Technická certifikace v3 Studijní materiál k produktu ESET Remote Administrator v3
ARCHITEKTURA PRODUKTU ................................................................................................................ 2 MIRROR SERVER ................................................................................................................................. 3 JEDNOTLIVÉ KOMPONENTY PODROBNĚJI ........................................................................................... 4 ESET REMOTE ADMINISTRATOR SERVER (ERAS) .............................................................................................. 4 Licenční klíč ......................................................................................................................................... 4 ESET REMOTE ADMINISTRATOR CONSOLE (ERAC) ........................................................................................... 4 KOMUNIKACE V RÁMCI ERA A REPLIKACE .......................................................................................... 5 PŘIPOJENÍ ERAC K ERAS ............................................................................................................................. 5 PŘIPOJENÍ STANIC K ERAS ............................................................................................................................ 6 REPLIKACE ................................................................................................................................................. 7 PRÁCE S ADMINISTRÁTORSKOU KONZOLÍ .......................................................................................... 8 ÚLOHY – TASKS .......................................................................................................................................... 8 POLICY MANAGER....................................................................................................................................... 9 NOTIFICATION MANAGER ............................................................................................................................. 9 ESET SYSINSPECTOR ................................................................................................................................. 10 VZDÁLENÁ INSTALACE ...................................................................................................................... 11 TVORBA INSTALAČNÍCH BALÍČKŮ .................................................................................................................. 11 INSTALAČNÍ AGENT – EINSTALLER.EXE............................................................................................................ 12 PUSH INSTALL .......................................................................................................................................... 12 VZDÁLENÁ INSTALACE PROSTŘEDNICTVÍM LOGON SKRIPTU ................................................................................ 12 VZDÁLENÁ INSTALACE PROSTŘEDNICTVÍM E-MAILU .......................................................................................... 13 DALŠÍ MOŽNOSTI ...................................................................................................................................... 13 CHYBOVÉ STAVY BĚHEM VZDÁLENÉ INSTALACE ................................................................................................ 13
1
ARCHITEKTURA PRODUKTU ESET Business Edition je obchodní označení pro balík produktů určený pro firemní nasazení. Seznam řešení ESET v rámci Business edice ve firemní síti tedy zahrnuje: Samotnou vzdálenou správu, tedy produktem ESET Remote Administrator (ERA), který má 2 součásti (samostatné aplikace): • ESET Remote Administrator Server (ERAS) – služba vzdálené správy • ESET Remote Administrator Console (ERAC) – grafický nástroj pro správce sítě Klientská řešení – ESET Smart Security, anebo ESET NOD32 Antivirus Administrátor se s ERA konzolou připojí na ERA server,čímž se v ERAC zobrazí aktuální stav ESET řešení v síti. Z jednoho místa je možné měnit konfigurace, instalovat bezpečnostní produkty na dosud nezabezpečené počítače, nebo spustit na vzdálených počítačích kontrolu disku. V případě, že zákazník vlastní taktéž licenci na serverová řešení ESET, ty je také možné vzdáleně spravovat pomocí ERA. Týče se to ESET NOD32 pro Exchange Server a produkty linie ESET Server Security.
2
MIRROR SERVER Funkce Mirror přináší možnost vytvořit ve vlastní síti lokální aktualizační server. V praxi to znamená, že aktualizace si ze serverů ESETu bude stahovat jenom jeden počítač. Ten je uloží do lokálního adresáře a ostatní stanice v síti budou aktualizovat z tohoto adresáře. Mirror lze vytvářet v: A)
B)
ESET Smart Security a ESET NOD32 Antivirus. Po zadání licenčního klíče (Detailní nastavení > Různé > Licence) se aktivuje v Detailním nastavení > Aktualizace > Pokročilé nastavení aktualizace > Nastavit... záložka Mirror). ESET Remote Administrator (Tools > Server Options > Updates).
Samotný adresář s aktualizačními soubory se vůči klientům může chovat jako: A)
B)
Sdílený adresář. Klientům nastavíme v Detailním nastavení > Aktualizace server ve tvaru \\server\share (ne X:\) Daný adresář je přirozeně potřeba nasdílet. Nevýhodou tohoto řešení je, že je potřeba u klientů v nastavení aktualizace vyplnit také jméno a heslo, a to od účtu, který má právo čtení k danému adresáři. Jednodušší je tedy varianta HTTP server. Jde o výchozí nastavení. HTTP server je přímo zabudován v řešení ESET. U klientů v nastavení aktualizace jméno a heslo není potřeba vyplňovat, stačí jenom server a to ve tvaru http://nazov_serveru_nebo_IP:2221
3
JEDNOTLIVÉ KOMPONENTY PODROBNĚJI ESET REMOTE ADMINISTRATOR SERVER (ERAS) ERAS je NT služba, která běží na pozadí a jako taková nemá grafický výstup. Server přijímá od jednotlivých klientů informace, anebo zasílá na klienty požadavky (vytvořené administrátorem v ERAC). • nutný OS na bázi Windows NT (NT4 SP6 minimum) • činnost protokolována do souboru ERA.LOG (standardně v %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\logs) • využívá MDB databázi, která zvládne i několik tisíc klientů; podpora také pro MySQL Oracle Microsoft SQL Server Instalace ERAS: • pozor na název serveru (měl by být „viditelný“ z LAN), eventuálně žádný neuvádět (doplní se hodnota z %COMPUTERNAME%) • bude požadován licenční klíč - .LIC soubor
Licenční klíč Licenční klíč zákazník získá zakoupením Business edice; je přiložen k licenčnímu emailu. Omezuje množství stanic spravovaných přes konzoli, přičemž: • pokud počet převýšen, zobrazí se prvních x • pokud je klíč expirován, konzolí se nelze k ERAS připojit • pokud klíč neexistuje, ERA funguje jako časově neomezená pro 2 stanice (Demo režim) • případné chyby klíče jsou protokolovány do ERA.LOG Pro správu klíčů slouží License Manager (Tools > License Manager) V něm je možné vyměnit licenční klíč za nový. Jestli lic. klíč již expiroval a není tedy možné se na ERAS přihlásit: Zkopírujte klíč do adresáře %ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\license Restartujte službu ERAS (era.exe) License Manager také řeší případy, kdy má zákazník několik licencí – například 100 stanic ESET Smart Security a 100 stanic ESET NOD32 Antivirus. Načtením obou klíčů se počet spravovatelných stanic sčítá a doba expirace se srovná z licencí, která expiruje nejdřív. Podmínkou je, aby všechny slučované klíče byly vystavené na jednoho zákazníka.
ESET REMOTE ADMINISTRATOR CONSOLE (ERAC) Grafický nástroj, pomocí kterého se administrátor připojí k ERAS. Standardně v %ProgramFiles%\ESET\Eset Remote Administrator\Console\ • Podpora pro Windows 2000 a vyšší
4
KOMUNIKACE V RÁMCI ERA A REPLIKACE Logika fungování vzdálené správy ESET vychází z faktu, že aktivita je na straně klienta, tedy stanice. Ta v definovaném intervalu (standardně 5 minut) zasílá informace (logy, výsledky kontrol…) na ERAS. Když se tedy s administrátorskou konzolí přihlásíme k ERAS, vidíme u jednotlivých stanic posledně zaslané údaje. Rovněž když se rozhodneme dění na klientech ovlivnit, například zasláním změny konfigurace, úloha je v prvním kroku zaslána z konzole na ERAS. Klientské stanice si ji převezmou při nejbližším připojení k ERAS Jak demonstruje toto schéma, jde o standardní TCP komunikace:
Obr. Komunikační kanály mezi komponenty vzdálené správy a klientskými stanicemi.
PŘIPOJENÍ ERAC K ERAS Komunikace standardně probíhá na portu TCP 2223, tento port by tedy měl být dostupný (výjimky ve firewallech) • ERAS identifikujeme jménem nebo IP adresou (položka Server) • Komunikaci mezi ERAC a ERAS je šifrovaná, možnost nastavení hesla pro přihlášení (Tools > Server Options > Security > Password for Console) Možnost volby dvou režimů spuštěni ERAC: • Administrator – dostupné všechny volby • Read-Only – omezení jenom na prohlížení
5
Obr. Dialóg připojení ERAC k ERAS
PŘIPOJENÍ STANIC K ERAS Komunikace standardně probíhá na portu TCP 2222, je potřeba zabezpečit jeho průchodnost. Připojení k ERAS se u klienta definuje v Detailním nastaveni (F5) > Různé > Vzdálená správa. • ERAS identifikujeme jménem nebo IP adresou (Adresa serveru) • možnost ochránit připojení heslem ERAC > Tools > Server Options > Security > Password for Clients (zároveň se aktivuje šifrování komunikace) – na obou koncích! • možnost definovat záložní Sekundární server (stanice se v případě pádu primárního serveru připojí na sekundární, zároveň se bude pokoušet odesílat data na primární server; po jeho zprovoznění se data na sekundární server zasílat přestanou)
Obr. Nastavení připojení ERAS na straně klienta Stanice jsou identifikovány pomocí atributů: • Computer name + • MAC address + • Primary Server (položka Primární server, tedy ERAS, kam stanice zasílá údaje) DOPORUČENÍ: Jestli stanice může být identifikována více MAC adresami (typicky notebooky se síťovou kartou a wifi adaptérem), může dojít ke stavu, kdy se daná stanice zobrazí v ERAC dvakrát. Doporučujeme proto pro notebooky povolit používaní více MAC adres (ERAC > Tools > Server Options > Other Settings > Edit Advanced Settings… > ESET Remote Administrator > ERA Server > Setup > Advanced > Enable MAC address renaming (from valid to another valid) – nastavit Yes).
6
REPLIKACE Počet instalací ERAS (a také ERAC) v rámci jedné licence není omezen. Je tedy možné dle uvážení nainstalovat požadované množství serverů a konzol; nabízí se instalace na vzdálené pobočky nebo na samostatné oddělení firmy. Mezi ERA servery doporučujeme pak nastavit hierarchickou strukturu pomocí replikace (Tools > Server Options > Replication). Replikace znamená, že podřazené servery zasílají informace o svých klientech na nadřazené servery. • Replikace probíhá na TCP portu 2846 Replikaci je potřeba povolit na obou koncích: • na podřazených serverech Replication to • na nadřazených Replication from Připojením se na nejvyšší (master) server v replikační struktuře získá administrátor přístup k informacím o všech klientech patřícím všem serverům; analogicky po přihlášení se na nižší server se dostane administrátor jen ke klientům daného ERAS a jemu podřízených serverů.
Obr. Příklad replikace ERA serverů
7
PRÁCE S ADMINISTRÁTORSKOU KONZOLÍ Okamžitě po zpuštění ERAC jsou dostupné jenom funkce týkající se vzhledu uživatelského rozhraní a rozvržení sloupců (Tools > Console Options). Možnosti správy se odemknou až po přihlášení na ERAS (viz Připojení ERAC k ERAS).
Obr. Hlavní okno ESET Remote Administrator Console – záložka Clients V hlavním oknu aplikace jsou v centrální části zobrazené klientské počítače, které se připájí, nebo někdy v minulosti připojili k danému ERAS. Nad tabulkou klientů je seznam dostupných ERAS (viz Replikace). A nakonec vlevo je panel filtru, kde je možné vyhledávat a filtrovat klientské stanice dle různých parametrů. Administrátor například může klienty rozdělit do skupin (Tools > Group Editor), kde si může vytvořit vlastní skupiny klientů, nebo ujednotit jejich strukturu s Active Directory (Synchronize with Active Directory). Záložky typu „Log“ shromaždují informace od klientů, přičemž tyto jsou rozděleny do jednotlivých kategorií: Threat Log – Info o virových incidentech na klientech (odpovídá obsahu tabulky Nástroje > Protokoly > Zachycené infiltrace na klientovi) Firewall Log – export z Nástroje > Protokoly > Personální firewall Event Log – klientské info z Nástroje > Protokoly > Události Scan Log – výsledky kontrol počítače; Nástroje > Protokoly > Kontrola počítače Tasks – eviduje stav nebo výsledek úloh zaslaných na klienty, např. Completed, anebo Pending (trvá) Reports - umožňuje generovat a ukládat grafické výstupy (grafy, tabulky) o činnosti na klientech do HTML a CSV formátu Remote Install – viz samostatná kapitola o vzdálené instalaci
ÚLOHY – TASKS Vzdálená správa ESET umožňuje zasílat na stanice požadavky k
8
změně konfigurace - Configuration vykonání testu – On-Demand Scan (spustí na klientovi Kontrolu počítače) okamžité aktualizaci – Update Now (vykoná jednorázovou aktualizaci virové databáze) Úlohy je možné volat přes kontextové menu, tj. pravým tlačítkem myši na klienta > New Task, anebo přes File > New Task (klávesová zkratka CTRL + N). • • •
Obr. Výběr úlohy Víc prostoru si zaslouží konfigurační úloha, tedy Configuration task. Jde v podstatě o zaslání konfiguračního XML souboru, čímž se přepíší na cílové stanice parametry nastavení. 1. 2.
vytvořit novou konfiguraci xml během tvorby úlohy (tlačítko Create) použít vlastní xml šablonu (tlačítko Select)
DOPORUČENÍ: Nastavte si klientské řešení přímo v uživatelském rozhraní ESET NOD32 Antivirus/ESET Smart Security a pak pomocí funkce Nastavení > Import/Export nastavení si vyexportujte XML soubor s konfigurací. Konfiguraci si můžete vytáhnout v ERAC i vzdáleně např. dvojklikem na daného klienta > Configuration > Save As…. Na úpravu XML souborů je možné v ERAS použít nástroj ESET Configuration Editor (Tools > ESET Configuration Editor). V stromové struktuře jsou v něm seřazeny všechna nastavení klientů. Dá se použít na tvorbu úplně nové konfigurace, je ale o něco jednodušší vyexportovat xml soubor dle postupu v Doporučení a ESET Configuration Editor použít pro dodatkové úpravy.
POLICY MANAGER Pro pokročilejší správu konfigurací lze použít nástroj Policy Manager. Nevýhodou Configuration Task je fakt, že konfigurace se aplikuje jednorázově, zatím co Policy Manager konfigurace klientům „vnucuje“ (standardně každých 24 hodin). Eliminuje se tím možnost, že si uživatel nastavení modifikuje a případně sníží úroveň zabezpečení počítače. V případě použití replikace je možné pro jednotlivé politiky nastavit replikování směrem k podřazeným serverům, čímž ve výsledku vznikají na klientech tzv. spojené, tedy Merged politiky. Možnosti Policy Managera jsou poměrně široké, pro podrobnější informace proto doporučujeme odpovídající kapitolu v manuálu pro ESET Remote Administrator.
NOTIFICATION MANAGER
9
Nástroj umožňující zasílaní notifikace v případě chybového stavu (Tools > Notification Manager). Funguje na principu pravidel – když jsou splněné stanovené podmínky (Triggers), Notification Manager vykoná definovanou akci. Možnosti jsou následující: • Email – odešle zprávu • SNMP Trap – vygeneruje a odešle SNMP notifikaci • Execute (on server) – zpustí na serveru aplikaci – potřeba definovat cestu k dané aplikaci • Log To File (on server) – možnost definování souboru, do kterého budou akce protokolovány
ESET SYSINSPECTOR ESET SysInspector je diagnostický nástroj sbírající informace o operačním systému. Jde hlavně o ty součásti, které jsou důležité z hlediska bezpečnosti – běžící procesy, spuštěné služby, instalované programy. Samotný nástroj je součástí klientských řešení (ESS, EAV), avšak pomocí ERAC si administrátor může nechat zaslat protokol ze vzdálené stanice.
Obr. Vlastnosti klienta, karta SysInspector Je pro to potřeba dvakrát kliknout na danou stanici na záložce Clients > SysInspector > Request. Tím se na klientovi vygeneruje protokol a zašle na ERAS. Generování může zabrat několik minut. Vyžádané protokoly je možné zobrazit tlačítkem View. Záložka SysInspector také poskytuje možnost porovnat navzájem dva protokoly a zjistit tak rozdíl oproti předchozímu stavu.
10
VZDÁLENÁ INSTALACE • • • •
Vzdálená instalace ESET NOD32 Antivirus nebo ESET Smart Security v podstatě spočívá ve: vytvoření instalačního balíčku, dopravení agenta na cílovou stanici (viz. Instalační agent einstaller.exe) stažení obsahu balíku a následném spuštění, tedy instalaci.
Metod vzdálené instalace je několik, nicméně proces vytvoření instalačního balíčku je pro všechny stejný.
TVORBA INSTALAČNÍCH BALÍČKŮ V ERAC přejděte na záložku Remote Install a v sekci Manage Packages zvolte Packages..., čímž se otevře Installation Packages Editor. Pro každý balík je možné definovat: 1. Typ a název balíčku. Možnost editace již existujícího, nebo vytvoření úplně nového balíčku. 2. Přidání obsahu, tedy instalátoru. Klikněte na Add... a nalistujte odpovídající MSI soubor stažený ze stránek ESETu. 3. Dodání konfigurace. Doporučujeme zvolit Select... a nalistovat předem nachystaný XML soubor s upravenou konfigurací. 4. Parametry příkazové řádky. Jelikož hlavním požadavkem pro vzdálenou instalaci je co nejvyšší stupeň automatizace, je potřeba definovat příslušné parametry. Typicky chceme, aby instalace probíhala na pozadí a aby bylo definováno, jestli se má po instalaci počítač restartovat, aneb nikoliv. Doporučenými parametry jsou: /qn zabezpečí, že se nezobrazí instalační průvodce a proces proběhne na pozadí REBOOT="ReallySuppress" potlačí restart počítače po instalaci Seznam dostupných parametrů naleznete pod odkazem Show me command line options. Kliknutím na tlačítko Save as... anebo Close (v případě změny obsahu) se zobrazí dotaz na pojmenování a uložení instalačního balíčku. Vytvořené balíčky se ukládají do adresáře \packages v místě, kde je nainstalován daný ERAS.
11
DOPORUČENÍ Používejte názvy, které na první pohled napoví, o jaký typ a verzi jde. Například eav_4_0_500_uctarna bude instalační balík ESET NOD32 Antivirus, programový build 4.0.500, který se ve firmě instaluje na počítače v účtárně.
INSTALAČNÍ AGENT – EINSTALLER.EXE Každý balík má svého agenta, soubor einstaller.exe. Je to krátký soubor o velikosti několika set kB, který se po dopravení na cílovou stanici spustí a zabezpečí „dotažení“ daného instalačního balíčku (20-30 MB). V einstaller.exe je pevně zakódováno • k jakému balíku patří (jeho jméno) • z jakého serveru „pochází“ (jeho hostname) – při instalaci ERAS důležité zadat správný název ERAS, jinak agent nebude vědět, odkud má stáhnout instalační balík Činnost agenta je na cílové stanici protokolována do %TEMP%\einstaller.log, kde lze dohledat případné příčiny selhání. Jak již bylo naznačeno, metody vzdálené instalace se liší hlavně ve způsobu, jakým je agent dopraven na stanice: • Push Install • Logon skript • Email • využití metod, které jdou mimo program Jednotlivé metody jsou popsané v následujících kapitolách.
PUSH INSTALL Tato metoda okamžitě „natlačí“ instalaci na vzdálené počítače. Proces instalace: 1. V ERAC > záložka Remote Install > tlačítko Install... vyberte typ balíku a stanice, na které bude balík zaslán. Zvolte Install. 2. Zobrazí se dotaz na autorizaci (účet s právy provést instalaci). 3. Následně dochází k připojení k sdílení ADMIN$ & kopírování agenta einstaller.exe. 4. Pak proběhne registrace agenta jako služby na lokálním PC a jeho spuštění. 5. Agent se zpětně připojí k mateřskému ERAS po TCP portu 2224, stáhne balík a zahájí instalaci. 6. Agent zasílá na ERAS info o průběhu a výsledku procesu, které je možné sledovat v ERAC. Pro vzdálenou instalaci je potřeba dodržet následující podmínky: • funkční síť Microsoft a protokol TCP/IP • cílová stanice musí být v provozu • musíme znát účet administrátora (domén.admina) • povoleno sdílení souborů a tiskáren (porty 135-139, 445) • volné porty vyžadované od ERA (standardně 2221-2224) • musí být zakázáno jednoduché sdílení souborů (Ovládací panely – Možnosti složky) • funkční služby Server a Remote Registry Jak již nepřímo plyne z podmínek, minimálním požadavkem pro Push Install je operační systém Windows NT a vyšší, vyjma Windows XP Home. Push Install dokáže vykonávat naráz jenom jednu instalaci. Administrátor tedy může zvolit víc vzdálených počítačů, každopádně příkazy se zasílají po jednom a u většího počtu stanic se celý proces může natáhnout na delší dobu. Jestli je požadavek na vyšší stupeň automatizace, doporučujeme například následující metodu.
VZDÁLENÁ INSTALACE PROSTŘEDNICTVÍM LOGON SKRIPTU Zabezpečí automatické spuštění einstaller.exe po přihlášení uživatele.
12
Jako přípravu doporučujeme v ERAC > Remote Install > zvolit Set default logon... a nastavit autorizační údaje, s kterými bude einstaller.exe pracovat. Tento krok můžeme vynechat v případe, že lokální uživatel má dostačující práva. Vložení cesty k einstaller do logon skriptu: • V ERAC > Remote Install > klikněte na tlačítko Export... . • Zvolte typ balíku a adresář (Folder), odkud bude agent nabízen v síti. • Následně je potřeba definovat umístnění logon skriptu (Script Folder) • Nakonec stlačte Export to Logon Script, čímž se řádek vloží.
VZDÁLENÁ INSTALACE PROSTŘEDNICTVÍM E-MAILU Agent je na stanice zaslán pomocí e-mailu. Je vyžadována spolupráce uživatele, který musí einstaller.exe z přílohy emailu spustit. Jako přípravu doporučujeme v ERAC > Remote Install > zvolit Set default logon... a nastavit autorizační údaje, s kterými bude einstaller.exe pracovat. Tento krok můžeme vynechat v případe, že lokální uživatel, který agenta spustí, má dostačující práva. V ERAC > Remote Install > zvolte možnost E-mail... . Vyberte balík a příjemce mailu. ERAS použije k odeslání zprávy lokální Microsoft Outlook. Jestli tento není nainstalován, je potřeba specifikovat nastavení SMTP v menu Tools > Server Options – Other settings.
DALŠÍ MOŽNOSTI Další varianty vychází ze základní vlastnosti agenta einstaller.exe – schopnosti připojit se z klientské stanice zpátky na „domovský“ ERAS, stáhnout instalační balík a spustit instalaci. Stačí tedy jakýmkoliv způsobem zabezpečit spuštění agenta na lokálním počítači. Nabízí se například jeho vystavení na firemním intranetu. Vzdálená odinstalace Funguje taktéž na principu balíčků (ERAC > Remote Install > Packages... > Type: Uninstall....). V případě, že pro odinstalaci je požadováno heslo, je potřeba odinstalační balík upravit – dodat příslušný parametr příkazové řádky: PWD=“heslo“ Odinstalační balíčky se spouštějí přes menu ERAC > Remote Install > tlačidlo Install... > zvolením cílových stanic a kliknutím na Uninstall. ERAC > Remote Install > Packages... > Custom package Volba vlastních balíčku (Custom package) umožňuje instalaci (a také odinstalaci) v podstatě jakékoliv aplikace za předpokladu, že se jedná formát MSI.
CHYBOVÉ STAVY BĚHEM VZDÁLENÉ INSTALACE Může se vrátit chyba s SC a GLE kódem • SC, interní • GLE – odpovídá Win32 Error Code (seznam na stránkách Microsoftu) Could not set up IPC connection to target computer (SC error code 6, GLE error code 1326) 1. Nesprávné jméno a heslo (pro přístup k dané stanici) Chybové stavy v „závěrečné části“ vzdálené instalace, tj. po spuštění einstaller.exe je možné dohledat na lokální stanici v protokolu umístněném v %TEMP%\einstaller.log. (Například chyba při kontaktování ERAS)
13