ESET REMOTE ADMINISTRATOR 6 Administrační příručka Klikněte sem pro stažení nejnovější verze příručky Tato příručka je dostupná také v online podobě na portále help.eset.com
ESET REMOTE ADMINISTRATOR 6 Copyright
2016 ESET, spol. s r.o.
ESET Remote Administrator 6 byl vyvinut společností ESET, spol. s r.o. Pro více informací navš tivte www.eset.cz. Vš echna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani distribuována jakýmkoliv způsobem bez předchozího písemného povolení společnosti ESET, spol. s r.o. ESET, spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této publikaci bez předchozího upozornění. Technická podpora: www.eset.cz/podpora REV. 2.11.2016
Obsah ERA Agenta prostřednictvím SCCM 5.5.2.2.1.2 Nasazení........................................................................69
1. Úvod .......................................................6
5.5.2.3
Nasazení ..................................................................................85 ERA Agenta z ERA Serveru
1.1 Offline ....................................................................................................6 nápověda
5.5.2.4
Nastavení ..................................................................................87 ERA Agenta
1.2 Podporované ....................................................................................................8 produkty a prohlížeče
2. Představení .......................................................10 3. Začínáme .......................................................11
........................................................................88 připojení 5.5.2.4.1 Úpravu intervalu
5.5.2.4.2 Vytvoření politiky pro ERA Agenta, aby se připojoval na nový ERA........................................................................91 Server
5.5.2.4.3 Vytvoření politiky pro ochranu odinstalace ERA Agenta ........................................................................93
5.5.2.5
Ochrana ..................................................................................94 ERA Agenta heslem
3.1 Otevření ....................................................................................................11 ERA Web Console
5.5.2.6
Řešení ..................................................................................95 problémů – nasazení ERA Agenta
3.2 Průvodce ....................................................................................................12 prvotním spuštěním
5.5.2.7
Řešení ..................................................................................97 problémů – ERA Agent se nepřipojuje
3.3 Seznámení ....................................................................................................14 s ERA Web Console
5.5.3
Praktické ..............................................................................98 scénáře nasazení ERA Agenta
5.5.3.1
Předpoklady pro nasazení ERA Agenta v ne-doménovém ..................................................................................98 prostředí
5.5.3.2
Předpoklady pro nasazení ERA Agenta v doménovém prostředí ..................................................................................100
5.5.4
Instalace ..............................................................................102 bezpečnostního produktu ESET
5.5.4.1
Instalace ..................................................................................104 prostřednictvím příkazového řádku
5.5.4.2
Seznam ..................................................................................106 chybových zpráv při instalaci
5.5.5
Desktop ..............................................................................107 Provisioning
4. Práce.......................................................17 s ERA Web Console 4.1 Přihlášení ....................................................................................................18 do ERA Web Console 4.1.1
Řešení ..............................................................................19 problémů – ERA Web Console
4.2 Nástěnka ....................................................................................................20 4.2.1
Uživatelské ..............................................................................21 nastavení
4.2.2
Konfigurace ..............................................................................22 nástěnky
4.2.3
Kontextové ..............................................................................23 menu
4.2.4
Úprava ..............................................................................25 šablony přehledu
5.6 Další ....................................................................................................107 kroky
4.3 Počítače ....................................................................................................28
6. Správa .......................................................108 mobilních zařízení (MDM)
4.3.1
Detaily ..............................................................................30 počítače
4.4 Hrozby ....................................................................................................32
6.1 Princip registrace a komunikace zařízení s....................................................................................................109 MDC
4.5 Přehledy ....................................................................................................34 6.2 Registrace ....................................................................................................110 zařízení 4.5.1
Vytvoření ..............................................................................35 nové šablony přehledu
6.2.1
Registrace ..............................................................................111 prostřednictvím e-mailu
4.5.2
Generování ..............................................................................38 přehledu
6.2.2
Individuální ..............................................................................112 registrační odkaz nebo QR kód
4.5.3
Naplánování ..............................................................................38 generování přehledu
6.2.3
Registrace ..............................................................................114 zařízení s OS Android
4.5.4
Zastaralé ..............................................................................38 aplikace
6.2.4
Registrace ..............................................................................126 iOS zařízení
4.5.5
SysInspector ..............................................................................39 prohlížeč
5. Prvotní .......................................................41 kroky 5.1 Průvodce ....................................................................................................41 nastavením
6.3 Vložení APNS certifkátu prostřednictvím ....................................................................................................129 politiky pro MDM 6.4 Vytvoření politiky pro nastavení Exchange ....................................................................................................131 ActiveSync účtu v iOS zařízení
6.5 Vytvoření politiky pro restrikci iOS 5.2 Vytvoření ....................................................................................................42 dalšího uživatele ....................................................................................................134 zařízení a nastavení Wi-Fi sítě 5.3 Certifikáty ....................................................................................................43 Konfigurační ..............................................................................137 profily MDM 6.5.1 5.4 Přidání ....................................................................................................44 licence 5.5 Nasazení ....................................................................................................47
7. Administrace .......................................................139
5.5.1
Přidání ..............................................................................48 počítače do ERA
5.5.1.1
Synchronizace ..................................................................................48 s Active Directory
7.1.1
Vytvoření ..............................................................................141 nové statické skupiny
5.5.1.2
Ruční ..................................................................................49 přidání pomocí názvu nebo IP adresy počítače
7.1.2
Vytvoření ..............................................................................143 nové dynamické skupiny
........................................................................51 CSV 5.5.1.2.1 Importování
7.1.3
Přiřazení ..............................................................................144 politiky skupině
5.5.1.3
Použití ..................................................................................52 nástroje ESET RD Sensor
7.1.4
Přiřazení ..............................................................................146 úlohy skupině
5.5.2
Nasazení ..............................................................................54 ERA Agenta
7.1.5
Statické ..............................................................................146 skupiny
5.5.2.1
Lokální ..................................................................................54 nasazení ERA Agenta
7.1.5.1
Průvodce ..................................................................................147 vytvořením statické skupiny
all-in-one instalačního balíčku ERA Agenta 5.5.2.1.1 Vytvoření........................................................................55
7.1.5.2
Správa ..................................................................................147 statických skupin
all-in-one instalátorem ERA Agenta 5.5.2.1.1.1 Průvodce........................................................................56
7.1.5.3
Přesunutí ..................................................................................149 statické skupiny
5.5.2.1.2
Online instalátory ........................................................................58 ERA Agenta
7.1.5.4
Importování ..................................................................................150 klientů z Active Directory
5.5.2.1.3
Stažení ERA ........................................................................60 Agenta z webových stránek ESET
7.1.5.5
Exportování ..................................................................................150 statických skupin
........................................................................61 ERA Agenta 5.5.2.1.3.1 Lokální nasazení
7.1.5.6
Importování ..................................................................................151 statických skupin
Vzdálené ..................................................................................64 nasazení ERA Agenta
7.1.5.7
Přiřazení ..................................................................................151 úlohy statické skupině
ERA Agenta prostřednictvím GPO nebo SCCM 5.5.2.2.1 Nasazení........................................................................64
7.1.5.8
Přiřazení ..................................................................................152 politiky statické skupině
ERA Agenta prostřednictvím GPO 5.5.2.2.1.1 Nasazení........................................................................64
7.1.5.9
Přidání ..................................................................................152 klientů do statické skupiny
5.5.2.2
7.1 Skupiny ....................................................................................................139
7.1.6
Dynamické ..............................................................................153 skupiny
7.4.5
Aktualizace ..............................................................................202 virové databáze
7.1.6.1
Průvodce ..................................................................................154 vytvořením dynamické skupiny
7.4.6
Anti-Theft ..............................................................................203 akce
7.1.6.2
Šablony ..................................................................................154 dynamických skupin
7.4.7
Export ..............................................................................205 konfigurace spravovaného produktu
........................................................................155 vytvořením šablony dynamické skupiny 7.1.6.2.1 Průvodce
7.4.8
Instalace ..............................................................................207 aplikace
7.1.6.2.2
Vytvoření dynamické skupiny pomocí existující šablony........................................................................155
7.4.9
Kontrola ..............................................................................208 volitelných cílů
7.4.10
Obnovit ..............................................................................209 databázi ESET RD Sensor
7.1.6.2.3
Vytvoření ........................................................................157 dynamické skupiny pomocí nové šablony
7.4.11
Obnovit ..............................................................................210 klonovaného ERA Agenta
7.1.6.2.4
Správa ........................................................................158 šablon dynamických skupin
7.4.12
Odeslat ..............................................................................211 zprávu
7.1.6.2.5
Přesunutí ........................................................................159 dynamické skupiny
7.4.13
Odinstalace ..............................................................................212 aplikace
7.1.6.2.6
Vzorové........................................................................160 příklady šablon dynamických skupin
7.4.14
Správa ..............................................................................213 karantény
7.4.15
Spustit ..............................................................................215 příkaz
7.4.16
Spustit ..............................................................................216 servisní skript SysInspector
7.1.6.2.6.1 Dynamická skupina – počítač chráněný bezpečnostním ........................................................................161 produktem ESET
7.1.6.2.6.2 Dynamická skupina – počítač s aplikací v konkrétní ........................................................................162
7.4.17
Ukončit ..............................................................................217 správu (odinstalovat ERA Agenta)
7.1.6.2.6.3 Dynamická skupina – počítač, na kterém není nainstalován ........................................................................163 žádná aplikace nebo v požadované verzi
7.4.18
Vrátit ..............................................................................218 předchozí aktualizaci virové databáze
7.4.19
Volitelná ..............................................................................220 kontrola
7.1.6.2.6.4 Dynamická skupina – aplikace je nainstalovaná, ale v
7.4.20
Vyžádat ..............................................................................221 SysInspector protokol
7.4.21
Vypnout ..............................................................................222 počítač
7.4.22
Získat ..............................................................................223 soubor z karantény
7.4.23
Přiřazení ..............................................................................225 úlohy skupině
7.4.24
Přiřazení ..............................................................................225 úlohy počítačům
verzi
jiné verzi ........................................................................164 ........................................................................165 skupina – počítač je v definované síti 7.1.6.2.6.5 Dynamická
7.1.6.3
Správa ..................................................................................166 dynamických skupin
7.1.6.4
Přiřazení ..................................................................................167 politiky dynamické skupině
7.1.6.5
Přiřazení ..................................................................................167 úlohy dynamické skupiny
7.1.6.6
Pravidla ..................................................................................167 pro šablony dynamických skupin
7.5.1
Generování ..............................................................................227 přehledu
Popis operátorů ........................................................................168
7.5.2
Odstranění ..............................................................................230 nepřipojujících se počítačů
Podmínky ........................................................................169 a logické spojky
7.5.3
Nasazení ..............................................................................230 ERA Agenta
7.5.4
Přejmenování ..............................................................................232 počítačů Synchronizace ..............................................................................233 statické skupiny
........................................................................168 stane členem dynamické skupiny? 7.1.6.6.1 Kdy se počítač
7.1.6.6.2 7.1.6.6.3
7.5 Serverové ....................................................................................................227 úlohy
7.1.6.6.3.1 Příklady........................................................................170 7.1.6.6.4
Vyhodnocování ........................................................................171 parametrů šablony
7.5.5
7.1.6.6.5
Jak automatizovat ........................................................................173 ESET Remote Administrator?
7.5.5.1
Synchronizace ..................................................................................234 statické skupiny s Active Directory
7.5.5.2
Synchronizace ..................................................................................235 statické skupiny - Linuxové počítače
7.5.5.3
Synchronizace ..................................................................................235 statické skupiny s VMware
7.5.6
Synchronizace ..............................................................................236 uživatelů
7.5.7
Podmínky ..............................................................................238 spuštění
7.5.7.1
Průvodce vytvořením nové serverové podmínky spuštění ..................................................................................239
7.5.7.2
Opakované použití podmínky spuštění v serverové úloze ..................................................................................239
7.2 Správa ....................................................................................................174 uživatelů 7.2.1
Přidání ..............................................................................176 nových uživatelů
7.2.2
Úprava ..............................................................................177 uživatelů
7.2.3
Vytvoření ..............................................................................179 nové skupiny uživatelů
7.3 Politiky ....................................................................................................180 7.3.1
Průvodce ..............................................................................181 vytvořením nové politiky
7.3.2
Příznaky ..............................................................................184
7.3.3
Správa ..............................................................................185 politik
7.5.7.3
Naplánování ..................................................................................240 spuštění serverové úlohy
7.3.4
Jak..............................................................................186 se politiky aplikují na klienta
7.5.7.4
Nastavení ..................................................................................240 citlivosti podmínky spuštění
7.3.4.1
Pořadí ..................................................................................186 skupin
7.5.7.5
Zabránění ..................................................................................241 aktivace podmínky spuštění
7.3.4.2
Získání ..................................................................................188 seznamu politik
........................................................................244 spuštění je příliš citlivá 7.5.7.5.1 Podmínka
7.3.4.3
Sloučení ..................................................................................189 politik
7.5.7.6
7.3.5
Vzdálená ..............................................................................189 konfigurace produktu prostřednictvím ERA
........................................................................245 spuštění se aktivuje příliš často 7.5.7.6.1 Podmínka
7.3.6
Přiřazení ..............................................................................190 politiky skupině
........................................................................246 7.5.7.6.2 CRON výraz
7.3.7
Přiřazení ..............................................................................191 politiky klientovi
7.6 Oznámení ....................................................................................................248
Správa ..................................................................................244 serverových podmínek spuštění
7.4 Klientské ....................................................................................................192 úlohy
7.6.1
Správa ..............................................................................248 oznámení
7.4.1
Spuštění ..............................................................................193 klientské úlohy
7.6.2
Jak ..............................................................................250 nakonfigurovat SNMP Trap službu
7.4.1.1
Průběh ..................................................................................195 úlohy
7.4.1.2
Ikona ..................................................................................196 stavu úlohy
7.7.1
Klientské ..............................................................................252 certifikáty
7.4.1.3
Kontextové ..................................................................................196 menu
7.7.1.1
Vytvoření ..................................................................................253 nového certifikátu
7.4.1.4
Podmínka ..................................................................................198 spuštění klientské úlohy
7.7.1.2
Exportování ..................................................................................254 klientského certifikátu
7.4.2
Aktivace ..............................................................................199 produktu
7.7.1.3
APN ..................................................................................254 certifikát
7.4.3
Aktualizace ..............................................................................200 operačního systému
7.7.1.4
Zamítnutí ..................................................................................256 certifikátu
7.4.4
Aktualizace ..............................................................................201 součástí ESET Remote Administrator
7.7.1.5
Změna ..................................................................................257 certifikátu ERA serveru
7.7 Certifikáty ....................................................................................................251
Obsah 7.7.1.6
Custom ..................................................................................258 certificates with ESET Remote Administrator
7.7.1.7
Nahrazení ..................................................................................269 certifikátů
7.7.2
Certifikační ..............................................................................270 autority
7.7.2.1
Vytvoření ..................................................................................270 nové certifikační autority
7.7.2.2
Exportování ..................................................................................271 veřejného klíče
7.7.2.3
Importování ..................................................................................271 veřejného klíče
7.8 Přístupová ....................................................................................................272 oprávnění 7.8.1
Uživatelé ..............................................................................272
7.8.1.1
Vytvoření ..................................................................................273 nativního uživatele
7.8.1.2
Průvodce vytvořením nové namapované bezpečnostní skupiny ..................................................................................274
7.8.1.3
Namapování ..................................................................................275 doménové bezpečnostní skupiny
7.8.1.4
Přiřazení ..................................................................................276 sady oprávnění konkrétnímu uživateli
7.8.1.5
Dvoufaktorová ..................................................................................277 autentifikace
7.8.2
Sady ..............................................................................277 oprávnění
7.8.2.1
Průvodce ..................................................................................278 vytvořením nové sady oprávnění
7.9 Nastavení ....................................................................................................279 serveru 7.9.1
SMTP ..............................................................................280 server
7.9.2
Automatické ..............................................................................280 párování počítačů
7.9.3
Export ..............................................................................281 protokolů do syslogu
8. Správa .......................................................284 licence 8.1 Přidání ....................................................................................................286 licence
9. FAQ.......................................................290 10. O programu .......................................................292 ESET Remote Administrator 11. End-User .......................................................293 License Agreement (EULA)
1. Úvod Vítejte v administrátorské příručce k ESET Remote Administrator (ERA). V tomto dokumentu Vás seznámíme s ERA Web Console, centrálním prvkem pro správu bezpečnostních produktů ESET ve vaší síti. Ukážeme si, jak přidat počítač do ERA, nainstalovat na něj ERA Agenta, bezpečností produkt a vytvořit politiku – a jak to vše automatizovat. Vysvětlíme si princip dynamických skupin a další novinky.
1.1 Offline nápověda Po kliknutí na ikonu ? v pravém horním rohu ERA Web Console se standardně zobrazí online verze nápovědy. Díky tomu máte vždy přístup k nejnovějším informacím. Pokud ESET Remote Administrator provozujete v offline prostředí, pomocí níže uvedených kroků si můžete stáhnout a do ERA Web Console nainstalovat offline verzi nápovědy. Jak nainstalovat offline nápovědu do ERA provozovaném na Windows 1. Stáhněte si archiv v .zip nebo .tar formátu v požadované jazykové verzi. 2. Na serveru, kde běží ERA Web Console, vytvořte v umístění %ProgramFiles%\Apache Sof tware Foundation \Tomcat 7.0\webapps\era\webconsole\ složku help. 3. Do vytvořené složky rozbalte obsah staženého archivu. Pokud jste například stáhli cs-CZ.zip, struktura složek by měla vypadat následovně: %ProgramFiles%\Apache Sof tware Foundation\Tomcat 7.0\webapps\era \webconsole\help\cs-CZ 4. Offline nápovědu si zobrazíte po zadání adresy do internetového prohlížeče ve formátu: https:// ip_adresa_nebo_nazev_serveru/era/webconsole/help/cs-CZ Poznámka: V případě potřeby si můžete stejným způsobem přidat další jazykovou verzi offline nápovědy. DŮLEŽITÉ: Pokud zařízení, na kterém používáte ERA Web Console nemá přístup k internetu, a chcete aby se zobrazila automaticky po kliknutí na ikonu ? v pravém horním rohu ERA Web Console, postupujte pomocí kroků uvedených v části "Vynucení offline nápovědy v ERA provozovaného na Windows". V opačném případě by se otevírala online nápověda. Jak nainstalovat offline nápovědu do ERA provozovaném na Linuxu 1. Stáhněte si archiv v .zip nebo .tar formátu v požadované jazykové verzi. 2. Na serveru, kde běží ERA Web Console, vytvořte v umístění /usr/share/tomcat/webapps/era/webconsole složku help, například pomocí příkazu mkdir help 3. Do vytvořené složky rozbalte obsah staženého archivu, například pomocí příkazu
tar -xvf cs-CZ.tar
4. Offline nápovědu si zobrazíte po zadání adresy do internetového prohlížeče ve formátu: https:// ip_adresa_nebo_nazev_serveru/era/webconsole/help/cs-CZ Poznámka: V případě potřeby si můžete stejným způsobem přidat další jazykovou verzi offline nápovědy. DŮLEŽITÉ: Pokud zařízení, na kterém používáte ERA Web Console nemá přístup k internetu, a chcete aby se zobrazila automaticky po kliknutí na ikonu ? v pravém horním rohu ERA Web Console, postupujte pomocí kroků uvedených v části "Vynucení offline nápovědy v ERA provozovaného na Linuxu". V opačném případě by se otevírala online nápověda.
6
Jazyk Czech English Arabic Chinese Simplified Chinese Traditional Croatian French French Canadian German Greek Italian Japanese Korean Polish Portuguese Brazilian Russian Spanish Spanish Latin Slovak Turkish
Offline nápověda (.zip) cs-CZ.zip en-US.zip ar-EG.zip zh-CN.zip zh-TW.zip hr-HR.zip fr-FR.zip fr-FC.zip de-DE.zip el-GR.zip it-IT.zip ja-JP.zip ko-KR.zip pl-PL.zip pt-BR.zip ru-RU.zip es-ES.zip es-CL.zip sk-SK.zip tr-TR.zip
Offline nápověda (.tar) cs-CZ.tar en-US.tar ar-EG.tar zh-CN.tar zh-TW.tar hr-HR.tar fr-FR.tar fr-FC.tar de-DE.tar el-GR.tar it-IT.tar ja-JP.tar ko-KR.tar pl-PL.tar pt-BR.tar ru-RU.tar es-ES.tar es-CL.tar sk-SK.tar tr-TR.tar
Vynucení offline nápovědy v ERA provozovaném na Windows 1. V textovém editoru otevřete konfigurační soubor C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0 \webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/conf ig/ EraWebServerConf ig.properties 2. Najděte řádek help_show_online=true a hodnotu změňte na false 3. Soubor uložte a restartujte službu Apache Tomcat. Při příštím otevřením nápovědy (kliknutím na ikonu ? v pravém horním rohu ERA Web Console) se automaticky otevře lokální offline nápověda. Vynucení offline nápovědy v ERA provozovaném na Linuxu 1. V textovém editoru otevřete konfigurační soubor /usr/share/tomcat/webapps/era/WEB-INF/classes/sk/eset/ era/g2webconsole/server/modules/conf ig/EraWebServerConf ig.properties, například v editoru nano. 2. Najděte řádek help_show_online=true a hodnotu změňte na false 3. Soubor uložte a restartujte službu Apache Tomcat, například pomocí příkazu service
tomcat restart .
Při příštím otevřením nápovědy (kliknutím na ikonu ? v pravém horním rohu ERA Web Console) se automaticky otevře lokální offline nápověda.
7
1.2 Podporované produkty a prohlížeče V této kapitole uvádíme souhrnné informace o podporovaných operačních systémech, internetových prohlížečích a produktech ESET, které je možné prostřednictvím ESET Remote Administrator 6 spravovat. · Prostřednictvím ESET Remote Administrator můžete spravovat stanice s operačním systémem Windows, Linux a
OS X i mobilní zařízení s OS Android a iOS. · ESET Remote Administrator Web Console funguje korektně v moderních nejrozšířenějších internetových
prohlížečích: Webový prohlížeč
Verze
Mozilla Firefox Microsoft Internet Explorer Microsoft Edge Google Chrome Safari Opera
20+ 10+ 25+ 23+ 6+ 15+
Poznámka: Doporučujeme používat vždy nejnovější verzi internetového prohlížeče. · Prostřednictvím ESET Remote Administrator můžete nasadit, aktivovat a spravovat tyto bezpečnostní produkty
ESET: Aktuální verze produktů ESET, které je možné spravovat prostřednictvím ESET Remote Administrator 6 Produkt
Verze
Způsob aktivace
ESET Endpoint Security pro Windows
6.x a 5.x
6.x - Licenční klíč 5.x - Uživatelské jméno/heslo
ESET Endpoint Antivirus pro Windows
6.x a 5.x
6.x - Licenční klíč 5.x - Uživatelské jméno/heslo
ESET Endpoint Security pro OS X
6.x
Licenční klíč
ESET Endpoint Antivirus pro OS X
6.x
Licenční klíč
ESET Endpoint Security pro Android
2.x
Licenční klíč
ESET File Security pro Windows Server
6.x
Licenční klíč
ESET Mail Security pro Microsoft Exchange Server
6.x
Licenční klíč
ESET Security pro Microsoft SharePoint Server
6.x
Licenční klíč
ESET Mail Security pro IBM Domino Server
6.x
Licenční klíč
Starší verze produktů ESET, které je možné spravovat prostřednictvím ESET Remote Administrator 6 Produkt ESET File Security pro Microsoft Windows Server ESET NOD32 Antivirus 4 Business Edition pro Mac OS X ESET NOD32 Antivirus 4 Business Edition pro Linux Desktop ESET Mail Security pro Microsoft Exchange Server ESET Mail Security pro IBM Lotus Domino ESET Security pro Microsoft Windows Server Core ESET Security pro Microsoft SharePoint Server 8
Verze
Způsob aktivace
4.5.x
Uživatelské jméno/heslo
4.x
Uživatelské jméno/heslo
4.x
Uživatelské jméno/heslo
4.5.x 4.5.x 4.5.x 4.5.x
Uživatelské jméno/heslo Uživatelské jméno/heslo Uživatelské jméno/heslo Uživatelské jméno/heslo
Produkt ESET Security pro Kerio ESET NOD32 Antivirus Business Edition ESET Smart Security Business Edition
Verze 4.5.x 4.2.76 4.2.76
Způsob aktivace Uživatelské jméno/heslo Uživatelské jméno/heslo Uživatelské jméno/heslo
9
2. Představení ESET Remote Administrator (ERA) je aplikace, která umožňuje spravovat bezpečnostní produkty ESET na stanicích, serverech i mobilních zařízeních z jednoho centrálního místa v síti. Prostřednictvím ESET Remote Administrator můžete vzdáleně instalovat bezpečnostní řešení ESET na zařízení, spravovat jejich konfiguraci a rychle reagovat na nové problémy a hrozby v síti. ESET Remote Administrator se skládá z těchto komponent: · ESET Remote Administrator Server – výkonná část, která zajišťuje komunikaci mezi klientskými stanice (ERA
Agenty). ERA Server můžete nainstalovat na Windows, Linux nebo jej do virtuální prostředí nasadit jako virtuální appliance. · ERA Web Console – ERA Web Console nahrazuje ESET Remote Administrator Console (ERAC), která se pro
vzdálenou správu používala do verze 5. Jedná se o webové rozhraní, které poskytuje informace o zařízeních ve vaší síti, bezpečnostních incidentech a umožňuje instalaci i konfiguraci produktů ESET. Pokud máte webový server dostupný z internetu, můžete ESET Remote Administrator spravovat prakticky odkudkoli z libovolného zařízení s internetovým prohlížečem. · ERA Agent – komponenta, která zajišťuje komunikaci mezi klientskou stanicí/bezpečnostním produktem ESET a
ERA Serverem. ERA Agenta musíte nainstalovat na každé zařízení, které chcete vzdáleně spravovat prostřednictvím ERA Web Console. Instalaci můžete provést lokálně nebo vzdáleně. Díky agentovi jste schopni ze stanici získat mnohem větší množství dat, a protože si agent pamatuje veškeré politiky, odpovídající nastavení aplikuje v případě bezpečnostních incidentů okamžitě bez nutnosti přímé viditelnosti ERA Serveru. · ERA Proxy – volitelná součást, kterou je vhodné využít ve velkých sítích ke snížení zátěže případně pro nasazení na
vzdálených pobočkách. ERA Proxy agreguje komunikaci ERA Agentů v dané lokalitě a hromadně ji přeposílá na nadřazený ERA Server, případně jinou ERA Proxy. Použitím této komponenty při velkém množství klientů optimalizujete dotazy do databáze, čímž zvednete výkon a snížíte zatížení celé infrastruktury. · Rogue Detection Sensor – ESET Rogue Detection Sensor (RD Sensor) je nástroj, který vyhledává zařízení v síti a
představuje pohodlný způsob pro přidání nových počítačů do ESET Remote Administrator bez nutnosti jejich ručního zadávání. · Apache HTTP Proxy – tuto součást můžete využít jako náhradu za tzv. mirror a snížit prostřednictvím ní zátěž na
konektivitu do internetu. Jedná se o efektivní řešení pro distribuci aktualizací virové databáze a instalačních balíčků. · Mobile Device Connector – komponenta, která zajišťuje komunikaci mezi ESET Remote Administrator a mobilními
zařízení s OS Android (a aplikací ESET Endpoint Security pro Android) případně operačním systémem iOS. · ERA virtuální appliance – připravený virtuální stroj s ESET Remote Administrator určený pro provoz ve virtuálním
prostředí. · ESET License Administrator – online licenční portál, prostřednictvím kterého máte detailní informace o svých
licencích včetně jejich reálného využití. Jako vlastník licence můžete prostřednictvím tohoto portálu svým administrátorům přidělit oprávnění k manipulaci s vaší licencí. Nemusíte tak administrátorům poskytovat licenční klíč a uvidíte veškeré akce, které s vaší licencí provedli – jaké produkty a kde aktivovali. Pokud máte k dispozici pouze uživatelské jméno a heslo, na tomto portále si je můžete převést na licenční klíč.
10
3. Začínáme ERA Web Console představuje centrální nástroj pro správu ESET Remote Administrator a vzdálenou konfiguraci bezpečnostních produktů ESET ve vaší síti. Dostupná je po nainstalování ESET Remote Administrator, resp. nasazení virtuální appliance a připojíte se k ní z jakéhokoli zařízení v síti s internetovým prohlížečem. V následujících kapitolách vám představíme ERA Web Console a ukážeme si, jak ji používat. Prostřednictvím konzole si můžete vytvořit all-in-one instalační balíček, prostřednictvím kterého najednou nainstalujete ERA Agenta i bezpečnostní produkt ESET. Následně již budete schopni spravovat stanicím přiřazovat politiky, filtrovat je prostřednictvím dynamických skupin a data z nich získaných si generovat například do přehledů. Na úvod doporučujeme začít těmito kapitolami: · · · ·
Otevření ERA Web Console Průvodce prvotním spuštěním Seznámení s ERA Web Console Průvodce nastavením
3.1 Otevření ERA Web Console ESET Remote Administrator Web Console představuje uživatelské rozhraní, prostřednictvím kterého můžete ovládat ERA Server. Jedná se o centrální místo pro vzdálenou správu všech klientů a bezpečnostních produktů ESET. Webovou konzoli ERA si zobrazíte na jakémkoli zařízení s internetovým prohlížečem. ERA Web Console můžete zobrazit několika způsoby: § Na lokálním serveru (počítač, na kterém běží ERA Web Console) zadejte do internetového prohlížeče následující
adresu: https://localhost/era/ § Z jakéhokoli místa v síti s přístupem k serveru, na kterém běží ERA Web Console, zadejte do internetového
prohlížeče následující adresu: https://nazev_nebo_ip_adresa_serveru/era/ kde "nazev_vaseho_serveru" nahraďte platným názvem serveru nebo IP adresou. § Pro přihlášení k ERA Virtual appliance použijte následující adresu:
https://[IP_adresa]:8443/ kde "[IP adresa]" nahraďte IP adresou ERA virtuálního stroje. Pokud si IP nepamatujete, podívejte se do kroku 9 v kapitole Virtual appliance. § Na lokálním serveru (počítač, na kterém běží ERA Web Console) klikněte na Start > Všechny programy > ESET > ESET
Remote Administrator > ESET Remote Administrator Web console. Následně se ve výchozím internetovém prohlížeči zobrazí ERA Web Console. Tento krok neplatí pro ERA Virtual appliance. Poznámka: Pokud máte potíže s přihlášením nebo potřebujete zjisti význam jednotlivých hlášení, přejděte do kapitoly Web Console – řešení problémů.
11
Pokud na webovém serveru běží ERA Web Console, zobrazí se následující obrazovka:
Pro přihlášení k ERA Web Console použijte heslo, které jste si nastavili v průběhu instalace. Po zaškrtnutí možnosti Přihlásit do domény můžete pro přihlášení použít přihlašovací údaje doménového administrátora. Po zaškrtnutí možnosti Povolit relaci ve více záložkách můžete mít ERA Web Console otevřenou ve více záložkách internetového prohlížeče. Pro více informací přejděte do kapitoly přihlášení k ERA Web Console.
3.2 Průvodce prvotním spuštěním Při prvním přihlášení do Web Console se zobrazí průvodce prvotním spuštění. Tento průvodce vás seznámí s nejdůležitějšími částmi ERA Web Console – přiblíží vám záložku Počítače, vysvětlí rozdíl mezi statickými a dynamickými skupinami, přiblíží fungování úloh. Na závěr vám umožní vytvořit all-in-instalační balíček ERA Agenta a bezpečnostního produktu ESET (ESET Endpoint Security 6 nebo ESET Endpoint Antivirus 6). DŮLEŽITÉ: All-in-one instalační balíček je dostupný pouze pro Windows. Průvodce můžete kdykoli ukončit kliknutím na možnost Zavřít průvodce a přejít přímo do ERA Web Console. Při příštím přihlášení se již průvodce nezobrazí. · Pro opětovné zobrazení průvodce přejděte do uživatelského nastavení a obnovte stav uživatele. · Průvodce na vytvoření all-in-one instalačního balíčku si kdykoli zobrazit po kliknutí v hlavní menu ERA Web
Console v sekci Rychlé odkazy na možnost Nasadit ERA Agenta.... DŮLEŽITÉ: Pro vytvoření all-in-one instalačního balíčku musí mít uživatelský účet administrátorské oprávnění. Pokud se přihlásíte pod účtem s oprávněním pro asistovanou instalaci nebo oprávněním pouze pro čtení, průvodce nezobrazí poslední část pro vytvoření instalačního balíčku. Pro vytvoření all-in-one instalačního balíčku vyberte: 1. Jazyk – z rozbalovacího menu vyberte jazyk, ve kterém chcete nainstalovat bezpečnostní produkt ESET.
12
2. Produkt – po kliknutí vyberte ESET produkt a verzi. Pokud vyberte produkt ve verzi 6.3 a starší, nedojde k automatické aktivaci a budete muset produkt aktivovat později. Produkty ve verzi 6.4 se automaticky aktivují přiloženou licencí. Poznámka: Pokud v seznamu nevidíte žádný balíček, nemáte přístup k repozitáři. Zkontrolujte konektivitu do internetu, případně v Nastavení serveru ověřte, zda máte v poli Repozitář zadanou hodnotu AUTOSELECT. 3. Licenci (volitelně) – v případě potřeby můžete do instalačního balíčku vložit licenci. Stačí, když ji vložíte do ERA. Pokud licenci nespecifikujete, produkt můžete kdykoli aktivovat později. Jednotlivé možnosti aktivace máme popsány v této kapitole. 4. Po vybrání možnosti Zobrazit rozšířená nastavení můžete změnit certifikát, případně zadat heslo. To je potřeba, pokud jste například v průběhu instalace ERA definovali heslo, případně chcete použít vlastní certifikát pro ověřování komunikace ERA Agenta.
5. Kliknutím na Vytvořit instalátor se vygenerují odkazy pro stažení 32-bitového a 64-bitového instalačního balíčku. Klikněte na požadovaný balíček a uložte si jej. 6. Instalační balíček (například ERA_Installer_x32_cs_CZ.exe nebo ERA_Installer_x64_cs_CZ.exe) spusťte na koncové stanici. Další informace týkající se instalace naleznete v této kapitole.
13
3.3 Seznámení s ERA Web Console ESET Remote Administrator Web Console představuje uživatelské rozhraní, prostřednictvím kterého můžete ovládat ERA Server. Jedná se o centrální místo pro vzdálenou správu všech klientů a bezpečnostních produktů ESET. Webovou konzoli ERA si zobrazíte na jakémkoli zařízení s internetovým prohlížečem. Základní principy pro používání uživatelského rozhraní: · Jméno aktuálně přihlášeného uživatele je zobrazeno v pravém horním rohu společně se zbývajícím intervalem do
· · ·
· ·
automatického odhlášení. Odhlásit se můžete kdykoli kliknutím na ikonu umístěnou vlevo od zobrazeného času zbývajícího do automatického odhlášení. Při neaktivitě budete automaticky odhlášeni po uplynutí zobrazeného intervalu. Pro změnu uživatelského nastavení klikněte v pravém horním rohu na jméno přihlášeného uživatele. Pro zobrazení Nápovědy související s danou stránkou můžete kliknout na ikonu ? umístěnou v horní části obrazovky. Hlavní menu je neustále dostupné v levé části obrazovky, kromě případu, kdy je aktivní průvodce. Pro zobrazení jeho plné verze stačí najet kurzorem myši k levé straně obrazovky. V menu jsou kromě hlavních ovládacích prvků k dispozici také Rychlé odkazy a informace o verzi ERA Web Console. Po kliknutí na ikonu ozubeného kolečka se zobrazí kontextové menu. Kliknutím na tlačítko aktualizujete zobrazená data.
Po prvotní instalaci produktu ESET Remote Administrator můžete využít průvodce, který vás provede nezbytnými kroky. Průvodce naleznete v hlavním menu ERA Web Console na záložce Administrace > Průvodce nastavením.
14
Obrazovky se stromovou strukturou mají specifické ovládací prvky. Stromová struktura je zobrazena v levé části obrazovky a související akce jsou zobrazeny ve spodní části. Po kliknutí na položku stromu se v pravé části okna zobrazí podrobnější informace.
15
Prostřednictvím tabulek můžete spravovat jednotlivé klienty nebo celé skupiny (pokud vyberete více řádků tabulky). Po kliknutí na řádek se zobrazí kontextové menu k dané položce. Data zobrazená v tabulkách můžete filtrovat a třídit prostřednictvím ikonek v horní části.
Objekty v ERA můžete upravovat prostřednictvím průvodců. Všichni průvodci mají společné prvky: · · · · ·
16
Jednotlivé kroky jsou zobrazeny pod sebou. Kdykoli se můžete vrátit na předchozí krok. Na neplatné zadání budete upozorněni ve chvíli, kdy přejdete na další pole. Kdykoli si můžete rychle zobrazit chybně zadaná nebo chybějící data kliknutím na tlačítko Vyžadovaná nastavení. Tlačítko Dokončit není dostupné, pokud nejsou všechny zadané údaje správné.
4. Práce s ERA Web Console Všechny klienty můžete spravovat prostřednictvím ERA Web Console z většiny zařízení a podporovaných webových prohlížečů. ERA Web Console je rozdělena do tří hlavních sekcí: 1. V horním části je umístěno Rychlé vyhledávání. Do pole Název počítače zadejte Název klienta nebo IPv4/IPv6 adresu a pro vyhledání klikněte na symbol lupy nebo stiskněte klávesu Enter. Následně budete přesměrování do odpovídající Skupiny, v níž se klient nachází. 2. Hlavní menu v levé části obrazovky obsahuje následující záložky ESET Remote Administrator a rychlé odkazy: · · · · ·
Nástěnka Počítače Hrozby Přehledy Administrace
Rychlé odkazy · · · ·
Nový nativní uživatel Nová politika Nová klientská úloha Nasadit ERA Agenta
· Nápověda · O programu
3. Tlačítka v dolní části obrazovky jsou unikátní pro každou sekci a funkci, a detailně jsou popsány v jednotlivých kapitolách. Poznámka: Společné tlačítko pro všechny nové úlohy je Vyžadovaná nastavení. Toto červené tlačítko se zobrazí ve chvíli, kdy vyžadovaná nastavení nejsou vyplněna a úlohu není možné vytvořit. Zároveň se u každé povinné a nevyplněné položky zobrazí červený vykřičník. Po kliknutí na tlačítko Vyžadovaná nastavení budete automaticky přesměrováni do sekce, ve které nejsou vyplněny všechny povinné položky. Obecná pravidla · Vyžadované nastavení je vždy označeno červeným vykřičníkem. Pro rychlé přejití k nevyplněným položkám
klikněte na tlačítko Vyžadovaná nastavení v dolní části obrazovky. · Pokud kdykoli při práci s ESET Remote Administrator budete potřebovat nápovědu, klikněte v horní části okna na ikonu otazníku (?). Následně se vám zobrazí související informace s aktuálně zobrazenou částí ERA Web Console. · Na záložce Administrace naleznete konfiguraci související s nastavením ERA Serveru. Pro více informací přejděte do kapitoly Administrace.
17
4.1 Přihlášení do ERA Web Console Do ERA Web Console se přihlásíte pomocí uživatelského jména a hesla. Po zaškrtnutí možnosti Přihlásit se do domény se můžete přihlásit prostřednictvím účtu doménového uživatele, pokud máte namapovanou odpovídající doménovou skupinu. V případě potřeby si pomocí rozbalovacího menu změňte jazyk, ve kterém chcete ERA Web Console používat. Pokud aktivujete možnost Povolit relaci ve více záložkách, můžete mít ERA Web Console otevřenou ve více záložkách svého internetového prohlížeče. Pro změnu hesla (za předpokladu, že znáte současné) použijte možnost Změnit heslo. Pokud se chcete přihlásit jako jiný uživatel, vyberte možnost Použít jiný účet. Poznámka: Pokud máte potíže s přihlášením nebo potřebujete zjistit význam jednotlivých hlášení, přejděte do kapitoly Web Console – řešení problémů.
Správa relace a bezpečnostní opatření · Zablokování IP adresy po neúspěšném přihlášení
Po 10 neúspěšných pokusech o přihlášení bude IP adresa na 10 minut zablokována. Toto neovlivní již existující relace. · Zablokování IP adresy používající neplatné ID relace
Pokud z jedné IP adresy přijde 15 požadavků s neplatným ID relace, IP adresa bude na 15 minut zablokována (blokovány budou všechny akce, včetně platných požadavků). Započítávány nejsou relace, jejichž platnost již vypršela – za útok není tedy považována relace, kterou máte otevřenou v prohlížeči, její platnost již vypršela, a zkusíte požadavek odeslat znovu.
18
4.1.1 Řešení problémů – ERA Web Console Při pokusu o načtení nebo přihlášení se k ERA Web Console se může zobrazit některá z níže uvedených chyb. Chybová zpráva
Možný důvod
Neúspěšné přihlášení: Neplatné uživatelské Zadáváte chybné jméno nebo heslo. Zkontrolujte zadání a zkuste to znovu jméno a heslo Neúspěšné přihlášení: Nepodařilo se připojit Ověřte, zda běží služba ERA Server a databázového serveru. Více k serveru. Důvod: server není dostupný nebo informací naleznete v Databázi znalostí. neběží. Neúspěšné přihlášení: Chyba při komunikaci Ověřte, zda korektně běží webový server (Apache Tomcat) a má spojení na ERA Server. Neúspěšné přihlášení: Vypršel čas spojení
Ověřte konfiguraci sítě, firewallu a ujistěte se, že ze serveru, kde běží ERA Web Console (Apache Tomcat) je dosažitelný ERA Server. Přetížený ERA Server, zkuste restartovat server. Nemáte stejnou verzi ERA Web Console a ERA Serveru.
Neúspěšné přihlášení: User has no access rights assigned
Daný uživatelský účet nemá oprávnění pro přihlášení.
Používáte nešifrované spojení! Prosím, nastavte webserver tak, aby používal HTTPS
Pro zvýšení zabezpečení doporučujeme ERA Web Console nastavit tak, aby používala HTTPS.
JavaScript je vypnutý. Prosím, povolte je ve svém prohlížeči. Přihlašovací obrazovka se nezobrazuje nebo načítá ve smyčce.
Povolte JavaScript nebo aktualizujte svůj webový prohlížeč.
"Nastala neočekávaná chyba"
Pokoušíte se ERA Web Console otevřít v ne-podporovaném prohlížeči.
V takovém případě restartujte službu ESET Remote Administrator Server. Po opětovném nastartování služby ESET Remote Administrator Server restartujte službu Apache Tomcat. Po provedení těchto kroků by se již měla přihlašovací obrazovka správně zobrazit.
Poznámka: Protože ERA Web Console používá pro přenos dat zabezpečený protokol (HTTPS), může se vám při pokusu o přístup k ERA Web Console zobrazit upozornění o nedůvěryhodném certifikátu nebo nezabezpečeném spojení (přesné znění hlášky záleží na použitém prohlížeči). Důvodem je to, že se prohlížeč snaží ověřit identitu stránky, kterou chcete zobrazit. Protože webový server (Apache Tomcat) používá self-signed certifikát, prohlížeč nedokáže ověřit identitu u žádné veřejné certifikační autority. Pro pokračování k ERA Web Console klikněte na Pokračovat na tuto stránku (Internet Explorer) nebo Rozumím rizikům, případně klikněte na Přidat výjimku... a Schválit bezpečnostní výjimku (Mozilla Firefox). Výjimka bude platná pouze pro komunikaci s ERA Web Console. V případě potřeby můžete na webový server nahrát vlastní SSL certifikát.
19
4.2 Nástěnka Nástěnka se zobrazí při prvotním přihlášení k ERA Web Console. Standardně zobrazuje předdefinované přehledy o stavu vaší sítě. Prostřednictvím záložek v horní části se můžete přepínat mezi jednotlivými částmi nástěnky, na kterých jsou umístěné jednotlivé přehledy. Nástěnku si můžete přizpůsobit vašim potřebám přidáním vlastních přehledů i úpravou již existujících. Vhodným výběrem způsobu zobrazení dat získáte ihned po přihlášení detailní přehled o stavu ERA infrastruktury a spravovaných klientech. Ve výchozím stavu je nástěnka rozdělena do následujících částí: Počítače Na této záložce naleznete přehled o spravovaných klientech jako je stav ochrany, informace o operačním systému, chybějících aktualizacích atp. Remote Administrator Server Zobrazuje informace o ESET Remote Administrator – jeho vytížení (sítě, CPU, paměti, databáze), klienty, kteří mají problém s připojením k serveru atp. Zachycené hrozby Poskytuje informace získané od antivirového modulu na jednotlivých klientech – aktivní hrozby, hrozby zaznamenané za posledních 7/30 dní atp. ESET aplikace Zobrazuje informace o stavu ESET aplikací ve vaší síti. Síťové hrozby Přehled o všech zaznamenaných síťových událostech včetně jejich závažnosti. Funkce nástěnky:
20
4.2.1 Uživatelské nastavení K nastavení uživatelského účtu se dostanete po kliknutí na jméno účtu v pravém horním rohu konzole. V této části můžete měnit nastavení času a zobrazit si také informace o tom, z kolika zařízení jste přihlášeni. Poznámka: Každý uživatel webové konzole může mít nastaveno vlastní časové pásmo. Mějte na paměti, že v takovém případě se vždy časy přepočítají do nastaveného pásma, bez ohledu na to, v jakém se skutečně nachází. · Nastavení času
ESET Remote Administrator ukládá veškerá data v mezinárodním standardu času, tedy v UTC (Coordinated Universal Time). Předtím, než ERA Web Console údaje zobrazí, přepočítá je v závislosti na nastaveném časovém pásmu v systému, ze kterého k ERA Web Console přistupujete. Pro změnu časového pásma klikněte v horním pravém rohu ERA Web Console na jméno přihlášeného uživatele. Následně v zobrazeném dialogovém okně odškrtněte možnost Použít lokální čas prohlížeče a vyberte si časové pásmo ručně. Dále se rozhodněte, zda se má zohledňovat posun způsobený letním časem.
DŮLEŽITÉ: V některých částech webové konzole můžete narazit na možnost použít jiné časové pásmo. Nejčastěji při vytváření podmínky spuštění, u které můžete nastavit, aby se použil lokální čas klienta, nikoli čas konzole.
Změny týkající se času uložíte pomocí tlačítka Uložit nastavení času. · Uložený stav uživatele
Pokud chcete obnovit uživatelské rozhraní na výchozí hodnoty (nastavení sloupců, zapamatované filtry, připnuté nabídky atp.), použijte možnost Obnovit uložený stav uživatele. Po provedení této akce se při dalším přihlášení znovu zobrazí průvodce prvotním nastavením.
21
· Aktivní relace
V této části naleznete informace o aktivních relacích (kolikrát je uživatel přihlášen). K dispozici jsou tato data: · IP adresa zařízení, ze kterého je uživatel k ERA Web Console přihlášen. V závorkách je dále uvedena IP adresa
stroje, na kterém běží webový server pohánějící ERA Web Console. Pokud je konzole nainstalována na stejném serveru jako ERA Server, zobrazí se 127.0.0.1. · datum a čas přihlášení · použitý jazyk ERA Web Console
Aktuální relace je označena štítkem Tato relace. Pokud chcete některou relaci ukončit, stačí kliknout na ikonu koše.
4.2.2 Konfigurace nástěnky Samostatně konfigurovat můžete každou záložku nástěnky a přehledy na nich umístěné. Níže naleznete seznam dostupných možností: · Přidat novou nástěnku – novou nástěnku přidáte po kliknutí na ikonu · · · ·
·
· ·
22
. Zadejte název nové nástěnky a akci potvrďte kliknutím na tlačítko OK. Poté se vytvoří prázdná nástěnka, na kterou můžete přidat přehledy. Duplikovat nástěnku – na nástěnce, kterou chcete duplikovat, klikněte na ikonu ozubeného kolečka umístěnou vedle názvu záložky, a z rozbalovacího menu vyberte položku Duplikovat. Kliknutím na Aktualizovat z zobrazíte aktuální data. Přesunout nástěnku – klikněte na levou část záložky nástěnky a přesuňte ji na jinou pozici. Změnit rozložení (počet zobrazených přehledů) – klikněte na ikonu ozubeného kolečka umístěnou vedle názvu záložky a v části Změnit rozložení vyberte množství přehledů, které chcete zobrazit a jejich uspořádání. Změny se projeví okamžitě. Přejmenovat nástěnku – klikněte na ikonu ozubeného kolečka umístěnou vedle názvu záložky, a z rozbalovacího menu vyberte položku Přejmenovat. Zadejte název nové nástěnky a akci potvrďte kliknutím na tlačítko OK. Odstranit nástěnku – klikněte na ikonu ozubeného kolečka umístěnou vedle názvu záložky, a z rozbalovacího menu vyberte položku Odstranit. Akci potvrďte kliknutím na tlačítko OK. Po kliknutí na ikonu oboustranné šipky umístěnou v pravém horním rohu přehledu maximalizujete konkrétní přehled. Po opětovném kliknutí na ikonu se obnoví původní velikost.
· · · · · ·
Změnit typ grafu – po kliknutí na ikonu grafu v levém horním rohu přehledu můžete změnit typ grafu. Po kliknutí na Aktualizovat obnovíte zobrazované informace. Pro změnu typu přehledu klikněte na tlačítko Změnit. Pokud chcete změnit množství a způsob zobrazování dat, upravte šablonu přehledu. Můžete nastavit interval aktualizace přehledu. Výchozí interval aktualizace je 120 sekund. Přejmenovat/Odstranit přehled.
4.2.3 Kontextové menu Přehledy umístěné na nástěnce, ať jako graf nebo tabulka, jsou interaktivní. To znamená, že po kliknutí do přehledu si můžete zobrazit detailní informace (agregovaná data), případně provést související akci. V závislosti na typu přehledu jsou v jeho kontextovém menu dostupné následující možnosti, které vám umožní vyfiltrovat pouze data, která jsou pro vás důležitá: · Zobrazit Detailní informace – název počítače a jeho popis, název statické skupiny, do které zařízení patří atp. · Zobrazit Pouze 'hodnota' – informativní, kritické, bezpeční rizika, bezpečnostní oznámení. · Rozbalit sloupec 'hodnota' – po kliknutí zobrazí agregované informace (obvykle dostupné v souhrnných
přehledech. Například pokud je ve sloupci zobrazena pouze číslice a klikněte na možnost Rozbalit sloupec Počítač, zobrazí se detailní informace o počítačích. · Zobrazit Na záložce Počítače (všechny) – přesměruje vás na záložku Počítače. Poznámka: Po vybrání libovolné možnosti se zobrazí prvních 1 000 záznamů.
23
24
4.2.4 Úprava šablony přehledu V této kapitole si popíšeme úpravu již existující šablony přehledu. Pokud chcete vytvořit novou šablonu, klikněte sem. Klikněte do prázdné buňky na nové nástěnce. V zobrazeném dialogovém okně vyberte přehled Instalované aplikace a klikněte na tlačítko Upravit přehled.
Obecné Zadejte název, volitelně popis. Kategorie je již předdefinována na základě předchozí akce. Graf V této části definujte typ přehledu a vyberte, zda má být výstupem tabulka nebo graf. V našem příkladu ponecháme tabulku prázdnou a zaškrtneme pouze graf.
25
Poznámka: Náhled vybraného typu grafu si můžete zobrazit po kliknutí na Zobrazit náhled. Nyní vyberte typ grafu. Pro přehlednost zobrazovaných dat vybereme skládaný plošný graf. Tento typ grafu je vhodný v případech, pokud potřebujete analyzovat data v jiných jednotkách. Volitelně můžete zadat popisek pro osu X a Y, což vám usnadní orientaci v grafu. Data
V této části vyberte data, která chcete zobrazit na ose X a Y. Výběr dostupných dat pro osu Y závisí na datech vybraných pro osu X, a opačně. 26
Na osu X vyberte Počítač > Název počítače. Na osu Y vyberte Instalované aplikace > Velikost v MB (maximum). Řazení
Po kliknutí na Přidat řazení můžete vybrat sloupce, podle kterých budou data řazena. Následně můžete definovat, zda se data mají řadit sestupně nebo vzestupně. Nastavení řazení zároveň ovlivní interpretaci dat v grafu. Filtr
V této části můžete nastavit filtrování a omezit tak množství zobrazených dat. Vyberte jaká data chcete filtrovat a zadejte výraz pro jejich filtrování. 27
V našem případě vybereme Instalované aplikace > rovná se > EES a Instalované aplikace. Velikost v MB > je větší než > 50. Přehled
V této části se zobrazí souhrnné informace o upravované šabloně. Zkontrolujte, zda nastavení odpovídá vašim představám a pro vytvoření šablony přehledu klikněte na tlačítko Dokončit.
4.3 Počítače Všechny počítače přidané do ESET Remote Administrator naleznete v této sekci rozdělené do Skupin. Po kliknutí na konkrétní skupinu se v pravé části zobrazí seznam všech klientů zařazených v dané skupině. V horní části jsou umístěny ikony pro filtrování klientů. Případně můžete kliknout na tlačítko Přidat filtr a vybrat další kritérium filtrování. Předdefinovány jsou následující filtry pro rychlý výběr klientů: · Čtveřice ikon (
červená – Chyby, oranžová – Upozornění, zelená – Oznámení a šedá – Nespravované počítače) slouží pro filtrování počítačů podle závažnosti jejich stavu. Ikona závažnosti představuje aktuální stav bezpečnostního produktu ESET na daném klientovi. Kombinací jednotlivých filtrů můžete zobrazit pouze klienty, kteří vyhovují aktivním filtrům. Například pro zobrazení pouze počítačů s upozorněním ponechte aktivním oranžovou ikonu a zbývající deaktivujte. Pro zobrazení pouze klientů s upozorněním a chybami nechte aktivní červenou a oranžovou ikonu.
· Další filtry můžete přidat po kliknutí na tlačítko Přidat filtr. Následně si ze seznamu vyberte požadovaný filtr.
Aktivní filtr je zvýrazněn modře. · Zaškrtnutím možnosti Podskupiny zobrazíte také klienty z podskupin vybrané skupiny. · Nespravované počítače, které máte již přidány do ERA, ale ještě na nich nemáte nainstalovaného ERA Agenta mají
ikonu
.
· Pokud vyberete hromadně všechna zařízení, můžete z výběru některá vyloučit. · Jednotlivá zařízení můžete přesouvat mezi skupinami pohodlně pomocí drag and drop techniky.
Prostřednictvím rozbalovacího menu můžete omezit množství zobrazených počítačů. K dispozici jsou následující filtry podle produktů: 28
· Všechna zařízení – tuto možnost vyberte pro deaktivaci všech ostatních filtrů. · Chráněno produktem ESET – zobrazí zařízení, na kterých je nainstalován bezpečnostní produkt ESET. · ESET Remote Administrator (jednotlivé komponenty jako ERA Agent, ESET RD Sensor, ERA Proxy atp.) · Ostatní (Sdílená lokální cache, Virtual Appliance).
Poznámka: Pokud jste v seznamu počítač nenalezli i přesto, že je součástí ERA infrastruktury, ujistěte se, že máte všechny filtry vypnuté a je aktivní možnost Podskupiny.
· Po kliknutí na ikonu ozubeného kolečka
můžete přímo vytvořit novou statickou nebo dynamickou skupinu, vytvořit novou úlohu pro všechny klienty ve skupině atp.
· Více informací o jednotlivých ikonách a stavech naleznete v legendě.
Kontextové menu Počítače nabízí tyto možnosti: Nový... Pomocí této možnosti ručně přidáte nové zařízení. Detaily... Obecné (název, nadřazená skupina, OS atp.) Konfigurace (nastavení produktu, aplikované politiky atp.) SysInspector (zobrazí všechny protokoly o stavu počítače vyžádané prostřednictvím úlohy Vyžádat SysInspector protokol.) · Provedené úlohy (seznam úloh – název, stav, datum spuštění) · Instalované aplikace (název, výrobce, verze, Agent podporuje odinstalaci atp.) · Upozornění (problémy, stavy počítače atp.) · Hrozby a karanténa (typ hrozby, příčina, hrozba potlačena atp.) Odstranit Pomocí této možnosti odstraníte počítač ze seznamu. 29
Přesunout... Pomocí této možnosti můžete přesunout klienta do jiné skupiny. Přejmenovat více položek Pomocí této možnosti můžete hromadně přejmenovat počítače v ERA Web Console. Pokud se počítač jmenuje například „john.hq.company.com„, do pole Najít (regex) zadejte „hq\.company„ a do pole Nahradit zadejte „název vaší firmy„. Kliknutím na tlačítko Nahradit si ověřte správnost zadaného výrazu – v našem případě dojde k přejmenování počítače na „john.eset.com„. Pokud výsledek odpovídá vašim představám, klikněte na tlačítko Přejmenovat. Správa politik... Pomocí této možnosti můžete přiřadit politiku přímo konkrétnímu klientovi. Probudit ERA Server okamžitě naváže komunikaci s ERA Agentem na klientské stanici. To je užitečné v případě, kdy nechcete čekat na pravidelný interval připojení agenta k serveru – například chcete okamžitě úlohu spustit okamžitě, případně rovnou aplikovat politiku. Poznámka: Pokud jste provedli změny v konfiguraci a chcete je na klienta aplikovat, vyčkejte minutu před vzdáleným probuzením počítače. Nasadit ERA Agenta... Pomocí této možnosti vytvoříte novou serverovou úlohu. Deaktivovat produkt Prostřednictvím této úlohy deaktivujete produkty ESET na cílovém zařízení bez toho, aniž byste museli použít portál ESET License Administrator. Produkty ESET na koncové stanici uvolní licenci ve chvíli, kdy se připojí k licenčnímu portálu ESET License Administrator. Tuto úlohu je vhodné použít ve chvíli, kdy se chystáte ze vzdálené správy odstranit počítače.
4.3.1 Detaily počítače Pro zobrazení detailních informací o konkrétním zařízení si jej najděte ve statické nebo dynamické skupině a z kontextového menu vyberte možnost Detaily. V dialogovém okně detaily jsou data rozdělena do následujících kategorií: Obecné: o Název – název a popis zařízení, který můžete v případě potřeby kdykoli změnit. o Nadřazená skupina – statická skupina, do které zařízení patří. o Přiřazení uživatelé – seznam uživatelů, kteří mají přiřazeno toto zařízení. o Naposledy připojeno a Poslední kontrola – časový údaj zobrazující informaci o posledním připojení ERA Agenta k serveru a provedené poslední kontrole počítače. o Problémy s funkčností – odkaz do sekce Upozornění. o Potlačeno – informace, zda je zařízení potlačeno. o Počet aplikovaných politik o Počet nevyřešených hrozeb o ESET produkty – seznam ESET produktů nainstalovaných na zařízení. o Zařízení – informace o modelu a výrobci zařízení. o Informace o OS – informace o operačním systému jako je název, verze, platforma atp. o Síťové adaptéry – informace o jednotlivých síťových adaptérech a konfiguraci sítě (IP adresy, masky, podsítě). o Identifikátory zařízení – sériové číslo, FQDN název atp. Konfigurace:
30
o Konfigurace – zobrazuje informace o aktuálně používané konfiguraci. Konfiguraci si můžete rovnou zobrazit, případně ji převést do politiky a aplikovat ji dalším zařízením. Aktuální nastavení všech ESET produktů získáte kliknutím na tlačítko Vyžádat konfiguraci. Aktuální konfigurace se zobrazí, až ji ERA Agent sesbírá a odešle na server. To může trvat dva intervaly replikace. o Aplikované politiky – seznam politik, které se na dané zařízení aplikují. Seznam můžete upravit kliknutím na tlačítko Správa politik. SysInspector Zobrazuje všechny protokoly o stavu počítače získané prostřednictvím úlohy Vyžádat SysInspector protokol. Pokud kliknete na možnost Vyžádat protokol, vytvoří se nová klientská úloha. Provedené úlohy Seznam úloh, které byly na zařízení spuštěny/jsou naplánovány ke spuštění. Úlohy můžete smazat, znovu spustit, případně si zobrazit detaily provedení. Pomocí filtru můžete snadno a rychle najít konkrétní úlohu. Instalované aplikace Seznam aplikací nainstalovaných na zařízení. U podporovaných aplikací můžete kliknout na tlačítko Odinstalovat, čímž vytvoříte úlohu pro odinstalaci aplikace. V případě potřeby můžete specifikovat parametry odinstalace (pokud jej instalační balíček podporuje). Mějte na paměti, že odinstalační parametry jsou unikátní pro každou aplikaci, a naleznete je v dokumentaci k dané aplikaci.
Upozornění Seznam problémů a chybových stavů. Hrozby a karanténa o Hrozby – seznam všech zachycených hrozeb (rezidentní ochranou, firewallem, modulem HIPS). o Karanténa – seznam objektů uložených v karanténě na daném zařízení. Jakýkoli objekt si z karantény můžete stáhnout na lokální zařízení. Prostřednictvím tlačítka Úlohy můžete na zařízení snadno a rychle spustit úlohu. Kontextové menu tlačítka Úlohy nabízí tyto možnosti: Kontrola počítače Pomocí této možnosti spustíte Volitelnou kontrolu na zařízení, na kterém byly nalezeny hrozby. Aktualizovat virovou databázi Pomocí této možnosti spustíte Aktualizaci virové databáze na cílovém zařízení.
31
Mobil · Registrovat... vytvoří novou klientskou úlohu pro registraci mobilního zařízení. · Najít – zjistí GPS informace o pozici zařízení. Informace se zobrazí v detailech daného zařízení. · Uzamknout – uzamkne zařízení stejně jako při detekování podezřelé aktivity nebo označení zařízení jako ztracené. · Odemknout – odemkne zařízení. · Siréna – spustí hlasitou sirénu, i přesto, pokud má zařízení ztlumenou hlasitost. · Vymazat obsah – vymaže trvale všechny uložená v paměti zařízení. Restartovat Prostřednictvím této možnosti můžete vzdáleně Restartovat nebo Vypnout počítač. Nová úloha... Umožní vytvořit novou klientskou úlohu. Volitelně omezte spouštění úlohy. Úloha bude zařazena do fronty s vybraným nastavením. Při použití této možnosti není možné definovat podmínku spuštění. Spuštění úlohy bude naplánováno na nejbližší možnou dobu. Více informací o jednotlivých ikonách akcí naleznete v této kapitole.
4.4 Hrozby Sekce Hrozby poskytuje přehled o všech hrozbách na počítačích ve vaší síti. V levé části obrazovky je zobrazena stejná stromová skupina jako na záložce Počítače, resp. Skupiny a k dispozici jsou rovněž filtry pro rychlé nalezení počítačů, na kterých jsou nevyřešené hrozby. Vybráním možnosti Všechny typy hrozeb zobrazíte všechny hrozby na všech počítačích ve vybrané skupině.
Filtrování hrozeb Zobrazené hrozby můžete podle potřeby filtrovat. Standardně se zobrazují hrozby detekované za posledních 7 dní. Kritéria filtrování může blíže specifikovat kliknutím na tlačítko Přidat filtr a zobrazit jen konkrétní typy infiltrace, případně hrozby z jednotlivých počítačů a to buď podle jejich názvu, IPv4 nebo IPv6 adresy. Standardně jsou zobrazeny všechny typy hrozby, ale můžete filtrovat antivirové hrozby, útoky, které zaznamenal firewall a akce zablokované modulem HIPS. Volitelná kontrola Pomocí této možnosti spustíte volitelnou kontrolu na klientovi, na kterém byla detekována hrozba. 32
Označit jako vyřešené / Označit jako nevyřešené Pomocí této možnosti označíte záznam z protokolu jako vyřešený. Potlačit Pomocí této možnosti potlačíte zobrazování dané hrozby (globálně, ne na konkrétním klientovi). Informace o dané hrozbě se nebude zobrazovat ani v přehledech. Pro potlačení zobrazování všech hrozeb z daného klienta na něj klikněte a z kontextového menu vyberte možnost Potlačit. Sloupce tabulky Informace zobrazené na záložce Hrozby si můžete upravit podle svých potřeb. O nalezených hrozbách si můžete nechat zobrazit následující informace: Vyřešeno, Objekt, Název procesu, Popis, Uživatel, Popis počítače, Detaily akce, Vyžadován restart, Skener, Typ objektu, Zdrojová adresa/port, Cílová adresa/port atp.
33
4.5 Přehledy Přehledy představují nástroj pro získání dat z databáze v přehledné podobě. ERA nabízí velké množství předdefinovaných přehledů. Abyste snáze nalezli přehled, který vyhovuje vašim potřebám, jsou přehledy rozděleny do kategorií a u každého je uveden krátký popis. Pro zobrazení konkrétního přehledu jej vyberte ze seznamu a klikněte na tlačítko Vygenerovat. Pokud si nevyberete žádnou předdefinovanou šablonu přehledu, můžete si vytvořit novou šablonu s vlastními parametry. Pro více informací přejděte do kapitoly vytvoření nové šablony přehledu.
Na záložce Přehledy je v dolní části dostupné kontextové menu Šablony přehledů, které nabízí přístup k následujícím možnostem: Vygenerovat... Pokud máte vybranou šablonu přehledu, sesbírají se potřebná data a následně se rovnou zobrazí, Nová kategorie... Pro vytvoření nové kategorie zadejte její název a popis. Nová šablona přehledu... Kliknutím zobrazíte průvodce pro vytvoření nové šablony přehledu. Změnit... Po kliknutí se zobrazí průvodce pro úpravu stávající šablony přehledu. Duplikovat Tuto možnost použijte v případě, kdy nechcete vytvářet přehled od začátku, ale chcete použít již existující přehled a provést v jeho šabloně pouze drobné změny. Odstranit Po kliknutí odstraníte vybranou šablonu přehledu. Importovat... Vyberte soubor se šablonou přehledu v .txt formátu, který chcete importovat do seznamu.
34
Exportovat... Vybranou šablonu přehledu exportujete do .txt souboru. Abyste mohli pohodlněji vybírat záznamy, můžete si nastavit režim, který vám bude vyhovovat. Pro změnu režimu klikněte na šipku v horním pravém rohu a vyberte si jeden z následujících: Výběr jedné položky – v tomto režimu můžete vybrat pouze jednu položku. Výběr více položek – tento režim vám umožní najednou vybrat více položek. Aktualizovat - obnoví zobrazované informace. Poznámka: Funkce pro exportování uloží pouze šablonu přehledu, nikoli dat, která přehled zobrazuje. Exportovanou šablonu můžete následně naimportovat do jiného ERA serveru.
4.5.1 Vytvoření nové šablony přehledu Pro vytvoření nové šablony přehledu přejděte v hlavním menu na záložku Přehledy, klikněte na tlačítko Šablony přehledů a ze zobrazeného menu vyberte možnost Nová šablona přehledu....
Obecné Zadejte název, volitelně popis, a vyberte kategorii, do které chcete šablonu umístit. Použít můžete jednu z předdefinovaných kategorií nebo si vytvořit novou.
35
Graf V této části definujte typ přehledu a vyberte, zda má být výstupem tabulka nebo graf. Poznámka: Náhled vybraného typu grafu si můžete zobrazit po kliknutí na Zobrazit náhled. K dispozici jsou následující typy grafu: · · · · · · · ·
Pruhový graf – graf s obdélníkovými sloupci. Bodový graf – jednotlivé hodnoty jsou zobrazeny jako body. Výsečový graf – proporčně rozdělený kruhový graf. Prstencový graf – podobný jako výsečový graf, ale může obsahovat různé typy dat. Plošný graf – jednotlivé bodové hodnoty jsou propojeny spojnicí. Jednoduchý plošný graf – zobrazuje informace pomocí čar (nezobrazuje hodnoty jako body). Skládaný plošný graf – tento typ grafu použijte, pokud potřebujete analyzovat data v jiných jednotkách. Skládaný pruhový graf – do tohoto grafu můžete vybrat více druhů dat, které zobrazí v jednom sloupci.
Volitelně můžete zadat popisek pro osu X a Y, což vám usnadní orientaci v grafu.
36
Data V této části vyberte data, která chcete zobrazit: a. Sloupce tabulky: informace do tabulky jsou přidávány automaticky na základě vybraného typu přehledu. Přizpůsobit můžete název, popisek a formát (viz níže). b. Osy grafu: vyberte data, která chcete zobrazit na ose X a Y. Výběr dostupných dat pro osu Y závisí na datech vybraných pro osu X, a opačně. Dále můžete změnit formát zobrazovaných dat: · Data sloupce (pouze pro pruhové grafy) / Hodnota / Barva / Ikony Řazení Po kliknutí na Přidat řazení můžete vybrat sloupce, podle kterých budou data řazena. Následně můžete definovat, zda se data mají řadit sestupně nebo vzestupně. Nastavení řazení zároveň ovlivní interpretaci dat v grafu. Filtr V této části můžete nastavit filtrování a omezit tak množství zobrazených dat. Vyberte jaká data chcete filtrovat a zadejte výraz pro jejich filtrování. Přehled V této části se zobrazí souhrnné informace o vytvářené šabloně. Zkontrolujte, zda nastavení odpovídá vašim představám a pro vytvoření šablony přehledu klikněte na tlačítko Dokončit. Každý přehled na nástěnce můžete libovolně modifikovat po kliknutí na ikonu ozubeného kolečka v pravém horním rohu. Po kliknutí se zobrazí kontextové menu prostřednictvím kterého můžete: aktualizovat přehled a nastavit interval aktualizace, přejmenovat, změnit nebo odstranit přehled. Pomocí šipek můžete přehled přesunout do jiné buňky mřížky a přizpůsobit jeho velikost. V případě potřeby lze přehled zobrazit přes celou obrazovku.
37
4.5.2 Generování přehledu V hlavním okně přejděte na záložku Přehledy, vyberte vámi požadovaný přehled a klikněte na tlačítko Vygenerovat.... Pro zobrazení aktuálních dat můžete kdykoli kliknout na tlačítko Aktualizovat. Pro uložení zobrazených dat klikněte na tlačítko Uložit. Případně můžete přehled vygenerovat prostřednictvím serverové úlohy. 1. V hlavním okně přejděte na záložku Administrace > Úlohy > Serverové úlohy > Generování přehledu a klikněte na tlačítko Nová. 2. Zadejte název úlohy, volitelně popis, a zaškrtněte možnost Spustit úlohu okamžitě po dokončení. · V části Nastavení vyberte šablonu. Pokud vám žádný přehled z těch předdefinovaných nevyhovuje, vytvořte si
novou šablonu. · Přehled si můžete nechat zaslat na e-mail nebo ukládat do souboru. V závislosti na vybrané možnosti se dále
zobrazí specifické možnosti konfigurace. · Pro vytvoření nové serverové úlohy klikněte na Dokončit. Úloha se spustí okamžitě.
4.5.3 Naplánování generování přehledu 1. V hlavním okně přejděte na záložku Administrace > Úlohy > Serverové úlohy > Generování přehledu a klikněte na tlačítko Nová. 2. Zadejte název úlohy, volitelně popis, a v části Nastavení vyberte šablonu. Pokud vám žádný přehled z těch předdefinovaných nevyhovuje, vytvořte si novou šablonu. · Přehled si můžete nechat zasílat na e-mail nebo ukládat do souboru. V závislosti na vybrané možnosti se dále
zobrazí specifické možnosti konfigurace. · V části Podmínky spuštění klikněte na tlačítko Přidat novou... a nastavte interval, ve kterém chcete pravidelně
přehled generovat. · Pro vytvoření nové serverové úlohy klikněte na Dokončit. Úloha se spustí ve stanovený datum a čas.
4.5.4 Zastaralé aplikace Pro zobrazení neaktuálních komponent ERA infrastruktury použijte přehled Zastaralé aplikace. To můžete provést třemi způsoby: 1. Vytvořte si novou nástěnku a přidejte na ní přehled Zastaralé aplikace. 2. V hlavním menu přejděte na záložku Přehledy, najděte přehled Zastaralé aplikace a klikněte na tlačítko Vygenerovat.... 3. V hlavním okně přejděte na záložku Administrace > Úlohy > Serverové úlohy > Generování přehledu a klikněte na tlačítko Nová. Vyberte typ šablony a nastavte parametry generování tohoto přehledu. Pro aktualizaci zastaralých ERA komponent použijte klientskou úlohu Aktualizace součástí ESET Remote Administrator. Pro aktualizaci bezpečnostních produktů ESET použijte klientskou úlohu Instalace aplikace.
38
4.5.5 SysInspector prohlížeč Prostřednictvím SysInspector prohlížeče si můžete zobrazit SysInspector protokol z koncové stanice přímo v ERA, pokud jste o něj požádali prostřednictvím klientské úlohy.
SysInspector si můžete prohlédnout několika způsoby: 1. Na nástěnku si přijdete přehled Historie SysInspector protokolů za posledních 30 dní. Vyberte požadovaný záznam a z kontextového menu vyberte možnost Otevřít SysInspector prohlížeč. 2. Přejděte na záložku Přehledy, najděte přehled Historie SysInspector protokolů za posledních 30 dní a klikněte na tlačítko Vygenerovat. Vyberte požadovaný záznam a z kontextového menu vyberte možnost Otevřít SysInspector prohlížeč. 3. Klikněte na konkrétní počítač a z kontextového menu vyberte možnost Detaily.... V zobrazeném dialogovém okně přejděte na záložku SysInspector, vyberte požadovaný záznam a z kontextového menu vyberte možnost Otevřít SysInspector prohlížeč.
39
40
5. Prvotní kroky Předtím než začnete ESET Remote Administrator používat ke správě bezpečnostních produktů ESET ve vaší síti, doporučujeme provést prvotní nastavení. Pokud nyní věnujete chvilku času konfiguraci a osvojíte si základními úkony, ušetříte si čas při případném řešení problémů v budoucnu. Průvodce nastavením poskytuje nejen rychlý přístup k nejdůležitějším nastavením, ale zároveň vás informuje o tom, zda máte vše korektně nastaveno a své uplatnění najde nejen při prvotním spuštění.
5.1 Průvodce nastavením Průvodce nastavením můžete využít nejeden po prvotní instalaci produktu ESET Remote Administrator. Poskytuje rychlý přístup k nejdůležitějším nastavením a informuje vás o tom, zda vše korektně nastaveno – máte přidanou platnou licenci, funguje přístup na repozitář atp. Průvodce naleznete v hlavním menu ERA Web Console na záložce Administrace > Průvodce nastavením. · Nápověda a podpora – V této části máte rychlý přístup k instruktážním videím a Databázi znalostí. · Uživatelé – Vytvořte další uživatele a přidělte jim oprávnění pro přístup do ESET Remote Administrator. · Certifikáty – Můžete vytvořit novou certifikační autoritu a klientské certifikáty pro jednotlivé komponenty ERA
infrastruktury. · Licence – ESET Remote Administrator od verze 6 využívá zcela nový licenční systém. Vyberte si tedy jeden ze
způsobů a nahrajte licenci. · Počítače – Přidejte zařízení do ESET Remote Administrator. · Agenti – Nasaďte ERA Agenta jedním z možných způsobů. · Produkty – Nainstalujte na klientskou stanici bezpečnostní produkt ESET, z repozitáře nebo síťové složky. · Nastavení SMTP – ESET Remote Administrator vám může na e-mail zasílat oznámení nebo statistické přehledy. K
tomu je potřeba definovat SMTP serveru, který ERA použije pro rozesílání těchto e-mailů.
41
5.2 Vytvoření dalšího uživatele Po nainstalování ERA je k dispozici pouze jeden uživatelský účet Administrator. Po prvotním přihlášení do ERA Web Console doporučujeme vytvořit další uživatelský účet a ten používat pro běžné činnosti. Je to z důvodu, že pokud heslo zapomenete, pomocí výchozího účtu Administrator jste schopni heslo resetovat. DŮLEŽITÉ: Pokud zapomenete heslo výchozího uživatele Administrator, změníte jej provedením opravné instalace ERA Serveru, případně zásahem do databáze. Neodborným zásahem můžete přijít o data! Pro vytvoření nového nativního uživatele přejděte v hlavním menu na záložku Administrace > Přístupová oprávnění > Uživatelé a klikněte na tlačítko Nový.... Případně klikněte na tlačítko Uživatelé a vyberte možnost Nový nativní uživatel.... Další administrátorský účet vytvořte jako nativního uživatele a účtu přiřaďte sadu administrátorských oprávnění.
Obecné Zadejte jméno uživatele, volitelně popis. Autentifikace Heslo se musí skládat alespoň z 8 znaků a nemělo by obsahovat jméno uživatele. Účet · Možnost Zapnuto ponechte vybranou, pokud má být účet aktivní. · Pokud chcete, aby si uživatel musel změnit heslo při prvním přihlášení k ERA Web Console, zaškrtněte možnost
Musí si změnit heslo. · Pomocí možnosti Doba platnosti hesla můžete definovat, jak dlouho bude heslo platné (ve dnech), než si bude muset uživatel nastavit nové heslo. · Zadejte interval v minutách, po jehož uplynutí bude uživatel při neaktivitě odhlášen z ERA Web Console. · Pro snadnější identifikaci uživatele můžete zadat jeho celé jméno, e-mail a telefon. Sady oprávnění Přiřaďte uživateli potřebná oprávnění. Použít můžete předdefinované sady oprávnění: Sada oprávnění pouze pro čtení, Sada oprávnění pro asistovanou instalaci nebo Sada administrátorských oprávnění, případně si můžete vytvořit vlastní sadu oprávnění. 42
Přehled V této části se zobrazí souhrnné informace o vytvářeném uživatelském účtu. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření uživatelského účtu dokončete kliknutím na tlačítko Dokončit.
5.3 Certifikáty Certifikáty tvoří důležitou součást ESET Remote Administrator. Prostřednictvím certifikátů je ověřována komunikace probíhající mezi ERA Serverem a jednotlivými prvky ERA infrastruktury. Jedním z předpokladů navázání komunikace je, aby certifikáty byly podepsány stejnou certifikační autoritou. Standardně se používají certifikáty vygenerované v průběhu instalace ERA. V případě potřeby si můžete použít vlastní certifikáty. Certifikační autoritu můžete vytvořit novou, použít již existují tak, importujete její veřejný klíč nebo jednotlivé klientské certifikáty (ERA Agent, ERA Proxy, ERA Server, ERA MDM nebo Virtual Agent Host) podepíšete přímo .pfx souborem dané autority. Poznámka: Pokud plánujete migrovat ERA Server na nový server, je potřeba exportovat všechny používané certifikační autority a certifikát ERA Serveru. V opačném případě by stávající komponenty ERA infrastruktury k novém serveru nepřipojily. Více informací o migraci naleznete v databázi znalostí.
43
5.4 Přidání licence ESET Remote Administrator disponuje vlastním modulem pro správu licencí. Abyste mohli vzdáleně aktivovat bezpečnostní produkty ESET na koncových stanicích, musíte do ESET Remote Administrator nejprve licenci přidat. Pro přidání licence přejděte v hlavním menu na záložku Administrace > Správa licence a klikněte na tlačítko Přidat licenci. Poté vyberte způsob, jakým chcete licence přidat – prostřednictvím licenčního klíče, účtu bezpečnostního administrátora nebo offline souboru. Zadejte nebo zkopírujte Licenční klíč, který jste obdrželi po nákupu produktu ESET. Pokud máte klasické licenční údaje (uživatelské jméno a heslo), převeďte si je na licenční klíč. Pokud jste licenční klíč dosud neregistrovali, budete přesměrováni na portál ESET License Administrator, kde provedete jeho registraci.
Licence přidejte prostřednictvím svého účtu bezpečnostního administrátora. Po přihlášení se načtou všechny licence, které spravujete.
44
Při použití offline licenčního souboru si nejprve zkopírujte token licenčního souboru. Ověřovací řetězec poté zadejte do příslušného pole při generování offline licenčního souboru na portále ESET License Administrator. Při použití jiného offline souboru nebude licence akceptována. Poznámka: Více informací o generování offline licenčního souboru naleznete v dokumentaci. Mějte však na paměti, že záleží na tom, zda se k portálu přihlašujete jako vlastník licence nebo bezpečnostní administrátor.
45
Při generování offline licenčního souboru vyberte možnost Povolit správu prostřednictvím ESET Remote Administrator a následně zadejte token, který jste si zkopírovali z ERA Web Console.
Offline soubor si stáhněte a následně nahrajte do ERA Web Console.
46
Podle ikon snadno poznáte, jakým způsobem jste danou licenci do ERA nahráli: klíče,
– pomocí offline licenční souboru nebo
– prostřednictvím licenčního
– účtem bezpečnostního administrátora.
Licence můžete distribuovat klientským stanicím s nainstalovaným programem ESET prostřednictvím ERA dvěma způsoby: · pomocí úlohy instalace aplikace · pomocí úlohy aktivace produktu
5.5 Nasazení Po úspěšné instalaci ESET Remote Administrator je potřeba nasadit ERA Agenta na počítače, které chcete spravovat prostřednictvím ERA Serveru. ERA Agent sbírá nejen informace o operačním systému, ale především zajišťuje komunikaci s bezpečnostním produktem instalovaným na daném zařízení. Pokud jste již provedli prvotní kroky, pro vzdálenou správu stanic ve vaší síti postupujte následovně: 1. Přidejte počítač do ERA, 2. Nasaďte ERA Agenta – lokálně nebo vzdáleně. 3. Vytvořte politiku s požadovaným nastavením, které chcete aplikovat na bezpečnostní produkt. Toto nastavení automaticky na stanici vynutí ERA Agent. 4. Nainstalujte na stanici bezpečnostní produktu ESET. Pokud se nasazení ERA Agent nezdařilo, případně agent nekomunikuje se serverem, pro odstranění problému přejděte do následujících kapitol: Řešení problémů – nasazení ERA Agenta Řešení problémů – ERA Agent se nepřipojuje Vzorové nasazení ERA Agenta
47
5.5.1 Přidání počítače do ERA Počítač do ESET Remote Administrator můžete přidat následujícími způsoby: · Synchronizací s Active Directory · Ruční přidání pomocí názvu nebo IP adresy počítače · Ručním nainstalováním ERA Agenta · Prostřednictvím nástroje ESET RD Sensor
5.5.1.1 Synchronizace s Active Directory Synchronizaci ESET Remote Administrator s Active Directory provedete prostřednictvím serverové úlohy Synchronizace statické skupiny. Pokud máte server, na který instalujete, zapojen do domény, provede se synchronizace s Active Directory a všechny počítače budou přidány do výchozí skupiny Všechna zařízení. Vytvořenou úlohu naleznete v hlavním menu na záložce Administrace > Serverové úlohy.
Pro ruční spuštění synchronizace vyberte typ úlohy Synchronizace statické skupiny a klikněte na tlačítko Spustit nyní. Pokud potřebujete vytvořit novou synchronizační úlohu, klikněte na tlačítko Nová... a vyberte skupinu, do které chcete nové počítače přidat. Dále vyberte objekty, které chcete synchronizovat a co se má stát v případě výskytu duplicitních počítačů. Zadejte parametry pro připojení k doménovému řadiči a Režim synchronizace nastavte na Active Directory/Open Directory/LDAP. Synchronizaci krok za krokem máme popsanou v Databázi znalostí.
48
5.5.1.2 Ruční přidání pomocí názvu nebo IP adresy počítače Nové zařízení (počítač nebo mobilní zařízení) můžete do můžete do ERA Web Console kdykoli přidat ručně přímo na záložce Počítače, případně Administrace > Skupiny. 1. Vyberte statickou skupinu, do které chcete zařízení přidat, klikněte na ikonu ozubeného kolečka možnost Přidat nové. Případně klikněte na tlačítko Počítače a vyberte možnost Nové....
a vyberte
2. Zadejte IP adresu nebo název počítače, volitelně popis. Poznámka: Velké množství zařízení můžete importovat z CSV souboru. 3. Následně vyberte akci, která se má provést v případu výskytu duplicitních záznamů: · Dotázat se při konfliktu: při výskytu konfliktu budete vyzváni k vybrání jedné z níže uvedených akcí. · Přeskočit konfliktní počítače: nově přidávaný počítač bude přeskočen a nebude přiřazen do statické skupiny. · Přesunout konfliktní počítače do jiné skupiny: konfliktní počítač bude přesunut z původní statické skupiny do
skupiny Všechna zařízení. · Duplikovat konfliktní počítače: nový počítač bude přidán, ale pod jiným názvem.
4. Klikněte na tlačítko + Přidat zařízení. Pro odstranění zařízení ze seznamu klikněte na ikonu koše nebo použijte možnost Odebrat vše. 5. Akci dokončete kliknutím na tlačítko Přidat. Poznámka: V této chvíli dojde k vyhledání reverzních DNS záznamů. V závislosti na množství přidaných zařízení může tato akce chvíli trvat. 7. Po úspěšném přidání můžete na stanici rovnou nasadit ERA Agenta. V takovém případě se zobrazí dialogové okno, ze kterého si vyberte možnost, která vyhovuje vašim potřebám a konfiguraci sítě.
49
50
5.5.1.2.1 Importování CSV Velké množství počítačů, mobilních zařízení nebo uživatelů můžete přidat hromadně prostřednictvím CSV souboru. Stačí v průvodci přidáním kliknout na tlačítko Importovat CSV.... V zobrazeném dialogovém okně projděte jednotlivými kroky. · Nahrát – v této části vyberte .csv soubor s daty a klikněte na tlačítko Nahrát. · Oddělovač – v této části definujte znak, kterým jsou data oddělena. Z rozbalovacího menu můžete vybrat
nejpoužívanější oddělovač (středník, čárka, mezera, tabulátor), případně můžete zadat vlastní znak. Pro snadnější identifikaci oddělovače v sekci Náhled dat zobrazuje část .csv dokumentu. · Mapování sloupců – v této části propojte jednotlivé sloupce tabulky (například název zařízení, popis, uživatelské
jméno, e-mail atp.) s daty načtenými z importovaného .csv souboru. Pokud importovaný .csv soubor obsahuje hlavičku, zaškrtněte možnost První řádek CSV souboru obsahuje hlavičku. V opačném případě ponechte tuto možnost vypnutou. Zda jste správně namapovali jednotlivé sloupce zjistíte v části Náhled tabulky.
Po dokončení konfigurace akci dokončete kliknutím na tlačítko Importovat.
51
5.5.1.3 Použití nástroje ESET RD Sensor Pokud nepoužijete synchronizaci s Active Directory, nejjednodušším způsobem, jak přidat počítače do ERA je použití nástroje RD Sensor, který je součástí instalačního balíku ERA. Pokud již máte RD Sensor nainstalován, stačí na nástěnce najít přehled s nalezenými počítači.
V přehledu se zobrazují všechny počítače, které objevil RD Sensor. Pro přidání konkrétního počítače do ERA na něj klikněte a vyberte možnost Přidat..., případně vyberte možnost Přidat všechny zobrazené položky... pro přidání všech nalezených počítačů.
Pokud jste přidali jeden počítač, postupujte podle kroků na obrazovce. Jako název, pod kterým se bude identifikovat v ERA Web Console, můžete ponechat stávající název počítače nebo zadejte vlastní. Zadat můžete také Popis. V případě, že se v ERA již nachází zařízení se stejným názvem budete na to upozorněni a vyzváni k provedení akce pro vyřešení konfliktu (dostupné možnosti: Nasadit ERA Agenta, Přeskočit, Opakovat, Přesunout, Duplikovat a Zrušit). Po úspěšném přidání počítače se zobrazí dialogové okno s možnosti Nasadit ERA Agenta.
52
Pokud jste použili možnost Přidat všechny zobrazené položky... zobrazí se v novém dialogovém okně seznam všech počítačů, které budou přidány. Kliknutím na X vedle názvu konkrétního počítače jej můžete ze seznamu odstranit. Po ověření seznamu klikněte na tlačítko Přidat a následně vyberte akci, která se má provést v případě výskytu duplicit (dostupné možnosti: Přeskočit, Opakovat, Přesunout, Duplikovat a Zrušit). Po úspěšném přidání počítačů se zobrazí dialogové okno s možnosti Nasadit ERA Agenty.
Všechna zařízení, která ESET RD Sensor objeví se zapisují do protokolu detectedMachines.log. Obsah tohoto protokolu následně ERA Agent předává ERA Serveru. Protokol naleznete ve složce: · Windows
C:\ProgramData\ESET\Rouge Detection Sensor\Logs\detectedMachines.log · Linux
/var/log/eset/RogueDetectionSensor/detectedMachines.log
53
5.5.2 Nasazení ERA Agenta Abyste mohli vzdáleně spravovat bezpečnostních řešení ESET na koncových stanicích prostřednictvím ERA Web Console, musíte na klientské stanice nasadit ERA Agenta. ERA Agenta můžete na klientskou stanici nasadit mnoha způsoby. Záleží na tom, zda chcete nasazení provádět lokálně nebo vzdáleně. · Lokálně – v tomto případě bude nutné na koncové stanici ručně spustit instalační balíček nebo online instalátor
(vytvořený v ERA Web Console nebo stažený z webových stránek společnosti ESET). · Vzdáleně – tuto možnost doporučujeme pro hromadné nasazení na velké množství stanic.
5.5.2.1 Lokální nasazení ERA Agenta V této kapitole naleznete popsány jednotlivé možnosti pro lokální nasazení ERA Agenta. Instalační balíček si můžete připravit například do sdílené složky, umístit si jej na výměnné médium nebo distribuovat e-mailem. Mějte na paměti, že v případě lokální instalace musí mít uživatel, který spustí instalační balíček, oprávnění administrátora. Poznámka: Tento způsob nasazení je vhodný pro malé sítě, případně jej můžete využít při testování. Pro hromadné nasazení doporučujeme používat doménovou politiku nebo SCCM. Lokálně můžete ERA Agenta nasadit prostřednictvím: All-in-one instalačního balíčku (pouze pro Windows) Online instalačního balíčku MSI balíčku (staženého z webových stránek společnosti ESET)
54
5.5.2.1.1 Vytvoření all-in-one instalačního balíčku ERA Agenta Pomocí níže uvedených kroků můžete vytvořit all-in-one instalační balíček ERA Agenta a bezpečnostního produktu (ESET Endpoint Antivirus nebo ESET Endpoint Security). Tuto možnost oceníte při prvotním nasazení ESET Remote Administrator ve vaší síti a přechodu na bezpečnostní řešení ESET. Výhodou tohoto balíčku je to, že do něj již můžete vložit požadovanou konfiguraci a licenci pro aktivaci produktu. DŮLEŽITÉ: All-in-one instalační balíček je dostupný pouze pro Windows. Pro vygenerování all-in-one instalačního balíčku ERA Agenta postupuje podle následujících kroků: 1. V hlavním menu ERA Web Console klikněte na v sekci Rychlé odkazy na možnost Nasadit ERA Agenta.... 2. V zobrazeném dialogovém okně ho okna vyberte možnost Vytvořit instalátor. Certifikát – automaticky se vyberte vhodný klientský certifikát. Pokud chcete pro komunikaci daného ERA Agenta použít jiný certifikát, klikněte na jeho název a ze seznamu dostupných certifikátů vyberte jiný. Případně pomocí možnosti Vlastní certifikát můžete nahrát váš certifikát ve formátu .pfx. Více informací o použití vlastních certifikátů naleznete v této kapitole. Pokud máte certifikát opatřen heslem, zadejte jej. V opačném případě ponechte pole prázdné. DŮLEŽITÉ: Mějte na paměti, že z instalačního .exe balíčku je možné heslo extrahovat. Konfigurace – v této části můžete přizpůsobit parametry instalace: 3. Jazyk – z rozbalovacího menu vyberte jazyk, ve kterém chcete nainstalovat bezpečnostní produkt ESET. 4. Produkt – po kliknutí vyberte ESET produkt a verzi. Pokud vyberte produkt ve verzi 6.3 a starší, nedojde k automatické aktivaci a budete muset produkt aktivovat později. Produkty ve verzi 6.4 se automaticky aktivují přiloženou licencí. Poznámka: Pokud v seznamu nevidíte žádný balíček, nemáte přístup k repozitáři. Zkontrolujte konektivitu do internetu, případně v Nastavení serveru ověřte, zda máte v poli Repozitář zadanou hodnotu AUTOSELECT. 5. Licenci (volitelně) – v případě potřeby můžete do instalačního balíčku vložit licenci. Stačí, když ji vložíte do ERA. Pokud licenci nespecifikujete, produkt můžete kdykoli aktivovat později. Jednotlivé možnosti aktivace máme popsány v této kapitole. 6. Počáteční konfigurace – rozhodněte se, zda chcete již v průběhu instalace vynutit jinou než výchozí konfiguraci o Nekonfigurovat – po nainstalování a spojení ERA Agenta se serverem se aplikují pouze politiky, které jsou přiřazeny všem nadřazeným statickým skupinám. o Vybrat konfiguraci ze seznamu politik – pomocí této možnosti můžete vybrat konkrétní politiku, která se má aplikovat na ERA Agenta již v průběhu instalace. V takovém případě klikněte na možnost Vybrat a ze seznamu dostupných politik si vyberte vámi požadovanou. Pokud v seznamu nevidíte požadovanou politiku, vytvořte si novou politiku a tohoto průvodce spusťte znovu. 7. Ostatní – v případě potřeby můžete zadat název serveru a port. Pokud jsou zobrazené údaje správné, ponechte pole beze změny. 8. Nadřazená skupina (volitelné) – v případě potřeby můžete vybrat nadřazenou statickou skupinu, do které chcete klientskou stanici umístit. Pokud skupinu nevyberete, automaticky se umístí do výchozí skupiny Ztráty a nálezy, případně se spáruje se záznamem načteným z Active Directory. 9. Kliknutím na Vytvořit instalátor se vygenerují odkazy pro stažení 32-bitového a 64-bitového instalačního balíčku. Klikněte na požadovaný balíček a uložte si jej.
55
10.Instalační balíček (například ERA_Installer_x32_cs_CZ.exe nebo ERA_Installer_x64_cs_CZ.exe) spusťte na koncové stanici. Další informace týkající se instalace naleznete v této kapitole.
5.5.2.1.1.1 Průvodce all-in-one instalátorem ERA Agenta Tento průvodce vás provede instalací: · ERA Agenta, · bezpečnostního produktu ESET, a volitelně vám nabídne odinstalaci antivirových řešení třetí strany pomocí nástroje ESET AV Remover. DŮLEŽITÉ: All-in-one instalační balíček je dostupný pouze pro Windows. Poznámka: Instalační balíček je nutné spustit pod doménovým administrátorem nebo lokálním předdefinovaným účtem Administrator. Jakýkoli jiný uživatel, i když je členem skupin Administrators, nebude mít dostatečné oprávnění pro dokončení instalace. All-in-one instalační balíček můžete spustit v tichém režimu a provést bezobslužnou instalaci. Více informací a parametry jaké k tomu můžete použít naleznete v Databázi znalostí.
1. Rozhodněte se, zda chcete odstranit jiné bezpečnostní řešení pomocí nástroje ESET AV Remover, a klikněte na tlačítko Pokračovat. 2. Pokud víte, že v systému není žádné další bezpečnostní řešení, přejděte na krok 6. 56
3. Přečtěte si a odsouhlaste licenční ujednání (EULA). 4. Vyberte aplikace, které chcete odebrat ze systému a klikněte na tlačítko Odebrat. Tato akce může chvíli trvat. 5. Po úspěšném odebrání aplikací klikněte na tlačítko tlačítko Pokračovat. 6. V dalším kroku klikněte na tlačítko Další a přejděte k instalaci ERA Agenta.
7. Přečtěte si a odsouhlaste licenční ujednání (EULA). 8. Kliknutím na tlačítko Instalovat zahajte instalaci ERA Agenta. 9. Po dokončení instalace klikněte na tlačítko Dokončit a přejděte k instalaci bezpečnostního produktu ESET.
10. Přečtěte si a odsouhlaste licenční ujednání (EULA). 57
11. V dalším kroku budete vyzváni ke konfiguraci technologie ESET Live Grid. Tento cloudový reputační systém vás chrání před novými hrozbami a zvyšuje účinnost bezpečnostního řešení. 12. Rozhodněte se, zda chcete detekovat potenciálně nechtěné aplikace. 13. Kliknutím na tlačítko Rozšířená nastavení můžete změnit složku, do které chcete program nainstalovat.
14. Kliknutím na tlačítko Instalovat zahajte instalaci bezpečnostního produktu ESET. 15. Po dokončení instalace se automaticky spustí ERA Agent i bezpečnostní produktu ESET. Pro ověření úspěšné instalace a spojení se serverem si na stanici otevřete soubor C:\ProgramData\ESET\RemoteAdministrator\Agent \Logs\status.html . V případě výskytu problémů (například ERA Agent se nepřipojuje k ERA Serveru) přejděte do kapitoly Řešení problémů.
5.5.2.1.2 Online instalátory ERA Agenta Tento způsob instalace ERA Agenta je vhodný pro případ, kdy vám nevyhovují jiné metody instalace, případně je nemůžete použít. V tomto případě můžete uživatelům distribuovat online instalátor například prostřednictvím emailu nebo výměnných médií. Instalace prostřednictvím online instalačního balíčku je bezobslužná, ale uživatel musí mít oprávnění administrátora. Poznámka: Klientská stanice musí mít připojení k internetu, aby si mohla stáhnout instalační balíček ERA Agenta, a musí z ní být dosažitelný ERA Server. Pro vygenerování online instalačního balíčku ERA Agenta postupuje podle následujících kroků: 1. V hlavním menu ERA Web Console klikněte na v sekci Rychlé odkazy na možnost Nasadit ERA Agenta.... 2. V zobrazeném dialogovém okně ho okna vyberte možnost Vytvořit instalátor. Certifikát – automaticky se vyberte vhodný klientský certifikát. Pokud chcete pro komunikaci daného ERA Agenta použít jiný certifikát, klikněte na jeho název a ze seznamu dostupných certifikátů vyberte jiný. Případně pomocí možnosti Vlastní certifikát můžete nahrát váš certifikát ve formátu .pfx. Více informací o použití vlastních certifikátů naleznete v této kapitole. Pokud máte certifikát opatřen heslem, zadejte jej. V opačném případě ponechte pole prázdné. Konfigurace – v této části můžete přizpůsobit parametry instalace: 58
Počáteční konfigurace – rozhodněte se, zda chcete již v průběhu instalace vynutit jinou než výchozí konfiguraci o Nekonfigurovat – po nainstalování a spojení ERA Agenta se serverem se aplikují pouze politiky, které jsou přiřazeny všem nadřazeným statickým skupinám. o Vybrat konfiguraci ze seznamu politik – pomocí této možnosti můžete vybrat konkrétní politiku, která se má aplikovat na ERA Agenta již v průběhu instalace. V takovém případě klikněte na možnost Vybrat a ze seznamu dostupných politik si vyberte vámi požadovanou. Pokud v seznamu nevidíte požadovanou politiku, vytvořte si novou politiku a tohoto průvodce spusťte znovu. Ostatní – v případě potřeby můžete zadat název serveru a port. Pokud jsou zobrazené údaje správné, ponechte pole beze změny. Nadřazená skupina (volitelné) – v případě potřeby můžete vybrat nadřazenou statickou skupinu, do které chcete klientskou stanici umístit. Pokud skupinu nevyberete, automaticky se umístí do výchozí skupiny Ztráty a nálezy, případně se spáruje se záznamem načteným z Active Directory. 3. Kliknutím na Získat instalátory vygenerujte odkazy pro stažení instalačního balíčku ERA Agenta pro Windows, Linux a OS X.
4. Po kliknutí na Stáhnout si uložte zip soubor. Stažený archiv rozbalte na klientovi, na kterém chcete instalovat ERA Agenta a spusťte EraAgentOnlineInstaller.bat dávkový soubor (na Windows) nebo EraAgentOnlineInstaller.sh skript (na Linuxu a OS X) a vyčkejte na dokončení instalace ERA Agenta. Poznámka: Na Windows XP SP2 je nutné doinstalovat Microsoft Windows Server 2003 Administration Tools Pack. V opačném případě se online instalátor nespustí správně. Pro ověření úspěšné instalace a spojení se serverem si na klientovi otevřete soubor C:\ProgramData\ESET \RemoteAdministrator\Agent\Logs\status.html. V případě výskytu problémů (například ERA Agent se nepřipojuje k ERA Serveru) přejděte do kapitoly Řešení problémů.
Pokud chcete použít online instalátor pro nasazení ERA Agenta, ale chcete instalační balíček stahovat z lokální složky, nikoli z repozitáře ESET, postupujte podle následujících kroků: 1. Otevřete si EraAgentOnlineInstaller.bat dávkový soubor (Windows) v textovém editoru. 2. Upravte řádky 30 a 33 tak, aby odkaz na balíček směroval do vaší sdílené složky.
3. Příklad zadání sdílené cesty k instalačnímu balíčku ERA Agenta.
59
4. Najděte řádek 76 a " echo.packageLocation = DownloadUsingHTTPProxy^("!url!", "!http_proxy_hostname!", "!http_proxy_port!", "!http_proxy_username!", "!http_proxy_password!"^) "
nahraďte tímto:echo.packageLocation = "!url!"
5. Soubor uložte. Poznámka: Čísla řádků se v závislosti na verzi ERA mohou lišit. Do složky s instalačním balíčkem musí mít přístup jakýkoli uživatel pro čtení i zápis.
5.5.2.1.3 Stažení ERA Agenta z webových stránek ESET Instalační .msi balíček ERA Agenta si můžete kdykoli stáhnout webové stránce společnosti ESET v sekci Stáhnout > Firmy > Remote Administrator 6 > Standalone installers. Následně z rozbalovacího menu vyberte jako komponentu Agenta a dále operační systém, na který chcete ERA Agenta instalovat: · Windows · Linux · OS X
Po spuštění instalačního balíčku si můžete vybrat ze dvou druhů instalace: Asistovaná instalace – v průběhu instalace se certifikáty stáhnou z ERA Serveru automaticky (potřebujete znát přístupové údaje do ERA Web Console), Offline instalace – v tomto případě potřebujete mít exportován klientský certifikát agenta a veřejný klíč certifikační autority. Použít můžete rovněž vlastní certifikáty. Poznámka: Pro ověření úspěšného navázání spojení s ERA Server se podívejte do souboru status.html. Pokud ke spojení , více informací hledejte v kapitole řešení problémů.
60
5.5.2.1.3.1 Lokální nasazení ERA Agenta Pro lokální nasazení ERA Agenta prostřednictvím instalačního průvodce postupujte podle následujících kroků: Instalační .msi balíček ERA Agenta je dostupný na webové stránce společnosti ESET v sekci Stáhnout > Firmy > Remote Administrator 6. Stažený balíček spusťte na počítači, na který chcete ERA Agenta nainstalovat. Odsouhlaste licenční ujednání koncového uživatele a dále vyberte jeden ze způsobů instalace – Asistovaná instalace nebo Offline instalace. Pro instalaci postupujte podle následujících kroků nebo si prohlédněte toto video v Databázi znalosti. Tento článek také samostatně v Databázi znalostí. 1. Asistovaná instalace: Vyberte možnost Asistovaná instalace, zadejte Název serveru, na kterém běží ERA, Port (standardně 2222) a klikněte na tlačítko Další.
61
Zadejte Uživatelské jméno a Heslo, které používáte pro přihlášení do ERA WebConsole.
Pokud chcete rovnou počítač umístit do konkrétní statické skupiny, vyberte možnost Vybrat vlastní statickou skupinu a z rozbalovacího menu vyberte správnou skupinu.
62
2. Offline instalace:
Pokud vyberete možnost Offline instalace, zadejte Název serveru, Port (standardně 2222) a klikněte na tlačítko Další. Dále bude nutné ručně vybrat Klientský certifikát a Certifikační autoritu. Pro více informací o exportování certifikátů přejděte do této kapitoly.
Poznámka: Pro ověření úspěšné instalace a spojení se serverem si na stanici otevřete soubor status.html, který naleznete ve složce C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\status.html nebo C: \Documents and Settings\All Users\Application Data\Eset\RemoteAdministrator\Agent\EraAgentApplicationData \Logs\status.hmtl. V případě výskytu problémů (například ERA Agent se nepřipojuje k ERA Serveru) přejděte do kapitoly Řešení problémů. 63
5.5.2.2 Vzdálené nasazení ERA Agenta ERA Agenta můžete nasadit vzdáleně prostřednictvím: · Doménové politiky (GPO) nebo Software Center Configuration Manager (SCCM) – tuto možnost doporučujeme pro
nasazení na velké množství počítačů. · Severové úlohy pro nasazení ERA Agenta – alternativa k první možnosti, kterou je možné využít v doménových
sítích. DŮLEŽITÉ: Při nasazování ERA Agenta prostřednictvím push technologie přímo z ERA Serveru se ujistěte, že má ERA Server i cílová stanice přístup k internetu.
5.5.2.2.1 Nasazení ERA Agenta prostřednictvím GPO nebo SCCM Ve velkých sítích je vhodně pro nasazení ERA Agenta využít doménovou politiku (GPO) nebo nástroje pro hromadné nasazení aplikací, například SSCM, Symantec Altiris, Puppet. V tomto případě je to mnohem efektivnější, než instalovat ERA Agenta lokální, případně vzdáleně prostřednictvím push technologie. Níže uvádíme postupy pro nasazení ERA Agenta prostřednictvím GPO a SCCM. 1. Nasazení ERA Agenta prostřednictvím GPO 2. Nasazení ERA Agent prostřednictvím SCCM
5.5.2.2.1.1 Nasazení ERA Agenta prostřednictvím GPO ERA Agenta můžete na klientskou stanici nainstalovat prostřednictvím GPO. Pro získání instalačního balíčku, vytvoření modifikace a přípravy doménové politiky postupujte podle následujících kroků. 1. Z webových stránek společnosti ESET si stáhněte instalační .msi balíček ERA Agenta. 2. V hlavním menu ERA Web Console klikněte v sekci Rychlé odkazy na možnost Nasadit ERA Agenta.... 3. V zobrazeném dialogovém okně vyberte možnost Vytvořit skript. Certifikát – automaticky se vybere vhodný klientský certifikát. Pokud chcete pro komunikaci daného ERA Agenta použít jiný certifikát, klikněte na jeho název a ze seznamu dostupných certifikátů vyberte jiný. Případně pomocí možnosti Vlastní certifikát můžete nahrát váš certifikát ve formátu .pfx. Více informací o použití vlastních certifikátů naleznete v této kapitole. Pokud máte certifikát opatřen heslem, zadejte jej. V opačném případě ponechte pole prázdné. Konfigurace – v této části můžete přizpůsobit parametry instalace: Počáteční konfigurace – rozhodněte se, zda chcete již v průběhu instalace vynutit jinou než výchozí konfiguraci o Nekonfigurovat – po nainstalování a spojení ERA Agenta se serverem se aplikují pouze politiky, které jsou přiřazeny všem nadřazeným statickým skupinám. o Vybrat konfiguraci ze seznamu politik – pomocí této možnosti můžete vybrat konkrétní politiku, která se má aplikovat na ERA Agenta již v průběhu instalace. V takovém případě klikněte na možnost Vybrat a ze seznamu dostupných politik si vyberte vámi požadovanou. Pokud v seznamu nevidíte požadovanou politiku, vytvořte si novou politiku a tohoto průvodce spusťte znovu. Ostatní – v případě potřeby můžete zadat název serveru a port. Pokud jsou zobrazené údaje správné, ponechte pole beze změny. Nadřazená skupina (volitelné) – v případě potřeby můžete vybrat nadřazenou statickou skupinu, do které chcete klientskou stanici umístit. Pokud skupinu nevyberete, automaticky se umístí do výchozí skupiny Ztráty a nálezy, případně se spáruje se záznamem načteným z Active Directory. 4. Akci dokončete kliknutím na tlačítko Vytvořit balíček a stáhněte si konfigurační soubor install_config.ini.
64
5. Umístěte instalační .msi balíček ERA Agenta a konfigurační .ini soubor do sdílené složky, ke které má cílová stanice přístup.
DŮLEŽITÉ: Klientská stanice musí mít oprávnění pro čtení i zápis do této sdílené složky.
65
6. Otevřete GPMC (Group Policy Management Console) a vytvořte nový objekt Group Policy, případně použijte již existující.
7. V sekci Computer Configuration přejděte do větve Policies > Software Settings. 8. Klikněte pravým tlačítkem na Software installation, z kontextového menu vyberte Nový > Package... pro vytvoření nového konfiguračního balíčku.
66
9. Najděte instalační .msi balíček ERA Agenta. V dialogovém okně Open zadejte úplnou síťovou cestu (UNC) v instalačním balíčku. Například \\fileserver\share\filename.msi Poznámka: Ujistěte se, že jste zadali UNC cestu k instalačnímu balíčku.
10.Klikněte na Open a jako režim nasazení vyberte možnost Advanced.
67
11.Kliknutím na tlačítko OK dokončete konfiguraci balíčku a vyčkejte na nasazení balíčku prostřednictvím doménové politiky.
68
5.5.2.2.1.2 Nasazení ERA Agenta prostřednictvím SCCM ERA Agenta můžete na klientskou stanici nainstalovat prostřednictvím SCCM. Pro získání instalačního balíčku, vytvoření modifikace a přípravy instalační politiky v SCCM postupujte podle následujících kroků. 1. Z webových stránek společnosti ESET si stáhněte instalační .msi balíček ERA Agenta. 2. V hlavním menu ERA Web Console klikněte v sekci Rychlé odkazy na možnost Nasadit ERA Agenta.... 3. V zobrazeném dialogovém okně vyberte možnost Vytvořit skript. Certifikát – automaticky se vybere vhodný klientský certifikát. Pokud chcete pro komunikaci daného ERA Agenta použít jiný certifikát, klikněte na jeho název a ze seznamu dostupných certifikátů vyberte jiný. Případně pomocí možnosti Vlastní certifikát můžete nahrát váš certifikát ve formátu .pfx. Více informací o použití vlastních certifikátů naleznete v této kapitole. Pokud máte certifikát opatřen heslem, zadejte jej. V opačném případě ponechte pole prázdné. Konfigurace – v této části můžete přizpůsobit parametry instalace: Počáteční konfigurace – rozhodněte se, zda chcete již v průběhu instalace vynutit jinou než výchozí konfiguraci o Nekonfigurovat – po nainstalování a spojení ERA Agenta se serverem se aplikují pouze politiky, které jsou přiřazeny všem nadřazeným statickým skupinám. o Vybrat konfiguraci ze seznamu politik – pomocí této možnosti můžete vybrat konkrétní politiku, která se má aplikovat na ERA Agenta již v průběhu instalace. V takovém případě klikněte na možnost Vybrat a ze seznamu dostupných politik si vyberte vámi požadovanou. Pokud v seznamu nevidíte požadovanou politiku, vytvořte si novou politiku a tohoto průvodce spusťte znovu. Ostatní – v případě potřeby můžete zadat název serveru a port. Pokud jsou zobrazené údaje správné, ponechte pole beze změny. Nadřazená skupina (volitelné) – v případě potřeby můžete vybrat nadřazenou statickou skupinu, do které chcete klientskou stanici umístit. Pokud skupinu nevyberete, automaticky se umístí do výchozí skupiny Ztráty a nálezy, případně se spáruje se záznamem načteným z Active Directory. 4. Akci dokončete kliknutím na tlačítko Vytvořit balíček a stáhněte si konfigurační soubor install_config.ini. 5. Umístěte instalační .msi balíček ERA Agenta a konfigurační .ini soubor do sdílené složky, ke které má cílová stanice přístup.
69
DŮLEŽITÉ: Klientská stanice musí mít oprávnění pro čtení i zápis do této sdílené složky.
70
6. Otevřete SCCM console a klikněte na Software Library. V části Application Management klikněte pravým tlačítkem na Applications a vyberte možnost Create Application. Vyberte možnost Windows Installer (*.msi file) a najděte instalační .msi balíček.
71
7. Zadejte všechny vyžadované informace o aplikaci a klikněte na tlačítko Next.
72
8. Pravým tlačítkem myši klikněte na aplikaci ESET Remote Administrator Agent, přejděte na záložku Deployment Types, vyberte možnost only deployment a klikněte na tlačítko Edit.
73
9. Přejděte na záložku Requirements a klikněte na tlačítko Add. Z rozbalovacího menu Condition vyberte možnost Operating system, jako Operator vyberte One of a definujte operační systémy, na které chcete balíček instalovat. Konfiguraci dokončete kliknutím na OK.
74
75
10.V System Center Software Library klikněte pravým tlačítkem na vámi nově vytvořenou aplikaci a z kontextového menu vyberte možnost Distribute Content. Dále postupujte podle kroků v průvodci nasazením aplikace.
76
77
11.Klikněte pravým tlačítkem na název aplikace a vyberte možnost Deploy. Dále postupujte podle zobrazeného průvodce a vyberte cíle, na které chcete aplikaci nasadit.
78
79
80
81
82
83
84
5.5.2.3 Nasazení ERA Agenta z ERA Serveru Vzdálené nasazení ERA Agenta z webové konzole provedete prostřednictvím serverové úlohy. Pro vytvoření nové úlohy přejděte v hlavním menu na záložku Administrace > Serverové úlohy. Vyberte úlohu Nasazení ERA Agenta a klikněte na tlačítko Nová.... Poznámka: Hromadné nasazení ERA Agenta doporučujeme nejprve otestovat na menším vzorku klientů. Před zahájením testování doporučujeme rovněž upravit interval komunikace ERA Agenta. Pro úspěšné nasazení ERA Agenta musí mít ERA Server i cílová stanice přístup k internetu. Obecné Nejprve zadejte Název úlohy (například Nasazení agenta) a jako vyberte Typ úlohy vyberte Nasazení ERA Agenta. Pole Popis je nepovinné. Nastavení
85
· Automaticky vybrat správného agenta – pokud máte v síti klienty s rozdílnými operačními systémy (Windows,
· · · ·
· ·
Linux, OS X), vybráním této možnosti dojde před samotnou instalací k detekci operačního systému a následně se pro instalaci vyberte správný balíček ERA Agenta. Cíle – kliknutím vyberte klienty, na které chcete úlohu odeslat. Uživatelské jméno/Heslo – přihlašovací údaje uživatele, který má dostatečná oprávnění pro vzdálenou instalaci. Název serveru (nepovinné) – zadejte název serveru, pokud je na straně klienta jiný, než na straně serveru. Klientský certifikát/ERA certifikát – jedná se o bezpečnostní certifikát a certifikační autoritu pro instalace ERA Agenta. Vybrat můžete výchozí certifikát a certifikační autoritu nebo použít vlastní sadu certifikátů. Pro více informací o certifikátech přejděte do kapitoly certifikáty. Vlastní certifikát – pokud jste vybrali možnost použít vlastní certifikát, vyberte jej v této sekci. Heslo k certifikátu – heslo, které jste definovali při instalaci ERA Serveru, případně při vytváření vlastní certifikační autority nebo certifikátu. Poznámka: ERA Server dokáže automaticky rozpoznat cílový operační systém a podle toho vybrat správný instalační balíček ERA Agenta. Pokud chcete balíček vybrat ručně, deaktivujte možnost Automaticky vybrat správného agenta a následně si z repozitáře vyberte balíček, který chcete použít. Cíl
V této části můžete vybrat klienty (jednotlivé počítače nebo celé skupiny), na kterých chcete úlohu spustit. Kliknutím na tlačítko Přidat cíle zobrazíte všechny statické a dynamické skupiny včetně jejich členů.
Po vybrání klientů klikněte na tlačítko OK a přejděte do sekce Podmínka spuštění.
86
Podmínka spuštění – definuje, kdy se má úloha provést. · Ihned – spustí úlohu co nejdříve od chvíle, co klient kontaktuje ESET Remote Administrator Server a získá
informace o konkrétní úloze. Pokud úloha nebude klientovi doručena do data stanoveného v sekci Platnost do, úloha bude odebrána z fronty – úloha nebude odstraněna, pouze se neprovede. · Naplánované spuštění – spustí úlohu ve stanovený čas. Úlohu můžete provést pouze jednou, naplánovat opakované spouštění nebo spuštění definovat pomocí CRON výrazu. · Při výskytu události – spustí úlohu, pokud se v protokolech vyskytne definovaná událost. Při definování události můžete vybrat typ protokolu, použít logický operátor a kritéria filtrování. · Při připojení do dynamické skupiny – spustí úlohu při přesunutí klienta do definované dynamické skupiny. Tato možnost není dostupná při výběru jednotlivých klientů nebo statické skupiny. Poznámka: Více informací o tvorbě podmínek naleznete v kapitole podmínky spuštění. Rozšířená nastavení – tuto funkci můžete pro snížení počtu provedení úlohy v případě, že použijete podmínku spuštění "Při výskytu události" nebo "Při výskytu klienta v dynamické skupině" a zabránit tak nadměrnému spuštění úlohy. Pro více informací přejděte do kapitoly zabránění aktivace podmínky spuštění. Po dokončení konfigurace této části klikněte na tlačítko Dokončit Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Úloha se vytvoří a bude připravena k použití. Poznámka: Pokud se při vzdálené instalaci ERA Agenta setkáte s problémy (například selže serverová úloha Nasazení ERA Agenta), přejděte do kapitoly Řešení problémů.
5.5.2.4 Nastavení ERA Agenta Nastavení ERA Agenta je možné měnit výhradně prostřednictvím politik. Využít k tomu můžete předdefinované politiky, například Seznam aplikací - Zjistit všechny nainstalované aplikace nebo Připojení - Připojovat každých 20 minut, případně si můžete kdykoli vytvořit politiku novou. Níže uvádíme seznam všech možných nastavení. Pro vytvoření nové politiky pro ERA Agenta klikněte v hlavním menu ERA Web Console v sekci Rychlé odkazy na možnost Nová politika.... Následně v sekci Nastavení vyberte z rozbalovacího menu ESET Remote Administrator Agent. Připojení · Připojovat se k těmto serverům – tuto možnost využijete především při migraci ERA Serveru. Klikněte na možnost
Změnit seznam serverů a následně zadejte název/IP adresu a port serveru, ke kterému se má ERA Agent připojovat. · Interval připojení – ERA Agent se k ERA Serveru připojuje standardně každých 60 sekund. V případě potřeby můžete tento interval pomocí této možnosti změnit. Pro definování můžete použít také CRON výraz. · Certifikát – certifikát, který používá ERA Agent pro ověření zabezpečeného spojení. Více informací naleznete v kapitole Klientské certifikáty. Aktualizace · Interval aktualizace – interval, ve kterém ERA Server bude kontrolovat dostupnost aktualizací. Použít můžete celé
číslo nebo CRON výraz. · Aktualizační server – server, ze kterého si bude ERA Server stahovat programové moduly. · Typ aktualizace – vyberte jaký druh aktualizací má ERA Server stahovat. Testovací aktualizace jsou otestované
vývojové aktualizace, které budou později dostupné jako standardní. Výhodou těchto aktualizací je, že nabízejí rychlý přístup k nejnovějším metodám detekce a různým opravám. Nicméně testovací aktualizace představují riziko nestabilního chování počítače. Proto je NEDOPORUČUJEME instalovat na produkční počítače. 87
Rozšířená nastavení · Proxy server – definujte proxy server, prostřednictvím kterého bude ERA přistupovat do internetu. · Funkce probudit – v případě potřeby změňte porty používané pro vzdálenou inicializaci připojení ERA Agenta k
serveru. Standardně se používají porty 1237 a 1238. · Kompatibilita – ERA Agent komunikuje se staršími verzemi produktů (ESET Endpoint v5, ESET NOD32 Antivirus 4 BE) standardně na portu 2225. Pokud z nějakého důvodu potřebujete tento port změnit, můžete to provést pomocí tohoto nastavení. Následně bezpečnostní produkt ESET nasměrujte na localhost a vámi definovaný port. · Operační systém – v této části naleznete nastavení související s reportováním dat z operačního systému. · Repozitář – adresa repozitáře, ve kterém se nacházejí instalační balíčky. Poznámka: Výchozí hodnota je AUTOSELECT. · Diagnostika – v této části můžete aktivovat/vypnout odesílání informací o pádech ERA Serveru do společnosti ESET. · Protokolování – v této části nastavíte úroveň, od které se mají události zaznamenávat do protokolů. Pokud vyberte
možnost Trace, do protokolu se zapíší veškeré informace. Při výběru možnosti Kritické budou do protokolu zapisovány pouze chybové informace. Výchozí hodnota je Varování. Protokoly naleznete ve složce: C: \ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs, případně /var/log/eset/ RemoteAdministrator/Server/. · Nastavení – na Windows můžete agenta ochránit heslem a zabránit tomu, aby nepovolaná osoba nemohla ERA Agenta odinstalovat. Pokud heslo nastavíte, zapamatujete si jej! DŮLEŽITÉ: Pokud heslo zapomenete a již nebude ERA Agent vzdáleně spravován z ERA, nebudete schopni agenta odinstalovat ani opravit.
5.5.2.4.1 Úpravu intervalu připojení Na následujícím příkladu si ukážeme, jak vytvořit politiku pro ERA Agenta a upravit jeho interval připojení k ERA Serveru. Interval doporučujeme změnit v průběhu testování produktu a hromadného nasazení. 1. Vytvořte novou statickou skupinu. 2. Pro vytvoření nové politiky přejděte v hlavním menu na záložku Administrace > Politiky a klikněte na tlačítko Politiky > Nová....
88
Obecné Nejprve zadejte Název nové politiky (například Interval připojení agenta). Pole Popis je nepovinné. Nastavení Dále z rozbalovacího menu Produkt vyberte ESET Remote Administrator Agent.
Připojení Na záložce Připojení klikněte na možnost Změnit interval. Pomocí příznaku můžete ovlivnit, jak se má dané nastavení zpracovat.
89
Do pole Pravidelný interval zadejte vámi požadovaný interval (pro testování doporučujeme 60 sekund) a klikněte na tlačítko Uložit.
Po dokončení konfigurace přiřaďte politiku statické skupině, kterou jste si vytvořili v kroku 1. Na konci testování vraťte interval na původní hodnotu, tedy 20 minut. V takovém případně přejděte na záložku Administrace > Politiky, v seznamu najděte politiku Interval připojení agenta a vyberte možnost Změnit.
90
5.5.2.4.2 Vytvoření politiky pro ERA Agenta, aby se připojoval na nový ERA Server Pokud jste zprovoznili nový ERA Server a chcete, aby se stávající stanice připojovaly na nový server, musíte prostřednictvím politiky provést odpovídající změny v nastavení ERA Agenta. Níže uvádíme příklad, jak toto provést. Pro vytvoření nové politiky přejděte v hlavním menu na záložku Administrace > Politiky, klikněte na tlačítko Politiky a vyberte možnost Nová.... Obecné Nejprve zadejte název nové politiky, volitelně její popis. Nastavení Dále z rozbalovacího menu Produkt vyberte ESET Remote Administrator Agent, pro který chcete vytvořit politiku. V konfigurační šabloně přejděte na záložku Připojení a klikněte na Změnit seznam serverů na řádku Připojovat se k těmto serverům.
V zobrazeném dialogovém okně klikněte na tlačítko Přidat a zadejte název nebo IP adresu serveru, na kterém máte nainstalovaný nový ERA Server. Port pro komunikaci je standardně předvyplněn. Pokud jste jej neměnili, ponechte tedy výchozí hodnotu 2222.
91
Pokud jste upravovali stávající politiku a máte v seznamu více záznamů, prostřednictvím šipek můžete ovlivnit prioritu jednotlivých serverů. Ujistěte se, že nově přidaný server je na začátku seznamu akci dokončete kliknutím na tlačítko Uložit. Přiřadit V této části vyberte cíl (počítač, mobilní zařízení nebo skupinu), kterému chcete danou politiku přiřadit.
Po kliknutí na tlačítko Přiřadit se zobrazí dialogové okno se všemi statickými i dynamickými skupinami. Vyberte požadovaný cíl a klikněte na tlačítko OK.
92
Přehled Zkontrolujte, zda nastavení odpovídá vašim potřebám a politiku uložte kliknutím na tlačítko Dokončit.
5.5.2.4.3 Vytvoření politiky pro ochranu odinstalace ERA Agenta Níže uvádíme příklad, jak vytvořit novou politiku pro ERA Agenta, prostřednictvím které nastavíte heslo pro zabránění jeho neoprávněné odinstalace. Více informací o této funkci naleznete v kapitole ochrana heslem. Obecné Nejprve zadejte název nové politiky, volitelně její popis. Nastavení Dále z rozbalovacího menu Produkt vyberte ESET Remote Administrator Agent, pro který chcete vytvořit politiku. V konfigurační šabloně přejděte na záložku Rozšířená nastavení > Nastavení a zadejte heslo, kterým chcete ERA Agenta chránit. DŮLEŽITÉ: Mějte na paměti, že pokud toto heslo zapomenete, nebudete schopni odinstalovat ERA Agenta z daného počítače. Heslo, které nastavíte, si zapamatujte nebo uložte na bezpečné místo! Přiřadit V této části vyberte cíl (počítač, mobilní zařízení nebo skupinu), kterému chcete danou politiku přiřadit.
93
Po kliknutí na tlačítko Přiřadit se zobrazí dialogové okno se všemi statickými i dynamickými skupinami. Vyberte požadovaný cíl a klikněte na tlačítko OK.
Přehled Zkontrolujte, zda nastavení odpovídá vašim potřebám a politiku uložte kliknutím na tlačítko Dokončit.
5.5.2.5 Ochrana ERA Agenta heslem ERA Agent je vybaven ochranným mechanismem, který: · · · ·
zajišťuje ochranu záznamů ERA Agenta v registru (HIPS), znemožňuje změnu, nahrazení nebo odstranění souborů ERA Agenta (HIPS), brání v ukončení procesu ERA Agenta, znemožňuje zastavení, pozastavení, ukončení nebo odinstalování služby ERA Agenta. Poznámka: Pro zajištění úplné ochrany musí být na koncové stanici nainstalován bezpečnostní produkt ESET (například ESET Endpoint Security) a musí mít být aktivní modul HIPS.
94
Ochrana heslem Stejně jako bezpečnostní produkt ESET, také nastavení ERA Agenta můžete ochránit heslem a zabránit tak jeho neoprávněnému odinstalování. Tuto dodatečnou ochranu nastavíte prostřednictvím politiky pro ERA Agenta. Mějte na paměti, že tato možnost se aplikuje pouze pro ERA Agenty nainstalované na OS Windows.
5.5.2.6 Řešení problémů – nasazení ERA Agenta Pokud vzdálená instalace ERA Agenta nebyla úspěšná, postupujte podle následujících kroků pro zjištění a odstranění příčiny selhání instalace. Protože existuje mnoho důvodů, proč k situaci došlo, v této kapitole si ukážeme: o Kde získat chybové hlášení související s nepodařenou instalací, o Kde zjistit možné příčiny chyby, o Jak příčinu odstranit. Windows 1. Pro zjištění příčiny neúspěšného nasazení ERA Agenta přejděte v hlavním menu na záložku Přehledy > Automatizace, vyberte přehled Informace o úlohách nasazení ERA Agenta za posledních 30 dní a klikněte na tlačítko Vygenerovat.... Následně se zobrazí tabulka s výpisem všech úloh a informacemi o nasazení ERA Agenta. Ve sloupci Průběh/Detaily/Chybová zpráva naleznete důvod neúspěšné instalace. Pokud potřebujete detailní informace, změňte úroveň protokolování. Pro změnu přejděte v hlavním menu ERA Web Console na záložku Administrace > Nastavení serveru > Rozšířená nastavení > Protokolování a z rozbalovacího menu vyberte položku Chyby. Následně znovu spusťte úlohu nasazení ERA Agenta, vyčkejte na selhání instalace a podívejte se do ERA Server trace protokolu na nejnovější záznamy pro zjištění příčiny selhání. V některých případech přímo v protokolu naleznete informace vedoucí k odstranění problému. Protokoly naleznete ve složce: ERA Server
C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs\trace.log /var/log/eset/RemoteAdministrator/Server/trace.log
ERA Agent
C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\trace.log C:\Documents and Settings\All Users\Application Data\ESET\RemoteAdministrator\Agent \EraAgentApplicationData\Logs\trace.log /var/log/eset/RemoteAdministrator/Agent/trace.log /Library/Application Support/com.eset.remoteadministrator.agent/Logs/
Poznámka: Změna protokolování na úroveň trace vyžaduje restart služby ESET Remote Administrator Server. Po aktivaci se začnou ve stejné složce jako trace.log vytvářet soubory traceAll bez přípony. Pokud se ERA Agent nepřipojuje k serveru, přejděte do kapitoly Co dělat, když agent nekomunikuje. Pokud instalace selže, například z důvodu chyby 1603, na klientské stanici najděte instalační protokol ra-agentinstall.log. Umístěn bude ve složce: C:\Users\%user%\AppData\Local\Temp\ra-agent-install.log
95
2. V následující tabulce jsou uvedeny možné příčiny neúspěšné instalace: Chybová zpráva
Nelze se připojit
Možné důvody Tato chybová zpráva může poukazovat na následující problémy: · Klient není v síti dosažitelný · Nelze přeložit název klienta · Firewall blokuje komunikaci · Porty 2222 a 2223 nejsou ve firewallu otevřeny (odchozí na straně klienta, příchozí na straně serveru) · Není použit platný FQDN název počítače · Není aktivní sdílení souborů a tiskáren · Příchozí komunikace na portech 135, 137, 138, 139 a 445 není povolena ve firewallu · Pokud je server i stanice připojena do domény, zadejte údaje doménového · ·
Přístup odepřen
Balíček nenalezen v repozitáři
· · · · · · · · ·
administrátora v plném tvaru, tedy ve formátu doména\uživatel Pokud je server i stanice připojena do domény, můžete službu ERA Serveru dočasně spustit pod účtem doménového administrátora Pokud nasazujete ze serveru, který je v jiné doméně, na cílové stanici deaktivujte vzdálené řízení uživatelských účtů (https://support.microsoft.com/en-us/ kb/951016) Pokud nasazujete ze serveru, který je v jiné doméně, použijte lokální administrátorský účet Účet administrátora nemá nastaveno heslo Nedostatečná přístupová oprávnění Administrativní sdílení ADMIN$ nejsou dostupná Administrativní sdílení IPC$ nejsou dostupná Je aktivní zjednodušené sdílení Neplatný odkaz na repozitář Repozitář není dostupný V repozitáři se nenachází požadovaný balíček
3. Na základě zjištěné příčiny odstraňte problém znemožňující instalaci: o Klient není v síti dosažitelný – vyzkoušejte z ERA Serveru ping na danou stanici, zda odpovídá; zkuste se vzdáleně připojit (například vzdálenou plochou). o Nelze přeložit název klienta – problém související s DNS můžete v některých případech identifikovat pomocí následujících kroků: Do příkazového řádku na klientovi zadejte příkaz nslookup a doplňte jej o IP adresu nebo název serveru. Výsledek by se měl shodovat s informacemi zobrazenými po zadání příkazu ipconfig na serveru. Tedy po zadání příkazu nslookup a názvu serveru byste měli získat IP adresu serveru. Pro dokončení ověření správně nakonfigurované sítě proveďte ze serveru příkaz nslookup s dotazem na klienta, na kterého se nedaří vzdáleně nainstalovat ERA Agenta. Ručně ověřte, zda v DNS záznamech nemáte duplicitní záznamy. o Firewall blokuje komunikaci – zkontroluje nastavení Brány Windows Firewall na straně klienta i serveru, případně firewall třetí strany (pokud je nainstalován). o Porty 2222 a 2223 nejsou ve firewallu otevřeny – viz výše. Ujistěte se, zda máte ve firewallu (na klientovi i serveru) otevřeny potřebné porty. o Účet administrátora nemá nastaveno heslo – nastavte heslo pro účet administrátora (nepoužívejte prázdné heslo) o Nedostatečná přístupová oprávnění – při vytváření úlohy pro nasazení ERA Agenta zkuste použít přihlašovací údaje doménového administrátora. Pokud je klientská stanice v pracovní skupině, použijte lokální účet administrátora.
96
Poznámka: Na nejnovějších operačních systémech Windows (Windows 7 a výše) musí být pro spuštění instalace ERA Agenta aktivován lokální účet Administrator a musí mít nastavené heslo. Pro aktivaci účtu administrátora postupujte podle následujících kroků: 1. otevřete příkazový řádek s oprávněním administrátora 2. zadejte příkaz: net user administrator /active:yes
o Administrativní sdílení ADMIN$ nejsou dostupná – klientská stanice musí mít povoleno sdílení zdroje ADMIN$. Pro ověření, zda je sdílení povoleno klikněte na Start > Ovládací panely > Nástroje pro správu > Správa počítače > Sdílené složky > Sdílené složky. o Administrativní sdílení IPC$ nejsou dostupná – na klientovi si otevřete příkazový řádek a zadáním níže uvedeného příkazu ověřte, zda může využívat IPC: net use \\nazev_klienta\IPC$
kde nazev_klienta je název cílové stanice o Je aktivní zjednodušené sdílení – pokud se vám zobrazila zpráva "Přístup odepřen" a provozujete smíšené prostředí domény a pracovní skupiny, deaktivujte možnost Používat zjednodušené sdílení (Windows XP) resp. Používat průvodce sdílením (Windows Vista a novější) na počítačích, na které se nedaří vzdáleně nainstalovat ERA Agenta. Na Windows 7 změnu provedete pomocí následujících kroků: Klikněte na tlačítko Start, do vyhledávací pole zadejte výraz složky a z dostupných možností vyberte Možnosti složky. V zobrazeném dialogovém okně přejděte na záložku Zobrazení a v sekci Upřesnit nastavení odškrtněte možnost Používat průvodce sdílením. o Neplatný odkaz na repozitář – v hlavním menu ERA Web Console přejděte na záložku Administrace > Nastavení serveru. V sekci Rozšířená nastavení > Repozitář se ujistěte, zda máte zadanou správnou adresu k repozitáři. Výchozí hodnota je AUTOSELECT. o V repozitáři se nenachází požadovaný balíček – tato zpráva se obvykle zobrazí v případě, kdy se není možné připojit do ERA repozitáře. Zkontrolujte připojení k internetu. Linux a OS X Pokud se nepodařilo ERA Agenta nasadit na Linux nebo OS X, obvykle problém souvisí s SSH. Ujistěte se, zda na klientovi běží SSH dameon.
5.5.2.7 Řešení problémů – ERA Agent se nepřipojuje Pokud se klient po nainstalování ERA Agenta stále nepřipojuje k ERA serveru, je potřeba příčinu problému hledat na klientské stanici. Mějte na paměti, že ERA Agent se standardně připojuje k ERA serveru každou minutu. Buďte tedy trpěliví. V případě potřeby může interval snížit prostřednictvím politiky pro ERA Agenta. Protokoly, které vám usnadní diagnostiku naleznete na klientovi ve složce: Windows
C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs C:\Documents and Settings\All Users\Application Data\ESET\RemoteAdministrator\Agent \EraAgentApplicationData\Logs
Linux
/var/log/eset/RemoteAdministrator/Agent/ /var/log/eset/RemoteAdministrator/EraAgentInstaller.log
OS X
/Library/Application Support/com.eset.remoteadministrator.agent/Logs/ /Users/%user%/Library/Logs/EraAgentInstaller.log
97
Poznámka: Změna protokolování na úroveň trace vyžaduje restart služby ESET Remote Administrator Server. Po aktivaci se začnou ve stejné složce jako trace.log vytvářet soubory traceAll bez přípony. · · · ·
last-error.html – protokol (tabulka) souhrnně zobrazující poslední zaznamenané chyby běhu agenta. software-install.log – textový protokol poslední úlohy vzdálené instalace, kterou agent provedl. status.html – tabulka ukazující aktuální stav komunikace (synchronizace) agenta s ERA serverem. trace.log – podrobný protokol zahrnující veškeré činnosti i chyby agenta.
Nejčastější důvody, proč se agent nedokáže spojit s ERA serverem, jsou následující: · Chybně nakonfigurovaná síť. Ujistěte se, že je ERA Server z cílového počítače dosažitelný. · ERA server nenaslouchá na portu 2222, případně vámi definovaném. · DNS nepracuje správně nebo nemáte na firewallu povoleny všechny potřebné porty – ověřte, zda máte povoleny všechny porty, které používá ESET Remote Administrator. Seznam všech portů pro všechny produkty ESET, které je potřeba mít povoleny naleznete v Databázi znalostí. · Chybně vygenerovaný certifikát s nesprávnými či neúplnými údaji, které neodpovídají veřejnému klíči certifikační autority ERA serveru – pro vyřešení vygenerujte nový certifikát ERA Agenta nebo ERA Serveru.
5.5.3 Praktické scénáře nasazení ERA Agenta V následujících kapitolách máme připraveny scénáře pro nasazení ERA Agenta. Scénář č.1 – nasazení agenta z ERA virtuální appliance nebo ERA serveru provozovaného na linuxu na Windows cíle nepřipojené do domény. Scénář č.2 – nasazení agenta z ERA serveru provozovaného na Windows serveru na Windows cíle nepřipojené do domény. Scénář č.3 – nasazení agenta z ERA virtuální appliance nebo ERA serveru provozovaného na linuxu na Windows cíle připojené do domény. Scénář č.4 – nasazení agenta z ERA serveru provozovaného na Windows serveru na Windows cíle připojené do domény.
5.5.3.1 Předpoklady pro nasazení ERA Agenta v ne-doménovém prostředí V této kapitole máme uvedeny předpoklady, které je nutné splnit pro úspěšné nasazení ERA Agenta (z virtuální appliance nebo ERA Serveru provozovaného na Linuxu či Windows) na Windows cíl, který není v doméně. Předpoklady: · Server i cílová stanice jsou ve stejné síti. · Funkční překlad FQDN jmen, příklad: desktop-win7.test.local se přeloží na 192.168.1.20 a opačně.
Cílové stanice: Windows 10 Enterprise Windows 8.1 Enterprise Windows 7 Enterprise
98
1. Vytvořte na cílové stanici nový uživatelský účet (například Admin), který je členem skupiny Administrators a opatřete jej heslem. To můžete provést pomocí následujících kroků: a. Otevřete si Microsoft Management Console. To provedete například stisknutím kláves Win + R a zadáním příkazu "mmc". b. V hlavním menu klikněte na Soubor > Přidat nebo odebrat moduly snap-in a přidejte modul Místní uživatelé a skupiny. c. Ve stromové struktuře klikněte na položku Uživatelé a vyberte možnost Nový uživatel.... d. Vyplňte požadované údaje a nezapomeňte na heslo! e. Klikněte na vytvořeného uživatele a vyberte možnost Vlastnosti. f. Přejděte na záložku Je členem a přidejte skupinu Administrators. 2. Nastavte síť jako privátní. a. V centru sítí a sdílení klikněte na ikonu Veřejná síť a změňte ji na Privátní síť. 3. V privátní síti vypněte bránu Windows Firewall a. Otevřete si Ovládací panely > Brána Windows Firewall. b. Vyberte možnost Zapnout nebo vypnout bránu Windows Firewall. c. Následně vypněte firewall v privátní/domácí síti. 4. Povolte sdílení souborů a tiskáren v privátních sítích. a. V centru sítí a sdílení klikněte na možnost Změnit pokročilé nastavení sdílení. b. V privátním profilu ověřte, že je povoleno sdílení souborů a tiskáren. 5. Přidejte do registru klíč "LocalAccountTokenFilterPolicy". a. Otevřete si editor registru. To provedete například stisknutím kláves Win + R a zadáním příkazu "regedit". b. Přejděte do větve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System c. V hlavním menu klikněte na Úpravy > Nový > DWORD hodnota. d. Jako název zadejte LocalAccountTokenFilterPolicy a hodnotu nastavte na 1. 6. Přidejte do ERA Web Console počítač pod FQDN jménem nebo IP adresou. Následně vytvořte novou serverovou úlohu pro nasazení ERA Agenta. 7. Zadejte lokální uživatelský účet s administrátorským oprávněním a heslo (bez domény nebo názvu počítače). 8. Volitelně zadejte FQDN nebo IP adresu ERA Serveru. 9. Vyberte certifikát ERA Agenta. 10. Spusťte úlohu. Pro Windows XP Professional
99
1. Vytvořte na cílové stanici nový uživatelský účet (například Admin), který je členem skupiny Administrators a opatřete jej heslem. To můžete provést pomocí následujících kroků: a. Otevřete si Microsoft Management Console. To provedete například stisknutím kláves Win + R a zadáním příkazu "mmc". b. V hlavním menu klikněte na Soubor > Přidat nebo odebrat moduly snap-in a přidejte modul Místní uživatelé a skupiny. c. Ve stromové struktuře klikněte na položku Uživatelé a vyberte možnost Nový uživatel.... d. Vyplňte požadované údaje a nezapomeňte na heslo! e. Klikněte na vytvořeného uživatele a vyberte možnost Vlastnosti. f. Přejděte na záložku Je členem a přidejte skupinu Administrators. 2. Vypněte bránu firewall systému Windows. a. Otevřete si Ovládací panely > Brána firewall systému Windows. b. Na záložce Obecné vyberte možnost Vypnuto. c. Na záložce Výjimky povolte Sdílení souborů a tiskáren. 3. Upravte způsob ověřování lokálních účtů. a. Otevřete si Místní zásady zabezpečení. To provedete například stisknutím kláves Win + R a zadáním příkazu "secpol.msc". b. Ve stromové struktuře přejděte do větve Místní zásady > Možnosti zabezpečení. c. Klikněte na Přístup k síti: Model sdílení a zabezpečení a vyberte možnost Vlastnosti. d. Z rozbalovacího menu vyberte možnost Klasický - místní uživatelé jsou ověřováni jak oni sami. 4. Přidejte do ERA Web Console počítač pod FQDN jménem nebo IP adresou. Následně vytvořte novou serverovou úlohu pro nasazení ERA Agenta. 5. Zadejte lokální uživatelský účet s administrátorským oprávněním a heslo (bez domény nebo názvu počítače). 6. Volitelně zadejte FQDN nebo IP adresu ERA Serveru. 7. Vyberte certifikát ERA Agenta. 8. Spusťte úlohu.
5.5.3.2 Předpoklady pro nasazení ERA Agenta v doménovém prostředí V této kapitole máme uvedeny předpoklady, které je nutné splnit pro úspěšné nasazení ERA Agenta (z virtuální appliance nebo ERA Serveru provozovaného na Linuxu či Windows) na Windows cíl, který je v doméně. Předpoklady: · · · ·
Server i cílová stanice jsou ve stejné síti. Funkční překlad FQDN jmen, příklad: desktop-win10.era.local se přeloží na 10.0.0.2 a opačně. Vytvořená doména (příklad: "era.local") se správně nastaveným netbios jménem (příklad "ERA"). Uživatelský účet doménového administrátora (DomainAdmin), který je na doménovém řadiči členem bezpečnostní skupiny "Domain Admins". · Stanice připojené do domény ("era.local") prostřednictvím účtu doménového administrátora. Tento uživatelský účet je zároveň členem skupiny Administrator (Windows 10, 8.1, 7) nebo Standard user (power user na Windows XP). · Doménový administrátor se musí být schopen přihlásit na každou stanici a provádět na nich úlohy. · Na Windows spusťte službu ERA Server dočasně pod účtem doménového administrátora (domena \DomainAdmin). Následně můžete službu spustit jako NetworkService. Na linuxu není potřeba provádět žádné změny. Cílové stanice:
100
Windows 10 Enterprise Windows 8.1 Enterprise Windows 7 Enterprise 1. Nastavte síť jako privátní. a. V centru sítí a sdílení klikněte na ikonu Veřejná/Privátní síť a změňte ji na Doménová síť. 2. V doménové síti vypněte bránu Windows Firewall a. Otevřete si Ovládací panely > Brána Windows Firewall. b. Vyberte možnost Zapnout nebo vypnout bránu Windows Firewall. c. Následně vypněte firewall v doménové síti. 3. Povolte sdílení souborů a tiskáren v privátních sítích. a. V centru sítí a sdílení klikněte na možnost Změnit pokročilé nastavení sdílení. b. V privátním profilu ověřte, že je povoleno sdílení souborů a tiskáren. 4. Přidejte do ERA Web Console počítač pod FQDN jménem nebo IP adresou, případně využijte synchronizaci s Active Directory 5. Vytvořte novou serverovou úlohu pro nasazení ERA Agenta. 6. Zadejte doménový účet ve tvaru "domena\DomainAdmin. 7. Volitelně zadejte FQDN nebo IP adresu ERA Serveru. 8. Vyberte certifikát ERA Agenta. 9. Spusťte úlohu. Pro Windows XP Professional 1. Vypněte bránu firewall systému Windows. a. Otevřete si Ovládací panely > Brána firewall systému Windows. b. Na záložce Obecné vyberte možnost Vypnuto. c. Na záložce Výjimky povolte Sdílení souborů a tiskáren. 2. Přidejte do ERA Web Console počítač pod FQDN jménem nebo IP adresou, případně využijte synchronizaci s Active Directory. 3. Vytvořte novou serverovou úlohu pro nasazení ERA Agenta. 4. Zadejte doménový účet ve tvaru "domena\DomainAdmin. 5. Volitelně zadejte FQDN nebo IP adresu ERA Serveru. 6. Vyberte certifikát ERA Agenta. 7. Spusťte úlohu.
101
5.5.4 Instalace bezpečnostního produktu ESET Bezpečnostní produkt ESET můžete nainstalovat vzdáleně na počítač prostřednictvím klientské úlohy. Pro její vytvoření přejděte v hlavním menu na záložku Administrace > Klientské úlohy, vyberte úlohu Operační systém > Instalace aplikace a klikněte na tlačítko Nová.... V tomto příkladu si ukážeme jak vytvořit úlohu Instalace aplikace a odeslat ji klientům. Cílem je nainstalovat ESET Endpoint Security na vybrané klienty ihned poté, co se připojí k ERA Serveru. Poznámka: Informace o provedení úlohy naleznete na záložce Administrace > Klientské úlohy. Aktuální stav úlohy zjistíte snadno díky ukazateli průběhu.
Obecné Nejprve zadejte Název úlohy (například Instalace EES) a jako Typ úlohy vyberte Instalace klienta. Pole Popis je nepovinné. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
102
Nastavení Klikněte na
a vyberte vhodnou licenci pro aktivaci produktu nainstalovaného na cílovém zařízení. Odsouhlaste licenční ujednání koncového uživatele. Pro více informací přejděte do kapitoly Správa licence a EULA. Klikněte na a instalační balíček vyberte z repozitáře nebo zadejte konkrétní URL k instalačnímu balíčku (například http://download.eset.com/download/win/ees/ees_nt64_enu.msi). Poznámka: Mějte na paměti, že ERA Server i ERA Agent potřebuje přístup k internetu, aby si mohl stáhnout balíček z online repozitáře ESET. V opačném případě budete schopni instalovat pouze z lokální sítě. Pokud vyberete možnost Instalovat balíček z URL, adresu zadávejte ve tvaru: http://adresa_serveru/balicek.msi – pokud instalujete z veřejného serveru nebo máte v síti vlastní HTTP server, file://\\unc_cesta\balicek.msi – pokud instalujete ze síťového úložiště, file://C:\installs\balicek.msi – pokud je instalační balíček na klientské stanici, na které úlohu chcete spustit. V případě potřeby můžete zadat parametry instalace, jinak ponechte toto pole prázdné. Pokud chcete vynutit restart operační systému, pokud jej instalace vyžaduje, vyberte možnost Automaticky restartovat, když je potřeba. Necháte-li tuto možnost neaktivní, rozhodnutí o restartu je na uživateli počítače.
103
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
5.5.4.1 Instalace prostřednictvím příkazového řádku Níže uvedená nastavení je možné použít pouze v případě, kdy je grafické rozhraní MSI instalátoru spuštěno v některém z omezených režimů. Pro více informací, jaké přepínače podporuje konkrétní verze msiexec se podívejte do dokumentace Windows Installeru. APPDIR="<path>" • cesta – platná cesta ke složce • Složka, do které se aplikace nainstaluje. • Příklad: ees_nt64_ENU.msi /qn APPDIR=C:\ESET\
ADDLOCAL=DocumentProtection
APPDATADIR="<path>" • cesta – platná cesta ke složce • Složka, do které se nainstalují datové soubory aplikace.
104
MODULEDIR="<path>" • cesta – platná cesta ke složce • Složka, do které se nainstalují moduly aplikace. ADDLOCAL="<list>" • Komponenty k instalaci – seznam volitelných funkcí, které je možné nainstalovat. • Příklad použití v ESET .msi balíčku: ees_nt64_ENU.msi /qn ADDLOCAL=<list> • Pro více informací přejděte do databáze znalostí společnosti Microsoft: http://msdn.microsoft.com/en-us/library/ aa367536%28v=vs.85%29.aspx ADDEXCLUDE="<list>" • Komponenty, které nechcete instalovat. Nahrazuje parametr REMOVE ze starších verzí. • Příklad použití v ESET .msi balíčku: ees_nt64_ENU.msi /qn ADDEXCLUDE=Firewall,Network Poznámka: Parametr ADDEXCLUDE nemůžete použít společně s parametrem ADDLOCAL.
Pravidla o ADDLOCAL seznam všech komponent musí být oddělen čárkou. o Po vybrání podřízené komponenty musíte specifikovat také nadřazenou komponentu. o Pro správné použití si prohlédněte sekci Další pravidla, kterou naleznete níže. Vyžadováno o Povinná – tato komponenta musí být vždy nainstalována o Volitelná – instalaci těchto komponent můžete zrušit o Neviditelná – povinná součást pro nadřazené komponenty o Rozcestník – součást, který nemá vliv na produkt, pouze seskupuje více komponent Níže uvádíme seznam komponent produktu ESET Endpoint: Strom funkcí
Název komponenty
Vyžadováno
Počítač Počítač / Antivirus a antispyware Počítač / Antivirus a antispyware > Rezidentní ochrana souborového systému Počítač / Antivirus a antispyware > Kontrola počítače Počítač / Antivirus a antispyware > Ochrana dokumentů Počítač / Správa zařízení Síť Síť / Personální firewall Web a mail Web a mail / Filtrování protokolů Web a mail / Ochrana přístupu na web Web a mail / Ochrana poštovních klientů Web a mail / Ochrana poštovních klientů / Poštovní doplněk Web a mail / Ochrana poštovních klientů / Antispamová ochrana Web a mail / Filtrování obsahu webu Aktualizační mirror Podpora Microsoft NAP
Computer Antivirus RealtimeProtection
Povinná Povinná Povinná
Scan Document protection DeviceControl Network Firewall WebAndEmail ProtocolFiltering WebAccessProtection EmailClientProtection MailPlugins
Povinná Volitelná Volitelná Rozcestník Volitelná Rozcestník Neviditelná Volitelná Volitelná Neviditelná
Antispam
Volitelná
WebControl UpdateMirror MicrosoftNAP
Volitelná Volitelná Volitelná
Další pravidla
105
o Pokud se rozhodnete pro jakoukoli součást WebAndEmail, musíte specifikovat také neviditelnou položku ProtocolFiltering. o Pokud se rozhodnete pro součást EmailClientProtection, musíte specifikovat také neviditelnou položku MailPlugins. Příklady: ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,EmailClientProtection,Antispam,MailPlugins
Seznam CFG_ parametrů: CFG_POTENTIALLYUNWANTED_ENABLED=1/0 • 0 – Vypnuto, 1 – Zapnuto • Zapnutí detekce potenciálně nechtěných aplikací. CFG_LIVEGRID_ENABLED=1/0 • 0 – Vypnuto, 1 – Zapnuto • Aktivace zapojení do systému včasného varování ESET LiveGrid. CFG_FIRSTSCAN_ENABLE=1/0 • 0 – Vypnuto, 1 – Zapnuto • Naplánovat spuštění prvotní kontroly po dokončení instalace. CFG_EPFW_MODE=0/1/2/3 • 0 – Automatický, 1 – Interaktivní, 2 – Administrátorský, 3 – Učící • Režim spuštění Personálního firewallu. CFG_EPFW_PROXY_ENABLED=1/0 • 0 – Vypnuto, 1 – Zapnuto CFG_PROXY_ENABLED=0/1 • 0 – Vypnuto, 1 – Zapnuto CFG_PROXY_ADDRESS= • IP adresa proxy serveru. CFG_PROXY_PORT=<port> • Port proxy serveru. CFG_PROXY_USERNAME="<user>" • Uživatelské jméno pro autentifikaci. CFG_PROXY_PASSWORD="<pass>" • Heslo pro autentifikaci.
5.5.4.2 Seznam chybových zpráv při instalaci · Instalační balíček nebyl nalezen. · Je vyžadována novější verze Windows Installer Service. · Nainstalovaná je jiná verze produktu nebo konfliktní aplikace. · Již probíhá jiná instalace. Před pokračováním dokončete tuto instalaci. · Instalace nebo odinstalace byla úspěšně dokončena, ale je vyžadován restart. · Úloha selhala z důvodu výskytu chyby. Otevřete si trace log ERA Agenta a najděte návratový kód instalátoru.
106
5.5.5 Desktop Provisioning Seznam podporovaných desktop provisioning prostředí naleznete v této kapitole.
5.6 Další kroky Po provedení prvotních kroků doporučujeme věnovat pozornost níže uvedeným akcím: Vytvořte a upravte skupiny Doporučujeme seskupit klienty do skupin, statických nebo dynamických na základě mnoha kritérií. To vám usnadní správu klientů a pomůže vám udržet přehled o vaší síti. Vytvořte novou politiku Politiky představují účinný nástroj, pokud chcete na klientech vynutit specifickou konfiguraci bezpečnostního produktu ESET. Pomocí politik nemusíte jednotlivé produkty ESET konfigurovat ručně, ale konfiguraci vynutíte hromadně na všech klientech. Po vytvoření nové politiky s vlastní konfigurací ji můžete přiřadit skupině (statické nebo dynamické) a politika se aplikuje na všechny počítače v dané skupině. Přiřaďte politiku skupině Jak je uvedeno výše, aby byly vytvořené politiky platné, je nutné ji přiřadit skupině. Politika se aplikuje na všechny počítače ve vybrané skupině ve chvíli, kdy se ERA Agent připojí k ERA Serveru. Nastavte si upozornění na důležité změny v sítí a vytvořte si vlastní přehledy Pro zajištění dokonalého přehledu o klientských stanicích a stavu vaší sítě doporučujeme nastavit si upozornění na důležité incidenty v síti. Tato upozornění si můžete nechat zasílat například na e-mail nebo si je zobrazit v přehledech.
107
6. Správa mobilních zařízení (MDM) Prostřednictvím ESET Remote Administrator můžete kromě klientských stanic a serverů vzdáleně spravovat také mobilní zařízení. Mobile Device Connector je samostatná komponenta ERA infrastruktury, která umožňuje registraci a konfiguraci mobilních zařízení. Postupujte podle následujících kroků, abyste mohli z webové konzole ERA spravovat mobilní zařízení: 1. Nainstalujte Mobile Device Connector (MDC). Tuto komponentu můžete nainstalovat rovnou prostřednictvím allIn-one instalačního balíčku nebo jako samostatně, ať již na Windows nebo Linux. Před instalací se ujistěte, zda splňujete všechny požadavky. Poznámka: Pokud nainstalujete MDC prostřednictvím all-in-one instalačního balíčku, HTTPS certifikát používaný pro ověření komunikace s mobilními zařízeními se vygeneruje automaticky. Pokud budete tuto komponentu instalovat samostatně, musíte mít vytvořen HTTPS certifikát. Pokud chcete MDC nainstaloval prostřednictvím all-in-one balíčku, ale používat vlastní HTTP certifikát, změňte jej po dokončení instalace prostřednictvím politiky pro MDC. 2. Aktivujte ERA MDC prostřednictvím klientské úlohy na aktivaci produktu. Jedná se o stejný postup jako v případě aktivace bezpečnostního produktu, pouze vám v tomto případě nebude odečtena žádná jednotka z licence. Poznámka: Pokud budete spravovat pouze zařízení s OS Android, přejděte rovnou na krok číslo 6. 3. Doporučujeme načíst do ERA všechny uživatele z adresářového serveru (například Active Directory). To provedete prostřednictvím úlohy synchronizace uživatelů a následně můžete uživatele detailně spravovat. 4. Vytvořte APN certifikát, který budete používat pro registraci iOS zařízení. 5. Vytvořte novou politiku pro ESET Mobile Device Connector a nastavte této komponentě, aby používala vygenerovaný APNS certifikát podepsaný společností Apple. 6. Prostřednictvím klientské úlohy zaregistrujte mobilní zařízení. To můžete provést například přímo ze záložky Počítače nebo Skupiny, kde klikněte na Přidat nové > Mobilní zařízení. 7. Aktivujte ESET Endpoint Security pro Android prostřednictvím klientské úlohy na aktivaci produktu a použijte licenci, kterou můžete aktivovat mobilní zařízení (například Office Secure). 8. V případě potřeby upravte atributy uživatelů a přiřaďte jim konkrétní mobilní zařízení. 9. Nyní můžete jednotlivým zařízení přiřazovat politiky. Například vytvořte politiku, která automaticky uživateli nastaví Exchange ActiveSync účet na jeho iOS zařízení. Využívat můžete také restrikce nebo vzdáleně konfigurovat nastavení Wi-Fi. · Pokud jste zařízení zformátovali, použijte možnost pro opětovné zaregistrování zařízení (v kontextovém menu
vyberte Mobil > Přeregistrovat) a uživatele zašlete nový registrační odkaz. · Pokud jste zařízení vyřadili, zašlete na něj klientskou úlohu pro Ukončení správy (odinstalování ERA Agenta).
Následně zařízení smažte z konzole.
108
6.1 Princip registrace a komunikace zařízení s MDC Níže uvedený diagram znázorňuje princip procesu registrace zařízení:
109
Níže uvedený diagram znázorňuje komunikaci mezi ESET Remote Administrator a mobilními zařízeními:
6.2 Registrace zařízení Prostřednictvím ERA můžete spravovat také mobilní zařízení. Abyste mohli zařízení spravovat, musíte nejprve provést jeho registraci. Od verze 6.4 je celý proces registrace výrazně jednodušší a již nemusíte nejprve do ERA zadávat identifikátor zařízení (IMEI, sériové číslo atp.) V hlavním menu klikněte na Počítače > Přidat nové... a vyberte možnost Mobilní zařízení. Dále postupujte podle následujících kroků: · Registrace prostřednictvím e-mailu – pomocí této možnosti odešlete hromadně registrační odkaz na libovolné
množství zařízení. Jedná se o nejefektivnější řešení pro registraci velkého množství zařízení, případně pokud nemáte k mobilnímu zařízením fyzický přístup. Tato možnost vyžaduje interakci ze strany uživatele. · Individuální registrační odkaz nebo QR kód – pomocí této možnosti zaregistrujete jedno konkrétní zařízení. Tento
způsob není vhodný pro registraci velkého množství zařízení a doporučujeme jej používat například při testování a máte fyzický přístup k mobilnímu zařízení. DŮLEŽITÉ: Abyste mohli použít hromadnou registraci prostřednictvím e-mailu, musíte mít nakonfigurován SMTP server. To provedete v sekci Administrace > Nastavení serveru.
110
6.2.1 Registrace prostřednictvím e-mailu Tento způsob je vhodný pro registraci velkého množství zařízení. Je založen na principu, kdy uživatelům rozešlete emailem unikátní jednorázový registrační odkaz. V tomto případě nepotřebujete mít fyzický přístup k zařízení, veškeré instrukce uživatel obdrží e-mailem. DŮLEŽITÉ: Abyste mohli použít hromadnou registraci prostřednictvím e-mailu, musíte mít v ERA definován SMTP server. To provedete v sekci Administrace > Nastavení serveru. 1. Pro přidání mobilního zařízení přejděte v hlavním menu na záložku Počítače. Vyberte statickou skupinu, do které chcete zařízení přidat a klikněte na tlačítko Přidat nové > Mobilní zařízení > Registrace prostřednictvím e-mailu.
2. Mobile Device Connector – vyberte se automaticky. Pokud se nezobrazí, ujistěte se, zda počítač Mobile Device Connector běží a je z ERA Serveru dostupný. Pokud zatím nemáte Mobile Device Connector nainstalován, přejděte do kapitoly instalace Mobile Device Connector na Windows, resp. instalace Mobile Device Connector na Linux. 3. Licence (volitelné) – v případě potřeby můžete již nyní vybrat licenci, kterou se má ESET Endpoint Security pro Android/iOS zařízení aktivovat. V takovém případě se vytvoří pro každé zařízení úloha na aktivaci produktu. Zařízení můžete aktivovat kdykoli později. 4. Nadřazená skupina – vyberte statickou skupinu, do které chcete zařízení přidat. Pokud ještě nemáte odpovídající skupinu, doporučujeme kliknutím na Nová statická skupina... vytvořit novou a pojmenovat ji například Mobilní zařízení. 5. Seznam zařízení – zadejte informace o zařízení a jeho vlastníkovi, které chcete přidat. · Přidat zařízení – ručně zadejte e-mailovou adresu a název zařízení. Po kliknutí na toto tlačítko se zařízení přidá
do seznamu pro registraci. Pokud kliknete na tlačítko Párovat a vyberte uživatele, automaticky se doplní/ přepíše zadaná e-mailová adresa. · Vybrat uživatele – pokud již máte načtené uživatele, například z Active Directory, po kliknutí na tlačítko je
můžete vybrat. Následně již stačí jen přidat název zařízení. Pro opravení záznamu stačí kliknout na možnost Zrušit párování, nebo celý záznam smazat pomocí ikony koše. · Importovat CSV – po kliknutí můžete nahrát dokument se seznamem zařízení v .csv formátu a hromadně
přidat velké množství zařízení. Více informací naleznete v této kapitole.
111
POZNÁMKA: Abyste byli schopni rozpoznat jednotlivá zařízení, doporučujeme definovat název zařízení i v případě, kdy budete seznam importovat hromadně z CSV souboru. V opačném případě se jako název zařízení použije e-mailová adresa. To vám může způsobit potíže, pokud použijete stejnou e-mailovou adresu pro registraci více zařízení. DŮLEŽITÉ: Mějte na paměti, že pro používání personalizovaných politik na iOS, musíte přiřadit zařízení konkrétnímu uživateli. 6. Registrační zpráva – v této části vidíte obsah zprávy, který bude uživateli doručen. V případně potřeby můžete upravit její předmět a obsah. Na konec zprávy budou přidány instrukce pro uživatele, které není možné měnit. Součástí zprávy je unikátní registrační odkaz a jméno zařízení. Pokud použijete u více zařízení stejnou e-mailovou adresu, v registračním e-mailu bude uvedeno více zařízení. 7. Po kliknutí na tlačítko Registrovat se všem uživatelům odešle e-mail s postupem a unikátním registračním odkazem. 8. Pro dokončení registrace je vyžadována interakce ze strany uživatele. Více informací naleznete v následujících kapitolách: · Registrace zařízení s OS Android · Registrace iOS zařízení
6.2.2 Individuální registrační odkaz nebo QR kód Pokud máte fyzický přístup k mobilnímu zařízení, můžete pro registraci menšího počtu zařízení použít tento způsob. V tomto případě budete muset ručně v internetovém prohlížeči otevřít registrační odkaz případně naskenovat QR kód. Poznámka: Pro přidání velkého množství mobilních zařízení doporučujeme použít registraci prostřednictvím e-mailu. 1. Pro přidání mobilního zařízení přejděte v hlavním menu na záložku Počítače. Vyberte statickou skupinu, do které chcete zařízení přidat a klikněte na tlačítko Přidat nové > Mobilní zařízení > Individuální registrační odkaz nebo QR kód.
2. Název zařízení– zadejte název zařízení, volitelně popis. 3. Uživatel (volitelné) – v případě potřeby můžete zařízení přiřadit konkrétnímu uživateli. 4. Mobile Device Connector – vyberte se automaticky. Pokud se nezobrazí, ujistěte se, zda počítač Mobile Device Connector běží a je z ERA Serveru dostupný. Pokud zatím nemáte Mobile Device Connector nainstalován, přejděte do kapitoly instalace Mobile Device Connector na Windows, resp. instalace Mobile Device Connector na Linux. 112
5. Licence (volitelné) – v případě potřeby můžete již nyní vybrat licenci, kterou se má ESET Endpoint Security pro Android/iOS zařízení aktivovat. V takovém případě se vytvoří pro každé zařízení úloha na aktivaci produktu. Zařízení můžete aktivovat kdykoli později. 6. Nadřazená skupina – vyberte statickou skupinu, do které chcete zařízení přidat. Pokud ještě nemáte odpovídající skupinu, doporučujeme kliknutím na Nová statická skupina... vytvořit novou a pojmenovat ji například Mobilní zařízení. 7. Po kliknutí na tlačítko Další se zobrazí registrační odkaz ve formátu https://eramdm:9980/token, který otevřete na mobilním zařízení. Případně pomocí čtečky QR kódů naskenujte zobrazený QR kód.
8. Pro přidání dalšího zařízení klikněte na tlačítko Registrovat další zařízení. Zobrazí se nová stránka pro registraci zařízení jen s tím rozdílem, že základní informace jsou již vyplněny z předchozí registrace. Následně budete muset zadat pouze název zařízení a případně mu přiřadit uživatele. 9. Pro dokončení registrace je vyžadována interakce ze strany uživatele. Více informací naleznete v následujících kapitolách: · Registrace zařízení s OS Android · Registrace iOS zařízení
113
6.2.3 Registrace zařízení s OS Android Existují dva způsoby registrace mobilního zařízení v ERA. Scénáře se liší v tom, zda je již ESET Endpoint Security pro Android (EESA) na mobilním zařízení nainstalován a aktivován. Aplikaci můžete kdykoli aktivovat vzdáleně prostřednictvím klientské úlohy na aktivaci aplikace. EESA není zatím aktivován – pro aktivaci produktu a registraci zařízení postupujte podle následujících kroků: 1. Ťukněte na registrační odkaz, který jste obdrželi e-mailem nebo přímo do prohlížeče zadejte adresu MDM serveru včetně portu (například https://eramdm:9980/token). Pokud budete vyzváni na přijetí SSL certifikátu, ťukněte na Přijmout a následně tlačítko Připojit.
Poznámka: Pokud nemáte ESET Endpoint Security nainstalován na mobilním zařízení, budete automaticky přesměrováni na stažení aplikace z obchodu Google Play. Pokud se vám zobrazilo upozornění Nepodařilo se najít aplikaci pro otevření tohoto odkazu, zkuste registrační odkaz otevřít ve výchozím internetovém prohlížeči OS Android.
114
2. Zadejte název zařízení.
115
3. Ťukněte na tlačítko Aktivovat pro aktivaci ochrany odinstalace.
116
4. Pro přidělení oprávnění jako Správce zařízení ťukněte na Aktivovat.
117
5. V tuto chvíli aplikaci ukončete a přejděte do ERA Web Console.
118
6. V ERA Web Console přejděte na záložku Administrace > Klientské úlohy > Mobil > Aktivace produktu a klikněte na tlačítko Nová. 7. V části Nastavit klikněte na a vyberte vhodnou licenci. Vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Provedení klientské úlohy aktivace produktu na mobilních zařízeních může chvíli trvat. Po úspěšném spuštění úlohy se EESA na zařízení aktivuje a zařízení bude možné spravovat prostřednictvím ERA. Uživatel od té chvíle bude schopen EESA používat. Po otevření aplikace se zobrazí hlavní menu:
119
EESA je již aktivován – pro registraci zařízení postupujte podle následujících kroků: 1. Ťukněte na registrační odkaz, který jste obdrželi e-mailem nebo přímo do prohlížeče zadejte adresu MDM serveru včetně portu (například https://eramdm:9980/token). Pokud budete vyzváni na přijetí SSL certifikátu, ťukněte na Přijmout a následně tlačítko Připojit.
120
Poznámka: Pokud nemáte ESET Endpoint Security nainstalován na mobilním zařízení, budete automaticky přesměrováni na stažení aplikace z obchodu Google Play. Pokud se vám zobrazilo upozornění Nepodařilo se najít aplikaci pro otevření tohoto odkazu, zkuste registrační odkaz otevřít ve výchozím internetovém prohlížeči OS Android.
121
2. Zkontrolujte informace pro připojení (adresu a port Mobile Device Connector) a ťukněte na tlačítko Připojit.
122
3. Zadejte administrátorské heslo pro přístup do ESET Endpoint Security zadání potvrďte ťuknutím na tlačítko Potvrdit.
123
4. Mobilní zařízení je nyní spravováno prostřednictvím ERA. Pro dokončení ťukněte na tlačítko Dokončit.
124
125
6.2.4 Registrace iOS zařízení Ťukněte na registrační odkaz, který jste obdrželi e-mailem nebo přímo do prohlížeče zadejte adresu MDM serveru včetně portu (například https://eramdm:9980/token). 1. Následně se zobrazí výzva k instalaci profilu. V zobrazeném dialogovém okně ťukněte na Instalovat. Pro pokračování může být vyžadováno zadání hesla, které má uživatel nastaveno pro přístup do svého zařízení.
3. V dalším kroku vyberte možnost Důvěřovat.
126
4. Nyní je MDM profil nainstalován. Informací, že profil není podepsán se neznepokojujte. Jedná se o standardní chování v případě MDM. Profil je podepsán certifikátem, pouze iOS zařízení jej nedokáže rozpoznat.
127
5. V případě potřeby si můžete zobrazit detailní informace o daném profilu. DŮLEŽITÉ: Odstraněním tohoto profilu ze zařízení dojde k vymazání všech firemních informací (poštovních účtů, kontaktů, atp.) a zařízení již nebude spravované prostřednictvím ESET Remote Administrator. Nicméně ERA se o odebrání profilu ze zařízení nedozví. Poznáte to pouze podle toho, že stav zařízení se nejprve změní na a později na . Tedy podle toho, že se zařízení již 14 dní k serveru nepřipojilo.
128
6.3 Vložení APNS certifkátu prostřednictvím politiky pro MDM Níže uvádíme příklad, jak vytvořit novou politiku pro ESET Mobile Device Connector a nastavit jej tak, aby začal komunikovat s APNS (Apple Push Notification Services). Než začnete politiku vyplňovat, ujistěte se, že máte připraven APN certifikát. Až po provedení této akce můžete začít registrovat iOS zařízení. Obecné Nejprve zadejte název nové politiky, volitelně její popis. Nastavení Dále z rozbalovacího menu Produkt vyberte ESET Remote Administrator Mobile Device Connector, pro který chcete vytvořit politiku. Poznámka: Vyplněním pole Organizace vložíte do registračního profilu název vaší společnosti.
129
V konfigurační šabloně přejděte na záložku Obecné > Služba Apple Push Notification.
Na řádku APNS certifikát (podepsán společní Apple) klikněte na ikonu složky a vyberte APNS certifikát, který jste si vygenerovali na portále společnosti Apple. Na řádku APNS privátní klíč klikněte na ikonu složky a vyberte privátní klíč, který odpovídá nahranému APNS certifikátu v předchozím kroku. Přiřadit V této části vyberte cíl.
Klikněte na Přiřadit a vyberte server, na které běží Mobile Device Connector. Přehled Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření politiky dokončete kliknutím na tlačítko Dokončit.
130
6.4 Vytvoření politiky pro nastavení Exchange ActiveSync účtu v iOS zařízení Prostřednictvím politiky pro iOS zařízení můžete vzdáleně uživatelům na jejich zařízení nastavit přístup k firemní poště. Přitom není potřeba vytvářet politiku pro každého uživatele, ale stačí vytvořit jednu obecnou, která využívá Active Directory atributy – například proměnná ${exchange_login/exchange} je automaticky nahrazena údaji konkrétního uživatele. Pokud ve své sítě neprovozujete Microsoft Exchange, můžete ručně nastavit přístup k jednotlivým službám jako je e-mail, kalendář, databáze kontaktů, LDAP účet atp. Níže uvádíme příklad, jak vytvořit politiku pro automatické nastavení poštovního účtu a s tím souvisejících služeb prostřednictvím Exchange ActiveSync (EAS) protokolu. Poznámka: Předtím vytvořením politiky se ujistěte, že jste provedli všechny kroky popsané v kapitole Správa mobilních zařízení. Pro vytvoření nové politiky přejděte v hlavním menu na záložku Administrace > Politiky, klikněte na tlačítko Politiky a vyberte možnost Nová.... Obecné Nejprve zadejte název nové politiky, volitelně její popis. Nastavení Dále z rozbalovacího menu Produkt vyberte ESET Mobile Device Management for iOS, pro který chcete vytvořit politiku. V konfigurační šabloně přejděte na záložku Ostatní > Účty a klikněte na Změnit na řádku Exchange ActiveSync účty.
V zobrazeném dialogovém okně klikněte na tlačítko Přidat a vyplňte zobrazená pole. V polích pro jméno uživatele a e-mailovou adresu můžete používat proměnné (po kliknutí do pole se zobrazí menu se seznamem formáty), které se při aplikování politiky nahradí odpovídajícími hodnotami definovanými ve vlastnostech uživatele.
131
· Název účtu – zadejte název Exchange účtu. Jedná se údaj, podle kterého je možné snadno identifikovat poštovní · · · · · · · · · · · · · · ·
účet. Exchange ActiveSync Host – zadejte IP adresu nebo název Exchange serveru. Používat SSL – pokud pro ověřování přístupu k Exchange serveru používáte SSL, zapněte tu to možnost (standardně zapnuto). Doména – v případě potřeby můžete specifikovat doménu, do které uživatelský účet patří (nepovinné). Uživatel – uživatelské jméno Exchange účtu. Z rozbalovacího menu vyberte formát, který bude následně doplněn z atributů uživatele v Active Directory. E-mailová adresa – z rozbalovacího menu vyberte formát e-mailové adresy, který bude následně doplněn z atributů uživatele v Active Directory. Heslo – toto pole doporučujeme ponechat prázdné a zadání hesla doporučujeme nechat na uživateli. Stahovat e-maily za posledních X dní – z rozbalovacího menu vyberte počet dní, jak dlouho se mají e-maily zůstávat v zařízení. Certifikát identity – rozhodněte, zda se mají údaje pro připojení do ActiveSync uložit. Povolit přesouvání zpráv – pokud je tato možnost aktivní, uživatel může zprávy přesouvat z jednoho účtu do druhého. Povolit synchronizaci používaných adres – pokud je tato možnost aktivní, uživatel může synchronizovat mezi svými zařízeními naposledy použité e-mailové adresy. Použít pouze v aplikaci Mail – pokud je tato možnost aktivní, zprávy prostřednictvím tohoto poštovního účtu je možné odesílat výhradně z aplikace Mail. Použít S/MIME – pokud je tato možnost aktivní, odesílané zprávy budou šifrovány prostřednictvím S/MIME. Podepisovací certifikát – rozhodněte, zda se mají údaje pro podepsání MIME dat uložit. Šifrovací certifikát – rozhodněte, zda se mají údaje pro zašifrování MIME dat uložit Zobrazit možnost šifrování pro každou zprávu – pomocí této možnosti můžete rozhodnut o šifrování zprávy ponechat na uživateli. Poznámka: Pokud nechcete hodnotu definovat a ponecháte pole prázdné, mobilní zařízení vyzve uživatele k zadání této hodnoty. To je vhodné například v případě hesla.
132
· Přidat certifikát – pokud pro ověření identity používáte certifikáty, v této části je definovat v této části.
Poznámka: Pomocí výše uvedených kroků můžete do zařízení přidat více Exchange ActiveSync účtů. Přiřadit V této části vyberte cíl (počítač, mobilní zařízení nebo skupinu), kterému chcete danou politiku přiřadit.
Po kliknutí na tlačítko Přiřadit se zobrazí dialogové okno se všemi statickými i dynamickými skupinami. Vyberte požadovaný cíl a klikněte na tlačítko OK.
133
Přehled Zkontrolujte, zda nastavení odpovídá vašim potřebám a politiku uložte kliknutím na tlačítko Dokončit.
6.5 Vytvoření politiky pro restrikci iOS zařízení a nastavení Wi-Fi sítě Prostřednictvím politiky pro iOS zařízení můžete vzdáleně vynutit jeho konfiguraci a omezit používání některých funkcí. Nastavit můžete například, to znamená, že se zařízení automaticky připojí k firemní bezdrátové sítě. Stejným způsobem můžete nastavit VPN, přístup k firemní poště atp. Restrikce jsou zařazeny do tematických kategorií a v rámci kategorie je mezi jednotlivými možnostmi vazba. Pokud tedy například deaktivujete používání fotoaparátu, dojde k zablokování souvisejících nastavení a aplikací, v tomto případě bude blokováno používání aplikace Facetime. Poznámka: Mějte na paměti, že některé restrikce se nemusí uplatnit na starších verzích iOS. Všechny možnosti podporuje iOS 8 a novější. Na následujícím příkladu si ukážeme, jak vytvořit politiku, která zabrání uživatelům používání fotoaparátu, aplikace FaceTime a nastaví parametry Wi-Fi pro automatické připojení k firemní bezdrátové síti, pokud je v dosahu. Mějte na paměti, že politika je vždy nadřazena uživatelskému nastavení. Pro vytvoření nové politiky přejděte v hlavním menu na záložku Administrace > Politiky, klikněte na tlačítko Politiky a vyberte možnost Nová....
134
Obecné Nejprve zadejte název nové politiky, volitelně její popis. Nastavení Dále z rozbalovacího menu Produkt vyberte ESET Mobile Device Management for iOS, pro který chcete vytvořit politiku. V konfigurační šabloně přejděte na záložku Restrikce. Pomocí přepínače deaktivujte možnost Povolit použití fotoaparátu. Všimněte si, že se zároveň deaktivovala možnost pro aktivaci aplikace FaceTime, protože ta nemůže fungovat bez fotoaparátu.
135
Pro konfiguraci Wi-Fi přejděte do části Ostatní a klikněte na Změnit u položky Seznam Wi-Fi připojení. V zobrazeném dialogovém okně klikněte na tlačítko Přidat a definujte parametry vaší bezdrátové sítě.
· Service Set Identifier (SSID) – zadejte SSID vaší firemní bezdrátové sítě. · Automaticky připojovat – pokud je tato možnost aktivní, zařízení se automaticky připojí k této síti, pokud je v
dosahu. Nastavení zabezpečení: · Typ šifrování – z rozbalovacího menu vyberte způsob šifrování. · Heslo – do tohoto pole zadejte heslo pro přístup do sítě. Nastavení proxy – pokud ve své síti používáte pro přístup do internetu proxy, nastavte ji v této části. Konfiguraci bezdrátové sítě dokončete kliknutím na tlačítko Uložit. Přiřadit V této části vyberte cíl (počítač, mobilní zařízení nebo skupinu), kterému chcete danou politiku přiřadit.
Po kliknutí na tlačítko Přiřadit se zobrazí dialogové okno se všemi statickými i dynamickými skupinami. Vyberte požadovaný cíl a klikněte na tlačítko OK.
136
Přehled Zkontrolujte, zda nastavení odpovídá vašim potřebám a politiku uložte kliknutím na tlačítko Dokončit.
6.5.1 Konfigurační profily MDM Prostřednictvím profilů můžete vzdáleně vynutit konfiguraci mobilního iOS zařízení a uživateli automaticky nastavit přístup k e-mailům atp. Název profilu
Krátký popis
Heslo
V této části můžete definovat bezpečnostní politiku pro zámek obrazovky, aby se neautorizované osoby nemohly dostat k firemním datům uloženým v zařízení.
Restrikce
Uživatelům můžete omezit používání aplikací jako je iTunes nebo naopak vynutit zálohování či šifrování obsahu zařízení. Mějte na paměti, že některé možnosti se aplikují pouze na iOS 8 a novější.
Seznam Wi-Fi připojení V této části můžete nastavit parametry firemní bezdrátové sítě. Seznam VPN připojení Uživatelům můžete do jejich zařízení nakonfigurovat VPN profil pro vzdálený zabezpečený přístup do vaší firemní sítě. Název připojení – zadejte název VPN profilu. Typ připojení – vyberte způsob připojení a následně v závislosti na vybraném typu vyplňte potřebné parametry. Server – zadejte IP adresu nebo název VPN serveru. Poštovní účty
V této části můžete uživateli nastavit jeho poštovní účet.
Exchange ActiveSync účty
Prostřednictvím této možnosti uživatelům nastavíte do jejich zařízení Exchange ActiveSync účet, aby měli přístup ke své firemní poště. Mějte na paměti, že některé možnosti se aplikují pouze na iOS 5 a novější.
137
CalDAV – účty kalendářů
Uživatelům můžete nastavit přístup ke CalDAV kalendáři a zajistit jeho automatickou synchronizaci.
CardDAV – účty kontaktů
V této části můžete konfigurovat CardDAV služby.
Odebírané kalendáře
Pokud uživatelům nadefinujete CalDAV kalendáře, v této části můžete specifikovat úroveň oprávnění.
138
7. Administrace Tato sekce představuje stěžejní součást pro konfiguraci ESET Remote Administrator. Obsahuje všechny nástroje, které můžete jako administrátor potřebovat při správě klientů a bezpečnostních produktů ESET, stejně tak zde naleznete rozšířená nastavení ERA Serveru. Pomocí nástrojů dostupných v této části a jejich vhodným nastavením si výrazně usnadníte správu celé ERA infrastruktury. Nastavit si můžete například zasílání upozornění na neobvyklé chování v síti, což představuje vhodný doplněk k přehledům na nástěnce. Na záložce Administrace máte přístup k následujícím funkcím: · Průvodce nastavením · Šablony dynamických skupin · Skupiny · Správa uživatelů · Politiky · Klientské úlohy · Serverové úlohy · Podmínky spuštění · Oznámení · Certifikáty · Přístupová oprávnění · Nastavení serveru · Správa licence
7.1 Skupiny Jednotlivé počítače můžete přidat do skupin a vytvořit si tak přehlednou strukturu počítačů. Každé skupině můžete následně přiřadit jiné úlohy a politiky. Použít můžete již předdefinované skupiny, upravit si je nebo vytvořit skupiny nové. K dispozici jsou dva typy skupin: Statické skupiny Statické skupiny jsou skupiny s ručně vybranými klienty. Přidat nebo odebrat členy můžete pouze ručně, nikoli pomocí dynamických kritérií. Každý počítač může být pouze v jedné skupině. Dynamické skupiny Dynamické skupiny jsou skupiny klientů, které byly sestaveny automaticky na základě specifických podmínek. Pokud klient přestane vyhovovat podmínce, bude ze skupiny automaticky odstraněn. Naopak počítače, které vyhovují podmínce budou do skupiny automaticky přidány – odtud název dynamické. Záložka skupiny je rozdělena do tří sekcí: 1. V levé části je zobrazen seznam všech skupin a podskupin. Po vybrání skupiny a kliknutí na ikonu ozubeného kolečka se zobrazí kontextové menu. Podrobnosti o jednotlivých položkách naleznete níže. 2. Po vybrání skupiny se v pravé části zobrazí informace o počítačích umístěné v dané skupině. Detailní informace o skupinách naleznete na jednotlivých záložkách:
139
· · · ·
Počítače umístěné v této skupině, Politiky přiřazené této skupině, Úlohy přiřazené této skupině, Přehled obsahuje souhrnné informace o skupině.
3. V dolní části se nachází tlačítka Skupiny a Počítače, které poskytují přístup k souvisejícím akcím. Kontextové menu tlačítka Skupina nabízí tyto možnosti: Nová statická skupina... Tato možnost je dostupná, pokud v levé části vyberete skupinu. Aktuálně vybraná skupina bude nadřazená nově vytvářené skupině, ale tuto možnost můžete kdykoli změnit v průběhu vytváření nové statické skupiny. Nová dynamická skupina... Tato možnost je dostupná, pokud v levé části vyberete skupinu. Aktuálně vybraná skupina bude nadřazená nově vytvářené skupině, ale tuto možnost můžete kdykoli změnit v průběhu vytváření nové dynamické skupiny. Upravit... Umožní upravit vybranou skupinu. Zobrazí se stejné možnosti jako při vytváření skupiny nové (statické nebo dynamické). Přesunout... Pomocí této možnosti můžete přesunout vybranou skupinu do jiné skupiny nebo podskupiny. Odstranit Odebere kompletně vybranou skupinu. Importovat... Například z textového souboru můžete naimportovat do vybrané skupiny seznam počítačů. Pokud již počítač s daným jménem bude ve skupině existovat, vyberte akci, která se má při výskytu duplicit provést: · Přeskočit konfliktní počítače (konfliktní počítače nebudou přidány) · Přesunout konfliktní počítače do jiné skupiny (konfliktní počítače budou přesunuty z původní statické skupiny do skupiny Všechna zařízení.) · Duplikovat konfliktní počítače (konfliktní počítače budou přidány, ale s jiným názvem). Exportovat... Exportuje seznam členů skupiny, včetně podskupiny, do .txt souboru. Tento seznam můžete použít pro import v budoucnu. Přidat klienta... Pomocí této možnosti můžete vytvořit novou klientskou úlohu. Kontrola počítače Pomocí této možnosti spustíte Volitelnou kontrolu na zařízení, na kterém byly nalezeny hrozby. Aktualizovat virovou DB Pomocí této možnosti spustíte Aktualizaci virové databáze na cílovém zařízení. Mobil · Registrovat... vytvoří novou klientskou úlohu pro registraci mobilního zařízení. · Najít – zjistí GPS informace o pozici zařízení. · Uzamknout – uzamkne zařízení stejně jako při detekování podezřelé aktivity nebo označení zařízení jako
ztracené. · Odemknout – odemkne zařízení. · Siréna – spustí hlasitou sirénu, i přesto, pokud má zařízení ztlumenou hlasitost. · Vymazat obsah – vymaže trvale všechny uložená v paměti zařízení.
140
Nová úloha... Umožní vytvořit novou klientskou úlohu. Volitelně omezte spouštění úlohy. Úloha bude zařazena do fronty s vybraným nastavením. Při použití této možnosti není možné definovat podmínku spuštění. Spuštění úlohy bude naplánováno na nejbližší možnou dobu. Správa politik... Přiřadí politiku vybrané skupině.
7.1.1 Vytvoření nové statické skupiny Novou statickou podskupinu můžete vytvořit třemi způsoby: 1. V hlavním menu přejděte na záložku Počítače > Skupiny, klikněte na ikonu ozubeného kolečka možnost Nová statická skupina....
a vyberte
2. V hlavním menu přejděte na záložku Administrace > Skupiny, klikněte na ikonu ozubeného kolečka možnost Nová statická skupina....
a vyberte
141
3. V hlavním menu přejděte na záložku Administrace > Skupiny, klikněte na tlačítko Skupina v dolní části stránky a ze zobrazeného menu vyberte možnost Nová statická skupina....
Obecné Zadejte název, volitelně popis, nové statické skupiny. Pro změnu nadřazené skupiny klikněte na tlačítko Změnit nadřazenou skupinu a vyberte požadovanou skupinu. Nadřazená skupina může být výhradně statická, protože dynamické skupiny nemohou obsahovat statické podskupiny. Pro dokončení akce klikněte na tlačítko Dokončit.
142
7.1.2 Vytvoření nové dynamické skupiny Novou dynamickou podskupinu můžete vytvořit třemi způsoby: 1. V hlavním menu přejděte na záložku Počítače > Skupiny, klikněte na ikonu ozubeného kolečka možnost Nová dynamická skupina....
a vyberte
2. V hlavním menu přejděte na záložku Administrace > Skupiny, klikněte na ikonu ozubeného kolečka možnost Nová dynamická skupina....
a vyberte
3. V hlavním menu přejděte na záložku Administrace > Skupiny, klikněte na tlačítko Skupina v dolní části stránky a ze zobrazeného menu vyberte možnost Nová dynamická skupina....
143
Zobrazí se průvodce nové dynamické skupině. Vzorové příklady šablon dynamických skupin naleznete v této kapitole.
7.1.3 Přiřazení politiky skupině Poté co politiku vytvoříte ji můžete jedním z následujících kroků přiřadit Statické nebo Dynamické skupině: 1. V hlavním menu přejděte na záložku Administrace > Politiky. Vyberte politiku, přejděte do části Skupiny a klikněte na tlačítko Přiřadit skupině.
Ze seznamu vyberte požadovanou Skupinu.
144
2. V hlavním menu přejděte na záložku Administrace > Skupiny, vyberte konkrétní skupinu, klikněte na ikonu ozubeného kolečka a vyberte možnost Správa politik....
Následně klikněte na tlačítko Přidat politiku. Vyberte politiky, které chcete přiřadit dané skupině a klikněte na tlačítko OK. Akci dokončete kliknutím na tlačítko Uložit. Pro ověření, že je politika přiřazené skupině, přejděte do sekce Politiky a vyberte danou politiku. Následně uvidíte seznam skupin, které mají tuto politiku přiřazenou. Poznámka: Pro více informací o politikách přejděte do kapitoly Politiky.
145
7.1.4 Přiřazení úlohy skupině Pro vytvoření nové úlohy a její přiřazení požadované skupině přejděte v hlavním menu ERA Web Console na záložku Administrace > Skupiny. Vyberte Statickou nebo Dynamickou skupinu, klikněte na ikonu ozubeného kolečka a vyberte možnost Nová úloha..., případně klikněte v dolní části okna na tlačítko Skupina.
Tu samou akci můžete provést také ze záložky Počítače. Vyberte Statickou nebo Dynamickou skupinu, klikněte na ikonu ozubeného kolečka a vyberte možnost Nová úloha.... Následně se zobrazí průvodce vytvořením nové klientské úlohy.
7.1.5 Statické skupiny Statické skupiny jsou určeny pro ruční třídění počítačů do skupin a podskupin. Vytvořit si můžete libovolnou statickou skupinu a ručně do ní přesunout požadované počítače. Mějte na paměti, že počítač se může nacházet pouze v jedné statické skupině. Předdefinovány jsou dvě statické skupiny: · Všechna zařízení – hlavní skupina pro všechny počítače připojené k ERA Serveru. Používá se pro aplikování výchozí
politiky na všechny počítače. Skupina je zobrazena vždy, a není možné změnit její název, jinak ji upravit nebo odstranit. · Skupina Ztráty a nálezy je potomkem skupiny Všechna zařízení. Při prvním připojení klienta k ERA Serveru je
počítač automaticky umístěn do této skupiny. Skupinu můžete přejmenovat, nebo přesunout do jiné skupiny, ale nemůžete ji odstranit. Novou statickou skupinu můžete vytvořit několika způsoby. Pro více informací přejděte do této kapitoly.
146
7.1.5.1 Průvodce vytvořením statické skupiny V hlavním menu přejděte na záložku Počítače, klikněte na ikonu ozubeného kolečka a vyberte možnost Nová statická skupina.... Případně v části Administrace > Skupiny klikněte na tlačítko Skupina nebo rovněž použijte ikonu ozubeného kolečka. Obecné Zadejte název, volitelně popis, nové statické skupiny. Pro změnu nadřazené skupiny klikněte na tlačítko Změnit nadřazenou skupinu a vyberte požadovanou skupinu. Nadřazená skupina může být výhradně statická, protože dynamické skupiny nemohou obsahovat statické podskupiny. Pro dokončení akce klikněte na tlačítko Dokončit.
7.1.5.2 Správa statických skupin V hlavním menu přejděte na záložku Administrace > Skupiny, vyberte Statickou skupinu, klikněte na ikonu ozubeného kolečka nebo tlačítko Skupina v dolní části obrazovky a zobrazí se kontextové menu:
147
Kontextové menu tlačítka Statická skupina nabízí tyto možnosti: Nová statická skupina... – tato možnost je dostupná, pokud v levé části vyberete skupinu. Aktuálně vybraná skupina bude nadřazená nově vytvářené skupině, ale tuto možnost můžete kdykoli změnit v průběhu vytváření nové statické skupiny. Nová dynamická skupina... Tato možnost je dostupná, pokud v levé části vyberete skupinu. Aktuálně vybraná skupina bude nadřazená nově vytvářené skupině, ale tuto možnost můžete kdykoli změnit v průběhu vytváření nové dynamické skupiny. Upravit... Umožní upravit vybranou skupinu. Zobrazí se stejné možnosti jako při vytváření skupiny nové (statické nebo dynamické). Přesunout... Pomocí této možnosti můžete přesunout vybranou skupinu do jiné skupiny nebo podskupiny. Odstranit Odebere kompletně vybranou skupinu. Importovat... Například z textového souboru můžete naimportovat do vybrané skupiny seznam počítačů. Exportovat... Exportuje seznam členů skupiny, včetně podskupiny, do .txt souboru. Tento seznam můžete použít pro import v budoucnu. Přidat nový... Přidá počítač do statické skupiny. Kontrola počítače Pomocí této možnosti spustíte Volitelnou kontrolu na zařízení, na kterém byly nalezeny hrozby. Aktualizovat virovou DB Pomocí této možnosti spustíte Aktualizaci virové databáze na cílovém zařízení. Mobil · Registrovat... vytvoří novou klientskou úlohu pro registraci mobilního zařízení. · Najít – zjistí GPS informace o pozici zařízení. · Uzamknout – uzamkne zařízení stejně jako při detekování podezřelé aktivity nebo označení zařízení jako ztracené. · Odemknout – odemkne zařízení. · Siréna – spustí hlasitou sirénu, i přesto, pokud má zařízení ztlumenou hlasitost. · Vymazat obsah – vymaže trvale všechny uložená v paměti zařízení. Nová úloha... Umožní vytvořit novou klientskou úlohu. Volitelně omezte spouštění úlohy. Úloha bude zařazena do fronty s vybraným nastavením. Při použití této možnosti není možné definovat podmínku spuštění. Spuštění úlohy bude naplánováno na nejbližší možnou dobu. Správa politik... – přiřadí politiku vybrané skupině.
148
7.1.5.3 Přesunutí statické skupiny Po kliknutí na ikonu ozubeného kolečka na řádku s názvem skupiny a vybráním možnosti Přesunout... se zobrazí dialogové okno se stromovou strukturou skupin. Aktuálně vybraná skupina bude potomkem cílové skupiny. Případně můžete skupinu přesunout pouhým přetažením do jiné skupiny. Poznámka: Mějte na paměti, že existuje několik omezení a není proto možné přesouvat skupiny zcela libovolně. V první řadě statická skupina nemůže být potomkem dynamické skupiny. Dále není možné manipulovat s předdefinovanými skupinami (například Ztráty a nálezy). Ručně vytvořené statické skupiny můžete přesouvat podle potřeby. Dynamická skupina může být potomkem jakékoli statické nebo dynamické skupiny. Skupiny můžete přesouvat třemi způsoby: Drag and drop – vyberte skupinu, kterou chcete přesunout a přetáhněte ji do jiné nadřazené skupiny.
Klikněte na ikonu ozubeného kolečka
> Změnit... a následně klikněte na tlačítko Změnit nadřazenou skupinu.
Klikněte na ikonu ozubeného kolečka tlačítko OK.
> Přesunout..., následně ze seznamu vyberte cílovou skupinu a klikněte na
149
7.1.5.4 Importování klientů z Active Directory Načtení organizačních jednotek a stanic z Active Directory zajistíte prostřednictvím serverové úlohy pro synchronizaci statické skupiny. Během vytváření úlohy vyberte nejprve skupinu, do které chcete obsah adresářového serveru načíst. V případě potřeby můžete definovat objekty, které chcete načíst a co se má stát při výskytu duplicitních záznamů. Dále zadejte údaje pro připojení k adresářovému serveru a režim synchronizace nastavte na Active Directory/Open Directory/ LDAP. Pro více informací přejděte do Databáze znalostí. Poznámka: Pokud jste ESET Remote Administrator instalovali na server, který je členem domény, úloha by již měla být vytvořena a k synchronizaci došlo během prvotního spuštění ERA serveru. Následně se úloha spouští při každém startu serveru. Proto doporučujeme v případě potřeby upravit její podmínku spuštění a nastavit synchronizaci opakovaně, například na každý den.
7.1.5.5 Exportování statických skupin Celou strukturu skupiny včetně počítačů v nich obsažených můžete exportovat a zálohovat tak pro budoucí použití, například při migraci serveru. Poznámka: Exportovat je možné pouze statické skupiny, které obsahují alespoň jeden počítač. Prázdné skupiny nebudou exportovány. 1. V hlavním menu přejděte na záložku Administrace > Skupiny a vyberte skupinu, kterou chcete exportovat.
2. V dolní části okna klikněte na tlačítko Skupina. 3. Ze zobrazeného kontextového menu vyberte položku Exportovat. 4. Struktura skupiny se uloží do .txt souboru. Poznámka: Dynamické skupiny není možné exportovat, protože obsahují pouze odkazy na počítače, které vyhovují kritériím definovaným v šabloně dynamické skupiny.
150
7.1.5.6 Importování statických skupin Dříve exportované statické skupiny můžete prostřednictvím ERA Web Console kdykoli importovat do již existující struktury skupin. V hlavním menu přejděte na záložku Administrace > Skupiny a postupujte podle následujících kroků:
1. V dolní části okna klikněte na tlačítko Skupina. 2. Ze zobrazeného kontextového menu vyberte položku Importovat 3. Klikněte na tlačítko Procházet a vyberte .txt soubor. 4. Poté klikněte na tlačítko Otevřít. 5. Vyberte akci, která se má při výskytu duplicit provést: · Přeskočit konfliktní počítače
Pokud importovaná statická skupina s daným názvem existuje a obsahuje stejné počítače, konfliktní položky budou přeskočeny. · Přesunout konfliktní počítače do jiné skupiny
Pokud importovaná statická skupina s daným názvem existuje a obsahuje stejné počítače, existující konfliktní počítače budou přesunuty do statické skupiny Ztráty a nálezy. · Duplikovat konfliktní počítače
Pokud importovaná statická skupina s daným názvem existuje a obsahuje stejné počítače, duplicitní počítače bude přidány pod jiným názvem. 5. Pro dokončení akce klikněte na tlačítko Importovat.
7.1.5.7 Přiřazení úlohy statické skupině Správa úloh je identická v případě statických i dynamických skupin. Pro více informací přejděte do kapitoly přiřazení úlohy skupině.
151
7.1.5.8 Přiřazení politiky statické skupině Správa politik je identická v případě statických i dynamických skupin. Pro více informací přejděte do kapitoly přiřazení politiky skupině.
7.1.5.9 Přidání klientů do statické skupiny Nové zařízení (počítač nebo mobilní zařízení) můžete do můžete do ERA Web Console kdykoli přidat ručně přímo na záložce Počítače, případně Administrace > Skupiny. 1. Vyberte statickou skupinu, do které chcete zařízení přidat, klikněte na ikonu ozubeného kolečka možnost Přidat nové. Případně klikněte na tlačítko Počítače a vyberte možnost Nové....
a vyberte
2. Zadejte IP adresu nebo název počítače, volitelně popis. Poznámka: Velké množství zařízení můžete importovat z CSV souboru. 3. Následně vyberte akci, která se má provést v případu výskytu duplicitních záznamů: · Dotázat se při konfliktu: při výskytu konfliktu budete vyzváni k vybrání jedné z níže uvedených akcí. · Přeskočit konfliktní počítače: nově přidávaný počítač bude přeskočen a nebude přiřazen do statické skupiny. · Přesunout konfliktní počítače do jiné skupiny: konfliktní počítač bude přesunut z původní statické skupiny do
skupiny Všechna zařízení. · Duplikovat konfliktní počítače: nový počítač bude přidán, ale pod jiným názvem.
4. Klikněte na tlačítko + Přidat zařízení. Pro odstranění zařízení ze seznamu klikněte na ikonu koše nebo použijte možnost Odebrat vše. 5. Akci dokončete kliknutím na tlačítko Přidat. Poznámka: V této chvíli dojde k vyhledání reverzních DNS záznamů. V závislosti na množství přidaných zařízení může tato akce chvíli trvat. 152
7. Po úspěšném přidání můžete na stanici rovnou nasadit ERA Agenta. V takovém případě se zobrazí dialogové okno, ze kterého si vyberte možnost, která vyhovuje vašim potřebám a konfiguraci sítě.
7.1.6 Dynamické skupiny Dynamické skupiny jsou filtry, jejichž parametry jsou definovány pomocí šablon. ERA Agent rozhoduje o tom, do které dynamické skupiny klient patří, a na server odesílá pouze informace výsledné rozhodnutí. V ESET Remote Administrator je předdefinováno několik dynamických skupin. Pokud si chcete vytvořit nové, nejprve vytvořte šablonu, a poté novou dynamickou skupinu. Poznámka: Novou šablonu můžete definovat přímo při vytváření nové dynamické skupiny. Z jedné šablony můžete vytvořit libovolné množství dynamických skupin. Dynamickým skupinám můžete přiřazovat politiky nebo úlohy, které se mají aplikovat na počítače uvnitř. Princip aplikování politik je popsán v této kapitole. Dynamická skupina může být potomkem statické nebo jiné dynamické skupiny. Nicméně nejvýše umístěná skupina v celé hierarchii je vždy statická. Dynamické skupiny vždy filtrují pouze počítače, které jsou umístěné v nadřazené statické skupině. Dynamické skupiny můžete v rámci stromové struktury přesouvat.
153
7.1.6.1 Průvodce vytvořením dynamické skupiny V hlavním menu přejděte na záložku Administrace > Skupiny, klikněte na ikonu ozubeného kolečka , případně klikněte na tlačítko Skupina, a vyberte možnost Nová dynamická skupina.... Při vytváření nové dynamické skupiny můžete použít již existující šablonu nebo rovnou vytvořit novou šablonu, která bude zajišťovat zařazení správných počítačů do skupiny. Obecné Zadejte název, volitelně popis, nové dynamické skupiny. Pro změnu nadřazené skupiny klikněte na tlačítko Změnit nadřazenou skupinu a vyberte požadovanou skupinu. Nadřazená skupina může být libovolná (statická i dynamická). Pro dokončení akce klikněte na tlačítko Dokončit.
Šablona V této části můžete vybrat existující šablonu dynamické skupiny nebo vytvořit novou šablonu. Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a pro vytvoření dynamické skupiny klikněte na tlačítko Dokončit.
7.1.6.2 Šablony dynamických skupin Počítač se stane automaticky členem dynamické skupiny ve chvíli, kdy jeho stav bude vyhovovat podmínce definované v šabloně dynamické skupiny. ERA Agent rozhoduje o tom, do které dynamické skupiny klient patří, a na server odesílá pouze informace výsledné rozhodnutí. Více informací naleznete v níže uvedených kapitolách: · Vytvoření šablony dynamické skupiny · Úprava šablony dynamické skupiny · Pravidla pro vytváření šablony dynamické skupiny · Vzorové příklady šablon dynamických skupin
154
7.1.6.2.1 Průvodce vytvořením šablony dynamické skupiny V hlavním menu přejděte na záložku Administrace > Šablony dynamických skupin a klikněte v dolní části okna na tlačítko Nová šablona. Obecné Zadejte název, volitelně popis, nově vytvářené šablony dynamické skupiny.
Při vytváření se můžete inspirovat příklady, na kterých lépe pochopíte princip dynamických skupin.
7.1.6.2.2 Vytvoření dynamické skupiny pomocí existující šablony V hlavním menu přejděte na záložku Počítače > Skupiny, vyberte Dynamickou skupinu, klikněte na ikonu ozubeného kolečka a vyberte možnost Nová dynamická skupina....
Případně na záložce Administrace > Skupiny klikněte na tlačítko Skupina a z rozbalovacího menu vyberte možnost Nová dynamická skupina....
155
Následně se zobrazí původce vytvořením dynamické skupiny. Zadejte název, volitelně popis, pro novou dynamickou skupinu. V případě potřeby můžete Změnit nadřazenou skupinu.
Kliknutím na tlačítko Vybrat existující... použijte již existující šablonu, případně vytvořte novou šablonu kliknutím na tlačítko Nová... a postupujte podle kroků pro vytvoření nové šablony.
156
Vytvoření dokončete kliknutím na tlačítko Dokončit. Nově vytvořená skupina se zobrazí jako potomek skupiny vybrané v části Obecné.
7.1.6.2.3 Vytvoření dynamické skupiny pomocí nové šablony Postup je stejný jako v případě vytváření dynamické skupiny pomocí existující šablony, pouze v části Šablona klikněte na tlačítko Nová…. Následně se zobrazí Průvodce vytvořením šablony dynamické skupiny a postupujte podle instrukcí na obrazovce.
Po vytvoření šablony se použije pro aktuálně vytvářenou dynamickou skupinu. Pro případné změny nebo použití v budoucnu ji naleznete v hlavním menu na záložce Administrace > Šablony dynamických skupin.
157
7.1.6.2.4 Správa šablon dynamických skupin Všechny šablony jsou dostupné v hlavním menu na záložce Administrace > Šablony dynamických skupin. V této sekci můžete vytvořit novou šablonu a upravit stávající šablony. Pro úpravu již existující šablony klikněte na danou šablonu, případně vyberte šablonu ze seznamu a klikněte na tlačítko Upravit šablonu.... Pomocí možnosti Duplikovat vytvoříte kopii existující šablony se stejnými podmínkami. V průběhu tohoto kroku je potřeba zadat název nové úlohy.
Kopii existující úlohy můžete provést také kliknutím na tlačítko Uložit jako v průběhu její úpravy.
158
7.1.6.2.5 Přesunutí dynamické skupiny Po kliknutí na ikonu ozubeného kolečka na řádku s názvem skupiny a vybráním možnosti Přesunout... se zobrazí dialogové okno se stromovou strukturou skupin. Aktuálně vybraná skupina bude potomkem cílové skupiny. Případně můžete skupinu přesunout pouhým přetažením do jiné skupiny. Poznámka: Mějte na paměti, že existuje několik omezení a není proto možné přesouvat skupiny zcela libovolně. V první řadě statická skupina nemůže být potomkem dynamické skupiny. Dále není možné manipulovat s předdefinovanými skupinami (například Ztráty a nálezy). Ručně vytvořené statické skupiny můžete přesouvat podle potřeby. Dynamická skupina může být potomkem jakékoli statické nebo dynamické skupiny. Skupiny můžete přesouvat třemi způsoby: Drag and drop – vyberte skupinu, kterou chcete přesunout a přetáhněte ji do jiné nadřazené skupiny.
Klikněte na ikonu ozubeného kolečka
> Změnit... a následně klikněte na tlačítko Změnit nadřazenou skupinu.
Klikněte na ikonu ozubeného kolečka tlačítko OK.
> Přesunout..., následně ze seznamu vyberte cílovou skupinu a klikněte na
159
Poznámka: Dynamická skupina bude počítače filtrovat stejně bez ohledu na svoji nadřazenou skupinu. Výběr počítačů je definován v šabloně, kterou má dynamická skupina přiřazenou.
7.1.6.2.6 Vzorové příklady šablon dynamických skupin Připravili jsme několik vzorových šablon dynamických skupin, které vám přiblíží jejich fungování a potenciál. · Dynamická skupina – počítač chráněný bezpečnostním produktem ESET · Dynamická skupina – počítač s aplikací v konkrétní verzi · Dynamická skupina – počítač, na kterém není nainstalován žádná aplikace nebo v požadované verzi · Dynamic Group that detects if a specific version of software is not installed but another version exists · Dynamická skupina – počítač je v definované síti · Dynamická skupina – nainstalovaný, ale neaktivovaný serverový produkt
Kombinací vhodných operátorů a podmínek jste schopni dosáhnout vysoké míry automatizace. Záleží pouze na vašich požadavcích, protože možnosti tvorby dynamických skupin jsou téměř neomezené.
160
7.1.6.2.6.1 Dynamická skupina – počítač chráněný bezpečnostním produktem ESET Tuto dynamickou skupinu můžete použít pro automatizaci úloh (například aktivace, aktualizace, kontrola počítače atp.), které chcete provést okamžitě po nainstalování produktu na stanici. Poznámka: Stejným způsobem můžete vyfiltrovat počítače, na kterých zatím nemáte produkt ESET nainstalován. Stačí použít podmínku "není v" nebo operátor NAND. V hlavním menu ERA Web Console přejděte na záložku Administrace > Šablony dynamických skupiny a vytvořte novou šablonu kliknutím na tlačítko Nová šablona.... Obecné Zadejte název, volitelně popis, nově vytvářené šablony dynamické skupiny. Výraz · Z rozbalovacího menu operace vyberte logický operátor: AND. · Klikněte na + Přidat pravidlo a vyberte tyto podmínky:
Počítač > Maska spravovaných produktů > v > Chráněno produktem ESET: Počítač.
Přehled V této části se zobrazí souhrnné informace o vytvářené šabloně. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření šablony dokončete kliknutím na tlačítko Dokončit. Vytvořenou šablonu můžete následně použít při vytváření nové dynamické skupiny.
161
7.1.6.2.6.2 Dynamická skupina – počítač s aplikací v konkrétní verzi Tuto dynamickou skupinu můžete použít pro vyfiltrování počítačů, na kterých se nachází aplikace v konkrétní verzi. To může být užitečné například v případě, kdy potřebujete zjistit, na kterých stanicích máte starší verze aplikace. V hlavním menu ERA Web Console přejděte na záložku Administrace > Šablony dynamických skupiny a vytvořte novou šablonu kliknutím na tlačítko Nová šablona.... Obecné Zadejte název, volitelně popis, nově vytvářené šablony dynamické skupiny. Výraz · Z rozbalovacího menu operace vyberte logický operátor: AND. · Klikněte na + Přidat pravidlo a vyberte tyto podmínky:
o Instalované aplikace > Název aplikace > = (rovná se) > ESET Endpoint Security o Instalované aplikace > Verze aplikace > = (rovná se) > 6.2.2033.0
Přehled V této části se zobrazí souhrnné informace o vytvářené šabloně. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření šablony dokončete kliknutím na tlačítko Dokončit. Vytvořenou šablonu můžete následně použít při vytváření nové dynamické skupiny.
162
7.1.6.2.6.3 Dynamická skupina – počítač, na kterém není nainstalován žádná aplikace nebo v požadované verzi Tuto dynamickou skupinu můžete použít pro zjištění, na kterých stanicích nemáte aktuální verzi produktu nebo aplikaci nemáte na počítači vůbec nainstalovanou. Následně můžete dané skupině přiřadit klientskou úlohu pro instalaci aplikace. V hlavním menu ERA Web Console přejděte na záložku Administrace > Šablony dynamických skupiny a vytvořte novou šablonu kliknutím na tlačítko Nová šablona.... Obecné Zadejte název, volitelně popis, nově vytvářené šablony dynamické skupiny. Výraz · Z rozbalovacího menu operace vyberte logický operátor: NAND. · Klikněte na + Přidat pravidlo a vyberte tyto podmínky:
o Instalované aplikace > Název aplikace > = (rovná se) > "ESET Endpoint Security" o Instalované aplikace > Verze aplikace > = (rovná se) > "6.2.2033.0"
Přehled V této části se zobrazí souhrnné informace o vytvářené šabloně. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření šablony dokončete kliknutím na tlačítko Dokončit. Vytvořenou šablonu můžete následně použít při vytváření nové dynamické skupiny.
163
7.1.6.2.6.4 Dynamická skupina – aplikace je nainstalovaná, ale v jiné verzi Tuto dynamickou skupinu můžete použít pro vyfiltrování počítačů, na kterých se sice nachází aplikace, ale je v jiné verzi, než definované. To může být užitečné například v případě, kdy potřebujete zjistit, na kterých stanicích nemáte aktuální verzi produktu. V hlavním menu ERA Web Console přejděte na záložku Administrace > Šablony dynamických skupiny a vytvořte novou šablonu kliknutím na tlačítko Nová šablona.... Obecné Zadejte název, volitelně popis, nově vytvářené šablony dynamické skupiny. Výraz · Z rozbalovacího menu operace vyberte logický operátor: AND. · Klikněte na + Přidat pravidlo a vyberte tyto podmínky:
o Instalované aplikace > Název aplikace > = (rovná se) > "ESET Endpoint Security" o Instalované aplikace > Verze aplikace > ≠ (nerovná se) > "6.2.2033.0"
Přehled V této části se zobrazí souhrnné informace o vytvářené šabloně. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření šablony dokončete kliknutím na tlačítko Dokončit. Vytvořenou šablonu můžete následně použít při vytváření nové dynamické skupiny.
164
7.1.6.2.6.5 Dynamická skupina – počítač je v definované síti Tuto dynamickou skupinu můžete použít pro vyfiltrování všech počítačů, které se nacházejí v konkrétním segmentu sítě. Následně na takové klientské stanice můžete uplatňovat specifické nastavení, například pro aktualizaci virové databáze. V hlavním menu ERA Web Console přejděte na záložku Administrace > Šablony dynamických skupiny a vytvořte novou šablonu kliknutím na tlačítko Nová šablona.... Obecné Zadejte název, volitelně popis, nově vytvářené šablony dynamické skupiny. Výraz · Z rozbalovacího menu operace vyberte logický operátor: AND. · Klikněte na + Přidat pravidlo a vyberte tyto podmínky:
o IP adresy > IP adresa adaptéru > ≥ (větší nebo rovno) > "10.1.100.1" o IP adresy > IP adresa adaptéru > ≤ (menší nebo rovno) > "10.1.100.254" o IP adresy > Maska adaptéru > = (rovná se) > "255.255.255.0"
Přehled V této části se zobrazí souhrnné informace o vytvářené šabloně. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření šablony dokončete kliknutím na tlačítko Dokončit. Vytvořenou šablonu můžete následně použít při vytváření nové dynamické skupiny.
165
7.1.6.3 Správa dynamických skupin Nad každou existující dynamickou skupinou, ať již vytvořenou pomocí existující šablony nebo nové šablony, můžete provádět následující operace: Změnit, Přesunout, Odstranit, Spustit úlohu, Nastavit oznámení. Přístup k těmto operacím získáte třemi způsoby: 1. V hlavním menu přejděte na záložku Počítač > Skupiny, vyberte požadovanou dynamickou skupinu a klikněte na ikonu ozubeného kolečka
2. V hlavním menu přejděte na záložku Administrace > Skupiny, vyberte požadovanou dynamickou skupinu a klikněte na ikonu ozubeného kolečka
166
3. V hlavním menu přejděte na záložku Administrace > Skupiny, vyberte požadovanou dynamickou skupinu a klikněte na tlačítko Skupina.
7.1.6.4 Přiřazení politiky dynamické skupině Správa politik je identická v případě statických i dynamických skupin. Pro více informací přejděte do kapitoly přiřazení politiky skupině.
7.1.6.5 Přiřazení úlohy dynamické skupiny Správa úloh je identická v případě statických i dynamických skupin. Pro více informací přejděte do kapitoly přiřazení úlohy skupině.
7.1.6.6 Pravidla pro šablony dynamických skupin Při vytváření šablon pro dynamické skupiny můžete použít velké množství logických i porovnávacích operátorů. V dalších kapitolách naleznete podrobnější informace, která vám nejen pomohou pochopit princip fungování dynamických skupin, ale také užitečné tipy pro jejich vytváření. · Kdy se počítač stane členem dynamické skupiny? · Podmínky a logické spojky · Typ operátorů · Vzorové příklady šablon dynamických skupin · Vyhodnocování parametrů šablony
167
7.1.6.6.1 Kdy se počítač stane členem dynamické skupiny? Počítač se stane členem dynamické skupiny, pokud bude vyhovovat podmínkám definovaným v šabloně dynamické skupiny. o Aktuální stav počítače zjišťuje ERA Agent. Informace následně vyhodnocuje podle podmínek definovaných v šabloně. o Vytvořit si tedy můžete filtry na počítače s konkrétními stavy. Ve chvíli, kdy se stav počítače změní a bude vyhovovat vámi stanoveným kritériím, bude automaticky přesunut do definované skupiny. o Dynamické skupiny jsou prakticky filtry založené na stavu počítačů. Na každý počítač může být aplikováno více filtrů, a počítač tedy může být členem více dynamických skupin. To je rozdíl oproti statickým skupinám, kdy počítač může být členem nejvýše jedné statické skupiny.
7.1.6.6.2 Popis operátorů Pokud tvorbě šablony dynamické šablony musíte definovat také operátor, který se použije na vyhodnocení zadaných podmínek. V závislosti na výsledku vyhodnocení se buď počítač stane členem dynamické skupiny používající tuto šablonu, nebo nikoli. · · · ·
AND – všechny definované podmínky musí být splněny. OR – alespoň jedna z definovaných podmínek musí být splněna. NAND – alespoň jedna z podmínek nesmí být splněna. NOR – žádná z podmínek nesmí být splněna.
Poznámka: Není možné kombinovat jednotlivé operátory. Při vytváření šablony dynamické skupiny můžete použít vždy jeden operátor a ten se aplikuje na všechny operandy.
168
7.1.6.6.3 Podmínky a logické spojky Šablona dynamické skupiny se skládá z pravidel, která jsou mezi s sebou spojena logickými operátory. Pro vytvoření pravidla vyberte podmínku, logický operátor a zadejte hodnotu. Zadaná hodnota bude vyhodnocena v závislosti na použitém operátoru. Jako hodnoty můžete použít řetězce, čísla, výčtové typy, IP adresy, masky produktu a identifikátory (například počítače). Jednotlivé typy hodnot se pojí pouze s některými logickými operátory. ERA Web Console vždy zobrazí pouze ty relevantní. · "= (rovná se)" – cílový řetězec musí přesně odpovídat zadané hodnotě. Při porovnávání se nerozlišuje velikost
písmen. · "≠ (nerovná se)" – cílový řetězec nesmí přesně odpovídat zadané hodnotě. Při porovnávání se nerozlišuje velikost
písmen. · "> (větší než)" – hodnota je větší než definovaná. Tento operátor můžete použít také při definování rozsahu IP
adres. · "≥ (větší nebo rovno)" – hodnota je větší nebo rovna než definované. Tento operátor můžete použít také při
definování rozsahu IP adres. · "< (menší než)" – hodnota je menší než definovaná. Tento operátor můžete použít také při definování rozsahu IP
adres. · "≤ (menší nebo rovno)" – hodnota je menší nebo rovna než definovaná. Tento operátor můžete použít také při
definování rozsahu IP adres. · "obsahuje" – vyhledá zadané znaky v cílovém řetězci. Při vyhledávání se nerozlišuje velikost písmen. · "má předponu" – vyhledá na začátku cílového řetězce definované znaky. Při porovnávání se nerozlišuje velikost
·
·
· · ·
písmen. Například v řetězci "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319" předpona představuje "Micros", "Micr" nebo "Microsof" atp. "má příponu" – vyhledá na konci cílového řetězce definované znaky. Při porovnávání se nerozlišuje velikost písmen. Například v řetězci "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319" přípona představuje "319" nebo "0.30319" atp. "má masku" – cílový řetězec musí vyhovovat definované šabloně. Při definování masky můžete použít jakékoli znaky a doplnit je o speciální symboly: '*' – představuje libovolný počet znaků (0 a více). Příklad "6.2.2033.?". '?' – představuje přesně jeden znak. Příklad: "6.2.*". "regex" – cílový řetězec musí vyhovovat definovanému regulárnímu výrazu zadaném v Perl syntaxi. "v" – cílový řetězec v celém seznamu musí vyhovovat zadané hodnotě. Při porovnávání se nerozlišuje velikost písmen. "v (maska řetězce)" – cílový řetězec musí vyhovovat definované masce.
Negativní pravidla: DŮLEŽITÉ: Negativní pravidla používejte s rozmyslem, protože v případě více záznamů (jako jsou například "Instalované aplikace") se testují všechny řádky seznamu. Pro pochopení principu negativních operátorů se podívejte na vzorové příklady. DŮLEŽITÉ:
169
· "neobsahuje" – cílový řetězec nesmí obsahovat definované znaky. Při vyhledávání se nerozlišuje velikost písmen. · "nemá předponu" – zjistí, zda se na začátku cílového řetězce nenachází definované znaky. Při porovnávání se · · · · ·
nerozlišuje velikost písmen. "nemá příponu" – zjistí, zda se na konci cílového řetězce nenachází definované znaky. Při porovnávání se nerozlišuje velikost písmen. "nemá masku" – cílový řetězec nesmí vyhovovat definované šabloně. "není regex" – cílový řetězec nesmí vyhovovat definovanému regulárnímu výrazu zadaném v Perl syntaxi. Nemusíte tedy používat negativní regulární výrazy. "není v" – cílový řetězec v celém seznamu nesmí vyhovovat zadané hodnotě. Při porovnávání se nerozlišuje velikost písmen. "není v (maska řetězce)" – cílový řetězec nesmí vyhovovat definované masce.
7.1.6.6.3.1 Příklady V této kapitole uvádíme příklady, jak filtrovat konkrétní aplikace ve specifických verzích. Modelová situace, v síti máme na koncových stanicích nainstalován v rozdílných ESET Endpoint Security a na serverech ESET File Security. Provedli jsme upgrade na ESET Remote Administrator 6 a aktuálně potřebujeme vyfiltrovat všechny počítače, na kterých je nainstalován ESET Endpoint Security v neaktuální verzi, tedy 6.1 a starší. Na tomto příkladu si probereme jednotlivé operátory. Poznámka: Mějte na paměti, že číslo verze je řetězec. Nelze na ní použít porovnávací operátory. Výraz 1. Z rozbalovacího menu operace vyberte operaci AND (všechny definované podmínky musí být splněny). 2. Klikněte na + Přidat pravidlo a vyberte podmínku. V našem případě hledáme konkrétní aplikaci. Vyberte tedy Instalované aplikace > Název aplikace > =(rovná se) > a zadejte ESET Endpoint Security. 3. Klikněte na + Přidat pravidlo a do druhé podmínky vyberte Instalované aplikace > Verze aplikace. · "= (rovná se)" – cílový řetězec musí přesně odpovídat zadané hodnotě. Pokud zadáte 5.0.2222.1, filtrovány budou
pouze počítače, na kterých je aplikace v této verzi. · "≠ (nerovná se)" – cílový řetězec nesmí přesně odpovídat zadané hodnotě. Pokud zadáte 5.0.2222.1, filtrovány
budou všechny počítače, na kterých není tato verze aplikace. Tip: Vhodnější je v tomto případě použít operátor NOR a = (rovná se). · "obsahuje" – vyhledá řetězec v cílovém řetězci. Pokud zadáte 5.0, filtrovány budou všechny počítače, v jejichž verzi aplikace se nachází řetězec 5.0. · "má předponu" – vyhledá v cílovém řetězci několik počátečních znaků. Pokud zadáte 5.0, filtrovány budou všechny počítače, jejichž verze aplikace začíná 5.0. · "má příponu" – vyhledá v cílovém řetězci několik posledních znaků. Pokud zadáte 22.1, filtrovány budou všechny počítače, jejichž verze aplikace končí 22.1. · "regex" – vyhledá v cílovém řetězci hodnotu definovanou regulárním výrazem v Perl syntaxi. Pokud zadáte (3.*| 4.*|5.0.*|6.1.*), filtrovány budou všechny počítače, na kterých je aplikace ve verzi 3, 4, 5 a 6.1. Tip: Použít můžete i tento jednodušší zápis: ([3-5].*|6.1.*). Poznámka: Do pole zadáváte samotný regulární výraz, není potřeba zadávat počáteční a koncová lomítka. · "v" – vyhledá přesný výraz a umožňuje zadat více hodnot. Pokud zadáte 5.0.2222.1,5.0.2248.3 a 5.0.2254.1, filtrovány budou pouze počítače, na kterých je aplikace přesně v této verzi. · "má masku" a "v (maska řetězce)" umožňuje při sestavování výrazu použít zástupné znaky: * – představuje libovolný počet znaků (0 a více). Pokud zadáte 4.*, 5.0.* a 6.1.*, filtrovány budou počítače, kde se ve verzi aplikace nachází řetězec 4., 5.0, 6.1. ? – představuje přesně jeden znak. Pokud zadáte 5.0.????.?, filtrovány budou aplikace počítače, na kterých je verze aplikace ve tvaru 5.0.xxxx.x. To znamená, že vyfiltruje všechny počítače s aplikací ve verzi 5.0.2222.1, 5.0.2248.3 i 5.0.2254.1.
170
7.1.6.6.4 Vyhodnocování parametrů šablony Parametry šablony vyhodnocuje ERA Agent, nikoli ERA Server – na server je odeslán pouze výsledek. V průběhu vyhodnocování ERA Agent zjišťuje, zda daný počítač vyhovuje podmínkám definovaným v šabloně dynamické skupiny. Níže si na několika příkladech vysvětlíme proces vyhodnocování. Stav počítače je souhrn mnoha informací reprezentovaný tabulkou. U některých dat ERA Agent získá pouze jeden záznam (operační systém, velikost RAM atp.), v jiných případech (IP adresy, instalované aplikace atp.) může získat více záznamů. Vizualizace získaných dat z klienta: IP adresa síťové ho adapté ru
MAC adresa síťového adaptéru
Název OS
Verze OS
Velikos Instalo t RAM vané (v MB) aplikac e
192.16 8.1.2
4A-64-3F-10-FC-75
Windows 7 Enterprise
6.1.7601
10.1.1. 11
2B-E8-73-BE-81-C7
PDF Reader
124.25 6.25.25
52-FB-E5-74-35-73
Office Suite
2048
ESET Endpoi nt Securit y
Weath er Foreca st Výsledný stav je složen ze skupin informací (sloupců tabulky). Každá skupina dat obsahuje souvislé informace uspořádané do řádků. Podmínky jsou vyhodnocovány podle skupin a řádků – pokud je definováno více podmínek pro skupinu, vyhodnocovány jsou jen hodnoty v daném řádku. Příklad 1: Máme definovanou podmínku: IP adresa síťového adaptéru = 10.1.1.11 AND MAC adresa síťového adaptéru = 4A-64-3F-10-FC-75
V tomto případě podmínce nevyhovuje žádný počítač, protože neexistuje žádný řádek, ve kterém by se nacházely obě hodnoty. IP adresa síťové ho adapté ru
MAC adresa síťového adaptéru
Název OS
Verze OS
Velikos Instalo t RAM vané (v MB) aplikac e
171
192.16 8.1.2
Windows 7 Enterprise
6.1.7601
2048
4A-64-3F-10-FC-75
ESET Endpoi nt Securit y
10.1.1. 11
2B-E8-73-BE-81-C7
PDF Reader
124.25 6.25.25
52-FB-E5-74-35-73
Office Suite Weath er Foreca st
Příklad 2: Máme definovanou podmínku: IP adresa síťového adaptéru = 192.168.1.2 AND MAC adresa síťového adaptéru = 4A-64-3F-10-FC-75
V tomto případě podmínce vyhovuje jeden počítač. Počítač bude zařazen do dynamické skupiny, která používá tuto šablonu. IP adresa síťové ho adapté ru
MAC adresa síťového adaptéru
192.16 8.1.2
Název OS
Verze OS
Windows 7 Enterprise
6.1.7601
Velikos Instalo t RAM vané (v MB) aplikac e
2048
4A-64-3F-10-FC-75
ESET Endpoi nt Securit y
10.1.1. 11
2B-E8-73-BE-81-C7
PDF Reader
124.25 6.25.25
52-FB-E5-74-35-73
Office Suite Weath er Foreca st
Příklad 3: Máme definovanou podmínku: IP adresa síťového adaptéru = 10.1.1.11 OR MAC adresa síťového adaptéru = 4A-64-3F-10-FC-75
V tomto případě podmínce vyhovují dva počítače, protože stačí, aby byla splněna jen jedna z jejich částí. Počítače budou zařazeny do dynamických skupiny, které používají tuto šablonu.
172
IP adresa síťové ho adapté ru
MAC adresa síťového adaptéru
Název OS
Verze OS
Velikos Instalo t RAM vané (v MB) aplikac e
192.16 8.1.2
4A-64-3F-10-FC-75
Windows 7 Enterprise
6.1.7601
10.1.1. 11
2B-E8-73-BE-81-C7
PDF Reader
124.25 6.25.25
52-FB-E5-74-35-73
Office Suite
2048
ESET Endpoi nt Securit y
Weath er Foreca st
7.1.6.6.5 Jak automatizovat ESET Remote Administrator? 1. Vytvořte dynamickou skupinu pojmenovanou například "Infikované počítače", 2. Vytvořte úlohu hloubková kontrola počítače a přiřaďte ji dynamické skupině Infikované počítače (úloha se na klientovi spustí, pokud se klient ocitne v této skupině), 3. Vytvořte specifickou politiku pojmenovanou například "izolace počítače od sítě", kdy se v nainstalovaném produktu ESET vytvoří pravidlo firewallu na zablokování veškeré komunikace vyjma připojení k ESET Remote Administrator, 4. Vytvořte šablonu pro zaslání upozornění při výskytu infikovaných počítačů. Pomocí stejné technicky můžete automatizovat instalaci produktu, aktualizace operačního systému, kontrolu počítače, aktivaci nově nainstalovaných produktů a další úlohy.
173
7.2 Správa uživatelů V této části můžete spravovat uživatele a skupiny uživatelů pro potřeby správy iOS zařízení. Prostřednictvím ESET Mobile Device Management pro iOS můžete následně uživatelům přiřadit odpovídající konfiguraci na jejich iOS zařízení. Nejprve je potřeba uživatele do ERA nahrát, doporučujeme je načíst z Active Directory. Následně můžete načtené informace o uživatelích upravovat podle potřeby a přidat jim vlastní atributy. · Uživatelé, kteří nemají přiřazeno žádné zařízení jsou zvýrazněni v seznamu oranžově. Pro přiřazení zařízení klikněte
na uživatele, vyberte možnost Změnit..., přejděte do sekce Přiřazená zařízení a klikněte na možnost Přidat zařízení.
· Přiřadit nebo odebrat zařízení můžete přímo z detailů počítače.
· V seznamu uživatelů můžete konkrétního uživatele nalézt jednoduše přidáním odpovídajícího filtru po kliknutí na
tlačítko Přidat filtr.
174
V kontextovém menu uživatele jsou dostupné tyto možnosti: Detaily... Kliknutím zobrazíte detailní informace jako je e-mailová adresa, telefon, přiřazená zařízení a vlastní atributy, které můžete používat pro dynamické přiřazování politik. Uživatel může mít přiřazeno více než jeden počítač/mobilní zařízení. Přímo v tomto dialogovém okně můžete uživatele přejmenovat, přidat uživateli popis nebo změnit skupinu, do které patří.
Nová skupina uživatelů... Po kliknutí vytvoříte novou skupinu uživatelů.
175
Přidat uživatele... Umožní přidat nové uživatele. Synchronizovat Po kliknutí vytvoříte novou serverovou úlohu pro synchronizaci uživatelů. Změnit... Umožní upravit existujícího uživatele nebo skupinu uživatelů. Přesunout... Pomocí této možnosti můžete přesunout uživatele nebo skupinu do jiné skupiny uživatelů. Odstranit Odebere vybraného uživatele nebo skupinu uživatelů.
7.2.1 Přidání nových uživatelů Pokud seznam uživatelů nebyl načten v průběhu synchronizace uživatelů nebo chcete uživatele přidat ručně, v hlavním menu ERA Web Console přejděte na záložku Administrace > Správa uživatelů a klikněte na tlačítko Přidat uživatele...
Nejprve zadejte jméno uživatele a následně rozhodněte, co se stane v případě konfliktu. · Dotázat se při konfliktu: při výskytu konfliktu budete vyzváni k vybrání jedné z níže uvedených akcí.
o Přeskočit konfliktní uživatele: nově přidávaný uživatel se stejným jménem bude přeskočen. Tuto možnost použijte také v případě, kdy využíváte vlastní atributy a nechcete, aby došlo k jejich přepsání při synchronizaci s Active Directory. o Přepsat konfliktní počítače: nový uživatel nahradí stávajícího uživatel se stejným jménem. Pokud má uživatel stejné SID, existující uživatel bude odstraněn ze skupiny, ve které byl zařazen.
176
Zadejte jméno uživatele, případně další atributy, které vám pomohou lépe identifikovat uživatele. Pokud chcete zároveň přidat více uživatelů, klikněte na tlačítko + Přidat další. Případně můžete uživatele hromadně načíst z CSV souboru. Akci dokončete kliknutím na tlačítko Přidat.
7.2.2 Úprava uživatelů Jednotlivým uživatelům můžete ručně přidat další atributy a přiřadit jim zařízení. Vyberte uživatelé, kterého chcete upravit a klikněte na Změnit. Poznámka: Pokud synchronizujete uživatele například z Active Directory, nastavte akci při výskytu kolize na Přeskočit. V opačném případě by došlo k přepsání ručně definovaných atributů daty z Active Directory. Obecné Pokud potřebujete upravit údaje uživatele nebo je doplnit (přidat telefon, e-mailovou adresu atp.), provedete to v této části.
177
Vlastní atributy V této části kliknutím na Přidat nový můžete uživatelskému účtu přiřadit další atribut a automaticky do jeho zařízení nahrát správnou konfiguraci. · Wi-Fi účty: prostřednictvím této možnosti nakonfigurujete veškeré údaje pro přístup k firemní bezdrátové síti. · VPN účty: prostřednictvím této možnosti nakonfigurujete veškeré údaje pro přístup do firemní sítě · · · · · ·
prostřednictvím VPN. Poštovní účty: prostřednictvím této možnosti nastavíte uživateli přístup k jeho poštovní schránce. Pokud využíváte MS Exchange, použijte možnost níže. Exchange účty: prostřednictvím této možnosti nastavíte uživateli přístup k jeho MS Exchange poštovní schránce, kontaktům, poznámkám atp. LDAP (alias atributu): prostřednictvím této možnosti spárujete LDAP kontakty s iOS kontakty. CalDAV: prostřednictvím této možnosti nastavíte uživateli přístup ke kalendáři splňujícím CalDAV parametry. CardDAV: prostřednictvím této možnosti nastavíte synchronizaci CardDAV kontaktů. Odebírané kalendáře: pokud jste nadefinovali CalDAV kalendáře, v této části můžete nastavit, ke kterým má mít pouze přístup ke čtení.
Některé atributy můžete použít jako proměnné při vytváření politiky pro iOS zařízení. Například login ${exchange_login/exchange} nebo e-mailovou adresu ${exchange_email/exchange} .
Přiřazené počítače V této části kliknutím na Přidat počítače vyberte počítač nebo mobilní zařízení, které patří danému uživateli.
178
Pro uložení změn klikněte na tlačítko Dokončit.
7.2.3 Vytvoření nové skupiny uživatelů Pro vytvoření nové skupiny uživatelů přejděte v hlavním menu ERA Web Console na záložku Administrace > Správa uživatelů. Vyberte nadřazenou skupinu, klikněte na ozubené kolečko a vyberte možnost Nová skupina uživatelů... Obecné Nejprve zadejte Název nové skupiny uživatelů. Pole Popis je nepovinné. Pro změnu nadřazené skupiny klikněte na tlačítko Změnit nadřazenou skupinu a vyberte požadovanou skupinu. Nadřazená skupina může být libovolná (statická i dynamická). Pro dokončení akce klikněte na tlačítko Dokončit.
179
Prostřednictvím sad oprávnění můžete specifikovat, kteří administrátoři v ERA Web Console budou mít k této skupině přístup.
7.3 Politiky Politiky představují účinný nástroj pro vzdálenou konfiguraci bezpečnostních produktů ESET. Aplikovat je můžete přímo na konkrétní počítače nebo celé skupiny počítačů (statické i dynamické). Na rozdíl od politik v ESET Remote Administrator 5 je nově každá politika platná pouze pro jeden produkt a každému počítači nebo skupině můžete přiřadit neomezené množství politik. Aplikování politik Politiky se aplikují v pořadí podle statických skupin. Díky tomuto principu můžete vytvářet globální politiky pro statické skupiny a politiky se specifickým nastavením přiřazovat podskupinám. Pomocí příznaků jste schopni konkrétní nastavení produktu vynutit v globální politice a zajistit, že nastavení již nepřepíše žádná politika umístěná ve stromu níže. Princip aplikování politik na klienty je popsán v této kapitole. Slučování politik Výsledná politika, která se aplikuje na klienta je obvykle složena z více politik. Hierarchie skupin a pořadí politik určuje, jakým způsobem jsou na klienty v těchto skupinách politiky aplikovány. Politiky jsou vyhodnocovány na základě grafového algoritmu prohledávání do šířky. To znamená, že nejprve je vyhodnocena kořenová skupina, následně její přímé podskupiny, dále jejich podskupiny atd. Výsledná politika, která se aplikuje na klienta, se sloučí z jednotlivých politik na základě výše popsaného principu. Poznámka: Doporučujeme vytvářet politiky od obecných (například s nastavením aktualizace) a přiřazovat je globálním skupinám až po politiky se specifickým nastavením (například blokování výměnných médií) a přiřazovat je podskupinám nebo přímo konkrétním klientům. Důvodem je, že při slučování politik bude nastavení dříve aplikované politiky přepsáno nastavením z později aplikované politiky (pokud není v politice řečeno jinak pomocí příznaku). Pokud se rozhodnete politiku odstranit, konfigurace klienta se nevrátí na původní hodnoty. To samé platí v případě, kdy počítač opustí dynamickou skupinu. Nastavení, která se aplikovala ve chvíli, kdy se počítač stal členem dynamické skupiny, zůstanou zachována, pokud nejsou přepsána nastavením z nově aplikované politiky. Z tohoto důvodu doporučujeme vytvořit politiku s výchozím nastavením a přiřadit ji kořenové skupině Všechna zařízení. Tím zajistíte, že při opuštění dynamické skupiny obdrží počítač výchozí nastavení.
180
7.3.1 Průvodce vytvořením nové politiky Politiky slouží pro vzdálenou konfiguraci bezpečnostních produktů ESET stejně, jako kdybyste požadované změny prováděli přímo na klientovi v Rozšířeném nastavení. Na rozdíl od politik v Active Directory, politiky v ERA neumožňují provádění skriptů ani příkazů. Seznam všech vytvořených politik naleznete v hlavním menu ERA Web Console na záložce Administrace > Politiky. Pro přehlednost jsou politiky rozděleny na předdefinované a vámi vytvořené (uživatelské), a dále jsou děleny podle produktů.
Pro vytvoření nové politiky přejděte v hlavním menu na záložku Administrace > Politiky, klikněte na tlačítko Politiky a vyberte možnost Nová....
181
Obecné Nejprve zadejte název nové politiky, volitelně její popis. Nastavení Dále z rozbalovacího menu Produkt vyberte ESET produkt, pro který chcete vytvořit politiku.
V konfigurační šabloně nastavte požadovanou konfiguraci produktu. Pro konfiguraci použijte příznaky, kterými určujete, jak má politika dané nastavení zpracovat. Pro snadnější orientaci v konfiguraci se u každé sekce zobrazuje číslo. Toto číslo reprezentuje počet nastavení, které jste v politice vynutili, a chcete jej na klientské stanici použít. Pro pohodlnější konfiguraci produktu můžete: · aplikovat všechna nastavení v dané sekci pomocí ikonky , · odstranit všechna nastavení v dané sekci pomocí ikonky Koše. Pro rychlejší nalezení požadované položky můžete použít vyhledávání. Pokud kliknete v pravé části konfigurační šablony na ikonu ?, zobrazí se relevantní nápověda daného bezpečnostního produktu.
182
183
7.3.2 Příznaky Každému nastavení v politice můžete přiřadit příznak. Prostřednictvím příznaku určíte, jak má politika dané nastavení zpracovat. K dispozici jsou dva příznaky: § Použít – nastavení s tímto příznakem bude odesláno klientovi, ale může být přepsáno politikou, která se aplikuje
později. § Vynutit – nastavení s tímto příznakem má nejvyšší prioritu a nemůže být přepsáno jinou politikou (i v případě, že
má stejný příznak). To zajistí, že se nastavení nezmění ani po sloučení všech politik.
Pro snadnější orientaci v konfiguraci se u každé sekce zobrazuje číslo. Toto číslo reprezentuje počet nastavení, které jste v politice vynutili, a chcete jej na klientské stanici použít. Pro pohodlnější konfiguraci produktu můžete: · aplikovat všechna nastavení v dané sekci pomocí ikonky , · odstranit všechna nastavení v dané sekci pomocí ikonky Koše.
184
7.3.3 Správa politik Politiky naleznete v hlavním menu ERA Web Console na záložce Administrace > Politiky. Rozděleny jsou do dvou kategorií – předdefinované politiky a uživatelské politiky.
Po kliknutí na ozubené kolečko tyto možnosti:
nebo na tlačítko Politiky se zobrazí kontextové menu, ve kterém jsou dostupné
Nová... Po kliknutí se zobrazí průvodce pro vytvoření nové politiky. Změnit... Kliknutím upravíte již existující politiku. Duplikovat Po kliknutí vytvoříte kopii již existující politiky. Přiřadit Prostřednictvím této možnosti přiřadíte politiku klientovi nebo skupině klientů. Odstranit Kliknutím odstraníte vybranou politiku. Importovat... Prostřednictvím této možnosti můžete naimportovat zálohované politiky z externího .dat souboru. Exportovat... Kliknutím exportujete vybrané politiky do .dat souboru. Abyste mohli pohodlněji vybírat záznamy, můžete si nastavit režim, který vám bude vyhovovat. Pro změnu režimu klikněte na šipku v horním pravém rohu a vyberte si jeden z následujících: Výběr jedné položky – v tomto režimu můžete vybrat pouze jednu položku. Výběr více položek – tento režim vám umožní najednou vybrat více položek. Aktualizovat - obnoví zobrazované informace. 185
7.3.4 Jak se politiky aplikují na klienta Skupiny a počítače mohou mít přiřazeno libovolné množství politik. Protože počítač může být umístěn ve skupině, která má přiřazenou také politiku, klíčovým kritériem pro výběr politiky, která se na klienta aplikuje, je pořadí politiky. Výsledná politika, která bude na klienta uplatněna, se sestaví po provedení následujících kroků: 1. zjištění pořadí skupin, ve kterých se klient nachází, 2. načtení politik ze všech skupin, ve kterých se klient nachází, 3. sloučení politik do výsledné politiky. Příklad: Na následujícím příkladu si ukážeme, jak se politiky aplikují a v jakém pořadí. Hierarchie skupin a pořadí politik určuje, jakým způsobem jsou na klienty v těchto skupinách politiky aplikovány. Na obrázku níže je v levé části zobrazená struktura, tak jak ji vidíte v ESET Remote Administrator, v pravé části je detailně znázorněno celé schéma.
Politiky jsou vyhodnocovány na základě grafového algoritmu prohledávání do šířky. To znamená, že nejprve je vyhodnocena kořenová skupina, následně její přímé podskupiny, dále jejich podskupiny atd.
Výsledná politika, která se aplikuje na klienta, se sloučí z jednotlivých politik na základě výše popsaného principu.
7.3.4.1 Pořadí skupin Na následujícím příkladu si ukážeme, v jakém pořadí jsou politiky aplikovány. Při zjišťování pořadí politik se používají používána následující pravidla: 1. 2. 3. 4. 5.
Statické skupiny jsou vyhodnocovány od svého kořene, tedy skupiny Všechna zařízení. V každém uzlu jsou nejprve prohledány statické skupiny, dle jejich pořadí – podle algoritmu prohlídka do šířky. Po projití všech statických skupin v daném uzlu se prochází dynamické skupiny. Prochází se všichni potomci dynamické skupiny, podle toho jaké je jejich pořadí. Pokud má dynamická skupina potomka, uzel se prochází celý – podle algoritmu prohlídka do hloubky. Až poté se pokračuje dalšími skupinami na stejné úrovni. 6. Prohlídka stromu končí u klientského zařízení. Níže uvádíme praktický příklad:
186
Jak je vidět na obrázku výše, nejdříve bude podle prvního pravidla vyhodnocen kořen stromu, tedy statická skupina Všechna zařízení. Protože na dané úrovni se již nenachází žádné další skupiny, vyhodnocování se přesune na úroveň níže, tedy statické skupiny Ztráty a nálezy, SG1 a SG2. Protože počítač je členem statické skupiny SG3, která je potomkem skupiny SG2, vyhodnocovány nebudou statické skupiny Ztráty a nálezy, SG1, SG2. Ve třetím kroku se budou prohledávat skupiny SG 3, DG 1 a DG 2. Podle druhého pravidla bude prohledána nejprve statická skupina. Protože skupina SG 3 je ve třetí úrovni stromu poslední, dále budou vyhodnocovány dynamické skupiny. Nejprve skupina DG1. Protože skupina DG1 má potomky, skupina DG3 bude vyhodnocena dříve, než se přejde na další skupinu ve stejné úrovni, tedy DG2. Dále se pokračuje skupinou DG 3. Protože nemá další potomky přecházíme zpět o úroveň výše. Dále se pokračuje skupinou DG 2. Protože nemá další potomky a je poslední v této úrovni procházení stromu přechází na čtvrtou úroveň.. Na čtvrté úrovni je dynamická skupina DG 4 a samotný počítač. Podle pravidla čísla 6 bude počítač vyhodnocen až jako poslední a jako další v pořadí bude skupina DG 4. Dynamická skupina DG 4 má dva potomky, které je nutné zpracovat. Do seznamu budou přidány dynamické skupiny DG 5 a DG6. Protože nemají žádné potomky, není co dále vyhodnocovat a celý proces končí u klientského počítače. Výsledný seznam skupin:
187
1. Všechna zařízení 2. SG 2 3. SG 3 4. DG 1 5. DG 3 6. DG 2 7. DG 4 8. DG 5 9. DG 6 10.Počítač V tomto pořadí se politiky budou na klienta aplikovat.
7.3.4.2 Získání seznamu politik Po získání seznamu skupin dojde k načtení politik, které mají dané skupiny přiřazeny. Pokud skupina nemá přiřazenou žádnou skupinu, bude ze seznamu odstraněna. Statickým i dynamickým skupinám máme v našem případě přiřazeny tři politiky:
Získaný seznam z kroku 1 v předchozí kapitole přetransformujeme: 1. Všechna zařízení (odstraníme ze seznamu, protože neobsahuje žádnou politiku) 2. SG 2 přiřadíme Politiku 1 a 2 3. SG 3 (odstraníme ze seznamu, protože neobsahuje žádnou politiku) 4. DG 1 přiřadíme Politiku 1 a 2 5. DG 3 (odstraníme ze seznamu, protože neobsahuje žádnou politiku) 6. DG 2 přiřadíme Politiku 3 7. DG 4 (odstraníme ze seznamu, protože neobsahuje žádnou politiku) 8. DG 5 (odstraníme ze seznamu, protože neobsahuje žádnou politiku) 9. DG 6 (odstraníme ze seznamu, protože neobsahuje žádnou politiku) 10.Počítač (odstraníme ze seznamu, protože neobsahuje žádnou politiku) Finální seznam politik, které se budou na klienta aplikovat: 1. 2. 3. 4. 5.
188
Politika 1 Politika 2 Politika 1 Politika 2 Politika 3
7.3.4.3 Sloučení politik Na závěr se všechny získané politiky sloučí do jedné výsledné. Při slučování pravidel platí pravidlo, že nastavení z naposledy načtené politiky přepisuje nastavení z dříve načtené politiky. Pro změnu tohoto chování, resp. vynucení konkrétního nastavení, můžete použít příznaky. Mějte na paměti, že výslednou politiku ovlivňuje hierarchie skupin a pořadí politik. Sloučení dvou politik může vrátit odlišný výsledek, pokud změníte jejich pořadí. Příklad: V předchozích krocích bylo zjištěno pořadí skupin a po získání seznamu politik máme k dispozici 5 politik, které je potřeba sloučit do jedné:
Každé nastavení z další politiky v pořadí přepíše nastavení předchozí z politiky, pokud není pomocí příznaku řečeno jinak. V tomto případě: § Příznak "Vynutit" u Režimu firewallu ("Administrátorský režim") v politice č.1 způsobí, že se již nepoužije
nastavení z politiky č.4 ("Učící režim"). § Jako profil kontroly se použije "Smart kontrola" definovaná v politice č.4 a přepíše nastavení z politiky č.1 ("Hloubková kontrola") . § Správa zařízení bude "Zapnuta" a nastavení nebude přepsáno politikou č.3 ani politikou č.2, protože je použit příznak "Vynutit". § Nastavení HIPS se při zpracování politiky několikrát změní, protože je ve všech případech nastaven příznak "Použít". Politika č.5 vrátí hodnotu na výchozí nastavení a systém HIPS bude aktivní. Výsledná politika vznikne sloučením všech politik s ohledem použité příznaky u jednotlivých nastavení. V našem případě se do politiky propíší hodnoty zvýrazněné na obrázku výše.
7.3.5 Vzdálená konfigurace produktu prostřednictvím ERA Politiky slouží pro vzdálenou konfiguraci bezpečnostních produktů ESET stejně, jako kdybyste požadované změny prováděli přímo na klientovi v Rozšířeném nastavení. Na rozdíl od politik v Active Directory, politiky v ERA neumožňují provádění skriptů ani příkazů.
189
7.3.6 Přiřazení politiky skupině Poté co politiku vytvoříte ji můžete jedním z následujících kroků přiřadit Statické nebo Dynamické skupině: 1. V hlavním menu přejděte na záložku Administrace > Politiky. Vyberte politiku, přejděte do části Skupiny a klikněte na tlačítko Přiřadit skupině.
Ze seznamu vyberte požadovanou Skupinu.
2. V hlavním menu přejděte na záložku Administrace > Skupiny, vyberte konkrétní skupinu, klikněte na ikonu ozubeného kolečka a vyberte možnost Správa politik....
190
Následně klikněte na tlačítko Přidat politiku. Vyberte politiky, které chcete přiřadit dané skupině a klikněte na tlačítko OK. Akci dokončete kliknutím na tlačítko Uložit. Pro ověření, že je politika přiřazené skupině, přejděte do sekce Politiky a vyberte danou politiku. Následně uvidíte seznam skupin, které mají tuto politiku přiřazenou. Poznámka: Pro více informací o politikách přejděte do kapitoly Politiky.
7.3.7 Přiřazení politiky klientovi Poté co politiku vytvoříte ji můžete pomocí následujících kroků přiřadit konkrétnímu zařízení: V hlavním menu přejděte na záložku Administrace > Politiky. Vyberte politiku, přejděte do části Klienti a klikněte na tlačítko Přiřadit klientovi.
Vyberte cílové zařízení a klikněte na tlačítko OK. V případě potřeby můžete vybrat více zařízení. Politika se následně aplikuje na zařízení až se klient připojí k serveru.
191
7.4 Klientské úlohy Prostřednictvím klientských úloh můžete vzdáleně ovládat klientskou stanici a bezpečnostní produkt ESET na ní nainstalovaný. Do začátku jsme pro vás připravili řadu nejpoužívanějších úloh, které stačí jen spustit. Kdykoli si úlohy můžete přizpůsobit svým potřebám nebo vytvořit nové. Klientské úlohy můžete přiřadit jednotlivým počítačů nebo celým skupinám počítačů (statickým nebo dynamickým). Klientské úlohy se provedou na základě definované podmínky spuštění. Informace o provedení úlohy se na klienta přenese ve chvíli, kdy se ERA Agent připojí k serveru. To znamená, že prodleva mezi převzetím informace o provedení úlohy a vrácením jejího výsledku závisí na nastaveném intervalu komunikace ERA Agenta. Provádět můžete pouze níže uvedené typy úloh. Jednotlivé typy úloh jsou pro přehlednost rozděleny do kategorií: Všechny úlohy Bezpečnostní produkt ESET Aktivace produktu Aktualizace virové databáze Export konfigurace spravovaného produktu Instalace aplikace Kontrola serveru Nahrát soubor z karantény Správa karantény
192
Spustit servisní skript SysInspector Volitelná kontrola Vrátit předchozí aktualizaci virové databáze Vyžádat SysInspector protokol ESET Remote Administrator Aktualizace součástí ESET Remote Administrator Obnovit databázi Rogue Detection Sensor Obnovit klonovaného ERA Agenta Ukončit správu (odinstalovat ERA Agenta) Operační systém Aktualizace operačního systému Instalace aplikace Odeslat zprávu Odinstalace aplikace Spustit příkaz Ukončit správu (odinstalovat ERA Agenta) Vypnout počítač Mobil Aktivace produktu Aktualizace virové databáze Anti-Theft akce Export konfigurace spravovaného produktu Instalace aplikace Odeslat zprávu Ukončit správu (odinstalovat ERA Agenta) Volitelná kontrola
7.4.1 Spuštění klientské úlohy Klientskou úlohu můžete kdykoli spustit prostřednictvím ERA Web Console ze záložky Administrace > Klientské úlohy. Stačí úlohu označit a z kontextového menu vybrat možnost Spustit na nebo spustit Spustit znovu. U každé úlohy zároveň naleznete barevný ukazatel průběhu úlohy a také ikonu stavu úlohy. Tyto grafické prvky vám usnadní orientaci v seznamu všech úloh a díky nim snadno zjistíte, v jakém stavu se úloha nachází a na kolika počítačích již doběhla – aniž byste museli přejít až do detailu úlohy. Po kliknutí na stav úlohy se zobrazí kontextové menu, prostřednictvím kterého si můžete vyfiltrovat například pouze počítače, na kterých úloha nedoběhla a následně na těchto stanicích spustit úlohu znovu. DŮLEŽITÉ: Pokud chcete aby se úloha spustila, musíte ji přiřadit podmínku spuštění a cíl. V opačném případě budete mít pouze prázdnou šablonu úlohy, která se nespustí, protože nemá žádný cíl ani podmínku spuštění. 193
Poznámka: Vyhodnocení průběhu provádění úlohy závisí na mnoha faktorech (typu klientské úlohy, podmínce spuštění a počtu počítačů, na kterých se má spustit) a může chvíli trvat. Stav úlohy se tedy může změnit až se zpožděním od jejího skutečného provedení.
· Kontextové menu klientských úloh nabízí tyto možnosti:
Detaily... Kliknutím zobrazíte detaily o klientské úloze. Pokud následně přejdete na záložku Provedení, uvidíte informace o průběhu vykonávání úlohy. Z kontextového menu můžete rovnu aktivovat filtr, díky kterému si rychle zobrazíte pouze konkrétní stavy úlohy. Poznámka: Pokud máte klientské stanici nainstalován produkt ESET ve verzi 5.x a starší, zobrazí se informace: Úloha byla doručena spravovanému produktu. Změnit... Kliknutím upravíte parametry konkrétní klientské úlohy. To je vhodné ve chvíli, kdy chcete provést pouze drobnou úpravu. V opačném případě si vytvořte novou klientskou úlohu. Duplikovat... Po kliknutí vytvoříte kopii úlohy se stejnými parametry. Pouze zadejte nové jméno. Odstranit Kliknutím odstraníte vybranou klientskou úlohu. Spustit na... Po kliknutí můžete vytvořit novou podmínku spuštění a definovat nový cíl pro spuštění úlohy. Znovu spustit na cílech, kde selhala Vytvoří novou podmínku spuštění a jako cíle vyberete ty, na kterých poslední spuštění úlohy nedoběhlo úspěšně. Není potřeba měnit žádné nastavení, pouze klikněte na tlačítko Dokončit.
194
· Kontextové menu dostupné po kliknutí na konkrétní instanci klientské úlohy (pomocí ikonky
nejprve rozbalte
typ klientské úlohy) nabízí tyto možnosti: Změnit... Kliknutím upravíte konkrétní podmínku spuštění. Okamžitě spustit znovu... Po kliknutí znovu spustíte klientskou úlohu se stejnou podmínkou spuštění, tedy nad stejným cílem. Odstranit Kliknutím odstraníte vybranou podmínku spuštění. Duplikovat... Po kliknutí vytvoříte kopii podmínky spuštění se stejnými parametry. Pouze zadejte nové jméno.
7.4.1.1 Průběh úlohy Tento barevný ukazatel reprezentuje stav klientské úlohy a zobrazuje se ve sloupci Průběh. Ukazatel mění svoji barvu v závislosti na stavu úlohy a zároveň je doplněn o počet stanic, na kterých je úloha v tomto stavu. Průběh úlohy může nabývat těchto stavů: Běží (modrá) Úspěšně dokončena (zelená) Selhala (oranžová) Nově vytvořená úloha (prázdný ukazatel) – chvíli může trvat, než se změní stav a barva. Soba závisí na intervalu připojení ERA Agenta k serveru. Ukazatel bude rovněž prázdný, pokud jste nedefinovali žádnou podmínku spuštění.
195
Kombinace výše uvedených:
Po kliknutí na průběh úlohy si můžete snadno a rychle zobrazit počítače, na kterých úloha například nedoběhla. Více informací naleznete v kapitole kontextové menu. DŮLEŽITÉ: Tuto informaci poskytuje ERA Agent, tedy tento ukazatel reflektuje reálný stav klientské stanice.
7.4.1.2 Ikona stavu úlohy Ikona stavu úlohy se zobrazuje vedle ukazatele průběhu úlohy a pomáhá ke snadnější identifikaci stavu úlohy. Tuto informaci poskytuje ERA Server. Ikona může mít tyto stavy: Běží
Klientská úloha je spuštěna alespoň na jednom cíli, není naplánováno spuštění na dalších cílech ani úloha na žádném cíli neselhala. Úloha zůstane v tomto stavu do chvíle, než doběhne na všech cílech.
Dokončeno
Klientská úloha byla úspěšně dokončena na všech cílech a není naplánováno její spuštění na dalších cílech.
Chyba
Klientská úloha je spuštěna na všech cílech, ale nejméně na jednom skončila s chybou. Není naplánováno její spuštění na dalších cílech.
Naplánováno
Spuštění klientské úlohy je naplánováno, ale zatím nebyla spuštěna na žádném cíli.
Naplánováno/Běží Spuštění klientské úlohy je naplánováno, spustila se již na některých cílech a na žádném její provedení zatím neselhalo. Naplánováno/ Dokončeno
Spuštění klientské úlohy je naplánováno, na některých cílech již úspěšně doběhla a na žádném její provedení zatím neselhalo.
Naplánováno/ Chyba
Spuštění klientské úlohy je naplánováno, na žádném cíli neběží a nejméně na jednom cíli její provedení selhalo. Tento stav se zobrazí i v případě, kdy již na některých cílech úloha doběhla úspěšně
7.4.1.3 Kontextové menu Po kliknutí na barevný ukazatel průběhu úlohy se zobrazí kontextové menu, prostřednictvím kterého si můžete rychle zobrazit stanice, na kterých úloha doběhla, selhala atp. K dispozici máte tyto možnosti: · · · ·
Zobrazit naplánované, Zobrazit běžící, Zobrazit dokončené, Zobrazit neúspěšné.
Po vybrání jakékoli z výše uvedených možností se zobrazí dialogové okno s historií provedení úlohy. Mějte na paměti, že v dané chvíli je aktivní filtr na stav úlohy. To znamená, že pokud si zobrazíte pouze neúspěšné provedení úlohy, uvidíte počítače, na kterých úloha selhala. Filtr můžete kdykoli změnit nebo se jednoduše vrátit na předchozí obrazovku a zobrazit si počítače vyhovující jinému filtru.
196
Po kliknutí na název nebo popis počítače se zobrazí kontextové menu počítače, ze kterého si můžete rychle zobrazit detaily počítače, případně na něj spustit jinou úlohu. Pokud z kontextového menu vyberete možnost Historie, zobrazíte si detailní přehled o provedení úlohy na dané klientské stanici (spuštění, průběh, chybová zpráva atp.).
Poznámka: Pokud v historii provedení úlohy nevidíte žádný záznam, ujistěte se, že nemáte aktivní filtr pro časový výskyt, který by omezoval zobrazení položek na krátké časové období.
197
7.4.1.4 Podmínka spuštění klientské úlohy Pro spuštění klientské úlohy na koncové stanici musíte vytvořit nejprve její podmínku. Při vytváření podmínky spuštění nejprve vyberte cíl (počítač nebo skupinu), na kterém chcete úlohu spustit. Ve výchozím nastavení se úloha nad definovaným cílem spustí pouze jednou, ale v sekci podmínka spuštění si můžete parametry změnit a nastavit například opakované provádění úlohy. Pokud potřebujete upravit citlivost spouštění úlohy, využijte možnosti v sekce rozšířená nastavení. Obecné Zadejte popis podmínky a následně přejděte do sekce Cíl. Cíl V této části můžete vybrat klienty (jednotlivé počítače nebo celé skupiny), na kterých chcete úlohu spustit. Kliknutím na tlačítko Přidat cíle zobrazíte všechny statické a dynamické skupiny včetně jejich členů.
Po vybrání klientů klikněte na tlačítko OK a přejděte do sekce Podmínka spuštění. Podmínka spuštění – definuje, kdy se má úloha provést. · Ihned – spustí úlohu co nejdříve od chvíle, co klient kontaktuje ESET Remote Administrator Server a získá
informace o konkrétní úloze. Pokud úloha nebude klientovi doručena do data stanoveného v sekci Platnost do, úloha bude odebrána z fronty – úloha nebude odstraněna, pouze se neprovede. · Naplánované spuštění – spustí úlohu ve stanovený čas. Úlohu můžete provést pouze jednou, naplánovat opakované spouštění nebo spuštění definovat pomocí CRON výrazu. · Při výskytu události – spustí úlohu, pokud se v protokolech vyskytne definovaná událost. Při definování události můžete vybrat typ protokolu, použít logický operátor a kritéria filtrování. · Při připojení do dynamické skupiny – spustí úlohu při přesunutí klienta do definované dynamické skupiny. Tato možnost není dostupná při výběru jednotlivých klientů nebo statické skupiny.
198
Poznámka: Více informací o tvorbě podmínek naleznete v kapitole podmínky spuštění. Rozšířená nastavení – tuto funkci můžete pro snížení počtu provedení úlohy v případě, že použijete podmínku spuštění "Při výskytu události" nebo "Při výskytu klienta v dynamické skupině" a zabránit tak nadměrnému spuštění úlohy. Pro více informací přejděte do kapitoly zabránění aktivace podmínky spuštění. Po dokončení konfigurace této části klikněte na tlačítko Dokončit
7.4.2 Aktivace produktu Pomocí této úlohy vzdáleně aktivujete bezpečnostní produkt ESET nainstalovaný na zařízení. Pro vzdálenou aktivaci produktu ESET postupuje podle následujících kroků nebo tohoto článku v Databázi znalostí. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Nastavení Možnosti aktivace produktu – vyberte licenci, kterou chcete použít pro aktivaci produktu ESET nainstalovaného na cílovém zařízení. Pokud v seznamu nemáte žádnou licenci, přejděte do sekce Správa zařízení a licenci nejprve přidejte. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později. 199
7.4.3 Aktualizace operačního systému Pomocí této úlohy můžete na cílovém počítači provést aktualizaci operačního systému. Tuto úlohu lze spustit na Windows, Linuxu i OS X. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Nastavení · Automaticky přijmout EULA – po vybrání této možnosti EULA se nezobrazí uživateli. · Nainstalovat volitelné aktualizace – pokud vyberete tuto možnost, nainstalují se také volitelné aktualizace
operačního systému. · Povolit restart – tato možnost je platná pouze pro Windows a způsobí, že se operační systém restartuje po dokončení instalace aktualizací. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím 200
vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.4 Aktualizace součástí ESET Remote Administrator Pomocí této úlohy provedete aktualizaci komponent ERA infrastruktury (ERA Agent, ERA Proxy, ERA Server nebo MDM) na novější verzi. Poznámka: Pro vzorovou ukázku aktualizace ERA na novější verzi (6.2, 6.2 atp.) přejděte do této kapitoly. Další možnosti aktualizace ESET Remote Administrator máme popsány v Databázi znalostí. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
201
Nastavení · Referenční ESET Remote Administrator Server – ze seznamu vyberte referenční server. Referenční server určuje,
jaké verze ERA součástí a bezpečnostních produktů se nainstalují. · Automaticky restartovat, když je potřeba – vynutí restart operačního systému, pokud jej instalace vyžaduje.
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.5 Aktualizace virové databáze Pomocí této úlohy vynutíte ruční aktualizaci virové databázi bezpečnostního produktu ESET na cílové stanici. Toto je obecná úloha platná pro všechny bezpečnostní produkty bez ohledu na platformu. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
202
Nastavení · Vyprázdnit aktualizační cache – tato možnost odstraní všechny dočasné aktualizační soubory z klienta, což může
vyřešit většinu problémů s nefunkční aktualizací virové databáze. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.6 Anti-Theft akce Anti-Theft chrání mobilní zařízení před neoprávněným přístupem. Pokud zařízení uživatel ztratí, nebo mu bude odcizeno a vymění v něm SIM kartu za jinou (nedůvěryhodnou), ESET Endpoint Security pro Android automaticky zařízení uzamkne a na definované telefonní číslo(a) odešle SMS s upozorněním. Tato zpráva bude obsahovat telefonní číslo aktuálně vložené SIM karty, její IMSI (International Mobile Subscriber Identity) a IMEI telefonu (International Mobile Equipment Identity). Neoprávněný uživatel nebude vědět, že byla tato zpráva odeslána, protože se automaticky odstraní ze zařízení a vlákna odeslaných zpráv. Můžete si také vyžádat GPS souřadnice svého ztraceného mobilního zařízení nebo vzdáleně vymazat všechna data v něm uložená. Pokud máte zařízení spravujete prostřednictvím ERA, můžete výše uvedené akce provádět přímo z ERA prostřednictvím klientských úloh. Obecné Zadejte název úlohy, volitelně popis. 203
Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Nastavení · Najít – zařízení vrátí GPS souřadnice. Tuto informace uvidíte v detailech zařízení. Pokud bude získána přesnější · · · · ·
204
pozice, po 10 minutách odešle zařízení další informaci o své pozici. Uzamknout – zařízení se uzamkne a bude možné jej odblokovat pouze administrátorským heslem nebo vzdáleným příkazem. Odemknout – zařízení se odemkne a aktuálně vložená SIM karta bude přidána do seznamu důvěryhodných SIM karet (byla-li SIM karta vyměněna). Siréna – na zařízení se po dobu 5 minut spustí siréna, i pokud je hlasitost ztlumena. Vymazat – všechna data v zařízení bude odstraněna přepsáním souborů. ESET Endpoint Security zůstane na zařízení nainstalovaný. Tato akce může trvat několik hodin. Rozšířený reset do továrního nastavení – všechna data na zařízení budou vymazána zničením hlaviček souborů a zařízení se obnoví do továrního nastavení. Tato akce může trvat několik minut.
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.7 Export konfigurace spravovaného produktu Tuto úlohu můžete použít pro získání konfigurace bezpečnostního produktu ESET nebo jednotlivých součástí ERA infrastruktury z klientské stanice. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
205
Nastavení Export konfigurace spravovaného produktu · Produkt – vyberte ESET produkt nebo ERA komponentu, ze které chcete získat konfiguraci.
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
206
7.4.8 Instalace aplikace Pomocí této úlohy můžete na cílovou stanici nainstalovat konkrétní aplikaci. Primárně je tato úloha určena pro instalaci bezpečnostních produktů ESET, ale můžete ji použít k instalaci jakékoli aplikace. Pro vzdálenou instalaci aplikace postupuje podle následujících kroků nebo tohoto článku v Databázi znalostí. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Nastavení Klikněte na a vyberte vhodnou licenci pro aktivaci produktu nainstalovaného na cílovém zařízení. Odsouhlaste licenční ujednání koncového uživatele. Pro více informací přejděte do kapitoly Správa licence a EULA. Klikněte na a instalační balíček vyberte z repozitáře nebo zadejte konkrétní URL k instalačnímu balíčku (například http://download.eset.com/download/win/ees/ees_nt64_enu.msi). Poznámka: Mějte na paměti, že ERA Server i ERA Agent potřebuje přístup k internetu, aby si mohl stáhnout balíček z online repozitáře ESET. V opačném případě budete schopni instalovat pouze z lokální sítě. Pokud vyberete možnost Instalovat balíček z URL, adresu zadávejte ve tvaru: http://adresa_serveru/balicek.msi – pokud instalujete z veřejného serveru nebo máte v síti vlastní HTTP server, file://\\unc_cesta\balicek.msi – pokud instalujete ze síťového úložiště, file://C:\installs\balicek.msi – pokud je instalační balíček na klientské stanici, na které úlohu chcete spustit. V případě potřeby můžete zadat parametry instalace, jinak ponechte toto pole prázdné. Pokud chcete vynutit restart operační systému, pokud jej instalace vyžaduje, vyberte možnost Automaticky restartovat, když je potřeba. Necháte-li tuto možnost neaktivní, rozhodnutí o restartu je na uživateli počítače. 207
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.9 Kontrola volitelných cílů Prostřednictvím této úlohy zkontrolujete vybrané cíle, které na serveru vidí bezpečnostní produkt ESET (ESET File Security 6 nebo ESET Mail Security 6). Obecné Zadejte název úlohy, volitelně popis. Kontrolovaný server – klikněte na Vybrat a ve stromové struktuře najděte server, který chcete kontrolovat. Cíle kontroly – ze zobrazeného seznamu vyberte cíle, které chcete zkontrolovat. Poznámka: Prvotní získání cílů kontroly bude trvat polovinu intervalu, ve kterém má klientský produkt replikovat cíle. Například, pokud máte interval aktualizace nastaven na 60 minut, dostupné cíle budete mít k dispozici již po 30 minutách. Více informací naleznete v nápovědě klientských produktů v sekci ERA cíle kontroly.
208
Poznámka: Prostřednictvím této úlohy můžete vzdáleně na serveru spustit Hyper-V kontrolu, případně Volitelnou kontrolu databáze poštovních schránek.
7.4.10 Obnovit databázi ESET RD Sensor Pomocí této úlohy vymažete cache nástroje ESET Rogue Detection Sensor a provedete opětovné vyhledání zařízení v síti. To je užitečné v případě, kdy nalezená zařízení jsou v cache, ale jejich seznam nebyl předán ERA serveru. Poznámka: Provedením úlohy nedojde k odstranění již spravovaných zařízení z ERA Serveru. Pro tuto úlohu nejsou dostupná žádná rozšířená nastavení. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
209
7.4.11 Obnovit klonovaného ERA Agenta Tato úloha je užitečná ve chvíli, kdy jste operační systém s již nainstalovaným ERA Agentem nasazovali na počítače prostřednictvím vytvořeného obrazu. V takovém případě mají ERA Agenti stejné SID, což může způsobovat problémy. Pomocí této úlohy obnovíte ERA Agenty na cílových zařízeních a zajistíte unikátní ID pro každého ERA Agenta. Poznámka: Pro tuto úlohu nejsou dostupná žádná rozšířená nastavení. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později. 210
7.4.12 Odeslat zprávu Pomocí této funkce můžete odeslat zprávu na jakékoli zařízení (počítač, tablet, mobilní zařízení atp.). Zpráva se následně zobrazí uživateli na obrazovce. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Nastavení Zadejte předmět a obsah zprávy. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
211
7.4.13 Odinstalace aplikace Pomocí této úlohy můžete z cílové stanice odinstalovat produkty ESET. Pokud odinstalujete ERA Agenta, nastavení produktu ESET spravovaného prostřednictvím ERA Agenta zůstane zachováno. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Nastavení Možnosti odinstalace aplikace · Odinstalovat – aplikaci ze seznamu:
Název balíčku – vyberte součást ERA nebo bezpečnostní produktu ERA. V seznamu se zobrazí všechny nainstalované balíčky na dané stanici. Verze balíčku – vybrat můžete pouze konkrétní verzi dané aplikace případně odinstalovat všechny verze balíčku. Automaticky restartovat, když je potřeba – vynutí restart operační systému, pokud jej instalace vyžaduje.
212
· Odinstalovat – Antivirový program třetí strany pomocí nástroje ESET AV Remover – seznam podporovaných
antivirových programů naleznete v Databázi znalostí. Nejedná se o klasickou odinstalaci prostřednictvím systémového panelu Programy a funkce. Pro odstranění je použit nástroj třetí strany, který dokáže aplikaci odstranit kompletně včetně záznamů v registru. Postup pro odinstalaci jiných antivirových řešení naleznete v Databázi znalostí. · Pokud máte nastavení produktu ESET chráněno heslem, je potřeba jej zadat při vytváření odinstalační úlohy. V
opačném případě odinstalace selže s výsledkem Product: ESET Endpoint Security -- Error 5004. Enter a valid password to continue uninstallation . Jako parametr tedy zadejte PASSWORD=vašeheslo. Více informací naleznete v Databázi znalostí. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.14 Správa karantény Pomocí této úlohy můžete spravovat objekty uložené v karanténě ERA Server, ve které jsou uloženy infikované nebo podezřelé objekty, které nalezly bezpečnostní produkty ESET na klientských stanicích. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
213
Nastavení Nastavení správy karantény · Akce – vyberte akci, kterou chcete provést s objekty umístěnými v karanténě. K dispozici jsou následující
možnosti: - Obnovit objekt (obnoví objekt do svého původního umístění, ale nadále bude kontrolován a může být kdykoli znovu přesunut do karantény), - Obnovit objekt a příště vyloučit (obnoví objekt do svého původního umístění a vytvoří se na něj výjimka), - Vymazat objekt (trvale odstraní objekt). · Typ filtru – umožní filtrovat objekty v karanténě na základě níže uvedených kritérií. Filtrovat můžete podle hash objektu nebo podmínek. Nastavení filtru · Nastavení filtru kontrolních součtů – zadejte kontrolní součty objektů umístěných v karanténě. Přidat je možné · · · ·
pouze existující objekty z karantény. Výskyt od/do – vyberte časové období, ve kterém se objekt nacházel v karanténě. Minimální/maximální velikost (v bajtech) – definujte minimální a maximální velikost objektu v karanténě. Název hrozby – vyberte typ hrozby. Název objektu – vyberte objekt z karantény. Přehled
Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
214
7.4.15 Spustit příkaz Pomocí této úlohy spustíte na cílové stanici konkrétní příkaz. Poznámka: Settings are not available for this task.
Poznámka: Mějte na paměti, že zadaný příkaz se spustí tiše na pozadí. Uživatel tedy neuvidí žádný výstup. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Nastavení · Příkaz ke spuštění - zadejte příkaz, který chcete provést. · Pracovní složka – definujte složku, ve které chcete složku spustit.
215
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.16 Spustit servisní skript SysInspector Pomocí této úlohy můžete ze systému odstranit nechtěné objekty. Pro vytvoření servisního skriptu SysInspector je nejprve nutné z dané stanice získat ESET SysInspector protokol. Po získání protokolu můžete označit nežádoucí objekty, které chcete odstranit a upravený protokol spustit na cílové stanici. Poté dojde k odstranění označených objektů. Poznámka: Výsledek provedení úlohy naleznete v odpovídajícím přehledu (například provedené klientské úlohy). Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
216
Nastavení · Servisní skript SysInspector – pomocí tlačítka Procházet vyberte požadovaný servisní skript. · Akce – servisní skript následně nahrajte kliknutím na tlačítko Nahrát. Pokud si skript potřebujete prohlédnout,
například u již existující úlohy, můžete kliknout na tlačítko Stáhnout a poté si jej zobrazit. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.17 Ukončit správu (odinstalovat ERA Agenta) · Počítač – tato úloha odinstaluje ERA Agenta z cílového zařízení. · Mobil – tato úloha odregistruje zařízení z MDM.
DŮLEŽITÉ: Před odinstalací doporučujeme prostřednictvím speciální politiky obnovit nastavení produktu na standardní hodnoty (především deaktivovat ochranu heslem). Po odinstalaci produktu budou všechny klientské úlohy zrušeny a jejich stav (Běží, Dokončeno, Selhala) se nemusí v závislosti na aktuálním stavu replikace v ERA Web Console zobrazit správně.
1. Pokud nastavení produktu nechcete zachovat, přiřaďte zařízení politiku s výchozím nastavením (případně vámi požadovaným nastavením). 2. Před odstraněním zařízení z ERA vyčkejte a ověřte si, že skutečně došlo k aplikaci politiky z kroku 1. Poznámka: Pro tuto úlohu nejsou dostupná žádná rozšířená nastavení. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
217
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.18 Vrátit předchozí aktualizaci virové databáze Pokud máte podezření, že nová aktualizace virové databáze je poškozená nebo způsobuje nestabilní chování počítače, pomocí této úlohy můžete vrátit virovou databázi do předchozího stavu a na stanovený časový interval zakázat další aktualizace. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
218
Nastavení V této části stanovte interval, po jakou dobu chcete pozastavit aktualizace. Akce · Povolit aktualizace – opětovně povolí aktualizace. · Vrátit předchozí aktualizace a pozastavit na – vyberte interval (24/36/48 hodin), na jakou dobu chcete aktualizace
pozastavit. Při použití možnosti do odvolání buďte opatrní, představuje bezpečnostní riziko. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
219
7.4.19 Volitelná kontrola Pomocí této úlohy spustíte vzdáleně kontrolu na cílové stanici na přítomnost škodlivého kódu. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
Nastavení Vypnout po dokončení kontroly – vybraním této možnosti zajistíte vypnutí počítače po dokončení kontroly.
220
Profil kontroly – k dispozici jsou následující možnosti: · Hloubková kontrola – předdefinovaný nejdůkladnější profil kontroly, který zkontroluje všechny soubory, což si na
druhou stranu vyžádá velké množství systémových prostředků a kontrola potrvá déle. · Smart kontrola – Smart kontrola slouží pro rychlé spuštění kontroly počítače a automaticky léčí nebo odstraňuje
infikované soubory a nevyžaduje interakci uživatele. Výhodou Smart kontroly je snadná obsluha, kdy není nutné cokoli dalšího konfigurovat. Smart kontrola zkontroluje všechny soubory na lokálních jednotkách a automaticky je vyléčí nebo odstraní. Úroveň léčení je nastavena na standardní úroveň. · Kontrola z kontextového menu – použije se předdefinovaný profil na klientovi a vybrat můžete cíle kontroly. · Vlastní profil – vám umožní vytvořit profil s odlišnými parametry kontroly (cíli kontroly a úrovní léčení). Výhodou
tohoto profilu je, že si kontrolu můžete přizpůsobit vašim potřebám. Po dokončení nastavení si výsledný profil kontroly můžete na klientovi uložit pro použití v budoucnu. Před provedením kontroly s tímto profilem již musí být profil vytvořen. Následně při vytváření úlohy vyberte z rozbalovacího menu možnost Vlastní profil a níže zadejte název vytvořeného profilu, který chcete při kontrole použít. Léčení Standardně je vybrána možnost Kontrolovat a léčit. To znamená, že nalezené infiltrace budou automaticky vyléčeny, případě přesunuty do karantény. Cíle kontroly V této části můžete vybrat klienty (jednotlivé počítače nebo celé skupiny), na kterých chcete úlohu spustit. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.20 Vyžádat SysInspector protokol Pomocí této možnosti získáte SysInspector protokol z bezpečnostního produktu na cílové stanici, který tuto funkci podporuje. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
221
Nastavení · Uložit protokol na klienta – vyberte tuto možnost, pokud chcete SysInspector protokol odeslat nejen na ERA
Server, ale nechat jej uložený také na klientovi. Pokud bude máte na klientovi nainstalován například ESET Endpoint Antivirus, protokol se standardně uloží do složky C:\ProgramData\ESET\ESET Endpoint Antivirus \SysInspector. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.21 Vypnout počítač Prostřednictvím této úlohy můžete vzdáleně restartovat nebo vypnout počítač. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění. 222
Nastavení · Restartovat počítač – tuto možnost vyberte pouze v případě, pokud chcete cílový počítač restartovat.
Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
7.4.22 Získat soubor z karantény Pomocí této úlohy můžete vzdáleně získat obsah karantény z cílové stanice. Obecné Zadejte název úlohy, volitelně popis. Cíl DŮLEŽITÉ: Cíl již není možné definovat při vytváření nové klientské úlohy. Dokončete vytvoření úlohy a následně vytvořte podmínku pro její spuštění.
223
Nastavení · Objekt v karanténě – vyberte objekt v karanténě, který chcete získat. · Heslo k objektu – zadejte heslo, kterým bude výsledný archiv z bezpečnostních důvodů opatřen. Mějte na paměti,
že heslo se zobrazí v odpovídajícím přehledu. · Kam nahrát – zadejte umístění, do kterého chcete objekt z karantény nahrát. · Uživatelské jméno/heslo – pokud je pro přístup a zápis do zadaného umístění (síťové úložiště atp.) vyžadováno oprávnění, zadejte platné přihlašovací údaje. Přehled Zkontrolujte, zda parametry klientské úlohy vyhovují vašim potřebám a klikněte na tlačítko Dokončit. Po jejím vytvoření doporučujeme úloze přiřadit podmínku spuštění, prostřednictvím které definujte cíl, nad kterým chcete úlohu spustit. V opačném případě byste měli vytvořenou pouze šablonu úlohy. Pokud kliknete na tlačítko Zavřít, podmínku spuštění můžete vytvořit kdykoli později.
224
7.4.23 Přiřazení úlohy skupině Pro vytvoření nové úlohy a její přiřazení požadované skupině přejděte v hlavním menu ERA Web Console na záložku Administrace > Skupiny. Vyberte Statickou nebo Dynamickou skupinu, klikněte na ikonu ozubeného kolečka a vyberte možnost Nová úloha..., případně klikněte v dolní části okna na tlačítko Skupina.
Tu samou akci můžete provést také ze záložky Počítače. Vyberte Statickou nebo Dynamickou skupinu, klikněte na ikonu ozubeného kolečka a vyberte možnost Nová úloha.... Následně se zobrazí průvodce vytvořením nové klientské úlohy.
7.4.24 Přiřazení úlohy počítačům Novou úlohu můžete přiřadit počítačům třemi způsoby: 1. V hlavním menu přejděte na záložku Nástěnka > Problémové počítače, vyberte možnost případně použijte kontextovou nabídku a vyberte cílové počítače.
Nová úloha...,
225
2. V hlavním menu přejděte na záložku Počítače, vyberte cílový počítač a z kontextového menu vyberte položku Nová úloha....
3. V hlavním menu přejděte na záložku Administrace > Skupiny, vyberte cílový počítač, klikněte na tlačítko Úlohy a z kontextového menu vyberte položku Nová úloha....
Následně se zobrazí průvodce vytvořením klientské úlohy.
226
7.5 Serverové úlohy Serverové úlohy představují účinný nástroj pro automatizaci akcí, které vykonává ERA Server. Serverové úlohy používají podmínky spuštění, které zajistí okamžité provedení úlohy při výskytu definované události na ERA Serveru. Poznámka: Serverové úlohy, kromě nasazení ERA Agenta, není možné přiřadit jednotlivým klientům nebo skupinám. Prostřednictvím ERA Serveru můžete: · Synchronizovat statické skupiny a aktualizovat informace o zařízeních v jednotlivých skupinách. · Nasadit ERA Agenta na klientské stanice. · Vygenerovat přehled při událostech, o kterých chcete být informováni. · Přejmenovat počítače do FQDN formátu. · Odstranit nepřipojující se počítače z ERA Web Console. · Synchronizovat uživatele a mít tak v ERA aktuální seznamů uživatelů i skupin.
7.5.1 Generování přehledu Pomocí této úlohy můžete vygenerovat přehledy o stavu ERA infrastruktury. Použít můžete již existující šablony přehledů nebo si vytvořit nové.
Nastavení Šablona přehledu – ze seznamu vyberte šablonu přehledu.
227
Přehled můžete odeslat e-mailem nebo si jej uložit do souboru. V případě potřeby můžete vybrat obě možnosti. ODESLAT E-MAILEM Pro odesílání a příjem e-mailů je nutné nakonfigurovat připojení k SMTP serveru v Nastavení serveru > Rozšířená nastavení. E-mail · Komu – zadejte e-mailové adresy příjemců, kterým chcete odeslat přehled. Více adres oddělte čárkou, případně
můžete přidat další příjemce do pole Kopie nebo Skrytá kopie. · Předmět – zadejte předmět zprávy. Toto pole není povinné, ale doporučujeme zadat výrazný předmět, takový, abyste si mohli e-maily pohodlně třídit ve svém poštovním klientovi. · Obsah zprávy – zadejte obsah zprávy. · Odeslat e-mail, pokud je přehled prázdný – pomocí této možnosti zajistíte odesílání e-mailu také v případě, že v přehledu nebudou žádná data. Možnosti tisku Po kliknutí na odkaz Zobrazit možnosti tisku se zobrazí následující možnosti: · Výstupní formát – vyberte formát, do kterého chcete přehled vygenerovat. Přehled se připojí jako příloha ke
zpráva a můžete si jej vytisknout. · Výstupní jazyk – vyberte jazyk zprávy. Standardně se použije jazyk, ve kterém používáte ERA Web Console. · Velikost stránky/rozlišení (DPI)/orientace stránky/možnosti barvy/jednotky/okraje – toto nastavení použijte, pokud chcete následně přehled tisknout do PDF nebo PS formátu. Vyberte možnosti, které vyhovují vašim potřebám. Pro výstup do CSV není potřeba měnit tato nastavení. Poznámka: Přehled můžete generovat do několika druhů souborů. Při použití CSV formátu bude datum a čas uložen v UTC formátu. Pokud budete přehled generovat do PDF nebo PS, použije se lokální čas serveru. ULOŽIT DO SOUBORU Možnosti souboru
228
· Relativní cesta k souboru – soubor s přehledem se vygeneruje do zadané složky. Standardně se ukládá do složky:
Na Windows se přehledy standardně ukládají do složky: C:\ProgramData\ESET\RemoteAdministrator\Server \EraServerApplicationData\Data\GeneratedReports\ Na starších Windows systémech do složky: C:\Users\All Users\ESET\RemoteAdministrator\Server \EraServerApplicationData\Data\GeneratedReports\ Na linuxových distribucích se přehledy standardně ukládají do složky: /var/opt/eset/RemoteAdministrator/Server/ GeneratedReports/ · Uložit soubor, pokud je přehled prázdný – pomocí této možnosti zajistíte vytvoření souboru také v případě, že v
přehledu nebudou žádná data. Možnosti tisku Po kliknutí na odkaz Zobrazit možnosti tisku se zobrazí následující možnosti: · Výstupní formát – vyberte formát, do kterého chcete přehled vygenerovat. Přehled se připojí jako příloha ke
zpráva a můžete si jej vytisknout. · Výstupní jazyk – vyberte jazyk zprávy. Standardně se použije jazyk, ve kterém používáte ERA Web Console. · Velikost stránky/rozlišení (DPI)/orientace stránky/možnosti barvy/jednotky/okraje – toto nastavení použijte, pokud chcete následně přehled tisknout do PDF nebo PS formátu. Vyberte možnosti, které vyhovují vašim potřebám. Pro výstup do CSV není potřeba měnit tato nastavení. Poznámka: Přehled můžete generovat do několika druhů souborů. Při použití CSV formátu bude datum a čas uložen v UTC formátu. Pokud budete přehled generovat do PDF nebo PS, použije se lokální čas serveru. Podmínky spuštění Vyberte existující podmínku spuštění, případně vytvořte novou. Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Úloha se vytvoří a bude připravena k použití. Poznámka: Na Ubuntu Server je nutné doinstalovat X Server a xinit pro správnou funkci tisku PDF přehledů. Tyto součásti doinstalujete pomocí následujících příkazů: sudo apt-get install server-xorg sudo apt-get install xinit startx
229
7.5.2 Odstranění nepřipojujících se počítačů Tuto úlohu můžete použít pro automatické promazání počítačů zobrazených v ERA Web Console. Úlohu můžete nastavit například tak, že odstraní všechny počítače, které se nepřipojili více než 30 dní. Obecné Zadejte název, volitelně popis. Pokud chcete úlohu spustit okamžitě po jejím vytvoření, vyberte možnost Spustit úlohu okamžitě po dokončení. Nastavení · Název skupiny – vyberte statickou nebo dynamickou skupinu, ze které chcete odstranit nepřipojující se počítač. · Počet dní, po které se počítač nepřipojil – zadejte počet dní. · Deaktivovat licenci – tuto možnost vyberte, pokud chcete na cílovém počítači deaktivovat produkt ESET. · Odebrat nespravované počítače – tuto možnost vyberte, pokud chcete odstranit také nespravované počítače.
Podmínka spuštění Vyberte již existující podmínku spuštění, případně vytvořte novou. Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Úloha se vytvoří a bude připravena k použití. Synchronizovány jsou standardně pouze počítače s operačním systémem Windows. Pokud máte ve Windows doméně také počítače s Linuxem, a chcete je pomocí této úlohy také synchronizovat, musíte dané počítače označit jako viditelné. Linuxové počítače ve Windows doméně nezobrazují žádný text ve vlastnostech počítače v ADUC (Active Directory Users and computers), proto je nutné tuto informaci zadat ručně.
7.5.3 Nasazení ERA Agenta Vzdálené nasazení ERA Agenta z webové konzole provedete prostřednictvím serverové úlohy. Pro vytvoření nové úlohy přejděte v hlavním menu na záložku Administrace > Serverové úlohy. Vyberte úlohu Nasazení ERA Agenta a klikněte na tlačítko Nová.... Poznámka: Hromadné nasazení ERA Agenta doporučujeme nejprve otestovat na menším vzorku klientů. Před zahájením testování doporučujeme rovněž upravit interval komunikace ERA Agenta. Pro úspěšné nasazení ERA Agenta musí mít ERA Server i cílová stanice přístup k internetu. Obecné Nejprve zadejte Název úlohy (například Nasazení agenta) a jako vyberte Typ úlohy vyberte Nasazení ERA Agenta. Pole Popis je nepovinné. Nastavení
230
· Automaticky vybrat správného agenta – pokud máte v síti klienty s rozdílnými operačními systémy (Windows,
· · · ·
· ·
Linux, OS X), vybráním této možnosti dojde před samotnou instalací k detekci operačního systému a následně se pro instalaci vyberte správný balíček ERA Agenta. Cíle – kliknutím vyberte klienty, na které chcete úlohu odeslat. Uživatelské jméno/Heslo – přihlašovací údaje uživatele, který má dostatečná oprávnění pro vzdálenou instalaci. Název serveru (nepovinné) – zadejte název serveru, pokud je na straně klienta jiný, než na straně serveru. Klientský certifikát/ERA certifikát – jedná se o bezpečnostní certifikát a certifikační autoritu pro instalace ERA Agenta. Vybrat můžete výchozí certifikát a certifikační autoritu nebo použít vlastní sadu certifikátů. Pro více informací o certifikátech přejděte do kapitoly certifikáty. Vlastní certifikát – pokud jste vybrali možnost použít vlastní certifikát, vyberte jej v této sekci. Heslo k certifikátu – heslo, které jste definovali při instalaci ERA Serveru, případně při vytváření vlastní certifikační autority nebo certifikátu. Poznámka: ERA Server dokáže automaticky rozpoznat cílový operační systém a podle toho vybrat správný instalační balíček ERA Agenta. Pokud chcete balíček vybrat ručně, deaktivujte možnost Automaticky vybrat správného agenta a následně si z repozitáře vyberte balíček, který chcete použít. Cíl
V této části můžete vybrat klienty (jednotlivé počítače nebo celé skupiny), na kterých chcete úlohu spustit. Kliknutím na tlačítko Přidat cíle zobrazíte všechny statické a dynamické skupiny včetně jejich členů.
Po vybrání klientů klikněte na tlačítko OK a přejděte do sekce Podmínka spuštění.
231
Podmínka spuštění – definuje, kdy se má úloha provést. · Ihned – spustí úlohu co nejdříve od chvíle, co klient kontaktuje ESET Remote Administrator Server a získá
informace o konkrétní úloze. Pokud úloha nebude klientovi doručena do data stanoveného v sekci Platnost do, úloha bude odebrána z fronty – úloha nebude odstraněna, pouze se neprovede. · Naplánované spuštění – spustí úlohu ve stanovený čas. Úlohu můžete provést pouze jednou, naplánovat opakované spouštění nebo spuštění definovat pomocí CRON výrazu. · Při výskytu události – spustí úlohu, pokud se v protokolech vyskytne definovaná událost. Při definování události můžete vybrat typ protokolu, použít logický operátor a kritéria filtrování. · Při připojení do dynamické skupiny – spustí úlohu při přesunutí klienta do definované dynamické skupiny. Tato možnost není dostupná při výběru jednotlivých klientů nebo statické skupiny. Poznámka: Více informací o tvorbě podmínek naleznete v kapitole podmínky spuštění. Rozšířená nastavení – tuto funkci můžete pro snížení počtu provedení úlohy v případě, že použijete podmínku spuštění "Při výskytu události" nebo "Při výskytu klienta v dynamické skupině" a zabránit tak nadměrnému spuštění úlohy. Pro více informací přejděte do kapitoly zabránění aktivace podmínky spuštění. Po dokončení konfigurace této části klikněte na tlačítko Dokončit Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Úloha se vytvoří a bude připravena k použití. Poznámka: Pokud se při vzdálené instalaci ERA Agenta setkáte s problémy (například selže serverová úloha Nasazení ERA Agenta), přejděte do kapitoly Řešení problémů.
7.5.4 Přejmenování počítačů Prostřednictvím této úlohy automaticky přejmenujete počítače v ERA Web Console do FQDN formátu a odstraníte duplicitní počítače. Tato úloha je v ERA předdefinována a spouští se pravidelně každou hodinu nad statickou skupinou Ztráty a nálezy. V případě potřeby můžete použít a upravit již existující úlohu nebo si vytvořit novou. Obecné Zadejte název, volitelně popis. Pokud chcete úlohu spustit okamžitě po jejím vytvoření, vyberte možnost Spustit úlohu okamžitě po dokončení. Nastavení Název skupiny – vyberte statickou nebo dynamickou skupinu, ve které chcete počítače přejmenovat. Přejmenovat na základě: · Název počítače · FQDN (Fully Qualified Domain Name) počítače
Nastavení případného konfliktu je definováno v serverové úloze Synchronizace statické skupin. Po dokončení přejmenování zkontrolujte pouze názvy počítačů, které se nacházejí mimo synchronizovaný strom. Podmínka spuštění Vyberte již existující podmínku spuštění, případně vytvořte novou. Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Úloha se vytvoří a bude připravena k použití. Synchronizovány jsou standardně pouze počítače s operačním systémem Windows. Pokud máte ve Windows doméně také počítače s Linuxem, a chcete je pomocí této úlohy také synchronizovat, musíte dané počítače označit 232
jako viditelné. Linuxové počítače ve Windows doméně nezobrazují žádný text ve vlastnostech počítače v ADUC (Active Directory Users and computers), proto je nutné tuto informaci zadat ručně.
7.5.5 Synchronizace statické skupiny Serverová úloha pro synchronizaci statické skupiny prohledá síť (Active Directory, Open Directory, LDAP, lokální síť nebo WMware) a nalezené počítače umístí do statické skupiny. Nebudete je tak muset přidávat ručně. Pokud jste synchronizaci s Active Directory povolili již v průběhu instalace ERA serveru, počítače se automaticky včetně správného zařazení do organizačních jednotek přidají do nejnadřazenější skupiny Všechny zařízení. V hlavním menu ERA Web Console přejděte na záložku Administrace > Serverové úlohy > Synchronizace statické skupiny a klikněte na tlačítko Nová.... Obecné Zadejte název, volitelně popis. Pokud chcete úlohu spustit okamžitě po jejím vytvoření, vyberte možnost Spustit úlohu okamžitě po dokončení. Nastavení Nejprve vyberte nadřazenou statickou skupinu, do které chcete počítače synchronizovat. · Objekty k synchronizaci – synchronizovat můžete Počítače a skupiny nebo Pouze počítače. · Akce při výskytu kolize během vytváření počítače – pokud se při synchronizaci vyskytnou duplicitní záznamy,
pomocí této možnosti vyberte akci, jak chcete tuto situaci vyřešit: Přeskočit (synchronizovaná zařízení nebudou přidána), Přesunout (synchronizovaná zařízení budou přesunuta do podskupiny) nebo Duplikovat (synchronizovaná zařízení budou přidána pod jiným názvem). · Akce při odstranění počítače – pokud počítač neexistuje, můžete jej Odstranit nebo Přeskočit. · Akce při odstranění skupiny – pokud skupina neexistuje, můžete ji Odstranit nebo Přeskočit. K dispozici jsou tři režimy synchronizace: · Active Directory/Open Directory/LDAP – zadejte informace pro připojení k serveru (název serveru, přihlašovací
jméno a heslo). Pro více informací přejděte do této kapitoly. · Síť MS Windows – zadejte název pracovní skupiny a přihlašovací údaje. · VMware – zadejte informace pro připojení k VMWare vCenter Serveru (název nebo IP adresu serveru a přihlašovací údaje). Pro více informací přejděte do této kapitoly. Nastavení synchronizace Microsoft Windows Network: o Pracovní skupina – název pracovní skupiny, se kterou chcete počítače synchronizovat. o Uživatelské jméno – zadejte přihlašovací údaje do sítě Windows. o Heslo – zadejte heslo k výše uvedenému uživatelskému účtu do sítě Windows. Podmínky spuštění Vyberte existující podmínku spuštění, případně vytvořte novou. Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Úloha se vytvoří a bude připravena k použití. Synchronizovány jsou standardně pouze počítače s operačním systémem Windows. Pokud máte ve Windows doméně také počítače s Linuxem, a chcete je pomocí této úlohy také synchronizovat, musíte dané počítače označit jako viditelné. Linuxové počítače ve Windows doméně nezobrazují žádný text ve vlastnostech počítače v ADUC (Active Directory Users and computers), proto je nutné tuto informaci zadat ručně.
233
7.5.5.1 Synchronizace statické skupiny s Active Directory V hlavním menu ERA Web Console přejděte na záložku Administrace > Serverové úlohy > Synchronizace statické skupiny a klikněte na tlačítko Nová.... Obecné Zadejte název, volitelně popis. Pokud chcete úlohu spustit okamžitě po jejím vytvoření, vyberte možnost Spustit úlohu okamžitě po dokončení. Nastavení Nejprve vyberte nadřazenou statickou skupinu, do které chcete počítače synchronizovat. · Objekty k synchronizaci – synchronizovat můžete Počítače a skupiny nebo Pouze počítače. · Akce při výskytu kolize během vytváření počítače – pokud se při synchronizaci vyskytnou duplicitní záznamy,
pomocí této možnosti vyberte akci, jak chcete tuto situaci vyřešit: Přeskočit (synchronizovaná zařízení nebudou přidána), Přesunout (synchronizovaná zařízení budou přesunuta do podskupiny) nebo Duplikovat (synchronizovaná zařízení budou přidána pod jiným názvem). · Akce při odstranění počítače – pokud počítač neexistuje, můžete jej Odstranit nebo Přeskočit. · Akce při odstranění skupiny – pokud skupina neexistuje, můžete ji Odstranit nebo Přeskočit. K dispozici jsou tři režimy synchronizace: · Active Directory/Open Directory/LDAP – zadejte informace pro připojení k serveru (název serveru, přihlašovací
jméno a heslo). Pro více informací přejděte do této kapitoly. · Síť MS Windows – zadejte název pracovní skupiny a přihlašovací údaje. · VMware – zadejte informace pro připojení k VMWare vCenter Serveru (název nebo IP adresu serveru a přihlašovací údaje). Pro více informací přejděte do této kapitoly. Nastavení připojení k serveru: · Server – název nebo IP adresa doménového řadiče. · Uživatelské jméno – zadejte údaje pro přihlášení k doménovému řadiči ve formátu doména\uživatel. · Heslo – zadejte heslo k uživatelskému účtu. · Použít LDAP místo Active Directory – po vybrání této možnosti můžete zadat detailní informace pro připojení k
serveru. Případně využijte Předvolby, ze kterých vyberte typ vašeho serveru. Následně dojde k načtení výchozích parametrů, které můžete jednoduše upravit. Nastavení synchronizace: · Distinguished name – cesta (Distinguished Name) k uzlu ve stromové struktuře Active Directory. Pokud
ponecháte toto pole prázdné, synchronizuje se celý AD strom. · Vyloučené distinguished name – pomocí této možnosti můžete vyloučit ze synchronizace konkrétní uzly
stromové struktury Active. · Ignorovat deaktivované počítače (pouze v Active Directory) – vybráním této možnosti budou při synchronizaci
skupiny přeskočeny deaktivované počítače v Active Directory. Podmínka spuštění Vyberte již existující podmínku spuštění, případně vytvořte novou. Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Úloha se vytvoří a bude připravena k použití. Synchronizovány jsou standardně pouze počítače s operačním systémem Windows. Pokud máte ve Windows doméně také počítače s Linuxem, a chcete je pomocí této úlohy také synchronizovat, musíte dané počítače označit jako viditelné. Linuxové počítače ve Windows doméně nezobrazují žádný text ve vlastnostech počítače v ADUC (Active Directory Users and computers), proto je nutné tuto informaci zadat ručně.
234
7.5.5.2 Synchronizace statické skupiny - Linuxové počítače Linuxové počítače ve Windows doméně nezobrazují žádný text ve vlastnostech počítače v ADUC (Active Directory Users and computers), proto je nutné tuto informaci zadat ručně. · Zkontrolujte požadavky na instalaci serveru a následující předpoklady: · Linuxové počítače jsou v Active Directory. · Doménový řadič je zároveň DNS serverem. · Je nainstalován ADSI Edit.
1. 2. 3. 4. 5.
Otevřete příkazový řádek a zadejte příkaz adsiedit.msc V hlavním menu klikněte na Akce > Připojit k.... Následně se zobrazí dialogové okno Nastavení připojení. Vyberte možnost Dobře známý názvový kontext. Z rozbalovacího menu vyberte Výchozí názvový kontext. Po kliknutí na tlačítko OK se v levé části Editoru ADSI zobrazí položka s názvem vašeho doménového kontroleru Výchozí názvový kontext [název vašeho serveru]. 6. Klikněte na nově přidanou ADSI položku a rozbalte její podskupinu. 7. Přejděte do podskupiny CN (Common Name) nebo OU (Organizational Unit), ve které jsou zobrazeny Linuxové počítače. 8. Vyberte konkrétní Linuxový počítače a z kontextového menu vyberte možnost Vlastnosti. V zobrazeném dialogovém okně přejděte na parametr dNSHostName a klikněte na tlačítko Změnit. 9. Změňte hodnotu z na platný text (například, ubuntu.TEST). 10. Akci dokončete kliknutím na tlačítko OK > OK. Otevřete ADUC, zobrazte si vlastnosti konkrétního Linuxového počítače a následně byste již měli vidět vámi zadaný text.
7.5.5.3 Synchronizace statické skupiny s VMware ESET Remote Administrator podporuje synchronizaci s VMware vCenter Server. To znamená, že se po provedení synchronizace uvidíte v ERA Web Console své virtuální počítače. V hlavním menu ERA Web Console přejděte na záložku Administrace > Serverové úlohy > Synchronizace statické skupiny a klikněte na tlačítko Nová.... Obecné Zadejte název, volitelně popis. Pokud chcete úlohu spustit okamžitě po jejím vytvoření, vyberte možnost Spustit úlohu okamžitě po dokončení. Nastavení Nejprve vyberte nadřazenou statickou skupinu, do které chcete počítače synchronizovat. · Objekty k synchronizaci – synchronizovat můžete Počítače a skupiny nebo Pouze počítače. · Akce při výskytu kolize během vytváření počítače – pokud se při synchronizaci vyskytnou duplicitní záznamy,
pomocí této možnosti vyberte akci, jak chcete tuto situaci vyřešit: Přeskočit (synchronizovaná zařízení nebudou přidána), Přesunout (synchronizovaná zařízení budou přesunuta do podskupiny) nebo Duplikovat (synchronizovaná zařízení budou přidána pod jiným názvem). · Akce při odstranění počítače – pokud počítač neexistuje, můžete jej Odstranit nebo Přeskočit. · Akce při odstranění skupiny – pokud skupina neexistuje, můžete ji Odstranit nebo Přeskočit. K dispozici jsou tři režimy synchronizace: · Active Directory/Open Directory/LDAP – zadejte informace pro připojení k serveru (název serveru, přihlašovací
jméno a heslo). Pro více informací přejděte do této kapitoly. · Síť MS Windows – zadejte název pracovní skupiny a přihlašovací údaje. · VMware – zadejte informace pro připojení k VMWare vCenter Serveru (název nebo IP adresu serveru a přihlašovací údaje). Pro více informací přejděte do této kapitoly. Nastavení připojení k serveru:
235
· Server – název nebo IP adresa VMware vCenter Server. · Uživatelské jméno – zadejte přihlašovací údaje k VMware vCenter Server. · Heslo – zadejte heslo k výše uvedenému uživatelskému účtu k VMware vCenter Server.
Nastavení synchronizace: Zobrazit strukturu – vyberte typ struktury (Složky nebo Resource pool). Cesta ke struktuře – kliknutím na Procházet vyberte uzel, který chcete synchronizovat. Pokud nevyberete nic, synchronizuje se celá struktura. Zobrazit počítač – rozhodněte se, zda chcete počítače zobrazit podle jména, názvu počítače nebo IP adresy. Podmínka spuštění Vyberte již existující podmínku spuštění, případně vytvořte novou. Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit. Úloha se vytvoří a bude připravena k použití. Synchronizovány jsou standardně pouze počítače s operačním systémem Windows. Pokud máte ve Windows doméně také počítače s Linuxem, a chcete je pomocí této úlohy také synchronizovat, musíte dané počítače označit jako viditelné. Linuxové počítače ve Windows doméně nezobrazují žádný text ve vlastnostech počítače v ADUC (Active Directory Users and computers), proto je nutné tuto informaci zadat ručně.
7.5.6 Synchronizace uživatelů Prostřednictvím této úlohy načtete do ERA informace o uživatelích a skupinách z adresářového serveru (například Active Directory). V hlavním menu ERA Web Console přejděte na záložku Administrace > Serverové úlohy, jako typ úlohy vyberte Synchronizace uživatelů a klikněte na tlačítko Nová.... Obecné Zadejte název, volitelně popis. Pokud chcete úlohu spustit okamžitě po jejím vytvoření, vyberte možnost Spustit úlohu okamžitě po dokončení. Nastavení Nejprve vyberte nadřazenou skupinu uživatelů, do které chcete uživatele synchronizovat. · Akce při výskytu kolize během vytváření uživatele – nastat mohou dva případy:
1. Ve skupině jsou dva uživatelé se stejným jménem. 2. Již existuje uživatel se stejným SID (kdekoli v systému). Nastavit můžete toto chování: Přeskočit – uživatel nebude v průběhu synchronizace přidán do ERA. Přepsat – existující uživatel v ERA bude nahrazen uživatel ze zdroje synchronizace. Pokud budou mít uživatelé stejné SID, uživatel z ERA bude odstraněn (i pokud se nachází v jiné skupině). · Akce při odstranění uživatele – pokud uživatel ve zdroji synchronizace neexistuje, můžete jej odstranit nebo
ponechat a přeskočit jej. · Akce při odstranění skupiny uživatelů – pokud skupina uživatelů ve zdroji synchronizace neexistuje, můžete ji odstranit nebo ponechat a přeskočit ji.
236
Poznámka: Pokud pravidelně synchronizujete uživatele z Active Directory, nastavte akci při výskytu kolize běhen vytváření uživatele na Přeskočit. V opačném případě by došlo k přepsání ručně definovaných atributů. Nastavení připojení k serveru: · Server – název nebo IP adresa doménového řadiče. · Uživatelské jméno – zadejte údaje pro přihlášení k doménovému řadiči ve formátu doména\uživatel. · Heslo – zadejte heslo k uživatelskému účtu. · Použít LDAP místo Active Directory – po vybrání této možnosti můžete zadat detailní informace pro připojení k
serveru. Případně využijte Předvolby, ze kterých vyberte typ vašeho serveru. Následně dojde k načtení výchozích parametrů, které můžete jednoduše upravit. K dispozici jsou tyto možnosti: o Active Directory o Mac OS X Server Open Directory (Názvy počítačů) o Mac OS X Server Open Directory (IP adresy počítačů) o OpenLDAP se Samba záznamy – nastavte parametry DNS jmen v Active Directory. Nastavení synchronizace: · Distinguished name – cesta (Distinguished Name) k uzlu ve stromové struktuře Active Directory. Pokud
ponecháte toto pole prázdné, synchronizuje se celý AD strom. Atributy uživatelů a skupin uživatelů: Výchozí atributy pro úspěšnou synchronizaci k adresářovým serverem. Pokročilé atributy uživatele: Pokud chcete všem přidávaným uživatelům přidat vlastní atribut, klikněte na tlačítko Přidat nový. Hodnota zadaná do toho pole stane atributem uživatelem a můžete ji použít pro přiřazování iOS MDM politik. Podmínky spuštění Vyberte existující podmínku spuštění, případně vytvořte novou.
237
Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit.
7.5.7 Podmínky spuštění Podmínky spuštění fungují jako senzory, které definovaným způsobem reagují na určité události. Slouží pro provedení nějaké činnosti, nejčastěji se používají pro spuštění úloh. Spuštěny mohou být plánovačem nebo systémovou událostí. Podmínka zajistí spuštění všech úloh, které mají danou podmínku spuštění nastavenou. Pokud přiřadíte nově vytvořené úloze podmínku spuštění, úloha se spustí až v případě, kdy bude vyhovovat podmínka spuštění. V případě potřeby můžete zabránit nadměrnému spouštění úloh. Typy podmínek spuštění: · Změna obsahu dynamické skupiny – tato podmínka se uplatí, při změně počtu zařízení v definované dynamické
skupině. Například zařízení přejde do skupiny Inf ikovaná zařízení. · Změna obsahu dynamické skupiny oproti porovnávané skupině – uplatní se, pokud se ve sledované skupině změní
· ·
· · ·
počet zařízení ve srovnání s jinou skupinou (statickou nebo dynamickou). Například bude infikováno více než 10 % všech zařízení, tedy porovnává se počet zařízení ve skupině Inf ikovaná zařízení se statickou skupinou Všechna zařízení. Změna obsahu dynamické skupiny z důvodu překročení mezní hodnoty – uplatní se, pokud počet zařízení překročí nebo spadne pod definovanou hodnotu. Například ve skupině Inf ikovaná zařízení bude více než 100 počítačů. Změna obsahu dynamické skupiny ve sledovaném období – uplatní se, pokud se velikost dynamické skupiny změnila ve sledovaném období. Například počet zařízení ve skupině Inf ikovaná zařízení vzrostl za poslední hodinu o 10 %. Při výskytu události – uplatní se, pokud se v protokolu objeví konkrétní událost. Například v protokolu kontroly počítače byly nalezeny hrozby. Naplánované spuštění – uplatní se stanový datum a čas. Spuštění serveru – uplatní se při spuštění serveru. Synchronizace statické skupiny používá tuto podmínku.
Podmínky spuštění můžete použít také pro naplánování spuštění úlohy ve stanovený datum a čas. Úlohu můžete spustit pouze jednou, opakovaně na základě časového kritéria nebo CRON výrazu.
238
7.5.7.1 Průvodce vytvořením nové serverové podmínky spuštění Pro vytvoření nové podmínky spuštění přejděte v hlavním menu na záložku Administrace > Serverové úlohy > Podmínky spuštění a klikněte na tlačítko Nová podmínka spuštění.... Obecné Zadejte název, volitelně popis, podmínky spuštění. Nastavení V této části vyberte typ podmínky. V závislosti na typu podmínky se zobrazí další možnosti konfigurace.
Rozšířená nastavení V této části můžete definovat detailní parametry podmínky a zabránit nadměrnému spouštění úlohy. Definovat můžete časové a statistické kritérium. Pro více informací přejděte do kapitoly zabránění aktivace podmínky spuštění. Přehled V této části se zobrazí souhrnné informace o vytvářené podmínce spuštění. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření podmínky spuštění dokončete kliknutím na tlačítko Dokončit.
7.5.7.2 Opakované použití podmínky spuštění v serverové úloze Opakované použití podmínky spuštění znamená, že stejná podmínka se použije pro spuštění více úloh ve stejný čas. Představte si situaci, že chcete vygenerovat ve stejný čas (například jednou měsíčně) dva odlišné přehledy. Můžete pro každou úlohu vytvořit samostatnou podmínku spuštění nebo podle následujících kroků použít jednu podmínku pro obě úlohy. 1. Vytvořte první serverovou úlohu pro generování přehledu společně s podmínkou spuštění jednou za měsíc. 2. Vytvořte druhou serverovou úlohu pro generování druhého přehledu. 3. Při vytváření úlohy v části Podmínky spuštění klikněte na tlačítko Přidat existující. Zobrazí se seznam všech existujících podmínek spuštění. 4. Ze zobrazeného seznamu vyberte podmínku, kterou jste vytvořili v kroku 1. 5. Nyní bude pro generování přehledů použita jedna podmínka – tedy v definovaný interval se vygenerují oba přehledy. 239
7.5.7.3 Naplánování spuštění serverové úlohy Podmínky spuštění můžete použít také pro naplánování spuštění úlohy ve stanovený datum a čas. Úlohu můžete spustit pouze jednou, opakovaně na základě časového kritéria nebo CRON výrazu.
7.5.7.4 Nastavení citlivosti podmínky spuštění U podmínek spuštění můžete definovat jejich citlivost a zabránit tak jejich nadměrnému aktivování. To znamená, že se ve specifických případech nemusí provést úlohy, které danou podmínku používají. Pokud jsou všechny podmínky splněny, stavové informace všech observerů se vynulují. Informace jsou také vynulovány při restartování ERA Agenta nebo ERA Serveru a vynulují také při každé změně podmínky spuštění. Časově definované podmínky mají přednost před statistickými podmínkami.. Doporučuje používat pouze jednu statistickou podmínku v kombinaci s několika časovými podmínkami. Použití více statistických podmínek může způsobovat zbytečné komplikace a ovlivňovat výsledky podmínky spuštění. · Statistické podmínky
Při tvorbě statistických podmínek můžete použít logické operátory AND (všechny podmínky musí být splněny) a OR (alespoň jedna podmínka musí být splněna). · Časové podmínky
Pro spuštění události musí být splněny všechny podmínky. Podmínky nadměrné aktivace podmínky jsou zaměřené na čas výskytu události. Agregace · Počet tiků k agregaci – touto hodnotou stanovíte, kolik tiků (splnění) je potřeba k tomu, aby se aktivovala
podmínka spuštění. Podmínka se aktivuje až při dosažení stanového počtu výskytů. Například máte-li nastavenou hodnotu 100, oznámení obdržíte až při výskytu 100 hrozeb. Pokud bude v síti detekováno 200 hrozeb, v oznámení obdržíte informaci pouze o posledních 100 hrozbách. Časové kritérium · Agregovat data v daném časovém období – pomocí této možnosti můžete omezit spuštění (povolíte jeden tik za X
sekund). Pokud zadáte například hodnotu 10 sekund v průběhu tohoto období se událost vyskytne 10krát, její výskyt bude započítán pouze jednou. · Rozsah času – započítány budou pouze tiky za stanovené období. Zadat můžete více časových rozsahů. Mějte na paměti, že budou automaticky seřazeny vzestupně.
240
Statistické kritérium · Použití statistického kritéria – vyberte způsob, podle kterého bude statistické kritérium vyhodnoceno. K dispozici · ·
·
·
máte možnost: splněna musí být všechna kritéria (AND) nebo alespoň jedno (OR). Spustit při každém X-tém výskytu – povoleno bude pouze každé X-té provedení. Například zadáte-li hodnotu 10, započítán bude pouze každý desátý tik. Počet výskytů v časovém období – započítány budou pouze tiky ve stanoveném období. Například zadáte-li hodnotu 10, povolíte spuštění úlohy, pokud se událost ve sledovaném období vyskytla 10krát. o Časové období – zadejte období, ve kterém chcete výskyty sledovat. Počet událostí se symbolem – započítán bude tik, pokud se vyskytlo X událostí se specifickým symbolem. Například zadáte-li hodnotu 10, tik bude započítán pro každou 10 instalaci konkrétní aplikace. o Aplikovat, pokud se počet událostí – zadejte počet událostí v řadě od posledního tiku k dalšímu tiku. Například zadáte-li hodnotu 10 tiky budou započítány po 10 událostech od posledního tiku. Aplikovat, pokud se počet událostí – podmínka spuštění se uplatní, pokud tiky budou přijaty po sobě v řadě nebo v období od posledního spuštění podmínky (při spuštění podmínky se hodnota vynuluje).
7.5.7.5 Zabránění aktivace podmínky spuštění V konkrétních případech můžete zabránit aktivaci podmínky spuštění. Časově definované podmínky mají přednost před statistickými podmínkami. Pokud jsou všechny podmínky splněny, stavové informace všech observerů se vynulují. Informace jsou také vynulovány při restartování ERA Agenta nebo ERA Serveru a vynulují také při každé změně podmínky spuštění. Ovlivnit aktivování podmínek spuštění můžete několika způsoby: Statistické podmínky Aktivují se libovolnou kombinací následujících parametrů: · S1: Podmínka se spustí při každém N-tém výskytu definované události (modulo N) počínaje poslední událostí v
řadě (například na začátku čekej na N-tý výskyt), · S2: Podmínka se spustí, pokud se vyskytne N událostí v definovaném časovém intervalu X [N <= 100]. Do úvahy se bere pouze počet událostí v průběhu posledního časového intervalu. Aktivace podmínky vynuluje buffer, · S3: Podmínka se spustí, pokud se v řadě vyskytne N událostí s unikátním symbolem S [N <= 100]. Buffer se vynuluje při aktivaci podmínky a událost je již v bufferu. Buffer je v režimu „floating window“ – FIFO (fronta). Nový symbol se porovná s každým symbolem uloženým ve frontě. Poznámka: Chybějící hodnota (n/a) není považována za unikátní, a proto se buffer vynuluje. Při tvorbě statistických podmínek můžete použít logické operátory AND (všechny podmínky musí být splněny) a OR (alespoň jedna podmínka musí být splněna). Časové podmínky Pro aktivaci musí být splněny všechny podmínky: · T1: Podmínka se spustí v definovaném časovém intervalu X. Rozsah je opakující se série časových intervalů
(například rozmezí definované jako 13:00 – 14:00 OR 17:00 – 23:30), · T2: Podmínka se spustí nejvýše jednou v definovaném časovém intervalu X.
Dodatečná nastavení Protože podmínka spuštění se nemusí aktivovat při každém výskytu události (viz výše), můžete použít následující možnosti pro vynucené aktivování podmínky:
241
· Pokud byla vynechána alespoň jedna událost, seskupit posledních N událostí do jedné (počet potlačených
tiků) [N <= 100], · Pro N == 0 je zpracována pouze poslední událost (N představuje délku historie; vždy je zpracována poslední
událost), · Sloučit všechny neprovedené události (sloučit poslední tik s N předchozími tiky).
Příklady: S1: Kritérium pro počet výskytů (povolit každý třetí tik) Čas 0 01 02 03 04 05 06 změna podmínky 07 08 09 10 11 12 13 14 0 spuštění
15
Tiky x x
x
S1
x
x
x
x
1
x
x x
x
1
x
x
1
1
S2: Kritérium pro počet výskytů ve stanovený časový interval (povolit, pokud se vyskytnou 3 tiky během 4 sekund) Čas
změna podmínky 07 08 09 10 11 12 13 spuštění
00 01 02 03 04 05 06
Tiky x
x
x
S2
x
x
x
x
x
1
x
x
1
S3: Kritérium pro unikání hodnoty (povolit, pokud se vyskytnou v řadě 3 unikátní hodnoty) Čas
změna podmínky 07 08 09 10 11 12 13 spuštění
00 01 02 03 04 05 06
Hodn A ota
B B C
S3
D G H
J
K n/a L M N N
1
1
S3: Kritérium pro unikání hodnoty (povolit, pokud se od posledního tiku vyskytnou 3 unikátní hodnoty) Čas
00 01 02 03 04 05 06
Hodn A ota
B B C
D G H
1
1
S3
07 změna podmínky 08 09 10 11 12 13 14 spuštění I
J
K n/a L M N N 1
T1: Povolit tiky ve stanový časový interval (každý den v 8:10 po dobu 60 sekund) Čas Tiky T1
8:09:50 8:09:59 8:10:00 8:10:01 x
x
změna podmínky 8:10:59 8:11:00 8:11:01 spuštění
x
x
x
1
1
1
x
x
Toto kritérium nemá žádný stav. Změny podmínky nemá žádný vliv na výsledek. T2: Povolit jeden tik ve stanový časový interval (nejvýše jednou za 5 sekund) Čas
242
00 01 02 03 04 05 06
změna podmínky 07 08 09 10 11 12 13 spuštění
Tiky x T2
x
x
x
1
x
x
1
1
x
x
x
x
1
Kombinace S1+S2 · S1: každý pátý tik · S2: 3 tiky během 4 sekund
Čas 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 Tiky
x x
x
x
x
x
x
x
x
x
S1
x 1
S2
1
1
Výsled ek
1
1
1 1
Výsledek je vyhodnocen jako: S1 OR S2 Kombinace S1+T1 · S1: každý třetí tik · T1: každý den v 8:08 po dobu 60 sekund
Čas 8:07:50 8:07:518:07:52 8:07:53 8:08:10 8:08:118:08:19 8:08:54 8:08:55 8:09:01 Tiky
x
x
S1
x
x
x
1
x
x
x
1
T1
1
Výsle dek
1
x
x
1 1
1
1
1 1
Výsledek je vyhodnocen jako: S1 AND T1 Kombinace S2+T1 · S2: 3 tiky během 10 sekund · T1: každý den v 8:08 po dobu 60 sekund
Čas 8:07:50 8:07:518:07:52 8:07:53 8:08:10 8:08:118:08:19 8:08:54 8:08:55 8:09:01 Tiky
x
x
S2 T1
x
x
1
1
x
x
x
x
x
1 1
Výsle dek
1
1
x 1
1
1
1
Výsledek je vyhodnocen jako: S2 AND T1. Poznámka: Stav S2 se vynuluje pouze v případě, kdy globální výsledek je 1. KombinaceS2+T2 · S2: 3 tiky během 10 sekund · T2: nejvýše jeden výskyt za 20 sekund
243
Čas 00 01 02 03 04 05 06 07 … 16 17 18 19 20 21 22 23 24 Tiky x x S2 T2
x 1
1 1
Výsle dek
x
x
x
x
x
1
1
1
x
x
x
x
x
x
x
1
1
1
1
1
1
1
1
1
x
x
Výsledek je vyhodnocen jako S2 AND T2. Poznámka: Stav S2 se vynuluje pouze v případě, kdy globální výsledek je 1.
7.5.7.5.1 Podmínka spuštění je příliš citlivá V případě, že se podmínka spuštění aktivují příliš často, zkuste tipy uvedené v kapitole podmínka spuštění se aktivuje příliš často.
7.5.7.6 Správa serverových podmínek spuštění Pro vytvoření nové podmínky spuštění certifikátu přejděte v hlavním menu na záložku Administrace > Serverové úlohy > Podmínky spuštění, vyberte typ podmínky a klikněte na tlačítko Nová podmínka spuštění.... Níže si ukážeme vytvoření podmínky, spuštění při výskytu události. Obecné Zadejte název, volitelně popis, nové podmínky spuštění. Nastavení · Vyberte typ podmínky spuštění. Pomocí této možnosti nastavíte, při jaké události se má podmínka spustit. · Vyberte typ protokolu. Podmínka se uplatí, pokud bude v daném protokolu nalezena níže definovaná událost. · Dále definujte událost, která má být spouštěčem, a vyberte logický operátor, například AND (Všechny podmínky
musí být splněny). · Přidejte filtr a vyberte logický operátor, který chcete použít.
V rozbalovacím menu Operace jsou dostupné následující logické operátory. 244
· · · ·
AND – všechny podmínky musí být splněny. OR – alespoň jedna podmínka musí být splněna. NAND – alespoň jedna podmínka nesmí být splněna. NOR – žádná z podmínek nesmí být splněna.
Rozšířená nastavení · Zadejte počet tiků k agregaci. Touto hodnotou stanovíte, kolik tiků (splnění) je potřeba k tomu, aby se aktivovala
podmínka spuštění. V našem případě zadáme hodnotu 20. Pro více informací přejděte do kapitoly zabránění aktivace podmínky spuštění.
Přehled V této části se zobrazí souhrnné informace o vytvářené podmínce spuštění. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření podmínky spuštění dokončete kliknutím na tlačítko Dokončit.
7.5.7.6.1 Podmínka spuštění se aktivuje příliš často V případě, že se podmínky spuštění aktivují příliš často, zkuste postupovat podle následujících kroků: · Pokud chcete podmínku aktivovat pouze v případě, že se vyskytne více stejných událostí, použijte statistické
kritérium S2 popsané v této kapitole. · Pokud chcete podmínku aktivovat pouze při výskytu clusteru událostí, použijte statistické kritérium S2
popsané v této kapitole. · Pokud chcete ignorovat události s nechtěnými hodnotami, použijte statistické kritérium S3 popsané v této
kapitole. · Pokud chcete ignorovat události, které se vyskytují v čase, který pro vás není relevantní, použijte časové
kritérium T1 popsané v této kapitole. · Pro nastavení minimálního časového intervalu mezi dvěma podmínkami spuštění použijte časové kritérium T2
popsané v této kapitole. Poznámka: Podmínky je možné kombinovat a vytvořit komplexní scénáře pro zabránění aktivace podmínek spuštění.
245
7.5.7.6.2 CRON výraz CRON výraz můžete použít při sestavování podmínky spuštění. Jedná se o řetězec sestávající se ze 7 částí, které reprezentují jednotlivé hodnoty časového plánu. Tato pole jsou oddělena mezerou a mohou obsahovat libovolnou z povolených hodnot včetně jejich kombinací. CRON výraz může být jednoduchý jako *
* * * ? *
, ale také komplexní 0/5
14,18,3-39,52 * ? JAN,MAR,SEP MON-
FRI 2012-2020
Pole
Vyžadováno
Hodnota
Povolené speciální znaky
Sekundy
Ano
0-59
, - */ R
Minuty
Ano
0-59
, - */ R
Hodiny
Ano
0-23
, - */ R
Den v měsíci
Ano
1-31
, - */ ? LW
Měsíc
Ano
0-11 nebo JAN-DEC
,-*/
Den v týdnu
Ano
1-7 nebo SUN-SAT
, - / ? L#
Rok
Ano
1970-2099
, - */
Syntaxe cron výrazu je následující: ┌────────── Sekundy (0 - 59) │ ┌────────── Minuty (0 - 59) │ │ ┌────────── Hodiny (0 - 23) │ │ │ ┌────────── Den v měsíci (1 - 31) │ │ │ │ ┌────────── Měsíc (1 - 12 nebo JAN-DEC) │ │ │ │ │ ┌────────── Den v týdnu (0 - 6 nebo SUN-SAT)(například 0 je stejné jako SUN) │ │ │ │ │ │ ┌────────── Rok │ │ │ │ │ │ │ * * * * * ? *
· 0 0 0 znamená půlnoc (0 sekund, 0 minut, 0 hodin). · ? (otazník) použijte pro hodnotu, kterou nemůžete definovat, protože jste ji již definovali v jiném poli (například
den v měsíci nebo den v týdnu). · * (hvězdička) představuje každou výskyt – tedy každou sekundu, minutu, hodinu, den v měsíci, den v týdnu, rok. · SUN znamená neděle. Poznámka: U názvů dnů v týdnů a měsíců se nerozlišuje velikost písmen. MON se akceptujte stejně jako mon, i jan bude vyhodnocen stejně jako JAN. Speciální znaky: Čárka (,) Čárku použijte pro oddělení jednotlivých položek v seznamu. Příklad: použití "MON,WED,FRI" v šestém poli (den v týdnu) znamená pondělí, čtvrtek a pátek. Spojovník (-) Definuje rozsah. Například 2012-2020 znamená každý rok mezi 2012 a 2020, včetně. Hvězdička (*) Použijte jako zástupný pro všechny hodnoty. Příklad: * v druhém poli znamená provedení každou minutu. Mějte na paměti, že hvězdičku nelze uplatnit na den v týdnu.
246
Otazník (?) Při definování konkrétního dne musíte specifikovat, zda jde o den v měsíci nebo týdnu. Nelze kombinovat obě možnosti. Pokud definujete den v měsíci, v poli pro den v týdnu musíte použít ?, a opačně. Příklad: pokud chcete zajistit spuštění konkrétní den v měsíci, řekneme 10., ale nezáleží vám na tom, jaký je to den v týdnu, zadejte do čtvrtého pole (den v měsíci) hodnotu 10 a a do šestého pole (den v týdnu) zadejte ? (otazník). Hash (#) Se používá pro definování “n-tého” dne v měsíci. Příklad: 4#3 znamená třetí středu v měsíci (4.den = čtvrtek a #3 = 3. čtvrtek v měsíci). Pokud zadáte #5 a měsíc nemá tolik dní, podmínka se neuplatní. Lomítko (/) Použijte pro inkrementování rozsahu (-). Příklad: 3-59/15 v druhém poli (minuty) představuje třetí minutu v hodině a každých dalších 15 minut. Poslední (L) Při použití v pátém poli (dnu v týdnu) můžete vytvořit specifickou konstrukci jako je například poslední pátek (5L) v měsíci. Pokud L použijete ve třetím poli (den v měsíci), vyfiltrujete například 31 pro v leden, 28 pro únor atp. Pracovní den v týdnu (W) Znak W povoluje jako den v měsíci pouze pracovní den (pondělí - pátek). Pokud den v měsíci připadne na víkend, použije se nejbližší pracovní den. Příklad: zadáte-li 15W ve čtvrtém poli (den v měsíci) a 15. bude sobota, podmínka se aktivuje již 14. v pátek. V případě, že 15. připadne na neděli, podmínka se spustí v pondělí 16. Nicméně, pokud zadáte 1W jako den v měsíci, a 1. bude sobota, podmínka se aktivuje 3. v pondělí. Poznámka: Znaky L a W můžete kombinovat v poli pro den v měsíci. Použitím hodnoty LW vyfiltrujete poslední pracovní den v měsíci.. Náhodně (R) R představuje speciální znak ERA CRON výrazu, pomocí kterého zajistíte provedení v náhodný čas. Například R 0 0 * * ? * znamená, že se podmínka spustí každý den v 00:00, ale v náhodnou sekundu (0-59). Důležité: Při definování intervalu připojení ERA Agenta doporučujeme používat R (náhodný interval) pro zabránění připojení všech agentů v jeden čas. Níže uvádíme reálné příklady: Cron výraz
Význam
0 0 12 * * ?
Spustí se každý den ve 12pm (v poledne).
0 15 10 ? * *
Spustí se každý den v 10:15am.
0 15 10 * * ?
Spustí se každý den v 10:15am.
0 15 10 * * ? *
Spustí se každý den v 10:15am.
0 15 10 * * ? 2016
Spustí se každý den v 10:15am po celý rok 2016.
0 * 14 * * ?
Spustí se každou minutu mezi 2pm a 2:59pm, každý den.
0 0/5 14 * * ?
Spustí se každých 5 minut mezi 2pm a 2:55pm, každý den.
0 0/5 14,18 * * ?
Spustí se každých 5 minut mezi 2pm a 2:55pm, a každých 5 minut mezi 6pm a 6:55pm, každý den.
0 0-5 14 * * ?
Spustí se každou minutu mezi 2pm a 2:05pm, každý den.
0 10,44 14 ? 3 WED
Spustí se v 2:10pm a 2:44pm, každou středu v březnu.
0 15 10 ? * MON-FRI Spustí se v 10:15am v pondělí, úterý, středu, čtvrtek a pátek. 0 15 10 15 * ?
Spustí se v 10:15am každý 15. den v měsíci. 247
Cron výraz
Význam
0 15 10 L * ?
Spustí se v 10:15am poslední den v měsíci.
0 15 10 ? * 6L
Spustí se v 10:15am poslední pátek v měsíci.
0 15 10 ? * 6L
Spustí se v 10:15am poslední pátek v měsíci.
0 15 10 ? * 6L 20162020
Spustí se v 10:15am poslední pátek v měsíci v roce 2016, 2017, 2018, 2019 a 2020.
0 15 10 ? * 6#3
Spustí se v 10:15am třetí pátek v měsíci.
0 0 12 1/5 * ?
Spustí se v 12pm (v poledne) každý pátý den v měsíci, počínaje prvním dnem v měsíci.
0 11 11 11 11 ?
Spustí se každého 11. listopadu v 11:11am.
7.6 Oznámení Oznámení představují účinný a pohodlný nástroj pro zjištění stavu vaší sítě. Při výskytu definované události (například neaktuální virová databáze, zastaralý produkt, nevyřešená infiltrace...) ve vaší síti si můžete nechat zaslat upozornění jako SNMP Trap nebo prostřednictvím e-mailu. To vám umožní bezprostředně poté reagovat na danou situaci. · · · · ·
V seznamu šablon oznámení můžete filtrovat podle názvu a popisu. Pro vytvoření filtru klikněte na tlačítko Přidat filtr. Již existující upozornění můžete upravit, případně odstranit. Pro vytvoření nového oznámení klikněte na tlačítko Nové oznámení. Pomocí možnosti Duplikovat vytvoříte kopii existujícího oznámení.
7.6.1 Správa oznámení Pro vytvoření nového oznámení přejděte v hlavním menu na záložku Administrace > Oznámení a klikněte na tlačítko Nové oznámení.... Nebo již existující oznámení můžete použít pro tvorbu nového pomocí možnosti Duplikovat.
Obecné Zadejte název, volitelně popis, nově vytvářeného oznámení. 248
Šablona oznámení Existující dynamická skupina – pro generování oznámení bude použita existující dynamická skupina. Klikněte na Vybrat a vyberte dynamickou skupinu. Změna obsahu dynamické skupiny oproti porovnávané skupině – oznámení se odešle, pokud dojde ke změně počtu klientů ve sledované dynamické skupině oproti porovnávané skupině (statické nebo dynamické). Šablona protokolů událostí – tuto možnost můžete použít pro zaslání oznámení, která nezávisí na dynamické skupině, ale výskytu konkrétní události v protokolu. Zaznamenaný stav – upozorní na změnu stavu objektu pomocí uživatelem definovaných filtrů. Poznámka: Zaznamenaný stav můžete definovat pomocí filtrů a logických operátorů.
Konfigurace Upozornit při každé změně dynamické skupiny – došlo ke změně skupině na základě definovaných kritérií nebo se změnil počet členů. Po aktivování této možnosti bude upozorněni při jakékoli změně. Časové období upozornění – definujte časové období od předchozího stavu (X minut/hodin/dní). Například za posledních 7 hodin se 10 klientům neaktualizoval bezpečnostní produkt a jako mezní hranice je nastavena 20. Pokud počet klientů s neaktualizovaným bezpečnostním produktem překročí oproti předchozímu stavu mezní hodnotu, odešle se upozornění. Mezní hodnota – zadejte mezní hodnotu, při jejímž překročení se odešle upozornění. Definovat můžete počet klientů nebo procentuální vyjádření počtů členů v rámci celé dynamické skupiny. Generovaná zpráva – tato předdefinovaná zpráva budou součástí odeslaného oznámení. Zpráva – k výše uvedené předdefinované zprávě můžete doplnit vlastní text. Poznámka: Dostupné možnosti závisí na vybrané šabloně oznámení. Rozšířená nastavení Časové kritérium · Zadejte počet tiků k agregaci. Touto hodnotou stanovíte, kolik tiků (splnění) je potřeba k tomu, aby se aktivovala
podmínka spuštění. V našem případě zadáme hodnotu 20. Pro více informací přejděte do kapitoly zabránění aktivace podmínky spuštění.. Statistické kritérium
249
· Statistické kritérium aplikace – vyberte způsob, podle kterého bude statistické kritérium vyhodnoceno. K dispozici
máte možnost: splněna musí být všechna kritéria (AND) nebo alespoň jedno (OR). · Spustit při každém X-tém výskytu – povoleno bude pouze každé X-té provedení. Například zadáte-li hodnotu 10,
započítán bude pouze každý desátý tik. · Počet výskytů v časovém období – započítány budou pouze tiky ve stanoveném období. Například zadáte-li
hodnotu 10, povolíte spuštění úlohy, pokud se událost ve sledovaném období vyskytla 10krát. Časové období – zadejte období, ve kterém chcete výskyty sledovat. · Počet událostí se symbolem – započítán bude tik, pokud se vyskytlo X událostí se specifickým symbolem. Například zadáte-li hodnotu 10, tik bude započítán pro každou 10 instalaci konkrétní aplikace. Aplikovat, pokud se počet událostí – zadejte počet událostí v řadě od posledního tiku k dalšímu tiku. Například zadáte-li hodnotu 10 tiky budou započítány po 10 událostech od posledního tiku. · Aplikovat, pokud se počet událostí – podmínka spuštění se uplatní, pokud tiky budou přijaty po sobě v řadě nebo v období od posledního spuštění podmínky (při spuštění podmínky se hodnota vynuluje). Distribuce Předmět – předmět zprávy obsahující oznámení. Toto pole je nepovinné, ale vyplnění vám pomůže při třídění došlých zpráv. Distribuce · Odeslat SNMP Trap – odešle SNMP Trap. SNMP Trap upozorní Server pomocí SNMP zprávy. Pro více informací
přejděte do kapitoly Jak nakonfigurovat SNMP Trap službu. · Odeslat e-mail – odešle e-mail prostřednictvím zadané SMTP definované v nastavení serveru. · Odeslat do syslogu – odešle oznámení a zprávu s událostí na váš syslog server. Na syslog server je možné přeposílat také data z bezpečnostních produktů na koncových stanicích. E-mailové adresy – zadejte e-mailové adresy, na které chcete oznámení odeslat . Více adres oddělte čárkou (","). Úroveň syslogu – z rozbalovacího menu vyberte úroveň události, které chcete zasílat na váš syslog server.
7.6.2 Jak nakonfigurovat SNMP Trap službu Pro úspěšný příjem SNMP zpráv je nejprve nutné správně nakonfigurovat SNMP Trap službu. Pro konfiguraci postupujte podle následujících kroků, v závislosti na vašem operačním systému: · Windows · Linux
WINDOWS Předpoklady · Simple Network Management Protocol služba musíte být nainstalována na počítači, na kterém běží ERA Server,
stejně tak na počítači, kde je nainstalován SNMP trap aplikace pro příjem oznámení. · Oba počítače musí být ve stejné podsíti. · SNMP služba musí být konfigurována na počítači, na kterém běží ERA Server. Konfigurace SNMP služby (ERA Server) · Stiskněte klávesy Win + R. Do zobrazeného pole zadejte příkaz Services.msc a potvrďte stisknutím klávesy nebo · · ·
·
kliknutím na tlačítko OK. Najděte službu SNMP. Na záložce Traps zadejte public do pole Community name a klikněte na tlačítko Přidat do seznamu. Klikněte na tlačítko Přidat a zadejte název, IP adresu nebo IPX adresu počítače, na kterém běží SNMP. Přejděte na záložku Zabezpečení a klikněte na tlačítko Přidat pro zobrazení dialogového okna Konfigurace SNMP služby. Do pole Název komunity zadejte public a klikněte na tlačítko Přidat. Oprávnění se následně přepnout na POUZE PRO ČTENÍ. Ujistěte se, že máte aktivní možnost Přijímat SNMP pakety od všech hostů a akci dokončete kliknutím na tlačítko OK.
Konfigurace SNMP Trap aplikace (klientská stanice) 250
· Na straně klienta stačí službu pouze nainstalovat. Není vyžadována žádná další konfigurace. · Nainstalujte AdRem SNMP Manager nebo AdRem NetCrunch. · AdRem SNMP Manager: Spusťte aplikace a vyberte možnost Vytvořit nový seznam uzlů SNMP a akci dokončete · · · ·
kliknutím na tlačítko Ano. Zkontrolujte vaši síťovou adresu (především podsíť) a klikněte na tlačítko OK pro zahájení prohledávání sítě. Vyčkejte na dokončení prohledávání sítě. Následně by se v okně Výsledky vyhledávání měla zobrazit IP adresa ERA Serveru. Vyberte IP adresu serveru a klikněte na tlačítko OK. Adresa vašeho serveru se zobrazí v sekci Uzly. Klikněte na tlačítko Příjem oznámení zastaven a vyberte možnost Spustit. Nyní budete z ERA Serveru dostávat oznámení.
LINUX 1. Nainstalujte snmpd balíček jedním z následujících příkazů: apt-get install snmpd snmp (Debian a Ubuntu distribuce) yum install net-snmp (Red-Hat, Fedora distribuce)
2. Otevřete soubor /etc/def ault/snmpd a proveďte tyto změny: #SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid'
Zakomentujte celý řádek přidáním řetězce #. SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid -c /etc/snmp/snmpd.conf'
Do souboru přidejte tento řádek. TRAPDRUN=yes
Změňte parametr trapdrun na hodnotu yes. 3. Vytvořte zálohu původního souboru snmpd.conf . mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.original
4. Vytvořte nový soubor snmpd.conf a vložte do něj následující řádky: rocommunity public syslocation "Testing ERA6" syscontact [email protected]
5. Otevřete soubor /etc/snmp/snmptrapd.conf a na jeho konec vložte tento řádek: authCommunity log,execute,net public
6. Pomocí následujícího příkazu spusťte SNMP službu pro zachytávání zpráv: /etc/init.d/snmpd restart
nebo service snmpd restart
7. Pro ověření, zda zachytávání funguje, použijte následující příkaz: tail -f /var/log/syslog | grep -i TRAP
7.7 Certifikáty Prostřednictvím certifikátů je ověřována komunikace mezi ERA Serverem a jednotlivými prvky ERA infrastruktury (ERA Agentem, ERA Proxy ...). K ověření komunikace dojde v případě, kdy jsou používané certifikáty platné a podepsané stejnou certifikační autoritou. Podle následujících kroků si vytvoříte novou certifikační autoritu a klientské certifikáty přímo z ERA Web Console: Vytvoření nové certifikační autority § Importování veřejného klíče § Exportování veřejného klíče § Exportování veřejného klíče v Base64 formátu
251
Vytvoření nového klientského certifikátu o Vytvoření certifikátu o Exportování certifikátu o Vytvoření APN certifikátu o Zamítnutí certifikátu o Využití certifikátu o Změna certifikátu ERA serveru o Použití vlastních certifikátů o Nahrazení certifikátů
7.7.1 Klientské certifikáty Prostřednictvím certifikátů je ověřována komunikace probíhající mezi ERA Serverem a jednotlivými prvky ERA infrastruktury. Nový... Po kliknutí na toto tlačítko můžete vytvořit nový certifikát pro ERA Agenta, ERA Proxy, ERA Server a další komponenty ERA infrastruktury. APN certifikát Po kliknutí vytvoříte APN certifikát, který používá ERA MDC pro komunikaci s mobilními Apple zařízeními. Využití certifikátu Kliknutím zjistíte, kolik klientů využívá tento certifikát. Změnit... Pomocí této možnosti můžete upravit již existující certifikát. Exportovat... Exportuje vybraný certifikát do souboru. Certifikát v tomto formátu je vyžadován při lokální instalaci ERA Agenta a dalších komponent ERA infrastruktury. Exportovat jako Base64... Exportuje vybraný certifikát do .txt souboru. Certifikát v tomto formátu je vyžadován při nasazování virtuální appliance například ERA Proxy nebo ERA MDC. Zamítnout... Pokud již daný certifikát nepoužíváte, můžete jej Zamítnout a zrušit jeho platnost. DŮLEŽITÉ: Zamítnutí certifikátu je nevratný proces a zamítnuté certifikáty již nebude možné nikdy použít. Před tím, než certifikát zamítnete se ujistěte, že jej nepoužívá žádná komponenta ERA infrastruktury. V opačném případě by ERA Agent nebo jiný prvek ERA infrastruktury (ERA Proxy, ERA MDM...) přestal komunikovat a museli byste jeJ znovu přeinstalovat. Zobrazit zamítnuté – kliknutím si zobrazíte všechny zamítnuté certifikáty. Certifikát ERA Agenta pro asistovanou instalaci – tento certifikát se automaticky vytvořil v průběhu instalace ERA Serveru a automaticky se použije pokud ERA Agenta instalujete lokálně a využijete možnosti asistované instalace.
252
7.7.1.1 Vytvoření nového certifikátu Potřebné certifikáty pro fungování jednotlivých komponent ERA infrastruktury se vytvoří již v průběhu instalace a podepsány jsou výchozí ERA certifikační autoritou. Pokud si potřebujete vygenerovat nový certifikát, případně si jej podepsat vlastní certifikační autoritou, postupujte podle následujících kroků. Poznámka: Vytvořit nemůžete certifikát ERA Agenta pro asistovanou instalaci. Tento certifikát se vytvoří automaticky v průběhu instalace ERA Serveru. Pro vytvoření nového certifikátu přejděte v hlavním menu ERA Web Console na záložku Administrace > Certifikáty a klikněte na tlačítko Nový.... Obecné · Zadejte popis nově generovaného certifikátu. · Produkt – z rozbalovacího menu vyberte produkt ERA infrastruktury, pro který chcete certifikát vygenerovat · Adresa – doporučujeme ponechat výchozí hodnotu, tedy hvězdičku (*). Pokud chcete omezit jeho platnost a jste si
vědomi všech úskalí s tím spojených, můžete specifikovat pouze IP adresu a DNS název ERA Serveru. · Heslo k certifikátu – volitelně si můžete nastavit heslo k certifikátu. Pokud si nastavíte heslo, bude nutné jej
zadávat při každém použití/aktivaci certifikátu. Doporučujeme toto pole ponechat prázdné. · V části Atributy můžete volitelně můžete specifikovat detailní informace o certifikátu. · Obecný název – v závislosti na produktu by název měl obsahovat řetězec "Agent", "Proxy" nebo "Server". · Zadejte rozsah platnosti certifikátu.
Podepsat K dispozici máte dvě možnosti pro podepsání certifikátu: 1. Prostřednictvím ERA certifikační autority: o Jako režim podepsání vyberte certifikační autoritu. o Vyberte ERA certifikační autoritu vytvořenou v průběhu instalace ERA Serveru. o Pokud jste certifikační autoritu opatřili heslem, zadejte jej. Toto heslo jste si nastavili při instalaci ERA Serveru, případně je stejné jako heslo do konzole (platí pro virtuální appliance). Pokud jste heslo nedefinovali, ponechte toto pole prázdné. 2. Prostřednictvím vlastní certifikační autority: o Jako režim podepsání vyberte vlastní PFX soubor. o Klikněte na tlačítko Procházet... a vyberte váš .pfx soubor. Následně soubor nahrajete na server kliknutím na tlačítko Nahrát. o Pokud jste certifikační autoritu opatřili heslem, zadejte jej. Pokud jste heslo nedefinovali, ponechte toto pole prázdné. Přehled V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření certifikátu dokončete kliknutím na tlačítko Dokončit.
253
7.7.1.2 Exportování klientského certifikátu Exportování klientského certifikátu 1. V ERA Web Console přejděte na záložku Administrace > Klientské certifikáty a vyberte požadovaný certifikát. 2. Z kontextového menu vyberte možnost Exportovat. Certifikát se exportuje (včetně privátního klíče) do .pf x souboru. Exportování klientského certifikátu jako Base64 1. V ERA Web Console přejděte na záložku Administrace > Klientské certifikáty a vyberte požadovaný certifikát. 2. Z kontextového menu vyberte možnost Exportovat jako Base64. Veřejný klíč certifikátu si rovnou můžete zkopírovat nebo stáhnout jako .txt soubor.
Poznámka: Pokud používáte pro ověřování komunikace vlastní certifikáty a nemáte je v Base64, musíte je exportovat v tomto formátu. Případně certifikáty můžete převést podle těchto kroků: http://linux.die.net/man/1/base64 nebo https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/ base64.1.html. Příklad: 'cat ca.der | base64 > ca.base64.txt' 'cat agent.pfx | base64 > agent.base64.txt'
7.7.1.3 APN certifikát APN (Apple Push Notification) certifikát používá ERA MDM při registraci mobilních iOS zařízení. Abyste mohli zařízení zaregistrovat a vzdáleně je spravovat, nejprve potřebujete push certifikát vydaný společností Apple. Dále se ujistěte, že máte v ERA nahranou platnou licenci. Pro vytvoření nového APN certifikátu přejděte v ERA Web Console na záložku Administrace > Certifikáty > Klientské certifikáty. Klikněte na tlačítko Nový a vyberte možnost APN certifikát. Poznámka: Pro vytvoření APNS certifikátu budete potřebovat Apple ID. Vytvoření žádosti Specifikujte podrobnosti certifikátu, které charakterizují používaný certifikát a klikněte na tlačítko Odeslat žádost.
254
Stažení dat V této části si stáhněte CSR (žádost o podepsání certifikátu) a privátní klíč. Tyto informace budete potřebovat při generování Apple push certifikátu a následně vytváření politiky pro Mobile Device Connector.
Vytvoření certifikátu Přejděte na Apple Push Certificates Portal, přihlaste se prostřednictvím Apple ID a postupujte podle kroků na portále pro vygenerování APNS certifikátu. Při jeho generování budete potřebovat CSR získané v předchozím kroku.
Nahrání certifikátu do ERA 255
Vytvořte politiku pro Mobile Device Connector a nahrajte do ní získaný APNS certifikát a privátní klíč. Nyní můžete zaregistrovat iOS zařízení stejným způsobem jako zařízení s OS Android. Na mobilním zařízení navštivte adresu https://<mdmcore>:<enrollmentport>/enroll.
7.7.1.4 Zamítnutí certifikátu Pokud jste si vygenerovali chybný certifikát nebo certifikát již nechcete používat a potřebujete jej zneplatnit, postupujte podle následujících kroků pro jeho zamítnutí: 1. V hlavním menu ERA Web Console přejděte na záložku Administrace > Certifikáty > Klientské certifikáty. Vyberte požadovaný certifikát a klikněte na Zamítnout...
2. Zadejte důvod zamítnutí a klikněte na tlačítko Zamítnout. 3. Akci dokončete kliknutím na tlačítko OK. Certifikát zmizí ze seznamu klientských certifikátů. Zobrazit si jej můžete kliknutím na tlačítko Zobrazit zamítnuté.
256
7.7.1.5 Změna certifikátu ERA serveru Certifikát, který používá ERA Server se vytvoří stejně jako další certifikáty v průběhu instalace serveru. Komunikace jednotlivých komponent ERA infrastruktury je ověřována prostřednictvím těchto certifikátů. Z tohoto důvodu je potřeba zajistit, aby údaje v klientských certifikátech a konfiguraci ERA Agenta odpovídali informacím na straně serveru, tedy v certifikátu serveru. Toto opatření má za následek, že se klient připojí výhradně k legitimnímu serveru. Pokud se rozhodnete vygenerovat nový certifikát serveru, musíte odpovídajícím způsobem upravit konfiguraci ESET Remote Administrator. Pro změnu certifikátu ERA serverz postupujte podle následujících kroků: · V hlavním menu ERA Web Console přejděte na záložku Administrace > Nastavení serveru a v části Připojení
vyberte možnost Změnit certifikát.
K dispozici máte dva způsoby výběru certifikátu: · ERA certifikát – prostřednictvím této možnosti můžete vybrat certifikát, který jste vygenerovali na tomto ERA
serveru. Tato možnost je vhodná při výměně stávajícího certifkátu za nový, například hvězdičkový certifikát. · Vlastní certifikát – tato možnost vám umožní vybrat jiný certifikát, který nebyl vygenerován tímto ERA serverem.
Tato možnost je užitečná při migraci ze starého serveru.
257
· Vyberte možnost Vlastní certifikát, dále prostřednictvím průzkumníka najděte certifikát ERA Serveru(.pf x), který
jste si exportovali z původního ERA serveru a klikněte na tlačítko OK. · Restartujte službu ERA Server. Pro více informací přejděte do Databáze znalostí.
7.7.1.6 Custom certificates with ESET Remote Administrator Komunikace jednotlivých komponent ERA infrastruktury je šifrována pomocí certifikátu, které vystavuje vestavěná ERA certifikační autorita. Pokud vlastníte infrastrukturu vlastních klíčů PKI, můžete si vygenerovat vlastní certifikáty a ty následně použít pro ověřování komunikace. Poznámka: Tento návod popisuje generování Windows Server 2012 R2. Mějte na paměti, že na starším operačním systému může být postup odlišný. Vyžadované serverové role: · Active Directory Certificate Services (AD CS). · Active Directory Domain Services.
1. Otevřete Management Console a přidejte snap-in Certificates: · Přihlaste se na server jako administrátor. · Pomocí příkazu mmc.exe otevřete konzolu pro správu. · V hlavním menu klikněte na File a vyberte možnost Add/Remove Snap-in… (případně stiskněte klávesovou
zkratku CTRL+M). · Vyberte položku Certificates a likněte na tlačítko Add.
258
· Vyberte Computer Account a klikněte na tlačítko Next. · Ujistěte se, že jste vybrali možnost Local Computer a klikněte na tlačítko Finish. · Akci dokončete kliknutím na OK.
2. Vytvořte Custom Certificate Request: · Ve stromové struktuře přejděte do větve Certificates (Local Computer) > Personal. · Klikněte na Certificates a z kontextové menu vyberte All Tasks > Advanced Operations > Create Custom Request...
259
· V průvodci vydáním certifikátu klikněte na tlačítko Next. · Vyberte možnost Proceed without enrollment policy a pokračujte kliknutím na tlačíkto Next.
· Z rozbalovacího menu vyberte možnost (No Template) Legacy Key a ujistěte se, že máte vybrán formát PKCS #10.
Pokračujte kliknutím na tlačítko Next.
260
· Rozbalte sekci Details a klikněte na tlačítko Properties.
· Na záložce General zadejte Friendly name, volitelně popis. · Na záložce Subject:
V sekci Subject name vyberte z rozbalovacího jména Type položku Common Name. Jako hodnotu zadejte era server a klikněte na tlačítko Add. Následně se v pravém poli zobrazí informace CN=era server. Pokud vytváříte žádost o vydání certifikátu (CSR) pro ERA Agenta nebo ERA Proxy, jako Common Name zadejte era agent, resp. era proxy.
261
Poznámka: V závislosti na komponentě musí Common Name obsahovat jeden z těchto řetězců: "server", "agent" nebo "proxy".
V sekci Alternative name vyberte z rozbalovacího jména Type položku DNS. Jako hodnotu zadejte hvězdičku (*) a klikněte na tlačítko Add · Na záložce Extensions rozbalte sekci Key usage. Do seznamu Select options přidejte Digital signature, Key
agreement, Key encipherment. Odškrtněte možnost Make these key usages critical.
262
· Na záložce Private Key:
Rozbalte sekci Cryptographic Service Provider. Následně uvidíte všechny kryptografické poskytovatele (CSP). Ponechte vybranou pouze položku Microsoft RSA SChannel Cryptographic Provider (Encryption).
263
Rozbalte sekci Key Options. Z menu Key size vyberte alespoň 2048. Dále zaškrtněte možnost Make private key exportable. Rozbalte sekci Key Type a vyberte možnost Exchange. Klikněte na tlačítko Apply a zkontrolujte nastavení. Pokračujte kliknutím na tlačítko OK. Zobrazí se informace o certifikátu, klikněte na tlačítko Next. Klikněte na tlačítko Browse a umístění, do kterého chcete žádost (CSR) uložit. Následně zadejte název souboru a ujistěte se, že máte vybranou možnost Base 64.
Žádost vygenerujete kliknutím na tlačítko Finish. 3. Importujte Custom Certificate Request a vydejte Custom Certificate z čekajících žádostí. · Otevřete Server Manager, klikněte na Tools > Certification Authority. · Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu
vyberte Properties. Přejděte na záložku Policy Module a klikněte na tlačítko Properties.... Ujistěte, že jste nastavili Set the certificate request status to pending. Dále musíte mít vybranou možnost The administrator must explicitly issue the certificate. V opačném případě nebude generování fungovat. Změna tohoto nastavení může vyžadovat restart Active Directory CA služby.
264
· Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu
vyberte > All Tasks > Submit new request.... Vyberte žádost (CSR soubor), který jste získali v kroku 2. · Certifikát se přidá do seznamu Pending Requests. Vyberte konkrétní CSR a z menu Action vyberte možnost All Tasks > Issue.
4. Exportujte Issued Custom Certificate do .pfx souboru. · V levé části okna vyberte možnost Issued Certificates. Klikněte na certifikát, který chcete exportovat, a z
kontextového menu vyberte možnost All Tasks > Export Binary Data... · V okně Export Binary Data vyberte z rozbalovacího menu možnost Binary Certificate. V části Export klikněte na Save binary data to a file a potvrďte kliknutím na OK.
265
· V okně Save Binary Data vyberte umístění, do kterého chcete certifikát uložit a akci dokončete kliknutím na
tlačítko Save. 5. Importujte .tmp soubor. · Ze stromové struktury vyberte Certificate (Local Computer) > Personal. Z kontextového menu vyberte možnost All
Tasks > Import... · Klikněte na tlačítko Next... · Klikněte na tlačítko Browse... a vyberte uložený .tmp binární soubor. Dále vyberte vyberte možnost Place all
certificates in the following store > Personal a pokračujte kliknutím na tlačítko Next. · Certifikát importujete kliknutím na tlačítko Finish. 6. Exportujte certifikát včetně privátního klíče do .pfx souboru. · Ze stromové struktury vyberte Certificates (Local Computer) > Personal > Certificates. Vyberte certifikát, který
chcete exportovat v kontextovém menu klikněte na All Tasks > Export... · V průvodci exportováním vyberte možnost Yes, export the private key. (Tato možnost se zobrazí pouze v případě,
kdy je umožněn export privátního klíče.) · V sekci Export File Format vyberte možnost To include all certificates in the certification path, select the Include
all certificates in the certification path if possible a pokračujte kliknutím na tlačítko Next.
266
· Zadejte heslo, které bude chránit privátní klíč a pokračujte kliknutím na tlačítko Next.
· Vyberte umístění, kam chcete certifikát v .pfx formátu uložit. Pokračujte kliknutím na tlačítko Next a Finish. 267
7. Nyní již můžete nakonfigurovat ERA komponenty tak, aby dané certifikáty používaly. Poznámka: Podle stejných kroků můžete vygenerovat certifikát pro ERA Agenta i ERA Proxy. Poznámka: Nakonfigurujte ERA Server tak, aby používal váš .pfx certifikát. Pokud chcete aby váš certifikát používal ERA Agent nebo další komponenta ERA infrastruktury, musíte provést její opravnou instalaci. V průběhu opravné instalace vyberte exportovaný .pfx certifikát a následně zadejte heslo, které jste si nastavili. Dále vyberte certifikační autoritu, kterou byl daný certifikát vydán.
268
7.7.1.7 Nahrazení certifikátů Při instalaci ERA Serveru se vytvoří certifikační autorita a klientské certifikáty jejichž platnost je standardně 10 let. Na blížící se konec platnosti budete s předstihem upozorněni na nástěnce, v detailech počítače, průvodci nastavením i seznamu certifikátů.
Případně vám ERA může zaslat e-mail, že se blíží konec platnosti certifikátů. K tomu můžete využít předdefinovaná oznámení. Stačí je pouze upravit a definovat e-mailovou adresu, na kterou chcete upozornění zaslat. Poznámka: Aby vám ERA Server mohl zaslat výše uvedené oznámení, musíte mít definováno připojení k SMTP serveru.
Pokud se již blíží konec platnosti certifikátů případně potřebujete z jiného důvodu změnit certifikáty, postupujte podle následujících kroků pro jejich nahrazení a zajištění funkčnosti ERA infrastruktury. 1. Vytvořte novou certifikační autoritu. 2. Vytvořte nové klientské certifikáty pro potřebné komponenty – ERA Server, ERA Agenta atp. 3. Vytvořte politiky pro jednotlivé komponenty ERA infrastruktury a vložte do ní nový klientský certifikát. 4. Vyčkejte na aplikování politiky. Poznámka: Doporučujeme vyčkat 24 hodin. Případně vyčkejte alespoň na dva intervaly replikace a ručně ověřte, že všechny komponenty (ERA Agenti, ERA Proxy atp) používají nový certifikát. 5. Nahraďte serverový certifikát vůči kterému se budou ověřovat komponenty ERA infrastruktury. 6. Až si budete jisti, že se po provedení výše uvedených kroků připojují všechny komponenty ERA infrastruktury, zamítněte staré certifikáty a smažte původní certifikační autoritu.
269
7.7.2 Certifikační autority V této části můžete spravovat certifikační autority. Pokud používáte více certifikačních autorit, můžete je filtrovat a rychle najít autoritu, se kterou chcete pracovat. · Vytvoření nové certifikační autority · Importování veřejného klíče · Exportování veřejného klíče
7.7.2.1 Vytvoření nové certifikační autority Pro vytvoření nového certifikátu přejděte v hlavním menu na záložku Administrace > Certifikáty > Certifikační autority a klikněte na tlačítko Nová.... Certifikační autorita Zadejte popis a heslo k certifikační autoritě. Heslo by mělo obsahovat alespoň 12 znaků. Atributy (Předmět) 1. Zadejte obecný název certifikační autority. Název musí být unikátní. Dále můžete volitelně zadat bližší informace o certifikátu. 2. Zadejte rozsah platnosti certifikátu.. 3. Certifikační autoritu vytvořte kliknutím na tlačítko Uložit.
Pokud budete potřebovat certifikační autoritu upravit, vyberte ji v seznamu a ze zobrazeného kontextového menu vyberte možnost Změnit, případně klikněte na tlačítko Akce. Certifikační autoritu můžete importovat prostřednictvím veřejného klíče nebo autoritu exportovat.
270
7.7.2.2 Exportování veřejného klíče Exportování veřejného klíče certifikační autority 1. V ERA Web Console přejděte na záložku Administrace > Certifikační autority a vyberte požadovanou autoritu. 2. Z kontextového menu vyberte možnost Exportovat veřejný klíč. Veřejný klíč se exportuje do .der souboru. Exportování veřejného klíče v Base64 formátu certifikační autority 1. V ERA Web Console přejděte na záložku Administrace > Certifikační autority a vyberte požadovanou autoritu. 2. Z kontextového menu vyberte možnost Exportovat veřejný klíč jako Base64. Veřejný klíč si rovnou můžete zkopírovat nebo stáhnout jako .txt soubor.
Poznámka: Pokud používáte pro ověřování komunikace vlastní certifikáty a nemáte je v Base64, musíte je exportovat v tomto formátu. Případně certifikáty můžete převést podle těchto kroků: http://linux.die.net/man/1/base64 nebo https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/ base64.1.html. Příklad: 'cat ca.der | base64 > ca.base64.txt' 'cat agent.pfx | base64 > agent.base64.txt'
7.7.2.3 Importování veřejného klíče Pokud chcete pro podepisování klientských certifikátů používat vlastní certifikační autoritu, podle následujících kroků ji naimportujte do ESET Remote Administrator. 1. V hlavním menu ERA Web Console přejděte na záložku Administrace > Certifikáty > Certifikační autority, 2. Klikněte na tlačítko Akce a vyberte možnost Importovat veřejný klíč. 3. Klikněte na tlačítko Procházet a vyberte soubor s certifikační autoritou. 4. Zadejte popis a akci dokončete kliknutím na Importovat.
271
7.8 Přístupová oprávnění Pomocí přístupových oprávnění můžete uživatelům povolit/zakázat přístup k jednotlivým částem webové konzole. Oprávnění můžete přiřazovat: 1. Nativnímu uživateli – uživatelský účet vytvořený a spravovaný prostřednictvím webové konzole. 2. Namapované doménové bezpečnostní skupině – uživatelské účty spravované a ověřované vůči Active Directory. Pro zvýšení zabezpečení můžete nativnímu uživateli nebo namapované doménové skupině aktivovat dvoufaktorovou autentifikaci. Pro přístup k jednotlivým částem ERA WebConsole je nutné uživateli přidělit potřebnou sadu oprávnění. DŮLEŽITÉ: Předdefinovaný účet Administrátor má přístup do všech částí konzole. Protože to představuje potenciální bezpečnostní riziko, doporučujeme vytvořit více uživatelských účtů, kdy každý z nich bude mít pouze potřebná oprávnění pro prováděních konkrétních činností. Další důvodem proč byste tento účet neměli standardně používat je fakt, že prostřednictvím tohoto výchozí účtu jste schopni provést reset hesla, pokud jej zapomenete. Naopak reset heslo výchozího uživatele provedete přeinstalací celého ERA Serveru, případně na virtuální appliance prostřednictvím Webminu Pro správu uživatelů a jejich oprávnění přejděte v hlavním menu na záložku Administrace > Přístupová oprávnění > Uživatelé, resp. Sady oprávnění.
7.8.1 Uživatelé Přístup uživatelům k ERA Web Console můžete omezit pomocí sad oprávnění. Nejvíce oprávnění a přístup ke všem nastavením má výchozí předdefinovaný uživatel Administrator. Pokud používáte Active Directory, můžete namapovat doménovou bezpečnostní skupinu, a umožnit tak existujícím uživatelům přístup do ERA bez toho, aniž byste museli v ERA vytvářeli nové nativní uživatele. Správu uživatelů naleznete v hlavním menu na záložce Administrace > Přístupová oprávnění > Uživatelé. Poznámka: Po dokončení instalace ERA existuje pouze nativní účet Administrator.
272
7.8.1.1 Vytvoření nativního uživatele Pro vytvoření nového nativního uživatele přejděte v hlavním menu na záložku Administrace > Přístupová oprávnění > Uživatelé a klikněte na tlačítko Nový.... Případně klikněte na tlačítko Uživatelé a vyberte možnost Nový nativní uživatel.... Další administrátorský účet vytvořte jako nativního uživatele a účtu přiřaďte sadu administrátorských oprávnění.
Obecné Zadejte jméno uživatele, volitelně popis. Autentifikace Heslo se musí skládat alespoň z 8 znaků a nemělo by obsahovat jméno uživatele. Účet · Možnost Zapnuto ponechte vybranou, pokud má být účet aktivní. · Pokud chcete, aby si uživatel musel změnit heslo při prvním přihlášení k ERA Web Console, zaškrtněte možnost
Musí si změnit heslo. · Pomocí možnosti Doba platnosti hesla můžete definovat, jak dlouho bude heslo platné (ve dnech), než si bude muset uživatel nastavit nové heslo. · Zadejte interval v minutách, po jehož uplynutí bude uživatel při neaktivitě odhlášen z ERA Web Console. · Pro snadnější identifikaci uživatele můžete zadat jeho celé jméno, e-mail a telefon. Sady oprávnění Přiřaďte uživateli potřebná oprávnění. Použít můžete předdefinované sady oprávnění: Sada oprávnění pouze pro čtení, Sada oprávnění pro asistovanou instalaci nebo Sada administrátorských oprávnění, případně si můžete vytvořit vlastní sadu oprávnění. Přehled V této části se zobrazí souhrnné informace o vytvářeném uživatelském účtu. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření uživatelského účtu dokončete kliknutím na tlačítko Dokončit.
273
7.8.1.2 Průvodce vytvořením nové namapované bezpečnostní skupiny Pro vytvoření nové namapované bezpečností skupiny přejděte v hlavním menu na záložku Administrace > Přístupová oprávnění > Uživatelé, klikněte na tlačítko Uživatelé a vyberte možnost Nová namapovaná doménová bezpečnostní skupina....
Obecné Doménová skupina Zadejte název skupiny, volitelně popis. Protože je skupina identifikována pomocí SID, klikněte na tlačítko Vybrat a vyberte ze seznamu konkrétní doménovou skupinu. Účet · Možnost Zapnuto ponechte vybranou, pokud mají být účty uživatelů v dané skupině aktivní. · Zadejte interval v minutách, po jehož uplynutí bude uživatel při neaktivitě odhlášen z ERA Web Console. · Můžete ke skupině přiřadit e-mail a telefon.
Sady oprávnění Přiřaďte skupině potřebné oprávnění. Použít můžete předdefinované sady oprávnění: Sada oprávnění pouze pro čtení, Sada oprávnění pro asistovanou instalaci nebo Sada administrátorských oprávnění, případně si můžete vytvořit vlastní sadu oprávnění. Přehled V této části se zobrazí souhrnné informace. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření nové namapované bezpečnostní skupiny dokončete kliknutím na tlačítko Dokončit.
274
7.8.1.3 Namapování doménové bezpečnostní skupiny Pro vytvoření nové namapované bezpečností skupiny přejděte v hlavním menu na záložku Administrace > Přístupová oprávnění > Uživatelé, klikněte na tlačítko Uživatelé a vyberte možnost Nová namapovaná doménová bezpečnostní skupina....
Obecné Doménová skupina Zadejte název skupiny, volitelně popis. Protože je skupina identifikována pomocí SID, klikněte na tlačítko Vybrat a vyberte ze seznamu konkrétní doménovou skupinu. Účet · Možnost Zapnuto ponechte vybranou, pokud mají být účty uživatelů v dané skupině aktivní. · Zadejte interval v minutách, po jehož uplynutí bude uživatel při neaktivitě odhlášen z ERA Web Console. · Můžete ke skupině přiřadit e-mail a telefon.
Sady oprávnění Přiřaďte skupině potřebné oprávnění. Použít můžete předdefinované sady oprávnění: Sada oprávnění pouze pro čtení, Sada oprávnění pro asistovanou instalaci nebo Sada administrátorských oprávnění, případně si můžete vytvořit vlastní sadu oprávnění. Přehled V této části se zobrazí souhrnné informace. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření nové namapované bezpečnostní skupiny dokončete kliknutím na tlačítko Dokončit.
275
7.8.1.4 Přiřazení sady oprávnění konkrétnímu uživateli Pro přiřazení sady oprávnění konkrétnímu uživateli přejděte v hlavním menu na záložku Administrace > Přístupová oprávnění > Uživatelé a klikněte na tlačítko Změnit.... Případně klikněte na tlačítko Uživatelé a vyberte možnost Změnit....
V části Sady oprávnění vyberte z tabulky Nepřiřazené, ale dostupné sady oprávnění takové, které uživateli chcete přiřadit. Pro více informací přejděte do kapitoly správa oprávnění.
276
7.8.1.5 Dvoufaktorová autentifikace Dvoufaktorová autentifikace zvyšuje úroveň zabezpečení ERA Web Console. · Dvoufaktorovou autentifikaci (2FA) může uživatelům aktivovat pouze uživatel s administrátorskou sadou
oprávnění. Po aktivaci je uživatel při dalším přihlášení vyzván ke konfiguraci 2FA. Po zadání telefonního čísla obdrží prostřednictvím SMS odkaz ke stažení potřebné aplikace do svého mobilního telefonu a dalšími instrukcemi. · Dvoufaktorová autentifikace je poskytována společností ESET a její technologií ESET Secure Authentication. Pro
využívání dvoufaktorové autentifikaci nemusíte mít zakoupen produkt ESET Secure Authentication – mohou ji využívat všichni uživatelé. ERA se automaticky spojí se servery společnosti ESET a ověří pravost uživatele, který se snaží přihlásit do ERA Web Console. · Uživatel s aktivovanou dvoufaktorovou autentifikací se při každém přihlášení do ERA Web Console bude muset
autentifikovat jednorázovým heslem vygenerovaným aplikací ESET Secure Authentication. Poznámka: Uživatelský účet s aktivním 2FA nemůžete použít pro asistovanou instalaci jednotlivých komponent.
7.8.2 Sady oprávnění Pomocí oprávnění můžete umožnit nebo naopak zakázat uživatelům přístup ke konkrétním částem ERA Web Console. Nativní uživatelé mají přiřazenou vlastní sadu oprávnění, zatímco oprávnění doménových uživatelů se přebírá z oprávnění, kterou má přiřazena namapovaná doménová bezpečnostní skupin. · Přístup ke každé části ERA Web Console můžete povolit, zakázat nebo uživateli umožnit pouze přístup pro čtení.
o Uživatelé s oprávněním pouze pro čtení mohou data pouze číst, ale nemohou provádět žádné změny. o Uživatelé s oprávněním zápis/spuštění mohou měnit konfiguraci daných objektů, případně je spouštět (například klientské a serverové úlohy). · Prostřednictvím oprávnění dále můžete omezit přístup ke statickým skupinám a skupinám uživatelů. Uživatel
může mít přístup ke všem skupinám nebo jen ke konkrétním skupinám a jejich podskupinám. Například: o Uživatelé s oprávněním pouze pro čtení si mohou zobrazit seznam zařízení ve statické skupině. o Uživatelé s oprávněním zápis/spuštění mohou manipulovat s obsahem statické skupiny (zařízení přidávat/ odebírat), stejně tak skupině/zařízením přiřazovat úlohy a politiky.
277
7.8.2.1 Průvodce vytvořením nové sady oprávnění Pro vytvoření nové sady oprávnění přejděte v hlavním menu na záložku Administrace > Přístupová oprávnění > Sady oprávnění, klikněte na tlačítko Sady oprávnění a vyberte možnost Nová.... Obecné Zadejte název oprávnění, volitelně popis.
Funkce Vyberte jednotlivé součásti ERA Web Console, ke kterým chcete udělit přístup. Uživatel s přístupem k dané součásti bude mít přístup také ke všem souvisejícím úlohám. Rychlý výběr můžete provést kliknutím na Přidělit přístup ke všem funkcím pouze pro čtení a Přidělit úplný přístup ke všem funkcím. Mějte na paměti, že sady těchto oprávnění jsou již předdefinovány (Sada oprávnění pouze pro čtení a Sada administrátorských oprávnění. Přidělením oprávnění pro zápis/spuštění automaticky přidá také oprávnění pro čtení. Statické skupiny V této části můžete určit, ke kterým statickým skupinám budou mít uživatelé s tímto oprávněním přístup. Vybrat můžete konkrétní statickou skupinu a jejich podskupinu, případně přidělit přístup ke všem statickým skupinám. Oprávnění k funkcím souvisejícím se správou statických skupin se převezmou z oprávnění definovaných ve sekci Funkce. Skupiny uživatelů Vyberte skupinu uživatelů, ke kterým bude mít daný uživatel přístup v rámci ESET Mobile Device Management pro iOS. Uživatelé Ze seznamu všech uživatelů dostupných uživatelů v levé části vyberte uživatele, kterým chcete danou sadu oprávnění přiřadit. Přehled V této části se zobrazí souhrnné informace o vytvářené sadě oprávnění. Zkontrolujte, zda nastavení odpovídá vašim představám a vytvoření sady oprávnění dokončete kliknutím na tlačítko Dokončit. Pokud upravujete již existující sadu oprávnění, kliknutím na tlačítko Uložit jako vytvoříte snadno kopii stávající sady.
278
7.9 Nastavení serveru V této části můžete konfigurovat přímo ESET Remote Administrator Server. Připojení · Port ESET Remote Administrator (změna vyžaduje restart!) – port, který je používán pro komunikaci mezi ESET
Remote Administrator Server a ERA Agenty. Změny se projeví po restartování služby ERA Server. · Port ERA Web Console (změna vyžaduje restart!) – port, který používá ERA Web Console pro připojení k ERA
Serveru. · Rozšířené zabezpečení – pomocí této možnosti vynutíte používání nejnovější verze TLS protokolu a všechny nově
vytvářené certifikační autority a certifikáty budou podepsány SHA-2 algoritmem. Mějte na paměti, že tento standard nepodporují starší operační systémy. · Certifikát (změna vyžaduje restart!) – certifikát, který oužívá ERA Server pro ověření zabezpečeného spojení. Více informací naleznete v kapitole Klientské certifikáty, případně Změna certifikátu. Důležité: Změna výše uvedených hodnot vyžaduje restart služby ESET přejděte do Databáze znalostí.
Remote Administrator Server . Pro více informací
Aktualizace · Interval aktualizace – interval, ve kterém ERA Server bude kontrolovat dostupnost aktualizací. Použít můžete celé
číslo nebo CRON výraz. · Aktualizační server – server, ze kterého si bude ERA Server stahovat programové moduly. · Typ aktualizace – vyberte jaký druh aktualizací má ERA Server stahovat. Testovací aktualizace jsou otestované
vývojové aktualizace, které budou později dostupné jako standardní. Výhodou těchto aktualizací je, že nabízejí rychlý přístup k nejnovějším metodám detekce a různým opravám. Nicméně testovací aktualizace představují riziko nestabilního chování počítače. Proto je NEDOPORUČUJEME instalovat na produkční počítače. Rozšířená nastavení · Proxy server – definujte proxy server, prostřednictvím kterého bude ERA přistupovat do internetu. · Funkce probudit – v případě potřeby změňte porty používané pro vzdálenou inicializaci připojení ERA Agenta k · · ·
·
serveru. Standardně se používají porty 1237 a 1238. SMTP server – pokud chcete na e-mail odesílat přehledy a oznámení na události, v této části zadejte parametry pro připojení k SMTP serveru. Syslog server – ERA dokáže odesílat oznámení a zprávy s událostmi na váš syslog server. Na syslog server je možné přeposílat také data z bezpečnostních produktů instalovaných na koncových stanicích. Statické skupiny – pomocí této možnosti aktivujete automatické párování nalezených počítačů se zařízeními umístěnými ve statických skupinách. Párování funguje na základě názvu stanice, který reportuje ERA Agent. Pokud se párování nezdaří, počítač bude umístěn do výchozí skupiny Ztráty a nálezy. Repozitář – adresa repozitáře, ve kterém se nacházejí instalační balíčky. Poznámka: Výchozí hodnota je AUTOSELECT.
· Diagnostika – v této části můžete aktivovat/vypnout odesílání informací o pádech ERA Serveru do společnosti ESET. · Protokolování – v této části nastavíte úroveň, od které se mají události zaznamenávat do protokolů. Pokud vyberte
možnost Trace, do protokolu se zapíší veškeré informace. Při výběru možnosti Kritické budou do protokolu zapisovány pouze chybové informace. Výchozí hodnota je Varování. Protokoly naleznete ve složce: C: \ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs, případně /var/log/eset/ RemoteAdministrator/Server/. · Úklid databáze – pomocí této možnosti nastavíte interval, ve kterém bude ERA Server odstraňovat staré záznamy z databáze. Tím optimalizujete databázi a zajistíte plynulý běh ERA Serveru. Ve výchozím nastavení se data v databázi uchovávají po dobu 6 měsíců. 279
7.9.1 SMTP server Aby vám mohl ESET Remote Administrator zasílat na e-mail přehledy, oznámení a uživatelům registrační odkazy, musíte mít v nastavení serveru definován SMTP server. · Název server – zadejte IP adresu nebo název SMTP serveru. · Port – SMTP standardně používá port 25. Pokud použijete šifrovaný protokol, bude nutné port změnit ručně. · Uživatelské jméno – pokud SMTP server vyžaduje autentifikaci, zadejte jméno uživatele (zadávejte pouze
uživatelské jméno bez domény). · Heslo – zadejte heslo k výše uvedenému uživatelskému účtu. · Typ zabezpečení připojení – vyberte způsob zabezpečeného spojení k SMTP serveru. Výchozí hodnota je
Nezabezpečené spojení. V případě šifrovaných spojení vyberte TLS nebo STARTTLS. Pokud vyberete zabezpečenou variantu, nezapomeňte odpovídajícím způsobem změnit port. · Typ autentifikace – pokud SMTP server vyžaduje autentifikaci a zadali jste výše uživatelský účet, vyberte způsob ověřování (Přihlášení, CRAM-MD5, CRAM-SHA1, SCRAM-SHA1, NTLM nebo Automaticky). Výchozí hodnota je Bez autentifikace. · E-mailová adresa odesílatele – zadejte adresu odesílatele, která se vloží do hlavičky e-mailové zprávy. · Otestovat SMTP server – pomocí této možnosti můžete otestovat, zda jste vše nastavili správně. Po kliknutí na tlačítko Odeslat testovací e-mail se zobrazí dialogové okno, ve kterém zadejte e-mailovou adresu na níž chcete testovací e-mail odeslat.
7.9.2 Automatické párování počítačů Jednoznačným identifikátorem zařízení v ERA Web Console je ID ERA Agenta. Toto ID se vygeneruje unikátní při instalaci a změní se také ve chvíli, kdy provedete přeinstalaci ERA Agenta, případně celého operačního systému. Aby nedocházelo ke vzniku duplicitních záznamů a nemuseli jste již původní odstraňovat, je v základu aktivní funkce pro automatické párování počítačů. Tím je zároveň zajištěno to, že po přeinstalování agenta se opět na stroj aplikují přiřazené politiky a úlohy. Párování funguje automaticky na základě názvu zařízení, které reportuje ERA Agent. Pokud se párování nezdaří, počítač bude umístěn do výchozí statické skupiny Ztráty a nálezy. · Tato možnost je standardně aktivní což znamená, že před tím než bude počítač umístěn do výchozí skupiny Ztráty a
nálezy dojde k prohledání všech záznamů v ERA Web Console, zda se ve stromové struktuře již nenachází zařízení se stejným názvem, které je ve stavu , nebo . V případě shody bude počítač spárován s prvním nalezeným záznamem. · Pokud párování deaktivujete, před tím než bude počítač umístěn do výchozí skupiny Ztráty a nálezy dojde k
prohledání všech záznamů v ERA Web Console, zda se ve stromové struktuře nenachází nespravovaný počítač (ve stavu )se stejným názvem. Poznámka: Pokud tuto funkci považujete za bezpečnostní riziko, můžete ji možnost v sekci Administrace > Nastavení serveru deaktivovat.
280
7.9.3 Export protokolů do syslogu Informace o událostech, zachycených hrozbách, zablokované komunikaci personálním firewallem a blokovaných akcích modulem HIPS na ERA server přeposílá klientský bezpečnostní produkt. ERA tyto informace o událostech dokáže zasílat v JSON (JavaScript Object Notation) formátu na váš Syslog server. Tyto informace následně může ze syslog serveru přebírat jakýkoli SIEM (Security Information and Event Management) nástroj. Pokud tuto funkci chcete využívat, musíte ji nejprve aktivovat. Pro aktivaci přejděte v hlavním menu na záložku Administrace > Nastavení serveru a v části Rozšířená nastavení pomocí přepínače aktivujte možnost Používat Syslog Server. Následně vyplňte název serveru, na který chcete data zasílat, a port (standardně 514).
· Exportované události
V této části uvádíme formát všech exportovaných událostí společně s popisem jednotlivých atributů. Některé části JSON objektu povinné, jiné volitelné. Každá exportovaná událost bude obsahovat tyto atributy: event_type
řetězec
ipv4
řetězec
Typ exportované události: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event. volitelné IPv4 adresa počítače, který vygeneroval událost
ipv6
řetězec
volitelné IPv6 adresa počítače, který vygeneroval událost
source_uuid
řetězec
UUID počítače, který vygeneroval událost
occurred
řetězec
Čas v UTC formátu, kdy událost vznikla (%d-%b-%Y %H:%M:%S)
severity
řetězec
Závažnost události. Možné hodnoty (seřazeno od málo kritických po nejzávažnější): Oznámení, Informační, Varování, Chyba, Kritické, Mimořádné
· ThreatEvent
281
Spravovaných koncový bezpečnostní produkt přeposílá na syslog veškeré záznamy o zachycených hrozbách. Tento záznam vypadá následovně: threat_type
řetězec
volitelné Typ hrozby
threat_name
řetězec
volitelné Název hrozby
threat_flags
řetězec
volitelné Štítek související s hrozbou
scanner_id
řetězec
volitelné ID skeneru
scan_id
řetězec
volitelné ID kontroly
engine_version
řetězec
volitelné Verze skenovacího jádra
object_type
řetězec
volitelné Typ objektu související s touto událostí
object_uri
řetězec
volitelné URI objektu
action_taken
řetězec
volitelné Provedená akce s objektem
action_error
řetězec
volitelné Chybová zpráva v případě, že akci se nepodařilo úspěšně provést
threat_handled
bool
volitelné Informace o tom, zda byla hrozba vyřešena
need_restart
bool
volitelné Informace, zda je vyžadován restart
username
řetězec
volitelné Název uživatelského účtu spojeného s touto událostí
processname
řetězec
volitelné Název procesu spojeného s touto událostí
circumstances
řetězec
volitelné Krátký popis s informací, co způsobilo událost
· Agregované události firewallu
Informace o událostech personálního firewallu agreguje ERA Agent za účelem snížení množství přenášených dat během replikace jejich replikace na ERA server. Záznam o událostech firewallu vypadá následovně: event
řetězec
volitelné Název události
source_address
řetězec
volitelné Adresa zdroje události
source_address_type řetězec
volitelné Typ adresy zdroje události
source_port
číslo
volitelné Port zdroje události
target_address
řetězec
volitelné Adresa cíle události
target_address_type řetězec
volitelné Typ adresy cíle události
target_port
číslo
volitelné Port cíle události
protocol
řetězec
volitelné Protokol
account
řetězec
volitelné Název uživatelského účtu spojeného s touto událostí
process_name
řetězec
volitelné Název procesu spojeného s touto událostí
rule_name
řetězec
volitelné Název pravidla
rule_id
řetězec
volitelné ID pravidla
inbound
bool
volitelné Informace, zda se jednalo o příchozí spojení
threat_name
řetězec
volitelné Název hrozby
aggregate_count
číslo
volitelné Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ERA Agenta na ERA Server.
282
· Agregované události modulu HIPS
Před odesláním událostí na syslog server jsou zprávy z modulu HIPS (Host-based Intrusion Prevention System) nejprve filtrovány podle nastavené závažnosti. Na syslog jsou odesílány pouze události se závažností: Chyba, Kritické a Mimořádné. Záznam o událostech modulu HIPS vypadá následovně: application
řetězec
volitelné Název aplikace
operation
řetězec
volitelné Operace
target
řetězec
volitelné Cíl
action
řetězec
volitelné Akce
rule_name
řetězec
volitelné Název pravidla
rule_id
řetězec
volitelné ID pravidla
aggregate_count
číslo
volitelné Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ERA Agenta na ERA Server.
283
8. Správa licence ESET Remote Administrator verze 6 používá zcela nový licenční model a systém správy licencí. Používat ESET Remote Administrator může každý zákazník, který si zakoupil řešení ESET určené pro firemní zákazníky. Uživatelské jméno a heslo bylo nahrazeno licenčním klíčem/ID licence. Licenční klíč je unikátní řetězec a používá se pro identifikaci vlastníka licence a aktivaci produktu. ID licence je krátký řetězec, kterým se identifikuje třetí strana využívající licenci (například Bezpečnostní administrátor zodpovědný za správu klientů). Pokud máte pouze uživatelské jméno a heslo, můžete si jej sami převést na licenční klíč. Bezpečnostní administrátor je osoba, která spravuje licence a může být odlišná od aktuálního vlastníka licence. Vlastník může zodpovědné osobě přidělit správu licence prostřednictvím účtu bezpečnostního administrátora, pomocí kterého může následně administrátor aktivovat produkty ESET. Licence můžete spravovat přímo v ESET Remote Administrator na záložce Administrace > Správa licence nebo online kliknutím na odkaz Otevřít ELA – poté se zobrazí portál ESET License Administrator. Pro více informací přejděte do kapitoly Bezpečnostní administrátor. Licence jsou identifikovány na základě unikátního ID licence. V prvním sloupci ID licence se zároveň zobrazuje informace o typu licence a odpovídající štítek: o Typ licence: Placená – placená licence, Zkušební – zkušební licence a NFR – neprodejná licence. o Štítky: MSP, Firemní nebo Domácí licence. o Podle ikon snadno poznáte, jakým způsobem jste danou licenci do ERA nahráli: klíče,
– pomocí offline licenční souboru nebo
– prostřednictvím licenčního
– účtem bezpečnostního administrátora.
Abyste mohli pohodlněji vybírat záznamy, můžete si nastavit režim, který vám bude vyhovovat. Pro změnu režimu klikněte na šipku v horním pravém rohu a vyberte si jeden z následujících: Výběr jedné položky – v tomto režimu můžete vybrat pouze jednu položku. Výběr více položek – tento režim vám umožní najednou vybrat více položek. Aktualizovat - obnoví zobrazované informace.
284
· · · · ·
název produktu, na který licence platí, celkový stav licence (zda licence vypršela, došlo k překročení počtu klientů povolených licencí a jiná upozornění), počet klientů aktivovaných prostřednictvím této licence, datum, do kdy je licence platná, jméno vlastníka licence a kontaktní informace.
Stav licence · · ·
Zelená – licence je platná. Červená – licence není registrovaná na portále ESET License Administrator nebo její platnost vypršela. Oranžová – licence je téměř vyčerpána nebo se blíží konec její platnosti.
Synchronizace licencí Licence se synchronizují s portálem ESET License Administrator jednou denně. V případě potřeby můžete synchronizaci vynutit kdykoli ručně kliknutím na tlačítko Synchronizovat licence. Přidání licencí Po kliknutí na tlačítko Přidat licence přidáte do ERA nové licence. Licence můžete přidat jedním z následujících způsobů: 1. Licenční klíč – zadejte platný licenční klíč a klikněte na tlačítko Přidat licenci. Po ověření licenčního klíče se licence zobrazí v seznamu, 2. Účet Bezpečnostního administrátora – připojí do ERA účet bezpečnostního administrátora a načte z něj všechny licence, 3. Offline licenční soubor – vyberte licenční soubor (.lf ) a klikněte na tlačítko Přidat licenci. Po ověření licenčního souboru se licence zobrazí v seznamu. Odstranění licence Vyberte licenci, kterou chcete odstranit, klikněte na tlačítko Odstranit licenci a následně akci potvrďte. Odebráním licence z ERA nedojde k deaktivaci klientů, kteří byli prostřednictvím této licenci aktivováni. Licence můžete distribuovat klientským stanicím s nainstalovaným programem ESET prostřednictvím ERA dvěma způsoby: · pomocí úlohy instalace aplikace · pomocí úlohy aktivace produktu
285
8.1 Přidání licence ESET Remote Administrator disponuje vlastním modulem pro správu licencí. Abyste mohli vzdáleně aktivovat bezpečnostní produkty ESET na koncových stanicích, musíte do ESET Remote Administrator nejprve licenci přidat. Pro přidání licence přejděte v hlavním menu na záložku Administrace > Správa licence a klikněte na tlačítko Přidat licenci. Poté vyberte způsob, jakým chcete licence přidat – prostřednictvím licenčního klíče, účtu bezpečnostního administrátora nebo offline souboru. Zadejte nebo zkopírujte Licenční klíč, který jste obdrželi po nákupu produktu ESET. Pokud máte klasické licenční údaje (uživatelské jméno a heslo), převeďte si je na licenční klíč. Pokud jste licenční klíč dosud neregistrovali, budete přesměrováni na portál ESET License Administrator, kde provedete jeho registraci.
Licence přidejte prostřednictvím svého účtu bezpečnostního administrátora. Po přihlášení se načtou všechny licence, které spravujete.
286
Při použití offline licenčního souboru si nejprve zkopírujte token licenčního souboru. Ověřovací řetězec poté zadejte do příslušného pole při generování offline licenčního souboru na portále ESET License Administrator. Při použití jiného offline souboru nebude licence akceptována. Poznámka: Více informací o generování offline licenčního souboru naleznete v dokumentaci. Mějte však na paměti, že záleží na tom, zda se k portálu přihlašujete jako vlastník licence nebo bezpečnostní administrátor.
287
Při generování offline licenčního souboru vyberte možnost Povolit správu prostřednictvím ESET Remote Administrator a následně zadejte token, který jste si zkopírovali z ERA Web Console.
Offline soubor si stáhněte a následně nahrajte do ERA Web Console.
288
Podle ikon snadno poznáte, jakým způsobem jste danou licenci do ERA nahráli: klíče,
– pomocí offline licenční souboru nebo
– prostřednictvím licenčního
– účtem bezpečnostního administrátora.
Licence můžete distribuovat klientským stanicím s nainstalovaným programem ESET prostřednictvím ERA dvěma způsoby: · pomocí úlohy instalace aplikace · pomocí úlohy aktivace produktu
289
9. FAQ Otázka: Nemohu se připojit z důvodu chyby "Neúspěšné přihlášení. Připojení selhalo se stavem 'nepřipojeno'". Co s tím? Odpověď: Ověřte, zda služba ERA Server běží. Pokud neběží, spusťte ji ručně. Běží-li, službu restartujte, aktualizujte webové rozhraní ERA konzole a zkuste to znovu. V případě přetrvávajících problémů přejděte do kapitoly Řešení problémů. Otázka: K čemu slouží statická skupina "Ztráty a nálezy"? Odpověď: Každý počítač připojený k ERA serveru musí být členem statické skupiny. Tato skupina je výchozí a umisťují se do ní všechny počítače poprvé připojení k ERA, pokud nebylo řečeno jinak (například synchronizací s AD), že patří do jiné skupiny. Skupinu můžete přejmenovat, přesunout na jinou úroveň, ale nemůžete ji odstranit. Otázka: Jak vytvořit duální aktualizační profil? Odpověď: Postupujte podle tohoto článku v Databázi znalostí. Otázka: Jak aktualizuji zobrazená data bez toho abych musel aktualizovat celou stránku v prohlížeče stisknutím klávesy F5? Odpověď: Jednoduše kliknutím na tlačítko Aktualizovat v pravém horním rohu stránky nebo v kontextovém menu. Otázka: Jak provedu tichou instalaci ERA Agenta? Odpověď: ERA Agenta můžete nasadit prostřednictvím ERA Web Console za předpokladu, že máte splněny všechny požadavky pro push instalaci. Ve větších prostředích doporučujeme k nasazení ERA Agenta využít GPO. Otázka: Rogue Detection Sensor nedetekoval všechny počítače v síti. Odpověď: RD sensor pouze pasivně naslouchá v síti. Pokud počítač nekomunikuje, nemůžete jej RD Sensor objevit. Ověřte nastavení DNS, zda nedochází k blokování DNS lookupu. Pokud máte více podsítí, je nutné RD Sensor společně s ERA Agentem nainstalovat do každé z nich. Otázka: RD Sensor na nedetekoval žádné zařízení v síti. Kde je chyba? Odpověď: Pokud na síťovém zařízení není detekován žádný operační systém, není takové zařízení odesíláno do ERA. To znamená, že vám do ERA nebudou hlásit tiskárny, routery a další síťové prvky. RD Sensor nenajde žádné zařízení ani v případě, kdy máte detekci OS vypnutou firewallem. RD Sensor byl zkopilován s knihovnou libpcap version 1.3.0, ujistěte se tedy, že máte nainstalovanou v systému nejnovější verzi. Pokud máte ERA nasazenou ve virtuálním prostředí, v závislosti na něm je nutné síťovou kartu nastavit do režimu bridge, případně povolit falšování MAC adresy. Pro ověření, zda je OS detekován použijte příkaz nmap (http://nmap.org/book/osdetect-usage.html). Otázka: Jak odstraním nalezené hrozby ze záložky Hrozby? Odpověď: Pro odstranění aktivních hrozeb je nutné na cílovém zařízení spustit hloubkovou kontrolu počítače. Pokud jste hrozbu odstranili ručně, použijte tlačítko Označit jako vyřešené. Otázka: Mohu pro interval připojení ERA Agenta k serveru použít CRON výraz? Odpověď: Ano, parametr P_REPLICATION_INTERVAL přijímá hodnoty zadané prostřednictvím CRON výrazu. Výchozí hodnota je "R R/20 * * * ? *" což znamená, že se připojí každých 20 minut v náhodnou sekundu (R=0-60). Náhodným interval je zajištěno rozložení zátěže, aby nedošlo k tomu, že se všichni agenti připojí k serveru ve stejný čas. Pokud byste zadali CRON například takto "0 * * * * ? *", všichni agenti by se připojili každou minutu přesně v :00 sekund, což by mohlo způsobit vytížení sítě a serveru. Pro více informací přejděte do kapitoly CRON výraz. Otázka: Jak automaticky nainstalovat bezpečnostní produkt na nechráněné počítače? Odpověď: Postupujte podle tohoto článku v Databázi znalostí a vytvořte dynamickou skupinu, na kterou navažte úlohu instalace aplikace. Otázka: Jakou certifikační autoritu mohu použít pro podepisování ERA certifikátů? Odpověď: CA (nebo intermediate CA) certifikát s příznakem 'keyCertSign' a 'keyUsage'. Tyto hodnoty určují, že může podepisovat certifikáty.
290
Otázka: Jak obnovím heslo pro přístup do ERA Web Console (nastavené při instalaci ERA na Windows)? Odpověď: Pokud máte vytvořeného dalšího uživatele s administrátorským oprávněním, přihlaste se pod ním a svému účtu nastavte nové heslo. Pokud jste si nevytvořili jiný uživatelský účet a zapomněli jste heslo k předdefinovanému účtu Administrator, obnovit heslo můžete opětovným spuštěním instalátoru ERA a vybráním možnosti Opravit. Mějte na paměti, že tato akce vyžaduje heslo pro přístup do ERA databáze, pokud jste nepoužili MSSQL a Windows Authentication. Poznámka: Při použití možnosti pro opravení instalace buďte obezřetní, můžete přijít o uložená data. Otázka: Jak obnovím heslo pro přístup do ERA Web Console (nastavené při instalaci ERA na Linux)? Odpověď: Pokud máte vytvořeného dalšího uživatele s administrátorským oprávněním, přihlaste se pod ním a svému účtu nastavte nové heslo. Pokud jste si nevytvořili jiný uživatelský účet a zapomněli jste heslo k předdefinovanému účtu Administrator, není možné toto heslo standardní cestou resetovat. Je nutné heslo změnit přímo v databázi. Otázka: V jakém formátu musí být soubor obsahující seznam počítačů, případně skupiny, který mohu importovat do ERA? Odpověď: Soubor v následujícím formátu: Všechna zařízení\Skupina1\SkupinaN\Počítač1 Všechna zařízení\Skupina1\SkupinaM\PočítačX Kořenová skupina Všechna zařízení je povinná.
291
10. O programu ESET Remote Administrator V této části naleznete detailní informace o nainstalované verzi ESET Remote Administrator včetně používaných modulů. Dále se zde nacházejí informace o operačním systému, použité licenci a počtu připojených klientů.
Poznámka: Informace o verzích jednotlivých ERA komponent naleznete v Databázi znalostí.
292
11. End-User License Agreement (EULA) DŮLEŽITÉ UPOZORNĚNÍ: Před stáhnutím, instalací, kopírováním anebo použitím si pozorně přečtěte níže uvedené podmínky používání produktu. INSTALACÍ, STÁHNUTÍM, KOPÍROVÁNÍM ANEBO POUŽITÍM SOFTWARE VYJADŘUJETE SVŮJ SOUHLAS S TĚMITO PODMÍNKAMI. Dohoda s koncovým uživatelem o používání software. Tato Dohoda o užívání software (dále jen „Dohoda„) uzavřená mezi společností ESET spol. s r.o., se sídlem Einsteinova 24, 851 01 Bratislava, Slovenská republika, zapsaná v Obchodnom registri, vedeném Okresným súdom Bratislava I, oddiel Sro, vložka 3586/B, (dále jen „Poskytovatel„) a Vámi, fyzickou anebo právnickou osobou, (dále jen „Vy„ anebo „Koncový uživatel“) Vás opravňuje na používání Software definovaného v článku 1 této Dohody. Software definovaný v článku 1 této Dohody může být uložený na hmotném nosiči dat, zaslaný elektronickou poštou, stáhnutý z počítačové sítě internet, stáhnutý ze serverů Poskytovatele anebo získaný z jiných zdrojů za podmínek a okolností uvedených níže. TOTO NENÍ KUPNÍ SMLOUVA, ALE DOHODA O PRÁVECH KONCOVÉHO UŽIVATELE. Poskytovatel zůstává vlastníkem kopie Software a případného fyzického média na kterém se Software dodává v obchodním balení jako i všech kopií Software na které má Koncový uživatel právo podle této Dohody. Zvolením možnosti "Souhlasím" po dobu instalace, stahování, kopírování anebo používání Software vyslovujete souhlas s ustanoveními a podmínkami této Dohody. Pokud nesouhlasíte s některými ustanoveními této Dohody, ihned klikněte na možnost "Nesouhlasím", zrušte instalaci anebo stahování, anebo zničte, případně vraťte Software, instalační média, doprovodnou dokumentaci a doklad o nákupu a to Poskytovateli anebo na místo, kde jste Software získali. SOUHLASÍTE S TÍM, ŽE VAŠE POUŽÍVÁNÍ SOFTWARE JE ZNAKEM TOHO, ŽE JSTE SI PŘEČETLI TUTO DOHODU, ROZUMÍTE JÍ, A SOUHLASÍTE S TÍM, ŽE JSTE VÁZANÍ JEJÍMI USTANOVENÍMI. 1. Software. Software v této Dohodě znamená (i) počítačový program ESET NOD32 Antivirus 7 včetně všech jeho součástí, (ii) obsah disků, CD-ROM, DVD médií, zpráv elektronické pošty a jejich všech případných příloh, anebo jiných médií ke kterým je přiložená tato Dohoda včetně Software dodaného ve formě objektového kódu na hmotném nosiči dat, elektronickou poštou, anebo stáhnutý přes počítačovou síť internet, (iii) se Software související vysvětlující materiály a jakoukoliv dokumentaci, zejména jakýkoliv popis Software, jeho specifikaci, popis vlastností, popis ovládání, popis operačního prostředí ve kterém se Software používá, návod na použití anebo instalaci Software anebo jakýkoliv popis správného používání Software (dále jen „Dokumentace„), (iv) kopie Software, opravy případných chyb Software, dodatky k Software, rozšíření Software, modifikované verze Software, a aktualizace součástí Software, jak jsou dodané, na které Vám Poskytovatel uděluje Licenci ve smyslu článku 3. této Dohody. Software se dodává výlučně ve formě objektového spustitelného kódu. 2. Instalace. Software dodaný na hmotném nosiči dat, zaslaný elektronickou poštou, stáhnutý z počítačové sítě internet, stáhnutý ze serverů Poskytovatele anebo získaný z jiných zdrojů vyžaduje instalaci. Software musíte nainstalovat na správně nakonfigurovaný počítač splňující minimální požadavky uvedené v Dokumentaci. Způsob instalace je popsaný v Dokumentaci. Na počítači, na který Software instalujete nesmí být nainstalované žádné počítačové programy anebo technické vybavení, které by mohlo nepříznivě ovlivnit Software. 3. Licence. Za předpokladu, že jste souhlasili s touto Dohodou, zaplatíte licenční poplatek v termínu splatnosti a budete dodržovat všechny její podmínky, Vám Poskytovatel uděluje následovná práva („Licence„): a) Instalace a používání. Máte nevýhradní a nepřevoditelné, časově omezené právo instalovat Software na pevný disk počítače anebo na jiné podobné médium sloužící na trvalé ukládání dat, instalaci a na ukládání Software do paměti počítačového systému, na vykonávání, na ukládání a na zobrazování Software.
293
b) Stanovení počtu licencí. Právo na použití Software se váže na počet Koncových uživatelů. Jedním Koncovým uživatelem se přitom rozumí: (i) instalace Software na jednom počítačovém systému, anebo (ii) pokud se rozsah licence váže na počet poštovních schránek, potom se rozumí jedním Koncovým uživatelem uživatel počítače, který si pomocí Mail User Agent (dále jen „MUA„) přebírá elektronickou poštu. Pokud MUA přebírá elektronickou poštu a následně ji automaticky rozděluje vícerým uživatelům potom se počet Koncových uživatelů stanovuje podle skutečného počtu uživatelů, pro které je elektronická pošta rozdělovaná. V případě, že poštovní server vykonává funkci poštovní brány, je počet Koncových uživatelů shodný s počtem uživatelů poštovních serverů, pro které poskytuje tato brána služby. Pokud je jednomu uživateli směřovaný libovolný počet adres elektronické pošty (například pomocí aliasů) a přebírá si je jeden uživatel, a zprávy nejsou automaticky na straně klienta rozdělované pro více uživatelů je potřebná licence pro jeden počítač. Jednu licenci nesmíte současně používat na vícerých počítačích. c) Business Edition. Pro použití Software na mailových serverech, mail relay serverech, mailových branách anebo internetových branách musíte získat Software ve verzi Business Edition. d) Trvání Licence. Vaše právo používat Software je časově omezené. e) OEM Software. OEM Software se váže na počítač, se kterým jste ho získali. Není ho možné přenést na jiný počítač. f) NFR, TRIAL Software. Software označený jako „Not-for -resale„, NFR anebo TRIAL nemůžete převést za protihodnotu anebo používat na jiný účel, jako na předvádění, testování jeho vlastností anebo vyzkoušení. g) Zánik licence. Licence zaniká automaticky uplynutím období na které byla udělená. Pokud nedodržíte kterékoliv ustanovení této Dohody má Poskytovatel právo odstoupit od Dohody bez toho, aby byl dotknutý jakýkoliv nárok anebo prostředek, který má Poskytovatel pro takovýto případ k dispozici. V případě zániku Licence musíte Software a všechny jeho záložní kopie okamžitě zničit anebo na vlastní náklady vrátit společnosti ESET anebo na místo, kde jste Software získali. 4. Připojení k internetu. Software vyžaduje pro správné fungování připojení do internetu a v pravidelných intervalech se připojuje k serverům Poskytovatele anebo serverům třetích stran. Připojení k internetu je potřebné pro následovné funkce Software: a) Aktualizace Software. Poskytovatel může čas od času vydat aktualizaci Software („Update„), avšak není povinný poskytovat Update. Tato funkce je při standardním nastavení Software zapnutá, proto se Update nainstaluje automaticky, kromě případů, kdy Koncový uživatel automatickou instalaci Update zakázal. b) Zasílání infiltrací a informací Poskytovateli. Software obsahuje funkci, která slouží na shromažďování vzorků nových počítačových virů, jiných obdobných škodlivých počítačových programů, podezřelých anebo problematických souborů (dále jen „Infiltrací„) a jejich následné odeslání Poskytovateli včetně informací o počítači a/anebo platformě na které je Software nainstalovaný (dále jen „Informace„). Tato funkce je při standardním nastavení Software vypnutá. Informace mohou obsahovat údaje (včetně náhodně získaných osobních údajů) o Koncovém uživateli a/ anebo jiných uživatelích počítače na kterém je nainstalovaný Software, informace o počítači, operačním systému a nainstalovaných programech, soubory z počítače na kterém je Software nainstalovaný, soubory postižené Infiltrací a informace o takovýchto souborech. Poskytovatel použije získané Informace a Infiltrace jen na přezkoumání Infiltrace, přičemž vykoná přiměřené opatření na zachování důvěrného charakteru získaných Informací. V případě, že aktivujete tuto funkci Software, souhlasíte s tím, aby byly Poskytovateli zasílané Infiltrace a Informace a současně udělujete Poskytovateli souhlas potřebný ve smyslu příslušných právních norem na zpracovávání získaných Informací. Tuto funkci můžete kdykoliv deaktivovat. 5. Výkon práv Koncového uživatele. Práva Koncového uživatele musíte vykonávat osobně anebo prostřednictvím svých případných zaměstnanců. Software můžete použít výlučně jen na zabezpečení své činnosti a na ochranu výlučně těch počítačových systémů, pro které jste získali Licenci. 6. Omezení práv. Nesmíte Software kopírovat, šířit, oddělovat jeho části anebo vytvářet od Software odvozená díla. Při používání Software jste povinný dodržovat následovné omezení: (a) Můžete pro sebe vytvořit jedinou kopii Software na médiu určeném na trvalé ukládání dat jako záložní kopii, za předpokladu, že vaše archivní záložní kopie se nebude instalovat anebo používat na jiném počítači. Vytvoření jakékoliv další kopie Software je porušením této Dohody. (b) Software nesmíte používat, upravovat, překládat, reprodukovat, anebo převádět práva na používání Software anebo kopií Software jinak, než je výslovně uvedené v této Dohodě. 294
(c) Software nesmíte prodat, sublicencovat, pronajmout anebo pronajmout si, vypůjčit si ho anebo používat na poskytování komerčních služeb. (d) Software nesmíte zpětně analyzovat, dekompilovat, převádět do zdrojového kódu anebo se jiným způsobem pokusit získat zdrojový kód Software s výjimkou rozsahu, ve kterém je takovéto omezení výslovně zakázané zákonem. (e) Souhlasíte s tím, že budete používat Software jen způsobem, který je v souladu se všemi platnými právními předpisy v právním systému, ve kterém Software používáte, zejména v souladu s platnými omezeními vyplývajícími z autorského práva a dalších práv duševního vlastnictví. 7. Autorská práva. Software a všechna práva, zejména vlastnická práva a práva duševního vlastnictví k němu, jsou vlastnictvím společnosti ESET a/anebo jejích poskytovatelů licencí. Tato jsou chráněná ustanoveními mezinárodních dohod a všemi dalšími aplikovatelnými zákony krajiny, ve které se Software používá. Struktura, organizace a kód Software jsou obchodními tajemstvími a důvěrnými informacemi společnosti ESET a/anebo jejích poskytovatelů licencí. Software nesmíte kopírovat, s výjimkou uvedenou v ustanovení článku 6 písmeno a). Jakékoliv kopie, které smíte vytvořit podle této Dohody, musí obsahovat stejná upozornění na autorská a vlastnická práva, jaká jsou uvedená na Software. V případě, že v rozporu s ustanoveními této Dohody budete zpětně analyzovat, dekompilovat, převádět do zdrojového kódu anebo se jiným způsobem pokusíte získat zdrojový kód, souhlasíte s tím, že takto získané informace se budou automaticky a neodvolatelně považovat za převedené na Poskytovatele a vlastněné v plném rozsahu Poskytovatelem od okamžiku jejich vzniku, tím nejsou dotčená práva Poskytovatele spojená s porušením této Dohody. 8. Výhrada práv. Všechna práva k Software, kromě práv které Vám jako Koncovému uživateli Software byly výslovně udělená v této Dohodě, si Poskytovatel vyhrazuje pro sebe. 9. Víceré jazykové verze, verze pro více operačních systémů, víceré kopie. V případě jestliže Software podporuje víceré platformy anebo jazyky, anebo jestliže jste získali více kopií Software, můžete Software používat jen na takovém počtu počítačových systémů a v takových verzích, na které jste získali Licenci. Verze anebo kopie Software, které nepoužíváte nesmíte prodat, pronajmout, sublicencovat, zapůjčit anebo převést na jiné osoby. 10. Začátek a trvání Dohody. Tato Dohoda je platná a účinná ode dne, kdy jste odsouhlasili tuto Dohodu. Dohodu můžete kdykoliv ukončit tak, že natrvalo odinstalujete zničíte anebo na své vlastní náklady vrátíte Software, všechny případné záložní kopie a všechen související materiál, který jste získali od Poskytovatele anebo jeho obchodních partnerů. Bez ohledu na způsob zániku této Dohody, ustanovení jejích článků 7, 8, 11, 13, 20 a 22 zůstávají v platnosti bez časového omezení. 11. PROHLÁŠENÍ KONCOVÉHO UŽIVATELE. JAKO KONCOVÝ UŽIVATEL UZNÁVÁTE, ŽE SOFTWARE JE POSKYTOVANÝ "JAK STOJÍ A LEŽÍ", BEZ VÝSLOVNÉ ANEBO IMPLIKOVANÉ ZÁRUKY JAKÉHOKOLIV DRUHU A V MAXIMÁLNÍ MÍŘE DOVOLENÉ APLIKOVATELNÝMI ZÁKONY ANI POSKYTOVATEL, ANI JEHO POSKYTOVATELÉ LICENCÍ, ANI DRŽITELÉ AUTORSKÝCH PRÁV NEPOSKYTUJÍ JAKÉKOLIV VÝSLOVNÉ ANEBO IMPLIKOVANÉ PROHLÁŠENÍ ANEBO ZÁRUKY, ZEJMÉNA NE ZÁRUKY PRODEJNOSTI ANEBO VHODNOSTI PRO KONKRÉTNÍ ÚČEL ANEBO ZÁRUKY, ŽE SOFTWARE NEPORUŠUJE ŽÁDNÉ PATENTY, AUTORSKÁ PRÁVA, OCHRANNÉ ZNÁMKY ANEBO JINÁ PRÁVA TŘETÍCH STRAN. NEEXISTUJE ŽÁDNÁ ZÁRUKA ZE STRANY POSKYTOVATELE ANI ŽÁDNÉ DALŠÍ STRANY, ŽE FUNKCE, KTERÉ OBSAHUJE SOFTWARE, BUDOU VYHOVOVAT VAŠÍM POŽADAVKŮM, ANEBO ŽE PROVOZ SOFTWARE BUDE NERUŠENÝ A BEZCHYBNÝ. PŘEBÍRÁTE ÚPLNOU ZODPOVĚDNOST A RIZIKO ZA VÝBĚR SOFTWARE PRO DOSÁHNUTÍ VÁMI ZAMÝŠLENÝCH VÝSLEDKŮ A ZA INSTALACI, POUŽÍVÁNÍ A VÝSLEDKY, KTERÉ SE SOFTWARE DOSÁHNETE. 12. Žádné další závazky. Tato Dohoda nezakládá na straně Poskytovatele a jeho případných poskytovatelů licencí kromě závazků konkrétně uvedených v této Dohodě žádné jiné závazky.
295
13. OMEZENÍ RUČENÍ. V MAXIMÁLNÍ MÍŘE, JAKOU DOVOLUJE APLIKOVATELNÉ PRÁVO, V ŽÁDNÉM PŘÍPADĚ NEBUDE POSKYTOVATEL, JEHO ZAMĚSTNANCI ANEBO JEHO POSKYTOVATELÉ LICENCÍ ZODPOVÍDAT ZA JAKÝKOLIV UŠLÝ ZISK, PŘÍJEM ANEBO PRODEJ, ANEBO ZA JAKOUKOLIV ZTRÁTU DAT, ANEBO ZA NÁKLADY VYNALOŽENÉ NA OBSTARÁNÍ NÁHRADNÍHO ZBOŽÍ ANEBO SLUŽEB, ZA MAJETKOVÉ ŠKODY, ZA OSOBNÍ ÚJMU, ZA PŘERUŠENÍ PODNIKÁNÍ, ZA ZTRÁTU OBCHODNÍCH INFORMACÍ, ANI ZA JAKÉKOLIV SPECIÁLNÍ, PŘÍMÉ, NEPŘÍMÉ, NÁHODNÉ, EKONOMICKÉ, KRYCÍ, TRESTNÉ, SPECIÁLNÍ ANEBO NÁSLEDNÉ ŠKODY, JAKKOLIV ZAPŘÍČINĚNÉ, ČI UŽ VYPLYNULI ZE SMLOUVY, ÚMYSLNÉHO JEDNÁNÍ, NEDBALOSTI ANEBO JINÉ SKUTEČNOSTI, ZAKLÁDAJÍCÍ VZNIK ZODPOVĚDNOSTI, VZNIKLÉ POUŽÍVÁNÍM ANEBO NEMOŽNOSTÍ POUŽÍVAT SOFTWARE, A TO I V PŘÍPADĚ, ŽE POSKYTOVATEL ANEBO JEHO POSKYTOVATELÉ LICENCÍ BYLI UVĚDOMĚNÍ O MOŽNOSTI TAKOVÝCHTO ŠKOD. POKUD NĚKTERÉ STÁTY A NĚKTERÉ PRÁVNÍ SYSTÉMY NEDOVOLUJÍ VYLOUČENÍ ZODPOVĚDNOSTI, ALE MOHOU DOVOLOVAT OMEZENÍ ZODPOVĚDNOSTI, JE ZODPOVĚDNOST POSKYTOVATELE, JEHO ZAMĚSTNANCŮ ANEBO POSKYTOVATELŮ LICENCÍ OMEZENÁ DO VÝŠE CENY, KTEROU JSTE ZAPLATILI ZA LICENCI. 14. Žádné ustanovení této Dohody se nedotýká práv strany, které zákon přiznává práva a postavení spotřebitele, pokud je s nimi v rozporu. 15. Technická podpora. Technickou podporu poskytuje ESET anebo ním pověřená třetí strana na základě vlastního uvážení bez jakýchkoliv záruk anebo prohlášení. Koncový uživatel je povinný před poskytnutím technické podpory zálohovat všechny jeho existující data, software a programové vybavení. ESET a/anebo ním pověřená třetí strana nepřebírají zodpovědnost za poškození anebo ztrátu dat, majetku, software anebo hardware anebo ušlý zisk při poskytování technické podpory. ESET a/anebo ním pověřená třetí strana si vyhrazuje právo na rozhodnutí, že řešený problém přesahuje rozsah technické podpory. ESET si vyhrazuje právo odmítnout, pozastavit anebo ukončit poskytování technické podpory na základě vlastního uvážení. 16. Převod Licence. Software můžete přenést z jednoho počítačového systému na jiný počítačový systém, pokud to není v rozporu s Dohodou. Pokud to není v rozporu s Dohodou, Koncový uživatel může jednorázově trvale převést Licenci a všechna práva z této Dohody na jiného Koncového uživatele jen se souhlasem Poskytovatele za podmínky, že (i) původní Koncový uživatel si neponechá žádnou kopii Software, (ii) převod práv musí být přímý, tedy z původního Koncového uživatele na nového Koncového uživatele, (iii) nový Koncový uživatel musí přebrat všechna práva a povinnosti, které má podle této Dohody původní Koncový uživatel (iv) původní Koncový uživatel musí odevzdat novému Koncovému uživateli doklady umožňující ověření legality Software jako je uvedené v článku 17. 17. Ověření legality Software. Oprávněnost používání Software může Koncový uživatel prokázat některým z následujících způsobů„ (i) licenčním certifikátem vydaným Poskytovatelem anebo ním pověřenou třetí stranou, (ii) písemnou licenční smlouvou, pokud byla takováto smlouva uzavřená (iii) předložením zprávy elektronické pošty odeslané Poskytovatelem s licenčními údaji (přihlašovací jméno a heslo) umožňujícími Update. 18. Údaje o Koncovém uživateli a ochrana práv. Vy jako Koncový uživatel opravňujete Poskytovatele, aby přenášel, zpracovával a uchovával údaje, které Vás umožní identifikovat. Souhlasíte, že Poskytovatel může svými prostředky kontrolovat, zda používáte Software v souladu s ustanoveními této Dohody. Souhlasíte, že po dobu komunikace Software s počítačovými systémy Poskytovatele anebo jeho obchodních partnerů mohou být přenášené údaje, které mají za účel zabezpečit funkčnost a oprávněnost používání Software a ochranu práv Poskytovatele. V souvislosti s uzavřením této Dohody jsou Poskytovatel anebo jeho obchodní partner oprávnění na účely fakturace a plnění této Dohody přenášet, zpracovávat a uchovávat údaje, které Vás umožní identifikovat v nevyhnutelném rozsahu. Podrobné informace o ochraně soukromí a dat naleznete na http://www.eset.com/cz/ochrana-soukromi/. 19. Licencování pro státní orgány a vládu USA. Software se poskytuje státním orgánům včetně vlády Spojených států amerických s licenčními právy a omezeními popsanými v této Dohodě. 20. Kontrola exportu a reexportu. Software, Dokumentace anebo jejich součásti včetně informací o Software a jeho součástech podléhají opatřením o kontrole dovozu a vývozu na základě právních předpisů, které mohou vydávat vlády příslušné na jejich vydání podle aplikovatelného práva, včetně U.S. Export Administration Regulations, jako i omezení týkajících se Koncového uživatele, způsobu použití a místa určení vydaných vládou USA a jinými vládami. Souhlasíte, že budete striktně dodržovat všechny aplikovatelné dovozní a vývozní předpisy a uznáváte, že nesete zodpovědnost za získání všech povolení potřebných na export, reexport, převod anebo import Software. 21. Oznámení. Všechny oznámení, včetně Software a Dokumentací je potřebné doručit na adresu: ESET software spol. s r.o., Classic 7 Business Park, Jankovcova 1037/49, 170 00, Praha 7, Česká republika.
296
22. Rozhodující právo. Tato Dohoda se řídí a musí být vykládána v souladu se zákony Slovenské republiky s vyloučením ustanovení o kolizi právních norem. Koncový uživatel a Poskytovatel se dohodli, že kolizní ustanovení rozhodujícího právního řádu a Dohod OSN o smlouvách při mezinárodní koupi zboží se nepoužijí. Výslovně souhlasíte, že řešení jakýchkoliv sporů anebo nároků z této Dohody vůči Poskytovateli anebo spory a nároky související s používáním software je příslušný Okresní soud Bratislava V a výslovně souhlasíte s výkonem jurisdikce tímto soudem. 23. Všeobecná ustanovení. V případě, že jakékoliv ustanovení této Dohody je neplatné anebo nevykonatelné, neovlivní to platnost ostatních ustanovení Dohody. Ta zůstanou platná a vykonatelná podle podmínek v ní stanovených. Změny této Dohody jsou možné jen v písemné formě, přičemž za Poskytovatele musí takovouto změnu podepsat statutární zástupce anebo osoba k tomuto úkonu výslovně zplnomocněná. Tato Dohoda mezi Vámi a Poskytovatelem představuje jedinou a úplnou Dohodu vztahující se na Software, a plně nahrazuje jakékoliv předcházející prohlášení, jednání, závazky, zprávy anebo reklamní informace, týkající se Software.
297
