05. A VÉDELMI SZOFTVER TELEPÍTÉSE TÁVOLI VÉGPONTRA A.) Előkészítő információk A távtelepítés szabvány Windows telepítési struktúrát hordozó telepítő csomag segítségével történik. Maga a művelet öt lépésből áll: 1. Kiválasztjuk a telepítendő védelmi szoftvert. 2. Csatoljuk hozzá a működését szabályzó házirendet. 3. Intézkedünk a távtelepítés során jelentkező körülményekről. 4. Eljuttatjuk a csomagot a végpontra. 5. Alkalmas módszerrel elindítjuk a végponton a telepítő csomagot. Az első négy műveletet az FS PMC-ből hajtjuk végre. A telepítő csomag indításának módszerét a hálózat kiépítettsége fogja megszabni. A távtelepítés sikeréhez az szükséges, hogy a távoli gépen: legyen Windows domain admin jogkörű Windows felhasználó (a telepítés az „ő nevében” megy majd végbe)
a távoli gépen a tűzfal legyen kikapcsolva. Figyelem, fontos! A kikapcsolt tűzfal biztonsági kockázat. A telepítés idején gondoskodjon arról, hogy a végponton ne legyen adatcserét igénylő munka (pl. pen drive használat), és a gép ne kapcsolódhasson az Internetre, nehogy a telepítés befejezéséig védtelen eszközt fertőzés érhesse.
A füzet ennek a művelet-sornak a lépéseit mutatja be. Ha a távtelepítéssel, a védelmi szoftver felügyeletével kapcsolatban kérdése, kérése van, szívesen segítek. Keressen munkanapokon, munkaidőben az
[email protected] vagy a 0627 300-272 elérhetőségek bármelyikén.
B.) A védelmi szoftver kiválasztása A Tools menüben kattintson az
sorra.
Megjelenik az ablak, ahol kiválasztható, hogy melyik védelmi szoftverhez készítsen a rendszer telepítő csomagot. Megfontolások: A védelmet a végpont kiépítettségének, felszereltségének függvényében kell megválasztani. Átlagos vagy annál erősebb gépek esetén (részleteit ld. lejjebb) használható az F-Secure Client Security kiépítés, a gyengébb gépeknél azonban már csak az F-Secure Anti-Virus jöhet számításba végpontvédelmi szoftverként. 1. RAM≥2GB, minimum Windows 7 (bele értve Windows 10-et is) operációs rendszer esetén a teljes védelmi fegyvertár (antivírus + Internet biztonság + tartalomszűrés + automatikus szoftverfrissítés + böngészés védelem) bevethető; válassza az védelmi csomagot. 2. RAM>1GB, Windows XP esetén döntenie kell. Ezt a környezetet a Microsoft már nem támogatja; az operációs rendszer mihamarabbi lecserélése erősen ajánlott. Ha ez megoldható, akkor a csere után az 1. pont szerint járhat el, de ha valamiért ez nem lehetséges (figyelem: ez már önmagában is kockázatnövelő körülmény!) akkor válassza az védelmi csomagot. A védelmi képességei megegyeznek az 1. pontban felsoroltakkal, az eltérés a futtató környezetre felkészítettségben van. 3. RAM=1GB esetén jelentősen magasabb a biztonsági kockázat, mert a szűkös erőforrások miatt le kell mondani a kor fenyegetéseivel szemben szükséges védelmi elemek jelentős részéről. Az védelem a központi felügyelet alá beléptethető ugyan, de a működése már csak az antivírus szolgáltatásokra fog korlátozódni. Figyelem: ez úgy a gép, mint a hálózat egésze számára erős védelmi kockázat. Az eszköz és a hálózat biztonságának helyreállítása érdekében minimum memóriabővítés+operációs rendszer csere nyomatékosan indokolt. Ha ez nem lehetséges, úgy más módon kell gondoskodni a védelmi kockázat csökkentéséről, pl. a gépek zárt szegmensbe (olyan szeparált hálózati tartomány, ami nem folytathat adatcserét az Interneten keresztül) tételével, az egyéb adatcsere (pen drive, stb.) lehetőségének korlátozásával / letiltásával, stb.
A példában az Válassza ki, majd kattintson az
védelmi csomagot készítjük el. gombra.
Az mát.
ablak felajánlja a mentés helyét és formátu-
Az alapértelmezett msi (szabványos Windows telepítő csomag) formátum megfelelő, és nincs ok a célkönyvtárat sem megváltoztatni, ezért a művelet elindításához kattintson az gombra.
C.) Házirend. Az ablakban intézkedhetünk a csomaghoz tartozó házirend forrásáról. A telepítő csomag tartalmazhatja a gyári alapértelmezett beállításokat, ehhez az ún. „anonymus" házirend kerülne majd később felhasználásra, mindaddig, amíg új házirendet nem kap a végpont. Ehelyett azonban megadható az is, hogy melyik tartomány vagy végpont házirend-szabályai legyenek érvényesek a csomagra. A házirend öröklődési tulajdonság miatt az utóbbi nyilvánvaló előnyökkel jár (a szülő házirend-tartományban érvényes házirendeket a leszármazók öröklik, mindaddig, amíg egy csak a leszármazottnak szóló házirend ezt felül nem írja), ezért használjuk ki a lehetőséget. Kattintson az
beviteli mező melletti
gombra.
Az
ablakban kattintson a
elemre.
Az gombra kattintás elindítja a telepítő csomag finomhangolását lehetővé tevő varázslót.
D.) Telepítés konfigurálása, távoli műveletek
Az üdvözlő képernyőről a gombra kattintással léphet tovább a távoli telepítéshez szükséges licenckulcs megadására.
Az ablakban adja meg (begépelve, vagy „copy-paste” módszerrel) a kívánt termékhez tartozó licenckulcsot. Figyelem, fontos: a licenckulcs beírása fokozott gondosságot igényel! Az itt beírt karaktersorozat nem itt, hanem csak a végponti telepítéskor kerül ellenőrzésre. Ha tehát most hibásan gépeli be az adatokat (pl. elírja, vagy nem a kívánt termékhez tartozó kulcsot ad meg), akkor az a telepítéskor (és nem máskor) fog kiderülni, úgy, hogy a telepítési folyamat hibaüzenettel leáll. Legyen körültekintő akkor is, ha a telepítő csomag készítése során a licenckulcs mező már valamilyen értéket tartalmaz. Gondolnia kell arra, hogy az előre beírt kódsorozat a legutóbbi telepítő csomag elkészítéséhez tartozik – de korántsem biztos, hogy az adott munkamenetben is pont ugyanarra lesz szüksége.
Bármelyik fenti ok miatt lépne fel hiba a végponton, annak beazonosítása valószínűleg jó ideig eltartana. A bosszúságot a legkönnyebben úgy lehet megtakarítani, ha itt és most nagyon gondosan írja be a licenckulcsot. A telepítendő komponensek kiválasztásához kattintson a gombra.
A ablakban megjelenő listán ellenőrizze, hogy minden szükséges komponens ki legyen választva a neve előtti jelölő négyzet kipipálásával. Figyelem, fontos! Általános esetben NE legyen kipipálva az komponens. Ennek az elemnek a használata csak különleges esetben indokolt: olyan virtuális gépeken szokás telepíteni, amelyek „appliance” (átjáró szintű védelmi célhardver) mögött működnek. Egy átlagos hálózati számítógép azonban nem ilyen.
Ha ellenőrizte a telepítésre kerülő komponensek jegyzékét és mindent rendben talált, a gombra kattintással lépjen tovább a végpontvédelmi kezelő felület nyelvének megadásához.
A
ablakban állítsa be, milyen nyelven je-
lenjen meg a végpontvédelem kezelő felülete. Beállítás után lépjen tovább a Policy Manager Server és a végpont közötti kommunikáció beállításához; nyomja meg a gombot.
A ablakban adja meg, hogy melyik porton keresztül tudja a végpont elérni a Policy Manager Server-t, és hogy milyen szabvány szerint történjen a végpont azonosítása. Figyelem, fontos! A munka elején tárgyalt megfontolások miatt a példában megváltoztattuk az alapértelmezett kommunikációs portokat. Itt van az a pillanat, amikor a végpont is tudomást szerezhet erről. Figyelmesen járjon el, mert ha nem jól állítja be, hogy valójában hogyan is történjen a kommunikáció a végpont és a központ között, akkor a végpont láthatatlan lesz a központ számára.
A helyes értékek megadása után nyomja meg a
gombot.
A következő, ablakban elvileg lehetőség van személyes adatokkal felruházni a végponti gépet, ami – különösen nagy hálózatok esetén – megkönnyítheti a beazonosítását a policy domain fára felvételkor, visszakereséskor. Ez nem kötelező, az ablak tartalmát minden további nélkül változatlanul is hagyhatja. A folytatáshoz kattintson a gombra.
A
ablakban adhatja meg,
hogy mi történjen, ha a telepítés egy ütközést okozó szoftverrel találkozik. Az ajánlott művelet az összeférhetetlen szoftver eltávolítása; jelölje be az ennek megfelelő lehetőséget. A továbblépéshez nyomja meg a
gombot.
Előfordulhat, hogy egy telepítési művelet után újra kellene indítani a végpontot. Hogy ez hogyan történjen, a ablakban állítható be. Mivel a biztonsági szoftver telepítéséről van szó, ami van annyira fontos, hogy a rendszer-adminisztrátor által meghatározott módon történjen, nem célszerű a végfelhasználó engedélyétől függővé tenni az újraindítást. De még a legkörültekintőbben megszervezett karbantartási munka esetén sem zárható ki teljesen, hogy a végponton a telepítés pillanatában kezelői tevékenység legyen. Egy szó nélkül elvégzett újraindítással ennek értékes adatai mehetnek veszendőbe. Az adatvesztés úgy kerülhető el, ha az újraindítás potenciálisan veszélyes műveletéről tájékoztatást, a mentéshez pedig időt adunk a kezelőnek. A paraméterek beállításával végeztünk. Kattintson a és elkezdődik a telepítő csomag létrehozása. Az
gombra,
ablakban láthatóvá válik, hogy a telepítő csomag
exportálása elindult, folyamatban van. Várja meg, amíg befejeződik.
A telepítő csomag végpontra kiküldésének sikeréről a Policy Manager Console üzenetet küld. Kattintson az értesítő ablak
gombjára.
E.) Telepítés a távoli végponton Ahhoz, hogy a Policy Manager Console-ban megjelenjen a végpont, annak előbb adatot kell magáról közölnie. A végpont ezt az információt a védelem telepítésekor hozza létre és küldi el a Policy Manager Server-nek, amelyik eltárolja; a PMC innen tudja / fogja majd lekérdezni. Az msi telepítő állomány már a végponton van, most alkalmas módszerrel el kell indítani azt a távoli gépen. Ha van Active Directory, akkor azzal (Group Policy segítségével). Ha nincs, akkor más, erre alkalmas hálózati eszközzel (pl. login script). Ha ez sem érhető el, akkor marad a „körbesétálós” módszer (kimásolom – oda megyek – átteszem – elindítom). A következő képek a kézi indításkor látható ablakokat mutatják.
A telepítés az üdvözlő ablakkal indul. A folytatáshoz kattintson a
A telepítő kész a futásra – kattintson az
gombra.
gombra.
A Windows felhasználói fiók felügyelet észleli a telepítési kísérletet, és felhasználói beavatkozásra vár – engedélyezzük a módosítást az gombra kattintással.
A szoftver telepítése elindul, a folyamat a telepítő ablakban követhető nyomon.
A telepítés a háttérben fut tovább, az ablak az másával bezárható. A telepítés befejezése után az újraindítás ajánlott.
gomb megnyo-
Azért, hogy folyamatában lássuk, mi is történik, a teszt során az újraindítást követően nyissuk meg a végponton a kezelő felületet (éles telepítéskor erre természetesen már nem lesz szükség). A nyitó ablak közli, hogy a gépen már van védelem („A számítógép védett”), de hiányoznak róla fontos/kritikus frissítések.
Ez nem csoda, hisz éppen most lett feltelepítve az eszköz a gépre – és éppen most gyűjti össze a neki szóló frissítéseket. Nézzük meg, mit tesz éppen – lépjünk a Beállítások-on belül az Egyéb beállítások-ra, ahol látható, hogy éppen folyamatban van a frissítés; van, ami már befejeződött, van, ami még nem. Hagyjunk időt a műveletre.
A Súgó / Névjegy ablakban meg lehet nézni, hogy mely komponensek gondoskodnak a gép biztonságáról.
Visszalépve a PMC-be, látható, hogy az imént védelmet kapott gép megjelenik a házirend szerkezetben is:
