného ERAS. Least Recent Connection Nejdelší prodleva od posledního připojení k ERA serveru některého z jeho klientů. Last Threat Alerts Celkové množství aktuálních incidentů (souvisí s atributem Last Threat Alert v části 5). Last Firewall Alerts Total number of firewall alerts (see Last Firewall Alert in the section 5). Last Event Celkové množství aktuálních údálostí (souvisí s atributem Last Event v části 5). Pravým tlačítkem myši v části 4 lze vyvolat kontextovou nabídku a volbou Connect to This Server se připojit napřímo k vybranému ERAS. Další záznamy v části 4 vznikají automaticky při povolené replikaci. Nejvýznamnější funkce ERAC jsou dostupné jak z menu, tak z nástrojové lišty (3). Poslední částí je pak filtr (6) více v části o filtraci informací Filtrace informací ERAC nabízí několik nástrojů a funkcí, které usnadní správu většího množství klientů či událostí Skupiny Jednotlivé klienty lze libovolně zařazovat do skupin pomocí menu Edit > Groups v menu konzole. Zařazování do skupin lze výhodně uplatit při filtraci či tvoření úloh, jelikož uvedené činnosti lze aplikovat pro celé skupiny zároveň. Skupiny jsou nezávislé pro každý ERAS a nedochází k jejich replikaci. K dispozici je i funkce Synchronize with Active Directory, která dokáže klienty rozdělit do skupin v případě, že souhlasí názvy klientů s objekty typu computer na straně AD a tyto jsou zařazeny v AD do skupin Filtr Pomocí filtru lze zobrazit jen ty záznamy, které administrátora zajímají. Filtr lze zpřístupnit volbou View > Show/Hide Filter Pane v menu konzole. Aktivace filtru se provádí zatržením Use Filter a zahájení filtrování tlačítkem Apply Changes. Pokud není nastaveno jinak v menu Tools > Console Options..., provádí se automatická aktualizace výstupních údajů (nová filtrace) při libovolné změně v nastavení filtru. 5 Podmínkou je, aby se ERA server nacházel fyzicky na serveru s aktivní službou Active Directory. Synchronizace probíhá jednorázově při stisku Synchronize with Active Directory. 16

17 V první části Computer filter criteria lze filtrovat ERA servery / klienty a to několika způsoby: Only clients (using whole word) Do výstupu zahrne jen klienty, jejichž název odpovídá přesně zadanému řetězci. Only clients beginning like Do výstupu zahrne jen klienty, jejichž název začíná zadaným řetězcem. Only clients like Do výstupu zahrne jen klienty, jejichž název obsahuje zadaný řetězec. Exclude clients (using whole word), Exclude clients beginning like, Exclude clients like Tyto volby vyjadřují negaci výše uvedených variant. Do pole Primary server, Computer name, Client name, MAC Address se zapisují samotné řetězce, přičemž v dotazu vůči databázi jsou uplatněny pouze vyplněná pole, mezi nimiž je použit logický operátor AND. V další části se lze omezit na filtraci v souvislosti se skupinami (Groups): Clients in Groups V tomto případě budou vybrány pouze klienti, patřící do definovaných skupin. Clients in other Groups or N/A Do výstupu budou zařazeny pouze klienti, kteří se nacházejí v jiných, než vybraných skupinách, popřípadě nejsou do skupin zařazeny vůbec. Pokud se klient nachází v některé z vybraných skupin, ale zároveň i ve skupině, která uvedena není, pak bude do výstupu zařazen i tento. Clients in no Groups Tuto podmínku splňují klienti bez zařazení do skupin. Další nastavení filtru je odlišné v závislosti na aktivní záložce, ale většinou jde o variantu časového filtru, který umožňuje omezit výstup pouze na záznamy, které vznikly během určité doby Kontextové menu Prostřednictvím pravého tlačítka myši ve výpisech záznamů lze aplikovat další funkce pro efektivní výpis záznamů. Jde především o: Select by 'aaa' Dojde k označení pouze těch záznamů, které obsahují řetězec aaa ve stejném atributu (sloupci), na kterém bylo vyvoláno kontextové menu. Za řetězec aaa je automaticky dosazena hodnota buňky, na které bylo kontextové menu vyvoláno. Inverse selection Provede inverzní selekci záznamů. Hide selected Skryje vybrané záznamy. Hide unselected Skryje záznamy, které nejsou vybrány. Dvě posledně jmenované možnosti lze vhodně využít po aplikaci předchozích. Filtry nastavené prostřednictvím kontextového menu lze zrušit volbou v menu View > Cropped View, popřípadě ikonou na nástrojové liště konzole. Alternativní cestou je stisk klávesy F5 pro obnovení (refresh) informací. Příklad použití: Chceme zobrazit pouze ty stanice, na kterých došlo k nějaké virové události: V záložce Clients proto stiskneme pravé tlačítko myši na jakékoliv prázdné buňce Last Virus Alert a z kontextového menu zvolíme Select by. V kontextovém menu vyvoláme funkci Hide selected. Chceme zobrazit jen virová hlášení klienta Josef a Karel. V záložce Alert Log stiskneme pravé tlačítko myši na jakékoliv buňce s textem Josef ve sloupci Client Name. V kontextovém menu vybereme Select by Josef. Nyní podržíme klávesu CTRL a podobným způsobem (pravým tlačítkem a následně Select by Karel ) označíme Karel. Stiskneme pravé tlačítko myši a z kontextového menu zvolíme Hide unselected. Klávesu CTRL můžeme pustit. Zároveň lze spolu s myší využít klávesu CTRL pro označení / odznačení určitých záznamů, stejně tak klávesu SHIFT pro označení / odznačení skupiny záznamů. Filtraci lze vhodně využít například při tvorbě nových úloh pouze pro specifické (vybrané) klienty. Možnosti uplatnění jsou velice široké. 17

18 Pohledy Na záložce Clients lze nastavit rozsah zobrazených sloupců (atributů) v roletce View mode. Při Full View Mode jsou zobrazeny všechny, při Minimal View Mode jen základní. Tyto režimy jsou pevně dané. Naopak režim Custom View Mode odpovídá nastavení v menu Tools > Console Options..., záložka Columns Show/Hide Záložky ERAC O záložkách a klientech obecně Většina informací se ve výsledku vždy váže k některému z přihlášených klientů. Každý přihlášený klient k ERAS je tak jednoznačně identifikován spojením následujících atributů: Computer Name (název klienta) + MAC Address (MAC adresa) + Primary Server 6 Chování ERAS při některých operacích v síti (přejmenování PC...) lze v této souvislosti definovat v rozšířeném nastavení ERAS. Lze tak zabránit zbytečnému založení nového klienta v záložce Clients např. v momentě, kdy je na stanice změněn její název - computer name (např. v souvislosti s fyzickým přesunem PC do jiné kanceláře) a zachována MAC adresa. Klienti (tedy stanice nebo servery s instalovaným řešením ESET), kteří se k RAS přihlásili prvně, jsou ve stavu Yes u atributu New User (lze nastavit v ERAS), což je mimo jiné graficky vyjádřeno hvězdičkou v pravé horním části ikony malého monitoru. Tato vlastnost slouží pouze pro snazší orientaci administrátora, že se v seznamu nachází klient, který doposud neprošel rukou administrátora. Atribut může sloužit na jiné rozlišení dle uvážení administrátora. Jakmile administrátor prostřednictvím ERAC daného klienta vhodně nastaví (přiřadí do skupiny apod.), může ho pomocí pravého tlačítka myši a výběrem funkce Set/Reset Flags > Reset New Flag zařadit mezi již nastavené. Ikona daného klienta se pak změní na následující (a atribut New User na No): Atribut Comment je volitelný ve všech záložkách. Slouží pro zadání libovolného textu administrátora (např. kancelář č.129 ). U časových hodnot lze v nastavení ERAC zvolit mezi relativním ( před 2 dny ) či absolutním zobrazením ( ). Ve většině případů lze data v záložkách třídit vzestupně / sestupně kliknutím na záhlaví s názvem atributu a zároveň lze metodou drag & drop měnit pořadí jednotlivých sloupců. Poklepáním myší na určité hodnoty se lze přemístit do jiné záložky s upřesňujícími informacemi. Například při poklepání na hodnotu ve sloupci Last Threat Alert lze docílit přesunu do záložky Threat Log, kde budou automaticky vyfiltrovány pouze záznamy, související s daným klientem. Poklepáním na hodnoty v jiných sloupcích lze pak vyvolat dialog, kde jsou o daném klientovi i informace, které by se do tabulkového výpisu stěží vešly Replikace & informace na jednotlivých záložkách Pokud je konzole připojena k ERAS, k němuž se v rámci replikace připojují podřízené ERAS a zároveň jde o replikaci, kdy nejsou automaticky přenášeny veškeré informace, pak může dojit k situaci, kdy konzole nenabízí k nahlédnutí veškeré informace replikovaných klientů. Chybět přitom mohou: Podrobnější protokoly k incidentům (záložka Threat Log). Podrobnější protokoly o on-demand skenování (záložka Scan Log). Detailní XML podoby současné konfigurace a stavu klientů (záložka Clients, sloupec Configuration, Protection Status, Protection Features, System Information). Na dialozích, kde tyto informace schází se v takových případech nachází tlačítko Request, po jehož stisku dojde k vyžádání chybějících informací u podřízeného ERA serveru. Jelikož proces replikace zahajuje podřízený ERAS, chybějící informace se přenesou max. do stanoveného časového intervalu replikace. 6 Ve starších verzích ERA probíhala identifikace klienta dle atributů Computer Name + Primary Server.. 18

19 Obrázek 5 Tlačítkem Request lze zažádat podřízeny ERA server o poskytnutí chybějících informací Záložka Clients Na této záložce lze najít základní informace o jednotlivých klientech. Atribut Client Name Computer Name MAC Address Primary Server Domain IP Product Name Product Version Last Connected Protection Status Text Threat DB Version Last Threat Alert Last Firewall Alert Last Event Warning Význam Pod tímto názvem bude klient vystupovat v aplikaci ERA. Pokud jde o nového klienta, tato hodnota je shodná s hodnotou Computer Name. Client Name lze ale kdykoliv bez vedlejších efektů změnit. Název stanice / serveru (hostname). MAC adresa (síťové karty). Název ERA serveru se kterým klient přímo komunikuje. Název domény / skupiny, ve které se klient nachází (nesouvisí se skupinami vedenými v ERAS). IP adresa Název řešení ESET. Verze řešení ESET. Čas posledního kontaktu klienta s ERAS. K tomuto termínu jsou aktuální další informace z daného klienta s vyjímkou některých případů, kdy je použita replikace. Souhrnná informace o stavu řešení ESET na klientovi. Verze virové aktualizace. Poslední incident. Poslední poplach firewallu. Poslední chybová událost. 19

20 Last Files Scanned Last Files Infected Last Files Cleaned Last Scan Date Restart Request Restart Request Date Product Last Started Product Install Date Mobile User New User OS Name OS Platform HW Platform Configuration Protection Status Protection Features System Information Počet kontrolovaných souborů při posledním on-demand testu. Počet infikovaných souborů při posledním on-demand testu. Počet vyléčených (odstraněných) souborů při posledním on-demand testu. Čas posledního on-demand testu. Je vyžadován restart klienta (např. při programové aktualizaci)? Moment, od kterého je vyžadován restart klienta. Poslední start řešení ESET. Datum instalace řešení ESET. Klientům s tímto příznakem bude automaticky zaslána úloha typu update now vždy, když klient naváže prvotní komunikaci s ERAS (vhodné nastavení pro mobilní zaměstnance a jejich notebooky). Více v části věnované obecně klientům. Název operačního systému. OS platforma (Windows / Linux...). 32-bit / 64-bit Klient zasílá na ERAS i podobu konfigurace ve formátu XML. V tomto atributu je uveden pouze čas, ze kterého konfigurace pochází (pokud pomineme možnou replikaci, pak jde zároveň o čas, kdy byla konfigurace naposledy změněna). Souhrnný stav řešení ESET. Analogický shodné s atributem Configuration. Stav jednotlivých komponent řešení ESET. Analogicky shodné s atributem Configuration. Informace o verzích jednotlivých komponent řešení ESET. Analogicky shodné s atributem Configuration. Některé hodnoty jsou spíše informativního charakteru a v době, kdy na ně administrátor nahlíží, nemusí být aktuální (typická situace: v 7:00 došlo k chybě při aktualizaci, v 8:00 již proběhla bez problémů). Jedná se např. o hodnoty ve sloupci Last Threat Alert, Last Event. Jakmile je administrátor s událostmi seznámen a považuje je za neaktuální, může na daný řádek klepnout pravým tlačítkem myši a z kontextového menu zvolit volbu Clear Last Info > Clear Last Threat Alert Info, popř. Clear Last Info > Clear Last Event Info. Tím odstraní informaci o posledním incidentu / události. Obrázek 6 Neaktuální události ze sloupců Last Threat Alert a Last Event lze snadno odstranit. 20

21 Obrázek 7 Detailní informace o klientovi. Na záložce Clients jsou velice rozsáhlé i možnosti při poklepání myší na libovolného klienta: záložka General Významově shodné s atributy na záložce Clients. Zde lze definovat Client Name, tedy název, pod kterým bude klient veden v ERA a nepovinný komentář. záložka Member Of Groups Klient je členem uvedených skupin. Blíže v kapitole o filtraci informací. záložka Tasks Úlohy, které souvisí s daným klientem. Blíže v kapitole o úlohách. záložka Configuration Zde se nabízí možnost prohlédnout, popř. vyexportovat stávající konfiguraci klienta do souboru ve formátu XML. Zároveň se nabízí varianta, kdy je stávající konfigurace využita jako šablona pro tvorbu nové / upravené XML podoby konfigurace. Blíže v kapitole o úlohách. záložka Protection Status Souhrnný stav řešení ESET. V některých případech jde o interaktivní stavy, kdy je možné reagovat přímo bez manuální definice nové úlohy, která by problém vyřešila. záložka Protection Features Stav jednotlivých komponent řešení ESET. záložka System Information Bližší informace o nainstalovaném řešení, o verzích jednotlivých komponent apod Záložka Threat Log Tato záložka obsahuje podrobnější informace o jednotlivých incidentech. Atribut Threat Id Client Name Primary Server Date Received Význam ID záznamu v tabulce databáze. Název klienta, na němž incident nastal. Název ERA serveru se kterým klient přímo komunikuje. Čas přijetí incidentu na ERAS. 21

22 Date Occurred Level Scanner Object Name Threat Action User Information Čas vzniku incidentu na klientovi. Úroveň incidentu. Název komponenty řešení ESET, která incident zaznamenal. Typ objektu. Obvykle adresář, ve kterém byla infekce zachycena. Obvykle název zachyceného škodlivého kódu. Akce, která byla s daným objektem provedena. Jméno uživatele, který byl v době incidentu přihlášen ke klientovi Záložka Firewall Log Zde jsou k dispozici záznamy z klientských firewallů. Atribut Firewall Id Client Name Primary Server Date Received Date Occurred Level Event Source Target Protocol Rule Application User Význam ID záznamu v tabulce databáze. Název klienta, na němž událost nastala. Název ERA serveru se kterým klient přímo komunikuje. Čas přijetí události na ERAS. Čas vzniku události na klientovi. Úroveň události Popis události Zdrojová IP adresa. Cílová IP adresa. Protokol, kterého se událost týká. Pravidlo, kterého se událost týká. Aplikace, které se událost týká. Jméno uživatele, který byl v době události přihlášen ke klientovi Záložka Event Log V této záložce se nacházejí všechny ostatní události. Atribut Event Id Client Name Primary Server Date Received Date Occurred Level Plugin Event User Význam ID záznamu v tabulce databáze. Název klienta, na němž událost nastala. Název ERA serveru se kterým klient přímo komunikuje. Čas přijetí události na ERAS. Čas vzniku události na klientovi. Úroveň události. Název komponenty řešení ESET, která událost zaznamenala. Popis události. Jméno uživatele, který byl v době události přihlášen ke klientovi Záložka Scan Log V této záložce se nacházejí výsledky jednorázových kontrol disků (on-demand skener), které byly vyvolány vzdáleně, lokálně přímo na stanici, nebo prostřednictvím úlohy v plánovači. 22 Atribut Scan Id Client Name Primary Server Date Received Význam ID záznamu v tabulce databáze. Název klienta, na němž kontrola proběhla. Název ERA serveru se kterým klient přímo komunikuje. Čas přijetí výsledku na ERAS.

23 Date Occurred Scanned Targets Scanned Infected Cleaned Status User Čas vzniku výsledku na klientovi. Cíle kontroly. Počet zkontrolovaných objektů. Počet infikovaných objektů. Počet odstraněných objektů (léčením, smazáním). Verdikt kontroly. Jméno uživatele, který byl v době kontroly přihlášen ke klientovi Záložka Tasks Význam této záložky je popsán v části věnované úlohám. Pokud jde o jednotlivé atributy, pak: Atribut Task Id State Type Name Description Date Received Comment Význam ID záznamu v tabulce databáze. Stav úlohy (Active = stále se uplatňuje, Finished = klienti úlohu převzali). Informuje o typu úlohy. Název úlohy. Popis úlohy. Čas přijetí úlohy na ERAS. Nepovinný komentář Záložka Reports Funkce na této záložce umožňují generování rozličných grafických i tabulkových výstupů. Tyto mohou následně sloužit pro další zpracování (možnost výstupu do CSV formátu), popř. lze využít přímo nástroje ERA a nechat veškeré grafy i grafiku na něm. V takovém případě je pak výstup ve formátu HTML (+ obrázky ve formátu PNG). Jednotlivé varianty grafického vzhledu lze vybírat v části Report > Style. V ERA je několik předdefinovaných šablon, podle nichž je výstup generován (Report > Type): Top Threats Přehled nejvíce hlášeného malware. Top Clients with most Threats Přehled klientů, na kterých byl zaznamenán největší počet incidentů. Threats Progress Vývoj počtu incidentů v čase. Threats Comparative Progress Vývoj počtu incidentů u vybraného malware (pomocí filtru) v čase vůči celkovému hlášenému množství. Threats By Scanner Poměr hlášených incidentů jednotlivými částmi řešení ESET. Threats By Object Poměr incidentů dle přístupových míst, ze kterých se pokusil malware o průnik ( y, soubory, boot sektory). Combined Top Clients / Top Threats Kombinace výše uvedených typů. Combined Top Threats / Threats Progress Kombinace výše uvedených typů. Combined Top Threats / Threats Comparative Progress Kombinace výše uvedených typů. Clients Report, Threats Report, Events Report, Scans Report, Tasks Report Klasický výpis tak jak je k vidění v záložkách Clients, Alert Log, Event Log, Scan Log nebo Tasks. Comprehensive Report Souhrn následujících typů: 23

24 o o o Combined Top Clients / Top Threats Combined Top Threats / Threats Comparative Progress Threats Progress V části Filter lze přesněji určit, jakých klientů (Target Clients), popřípadě malware (Virus) se bude report týkat. Další detaily lze nastavit tlačítkem Additional Settings, jedná se především o údaje v hlavičce a typech použitých grafů. Zároveň lze odsud vyfiltrovat klienty dle stavu některých atributů a vybrat formát výstupního souboru (HTML, CSV). V záložce Interval lze definovat časový úsek, pro který se bude report generovat: Current Do reportu budou zařazeny pouze události, které se uskutečnily ve vedle vybraném období - myšleno ve stejném, jako nyní (př.: pokud bude report vytvářen ve středu a bude nastaveno Current Week, pak budou zařazeny události za neděli, pondělí, úterý, středu). Completed Do reportu budou zařazeny pouze události, které se uskutečnily ve vedle vybraném, avšak uzavřeném období (například za celý měsíc srpen, celý týden neděle až další sobota ). Pokud je aktivní parametr Add also the current period, budou k výše vybranému období přidány i události od posledního uzavřeného období do současnosti. Příklad použití: Chceme vytvořit report týkající se událostí za poslední kalendářní týden, tedy od neděle do následující soboty. Report budeme generovat ve středu následujícího týdne (po sobotě). V záložce Reports / Interval, zvolíme variantu Completed a nastavíme 1 Weeks. Odstraníme Add also the current period. V záložce Reports / Scheduler nastavíme Frequency na Weekly a vybereme Wednesday. Ostatní lze nastavit dle požadavků administrátora. From / To Umožňuje přesně definovat období pro generovaný report. Záložka Scheduler slouží k nastavení automatického vytváření definovaného reportu ve zvoleném čase nebo intervalech (část Frequency). Do kolonky Run at je potřeba vepsat čas, kdy se provede generace reportu a v části and store the Result to tlačítko Select Target... uvést způsob, jakým se bude report exportovat. Report lze odeslat prostřednictvím u na zvolenou adresu, popřípadě vyexportovat do adresáře. Report lze takto vyexportovat například do adresáře, který je přístupný prostřednictvím intranetu. O reporty se tak mohou dělit zaměstnanci společnosti. K odesílání vygenerovaných reportů em je potřeba správně nastavit SMTP server a adresu odesílatele dle kapitoly (více v části o nastavení ERAS). V části Range lze definovat časové období, ve kterém bude generování reportů aktivní. Přitom lze definovat počet generování (End after), popřípadě datum konce generování (End by). Tlačítka Save a Save as slouží k uložení nastavení definovaného reportu do šablony (template). Při tvorbě nové šablony je potřeba stisknout Save as a šabloně přiřadit název. V horní části okna konzole jsou k vidění názvy již vytvořených šablon a vedle nich informace o časech / intervalech, během kterých dochází ke generování reportů dle nastavení šablon. Tlačítkem Generate Now ať už ve spodní části, nebo v kontextovém menu (po stisku pravého tlačítka myši na vybrané šabloně) lze generování provést okamžitě bez ohledu na plánování. Již vygenerované reporty jsou k vidění v záložce Generated Reports. Pomocí kontextového menu lze nad reporty vytvářet další operace. Oblíbené šablony lze umístit do levého okna Favorites a v budoucnu tak mít možnost rychlého generování reportů na základě oblíbených šablon. Do oblíbených lze šablonu přesunout volbou Add to Favorites v kontextovém menu vyvolaném na seznamu naplánovaných šablon Záložka Remote Install Tato záložka nabízí možnosti týkající se vzdálené instalace řešení ESET na jednotlivé klienty. Bližší informace lze najít v samostatná kapitole věnované vzdálené instalaci Nastavení ERA konzole ERA konzoli lze konfigurovat prostřednictvím menu Tools / Console Options... 24

25 4.5.1 Záložka Connection Souvisí s připojením ERA konzole k ERA serveru. Detailněji popsáno na začátku kapitoly o ERAC Záložka Columns Show / Hide Zde lze definovat, jaké atributy se mají zobrazovat v jednotlivých záložkách konzole. V případě záložky Clients jde o zobrazené informace při režimu (View mode) Custom View Mode. Ostatní režimy jsou pevně předdefinovány Záložka Colors Zde lze definovat barevné odlišení různých událostí a často i v několika úrovních. Lze tak např. odlišit klienty, které mají mírně starší virovou (Clients: Previous Version) databázi a klienty s velice starou databází (Clients: Older Versions or N/A) Záložka Paths Zde lze uvést adresář, do kterého si bude konzole lokálně ukládat reporty stažené z ERAS. Standardně jde o složku: %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Console\reports Záložka Date / Time Určuje způsob zobrazení časových údajů: Absolute Konzole bude zobrazovat čas absolutní (např. 14:30:00). Relative Konzole bude zobrazovat relativní čas (např. 2 weeks ago před dvěma týdny). Regional Dle regionálního nastavení (přebráno z nastavení Windows). Recalculate UTC time to your local time (use local time) Pokud je tato volba zaškrtnuta, budou časy přepočítány do místního času. V opačném případě budou časy přepočítány do GMT - UTC Záložka Other Settings Filter settings > Auto Apply Changes Pokud je tato volba aktivní, bude filtr na jednotlivých záložkách konzole automaticky generovat nový výstup při každé změně v podmínkách filtru. V opačném případě proběhne filtrace dle podmínek až po stisku tlačítka Apply Changes. Remote administrator updates Zde lze nastavit, jak často bude přímo konzole kontrolovat, zda neexistuje novější verze řešení ESET Remote Administrator. Doporučujeme ponechat volbu Monthly (měsíčně). V případě existence novější verze bude administrátor informován po spuštění ERA konzole. Other settings > Use automatic refresh Automatické obnovování výstupů na jednotlivých záložkách (data z ERAS) ve zvoleném intervalu. Other settings > Empty console recycle bins at application exit Odstraní položky z interního koše konzole při ukončení konzole. Ten lze využít v záložce Reports tab. Show gridlines Jednotlivé buňky záložek budou odděleny čárou. Prefer showing Client as "Server/Name" instead of "Server/Computer/MAC" Ovlivňuje způsob zobrazení informací o klientech v některých dialozích (např. při tvorbě úlohy). Tato volba má pouze vizuální dopad. Use systray icon ERA konzole se bude prezentovat ikonou na liště Windows. Show on taskbar when minimized Pokud bude minimalizováno okno ERA konzole, bude obnovení okna dostupné z lišty Windows (taskbar). Use highlighted systray icon when problematic clients found Společně s tlačítkem Edit lze definovat události, při kterých dojde ke změně barvy malé ikony ERA konzole na liště Windows (obvykle vedle hodin). Nabízí se varianta, kdy bude ERA konzole připojena z PC administátora k ERA serveru nonstop. V takovém případě doporučujeme povolit volbu Show on taskbar when minimized a konzoli nechat při nepoužívání zminimalizovanou. Jakmile se objeví na klientech problém, ikona v systray (oblast malých ikon obvykle vedle hodin) zčervená a stane se tak signálem pro administrátora. Zároveň je potřeba povolit a vhodně nastavit volbu Use highlighted systray icon when problematic clients found, tedy události, při kterých ke změně barvy dojde. 25

26 Show all groups in filter panes Ovlivňuje způsob filtrace dle skupin. Tutorial messages Zakáže (Disable All) / povolí (Enable All) zobrazení informativních zpráv. Warn if the server license is about to expire in X days Pokud je povoleno, konzole bude správce informovat X dní před vypršením platnosti licence. Warn if there is only X% free clients left in the server license Pokud je povoleno, konzole bude správce informovat v okamžiku, kdy zbývá méně než X% volných licencí (licence je vázána na množství spravovaných klientů) Nastavení ERA serveru prostřednictvím konzole ERA server lze pohodlně konfigurovat přímo přes ERA konzoli, která je k danému serveru připojena - menu Tools > Server Options Záložka General Zde se nacházejí především obecné informace o ERAS, informace o použitém licenčním klíči (License information) a v neposlední řadě i statistické informace o běhu ERAS. Tlačítkem Renew License... lze vzdáleně na ERA server dopravit nový licenční klíč v podobě.lic souboru a tím zabránit případné expiraci licence. Licenčním klíčům je věnována samostatná kapitola (instalace ERAS) Záložka Security Řešení ESET označená verzí 3.x (ESET Smart Security apod.) nabízejí možnost autorizace heslem při komunikaci klient vs ERAS (komunikace na protokolu TCP, port 2222), přičemž ve výsledku je taková komunikace šifrovaná. U starších verzí (označených jako 2.x) toto není možné. Aby byla zajištěna zpětná kompatibilita pro starší verze, lze nastavit režim Enable unauthenticed access for Clients. Z velké části tak slouží záložka Security k nastavení kompromisu pro společné použití klientských řešení verze 2.x a 3.x. Password for Console Nastavení hesla pro přístup k tomuto ERAS prostřednictvím konzole. Password for Clients (Eset Security Products) Nastavení hesla pro přístup klientů k tomuto ERAS. Password for Replication Nastavení hesla pro přístup podřízených ERAS k tomuto ERAS v rámci replikace. Password for Eset Remote Installer (Agent) Nastavení hesla pro přístup agenta k tomuto ERAS. Souvisí se vzdálenou instalací. Enable unauthenticated access for Clients (Eset Security Products) Povolí přístup k tomuto ERAS i těm klientům, kteří mají žádné nebo špatné heslo (případ, kdy heslo nesouhlasí s Password for Clients). Enable unauthenticated access for Replication Povolí přístup k tomuto ERAS i těm podřazeným ERAS, které mají žádné nebo špatné heslo pro replikaci. Enable unauthenticated access for Eset Remote Installer (Agent) Povolí přístup k tomuto ERAS i těm agentům, kteří mají žádné nebo špatné heslo pro zpětnou komunikaci. Pokud je autorizace na straně klientů i ERAS nastavena a spravují se pouze řešení ESET verze 3.x, lze volbu Enable unauthenticed access for Clients vypnout Záložka Server Maintenance Správné nastavení na této záložce dokáže zajistit, že databáze na straně ERA serveru bude automaticky udržována v optimálním stavu. Při standardním nastavení jsou automaticky odstraňovány záznamy starší šesti měsíců, přičemž každých 15 dní je uplatněna funkce compact & repair. Přehled jednotlivých voleb: Only keep the latest X threats for each client Ponechat pouze posledních X incidentů pro každého klienta. Only keep the latest X firewall logs for each client Ponechat pouze posledních X záznamů týkajících se firewallu pro každého klienta. 26

27 Only keep the latest X events for each client Ponechat pouze posledních X událostí pro každého klienta. Only keep the latest X scan logs for each client Ponechat pouze posledních X protokolů o skenování pro každého klienta. Delete clients not connected for the last X months (days) Odstranit klienty, kteří se nepřipojili k ERAS více než X měsíců (dní). Delete threat logs older than X months (days) Smazat incidenty starší než X měsíců (dní). Delete firewall logs older than X months (days) Smazat záznamy týkající se firewallu starší než X měsíců (dní). Delete event logs older than X months (days) Smazat události starší než X měsíců (dní). Delete scan logs older than X months (days) Smazat protokoly o skenování starší než X měsíců (dní) Logging ERAS vytváří během chodu protokol (Log filename) o činnosti s nastavitelnou úrovní detailů (Log verbosity). V případě textového výstupu (Log to text file) lze zajistit rotování protokolu při velikost větší než X MB (Rotate when greater than X MB) a mazání protokolů starších než X dní (Delete rotated logs older than X days). Část Log to OS application log zajistí zápis informací do systémového protokolu událostí (v Ovládacích panelech Windows). Funkce Database Debug Log by měla za normálních okolností zůstat zcela vypnutá. Textový protokol je standardně umístěn v souboru %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\logs\era.log V části Log to text file doporučujeme ponechat Log verbosity na úrovni Level 2 Above + Session Errors a zvyšovat ji až při případných problémech a po konzultaci s technickou podporou ESET Replication Význam a funkce replikace již byl zmíněn v rámci popisu serverové části řešení ESET Remote Administrator (využívá se v rozsáhlejších sítích při instalaci několika ERA serverů, např. na jednotlivé pobočky společnosti). Dialog s nastavení replikace je rozdělen do dvou částí. Replication to settings Replication from settings Část Replication to settings je potřeba nastavit pro podřízené ERA servery. U takových ERAS musí být povolena volba Enable to replication a uvedena IP adresa nebo název nadřízeného ERA serveru (Upper server), na který se budou data replikovat. Část Replication from replication je důležitá pro nadřízené ERA servery, které přijímají data od podřízených ERAS, popř. je předávají k dalším nadřízeným. U takových ERAS musí být povolena volba Enable from replication a definovány názvy podřízených ERA serverů (při jejich větším počtu je lze oddělit čárkou). Pro ERA servery, které se nacházejí uprostřed hierarchie (tj. mají pod sebou podřazené servery a nad sebou nadřazené) musí mít povoleny obě části. Všechny tyto situace dokonale popisuje následující příklad. Béžová PC představují jednotlivé ERA servery. Pod každým serverem je uveden název ERAS (v praxi může jít i pouhý název daného PC computername, bez určení domény) a část dialogu replikace včetně potřebného nastavení. 27

28 Další nastavení již pouze ovlivňuje chování replikace: Replicate threat log, Replicate firewall log, Replicate event log, Replicate scan log Vždy dochází k replikaci informací, které jsou na záložkách Clients, Threat Log, Firewall Log, Event Log, Scan Log, Tasks vypisovány do sloupců na jednotlivých řádcích. Kromě toho ale existují informace, které nejsou uschovány fyzicky přímo v databázi, ale zvlášť na bázi samostatných textových souborů (se strukturou textových nebo XML souborů). Právě tyto volby ovlivňují, zda se mají v rámci replikace přenášet i tyto pomocné informace. Automatically replicate threat log details, Automatically replicate scan log details, Automatically replicate client details To jestli se tyto pomocné informace (souvisí s předchozím bodem) mají přenášet v rámci replikace zcela automaticky a nebo až na vyžádání administrátora (viz. význam tlačítek Request) rozhodují tyto volby. Nabízí se otázka, proč se řeší automatická replikace vs replikace na vyžádání pouze u podrobnějších logů a klientských konfigurací. Právě tyto informace mohou být v některých případech velice rozsáhlé a zároveň nemusí být stěžejní. Dokonalým příkladem může být protokol o skenování pevného disku C:, kdy je povoleno protokolování všech souborů (tedy i neinfikovaných). Pokud i přesto potřebuje administrátor do takových informací nahlédnout, nabízí se volba Request Updates Přes tuto záložku lze spravovat nastavení funkce Mirror integrované do prostředí ESET Remote Administrator (resp. ERAS). Jde tak o alternativu k funkci Mirror přímo v řešení ESET Smart Security Business Edition a ESET NOD32 Antivirus Business Edition. Update server UNC cesta nebo URL adresa aktualizačního serveru. Ve většině případů stačí ponechat hodnotu AUTOSELECT, která zajistí automatický výběr aktualizačního serveru společnosti ESET. Update interval Četnost aktualizací v minutách (doporučujeme ponechat 60 minut). Update user name Uživatelské jméno pro autorizaci k serveru. Update password Uživatelské heslo pro autorizaci k serveru. 28

29 Update now Vyvolá proces aktualizace okamžitě. Create update mirror Pokud je povoleno, do adresáře Folder to store mirrored files budou ukládány aktualizace pro ostatní klienty v síti, přičemž povolením Provide update files via internal HTTP server budou nabízeny skrze interní web server (protokol HTTP) na uvedeném portu (HTTP server port - standardně 2221). Authentication Umožňuje nastavit způsob autorizace klientů vůči ERA serveru. Volba NONE umožní připojení libovolného klienta k HTTP serveru. Metodou Basic lze zabezpečit autorizaci využívající kódování base64. Metoda NTLM je komplexnější metodou autorizace. Při autorizaci se na ERA serveru ověřuje existence uživatelského účtu, který je na straně klienta nastaven v podobě uživatelského jména / hesla pro přístup k aktualizačnímu serveru. Pro správnou funkčnost Mirror je potřeba v rozšířeném nastavení určit, které komponenty se mají z aktualizačního serveru stahovat, včetně určení jazykových verzí. Je nutné, aby Mirror server dokonale pokryl potřeby všech klientských řešení ESET Other Settings SMTP settings (Server, Sender address, Username, Password) Některé činnosti v ESET Remote Administrator vyžadují nastavení SMTP serveru. SMTP server je nutný v případě vzdálené instalace prostřednictvím elektronické pošty a při generování reportů, které mají být odesílány ve formě u. Allow new client Pokud není tato volba povolena, přehled klientů na záložce Clients je považován za konečný a i v případě komunikace dalších (nových) klientů s ERAS nebude takový klient na záložku doplněn. Automatically reset New flag by new clients Pokud je volba aktivní, automaticky je odstraněn příznak New u prvně přihlášených klientů k ERAS. Více v kapitole o záložce Clients. Ports (Console, Client, Replication port of this server, Eset Remote Installer) Určuje porty, na kterých bude ERAS poslouchat a čekat na komunikaci navázanou: - konzolí (Console, standardně TCP 2223), - klientem (Client, standardně TCP 2222), - replikačním procesem (Replication port, standardně TCP 2846), - agentem při vzdálené instalaci (Eset Remote Installer, standardně TCP 2224). Enable ThreatSense.Net data forwarding to ESET servers Pokud je povoleno, ERAS bude přeposílat podezřelé soubory a statistické informace z klientů na servery ESET. V některých případech nelze zajistit, aby tyto informace odcházely do společnosti ESET přímo z klientů. Edit Advanced Settings... Jmenované tlačítko vyvolá konfigurační editor ESET, kde je možné definovat další nastavení ERAS 29

30 5.. Úlohy Prostřednictvím produktu ESET Remote Administrator lze klientům zasílat tzv. úlohy. Tyto se zrealizují v momentě, kdy stanice naváže s ERA serverem komunikaci (TCP, port 2222) v pravidelném intervalu 5 minut Momentálně jsou dostupné tři druhy úloh: Configuration úloha pro změnu konfigurace klienta, On-Demand Scan úloha pro vykonání on-demand kontroly, Update Now úloha pro vynucení aktualizace. Průvodce vytvářením úlohy lze vyvolat z ERA konzole kombinací kláves CTRL-N, z menu File / New Task..., přes lištu s ikonami, nebo z kontextového menu u konkrétní stanice (v posledním jmenovaném případě může být vynecháno několik úvodních dialogů pro kompletní nastavení doporučujeme preferovat jiné metody vyvolání průvodce). Obrázek 8 ERA nabízí tři druhy úloh Úloha typu Configuration Při vyvolání tohoto typu úlohy je potřeba v prvním kroku vytvořit (tlačítko Create...), popř. vybrat existující (Select...) XML soubor s konfigurací, kterou chceme na vzdálených klientech aplikovat Konfigurace ve formátu XML jsou vzájemně kompatibilní bez ohledu na jejich původ. Lze tak uplatnit např. konfiguraci přidruženou k instalačnímu balíku, vyžádanou z klientského řešení, popř. ručně vyexportovanou lokálně (např. z řešení ESET Smart Security). Nastavení konfigurace probíhá prostřednictvím konfiguračního editoru, který je popsán v samostatné kapitole. Doporučujeme se zaměřit především na barevné odlišení malých symbolů před každým atributem mají velký význam. Načtenou konfiguraci si je možné prohlédnout (tlačítko View), popř. upravit (tlačítko Edit). Tlačítko Create from Template... (vytvořit ze šablony) umožňuje načíst již existující XML konfiguraci a použít ji jako podklad pro novou konfiguraci. Načtená šablona zůstane i v případě provedení změn v neměnném stavu. V dalším kroku je potřeba vybrat klienty (samostatně, na úrovni skupin nebo serverů), na kterých se má XML konfigurace aplikovat (ty, co jsou v části Selected items ). Tlačítkem Add Special... a následně Add lze do tohoto seznamu přemístit aktuálně zobrazené klienty ze záložky Clients (volba Add clients loaded in the Clients pane), popřípadě pouze označené klienty (Only selected). V závěrečném kroku lze úlohu pojmenovat (Name), popř. doplnit popisek (Description). Tyto údaje slouží pouze pro pozdější snazší orientaci administrátora na záložce Tasks. Zároveň je možné vykonání úlohy odložit (Apply task after), popř. zajistit, aby se ze záložky Tasks automaticky odmazala jakmile bude úspěšně dopravena na cílové klienty (Delete tasks automaticaly by cleanup if successfully completed). 30

31 5..2 Úloha typu On-Demand Scan Při vyvolání tohoto typu úlohy je nejprve nutné specifikovat, jakých klientů se bude úloha týkat (z technických důvodů rozděleno samostatně pro verzi 2.x a 3.x a řešení pro Linux). Pokud administrátor nastaví vlastnosti pro On-demand Scan task for Windows NOD32 i On-demand Scan task for Windows Eset Security Product, pak lze tutéž úlohu uplatnit pro starší i novější verze klientských řešení ESET zároveň. Volbou Exclude this section from On-Demand Scan lze toto potlačit. V případě klientského řešení na verzi 2.x je potřeba nastavit On-demand Scan task for Windows NOD32 a pokračovat takto: Vybrat název profilu, který se při skenování uplatní na straně klienta (Profile name) ručně lze definovat vlastní název, jenž se nenachází v seznamu. Vybrat disky, kterých se má kontrola týkat (Drives to scan). V případě potřeby doplnit, popř. pozměnit konfiguraci profilu, vybraného v prvním bodě (tlačítko Edit). Pokračovat tlačítkem Další a vybrat klienty, na které bude test aplikován. Dokončit průvodce (shodné s úlohou pro změnu konfigurace). On-demand skenování na straně klienta proběhne s tím, že se uplatní nastavení vybraného profilu na daných klientech + nastavení připojené XML konfigurace (tlačítko Edit). Ke změně nastavení profilu na klientovi dochází jen DOČASNĚ v rámci dané kontroly. Volba Scan without cleaning je adekvátní tlačítkům Detekce (volba Scan without cleaning povolena) / Léčení (volba Scan without cleaning zakázána) v modulu NOD32 řešení ESET NOD32 pro Windows 2.x. V praxi je rozdíl následující: Scan without cleaning povoleno: kontrola proběhne v režimu, kdy je vytvořen pouze protokol a s případnou infekcí není nijak naloženo. Scan without cleaning zakázáno: kontrola proběhne s přihlédnutím na nastavení akcí, které se mají uplatnit při nalezení léčitelné a neléčitelné infekce. Pokud se na klientech nachází řešení ve verzi 3.x (ESET Smart Security, ESET NOD32 Antivirus), pak lze vybrat variantu On-demand Scan task for Windows Eset Security Product a pokračovat následovně: Vybrat název profilu, který se při skenování uplatní na straně klienta (Profile name) ručně lze definovat vlastní název, jenž se nenachází v seznamu. Vybrat oblasti skenování, kterých se má kontrola týkat (Drives to scan), popř. definovat vlastní cesty (Add path). Pokračovat tlačítkem Další a vybrat klienty, na které bude test aplikován. Dokončit průvodce (shodné s úlohou pro změnu konfigurace) Úloha typu Update Now Při vyvolání tohoto typu úlohy je nejprve nutné specifikovat, jakých klientů se bude úloha týkat (z technických důvodů rozděleno samostatně pro verzi 2.x a 3.x a řešení pro Linux). Pokud administrátor nastaví vlastnosti pro Update Now task for Windows NOD32 i Update Now task for Windows Eset Security Product, pak lze tutéž úlohu uplatnit pro starší i novější verze klientských řešení ESET zároveň. Volbou Exclude this section from Update Task lze toto potlačit. Následující kroky jsou víceméně shodné: Vybrat název profilu, který se při aktualizaci uplatní na straně klienta (Profile name a přepínač Specify profile name) ručně lze definovat vlastní název, jenž se nenachází v seznamu. Obvykle není potřeba profil definovat (ponechat neaktivní volbu Specify profile name). Pokračovat tlačítkem Další. Dokončit průvodce (shodné s úlohou pro změnu konfigurace). Klientská řešení ESET (ESET NOD32 Antivirus, ESET Smart Security...) jsou standardně vybavena funkcí pro pravidelnou automatickou aktualizaci. Úloha typu Update Now je tak pouze doplňkovou a jednorázovou funkcí. 31

32 6.. Instalace klientských řešení ESET Tato kapitola bude věnována instalaci (ať už přímé či vzdálené) klientských řešení ESET pro operační systémy Microsoft Windows. Doporučujeme vzdálenou instalaci využívat pouze k instalaci řešení ESET na stanice a nikoliv servery i když je to technicky možné Parametry příkazové řádky klientských řešení ESET Existuje řada parametrů, kterými lze průběh instalace ovlivnit. Tyto parametry lze použít během přímé instalace, kdy je administrátor fyzicky přítomen u takových stanic, avšak i v případě vzdálené instalace. Pak jsou tyto parametry určeny předem během tvorby instalačních balíčků a během instalace jsou na stanici vnuceny automaticky. Parametry ESET Smart Security a ESET NOD32 Antivirus - tyto lze zapisovat za instalační.msi soubor (např. ea_nt64_enu.msi /qn): /qn Tichý režim instalace bez zobrazení dialogových oken. /qb! Uživatel nemá možnost instalaci ovlivnit, avšak její průběh je znázorněn progressbarem (stav instalace v %). REBOOT="ReallySuppress" Zakáže restart PC po dokončení instalace. REBOOT="Force" Vynutí restart PC po dokončení instalace. REBOOTPROMPT ="" Na provedení restartu po dokončení instalace se dotáže (nemůže být použito dohromady s /qn). ADMINCFG= path_to_xml_file Při instalaci bude použito XML nastavení řešení ESET z definovaného souboru. Při vzdálené instalaci není potřeba tento parametr používat. Instalační balík obsahuje vlastní XML konfiguraci, která bude automaticky při instalaci vnucena. Parametry pro starší řešení ESET NOD32 pro Windows ve verzi 2.x - tyto lze zapisovat za soubor SETUP.EXE, který lze spolu s ostatními získat extrakcí instalačního souboru (např. setup.exe /silentmode): /SILENTMODE Tichý režim instalace bez zobrazení dialogových oken. /FORCEOLD Případnou reinstalaci provede i v případě, že právě instalovaná verze bude starší než stávající. /CFG= path_to_xml_file Při instalaci bude použito XML nastavení řešení ESET z definovaného souboru. Při vzdálené instalaci není potřeba tento parametr používat. Instalační balík obsahuje vlastní XML konfiguraci, která bude automaticky při instalaci vnucena. /REBOOT Vynutí restart PC po dokončení instalace. /SHOWRESTART Na provedení restartu po dokončení instalace se dotáže. /INSTMFC Doinstaluje potřebné MFC knihovny na operační systém Microsoft Windows 9x. Parametr může být použít vždy, i když jsou MFC knihovny k dispozici Metody instalace Přímá instalace s předdefinovanou XML konfigurací Při tomto způsobu je klientské řešení ESET instalováno za fyzické přítomnosti administrátora u stanice. Tento způsob instalace nevyžaduje žádnou větší přípravu a je vhodný především v malých počítačových sítích, popř. tam, kde není k dispozici produkt pro centrální správu ESET Remote Administrator. I tuto manuální práci lze částečně zpříjemnit tím, že klientské řešení ESET bude po instalaci nastaveno podle předem dané XML konfigurace. Bez dalších úprav tak bude rovnou nastaven např. aktualizační server (jméno / heslo, cesta k Mirror serveru...), tichý režim, pravidelná kontrola pevného disku atd. 32

33 Použití XML konfigurace je odlišné pro verze 3.x a 2.x řešení ESET: Verze 3.x: Z webových stránek ESET stáhneme instalační soubor (např. ess_nt32_enu.msi). Do adresáře se staženým MSI balíčkem dokopírujeme XML konfiguraci z konfiguračního editoru ESET pod názvem cfg.xml. Při zahájení instalace (spuštění MSI balíčku) bude automaticky převzato nastavení z cfg.xml. V případě, že by se konfigurační XML jmenoval odlišně, popř. byl umístěn v jiné složce, lze použít parametr ADMINCFG= cesta_k_xml_souboru (např. ess_nt32_enu.msi ADMINCFG= \\server\xml\settings.xml pro použití konfigurace ze síťového disku). Verze 2.x: Z webových stránek ESET stáhneme instalační soubor (např. ndntczst.exe). Stažený soubor rozbalíme pomocí aplikace WinRAR. Vznikne tak adresář s řadou souborů, v němž bude figurovat i setup.exe. Do tohoto adresáře umístíme XML konfiguraci pojmenovanou jako nod32.xml. Při zahájení instalace (spuštění setup.exe) bude automaticky převzato nastavení z nod32.xml. V případě, že by se konfigurační XML jmenoval odlišně, popř. byl umístěn v jiné složce, lze použít parametr /cfg= cesta_k_xml_souboru (např. setup.exe /cfg= \\server\xml\settings.xml pro použití konfigurace ze síťového disku). Při tomto způsobu instalace lze využít i další parametry uvedené v předchozí kapitole Obecně o vzdálené instalaci Řešení ESET Remote Administrator nabízí několik metod vzdálené instalace. Lze též hovořit o způsobu distribuce instalačního balíku na cílovou stanici: vzdálená push instalace, vzdálená instalace prostřednictvím logon skriptu, vzdálená instalace prostřednictvím u. Není se ale potřeba omezovat pouze na nástroje ERA v případě použití jiných řešení pro vzdálenou instalaci (např. instalace MSI balíčaků v rámci doménových politik, LANDesk...). Ve výsledku jde pouze o způsob, jakým bude dopraven instalační soubor (popř. agent) na stanici a jakým způsobem bude zajištěno jeho spuštění s právy administrátora. Je tak nakonec možné, že bude pro vzdálenou instalaci použitelná i metoda přímé instalace popsána v předchozí části. Vzdálené instalaci prostřednictvím ESET Remote Administrator se skládá z těchto kroků: tvorba instalačního balíku s názvem X, distribuce instalačního balíku X na stanice (push, logon skript, , externí řešení). Tvorba instalačních balíků se realizuje skrze ERAC, avšak fyzicky jsou balíky ve většině případů uloženy přímo na ERA serveru, konkrétně v: %ALLUSERSPROFILE%\Data aplikací\eset\eset Remote Administrator\Server\packages Tvorba instalačních balíků v prostředí ERA konzole je zajištěna tlačítkem Packages... v záložce Remote Install. 33

34 Obrázek 9 Dialog pro tvorbu instalačních balíčků. Každý instalační balík je identifikován názvem (Name, na obrázku v části 1). Další části dialogu souvisí s obsahem balíku, jenž bude automaticky uplatněn v momentě, kdy se daný balík podaří některou z cest dopravit na stanici. Obsahem balíku jsou/je tedy: instalační soubory (2) klientského řešení ESET, konfigurační XML soubor pro klientské řešení ESET (3), parametry příkazové řádky pro klientské řešení ESET (4). Roletka Type v části 1 pak značně rozšiřuje možnosti ERA. Kromě vzdálené instalace lze zajistit i vzdálenou deinstalaci (Uninstall Eset Security Products and NOD32 version 2) klientských řešení ESET, popř. vzdáleně instalovat zcela externí aplikace (Custom package). Z technických důvodů je rozdělena instalace starších řešení ESET (2.x) a 3.x do dvou samostatných typů. Ze stejného důvodu jsou rozděleny balíky i v adresáři packages na ERAS. Custom package nabízí široké možnosti využití, včetně deinstalace konkurečních bezpečnostních řešení (při použití vhodné dávky příkazů). Ke každému balíku automaticky vzniká tzv. ESET Remote Installer, tj. agent, jehož úkolem je zajistit hladký průběh instalace a komunikaci mezi cílovou stanicí a ERAS. Po technické stránce jde o krátký soubor einstaller.exe, v němž je pevně zapsán název ERA serveru, název a typ instalačního balíku, ke kterému se váže. Přesný význam agenta je zmíněn v následujících kapitolách Push metoda vzdálené instalace Při použití této metody vzdálené instalace dochází k okamžitému natlačení klientského řešení ESET na cílovou stanici. Stanice tak musí být v danou chvíli v provozu a musí být splněny tyto podmínky na straně klienta (další jsou v úvodní kapitole o ERAS): 34

35 provoz klienta sítě Microsoft (vlastnost síťového adaptéru), provoz služby sdílení souborů (vlastnost síťového adaptéru), výjimka na provoz služby sdílení souborů na případném firewallu, provoz služeb (services): Remote Registry Service, Remote Service Manager, Server, znalost přihlašovacího jména / hesla uživatele s právy administrátora na cílových stanicích (ideální je znalost jména / hesla doménového administrátora). Průběh push instalace je následující: 1) V ERAC je potřeba zvolit volbu Install... (záložka Remote Install). 2) V levé části dialogu vybereme stanice, na které chceme metodou push nainstalovat klientské řešení ESET a tyto přesuneme do pravé části (metodou drag & drop). 3) V roletce Package vybereme název instalačního balíku, který má být metodou push dopraven a nainstalován na cílovou stanici. 4) V pravé části označíme stanice, na které má být vzdálená instalace uplatněna. 5) Stiskneme tlačítko Install (tlačítkem Get Info si lze ověřit současnou situaci na vybraných klientech). 6) Ve většině případů budeme nyní dotázáni na jméno / heslo účtu, pod kterým bude instalace provedena (musí jít o účet, který má na cílové stanici práva administrátora, tj. ideálně účet doménového administrátora). 35

36 7) O dalším průběhu instalace jsme informováni textovou zprávou a stavovým indikátorem. Ve skutečnosti dochází k následujícím činnostem. 8) ERAS zasílá na cílovou stanici prostřednictvím sdílení admin$ agenta einstaller.exe 9) Agent se zavádí jako služba pod definovaným účtem v bodě 6. 10) Agent navazuje zpětnou komunikaci s ERAS a na portu TCP 2224 zahajuje stahování instalačního balíku, k němuž se agent váže. 36

37 11) Agent tento balík instaluje pod účtem definovaným v bodě 6 a bere přitom ohled na XML konfiguraci a parametry příkazové řádky. 12) Jakmile je instalace dokončena, agent na tuto skutečnost taktéž upozorňuje. Některá řešení ESET mohou vyžadovat restart PC. Toto je taktéž ve zprávě zohledněno. V dialogu push instalace je možné vyvolat pravým tlačítkem myši kontextové menu: Get Info Tato funkce zjistí současný stav řešení ESET na vybraných stanicích (opět bude potřeba zadat jméno / heslo administrátora). Po technické stránce je opět použito sdílení admin$. Uninstall Opačný postup instalace, kdy se agent pokusí vzdáleně řešení ESET odinstalovat. V režimu Uninstall není brán ohled na vybraný instalační balík v roletce Package. Diagnostics Zjistí dostupnost klienta a služeb, které mohou být využity při vzdálené instalaci. Více v kapitole Diagnostika průběhu vzdálené instalace. Remove Installer Leftovers Na cílových klientech odregistruje agenty (einstaller.exe) ze správce služeb a odstraní je z disku. Pokud je tato činnost úspěšná, dojde zároveň k odstranění značky bránící opakované instalaci daného balíku (více v kapitole Obrana před opakovanou instalací ). Logon... Dialog pro zadání jména / hesla administrátora se v případě potřeby zobrazí automaticky (bod 6). Tímto lze zobrazení dialogu vynutit okamžitě a k vybraným stanicím se přihlásit. Logoff Odhlášení se od vybraných stanic. Add Client... Touto volbou lze přidávat manuálně jednotlivé klienty (stanice) zadáním jejich IP adresy nebo názvu. Nabízí se možnost přidání několika klientů současně Vzdálená instalace prostřednictvím logon skriptu / u Tyto metody vzdálené instalace jsou velmi podobné. Liší se pouze ve způsobu, jakým je na cílovou stanici dopraven agent einstaller.exe. Řešení ESET Remote Administrator nabízí dopravu skrze logon skript nebo , popř. dovoluje získat einstaller.exe a použít ho vlastní cestou (blíže v další kapitole). Zatímco logon skript se spouští automaticky při každém přihlášení uživatele (tedy proběhne automaticky i případná instalace řešení ESET), v případě u je potřeba zásahu uživatele, který musí pro zahájení instalace spustit einstaller.exe v příloze. Pokud je tentýž einstaller.exe spouštěn opakovaně, nedojde k opakované instalaci řešení ESET. Více v kapitole Obrana před opakovanou instalací. Řádek volající einstaller.exe z logon skriptu lze vložit libovolným textovým editorem. Stejně tak einstaller.exe lze zaslat v příloze u libovolným poštovním klientem. V těchto případech je nutné pouze získat soubor einstaller.exe ze správného instalačního balíku. Není tak nutností použít níže popsané postupy. Při spuštění einstaller.exe není nezbytně nutné, aby měl přihlášený uživatel práva administrátora. Agent dokáže jméno / heslo / doménu administrátora převzít z ERAS. Více na konci této kapitoly. Vložení řádku (cesty k einstaller.exe) do logon skriptu: Na záložce Remote Install stiskneme tlačítko Export... Vybereme typ balíku (Type) a název balíku (Package), který má být instalován. Tlačítkem... u řádku Folder vybereme adresář, kam bude einstaller.exe umístěn a tento následně nabízen v rámci sítě. V řádku Share je potřeba ověřit správnost síťové cesty, popř. ji pozměnit. Tlačítkem... v řádku Script Folder vybereme adresář, kde se logon skript nachází, popř. ještě upravíme masku 37

38 (Files). Ve spodní části označíme soubor, kam má být řádek volající einstaller.exe vložen. Stiskneme Export to Logon Script tímto se řádek vloží. Umístění řádku lze změnit tlačítkem Edit v jednoduchém interním editoru a změny uložit tlačítkem Save. Obrázek 10 Dialog Export Installer to Folder / Logon Script. Vložení agenta (einstaller.exe) do přílohy u: Na záložce Remote Install stiskneme tlačítko ... Vybereme typ balíku (Type) a název balíku (Package), který má být instalován. Tlačítkem To... vybereme ové adresy cílových stanic z adresář 7 (popř. je nadefinujeme ručně). V řádku Subject nastavíme předmět ové zprávy. Do pole Body vložíme text těla zprávy. Tlačítkem Send zprávu odešleme 8. Obrázek 11 Dialog Send Eset Installer Via . 7 ERA konzole načte adresář z aplikace Microsoft Outlook a to pouze za předpokladu, že je na PC s ERAC využíván. 8 Při této operaci je použito nastavení SMTP na straně ERA serveru. 38

39 Během samotného průběhu vzdálené instalace dochází ke zpětné komunikace s ERAS a agent (einstaller.exe) přebírá nastavení ze záložky Remote Install Set Default Logon for and Logon Script. Tlačítkem Logon... je potřeba předem nastavit jméno / heslo (doménu) účtu, pod kterým bude instalace balíku provedena. Musí jít o účet s právy administrátora z pohledu koncových stanic. Ideální je tak účet doménového administrátora. Hodnoty zadané po stisku tlačítka Logon... se zapomenou s každým restartem služby ERAS Vzdálená instalace vlastní cestou Využívat k instalaci přímo nástroje integrované v ESET Remote Administrátor není nutností. Vždy jde jen o způsob, jakým bude agent (einstaller.exe) dopraven a spuštěn na cílové stanici. Při spuštění einstaller.exe není nezbytně nutné, aby měl přihlášený uživatel práva administrátora. Agent dokáže jméno / heslo / doménu administrátora převzít z ERAS. Více na konci této kapitoly. einstaller.exe lze získat následovně: Na záložce Remote Install stiskneme tlačítko Export... Vybereme typ balíku (Type) a název balíku (Package), který má být instalován. Tlačítkem... u řádku Folder vybereme adresář, kam bude einstaller.exe vyexportován. Stiskneme tlačítko Export to Folder.. Využijeme einstaller.exe dle potřeb. Pokud lze zajistit administrátorská práva během spouštění einstaller.exe, lze jako metodu vzdálené instalace uplatnit i přimou metodu instalace s předdefinovanou XML konfigurací. Stačí jen použít parametr /qn (verze 3.x) nebo /silentmode (verze 2.x). Během samotného průběhu vzdálené instalace dochází ke zpětné komunikace s ERAS a agent (einstaller.exe) přebírá nastavení ze záložky Remote Install Set Default Logon for and Logon Script. Tlačítkem Logon... je potřeba předem nastavit jméno / heslo (doménu) účtu, pod kterým bude instalace balíku provedena. Musí jít o účet s právy administrátora z pohledu koncových stanic. Ideální je tak účet doménového administrátora. A jaký je průběh vzdálené instalace, kdy je agent einstaller.exe spuštěn manuálně na cílové stanici? Agent einstaller.exe zašle požadavek na ERAS (TCP 2224). ERAS zahájí v podstatě push instalaci provázaného balíku (zašle ho skrze share admin$) 9. Je zahájena instalace balíku s přidruženou XML konfigurací, parametry příkazové řádky pod účtem, který byl definován na straně ERAS tlačítkem Logon Agent einstaller..exe v detailech Ke každému balíku automaticky vzniká tzv. ESET Remote Installer, tj. agent, jehož úkolem je zajistit hladký průběh instalace a komunikaci mezi cílovou stanicí a ERAS (cílový port TCP 2224). Po technické stránce jde o krátký soubor einstaller.exe, v němž je pevně zapsán název ERA serveru (+IP adresa ERAS), název a typ instalačního balíku. Vzdálená instalace s využitím einstaller.exe tak probíhá dvoufázově. Nejprve je na cílovou stanici dopraven právě 9 Agent v tento okamžik čeká na odpověď ERAS (posílá balík skrze share admin$). Pokud k odpovědi nedojde (timeout), pokusí se o stažení instalačního balíku přímo agent (přímé TCP/IP spojení na portu 2224). V takovém případě není přeneseno jméno / heslo administrátora definované tlačítkem Logon... na straně ERAS a dochází k pokusu o instalaci pod aktuálně přihlášeným uživatelem. Při instalace na systémech Microsoft Windows 9x / Me dochází rovnou k přímému navázání TCP/IP spojení ze strany agenta. 39

40 krátký einstaller.exe (okolo 200 kb) a pokud jsou splněny veškeré podmínky, až poté je z ERAS agentem vyžádán celý instalační balík o velikosti několika MB. Veškerou činnost protokoluje einstaller.exe do souboru %TEMP%\einstaller.log a pokud je to technicky možné, tak i zpětně na ERA server (cílový port TCP 2224). Pokud je einstaller.exe spuštěn na stanici s operačním systémem Microsoft Windows NT4 / 2000 / XP / Vista, průběh je následující: 1. einstaller.exe kontaktuje ERAS na portu TCP 2224 a přebírá jméno / heslo definované na straně ERAS (během push instalace, nebo tlačítkem Logon...). 2. ERAS toto bere jako signál pro zaslání instalačního balíku skrze admin$. 3. Čekající einstaller.exe přebírá tento balík a zahájí jeho instalaci pod definovaným účtem s využitím předdefinovaných parametrů příkazové řádky a XML konfigurace. Pokud jsou oprávnění zadaného účtu (resp. jména / hesla) nedostatečná, popř. údaje uvedeny chybně (tj. dojde k timeoutu při čekání na balík v bodě 3), pokusí se einstaller.exe provést instalaci pod účtem právě přihlášeného uživatele (za předpokladu, že má práva administrátora). Instalační balík pak stahuje přímo einstaller.exe po protokolu TCP/IP (port 2224). Pokud je einstaller.exe spuštěn na stanici s operačním systémem Microsoft Windows 95 / 98 / Me, kde neexistují žádné rozdíly v oprávnění účtů, je instalační balík rovnou stažen procesem einstaller.exe a instalován pod přihlášeným uživatelem Obrana před opakovanou instalací Jakmile agent úspěšně zprostředkuje proces vzdálené instalace, zapíše na cílovou stanici značku, která zabrání opakované instalaci shodného instalačního balíku. Značka je zapsána do registrů, konkrétně do větve HKEY_LOCAL_MACHINE\Software\Eset\Eset Remote Installer Jakmile souhlasí typ balíku a název balíku zapsaný v einstaller.exe (agent) s údaji v uvedené větvi registrů, einstaller.exe instalaci nevykoná. Je tak zabráněno opakované reinstalaci na cílovou stanici při opakovaném spuštění einstaller.exe. Při push instalaci je tato větev v registrech ignorována. Další úroveň obrany před opakovanou instalací zajišťuje samotný ERA server a k vyhodnocení tak dochází v momentě, kdy agent navazuje zpětnou komunikaci s ERAS (TCP 2224). Pokud je k cílové stanici veden chybový záznam, popř. záznam o úspěšné instalaci, který souvisí se shodným názvem a typem balíku, bude opakovaná instalace taktéž odmítnuta. Agent v takovém případě hlásí chybu (prostřednictvím protokolu %TEMP%\einstaller.log): Status 20001: Eset Installer was told to quit by the server X:2224. Aby ERAS nebránil opakované instalaci, je potřeba odstranit související záznamy v záložce Remote Install. Toho lze docílit pravým tlačítkem myši a volbou Clear z kontextového menu Chybové stavy během instalace Při vzdálené instalaci mohou chyby vznikat ve dvou fázích: 40

41 při dopravě samotného agenta einstaller.exe na cílovou stanici, při zavedení služby einstaller.exe a samotném procesu instalace. Ve fázi přenosu agenta einstaller.exe na cílovou stanici (typicky při push instalaci) může dojít k chybovým stavům, které jsou opatřeny SC a GLE kódem. Příkladem např.: Could not set up IPC connection to target computer (SC error code 6, GLE error code 1326) Zatímco SC kódy jsou spíše interní záležitostí pro snazší dohledání problému v kódu, pro uživatele jsou zajímavé GLE kódy. Jde o klasické Win32 Error Codes, jejichž soupis lze najít například na stránkách: V tomto konkrétním případě znamená GLE chyba 1326 to, že bylo zadáno neznámé uživatelské jméno / heslo účtu, pod kterým má vzdálená instalace proběhnout. Zcela základní je GLE chyba 5 Access Denied. Za touto chybou může stát minimálně: Firewall na straně stanice, který nemá povolenu výjimku pro sdílení souborů a tiskáren. Zakázána služba Server, popř. sdílení souborů a tiskáren na síťovém adaptéru. Klientské stanice Windows XP mimo doménu (policy) 10. Pokud jde o chyby ve fázi, kde je již agent einstaller.exe dopraven na cílovou stanici, pak jsou zaznamenány do protokolu %TEMP%\einstaller.log přímo na stanici a nejvýznamnější též zpětně zaslány na ERA server (TCP 2224). To samozřejmě pouze v případě, že problém není zrovna v komunikaci mezi stanicí a ERAS. V uvedené fázi se často zobrazují hlášení typu: Eset Installer was told to quit by the server X:2224. Eset Installer could not connect to server X. První hlášení je popsáno v kapitole o ochraně před opakovanou instalací. V druhém případě pak jde o obecný problém, kdy se není proces einstaller.exe schopen zpětně připojit k ERAS (firewall?) Diagnostika průběhu vzdálené instalace V dialogu pro Push instalaci (záložka Remote Install > tlačítko Install...) se nabízí tlačítko Diagnostics, které prověří veškeré procedury, které jsou nutné pro úspěšnou vzdálenou instalaci. Lze tak ještě před samotnou vzdálenou instalací odhalit případné problémy, popř. si nechat upřesnit místo, kde k problému dochází. Obrázek 12 Diagnostika dokáže předem odhalit možné problémy. 10 Obecně nebude vzdálená instalace na stanice mimo doménu příliš pohodlná. V případě Windows XP je např. potřeba zakázat volbu Použít zjednodušené sdílení souborů v Ovládacích Panelech / Možnosti složky. 41

42 7.. Praktické ukázky nasazení řešení ESET Remote Administrator, Mirror serveru a klientských řešení ESET 7..1 Menší síť 1x ERAS, 1x Mirror server Předpokládejme, že veškeré stanice a notebooky (dále jen klienti) se nacházejí v doméně, přičemž na klientech jsou v provozu operační systémy Microsoft Windows 2000 / XP / Vista. Od serveru pojmenovaného jako GHOST se očekává nonstop provoz a je přitom jedno, zda jde o Windows edici workstation/professional nebo server (zároveň nezáleží, zda jde/nejde o Active Directory Server). Zároveň předpokládejme, že notebooky jsou v době instalace řešení ESET mimo firemní síť. Celkové schéma sítě pak může vypadat následovně: Obrázek 13 Schéma jednoduché firemní sítě Instalace ERA serveru Na server GHOST nainstalujeme ERA server. Během instalace bude potřeba vložit pouze licenční klíč, tj. soubor s příponou.lic, který zabezpečí chod ERAS na smluvené období. Po instalaci ERAS dojde k automatickému spuštění služby ERA serveru. O případné činnosti ERAS se lze přesvědčit v protokolu: %ALLUSERSPROFILE%\Data aplikací\eset\eset Remote Administrator\Server\logs\era.log Instalace ERA konzole Na PC / notebook administrátora (na schématu vlevo dole) nainstalujeme aplikaci ESET Remote Administrator Console. Na konci instalace můžeme rovnou uvést název ERA serveru (nebo IP adresu), ke kterému se bude konzole standardně hlásit. V našem případě tak uvedeme název GHOST. Po instalaci můžeme ERAC prvně spustit a vyzkoušet funkčnost připojení k ERAS (více informací v kapitole Připojení se k ERAS). Standardně není potřeba zadávat heslo, avšak doporučujeme ho do budoucna nastavit Konfigurace funkce Mirror Prostřednictvím ERA konzole lze na straně ERA serveru zároveň aktivovat funkci Mirror pro vytvoření lokálního 42

43 aktualizačního serveru. Postup je následující: Připojit se konzolí k ERA serveru. V menu Tools > Server Options... vybrat záložku Updates. Zde nastavit Update server (Choose automatically), Update interval (ponechat 60 minut), Update user name (zadat uživ. jméno licence, obvykle začíná znaky EAV-), Update password (tlačítkem Set Password... nastavit heslo dodané k licenčnímu jménu). Dále povolit Create update mirror, složku pro tvorbu Mirror ponechat, taktéž i HTTP server port (obvykle 2221) a autorizaci (NONE). V záložce Other Settings zvolit tlačítko Edit Advanced Settings... a ve větvi ERA Server > Setup > Mirror > Create mirror for the selected program components vybrat (tlačítko Edit v pravé části editoru) veškeré komponenty pro jazykovou verzi řešení ESET, která bude instalována na klienty (tj. obvykle vše spadající do czech ). Okamžité vytvoření Mirroru lze zajistit stiskem tlačítka Update now v záložce Updates Vzdálená instalace na stanice fyzicky ve firmě Za předpokladu, že jsou stanice v provozu, nabízí se jako vhodná metoda tzv. push instalace. Ještě před její aplikací bude nutné stáhnout ze stránek ESET instalační soubor řešení ESET Smart Security (.MSI soubor) a následně vytvořit instalační balík: Pomocí konzole ERA se připojíme k ERAS GHOST a na záložce Remote Install stiskneme tlačítko Packages... Tlačítkem Add... se dostaneme na další dialog, kde pomocí... v horní části vložíme dříve stažený MSI instalační soubor ESET Smart Security. Tlačítkem Create vložíme instalační soubor do vytvářeného balíku (může to chvilku trvat, jelikož definovaný MSI soubor musí být dopraven na ERA server). Na hlavním dialogu Installation Packages Editor pokračujeme stiskem tlačítka Edit, čímž zajistíme připojení XML konfigurace, která se později uplatní při použití tohoto instalačního balíku. V konfiguračním editoru se zaměříme především na následující větve: ESET Smart Security > Kernel > Setup > Remote administration, kde by mělo být nastavení podobné obrázku (název serveru může být definován IP adresou): 43

44 ESET Smart Security > Update > My profile > Setup, kde je potřeba nasměrovat stanice na Mirror server GHOST (lze definovat i jeho IP adresou): Toto je nutné minimum pro fungování stanic, resp. řešení ESET Smart Security dle požadavků. Můžeme tak nastavení uložit stiskem tlačítka Konzole v pravé části editoru. Na dialogu Installation Packages Editor stiskneme tlačítko Close, přičemž se konzole zeptá na název balíku. Zadejme např. stanice. Tímto je instalační balík vytvořen. Nyní můžeme přejit k samotnému procesu push instalace: stiskneme tak tlačítko Install... (záložka Remote Install) a postupujeme dle obecných instrukcích v předchozích kapitolách. Důležité je, aby byl vybrán balík stanice jak ukazuje obrázek: (stačí v levé části dialogu vybrat cílové stanice, přesunout do pravé části, označit je a vzdálenou push instalaci zahájit tlačítkem Install. Popř. současný stav ověřit tlačítkem Get Info) Vzdálená instalace na notebooky fyzicky mimo firmu Notebooky budou vyžadovat odlišný způsob vzdálené instalace, jelikož jsou fyzicky mimo firmu. Nabízí se tak instalace skrze logon skript voláním agenta einstaller.exe. Postup je následující: Pomocí konzole ERA se připojíme k ERAS GHOST a na záložce Remote Install stiskneme tlačítko Packages... V části Name vybereme instalační balík stanice. Stiskneme tlačítko Edit a změníme dříve vytvořenou XML konfiguraci. Tento krok provádíme z důvodu, že notebooky mají být schopné automatické aktualizace jak z Mirror serveru GHOST (pokud budou fyzicky ve firemní síti), tak i z serverů ESET (pokud budou mimo firemní síť). Nalistujeme větev ESET Smart Security > Update > My profile,přičemž na My profile klikneme pravým tlačítkem myši a z kontextového menu vybereme New profile... Nový profil nazveme jako notebook dle obrázku: 44

45 a nastavení uložíme tlačítkem OK. Ve stromové struktuře tak kromě profilu My profile vidíme i notebook. Právě do větve notebook se přemístíme a 3 atributy nastavíme dle obrázku: Volba AUTOSELECT se postará o aktualizaci přímo ze serverů ESET, přičemž taková aktualizace vyžaduje autorizaci prostřednictvím uživatelského jména / hesla (je tedy nutné zadat údaje získané při zakoupení licence). Nastavení nyní uložíme tlačítkem Konzole v pravé části konfiguračního editoru. V okně Installation Packages Editor stiskneme tlačítko Save as... a upravený instalační balík uložíme pod název notebooky. Okno Installation Packages Editor uzavřeme tlačítkem Close. Nyní je potřeba vložit agenta einstaller.exe balíku notebooky do logon skriptu. Postupovat lze například takto: V záložce Remote Install zvolíme tlačítko Export... V části Package nového okna vybereme instalační balík notebooky a tlačítkem... vybereme adresář, kam bude einstaller.exe umístěn. Tento adresář by měl být síťově dostupný při připojení notebooků do firemní sítě (resp. domény). Řekněme, že jde o adresář definovaný ve formě UNC cesty jako \\GHOST\share Stiskneme tlačítko Export to Folder a následně Close. Na záložce Remote Install nyní stiskneme tlačítko Logon... a nastavíme jméno a heslo (+doménu) administrátora domény, tedy účet, pod kterým vzdálená instalace proběhne. Nastavení uložíme a pomocí běžného konfiguračního editoru zajistíme spouštění příkazu \\GHOST\share\ einstaller.exe z logon skriptu. Nyní již je potřeba pouze doufat v brzké připojení notebooků do domény... 45

46 7..2 Pobočková síť 2x ERAS, 2x Mirror server Vycházejme z předchozího modelu, avšak přidejme jednu pobočku s několika klienty a serverem LITTLE. Řekněme, že se mezi centrálou a pobočkou nachází velice pomalá datová linka (VPN). V takovém případě se vysloveně nabízí instalace Mirror serveru taktéž na server pobočky (LITTLE) a pro komfort administrátora a nižší množství přenesených dat i instalace druhého ERA serveru. Obrázek 14 Schéma firemní sítě s centrálou a pobočkou Instalace na centrále Postup instalace ERAS, ERAC a klientů na centrále se od předchozího případu neliší. Změna nastává pouze v nastavení ERA serveru (GHOST), kde je potřeba povolit část Replicate from settings (prostřednictvím ERAC v menu Tools > Server Options... > Replication) a nadefinovat název (Allowed servers) podřazeného ERA serveru. V našem případě je to LITTLE. 46

47 7.2.2 Pobočka: Instalace ERA serveru Analogicky můžeme postupovat dle instalace ERA serveru z předchozího případu. Opět je ale potřeba povolit a nastavit replikaci prostřednictvím ERA konzole. Tentokrát je potřeba povolit volbu Enable to replication (menu Tools > Server Options... > Replication) a definovat název nadřízeného ERA serveru. Zřejmě nejednodušší bude definovat přímo IP adresu nadřízeného ERA serveru 11,v našem případě IP adresu serveru GHOST Pobočka: Instalace HTTP Mirror serveru Analogicky můžeme postupovat dle instalace Mirror serveru z předchozího případu. Změna nastává v místě, kde je definován zdroj, ze kterého budou aktualizace stahovány, definováno uživatelské jméno a heslo. Ze schématu je patrné, že zdrojem aktualizací pro pobočku nebudou servery ESET, nýbrž nadřazený Mirror server na centrále (tj. GHOST). Většinou tak bude potřeba zdroj aktualizací definovat následující URL adresou: ghost:2221 (popř. Uživatelské jméno / heslo není potřeba definovat vůbec, jelikož integrovaný HTTP web server v řešení ESET nevyžaduje standardně žádnou autorizaci Pobočka: Vzdálená instalace na klienty Opět lze postupovat podobně jako na centrále, ovšem veškerou činnost je vhodné provádět prostřednictvím ERAC připojené přímo k ERA serveru pobočky (LITTLE) Tímto se vyhneme případným problémům s překladem názvů na IP adresy mezi pobočkami (v závislosti na konfiguraci DNS). 12 V opačném případě by se instalační balíky musely dopravovat skrze pomalou VPN linku a celý komfort obsluhy by prudce klesl. 47

48 8.. Tipy & triky 8..1 Export a další využití současné XML konfigurace klienta Prostřednictvím konzole ERA lze na záložce Clients vybrat libovolného klienta a v kontextovém menu (klepnutím pravým tlačítkem myši) zvolit Configuration... Tlačítkem Save As... lze následně konfiguraci daného klienta vyexportovat do XML souboru 13.Takto získaný XML soubor s konfigurací lze dále využít: Při vzdálené instalaci, kde lze XML soubor použít jako šablonu předdefinované konfigurace. Při tvorbě takového balíku tak nevytváříme novou konfiguraci, ale tlačítkem Select... přiřadíme jmenovaný XML soubor. Při vytváření úlohy typu Configuration, kdy lze vybrané klienty dodatečně nastavit dle jmenovaného XML souboru (opět využijeme tlačítka Select... a nevytváříme novou konfiguraci). Nabízí se tak postup, kdy administrátor nainstaluje řešení ESET pouze na jednu vybranou stanici, konfiguraci provede přímo v klientském rozhraní a jakmile je vše ideálně nastaveno, provede export konfigurace do souboru.xml. Tento pak využije při vzdálené instalaci dalších stanic. Tento postup může být též užitečný při ladění pravidel firewallu, pokud bude později nastaven v režimu policy-based Nastavení aktualizace ze dvou zdrojů pro mobilní zařízení V případě mobilních zařízení lze uplatnit aktualizaci ze dvou různých zdrojů. Notebook může být nastaven například tak, že v případě selhání aktualizace z firemního Mirror serveru (notebook je fyzicky mimo firemní LAN síť) proběhne aktualizace přímo ze serverů společnosti ESET. Po technické stránce je nutné: vytvořit dva aktualizační profily, přičemž jeden bude stahovat aktualizace z Mirror serveru (dále bude takový profil prezentován pod názvem LAN) a druhý přímo ze serverů ESET (INET), vytvořit nebo upravit úlohu pro aktualizaci v plánovači úloh. Nastavení lze pochopitelně provést lokálně přímo na daném notebooku, avšak lze ho uplatnit i vzdáleně prostřednictvím konfiguračního editoru ESET. Toto nastavení lze vnutit již při vzdálené instalaci nebo kdykoliv později prostřednictvím úlohy typu Configuration. V konfiguračním editoru lze nové aktualizační profily vytvářet z kontextového menu po kliknutí na větev Aktualizace pravým tlačítkem myši. Výsledek úprav by měl vypadat následovně (jde pouze o ilustrativní příklad, skutečnost se může výrazně lišit). 13 XML soubor s konfigurací lze získat i jinými způsoby. Např. přímo z řešení ESET Smart Security, kde je export XML konfigurace taktéž nabízen. 48

49 Profil LAN se bude pokoušet o aktualizaci z (firemní Mirror server), zatímco INET ze serveru ESET (hodnota AUTOSELECT). Nyní je ještě potřeba nastavit, aby byly tyto profily volány automaticky prostřednictvím plánovače úloh. Toho lze docílit ve větvi Eset Smart Security > Kernel > Setup > Scheduler/Planner (popř. NOD32 version 2 > General > Setup / Scheduler/Planner) tlačítko Edit. Novou úlohu vytvoříme stiskem tlačítka Přidat. Následně je potřeba nastavit minimálně typ úlohy na Aktualizace, název úlohy (např. kombinovaná aktualizace ), interval aktualizace (doporučujeme opakovaně každou hodinu) a zcela na konci i název primárního a sekundárního profilu. Jelikož požadujeme, aby se notebook nejprve pokusil o aktualizaci z firemního Mirror serveru, primárním bude název LAN (uvedeme jako hodnotu pro Primární profil ) a sekundárním INET. Profil INET bude použit pouze při selhání aktualizace prostřednictvím profilu LAN. V praxi doporučujeme využít možnosti vyexportovat současnou XML konfiguraci klienta (více v předchozí kapitole) a výše uvedené úpravy provádět na exportovaném XML. Lze se tak vyvarovat duplicitám v plánovači úloh a nevyužitých profilů Odstranění existujících profilů Nedopatřením může dojít k tomu, že se na klientech vyskytnou nevyužité, nebo duplicitní profily (ať už pro kontrolu disku nebo aktualizaci). Pokud je chceme vzdáleně odstranit na více klientech a přitom nesjednotit ostatní specifické nastavení, lze postupovat například takto: V záložce Clients poklepeme myší na jeden z problémových klientů. Vybereme záložku Configuration, zatrhneme Then Run ESET Configuration Editor to edit the file a User the downloaded configuration in the new configuration task a následně stiskneme New Task. V průvodci novou úlohou typu Configuration stiskneme Edit. V konfiguračním editoru stiskneme Ctrl+D (odznačení všech položek - tímto nesjednotíme ostatní specifické nastavení). Pravým tlačítkem klepneme na profil, který chceme zrušit a z kontextového menu zvolíme Mark profile for deletion. Tímto je profil označen ke smazání a jakmile bude tato úloha aplikována na cílové klienty, bude profil odstraněn. 49

50 Lze tak pokračovat stiskem tlačítka Console v konfiguračním editoru a uložit nastavení. V dalších krocích průvodce je potřeba vybrat cílové klienty, na které bude konfigurace uplatněna a průvodce dokončit Nastavení plánovače úloh Vzdáleně lze úlohy v plánovači spravovat skrze konfigurační editor ESET - větev Eset Smart Security > Kernel > Setup > Scheduler/Planner (popř. NOD32 version 2 > General > Setup / Scheduler/Planner) tlačítko Edit. Pokud je potřeba pouze přidat novou úlohu, lze vycházet z nové (prázdné) XML konfigurace. Pokud je potřeba upravit nebo odstranit existující úlohy, je potřeba: vycházet z vyexportované XML konfigurace daného klienta, nebo znát ID úloh, které chceme upravit / smazat. V případě, že vycházíme s vyexportované XML konfigurace, může dialog vypadat následovně: Každá úloha je jednoznačně identifikována atributem ID (tzv. primární klíč), přičemž výrobcem předdefinované úlohy mají ID čistě decimální (1, 2, 3...). Administrátorem definované úlohy mají ID hexadecimální (např. 4AE13D6C), přičemž hodnota ID je přidělena náhodně a automaticky při zakládání nové úlohy. 50

51 Zatrhávací pole před každým řádkem určuje, zda je úloha aktivní, tj. zda ji klient využívá. Význam tlačítek: Add přidá novou úlohu. Edit upraví vybranou úlohu. Change ID upraví ID vybrané úlohy. Details souhrn informací o vybrané úloze. Mark for deletion takto označená úloha bude při použití této XML konfigurace odstraněna z cílového klienta. Remove from list tímto tlačítkem bude vybraná úloha vymazána ze seznamu. Použitím tohoto tlačítka nedojde k odstranění dané úlohy z cílového klienta. Úloha bude pouze odstraněna z editované XML konfigurace. Jelikož jsou hodnoty atributu ID generovány náhodně (při definování nových úloh), může dojít ke komplikacím, pokud bude administrátor významově tutéž úlohu přidávat v několika etapách. Příklad: v síti je 40 PC, administrátor přidá úlohu ABC (získá ID např. 4A2B8CA5). Dalších 10 PC se dokoupí, administrátor přidá opět úlohu ABC (získá ID např. 8D5A6D1B). Posléze se rozhodne na všech 50 PC úlohu ABC změnit. Vyexportuje tak XML konfiguraci z jedné z prvních 40 stanic, upraví ji a zasílá v rámci úlohy Configuration všem 50 stanicím. Zde nastává zmiňovaná komplikace. Významově tatéž úloha má dvě různá ID (4A2B8CA5, 8D5A6D1B), takže úprava vede k tomu, že na prvních 40 PC proběhne vše korektně, avšak na zbývajících 10 PC dochází k vytvoření nové úlohy a vzniká duplicita úloh (na stanici má úloha ABC ID 8D5A6D1B, avšak zaslaná XML konfigurace prezentuje úlohu ABC s ID 4A2B8CA5). Tomuto chování lze zabránit právě tlačítkem Upravit ID, kdy lze při tvorbě významově shodných úloh nastavit společné ID Uživatelské custom instalační balíky V dialogu pro tvorbu instalačních balíků lze narazit na pojem Custom package. Díky Custom package má administrátor možnost vytvořit vlastní balík, který bude obsahovat libovolné soubory (tlačítko Add File), přičemž jeden z nich musí být označen ke spuštění (Package Entry File). Distribuce na cílové klienty pak probíhá shodně jako při vzdálené instalaci samotného řešení ESET, přičemž na klientovi je balík rozbalen a spuštěn dříve vybraný soubor v části Package Entry File. Tento typ balíku může vhodně posloužit pro odinstalaci původního bezpečnostního software. 51