F-Secure Policy Manager 5

F-Secure Policy Manager 5 A vállalati biztonság integrált megoldása

Adminisztrátori kézikönyv.

A könyvben hivatkozott valamennyi terméknév a neki megfelelő gyártó kereskedelmi védjegye vagy bejegyzett kereskedelmi védjegye. Az F-Secure Corporation nem ismeri el mások név- vagy védjegyérdekeltségeit. Bár az F-Secure Corporation a lehetőségekhez képest minden megtesz a könyvben közölt információk helyességéért, ennek ellenére nem vállal felelősséget a könyvben esetleg megtalálható bármely hibáért vagy kihagyásért. Az F-Secure Corporation fenntartja magának a jogot a dokumentumban hivatkozott bármely közlés előzetes értesítés nélküli megváltozatására. A könyv példáiban megnevezésre kerülő cégek, nevek és adatok kitaláltak, hacsak külön ennek ellenkezője nem kerül megállapításra. Az F-Secure Corporation egyértelmű írásbeli hozzájárulása nélkül e kiadvány semmilyen részletének sokszorosítása vagy bármilyen, akár elektronikus, akár mechanikus úton bármilyen más formára hozatala nem megengedett, akármilyen célra történne is az. Copyright ©1996-2000 F-Secure Corporation. Minden jog fenntartva.

Tartalomjegyzék A KÉZIKÖNYVRŐL..................................................................................................................................6 1

AZ F-SECURE POLICY MANAGER ..............................................................................................7 1.1 ÁTTEKINTÉS ...................................................................................................................................7 Az F-Secure Policy Manager fő összetevői ...........................................................................................8 1.2 TELEPÍTÉSI SORREND ......................................................................................................................8 1.3 TULAJDONSÁGOK ...........................................................................................................................8 Szoftverelosztás .....................................................................................................................................8 Konfiguráció és házirend kezelés ..........................................................................................................9 Eseménykezelés.....................................................................................................................................9 Végrehajtás figyelés ..............................................................................................................................9 Feladat vezérlés .....................................................................................................................................9 1.4 HÁZIREND ALAPÚ VEZÉRLÉS ..........................................................................................................9 A házirend kezdő (gyári) értékeit tároló állományok ..........................................................................10 A házirend alapértékeit tároló állományok ..........................................................................................10 A házirend bővítményeit tároló állományok........................................................................................10 A vezérlés információ-bázisa (Management Information Base; MIB)................................................10

2

RENDSZERKÖVETELMÉNYEK ..................................................................................................13 2.1 2.2

3

F-SECURE MANAGEMENT SERVER ...............................................................................................13 F-SECURE ADMINISTRATOR .........................................................................................................13

AZ F-SECURE MANAGEMENT SERVER...................................................................................15 3.1 ÁTTEKINTÉS .................................................................................................................................15 3.2 AZ F-SECURE MANAGEMENT SERVER TELEPÍTÉSE.......................................................................16 3.3 KOMMUNIKÁCIÓS KÖNYVTÁR RENDSZERBEÁLLÍTÁSA .................................................................19 Windows NT domain felhasználó-azonosító létrehozása ....................................................................19

4

AZ F-SECURE ADMINISTRATOR ...............................................................................................21 4.1 4.2 4.3

5

ÁTTEKINTÉS .................................................................................................................................21 TELEPÍTÉS ....................................................................................................................................21 AZ F-SECURE ADMINISTRATOR ELSŐ ELINDÍTÁSA .......................................................................25

AZ F-SECURE ADMINISTRATOR HASZNÁLATA ..................................................................31 5.1 ÁTTEKINTÉS .................................................................................................................................31 5.2 F-SECURE ADMINISTRATOR ALAPOK............................................................................................32 Bejelentkezés .......................................................................................................................................32 Policy Domains / Házirend-tartományok panel...................................................................................35

Properties / Beállítások panel .............................................................................................................. 36 Editor / Szerkesztő panel ..................................................................................................................... 36 Messages / Üzenetek panel.................................................................................................................. 37 Az eszköztár ........................................................................................................................................ 37 5.3 TARTOMÁNYOK ÉS VÉGPONTOK KEZELÉSE .................................................................................. 38 Házirend-tartományok felvétele .......................................................................................................... 38 Végpontok hozzáadása ........................................................................................................................ 39 5.4 SZOFTVER SZÉTOSZTÁS ................................................................................................................ 43 Házirend alapú telepítés ...................................................................................................................... 47 Login script Win 95/98 és NT 4.0 platformokon................................................................................. 49 A telepítés menete ............................................................................................................................... 50 Információ forgalom............................................................................................................................ 55 5.5 HÁZIRENDEK KEZELÉSE ............................................................................................................... 56 Beállítások ........................................................................................................................................... 56 Korlátozások........................................................................................................................................ 57 Az érvényes házirend adatok mentése................................................................................................. 57 A házirend állományok szétküldése .................................................................................................... 58 Házirendek öröklése ............................................................................................................................ 58 5.6 MŰVELETEK ÉS FELADATOK KEZELÉSE ........................................................................................ 58 Műveletek............................................................................................................................................ 58 5.7 RIASZTÁS ..................................................................................................................................... 59 Riasztások és jelentések megtekintése................................................................................................. 59 A riasztásküldés konfigurálása ............................................................................................................ 60 5.8 A REPORTING / JELENTÉS ESZKÖZ................................................................................................ 62 Bal oldali panel.................................................................................................................................... 63 Középső panel ..................................................................................................................................... 63 Jobb oldali panel.................................................................................................................................. 64 Alsó panel............................................................................................................................................ 64 5.9 MENÜ PARANCSOK ....................................................................................................................... 65 5.10 PREFERENCIÁK ............................................................................................................................. 67 6

AZ F-SECURE MANAGEMENT SERVER KEZELÉSE ............................................................ 69 6.1

7

F-SECURE ADMINISTRATOR-ADATOK BIZTONSÁGI MENTÉSE ÉS VISSZAÁLLÍTÁSA ....................... 69

AZ F-SECURE MANAGEMENT AGENT .................................................................................... 73 7.1 AZ F-SECURE BEÁLLÍTÁSOK ÉS STATISZTIKÁK ............................................................................ 73 7.2 F-SECURE MANAGEMENT AGENT KEZELŐ FELÜLET..................................................................... 74 7.3 F-SECURE MANAGEMENT AGENT PARAMÉTEREK ........................................................................ 78 Settings / Beállítások ........................................................................................................................... 78 Statistics / Statisztikák......................................................................................................................... 80 Operations / Műveletek ....................................................................................................................... 82

“A” FÜGGELÉK: ANTIVÍRUS ADATFÁJLOK FRISSÍTÉSE.......................................................... 85 AUTOMATIKUS FRISSÍTÉS AZ F-SECURE BACKWEB ESZKÖZZEL .............................................................. 85 Az F-Secure BackWeb célja, feladata ................................................................................................. 85

Az F-Secure BackWeb működése .......................................................................................................85 Az F-Secure BackWeb használatának előnyei ....................................................................................86 Központilag kezelt munkaállomások frissítése az F-Secure BackWeb-bel .........................................86 Önálló munkaállomás frissítése...........................................................................................................87 TELEPÍTÉSI TUDNIVALÓK .........................................................................................................................88 AZ F-SECURE BACKWEB HASZNÁLATA ...................................................................................................89 Channel Status / Csatornaállapot .........................................................................................................89 Received Packages / Fogadott csomagok ............................................................................................90 Settings / Beállítások ...........................................................................................................................91 F-SECURE BACKWEB HIBAKEZELÉS.........................................................................................................93 A FRISSÍTÉSEK KÉZI LETÖLTÉSE ...............................................................................................................96 “B” FÜGGELÉK: MICROSOFT SYSTEMS MANAGEMENT SERVER ........................................97 ELŐKÉSZÍTŐ LÉPÉSEK ...............................................................................................................................97 A hálózatkezelés megtervezése. ..........................................................................................................97 Az F-Secure Workstation Suite telepítő csomag előkészítése a szétküldéshez ...................................99 AZ F-SECURE WORKSTATION SUITE SZÉTKÜLDÉSE A MUNKAÁLLOMÁSOKHOZ .......................................99 F-Secure Workstation Suite csomag elkészítése..................................................................................99 Telepítő munkautasítás készítése.......................................................................................................100 Az F-Secure Workstation Suite telepítése kliens munkaállomásokon...............................................100 TELEPÍTÉS WINDOWS NT MUNKAÁLLOMÁSON ......................................................................................100 Eszközmeghajtó telepítés...................................................................................................................100 Package Command Manager szolgáltatás..........................................................................................100 “C” FÜGGELÉK: SNMP TÁMOGATÁS ............................................................................................103 Az F-Secure Management Agent SNMP támogatása ........................................................................103 AZ F-SECURE MANAGEMENT AGENT TELEPÍTÉSE SNMP TÁMOGATÁSSAL ...........................................104 Az F-Secure SNMP Management Extension telepítése.....................................................................104 AZ SNMP FŐMODUL KONFIGURÁLÁSA ..................................................................................................104 MANAGEMENT INFORMATION BASE.......................................................................................................105 HÁLÓZATKEZELŐ SZOFTVER BŐVÍTMÉNYEK ..........................................................................................106 “D” FÜGGELÉK: A PRODSETT.INI MÓDOSÍTÁSA ......................................................................107 “E” FÜGGELÉK: ILAUNCHR HIBAKÓDOK...................................................................................113 HIBAKÓDOK ...........................................................................................................................................113 “F” FÜGGELÉK: FSII TÁVOLI TELEPÍTÉS HIBAKÓDJAI.........................................................115 WINDOWS HIBAKÓDOK ..........................................................................................................................115 HIBAÜZENETEK, JAVÍTÁSOK...................................................................................................................115 “G” FÜGGELÉK: TÁVTELEPÍTÉSI SEGÉDLET WINDOWS 95/98 KÖRNYEZETHEZ .........117 TÁVOLI ADMINISZTRÁCIÓ ENGEDÉLYEZÉSE ...........................................................................................117 “H” FÜGGELÉK: NETMASZKOK NSC JELÖLÉSE.......................................................................119

A kézikönyvről Az F-Secure Workstation Suite rendszer részét képező F-Secure Policy Manager a következő F-Secure szoftver termékek üzemeltetéséhez ad segédeszközöket: •=

F-Secure Anti-Virus for Workstations Firewalls File Servers Microsoft Exchange Lotus Domino WAP Gateway MIMESweeper

•=

F-Secure Distributed Firewall

•=

F-Secure File Crypto

•=

F-Secure VPN+

Az Adminisztrátori Kézikönyv a következő fejezetekből áll: 1. Fejezet

Az F-Secure Policy Manager – a házirend alapú vezérlés szerkezetét és elemeit írja le.

2. Fejezet

Rendszerkövetelmények – Az F-Secure Administrator és az F-Secure Management Server számára szükséges szoftver és hardver rendszerkövetelményeket határozza meg.

3. Fejezet

Az F-Secure Management Server – Az F-Secure Management Server programnak a szerver gépre telepítését tárgyalja.

4. Fejezet

Az F-Secure Administrator – Az F-Secure Administrator alkalmazások adminisztrátori gépre telepítését tárgyalja.

5. Fejezet

Az F-Secure Administrator használata – Egy áttekintést tartalmaz, valamint a beállító eljárások, a bejelentkezés, a menü parancsok és az alapvető feladatok leírása található meg itt.

6. Fejezet

Az F-Secure Management Server kezelése – A mentési eljárásokat és a visszaállítási rutinokat tárgyalja.

7. Fejezet

Az F-Secure Management Agent – Az F-Secure Management Agent működését és a helyi munkaállomásokon a vezérlő funkciókat kezelő felhasználói felületet írja le.

Függelékek További technikai anyagok. Műszaki támogató szolgálat

Web Club és kapcsolat-felvételi információk a támogatáshoz.

Az F-Secure Corporation-ról

A gyártóról szóló háttér-információk és további termékek ismertetése.

1 Az F-Secure Policy Manager 1.1 Áttekintés Az F-Secure Policy Manager kevert operációs rendszer környezetben futó vegyes alkalmazások biztonsági rendszerének egyetlen, központi helyről történő kezeléséről gondoskodik. A biztonsági szoftverrendszer napra készen tartásához, konfigurációjának kezeléséhez használható, és méretezése alapján fel van készítve még a legnagyobb, a tevékenységét nem helyhez kötötten végző humán erőforrás kezelésére is. Az FSecure Policy Manager a házirend szabályokat és az alkalmazói szoftvereket egyaránt csatarendbe állítva, egy szorosan integrált infrastruktúráról gondoskodik úgy a helyi, mint a távoli rendszerek biztonsági rendszabályainak meghatározásához. A társaság házirendjének, a központi vezérlés teljesülésének biztosítása érdekében figyelemmel kíséri a vállalatnál található valamennyi rendszer aktivitását. F-Secure Framework – az összes F-Secure termék alapja és felépítménye

F-Secure Policy Manager

F-Secure BackWeb (FSBW)

F-Secure Management Server (FSMS)

F-Secure Administrator (FSA)

Egyéb F-Secure termékek

F-Secure Master Key Wizard

F-Secure Certificate Wizard

Az F-Secure Policy Manager ereje az F-Secure három rétegű vezérlő struktúrájában rejlik, amely a feladatait nagy területre kiterjedően, helyhez nem kötve végző munkatársak esetében is magas szintű skálázhatóságot biztosít. Az F-Secure Policy Manager a három rétegből kettőt: az F-Secure Management Servert és az F-Secure Administratort foglalja magába. Így együtt a vezérlő struktúra felső két szintjét adják, és szorosan integrálódnak a helyi munkaállomás vezérlési funkcióit ellátó F-Secure Management Agent programhoz, mely a harmadik szint.

7

1. fejezet

Az F-Secure Policy Manager

Az F-Secure Policy Manager fő összetevői Az F-Secure Management Server egy Apache Web-szerverre épülő eszköz, az F-Secure Administrator és más F-Secure Framework összetevők közötti adatforgalmat biztosítja. A kommunikáció a szabvány HTTP protokoll használatával zajlik, ami hibamentes végrehajtást biztosít LAN és WAN környezetben egyaránt. Kisméretű hálózatban (<400 gép) nem szükséges telepíteni az F-Secure Management Server aktív elemeit, elegendő az F-Secure Administrator eszköz telepítése is, ami a rendszabályokat és a szoftvercsomagokat egy normál fájlszerver megosztott könyvtárán – a továbbiakban: kommunikációs könyvtár – keresztül fogja szétosztani. Az F-Secure BackWeb a helyi antivírus vagy a kommunikációs könyvtár vírusadatbázis frissítésére használható eszköz. A BackWeb óránként ellenőrzi, hogy van-e frisseb adatbázis a Finn szerveren, és ha talál, a változásokat letölti. A letöltés időben korlátozható, pl 20:00 és 06:15 között. Az F-Secure Administrator az az eszköz, amivel az adminisztrátor az osztott házirend kialakítása érdekében logikai egységekbe szervezheti a hálózatát. A rendszabályokat az F-Secure Administratorban hozzuk létre, majd az F-Secure Management Server útján küldjük szét az egyes munkaállomásokhoz. Az F-Secure Administrator egy Java-alapú alkalmazás, amelyik egy sor különböző platformon képes futni. Arra is használható, hogy helyi login script, újraindítás vagy más végfelhasználói beavatkozás nélkül másik munkaállomásokon távolról üzembe helyezzük az F-Secure Management Agent-et. Az F-Secure Master Key Wizard egy olyan alkalmazás, amelyik az F-Secure FileCrypto számára hoz létre kulcsokat. Az F-Secure Certificate Wizard alkalmazás az F-Secure VPN+ modulhoz készít hitelesítő tanúsítványokat. Az F-Secure Policy Manager a végpontokon telepített F-Secure Management Agent segítségével tartja a kapcsolatot a távvezérelt gépekkel. Az adminisztrátor által központilag megszabott biztonsági rendszabályokat tehát a végfelhasználónak kezelőfelületet és egyéb szolgáltatásokat is biztosító F-Secure Management Agent juttatja érvényre a munkaállomásokon.

1.2 Telepítési sorrend Az F-Secure Policy Manager telepítésekor a következő sorrendet célszerű betartanunk: 1. F-Secure Management Server 2. F-Secure Administrator 3. Munkaállomások adatbiztonsági feladatokat ellátó elemei

1.3 Tulajdonságok Szoftverelosztás •=

Első rendszerbe állítás az NT tartományban az F-Secure Intelligent Installation segítségével.

•=

A végrehajtható állományok és adatfájlok frissítése.

8

Az F-Secure Policy Manager •=

1. fejezet

Házirend-frissítésekkel ellátás. A frissített rendszabályok érzékelése arra kényszeríti az F-Secure Management Agent-et, hogy a végponton frissítést hajtson végre. Mind a rendszabályok, mind pedig a szoftvercsomagok digitális aláírásúak, így a frissítési eljárás magas fokon hitelesített és biztonságos. A frissítést többféle módszerrel is el lehet végezni: −= Helyi frissítés az F-Secure Management Server-ről. −= Frissítések az F-Secure Web-lapról. Ezek történhetnek automatikusan, amikor az F-Secure BackWeb program tölti le a frissítést, de elvégezheti maga a felhasználó is. −= Az F-Secure Administratort előre konfigurált telepítő csomagok exportálására használhatjuk; ezek harmadik féltől származó más szoftverrel, pl. SMS, Tivoli, vagy ezekhez hasonló eszközökkel is szétküldhetők.

Konfiguráció és házirend kezelés •=

Központilag megszabott biztonsági házirendek. A rendszabályokat az adminisztrátor küldeti szét a Management Server-től a végfelhasználói munkaállomásokra. A rendszabályok sértetlenségét digitális aláírás használata biztosítja.

Eseménykezelés •=

Jelentés az F-Secure Management API felületen keresztül az Event Viewernek (helyi és távoli naplózások), SNMP elem, e-mail, jelentés állományok, stb.

•=

Riasztások az olyan vállalati vezérlő keretrendszerekhez, mint pl. Tivoli Enterprise™ vagy Unicenter TNG.

•=

Esemény átirányítás házirendeken keresztül.

•=

Esemény statisztikák.

Végrehajtás figyelés •=

Statisztikák, teljesítmény adatok kezelése, jelentések

Feladat vezérlés •=

Víruskeresési feladatok és más műveletek kezelése.

1.4 Házirend alapú vezérlés A biztonsági házirend olyan, jól definiált szabályok gyűjteménye, amelyek érzékeny információk és más források kezelését, védelmét és továbbítását szabályozzák. Egy nagyvállalati környezet adatbiztonságának optimális felügyeletéhez az F-Secure programok vezérlő szerkezete egyetlen, a rendszeradminisztrátor által központilag kialakított házirendet használ. A házirend alapú vezérlés több funkciót hajt végre: •=

A termékek viselkedésének távoli felügyelete és vezérlése. 9

1. fejezet


•=

A termékektől és a Management Agent-től származó statisztikák figyelése.

•=

Előre meghatározott műveletek távoli indítása.

•=

Megjegyzések és riasztások továbbítása a termékektől a rendszeradminisztrátorhoz.

Az F-Secure Administrator és a végpontok közötti információfolyam a házirend állományok átvitelével valósul meg. Három féle házirend állományt különböztetünk meg: •=

A házirend kezdő (gyári) értékeit tároló állományok (Default Policy Files; .dpf)

•=

A házirend alapértékeit tároló állományok (Base Policy Files; .bpf)

•=

A házirend bővítményeit tároló állományok (Incremental Policy Files; .ipf)

Egy termék érvényes beállítás-készlete mindhárom házirend állomány típust tartalmazza: A házirend kezdő (gyári) értékeit tároló állományok A házirend kezdő értékeit tároló állomány egy, a telepítő programmal a rendszerre felvitt termék indító beállításait (a “gyári értékeket”) tartalmazza. A kiindulási házirendek csak a végpontokon használatosak. Ha sem az alapértékeket (.bpf), sem a bővítményeket (.ipf) tároló házirend állomány nem tartalmaz egy változóra nézve bejegyzést, akkor a változó értéke a házirend kezdő értékeit tároló fájlból (.dpf) kerül beállításra. Minden terméknek megvan a maga saját kezdőértékeit tároló állománya. Új termékváltozat új kezdő értékeket tartalmazó házirend állományt kap. A házirend alapértékeit tároló állományok Az alapérték állományok egy adott végponton működő valamennyi F-Secure termék összes változójának adminisztratív beállításait és megszorításait tartalmazzák. (Domain szintű házirendek esetén, a végpontok egy csoportja osztozhat ugyanazon az állományon.) A házirend valamennyi alapérték állományát a hálózaton átküldés – valamint a végpontok fájlrendszerében tartózkodás – ideje alatt történő megváltozások elleni védelemül, az F-Secure Administrator digitális aláírással látja el. Ezek az állományok az F-Secure Administrator-tól jutnak el az F-Secure Management Server-hez. A végpont rendszeres időközönként lekérdezi az F-Secure Administrator által készített új rendszabályokat. A házirend bővítményeit tároló állományok A bővítmény állományok tárolják a házirend alapértékein végrehajtott helyi változtatásokat. Csak a házirend alapértékei által megszabott határokon belüli változtatások engedélyezettek. A házirend bővítmény állományok ezek után rendszeres időközönként elküldésre kerülnek az F-Secure Administrator-hoz, hogy az aktuális beállításokat és statisztikákat a rendszeradminisztrátor is meg tudja tekinteni. A vezérlés információ-bázisa (Management Information Base; MIB) A vezérlés információ-bázisa a Simple Network Management Protocol (SNMP)–ban használt hierarchikus vezérlő adatszerkezet. Az F-Secure Framework-ben a MIB struktúrát a házirend állományok tartalmának megadásához használjuk. Minden változónak van egy tárgyazonosítója (Object Identifier; OID) és egy értéke, amelyhez a házirend API-n keresztül férhetünk hozzá. Az SNMP MIB alapvető meghatározásához 10


1. fejezet

hozzá tartozik, hogy az F-Secure MIB alapelv több, a házirend-alapú vezérlés teljessé tételéhez szükséges kiegészítést is tartalmaz. A termékek MIB-jében a következő kategóriák definiáltak: Settings / Beállítások Munkaállomások vezérlésére használatos, bizonyos SNMP esetekben. A kezelt termékeknek az itt megadott határok között kell működniük. Statistics / Statisztikák Termékstatisztikák átadása az F-Secure Administrator-nak. Operations / Műveletek

A műveleteket két házirend-változó kezeli: egy, amelyik a művelet azonosítójának a végpontra továbbításáért felelős, és egy másik, amelyik informálja az F-Secure Administratort a végrehajtott műveletekről. A második változó normál statisztikák alkalmazásával kerül átvitelre; egyszerre nyugtázza az összes korábbi műveletet. A műveletek szerkesztésére szolgáló felhasználói editor alkönyvtárhoz kötött; a két változót az editor rejti.

Private / Magán

A MIB vezérlési alapelvben olyan változók is előfordulhatnak, amelyeket a termék a szekciók között magán a rendszeren belül tárol. Ezzel a módszerrel érhető el, hogy a terméknek ne kelljen külső szolgáltatásokra, pl. a Windows registry állományokra támaszkodnia.

Traps / Megszakítások

A megszakítások olyan üzenetek, (beleértve a riasztásokat és az eseményeket is) amelyeket a helyi konzolnak, naplófájlnak, távoli adminisztrátori processznek stb. küldenek. Az F-Secure termékek legtöbbje a következő típusú megszakításokat küldi: Információ. A végponttól származó normál műveleti üzenet. Figyelmeztetés. A végponttól származó figyelmeztetés. Hiba. Helyreállítható hiba a végponton. Végzetes hiba. Helyreállíthatatlan hiba a végponton. Biztonsági riasztás. Biztonsági veszély a végponton.

11

2 Rendszerkövetelmények 2.1 F-Secure Management Server Az F-Secure Management Server elnevezés a házirend alapú vezérlés szerver oldali összetevőjének neve. Az F-Secure Management Server a következő rendszer-erőforrásokat igényli: •=

Microsoft Windows NT Server 4.0, Service Pack 4, vagy Microsoft Windows 2000 Server, Service Pack 2, Intel hardveren.

•=

Intel Pentium II processzor (minimum)

•=

64-92 MB RAM (256 MB vagy több javasolt)

•=

100 MB szabad merevlemez terület (500 MB vagy több javasolt)

A szükséges lemezméret a telepítési mérettől függ, az alábbiaknak megfelelően: •=

Alaptelepítés: 10 MB

•=

Teljes készlet: 15 MB

•=

Vírusismereti adatbázis: 4,5 - 5 MB A fentiekhez végpontonként 1 MB terület szükséges a riasztások és az egyes házirendek számára. Az egyes végpontok által használt lemezterület mérete attól függ, hogyan használjuk a házirendeket és a telepítő készlet hány generációját tároljuk.

2.2 F-Secure Administrator Az F-Secure Administrator a következő rendszer-erőforrásokat igényli: •=

Microsoft Windows NT 4, Windows 2000 vagy Windows 95/98. Microsoft Windows NT 4 Service Pack 3 szükséges, Service Pack 4 (vagy magasabb változat) javasolt.

•=

A Certificate Wizard és a Master Key Wizard nem fut Windows 95/98 környezetben.

13

2. fejezet

Rendszerkövetelmények

•=

Intel Pentium II processzor (minimum).

•=

128 MB RAM (256 MB javasolt)

•=

40 MB szabad merevlemez terület (60 MB vagy több javasolt)

•=

Képernyő felbontás: 800×600, 256 színnel (1024×768 vagy magasabb javasolt).

Nagyobb memória és szabad merevlemez kapacitás jelentősen megnöveli a teljesítményt.

14

3 Az F-Secure Management Server 3.1 Áttekintés Az F-Secure Management Server a kapcsolat az F-Secure Administrator és a vezérelt végpontok között. A rendszeradminisztrátor által elküldött rendszabályok és szoftver csomagok, a státuszinformációk valamint a távvezérelt munkaállomásoktól származó riasztások raktáraként szolgál. Egy nagyméretű hálózatban az F-Secure Management Server az Apache webszerver egy könnyített változatán alapul. Az F-Secure Management Server és más F-Secure Framework elemek közötti kommunikációt szabványos HTTP protokolon keresztül lehet lebonyolítani, ami hibamentes végrehajtást biztosít LAN és WAN környezetben egyaránt. Kisméretű hálózatban (<750÷1000 gép) nem szükséges telepíteni az F-Secure Management Server aktív elemeit. A házirend rendszabályok és a szoftvercsomagok egy normál fájlszerver megosztott könyvtárán keresztül küldhetők szét. Ezt az osztott könyvtárat a továbbiakban kommunikációs könyvtárnak fogjuk nevezni. Az F-Secure Management Server-ben tárolt információ a következő fájlokat foglalja magába: •=

A házirend-tartományok szerkezete (Policy Domain Structure – PDS).

•=

Házirend adatok, amelyek összekapcsolják az aktuális házirend információkat az egyes házirendtartományokkal vagy a végpontokkal.

•=

A házirend adatokból generált házirend alapértékeket tároló állományok.

•=

Státuszinformáció, beleértve a házirend bővítményi fájlokat, riasztásokat és jelentéseket.

•=

A végpontok által küldött autoregisztráció kérések.

•=

PKCS#10 hitelesítés kérések (Public-Key Cryptography Standards szabvány)

•=

Végpont hitelesítések.

•=

Terméktelepítő és -frissítő csomagok.

15

3. fejezet

Az F-Secure Management Server

3.2 Az F-Secure Management Server telepítése 1. Indítsuk el az F-Secure Policy Manager telepítő programot a CD lemezről. Kattintsunk a “Next / Tovább” gombra. 2. Olvassuk el az üdvözlő képernyőn a használati feltételekről tájékoztató engedély szövegét. Valamenynyi képernyőnél kattintsunk a “Next / Tovább” gombra. 3. Ellenőrizzük, hogy a “Select components to install / Telepítendő komponensek kiválasztása” ablakban legyen bejelölve az F-Secure Management Server tétel. Kattintsunk a Next / Tovább gombra.

4. Az alapértelmezett telepítési könyvtár használata javasolt. Ha másik könyvtárba akarjuk telepíteni az F-Secure Management Servert, használhatjuk a “Browse / Tallóz” lehetőséget. Lépjünk tovább.

16


3. fejezet

5. A következő ablakban az esetleg már korábban létezett kommunikációs könyvtárnak az új telepítésbe vonásáról intézkedhetünk. Ha korábban még nem volt telepítve a rendszerünkön F-Secure Policy Manager (és így megosztott kommunikációs könyvtár sem), vagy volt, de a megosztott kommunikációs könyvtárat szeretnénk újra felépíttetni, jelöljük meg az „I do not have existing F-Secure Policy Manager / Nincs létező F-Secure Policy Manager” lehetőséget. Ha ez nem így lenne, akkor jelöljük meg a másik lehetőséget, és gépeljük be az átemelendő könyvtárnak az elérési útvonalát, vagy tallózzunk oda a „Browse” gomb segítségével.

6. Meg kell adnunk a munkaállomások álltal használt portot is. Ennek alapértelmezett értéke 80. Ha ezt valami miatt nem tudjuk, vagy nem akarjuk használni, akkor megváltoztathatjuk ezt az értéket, ám ne feledjük, hogy ekkor a munkaállomásokra telepített Management Agent-eknek is ezt a portot kell majd megadni pl: (http://ManagementServer:81). A szerveren használt alapértelmezett HTTP port száma 8080. Ne feledjük, hogy amennyiben a kommunikáció számára másik portot adunk meg, akkor az FSecure Administrator-ban beállított HTTP port számát is meg kell változtatnunk!

17

3. fejezet


7. A nagyobb rendszerbiztonság elérése érdekében intézkedhetünk arról, hogy a Management Serverhez történő távoli hozzáférést akarjuk-e korlátozni. Ha nagyobb biztonságot akarunk elérni, akkor válaszszuk a „Yes, restrict access to local machine only” lehetőséget. Ez az alapértelmezett választás, bejelölésével a hozzáférés korlátozását fogjuk elérni, vagyis azt, hogy a Management Server kizárólag lokális gépről lesz elérhető, máshonnan nem. Ha bármely más gép számára is meg akarjuk engedni a kapcsolódást, a tagadó értelmű választ kell megjelölnünk.

8. A „Next / Tovább” gombra kattintás után az F-Secure Management Server telepítése megtörténik. A telepítést záró ablakban intézkedhetünk arról, hogy mi történjen az újraindítás után. Ha a jelölő négyzeteket kipipáljuk, akkor elolvashatjuk a Readme állományt illetve a szerver portjairól szóló fontos információkat.

MEGJEGYZÉS: 18


3. fejezet

Az F-Secure Management Server a végpontok kiszolgálását csak az után kezdi meg, hogy az F-Secure Administrator inicializálta a kommunikációs könyvtár struktúrát. Ez az F-Secure Administrator első indításakor automatikusan megtörténik.

3.3 Kommunikációs könyvtár rendszerbeállítása Ha nem fogunk F-Secure Management Servert használni, akkor egy megosztott könyvtár (a kommunikációs könyvtár) használatával engedélyezhetjük a kommunikációt az F-Secure Administrator és a végpont között. MEGJEGYZÉS: Amennyiben telepítve van F-Secure Management Server a rendszerben, ne építsük fel mellé az e fejezet szerinti kommunikációs könyvtárat is. A kommunikációs könyvtár végpontjának szerepére válasszunk ki egy olyan számítógépet, mely folyamatosan üzemel a hálózatunkban. Készítsünk egy könyvtárat rajta, majd osszuk meg ennek a könyvtárnak a gyökerét commdir néven úgy, hogy mindenki hozzáférjen. A megosztott könyvtárhoz szükséges engedélyeket a következő részben hozzuk létre. MEGJEGYZÉS: A megosztott \\server\commdir\ gyökeret az F-Secure Administratort futtató számítógép egyik meghajtó betűjeléhez is kapcsolhatjuk, így ez a meghajtó betűjel mint kommunikációs könyvtár útvonal is használható az UNC (Uniform Naming Convention / Egységes elnevezési megállapodás) útvonal helyett. A javasolt módszer azonban az UNC útvonal használata. Windows NT domain felhasználó-azonosító létrehozása A munkaállomásoknak, szervereknek, átjáróknak hozzá kell tudniuk férni a kommunikációs könyvtárhoz. Ennek engedélyezéséhez egy felhasználó azonosítót kell létrehozni az elsődleges domain vezérlőn. Ezt a lépést csak akkor kell végrehajtania, ha a kommunikációs könyvtár egy NT szerveren található.

19

3. fejezet


Kövessük az alábbi lépéseket: 1. Hozzunk létre egy “NRB” azonosítót “commdir” jelszóval a domain vezérlőn. A felhasználó azonosító ne legyen semmilyen csoportnak sem a tagja. Az “ NRB” felhasználó csak a kommunikációs könyvtárhoz férésre legyen képes. Amikor az “ NRB” felhasználó csoporttagságát meghatározzuk, el kell távolítanunk az összes csoportot. Ezek után kattintsunk az OK gombra.

2. A kommunikációs könyvtárat tartalmazó számítógépen “Change” jogokkal tegyük hozzáférhetővé a domain\NRB felhasználó számára a kommunikációs könyvtárat. Jó ötlet, ha a domain adminisztrátor kivételével először az összes felhasználót töröljük. A Windows 95/98 gépek a kommunikációs könyvtárhoz féréshez a belépéskori felhasználói jogaikat fogják használni. Ez azt jelenti, hogy a hozzáférési engedélyeket úgy kell beállítani, hogy a normál domain felhasználóknak “Change” joguk legyen a kommunikációs könyvtárban. 20

4 Az F-Secure Administrator 4.1 Áttekintés Az F-Secure Administrator és a hozzá tartozó segédprogramok a következő funkciókat látják el: •=

F-Secure Administrator. Az F-Secure Framework vezérlőpultja. Az F-Secure Administrator-ral egy Java virtuális környezet is települ. Ez a virtuális környezet csak akkor fut, amikor az F-Secure Administratort használjuk, tehát nem működik folyamatosan a háttérben.

•=

F-Secure Certificate Wizard. Az F-Secure VPN+ számára hitelesítéseket készítő segédprogram.

•=

F-Secure Master Key Wizard. Az F-Secure FileCrypto számára kulcsokat készítő segédprogram.

•=

F-Secure Intelligent Installation. Alapvető komponens, amelyet az F-Secure Administrator a Windows környezetben futáskor az önfelismerő képesség biztosításához kínál.

•=

F-Secure Product Installation Packages. JAR csomagok, amelyek a végpontoknak szóló F-Secure szoftvereket tartalmazzák.

4.2 Telepítés Az F-Secure Policy Manager telepítése után az F-Secure Administrator-t kell telepíteni azon a számítógépen, ahonnan a rendszert működtetni szeretnénk. A gépen adminisztrátori jogunknak kell lennie , és el kell érnie az F-Secure Management Server-t. A legjobb valósidejű futási teljesítmény elérése érdekében az F-Secure Administratort egy helyi merevlemezre kell telepítenünk. Ezzel együtt, az F-Secure Administrator egy hálózati meghajtóra is telepíthető. Jegyezzük meg, hogy tetszőleges számú, egyidejűleg működő F-Secure Administrator példány lehet telepítve. Ahhoz, hogy az egyes különálló F-Secure Administrator példányok szabályszerűen kezelhessék ugyanazon F-Secure Management Servert, arra van szükség, hogy mindannyian ugyanazon vezérlő kulcspárokat használják. Az egyetlen megkötés, hogy adminisztrátori üzemmódban csak egyetlen F-Secure Administrator példány kapcsolódhat egy időben a szerverhez. Az F-Secure Policy Manager elemek telepítéséhez a következőket kell megtennünk:

21

4. fejezet

Az F-Secure Administrator

1. Tegyük a CD meghajtóba a telepítő CD lemezt. Ha a CD “autorun” funkciója tiltva van, akkor helyette kézzel indítsuk el az install.exe programot. A “Select Components / Telepítendő elemek megadása” párbeszédablak válik láthatóvá. Állítsuk be a telepítés nyelvét, majd jelöljük meg az F-Secure Administrator elemet. 2. Jelöljük meg a telepítendő elemeket. Kattintsunk a “Next / Tovább” gombra.

Először az F-Secure Administrator telepítő párbeszédablak nyílik meg.

3. Válasszuk ki a végpont és az adminisztrátor közötti kommunikációra használni kívánt módszert. a. Ha az F-Secure Administrator és a Management Server közötti kommunikációhoz HTTP kapcsolatot fogunk használni, jelöljük meg az “F-Secure Management Server / HTTP”-t. 22


4. fejezet

b. Ha az F-Secure Administrator és a Management Server egy megosztott kommunikációs könyvtáron keresztül tart majd egymással kapcsolatot, vagy ha több végpontot egy hálózati kommunikációs könyvtáron keresztül, a Management Server telepítése nélkül fogunk kezelni, (ld. 3.3 fejezet), jelöljük meg a „Network Communication directory/Network file system” beállítást. c. Az alábbi esetekben a “Local Communication Directory / Local File System” választását javasoljuk: i. Ha mind az F-Secure Administrator, mind pedig a Management Server bármiféle adminisztratív hálózati kapcsolat nélkül ugyanarra a gépre kerül telepítésre. ii. Ha Microsoft Systems Management Servert (SMS) vagy más külső szerver megoldást fogunk használni. iii. Ha az F-Secure Management Server vagy megosztott kommunikációs könyvtár felépítése nélkül akarjuk tesztelni vagy tanulmányozni az F-Secure Administratort. iv. Ha nincs szükségünk az F-Secure Administrator és egynél több végpont között kommunikációs kapcsolat felépítésére. Ebben az esetben a helyi F-Secure Management Agent kezelése például a helyi kommunikációs könyvtáron keresztül végezhető el. TIPP: Ha a “Local Communication Directory” lehetőséget választottuk ki, akkor nem kell telepíteni az FSecure Management Servert (ahogy azt a 3.2 fejezet ismerteti) vagy egy megosztott kommunikációs könyvtárat felépíteni (ahogy azt a 3.3 fejezet leírja). Kattintsunk a “Next / Tovább” gombra. Választásunk függvényében egy további párbeszédablak jelenik meg. 4. Ha az F-Secure Administrator és a Management Server közötti kommunikációhoz HTTP kapcsolatot fogunk használni, akkor meg kell adnunk a szerver elérhetőségi adatait. A szerver által használt alapértelmezett HTTP port értéke 8080. Ha valamilyen okból ezt meg kellene változtatnunk, akkor ne feledjük ezt a változtatást mindkét elemnél szinkronba hozni egymással.

23

4. fejezet


5. Ha a kommunikációra megosztott kommunikációs könyvtár módszert fogunk használni, gépeljük be a kommunikációs könyvtárra mutató útvonalat. Ez lehet egy virtuális könyvtár is, vagy a “Browse / Tallóz” gombra kattintva, megkerestethetjük a kommunikációs könyvtárunkat a Windows Network Neighbourhood használatával. Ha végeztünk, kattintsunk a “Next / Tovább” gombra.

Egy párbeszédablak válik láthatóvá, amelyik megmutatja, hogy milyen változtatások kerülnek majd végrehajtásra.

24


4. fejezet

6. Ellenőrizzük, hogy a változtatások megfelelőek-e, majd a telepítés befejezéséhez kattintsunk a “Next / Tovább” gombra. A telepítő varázslója elindítja a szükséges szolgáltatásokat és végrehajtja a telepítést. Ez egy bizonyos időt vesz majd igénybe. A telepítés befejezése után a telepítő varázslója létrehozza az “F-Secure Administrator” programcsoportot, amelyik megjeleníti az F-Secure Administrator, az F-Secure Master Key Wizard és az F-Secure Certificate Wizard programokhoz tartozó ikonokat (már ha ezek telepítésre kerültek). MEGJEGYZÉS: Az F-Secure Administrator telepítése csak a program első indítása után válik teljessé.

4.3 Az F-Secure Administrator első elindítása Az F-Secure Administrator (FSA) programot az F-Secure Administrator telepítője teszi fel a rendszerre. Először elhelyezi egy könyvtárban, majd egy ikont készít a Windows NT Start menüje számára. Az F-Secure Administrator első indításakor egy telepítő varázsló vezet végig minket a konfigurációs folyamaton. 1. Olvassuk el a telepítő varázsló üdvözlő lapját, majd kattintsunk a “Next / Tovább” gombra. A felhasználói üzemmód párbeszédablaka válik láthatóvá.

25

4. fejezet


2. Adjuk meg az F-Secure Administrator indulási üzemmódját. Az adminisztrátori tulajdonságok engedélyezéséhez jelöljük meg az “Administrator Mode” lehetőséget. A “Read Only” üzemmód csak a kezelt adatok állapotának megtekintését teszi lehetővé; de nem ad lehetőséget változtatások elvégzésére, következésképpen, ha a “Read Only” üzemmódot választjuk, nem adminisztrálhatjuk a végpontokat. Ha később mégis szükségünk lenne a végpontok adminisztrációjának elvégzésére, az FSA egy külön telepítésére lesz majd szükségünk. A folytatáshoz kattintsunk a “Next / Tovább” gombra. A kapcsolattulajdonságok párbeszédablaka jelenik meg.

3. A “Server” mezőben írjuk be az F-Secure Management Server HTTP-t vagy a kommunikációs könyvtárra mutató útvonalat. Tallózhatunk a kommunikációs könyvtár után, ha a “Server” mezőtől jobbra található gombra kattintunk. 26


4. fejezet

A következő két mezőbe írjuk be azt az útvonalat, ahol az adminisztrátor nyilvános és személyes kulcsának állománya található. Ezen kulcs-állományok alapértelmezett helye az F-Secure Administrator telepítő (Program Files\F-Secure\Administrator) könyvtára. A folytatáshoz attintsunk a “Next / Tovább” gombra. 4.

Ezzel készek vagyunk az F-Secure Administrator új kommunikációs könyvtárának inicializálására. Kattintsunk a megjelenő üzenő ablak “Yes / Igen” gombjára.

5.

A kezelői kulcs-párt egy generátor hozza létre. Az általa használt véletlenszerű kezdeti érték előállításához mozgassuk az egérkurzort a képernyőn. Az egérmozgatás útvonala biztosítja a kulcs-pár generátor algoritmusa számára szükséges kezdő számérték megfelelő mértékű véletlenségét. Amikor a folyamatjelző eléri a 100%-ot, automatikusan megjelenik a “Passphrase / Jelmondat” párbeszédablak.

6. A “Passphrase / Jelmondat” mezőbe írjunk be egy, a személyes kulcsunkat biztonságossá tevő jelmondatot. Ismételjük meg a beírtakat a “Confirm Passphrase / Jelmondat megerősítése” mezőben. Kattintsunk a “Next / Tovább” gombra.

27

4. fejezet


7. A varázsló utolsó lapján lévő “Finish / Befejezés” gombra kattintás után az F-Secure Administrator elkészíti a kezelő kulcs-párokat. A kulcs-pár létrejötte után az F-Secure Administrator elindul. FONTOS MEGJEGYZÉS: A létrehozott Admin.pub és Admin.prv egyedi, pótolhatatlan és szükséges állományok, erősen javallt, hogy – pl. floppy lemezen – biztonsági másolat is készüljön róluk! A munkaállomások felépítése során biztosítanunk kell az Admin.pub kulcsállomány egy másolatát (vagy azt, hogy hozzá lehessen férni). A legjobb és legbiztonságosabb módszer az Admin.pub állomány floppy lemezre másolása és ennek a lemeznek a használata a munkaállomásokra történő telepítéshez. Egy másik lehetőség, hogy az Admin.pub állományt egy olyan könyvtárba tesszük, amelyiket az F-Secure Management Agent-tel telepített valamennyi végpont el tud érni. Alapértelmezés szerint az F-Secure Administrator a kommunikációs könyvtár gyökerébe helyezi el a nyilvános kulcsot. Bizonyos könyvtárakat és állományokat majd védenünk kell, úgy, hogy csak az adminisztrátor által végrehajtott hozzáférés engedélyezését állítjuk be. Ennek megvalósítására tegyük a következőket: 1.

Vegyük el az összes szükségtelen hozzáférési jogot a \fsa könyvtártól. Csak az F-Secure Administrator -t futtató adminisztrátornak kell jogokkal rendelkeznie e fölött a könyvtár fölött.

2.

A commdir.cfg és az admin.pub állományoktól vegyük el a “Write / Change” (Írás / Módosítás) felesleges hozzáférési jogot. A kommunikációs könyvtár felhasználó-azonosítónak mindössze “Read only / Csak olvasható” jogai kell, hogy legyenek e fájlokhoz.

A telepítés befejezése és az első újraindítás után az F-Secure Administrator automatikusan elindul.

28


4. fejezet

Az F-Secure Administrator ablakban lehet a munkát tovább folytatni tartományok létrehozásával és a végpontok üzembe helyezésével.

29

5 Az F-Secure Administrator használata 5.1 Áttekintés Az F-Secure Administrator, ami egy Java-alapú alkalmazás, egy távoli elérésű kezelőpult a legáltalánosabban használt F-Secure adatbiztonsági termékek számára. Arra lett tervezve, hogy nagyvállalati közegben az összes biztonsági kezelő feladathoz egy közös felületet képezzen. Egy rendszeradminisztrátor minden egyes végpont számára más-más biztonsági házirendet tud készíteni, vagy létrehozhat egyetlen házirendet több végpontnak is. A házirend a hálózaton át szétküldhető a munkaállomásoknak, szervereknek és biztonsági átjáróknak. Az F-Secure Administrator a következő lehetőségeket biztosítja: •=

A vezérelt termékek tulajdonság értékeinek beállítása

•=

Az adminisztrátor által távolról beállított rendszerparaméterek megtekintéséhez vagy megváltoztatásához szükséges felhasználói jogok megszabása.

•=

A közös tulajdonság értékek megosztásával a házirend-tartományok alatt lévő végpontok csoportba sorolása.

•=

A domain hierarchiák és a végpontok egyszerű felügyelete.

•=

Tulajdonság értékeket és megszorításokat tartalmazó, digitális aláírással ellátott házirend meghatározások létrehozása.

•=

Státusz megjelenítése.

•=

Riasztások kezelése.

•=

F-Secure Anti-Virus ellenőrzések jelentéseinek kezelése.

•=

Távoli telepítések kezelése.

•=

Jelentések HTML formátumú megtekintése, vagy jelentések átadása különféle adatkiviteli formátumokban.

31

5. fejezet

Az F-Secure Administrator használata

Az F-Secure Administrator házirend meghatározásokat készít és megjeleníti a rendszer állapotát, valamint a riasztásokat. Minden egyes végpontnak a házirendet a munkaállomáson kikényszerítő modulja (F-Secure Management Agent) van. Az F-Secure Administrator fogalmi körébe beletartoznak olyan végpontok is, amelyek a házirendtartományokon belül is további csoportokba foglalhatók. A házirendek végpont-orintáltak. Még többfelhasználós környezetben is, egy adott végpont valamennyi felhasználója közös beállításokon osztozik. F-Secure Administrator két felhasználótípust különböztet meg: az adminisztrátort és a csak olvasási jogú felhasználót. Az adminisztrátori jogokkal hozzáférhetünk az adminisztrációs személyes kulcshoz. Ez a személyes kulcs olyan állományként tárolt, amely a kezelési jogkörrel felruházott felhasználók között megosztható. Az adminisztrátor az F-Secure Administrator programot a különböző tartományok és egyedi végpontok házirendjének elkészítéséhez használja. Csak olvasási jogok birtokában a következőket teheti meg a felhasználó: •=

Megnézheti a házirend szabályokat, a statisztikákat, a műveletek állapotát, a telepített termékek verziószámát, riasztásokat és jelentéseket.

•=

Megváltoztathatja az F-Secure Administrator beállításait, mivel ennek a telepítése felhasználó alapú és megváltoztatása nincs hatással más felhasználókra.

Csak olvasási jogok birtokában a következők közül EGYIKET SEM tudja megtenni a felhasználó: •=

Tartomány szerkezetet vagy a tartományok, végpontok tulajdonságait megváltoztatni.

•=

A termék beállításokat megváltoztatni.

•=

Műveletet végrehajtani.

•=

Termékeket telepíteni.

•=

Házirend adatokat elmenteni.

•=

Házirendeket szétküldeni.

•=

Riasztást vagy jelentést törölni.

A csak olvasási jogú üzemmódban több F-Secure Administrator példány is meg tudja nyitni a kommunikációs könyvtárat. Adminisztrátori üzemmódban azonban az F-Secure Administrator zárolja a kommunikációs könyvtárat, ezért egyszerre csak egy F-Secure Administrator példány képes azt adminisztrátori üzemmódban megnyitni, a házirend-tartomány szerkezetet megváltoztatni, házirendeket szétküldeni, stb.

5.2 F-Secure Administrator alapok Bejelentkezés Amikor elindítjuk az F-Secure Administratort, a következő párbeszédablak jelenik meg: 32


5. fejezet

A “Connection / Kapcsolatok” listamező a már definiált kapcsolatok kiválasztására szolgál. Minden kapcsolathoz külön beállítások tartoznak, ami több szerver egyetlen F-Secure Administrator-ral történő kezelését teszi egyszerűvé. Ezen kívül egyetlen szerverhez vagy kommunikációs könyvtárhoz több kapcsolatot is rendelhetünk. A kapcsolat kijelölése után írjuk be azt az adminisztrátori jelmondatunkat, amit a program telepítésekor hoztunk létre. Ez a jelmondat tehát NEM azonos a hálózati adminisztrátori jelszavunkkal. A programot elindíthatjuk Read-only üzemmódban is; ekkor nem szükséges jelszót beírnunk – és igaz az is, hogy ha nem írunk be jelszót, akkor a program csak olvasásra feljogosított felhasználóként kezel minket. Ekkor természetesen nem fogunk tudni semmilyen változtatást sem elvégezni. (Figyelem: ha az első telepítés után azonnal indítjuk az Administrator-t, majd ekkor választjuk az „Enter in Read-Only” módot, akkor az aktív policy adatok hiányára figyelmeztető hibaüzenet jelenik meg – ami teljesen rendjén is van.) A telepítő varázsló egy kezdeti kapcsolatot készít el. További kapcsolatok létrehozásához kattintsunk az “Add / Hozzáadás” gombra. Egy már létező kapcsolat szerkesztéséhez kattintsunk az “Edit / Szerkesztés” gombra.

Az adatok tároló helyére mutató kapcsolatot vagy az F-Secure Management Server HTTP URL-jével, vagy egy kommunikációs könyvtár elérési útvonalának beírásával adhatjuk meg. Ha egy még nem létező kommunikációs könyvtárat adunk meg, az F-Secure Administrator a jóváhagyás után el fogja azt készíteni.

33

5. fejezet


A “Name / Név” mező adja meg, hogy a “Connection / Kapcsolatok” listamezőben milyen néven kerül majd bejegyzésre a kapcsolat. Ha a “Name / Név” mezőt üresen hagyjuk, akkor az URL vagy a könyvtár útvonal kerül megjelenítésre. A “Public Key File / Nyilvános kulcs fájl” és a “Private Key File / Személyes kulcs fájl” mezőkben látható útvonalak határozzák meg, hogy az adott kapcsolatban melyik kezelő kulcs-pár kerül alkalmazásra. Ha a hivatkozott kulcs állományok még nem léteznének, az F-Secure Administrator egy új kulcspárt fog elkészíteni.

A kommunikációs protokol kiválasztása kihatással van az alapértelmezett lekérdezési időre. Lassabb kapcsolatok esetén sokkal valószínűbb, hogy HTTP-t fogunk használni, mintsem egy megosztott kommunikációs könyvtárat, így a státusz, a riasztások és az autoregisztrációs kérések alapértelmezett lekérdezési időköze hosszabb HTTP használata esetén. Egy adott környezethez illesztéshez megváltoztathatjuk a kommunikációs beállításokat. Ha valamelyik kezelési információ érdektelennek tűnik, úgy a felesleges lekérdezés teljes kikapcsolása javasolt, a letiltani kívánt lekérdezési elem előtti pipa törlésével. A “Disable All Polling / Minden lekérdezés tiltva” kapcsolóval valamennyi lekérdezés törölhető. Attól függetlenül, hogy az automatikus lekérdezés tiltott-e vagy sem, a kiválasztott nézet frissítésére a kézi frissítési műveletek használhatók. A “Refresh All / Mindent frissítsen” az összes kezelt adatot kérésre frissíti.

34


5. fejezet

Amikor az F-Secure Administrator programcsoportból elindítjuk at F-Secure Administratort, a következő négy panelt megjelenítve egy párbeszédablak nyílik: •=

Policy Domains / Házirend-tartományok

•=

Properties / Beállítások

•=

Editor / Szerkesztő

•=

Messages / Üzenetek (ha nincsenek üzeneteink, nem látható).

Policy Domains / Házirend-tartományok panel Egy házirend-tartomány olyan végpontok vagy al-tartományok csoportja, amelyekre hasonló biztonsági rendszabályok vonatkoznak. Az alábbi parancsokban hivatkozott “tartomány” kifejezés tehát nem Windows NT vagy DNS tartományt jelent! A Policy Domains / Házirend-tartományok panelen a következőket tehetjük meg: •=

Új házirend-tartomány felvétele. (Kattintsunk az eszköztáron található ikonra.) Új házirendtartományt csak akkor készíthetünk, ha egy magasabb szintű (“szülő”) tartományt már kijelöltünk.

•=

Új végpont felvétele (Kattintsunk a

•=

Egy tartomány vagy egy végpont beállításainak megtekintése. Valamennyi végpont és tartomány egyedi nevű kell, hogy legyen.

•=

Autoregisztrált végpontok átvétele.

ikonra)

35

5. fejezet


•=

Végpontok automatikus felkutatása egy NT tartományban.

•=

Végpontok vagy tartományok törlése.

•=

Végpontok, vagy tartományok mozgatása kivág / beilleszt műveletek segítségével.

Egy tartomány vagy egy végpont kiválasztása után a fenti lehetőségeket az “Edit / Szerkesztés” menüből érhetjük el. Properties / Beállítások panel A házirend meghatározása a paraméterek aktuális értékeinek megadásából, az érték engedélyezésének meghatározásából és a paraméterekhez férés korlátozásának megszabásából áll. Egy tartomány vagy végpont házirendjei a “Properties / Beállítások” panelen határozhatók meg. A “Properties / Beállítások” panel elágazásokat (ágakat), táblázatokat, sorokat és házirend-változókat tartalmaz. Az elágazások csak a struktúra bővítésére használatosak. A táblázatok tetszőleges számú sort tartalmazhatnak. A “Properties / Beállítások” panel a következő táblázatokat tartalmazza: •=

Policy / Házirend – A “Házirend” táblázat teszi lehetővé, hogy az “Editor / Szerkesztő” panelt a tartományoknak vagy végpontoknak szóló paraméterek, korlátozások és műveletek megadására használjuk. Ezek a beállítások azután lépnek életbe, miután a házirendet szétküldtük és az Agent el is hozta az azt tartalmazó házirend állományt.

•=

Status / Állapot – A minden termék alatt látható “Status / Állapot” táblázat két státusz-csoportot tartalmaz: “Settings / Beállítások” és “Statistics / Statisztikák”. A “Settings” azokat a helyi beállításokat mutatja meg, amelyek a végponton kifejezetten módosíthatók; de nem jelennek meg a kiinduló (gyári) paraméterek vagy azok az értékek, amelyeket a “Base Policy / Alap-házirend” állított be. A “Statistics” ág a végpont valamennyi termékének statisztikáját megmutatja.

•=

Alerts / Riasztások – Az “Alerts / Riasztások” táblázat a kiválasztott tartomány végpontjaitól származó riasztások listáját mutatja meg, továbbá az “Editor / Szerkesztő” panelen kiválasztott riasztást és a riasztáshoz tartozó jelentéseket jeleníti meg.

•=

Reports / Jelentések – Megmutatja a kiválasztott végponttól származó valamennyi jelentést.

Editor / Szerkesztő panel Az “Editor / Szerkesztő” panel működése attól függően változik, hogy a “Properties / Beállítás” panelen melyik táblázatot nyitottuk meg: •=

36

Policy / Házirend táblázat – Az Editor panelben egy házirend-változó értékét tudjuk beállítani. Valamennyi elvégzett változtatás a kiválasztott tartományra vagy végpontokra lesz hatással. Minden egyes változó típushoz tartozik egy előre megadott szerkesztő sablon. Ez a szerkesztő sablon akkor jelenik meg, amikor a Policy / Házirend táblázatban kiválasztunk egy változó típust. Bizonyos elágazások, táblázatok és záró node-ok speciális szerkesztő sablont igényelhetnek. Ezek a szerkesztők végzik valamennyi termék számára az F-Secure Administrator testre szabását. Léteznek továbbá a


5. fejezet

“Restriction Editors / Korlátozás-szerkesztők” is, amelyek az “Editor / Szerkesztő” panelben is megnyílhatnak, de különálló párbeszéd ablakként is megjelenhetnek. •=

Status / Állapot táblázat – Az Editor / Szerkesztő panelen statisztikák, valamint azon beállítások nézhetők meg, amelyeket a végpontok jelentenek a helyi változtatásokról.

•=

Alerts / Riasztások táblázat – Amikor egy riasztást jelölünk meg az Alerts / Riasztások táblázatban, az Editor / Szerkesztő panelen megjelennek az adott riasztás részletei.

•=

Reports / Jelentések – Amikor a Reports / Jelentések táblázaton kiválasztunk egy jelentést, az Editor / Szerkesztő panelen megjelennek az adott jelentés részletei.

Messages / Üzenetek panel Az F-Secure Administrator az egyes eseményekről szóló üzeneteket a “Message / Üzenet” panelen naplózza. A riasztásoktól és a jelentésektől eltérően, a “Message / Üzenet” panel eseményeit maga az FSA hozza létre. Három üzenet-kategória létezik: információ, figyelmeztetés és hiba. Mindegyiknek saját vezérlő táblázata van, amelyik külön kérésre jön létre. Egy kategória a táblázaton adott jobboldali egérkattintásra előugró helyi menüben törölhető. Ha egy egyedi üzeneten végzünk jobboldali egérkattintást, a helyi menün kivágás, beillesztés és törlés lehetőségek közül választhatunk. Alapértelmezésben az üzenetek a helyi FSA telepítő könyvtár üzeneti alkönyvtárába kerülő UTF-8 állományokban kerülnek naplózásra. Valamennyi üzenet-kategóriának különálló naplófájl készül (a táblázat nevek a Message / Üzenet panelen találhatók). A “Preferences-Messages / Beállítások-Üzenetek” panelt a naplófájl helyének meghatározására és a naplózás ki- illetve bekapcsolására használhatjuk. Jegyezzük meg, hogy az üzenet mentése nincs hatással a nézetre. A “Message / Üzenet” nézet működésére hatástalan az üzenet mentésének be- vagy kikapcsolása. Az eszköztár

Az eszköztár az F-Secure Administrator legáltalánosabb tennivalóinak gombjait tartalmazza. Új házirend adatok készítése Előzőleg mentett házirend adatok megnyitása Házirend-adatok mentése. Házirend mentése és szétküldése. Egy végpont vagy tartomány kivágása. Egy végpont vagy tartomány beillesztése. Egy tartomány hozzáadása a kiválasztott tartományhoz. Egy végpont hozzáadása a kiválasztott tartományhoz. 37

5. fejezet


Egy végpont vagy tartomány beállításait tartalmazó ablak megjelenítése. Autoregisztrált végpont átvétele egy kiválasztott tartományba. A zöld szín azt jelzi, hogy egy végpont autoregisztrációs kérést küldött. Az “Autodiscover Windows Hosts / Windows végpontok automatikus felkutatása” eszköz indítása. Az új munkaállomások a kijelölt házirend-tartományba épülnek be. Valamennyi riasztás megjelenítése. A világító ikon kezeletlen riasztást jelez. Az elérhető telepítő csomagok megjelenítése.

5.3 Tartományok és végpontok kezelése Mielőtt egy végpontot átvehetnénk az F-Secure Administrator-ba, előbb meg kell terveznünk a házirendtartomány szerkezetét. Bemutatunk egy tartomány / altartomány szintű házirend-tartomány szerkezeti példát. Az egyes végpontok akkortól vehetők át ebbe a szerkezetbe, amikor az F-Secure Administrator-t már telepítettük a munkaállomásokra.

Ebben a struktúrában valamennyi tartománynak és végpontnak egyedi névvel kell rendelkeznie. Házirend-tartományok felvétele

38


5. fejezet

Az “Edit / Szerkesztés” menüből válasszuk ki a “New Policy Domain / Új házirend-tartomány” elemet ikonra az eszköztáron. Az új házirend-tartomány a megjelölt szülő-tartomány alvagy kattintsunk a tartománya lesz.

A beviteli mezőben beírhatjuk a házirend-tartományunk nevét. A “Policy Domain / Házirend-tartomány” panelen létrejön a tartománynak megfelelő ikon. Végpontok hozzáadása A használt operációs rendszertől függően, a végpontok házirend-tartományhoz adásának két fő módszere létezik: •=

Végpont közvetlen átvétele a Windows NT tartományból.

•=

Végpont átvétele autoregisztrációval. A végpont ilyen típusú átvételéhez az szükséges, hogy az FSecure Management Agent telepítve legyen az átemelendő gépen.

Ezeken kívül a “New Host / Új végpont” parancs használatával kézzel is felvehetünk végpontokat.

Windows NT tartományok Egy Windows NT tartományban valamely házirend-tartomány bővítésének legkényelmesebb módja a végpontok átvétele az F-Secure Intelligent Installation segítségével. Ehhez az F-Secure Administrator “Edit / Szerkesztés” menüjében az “Autodiscover Windows Hosts / Windows végpontok automatikus felkutatása” elemet kell kiválasztanunk. Ne felejtsük el telepíteni az F-Secure Management Agent programot sem a beemelendő végponton. Egy végpont szabályos átvétele egy NT tartományból úgy történik, hogy kijelöljük a céltartományt, majd az “Edit / Szerkesztés” menüből kiválasztjuk az “Autodiscover Windows Hosts / Windows végpontok automatikus felkutatása” elemet. További információkért ld. a könyv negyvenharmadik oldalán található 5.4 “Szoftver szétosztás” fejezetet.

Autoregisztrált végpontok A nem-Windows NT tartományokban a legkényelmesebben az autoregisztrációs képesség kihasználásával vehetjük át az F-Secure Administrator-ba a végpontokat. Ezt csak akkor tudjuk elvégezni, ha az F-Secure Management Agent programot a beemelendő munkaállomásokon már telepítettük, majd a gépek autoregisztrációs kérést küldtek. Az F-Secure Management Agent telepítése CD-ről, login scriptből vagy bármilyen más úton történhet. Az autoregisztrált végpontok átvételéhez kattintsunk a ikonra vagy vá-

39

5. fejezet


lasszuk az Edit / Szerkesztés menüből az “Import Autoregistered Hosts / Autoregisztrált végpontok átvétele” parancsot.

Végpontok kézi felvétele Egy végpont kézi felvételéhez jelöljünk ki egy házirend-tartományt majd válasszuk ki az Edit / Szerkesztés menüből a “New Host / Új végpont” parancsot vagy kattintsunk az “Add Host” gombra. Ez a művelet a következő esetekben hasznos: Tanulás és tesztelés – Kitapasztalhatjuk az F-Secure Administrator viselkedését anélkül, hogy bármilyen más további programot kellene hozzá telepítenünk. Például elkészíthetünk egy teszt-tartományt, hozzá egy teszt-végpontot, majd megadhatunk hozzá F-Secure VPN+ kapcsolatokat, anélkül, hogy végpontokra telepítenénk magát a VPN+ programot. Házirend előre definiálása – Még az előtt meghatározhatunk és létrehozhatunk egy végpontnak szóló házirendet, mielőtt a szoftvert telepítettük volna a végpontra. Speciális esetek – Házirendeket hozhatunk létre olyan végpontok számára, amelyek soha nem fognak közvetlenül a kommunikációs könyvtárhoz férni (azaz, amikor nem lehetséges a végpont átvétele). Elkészíthetünk például házirend alapértékeket tároló állományokat (Base Policy Files) egy olyan VPN+ átjáró számára, amelyik soha nem fog a kommunikációs könyvtárhoz fordulni. A létrehozott házirend alapértéktároló állományt vagy kézi úton, vagy más külső átviteli módszerrel kell majd elküldenünk.

MEGJEGYZÉS: A tartomány szerkezeten elvégzett bármilyen változtatás még akkor is végrehajtásra kerül, ha az aktuális házirend-adatok mentése nélkül lépnénk ki az F-Secure Administrator programból.

A végpont beállításai A “Host Properties / Végpont beállítások” párbeszéd ablakot az “Edit / Szerkesztés” menü “Properties / Beállítások” parancsának kiválasztásával vagy az eszköztáron található gombra kattintással nyithatjuk meg. A végpont beállításainak megváltoztatásához töröljük a “Host Properties / Végpont beállításai” párbeszédablak Identities tablóján található “Autoupdate Properties / Beállítások automatikus frissítése” pipát. A végpont hálózati neve az a név, amelyet a házirendhez féréshez a hálózaton belül használ. A hálózati név IP cím, tartománynév vagy WINS név lehet.

40


5. fejezet

A Platform tablón az adminisztrátor a végpont operációs rendszerét adhatja hozzá a tulajdonságokhoz. Windows 95 és a Windows 98 végpontok kézzel hozhatók létre. A “Platform name” a használt operációs rendszer nevét jelenti. Az operációs rendszer verziószáma a következő: Windows 95

4.0

Windows 98

4.x (ahol x egy 0-nál nagyobb számolt jelöl)

Windows NT

4.0

MEGJEGYZÉS: A “Windows 95/98” mind a Windows 95, mind a Windows 98 platformra vonatkozó név. A verziószám az operációs rendszert jelzi. A “Miscellaneous / Egyebek” tablón a végpont másolatát (alias) lehet definiálni. Ha egy másodlatot definiálunk, akkor az a tartomány-fa megjelenítésekor helyettesíteni fogja a végpont valódi azonosítóját. A VPN+ tablót csak akkor használjuk, ha van F-Secure VPN+ szoftverünk. A VPN+ tabló a végpontnak (az IPSec kapcsolatokhoz használt) VPN+ azonosításáról tartalmaz információt. MEGJEGYZÉS: Ha a végpont nem használ statikus IP címeket, – tehát ha olyan betárcsázós munkaállomásunk van, amelyik az IP cím megszerzéséhez DHCP-t használ, – akkor azonosítóként e-mail címet kell használnunk. Szerverek és átjárók számára mindig statikus IP címeket; a VPN+ azonosításához pedig IP címet használjunk.

A VPN+ azonosítók automatikus inicializálása Más végpont beállításokhoz hasonlóan, a VPN+ azonosítások is támogatják az automatikus beállítás frissítést, esetükben azonban létezik egy olyan további sajátosság, amely az üresen hagyott beállításértékek automatikus inicializálásához használható. 41

5. fejezet


Ha az “Initialize from Status Information / Kezdeti értékek a státusz-információkból” négyzetet kipipáljuk, a VPN+ beállítások a végponttól kapott státuszinformációk felhasználásával kapnak kiindulási értékeket. A következő kezdőérték-beállítások zajlanak le: •=

Ha a “VPN+ Identity Type” mező a “None” értéket tartalmazza, bármely azonosítási típus inicializálható.

•=

Az “Email Adresses / E-mail címek” inicializálásra kerül, ha ez a mező üres.

•=

Az “X.500 Distinguished Names” inicializálásra kerül, ha ez a mező üres.

Az automatikus inicializálás akkor hasznos, ha az eredeti végpont beállítások nem tartalmaznak információt a VPN+ azonosításról. Ez játszódik le például a következő esetben: •=

A végpontot egy NT tartományból vettük át. (Az F-Secure Management Agent programot távoli telepítéssel vittük fel a rendszerre.) Mivel a VPN+ ekkor még nincs telepítve, a VPN+ azonosításról sem tudunk információt szerezni. Egy házirend alapú telepítés felhasználásával vigyük fel most a gépre a VPN+ modult. A végpont ettől kezdve már ismerni fogja a saját VPN+ azonosítását és ez az információ a statisztikákba is bekerül. Az F-Secure Administrator megjegyzi, hogy a statisztikák VPN+ azonosítást tartalmaznak. Ha az “Initialize from Status Information / Kezdeti értékek a státusz-információkból” négyzetet kipipáljuk, a végpont beállítások a fentieknek megfelelően inicializálásra kerülnek, amiről az F-Secure Administrator “Messages / Üzenetek” paneljén értesítést is fogunk kapni.

A beállítások automatikus frissítése (autoupdate) és automatikus inicializálása között az a legfontosabb különbség, hogy az automatikus inicializálás csak egyszer történik meg. Az automatikus frissítés mindig frissíteni fogja a paramétereket, még akkor is, ha eredetileg kézzel került bevitelre az értéke. Az automatikus inicializálás sokkal inkább korlátozott: ha egy mező már tartalmaz egy értéket, akkor az többé meg nem változtatható. Ebben az esetben nem számít, hogy a kezdeti érték a végpont statisztikájából származik vagy kézzel adtuk azt meg.

42


5. fejezet

5.4 Szoftver szétosztás Az F-Secure Administrator két módszert használ az alkalmazások telepítésére és frissítésére: •=

Egy natív Windows NT intelligens telepítésre szolgáló felhasználói felületként működhet (olyan telepítés során, amikor az F-Secure Management Agent nincs telepítve a végponton)

•=

Házirend-alapú indítást használó frissítési és telepítési műveleteket kezdeményezhet. Ennek feltétele, hogy az F-Secure Management Agent már telepítve legyen a célként szereplő végponton.

Az F-Secure Administratort ezen kívül még arra is használhatjuk, hogy a legfrissebb vírusismereti adatbázist a kommunikációs könyvtárba emeljük át. A telepítés az egyes végponton önállóan is végrehajtható a CD-ről közvetlenül elindított telepítő futtatásával. A telepítés után az F-Secure Management Agent az F-Secure Management Server-en keresztül egy regisztrációs üzenetet küld az F-Secure Administrator számára. A rendszeradminisztrátor megnézheti és fogadhatja az új végpontot az F-Secure Administrator program “Edit / Szerkesztés” menü “Import Autoregistered Hosts / Autoregisztrált végpontok átvétele” parancsával. A szabvány CD-ROM telepítő használata helyett az F-Secure Administratort egy olyan testre szabott telepítő csomag (JAR) elkészítésére is igénybe vehetjük, amelyik a telepítéshez szükséges beállításokról hordoz információkat. Mivel a csomag mindazon információkat tartalmazza, amelyeket normál esetben a felhasználótól kellene megkérdezni, használatával a végfelhasználó bárminemű beavatkozása nélkül építhető fel a rendszer a munkaállomásán.

F-Secure intelligens telepítés (Windows végpontok automatikus felkutatása) Az “F-Secure Intelligent Installation / F-Secure intelligens telepítés” (FSII) lehetővé teszi, hogy az NT tartomány-adminisztrátorok a tartomány munkaállomásain távvezérelt módon, az adminisztrátori munkaállomásról állítsanak rendszerbe szoftvert. Az alapelv az, hogy egy Telepítőt több megcélzott végponton egyszerre, távkezelt módon indítjuk, szoftvercsomagoknak e munkaállomásokra történő automatikus szétküldése útján. Ezzel a módszerrel az adminisztrátornak nem szükséges a telepítést minden egyes gépen kézzel végrehajtania. Az intelligens telepítést az “Edit / Szerkesztés” menü “Autodiscover Windows Hosts / Windows végpontok automatikus felkutatása” parancsának kiválasztásával érhetjük el. Az intelligens telepítés a rendelkezésre álló Windows gépek után kutatva, végigkeresi a hálózatot. A gépek megjelenő listájából az adminisztrátor kiválaszthatja a végpontok azon csoportját, amelyen az F-Secure Management Agent program települ. A telepítés azonnal el fog indulni; a folyamat az adminisztrátor monitorán követhető nyomon. A művelet során a végpontok az F-Secure Administrator tartomány struktúrájába beépülnek. Az F-Secure Administrator elkészíti a JAR telepítő csomagot és szétküldi azt a megcélzott végpontok helyi merev lemezére. Ezután az indító segédprogram végrehajtja a JAR csomagban található telepítést. Windows NT környezetben ez háttér-processzként, Local System jogokkal azonnal megtörténik. MEGJEGYZÉS: A Windows 95/98 munkaállomásoknak egy sor konfigurációs követelménynek kell eleget tenniük azért, hogy az FSII működhessen rajuk. (ld. “G” Függelék: Távtelepítési segédlet Windows 95/98 környezethez) 43

5. fejezet


A JAR csomagban tárolt telepítő paraméterek az F-Secure Administrator-ban változtathatók meg; ehhez használjuk az F-Secure Management Agent csomagban található Installation Wizard telepítő varázslót. Az intelligens telepítés során a telepítő csomag digitális aláírása még nem ellenőrizhető, mivel a végpont ekkor még nem férhet hozzá a kezelő kulcshoz.

Az F-Secure intelligens telepítés használata 1.

Jelöljük meg azon végpontok házirend-tartományát, amelyeken majd telepíteni akarjuk az F-Secure Management Agent programot.

2.

Az “Edit / Szerkesztés” menüből válasszuk ki az “Autodiscover Windows Hosts / Windows végpontok automatikus felkutatása” parancsot.

3.

Az “NT Domains / NT tartományok” listából válasszunk egy tartományt, majd nyomjuk meg a “Refresh / Frissítés” gombot.

A végpontok listája csak a “Refresh / Frissítés” megnyomása után frissül. Ha nem így teszünk, akkor működési okok miatt a rendszerről korábban tárolt információk jelennek meg. A “Refresh / Frissítés”-re kattintás előtt megváltoztathatjuk az Autodiscover opciókat: Resolve hosts with all details / Végpontok részletes lekérése Ennek választásával a végpontról szóló valamennyi részlet – úgymint az operációs rendszer és az F-Secure Management Agent verziója – megtekinthető. Az Agent verziószáma megjelenik.

44


5. fejezet

Resolve host name and comments only - Quick / Csak a végpont nevek és megjegyzések lekérése Ezt a lehetőséget akkor választhatjuk, ha nem akarjuk részletesen megnézni az összes végpontot, vagy ha túl sok ideig tart a lista elhozatala. Megjegyezzük, hogy néha sok időbe telik, amíg a hálózatba frissen telepített új végpont láthatóvá válik a Master Browser számára. Hide already managed hosts / A már kezelt végpontok elrejtése Eltávolítja azon végpontok listáját, amelyeken már van F-Secure Management Agent telepítve. Ennek a lehetőségnek a használatához a kezelőnek bizonyos típusú felhasználói –általában adminisztrátori – jogokkal kell rendelkeznie a tartományban. Ha csak azokat a végpontokat akarjuk megnézni, amelyeken még nincs F-Secure Management Agent telepítve, jelöljük be a “Hide Managed Hosts / A kezelt végpontok rejtése” lehetőséget. Windows NT gépeken ez csak akkor áll rendelkezésre, ha a bejelentkezett felhasználónak hozzáférési joga van a megcélzott végpontok registry-jéhez. Ezen túlmenően, csak azokon a Windows 95/98 gépeken működik, amelyeken telepítve van a registry távkezelési szolgáltatás (ld. “C” Függelék: SNMP támogatás). 1.

Jelöljük meg a telepítés alá vonandó végpontokat, és kattintsunk az Install / Telepítés gombra.

A telepítéshez jelöljük meg a kívánt végpontokat. Több munkaállomás egyszerűen kijelölhető a Shift gomb lenyomva tartása mellett leütött Space billentyűvel. A korábbi telepítés státusza a képernyőn látható. 2.

Jelöljük ki a telepítendő csomagot és kattintsunk az OK gombra.

3.

Jelöljük ki a telepítendő termékeket és kattintsunk az OK gombra.

4.

Válasszunk felhasználó azonosítót és jelszót az F-Secure intelligens telepítő számára.

45

5. fejezet


MEGJEGYZÉS: A telepítés során az FSII adminisztrátori jogokat követel meg a megcélzott munkaállomáson. Ha az általunk beírt azonosítónak nincsenek adminisztrátori jogai a végpontok valamelyikén, úgy ezt az adott gépre vonatkozó “access denied / hozzáférés megtagadva” hibaüzenet fogja visszajelezni, miközben a telepítés a többi gépen tovább folytatódik. Jelöljük meg a “This Account / Az aktuális azonosító” vagy az “Another Account / Másik azonosító” közül az egyiket. 1.

2.

This Account – Amikor ezt jelöljük meg, akkor az aktuálisan bejelentkezett felhasználó jogait fogjuk használni. Speciális kiváltságok nem szükségesek. A következő esetekben használjuk ezt a lehetőséget: a.

Ha már tartomány-adminisztrátorkén vagyunk bejelentkezve, vagy

b.

Helyi adminisztrátorként vagyunk bejelentkezve, egy olyan jelszóval, ami a helyi végpont adminisztrátori jelszavával összhangban van, vagy

Another Account – Írjunk be egy adminisztrátori tartomány-azonosítót és jelszót.

Ezzel a módszerrel nem kell az adminisztrátornak ismételten tartomány-adminisztrátori jogokkal bejelentkeznie az F-Secure Administrator NT konzolba. A különböző megbízható, ám más – más jelszóval rendelkező tartományokba való egyszerű belépéshez az adminisztrátor a megfelelő tartomány-adminisztrátori jelszót tudja beírni. A beírt azonosítónak mindig tartomány\azonosító formátumú tartományazonosítónak kell lennie. Ahhoz, hogy az adminisztrátor élhessen ezzel a lehetőséggel, az “Act as part of operating system / Az operációs rendszer részeként működő” felhasználói joggal kell rendelkeznie az F-Secure Administrator gépen. Ha ez nem így lenne, az “User does not have the required privilege / A felhasználónak nincs meg a szükséges jogosultsága” hibaüzenetet kapjuk. E felhasználói jognak az FSA konzolon érvényes adminisztrátori vagy egy normál felhasználói azonosítójához rendelését úgy végezhetjük el, hogy megnyitjuk a Windows NT User Manager > Policies > User Rights ablakot, kiválasztjuk a Show Advanced User Rights elemet és engedélyezzük ezt a jogot. MEGJEGYZÉS: Az új felhasználói jog érvényesítéséhez az adminisztrátornak ki kell léptetnie (log off) az F-Secure Administrator gépet. 1.

A “Remote Installation / Távoli telepítés” varázsló végigvezet minket egy sor párbeszédablakon. Az utolsó ablakban kattintsunk a Finish / Befejez gombra. Az eljárás további részleteiről ld. a könyv 53. oldalán írtakat.

2.

Az FSII ekkor elkezdi az F-Secure Management Agent-et és a kiválasztott termékeket az adott munkaállomásokra telepíteni. Ennek során a “Status” sor jeleníti meg a folyamatban lévő eljárást. A telepítés megszakításához bármikor kattinthatunk a Cancel gombra.

3.

Amikor a “Status” sorban megjelenik a “Complete / Kész” felirat, a folyamat befejeződött és a Cancel gombot a “Close / Bezár” gomb váltja fel. Az F-Secure Administrator az 1. lépésben kiválasztott tartományba elhelyezi a végpontokat.

46

Az F-Secure Administrator használata 4.

5. fejezet

Néhány perc múltán a jobb oldali “Editor / Szerkesztő” panel kilistázza a telepített termékeket. A lista megtekintéséhez előbb ki kell jelölnünk a “Properties / Beállítások” panelen a legfelső tartományt.

MEGJEGYZÉS: Ha a telepítés során hiba lépne fel, a leggyakoribb hibahelyzetek magyarázatáért lapozzunk az „F” Függelék: FSII távoli telepítés hibakódjai leíráshoz. Házirend alapú telepítés Azokon a végpontokon, ahol telepítve van az F-Secure Management Agent, egy házirend állományt telepítések indítására használhatunk. Az F-Secure Administrator művelet-specifikus telepítő csomagokat készít, amelyeket a Management Server-en tárol. A végpont rendszeres időközönként lekérdezi az új házirendeket. A házirend alapértékeit tároló állományok (Base Policy Files) az F-Secure Administrator-tól a végpontokhoz irányuló információk átvitelére használatosak. Mivel digitálisan aláírtak, így csak hiteles házirendek kerülnek elfogadásra. Amikor egy végpont egy új házirend állományt kap, a telepítő program értesítést kap arról, hogy a telepítési parancsokat tartalmazó táblázat megváltozott. Ekkor a telepítés kezelő megkeresi az új bejegyzést az aláírt JAR telepítő csomag nevét tartalmazó házirendben, majd elhozza a telepítő csomagot. Egy programeltávolítás (uninstall) ugyanazt a küldési mechanizmust használja, mint egy normál telepítés.

A telepítés-szerkesztő használata A telepítés-szerkesztőt azokon a végpontokon kell használni, amelyeken az F-Secure Management Agent már telepítve van. A telepítés-szerkesztőt úgy érhetjük el, hogy a Properties / Beállítások panelen kijelöljük a gyökér csomópontot (“F-Secure” elágazást). A telepítés-szerkesztő az Editor / Szerkesztő panelen válik láthatóvá. A telepítés-szerkesztőben az adminisztrátor kiválasztja a kijelölt végponton vagy házirend-tartományon telepítendő termékeket. A telepítés-szerkesztő a következő információkat tartalmazza a célul kijelölt házirend-tartományon vagy végponton telepítendő termékekről: Product name

Annak a terméknek a neve, amelyet közvetlenül vagy egy rendelkezésre álló telepítő csomaggal telepíthetünk a végponton / tartományon.

Installed version

A termék verziószáma. Ha egy termék több változatát is telepítettük, valamennyi verziószám megjelenítésre kerül. Végpontok számára itt mindig egyetlen verziószám jelenik meg.

Version to Install

A telepítő csomagokban rendelkezésre álló megfelelő termékek verziószámai.

Version Being Installed

A tartományon vagy végponton aktuálisan települő verzió.

Progress

A telepítési feladat előrehaladása. A “Progress / Folyamat” mező által megjelenített információ eltérő lehet a végpontok és a tartományok számára.

Ha végpontot választottunk ki, a “Progress / Folyamat” mező a következők egyikét tartalmazza:

47

5. fejezet


•=

Not installed.

Nincs telepítve termékváltozat. ( Az “Installed Version” – ld. fent – mező üres.)

•=

In progress.

A telepítési művelet elkezdődött, de a végpont még nem jelentette annak sikeres vagy hibás lefutását.

•=

Failed.

A telepítő vagy telepítést visszavonó művelet hibás volt. A részletes státuszinformációkért kattintsunk a Progress mezőben található gombra.

•=

Completed.

A telepítő vagy telepítést visszavonó művelet sikeres volt. Ez az üzenet akkor jelenik meg, amikor a telepítés-szerkesztő bezárult.

•=

(Üres mező)

Nincs aktív művelet. Az “Installed Version” mező mutatja az éppen telepítésre kerülő termék verziószámát.

Ha egy tartományt választottunk ki, a “Progress” mező a következők valamelyikét tartalmazhatja: •=

Not installed.

•=

visszamaradt gép / hibás telepítés. A telepítésből még visszamaradó gépek száma és a hibásan elvégzett telepítésű gépek száma. A részletes státuszinformációkért kattintsunk a Progress mezőben található gombra.

•=

Completed.

A telepítő vagy telepítést visszavonó művelet sikeres volt az összes végponton.

•=

(Üres mező)

Nincs aktív művelet. Az “Installed Version” mező mutatja az éppen telepítésre kerülő termék verziószámát.

A kiválasztott tartományban egy végpontra sem történt meg a termék telepítése.

Amikor az összes szükséges verziószám be van állítva, kattinthatunk a Start gombra. A telepítésszerkesztő elindítja a felhasználótól a telepítési paramétereket megkérdező telepítő varázslót, majd előkészíti egy, a megadott telepítési művelethez hangolt telepítő csomag szétküldését. Az új csomag az FSecure Management Server-en mentésre kerül. MEGJEGYZÉS: A Start nyomógombot az adminisztrátor a “Version to Install” mezőben megadott telepítő műveletek indítására használja. Ha a telepítés-szerkesztőt bezárjuk (másik objektum azonosító megadása vagy kiválasztása nélkül) vagy valamelyik másik tartományt, végpontot a nélkül választunk ki, hogy előtte megnyomtuk volna a Start gombot, akkor az összes változtatás törlődik. Mivel a telepítési művelet házirenden alapuló beindítást használ, a felhasználó szét kell, hogy küldje az új házirend állományokat. A házirend állomány egy bejegyzést fog tartalmazni, amelyik megmondja a végpontnak, hogy hozza el a telepítő csomagot és hajtsa végre a telepítést. Itt jegyezzük meg, hogy egy telepítő művelet kivitelezése jelentős időbe is telhet. Különösen igaz ez abban az esetben, ha a kiválasztott végpont éppen nem kapcsolódik a hálózathoz, vagy ha az aktív telepítési művelet megköveteli, hogy a felhasználó még a telepítés befejeződése előtt indítsa újra a gépét. Ha a végpont a hálózathoz kapcsolódott, és a házirend állományok küldését és fogadását hibátlanul végzi, még mindig felmerülhet egy – nem elméleti jellegű – probléma. Előfordulhat, hogy a végpont hibásan igazolja vissza a telepítő műveletet. Erre (is) tekintettel, lehetőségünk van a házirendből törölni a telepítési műveletet a Stop All gombra kattintással. Ez meg fogja szakítani a kiválasztott házirend-tartománynak vagy végpont-

48


5. fejezet

nak szóló telepítési műveletet, ám nem lesz hatással semmilyen, nem ennek az al-tartománynak vagy munkaállomásnak szánt más telepítési műveletre. A “Stop All” nyomógomb csak akkor engedélyezett, ha az éppen kezelt al-tartomány vagy végpont egy telepítési műveletben vesz részt. A gomb állapotára semmilyen al-tartományi művelet nincs hatással. Használata csak a házirendből távolítja el a műveletet. Ha valamelyik végpont már feldolgozta az előző házirend állományt, még abban az esetben is megkísérli a telepítési művelet végrehajtását, ha ez a telepítő szerkesztőben nem látszik. A rendszerről eltávolítást ugyanolyan egyszerűen végezhetjük el, mint egy frissítést. Egy olyan csomag készül, amelyik csak a termék eltávolításához szükséges programot tartalmazza. Amennyiben a termék nem támogatja a távvezérelt eltávolítást, a telepítés-szerkesztő nem jelenít meg eltávolítási információkat róla. (Ilyen a FileCrypto és a VPN+ esetén fordul elő; ezek egyike sem távolítható el távvezérelt módon.) A “Reinstall / Ismételt telepítés” kiválasztásával egy adott verzió újra telepíthető. Ezt a lehetőséget csak zavarelhárítás esetén kell használni. Egy termék újratelepítésére a legtöbb esetben nincs szükség. Login script Win 95/98 és NT 4.0 platformokon

Testre szabott JAR csomag használata 1.

Indítsuk el az F-Secure Administratort.

2.

A “Tools / Eszközök” menüről válasszuk az “Installation Packages / Telepítő csomagok” tételt. Megnyílik az Installation Packages párbeszédablak.

3.

Jelöljük meg azt a telepítő csomagot, amelyik tartalmazza a telepítendő terméket, majd kattintsunk az “Export / Átadás” gombra.

49

5. fejezet


4.

Adjuk meg azt a helyet, ahová el fogjuk menteni a testre szabott JAR csomagunkat.

5.

Jelöljük meg a telepítendő termékeket. A csomagból az F-Secure Management Agent kivételével bármely alkalmazást kivehetjük.

6.

Az F-Secure Administrator megjeleníti azokat a távoli telepítés varázslókat, amelyek a kiválasztott termékhez szükséges valamennyi telepítési információt összegyűjtik.

7.

Az átadandó JAR csomagok végpontokra telepítéséhez használjuk az ilaunchr.exe eszközt. Az alapparancs “ilaunchr package.jar”. A csomag bármiféle felhasználói beavatkozás nélkül, csendben települ, nem javítható hiba esetén azonban egy üzenetet jelenít meg.

Az ILAUNCHR segédprogram az Administrator\Bin könyvtárban található. A következő parancssori kapcsolókkal hívható meg: / U – Kiszolgálás nélkül. Nem jelenít meg üzenetet, még akkor sem, ha egy végzetes hiba következne is be. / F – Kikényszerített telepítés. Még akkor is végrehajtja a telepítést, ha az F-Secure Management Agent már telepítve lenne a rendszerre. / ? – Teljeskörű segítség. Kilépési hibakód-lista és batch állományokban való használatra példa az ““E” Függelék: Ilaunchr hibakódok“ fejezetben található.

Nem-JAR rendszerű szemlélet 1.

Másoljuk egy telepítő könyvtárba a Workstation Suite telepítő állományokat. A Runsetup.exe automatikusan a telepítő készlet tagja lesz. (Szükség esetén másoljuk át a CD-n található WIN32\Utility\Runsetup könyvtárból a telepítő könyvtárba.)

2.

Másoljuk át ugyanebbe a telepítő könyvtárba az admin.pub állományt.

3.

Szerkesszük a prodsett.ini fájl tartalmát (mikéntjéről ld. az „“A” Függelék: antivírus adatfájlok frissítése” és a „“D” Függelék: a PRODSETT.INI módosítása” fejezeteket). Ez az állomány mondja el a telepítőnek, hogy melyik modulokat és hova kell telepítenie a munkaállomásokon.

4.

Adjuk hozzá a login scripthez a következő sort: x:\FWWSS\runsetup\checkFSMA „Ha a „/checkFSMA” paramétert nem használjuk, akkor az F-Secure Management Agent a runsetup.exe minden egyes végrehajtásakor telepítésre kerül.

A telepítés menete A telepítő csomagot igényeinknek megfelelően megváltoztathatjuk. E célra a Remote Installation Wizard (RIW; távoli telepítés varázsló) eszköz szolgál, ami az F-Secure Corporation-tól kapott valamennyi telepítő csomagban megtalálható.

50


5. fejezet

MEGJEGYZÉS: A termékek végpontokra történő szabályszerű telepítéséhez az F-Secure Management Agent-nek már telepítettnek kell lennie a gépen. Az F-Secure Management Agent a végpontra vagy az F-Secure intelligens telepítő automatikus felkutató (autodiscover) képességének felhasználásával, vagy kézi úton telepíthető. A következő lépéseket tegyük meg: 1. Miután kijelöltük a végpontra vagy a házirend-tartományra telepítendő termékeket és verzióikat, kattintsunk a Start gombra. Ez elindítja azt az “F-Secure Remote Installation Wizard / F-Secure távtelepítő varázsló” eszközt, amelyik a telepítő csomag módosításának lépésein vezet majd minket végig. 2. A varázsló első lapja az üdvözlő képernyő. Ennek elolvasása után kattintsunk a Next / Következő gombra. A RIW az éppen telepítés alatt álló termék sajátosságaival összhangban fog haladni. A lehetőségekről ld. a termék kezelői útmutatójában közölt információkat.

F-Secure Anti-Virus

Ha az F-Secure Anti-Virus vagy az F-Secure FileCrypto kerül telepítésre a végponton, akkor a RIW engedélyt fog kérni tőlünk a termék már létező példányának törléséhez. Pipáljuk ki a jelölő négyzetet, ha törölni szeretnénk a régebbi telepített változatot. A folytatáshoz kattintsunk a Next / Következő gombra.

F-Secure FileCrypto A FileCrypto-nak a GINA.DLL fájl lecserélésére is szüksége van. Ez a telepítéskor automatikusan megtörténik, az eredeti GINA.DLL-t az F-Secure dll-je fogja futtatni. Ha a FileCrypto után olyan terméket telepítünk a gépünkre, amely szintén lecseréli a GINA.DLL-t, de nem támogatja a láncba fűzést, akkor a

51

5. fejezet


FileCrypto-t újra kell telepítenünk, vagy a láncba fűzést nekünk kell kézzel megtennünk. Ehhez a következő változtatásokat kell végrehajtanunk a rendszerleíró adatbázisban: 1. “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersi on\Winlogon\GinaDLL" = “c:\winnt\system32\fsdgina.dll” (this will install FileCrypto GINA). 2. “HKEY_LOCAL_MACHINE\SOFTWARE\Data Fellows\F-Secure\FileCrypto\ ChainedGina” = "msgina.dll" (this will chain the FileCrypto GINA with Microsoft GINA) FIGYELMEZTETÉS: Ezeknek az értékeknek a beállításakor nagyon figyelmesen kell eljárni. Ha rossz értéket állítunk be, vagy a beállított helyen nem található fájl, akkor a rendszer kék halált (BSoD) halhat induláskor. A változtatások aktivizálásához a rendszert újra kell indítani.

A FileCrypto és az F-Secure Desktop egymással nem kompatíbilisek, egyazon gépre telepítésük adatvesztést okozhat. Ha tehát a hálózatunk valamelyik végpontján már telepítve lenne egy F-Secure Desktop termék, akkor jeleznünk kell a választásunkat arról, hogy a varázsló átugorja-e a FileCrypto végpontra telepítését vagy hagyja azt abba. A választásunk megadása után kattintsunk a Next / Következő gombra.

52


5. fejezet

F-Secure VPN+

1.

Az első képernyőn adjuk meg a hálózatunknak szóló VPN+ információkat. A VPN+ végpont tanúsítványában szereplő adatoknak megfelelően töltsük ki a “Country / Ország”, “Organization / Szervezet”, “Organization Unit / Részleg” mezőket. Válasszuk ki a hálózatban használt azonosítás-típust is. Ha telepítéskor az “Use IP Adresses as Identity / IP cím használata azonosításra” kerül kiválasztásra, akkor semmit nem kell beírnunk a “Domain Part of the E-Mail Address / Az e-mail cím domain része” mezőbe. Ha bármilyen más azonosítási típust választunk ki, akkor írjuk be az azonosítás domain részét ebbe a mezőbe.

2.

Ha a végponton a VPN+ egy korábbi változata már telepítve volt, akkor a következő tevékenységekből egynek a kiválasztásáról kapunk kérdést:

•Υ Ignore previous installation

A korábbi telepítés figyelmen kívül hagyása mellett a most indított te-

lepítés elvégzése. •Υ Resolve automatically (Recommended) Automatikus döntés (Javasolt). Ha nem lehetséges a VPN+ te-

lepítése, tovább lép. •Υ Skip component installation

Ütközés esetén a VPN+ telepítését átlépi.

•Υ Abort Workstation Suite Installation

Telepítés megszakítás. Az elemek nem fognak települni.

53

5. fejezet


A folytatáshoz kattintsunk a “Next / Tovább” gombra. 3.

Ha a Telepítő 3com Smartagent jelenlétét észleli a végponton, akkor megkérdezi, hogy a következő tevékenységekből melyiket választjuk. (Ezt a kérdést mindig felteszi, függetlenül attól, hogy észlelt-e ütközést vagy sem. Ennek az az oka, hogy a telepítés távvezérelten történik, így nem tudjuk előzetesen ellenőrizni, fennáll-e az ütközés lehetősége.)

•Υ Resolve automatically (Recommended) Automatikus döntés (Javasolt). Ha nem lehetséges a VPN+ te-

lepítése, tovább lép. •Υ Skip component installation

Ütközés esetén a VPN+ nem lesz telepítve a végpontra.

•Υ Abort Workstation Suite Installation

54

A telepítés megszakítása.


5. fejezet

A folytatáshoz kattintsunk a Next / Következő gombra.

A telepítést követő műveletek Miután a telepítés sikeresen lezajlott, a végpontot újra kell indítani. A varázsló utolsó lapján kiválaszthatjuk, hogy hogyan kívánjuk az újraindítást elvégezni. Információ forgalom Valamennyi telepítési információ szállítása fájlokkal, az F-Secure Management Server-en keresztül történik. A telepítő csomagok például olvasható JAR archívumok – WinZip –, más fájltípusok, mint a házirend és az INI állományok – az éppen esedékes telepítési folyamat indításához használatosak.

Telepítő csomagok szállítása a Management szerverhez Mielőtt az F-Secure Administrator bármilyen telepítést el tudna kezdeni, a kezdő telepítő csomagot el kell juttatni az F-Secure Management Server-hez. A telepítő csomagok három forrásból származhatnak: •Υ A telepítő CD lemezről •Υ Az F-Secure Web lapjáról

Az adminisztrátornak kézzel kell átmásolnia a telepítő csomagokat a kommunikációs könyvtárban található /Install/Entry alkönyvtárba, kivéve, ha a telepítő csomagok az F-Secure Administrator Telepítővel lettek telepítve. Az F-Secure Administrator a használatba vétel előtt ellenőrizni fogja, hogy az új telepítő csomagok sértetlenek, és hogy az F-Secure Corporation saját kulcsával aláírásra kerültek-e.

55

5. fejezet


5.5 Házirendek kezelése Beállítások A beállítások konfigurálásához tallózzuk a házirend fát és változtassuk meg a házirend-változók értékeit. A házirend-változók két csoportba sorolhatók: vagy (1) elágazás alatti levél csomópontok vagy (2) táblázat cellák lehetnek. Valamennyi házirend-változóhoz egy típus van hozzárendelve. Az értékeket az “Editor / Szerkesztő” panelen tudjuk beállítani. Egy házirend-változó típusa a következők valamelyike lehet: •Υ

Integer

•Υ

Display String

•Υ

IP Address négy × 8 bites (négy oktettes) IP cím

•Υ

Counter

növekvő egész értékű számláló

•Υ

Gauge

nem tördelt egész

•Υ

Time Ticks eltelt időegység (századmásodpercekben)

•Υ

Octet String bináris adat (ez a típus az UNICODE szöveg stringekben is használa-

normál egész számérték 7 bites ASCII szöveg string

tos) •Υ

OID

tárgyazonosító

•Υ

Opaque

bináris adat, amelyik további adattípusokat jelenthet.

Egy házirend-változónak előre megadott kezdő értéke lehet. A kezdő érték egy magasabb szintű tartományból is öröklődhet, akár a legfelső (root) tartomány kiválasztásával is. A kezdő értéket éppúgy felülbírálhatjuk, mint bármely másik értéket. A kiválasztott házirend-tartomány szinten található értékek szín-kódoltak, a következők szerint: •=

Fekete

a kiválasztott házirend-tartomány szintjén megváltoztatott értékek

•=

Szürke

örökölt értékek

•=

Vörös

érvénytelen értékek

•=

Halvány vörös örökölt érvénytelen értékek

56


5. fejezet

Korlátozások

A korlátozások hozzáférési korlátozás vagy érték korlátozás típusúak lehetnek. A hozzáférés korlátozás “Final / Végleges” vagy “Hidden / Rejtett” lehet. A Final mindig kikényszeríti a házirend érvényre jutását: a házirend-változó a végpont bármelyik helyi paraméterét felülírja és a végfelhasználó mindaddig nem tudja megváltoztatni ezt az értéket, amíg a Final korlátozás érvényben van. A Hidden mindössze a felhasználó elől rejti el a változót. A Final korlátozástól eltérően, a Hidden korlátozást a vezérelt alkalmazás figyelmen kívül hagyhatja. Az érték korlátozás használatával az adminisztrátor bármely házirend-változónál megakadályozhatja, hogy az értéke megjelenjen a felhasználó által kiválasztható érvényes értékek jegyzékén. Ezen túl, az adminisztrátor egész típusú értékek esetén (Integer, Counter és Gauge) korlátozhatja az érvényes értékek tartományát is. További lehetőség a “Fixed Size / Kötött méret” korlátozás, amit a táblázatok esetében használhatunk. Ezzel a korlátozással a végfelhasználó nem tud sorokat hozzáadni vagy törölni egy kötött méretű táblázatban. Ha a termék vezérlési információ-bázisa (ld. “A vezérlés információ-bázisa (Management Information Base; MIB)” fejezetet a könyv 10. oldalán) már tartalmaz valamely változóra tartomány vagy értékkészlet leírást, az adminisztrátor szabhat ugyan további tartomány vagy értékkészlet korlátozásokat, de nem bővítheti azokat. Ha a termék MIB nem közöl érték korlátozásokat, az adminisztrátor bármilyen tartomány vagy értékkészlet korlátot meghatározhat. A korlátozásokat a – beépített – “Editor / Szerkesztő” panelen vagy különálló párbeszéd ablakban szerkeszthetjük. E két változat közötti átkapcsoláshoz válasszuk a “View / Megtekintés” menü “Embedded Restriction Editors / Beágyazott korlátozásszerkesztők” parancsot. Ha a beágyazott szerkesztők ki vannak kapcsolva, a szerkesztőpanel nyomógombokat fog megjeleníteni a szerkesztők indításához. Az érvényes házirend adatok mentése A házirend adat egy olyan adatbázis, amelyik minden egyes végpont és tartomány számára a házirend szerkezetét, a tartomány és végpont beállításokat és a házirend-információkat tartalmazza. A házirend adat elmentéséhez válasszuk a “File / Fájl” menü “Save / Mentés” vagy “Save As / Mentés másként” parancsot. Javasolt a “Save As / Mentés másként” használata, majd az adatok egy új fájlnéven mentése. Ha így teszünk, később szükség esetén lehetőségünk lesz gyorsan visszatérni egy korábbi házirend konfigurációhoz.

57

5. fejezet


A házirend állományok szétküldése A tartományok és végpontok felépítése után szét kell küldenünk az új konfigurációkat a munkaállomásoknak. Ezt vagy az eszköztáron található ikonra kattintással vagy a “File / Fájl” menü “Distribute / Szétküldés” parancsának kiválasztásával tehetjük meg. Az F-Secure Administrator az elmentett adatokból létrehozza az alap-házirend állományt. A házirend állományok a kommunikációs könyvtárba kerülnek, ahol a végponton üzemelő F-Secure szoftver rendszeres időközönként le fogja azokat kérdezni. A házirend adat és a házirend állomány között fontos különbség van. A házirend adat egy tömör adatszerkezet, amelyik a teljes házirend-tartomány szerkezetét tartalmazza. Az alap-házirend állomány a házirend szétküldés során a házirend átvitel céljából keletkező fájl. MEGJEGYZÉS: A változtatások mindaddig nem lépnek érvénybe, amíg a házirendet szét nem küldjük és a végpontok el nem hozzák a házirend állományokat. Ez a műveletekre is vonatkozik, mivel azok is házirend alapú technikát használnak a végrehajtáshoz. Házirendek öröklése Az F-Secure Administrator-ban valamennyi házirend-tartomány automatikusan megörökli a szülő tartományának beállításait. Ez egyszerűvé és hatékonnyá teszi a nagy méretű hálózatok kezelését. Az örökölt beállításokat az egyes végpontokon vagy tartományokon felülírhatjuk. Amikor egy tartomány örökölt beállításait megváltoztatjuk, a változásokat a tartomány valamennyi al-tartománya és végpontja örökli. A “Clear / Törlés” használatával az összes módosítást törölhetjük. Ekkor az éppen kiválasztott házirendtartomány vagy végpont beállításai törlődtek, ezek helyébe a szülő tartomány beállításai fognak lépni. A házirend öröklés leegyszerűsíti egy általános házirend meghatározását is. A későbbiekben az egyes altartományoknak vagy akár még egyedi végpontoknak szóló házirendet is finomíthatjuk. A házirend definíciók személyre szabása a telepítés során nagymértékben alakítható. Lehet, hogy egyes adminisztrátorok csak néhány házirendet akarnak meghatározni egy nagy méretű tartományra. Mások minden egyes végponthoz közvetlenül csatolnának házirendet, amivel a legnagyobb testre szabhatóságot valósíthatják meg. E stratégiák kombinációival lehetőségünk van arra, hogy mindkét körben a legjobb eredményt érjük el. Egyes termékek egy nagy tartományból örökölhetik a házirendjüket, míg más termékek al-tartományokból örökölhetnek vagy akár végpontnak szóló házirendet is kaphatnak.

5.6 Műveletek és feladatok kezelése Műveletek Egy művelet F-Secure Administrator-ból való indításához jelöljük ki a “Properties / Beállítások” panel “Policy / Házirend” tablóján a terméknek megfelelő “Operations / Műveletek” elágazást. A kiválasztott művelet a kijelölt végpontra vagy tartományra vonatkozóan kerül majd végrehajtásra.

58


5. fejezet

A művelet kijelölése után a következő panel jelenik meg a jobb oldali panelen:

Kattintsunk a “Start” gombra a kijelölt művelet elindításához. Mihelyt az elküldés után a végpont megkapja a házirend állományt, a művelet elindul a gépen. Mindaddig, amíg egy művelet nincs elküldve, az “Undo” gombra kattintva érvényteleníthetjük.

A művelet végrehajtása közben bekövetkező hiba esetén egy hibaüzenet jelenik meg a képernyőn.

5.7 Riasztás Riasztások és jelentések megtekintése Ha egy programmal vagy egy művelettel valami probléma lenne, a végpontok riasztásokat vagy jelentésegomb világítani kezd. Ha meg akarjuk nézni a riaszket küldhetnek. Amikor egy riasztás érkezik, a tást, kattintsunk a gombra. A “Properties / Beállítások” panel “Alerts / Riasztások” tablója megnyílik. Az összes beérkezett riasztás a következő formátumban fog megjelenni:

59

5. fejezet


Ack

Kattintsunk az Ack gombra, ha fogadni akarjuk a riasztást. Amikor már az összes riasztást fogadtuk, az Ack gomb halvánnyá válik.

Severity

A probléma komolysága. Minden komolysági szintnek saját ikonja van: Információ. A végponttól származó normál műveleti közlés. Figyelmeztetés. A végponttól származó figyelmeztetés Hiba. Javítható hiba a végponton. Végzetes hiba. Helyreállíthatatlan hiba a végponton. Biztonsági riasztás. Biztonsági veszély a végponton.

Date / Time

A riasztás napja és időpontja.

Description

A probléma leírása.

Host / User

A végpont / felhasználó neve.

Product

A riasztást küldő F-Secure termék neve

Amikor egy riasztást megjelölünk a listán, az “Editor / Szerkesztő” panel további jellemző információkat közöl róla. Az F-Secure Anti-Virus keresési riasztásai csatolt jelentéseket is tartalmazhatnak. Ez a jelentés szintén megjelenik az Editor panelen. A jelentés megtekintéséhez kattintsunk a “Properties / Beállítások” panelen a “Reports / Jelentések” tablóra vagy válasszuk ki a “View / Megtekintés” menü “Messages / Üzenetek” tételét. A “Reports / Jelentések” tabló szerkezete megegyezik az “Alerts / Riasztások” tablóéval. Az “Alerts / Riasztások” és a “Reports / Jelentések” táblázatokat az oszlopok fejlécére kattintással rendezhetjük. A riasztásküldés konfigurálása A riasztásokat az F-Secure Management Agent | Settings | Alerting | Alert Forwarding alatt található “Alert Forwarding / Riasztásküldés” táblázat szerkesztésével konfigurálhatjuk.

60


5. fejezet

Megadhatjuk, hogy a komolyság szintjének megfelelően milyen riasztást küldjön a rendszer. A cél lehet az F-Secure Administrator, a helyi felhasználói kezelő felület, egy riasztás kezelő (pl. NT Event Viewer, egy naplófájl, vagy SMTP), vagy egy kezelési bővítmény (például SNMP vagy Tivoli). Az “Alert Forwarding / Riasztásküldés” táblázatnak saját kezdőérték-készlete van.

61

5. fejezet


Az informatív és a figyelmeztetés szintű jelzések nem kerülnek elküldésre az F-Secure Administrator-nak illetve nem jelennek meg a felhasználónál. Ezek az alacsony szintű riasztások és jelzések nagyon hasznos információkat tudnak szolgáltatni hibakereséskor, azonban ha engedélyezzük ezeket, akkor az átvitt riasztások száma alaposan megnövekszik. Amennyiben egy nagyméretű tartomány struktúránk lenne, a riasztásküldés szabályainak rugalmatlan megadása gyökér-tartomány szinten túl sok riasztással áraszthatja el az F-Secure Administratort. A riasztás célját tovább finomíthatjuk, a cél-specifikus elágazás alatt található házirend-változók beállításával. A “Settings.Alerting.F-Secure Administrator.Retry Send Interval” például azt adja meg, hogy egy végpont milyen gyakran próbálkozzon riasztást küldeni az F-Secure Administrator-nak, amennyiben egy korábbi kísérlet sikertelen.

5.8 A Reporting / Jelentés eszköz A “Reporting / Jelentés” eszköz biztosítja, hogy a felhasználó megnézzen F-Secure Administrator kezelte adatokról szóló jelentéseket és elküldje azokat. A megtekintési és az elküldési lehetőség biztosítja a több tartomány / végpont információs adatainak egyidejű vizsgálatát. A “Reporting / Jelentés” eszközt az F-Secure Administrator “Tools / Eszközök” menüje indítja el. Ezen kívül elindítható még az F-Secure Administrator “Policy Domain / Házirend-tartomány” panel környezeti menüjéből is.

62


5. fejezet

Bal oldali panel A bal oldali panelen választhatjuk ki azokat a tartományokat és / vagy végpontokat, amelyek a jelentések szempontjából érdekelnek minket. Ha a “Reporting / Jelentés” eszközt valamelyik tartomány-elem környezeti menüjéből indítottuk, a kiválasztási funkció tiltott és csak az adott tartományból illetve végpontról készül jelentés. A “Recursive” jelölő négyzet kipipálásával az összes olyan végpont, amelyik a tartomány hierarchia kiválasztott tartománya alatt rekurzívan létezik, bekerül az elkészített jelentésbe. Középső panel A középső panelen a következőket tudjuk megtenni: •Υ Az elkészülő jelentés típusának kiválasztása •Υ Szűrés termékenkénti kiválasztása; az elkészülő jelentés csak a kiválasztott termékekről szóló informá-

ciókat fogja tartalmazni. Jelenleg a következő jelentés típusok érhetők el: •Υ Policy

A kiválasztott tartomány-összetevőktől származó, kijelölt termékek valamennyi házirend értékének elküldését / megtekintését teszi lehetővé. Ha az öröklési információkat is be akarjuk foglalni a jelentésbe, pipáljuk ki az Inheritance / Öröklés jelölő négyzetet. 63

5. fejezet


•Υ Inheritance

Az összes, nem felsőbb tartomány szintről örökölt – vagyis a kiválasztott tartományelemben létrehozott – házirend paraméter-értéket tartalmazó jelentés elküldését / megtekintését teszi lehetővé.

•Υ Status

Az összes helyi beállítást és státusz változót tartalmazó jelentés elküldését / megtekintését teszi lehetővé.

•Υ Properties

Az összes tartomány-elem beállítás mezőinek értékeit tartalmazó jelentés elküldését / megtekintését teszi lehetővé. A “Property Selector / Beállítás kiválasztó” jelölő négyzet kipipálásával megjelölhetjük, hogy melyik beállítás mezőket akarjuk az elkészülő jelentésbe bevenni.

•Υ Alert

Az összes riasztási információt tartalmazó jelentések elküldését / megtekintését teszi lehetővé. A riasztás leíró mezők közötti rendezési sorrend megadása útján a “Sort Order Selector / Rendezési sorrend kiválasztó”-val rendezhetjük az elkészülő jelentésbe foglalt beállítási mezőket tartalmazó riasztásokat. A “Severity Selector / Komolyság kiválasztó” segítségével jelölhetjük meg, hogy milyen komolysági szintű riasztás kerüljön be az elkészülő jelentésbe.

•Υ Configuration A telepített termékekről szóló információkat tartalmazó jelentések elküldését / megte-

kintését teszi lehetővé. Jobb oldali panel A jobb oldalon található panelen a következőket tehetjük meg: •Υ Az éppen kiválasztott jelentés típusnak a “Select Report Type”-ban beállítottaktól függő konfigurálá-

sa. A jelentés típustól függő konfigurálással a felhasználó az elkészítendő jelentéshez további szűrést tud beállítani. •Υ Az éppen kijelölt jelentés típus leírásának megkeresése.

A jelenleg ismert jelentés típusok konfigurálása a következő: •Υ Policy

A házirend típusú jelentéseknél konfigurálható, hogy kiválasszuk az elkészülő jelentésekben szereplő házirend-változók öröklési információt.

•Υ Properties

A beállítás típusú jelentéseknél konfigurálható, hogy milyen információkat csatoljon az elkészülő jelentésbe az azonosítás-, a platform-, a vegyes- és a VPN+-beállítási információk közül.

•Υ Alert

A riasztás típusú jelentéseknél konfigurálható, hogy a riasztásokat bármely riasztást leíró mező alapján, továbbá az elkészülő jelentésben szereplő riasztás komolyságának megfelelően rendezhessük.

Alsó panel Az alsó panelen a következőket tudjuk elvégezni: •Υ Az összes GUI (Graphic User Interface) elem alapállapotba állítása. •Υ A jelentés-kiküldési folyamat indítása.

64


5. fejezet

•Υ A jelentés-megtekintési folyamat indítása. •Υ A jelentés-készítési folyamat megállítása. •Υ A “Reporting Tool / Jelentés eszköz” grafikus kezelő felület bezárása. Ez nem állítja le a kiküldés alatt

álló jelentés készítését; az a háttérben fut majd tovább. Egy éppen megtekintés alatt álló jelentés készítése a megjelenő párbeszédablak útján állítható le.

Jelentések megtekintése Az alsó panel “View / Megtekintés” gombjára kattintással a kiválasztott jelentéstípushoz készíthetünk jelentést. A HTML formátumú jelentés ezután az alapértelmezett Web böngészőben megtekinthető. Ha nincs beállítva alapértelmezésben Web böngésző, egy párbeszédablak jelenik meg, ahol megadhatjuk a böngészőnket.

Jelentés kiküldése Az alsó panel “Export / Kiküldés” gombjára kattintással a kiválasztott jelentéstípushoz a kijelölt konfigurációval készíthetünk el jelentést. A megjelenő “File save / Fájlmentés” párbeszédablakban az elkészített jelentésnek elérési útvonalat és jelentésformátumot szabhatunk meg. A jelentés ez után a kiválasztott formátumban a megadott állományba kiküldésre kerül.

5.9 Menü parancsok Menü

Parancs

File / Fájl New / Új Open / Megnyitás

Tevékenység Új házirend adatot készít a MIB fájlok kezdő értékeivel. Erre a parancsra ritkán van szükség, mivel a meglévő házirend adatot a Save As / Mentés másként parancsal szoktuk menteni. Egy korábban elmentett házirend adatot nyit meg. 65

5. fejezet Save / Mentés Save As / Mentés másként Distribute / Szétküldés Exit / Kilépés Edit / Szerkesztés Cut / Kivágás Paste / Beillesztés Delete / Törlés New Policy Domain / Új házirend-tartomány New Host / Új végpont Import Autoregistered Hosts / Autoregisztrált végpontok átvétele Autodiscover Windows Hosts / Windows végpontok automatikus felkutatása Find / Keresés Properties / Beállítások

Az F-Secure Administrator használata Elmenti az éppen kezelt házirend adatot. Adott néven menti el a házirend adatot. Szétküldi a házirend állományokat. Kilép az F-Secure Administrator-ból. A kijelölt tétel kivágása. Beilleszti a tételt a megadott helyre. Törli a megadott tételt. Új tartomány felvétele a struktúrába. Új végpont felvétele a struktúrába. Autoregisztrációs kérést küldő végpontok átvétele a házirendstruktúrába. Végpontok átvétele az NT domain struktúrából. A parancs ezen kívül az F-Secure Management Agent-et is telepíti a beemelt munkaállomásokon. Egy stringet keres a végpont beállításokban. A kutatás a kijelölt tartomány valamennyi végpontján történik. Megjeleníti a kijelölt végpont vagy házirend-tartomány Properties / Beállítások paneljét.

View / Nézet Toolbar / Eszköztár Status Bar / Állapotsor ToolTips / Eszköztippek

Megjeleníti az eszköztárat. Megjeleníti az állapotsort Az eszköztár gombok leírásának megjelenítése a képernyőn, amikor az egérmutató rááll. Embedded Restriction Editors / Átkapcsol a korlátozás-szerkesztő és a korlátozások párbeszédabBeágyazott korlátozás-szerkesztők laka között. Messages / Üzenetek A képernyő alján megjeleníti az üzenetek paneljét. All Alerts / A Properties / Beállítások panelen az összes riasztás megmutatáÖsszes riasztás sával megnyitja az Alerts / Riasztások lapot. Refresh / Frissítés A státusz, riasztás vagy jelentés nézet kézi frissítése. A menü tétele a Properties / Beállítások panelen kiválasztott táblázattal összhangban változik. Refresh All / Az illesztő által érintett valamennyi adat: házirend, státusz, riaszMinden frissítése tások, jelentések, telepítő csomagok és autoregisztrációs kérések kézi frissítése.

Tools / Eszközök Installation Packages / Telepítő csomagok Change Passphrase / Jelmondat megváltoztatása Reporting / 66

A telepítő csomagok információinak megtekintése egy szerkesztőben. A bejelentkező (az F-Secure Administrator személyes kulcsát védő) jelmondat megváltoztatása. Lehetőséget biztosít, hogy kiválasszuk a jelentéskészítési módot, a

Az F-Secure Administrator használata Jelentéskészítés Import Virus Signatures Database / Vírusleíró adatbázisok átvétele Preferences / Preferenciák

5. fejezet

jelentésben szereplő tartományokat, végpontokat, termékeket. Átveszi az F-Secure Anti-Virus vírusleíró adatbázisait egy megadott zip fájlból. Az F-Secure Administrator helyi paramétereinek beállítása. E paraméterek csak az F-Secure Administrator helyi telepítését befolyásolják.

Help / Súgó Contents / Tartalom Web Club

Megjeleníti a Súgó tárgymutatót. Megnyitja a Web böngészőnket és az F-Secure Web Clubhoz kapcsolódik. Contact Information / Megjeleníti az F-Secure Corporation-nal történő kapcsolatba lépés Kapcsolati információ információit. About F-Secure Administrator / Megmutatja az F-Secure Administrator változatunkról szóló inF-Secure Administrator névjegye formációkat.

5.10

Preferenciák

A preferencia beállítások vagy egy adott kapcsolatra érvényesek, vagy megosztottak lehetnek. A kapcsolathoz kötött preferenciák szerkesztéséhez kattintsunk az Edit / Szerkesztés ikonra vagy válaszszuk ki a Tools / Eszközök menüből a Preferences / Preferenciák tételt. Csak az aktuális kapcsolati objektumra van hatása. Kapcsolathoz kötődő preferenciák: Tabló

Beállítás

Jelentése

General / Általános

Policy File Serial Number / Házirend állomány sorszám

A létrehozott alap-házirend tároló állomány sorszáma. A sorszám automatikusan növekszik. Normális esetben nem szükséges kézzel beállítani. Csak akkor kell kézzel növelni a számláló értékét, ha a végpontok túl alacsony sorszám miatt nem fogadják a házirend állományokat. (A végpontok hibaként jelentik ezt.) Ebben az esetben a sorszámot meg kell növelni a végpont által utoljára lehívott alap-házirend állomány sorszámánál nagyobb értékre.

Communications / Kommunikáció Polling Periods / Lekérdezési időközök

Background alerts loading / Riasztások háttérbeli letöltése

Lekérdezési időközök különböző csomagtípusok számára. Egy adott csomagtípusra a lekérdezés engedélyezéséhez vagy tiltásához bejelölhetjük vagy kitörölhetjük a jelölő négyzeteket. Ha automatikus lekérdezés helyett mindig kézi frissítési műveletet akarunk használni, pipáljuk ki a Disable All Polling / Valamennyi lekérdezés tiltása jelölő négyzetet. Ha a háttértöltést engedélyezzük, a riasztások még akkor is letöltődnek a szerverről, ha az Alerts / Riasztások nézet nincs megnyitva. Egyes esetekben ez gyorsíthatja a Riasztások nézet megnyitá67

5. fejezet

Az F-Secure Administrator használata sát, de sok felesleges hálózati forgalmat generálhat az F-Secure Administrator és a Management Server között.

Background reports loading / Jelentések háttérbeli letöltése

Lásd riasztások háttérbeli letöltése.

Intelligent Installation / Intelligens telepítés Installation Timeout / A leghosszabb időtartam, amit az FSII (a végpontok automatikus felkutaTelepítési időtúllépés tása egy NT tartományban) megenged a telepítő műveletek számára. Csak akkor fontos, amikor a “Hide Already managed Hosts / A már keBrowsing Timeout / zelt végpontok elrejtése” opciót használjuk. A végpont registry-hez férés Tallózási időtúllépés számára biztosított leghosszabb időtartam. Megosztott preferenciák. Ezt használjuk az F-Secure Administrator egyéni telepítésekor definiált valamennyi kapcsolatban. A megosztott preferenciák: Tabló Beállítás Jelentése General / Language / A nyelv kiválasztása. Beállíthatjuk az operációs rendszerünk Általános Nyelv helyi nyelvét vagy az alapértelmezett angol nyelvet. A rendszer helyi nyelvét nem támogató valamennyi objektum angol nyelven jelenik meg. HTML Browser / Path / HTML böngésző Elérési út

A HTML böngésző végrehajtható állományának teljes elérési útvonala. A böngésző az on-line Súgó lapjainak, a Web Club lapjainak és az antivírus jelentések megjelenítésére használatos.

Web Club

Area / Térség

Kiválaszthatjuk, hogy melyik térség Web Clubjához kapcsolódjunk.

Messages / Üzenetek

Path / Elérési út

68

Az a könyvtár, ahová az Üzenetek nézet naplóállományai mentésre kerülnek. Alapértelmezés: az F-Secure Administrator telepítő könyvtárának message alkönyvtára. Save Messages / Az üzenetek mentését kapcsolja ki vagy be. Erősen ajánlott, Üzenetek men- hogy tartsuk a naplózást bekapcsolva, mivel a napló információ nagyon hasznos lehet hibakereséskor. tése

6 Az F-Secure Management Server kezelése 6.1 F-Secure Administrator-adatok biztonsági mentése és visszaállítása A legfontosabb kezelési információk rendszeres elmentése erősen ajánlott tevékenység. Az a legkevesebb, hogy legalább a Policy Manager Server-re vonatkozó bejegyzéseket tartalmazó tároló (Commdir) fsa\domains könyvtárát mentsük el. Ez tartalmazza ugyanis mind a házirend-tartomány szerkezetét, mind pedig az összes elmentett házirend adatot. JAVASLAT: Mielőtt elmentenénk az fsa\domains könyvtárat, győződjünk meg arról, hogy az F-Secure Administrator kezelő része nincs megnyitva. Megtehető a tároló valamennyi bejegyzésének elmentése is. Ennek elvégzésével nem csak a házirendtartomány struktúrát, hanem a riasztásokat, végpont statisztikákat és a telepítési műveleteket is képesek leszünk visszaállítani. A házirend állományokat is gyorsan vissza tudjuk majd állítani. Amikor csak az fsa\domains könyvtárról készítünk biztonsági másolatot, később szét kell küldenünk a házirendeket. A tároló bejegyzések elmentésének hátránya az, hogy ott nagyságrenddel több adat is lehet, mint az fsa\domains könyvtárban. Másik hátrány, hogy mielőtt a teljes mentést elvégeznénk, az F-Secure Management Servert le kell állítanunk. A kezelő kulcspárról való biztonsági másolat elkészítéséhez, az admin.prv és az admin.pub fájlokat kell menteni a helyi F-Secure Administrator gyökeréből. Az admin.prv állományt tároljuk biztonságos helyen. Nagyon fontos, hogy az admin.prv kulcsról biztonsági másolatot készítsünk. Ellenkező esetben ha a kulcs elveszne, akkor el kell küldenünk egy új admin.pub kulcsot az összes kezelt végpont számára és az összes végpontot kézzel újra kell telepíteni, mivel a házirend alapú műveleteket többet nem lehet használni. Az F-Secure Administrator és a végpontok közötti megbízhatóság digitális aláírás használaton alapul. A helyes személyes kulcs nélkül nem lehet olyan érvényes aláírást készíteni, amit a végpont el tudna fogadni. Ha elmentjük a helyi beállításokat (az F-Secure Administrator paramétereit), mentsük el a helyi telepítő könyvtárban található lib\Administrator.properties állományt is.

69

6. fejezet

Az F-Secure Management Server kezelése

MEGJEGYZÉS: Az “Administrator.properties” állomány az F-Secure Administrator első lefuttatásakor jön létre, és olyan munkahelyfüggő információkat tartalmaz, mint az ablak mérete, a kommunikációs könyvtár elérési útvonala vagy a szerver URL-je, stb.

Biztonsági másolat készítése Egy biztonsági másolat elkészítéséhez két módszer közül választhatunk: •Υ Teljes biztonsági másolat. A teljes mentés a házirend struktúra visszaállítási információit, valamint a

riasztásokat, végpont statisztikákat és a telepítési műveleteket tartalmazza. •Υ Házirend adatok és a házirend struktúra mentése. A Policy Manager Server-re vonatkozó bejegyzése-

ket tartalmazó tároló (Commdir) fsa\domains könyvtárának elmentése. Teljes biztonsági másolat 1.

Zárjuk be az F-Secure Administrator valamennyi kezelő elemét.

2.

Állítsuk le az F-Secure Management Servert.

3.

Készítsünk biztonsági másolatot a kommunikációs könyvtárról.

4.

Készítsünk biztonsági másolatot az F-Secure Administrator helyi telepítő könyvtárában található admin.prv és admin.pub állományokról.

5.

Készítsünk biztonsági másolatot az F-Secure Administrator helyi telepítő könyvtárában található lib\Administrator.properties állományról.

6.

Indítsuk újra az F-Secure Management Servert.

Házirend adatok és tartomány struktúra biztonsági mentése 1.

Zárjuk be az F-Secure Administrator valamennyi kezelő elemét.

2.

Készítsünk biztonsági másolatot az fsa\domains könyvtárról, majd mentsük el egy biztonságos helyre.

A biztonsági mentések visszaállítása Egy biztonsági másolat visszaállításához két módszer közül választhatunk: •Υ Teljes visszaállítás. A teljes visszaállítás a kulcsok, a helyi beállítások visszaállítását és egy új kom-

munikációs könyvtár telepítését jelenti. •Υ Házirend-tartomány struktúra visszaállítása. (Javasolt.)

Teljes visszaállítás

70

1.

Állítsuk le az F-Secure Administratort és az F-Secure Management Servert.

2.

Készítsünk biztonsági másolatot a kommunikációs könyvtárról.

Az F-Secure Management Server kezelése

6. fejezet

3.

Töröljük a régi kommunikációs könyvtárat.

4.

Telepítsük újra az F-Secure Administrator terméket.

5.

Cseréljük le a helyi kulcsokat.

6.

Cseréljük le a helyi beállításokat. Ez biztosítja azt, hogy az F-Secure Administrator nem fogja indítani az első lefutásakor amúgy a kezdeti értékek feltöltéséhez használt varázslót.

7.

Indítsuk el az F-Secure Administratort. Az F-Secure Administrator új kommunikációs könyvtárat épít fel.

8.

Állítsuk le az F-Secure Administratort és cseréljük le az újonnan elkészült kommunikációs könyvtár fsa\domains könyvtárát a korábban elmentettel.

9.

Indítsuk el az F-Secure Administratort.

10. Küldjük szét a házirendeket. A házirend struktúra visszaállítása 1.

Állítsuk le az F-Secure Administratort és az F-Secure Management Servert.

2.

Cseréljük le az fsa\domains könyvtárat a korábban elmentett házirend-tartomány adattal.

3.

Indítsuk újra az F-Secure Management Servert.

4.

Indítsuk újra az F-Secure Administratort.

5.

Küldjük szét a házirendeket.

71

7 Az F-Secure Management Agent Az F-Secure Management Agent a következőket végzi el: •Υ A házirend érvényességének igazolásához ellenőrzi az aláírást •Υ Értelmezi a házirend állományt. Más elemeknek vagy alkalmazásoknak mindig meg kell kérdezniük az

F-Secure Management Agent-et az egyes változók értékeiről. •Υ Központi konfigurációs elemként működve, paraméter-értékeket társít más F-Secure termékekhez. •Υ Lehetővé teszi, hogy a helyi házirendeket az általános házirend távoli beállításainak megfelelően meg-

változtassuk. •Υ Státuszinformációkat küld a végpontról. •Υ Riasztásokat küld. •Υ Házirend-alapú telepítéseket végez a végponton. •Υ Jelentéseket generál. •Υ Autoregisztrációs állományokat küld az F-Secure Administrator-nak.

7.1 Az F-Secure Beállítások és Statisztikák Az “ F-Secure Beállítások és Statisztikák / F-Secure Settings and Statistics” az F-Secure alkalmazások közös kezelő felülete. Bármely F-Secure program beállításainak megváltoztatásához a Windows rendszer Tálcáján található ikonra adott dupla egérkattintással nyissuk meg az F-Secure Beállítások és Statisztikák ablakot. A megnyíló ablakban a telepített F-Secure alkalmazások jegyzéke válik láthatóvá.

73

7. fejezet

Az F-Secure Management Agent

Egy adott alkalmazás felhasználói felületének megnyitásához jelöljük ki az alkalmazás nevét és kattintsunk a “ Tulajdonságok… / Properties…” gombra, vagy kattintsunk duplán a kiválasztott termék nevére.

7.2 F-Secure Management Agent kezelő felület Az F-Secure Beállítások és Statisztikák használatával érhető el az F-Secure Management Agent kezelői felület, amivel a felhasználók megnézhetik a státusz és házirend információkat és kiválaszthatják a kommunikáció módszerét. Az F-Secure Management Agent kezelőfelülete az F-Secure Administrator “Properties / Beállítások” paneljén (az F-Secure Management Agent Settings / User Interface alatt) letiltható.

74


7. fejezet

Az „Állapot” tabló

Az Állapot tabló a következő végpont-információkat mutatja meg a felhasználónak: •Υ F-Secure Gépazonosító. A végpont azonosítója házirend frissítés lekérdezésekor. •Υ WINS név. A végpont WINS neve. •Υ DNS. A végpont domain-név rendszerbeli azonosítója. •Υ IP cím. A végpontok IP címeinek listája.

Az Állapot tablón a következő gombokat találjuk: •Υ Eseménynapló elindítása. Megnyitja a Windows Eseménynaplóját. •Υ Naplófájl megtekintése. A Windows Jegyzettömbben megnyitja az F-Secure LogFile.log naplóállo-

mányt.

75

7. fejezet


A „Házirend” tabló

A Házirend tabló a következő információkat mutatja meg: •Υ A házirend fájl dátuma. A végpont által fogadott legfrissebb házirend elkészítésének dátuma és idő-

pontja. Ha a végpontnak nem küldtek házirend alapérték állományt, akkor “N/A” (nincs adat) értéket tartalmaz. •Υ Házirend sorszám. A gazdagép által fogadott házirend szorszáma. Az “N/A” érték (nincs adat) látható,

ha a végpontnak nem küldtek házirend alapérték állományt. •Υ Utolsó kapcsolat a szerverrel. Azt mondja meg, hogy a Management Agent mikor csatlakozott utoljára

a kommunikációs könyvtárhoz / Management szerverhez. A „Szerver azonnali lekérdezése” gombra kattintva azonnali lekérdezés indul. Az „Alap házirend importálása” gombra kattintással a felhasználó tallózhat a számára elérhető háttértárakon új alapérték tároló fájlok után.

76


7. fejezet

A „Kommunikáció” tabló

A Kommunikáció tablón a felhasználó a végpont információcseréjének módszerét állíthatja be. MEGJEGYZÉS: E beállítás-megváltoztatások csak a számítógép újraindítása után válnak érvényessé. •Υ F-Secure Management Server. Ezzel a módszerrel a házirend– és más állományok áramlása az F-

Secure Management Server-en keresztül történik. A Management Server HTTP címét meg kell adni. Az F-Secure Management Agent jelenlegi változatában felhasználó azonosító és jelszó nem szükséges. •Υ Hálózati kommunikációs könyvtár. Ha ezt jelöljük ki, akkor a végpont a házirendeket és más állomá-

nyokat a hálózati kommunikációs könyvtárból próbálja meg beszerezni. Tallózással keressük meg a könyvtárat, majd írjuk be a könyvtárhoz féréshez feljogosító, korábban létrehozott felhasználói nevet és jelszót. A hálózati kommunikációs könyvtárat UNC elérési úttal (pl. \\szerver\megosztás) kell megadni. A felhasználó azonosító és jelszó csak Windows NT környezetben alkalmazandó. A Windows 95 és 98 az éppen bejelentkezett felhasználó hozzáférési jogait használja. •Υ Önálló telepítés. Önálló üzemmódban a gazdagép nem lép kapcsolatba az F-Secure Management

Server-rel. Nem fogad és nem küld házirend vagy más egyéb állományokat, még akkor sem, ha egyébként csatlakoztatva van egy hálózathoz.

77

7. fejezet


7.3 F-Secure Management Agent paraméterek Az F-Secure Administrator használatával a következő F-Secure Management Agent beállításokat változtathatjuk meg: Settings / Beállítások

Language / Nyelv Az F-Secure Management Agent nyelvének beállítása. A Telepítő ezt automatikusan állítja be a munkaállomáson. Normál esetben az adminisztrátornak ezt nem kell állítania.

Common Settings / Közös beállítások Ezek a beállítások a végpont és az F-Secure Administrator közötti kommunikációt érintik. Az egyes paramétereket az F-Secure Administrator “Properties / Beállítások” paneljének “Policy / Házirend” tablóján módosíthatjuk. Web Club

A Web Club eléréséhez szolgáló kapcsolat beállításai.

Gatekeeper Azt adja meg, hogy a Gatekeeper milyen gyakran frissítse a helyi statisztikáit.

User Interface / Felhasználói felület Engedélyezi vagy tiltja a végponton a felhasználói felületet. Tiltása esetén a felhasználó nem tudja megnézni azokat a statisztikákat, amelyek amúgy megjelennének a helyi felhasználói felületen.

Communications / Kommunikáció Host Configuration Mode / Végpont konfigurálás módja

Megmutatja, hogy a végpont önálló (helyileg konfigurált) vagy hálózatba kötött-e (legalább időnként közvetlenül kapcsolódik egy hálózathoz vagy átmeneti kapcsolathoz).

Active Protocol

Beállítja az aktív protokolt.

Protocols / Protokolok

A fájlmegosztás és a HTTP protokol beállításait tartalmazó alkönyvtár. Szétküldés előtt ajánlatos figyelmesen ellenőrizni e beállításokat. A hibák nehézségeket okozhatnak a végponttal való kapcsolatokban.

Slow Connection Definition / Kapcsolat lassúság megadása

Ez a beállítás arra használható, hogy az F-Secure Management Agent visszautasíthassa nagyméretű távoli telepítő csomagok letöltését lassú hálózati kapcsolatokon keresztül. Az F-Secure Management Agent méri az F-Secure Management Server-hez felépített hálózati kapcsolat sebességét és megállítja a letöltést, ha a legkisebb érték az itt beállítottnak nem felel meg.

78


7. fejezet

Fájlmegosztás Communication Directory Path / Kommunikációs könyvtár elérési út.

Útvonal a kommunikációs könyvtár hierarchia eléréséhez. A hálózati kommunikációs könyvtárat UNC elérési úttal kell megadni (pl. \\szerver\commdir). Virtuális meghajtó betűjel (pl. S:\commdir) használata nem működik.

Incoming Packages Polling Interval / Bejövő csomagok lekérdezési időköze

Azt adja meg, hogy a végpont milyen gyakorisággal próbálja meg elhozni a bejövő csomagokat (pl. alapértékeket tároló állományok) a Management Server-től.

Outgoing Packages Update Interval / Kimenő Csomagok frissítési időköze

Azt adja meg, hogy a végpont milyen gyakorisággal próbálja meg elküldeni az adminisztrátornak rendszeresen eljuttatandó információkat (mint pl. a statisztikák).

User Account / Az osztott könyvtárba belépéshez használt felhasználó azonosító. Felhasználó azonosító Csak Windows NT esetén használandó. Password / Jelszó

Az osztott könyvtárba belépéshez használt azonosítóhoz kapcsolódó jelszó. Csak Windows NT esetén használandó.

HTTP Management Server Address

Az F-Secure Management Server URL-je. Az URL végén nem szükséges a “per” jel használata, pl.: “http://fsms.company.com”

Incoming Packages Polling Interval / Bejövő csomagok lekérdezési időköze

Azt adja meg, hogy a végpont milyen gyakorisággal próbálja meg elhozni a bejövő csomagokat (pl. alapértékeket tároló állományok) a Management Server-től.

Outgoing Packages Update Interval / Kimenő Csomagok frissítési időköze

Azt adja meg, hogy a végpont milyen gyakorisággal próbálja meg elküldeni az adminisztrátornak rendszeresen eljuttatandó információkat (mint pl. a statisztikák).

Proxy Address

A használt proxy szerver URL-je. Az F-Secure Management Agent jelen változatában nem támogatott.

Spool Time Limit / Sorállás időkorlátja

Az a leghosszabb idő, ameddig a végpont az el nem küldhető információkat tárolja.

Alerting / Figyelmeztetés Management Agents / Kezelést végző elemek

A megfelelő kezelő-oldali moduloknak nyújtott Management Agent szolgáltatás. A jelenleg támogatott kezelő bővítmények: SNMP, IBM Tivoli.

Alert Agents / Figyelmeztetési elemek

Ezek a meghajtók a különféle kommunikációs módszereken és eszközökön keresztül figyelmeztetési információkat küldenek (pl. Eseménynapló, 79

7. fejezet

Az F-Secure Management Agent naplófájl, GUI és SMTP)

Local User Interface / Helyi felhasználói felület

A helyi felhasználónál megjelenő figyelmeztetések beállításai. Ezzel a beállítással akár az összes figyelmeztetés elrejthető a végfelhasználó elől.

F-Secure Administrator

Az F-Secure Management Agent által az F-Secure Administrator számára elküldött, az F-Secure Administrator “Properties / Beállítások” panel “Alerts / Riasztások” tablóján megjelenő figyelmeztetések beállításai.

Alert Forwarding / Figyelmeztetés elküldés

A fontossági szinttel összhangban megszabja, hogy a figyelmeztetés hova kerüljön elküldésre. A figyelmeztetések a fontosságuk függvényében különböző figyelmeztetési modulokhoz küldhetők.

Storage Time Limit / Tárolási idő korlát

Azon figyelmeztetések tárolási idejének hossza, amelyeket a végpont nem tud továbbítani.

Statistics / Statisztikák Az alábbi beállítások legtöbbjét csak az F-Secure Administrator “Properties / Beállítások” panel “Status” tablóján nézhetjük meg.

Version Egy tiszta szöveges karaktersorozat, amelyik a végponton utoljára telepített termék verziószámát azonosítja.

Previous Reset of Statistics A statisztikák legutolsó törlésének idő-bejegyzése. Az érték az 1970.01.01 00:00:00 UTC óta eltelt másodpercek számát adja meg. Ha a statisztikák még soha nem voltak törölve, ez az érték nulla.

MIB version A termék MIB (Management Information Base) futó verziószáma.

Installation Directory Az a teljes fájl elérési útvonal, ahová a termék telepítve lett.

Gatekeeper Version / Verzió

A modul verziószáma

Previous Start Time / A legutolsó elindítás ideje

A modul legutolsó elindításának időpontja. Az érték az 1970.01.01 00:00:00 UTC óta eltelt másodpercek számát adja meg.

Time Active / Működés időtartama

Azt az időmennyiséget adja meg másodpercben, amennyit a Gatekeeper a végpont elindulása óta aktívan töltött.

80


7. fejezet

User Interface Version / Verzió




Communications Version / Verzió




Upload / Adat áttöltés

Teljes byte-mennyiség. A szervernek elküldött byte-ok száma. Teljes fájl-mennyiség. A szervernek elküldött fájlok száma.

Download / Adat letöltés

Teljes byte-mennyiség. A szervertől elhozott byte-ok száma. Teljes fájl-mennyiség. A szervertől elhozott fájlok száma.

Base Policy Counter / Házirend alapérték számláló

A korábban elhozott alapházirend értékeit tároló fájl sorszáma.

Alerting Version / Verzió




Management Agents / Kezelést végző elemek

A megfelelő kezelő-oldali moduloknak nyújtott Management Agent szolgáltatás. A jelenleg támogatott kezelő bővítmények: SNMP, IBM Tivoli.

Alert Agents / Figyelmeztetési elemek

Ezek a meghajtók a különféle kommunikációs módszereken és eszközökön keresztül figyelmeztetési információkat küldenek (pl. Eseménynapló, naplófájl, GUI és SMTP)

Local User Interface / Helyi felhasználói felület

A helyi felhasználónál megjelenő figyelmeztetések statisztikái.

F-Secure Administrator

Az F-Secure Management Agent által az F-Secure Administrator számára elküldött figyelmeztetések beállításai.

Total Alert Count / Figyelmeztetés számláló

Az elküldött figyelmeztetések száma. A különféle módszerrel elküldött figyelmeztetések összevonva kerülnek számlálásra.

Remote Installations Version / Verzió


81

7. fejezet Previous Start Time / A legutolsó elindítás ideje

Az F-Secure Management Agent A modul legutolsó elindításának időpontja. Az érték az 1970.01.01 00:00:00 UTC óta eltelt másodpercek számát adja meg.

Version Control Version / Verzió




Message Broker Version / Verzió




Host Statistics Current User

Az aktuális helyi felhasználó neve a bejelentkezéskor.

Host Language

A Microsoft Windowsban használatos háromjegyű nyelv-kód.

Time Zone

A végpont ideje és a UTC szerinti idő közötti különbséget adja meg órában. Például: “03:00”.

Platform

A végponton futó operációs rendszer.

Platform Version

A végponton futó operációs rendszer verziószáma.

WINS name

A végpont WINS neve.

DNS Name

A végpont DNS neve.

IP Adresses

A végpont IP címe.

Previous Start Time Az F-Secure Management Agent korábbi indításának idejét jelzi. Az adat az 1970.01.01 00:00:00 UTC óta eltelt másodpercek számát adja meg. Operations / Műveletek Az “Operations / Műveletek” beállításai a “Properties / Beállítások” panel “Policy / Házirend” tablóján találhatók. Ezek a beállítások teszik lehetővé számunkra, hogy az adminisztrátori munkaállomásról távoli műveleteket indítsunk. A “Policy / Házirend” tablón az “Operations / Műveletek” beállítások a műveletek állapotát mutatják. A műveletek nem közvetlen indításúak. Csak azután indulnak el, miután a házirend a végponthoz már elküldésre került. 82


7. fejezet

Reset Statistics Reset

A Reset mappa egy szokványos szerkesztőt tartalmaz, a “Variables to Reset / Változók nullázása” listában definiált változók lenullázására.

Variables to Reset

Lenullázható statisztikai változók gyűjteménye. A Reset műveletből minden egyes változó kizárható vagy abba befoglalható.

83

“A” Függelék: antivírus adatfájlok frissítése Automatikus frissítés az F-Secure BackWeb eszközzel Az F-Secure BackWeb célja, feladata Az F-Secure BackWeb eszközzel a felhasználó a munkájának – a Webről letöltött állományokra várakozás miatt történő – megszakítása nélkül kaphatja meg az antivírus adatbázis frissítéseket és információkat. Az F-Secure BackWeb az állományokat a más Internet alkalmazások által nem használt sávszélességet kihasználva, a háttérben, automatikusan tölti le, így a felhasználó mindig biztos lehet abban, hogy a Weben való keresgélés nélkül is a legutoljára kiadott frissítések a rendelkezésére fognak állni. Ha az F-Secure BackWeb kliens folyamatosan az Internethez kapcsolódik, automatikusan fogadja az új antivírus frissítéseket, attól számított körülbelül két órán belül, hogy az F-Secure közzé teszi azokat. Bármilyen lehetséges késedelem annak függvénye, hogy mikor válik elérhetővé az Internetes kapcsolat. Az F-Secure BackWeb kliens akár a központilag kezelt, akár az önálló F-Secure Anti-Virus 5.x esetében használható frissítésre. Alapértelmezésként a Computer Virus News-t és az F-Secure News-t is letölti. Kívánságra ezek letöltése tiltható. Az F-Secure BackWeb kliens Windows 95/98, Windows NT 4.0 és Windows 2000 Professional (Workstation) környezetekben telepíthető. Megjegyzés: Ahhoz, hogy az F-Secure BackWeb antivírus frissítéseket fogadjon, F-Secure Anti-Virus Release 5.00 build 5271 vagy annál magasabb verziószámú termékkel kell rendelkeznünk. Az F-Secure BackWeb működése Az F-Secure BackWeb a legjobban Windows NT környezetben működik, ahol az F-Secure BackWeb kliens egy NT szolgáltatásként telepíthető. Az F-Secure BackWeb kliens szolgáltatás induláskor az F-Secure BackWeb Server-hez kapcsolódik. A kliens rendszeresen lekérdezi a Servert, hogy lássa, vajon van-e új csomagja. Minden új küldemény automatikusan letöltésre kerül. A lekérdezési időköz szerver oldalon kerül beállításra, kliens oldalról nem szabályozható. Az F-Secure BackWeb kliens vagy UDP-alapú Polite Agent (BWTP) protokol szerint kommunikál a szerverrel, ami alapértelmezés szerint az ajánlott eljárás, vagy HTTP útján. Amennyiben a Polite Agent 85

„A” Függelék

Antivírus adatfájlok frissítése

protokolt használjuk, a letöltés alapértelmezés szerint a számítógép hálózati kapcsolata számára elérhető szabad sávszélesség igénybe vételével folyik. Ez azt jelenti, hogy a Polite Agent segítségével végrehajtott letöltés nem okoz zavart más Internet használatban. Ha azonban a kliens egy tűzfal mögött került telepítésre, használhatunk HTTP protokolt is. Az F-Secure BackWeb használatának előnyei •Υ Az F-Secure Anti-Virus vírusismereti adatbázis frissítések optimalizált letöltése. Az F-Secure

BackWeb érzékeli, amikor egy vírusismereti adatbázis megváltozik. Kifinomult byte-szintű algoritmust használ annak érdekében, hogy teljes fájlok vagy teljes adatbázisok letöltése helyett csak a változásokat kelljen letöltenie. A változások jellemzően a teljes frissítésnek csak kis részét teszik ki, és ez lehetővé teszi, hogy a lassú modemmel rendelkező, betárcsázásos rendszerben Internetező felhasználók a napi frissítéseket hagyományos módon kaphassák meg, és a folyamatos kapcsolatban lévő felhasználóknak is jelentős mennyiségű lehessen a sávszélesség megtakarítás. •Υ Lassú kapcsolatok optimalizálása. A Polite protokol csak azt a sávszélességet foglalja le, amelyet

semmi más alkalmazás nem használ. A felhasználók kihasználhatják a kommunikációs kapcsolat tétlenül töltött idejét, vagyis, amikor a kapcsolat használata nem aktív, az F-Secure BackWeb a háttérben elvégzi a munkáját.

•Υ Megszakítható adatátvitel. A felhasználók több részletben tölthetik le a tartalmat. Ha a letöltés meg-

szakad, az F-Secure BackWeb elmenti, amit elhozott, majd a következő kapcsolódáskor letölti az állomány maradékát. •Υ Automatizált frissítés. Nem kell szemmel tartanunk a frissítéseket és kézzel letöltenünk azokat. Az F-

Secure BackWeb használatával automatikusan megkapjuk a vírusismereti adatbázis frissítéseket, mihelyst azokat az F-Secure nyilvánosságra hozza. •Υ Az F-Secure Framework SDK-val és az F-Secure Policy Manager-rel integrált.

Központilag kezelt munkaállomások frissítése az F-Secure BackWeb-bel

Automatikus szétküldés a végpontokra (Alapértelmezés) Ez a vírusismereti adatbázisok frissítésének legjobb módszere. A frissített adatbázisok amint elérhetők, automatikusan szállításra kerülnek. Minden egyes végponton az F-Secure Management Agent a lekérdezési házirendjével összhangban lekérdezi a frissítési csomagot, majd használatba veszi azt. Ha az F-Secure Management Server telepítve van, javallott az F-Secure BackWeb klienst Standard módban, Windows NT szolgáltatásként ugyanerre a gépre telepíteni. Telepítéskor a frissítéseket fogadó kommunikációs könyvtárként adjuk meg az F-Secure Management Server kommunikációs könyvtárát. Ha az F-Secure Administratort a Management Server nélkül, egy megosztott kommunikációs könyvtárral használjuk, akkor az F-Secure BackWeb klienst Standard módban célszerű telepíteni azon a gépen, ahol a kommunikációs könyvtár található. Telepítéskor a frissítések célkönyvtárának a megosztott kommunikációs könyvtárat adjuk meg. Ha az F-Secure BackWeb kliens programot valamelyik másik gépen kell telepíteni, akkor nem használhatjuk a Standard módot a Windows NT-n. Ehelyett, a Windows NT környezetben NT alkalmazásként kell 86


„A” Függelék

telepítenünk az F-Secure BackWeb klienst, továbbá a számítógépnek – a kommunikációs könyvtárra Read / Write / Delete joggal rendelkező felhasználó azonosítóval – állandóan bejelentkezve kell lennie. További lehetőség, hogy Windows 95/98 környezetbe telepítjük a klienst, Standard módban. A frissítések automatikus eléréséhez a végpontot a következő lépések szerint kell beállítani: 1.

Engedélyezzük a “Poll Automatically” paramétert az F-Secure Administrator-ban, az F-Secure Anti-Virus / Settings / Virus Database Updates / Poll Automatically alatt. (Alapértelmezés szerint “Engedélyezve”.)

2.

Küldjük szét a házirendet a File menü Distribute parancsával a végpontoknak.

A végpontok elkezdik az új adatbázis változatok lekérdezését. Amikor egy új változat érkezik, a végpont az F-Secure Management Server-ről vagy a megosztott kommunikációs könyvtárból letölti azt.

Végpontokra szétküldés a hálózatadminisztrátor kezdeményezésére. A fent leírt módszerekhez hasonlóan, a frissített adatbázisok ebben az esetben is automatikusan kerülnek vagy a hálózat F-Secure Management Server-éhez, vagy az F-Secure Administrator-hoz. A Management Server-től vagy a kommunikációs könyvtárból azonban ebben az eljárásban nem automatikusan szétküldve kerülnek a végpontokhoz a vírusismereti adatbázisok. Az automatikus szétküldés letiltásához a következő lépéseket kell előzetesen megtennünk: 1.

Tiltsuk le az F-Secure Anti-Virus / Settings / Virus Database Updates / Poll Automatically alatt található “Poll Automatically” paramétert az F-Secure Administrator-ban.

2.

Küldjük szét a házirendet a “File / Fájl” menü “Distribute / Szétküldés” parancsával a munkaállomásoknak.

Ettől kezdve a végpontok nem fogják automatikusan lehívni a vírusismereti adatbázis frissítéseket. Az adminisztrátor a következő lépések elvégzésével indíthatja a szétküldést a gépek felé: 1.

Jelöljük meg az F-Secure Anti-Virus / Operations / Get Virus Database Update fán található “Get Virus Database Update” paramétert. Kattintsunk a “Start” gombra.

2.

A “File / Fájl” menü “Distribute / Szétküldés” parancsával küldjük szét a házirendet a gépeknek.

3.

A végpont akkor fogja elhozni az új adatbázist, amikor a házirend lekérdezési időközével összhangban legközelebb megnézi a Management Servert vagy a megosztott kommunikációs könyvtárat

Önálló munkaállomás frissítése Önálló módban, vagy az F-Secure Workstation Suite 4.3 telepítővel telepítsük az F-Secure BackWeb klienst a munkaállomáson. (Az F-Secure BackWeb a Workstation Suite 4.3 csomag kezdetekor kerül végrehajtásra.) A letöltött vírusismereti adatbázisok pontos elhelyezkedése automatikus érzékelésű.

87

„A” Függelék


Telepítési tudnivalók Az F-Secure BackWeb telepítése központilag kezelt munkaállomások antivírus adatbázisainak frissítéséhez: 1.

Távolítsuk el az F-Secure BackWeb kliens valamennyi korábban telepített változatait. Ha meg lenne nyitva valamilyen Internet böngészőnk, akkor most zárjuk be, de az Internet kapcsolatunk maradjon megnyitva a telepítési folyamat során.

2.

Kattintsunk duplán az fsbw613.exe állományra a [CD]:\win32\fsbw könyvtárban. Győződjünk meg arról, hogy helyi adminisztrátori jogokkal rendelkező felhasználóként vagyunk-e bejelentkezve.

3.

Írjuk be a telepítési könyvtár nevét.

4.

A telepítő meg fogja kérdezni annak a célkönyvtárnak a nevét, ahova a vírusismeret frissítéseket majd el kell helyeznie. Ne feledjük, hogy ha Standard üzemmódban fogjuk használni a Windows NT-n, akkor a célkönyvtárnak egy helyi merevlemezen kell lennie. Három lehetőségünk van: •= F-Secure Anti-Virus 5.0x kompatíbilis kommunikációs könyvtárat választunk. Ehhez egy érvényes kommunikációs könyvtár szerkezetünknek kell lennie, vagyis olyannak, amit az FSecure Administrator vagy önálló F-Secure Anti-Virus hozott létre. A fent említett telepítési módszerhez jelöljük meg ezt a könyvtárat. Kattintsunk a “Select Directory / Könyvtár kijelölés” gombra a kommunikációs könyvtár tövének kijelöléséhez. •= Más könyvtárat használunk. Speciális igények esetén választhatunk egy tetszőleges könyvtárat és ide is elhelyezhetjük a tudásbázis frissítéseinket. A könyvtár kijelöléséhez kattintsunk a “Select Directory / Könyvtár kijelölés” gombra. MEGJEGYZÉS: a könyvtárnak üresnek kell lennie vagy csak az F-Secure Anti-Virus adatbázis frissítéseket tartalmazhatja, ám nem lehetnek alkönyvtárai és nem lehet valamelyik meghajtó gyökérkönyvtára vagy az F-Secure Anti-Virus programot tároló könyvtár sem. •= Nem dolgozzuk fel a vírusismereti adatbázis frissítést. Ekkor a tudásbázis frissítések letöltése és a BackWeb könyvtár alkönyvtárába elhelyezése fog lezajlani.

Amikor először telepítjük a klienst, a Telepítő a telepítés végén kérni fogja a rendszer újraindítását. (Megjegyzendő, hogy harmadik féltől származó rendszerelemmel kapcsolatos probléma miatt előfordulhat, hogy a rendszer újraindításához többször is meg kell nyomni a “Finish / Befejezés” gombot.) Önálló telepítésű (pl. otthoni felhasználás) F-Secure Anti-Virus tudásbázisának frissítésére az F-Secure BackWeb-et az alábbiak szerint telepíthetjük: 1.

Telepítsük az F-Secure BackWeb klienst az F-Secure Workstation Suite 4.3 telepítővel a munkaállomásra. (Az F-Secure BackWeb a Workstation Suite 4.3 csomag kezdetekor kerül végrehajtásra.).

vagy tegyük meg a következőket: 1.

88

Távolítsuk el az F-Secure BackWeb kliens valamennyi korábban telepített változatait. Ha meg lenne nyitva valamilyen Internet böngészőnk, akkor most zárjuk be, de az Internet kapcsolatunk maradjon megnyitva a telepítési folyamat során.


„A” Függelék

Az F-Secure BackWeb telepítéshez kattintsunk duplán az fsbw613.exe állományra a [CD]:\win32\fsbw könyvtárban. Győződjünk meg arról, hogy helyi adminisztrátori jogokkal rendelkező felhasználóként vagyunk-e bejelentkezve. 2.

Írjuk be a telepítő könyvtár nevét.

Amikor először telepítjük a klienst, a Telepítő a telepítés végén kérni fogja a rendszer újraindítását. (Megjegyzendő, hogy harmadik féltől származó rendszerelemmel kapcsolatos probléma miatt előfordulhat, hogy a rendszer újraindításához többször is meg kell nyomni a “Finish / Befejezés” gombot.)

Az F-Secure BackWeb használata Az F-Secure BackWeb két felhasználói felületet tartalmaz: a BackWeb szabvány Infocenter kezelői felületet és az F-Secure kezelői felületet. Az Infocenter leginkább a közlemények tartalmának eléréséhez és használatához szükséges, és a Windows eszköztáron megtalálható BackWeb ikonra duplázással érhető el. Az F-Secure kezelői felület az F-Secure Manager ablakból érhető el. Ehhez jelöljük meg az alkalmazások listáján az F-Secure BackWeb-et, majd kattintsunk a “ Beállítások / Properties” gombra. Az F-Secure Manager a Windows Tálcáján található “F” ikonra duplázással érhető el. Ha az F-Secure Management Agent nincs telepítve és az F-Secure Managerhez nem tudunk hozzáférni, akkor a felhasználói felület a Windows eszköztáron található speciális F-Secure BackWeb ikonra duplázással érhető el. Ez az ikon nem látszik, ha az F-Secure Management Agent telepítve van. Az F-Secure BackWeb ablak három tablót tartalmaz: “Channel Status / Csatornaállapot”, “Received packages / Fogadott csomagok” és “Settings / Beállítások”. Channel Status / Csatornaállapot

A “Channel Status / Csatornaállapot” lap a következő információkat jeleníti meg: 89

„A” Függelék


•Υ Channel Name: csatorna név; célszerűen ez az F-Secure Corporation. •Υ Channel Address: csatorna címe; a szerver Internet címe. •Υ Current Status: a csatorna állapota, úgymint: “Connecting / Kapcsolódva”, “Downloading / Letöltés”,

stb. A “Ready” jelenti azt, hogy a kliens a sorrendben következő kapcsolatra várakozik. •Υ Time and Result of Last Connection: a szerverhez történt legutolsó kapcsolatfelvétel időpontja és

eredménye, ami leginkább a “Nothing new available / Nincs új elérhető” illetve “Channel updated successfully / A csatorna sikeresen frissítve” értékű szokott lenni. Előbbi annyit jelent, hogy a szerverhez kapcsolódás sikeres volt, azonban nincs semmi onnan elhozandó anyag, a második pedig azt, hogy a kapcsolódás sikeres volt és bizonyos állományok letöltésre kerültek. Megjegyzendő, hogy a letöltés nem feltétlenül vírusismereti adatbázis frissítést jelent. Előfordulhatnak híreket, közleményt tartalmazó vagy belső BackWeb állományok is. Az utoljára letöltött antivírus frissítésről a “Received packages / Fogadott csomagok” lap tájékoztat. •Υ Time of next scheduled connection: az időzítés szerinti következő kapcsolatba lépés időpontja.

A “Connect Now / Kapcsolat most” gombbal, új tartalom kereséséhez kézzel is elindíthatunk egy kapcsolódási folyamatot, ami amúgy 60 perces időközönként automatikusan megtörténik. Megjegyzendő, hogy elvégzéséhez aktív állapotban lévő Internet kapcsolat szükséges, mivel nem történik betárcsázás kezdeményezés. Az F-Secure BackWeb kliens tevékenységéről szóló részletes napló megtekintéséhez használjuk a “Show log file / Naplóállomány megtekintése” gombot. Rendszerint nem szükséges, hogy ellenőrizzük a naplót, ám nagyon hasznos lehet olyan problémák kezelésében, amikor úgy gondoljuk, hogy a kliens nem működik megfelelően. Received Packages / Fogadott csomagok

A “Received packages / Fogadott csomagok” panel a legutoljára fogadott F-Secure Anti-Virus adatbázis frissítésről ad tájékoztatást. Nem mutatja a Computer Virus News-t vagy az F-Secure News-t.

90


„A” Függelék

A csomag fejlécén, a fogadás dátumán és időpontján kívül a “Last Result / Utolsó eredmény” oszlop is látható. Antivírus frissítések esetén ez az eredmény lehet: •Υ “Installed” = Telepítve, ami azt jelenti, hogy sikerült az állományokat elhelyezni (és a korábban léte-

zett fájlokat eltávolítani) a célkönyvtárban. Megjegyzendő, hogy ez a kommunikációs könyvtár frissítésének eredménye. Az F-Secure BackWeb nem képes annak megjelenítésre, hogy az új fájlokat az F-Secure Anti-Virus végpont(ok) használatba vették-e vagy sem. •Υ “Not installed” = Nincs telepítve, abban az esetben, ha valamilyen hiba következett volna be és a fáj-

lok nem kerültek elhelyezésre a kommunikációs könyvtárba. Az F-Secure BackWeb automatikusan megpróbálja egyperces időközönként megismételni a telepítést mindaddig, amíg sikerrel nem jár. A hibaüzenet megtekintéséhez, jelöljük meg az adatbázis frissítést a fejlécre kattintással, majd nyomjuk meg a “Package Properties / Csomagbeállítások” gombot.

MEGJEGYZÉS: Megjelenítésre az adott csomag utolsó rendelkezésre álló eredménye kerül. Következésképpen, ha egy hibaüzenet jelenne meg, attól még lehetséges, hogy korábban sikeresen telepítésre került a csomag. A lap alján, a “Latest successfully installed packages / Legutolsó sikeresen telepített csomagok” részben megnézhetjük a legutolsó sikeresen frissített antivírus adatbázis fejlécét, valamint azt a dátumot és időpontot, amikor először sikerült azt telepíteni. Ha egy csomag telepítését kézzel szeretnénk elindítani, válasszuk ki azt a listáról, majd kattintsunk az “Install Package Now / Csomagtelepítés most” gombra. A “Package Properties / Csomagbeállítások” gomb segítségével további információkat jeleníthetünk meg a kiválasztott csomagról. Hibás telepítés esetén, az utolsó hibaüzenet is itt látható. A “Channel Status / Csatornaállapot” lapon kívül, a naplóállomány innen is megtekinthető. Settings / Beállítások

91

„A” Függelék


Ez a lap az F-Secure BackWeb kliens legfontosabb beállításainak megtekintésére vagy megváltoztatására használható. MEGJEGYZÉS: Ezek a beállítások csak az után jutnak érvényre, hogy megnyomtuk az “Apply / Alkalmaz” vagy az “OK” gombot. Mielőtt ezt megtennénk, a változtatások megszüntetése érdekében megnyomhatjuk a “Cancel / Kihagy” gombot. Az F-Secure Anti-Virus vírusismereti adatbázis frissítések célkönyvtára jelenik meg itt. Önálló üzemmódban a “Change / Csere” gomb tiltott, mivel a helyi célkönyvtár automatikusan kerül meghatározásra az FSecure Management Agent paramétereiből. Más esetekben egy párbeszéd ablakba lépéshez használhatjuk, ahol is másik könyvtárat választhatunk ki a számára. Három lehetőségünk van: •= F-Secure Anti-Virus 5.0x kompatíbilis kommunikációs könyvtárat választunk. Ehhez egy érvényes kommunikációs könyvtár szerkezetünknek kell lennie, vagyis olyannak, amit az F-Secure Administrator vagy önálló F-Secure Anti-Virus hozott létre. A fent említett telepítési módszerhez jelöljük meg ezt a könyvtárat. Kattintsunk a “Select Directory / Könyvtár kijelölés” gombra a kommunikációs könyvtár tövének kijelöléséhez. •= Más könyvtárat használunk. Speciális igények esetén választhatunk egy tetszőleges könyvtárat és ide is elhelyezhetjük a tudásbázis frissítéseinket. A könyvtár kijelöléséhez kattintsunk a “Select Directory / Könyvtár kijelölés” gombra. MEGJEGYZÉS: a könyvtárnak üresnek kell lennie vagy csak az F-Secure Anti-Virus adatbázis frissítéseket tartalmazhatja, ám nem lehetnek alkönyvtárai és nem lehet valamelyik meghajtó gyökérkönyvtára vagy az F-Secure Anti-Virus programot tároló könyvtár sem. •= Nem dolgozzuk fel a vírusismereti adatbázis frissítést. Ekkor a tudásbázis frissítések letöltése és a BackWeb könyvtár alkönyvtárába elhelyezése fog lezajlani. A “Download News / Hírek letöltése” és az “Auto-Play News / Hírek automatikus lejátszása” jelölő négyzet felügyeli a Computer Virus News és az F-Secure News letöltését és automatikus lejátszását. A “Communication protocol / Kommunikációs protokol” szekcióban kiválaszthatjuk a használandó protokolt és megadhatjuk egy HTTP proxy használatát is, ha szükség lenne rá. A Polite Agent a javasolt és alapértelmezésként beállított érték, kivéve, ha egy vállalati tűzfal mögött dolgoznánk, vagy speciális kapcsolódási megszorításokkal működő Internet szolgáltatónk lenne. Ha a Polite Agent protokolt használjuk, akkor a letöltések csak a számítógép hálózati kapcsolata számára elérhető szabad sávszélesség felhasználásával történnek. Ez azt jelenti, hogy a Polite Agent nem zavar más Internet felhasználást. A HTTP csak akkor ajánlott, amikor egy vállalati tűzfal mögött dolgozunk vagy egy speciális megszorításokat alkalmazó ISP-n keresztül van kapcsolatunk. HTTP proxy-n keresztül történő kapcsolathoz pipáljuk ki a “Use HTTP Proxy / HTTP proxy használata” jelölő négyzetet és gépeljük be a proxy címét és a használt port sorszámát a beviteli mezőbe (pl.: myproxy.mydomain.com:80). Néhány további “haladó” kommunikációs és további BackWeb beállítási lehetőség is létezik. Ezeket az “Advanced BackWeb Settings / Haladó BackWeb beállítások” gombra kattintással érhetjük el, amire a BackWeb saját “Options” párbeszédablaka nyílik meg. Az ablakot a BackWeb Infocenterből is elérhetjük, 92


„A” Függelék

a “Tools / Options” kiválasztásával. Az elérhető paraméterekről szóló részletekért kattintsunk az ablak “Help / Súgó” gombjára.

F-Secure BackWeb hibakezelés K: Hogyan tudom ellenőrizni, hogy a vírusismereti adatbázis frissítés valóban működik-e? V.: Először nyissuk meg az F-Secure BackWeb ablakot az F-Secure Managerből, és válasszuk ki a Recieved Packages tablót. Ha egy vírusismereti adatbázis frissítés letöltésre került, akkor az “F-Secure Anti-Virus 2001-12-05” szerű (a dátum természetesen eltérő lehet) bejegyzés látható a “Title / Fejléc” alatt. Ellenőrizzük a “Last Result / Utolsó eredmény” oszlopot. Ha a frissítés sikeresen elhelyezhető volt a megfelelő célkönyvtárba, akkor az adott állománynál az “Installed / Telepítve” bejegyzés lesz látható. Ha a “Not installed / Nincs telepítve” olvasható, akkor a frissítés letöltésre került ugyan, de az F-Secure BackWeb kliens nem tudta elhelyezni azt a célkönyvtárban, ám egyperces időközönként meg fogja azt próbálni. A hibaüzenetet a fájl fejlécére kattintással, majd a “Package Properties / Csomagbeállítások” gombra kattintással nézhetjük meg. Ha a “Last result / Utolsó eredmény” értéke “Installed / Telepítve” bejegyzésű, ellenőrizzük a dátum és az időpont adatot a “Recieved Packages / Fogadott csomagok” panel alján található “First Installed / Először telepítve” oszlopban. Ezután nyissuk meg a Windows Intézőt és válasszuk ki az F-Secure Anti-Virus mappát (ami jellemzően a c:\Program Files\F-Secure\Anti-Virus), jelöljük meg a “View / Nézet” menüből a “Details / Részletek” elemet, majd az állományok dátum- és időpont szerinti rendezéséhez kattintsunk a “Modified / Módosítva” oszlopfejre. Itt jellemzően .def, .avc, .set vagy .dat kiterjesztéssel olyan állományokat kellene találnunk, amelyek dátum és idő adatai megegyeznek a “First Installed / Első telepítés” oszlopban olvashatókkal. Megjegyzendő, hogy a fájlok nem azonnal jutnak el az F-Secure Anti-Virus mappába. A késleltetés az FSecure Management Agent lekérdezési intervallumától is függ. A kiindulásként beállított 10 perc lekérdezési idő mellett a frissítéseknek az első telepítés időpontját követő 20-30 percen belül az Anti-Virus mappában kellene lenniük. K.: A “Received Packages / Fogadott csomagok” lap szerint az adatbázis frissítés “Not installed / Nincs telepítve” állapotú. Mit tegyek? V.: Ellenőrizzük a hibaüzeneteket. Ehhez kattintsunk a csomag fejlécére, majd nyomjuk meg a “Package Properties / Csomagbeállítások” nyomógombot. −= “Unable to locate anti-virus database update directory”: az antivírus adatbázis frissítések könyvtára nem található. Oka: a könyvtár még nem létezik, a kommunikációs könyvtár megsérült vagy a kliens Standard üzemmódban van, a könyvtár azonban nem a lokális, hanem egy hálózati meghajtón található. Javítása: a célkönyvtár megváltoztatásához nyissuk meg a “Settings / Beállítások” lapot az F-Secure BackWeb ablakban és nyomjuk meg a “Change / Módosítás” gombot. −= “Not enough free disk space”: nincs elég szabad lemezterület a meghajtón. Oka: a célkönyvtár meghajtója betelt. Javítása: a frissítések engedélyezéséhez szabadítsunk fel helyet a meghajtón.

93

„A” Függelék


−= “Could not create temporary directory”: nem készíthető átmeneti könyvtár. Oka: ha a kliens ’NT alkalmazás’ üzemmódban van, ellenőrizzük, hogy a bejelentkezett felhasználónak megvannak-e a célkönyvtárhoz a megfelelő hozzáférési jogai. Megjegyzendő, hogy ha a célkönyvtár egy kommunikációs könyvtár, ugyanezen jogok szükségesek az alkönyvtáraihoz is. Ha a célkönyvtár egy “Other / Egyéb” osztályú alkönyvtár, ugyanezen jogok szükségesek az őt tartalmazó magasabb rendű könyvtárhoz is. −= “Could not switch database update directory to a new one”: az adatbázis frissítési könyvtár nem kapcsolható át egy másik könyvtárra. Ezt akkor tapasztalhatjuk, ha valamilyen másik alkalmazás nyitva tart egy állományt a célkönyvtárban, amit ezért nem lehet törölni. Különösen megosztott vagy FSecure Management Server kommunikációs könyvtár esetében lehet ezt időnként tapasztalni, akkor, amikor a végpontok egyszerre akarnak egy korábbi frissítést lehívni. A kliens percenkénti időközökben fog újra próbálkozni – ha az eredmény rövid idő múltán “Installed / Telepítve” értékűre változik, akkor ez nem egy valós hiba jelzője. Először tehát várjunk egy kicsit, és figyeljük, hogy nem változik-e az eredmény “Installed / Telepítve” értékűre. Ha nem ezt tapasztalnánk, próbáljunk meg a célkönyvtárat tartalmazó számítógépen minden alkalmazást bezárni, vagy indítsuk újra a gépet. Ha a kliens ’NT alkalmazás’ üzemmódban van, ld. még az előző (“Could not create temporary directory”) üzenetnél írtakat is. K.: A “Received Packages / Fogadott csomagok” lap szerint az adatbázis frissítés “Installed / Telepítve” állapotú, de az antivírus könyvtárban nem jelentek meg új állományok. Miért? V.: A frissítés letöltése és a kommunikációs könyvtárba elhelyezése után az F-Secure Anti-Virus nem azonnal hívja le a fájlokat onnan. A késleltetés az F-Secure Management Agent lekérdezési intervallumától is függ. A kiindulásként beállított 10 perc lekérdezési idő mellett a késleltetés elérheti a 20-30 percet is. A központilag és távoli módon kezelt antivírust futtató munkaállomások esetén ellenőrizzük, hogy az FSecure Administrator-ban a “Virus Database Updates / Vírusismereti adatbázisok frissítése” számára a “Poll Automatically / Automatikus lekérdezés” engedélyezett legyen. Ld. még a könyv 86. oldalán található “Központilag kezelt munkaállomások frissítése az F-Secure BackWeb-bel” fejezetet. A központilag kezelt végpontok esetén nyissuk meg az F-Secure BackWeb ablakban a “Settings / Beállítások” lapot és ellenőrizzük, hogy a megfelelő kommunikációs könyvtárat jelöltük-e meg a frissítések célkönyvtárának. Ha ebben nem vagyunk biztosak, próbáljuk meg letölteni a Latest.zip állományt a http://www.f-secure.com/download-purchase/updates.html oldalról, majd emeljük be az F-Secure Administrator-ba. Ha így sikerül a frissítés, ám az F-Secure BackWeb segítségével nem, és a “Recieved Packages / Fogadott csomagok” lapon az állapot “Installed / Telepítve”, akkor a legvalószínűbb, hogy az F-Secure BackWeb kliens téves beállítása miatt a frissítések egy nem megfelelő könyvtárba kerülnek. Önálló üzemű F-Secure Anti-Virus esetén, győződjünk meg arról, hogy az F-Secure BackWeb kliens “Stand-alone” üzemmódban került-e telepítésre. Nyissuk meg a “Settings / Beállítások” lapot az F-Secure BackWeb ablakban. A “Change / Módosítás” gombnak tiltottnak kell lennie. K.: “Telepítettem az F-Secure BackWeb klienst, de semmilyen antivírus frissítés letöltés nem történik. Mi a baj?” V.: Jelöljük ki a “Received Packages / Fogadott csomagok” tablót az F-Secure BackWeb ablakban és ellenőrizzük, hogy valóban nincs ott felsorolva semmilyen antivírus frissítés. Jelöljük ki a “Channel Status / Csatornaállapot” lapot az F-Secure BackWeb ablakban. Ha a “Channel Name / Csatornanév” és a “Channel Address / Csatornacím” mezők üresek, akkor a kliens még egyáltalán 94


„A” Függelék

nem kapcsolódott az F-Secure BackWeb szerverhez. Ha nem így lenne, győződjünk meg arról, hogy az Internet kapcsolatunk rendben van-e (ha betárcsázásos hozzáférésünk van, a telefonos kapcsolat legyen megnyitva), és amikor a “Current Status / Aktuális állapot” értéke “Ready / Kész”, nyomjuk meg a “Connect now / Kapcsolat most” gombot ahhoz, hogy a kliens közvetlenül a szerverhez kapcsolódjon. Az antivírus adatbázis első frissítésekor ez akár hosszú ideig is eltarthat, amennyiben egyidejűleg más Internet forgalom is zajlik. Ha a kliens nem tud a szerverhez kapcsolódni, akkor először azt kell biztosítanunk, hogy a böngészőnk felléphessen az Internetre. Ennek ellenőrzésére nyissuk meg a böngészőnket és lépjünk fel a http://fsecure.com/ honlapra. Ha ez nem sikerülne, lépjünk kapcsolatba a hálózat adminisztrátorával vagy ellenőrizzük a telefonos kapcsolatunk beállításait. Ha a kapcsolat sikeresen létrejött, jelöljük ki a “Settings / Beállítások” lapot. Ha a “Communication / Kommunikáció” részben a “Polite Agent” beállítást találjuk, próbáljuk meg átváltani “HTTP”-re. Amikor a protokolt Polite Agent-ről HTTP-re vagy onnan vissza cseréljük, a program meg fogja kérdezni, hogy az OK gomb megnyomása után újra induljon-e a BackWeb kliens. A protokol lecserélése a kliens újraindításáig hatástalan. Ha a HTTP kommunikációra cserélés nem segít, nyissuk meg a böngészőnk Internet beállításait annak megállapítására, hogy kapcsolódunk-e proxy szerverhez. Néhány lehetőség: •Υ Internet Explorer 4.0: a “View / Nézet” menüben válasszuk ki az “Internet options / Internet tulajdon-

ságai” elemet. Kattintsunk a “Connection / Kapcsolat” lapra. Nézzük meg a “Proxy server / Proxykiszolgáló” jellemzőit. Amennyiben az “Access the Internet using a proxy server / Proxy-kiszolgáló használata” jelölő négyzet ki van pipálva, és egy cím, valamint egy port is szerepel itt, akkor egy HTTP proxy-kiszolgálót használunk. Ha a jelölő négyzet nincs kipipálva, és látunk ugyan proxykiszolgáló beállításokat, ám ezek szürke színnel jelennek meg, akkor kattintsunk az “Advanced / Speciális” gombra (ha ez is szürke, akkor előbb pipáljuk ki a jelölő négyzetet, hogy hozzá férhessünk a gombhoz), majd töröljük a címet és állítsuk 0-ra a portot. •Υ NetScape Navigator 4.6: Jelöljük ki az “Edit” menüpontnál található “Preferences” elemet. Nyissuk

meg az “Advanced” kategóriát és válasszuk ki a “Proxies” tulajdonságot. Amennyiben “Manual proxy configuration” van kiválasztva, akkor az adott HTTP proxy-kiszolgáló címének és port sorszámának eléréséhez kattintsunk a “View”-ra. Ha megállapítható, hogy a kapcsolódásunk proxy-kiszolgálón keresztül történik, akkor az F-Secure BackWeb ablak “Settings / Beállítások” lapján található “Use HTTP proxy / HTTP proxy használata” jelölő négyzet kipipálásával engedélyezzük is azt, majd gépeljük be a beviteli mezőbe azt a proxy-kiszolgáló címet és port sorszámot, amit a böngészőben visszakerestünk (például myproxy.mydomain.com:80). Amennyiben nem proxy-kiszolgálón keresztül történne a kapcsolódás, gondoskodjunk arról, hogy a “Use HTTP proxy” jelölő négyzet ne legyen kipipálva. E műveletek elvégzése után az F-Secure BackWeb kliensünknek most már képesnek kell lennie arra, hogy felépítse a kapcsolatot és küldeményeket fogadjon. Ha a kliensünk helyesen telepített, azonban mégsem tud küldeményt fogadni, akkor kapcsolatba kell lépnünk a hálózat adminisztrátorával, aki majd ellenőrzi, vajon a tűzfalunk be van-e állítva a kimenő HTTP kéréseink és a kérésekre érkező válaszok fogadására. •Υ Amennyiben telefonkapcsolaton keresztül lépünk fel az Internetre, nyomjuk meg a “Settings / Beállítá-

sok” lapon található “Advanced BackWeb settings / Speciális BackWeb tulajdonságok” gombot, és

95

„A” Függelék


ellenőrizzük, hogy a “Connection / Kapcsolat” tablón az “Internet connection / Internet kapcsolat” beállítása “Detect connection / Kapcsolat észlelés” legyen. •Υ K.: “Kiválasztottam a BackWeb taszk-sáv ikonra kattintáskor felbukkanó “Shut Down BackWeb /

BackWeb leállítása” parancsot. Az ikon eltűnik, de egy kis idő múlva ismét felbukkan a Windows Tálcán. Mi történik ilyenkor?” V.: A jelenség oka, hogy Windows NT környezetben standard vagy önálló üzemmódban telepített FSecure BackWeb kliens van a gépre telepítve, ami Windows NT szolgáltatásként fut; és ha leállítjuk is, maga a program automatikusan újraindul. Ha csak a BackWeb letöltést akarjuk egy időre leállítani, jelöljük ki a BackWeb taszk-sávján található “Suspend Downloading / Letöltés felfüggesztés” menüt. A BackWeb kliens újraélesztéséhez jelöljük ki a “Resume Downloading / Letöltés folytatása” ikont. •Υ K.: Miért mutatja az F-Secure Manager ablak azt, hogy az F-Secure BackWeb státusza “Disabled / Til-

tott”? •Υ V.: Ez a státusz-érték akkor jelenik meg, amikor az F-Secure BackWeb nem fut. Tehát, vagy nincs

még elindítva, vagy leállítottuk a működését vagy eltávolítottuk ugyan a rendszerről a BackWeb magot, az F-Secure bővítményt azonban nem.

Amennyiben éppen most indítottuk el a Windowst, csak meg kell várnunk, hogy a BackWeb ikon megjelenjen és a státus “Enabled / Engedélyezett”-re váltson. Egyéb esetekben, amennyiben Windows 95 vagy 98 platformunk van vagy a kliens ’NT alkalmazás’ üzemmódban került telepítésre, próbáljuk meg a Windows asztalról vagy a Start menüből elindítani a BackWeb klienst. Ha a fentiek nem segítenek, vagy a BackWeb ikon látható a Tálcán, de az F-Secure Managerben a státusza továbbra sem változik “Enabled / Engedélyezett” értékűre, akkor előfordulhat, hogy a telepítésünk meghibásodott. Kliensünket ez esetben próbáljuk meg eltávolítani a rendszerről, majd ismételjük meg a telepítést.

A frissítések kézi letöltése Az F-Secure Web oldaláról töltsük le a legújabb frissítéseket tartalmazó Latest.zip állományt. Az összes rendszer távfrissítéséhez emeljük át a Latest.zip állományt a központi feladatot ellátó FSecure Administrator-ba. Ehhez indítsuk el az F-Secure Administrator-t és válasszuk ki a “Tools / Eszközök” menüről az “Import Virus Signature Databases / Vírusismereti adatbázisok átvétele” parancsot. Ha engedélyezve volt a frissítések automatikus szétküldése a végpontokhoz, akkor ez automatikusan megtörténik. Egyéb esetben a frissítési folyamatot az adminisztrátornak kézzel kell elindítania. Az előző fejezet leírja, hogyan kell konfigurálni és használni az egyes terítési módszereket. Amennyiben egy önálló munkaállomást kézzel frissítünk, az F-Secure Anti-Virus mappába (alapértelmezett a C:\Program Files\F-Secure\Anti-Virus mappa) irányítva bontsuk ki a Latest.zip fájlt.

96

“B” Függelék: Microsoft Systems Management Server Ez a függelék azt ismerteti, hogy hogyan lehet Windows 95/98 és NT 4.0 környezetben telepíteni az FSecure Workstation Suite rendszert a Microsoft Systems Management Server (SMS) 1.2 verziójának használatával. Ennek végrehajtásához az SMS kezelésében jártasnak kell lennünk. Az SMS használatáról a Microsoft BackOffice Resource Kit dokumentációja közöl információkat.

Előkészítő lépések Az F-Secure Workstation Suite SMS segítségével történő telepítése előtt tegyük a következőket: 1.

Telepítsük az F-Secure Management Servert.

2.

Telepítsük az F-Secure Administrator-t.

3.

Győződjünk meg arról, hogy a kliens munkaállomáson telepítetten rendelkezésre áll a Package Command Manager (PCM) programmal a SMS kliens szoftver.

4.

Kérdezzük le, hogy melyik kliensen van elegendő szabad lemezterület az F-Secure Workstation Suite fogadására.

5.

Készítsük elő az F-Secure Workstation Suite forrásfájlokat a szétküldéshez.

6.

Legyen egy Package Definition File (Csomag definíciós állomány, PDF) minden egyes telepítés típushoz. Az F-Secure Workstation Suite-hez használható legfrissebb PDF-ek az alábbi címen érhetők el: http://www.F-Secure.com/products/tech-info/network-management.htm

A hálózatkezelés megtervezése. Erősen javallott, hogy az SMS-t csak az F-Secure Management Agent-hez használjuk, a további elemek pedig az F-Secure Administrator segítségével legyenek telepítve. Ezzel együtt, más F-Secure Workstation Suite komponensek is telepíthetők az SMS-en keresztül. A következő táblázat akkor hasznos, ha megváltoztatjuk a Prodsett.ini állományt és SMS telepítő csomagot készítünk. (A Prodsett.ini fájl beállításait egy másik táblázat sorolja fel.)

97

„B” Függelék

Microsoft Systems Management Server Frissítés

Telepítés

Eltávolítás

Felhasználói Telepítés Felhasználói Frissítés Felhasználói Eltávolítás adatbevitel után újra- adatbevitel után újra- adatbevitel után újrainszükséges? indítás? szükséges? indítás? szükséges? dítás?

Modul F-Secure Management Agent F-Secure Management (2) Extensions F-Secure Anti-Virus F-Secure FileCrypto F-Secure VPN+

Nem

NT: Nem 95: Igen

Nem

Igen

Nem

Nem

Nem

Nem

Nem

Nem

Nem

Nem

Nem

NT: Igen 95: Nem

Nem

Igen

Nem

Igen

Igen

Igen

Igen

Nem

Igen

Igen

Igen

Nem

(3)

Nem

Igen

(1)

Nem Igen

(1)

(1)

Az újraindítás a telepített eszközmeghajtók teljes eltávolításához szükséges. Az újraindítás előtt nem tudjuk helyesen újratelepíteni a terméket.

(2)

Az F-Secure SNMP Management Extension Agent-et csak a végponton telepített SNMP főmodul telepítése után tudjuk telepíteni. Ha az SNMP főmodul még nem lenne telepítve, a csendes telepítés átlépi az SNMP Extension Agent telepítését (“csendesen” – nem ad figyelmeztetést).

(3)

A helyes telepítéshez a FileCrypto Wizard futtatása szükséges, ami felhasználói adatbevitelt igényel. Az újraindítás után a varázsló automatikusan elindul.

Egy PDF-ben a felhasználói adatbevitel és háttértelepítés paraméterek értékei: UserInputRequired és SystemTask. Az újraindítással kapcsolatos beállítások: SynchronousSystemExitRequired (egy PDF-ben) és Reboot (a Prodsett.ini-ben). Az alábbi táblázat a minimálisan szükséges szabad lemezterületet adja meg Windows 95/98 és Windows NT esetén: Modul

Tárigény

F-Secure Management Agent (önálló)

7 MB

F-Secure Management Agent (központi kezelés, távtelepítés támogatással)

15 MB

Telepítő

5 MB

F-Secure Anti-Virus

15 MB

F-Secure FileCrypto

4 MB

F-Secure VPN+

4 MB

F-Secure Management Extensions

1 MB

Teljes minimális merevlemez terület

45 MB (36 MB önálló FSMA esetén)

MEGJEGYZÉS:

98

Microsoft Systems Management Server

„B” Függelék

Ezek az értékek az F-Secure Workstation Suite 4.3 változatára érvényesek. A későbbi változatok tárigényének megtekintéséhez, futtassuk a telepítő CD-n található setup.exe programot, amíg nem válik láthatóvá a szükséges tárigény. A telepítési folyamatnak magának a tárigénye a setup.ini állományban kerül tárolásra. Az F-Secure Workstation Suite telepítő csomag előkészítése a szétküldéshez Az adminisztrátornak telepítő csomagokat kell előre elkészítenie ahhoz, hogy az F-Secure Workstation Suite telepítéseket a Microsoft System Management Servert használva küldhesse szét. Erre azért van szükség, mert az SMS a kliens munkaállomáson az F-Secure Workstation Suite konfigurálásához és telepítéséhez a Runsetup és Setup elemeket fogja használni. A teljes telepítés végrehajtásának legjobb módszere az, ha az F-Secure Management Agent telepítéséhez az SMS-t használjuk, míg a további elemek telepítése az F-Secure Administrator segítségével történik. Ettől eltekintve azonban, a teljes telepítés végrehajtásához is használhatjuk az SMS-t. Ahhoz, hogy telepítő készletet hozzunk létre a Runsetuppal, tegyük a következőket: 1. A telepítő CD lemezről másoljuk át az F-Secure Workstation Suite telepítő könyvtárat egy hálózati merevlemez olyan üres könyvtárába, ahol az SMS adminisztrátor láthatja azt. 2. A Runsetup.exe állomány automatikusan a telepítő fájlkészlet tagja kellene, hogy legyen. Amennyiben szükséges, másoljuk a fájlt a telepítő CD-ről ugyanabba a könyvtárba, mint amit az előző pont szerint kiválasztottunk. 3. Végezzük el a Prodsett.ini állomány szerkesztését. Ez az az állomány, amelyik megmondja a Setup-nak, hogy melyik modulokat és hova (melyik célkönyvtárba) kell majd telepítenie a munkaállomásokon. További részletek: ld. “D” Függelék: a PRODSETT.INI módosítása. TIPP: Telepítő készletet az ILAUNCHR segédprogrammal is készíthetünk (ld. 50. oldal)

Az F-Secure Workstation Suite szétküldése a munkaállomásokhoz F-Secure Workstation Suite csomag elkészítése Mielőtt elküldjük az F-Secure Workstation Suite telepítő munkautasítást a cél-klienseknek, az SMS Administrator segítségével F-Secure Workstation Suite csomagot kell létre hoznunk. Amikor munkaállomásoknak készítünk telepítő csomagot, akkor egy előre elkészített csomagleíró állomány (Package Description File; PDF) átvételét is választhatjuk. Az állomány neve fswss.pdf. A telepítő CD-n is megtalálható, de le is tölthető az alábbi címről: http://www.F-Secure.com/products/techinfo/network-management.htm. Az F-Secure Workstation Suite telepítő csomag számára a runset.exe parancs a legfontosabb beállítás. Ne feledkezzünk meg arról, hogy amikor elvégzünk egy telepítést, a Prodsett.ini állomány legyen az,

99

„B” Függelék


amelyik meghatározza, mely modulok kerüljenek telepítésre. Semmilyen parancssori kapcsolót ne használjunk. A Runsetup fogja elindítani a -s -sms parancssori kapcsolók használatával az InstallShield telepítő programot, az SMS alatti csendes telepítés végrehajtása érdekében. Telepítő munkautasítás készítése Amikor elkészült a telepítő csomag, az F-Secure Workstation Suite kliens munkaállomásra telepítéséhez egy munkautasítást is elkészíthetünk. Az F-Secure Workstation Suite-hez kötődő speciális SMS telepítő munkautasítás nincs. Az F-Secure Workstation Suite telepítése kliens munkaállomásokon Az SMS Package Command Manager automatikusan indítja a telepítő munkautasítást. A Telepítő program a telepítés befejezése után Management Information File (MIF) állományt hoz létre az SMS számára. Az fswss.mif a Windows telepítő könyvtárában keletkezik; a fájl – az SMS-nek szóló – telepítési státusz közlésére használatos.

Telepítés Windows NT munkaállomáson Eszközmeghajtó telepítés Az NT biztonsági tulajdonságainak következtében jóval bonyolultabb az F-Secure Workstation Suite telepítése Windows NT platformon, mint a Windows 95/98 környezetben. Egyes műveletek olyan kernelüzemű eszközmeghajtókon alapulnak, amelyek mint rendszermeghajtók kerülnek telepítésre. Helyi adminisztrátori (vagy ezzel egyenértékű) jogokkal kell rendelkeznünk a végpontokon ahhoz, hogy ezeket a meghajtókat megfelelően tudjuk telepíteni. Ha a felhasználóknak nincsenek adminisztrátori jogai a saját munkaállomásukon, akkor vagy engedélyezzünk nekik a telepítés idejére adminisztrátori jogokat, vagy használjuk a Package Command Manager szolgáltatást (ld. köv. fejezet). Package Command Manager szolgáltatás A Package Command Manager (PCM) normál esetben alkalmazásként kerül telepítésre az SMS kliensen. Mivel alkalmazásként fut, csak olyan privilégiumok kapcsolódnak hozzá, mint amilyenek az alkalmazást futtató felhasználó-azonosítóhoz kötődnek. A Microsoft azon Windows NT klienseknek, amelyek a Windows NT domain tagjai és telepítve van rajtuk az SMS 1.2 verziója, Package Command Manager szolgáltatást biztosít. A PCM szolgáltatás a Microsoft alábbi Web oldaláról tölthető le: http://backoffice.microsoft.com/downtrial/moreinfo/pcm.asp A PCM szolgáltatás a legfrissebb SMS 1.2 Service Pack-ban is megtalálható. A PCM szolgáltatás adminisztrátori jogokkal rendelkező felhasználó azonosító meglétét követeli meg a kliens gépen. Ez engedélyezi, hogy a PCM szolgáltatás adminisztrátori jogokkal telepíthesse a szoftvert. A PCM szolgáltatás képes telepíteni azokat a szoftvereket, amelyeket a PCM alkalmazás nem (pl. F-Secure Workstation Suite). Semmiképpen ne feledjük azonban, hogy a PCM egy biztonsági kockázatot is hordoz 100


„B” Függelék

magában. Ha a felhasználó bármelyik munkaállomásán saját alkalmazására cseréli le a pcmsvc32.exe állományt, akkor bármely alkalmazását adminisztrátori jogokkal lesz képes futtatni. A PCM szolgáltatás lehetővé teszi azt is, hogy egy szoftvert felhasználói beavatkozás nélkül, teljesen a háttérben lehessen telepíteni. PCM alkalmazás esetén a PCM aktiválásához a felhasználónak be kell jelentkeznie a rendszerbe és végre kell hajtatnia egy munkautasítást. Ha azonban ez egy kötelező munkautasítás, akkor az öt percen belül automatikusan végrehajtásra kerül. A PCM szolgáltatás esetében a felhasználó semmiféle párbeszéd ablakot nem lát, és rendszerint nem is kell a gépén bejelentkeznie a rendszerbe ahhoz, hogy a szoftver telepítésre kerüljön. A szolgáltatás telepítéséről szóló részletek a PCM szolgáltatás dokumentációjában olvashatók.

101

“C” Függelék: SNMP támogatás Ez a fejezet az SNMP támogatás tárgyköréből a következő témákat taglalja: •Υ F-Secure Management Agent SNMP Agent •Υ Az F-Secure Management Agent telepítése SNMP támogatással •Υ F-Secure Management Agent vezérlés-információs adatbázisa (MIB) •Υ Az F-Secure Management Agent által küldött SNMP megszakítások •Υ Hálózati vezérlő szoftver bővítők

Az SNMP támogatás jelenleg valamennyi Windows NT verzióhoz rendelkezésre áll. A Windows 95 környezetre szóló támogatás a következő szoftver változatban lesz elérhető. Az F-Secure Management Agent SNMP támogatása

Windows NT Az F-Secure Management Agent számára szóló SNMP támogatás NT verziója szolgáltatásként hajtja végre a Windows NT főmodult. Mivel az SNMP szolgáltatás a hálózati kommunikációhoz a Windows Sockets eszközt használja, ez utóbbit TCP/IP vagy IPX/SPX protokollal kell telepíteni. A főmodul egy kiterjeszthető SNMP egység, amelyik megengedi további MIB-ek kiszolgálását. Maga az NT SNMP nem tartalmaz eszközöket semmilyen MIB kezeléséhez. Ellenben ő a felelős az NT munkaállomásoknak vagy szervereknek szóló SNMP kérések kiszűréséért és e kéréseknek a megfelelő modulokhoz feldolgozásra történő továbbításáért. Az F-Secure SNMP Management Extension egy Windows NT SNMP bővítmény, amelyik a főmodullal együtt töltődik be / lép ki a rendszerből. Az SNMP szolgáltatás normál esetben az NT felállásakor indul el, így a bővítmény is mindig betöltésre kerül. Az NT főmodul fogadja a bővítményt és továbbítja a kéréseket a Management Agent felé, amelyik azért felelős, hogy visszaküldje a kérést annak a kezelt végpontnak, amelyik létrehozta azt. Az F-Secure SNMP Management Extension még akkor is betöltődhet, ha más modul nem kerül betöltésre, így az F-Secure SNMP Management Extension más F-Secure Management Agent moduloktól függetlenül is nyomon tudja követni az F-Secure Management Agent ténykedését.

103

„C” Függelék

SNMP támogatás

Az F-Secure Management Agent telepítése SNMP támogatással Az F-Secure SNMP Management Extension telepítése Az F-Secure Management Agent számára szóló SNMP támogatás telepítése az F-Secure Workstation Suite telepítési eljárása során, a Management Extensions telepítésével történik. Amennyiben az SNMP még nem létezik a célul kiválasztott rendszeren, akkor az F-Secure Workstation Suite telepítés beindíthat egy SNMP telepítő műveletet.

MEGJEGYZÉS: Ne feledjük! Ha az F-Secure SNMP Management Extension telepítéskor az SNMP főmodul is telepítésre kerül, akkor a megfelelő Service Pack-ot is újra kell telepítenünk! (ld. a következő fejezetet)

Az SNMP főmodul konfigurálása Az SNMP Service a ’Windows Control Panel / Vezérlőpult’ ’Network Options / Hálózatok’ ablakból kerül telepítésre. Az SNMP Service beállítása a TCP/IP Installation Options ablakban történik. Miután az SNMP Service szoftvert telepítettük a gépünkre, az SNMP szabályszerű működéséhez érvényes információkkal konfigurálnunk kell azt. Az SNMP konfigurálásához adminisztrátorként be kell jelentkeznünk a helyi gépre. Az SNMP konfigurációs információ azonosítja a társulásokat és a megszakítások rendeltetési helyeit. Egy társulás a végpontok olyan csoportja, amelyikhez az SNMP szolgáltatást futtató Windows NT számítógép tartozik. Egy vagy több társulást is megadhatunk, amelyekhez a számítógép majd megszakításokat fog küldeni. A társulás neve tartalmazza a megszakítást. Amikor az SNMP Service olyan információkérést fogad, amelyik nem tartalmaz pontos társulás nevet és nem illik össze egy, a Service számára elfogadott végpont névvel sem, az SNMP Service a kérés hitelesítési hibájának jelzésére megszakítást küldhet a megszakítás rendeltetési helyre. 104

SNMP támogatás

„C” Függelék

A megszakítás rendeltetési helyek olyan nevek vagy olyan végpont IP címek lehetnek, amelyhez az SNMP Service által küldött megszakításokat – a kiválasztott társulás nevével – akarjuk eljuttatni. Ha az SNMP-t statisztikára akarjuk használni, ám társulás vagy megszakítás azonosítására nem, akkor az SNMP Service konfigurálásakor a “public” nyilvános társulás nevet is megadhatjuk. Az SNMP szolgáltatások biztonsági paramétereinek megadásához használjuk az “SNMP Security Configuration” párbeszéd ablakot. Ez a párbeszéd ablak akkor jelenik meg, amikor az “SNMP Service Configuration” párbeszéd ablak “Security” nyomógombjára kattintunk. Az SNMP biztonsága lehetővé teszi, hogy megadjuk azokat a társulásokat és végpontokat, amelyektől egy számítógép el fog majd fogadni kéréseket, és megszabhatjuk, hogy küldjön-e hitelességi megszakítást, ha egy nem hitelesített társulás vagy végpont információt kér.

Windows 4.0 szempontok A Windows 4.0 SNMP tartalmaz néhány hibát, ezért a Service Pack 2 vagy annál magasabb változat telepítése javasolt. A Service Pack 2-vel javított hibák a következő Microsoft Knowledge Base cikkelyben kerülnek megemlítésre: •Υ Q154784: Windows NT Operating System SNMP OID Incorrect •Υ Q163837: SNMP query to Windows NT returns same value for NTS and NTW

Management Information Base Az SNMP modullal kezelt objektum paraméterkészletét a Management Information Base (MIB) írja le. A vezérlő rendszer akkor képes az objektumot kezelni, ha az SNMP modul a DLL kiterjesztés kezelőt az adott MIB-el összekapcsolja. Az SNMP MIB fájlok az F-Secure Administrator telepítése során automatikusan jönnek létre az F-Secure Administrator-ban, az Administrator\snmp mib\ könyvtárban. Minden terméknek saját MIB állománya van. Az összes vezérelt objektum bejegyzésének egyedi azonosítója van (OID). A bejegyzés objektumtípus leírást (mint például számláló, string, méret vagy cím), objektum hozzáférés típust (például olvasható vagy írható / olvasható), méret korlátozást, és tartomány információkat is tartalmaz. Egy OID egy adott objektumhoz kötött egyedi azonosító. Az azonosító az objektum forrását és magát az objektumot is egyértelművé tevő számok sorozatából áll. Az OID-k három rétegű struktúrába szervezettek, és a számsorozat a struktúrának azon ágát azonosítja, ahonnan az objektum ered. A fa gyökere az ISO (International Standards Organization) törzs. Ennek értéke =1. A gyökértől távolodó valamennyi ág az adott objektum forrását azonosítja. Az összes SNMP objektum az iso.org.dod.internet vagy másképpen az 1.3.6.1 által azonosított ág tagja. Ebben a jelölési rendszerben megadott minden további elem tovább finomítja az objektum pontos elhelyezkedését. Az ágak egyediségének biztosítása érdekében valamennyi al-tagot az IETF kapcsol össze egy sorszámmal.

105

„C” Függelék

SNMP támogatás

A megszakítások olyan SNMP üzenetek, amelyeket valamely modul küld egy előre konfigurált végpontnak. Feladatuk a vezérelt konzolok értesítése fontos eseményekről. Jellemzően egy szolgáltatás elindulásáról vagy befejezéséről adnak hírt, jelentést küldenek komoly hibaállapotokról, stb. Az SNMP modulon keresztül csak akkor kerülnek elküldésre a megszakítások, ha a termék F-Secure Administrator-ban található irányítási táblázatában bejelöltük a továbbítási igényt. A megszakítások irányításáról további információk a könyv 60. oldalán “A riasztásküldés konfigurálása” fejezetben találhatók.

Hálózatkezelő szoftver bővítmények Az F-Secure Management Agent SNMP Extension a HP® OpenView és az IBM® NetView® programokba került beépítésre. Az F-Secure társaság alkalmazásszerkesztő tulajdonsággal létrehozott alkalmazás bővítményeket biztosít e környezetekre. A szerkesztő csomag a következőket tartalmazza: •Υ Teljes részletességgel leírt F-Secure Management Agent MIB állomány •Υ A bővítmény alkalmazás számára a MIB változókat és függvényeket leíró alkalmazás regisztrációs ál-

lomány •Υ Megszakítás definiáló és leíró állomány •Υ Az alkalmazásnak szóló Help / Súgó állomány •Υ Telepítő script •Υ RTF formátumú dokumentáció

106

“D” Függelék: a PRODSETT.INI módosítása A Prodsett.ini mondja meg a Telepítő programnak, hogy melyik modult és azt hova (célkönyvtár) telepítse a munkaállomáson. A következők alapján szerkeszthetjük az állományt: [F-Secure common]]

Lehetséges értékek

CD-Key=nnnn

Itt állítjuk a CD kulcsot

SetupLanguage=ENG

A telepítés nyelve

SetupMode=1

1 = Hálózati munkaállomás 0 = Önálló telepítés

RequiresAdministrationMethod=0

Ezt az értéket hagyjuk meg 0-nak!

[Silent Setup]

Beavatkozás nélküli automatikus telepítés

DestinationDirUnderProgramFiles=F-Secure

Célkönyvtár útvonala

DestinationDir=C:\F-Secure

A DestinationDirUnderProgramFiles helyett inkább ezt a beállítást használjuk, ha abszolút célkönyvtárútvonalat akarunk megadni

OkToUpgrade=1

0 = Korábbi verzió létezése esetén nincs telepítés 1 = Korábbi verzió létezése esetén is van telepítés

AddComponents=1

0 = Korábbi verzió esetén teljes újratelepítés 1 = Korábbi verzió esetén csak az új elemek telepítése

AdministrationMethod=1

0 = Önálló telepítés 1 = Központi kiszolgálás kommunikációs könyvtár vagy HTTP protokol használatával

Reboot=2

1 = Telepítés után automatikus újraindítás 2 = Újraindítás felhasználói jóváhagyás kérése után 3 = Telepítés után nincs újraindítás Az 1 vagy a 3 értéket használjuk a teljesen beavatkozás nélküli SMS telepítés esetén. 107

„D” Függelék

A PRODSETT.INI módosítása

CancelIfOnePlugInFails=

0 = A további Suite telepítés megszakítása, ha egy Suite modul (termék) telepítése hibás 1 = Ha egy Suite modul (termék) telepítése hibás, akkor a telepítés a következő kijelölt elemmel folytatódik.

LauncherWaitTimeout=30

Amennyiben a csendes telepítést újraindítással kellene befejezni, akkor a Setup az itt meghatározott időtartamig vár válaszra. Ha a várakozási idő letelt, a Telepítő újraindítja a gépet.

[FSMAINST.DLL]

F-Secure Management Agent beállítások

RequestInstallMode=1

0 = A termék nem kerül telepítésre 1 = Újabb / nem telepített változatú termék telepítése 2 = Ugyanazon / újabb változatú termék újratelepítése

ManagementKey=\\server\path\admin.pub

A nyilvános vezérlő kulcsot tároló könyvtár

CommunicationMethod=2

1 = Az adminisztráció kommunikációs könyvtáron keresztül történik 2 = Az adminisztráció HTTP és az F-Secure Management Server segítségével történik

CommDir=\\server\resource\F-Secure-commdir

A kommunikációs könyvtárra mutató útvonal. Az útvonal helyettesíthető logikai meghajtó betűjellel is. Megjegyzés: nincs szükségünk erre a beállításra, ha a CommunicationMethod paraméter értéke = 2.

CommDirAccount=YOURDOMAIN\fscomm

A kommunikációs könyvtárhoz férő azonosító (teljes felügyelet szükséges) Megjegyzés: nincs szükségünk erre a beállításra, ha a CommunicationMethod paraméter értéke = 2.

CommDirPassword=xxxxxxx

A CommDir azonosítóhoz tartozó jelszó. Megjegyzés: nincs szükségünk erre a beállításra, ha a CommunicationMethod paraméter értéke = 2.

FsmsServerUrl=http: / / fismsserver

Az F-Secure Management Server URL-je. Nincs szükség URL-re, ha a CommunicationMethod = 1 értékű.

FFssm mssEExxtteennssiioonnU Urrii== // ffssm mss // ffssm msshh..ddlll

Ne változtassuk meg ezt a beállítást.

FFssm mssCCoom mm mddiirrU Urrii== // ccoom mm mddiirr

Ne változtassuk meg ezt a beállítást.

ManagedStandAlone=

0 = A telepített termékek központi kezelésűek, HTTP-t vagy kommunikációs könyvtárat használnak.

108


„D” Függelék 1 = A telepített termékek importált házirendekkel kezelhetők.

w wiinn22000000rreennaam meeffiilleess==ffssrreecc..22kk|f|fssrreecc..ssyyss;;ffssffiilltteerr..

Ne változtassuk meg ezeket a beállításokat!

22kk|f|fssfflltteerr..ssyyss;;ffssggkk..22kk|f|fssggkk..ssyyss IInnssttaallIIFFSSPPK KIIH H==00 IInnssttaalllN Neettw woorrkkPPrroovviiddeerr==00 IInnssttaalllG GIIN NA A==00 CCoonnfflliiccttH Haannddlleerrss==FFSSA AV V44xx;;FFSSA AV V55xx CCoonnfflliiccttH Haannddlleerr__FFSSA AV V44xx==FFSSA AV VIIN NSSTT..D DLLLL CCoonnfflliiccttH Haannddlleerr__FFSSA AV V55xx==FFSSA AV VIIN NSSTT;;D DLLLL RReeddeeffiinneeSSeetttiinnggss==11

[VPNINST.DLL]

F-Secure VPN+ beállítások



ConflictWith3ComSmartAgent=

Akkor használatos, ha a 3Com Smartagent telepítve van a célgépen. 1 = Az ütközések automatikus feloldása. Ha ez nem lehetséges, a termék nem kerül telepítésre. 2 = Nem települ a termék.

ConflictWithPreviousInstallation=

0 = Nem veszi figyelembe, és a telepítés folytatódik 1 = Az ütközések automatikus feloldása. Ha ez nem lehetséges, a termék nem kerül telepítésre. 2 = A termék nem kerül telepítésre. 3 = Az egész Suite telepítés abbahagyása.

IdentityType=

A VPN+ azonosításának típusa. 0 = IP cím (pl.: 192.168.1.100) 1 = FQDN (fully qualified domain name) Például: machine1.F-Secure.com 2 = user@FQDN (Pl.: [email protected]) 3 = Automatikus. DHCP használatakor user@FQDN, más esetekben IP cím kerül alkalmazásra.

IdentityString=

A célgép azonosító stringje. Értéke: (Ha az IdentityType=0): Egy IP cím, vagy üres. Ha a

109

„D” Függelék

A PRODSETT.INI módosítása mező üres, a VPN+ helyi IP címet használ. (Ha az IdentityType=1): FQDN (Ha az IdentityType=2 vagy 3): Az e-mail cím DNSének domain név része. A VPN+ a “user@” részt fűzi az e-mail címhez.

Country=

2 betűs ország-kód (ISO 3166 szabvány)

Organization=

A vállalat neve (string).

OrganizationUnit=

A vállalati részleg neve (string)

[VPNX.DLL]

F-Secure VPN+ beállítások

A [VPNINST.DLL] alatt található beállítások Az x = 1, 2, 3 vagy 4 a telepítéskor a licence-től függ: megismétlődnek a [VPNX.DLL] szekció alatt. 1 = VPN+ Client 2 = VPN+ Server 3 = VPN+ Gateway 4 = VPN+ Enterprise Gateway

[DFWINST.DLL]

F-Secure Distributed Firewall beállítások



ConflictWith3ComSmartAgent=1

Akkor használatos, ha a 3Com Smartagent telepítve van a célgépen. 1 = Az ütközések automatikus feloldása. Ha ez nem lehetséges, a termék nem kerül telepítésre. 2 = Nem települ a termék.

ConflictWithPreviousInstallation=1

0 = Nem veszi figyelembe, és a telepítés folytatódik 1 = Az ütközések automatikus feloldása. Ha ez nem lehetséges, a termék nem kerül telepítésre. 2 = A termék nem kerül telepítésre. 3 = Az egész Suite telepítés abbahagyása.

[FCINST.DLL]

F-Secure FileCrypto beállítások



110


„D” Függelék

AbortIfDesktopExists=1

Akkor használatos, ha az F-Secure Desktop telepítve van a célgépen. 0 = A termék nem kerül telepítésre 1 = A Suite telepítés abbahagyása.

ReplaceExistingGina=1

Akkor kerül használatra, amikor a GINA.DLL már telepítve van a célgépen. 0 = Nem cseréli le a létező GINA-t. A termék nem kerül telepítésre 1 = A létező GINA lecserélése. A termék telepítésre kerül.

[FSAVINST.DLL]

F-Secure Anti-Virus beállítások



DeleteOldDirectory=0

0 = Nem törli a régebbi FSAV könyvtárat. 1 = Ha létezik, törli a régi FSAV könyvtárat.

[FSASINST.DLL]

F-Secure Anti-Virus Server beállítások


0 = Az adott termék nem kerül telepítésre 1 = Újabb / nem telepített változatú termék telepítése 2 = Ugyanazon / újabb változatú termék újratelepítése

[MEHINST.DLL]

F-Secure Management Extensions beállítások


0 = Az adott termék nem kerül telepítésre 1 = Újabb / nem telepített változatú termék telepítése 2 = Ugyanazon / újabb változatú termék újratelepítése

111

“E” Függelék: Ilaunchr hibakódok Amikor az Ilaunchr.exe csendes üzemben fut le, akkor a telepítés eredményét szabvány kilépési kódokkal közli. Probléma esetén ezek egy login scripttel lekérdezhetők. Az alábbiakban következő sorok például beszúrhatók egy ilyen scriptbe: Start / Wait ILaunchr.exe \\server\share\mysuite.jar / U if errorlevel 100 Goto Some_Setup_Error_occurred if errorlevel 5 Goto Some_Ilaunchr_Error_occurred if errorlevel 3 Goto Problem_with_JAR_package if errorlevel 2 Goto User_does_not_have_admin_rights if errorlevel 1 Goto FSMA_was_already_installed if errorlevel 0 Echo Installation was OK”

Hibakódok 0

A telepítés rendben.

1

Az FSMA már telepítve van.

2

A felhasználó nem rendelkezik adminiszrátori jogokkal.

3

A JAR nem található.

4

A JAR hibás.

6

Hiba történt a telepítő csomag kibontásakor.

7

A telepítéshez nincs elegendő szabad lemezterület a célmeghajtón.

8

A package.ini állomány nem található a JAR fájlban.

9

A package.ini állomány semmilyen munkautasítást nem tartalmaz.

10

Hibás paraméterek vannak a parancssorban vagy a .ini állományban.

113

„E” Függelék

Ilaunchr hibakódok

11

Hiba egy új munkafolyamat elkezdésekor.

12

Hiba a telepítési folyamat végrehajtásakor.

13

Nem készíthető temp könyvtár.

14

Meghatározatlan hiba.

100

A csendes telepítéshez szükséges adat hiányzik. Érvénytelen JAR állomány.

101

A frissítés tiltott. (A Telepítő megkísérelte a telepítést frissíteni.)

102

A Telepítő nem tudta olvasni a product.ini állományt.

103

Érvénytelen adat a prodsett.ini állományban.

104

A Management Agent törölte a telepítési parancsot vagy szoftverütközés lépett fel. A telepítés megszakítva.

105

A telepítő kódmondat begépelése hibás vagy hiányos. A telepítés megszakítva.

110

A célgépen betelt a lemez.

111

A célmeghajtó nem lokális.

120

A felhasználónak nincs adminisztrátori joga az adott gépen.

130

A Telepítő nem tudta a tömörítetlen állományokat átmásolni a célmeghajtóra.

131

A Telepítő nem tudta a telepítés eltávolító komponenst átmásolni a célmeghajtóra.

132

A Telepítő nem tudta a product.ini állományt átmásolni a temp könyvtárba.

133

A termék állományainak a célkönyvtárba másolásakor hiba történt.

134

A prodsett.ini nem másolható.

140

A rendszeren a Suite újabb változata van.

150

A Telepítő nem tudta betölteni a termék komponens dll-t.

151

A Telepítő nem tudta betölteni a telepítést támogató dll-t.

152

A Telepítő nem tudta betölteni a wrapper dll-t.

160

A Telepítő nem tudott inicializálni egy cabinet állományt.

170

A Management Agent Telepítő komponense hibával tért vissza.

171

A komponens váratlan kóddal tért vissza.

172

A komponens wrapper kóddal tért vissza.

114

“F” Függelék: FSII távoli telepítés hibakódjai Windows hibakódok Ez a függelék azokat a legáltalánosabb hibakódokat és üzeneteket ismerteti, amelyeket a Windows végponton végrehajtásra kerülő Autodiscover művelet során kaphatunk. Windows hibakód

Jelentése

1057

A felhasználói azonosító érvénytelen vagy nem létezik.

5

A hozzáférés tiltott. A “This Account” használata esetén fontos, hogy az adminisztrátor “Domain Administrator” jogokkal legyen bejelentkezve az FSA gépre. Megbízható tartományok esetén, győződjünk meg arról, hogy a megbízható tartományból származó azonosító használatával legyünk bejelentkezve az FSA gépre.

1069

Bejelentkezési hiba. A legtöbb esetben a beírt jelszó hibás.

1722

Az RPC szerver elérhetetlen. Ezt az üzenetet akkor kaphatjuk, ha a végpont közvetlenül a telepítés után került újraindításra, és az FSA–nak nem volt ideje ellenőrizni, hogy a telepítés sikeresen befejeződött-e.

Hibaüzenetek, javítások H.: The required privilege is not granted for the current account and should be added manually. J.: A szükséges jogok nem engedélyezettek az aktuális azonosító számára és kézzel kell megadni azt. Alapértelmezésben az FSA gépeken még az adminisztrátor sem rendelkezik a szükséges “Act as part of operating system / Az operációs rendszer részeként tevékenykedik” privilégiummal. E jogosítvány nélkül a Windows NT nem engedi meg, hogy az FSII hitelesíthesse a begépelt felhasználó azonosítót. Az adminisztrátori azonosító jogosultságainak az FSA konzolon történő kibővítéséhez használjuk a Windows NT User Manager > Policies > User Rights parancsot. H.: Management Agent canceled the installation or some conflicting software was found. Installation aborted. 115

„F” Függelék

FSII távoli telepítés hibakódjai

J.: A Management Agent törölte a telepítési parancsot vagy valamilyen problémás szoftver bukkant fel. A telepítés megszakításra került. A Telepítő program Management Agent része a telepítési parancsot a következő esetekben törli: 1. Ha harmadik féltől származó szoftverrel ütközés történik. 2. Ha a következő paraméterek valamelyikének hibája áll elő: •Υ Nem megfelelő kommunikációs könyvtár elérési útvonal. •Υ Nem megfelelő kommunikáció azonosító vagy jelszó. •Υ A Management Server-re mutató URL nem megfelelő.

H.: The CD-KEY was entered incorrectly or is missing. Installation aborted. J.: A telepítés megszakad, mert a telepítő kódmondat pontatlan begépelése miatt a telepítés nem indítható a távvezérelt gépen. Ellenőrizzük a begépelést. H.: Out of disk space in target host. J.: A célgépen nem elegendő a szabad lemezterület. Általában legalább 20 MB szükséges. H.: Management Agent installation failed to fatal FSMAINST error, see host log files for details. J.: Az F-Secure Management Agent telepítése közben felmerülő súlyos hiba miatt a Management Agent telepítése sikertelen. Ajánlatos kézzel telepíteni a Management Agent-et a végpontra. További részletekért megnézhetjük a végpont naplóállományát is és megpróbálhatjuk megkeresni az ERROR kulcsszót a Windows célkönyvtárban található FSWSSDBG.LOG állományban. H: Newer F-Secure product detected, installation aborted. J.: A telepítés megszakad, mert a telepítendőnél újabb programváltozat van a gépen telepítve. Ha a célgépen a telepítendő változatánál frissebb programverzió lenne feltéve, akkor mindaddig nem lehet a telepítést végrehajtani, amíg a már fent lévő változatot előbb el nem távolítottuk. H.: Invalid data encountered in prodsett.ini. J.: Érvénytelen információ található a prodsett.ini konfigurációs állományban. Amennyiben az állományt kézzel szerkesztettük, győződjünk meg arról, hogy a szintaxis megfelelő-e. A prodsett.ini közvetlen szerkesztése helyett inkább egy JAR állomány exportálása és a telepítéshez az ILAUNCHR program használata javallt.

116

“G” Függelék: Távtelepítési segédlet Windows 95/98 környezethez Távoli adminisztráció engedélyezése Van néhány előfeltétele annak, hogy az FSII együttműködhessen Windows 95/98 munkaállomásokkal. A távoli adminisztráció engedélyezéséhez a következő lépéseket kell végrehajtanunk: 1. Control Panel/Vezérlőpult > Network/Hálózatok > File Sharing/Fájlmegosztás engedélyezése. 2. Control Panel/Vezérlőpult > Network/Hálózatok, felhasználószintű biztonság engedélyezése. 3. Control Panel/Vezérlőpult > Passwords/Jelszavak, ellenőrizzük, hogy a “Remote Administration / Távoli adminisztráció” engedélyezett-e. További segítség: ld. a http://msdn.microsoft.com/library/winresource/dnwin95/S647C.HTM weblapot.

Opcionális távregisztrációs támogatás Ha azt akarjuk, hogy a telepített modul változat megjelenjen az F-Secure Administrator-unk AutoDiscover képernyőjén, akkor telepítenünk kell a Microsoft 95/98 Remote Registry szolgáltatást: 1. Control Panel/Vezérlőpult > Network/Hálózat, kattintsunk az Add/Hozzáadás gombra. 2. A “Select Network Component Type/Hálózati összetevők típusának kijelölése” ablakban duplán kattintsunk a Service/Szolgáltatás elemre. 3. A “Select Network Service/Hálózati szolgáltatás kijelölése” ablakban kattintsunk a “Have disk / Saját lemez” gombra. 4. Az “Install From Disk / Telepítés hajlékonylemezről” ablakban gépeljük be a Windows 95 CD ROM ADMIN\NETTOOLS\REMOTREG könyvtárát, majd kattintsunk az OK gombra. 5. Az “Install From Disk / Telepítés hajlékonylemezről” ablakban kattintsunk az OK gombra. 6. A Select Network Service/Hálózati szolgáltatás kijelölése ablakban kattintsunk a Microsoft Remote Registry gombra majd kattintsunk az “OK”-ra. 117

“H” Függelék: Netmaszkok NSC jelölése Az NSC jelölésrendszer egy szabványos rövidített jelölés, amelyik egy hálózati címet kombinál a hozzá kapcsolódó netmaszkkal. Az NSC jelölés a netmaszk értékeit azonosító sorfolytonos kódszámot definiál, ami egy “per” jel után követi a hálózati cím értékét. Néhány példa a képzésére: Hálózati cím

Netmaszk

NSC jelölés

192.168.0.0

255.255.0.0

192.168.0.0 / 16

192.168.1.0

255.255.255.0

192.168.1.0 / 24

192.168.1.255

255.255.255.255

192.168.1.255 / 32

Az NSC jelölés nem kompatíbilis azokkal a – “fésű” rendszerű netmaszkot használó – hálózatokkal, amelyek nem sorfolytonos kódolást használnak. A következő táblázat közli a megengedett netmaszkokra kiosztott kódértékeket. A 0.0.0.0 / 0 az alapértelmezett útvonal számára fenntartott speciális érték. Netmaszk Kód

Netmaszk

Kód

Netmaszk

Kód

Netmaszk

Kód

128.0.0.0 1

255.128.0.0 9

255.255.128.0 17

255.255.255.128 25

192.0.0.0 2

255.192.0.0 10

255.255.192.0 18

255.255.255.192 26

224.0.0.0 3

255.224.0.0 11

255.255.224.0 19

255.255.255.224 27

240.0.0.0 4

255.240.0.0 12

255.255.240.0 20

255.255.255.240 28

248.0.0.0 5

255.248.0.0 13

255.255.248.0 21

255.255.255.248 29

252.0.0.0 6

255.252.0.0 14

255.255.252.0 22

255.255.255.252 30

254.0.0.0 7

255.254.0.0 15

255.255.254.0 23

255.255.255.254 31

255.0.0.0 8

255.255.0.0 16

255.255.255.0 24

255.255.255.255 32

119

F-Secure Policy Manager 5

Recommend Documents