ESET Remote Administrator Uživatelská příručka
chráníme vaše digitální světy
obsah
1. Přehled řešení ........................................4 1.1
Architektura řešení........................................................ 4 1.1.1 ERAS Server (ERAS).................................................4 1.1.2 ERA Konzole (ERAC)................................................4
2. Instalace ERA Server a ERA Console..........5 2.1
Požadavky..................................................................... 5 2.1.1 Požadavky na hardware..........................................5 2.1.2 Povolené porty.......................................................5 2.2 Postup instalace v základním prostředí............................ 5 2.2.1 Náčrt prostředí (struktura sítě)................................5 2.2.2 Příprava instalace...................................................6 2.2.3 Instalace................................................................6 2.2.3.1 Instalace ERA serveru..............................................6 2.2.3.2 Instalace ERA konzole.............................................6 2.2.3.3 Konfigurace funkce Mirror.......................................6 2.2.3.4 Podpora databází ERA serverem.............................. 7 2.2.3.4.1 Základní předpoklady.............................................. 7 2.2.3.4.2 Nastavení spojení k databázi................................... 7 2.2.3.4.3 Existence předchozí databáze.................................. 7 2.2.3.5 Vzdálená instalace na stanice fyzicky ve firmě...........8 2.2.3.6 Vzdálená instalace na notebooky fyzicky mimo firmy.8 2.3 Scénář – instalace v Enterprise prostředí .......................... 8 2.3.1 Náčrt prostředí (struktura sítě)................................8 2.3.3 Instalace................................................................8 2.3.3.1 Instalace na centrále...............................................8 2.3.3.2 Pobočka: Instalace ERA serveru...............................8 2.3.3.3 Pobočka:Instalace HTTP Mirror serveru....................8 2.3.3.4 Pobočka: Vzdálená instalace na klientech.................9 2.3.4 Další předpoklady pro Enterprise prostředí...............9
3. Práce s ERAC........................................ 10
ESET Remote Administrator Copyright © ESET, spol. s r. o. ESET software spol. s r. o. Meteor Centre Office Park Sokolovská 100/94 180 00 Praha 8 Obchodní oddělení
[email protected] tel.: 233 090 233 Technická podpora
[email protected] tel.: 233 090 244 Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani distribuována jakýmkoliv způsobem bez předchozího písemného povolení společnosti ESET software, spol. s r. o. Společnost ESET software spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této publikaci bez předchozího upozornění. V dokumentu použité názvy programových produktů, firem apod. mohou být ochrannými známkami nebo registrovanými ochrannými známkami jejich příslušných vlastníků. REV.20090114‑004
3.1 Přihlášení se k ERAS......................................................10 3.2 Hlavní okno ERAC.........................................................10 3.3 Filtrace informací...........................................................11 3.3.1 Skupiny................................................................. 11 3.3.2 Filtr....................................................................... 11 3.3.3 Kontextové menu.................................................. 11 3.4 Záložky ERAC................................................................ 12 3.4.1 O záložkách a klientech obecně..............................12 3.4.2 Replikace & informace na jednotlivých záložkách.....13 3.4.3 Záložka Clients......................................................13 3.4.4 Záložka Threat Log.................................................14 3.4.5 Záložka Firewall Log...............................................15 3.4.6 Záložka Event Log..................................................15 3.4.7 Záložka Scan Log...................................................15 3.4.8 Záložka Tasks.........................................................15 3.4.9 Záložka Reports.....................................................15 3.4.10 Záložka Remote Install...........................................15 3.5 Nastavení ERA konzole.................................................. 16 3.5.1 Záložka Connection...............................................16 3.5.2 Záložka Columns – Show / Hide..............................16 3.5.3 Záložka Colors.......................................................16 3.5.4 Záložka Paths........................................................16 3.5.5 Záložka Date / Time...............................................16 3.5.6 Záložka Other Settings...........................................16 3.6 Režimy zobrazení.......................................................... 17 3.7 Konfigurační editor....................................................... 17 3.7.1 Vrstvení konfigurací............................................... 17 3.7.2 Klíčové položky nastavení.......................................18
4. Instalace klientských řešení................... 19 4.1 Přímá instalace............................................................. 19
4.2 Vzdálená instalace........................................................ 19 4.2.1 Požadavky............................................................ 20 4.2.2 Příprava prostředí.................................................. 21 4.2.3 Push instalace....................................................... 21 4.2.4 Logon / email instalace.......................................... 22 4.2.5 Instalace vlastní cestou......................................... 23 4.2.6 Obrana před opakovanou instalací........................ 24 4.3 Instalace v Enterprise prostředí......................................25 4.3.1 Instalace přes Group Policy.................................... 25
5. Správa klientů...................................... 25 5.1
5.2
5.3
5.4
5.5
Úlohy...........................................................................25 5.1.1 Konfigurační úloha............................................... 25 5.1.2 On – demand kontrola.......................................... 26 5.1.3 Aktualizační úloha................................................ 26 Skupiny (Groups).......................................................... 26 5.2.1 Synchronizace s Active Directory............................ 27 5.2.2 Filtrování.............................................................. 28 Policies....................................................................... 28 5.3.1 Základní principy a fungování................................ 28 5.3.2 Vytvoření policy.................................................... 28 5.3.3 Virtuální policy..................................................... 29 5.3.4 Funkce a význam policies v stromové struktuře ...... 29 5.3.5 Prohlížení policies................................................. 29 5.3.6 Přidělování policies klientům.................................30 5.3.6.1 Default Primary Clients Policy................................30 5.3.6.2 Manuální přidělení................................................30 5.3.6.3 Policy Rules..........................................................30 5.3.7 Smazání policy.......................................................31 5.3.8 Speciální nastavení................................................31 5.3.9 Scénář použití....................................................... 32 5.3.9.1 Každý server je samostatně spravovaný a policies se řeší lokálně........................................................... 32 5.3.9.2 Každý server je samostatně spravovaný, policies se řeší lokálně, ale dědí se Default Parent policy z nadřazeného serveru ............................................ 32 5.3.9.3 Použití dědění z různých policies nadřazeného serveru 32 5.3.9.4 Přiřazování policies jen z nadřazeného serveru ....... 33 5.3.9.5 Použití policy rules................................................ 33 5.3.9.6 Použití lokálních skupin ........................................ 33 Notifikace ....................................................................33 5.4.1 Notification Manager............................................ 33 5.4.1.1 Posílání notifikací prostřednictvím SNMP TRAP............ 37 5.4.2 Vytvoření pravidla................................................. 37 Podrobné informace z klientských stanic.........................38
6. Reporty............................................... 39 7. Nastavení ESET Remote Administrator Serveru (ERAS).....................................40 7.1 Bezpečnost.................................................................. 40 7.2 Správa databází........................................................... 40 7.3 Mirror.......................................................................... 41 7.3.1 Provoz lokálního aktualizačního serveru.................41 7.3.2 Typy aktualizací.................................................... 42 7.3.3 Aktivace a nastavení funkce Mirror v praxi.............. 42 7.3.4 Mirror pro klienty NOD32 verze 2............................ 43 7.4 Replikace.................................................................... 44 7.6 Správa licencí.............................................................. 45 7.7 Rozšířené nastavení..................................................... 45 7.8 Další nastavení............................................................ 46 7.8.1 Nastavení SMTP....................................................46
7.8.2 7.8.3 7.8.4
Nastavení Portů....................................................46 Noví klienti...........................................................46 ThreatSense. Net..................................................46
8. Troubleshooting.................................... 47 8.1 FAQ.............................................................................47 8.1.1 Není možné nainstalovat ESET Remote Administrator na Windows server 2000 a 2003............................. 47 8.1.2 Co znamená chybový kód GLE?.............................. 47 8.2 Nejčastější chybové kódy...............................................47 8.2.1 Chybové kódy při vzdálené instalaci ESET Smart Security nebo ESET NOD32 Antivirus pomocí ESET Remote Administrator.......................................... 47 8.2.2 Nejčastější chybové kódy z protokolu era.log.......... 47 8.3 Jak odhalit problém s ERAS?.......................................... 48
9. Rady & tipy........................................... 48 9.1 9.2 9.3 9.4 9.5
Plánovač úloh.............................................................. 48 Odstranění existujících profilů....................................... 50 Export a další využití současné XML konfigurace klienta.. 50 Nastavení aktualizace ze dvou zdrojů pro mobilní zařízení.50 Instalace produktů třetích stran prostřednictvím ERA....... 51
1. Přehled řešení ESET Remote Administrator je nástrojem, který je určen pro vzdálenou správu řešení ESET v síťovém prostředí. Díky řešení ESET Remote Administrator (dále jen ERA) je možné z jednoho místa sledovat činnost řešení ESET na jednotlivých klientech (na stanicích, serverech apod.), reagovat na vzniklé situace díky přítomnosti systému úloh a v neposlední řadě provádět i vzdálené instalace řešení ESET. ERA sám o sebe neřeší antivirovou, ani jinou formu ochrany před průnikem škodlivého kódu. Nasazení ERA je tak podmíněné přítomností klientských nebo serverových řešení ESET NOD32 (typicky ESET NOD32 Antivirus nebo ESET Smart Security běžící na stanicích). Nasazení kompletního portfolia řešení ESET tak spočívá v: • instalaci ERA serveru (ERAS), • instalaci ERA konzole (ERAC), • instalaci klientů (ESET NOD32 Antivirus, ESET Smart Security, ESET Security apod.). Poznámka: V některých pasážích dokumentace můžou být použité systémové proměnné, vyjadřující přesné umístění složek /souborů: %ProgramFiles% = typicky C:\Program Files %ALLUSERSPROFILE% = typicky C:\Documents and Settings\ All Users
1.1
Architektura řešení
Po technické stránce se řešení ESET Remote Administrator skládá z dvou častí, ERA Server (ERAS) a ERA Console (ERAC). Počet současně běžících instalací ERAS a ERAC není v rámci licence omezený. Omezený je jen počet současně spravovaných klientů (viz. ERAS, licenční klíče). 1.1.1
ERAS Server (ERAS)
Serverová část ERA funguje jako služba pod systémy na báze Microsoft Windows NT (NT4, 2000, XP, 2003, Vista, 2008). Hlavní úlohou ERAS je „sběr“ informací z klientů a naopak zasílání požadavků klientům. Požadavky (úlohy pro změnu konfigurace, požadavky na vzdálenou instalaci atd.) pro klienty je možné vytvářet prostřednictvím druhé části – ERA Console (ERAC). Ve výsledku je tak ERAS rozhraním mezi ERAC, klienty a místem, kde se všechny informace zpracovávají, udržují, popřípadě odevzdávají ke klientům či ERAC. 1.1.2 ERA Konzole (ERAC)
ERAC je klientskou částí řešení ERA. ERAC se obvykle instaluje na stanici, z které bude operovat správce sítě a sledovat nabídku řešení ESET na jednotlivých klientech. Pomocí ERA konzole se je možné připojit k serverové
4
části ERA – na cílový port TCP 2223. Tuto komunikaci zajišťuje proces console.exe, obvykle ve složce: %ProgramFiles%\Eset\Eset Remote Administrator\Console ERAC může v průběhu instalace vyžadovat zadání jména ERA serveru, ke kterému se potom konzola dokáže automaticky připojit při každém jeho startu. ERA konzolu je možné nastavit kdykoliv později. ERAC lokálně ukládá jen HTML výstupy z generovaných reportů, jakékoliv ostatní informace jsou zasílané v rámci komunikace na portu TCP 2223 z ERAS.
2. Instalace ERA Server a ERA Console 2.1
Pro správné fungování všech součástí ERA je potřebné, aby byly uvedené porty povolené.
Požadavky
ERAS funguje jako služba – je nutná přítomnost operačního systému na bázi Microsoft Windows 2000/ XP/2003/Vista/2008. Serverová edice Microsoft Windows není nutností. Počítač, na kterém bude ERAS provozovaný, by měl být v nonstop provozu a síťově dostupný pro: • klienty (typicky pracovní stanice) • PC s ERA konzolí • ostatní ERAS pro použití replikace
Zatížení systému je minimální, avšak závisí od počtu klientů, použité databázi ERAS, úrovně logování apod. Minimální HW konfigurace pro nasazení ERAS je zároveň doporučenou konfigurací pro použitý operační systém Microsoft Windows. 2.1.2 Povolené porty
V následující tabulce je přehled síťové komunikace, která se může v souvislosti s ERAS vyskytnout. Na portě TCP 2221 poslouchá proces EHttpSrv.exe a na portech TCP 2222, 2223, 2224, 2846 poslouchá přímo proces era.exe. V dalších případech se komunikace vztahuje na procesy operačního systému (např. NetBIOS over TCP/IP).
TCP
2221 (ERAS poslouchá)
TCP
2222 (ERAS poslouchá)
TCP
2223 (ERAS poslouchá)
Změny je možné uskutečnit přes menu Tools > Server Options... Pokud chcete změnit port 2221, vyberte záložku Updates a změňte hodnotu HTTP server port. Porty 2222, 2223, 2224 a 2846 je možné změnit v záložce Other settings v sekci Ports. Přednastavené porty 2222, 2223, 2224 a 2846 je možné změnit i při pokročilé instalaci ERAS.
2.1.1 Požadavky na hardware
Protokol Port
Přednastavené porty 2221, 2222, 2223, 2224 a 2846 je možné změnit, např. v případě, že dané porty jsou už využívané pro komunikaci jiné aplikace.
Popis Na tomto portu jsou standardně poskytovány aktualizace přes funkci Mirror integrovanou v ERAS (HTTP komunikace) Komunikace mezi klienty a ERAS Komunikace mezi ERAC a ERAS
2.2
Postup instalace v základním prostředí
2.2.1 Náčrt prostředí (struktura sítě)
Základní firemní prostředí je tvořené jednou firemní sítí LAN, počítá se s nasazením jednoho ERAS a jednoho Mirror serveru. Mirror server může vytvářet ERAS nebo ESET NOD32 Antivirus 3.0 Business Edition/ESET Smart Security Business Edition. Předpokládejme, že všechny stanice a notebooky (dále jen klienti) se nacházejí v doméně, přičemž na klientech jsou v provozu operační systémy Microsoft Windows 2000/XP/ Vista. Od serveru pojmenovaného jako GHOST se očekává nonstop provoz, přitom není důležité, či se jedná o edici Windows workstation, professional nebo server (zároveň nezáleží, zda se jedná nebo nejedná o Active Directory Server). Taktéž předpokládejme, že notebooky jsou v době instalace řešení ESET mimo firemní síť. Celkové schéma sítě potom může vypadat následovně.
Při využití všech funkcionalit (instalace, replikace) můžou být síťové požadavky rozšířené o: Protokol Port
Popis Komunikace mezi agentem einstaller.exe a ERAS v průběhu vzdálené instalace. Replikace mezi ERAS.
TCP
2224 (ERAS poslouchá)
TCP
2846 (ERAS poslouchá)
TCP
Kopírování agenta einstaller. 139 (cílový port z pohledu exe z ERAS na klienta ERAS) prostřednictvím share admin v průběhu push instalace.
UDP UDP
TCP
137 (cílový port z pohledu ERAS) 138 (cílový port z pohledu ERAS) 445 (cílový port z pohledu ERAS)
„Name resolving“ v průběhu vzdálené instalace. „Browsing“ v průběhu vzdálené instalace. Přímý přístup ke sdíleným prostředkům přes TCP/IP v průběhu vzdálené instalace (alternativa k TCP 139).
Obrázek 2.1
5
2.2.2 Příprava instalace
Před instalací je nutné stáhnout si ze stránek k ESET následující instalační balíčky. Součástí ESET Remote Administrator: ESET Remote Administrator – Server ESET Remote Administrator – Console Klientské řešení ESET: ESET Smart Security ESET NOD32 Antivirus 4.0 ESET NOD32 Antivirus 3.0 ESET NOD32 Antivirus 2.7 Stahujeme ta klientská řešení, která mají být nainstalovaná na pracovních stanicích. 2.2.3 Instalace
Po instalaci ERAS dojde k automatickému zpuštění služby ERA serveru. O případné činnosti ERAS je možné se přesvědčit v protokole: %ALLUSERSPROFILE%\Application Data\ESET\ESET Remote Administrator\Server\logs\era.log 2.2.3.2 Instalace ERA konzole
Na PC nebo notebook administrátora (na schématu vlevo dole) nainstalujeme aplikaci ESET Remote Administrator Console. Na konci pokročilé instalace můžeme uvést název ERA serveru (nebo IP adresu), ke kterému se bude konzole standartně hlásit. V našem případě tak uvedeme název GHOST. Po instalaci můžeme ERAC později spustit a vyzkoušet funkčnost připojení k ERAS. Standartně není potřebné zadávat heslo (standartně je heslo prázdné), avšak doporučujeme ho pro následující provoz nastavit. Nastavení je dostupné přes ERAC > File > Change Password…, jedná se o Password for Console.
2.2.3.1 Instalace ERA serveru
Na server GHOST nainstalujeme ERA server. Na výběr jsou 2 typy instalace – typická a pokročilá. Pokud zvolíme typickou instalaci, program bude požadovat vložení licenčního klíče – souboru s příponou .LIC, který zabezpečí chod ERAS na smluvené období. Dále nás instalační program vyzve na zadání parametrů aktualizace (uživatelského jména/hesla a aktualizačního serveru), je však možné je později nastavit v programu. Po zvolení pokročilé instalace bude instalátor požadovat nastavení dalších parametrů programu, které je možné dodatečně měnit pomocí ERAC, obvykle to však není potřebné. Výjimkou je specifikace názvu serveru. Název by měl zodpovídat názvu v DNS, menu počítače, popřípadě IP adrese, pod kterou bude takto označený server viditelný. Tato informace se stane klíčovou především při realizaci vzdálení instalace. Pokud nebude název serveru specifikovaný, doplní se automaticky hodnota systémové proměnné %COMPUTERNAME% (název PC), což je ve většině případů postačující. Důležitý je též výběr databáze, kterou bude ERAS používat pro ukládání dat. Více v části Podpora databází ERA serverem. Programové časti ERAS se standardně instalují do složky: %ProgramFiles%\ESET\ESET Remote Administrator\Server a proměnlivé časti (protokoly, instalační balíčky, konfigurace atd.) do složky: %ALLUSERSPROFILE%\Application Data \ESET\ESET Remote Administrator\Server 6
Administrátor má možnost definovat heslo pro plnohodnotný přístup a taktéž heslo jen pro zobrazení konfiguraci ERAS (read-only přístup). 2.2.3.3 Konfigurace funkce Mirror
Prostřednictvím ERA konzole je možné na straně ERA serveru aktivovat funkci Mirror pro vytvoření lokálního aktualizačního serveru. Z tohoto serveru následně můžou být aktualizované klientské stanice nacházející se v síti. Vytvořením mirroru zabráníte zvýšenému objemu dát přenášeného přes Vaše internetové připojení. Postup nastavení mirroru: 1. Připojit se konzolou k ERA serveru. 2. V menu Tools > Server Options... vybrat záložku Updates. 3. Tu nastavit Update server (Choose automatically), Update interval (ponechat 60 minut), Update user name (zadat uživatelské jméno, které Vám bylo zaslané při koupi produktu, obvykle v tvaru EAV-1234567), Update password (tlačítkem Set Password... nastavit heslo dodané spolu s uživatelským jménem). 4. Dále povolit Create update mirror, adresář pro vytváření Mirror ponechat, taktéž i HTTP server port (standardně 2221) a autorizaci (NONE). 5. V záložce Other Settings zvolit tlačítko Edit Advanced Settings... a ve větvi ERA Server > Setup > Mirror > Create mirror for the selected program components vybrat (tlačítko Edit v pravé časti editoru) všechny komponenty pro jazykovou verzi řešení ESET, která bude instalovaná na klientech. Doporučujeme vybrat jen programové komponenty pro příslušnou jazykovou verzi, kterou plánujete používat. 6. Okamžité vytvoření Mirroru je možné zajistit stisknutím tlačítka Update now v záložce Updates.
Pro podrobnější nastavení funkce Mirror doporučujeme přečíst kapitolu 7. Server Management, část Mirror. 2.2.3.4 Podpora databází ERA serverem
Na ukládání dat je standardně používaná databáze typu Microsoft Access (Jet Database). ERAS verze 3 podporuje použití i následujících databází: • • •
Microsoft SQL Server MySQL Oracle
Volba databáze se uskutečňuje při pokročilé instalaci ERA serveru. Po instalaci už není možné změnit verzi používané databázi. 2.2.3.4.1
Základní předpoklady
V první řadě je nutné manuálně vytvořit databázi na databázovém serveru. V případě použití MySQL umí instalátor vytvořit novou prázdnou databázi i automaticky, s názvem ESETRADB. Přednastavenou volbou je automatické vytvoření obsahu databáze instalátorem. Administrátor taktéž může vytvořit obsah databáze manuálně, pomocí tlačítka Export Scripts. V tomto případě musí zaškrtávací políčko Create tables in the new database automatically zůstat prázdné. 2.2.3.4.2 Nastavení spojení k databázi
Po vytvoření nové databáze je potřebné specifikovat připojení k databázovému serveru. V zásadě je to možné uskutečnit dvěma způsoby: 1. pomocí DSN (data source name) DSN je možné vytvořit manuálně pomocí ODBC administrátora (tlačítko Start > Zpustit > odbcad32. exe) Příklad DSN spojení: DSN=ERASqlServer 2. přímou pomocí úplného řetězce definujícího spojení Je potřebné definovat všechny potřebné parametry spojení – ovládač, jméno serveru a jméno databáze. Příklad úplného řetězce definujícího spojení pro MS SQL Server: Driver={SQL Server};Server=hostname;Database=ESETRA DB
Obrázek 2.2
Příklad úplného řetězce definujícího spojení pro Oracle Server: Driver={Oracle in instantclient10_1};dbq=hostname:1521/ ESETRADB Příklad úplného řetězce definujícího spojení pro MySQL Server: Driver={MySQL ODBC 3.51 Driver};Server=hostname;Data base=ESETRADB Dále je pro správné připojení nutné nastavit uživatelské jméno v políčku User Name spolu s heslem přes tlačítko Set Password. U Oracle a MS SQL Server je též potřebné uvést název Schema name (u MS SQL server je to obvykle jméno uživatele). Spojení s databázovým serverem je možné ověřit pomocí tlačítka Test Connection. 2.2.3.4.3 Existence předchozí databáze
V případě, že tabulky v databázi už existují, instalátor na tuto skutečnost upozorní. Obsah existující tabulky je možné přepsat použitím volby Overwrite (obsah existujících tabulek bude smazaný a přepíše se jejich struktura). Po zvolení Ignore zůstanou tabulky nezměněné Poznámka: Při této možnosti může za určitých okolností dojít k problémům s konzistencí databáze, zejména pokud byly tabulky poškozené nebo nejsou shodné se současnou verzí. Volba Cancel zruší instalaci ERAS a nabídku zkontrolování databáze manuálně.
7
2.2.3.5 Vzdálená instalace na stanice fyzicky ve firmě
2.3.3 Instalace
Za předpokladu, že jsou stanice v provozu, nabídne se jako vhodná metoda tzv. push instalace. Ještě před jeho aplikací bude nutné stáhnout si ze stránek ESET instalační soubor řešení ESET Smart Security nebo ESET NOD32 Antivirus (.MSI soubor) a následně vytvořit instalační balík. K balíku je možné vytvořit XML konfiguraci, která se při použití tohoto balíku automaticky uplatní.
2.3.3.1 Instalace na centrále
Podrobnější informace o vzdálené push instalaci jsou v kapitole 4. Instalace klientských řešení. 2.2.3.6 Vzdálená instalace na notebooky fyzicky mimo firmy
Notebooky budou vyžadovat odlišný způsob vzdálené instalace, pokud jsou fyzicky mimo firmu – není možné instalovat okamžitě, až v čase, když se notebooky připojí od domény. Nabídne se tak instalace přes logon skript voláním agenta einstaller.exe.
Postup instalace ERAS, ERAC a klientů na centrále se od předcházejícího případu neliší. Změna nastává jen v nastavení ERA serveru (GHOST), kde je potřebné povolit část Replicate „from“ settings (prostřednictvím ERAC v menu Tools > Server Options... > Replication) a nadefinovat název (Allowed servers) podřazeného ERA serveru. V našem případě je to LITTLE. Pokud administrátor nastavil heslo pro replikaci na nadřazeným ERA serveru (Tools > Server Options… > Security > Password for replication), tak je nutné se tímto heslem z podřazeného ERA serveru autentifikovat.
Podrobnější informace o vzdálené instalaci pomocí logon skriptu jsou v kapitole 4. Instalace klientských řešení.
2.3
Scénář – instalace v Enterprise prostředí
2.3.1 Náčrt prostředí (struktura sítě)
Vycházíme z předcházejícího modelu, přidáme však jednu pobočku s několika klienty a serverem LITTLE. Řekněme, že se mezi centrálou a pobočkou nachází velmi pomalá datová linka (VPN). V takovém případě se vysloveně nabízí instalace Mirror serveru taktéž na server pobočky (LITTLE) a pro komfort administrátora a nižší množství přenesených dat i instalací druhého ERA serveru.
Obrázek 2.4 2.3.3.2 Pobočka: Instalace ERA serveru
Analogicky můžeme postupovat podle instalace ERA serveru z předcházejícího případu. Opět je ale potřebné povolit a nastavit replikaci prostřednictvím ERA konzole. Tentokrát je potřebné povolit volbu Enable “to” replication (menu Tools > Server Options... > Replication) a definovat název nadřazeného ERA serveru. Zřejmě nejjednodušší bude definovat přímo IP adresu nadřazeného ERA serveru1 , v našem případě IP adresu serveru GHOST.
Obrázek 2.5 2.3.3.3 Pobočka:Instalace HTTP Mirror serveru
Obrázek 2.3
Analogicky můžeme postupovat podle instalace Mirror serveru z předcházejícího případu. Změna nastává v místě, kde je • definovaný zdroj, ze kterého budou aktualizace stahované • definované uživatelské jméno a heslo. Ze schématu je zjevné, že zdrojem aktualizace pro pobočku nebudou servery ESET, ale nadřazený Mirror 1
8
Tímto sa vyhneme případným problémům s překladem názvů na IP adresy mezi pobočkami (v závislosti na konfiguráci DNS).
server na centrále (tj. GHOST). Většinou tak bude potřebné zdroj aktualizace definovat následující URL adresou: http://ghost:2221 (příp. http://IP_adresa_ghost:2221). Uživatelské jméno / heslo není potřebné definovat vůbec, jelikož je integrovaný HTTP web server v řešení ESET standardně nevyžaduje žádnou autorizaci. Víc informací ohledně ERA Mirror v kapitole 7.3 Mirror. 2.3.3.4 Pobočka: Vzdálená instalace na klientech
Replikace tak zvyšuje nejen komfort, ale může šetřit i přenosovou kapacitu linky. Zároveň se otvírá možnost přístupu několika osob s různými právy. Administrátor přistupuje přes ERAC na ERAS praha2.firma.cz (komunikace E) bude mít možnost spravovat jen klienty, kteří se hlásí k praha2.firma cz. Administrátor připojený na praha.firma.cz (C) potom klienty hlásících se k praha.firma.cz, praha1.firma.cz, praha2.firma.cz. Administrátor připojený k centrále (A) potom bude moct spravovat všechny klienty na centrále i pobočkách.
Opět je možné postupovat podobně jako na centrále, ale všechnu činnost je vhodné vykonávat prostřednictvím ERAC připojené přímo k ERA serveru pobočky (LITTLE) 2. 2.3.4 Další předpoklady pro Enterprise prostředí
V rozsáhlejších sítích je možné nasadit několik ERAS a vzdálenou instalaci klientů a jejich další správu tak realizovat z dostupnějších ERA serverů. Pro tento účel umožňuje ERA server už zmiňovanou tzv. replikaci, kdy je možné všechny ukládané informace předávat i nadřazenému ERA serveru (tzv. „upper server“). Konfiguraci replikace je možné realizovat prostřednictvím ERAC. Praktickému příkladu použití replikace může být společnost, která má několik poboček. Nabízí se tak varianta instalace ERA serveru na každou pobočku a jejich podřazenost vůči ERAS na centrále. Výhoda replikace bude markantnější ve chvíli, kdy mezi centrálou a pobočkami budou „natáhnuté“ pomalé VPN linky. Administrátorovi na centrále bude totiž ke kompletní správě stačit připojení k hlavnímu ERAS na centrále (na následujícím obrázku jde o komunikaci označenou písmenem A). Nebude muset přistupovat ERA konzolí přes pomalé VPN linky k jednotlivým pobočkám (komunikace B, C, D, E). Tato nepohodlná komunikace zůstane administrátorovi skrytá díky fungující replikací mezi ERA servery.
Obrázek 2.6
V rámci nastavení replikace je možné určit, které informace se mají předávat nadřazeným serverem automaticky ve stanoveném intervale, a které až na požádání administrátora spravujícího nadřazený server.
2
V opačném případě by se instalační balíky museli dopravoavat přes pomalou VPN linku a celý komfort obsluhy by prudce klesl.
9
3. Práce s ERAC 3.1
Přihlášení se k ERAS
3.2
Hlavní okno ERAC
Většina funkcí ERA konzole bude dostupná až po přihlášení se k ERA serveru. Před prvním přihlášením k ERAS je tak potřebné nadefinovat název ERAS, popř. jeho IP adresu: menu File > Edit Connections... (Tools > Console Options... > záložka Connection) Tlačítkem Add/Remove... je možné přidávat jména nových ERA serverů, nebo upravovat existující. V roletě Select connection následně stačí vybrat požadovaný ERAS a stlačit Connect. Další volby: • Connect to selected server on the console startup Konzola se po startu automaticky připojí k vybranému ERAS. • Show message when connection fails Při chybě v průběhu komunikace bude zobrazen varovný dialog. Při přihlášení k ERAS bude vyžadované heslo. Standardně není na straně ERAS nastavené žádné heslo a z bezpečnostních důvodů doporučujeme toto změnit volbou v menu File > Change Password... > tlačítkem Change... v řádku Password for Console Při zadávaní hesla v průběhu přihlašování je možné zvolit Remember password pro zapamatování hesla (je potřebné zvážit bezpečnostní rizika). Naopak volbou File > Clear Cached Passwords... je možné tyto „zapamatovaná“ hesla změnit. Jako náhle je komunikace navázána, v záhlaví okna konzole se zobrazí Connected [název_serveru]. K ERAS je možné se přihlásit i přes menu File > Connect. Při přihlašování je potřebné si zvolit, zda se přihlásíme jako Administrator nebo jako Read-only uživatel.
Obrázek 3.1 Základní okno ESET Remote Administrator Console
Stav komunikace ERAC vs. ERAS je mimo jiného signalizovaný v stavovém řádku vpravo dole (1). Potřebná data z ERAS načítá konzole pravidelně (standardně každou minutu, viz. Console Options...), přičemž o průběhu načítání informují další části stavového řádku. Stlačením klávesy F5 je možné kdykoliv vynutit aktualizaci zobrazených dat (refresh). Data jsou roztříděné do několika záložek (2) podle jejich významu. Ve většině případů je možné data (5) třídit vzestupně / sestupně kliknutím na záhlaví s názvem atribut a zároveň je možné metodou drag & drop měnit pořadí jednotlivých sloupců. V případě rozsáhlých výstupů je možné omezit množství současně zobrazených řádků (Items to show) a listovat po stránkách. Volba View mode omezuje výpis co do množství sloupců (atributů). Více v časti o filtraci informací. Horní část (4) nabývá většího smyslu při provozování tzv. replikace. Vždy se tu nacházejí souhrnné informace o ERAS, ke kterému je právě konzola připojená, avšak i informace o případných podřazených ERA serverech. Pomocí filtru v časti (4) je možné ovlivnit rozsah zobrazených informací v časti (5): • Use All Servers V části (5) budou informace ze všech ERAS. • Use Only Checked Servers V části (5) budou informace jen z vybraných ERAS. • Exclude Checked Servers V části (5) budou informace jen z nevybraných ERAS. Sloupce v části (4): • Server Name Název serveru. • Clients Celkové množstvo klientů, které se k danému ERAS hlásí. Resp. celkové množství klientů v databáze daného ERAS.
10
• Virus Signature DB Range Čísla verzí (virové databáze), která se nachází mezi klienty daného ERAS. • Least Recent Connection Nejdelší doba od posledního připojení k ERA serveru některého z jeho klientů. • Last Threat Alerts Celkové množství aktuálních událostí (souvisí s atributem Last Threat Alert v části (5)). • Last Event Warnings Celkové množstvo aktuálních událostí personálního firewallu (souvisí s atributem Last Firewall Alert v části (5)). • Last Event Warnings Celkové množstvo aktuálních událostí (souvisí s atributem Last Event v části (5)).
Do výstupu zahrňte jen klienty, jejich název odpovídá přesně zadanému řetězci. • Only clients beginning like (?,*) Do výstupu zahrňte jen klienty, jejich název začíná zadaným řetězcem. • Only clients like (?,*) Do výstupu zahrňte jen klienty, jejich název obsahuje zadaný řetězec. • Exclude clients (using whole word), Exclude clients beginning like (?,*), Exclude clients like (?,*) Tyto volby vyjadřují negaci výše uvedených variant.
Pravým tlačítkem myši v části (4) je možné vyvolat kontextovou nabídku a volbou Connect to This Server se připojit přímo k vybranému ERAS.
V další části se je možné omezit na filtraci v souvislosti se skupinami (Groups):
Další záznamy v časti 4 vznikají automaticky při povolené replikaci. Nejvýznamnější funkce ERAC jsou dostupné jak z menu, tak i z nástrojové listy (3). Poslední částí je filtr (6) – víc v části o filtraci informací.
3.3
Filtrace informací
ERAC nabídka několika nástrojů a funkcí, které ulehčí správu většího množství klientů či událostí. 3.3.1 Skupiny
Jednotlivý klienti se můžou zařazovat do libovolných skupin pomocí menu Tools > Groups Editor v menu konzole. Zařazování do skupin je možné výhodně uplatnit při filtraci či tvoření úloh. Detailnější informace v kapitole 5.2 Skupiny (Groups). 3.3.2 Filtr
Pomocí filtru je možné zobrazit jen ty záznamy, které administrátora zajímají. Filtr je možné zpřístupnit volbou View > Show/Hide Filter Pane v menu konzole. Aktivace filtru se provádí zaškrtnutím Use Filter a zpuštěním filtrování tlačítkem Apply Changes. Pokud není nastavené jinak v menu Tools > Console Options..., provádí se automatická aktualizace výstupních údajů (nová filtrace) při libovolné změně v nastavení filtru. V části Computer filter criteria nadefinujeme požadované kritéria vyhledávání Primary server, Client name, Computer name a MAC address. V první části Computer filter criteria je možné filtrovat ERA servery / klienty a to několika způsoby: • Only clients (using whole word)
Do pole Primary server, Computer name, Client name, MAC Address se zapisují samotné řetězce, přičemž v požadavku vůči databázi jsou uplatněné jen vyplněná pole, mezi nimi je použitý logický operátor AND.
• Clients in Groups V tomto případě budou vybráni jen klienti, patřící do definovaných skupin. • Clients in other Groups or N/A Do výstupu budou zařazeni jen klienti, kteří se nacházejí v jiných, než vybraných skupinách, popřípadě nejsou do skupin zařazení vůbec. Pokud se klient nachází v některé z vybraných skupin, ale zároveň i v skupině, která není uvedená, potom bude o výstupu zařazený i tento. • Clients in no Groups Tuto podmínkou splňují klienti bez zařazení do skupin. Posledním filtrem je filtrování na základě existujících problémů, zobrazované jsou tedy jen stanice se zvoleným typem problému. Po aktivování Only show problems se pomocí tlačítka Edit dostaneme k seznamu problémů. Po označení problémů a aktivování filtru budou v konzole zobrazení jen klienti s daným problémem. Všechny změny, které jsme v nastavení filtrování vykonali, se aplikují tlačítkem Apply changes. Alternativně, zrušení jejich platnosti a návrat do přednastaveného stavu docílíme tlačítkem Reset. Nastavení automatického uplatňování filtru je dostupné přes Tools > Console Options > Other Settings > Auto apply changes. 3.3.3 Kontextové menu
Prostřednictvím pravého tlačítka myši ve výpisech záznamů je možné aplikovat další funkce pro efektivní výpis záznamů. Jde především o: • Select by ‘aaa’ Dojde k označení jen těch záznamů, které obsahují řetězec aaa ve stejném atributu (sloupci), na kterém bylo vyvolané kontextové menu. Za řetězec aaa je 11
automaticky dosazená hodnota buňky, na které bylo kontextové menu vyvolané. • Inverse selection Provede inverzní výběr záznamu. • Hide selected Skryje vybrané záznamy. • Hide unselected Skryje záznamy, které nejsou vybrané. Dvě posledně jmenované možnosti je možné vhodně využít po předchozích aplikacích. Filtry nastavené prostřednictvím kontextového menu je možné zrušit volbou v menu View > Cropped View, popřípadě ikonou na nástrojové liště konzole. Alternativní cestou je stlačení klávesy F5 pro obnovení (refresh) informací. Příklad použití: • Chceme zobrazit jen ty stanice, na kterých došlo k nějaké virové události: V záložce Clients proto zmáčkneme pravé tlačítko myši na kterékoliv prázdné buňce IB a z kontextového menu zvolíme Select by ‘ ‘. V kontextovém menu vyvoláme funkci Hide selected. • Chceme zobrazit jen virové hlášení klienta Jozef a Karel. V záložce Alert Log zmáčkneme pravé tlačítko myši na kterékoliv buňce s textem „Jozef “ v sloupci Client Name. V kontextovém menu vybereme Select by ‚Jozef‘. Nyní podržíme klávesu CTRL a podobným způsobem (pravým tlačítkem a následně Select by ‘Karel’) označíme “Karel”. Zmáčkneme pravé tlačítko myši a z kontextového menu zvolíme Hide unselected. Klávesu CTRL můžeme pustit. Zároveň je možné spolu s myší využít klávesu CTRL pro označení / odznačení určitých záznamů, stejně tak klávesu SHIFT pro označení / odznačení skupiny záznamů. Poznámka: Filtraci je možné vhodně využít například při tvorbě nových úloh jen pro specifické (vybrané) klienty. Možnosti uplatnění jsou velmi široké. Pohledy Na záložce Clients je možné nastavit rozsah zobrazených sloupců (atributů) v roletě View mode. Při Full View Mode jsou zobrazené všechny, při Minimal View Mode jen základní. Tyto režimy jsou pevně dané. Naopak režim Custom View Mode odpovídá nastavení v menu Tools > Console Options..., záložka Columns – Show/Hide.
3.4
Záložky ERAC
3.4.1 O záložkách a klientech obecně
Většina informací se ve výsledku vždy váže k některému z přihlášených klientů. Každý přihlášený klient k ERAS je
3
12
Ve starších verzích ERA proběhla identifikace klienta podle atributů Computer Name + Primary Server.
tak jednoznačně identifikovaný spojením následujících atributů: Computer Name (název klienta) + MAC Address (MAC adresa) + Primary Server3 Chovaní ERAS při některých operacích v síti (přejmenování PC...) je možné v této souvislosti definovat v rozšířeným nastavení ERAS. Lze tak zabránit zbytečnému založení nového klienta v záložce Clients např. v momentě, když je na stanici změněný její název computer name (např. v souvislosti s fyzickým přesunem PC do jiné kanceláře) a zachovaná MAC adresa. Klienti (stanice anebo servery s instalovaným řešením ESET), kteří se k RAS přihlásili poprvé jsou ve stavu Yes u atributů New User (je možné nastavit v ERAS), což je mimo jiné graficky vyjádřené hvězdičkou v pravé horní časti ikony malého monitoru. Tato vlastnost slouží jen pro jednodušší orientaci administrátora, že se v seznamu nachází klient, který doposud „neprošel rukou“ administrátora. Atribut může sloužit na jiné rozlišení podle uvážení administrátora.
Obrázek 3.2
Jakmile administrátor prostřednictvím ERAC daného klienta vhodně nastaví (přiřadí do skupiny apod.), může ho pomocí pravého tlačítka myši a výběrem funkce Set/Reset Flags > Reset „New“ Flag zařadit mezi „už nastavené“. Ikona daného klienta se tak změní na následující (a atribut New User na No):
Obrázek 3.3
Poznámka: Atribut Comment je volitelný ve všech záložkách. Slouží pro zadání libovolného textu administrátora (např. “kancelář č. 129”). U časových hodnot je možné v nastavení ERAC zvolit mezi relativním (“před 2 dny”), absolutním (20.5.2008) a systémovým zobrazením (Regional settings). Ve většině případů je možné data v záložkách třídit vzestupně / sestupně kliknutím na záhlaví s názvem atributu a zároveň je možné metodou drag & drop měnit pořadí jednotlivých sloupců. Poklepáním myší na určité hodnoty se je možné přemístit do jiné záložky s upřesňujícím informacemi. Například při poklepaní na hodnotu ve sloupci Last Threat Alert je možné docílit přesun do záložky Threat Log, kde budou automaticky vyfiltrované jen záznamy, související s daným klientem. Poklepáním na hodnoty v jiných sloupcích je tak možné vyvolat dialog, kde jsou o daném klientovi i informace, které by se do tabulkového výpisu těžko vešly.
3.4.2 Replikace & informace na jednotlivých záložkách
Pokud je konzola připojená k ERAS, k němu se v rámci replikace připojují podřazené ERAS a zároveň jde o replikaci, kdy nejsou automaticky přenášené všechny informace, potom může dojít k situaci, kdy konzole nenabízí k nahlédnutí všechny informace replikovaných klientů. Chybět přitom můžou: • Podrobnější protokoly k incidentům (záložka Threat Log). • Podrobnější protokoly o on-demand skenovaní (záložka Scan Log). • Detailní XML podoba současné konfigurace a stavu klientů (záložka Clients, sloupec Configuration, Protection Status, Protection Features, System Information). Taktéž chybějí informace z programu SysInspector, který je součástí nových produktů společnosti ESET: ESET NOD32 Antivirus 3.0, ESET Smart Security a také ERAS. Na dialozích, kde tyto informace chybějí se v těchto případech nachází tlačítko Request, po jeho stlačení dojde k vyžádání chybějících informací u podřazeného ERA serveru. Přestože proces replikace zahajuje podřazený ERAS, chybějící informace se přenesou max. do stanoveného časového intervalu replikace.
Atribut Computer Name MAC Address Primary Server Domain IP Product Name Product Version Policy name
Last Connected
Protection Status Text Virus Signature DB Last Threat Alert Last Firewall Alert Last Event Warning Last Files Scanned Last Files Infected Last Files Cleaned Last Scan Date Restart Request Restart Request Date Product Last Started Product Install Date
Mobile User
New Client OS Name OS Platform HW Platform Configuration
Protection Status Protection Features Obrázek 3.4 Tlačítkem Request je možné zažádat podřazení ERA server o poskytnutí chybějících informací.
System Information
3.4.3 Záložka Clients
Na této záložce je možné najít základní informace o jednotlivých klientech.
SysInspector
Custom info
Význam Název stanice / serveru (hostname). MAC adresa (síťové karty). Název ERA serveru, se kterým klient přímo komunikuje. Název domény / skupiny, v které se klient nachází (nesouvisí se skupinami vedenými v ERAS). IP adresa Název řešení ESET. Verze řešení ESET. Jméno policy, která je uplatňovaná na klienta. Čas posledního kontaktu klienta s ERAS. K tomuto termínu jsou aktuální další informace z daného klienta s výnimkou některých případů, kdy je použitá replikace. Souhrnná informace o stavu řešení ESET na klientovi. Verze virové aktualizace. Poslední incident. Poslední poplach firewallu. Zobrazené jsou incidenty od úrovně Warning. Poslední chybová událost. Počet kontrolovaných souborů při posledním on-demand testu. Počet infikovaných souborů při posledním on-demand testu. Počet vyléčených (odstraněných) souborů při posledním on-demand testu. Čas posledního on-demand testu. Je vyžadovaný restart klienta (např. při programové aktualizaci). Moment, od kterého je vyžadovaný restart klienta. Poslední start řešení ESET. Datum instalace řešení ESET. Klientům s tímto příznakem bude automaticky zaslaná úloha typu “update now” vždy, když klient naváže první komunikaci s ERAS (vhodné nastavení pro mobilní zaměstnance a jejich notebooky). Víc v části věnované obecně klientům. Název operačního systému. OS platforma (Windows / Linux...). 32‑bit / 64‑bit Klient zasílá na ERAS podobu konfigurace ve formátu XML. V tomto atributu je uvedený čas, z kterého konfigurace pochází Souhrnný stav řešení ESET. Analogicky shodné s atributem Configuration. Stav jednotlivých komponentů řešení ESET. Analogicky shodné s atributem configuration. Klient zasílá na ERAS systémové informace. V tomto atributu je uvedený čas, z kterého informace pocházejí. Stav načítání systémových informací z programu ESET SysInspector (zobrazuje se jen při klientech s verzí obsahující tento nástroj). Administrátorem specifikované informace, které definoval tak, aby se zobrazovali 13
Atribut Comment
Význam Administrátor může k danému klientovi napsat komentář
Poznámka: Některé hodnoty jsou jen informativního charakteru a v době, kdy se na ně administrátor dívá, nemusejí být aktuální (typická situace: v 7:00 došlo k chybě při aktualizaci, v 8:00 už proběhla bez problémů). Jedná se např. o hodnoty ve sloupci Last Threat Alert, Last Event. Jakmile je administrátor s událostmi seznámený a považuje je za neaktuální, může na daný řádek kliknout pravým tlačítkem myši a z kontextového menu zvolit volbu Clear “Last” Info > Clear “Last Threat Alert” Info, popř. Clear “Last” Info > Clear “Last Event” Info. Tím odstraní informaci o posledním incidentu / události.
Obrázek 3.5 Neaktuální událost ze sloupců Last Threat Alert a Last Event jde lehko odstranit.
• záložka Member Of Groups Klient je členem uvedených skupin. Blíže v kapitole o filtraci informací. • záložka Tasks Úlohy, které souvisí s daným klientem. Blíže v kapitole o úlohách. • záložka Configuration Zde se nabízí možnost prohlédnout, popř. vyexportovat existující konfiguraci klienta do souboru ve formátu XML. Zároveň se nabízí varianta, kdy je existující konfigurace využitá jako šablona pro tvorbu nové / upravené XML podoby konfigurace. Blíže v kapitole o úlohách. • záložka Protection Status Souhrnný stav řešení ESET. V některých případech jde o „interaktivní“ stavy, kdy je možné reagovat přímo bez manuální definice nové úlohy, která by problém vyřešila. • záložka Protection Features Stav jednotlivých komponentů řešení ESET. • záložka System Information Bližší informace o nainstalovaném řešení, o verzích jednotlivých komponentů apod. • záložka SysInspector Získání podrobných informací o běžících a zpuštěných procesech. 3.4.4 Záložka Threat Log
Tato záložka obsahuje podrobnější informace o jednotlivých incidentech. Atribut Client Name Computer Name MAC Address Primary Server Date Received Date Occurred Level Scanner Object Name Threat Action User Obrázek 3.6 Detailní informace o klientovi.
Na záložce Clients jsou velmi rozsáhlé i možnosti při poklepání myší na libovolného klienta: • záložka General Významově shodné s atributy na záložce Clients. Zde je možné definovat Client Name, tedy název, pod kterým bude klient vedený v ERA a nepovinný komentář. 14
Information Details
Význam Název klienta, na kterém incident nastal. Název stanice / serveru (hostname). MAC adresa (síťové karty). Název ERA serveru, se kterým klient přímo komunikuje. Čas přijetí incidentu na ERAS. Čas vzniku incidentu na klientovi. Úroveň incidentu. Název komponentu řešení ESET, který incident zaznamenal. Typ objektu. Obvykle adresář, v kterém byla infekce zachycená. Obvykle název zachyceného škodlivého kódu. Akce, která byla s daným objektem provedená. Jméno Uživatele, který byl identifikovaný při výskytu události. Informace ohledem detekované infiltrace Stav načítaní logu z klienta
3.4.5 Záložka Firewall Log
3.4.7 Záložka Scan Log
zde jsou k dispozici záznamy z klientských firewallů.
V této záložce se nacházejí výsledky jednorázových kontrol disku (on-demand skener), které byli vyvolané vzdáleně, lokálně přímo na stanici, nebo prostřednictvím úlohy v plánovači.
Atribut Client Name Computer Name MAC Address Primary Server Date Received Date Occurred Level Event Source Target Protocol Rule Application User
Význam Název klienta, na kterém událost nastala. Název stanice / serveru (hostname). MAC adresa (síťové karty). Název ERA serveru, se kterým klient přímo komunikuje. Čas přijetí události na ERAS. Čas vzniku události na klientovi. Úroveň události Popis události Zdrojová IP adresa. Cílová IP adresa. Protokol, který se událost týká. Pravidlo, které se událost týká. Aplikace, které se událost týká. Jméno Uživatele, který byl identifikovaný při výskytu události.
3.4.6 Záložka Event Log
V této záložce se nacházejí všechny ostatní události. Atribut Client Name Computer Name MAC Address Primary Server Date Received Date Occurred Level Plugin Event User
Význam Název klienta, na kterém událost nastala. Název stanice / serveru (hostname). MAC adresa (síťové karty). Název ERA serveru, se kterým klient přímo komunikuje. Čas přijetí události na ERAS. Čas vzniku události na klientovi. Úroveň události Název komponentu řešení ESET, který událost zaznamenal. Popis události. Jméno Uživatele, který bol identifikovaný při výskytu události.
Atribut Client Name Computer Name MAC Address Primary Server Date Received Date Occurred Scanned Targets Scanned Infected Cleaned Status User Type Scanner Details
Význam Název klienta, na kterém kontrola proběhla. Název stanice / serveru (hostname). MAC adresa (síťové karty). Název ERA serveru, s kterým klient přímo komunikuje. Čas přijetí výsledku na ERAS. Čas vzniku výsledku na klientovi. Cíle kontroly. Počet zkontrolovaných objektů. Počet infikovaných objektů. Počet odstraněných objektů (léčením, smazáním). Verdikt kontroly. Jméno uživatele, který byl identifikovaný při výskytu události. Typ uživatele Druh skeneru Stav načítání logu z klienta
3.4.8 Záložka Tasks
Význam této záložky je popsaný v části věnované úlohám. Pokud jde o jednotlivé atributy, tak: Atribut State Type Name Description Date to deploy Date Received Details Comment
Význam Stav úlohy (Active = stále se uplatňuje, Finished = klienti úlohu převzali). Informuje o typu úlohy. Název úlohy. Popis úlohy. Čas vykonání úlohy Čas přijetí úlohy na ERAS. Stav načítání logu o úloze Administrátor může k danému klientovi napsat komentár
3.4.9 Záložka Reports
Záložka obsahuje funkce prostřednictvím, kterých může být archivované dění na síti za určité časové období. Funkce na této záložce umožňují generování různých grafických i tabulkových výstupů. Bližší informace o vytváření reportů najdete v kapitole 6. Reporty. 3.4.10 Záložka Remote Install
Tato záložka nabízí možnosti týkající se vzdálené instalace řešení ESET na jednotlivých klientech. Bližší informace je možné najít v samostatné kapitole 4.2 Vzdálená instalace.
15
3.5
Nastavení ERA konzole
ERA konzolu je možné konfigurovat prostřednictvím menu Tools / Console Options... 3.5.1 Záložka Connection
Souvisí s připojením ERA konzole k ERA serveru. Detailnější popis na začátku kapitoly o ERAC. 3.5.2 Záložka Columns – Show / Hide
Zde je možné definovat, jaké atributy se mají zobrazovat v jednotlivých záložkách konzole. V případě záložky Clients jde o zobrazené informace při režimu (View mode) Custom View Mode. Ostatní režimy jsou pevně předdefinované. 3.5.3 Záložka Colors
Zde je možné definovat barevné odlišení různých událostí, často i v několika úrovních a definovat podbarvení řádku na základě specifikovaných problémů (Conditional Highlighting) Je tak možné např. odlišit klienty, kteří mají mírně starší virovou (Clients: Previous Version) databázi a klienty s velmi starou databázi (Clients: Older Versions or N/A). 3.5.4 Záložka Paths
Zde je možné uvést adresář, do kterého si bude konzole lokálně ukládat reporty stáhnuté z ERAS. Standardně jde o složku: %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Console\reports 3.5.5 Záložka Date / Time
Určuje způsob zobrazení časových údajů: • Absolute Konzola bude zobrazovat čas absolutní (např. 14:30:00). • Relative Konzola bude zobrazovat relativní čas (např. „2 weeks ago“ – před dvěma týdny). • Regional Podle regionálního nastavení (přebrané z nastavení Windows). • Recalculate UTC time to your local time (use local time) Pokud je tato volba zaškrtnutá, budou časy přepočítané do místního času. V opačném případě budou časy přepočítané do GMT - UTC. 3.5.6 Záložka Other Settings
• Filter settings > Auto Apply Changes Pokud je tato volba aktivní, bude filtr na jednotlivých záložkách konzole automaticky generovat nový výstup při každé změně v podmínkách filtru. V 16
opačném případě proběhne filtrace podle podmínek až po stlačení tlačítka Apply Changes. • Remote Administrator updates Tady je možné nastavit, jak často bude přímo konzola kontrolovat, zda neexistuje novější verze řešení ESET Remote Administrator. Doporučujeme ponechat volbu Monthly (měsíčně). V případě existence novější verze bude administrátor informovaný po spuštění ERA konzole. • Other settings > Use automatic refresh Automatické obnovování výstupu na jednotlivých záložkách (data z ERAS) ve zvoleném intervalu. • Other settings > Empty console recycle bins at application exit Odstraní položky z interního koše konzole při ukončení konzole. Ten je možné využít v záložce Reports. • Show gridlines Jednotlivé buňky záložek budou oddělené čárou. • Prefer showing Client as “Server/Name” instead of “Server/Computer/MAC” Ovlivňuje způsob zobrazení informací o klientech v některých dialozích (např. při tvorbě úlohy). Tato volba má jen vizuální dopad. • Use systray icon ERA konzola se bude prezentovat ikonou na liště Windows. • Show on taskbar when minimized Pokud bude minimalizované okno ERA konzole, bude obnovení okna dostupné z lišty Windows (taskbar). • Use highlighted systray icon when problematic clients found Společně s tlačítkem Edit je možné definovat události, při kterých dojde ke změně barvy malé ikony ERA konzole na liště Windows (obvykle vedle hodin). Nabízí se varianta, kdy bude ERA konzola připojená z PC administrátora k ERA serveru nonstop. V takovém případě doporučujeme vypnout volbu Show on taskbar when minimized a konzolu nechat při nepoužívaní minimalizovanou. Jakmile se objeví na klientech problém, ikona v systray (oblast malých ikon – obvykle vedle hodin) zčervená a stane se tak signálem pro administrátora. Zároveň je potřebné povolit a vhodně nastavit volbu Use highlighted systray icon when problematic clients found, teda události, při kterých ke změně barvy dojde. Avšak ERA konzola se odpojí každých 15 dní, pokud je na ERA serveru aktivovaná možnost komprimace Databáze (Tools > Server Options > Server Maintenance > Compact and repair scheduler). • Show all groups in filter panes Ovlivňuje způsob filtrace podle skupin. • Tutorial messages Zakáže (Disable All) / povolí (Enable All) zobrazení informativních zpráv.
3.6
Režimy zobrazení
ERA Console umožňuje pracovat ve dvou režimech zobrazení: • Administrátorský režim • Read-only režim (jen pro čtení) Administrátorský režim ERAC umožňuje plný přístup k funkcionalitám a nastavením ERAS, a k administraci klientských řešení ESET pomocí ERAS. Read-only režim je určený k prohlížení stavu klientských řešení ESET připojujících se k ERAS. Nedovoluje vytvářet žádné typy úloh určených pro klientské stanice, instalační balíčky a ani k instalaci řešení ESET. Nepřístupný je také License manager, Policy manager a Notification manager. Je možné měnit nastavení ERAC a vytvářet reporty. Režim zobrazení se volí při každém startu konzole, přes roletové menu Access, přičemž heslo k ERAS je možné nastavit nezávisle pro oba režimy zobrazení. To je užitečné, pokud chceme některým uživatelům zabezpečit plný přístup k ERAS a jiným přístup jen pro čtení. Heslo je nastavitelné přes položku menu Tools > Server Options > záložka Security > tlačítka Password for Console (Administrator Access) a (Read-Only Access).
3.7
Pro kompletní funkcionalitu konfiguračního editoru jsou důležité i soubory eguiEpfw.dll, cfgeditLang.dll, eguiEpfwLang.dll a eset.chm. 3.7.1 Vrstvení konfigurací
Konfigurační editor ESET zapíše do XML výstupu jen ty položky ze stromové struktury konfigurace, které mají v editoru modrý symbol . Položky se šedým symbolem nebudou do výstupního XML zapsané. Při uplatnění konfigurace na klientech se tak logicky převedou jen ty operace, které byly zapsané v XML výstupe (teda jen ty s ) a všechny ostatní ( ) zůstanou v původním stavu. Je možné tak na klientech postupně uplatnit několik samostatných konfigurací a přitom „nepoškodit“ dříve provedené změny. Příkladem může být následující situace. V rámci této konfigurace bude na klientech nastavené uživatelské jméno, heslo a zakázané použití proxy:
Konfigurační editor
Konfigurační editor ESET je významným komponentem, který se využívá hned na několika místech, minimálně při tvorbě: • předdefinované konfigurace pro instalační balíčky, • konfigurace, zasílaný klientům prostřednictvím úloh, • obecného konfiguračního souboru. Konfigurační editor je součástí ERAC a fyzicky jde převážně o soubory cfgedit.*. Konfigurační editor ESET umožňuje detailně nastavit většinu parametrů některých řešení ESET (především těch, které se instalují na cílové stanice) a toto nastavení vyexportovat do XML formátu. XML podobu (např. v podobě .XML souboru) je následně možné využít na mnohých místech (tvorba úloh v ERAC, lokální import konfigurace v ESET Smart Security atd.).
Obrázek 3.7
Druhá konfigurace uplatněná na klientech způsobí, že všechno zůstane zachované (včetně dříve zaslaného jména AV-1234567 a hesla), avšak bude povolené použití proxy a nastavení adresy a portu proxy serveru.
Pro konfigurační editor je velmi důležitá šablona, podle něj je naplněná celá stromová struktura. Šablona je přímou součástí cfgedit.exe. Z tohoto důvodu doporučujeme mít ERA Server a ERA Konzolu aktualizovanou. Při používaní konfiguračního editoru je možnost otevření libovolného .XML souboru. Je potřebné se vyvarovat modifikaci či přepsání souboru cfgedit.xml!
17
without asking). Pokud je pro připojení k Internetu vyžadovaný proxy, je pro správný chod ThreatSense. Net potřeba nastavit také větev Kernel > Setup > Proxy server. Při výchozím nastavení klientské produkty přeposílají podezřelé soubor ERA Serveru a ten je dále přeposílá na analýzu. Je nutné mít nastavený v ERAS proxy server v Tools > Server Options > Other Settings > Edit Advanced Settings > ERA Server > Setup > Proxy server • Větev Kernel > Setup > Protect setup parameters Umožňuje uzamknout přístup do nastavení heslem. Toto heslo bude vyžadované přímo na klientském řešení při vstupu do jeho nastavení. Budoucí úpravy v nastaveních přes řešení ERA nebudou tímto heslem ovlivněné.
Obrázek 3.8
3.7.2 Klíčové položky nastavení
Následuje přehled klíčových položek dostupných v konfiguračním editoru v souvislosti s klientským řešením ESET Smart Security: • Větev Kernel > Setup > Remote administrator Zde je možné povolit komunikaci klienta s ERA serverem (Connect to Remote Administrator server). Je potřebné nadefinovat minimálně název nebo IP adresu ERA serveru (Server address). Interval komunikace (Interval between connections to server) doporučujeme ponechat standardní - 5 minut. Pro testovací účely je možné nastavit hodnotu intervalu na 0 (komunikace bude uskutečněná každých 10 sekund). Pokud je nastavené heslo (Password), je potřebné nastavit shodné i na samotném ERA serveru (viz. kapitola o nastavení ERAS – volba Password for Clients). Komunikace mezi klientem a ERAS bude v takovém případě šifrovaná. Detailnější informace ohledně nastavování hesel najdete v kapitole 7.1 Bezpečnost. • Větev Kernel > Setup > License keys Na klientech není nutné žádné licenční klíče přidávat ani spravovat. Tato větev má význam u některých serverových řešení. • Větev Kernel > Setup > Set parameters for ThreatSense reporting Definuje chování služby ThreatSense.Net, která zajišťuje odesílání podezřelých souborů k analýze do laboratoří společnosti ESET. Při nasazení v síti jsou hlavní především volby Submit suspicious files a Enable submission of anonymous statistical information. Těmito je možné ThreatSense.Net úplně zakázat (Do not submit), popř. nastavit režim, když nebude uživatel obtěžovaný dialogy pro potvrzení odesílání podezřelých souborů (Submit 18
• Větev Kernel > Setup > Scheduler/Planner Plánovač úloh, v kterém je možné nadefinovat např. pravidelnou antivirovou kontrolu disku apod. Poznámka: Řešení ESET obsahují standardně několik předdefinovaných úloh (včetně pravidelné antivirové ochrany nejvýznamnějších souborů a pravidelné automatické aktualizace) a ve většině případů tak není nutné přidávat nové ani upravovat existující. • Větev Update V této části konfigurace je možné nastavit jednotlivé aktualizační profily. Za normálních okolností stačí změnit nastavení předdefinovaného profilu My profile a zaměřit se především na Update server, User name a Password. Pokud Update server = AUTOSELECT, potom budou aktualizace vyhledávané na aktualizačních serverech společnosti ESET. V tomto případě je nutné doplnit atributy User name a Password údaji získanými při zakoupení licence. Pokud má být klient aktualizovaný z lokálního aktualizačního serveru (Mirror), tak bližší informace jsou uvedené v následující kapitole. Detailnější informace ohledně plánovače najdete v kapitole 9.1 Plánovač úloh. Poznámka: U mobilních zařízení je možné využít dva profily, které zajišťují podle potřeby aktualizaci z lokálního Mirror serveru, popř. ze serverů společnosti ESET. Víc informací v závěru této dokumentace.
4. Instalace klientských řešení Tato kapitola je věnovaná instalaci klientských řešení ESET na stanice s operačním systémem Microsoft Windows. Instalace může být vykonaná přímo na stanici, nebo více způsoby z ERA serveru. Podívejme se i na další alternativní způsoby vzdálené instalace.
4.2 Vzdálená instalace
Poznámka: Doporučujeme vzdálenou instalaci využívat jen na instalaci řešení ESET na stanice a ne na servery i pokud je to technicky možné.
• Vzdálená push instalace, • Vzdálená instalace prostřednictvím logon skriptu, • Vzdálená instalace prostřednictvím e-mailu.
4.1
Vzdálená instalace prostřednictvím ESET Remote Administrator se skládá z těchto kroků:
Přímá instalace
Při tomto způsobu je klientské řešení ESET instalované s fyzickou přítomností administrátora u stanice. Tento způsob instalace nevyžaduje žádnou větší přípravu a je vhodný především v malých počítačových sítích, příp. tam, kde není k dispozici produkt pro centrální správu ESET Remote Administrator. I tuto „manuální“ práci je možné částečně zautomatizovat tím, že klientské řešení ESET bude po instalaci nastavené podle dopředu dané XML konfigurace. Bez dalších úprav tak bude rovnou nastavený např. aktualizační server (jméno / heslo, cesta k Mirror serveru...), tichý režim, pravidelná kontrola pevného disku atd.
Řešení ESET Remote Administrátor nabízí několik metod vzdálené instalace. Pro distribuci instalačního baličku na cílovou stanici může být použitá:
• tvorba instalačního balíku s názvem X, • distribuce instalačního balíku X na stanice (push, logon skript, e-mail, externí řešení). Tvorba instalačních balíků se realizuje přes ERAC, avšak fyzicky jsou „balíky“ ve většině případů uložené přímo na ERA serveru, konkrétně v adresáři: %ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote Administrator\Server\packages Tvorba instalačních balíků v prostředí ERA konzole je zabezpečená tlačítkem Packages... v záložce Remote Install.
Použití XML konfigurace je odlišné pro verzi 3.x a 2.x řešení ESET: • Do adresáře se stáhnutým MSI balíčkem okopírujeme XML konfiguraci z konfiguračního editora ESET pod názvem cfg.xml. Při počátku instalace (spuštění MSI balíčku) bude automaticky převzaté nastavení z cfg.xml. V případě, že by byl konfigurační XML pojmenovaný odlišně, příp. by byl umístění v jiné složce, je možné použít parametr ADMINCFG=”cesta_k_xml_souboru” (např. ess_nt32_menu.msi ADMINCFG=”\\server\xml\ settings.xml” pro použití konfigurace ze síťového disku). • Verze 2.x: Z webových stránek ESET stáhneme instalační soubor (např. ndntskst.exe). Stáhnutý soubor rozbalíme pomocí aplikace WinRAR. Vznikne tak adresář s množstvím souborů, v kterém bude figurovat i setup.exe. Do tohoto adresáře umístíme XML konfiguraci pojmenovanou jako nod32.xml. Při počátku instalace (spuštění setup.exe) bude automaticky převzaté nastavení z nod32.xml. V případě, že by se konfigurační XML jmenoval odlišně, popř. byl umístěný v jiné složce, je možné použít parametr /cfg=”cesta_k_xml_souboru” (např. setup.exe / cfg=”\\server\xml\settings.xml” pro použití konfigurace ze síťového disku).
Obrázek 4.1 Dialog pro tvorbu instalačních balíčků.
Každý instalační balík je identifikovaný názvem (Name, na obrázku v části 1). Další části dialogu souvisí s obsahem balíku, který bude automaticky uplatněný v momentě, kdy se daný balík podaří některou z cest dopravit na stanici. Obsahem balíku jsou tedy: • instalační soubory (2) klientského řešení ESET, • konfigurační XML soubor pro klientské řešení ESET (3), • parametry příkazového řádku pro klientské řešení ESET (4). 19
Roletka Type v časti 1 značně rozšiřuje možnosti ERA. Kromě vzdálené instalace je možné zabezpečit i vzdálenou odinstalaci (Uninstall Eset Security Products and NOD32 version 2) klientských řešení ESET, příp. vzdáleně instalovat úplně externí aplikace (Custom package). Ke každému balíku automaticky vzniká tzv. ESET Remote Installer, tj. agent, jehož úlohou je zabezpečit hladký průběh instalace a komunikace mezi cílovou stanicí a ERAS. Po technické stránce jde o krátký soubor einstaller. exe, v kterém je pevně zapsaný název ERA serveru, název a typ instalačního balíku, ke kterému se váže. Přesný význam agenta je popsaný v následujících kapitolách. Existuje řada parametrů, kterými je možné průběh instalace ovlivnit. Tyto parametry je možné použít po dobu přímé instalace, když je administrátor fyzicky přítomný při takovýchto stanicích, avšak i v případě vzdálené instalace. Potom jsou tyto parametry určené vepředu po dobu tvorby instalačních balíčků a po dobu instalace jsou na stanici vnucené automaticky. Parametry ESET Smart Security a ESET NOD32 Antivirus – tyto je možné zapisovat za instalační soubor (např. ea_nt64_ENU.msi /qn): • /qn Tichý režim instalace bez zobrazení dialogových oken. • /qb! Uživatel nemá možnost instalaci ovlivnit, avšak její průběh je znázorněný „progressbarom“ (stav instalace v %) • REBOOT=”ReallySuppress” Zakáže restart PC po dokončení instalace. • REBOOT=”Force” Vynutí restart PC po dokončení instalace. • REBOOTPROMPT =”” Na vykonání restartu po dokončení instalace se zeptá (nemůže být použité spolu s /qn). • ADMINCFG=”cesta_k_xml_souboru” Při instalaci bude použité XML nastavení řešení ESET z definovaného souboru. Při vzdálené instalaci není potřebné tyto parametr používat. Instalační balík obsahuje vlastní XML konfiguraci, která bude automaticky při instalaci vnucená. Parametry pro starší řešení ESET NOD32 pro Windows ve verzi 2.x - tyto je možné zapisovat za soubor SETUP. EXE, který je možné spolu s ostatními získat extrakcí instalačního souboru (např. setup.exe /silentmode): • /SILENTMODE Tichý režim instalace bez zobrazení dialogových oken. • /FORCEOLD Případnou reinstalací vykoná i v případě, že právě instalovaná verze bude starší než existující. 20
• /CFG=”cesta_k_xml_souboru” Při instalaci bude použité XML nastavení řešení ESET z definovaného souboru. Při vzdálené instalaci není potřebné tento parametr používat. Instalační balík obsahuje vlastní XML konfiguraci, která bude automaticky při instalaci vnucená. • /REBOOT Vynutí restart PC po dokončení instalace. Parametr je možné použít jen v kombinaci s parametrem SILENTMODE. • /SHOWRESTART Na vykonání restartu po dokončení instalace se zeptá. • /INSTMFC Doinstaluje potřebné MFC knihovny na operační systém Microsoft Windows 9x, které jsou potřebné pro správný chod programu. Parametr může být použitý vždy, i když jsou MFC knihovny k dispozici. V části 2 má administrátor možnost vytvořit samostatný instalační balík s přednastavenou konfigurací z už uloženého balíku pomocí tlačítka Copy. Takovýto instalační balík může být spuštěný na stanici, na kterou má být produkt nainstalovaný. Uživatel jen spustí balík a daný produkt se nainstaluje bez toho, aby se po dobu instalace připojil na ERAS. 4.2.1 Požadavky
Základním požadavkem při vzdálené instalaci je potřeba konkrétně nakonfigurované TCP/IP sítě, v které je zabezpečená spolehlivost spojení klient – server. Instalace klientských řešení pomocí ESET Remote Administrator aplikace klade na klientské stanice vyšší nároky jako při přímé instalaci na klientské stanici. Vzhledem na fakt, že se jedná o instalování na dálku, je potřebné aby byly splněné následující podmínky: • • • • • • • • • • •
Klient sítě Microsoft Nainstalované Sdílení souborů a tiskáren Neblokované porty pro sdílení souborů (445, 135 – 139) TCP/IP protokol Funkční sdílení systémového prostředku ADMIN$ Klient musí být schopný odpovídat na PING příkaz konektivita klienta a serveru bez blokování potřebných portů (standardně porty číslo 2221 až 2224) přihlašovací údaje k účtu s administrátorskými právy (přihlašovací heslo nesmí byť prázdné) vypnuté Jednoduché sdílení souborů a složek funkční služba Server funkční služba Remote Registry
Jejich splnění je hlavně při větším množství klientů vhodné ověřit dopředu, ještě před začátkem vzdálené instalace pomocí tlačítka Diagnostics: v záložce Remote Install > Push Installation.
4.2.2 Příprava prostředí
Průběh push instalace je následující:
Před instalací klientských řešení na jednotlivé stanice v síti je dobré připravit vhodné podmínky. Tímto můžeme předejít dalším chybám.
1) V ERAC je potřebné zvolit volbu Install... (záložka Remote Install).
Pomocí integrovaného nástroje pro hledání nechráněných stanic je možné inicializovat prohledávání sítě, které má za cíl odhalit nechráněné klientské stanice. Za nechráněné stanice se považují ty, které se nepřipojují k ERAS. Tento nástroj je přístupný v záložce Remote Install – Find. Po stlačení tlačítka Find je prohledaná síť a zjištěné nechráněné stanice jsou zobrazené v levé části okna. Na zjištěné stanice můžeme aplikovat operace Push Install, Copy a Export. Zaškrtávací políčko Find from server definuje, či bude vyhledávání z pohledu serveru, nebo konzole. Volbu doporučujeme zaznačit, pokud se konzola nachází v jiné síti než server.
2) V levé části dialogu vybereme stanici, na které chceme metodu push nainstalovat klientské řešení ESET a tyto přesuneme do pravé části (metodou drag & drop). 3) V roletce Package vybereme název instalačního balíku, který má být metodou push dopravený a nainstalovaný na cílovou stanici.
Po zjištění dostupných stanic, vhodných na instalaci klientského řešení, je možné využít nástroj diagnostiky instalace. V dialogu pro Push instalaci (záložka Remote Install > tlačítko Install...) se nabízí tlačítko Diagnostics, které prověří všechny procedury, které jsou nutné pro úspěšnou vzdálenou instalaci. Je tak ještě před samotnou vzdálenou instalací možné odhalit případné problémy, příp. si nechať upřesnit “místo”, kde k problému dochází.
Obrázek 4.3
4) V pravé části označíme stanice, na které má být vzdálená instalace uplatněná. 5) Stlačíme tlačítko Install (tlačítkem Get Info si je možné ověřit současnou situaci na vybraných klientech). 6) Ve většině případů budeme nyní vyzváni k zadání jména / hesla účtu, pod kterým se umožní přístup k cílové stanici (musí jít o účet, který má na cílové stanici práva administrátora, tj. ideálně účet doménového administrátora).
Obrázek 4.2 Diagnostika dokáže dopředu odhalit možné problémy.
První část Get Info Diagnostics hovoří např. o nainstalovaných produktech společnosti ESET na daném PC. Druhá část informuje, zda jsou splněné nutné podmínky pro instalaci produktů společnosti ESET. 4.2.3 Push instalace
Při použití této metody vzdálené instalace dochází k okamžitému “natlačení” klientského řešení ESET na cílovou stanici. Stanice tak musí být v danou chvíli v provozu a musí být splněné podmínky uvedené v kapitole Požadavky.
Obrázek 4.4
7) O dalším průběhu instalace jsme informovaní textovou správou a stavovým indikátorem. V skutečnosti dochází k následujícím činnostem.
21
8) ERAS zasílá na cílovou stanici prostřednictvím sdílení admin$ agenta – einstaller.exe
Obrázek 4.5
9) Agent se zavádí jako služba pod systémovým účtem.
10) Agent navazuje špatnou komunikaci s ERAS a na portě TCP 2224 začne stahování instalačního balíku, ke kterému se agent váže.
11) Agent tento balík instaluje pod účtem definovaným v bodě 6 a bere přitom ohled na XML konfiguraci a parametry příkazového řádku.
12) Jakmile je instalace dokončená, agent na tuto skutečnost taktéž upozorňuje. Některá řešení ESET můžou vyžadovat restart PC. Toto je taktéž ve správě zohledněné.
22
V dialogu push instalace je možné vyvolat pravým tlačítkem myši kontextové menu: • Get Info Tato funkce zjistí současný stav řešení ESET na vybraných stanicích (opět bude potřebné zadat jméno / heslo administrátora). Po technické stránce je opět použité sdílení admin$. • Uninstall Opačný postup instalace, kdy se agent pokusí vzdálené řešení ESET odinstalovat. V režimu Uninstall není brán ohled na vybraný instalační balík v roletce Package. • Diagnostics Zjistí dostupnost klienta a služeb, které můžou být využité při vzdálené instalaci. Víc v kapitole “Příprava prostředí”. • Remove Installer Leftovers Na cílových klientech odregistruje agenty (einstaller. exe) ze správců služeb a odstraní je z disku. Pokud je tato činnost úspěšná, dojde zároveň k odstranění “značky” bránící opakované instalaci daného balíku (víc v kapitole “Obrana před opakovanou instalací”). • Logon... Dialog k zadání jména / hesla administrátora se v případě potřeby zobrazí automaticky (bod 6). Tímto je možné zobrazení dialogu vynutit okamžitě a k vybraným stanicím se přihlásit. • Logoff Odhlášení se od vybraných stanic. • Add Client... Touto volbou je možné přidávat manuálně jednotlivé klienty (stanice) zadáním jejich IP adresy nebo názvu. Nabízí se možnost přidání několika klientů současně. 4.2.4 Logon / email instalace
Tyto metody vzdálené instalace jsou velmi podobné. Liší se jen způsobem, jakým je na cílovou stanici dopravený agent einstaller.exe. Řešení ESET Remote Administrator nabízí „dopravu“ přes logon skript anebo e-mail, příp. dovoluje získat einstaller.exe a použít ho vlastní cestou (blíže v další kapitole). Zatím co logon skript se spouští automaticky při každém přihlášení uživatele (teda proběhne automaticky i případná instalace řešení ESET), v případě e-mailu je potřebný zásah uživatele, který musí na začátek instalace zpustit einstaller.exe v příloze. Pokud je ten samý einstaller.exe zpuštěný opakovaně, nedojde k opakované instalaci řešení ESET. Více v kapitole „Obrana před opakovanou instalací“. Řádek “volající” einstaller.exe z logon skriptu je možné vložit libovolným textovým editorem. Stejně tak einstaller.exe je možné zaslat v příloze e-mailu libovolným poštovním klientem. V těchto případech je nutné jen získat soubor einstaller.exe ze správného instalačního balíku. Není tak nutností použít níže popsané postupy.
Při spuštění einstaller.exe není bezpodmínečně nutné, aby měl přihlášený uživatel práva administrátora. Agent dokáže jméno / heslo / doménu administrátora převzít z ERAS. Víc na konci této kapitoly. Vložení řádku (cesty k einstaller.exe) do logon skriptu: • Na záložce Remote Install stlačíme tlačítko Export.... Vybereme typ balíku (Type) a název balíku (Package), který má byť instalovaný. • Tlačítkem ... v řádku Folder vybereme adresář, kam bude einstaller.exe umístěný a tento následně nabízený v rámci sítě.
• Tlačítkem To... vybereme e-mailové adresy cílových stanic z adresáře3 (příp. je nadefinujeme ručně). • V řádku Subject nastavíme předmět e-mailové zprávy. • Do pole Body vložíme text těla zprávy. • Tlačítkem Send zprávu odešleme. Ak aktivujeme voľbu Send compressed as .zip file, agent bude poslaný v skomprimovanej podobe (spakovaný v .zip súbore)4.
• V řádku Share je nutné ověřit správnost síťové cesty, příp. ji pozměnit. • Tlačítkem ... v řádku Script Folder vybereme adresář, kde se logon skript nachází, příp. ještě upravíme masku (Files). • V spodní části označíme soubor, kam má být řádek volající einstaller.exe vložený. • Stlačíme Export to Logon Script – tímto se řádek vloží. • Umístění řádku je možné změnit tlačítkem Edit v jednoduchém interním editoru a změny uložit tlačítkem Save.
Obrázek 4.7 Dialóg Send Eset Installer Via E-mail
Po dobu samotného průběhu vzdálené instalace dochází k zpětné komunikaci s ERAS a agent (einstaller. exe) probíhá nastavení ze záložky Remote Install – Set Default Logon for E-mail and Logon Script.
Obrázek 4.8
Tlačítkem Logon... je potřebné dopředu nastavit jméno / heslo (doménu) účtu, pod kterým bude instalace balíku vykonaná. Musí se jednat o účet s právy administrátora z pohledu koncových stanic. Ideální je tak účet doménového administrátora. Hodnoty zadané po stlačení tlačítka Logon... se zapomenou s každým restartem služby ERAS. 4.2.5 Instalace vlastní cestou
Obrázek 4.6 Dialog Export Installer to Folder / Logon Script.
Vložení agenta (einstaller.exe) do přílohy e-mailu: • Na záložce Remote Install stlačíme tlačítko E-mail.... Vybereme typ balíku (Type) a název balíku (Package), který má být instalovaný.
Využívat na instalaci přímo nástroje integrované v ESET Remote Administrátor není nutností. Vždy se jedná jen o způsob, jakým bude agent (einstaller.exe) dopravený a zpuštěný na cílové stanici. Při spuštění einstaller.exe není bezpodmínečně nutné, aby měl přihlášený uživatel práva administrátora. Agent
3
4
ERA konzola načítá adresář z aplikace Microsoft Outlook a to jen za předpokladu, že je na PC s ERAC využívaný. Při této operaci je použité nastavení SMTP na straně ERA serveru.. 23
dokáže jméno / heslo / doménu administrátora převzít z ERAS. Víc na konci této kapitoly. einstaller.exe je možné získat následovně: • Na záložce Remote Install stlačíme tlačítko Export.... Vybereme typ balíku (Type) a název balíku (Package), který má být instalovaný. • Tlačítkem ... při řádku Folder vybereme adresář, kam bude einstaller.exe vyexportovaný. • Stlačíme tlačítko Export to Folder. • Využijeme einstaller.exe podle potřeb. Pokud se dají při instalaci zajistit administrátorské práva, je možné jako metodu instalace použít „přímou metodu instalace s předdefinovanou XML konfigurací“. V takovémto případě se spustí přímo MSI balíček a použije se parametr /qn (verze 3.x) anebo /silentmode (verze 2.x), kterým se zajistí instalace bez dialogů. Po dobu samotného průběhu vzdálené instalace dochází k zpětné komunikaci s ERAS a agent (einstaller. exe) přebírá nastavení ze záložky Remote Install – Set Default Logon for E-mail and Logon Script.
Obrázek 4.9
Tlačítkem Logon... je potřebné dopředu nastavit jméno / heslo (doménu) účtu, pod kterým bude instalace balíku vykonaná. Musí se jednat o účet s právy administrátora z pohledu koncových stanic. Ideální je tak účet doménového administrátora.
4.2.6 Obrana před opakovanou instalací
Jakmile agent úspěšně zprostředkuje proces vzdálené instalace, zapíše na cílovou stanici „značku“, která zabrání opakované instalaci shodného instalačního balíku. „Značka“ je zapsaná do registrů, konkrétně do větve HKEY_LOCAL_MACHINE\Software\Eset\Eset Remote Installer V momentě, kdy souhlasí typ balíku a název balíku zapsaný v einstaller.exe (agent) s údaji v uvedené větvi registrů, einstaller.exe instalaci nevykoná. Zabráni se tak opakované reinstalaci na cílovou stanici při opakovaném spuštění einstaller.exe. Při push instalaci je tato větev v registrech ignorována. Další k úroveň obrany před opakovanou instalací zabezpečuje samotný ERA server a k vyhodnocení tak přichází v momentě, kdy agent navazuje špatnou komunikaci s ERAS (TCP 2224). Pokud je pro cílovou stanici vedený chybový záznam, příp. záznam o úspěšné instalaci, který souvisí se shodným názvem a typem balíku, bude opakovaná instalace taktéž odmítnuta. Agent v takovém případě hlásí chybu (prostřednictvím protokolu %TEMP%\einstaller.log): Status 20001: Eset Installer was told to quit by the server ‘X:2224’.
A jaký je průběh vzdálené instalace, když je agent einstaller.exe spuštěný manuálně na cílové stanici? • Agent einstaller.exe zašle požadavek na ERAS (TCP 2224). • ERAS zašle nového agenta přes share, stejně jako při push instalaci (zašle ho přes share admin$)5. Tento agent potom začne tahat příslušný balíček z ERAS přes TCP/IP protocol.
Obrázek 4.10
• Je započatá instalace balíku s přidruženou XML konfigurací, parametry příkazového řádku pod účtem, který byl definovaný na straně ERAS tlačítkem Logon... Obrázek 4.11
5
24
Agent v tento okamžik čeká na odpověď ERAS (posílá balík přes share admin$). Pokud k odpovědi nedojde (timeout), pokusí se o stáhnutí instalačního balíku přímo agent (přímé TCP/IP spojení na portě 2224). V takovém případě není přenesené jméno / heslo administrátora definované tlačítkem Logon... na straně ERAS a dochází k pokusu o instalaci pod aktuálně přihlášený uživatelem. Při instalaci na systémech Microsoft Windows 9x / Me dochází bezprostředně k přímému navázání TCP/IP spojení ze strany agenta.
Aby ERAS nebránil opakované instalaci, je potřebné odstranit související záznamy v záložce Remote Install. To je možné dosáhnout pravým tlačítkem myši a volbou Clear z kontextového menu.
5. Správa klientů 4.3
Instalace v Enterprise prostředí
Ve většině podnikových sítích se otvírají i jiné způsoby distribuce instalačních balíčků na pracovní stanice. Tyto způsoby jsou vícekrát užívanější a standardně používané pro instalaci jiných programů. 4.3.1 Instalace přes Group Policy
V prostředí Active Directory se nabízí instalace přes Group Policy. Při instalaci je použitý instalační MSI balík, který je přímo distribuovaný klientům přihlašujícím se do domény prostřednictvím Group Policy. Při nastavení doménového kontroleru tak, aby nainstaloval ESET Smart Security, anebo ESET NOD32 Antivirus automaticky, postupujte následovně: 1. Na doménovém kontroléru vytvořte sdílený adresář, který bude mít právo číst všechny stanice. 2. Do adresáře zkopírujte .msi instalační balíček ESET Smart Security, anebo ESET NOD32 Antivirus. 3. Do adresáře umístěte konfigurační soubor, podle kterého se při instalaci nakonfiguruje program. Soubor musí mít jméno cfg.xml. Konfigurační soubor vytvoříte prostřednictvím Konfiguračního editora. Bližší informace najdete v kapitole 3.7 Konfigurační editor. 4. Otevřete Start -> Administrative tools -> Active Directory Users and Computers 5. Klikněte pravým tlačítkem na název domény a zvolte Properties -> Group Policy -> Edit -> User Configuration 6. Pravým tlačítkem klikněte na Software Settings a vyberte New – Package 7. Do okna Open zadejte UNC cestu k sdílenému instalačnímu balíčku, teda \\nazev_pocitace\cesta\ instlacni_balik.msi a klikněte na Open. Nepoužívejte funkci Browse pro naleznutí instalačního balíčku. Nebyla by totiž přidaná ve formátu UNC síťové cesty k souboru, ale s použitím lokální systémové cesty k souboru. 8. V dalším dialogu zvolte možnost Assigned. Zavřete okno pomocí OK. Po těchto krocích se balíček nainstaluje na každý počítač, který se přihlásí do domény. Aktuálně přihlášený uživatel se musí pro nainstalování odhlásit a přihlásit. V případě, že chceme aby bylo umožněné uživatelům zvolit, zda chtějí nebo nechtějí nainstalovat daný balíček, zvolíme v kroku 7 možnost Publish namísto Assigned. Tím se po dalším přihlášení každému klientovi přidá instalační balíček do Control Panel Add or Remove programs - Add new program - Add programs from your network. Uživatel ho následně z daného místa může nainstalovat.
5.1
Úlohy
Klientské stanice, které jsou korektně připojené a zobrazené v konzoli, je možné konfigurovat a spravovat pomocí různých typů úloh. Úlohy je samozřejmě možné aplikovat na více klientů, případně jednu či více existujících skupin klientů. Vyvolání úloh pro jednu nebo více označených klientských stanic je možné pomocí kliknutí pravým tlačítkem myši na danou stanici a zvolením volby konkrétní úlohy v části New Task. Tento postup je možný i pomocí voleb hlavního z hlavního menu, konkrétně Actions – New Task. V následujícím textu se budeme věnovat jednotlivým typům úloh pro klientské stanice, přičemž každá z úloh bude vysvětlená na názorném příkladě. 5.1.1 Konfigurační úloha
Při potřebě změnit specifické nastavení antivirové ochrany na klientské stanici se nabízí právě konfigurační úloha. S její pomocí můžeme na stanici doručit tzv. konfigurační balíček, který obsahuje námi definované změny v nastavení. Povolené je použít i platný soubor nastavení ve formátu .xml, který jsme vytvořili pomocí konfiguračního editoru anebo vyexportovali přímo z nastavení produktu. Uvedeme příklad konfigurační úlohy, ve které pro zvolenou klientskou stanici nastavíme aktualizační jméno a heslo. Volby, které pro daný příklad nebudou použité, jsou vysvětlené dodatečně. Prvním krokem je označení klientské stanice, na kterou budeme aplikovat konfigurační úlohu. V případě, že chceme úlohu poslat na více stanic, označíme v konzole všechny požadované stanice. - Klikneme pravým tlačítkem myši na stanici a vybereme z kontextového menu New Task – Configuration Task. - Zobrazí se okno Configuration for Clients, které slouží jako průvodce vytvořením konfigurační úlohy. V horní části okna jsou tři funkční tlačítka, pomocí kterých je potřebné definovat zdroj s nastavením. - Volba Create nám otevře konfigurační editor nastavení, v kterém najdeme požadované údaje a změníme je. V našem případě je to větev ESET Smart Security, ESET NOD32 Antivirus – Aktualizace – Profil – Setup – Přihlašovací jméno a Přihlašovací heslo. - Po zadání přihlašovacího jména a hesla pro aktualizaci se stlačením tlačítka Console vrátíme nazpět do průvodce konfigurační úlohy. Cesta k právě vytvořenému balíčku by měla být zobrazená v řádku pod tlačítky. - V případě, pokud si nepřejeme nastavení vybrat manuálně v konfiguračním editoru, můžeme použít 25
tlačítko Select. Při tomto postupu vyhledáme už existující .xml soubor s nastavením a použijeme ho. - Třetí volbou je načítání šablony konfigurace z .xml souboru pomocí tlačítka Create from Template, který následně můžeme modifikovat. - Konfigurační balíček, jehož název a cesta je zobrazená v řádku pod těmito tlačítky, můžeme kdykoliv prohlédnout nebo modifikovat pomocí voleb View a Edit. - Následující dialog Select Clients je určený na dodatečné přidání klientských stanic. Můžeme je přidat jednotlivě, všechny, všechny pro zvolený server a všechny z dané skupiny. Z tohoto důvodu je přístupné i tlačítko Add Special. - Pokud jsou požadované stanice zvolené, klikneme na Next. - V poslední části průvodce Task Report vidíme přehled konfigurační úlohy. Můžeme k němu přidat jméno a popis, které jsou volitelné. Apply task after zabezpečí aplikované úlohy v definovaný čas. Delete tasks automatically by cleanup if successfully completed slouží k smazání úlohy po jejím úspěšném aplikovaní. - Právě definovanou úlohu zaregistrujeme ke spuštění stlačením Finish. 5.1.2 On – demand kontrola
V kontextovém menu New Task se nachází tato úloha ve dvou modifikacích. První je možnost On – Demand scann (cleaning disabled), která spouští skenování bez možnosti léčení infiltrací. To umožňuje druhá možnost On – Demand scann (cleaning enabled). Okno On – Demand Scann je pro obě možnosti totožné s rozdílem aktivované volby Scann without cleaning. Ta určuje, zda se skenování bude po zjištění infiltrace snažit vyléčit infikovaný soubor. V následujícím textu popíšeme postup vytváření této úlohy. - Configuration Section definuje, pro jaký produkt je úloha určená. Zvolíme volbu podle aplikace, která je na cílové klientské stanici nainstalovaná. - Možnost Exclude this section from On – Demand Scann způsobí, že všechna nastavení v tomto okně se pro zvolený produkt stanou neaktivní a nebudou použité na stanicích s tímto produktem. Tím pádem tento produkt vylučujeme z cílové skupiny přijímatelů právě definované úlohy. Pokud administrátor i tak označí klienty jako příjemce a zároveň vyloučí daný produkt z úlohy výše uvedených parametrů, tak na klientech úloha skončí s upozorněním, že pro ně tato úloha nebyla určená. Pokud toto spravování uživatelovi nevyhovuje, měl by úlohu směřovat vždy jen na konkrétní klienty. - Přepínač Profile name vybírá skenovací profil, který bude použitý pro danou úlohu. - Drives to scan definuje, které typy disků na 26
klientské stanici budou kontrolované. Pokud nabízené možnosti nejsou postačující a chceme přidat konkrétní cestu, která má být kontrolovaná, použijeme řádek Path a Add tlačítko pro přidání konkrétní cesty do seznamu cílů. Clear History vrátí seznam cílů do původní podoby. - Pokračujeme tlačítkem Next na další okna výběru klientů a potvrzení zaslaní úlohy na stanici, které jsou totožné s okny Select Clients a Task Report (viz. Konfigurační úloha) Výsledek On – demand kontroly jsou ze stanic zaslané na server a je možné je vidět v části Scan Log. 5.1.3 Aktualizační úloha
Podstatou této úlohy je vynutit na stanicích, na kterých je aplikovaná, pokyn k aktualizování virové databáze, případně programových komponentů. Po vyvolání úlohy je v okně Update now potřebné zvolit produkt, pro který chceme vytvořit aktualizační úlohu. Pokud si daný produkt nepřejeme zahrnout do právě vytvořené úlohy, můžeme ho vyjmout po označení volby Exclude this section from Update Task. V případě, že chceme provést aktualizace pomocí konkrétního profilu, aktivujeme volbu Specify profile name a vybereme požadovaný profil. Jméno profilu můžeme i přesně specifikovat, přičemž návrat do původního stavu dosáhneme tlačítkem Clear History. Tlačítkem Next pokračujeme na obrazovky Select Clients a Task Report, které jsou stejné jako v předcházejících úlohách.
5.2 Skupiny (Groups) Možnost slučovat klientské stanice do logických celků a vytvářet tak skupiny je vhodná pomůcka při správě sítí s větším počtem stanic. Nad skupinou jsou definované operace, které je možné vykonávat a v praxi nám tato skutečnost umožňuje aplikovat určitou operaci na vícero klientských stanic, resp. skupin. Vytvořit skupiny můžeme pomocí editoru skupin, který je přímou součástí aplikace. Aktivujeme ho přes Tools – Groups Editor, případně klávesovou zkratkou CTRL + G. Okno editoru skupin je rozdělené na dvě části. Vlevo je zobrazený seznam skupin, vpravo se nachází seznam klientů. Seznam klientů se zobrazuje vždy pro aktuálně označenou skupinu. Stejně tak operace, které vykonáváme pomocí funkčních tlačítek ve spodní části okna, probíhají na označené skupině nebo klientech. Novou skupinu vytvoříme pomocí tlačítka Create. Pojmenování skupiny by mělo být dostatečně výstižné, aby byla zřejmá logická souvislost jeho klientů (tedy např. obchodní oddělení, pobočka a pod.). Pro detailnější popis slouží položka Description, kterou je možné upřesnit popis skupiny (teda např. počítače obchodního oddělení, stanice na pobočce a pod.). Takto vytvořenou skupinu můžeme později dodatečně editovat.
Po vytvoření skupiny se její název a popis zobrazí v levém seznamu. Pro přidání klientských stanic do skupiny použijeme nyní už aktivní tlačítko Add/Remove. V novém otevřeném okně vybereme klienty, které si přejeme přidat do skupiny a přesuneme je do pravého sloupce dvojklikem, tlačítkem >> anebo přetáhnutím myší. Přidávání klientů do skupin ulehčuje možnost vyhledání klientů podle textového řetězce v názvu klientské stanice, který zadáme do pole Quick search. Pokud chceme označit všechny klienty, použijeme volbu Select All. Tlačítko Refresh vynutí opakované načítání seznamu klientů. V případě, že nám manuální vybírání klientů nevyhovuje, můžeme použít některou ze speciálních metod přidávání klientů. Ty jsou přístupné pomocí volby Add special...
na jiné Groups, nebo na jiné objekty v AD. Výsledek synchronizace s AD tedy závisí na: 1) vztazích, ve kterých klient v AD figuruje, 2) objektech AD, se kterými je v ERA povolená synchronizace Objekty AD, se kterými bude povolená synchronizace, se nastavují v rozšířeném nastavení (Tools > Server Options > Other Settings > Edit Advanced Options > ESET Remote Administrator > ERA Server > Settings > Active directory). Standardně je povolená synchronizace s Computer AD groups - skupiny, ve kterých jsou ERA klienti členy
V okně Add Clients Special umíme přidat do skupiny všechny klienty, aktuálně zobrazené v panelu klientů (Add clients loaded in Clients panel). Alternativou je přidání jen označených klientů (Only selected). V případě, že chceme přidat do konkrétní skupiny všechny klienty konkrétního serveru/serverů nebo skupiny/ skupin, specifikujeme jejich označení v levém a pravém okně a potvrdíme tlačítkem Add.
Computer organizational units - organizační jednotky, ve kterých jsou ERA klienti členy
Posledním krokem vytvoření skupiny je potvrzení operace tlačítkem Ok v okně Add/Remove dialog, po kterém jsme zpět v hlavním okně editoru skupin. Vytvořená skupina je spolu se seznamem klientů už zobrazená.
Computer Domain Components - doménové komponenty, ve kterých jsou ERA klienti členy
Klienty můžeme do skupiny dodatečně stejným postupem přidávat a odebírat, celou skupinu je možné smazat pomocí tlačítka Delete. Panel skupin a panel klientů je možné zkopírovat do schránky po stlačení Copy to clipboard. Stejně tak můžeme klienty přidávat do skupiny přes kontextové menu v záložce klientů (Add to Group). 5.2.1 Synchronizace s Active Directory
Poslední možností editoru skupin je automatické vytvoření skupin a k nim příslušných klientů na základě už definované struktury v Active Directory (dále jen AD). AD představuje komplexní hierarchický systém sloužící na správu různých objektů v rámci sítě a jeho podrobné vysvětlení je nad rámec této příručky. Soustředíme se proto hlavně na vysvětlení základního principu synchronizace ERA se strukturou AD. Klientská stanice je v AD i v ERA reprezentovaná názvem počítače. V AD jde o objekt Computer, v ERA je to Computer Name. Název počítače je tedy kritériem synchronizace. Ve struktuře AD bývá Computer většinou navázán na více objektů (Groups, Organizational Units, Containers,...). Groups mohou být zároveň navázany
Administrátor má možnost povolit synchronizaci i s dalšími objekty AD: Computer Containers - kontejnery, ve kterých jsou ERA klienti členy
AD groups of AD groups - skupiny, které mají pod sebou skupiny (members), ve kterých jsou ERA klienti členy AD groups organizational units - organizační jednotky, které mají pod sebou skupiny, ve kterých jsou ERA klienti členy AD groups containers - kontejnery, které mají pod sebou skupiny, ve kterých jsou ERA klienti členy AD groups domain components - doménové komponenty, které mají pod sebou skupiny, ve kterých jsou ERA klienti členy Poznámka: AD groups of AD groups, AD groups organizational units, AD groups containers, AD groups domain components rozšiřují možnost Computer AD groups, takže pokud chceme synchronizovat s jednou z uvedených možností, je potřebné, aby byla zvolená synchronizace i s Computer AD Groups Synchronizace proběhne při stlačení Synchronize with Active Directory, k dispozici jsou 2 možnosti: Full synchronization - při použití této volby je na místě opatrnost, protože proběhne tzv. plná synchronizace všechny existující skupiny budou smazány a vytvořeny znova. V opačném případě budou přidány nové skupiny a staré budou zachovány.
27
Synchronize primary clients only – při použití této volby budou synchronizováni pouze klienti připojení na daný ERA server (replikovaní klienti nebudou synchronizováni).
nastavení, které daná Child policy neobsahuje a ty co obsahuje, se přepíšou.
Poznámka: Pro úspěšnou synchronizaci ERAS s Active Directory není potřebné, aby byl ERAS nainstalován přímo na Domain Controlleru. Stačí, když je Domain Controller dostupný z počítače, na kterém se nachází ERAS. Konfiguraci autentifikace k Domain Controlleru lze udělat v menu Tools > Server Options > Other Settings > Edit Advanced Options > ESET Remote Administrator > ERA Server > Settings > Active directory. Formát jména serveru je LDAP://servername nebo GC://servername. Pokud je prázdné, použije se global catalog (GC).
Bezprostředně po nainstalování je na serveru standardně jen jedna policy, nazvaná ´Server Policy´, její název je však možné změnit (Policy name). Samotnou policy je možné nastavit v již známém konfiguračním editoru po stlačení tlačítka Edit, kde je možné zvolit takřka všechny parametry konfigurovaného produktu (klienta). Nastavení tu jsou uspořádané do přehledné struktury. Významné jsou malé ikonky před každou položkou. Na klientovi se totiž uplatní jen aktivní nastavení (modře označené položky). Neaktivní nastavení (šedě označené položky) budou na klientech ponechané v původním stavu. Podobný princip se uplatňuje i při spojení dvou policies při dědění – na podřazené policy se uplatňují jen aktivní nastavení Parent policy.
5.2.2 Filtrování
Panel klientů se při velkém množství klientských stanic může stát nepřehledným. V tomto případě je vhodné použít možnost filtrování, kterou administrátorská konzole poskytuje. Detailnější informace v kapitole 3.3 Filtrace Informací.
5.3
Policies
Policy se v mnohém podobá běžné konfigurační úloze (Configuration task), avšak nejde o jednorázovou úlohu vyslanou na jednu nebo více stanic, ale o celkové zabezpečení určité konfigurace spravovaných ESET Security produktů – koncových klientů. Policy bychom teda mohli nadefinovat jako konfiguraci, která je vnucovaná klientovi. 5.3.1 Základní principy a fungování
Na spravování policies slouží Policy Manager (Tools > Policy Manager). V okně nalevo je zobrazená stromová struktura policies, které se na jednotlivých serverech nacházejí. Pravá část je rozdělena do čtyř sekcí – Policy settings, Policy configuration, Policy action a Global policy settings – a umožňuje podrobnou správu a nastavování policies. Vytváření, editování a mazání policies, jako i jejich přidělování klientům patří mezi hlavní možnosti policy managera. Bezprostřední aplikování policy na koncových klientech zabezpečuje ERA server, na který jsou tito klienti přímo připojeni. Je dobré si uvědomit, že na jednom ERA serveru může být vytvořeno vícero policies, přičemž si navzájem od sebe můžou dědit nastavení a stejně tak i nastavení policies z nadřazených serverů (tyto servery se však v hierarchii musí nacházet v přímé větvi). Systému přebírání nadřazených policies hovoříme dědění (inheritance), spojeným policies vzniklých v rámci systému dědění hovoříme merged policies. Dědění funguje na principu Rodič – Dítě (Parent – Child), tj. podřazená policy (Child Policy) dědí nastavení nadřazené policy (Parent Policy). Standardně se dědí ta 28
5.3.2 Vytvoření policy
Na serveru je možné vytvořit více policies (Add New Child Policy). Při vytváření nové policy volíme v dialogovém okně její název, Parent policy a konfiguraci (možnosti jsou: prázdná policy, kopírovat konfiguraci z některých existujících policy, kopírovat konfiguraci z xml souboru). Policies je možné vytvářet jen na servery, na kterých jsme právě připojení ERA konzolou. Pokud potřebujeme vytvořit policy např. na některém z podřazených serverů, je potřebné se na tento server pomocí ERA konzole připojit. Každá policy má dva základní atributy – Force over any children policy a Down replicable policy. Od toho, který z těchto atributů je aktivní, závisí, zda se bude daná policy replikovat, resp. dědit. Down replicable policy - znamená, že policy je možné replikovat směrem dolů – tj. může sloužit jako Default policy pro policies na podřazených serverech a také může být přidělovaná klientům na podřazených serverech. Force over any children policy - znamená, že všechny aktivní nastavení dané policy mají při dědění prioritu – tj. v případě odlišných nastavení s Child policy bude vzniklá merged policy vždy obsahovat všechny aktivní nastavení Parent policy (a to i v případě, že i Child policy má aktivní atribut „Force...“). Neaktivní nastavení v parent policy budou ponechané podle child policy. Pokud atribut Force over any children policy není zapnutý, prioritu má child policy – tj. v případě odlišných nastavení s parent policy budou ve výsledné merged policy ponechané nastavení z child policy. Takovýmto spojením vzniklá merged policy se potom aplikuje na další policies, pokud se tyto na ni odkazují jako na parent policy.
1) Policies s modře zabarvenými ikonkami jsou ty, které se nacházejí na daném serveru. Ty se dále můžou lišit: Ikonka s bílým středem – policy je vytvořená na daném serveru. Nereplikuje se dolů – není možné je přiřadit klientům z podřazených serverů a stejně tak nemůže sloužit jako parent policy na podřazených serverech. Dá se využít jen v rámci daného serveru – na přidělování klientům připojených na daný server a stejně tak může sloužit jako parent policy pro jinou policy z daného serveru.
Obrázek 5.1 Praktický příklad fungování dědění policies.
5.3.3 Virtuální policy
Krom vytvořených policies a policies vyreplikovaných z jiných serverů (blíže o nich v další kapitole) se v stromové struktuře nacházejí i Default Parent Policy a Default primary clients policy, které nazýváme virtuální policy. Default Parent Policy je ta policy, která je na nadřazených servery v Global Policy Settings zvolená jako Default policy for underlying servers. Pokud se server nikam nereplikuje, tato policy se bere jako prázdná (vysvětlení níže). Default primary clients policy je policy, která je na daném (ne nadřazeném) serveru v Global Policy Settings zvolená jako Default policy for primary clients. Tedy jde o policy, která se automaticky aplikuje na (nově)připojené klienty (tzv. primární klienty) k danému ERA serveru, pokud na těchto klientech už nebyla aplikovaná jiná policy na základě pravidel (Policy Rules) – o přidělování policies klientům podrobněji v kapitole 5.3.7 Přidělování policies klientům. Tyto policies nazýváme virtuálními proto, že nejde o reálně existující policies, ale jsou to něco jako zástupci, kteří můžou představovat některou policy z daného serveru. 5.3.4 Funkce a význam policies v stromové struktuře
Ikonka s modrým středem – platí to samé jako v předešlém případě s tím rozdílem, že policy má aktivní atribut Force over any children policy (podrobněji v kapitole 5.3.3 Vytvoření policy) , Ikonka s šipkou směřující dolů – znamená, že policy se replikuje směrem dolů (má aktivní atribut Down replicable policy). Kromě jejího využití na daném serveru je možné ji použít i na podřazených serverech (může sloužit jako parent policy a může být přidělovaná klientům). Při kombinaci modrý/bílý střed + šipka se spojují popsané vlastnosti. 2) Policies se šedě zabarvenými ikonkami jsou policies z jiných serverů, přičemž rozlišujeme: Ikonka se šipkou směřující nahoru – znamená, že policy je vyreplikovaná z některého ze spodních serverů. Je možné si je jen prohlédnout, případně ji smazat ze stromové struktury (Delete Policy Branch). Při mazání ze stromové struktury nejde o smazání samotné policy, ale jen o její zrušení zobrazení v stromě. Proto při nejbližší replikaci se může zobrazit ve stromě znovu. Pokud nám tedy jde jen skrytí policies z podřazených serverů, je vhodnější použít volbu Hide foreign servers policies not used in policy tree. Ikonka se šipkou směřující dolů – znamená, že policy je zreplikovaná z některého z horních serverů. Je možné ji prohlédnout, použít ji jako Parent Policy pro jinou policy, přidávat klientům (Add Clients) a smazat (Delete Policy). V případě smazání však platí ten samý princip jako v předchozím případě, smazaná policy se opět zreplikuje z horního serveru a zobrazí se ve stromě (pokud jej mezitím nebyl na horním serveru zrušený atribut Down replicable policy). Poznámka: Policies ve stromové struktuře je možné přesouvat a přiřazovat kromě klasického způsobu (zvolením parent policy) i pomocí myši (drag&drop). 5.3.5 Prohlížení policies
Obrázek 5.2
Každá policy zobrazená v stromové struktuře má na své levé straně přidělenou ikonku. Při jejich rozlišovaní platí tyto zásady:
Každou policy ve stromě je možné si prohlédnout zobrazením přímo v konfiguračním editoru označením dané policy a stlačením View, resp. View Merged. View Merged – zobrazí spojenou policy, která vznikla při dědění (dědí se z té policy, kterou má tato policy zvolenou jako Parent policy). Tato volba je zobrazená 29
první, protože aktuální policy je právě už tato merged policy (je východisková při dalším dědění a odkazovaní se na ni jako na parent policy). View – zobrazí původní policy – tj. ještě před spojením s Parent policy Na podřazených serverech máme v případě výše zreplikovaných policies možnost zobrazit: View Merged – stejně tak, jako v předchozím případě. View Force Part – v případě, že tato policy má aktivní atribut Force over any children policy. Je možné zobrazit jen Forced část policy – tj. tu která má prioritu a přepisuje všechny ostatní nastavení v child policies. View Non-force part – opačně jako při View Force Part – zobrazí se jen ta nastavení, na které se nevztahuje Force over... pravidlo. 5.3.6 Přidělování policies klientům
Při přidělování policies klientům platí 2 hlavní zásady: 1) Lokálním (primárním) klientům je možné přiřadit jakoukoliv lokální policy a z horních serverů zreplikované policy. 2) Zdola vyreplikovaným klientům je možné přiřadit jakoukoliv lokální policy s atributem Down replicable a z horních serverů zreplikované policy. Není možné jim přiřadit policy z jejich vlastního serveru (toho se dá docílit přímým připojením ERA konzole na daný server a přidělením policy klientům). Další důležitou vlastností je, že každý klient má vždy přidělenou nějakou policy (neexistuje klient bez policy). Policy teda není možné klientovi odebrat, ale jen ji nahradit jinou. Pokud na klienta nechceme aplikovat nastavení žádné policy, můžeme vytvořit tzv. prázdnu policy (empty policy configuration) a přidělit ji danému klientovi. Policy je možné přidělit klientům třemi různými způsoby. 5.3.6.1 Default Primary Clients Policy
Prvním je automatické přidělení prostřednictvím virtuální policy Default Primary Clients Policy, která se nastavuje v Global Policy Settings. Jak už z názvu této policy vyplývá, jde o přidělení policy primárním klientům (tj. klientům přímo připojeným na tento server). Podrobnější informace se nacházejí v kapitole 5.3.4 Virtuální policy) 5.3.6.2 Manuální přidělení
Další možností je manuální přidělení, které je možné udělat dvěma způsoby – přímo v záložce Clients po kliknutí pravým tlačítkem na klienta a zvolením Add Policy z kontextového menu, anebo pomocí Add/ 30
Remove dialogu po stlačení tlačítka Add Clients v Policy Manageři. Při použití Add clients se zobrazí dialogové okno. V části All items je seznam klientů, kterým může být daná policy přidělená. Když manuální způsob přidělení policy umožňuje přidělit policy i klientům z podřazených serverů, uvidíme v tomto seznamu i vyreplikované klienty z podřazených serverů (ale jen v případě, pokud přidělovaná policy má aktivní atribut Down replicable policy). Název klienta je ve formátu Server/ Klient. Klienty, kterým chceme danou policy přidělit, označíme, a pomocí šipky ve středu přesuneme do části Selected items. Čerstvě vybraní klienti mají v ikonce žlutou hvězdičku. Znamená to, že je ještě možné s nimi manipulovat (přesouvat je mezi oběma panely pomocí šipek, příp. je odstranit z panelu Selected items pomocí tlačítka C). Stlačením OK potvrdíme výběr a při dalším vyvolaní Add/Remove dialogu už není možné přidané klienty odebrat - nemají hvězdičku (policy nikdy není možné klientovi odebrat, jen přiřadit jinou). Jiným způsobem přidání klientů je využití funkce Add special, která v osobitném dialogovém okně umožňuje přidat najednou všechny klienty, kteří se nacházejí v záložce Clients (Add clients loaded in the Clients panel), případně jen ty z nich, kteří jsou označení (Only selected). Tak samo je možné přidat i klienty z konkrétních serverů, nebo skupin (Clients on Servers and in Groups). 5.3.6.3 Policy Rules
Komplexnějším nástrojem jsou Policy Rules (pravidla přidělování policies), které umožňují nastavit kritéria automatického přidělování policies klientům. Pravidla se aplikují vždy po připojení klienta na server a mají přednost před Default Primary Clients Policy a i před manuálním přidělováním. Znamená to, že Default Primary Clients Policy se na klienta aplikuje jen tehdy, když nespadá pod žádné z vytvořených pravidel. V případě manuálního přidělení policy klientům, když je tato v rozporu s policy přidělenou na základě policy rules, přednost mají vždy policy přidělené na základě policy rules. Policy rules jsou v rámci Policy Managera vytvářené a spravované v samostatné záložce. Způsob jejich vytváření a aplikování je velmi podobný tvořením a spravováním pravidel poštovních klientů – každé pravidlo může obsahovat jedno nebo více kritérií, pravidla jsou podle priority seřazení shora směrem dolů, přičemž každé pravidlo je možné pomocí šipek posunout v tomto žebříčku nahoru nebo dolů. K vytvoření pravidla slouží tlačítko New, které vyvolá dialogové okno s položkami Name (jméno pravidla), Description (krátký opis pravidla), Client filter parameters (kritéria filtrování), Policy (policy, která se aplikuje na klienta splňujícího zvolená kritéria). Samotná kritéria se nastavují v dalším okně po stlačení tlačítka Edit.
Jednotlivé kritéria: (NOT) FROM Primary Server – pokud je (není) klient z primárního serveru IS (NOT) New Client – pokud to je (není) nový klient HAS (NOT) New Flag – pokud (ne)má klient příznak New Client Primary Server (NOT) IN (specify) – pokud (ne)má primary server v názvu GROUPS IN (specify) – pokud klient patří do skupiny ... GROUPS NOT IN (specify) – pokud klient nepatří do skupiny ... DOMAIN (NOT) IN (specify) – pokud klient (ne)patří do domény .... Computer Name (specify) – pokud je název počítače .... IP Mask (specify) – pokud patří klient do skupiny definované IP adresou a maskou IP Range (specify) – pokud patří klient do skupiny definované IP rozsahem HAS (NOT) Defined Policy (specify) – pokud (ne)má klient definovanou policy .... Pravidlo je samozřejmě možné i smazat (tlačítko Delete). Okamžité aplikovaní vytvořených pravidel zabezpečuje tlačítko Run Policy Rules Now. 5.3.7 Smazání policy
Podobně jako při vytváření policies, i zde platí, že smazaná může být policy jen ze serveru na který jsme právě ERA konzolí připojení. Pokud chceme smazat policy na jiném serveru, je třeba se na něj přímo ERA konzolí připojit. Vzhledem na to, že policy může existovat v různých závislostech (může sloužit jako parent policy pro jiné policies, jako default policy pro podřazené servery, jako default policy pro primární klienty a pod.) může být její smazání zkomplikované tím, že za ni bude potřeba najít náhradu. Pro tento účel slouží dialog, který se otevře bezprostředně po kliknutí na Delete Policy. To, které položky v tomto dialogu jsou aktivní, závisí právě od toho, v jakých závislostech daná policy figuruje. New policy for primary clients with the currently deleted policy – zde volíme náhradní policy pro primární klienty, kteří měli přidělenou právě smazanou policy. Na primárních klientech totiž nemusí být aplikovaná jen Default policy for primary clients (její náhrada se definuje v záložce New default policy for primary clients), ale jakákoliv jiná z daného serveru
(buď prostřednictvím manuálního přidání přes Add Clients, nebo na základě Policy Rules). Náhradou může být některá policy z daného serveru, nebo shora zreplikovaná policy. New parent policy for the currently deleted policy´s children policies (if exists) – pokud smazaná policy sloužila jako parent policy pro jiné policies (children policies), je potřeba za ni zvolit náhradu, přičemž náhradou může být některá policy z daného serveru, shora zreplikovaná policy, příp. příznak N/A, což znamená, že children policies nebude přiřazená žádná náhradní policy. Tuto náhradu je potřebné udělat i když child policy zjevně neexistuje, protože není možné zaručit, že jiný uživatel přes jinou konzolu nepřiřadí dané policy child policy právě v procesu mazání. New policy for replicated clients with the currently deleted or modified policy – zde volíme náhradní policy pro zdola vyreplikované klienty – tj. klienty z podřazených serverů, který měli přidělenou právě smazanou policy. Náhradou může být některá policy z daného serveru, nebo shora zreplikovaná policy. New default policy for underlying servers – pokud smazaná policy slouží jako virtuální policy (Global Policy Settings) je třeba ji nahradit jinou (podrobněji v kapitole 5.3.4 Virtuální policy). Náhradou může být některá policy z daného serveru, nebo příznak N/A. New default policy for primary clients – pokud smazaná policy slouží jako virtuální policy (Global Policy Settings) je třeba ji nahradit jinou (podrobnější v kapitole 5.3.4 Virtuální policy). Náhradou může být některá policy z daného serveru. Tento samý dialog se zobrazí i tehdy, kdy některé policy zrušíme atribut Down replicable a stiskneme OK/Apply, případně zvolíme jinou policy ve stromě. V tu chvíli jsou v dialogu aktivní položky New policy for replicated clients with the currently deleted or modified policy a případně i New default policy for underlying servers. 5.3.8 Speciální nastavení
Většina nastavení policies se provádí v Policy Managery, avšak dvě se nacházejí mezi pokročilým nastavením (Server Options > Other Settings > Edit Advanced Settings) ve větvi ESET Remote Administrator > ERA Server > Setup > Policies. Interval for policy enforcement (minutes): Tato vlastnost zabezpečí aplikování policies každých X minut. Tuto volbu doporučujeme používat jen v případě problémů s aplikováním policy na klientech. Disable policy usage: Pomocí této volby je možné úplně vypnout používání policies na servery. Tuto volbu doporučujeme používat jen v opodstatněných případech, pokud se vyskytnou 31
skutečné problémy. Pokud se z nějakých důvodů potřebujeme vyhnout aplikování policy na některých klientech, můžeme to udělat i „čistějším“ způsobem – přiřazením prázdné policy. 5.3.9 Scénář použití 5.3.9.1 Každý server je samostatně spravovaný a policies se řeší lokálně
Předpokládejme menší síť s jedním hlavním a dvěma přímo podřazenými servery. Na každý server je připojeno několik klientů. Na každém z těchto serverů je vytvořená jedna nebo více policies. Podřazené servery se nacházejí na pobočkách a každý z nich samostatně upravuje lokální administrátor. Každý administrátor si samostatně určuje které policies budou přiřazené kterému klientovi v rámci jeho serveru. Hlavní administrátor nezasahuje do nastavení lokálních administrátorů a nepřiděluje policies klientům z jejich serverů. Z pohledu nastavení policies na serverech to znamená, že na serverech B a C mají policies jako parent policy zvolený atribut N/A, resp. některou policy přímo z toho samého serveru přes Default parent policy (tj. nemají zvoleného parenta z nadřazeného serveru).
Obrázek 5.4 5.3.9.3 Použití dědění z různých policies nadřazeného serveru
Opět platí to samé, co v předchozím případě, ale přes Default Parent Policy jsou na hlavním serveru i další policies, které se replikují směrem dolů a slouží jako parent policies pro policies na podřazených serverech. Policy 1 v tomto příkladě má přitom aktivní atribut Force over any children policy. I tu mají lokální administrátoři ještě dost pravomocí, avšak hlavní administrátor určuje, jak a které policies budou replikované směrem dolů a které z nich budou sloužit jako parent policies pro policies z podřazených serverů. Silným administrátorským nástrojem je zde použití Force over... atributu, kterým hlavní administrátor zabezpečí, aby nastavení dané policy „přetekly“ v rámci systému dědění policies až ke klientovi.
Obrázek 5.3 5.3.9.2 Každý server je samostatně spravovaný, policies se řeší lokálně, ale dědí se Default Parent policy z nadřazeného serveru
Platí to samé, co v předchozím případě s tím rozdílem, že na serveru A je definována Default policy for underlying servers a policies na podřazených serverech dědí nastavení Default Parent Policy z hlavního serveru. V tomto scénáři je teda stále ponechána značná autonomie lokálním administrátorem. Child policies na podřazených serverech sice dědí nastavení Default Parent Policy z hlavního serveru, ale lokální administrátoři mají možnost toto dědění modifikovat vlastními nastaveními. 32
Obrázek 5.5
5.3.9.4 Přiřazování policies jen z nadřazeného serveru
5.4 Notifikace
Tento scénář představuje centralizovaný systém přidělování polices. Vytváření, modifikování a přidělování policies klientům se děje jen na hlavním serveru, lokální administrátoři nejsou vůbec potřební. Na podřazených serverech je vytvořená jen jedna základní prázdná policy (standardně nazvaná Server Policy), která zároveň slouží jako Default Parent Policy for Primary Clients.
Schopnost oznamování důležitých událostí správcem systémů a síťovým administrátorem je důležitou součástí zabezpečení ochrany a integrity počítačové sítě. Včasné informování o chybě či škodlivém kódu může předejít velkým ztrátám a zbytečnému úsilí, potřebnému na odstranění problému v nejpozdějších fázích. V následující části se budeme zabývat notifikačními možnostmi produktu ESET Remote Administrator. 5.4.1 Notification Manager
Hlavní okno manažera notifikací je přístupné přes Tools – Notification Manager.
Obrázek 5.6 5.3.9.5 Použití policy rules
Automatické přidělování policies na základě policy rules ani tak nepředstavuje samostatný scénář jako spíše možný doplněk k některému ze scénářů. V případě, že je každý server samostatně spravovaný lokálním administrátorem, každý administrátor si vytváří vlastní policy rules na svém serveru pro své klienty. Zde je důležité dbát na to, aby nedošlo ke konfliktu mezi policy rules – např. nadřazený server přiděluje na základě policy rules nějakou policy klientovi na podřazeném serveru a zároveň na tomto podřazeném serveru je klientovi přidělována jiná policy na základě lokálních policy rules. V případě centrálně řízeného systému je použití policy rules jednodušší, protože celý management policies se odehrává jen na hlavním serveru. 5.3.9.6 Použití lokálních skupin
Přidělování polices klientům prostřednictvím skupin může také sloužit jako doplněk k některému z možných scénářů. Skupiny je možné vytvořit manuálně nebo pomocí synchronizace s active directory (viz kapitola 5.2. Skupiny (Groups)). Přidělovat policies klientům pomocí skupin můžeme jednorázově (Add Clients > Add Special) nebo automaticky použitím Policy Rules.
Obrázek 5.7 Okno notifikačního manažera
Je rozdělené na dvě části. V horní polovině se nachází seznam už existujících (předdefinovaných nebo uživatelem vytvořených) pravidel. Každé pravidlo může být aktivní, v tom případě je označené. Jen označené pravidla generují notifikační zprávy v případě splnění těchto podmínek, proto je důležité po vytvoření pravidla ověřit i jeho aktivní stav. Standardně po nainstalování aplikace není aktivní žádné pravidlo. Funkční tlačítka pod seznamem pravidel slouží k uložení pravidla po modifikaci pod tím samým jménem (Save), uložení po modifikaci pod jiným jménem (Save as...), smazání pravidla (Delete), nastavení pravidla do původního stavu podle zvoleného spouštěče Trigger type (Default), obnovení seznamu pravidel (Refresh) a na pokyn přidání všech přednastavených pravidel, které byly smazané (Default Rules). Spodní část okna slouží k zobrazení podrobností o aktuálně zvoleném pravidlu. Tyto podrobnosti si v následujícím textu popíšeme na příkladu vytvoření vzorového pravidla v kapitole 5.4.2 Vytvoření pravidla. Nejdřív ale popíšeme logiku vytváření pravidel ve všeobecnosti.
33
Pro pravidlo je možné definovat podmínky jeho vykonání a následné akce. Pro každé pravidlo existuje tzv. Spouštěč (Trigger), který aktivuje vykonávání pravidla v případě nastání definované události. Může mít tyto hodnoty: Client state - pravidlo se bude spouštět při zjištění větší problémové události, týkající se některého z klientů Server state - pravidlo se bude spouštět při zjištění větší problémové události, týkající se některého ze serverů Finished task event - spuštění pravidla bude závislé na skončení úlohy New Client Event - pravidlo se bude spouštět při zjištění připojení se nového klienta na server, případně nového klienta po replikaci New Log Event – událost v některém z logů ovlivní spuštění pravidla V závislosti od hodnoty spouštěče jsou aktivované / deaktivované ostatní možnosti pravidla, proto je vhodné začít při tvorbě pravidla právě touto hodnotou. Položka Priority slouží k nastavení priorit pravidla, přičemž P1 představuje nejvyšší a P5 nejnižší prioritu. Priorita pravidla žádným způsobem neovlivňuje jeho funkcionalitu, je určené jen pro vyjádření důležitosti pravidla. Též je možné využít proměnu %PRIORITY% při vkládání hodnoty priority do zasílaných notifikačních zpráv. Pod nastavením priority se nachází textové pole Description, které slouží k vložení komentářů k danému pravidlu. Doporučujeme každé pravidlo smysluplně okomentovat, např. pravidlo pro ohlášení infiltrace na stanici a podobně. Jakmile systém zjistí událost spouštěče při určitém klientovi / klientech a najde k němu příslušné pravidlo / pravidla, aplikuje na daných klientech filtr. Ten můžeme pro každé pravidlo, týkající se klientů, modifikovat po kliknutí na tlačítko Edit... v části Client filter. V otevřeném okně je možné definovat podmínky filtrování klientů. Jen klientské stanice, které vyhovují daným podmínkám, budou brané v úvahu pro vyhodnocení notifikačního pravidla. Podmínky filtrování jsou následné: FROM Primary Server - jen klienti z primárního serveru, podmínka se dá negovat Primary Server IN - primární server klienta je jeden z uvedených Groups IN - klienti, nacházející se v uvedené skupině Domain IN - klienti, nacházející se v uvedené doméně Computer Name - klienti s daným názvem počítače IP Mask - klienti, spadající do uvedené IP masky IP Range - klienti v rámci uvedeného rozsahu IP adres HAS Defined Policy - klienti, kteří mají přiřazenou konkrétní politiku. Tuto podmínku je možné negovat na HAS NOT HAS New Flag – klienti, kteří mají nastavený příznak “nový”. Tuto podmínku je možné negovat na HAS NOT
34
Po definování filtru klientů, pro které se dané notifikační pravidlo bude ověřovat, je potřebné definovat parametry pravidla. Parametry pravidla určují, jaké podmínky musí klient / skupina klientů splňovat, aby byla vykonána samotná notifikační akce. Možné parametry jsou zobrazené po kliknutí na tlačítko Edit... v části Parameters. Tyto parametry se mění v závislosti od zvolené hodnoty Trigger type, následuje kompletní výpis všech parametrů každého typu. Parametry pro Client state jsou následné: • Amount – absolutní nebo procentuální počet klientů pro aktivování pravidla • Protection Status Any Warning – jakékoliv hlášení v položce Protection Status • Protection Status Critical Warning - závažné hlášení v položce Protection Status • Virus Signature DB version - problém virové databáze, možné je definovat 3 stavy: • Previous - virová databáze je o jednu verzi starší než aktuální • Older - virová databáze je o víc jak jednu verzi starší než aktuální • Newer - virová databáze klienta je novější než virová databáze serveru • Last Connected Warning - poslední připojení bylo před definovaným časem • Has Last Threat Event - položka Last Threat obsahuje libovolné hlášení infiltrace • Has Last Event - položka Last Event obsahuje libovolnou událost • Has Last Firewall Event - položka Firewall Event obsahuje libovolný záznam personálního firewallu • Has New Flag - klient má nastavenou značku „New“ • Waiting For Restart - klient čeká na restart • Last Scan Found Threat - klient při poslední kontrole zjistil přítomnost definovaného počtu infiltrací. • Last Scan Not Cleaned Threat - klient při poslední kontrole zjistil přítomnost definovaného počtu infiltrací, které nebyly vyléčené. Všechny parametry je možné negovat, ne vždy však tato negace má smysl. Vhodné je negování používat při parametrech, vyjadřujících dvě logické hodnoty pravda a nepravda. Například parameter Has “New” Flag pokrývá klienty s označením “nový”. Negace tohoto parametru zachytí logicky všechny klienty, kteří dané označení nemají. Dané podmínky je možné vzájemně logicky kombinovat a invertovat, přičemž volba The rule is applied when dovoluje vybrat dvě možnosti: all the options are meet – pravidlo, platí jen pokud jsou splněné všechny definované parametry any of the options is met - pravidlo platí, pokud kterýkoliv jeden parametr platí Pro Trigger Type s hodnotou Server State jsou parametry následující: • Server updated – server je aktualizovaný
• Server not updated – server není aktualizovaný déle než zvolená hodnota • Server logs – v serverovém logu se nacházejí záznamy typu • Errors – chybové hlášení • Errors + Warnings – chybové a výstražné hlášení • Filter log entries by type – aktivací této volby získáme možnost blíže specifikovat, které oblasti chyb v serverovém logu chceme sledovat. Je potřebné ověřit, zda je samotné logování serveru nastavené na dostatečně vysokou úroveň, aby byly tyto logy vůbec zaznamenávané. V opačném případě bude pravidlo notifikačního manažera prohledávat log úplně zbytečně. Možnosti problémových oblastí serveru jsou následné, uvádí se jako samostatné textové řetězce, oddělené čárkou: 1. ADSI_SYNCHRONIZE – synchronizace skupin s Active Directory
logech serveru, který se týká aktualizace a tvorby mirroru. • License Expiration – licence bude expirovat za zvolenou dobu, případně už přeexpirovala. Doplňujícím prvkem je možnost Warn only if this will cause the number of clients in the license decrease under the number or actual clients in the server database. Jejím aktivováním zabezpečíme, aby server oznamoval problém expirace klíče jen v případě, že po exspiraci klíče klesne počet povolených licencí pod počet aktuálně přihlášených klientů • Limit license – počet volných licencí poklesne pod zvolenou procentuální míru V případě nastavení Trigger Type na New Log Event máme na výběr z těchto parametrů:
2. CLEANUP – server clean up úlohy
• Log type – zvolíme o jakou událost, kterého logu se jedná, možnosti jsou Event, Firewall nebo Threat log
3. CREATEREPORT – vytváření reportů na požádání
• Log level – úroveň záznamu v daném logu
4. DEINIT – vypínání serveru
• Level 1 - Critical Warnings – kritické hlášení
5. INIT – startování serveru
• Level 2 - Above + Warnings - všechna předcházející a výstražná hlášení
6. INTERNAL – vnitřní hlášení serveru 7. LICENSE – operace s licencemi 8. MAINTENANCE – server maintenance úlohy 9. NOTIFICATION – management notifikací
• Level 3 – Above + Normal – všechna předcházející a informační hlášení • Level 4 – Above + Diagnostics – všechna předcházející a diagnostická hlášení
11. RENAME – vnitřní přejmenování struktur
• 1000 occurencies in 60 minutes – počet výskytů záznamů v logu přesáhne definované číslo za zvolený interval. V přednastaveném případě je to tisíc záznamů za hodinu
12. REPLICATION – replikace serverů
• Amount – absolutní nebo procentuální počet klientů
13. POLICY – management policies
Zbývající uvedené položky Trigger Type nemají žádné vlastní parametry.
10. PUSHINST – vzdálená instalace
14. POLICYRULES – policy pravidla 15. SCHEDREPORT – automaticky generované reporty 16. SERVERMGR – management interních vláken serveru 17. SESSION – síťové spojení serveru 18. THREATSENSE – zasílání statistických informací ThreadSense.NET 19. UPDATER – aktualizace serveru a vytváření mirroru Vhodným příkladem nastavení je použití parametru UPDATER, kdy si zabezpečíme zasílání notifikační zprávy při vygenerovaní problémového záznamu v
Pokud jsou pro pravidlo splněné parametry, systém vykoná administrátorem nadefinovanou akci. Možnosti akcí se modifikují pomocí tlačítka Edit... v části Actions. Možnosti tohoto dialogu jsou následující: • E-mail - na vloženou emailovou adresu se odešle notifikační text pravidla, přičemž předmět zprávy si můžeme zvolit v řádku Subject. Volba To otvírá adresář kontaktů. • SNMP Trap - vygeneruje se a odešle SNMP notifikace • Execute (on server) - na serveru je spuštěná aplikace, ke které můžeme v na to určeném řádku definovat cestu.
35
• Log To File - do uvedeného souboru budou generované logovací hlášení. Podrobnost těchto hlášení modifikujeme pomocí volby Verbosity. • Logging - událost bude logovaná i v protokolech serveru, přičemž detailnost opět zvolíme pomocí nastavení Verbosity na požadovanou úroveň. Pro používání této funkce musí být samozřejmě povolené logování na serveru. Samotný obsah hlášení můžeme upravit v dialogu Message ve spodní části hlavního okna notifikačního manažera. V textu je povolené používat speciální proměnné %NAZOV_PREMENNEJ%. Seznam proměnných získáme po kliknutí na odkaz Show me options: • Server_Last_Updated – poslední aktualizace serveru • Primary_Server_Name – jméno primárního serveru • Rule_Name – název pravidla • Rule_Description – popis pravidla • Client_Filter – podmínky filtrování pravidel klientů • Client_Filter_Short – zkrácený formát filtru pravidel klientů • Client_List – seznam klientů • Triggered – informace o čase zasílání zprávy daným pravidlem • Triggered_Last – informace o čase posledního zaslání zprávy daným pravidlem • Priority – priorita pravidla • Log_Text_Truncated – text z logu, ořezaný na počet znaků • Task_Result_List – výsledek zaslané úlohy • Parameters – parametry pravidla • Last_Log_Date – datum posledního logu • License_Info_Merged – souhrné informace o licencích • License_Info_Full – kompletní informace o licencích • License_Days_To_Expiry – počet dní do expirace licencí • License_Clients_Left – počet zbývajících volných klientů, které je ještě při aktuálních licencí možné připojit k serveru • Actual_License_Count – aktuální počet klientů, připojených k serveru Takto vytvořené pravidlo je připravené na použití. Poslední věcí, kterou je potřeba zohlednit, je čas aktivace pravidla. Aktivaci můžeme posunout o časový úsek v rozmezí jedné hodiny až třech měsíců. V případě, že si přejeme pravidlo aktivovat co nejdříve, nastavíme položku Activation after: na hodnotu ASAP (as soon as possible). Tato hodnota představuje první možný okamžik, kdy je to možné. Standardně se notifikační manažer aktivuje každých 10 minut, takže hodnota ASAP je většinou přibližně rovná této časové jednotce. Pokud aktivaci posuneme nastavením určité časové hodnoty a ne volby ASAP, server vykoná pravidlem definovanou akci až po uplynutí zvoleného času, přičemž daná podmínka musí stále platit. Volbou Repeat after every... definujeme, po jak dlouhém časovém úseku se má akce vykonat znovu. Musí však platit, že podmínka vykonání pravidla je stále 36
platná. Časový interval, v kterém server kontroluje všechny aktivní pravidla a vyhodnocuje je, definujeme v Server – Other Settings – Edit Advanced Settings – ESET Remote Administrator – Server – Setup – Notifications – Interval for notification processing (minutes). Standardně je tato hodnota přednastavená na 10 minut, přičemž její nastavení na nízké hodnoty nedoporučujeme z důvodu velkého vytížení serveru. V okně notifikačního manažera se standardně nacházejí předdefinované pravidla, které je možné aktivovat označením daného pravidla. Na výběr jsou následující pravidla, přičemž každé z nich po splnění uvedené podmínky vygeneruje do logu příslušné hlášení: • More than 10% of primary clients are not connecting – víc jak 10 procent klientů se nepřipojilo po dobu delší než jeden týden. Pravidlo se aktivuje ASAP. • More than 10% of primary clients with critical protection status – víc jak 10 procent klientů zaznamenalo kritické hlášení ve stavu ochrany a zároveň žádný z těchto klientů nebyl nepřipojený víc jak týden. Pravidlo se aktivuje ASAP. • Primary clients with protection status warning – existuje klient s libovolným hlášením ve stavu ochrany, přičemž tento klient nebyl nepřipojený víc jak týden • Primary clients not connecting – existuje klient, který se nepřihlásil k serveru po dobu delší než jeden týden • Primary clients with outdated virus signature database – existuje klient, který má virovou databázi o dvě a víc verzí nižší než aktuální a nebyl nepřipojený víc než týden • Primary clients with critical protection status existuje klient, který má kritické hlášení ve stavu ochrany a nebyl nepřipojený víc než týden • Primary clients with newer virus signature database than server – existuje klient, který má virovou databázi novější než server a nebyl nepřipojený víc než týden • Primary clients waiting for restart – existuje klient, který čeká na restartování a nebyl nepřipojený víc než týden • Primary clients with a non-cleaned infiltration in computer scan – existuje klient, na kterém poslední kontrola systému nedokázala vyléčit alespoň jednu infiltraci a klient nebyl nepřipojený víc než týden. Pravidlo se aktivuje ASAP. • Completed task – byla dokončená libovolná úloha na stanici. Pravidlo se aktivuje ASAP. • New primary clients – na server se připojil nový klient. Pravidlo se aktivuje ASAP. • New replicated clients – na serveru se objevil záznam o novém klientovi, získaný z replikace. Pravidlo se aktivuje po hodině. • Possible network attack – záznamy v Firewallu logu klienta přesahující více než tisíc kritických záznamů za hodinu aspoň u 10% klientů • Possible virus outbreak –záznamy v Threat logu klienta přesahující více než tisíc kritických záznamů za hodinu u 10% klientů • Server updated – server byl aktualizovaný
• Server not updated – server nebyl aktualizovaný déle než pět dní. Pravidlo se aktivuje ASAP. • Error in server text log – log serveru obsahuje chybové hlášení. • License expiration – licence serveru vyprší za dvanáct a méně dní, přičemž následný maximální počet připojitelných klientů bude nižší, než je počet aktuálně připojených klientů. Pravidlo se aktivuje ASAP. • License limit – počet klientů, kteří se k serveru můžou ještě připojit, je menší než deset procent z celkového počtu licencí.
• v časti Client filter klikneme na Edit... a označíme za aktivní jen položku Groups IN. Ve spodní části tohoto okna klikneme na modrý odkaz specify a do nového okna napíšeme text centrála. Přidáme tlačítkem Add a potvrdíme dvakrát tlačítkem Ok. Tím jsme dosáhli, že pravidlo se bude týkat jen klientských stanic ze skupiny centrála.
Pokud není uvedeno jinak, uvedené pravidla mají nastavený čas aktivace a opakovaní po 24 hodinách a týkají se primárního serveru a přímo připojených klientských stanic.
• přejděme na část Actions a její modifikaci přes tlačítko Edit... V otevřeném okně aktivujeme E-mail a vyplníme položky To... a Subject: emailovou adresou administrátora a předmětem zasílaného mailu. Stejně tak aktivujeme položku Log to file a zadáme název a cestu k souboru. Dodatečně můžeme nastavit detailnost logovacího souboru pomocí hodnoty Verbosity. Nakonec potvrdíme tlačítkem Ok
5.4.1.1 Posílání notifikací prostřednictvím SNMP TRAP
SNMP (Simple Network Management protocol) je jednoduchý a poměrně rozšířený management protokol vhodný zejména k sledování a identifikování chyb v síti. Jednou z operací tohoto protokolu je i tzv. TRAP, která bez vyžádání vysílá určité údaje. V případě ERA využíváme TRAP k posílání notifikací. Pro správné fungování je třeba mít nainstalovaný a nakonfigurovaný SNMP protokol (Control Panel > Add or Remove programs > Add/Remove Windows Components) na tom samém počítači jako ERA server. Samotný SNMP servis musí být nakonfigurovaný podle návodu uvedeném v tomto článku: http://support. microsoft.com/kb/315154. RA server musí mít pro dané notifikační pravidlo nastavené posílání notifikací prostřednictvím SNMP.
• Parametry pravidla přidáme po zvolení Edit... z části Parameters. Jako aktivní ponecháme jen Protection Status Any Warnings
• na závěr vyplníme obsah textového pole Message textem, který si přejeme zasílat naším pravidlem. Příkladem může být zpráva „Na stanici %CLIENT_LIST% nastal problém ve stavu ochrany.“ • pravidlo uložíme pomocí Save as... tlačítka pod libovolným názvem, například „problém ve stavu ochrany stanice“, a následně ho v seznamu pravidel označíme. Výsledek můžeme vidět na následujícím obrázku.
Notifikace je možné sledovat v SNMP manageru, který musí být připojený na SNMP server a musí mít naimportovaný konfigurační soubor eset_ras.mib, který je součástí instalace ERA a nachází se obyčejně v adresáři C:\Program Files\ESET\Eset Remote Administrator\ Server\snmp\. 5.4.2 Vytvoření pravidla
V následujícím příkladu si uvedeme vytvoření pravidla, které administrátorovi zašle na email zprávu jak na libovolném klientovi ze skupiny centrála přijde k problému ve stavu ochrany. Zpráva bude uložená i do logovacího souboru c:\log.txt. • položku Trigger type nastavíme na Client State, protože se jedná o stav klientské stanice • Priority, Activation after: a Repeat every after: můžeme ponechat na jejich přednastavených hodnotách. Pravidlo bude mít tím pádem prioritu 3 a bude aktivované po 24 hodinách
Obrázek 5.8 Příklad vytvořeného pravidla
Tím se naše pravidlo stalo aktivní. V případě, že přijde na některém klientovi ze skupiny centrála k problémům ve stavu ochrany, toto pravidlo se aktivuje. Jeho důsledkem bude email administrátorovi a hlášení v souboru, které budou obsahovat název klientské stanice s problémem. Můžeme zavřít okno notifikačního manažera.
• do Description uvedeme text „oznámení problémů ve stavu ochrany klientů skupiny centrály“ 37
5.5 Podrobné informace z klientských stanic
V dolní části jsou umístěné následující funkční tlačítka:
Z klientských stanic můžou být získávané informace o běžících procesích, spouštěných programech při startu systému, atd. Pro tento účel slouží nástroj ESET SysInspector. Nástroj pro diagnostiku a logovaní prostředí operačního systému, ESET SysInspector, je přímo integrovaný v ESET Remote Administrator Serveru. Můžeme ho vyvolat pomocí odkazu Tools z hlavního menu, položka ESET SysInspector.
• View - aktuální log, jehož popis je v horní části okna, otevřete přímo v aplikaci ESET SysInspector
V případě problémů s klientskými stanicemi je možné ESET SysInspector log získat z dané stanice po kliknutí pravým tlačítkem na stanice v záložce Clients a zvolení možnosti Request data – Request Sysinspector Information. Získání logu je možné jen při použití verze produktů 4.0 a víš, starší verze tuto funkcionalitu nepodporují. Po kliknutí na odkaz získaní logu se zobrazí okno, v kterém máme na výběr následující možnosti: • create snapshot (remember resulting log also on the client) – pokud je tato možnost aktivní, na klientské stanici zůstane kopie právě vygenerovaného logu. • include comparation to the last snapshot before specified time - zabezpečí zobrazení komparačního logu. Ten bude vytvořený z aktuálního stavu systému a logu z uvedeného data, pokud je dostupný. Do úvahy se bere nejnovější log, starší než specifikované datum.
Doručení logu na server ze stanice trvá určitou dobu, proto je po vyžádání údajů ze stanice vhodné pár minut počkat v závislosti od rychlosti stanice, velikosti logu a přenosové kapacity sítě. Doručení nového logu signalizuje pro každého klienta údaj o čase doručení posledního logu v Client Properties – SysInspector.
Po kliknutí na tlačítko OK se námi požadované logy získají a uloží na serveru. Pro jejich otevření a prohlížení musíme postupovat následovně. Pro jednotlivé klientské stanice můžeme nastavení a možnosti práce s logy ESET SysInspector najít v záložce Client Properties – SysInspector. Okno je rozdělené do třech částí, přičemž v horní části se nacházejí textové informace o nejaktuálnějších logech dané stanice. Tlačítko Refresh obnovuje stav těchto informací. Střední část okna Request Options je identická s výše popsaným postupem získávání logů z klientské stanice, kde vykonání akce potvrzujeme tlačítkem Request.
38
• Save As... - aktuální log uložíme do zvoleného souboru. Doplňující možnost této volby Then Run ESET SysInspector Viewer to view this file zabezpečí, že po uložení logu se otevře k prohlížení obdobně jako po stlačení tlačítka View.
6. Reporty Funkce Reporty umožňují generování rozličných grafických i tabulkových výstupů. Ty můžou následně sloužit pro další zpracování (možnost výstupu do CSV formátu), popř. je možné využít přímo nástroje ERA a nechat všechny grafy i grafiku na něm. V takovém případu je výstup ve formátu HTML. Většina reportů, které se týkají infiltrace je generována z threathlogu. Jednotlivé varianty grafického vzhledu je možné vybrat v části Report - Style. V ERA je několik předdefinovaných šablon, podle kterých je výstup generovaný (Report - Type): • Top Threats Přehled nejvíc hlášeného malware. • Top Clients with most Threats Přehled klientů, na kterých byl zaznamenaný nejvyšší počet incidentů. • Threats Progress Vývoj počtu incidentů v čase. • Threats Comparative Progress Vývoj počtu incidentů u vybraného malware (pomocí filtru) v čase vůči celkovému hlášenému množství. • Threats By Scanner Poměr hlášených incidentů jednotlivými částmi řešení ESET. • Threats By Object Poměr incidentů podle přístupových míst, z kterých se pokusil malware o průnik (emaily, soubory, boot sektory). • Combined Top Clients / Top Threats Kombinace výše uvedených typů. • Combined Top Threats / Threats Progress Kombinace výše uvedených typů. • Combined Top Threats / Threats Comparative Progress Kombinace výše uvedených typů. • Clients Report, Threats Report, Events Report, Scans Report, Tasks Report Klasický výpis, tak jako je k vidění v záložkách Clients, Alert Log, Event Log, Scan Log nebo Tasks. • Comprehensive Report Souhrn následujících typů: - Combined Top Clients / Top Threats - Combined Top Threats / Threats Comparative Progress - Threats Progress V části Filter je možné přesněji určit, jakých klientů (Target Clients), popřípadě malware (Virus) se bude report týkat. Další detaily je možné nastavit tlačítkem Additional Settings, jedná se především o údaje v hlavičce a typech použitých grafů. Zároveň je možné odtud vyfiltrovat klienty podle stavu některých atributů a vybrat formát výstupního souboru (HTML, CSV).
uskutečnili v aktuálním vybraném období – myšlené stejně jako nyní (př.: pokud bude report vytvářený ve středu a bude nastavené Current Week, tak budou zařazené události za neděli, pondělí, úterý, středu) . • Completed Do reportu budou zařazené jen události, které se uskutečnili v aktuálním vybraném, avšak uzavřeném období (například za celý měsíc prosinec, celý týden – neděle do další soboty6 ). Pokud je aktivní parametr Add also the current period, budou k výše vybranému období přidané i události od posledního uzavřeného období do současnosti. Příklad použití: Chceme vytvořit report týkající se události za poslední kalendářní týden, tedy od neděle do následující soboty. Report budeme generovat ve středu následujícího týdne (po sobotě). V záložce Reports > Interval, zvolíme variantu Completed a nastavíme 1 Weeks. Odstraníme Add also the current period. V záložce Reports > Scheduler nastavíme Frequency na Weekly a vybereme Wednesday. Ostatní je možné nastavit podle požadavků administrátora. • From / To Umožňuje přesně definovat období pro generovaný report. Záložka Scheduler slouží k nastavení automatického vytváření definovaného reportu ve zvoleném čase nebo intervalech (část Frequency). Do kolonky Run at je potřebné napsat čas, kdy se provede generace reportu a v části and store the Result to – tlačítko Select Target... uvést způsob, jakým se bude report exportovat. Report je možné odeslat prostřednictvím e-mailu na zvolenou adresu, popřípadě vyexportovat do adresáře. Report je možné takto vyexportovat například do adresáře, který je přístupný prostřednictvím intranetu. Reporty tak můžou být dostupné určeným osobám. K odeslání vygenerovaných reportů e-mailem je potřebné správně nastavit SMTP server v nastaveních serveru v záložce Other Settings. Víc informací o tomto nastavení najdete v kapitole 7.7.1. Nastavení SMTP. V části Range je možné definovat časové období, ve kterém bude generování reportů aktivní. Přitom je možné definovat počet generování (End after), popřípadě datum konce generování (End by).
Při týdeních intervalech obecně používá ERA interval: neděle, pondělí, úterý, ..., sobota. 6
V záložce Interval je možné definovat časový úsek, pro který se bude report generovat: • Current Do reportu budou zařazené jen události, které se
39
7. Nastavení ESET Remote Administrator Serveru (ERAS) Tlačítka Save a Save as slouží k uložení nastavení definovaného reportu do šablony (template). Při tvorbě nové šablony je potřebné stlačit Save as a šabloně přiřadit název. V horní části okna konzole jsou k vidění názvy již vytvořených šablon a vedle nich informace o časech / intervalech, v průběhu kterých dochází ke generování reportů podle nastavení šablon. Tlačítkem Generate Now či už ve spodní části, nebo v kontextovém menu (po stlačení pravého tlačítka myši na vybrané šabloně) je možné generování převést okamžitě bez ohledu na plánování.
7.1
Bezpečnost
Řešení ESET označené verzí 3.x (ESET Smart Security apod.) nabízejí možnost autorizace heslem při komunikaci klient / ERAS (komunikace prostřednictvím TCP protokolu, port 2222), přičemž výsledkem je šifrovaná komunikace. Doporučujeme nastavit hesla již při instalaci ERAS. U starších verzí (označených jako 2.x) možnost autorizace vůči ERAS neexistuje. Aby byla zajištěná špatná kompatibilita pro starší verze, je možné nastavit režim Enable unauthenticed access for Clients.
Již vygenerované reporty jsou k vidění v záložce Generated Reports. Pomocí kontextového menu je možné nad reporty vytvářet další operace.
Z velké části tak slouží záložka „Security“ k nastavení kompromisu pro společné použití klientských řešení verze 2.x a 3.x.
Oblíbené šablony je možné umístit do levého okna Favorites a v budoucnosti tak mít možnost rychlého generování reportů na základě oblíbených šablon. Do oblíbených je možné přesunout volbou Add to Favorites v kontextovém menu vyvolaném na seznamu naplánovaných šablon.
Password for Console (Administrator a Read-Only uživatel) Nastavení hesla uživatele Administrator a Read-Only pro přístup k ERAS prostřednictvím konzole. Password for Clients (Eset Security Products) Nastavení hesla pro přístup klientů k tomuto ERAS. Password for Replication Nastavení hesla pro přístup podřazených ERAS k tomuto ERAS v rámci replikace. Password for Eset Remote Installer (Agent) Nastavení hesla pro přístup agenta k tomuto ERAS. Souvisí se vzdálenou instalací. Enable unauthenticated access for Clients (Eset Security Products) Povolí přístup k tomuto ERAS i těm klientům, kteří nemají žádné nebo mají špatné heslo (případ, kdy heslo zaslané klientům nesouhlasí s heslem uvedeným v Password for Clients). Enable unauthenticated access for Replication Povolí přístup k tomuto ERAS i těm klientům, kteří nemají žádné nebo mají spatné heslo pro replikaci. Enable unauthenticated access for Eset Remote Installer (Agent) Povolí přístup k tomuto ERAS i těm agentům, kteří nemají žádné nebo mají spatné heslo pro špatnou komunikaci. Poznámka: Pokud je autorizace na straně klientů i ERAS nastavená a spravují se jen řešení ESET verze 3.x, je možné volbu Enable unauthenticed access for Clients vypnout.
7.2
Správa databází
Správné nastavení dokáže zajistit, že databáze na straně ERA serveru bude automaticky udržovaná v optimálním stavu. Při standardním nastavení jsou automaticky odstraňované záznamy starší než 6 měsíců, přičemž každých 15 dní je uplatněná funkce „Compact & repair”. Nastavení jsou přístupné přes menu Tools -> Server Options... -> záložka Server Maintenance
40
Přehled jednotlivých voleb: Only keep the latest X threats for each client Ponechat jen X posledních incidentů pro každého klienta. Only keep the latest X firewall logs for each client Ponechat jen X posledních záznamů týkajících se firewallu pro každého klienta. Only keep the latest X events for each client Ponechat jen X posledních událostí pro každého klienta. Only keep the latest X scan logs for each client Ponechat jen X posledních protokolů o skenovaní pro každého klienta. Delete clients not connected for the last X months (days) Odstranit klienty, kteří se nepřipojili k ERAS víc než X měsíců (dní). Delete threat logs older than X months (days) Smazat incidenty starší než X měsíců (dní). Delete firewall logs older than X months (days) Smazat záznamy týkající se firewallu starších než X měsíců (dní). Delete event logs older than X months (days) Smazat události starší než X měsíců (dní). Delete scan logs older than X months (days) Smazat protokoly o skenovaní starší než X měsíců (dní).
Je jen na zvážení administrátora, který z dvou nabídek variant uplatní.
7.3
Aktualizační servery společnosti ESET fungují prostřednictvím protokolu http s využitím autorizace. Hlavní Mirror server musí k těmto serverům přistupovat s vyplněným uživatelským jménem (obvykle ve tvaru AVxxx, nebo EAV-xxx) a heslem.
Mirror
Funkce Mirror umožňuje vytvoření lokálního aktualizačního serveru. Klienti nestahují aktualizace přímo z internetových aktualizačních serverů společnosti ESET, ale přistupují k lokálnímu aktualizačnímu serveru ve stejné nebo nejbližší síti. Mezi výhody tohoto řešení patří především nižší objem přenesených dat a nižší nároky na přenosné pásmo (aktualizace stahuje z internetu jen Mirror server, ne všechny počítače s řešením ESET). Jediným možným řešením může být výpadek Mirror serveru v případě, že pro klienty jde o jedinou cestu stahování aktualizací. POZOR! Výpadkem může být i stav, kdy programovou aktualizaci absolvovalo přímo řešení ESET Smart Security nebo ESET NOD32 Antivirus s aktivní funkcí Mirror. Dokončení aktualizace může vyžadovat restart PC a pokud není uskutečněný, nebudou stahované žádné aktualizace pro Mirror server, ale ani pro klienty! NENÍ PROTO VHODNÉ NUTIT SERVEROVÉ INSTALACE ŘEŠENÍ ESET DO AUTOMATICKÝCH PROGRAMOVÝCH AKTUALIZACÍ!! Neplatí to pro ERAS, který vytváří mirror. Funkce Mirror je dostupná: •
v řešení ESET Remote Administrator (fyzicky běží Mirror na straně ERAS, Mirror je však možné spravovat přes ERA konzoli),
•
v řešeních ESET Smart Security Business Edition nebo ESET NOD32 Antivirus Business Edition po vložení licenčního klíče pro Business edici.
Ve větších sítích je možné vytvořit celou kaskádu lokálních aktualizačních serverů (např. v rámci poboček), podobně jako v případě ERAS. Upozornení: Administrátor musí do ERAS vložit licenční klíč pro zakoupený produkt a zadat uživatelské jméno a heslo v případě, že chce prostřednictvím ERAS vytvářet mirror. Pokud administrátor používá licenční klíč a uživatelské jméno a heslo pro ESET NOD32 Antivirus BE, tak v případě přechodu na ESET Smart Security BE musí původní licenční klíč a uživatelské jméno a heslo nahradit novým. 7.3.1 Provoz lokálního aktualizačního serveru
Server (může jít i o klasickou stanici) s Mirror serverem by měl být neustále v provozu a připojený k internetu, případně k nadřazenému Mirror serveru (kaskáda). Všeobecně je možné aktualizační balíčky přijímat dvěma způsoby: 1. prostřednictvím protokolu HTTP (preferovaná varianta), 2. prostřednictvím síťově sdílené složky (SMB).
Řešení ESET s funkcí Mirror přímo nabízejí integrovaní http web serveru (varianta 1). Poznámka: V případě použití integrovaného http web serveru (bez autorizace) je potřebné zajistit, aby nebyl dostupný z jiné sítě, pro kterou je zakoupená licence. Jmenovaný typ serveru nesmí být v žádném případě dostupný z internetu. Integrovaný HTTP web server běží standardně na portu TCP 2221. Pozor, zkontrolujte, zda na zmíněném portu neběžela jiná aplikace! V případě potřeby je možné použít jakýkoliv jiný http server. Zároveň je možné nastavit autorizaci jménem a heslem (v případě Apache web serveru jde o .htaccess metodu), kterou řešení ESET podporuje. Při použití druhé metody (síťově sdílená složka) je potřeba složku s aktualizačními balíčky sdílet na síti s přístupovými právy pro čtení. Klienti se musí vůči sdílené složce autorizovat jménem a heslem uživatele, který má k němu přístup. Poznámka: Klientské řešení ESET fungují pod účtem SYSTÉM a mají tak úplně odlišné síťové práva než právě přihlášené uživatel. Autorizace jménem a heslem uživatele je tak nutností i v případě, že síťově sdílená složka je 41
dostupná pro EVERYONE a s přístupem nemá problém ani právě přihlášený uživatel. Podobná je situace s definováním síťové cesty ve tvaru UNC v porovnání s tvarem „DISK:\“. Nedoporučujeme definovat cesty ve tvaru „X:\“!!! V této souvislosti (varianta 2) doporučujeme založit na počítači s Mirror serverem uživatelský účet určený výhradně pro tento účel (např. „noduser“) a používat ho pro autorizaci všech klientů. Tento uživatel by měl mít nastavené právo pro čtení síťově sdílené složky s aktualizačními balíčky. Poznámka: Pro autorizaci k síťově sdílené složce je potřeba uživatelské jméno definovat v celém 0tvaru SKUPINA\ uživatel, případně DOMÉNA\uživatel. Kromě případné autorizace je potřebné na klientech v nastavení upravit zdroj, z kterého bude řešení ESET stahovat aktualizace. Může jít o URL adresu k lokálnímu serveru ve tvaru: http://nazev_Mirror_serveru:port příp. o UNC síťovou cestu se syntaxí \\nazev_Mirror_serveru\nazev_sdílené_složky 7.3.2 Typy aktualizací
Kromě pravidelné virové aktualizace, dochází velmi zřídka i k tzv. programové aktualizace řešení ESET. V takovém případě je součástí aktualizace jádra řešení ESET. Programová aktualizace obvykle přidává novou funkcionalitu řešení ESET a ve většině případů vyžaduje restart klienta (celého OS). Pokud je v síti nasazený a využívaný Mirror server, tento typ aktualizace se stahuje také. Mirror server poskytuje funkci, která dokáže zakázat stáhnutí programových aktualizací z aktualizačních serverů ESET (příp. z nadřazeného Mirror serveru) a tak i jejich distribuci na klientech. Distribuci programové aktualizace je možné kdykoliv vynutit manuálně na pokyn administrátora (např. v momentu, kdy je zřejmé, že s novou verzí nebudou žádné problémy ve vztahu k jiným uživatelským aplikacím). Tato funkce je smysluplná z důvodu, že řešení ESET dokážou stahovat a používat virové aktualizace napříč existencí nové programové aktualizace. Stav, kdy se na stanici nachází poslední programová verze, ale využitá je poslední verze virové databáze, nemusí nutně znamenat méně kvalitní ochranu před škodlivými kódy. Napříč tomu vždy doporučujeme dřív nebo později přejít na poslední programovou aktualizaci. ERAS v původním nastavení nestahuje žádné komponenty. Pokud administrátor chce, aby ERAS stahoval programové komponenty, musí si tuto možnost nastavit. Více v kapitole 7.3.3 Aktivace a nastavení funkce Mirror v praxi. 42
7.3.3 Aktivace a nastavení funkce Mirror v praxi
Pokud se používá Mirror server, integrovaný přímo do řešení ESET Remote Administrator (součást Business Edition), stačí se k danému ERA serveru připojit prostřednictvím ERA konzole a postupovat následovně: • Zvolit menu Tools > Server Options... > záložka Updates, • Jako Update server nastavit Choose automatically (aktualizace ze serverů společnosti ESET), příp. URL nebo UNC cestu k nadřazenému Mirror serveru,, • Nastavit interval (Update interval) aktualizace (doporučujeme 60 minut), • Nastavit uživatelské jméno (Update user name) a heslo (Update password). V případě varianty Choose automatically jde o jméno a heslo získané při zakoupení licence. V jiných případech jde o jméno a heslo, kterým se bude autorizovat k nadřazenému Mirror serveru. • Povolit volbu Create update mirror a nastavit adresář pro ukládání aktualizací. Standardně jde o relativní cestu k adresáři “mirror\”, který bude při povolení Provide update files via internal HTTP server poskytovat přes protokol HTTP na portě uvedeném v HTTP server port (standardně 2221). Autorizaci (Authentication) nastavit na NONE7. Poznámka: V prípade problémov s aktualizáciou aktivujte voľbu Clear Update Cache, ktorá zabezpečí zmazanie dočasných aktualizačných súborov • Aktivovaním voľby Mirror Downloaded PCU zabezpečíme, že mirror bude poskytovať aj programové aktualizácie. Nastavenie mirrorovania programových aktualizácií je možné uskutočniť v záložke Other Settings > Edit Advanced Settings vo vetve ESET Remote Administrator > ERA Server > Setup > Mirror (or Mirror for NOD32 version 2). • V záložce Other Settings > Edit Advanced Settings... a větve ERA Server > Setup > Mirror > Create Mirror for the selected program components vybrat komponenty, které mají být stahované (měli by být vybrané všechny komponenty těch jazykových verzí, které se reálně nacházejí na klientech v síti, jinak dochází k zbytečnému stahování dat).
7
Více informací o autorizaci se nachází v kapitole o nastavení ERA serveru.
• Autorizaci (Authentication) nastavit na NONE8. • V spodní části vybrat komponenty9, které mají být stahované (měli by být vybrané všechny komponenty v těch jazykových verzích, které se na klientech v síti opravdu nacházejí). Poznámka: Pro plnou funkcionalitu Mirror je vhodné povolit stahování a zrcadlení programových aktualizací (komponentů). V opačném případě bude aktualizována jen virová databáze a ne celý program! V případě nasazení funkce Mirror v ESET Remote Administrator je to možné nastavit prostřednictvím ERAC, menu Tools -> Server Options... -> záložka Other Settings -> tlačítko Edit Advanced Settings... -> větev ESET Remote Administrator -> ERA Server -> Setup -> Mirror. Vždy je potřebné povolit ty jazykové verze komponentů, které se nacházejí na klientech. 7.3.4 Mirror pro klienty NOD32 verze 2
Řešení ESET Remote Administrator umožňuje vytvářet kopie aktualizací i pro klientské řešení NOD32 verze 2. Volbu je možné zapnout přes Create update mirror for NOD32 version 2 products. Možnost vytvářet mirror aktualizací existuje jen v ESET Remote Administrator, klientské řešení Business edice verze 3 (ESET Smart Security a ESET NOD32 Antivirus) tuto vlastnost neobsahují. Obrázek 7.1
Mirror je součástí i samotného řešení ESET Smart Security Business Edition nebo ESET NOD32 Antivirus Business Edition. Je na zvážení administrátora, zda použije tento Mirror server nebo Mirror server implementovaný v řešení ESET Remote Administrator. Pro aktivaci a provoz Mirror serveru v řešení ESET Smart Security nebo ESET NOD32 Antivirus je potřebné postupovat následovně: • Nainstalovat ESET Smart Security nebo ESET NOD32 Antivirus, • V nastavení řešení ESET zvolit menu Různé > Licence a přidat licenční klíč pro Business edici. Tímto se stane funkce Mirror dostupnou. • V nastavení řešení ESET zvolit menu Update > Advanced update setup (Setup...) > záložka Mirror. • Povolit volbu Create update mirror a ideálně i Provide update files via internal HTTP server. • Nastavit adresář pro ukládání aktualizací (Folder to store mirrored files). • Jméno a heslo (User name, Password) slouží jako autorizace do výše uvedeného adresáře. Ve většině případů není tyto atributy nutné vyplňovat.
Pokud je potřebné vytvářet kopie aktualizací současně pro klienty verze 2 a verze 3, doporučuje se použít mirror v ESET Remote Administrator. Při použití mirroru ERAS serveru pro klienty verze 2 a zároveň mirroru Business edice (ESET Smart Security a ESET NOD32 Antivirus) pro klienty verze 3, může dojít ke konfliktu mezi dvěma http servery používající stejný port Aktualizace pro NOD32 verze 2 se vždy nacházejí ve složce „nod32v2“, který je podadresářem Mirror složky. Je dostupný prostřednictvím URL adresy: http://nazev_Mirror_serveru:port/nod32v2 příp. o UNC síťovou cestu se syntaxí \\nazev_Mirror_serveru\nazev_sdilene_slozky\nod32v2 ESET Remote Administrator také dokáže stahovat a zrcadlit aktualizace programových komponentů verze 2. Tyto nastavení jsou dostupné přes ERAC menu Tools -> Server Options... -> záložka Other Settings -> tlačítko Edit Advanced Settings... -> větev ESET Remote Administrator -> ERA Server -> Setup -> Mirror for NOD32 version 2. Pro minimalizaci stahovaných dat je nutné povolit jen ty jazykové verze komponentů, které se nacházejí na klientech verze 2.
Více informací o autorizaci se nachází v kapitole o nastavení ERA serveru. 9 Komponenty jsou zobrazeny jen v případě jejich dostupnosti na aktualizačních serverech spoločnosti ESET. 8
43
7.4
Replikace
Význam a funkce replikace už byla popisovaná v rámci popisu scénářů instalace řešení ESET Remote Administrator (využívá se v rozsáhlejších sítí při instalaci několik ERA serverů, například na jednotlivé pobočky společnosti). Dialog s nastavením replikace je rozdělený do dvou částí: •
Replication „to“ settings
•
Replication „from“ settings
Část Replication „to“ settings je nutné nastavit pro podřazené ERA servery. U těchto ERAS musí být povolená volba Enable „to“ replication a uvedená IP adresa nebo název nadřazeného ERA serveru (Upper server), na který se budou data replikovat. Část Enable „from“ replication je důležitá pro nadřazené ERA servery, které přijímají data od podřazených ERAS, příp. je odevzdávají dalším nadřazeným. U těchto ERAS musí být povolená volba Enable „from“ replication a definované názvy podřazených ERA serverů (při větším počtu je možné je oddělit čárkou bez mezery). Pro ERA servery, které se nacházejí „uprostřed“ hierarchie (tj. mají pod sebou podřazené servery a nad sebou nadřazené) musí mít povolené obě dvě části. Všechny tyto situace dokonale popisuje následující příklad. Béžové PC znázorňují jednotlivé ERA servery. Pod každým serverem je uvedený název ERAS (v praxi se může jednat o holý název daného PC – computername, bez určení domény) a část dialogu replikace vrácené k potřebnému nastavení.
informací, které jsou na záložkách Clients, Threat Log, Firewall Log, Event Log, Scan Log, Tasks vypisované do sloupců na jednotlivých řádkách. Přesto všechno ale existují informace, které nejsou uchované fyzicky přímo v databázi, ale v samostatných textových souborech (se strukturou textových nebo XML souborů). Právě tyto volby ovlivňují, zda se mají v rámci replikace přenášet i pomocné informace. • Automatically replicate threat log details, Automatically replicate scan log details, Automatically replicate client details Tyto volby rozhodují, zda se pomocné informace (souvisí s předcházejícím bodem) mají přenášet v rámci replikace automaticky nebo na vyžádání administrátora (viz význam tlačítek Request). Poznámka: Objevuje se otázka, proč se řeší automatická replikace v porovnání s replikací na vyžádání jen u podrobnějších protokolů a klientských konfigurací. Právě tyto informace můžou být v některých případech velmi rozsáhlé a zároveň nemusí být klíčové. Dokonalým příkladem může být protokol o skenování pevného disku C:, když je povolené protokolování všech souborů (tedy i neinfikovaných). Pokud i napříč tomu potřebuje administrátor do těchto informací nahlédnout, nabízí se volba Request Ze spodních serverů se nepřenáší standardně informace o smazání klientů. Tak může vzniknout situace, že na nadřazeném serveru jsou i starší klienti. Mazání starších klientů na nadřazených serverech zapíná volba Enable apply replication about objects deletion, nacházející se v Server Options > Other Settings > tlačítko Edit Advanced Settings... > větev Setup > Replication. Úroveň přijímání log ERA serverem se nastavuje v Server Options > Other Settings > tlačítko Edit Advanced Settings... > větev Setup > Server Maintenance. Pokud chce Administrátor, aby se replikovali jen klienti, u kterých došlo ke změně stavu, tak musí aktivovat možnost Tools > Server Options > Replication > Mark all clients for replication by.
7.5
Logování
ERAS po dobu běhu vytváří protokol (Log filename) o činnosti s nastavitelnou úrovní detailů (Log verbosity). V případě textového výstupu (Log to text file) je možné zajistit rotaci protokolu při velikosti větší než X MB (Rotate when greater than X MB) a mazání protokolů starších než X dní (Delete rotated logs older than X days). Obrázek 7.2
Další nastavení už jen ovlivňuje chování replikace: • Replicate threat log, Replicate firewall log, Replicate event log, Replicate scan log Aktivováním těchto nastavení dojde k replikaci 44
Část Log to OS application log zabezpečí zápis informací do systémového protokolu událostí (v Ovládacích panelech Windows). Funkce Database Debug Log by měla za normálních okolností zůstat úplně vypnutá.
Textový protokol je standardně umístěný v souboru %ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote Administrator\Server\logs\era.log V části Log to text file doporučujeme ponechat Log verbosity na úrovni Level 2 - Above + Session Errors a zvyšovat ji až při případných problémech a po konzultaci s technickou podporou společnosti ESET. Pro jednotlivé rotované protokoly je možné nastavit úroveň komprese (Tools > Server Options > Other Settings > Edit Advanced Settings > větev Setup > Logging > Rotated debug log compression)
7.6
Správa licencí
Pro konkrétní fungování ERA je potřebné zadání licenčního souboru. Ten je dodaný na kontaktní emailovou adresu spolu s autorizačními údaji při koupi produktu. Ke správě licencí slouží License manager. ERA od verze 3.0 podporuje práci s více licenčními klíči najednou, či přispívá k většímu komfortu a funkcionalitě při změnách klientských licencí. Hlavní okno manažera licencí vyvoláme přes volby Tools > License manager. Postup přidání nového klíče je následující: - vyvoláme okno licenčního manažera přes Tools – License manager nebo klávesovou zkratkou CTRL + L - klikneme na Browse a vyhledáme požadovaný soubor licenčního klíče, soubor má příponu .lic - potvrdíme Open tlačítkem - zkontrolujeme zobrazené údaje o klíči a spustíme uložení klíče na server Upload to Server - potvrdíme hlášení o uložení na server tlačítkem OK Tlačítko Upload to Server je aktivní jen v případě, že jsme úspěšně pomocí Browse vyhledali licenční klíč. Informace o právě načítaném licenčním klíči se v této části okna zobrazují nalevo od zmiňovaných tlačítek. Před kopírováním klíče na server je teda možné zkontrolovat údaje klíče. V střední části okna jsou zobrazení informace o aktuálně používaném klíči serveru. Podrobnosti o všech klíčích, na serveru se zobrazí po kliknutí na tlačítko Details... Při této části je třeba zmínit, že server disponuje funkcionalitou výběru nejlepšího klíče a stejně tak schopnost spojit licenční klíče. V případě výskytu většího počtu lic. klíčů je zvolený ten, která má nejvyšší počet klientských licencí. Pokud není podle tohoto kritéria možné určit nejvhodnější klíč, server vybere z možných kandidátů na základě nejdelšího času do exspirace klíče. Jinak řečeno, server se snaží vždy vybrat klíč s co největším počtem klientů a nejdelším časem do expirace.
Schopnost spojení licenčních klíčů funguje za podmínky, že všechny spojené licenční klíče jsou vystavené na stejné úrovni identity zákazníka. V praxi to znamená, že dané licence vlastní jedna firma, organizace, fyzická osoba apod. Spojení licencí představuje jednoduchý proces, při kterém výsledný klíč obsahuje počet klientů, rovnající se sumě klientů jednotlivých klíčů. Datum expirace výsledného klíče je totožný s datem expirace klíče, který by expiroval ze všech klíčů jako první. Spodní část okna manažera licencí je věnovaná prvkům, které oznamují administrátorovi problém s licencí. Jejich funkcionalita je následující: - Warn if the server is about to expire in 20 days - definujeme kolik dní před expirací klíče má server upozornit administrátora na tento fakt - Warn only if this will cause the number of clients in the license decrease under the number or actual clients in the server database – aktivováním této volby zabezpečíme, aby server oznamoval problém expirace klíče nebo části klíče jen v případě, že po expiraci klíče klesne počet povolených licencí pod počet aktuálně přihlášených klientů, resp. Klientů v databázi ERAS - Warn if there is only 10% free clients left in the server license - server upozorní administrátora, že procentuální počet volných licencí pro klienty klesne pod nastavenou hodnotu. Poznámka: ERAS dokáže spojit licence různých zákazníků, tato schopnost se aktivuje speciálním klíčem. V případě potřeby získání takového klíče je potřebné specifikovat požadavek při koupi produktu, případně kontaktovat obchodní místo společnosti ESET.
7.7
Rozšířené nastavení
Rozšířené nastavení ERAS jsou přístupné přes tlačítko Edit Advanced Settings... (nachází se v menu Tools -> Server Options... -> záložka Other Settings), které vyvolá konfigurační editor ESET, kde je možné definovat další nastavení, nepřístupné přes grafické rozhraní konzole. Pomocí nich je možné nastavit následující volby (uvedené jsou nejdůležitější): • Maximal disk space usage (percents) Pokud využití disku překročí zvolené procento, některé vlastnosti serveru nemusí fungovat. ERA konzole při připojení na ERAS upozorní uživatele na překročení tohoto parametru. • Communication protocol encoding Nastavení typu kódování komunikace. Doporučuje se ponechat předvolenou hodnotu, když server určí typ kódování. • Enable MAC address renaming (from unknown to valid) Umožňuje, aby MAC adresa klienta byla přejmenovaná z neznámé (platné pro klienty verze 2 – nepodporují zasílání MAC adresy) na platnou adresu 45
(klienti verze 3 – podporují export MAC adresy). Doporučená je předvolená hodnota povolující přejmenování. Výsledkem je konverze starého záznamu na nový. • Enable MAC address renaming (from valid to unknown) Umožňuje přejmenování platné (známé) MAC adresy na neznámou. Doporučuje se ponechat předvolenou hodnotu, která přejmenování nepovoluje. Volba se může uplatnit při reinstalaci klienta verze 3 na klienta verze 2. • Enable MAC address renaming (from valid to another valid) Umožňuje přejmenování platných MAC adres. Přednastavená hodnota je nepovolit přejmenování MAC adres – v takovém případě bude MAC adresa jedním z jednoznačných identifikátorů klienta. Zapnout se doporučuje při problémech se zdvojenými záznamy klientů, ke kterým dochází při vypínaní síťových adaptérů. Případně, pokud klient chce, aby byl i po změně MAC adresy identifikovaný jako stále ten samý klient. • Enable computer renaming Umožňuje přejmenování počítače. Pokud přejmenování není povolené (přednastavená hodnota), jméno počítače bude jedním z jednoznačných identifikátorů klienta. • Use server default logon also by push installation ERAS umožňuje přednastavit jméno a heslo pro instalace přes logon skript a email. Tato volba dovoluje použít přednastavené údaje i pro push instalaci.
7.8
Další nastavení
7.8.1 Nastavení SMTP
• SMTP settings (Server, Sender address, Username, Password) Některé činnosti v ESET Remote Administrator vyžadují nastavení SMTP serveru. SMTP server je nutný v případě vzdálené instalace prostřednictvím elektronické pošty a při generovaní reportů, které mají být odeslané ve formě e-mailu. 7.8.2 Nastavení Portů
• Ports (Console, Client, Replication port of this server, Eset Remote Installer) Určuje porty, na kterých bude ERAS „poslouchat“ a čekat na komunikaci navázanou: • konzolou (Console, standardně TCP 2223), • klientem (Client, standardně TCP 2222), • replikačním procesem (Replication port, standardně TCP 2846), • agentem při vzdálené instalaci (ESET Remote Installer, standardně TCP 2224). 46
7.8.3 Noví klienti
• Allow new clients Pokud není tato volba povolená, přehled klientů na záložce Clients je považovaný za konečný a i v případě komunikace dalších (nových) klientů s ERAS, nebu‑ dou tito do seznamu doplnění. • Automatically reset „New“ flag by new clients Pokud je volba aktivní, automaticky je odstraněný příznak New u přihlášených klientů k ERAS poprvé. Víc v kapitole o záložce Clients. 7.8.4 ThreatSense. Net
• Enable ThreatSense. Net data forwarding to ESET servers Pokud je povolené, ERAS bude přeposílat podezřelé soubory a statistické informace z klientů na servery ESET. V některých případech není možné zabezpečit, aby tyto informace odcházeli do společnosti ESET přímo z klientů.
8. Troubleshooting 8.1
FAQ
V následující kapitole jsou popsané odpovědi na nejčastější otázky a problémy spojené s instalací a nabídkou ESET Remote Administrator. 8.1.1 Není možné nainstalovat ESET Remote Administrator na Windows server 2000 a 2003
Příčina Jednou z častých příčin je fakt, že na serveru běží Terminal Server v režimů execution. Řešení Při instalaci programů na systémech, kde běží služba Terminal Server, doporučuje Microsoft přepnout Terminal Server do režimu ‘install’. Je možné to udělat prostřednictvím Přidat/Odebrat programy v Ovládacích panelech, nebo zadáním příkazu change user / install do příkazového řádku. Po instalaci je možné zapnout Terminal Server do ‘execution’ režimu pomocí příkazu change user / execute. Postup je podrobně popsaný v tomto článku od Microsoftu: http://support.microsoft.com/kb/320185 8.1.2 Co znamená chybový kód GLE?
Instalace ESET Smart Security nebo ESET Antivirus pomocí ESET Remote Administrator může vygenerovat chybové hlášení s GLE kódem. Pro zjištění detailů o chybě s daným kódem postupujte následovně: 1. Otevřete příkazový řádek přes Start > Run – napište „cmd“ bez uvozovek a klikněte Ok. 2. V příkazovém řádku napište „net helpmsg kód_chyby“ Příklad: „net helpmsg 55“ Výsledek: Zadaný síťový prostředek už není dostupný
8.2 Nejčastější chybové kódy Při používaní ESET Remote Administrator se vyskytují chybová hlášení s kódy, které indikují, že nastal určitý problém při vykonávání dané činnosti. Následuje stručný přehled nejčastěji objevujících se chybových kódů při práci s push instalací, jako i chyby objevující se v logu ERAS. 8.2.1 Chybové kódy při vzdálené instalaci ESET Smart Security nebo ESET NOD32 Antivirus pomocí ESET Remote Administrator
SC error code 6, GLE error code 53 Could not set up IPC connection to target computer Pro navázání IPC spojení je nutné víc předpokladů: 1. Mít nainstalovaný TCP/IP stack na ERAS a klientském počítači. 2. Mít nainstalovaný File and Printer Sharing for Microsoft Networks.
3. Mít na firewall-e povolené porty pro sdílení souborů (File Sharing porty 445, 135-139). 4. Cílový počítač musí být schopný odpovídat na ping request. SC error code 6, GLE error code 67 Could not instal ESETinstaller on target computer Třeba zabezpečit přístupnost ADMIN$ share na systémový disk klientského počítače. SC error code 6, GLE error code 1326 Could not set up IPC connection to target computer, probably due to a wrong username or password Jméno nebo heslo uživatele s administrátorskými právy bylo zadané nesprávně nebo nebylo zadané vůbec. SC error code 6, GLE error code 1327 Could not set up IPC connection to target computer Heslo uživatele s administrátorskými právy je prázdné. Je nutné, aby heslo existovalo. SC error code 11, GLE error code 5 Could not instal ESETinstaller on target computer Instalátor nemá administrátorské práva (při přístupu na klientský počítač), hlásí Access Denied. SC error code 11, GLE error code 1726 Could not install NOD32 Installer onto target computer Tato chyba vzniká, když uživatel chce vzdáleně instalovat 2x po sobě a nezavře mezitím okno Push Installation. 8.2.2 Nejčastější chybové kódy z protokolu era.log
0x1203 – UPD_RETVAL_BAD_URL Jedná se o chybu aktualizačního modulu, který hlásí špatně zadanou adresu aktualizačního serveru. 0x1204 – UPD_RETVAL_CANT_DOWNLOAD Chyba může nastat: • při aktualizace přes HTTP - aktualizační server vrací HTTP chybu v rozpětí 400-500, a zároveň chyba není 401, 403, 404 ani 407 - pokud se jako zdroj aktualizace používá server na bázi CISCO a formát autorizace přes HTML odpověď byl změněný • při aktualizaci přes sdílený adresář: - vrácená chyba nespadá do kategorie špatná autorizace nebo soubor nenalezený (např. přerušené spojení, neexistující server, atd.) • pro obě metody aktualizace: - pokud nebylo možné kontaktovat žádný ze serverů definovaných v souboru upd.ver, který se nachází v %ALLUSERSPROFILE\Application Data\ESET\ ESET Remote Administrator\Server\updfiles\ - nebylo možné kontaktovat ani failsafe (záchranný) server (pravděpodobně, byly násilně vymazané hodnoty v registrech pro ESET klíče • při nesprávném nastavení proxy serveru v ERAS
47
9. Rady & tipy Administrátor musí definovat proxy server ve tvaru “XXX.XXX.XXX.XXX” nebo hostname. Nesprávně je nastavení ve tvaru “http://XXX.XXX.XXX.XXX)”0x2001 UPD_RETVAL_AUTHORIZATION_FAILED Autorizace vůči aktualizačnímu serveru selhala, jméno nebo heslo uživatele bylo zadané nesprávně. 0x2102 - UPD_RETVAL_BAD_REPLY Tato chyba aktualizačního modulu se může vyskytnout při spojení uskutečněném přes proxy server, konkrétně Webwasher proxy. 0x2104- UPD_RETVAL_SERVER_ERROR Chyba aktualizačního modulu indikuje interní chybu HTTP serveru, která má hodnotu 500 a víc. V případě ESET HTTP serveru znamená chyba 500 problémy s alokací paměti. 0x2105 – UPD_RETVAL_INTERRUPTED Tato chyba aktualizačního modulu se může vyskytnout při spojení uskutečněném přes proxy server, konkrétně Webwasher proxy.
8.3
Jak odhalit problém s ERAS?
Pokud existuje podezření na nesprávnou funkčnost ERA Serveru nebo se vyskytují problémy, doporučuje se následující postup. 1. Zkontrolovat protokol ERAS, který je přístupný přes menu ERAC Tools > Server Options > záložka Logging > tlačítko View Log 2. Pokud neobsahuje žádná chybová hlášení, doporučuje se zvýšit podrobnosti logování prostřednictvím rolovacího menu Log Verbosity na nejvyšší úroveň. Po zreplikovaní problému doporučujeme úroveň logování nastavit zpět na původní úroveň. 3. V případě problémů s databází je potřebné zapnout ve stejné záložce databázový debug log pomocí zaškrtávajícího políčka Debug Log. Aktivace Debug logu se doporučuje jen na dobu replikace problému. 4. Pokud se chybové hlášení v log souborech lišší od těch, které jsou popsané v tomto manuálu, obraťte se na technickou podporu společnosti ESET. 5. Pokud se vyskytnou jakékoli neznámé chybové hlášení, doporučujeme se taktéž obrátit na technickou podporu společnosti ESET. Je vhodné popsat nežádoucí situaci, která nastala, co bylo vykonané, aby se jí předešlo. Velmi důležité je uvést číslo verze produktů ESET, které mají se situaci něco společného (typicky ERAS, ERAC, ESET Smart Security, ESET NOD32 Antivirus)
9.1
Plánovač úloh
V klientských řešeních ESET NOD32 Antivirus a ESET Smart Security je integrovaný tzv. plánovač úloh, který umožňuje naplánovat pravidelnou antivirovou kontrolu disku, vykonání aktualizace apod. Každá z těchto činností je realizovaná prostřednictvím záznamu v plánovači, tzv. úlohy. Momentálně existují celkem čtyři druhy úloh: • • • •
Spuštění externí aplikace Kontrola souborů spuštěných po startu Kontrola počítače Aktualizace
Úloha Spuštění externí aplikace obvykle zůstává bez využití. Úloha Kontrola souborů spuštěných po startu je standardně naplánovaná už samotným výrobcem, společností ESET a není nutné ji měnit10. Z pohledu administrátora tak zůstává nejzajímavější úlohou Kontrola počítače a Aktualizace a to z následujících důvodů: • Kontrola počítače Tato úloha zajistí pravidelnou antivirovou kontrolu PC, typicky lokálních disků. • Aktualizace Tato úloha zajistí pravidelnou aktualizaci klientského řešení ESET. Od výrobců je standardně nastavená i tato úloha (automatická aktualizace každých 60 minut) a není důvod toto nastavení měnit. Výjimkou je situace, kdy se nacházejí v síti např. notebooky, kterými se uživatelé připojují i z jiných sítí. V tomto případě je možné ve vlastnostech tohoto typu úlohy nastavit volání dvou aktualizačních profilů a umožnit tak aktualizace notebooků v rámci i mimo firemní síť. Plánovač úloh (Schedule/Banner) je dostupný i prostřednictvím aplikace ESET Configuration Editor ve větvi ESET Smart Security / ESET NOD32 Antivirus > ESET Kernel > Setup > Scheduler/Planner > Scheduler/ Planner (následně tlačítkem Edit). Bližší informace o konfiguračním editoru se nacházejí v kapitole 3.7 Konfigurační editor.
10
Pokud je ESET NOD32 Antivirus nebo ESET Smart Security nainstalovaný se standardním nastavením, nacházejí se v plánovači dvě úlohy tohoto typu. Jedna kontroluje důležité systémové soubory při každém přihlášení uživatele do sítě a druhá při každé úspěšné virové aktualizaci. 48
V případě úlohy typu Kontrola počítače se v posledním kroku určuje, jaké nastavení se podobu kontroly uplatní (resp. z jakého profilu se toto nastavení použije) a které cílové oblasti budou kontrolované (Targets).
Obrázek 9.1
Po otevření dialogu tlačítkem Edit můžou být zobrazené již existující úlohy (podobně jako na obrázku) nebo bude dialog bez úloh. Záleží na tom, zda jste do konfiguračního editoru načítali hotovou konfiguraci (např. z již fungující stanice) nebo vycházíte z nové, kdy je použita prázdná šablona bez úloh. Každá úloha je jednoznačně identifikovaná atributem ID (tzv. primární klíč), přičemž výrobcem předdefinované úlohy mají ID jen decimální (1, 2, 3…). Administrátorem definované úlohy mají ID hexadecimální (např. 4AE13D6C), přičemž hodnota ID je přidělená náhodně a automaticky při vytváření nové úlohy. Zaškrtávací pole před každým řádkem určuje, zda je úloha aktivní, tj. zda ji klient využívá. Význam tlačítek: • • • • •
Add – přidá novou úlohu. Edit – upraví vybranou úlohu. Change ID – upraví ID vybrané úlohy. Details – souhrn informací o vybrané úloze. Mark for deletion – takto označená úloha (se shodným ID) bude při použití této XML konfigurace odstraněná z cílového klienta. • Remove from list – tímto tlačítkem bude vybrána úloha vymazaná ze seznamu. Použitím tohoto tlačítka nedojde k odstranění dané úlohy z cílového klienta. Úloha bude jen odstraněná z editované XML konfigurace.
Obrázek 9.2
V případě úlohy typu Aktualizace se v posledním kroku určuje, jaké aktualizační profily se mají při spuštění úlohy použít. Jak už bylo zmíněno, od výrobce je standardně i tato úloha nastavená (automatická aktualizace každých 60 minut) a není důvod nastavení měnit. Výjimkou je situace, kdy se nachází v síti např. notebooky, jejichž uživatelé se připojují z jiných sítí. Právě zde je potom možné nastavit volání dvou aktualizačních profilů a řešit tak aktualizaci notebooku v rámci i mimo firemní sítě.
Při tvorbě nové úlohy (tlačítko Add) nebo při editaci současné (tlačítko Edit) je nutné definovat podmínku, při které dojde ke spuštění této úlohy. Podmínka může být časová (každý den ve 12h, každý pátek…) nebo v závislosti od události (po úspěšné aktualizaci, při prvním startu PC po dobu celého dne…)
Obrázek 9.3
49
9.2 Odstranění existujících profilů Omylem se může stát, že se na klientech vyskytnou nevyužité, nebo duplicitní profily (pro kontrolu disku nebo pro aktualizaci). Pokud je chceme vzdáleně odstranit na více klientech a přitom nesjednotit ostatní specifické nastavení, je možné postupovat například podle následujícího postupu: • V záložce Clients klikneme na jednoho z problémových klientů. • Vybereme záložku Configuration, zaškrtneme Then Run ESET Configuration Editor to edit the file a User the downloaded configuration in the new configuration task a následně klikneme na New Task. • V průvodci novou úlohu typu Configuration stlačíme Edit. • V konfiguračním editoru stlačíme Ctrl+D (odznačení všech položek – pomocí této volby nesjednotíme ostatní specifické nastavení). • Pravým tlačítkem klikneme na profil, který chceme zrušit a z kontextového menu zvolíme Mark profile for deletion. Následně je profil označený na smazání a jakmile bude tato úloha aplikovaná na cílových klientech, bude profil odstraněný.
XML souboru. Takto získaný XML soubor s konfigurací je možné použít i následovně: • Při vzdálené instalaci, kde je možné XML soubor použít jako „šablonu“ předdefinované konfigurace. Při tvorbě takového balíčku vlastně nevytváříme novou konfiguraci, ale tlačítkem Select... přiřadíme XML soubor. • Při vytváření úlohy typu Configuration, kdy je možné vybrané klienty dodatečně nastavit podle jmenovaného XML souboru (opět využijeme tlačítko Select... a nevytváříme novou konfiguraci). Poznámka: Nabízí se tak postup, kdy administrátor nainstaluje řešení ESET jen na jednu vybranou stanici, konfigurace vykoná přímo v klientském rozhraní a jakmile je všechno ideálně doladěné, vykoná export konfigurace do souboru XML. Ten ho využije při vzdálené instalaci dalších stanic. Tento postup může být taktéž užitečný při ladění pravidel firewallu, pokud bude později nastavený v režimu „policy-based“.
9.4 Nastavení aktualizace ze dvou zdrojů pro mobilní zařízení V případě mobilních zařízení je možné uplatnit aktualizaci z dvou různých zdrojů. Notebook může být nastavení například tak, že v případě selhání aktualizace z firemního Mirror serveru (notebook je fyzicky mimo firemní LAN sítě) vykoná se aktualizace přímo ze serveru společnosti ESET. Po technické stránce je potřebné: • vytvořit dva aktualizační profily, přičemž jeden bude stahovat aktualizace z Mirror serveru (dále bude tento profil prezentovaný pod názvem LAN) a druhý přímo ze serveru ESET (INET), • vytvořit nebo upravit úlohu pro aktualizaci v plánovači úloh.
Obrázek 9.4
• Dále je potřeba pokračovat stlačením tlačítka Console v konfiguračním editoru a uložit nastavení. • V dalších krocích průvodce vyzve k výběru všech klientů, na které bude konfigurace uplatněná a v posledním kroku vyzve k dokončení průvodce.
9.3
Export a další využití současné XML konfigurace klienta
Prostřednictvím konzole ERA je možné v záložce Clients vybrat libovolného klienta a v kontextovém menu (kliknutím pravým tlačítkem na myši) zvolit Configuration... tlačítkem Save As... je následně možné konfiguraci daného klienta vyexportovat do 50
Nastavení je možné pochopitelně vykonat lokálně přímo na daném notebooku, popřípadě vzdáleně prostřednictvím konfiguračního editoru ESET. Toto nastavení je možné vnutit u při vzdálené instalaci, nebo kdykoliv později prostřednictvím úlohy typu Configuration. V konfiguračním editoru je možné nové aktualizační profily vytvářet z kontextového menu po kliknutí na větev Aktualizace pravým tlačítkem myši. Výsledek úprav by měl vypadat následovně (jde jen o ilustrační příklad, skutečnost se může výrazně lišit).
9.5 Instalace produktů třetích stran prostřednictvím ERA Vzdálená instalace pomocí ESET Remote Administrator serveru přes instalace produktů společnosti ESET, s.r.o. umožňuje i vzdálenou instalaci jiných produktů. Podmínkou je, aby daný instalační balíček byl ve formátu .msi souboru. Postup vzdálené instalace tohoto .msi balíčku je velmi podobný již zmiňované instalaci produktů ESET, s.r.o. v kapitole 4.2 Vzdálená instalace. Nejhlavnějším rozdílem je vytvoření samotného instalačního balíku aplikace ESET Remote Administrator, který je popsaný v následující části: - - - - Obrázek 9.5
-
Profil LAN se bude pokoušet aktualizovat z http:// server:2221 (firemní Mirror server), zatím co INET ze serveru ESET (volba Choose automatically). Nyní je ještě potřeba nastavit, aby byly tyto profily volané automaticky prostřednictvím plánovače úloh (větev ESET Smart Security / ESET NOD32 Antivirus > ESET Kernel > Setup > Scheduler/Planner v konfiguračním editoru).
-
- -
v konzole klikneme na záložku Remote Install Zvolíme možnost Manage Packages V části Type vybereme Custom package Pomocí tlačítka Add a následně Add file přidáme do balíčku instalační soubor ve formátu .msi Následně tento soubor vybereme v Package Entry File a potvrdíme volbou Create Po návratu do původního okna můžeme v spodní části specifikovat parametry příkazového řádku .msi souboru. Tyto parametry jsou stejné jako u lokální instalace daného balíčku. Takto vytvořený instalační balíček můžeme pomocí volby Save as... uložit Zavřeme manažer instalačních balíčků tlačítkem Close
Takto vytvořený instalační balíček, obsahující jiný .msi soubor jako produkt společnosti ESET, s.r.o., je možné použít přesně stejným způsobem jako při popisovaných vzdálených instalacích. Push instalace, instalace pomocí přihlašovacího skriptu nebo mailu se postará o doručení balíčku na cílovou stanici. Od momentu zpuštění balíčku probíhá instalace pod definovanými pravidly instalační služby Microsoft Windows. Obrázek 9.6
V plánovači vytvoříme novou úlohu kliknutím na tlačítko Add. Následně je potřebné nastavit minimální typ úlohy na Aktualizace, název úlohy (např. „kombinovaná aktualizace“), interval aktualizace (doporučujeme opakovat každou hodinu) a úplně na konci i název primárního a sekundárního profilu. Jelikož požadujeme, aby se notebook nejprve pokusil o aktualizaci z firemního Mirror serveru, primárním bude název LAN (uvedeme jako hodnotu pro „Primary profile“) a sekundárním INET („Secondary profile“). Profil INET bude použitý jen při sehnání aktualizace prostřednictvím profilu LAN. Poznámka: V praxi doporučujeme využít možnost vyexportovat současnou XML konfiguraci klienta (viz. Předchozí kapitola) a výše vedené úpravy vykonávat na exportovaném XML. Takto můžete omezit duplicitní záznamy v plánovači úloh, stejně tak i množství nevyužitých profilů. 51
