ESET REMOTE ADMINISTRATOR 6 Instrukcj a instalacj i i podręcznik użytkownika

Transkrypt

ESET
REMOTE
ADMINISTRATOR6
Instrukcj a instalacj i i podręcznik użytkownika
Kliknij tutaj, aby przejść do najnowszej wersji tego dokumentu
ESET REMOTE ADMINISTRATOR 6
Copyright
2015 by ESET, spol. s r.o.
Oprogramowanie ESET Remote Administrator 6 zostało opracowane przez firmę ESET,
spol. s r.o.
Więcej informacji można znaleźć w witrynie www.eset.pl.
Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji nie może być
powielana, przechowywana w systemie pobierania ani przesyłana w żadnej formie
bądź przy użyciu jakichkolwiek środków elektronicznych, mechanicznych, przez
fotokopiowanie, nagrywanie, skanowanie lub w inny sposób bez uzyskania
pisemnego zezwolenia autora.
Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmian w dowolnych
elementach opisanego oprogramowania bez uprzedniego powiadomienia.
Dział obsługi klienta: www.eset.com/support
WER. 20/05/2015
Spis treści
1. Wprowadzenie
.......................................................6
1.1 Funkcje
....................................................................................................6
1.2 Architektura
....................................................................................................7
3.7.5
Instalacja
..............................................................................54
serwera proxy — system Windows
3.7.5.1
Wymagania wstępne dotyczące serwera proxy —
system
..................................................................................55
Windows
3.7.6
Instalacja
..............................................................................55
narzędzia RD Sensor — system Windows
3.7.6.1
Wymagania wstępne dotyczące narzędzia RD Sensor —
system
..................................................................................55
Windows
3.7.7
Instalacja narzędzia Moduł zarządzania urządzeniami
mobilnymi
..............................................................................55
— system Windows
3.7.7.1
Wymagania wstępne dotyczące narzędzia Moduł
zarządzania urządzeniami mobilnymi — system
Windows
..................................................................................58
3.7.8
Instalacja serwera proxy Apache HTTP — system
Windows
..............................................................................60
1.2.1
Serwer
..............................................................................8
1.2.2
Konsola
..............................................................................9
internetowa
1.2.3
Agent ..............................................................................9
1.2.4
Serwer
..............................................................................10
proxy
1.2.5
Rogue
..............................................................................11
Detection Sensor
1.2.6
Moduł
..............................................................................12
zarządzania urządzeniami mobilnymi
1.2.7
Scenariusze
..............................................................................13
wdrożenia
1.2.7.1
Pojedynczy
..................................................................................13
serwer (małe firmy)
1.2.7.2
Odległe
..................................................................................14
oddziały z serwerami proxy
1.2.7.3
Wysoka
..................................................................................15
dostępność (środowisko firmowe)
3.8.1
Instalacja
..............................................................................61
serwera — system Linux
1.2.8
Przykłady
..............................................................................15
wdrożenia w praktyce
3.8.1.1
Wymagania wstępne dotyczące serwera — system
Linux
..................................................................................63
1.3 Obsługiwane
....................................................................................................17
produkty i języki
3.8.2
Instalacja
..............................................................................64
agenta — system Linux
2. Wymagania
.......................................................19
systemowe
3.8.2.1
Wymagania wstępne dotyczące agenta — system
Linux
..................................................................................65
2.1 Sprzęt
....................................................................................................19
3.8.3
Instalacja
..............................................................................66
konsoli internetowej ERA — system Linux
2.2 Baza
....................................................................................................19
danych
3.8.3.1
Wymagania wstępne dotyczące konsoli internetowej
ERA
..................................................................................66
— system Linux
2.3 Obsługiwane
....................................................................................................20
systemy operacyjne
3.8.4
Instalacja
..............................................................................66
serwera proxy — system Linux
3.8.4.1
Wymagania wstępne dotyczące serwera proxy —
system
..................................................................................67
Linux
3.8.5
Instalacja narzędzia RD Sensor i wymagania wstępne
— system
..............................................................................68
Linux
3.8.6
Instalacja narzędzia Moduł zarządzania urządzeniami
mobilnymi
..............................................................................68
— system Linux
3.8.6.1
Wymagania wstępne dotyczące komponentu Moduł
zarządzania
..................................................................................70
urządzeniami mobilnymi — system Linux
3.8.7
Instalacja serwera proxy Apache HTTP — system Linux
..............................................................................70
3.8.8
Dezinstalacja i ponowna instalacja komponentu —
system
..............................................................................73
Linux
2.3.1
System
..............................................................................20
Windows
2.3.2
System
..............................................................................22
Linux
2.3.3
OS X ..............................................................................22
2.4 Używane
....................................................................................................23
porty
3. Procedura
.......................................................25
instalacji
3.8 Instalacja komponentów w systemie
....................................................................................................61
Linux
3.1 Instalacja
....................................................................................................26
pakietowa
3.1.1
Instalacja
..............................................................................27
w systemie Windows SBS/Essentials
3.2 Baza
....................................................................................................30
danych
3.2.1
Kopia..............................................................................30
zapasowa serwera baz danych
3.2.2
Uaktualnienie
..............................................................................30
serwera baz danych
3.2.3
Migracja
..............................................................................31
bazy danych ERA
3.9 Rekord
....................................................................................................74
usługi DNS
3.2.3.1
Procedura
..................................................................................31
migracji programu SQL Server
3.10 Narzędzie
....................................................................................................75
do obsługi migracji
3.2.3.2
Procedura
..................................................................................39
migracji programu MySQL Server
3.3 Obraz
....................................................................................................40
ISO
3.10.1
Scenariusz
..............................................................................76
migracji 1
3.10.2
Scenariusz
..............................................................................78
migracji 2
3.10.3
Scenariusz
..............................................................................81
migracji 3
3.4 Urządzenie
....................................................................................................40
wirtualne
3.4.1
VMware
..............................................................................43
Player
3.4.2
Oracle
..............................................................................44
VirtualBox
3.4.3
Microsoft
..............................................................................45
Hyper-V
3.5 Klaster trybu failover — system
....................................................................................................46
Windows
3.6 Klaster
....................................................................................................46
trybu failover — system Linux
4. Pierwsze
.......................................................85
kroki
4.1 Otwieranie
....................................................................................................85
konsoli internetowej ERA
4.2 Ekran logowania do konsoli
internetowej
....................................................................................................87
ERA
4.3 Zapoznanie się z konsolą internetową
ERA
....................................................................................................89
3.7 Instalacja komponentów w systemie
4.4 Wdrożenie
....................................................................................................91
Windows
....................................................................................................49
Dodawanie
..............................................................................91
komputera klienckiego do struktury ERA
4.4.1
3.7.1
Instalacja
..............................................................................49
serwera — system Windows
3.7.1.1
Wymagania wstępne dotyczące serwera — system
Windows
..................................................................................51
3.7.2
4.4.1.1
Używanie
..................................................................................92
synchronizacji z usługą Active Directory
4.4.1.2
Ręczne
..................................................................................93
wpisanie nazwy/adresu IP
Program
..............................................................................52
Microsoft SQL Server — system Windows
4.4.1.3
Korzystanie
..................................................................................94
z narzędzia RD Sensor
3.7.3
Instalacja
..............................................................................52
agenta — system Windows
4.4.2
Wdrażanie
..............................................................................97
agenta
3.7.4
Instalacja
..............................................................................53
konsoli internetowej — system Windows
4.4.2.1
Etapy
..................................................................................97
wdrożenia — system Windows
Obsługiwane
..................................................................................54
przeglądarki internetowe
........................................................................98
Live agenta
4.4.2.1.1 Instalatory
3.7.4.1
4.4.2.1.2
Zdalne ........................................................................101
wdrożenie agenta
6.1.1.6
4.4.2.1.3
Lokalne........................................................................106
wdrożenie agenta
grup statycznych
6.1.1.6.1 Kreator........................................................................187
4.4.2.2
Etapy
..................................................................................109
wdrożenia — system Linux
........................................................................188
grupami statycznymi
6.1.1.6.2 Zarządzanie
4.4.2.3
Etapy
..................................................................................110
wdrożenia — system OS X
........................................................................189
grupy statycznej
6.1.1.6.3 Przenoszenie
4.4.2.4
Rozwiązywanie
..................................................................................110
problemów — wdrażanie agenta
6.1.1.6.4 Dodawanie komputera klienckiego do grupy
4.4.3
Wdrożenie agenta przy użyciu obiektu GPO lub
programu
..............................................................................112
SCCM
........................................................................193
klientów z usługi Active Directory
6.1.1.6.5 Importowanie
4.4.3.1
Tworzenie
..................................................................................112
pliku MST
........................................................................193
zadania do grupy statycznej
6.1.1.6.6 Przypisywanie
4.4.3.2
Etapy
..................................................................................118
wdrożenia — obiekt GPO
........................................................................193
reguły do grupy statycznej
4.4.3.3
Etapy
..................................................................................122
wdrożenia — program SCCM
........................................................................194
grup statycznych
6.1.1.6.8 Eksportowanie
4.4.4
Instalacja
..............................................................................139
produktu
........................................................................195
grup statycznych
6.1.1.6.9 Importowanie
4.4.4.1
Instalacja
..................................................................................142
produktu (wiersz polecenia)
6.1.1.7
4.4.4.2
Lista problemów występujących w przypadku
niepowodzenia
..................................................................................143
instalacji
szablonu grupy dynamicznej
6.1.1.7.1 Kreator........................................................................196
4.5 Zarządzanie
....................................................................................................143
grupy dynamicznej
6.1.1.7.3 Kreator........................................................................198
4.5.1
Dodawanie
..............................................................................144
komputerów do grup
4.5.1.1
Grupy
..................................................................................144
statyczne
........................................................................145
komputera do grupy statycznej
4.5.1.1.1 Dodawanie
4.5.1.2
Grupy
..................................................................................146
dynamiczne
........................................................................147
grupy dynamicznej
4.5.1.2.1 Nowy szablon
4.5.1.2.2
Tworzenie
........................................................................148
nowej grupy dynamicznej
4.5.2
Tworzenie
..............................................................................150
nowej reguły
4.5.3
Przypisywanie
..............................................................................153
reguły do grupy
4.5.4
Rejestracja
..............................................................................155
urządzenia mobilnego
4.6 Najlepsze
....................................................................................................157
praktyki
4.6.1
Zarządzanie
..............................................................................157
użytkownikami
5. Praca z programem ESET Remote
.......................................................158
Administrator
5.1 Panel
....................................................................................................158
kontrolny
5.1.1
Ustawienia
..............................................................................160
panelu kontrolnego
5.1.2
Przechodzenie
..............................................................................161
do szczegółów
5.1.3
Edytowanie
..............................................................................162
szablonu raportu
5.2 Komputery
....................................................................................................166
5.2.1
Dodawanie
..............................................................................168
komputerów
5.2.2
Szczegóły
..............................................................................170
komputera
Grupy
..................................................................................187
statyczne
statycznej
........................................................................191
Grupy
..................................................................................196
dynamiczne
........................................................................197
szablonami grup dynamicznych
6.1.1.7.4 Tworzenie grupy dynamicznej na podstawie
istniejącego
........................................................................200
szablonu
6.1.1.7.5 Tworzenie grupy dynamicznej na podstawie nowego
szablonu
........................................................................202
........................................................................202
grupami dynamicznymi
........................................................................204
grupy dynamicznej
6.1.1.7.7 Przenoszenie
........................................................................206
reguły do grupy dynamicznej
........................................................................206
zadania do grupy dynamicznej
........................................................................206
programu ESET Remote Administrator
6.1.1.7.10 Automatyzacja
........................................................................207
komputera do grupy dynamicznej
6.1.1.7.11 Dołączanie
........................................................................207
szablonu
6.1.1.7.12 Ocena reguł
........................................................................209
6.1.1.7.13 Edytor reguł
6.1.2
Reguły
..............................................................................211
6.1.2.1
Kreator
..................................................................................212
reguł
6.1.2.2
Flagi
..................................................................................213
6.1.2.3
Zarządzanie
..................................................................................214
regułami
6.1.2.4
Stosowanie
..................................................................................217
reguł w odniesieniu do klientów
........................................................................217
kolejności grup
6.1.2.4.1 Ustalanie
........................................................................219
wykazu reguł
6.1.2.4.2 Tworzenie
reguł
6.1.2.4.3 Scalanie........................................................................220
6.1.2.5
Konfigurowanie
..................................................................................220
produktu przy użyciu rozwiązania ERA
6.1.2.6
Przypisywanie
..................................................................................220
reguły do grupy
5.3 Zagrożenia
....................................................................................................171
6.1.2.7
Przypisywanie
..................................................................................222
reguły do klienta
5.4 Raporty
....................................................................................................172
6.1.3
Zadania
..............................................................................223
klienta
5.4.1
Tworzenie
..............................................................................173
nowego szablonu raportu
6.1.3.1
Kreator
..................................................................................225
zadań klienta
5.4.2
Generowanie
..............................................................................176
raportów
6.1.3.2
Zarządzanie
..................................................................................229
zadaniami klienta
5.4.3
Planowanie
..............................................................................176
raportu
........................................................................231
na żądanie
6.1.3.2.1 Skanowanie
5.4.4
Nieaktualne
..............................................................................176
aplikacje
........................................................................234
systemu operacyjnego
6.1.3.2.2 Aktualizacja
6. Administrowanie programem ESET Remote
.......................................................177
Administrator
........................................................................236
kwarantanną
........................................................................238
bazy danych Rogue Detection Sensor
6.1.3.2.4 Resetowanie
6.1.3.2.5 Uaktualnianie komponentów programu Remote
6.1 Administrator
....................................................................................................177
Administrator
........................................................................241
6.1.1
Grupy
..............................................................................177
........................................................................243
sklonowanego agenta
6.1.3.2.6 Resetowanie
6.1.1.1
Tworzenie
..................................................................................179
nowej grupy statycznej
........................................................................245
polecenia
6.1.3.2.7 Uruchomienie
6.1.1.2
Tworzenie
..................................................................................182
nowej grupy dynamicznej
........................................................................247
skryptu programu SysInspector
6.1.3.2.8 Uruchomienie
6.1.1.3
Przypisywanie
..................................................................................184
zadania do grupy
........................................................................249
oprogramowania
6.1.3.2.9 Instalacja
6.1.1.4
Przypisywanie
..................................................................................185
reguły do grupy
........................................................................251
oprogramowania
6.1.3.2.10 Dezinstalacja
6.1.1.5
Reguły
..................................................................................187
i grupy
........................................................................253
produktu
6.1.3.2.11 Aktywacja
Spis treści
dziennika programu SysInspector
6.1.3.2.12 Żądanie........................................................................255
6.1.7.2
........................................................................257
pliku poddanego kwarantannie
6.1.3.2.13 Przesyłanie
zestawów uprawnień
6.1.7.2.1 Kreator........................................................................332
........................................................................259
bazy sygnatur wirusów
6.1.3.2.14 Aktualizacja
........................................................................333
zestawami uprawnień
aktualizacji bazy sygnatur wirusów
6.1.3.2.15 Cofanie........................................................................261
6.1.8
Ustawienia
..............................................................................334
serwera
........................................................................263
komunikatów
6.1.3.2.16 Wyświetlanie
6.1.9
Zarządzanie
..............................................................................334
licencjami
........................................................................265
funkcji Anti-Theft
6.1.3.2.17 Działanie
6.1.9.1
Aktywacja
..................................................................................337
........................................................................268
urządzenia
6.1.3.2.18 Rejestracja
........................................................................281
zarządzania (odinstalowanie agenta ERA)
6.1.3.2.19 Zatrzymanie
Zestawy
..................................................................................331
uprawnień
7. Narzędzie
.......................................................341
diagnostyczne
6.1.3.3
Eksportowanie
..................................................................................284
konfiguracji zarządzanych produktów
6.1.3.4
Przypisywanie
..................................................................................286
zadania do grupy
8. Słowniczek
.......................................................342
6.1.3.5
Przypisywanie
..................................................................................287
zadań do komputerów
8.1 Typy
....................................................................................................342
infekcji
6.1.3.6
Planowanie
..................................................................................289
zadania
8.1.1
Wirusy
..............................................................................342
6.1.3.7
Elementy
..................................................................................291
wyzwalające
8.1.2
Robaki
..............................................................................342
6.1.4
Zadania
..............................................................................291
serwera
8.1.3
Konie
..............................................................................343
trojańskie
6.1.4.1
Kreator
..................................................................................291
zadań serwera
8.1.4
Programy
..............................................................................343
typu rootkit
6.1.4.2
Zarządzanie
..................................................................................292
zadaniami serwera
8.1.5
Adware
..............................................................................344
........................................................................292
agenta
6.1.4.2.1 Wdrażanie
8.1.6
Spyware
..............................................................................344
Generowanie
........................................................................297
raportów
8.1.7
Potencjalnie
..............................................................................344
niebezpieczne aplikacje
6.1.4.2.3
Synchronizacja
........................................................................300
grupy statycznej
8.1.8
Potencjalnie
..............................................................................345
niepożądane aplikacje
6.1.4.2.4
Synchronizacja grupy statycznej — komputery z
systemem
........................................................................301
Linux
6.1.4.3
Planowanie
..................................................................................302
zadania serwera
6.1.4.4
Ponowne użycie elementu wyzwalającego w zadaniu
serwera
..................................................................................302
6.1.4.5
Elementy
..................................................................................303
wyzwalające
6.1.4.2.2
........................................................................304
6.1.4.5.1 Ograniczanie
........................................................................307
czułość elementu wyzwalającego
6.1.4.5.1.1 Zbyt wysoka
6.1.4.5.2
Kreator........................................................................308
elementu wyzwalającego serwera
6.1.4.5.3
Zarządzanie
........................................................................309
elementami wyzwalającymi serwera
wyzwalający jest aktywowany zbyt często
6.1.4.5.3.1 Element........................................................................310
........................................................................311
CRON
6.1.4.5.3.2 Wyrażenie
6.1.4.5.4
Zarządzanie
........................................................................311
czułością elementów wyzwalających
6.1.5
Powiadomienia
..............................................................................313
6.1.5.1
Kreator
..................................................................................314
powiadomień
6.1.5.2
Zarządzanie
..................................................................................317
powiadomieniami
6.1.5.3
Konfigurowanie
..................................................................................319
usługi SNMP Trap
6.1.6
Certyfikaty
..............................................................................321
6.1.6.1
Certyfikaty
..................................................................................321
równorzędne
6.1.6.1.1 Tworzenie nowego certyfikatu z użyciem urzędu
certyfikacji
........................................................................322
ERA
6.1.6.1.2
Tworzenie nowego certyfikatu z użyciem
niestandardowego
........................................................................323
urzędu certyfikacji
6.1.6.2
Urzędy
..................................................................................323
certyfikacji
........................................................................324
nowego urzędu certyfikacji
6.1.6.2.1 Tworzenie
6.1.7
Uprawnienia
..............................................................................325
dostępu
6.1.7.1
Użytkownicy
..................................................................................325
6.1.7.1.1 Kreator zmapowanych grup domen z
zabezpieczeniami
........................................................................326
6.1.7.1.2
Kreator........................................................................327
użytkowników macierzystych
6.1.7.1.3
Tworzenie
........................................................................328
użytkownika macierzystego
........................................................................329
nowego konta administratora
6.1.7.1.3.1 Tworzenie
6.1.7.1.4
Mapowanie grupy w ramach grupy domen z
zabezpieczeniami
........................................................................329
6.1.7.1.5
Przypisywanie
........................................................................330
użytkownika do zestawu uprawnień
9. Często
.......................................................346
zadawane pytania
10. ESET
.......................................................349
Remote Administrator — informacje
11. Umowa Licencyjna Użytkownika Końcowego
.......................................................350
(EULA)
1. Wprowadzenie
ESET Remote Administrator (ERA) to aplikacja umożliwiająca zarządzanie produktami firmy ESET na klienckich
stacjach roboczych, serwerach i urządzeniach mobilnych w środowisku sieciowym z jednej lokalizacji centralnej.
Dzięki wbudowanemu systemowi zarządzania zadaniami dostępnemu w programie ESET Remote Administrator
można instalować rozwiązania zabezpieczające firmy ESET na komputerach zdalnych i szybko reagować na nowe
problemy i zagrożenia.
Sam program ESET Remote Administrator nie zapewnia ochrony przed szkodliwym kodem. Ochrona środowiska
użytkownika zależy od zainstalowanego na stacjach roboczych, serwerach lub urządzeniach mobilnych rozwiązania
zabezpieczającego firmy ESET, takiego jak ESET Endpoint Security czy ESET File Security dla systemu Microsoft
Windows Server.
W rozwiązaniu ESET Remote Administrator 6 zastosowano dwie główne zasady:
1. Scentralizowane zarządzanie — możliwość skonfigurowania całej sieci oraz zarządzania nią i monitorowania jej
działania z jednego miejsca.
2. Skalowalność — system można wdrażać zarówno w niewielkich sieciach, jak i w wielkich środowiskach
firmowych. Rozszerzanie (skalowanie) systemu umożliwia łatwe dostosowywanie go do rozwoju infrastruktury
użytkownika.
Na stronach pomocy programu ESET Remote Administrator można znaleźć wyczerpujący podręcznik użytkownika
dotyczący administracji. Na początek zalecamy zapoznanie się z często używanymi elementami oprogramowania
ESET Remote Administrator:
Architektura programu ESET Remote Administrator
Procedury instalacji i Procedury wdrażania
Wdrożenie agenta przy użyciu obiektu GPO lub programu SCCM
Pierwsze kroki po zainstalowaniu programu ESET Remote Administrator
Zapoznanie się z konsolą internetową ERA
Praca z programem ESET Remote Administrator
Administracja
Narzędzie do obsługi migracji
1.1 Funkcje
W wersji 6 dostępne są następujące nowe funkcje i możliwości:
Niezależność od platformy — serwer ERA działa zarówno w systemie Windows, jak i Linux!
Dostęp do konsoli internetowej ERA — głównego interfejsu użytkownika w programie ESET Remote
Administrator — uzyskiwany jest przy użyciu przeglądarki internetowej. Umożliwia to łatwą obsługę programu z
dowolnego miejsca i dowolnego urządzenia.
Panel kontrolny z pełną gamą ustawień, umożliwiający szczegółowy wgląd w stan zabezpieczeń sieci, a także
sekcja Administrator w konsoli internetowej ESET Remote Administrator (konsoli internetowej ERA) to
zaawansowane i przyjazne dla użytkownika narzędzia do zarządzania produktami firmy ESET.
Powiadomienia z ważnymi informacjami przekazywane w czasie rzeczywistym oraz raporty umożliwiają wygodne
sortowanie danych różnego typu do użytku w przyszłości.
6
1.2 Architektura
Aby przeprowadzić całkowite wdrożenie pakietu rozwiązań zabezpieczających firmy ESET, należy zainstalować
następujące komponenty (platforma Windows):
Serwer ERA
Baza danych ERA
Konsola internetowa ERA
Agent ERA
Aby przeprowadzić całkowite wdrożenie pakietu rozwiązań zabezpieczających firmy ESET, należy zainstalować
następujące komponenty (platforma Linux):
Serwer ERA
Agent ERA
Wymienione niżej komponenty pomocnicze są opcjonalne. Zalecamy zainstalowanie ich w celu osiągnięcia
optymalnej wydajności oprogramowania w sieci:
Serwer proxy ERA
RD Sensor
Moduł zarządzania urządzeniami mobilnymi
Serwer proxy Apache HTTP
7
1.2.1 Serwer
ESET Remote Administrator Server to aplikacja wykonawcza przetwarzająca wszystkie dane otrzymywane od
klientów nawiązujących połączenia z serwerem (za pośrednictwem agenta ERA). Aby poprawnie przetwarzać dane,
serwer wymaga stabilnego połączenia z serwerem bazy danych, gdzie dane sieciowe są przechowywane. W celu
uzyskania wyższej wydajności zalecane jest zainstalowanie serwera bazy danych na innym komputerze.
8
1.2.2 Konsola internetowa
Konsola internetowa ERA to oparty na Internecie interfejs użytkownika, umożliwiający zarządzanie rozwiązaniami
zabezpieczającymi firmy ESET, używanymi w środowisku użytkownika. Umożliwia wyświetlanie podsumowania
stanu klientów w danej sieci i może być używana do zdalnego wdrażania rozwiązań ESET na niezarządzanych
komputerach. Dostęp do konsoli internetowej uzyskiwany jest przy użyciu przeglądarki internetowej (patrz
Obsługiwane przeglądarki internetowe). Jeśli zdecydujesz się, by serwer sieciowy był dostępny przez Internet,
możesz używać programu ESET Remote Administrator z praktycznie dowolnego miejsca, za pomocą dowolnego
urządzenia.
1.2.3 Agent
Agent to podstawowy element w oprogramowaniu ESET Remote Administrator. Klienty nie komunikują się
bezpośrednio z serwerem. Komunikacja ta odbywa się za pośrednictwem agenta. Agent gromadzi informacje
pozyskiwane od klienta i wysyła je do serwera ERA. Gdy serwer ERA wysyła zadanie do klienta, przesyła je do
agenta, po czym agent przekazuje to zadanie do klienta.
W celu uproszczenia wdrażania rozwiązań do ochrony punktów końcowych do pakietu ERA (od wersji 6) dołączany
jest samodzielny agent ERA. Jest to prosta usługa modułowa, która nie wymaga wielu zasobów, obsługująca całość
komunikacji pomiędzy serwerem ERA a dowolnymi produktami firmy ESET oraz systemami operacyjnymi. Zamiast
komunikować się bezpośrednio z serwerem ERA, produkty firmy ESET komunikują się za pośrednictwem agenta.
Komputery klienckie z zainstalowanym agentem ESET, które są w stanie komunikować się z serwerem ERA,
nazywane są komputerami „zarządzanymi”. Agenta można zainstalować na dowolnym komputerze, niezależnie od
tego, czy zainstalowano na nim inne oprogramowanie firmy ESET.
9
Wiążą się z tym następujące korzyści:
Łatwość konfiguracji — możliwe jest wdrożenie agenta w ramach standardowej instalacji korporacyjnej.
Zarządzanie zabezpieczeniami na miejscu — w związku z tym, że agenta można skonfigurować tak, aby
przechowywał wiele scenariuszy zabezpieczeń, czas reakcji na zagrożenie ulega znacznemu skróceniu.
Zarządzanie zabezpieczeniami w trybie offline — agent może zareagować na zdarzenie, nawet gdy nie jest
połączony z serwerem ERA.
1.2.4 Serwer proxy
Serwer proxy ERA to komponent serwerowy w wersji okrojonej. Zastosowanie serwera tego typu zapewnia znaczną
skalowalność. Serwer proxy ERA umożliwia koncentrowanie ruchu generowanego przez agenty klientów. Umożliwia
wielu agentom łączenie się z serwerem proxy ERA, który następnie dystrybuuje ruch, przekazując go do serwera
ERA. Dzięki temu możliwe jest optymalizowanie zapytań do bazy danych. Serwer proxy ERA może również łączyć się
z innymi serwerami proxy, a następnie z serwerem ERA. Wszystko zależy od środowiska sieciowego i konfiguracji
sieci.
Serwer proxy ERA kontroluje również pasywną dystrybucję danych konfiguracyjnych (takich jak grupy, reguły,
zadania itp.) wśród agentów. Takie przekazywanie odbywa się bez udziału serwera ERA.
Jedynym sposobem skonfigurowania serwera proxy ERA (i wszystkich innych komponentów) jest wysłanie reguły z
serwera ERA. Oznacza to, że w celu przekazania konfiguracji z serwera ERA do komponentu serwera proxy ERA na
komputerze z serwerem proxy ERA musi być zainstalowany agent.
UWAGA: Nie jest możliwe nawiązanie bezpośredniego połączenia pomiędzy serwerem ERA a serwerem proxy ERA
bez udziału agenta.
10
Serwer proxy ERA to jeden z komponentów programu ESET Remote Administrator, który służy do realizacji dwóch
celów. W przypadku sieci średniej wielkości lub sieci firmowej z wieloma klientami (na przykład od 10 000 klientów
wzwyż) można korzystać z serwera proxy ERA w celu dystrybuowania obciążeń pomiędzy wieloma serwerami proxy
ERA, co umożliwia odciążenie głównego serwera ERA. Kolejną zaletą serwera proxy ERA jest to, że można go użyć w
celu nawiązania połączenia ze zdalnym biurem oddziału, w którym dostępne jest słabe łącze. Oznacza to, że agent
ERA na każdym z klientów nie łączy się z bezpośrednio z głównym serwerem ERA, korzystając zamiast tego z serwera
proxy ERA, który znajduje się w tej samej sieci lokalnej co dane biuro oddziału. Taka konfiguracja zapewnia lepszą
komunikację z biurem oddziału. Serwer proxy ERA przyjmuje połączenia ze wszystkich lokalnych agentów ERA,
kompiluje pobrane od nich dane i przesyła je do głównego serwera ERA (lub do innego serwera proxy ERA).
Umożliwia to umieszczenie w sieci większej liczby klientów bez obniżenia sprawności działania sieci oraz jakości
kwerend bazy danych.
Aby serwer proxy ERA funkcjonował poprawnie, komputer, na którym zainstalowany jest serwer proxy ERA, musi
mieć zainstalowanego agenta ESET i być połączony z wyższym poziomem sieci (serwerem ERA lub wyższym w
hierarchii serwerem proxy ERA, jeśli taki istnieje).
UWAGA: Zapoznaj się ze scenariuszem wdrożenia serwera proxy ERA.
1.2.5 Rogue Detection Sensor
Rogue Detection Sensor (RD Sensor) to narzędzie systemowe do wykrywania komputerów w sieci użytkownika.
Narzędzie RD Sensor stanowi udogodnienie, ponieważ umożliwia zlokalizowanie nowych komputerów w programie
ESET Remote Administrator bez konieczności ich ręcznego wyszukiwania i dodawania. Wykryte urządzenia są
natychmiast lokalizowane i uwzględniane we wstępnie zdefiniowanym raporcie, co umożliwia przeniesienie ich do
określonych grup statycznych i przystąpienie do realizowania w odniesieniu do nich zadań związanych z
zarządzaniem.
Działanie narzędzia RD Sensor opiera się na nasłuchu pasywnym, co umożliwia wykrywanie komputerów
znajdujących się w sieci oraz wysyłanie informacji o nich do serwera ERA. Serwer ERA dokonuje następnie oceny, czy
komputery znalezione w sieci są nieznane na serwerze ERA, czy może są już obsługiwane.
11
Każdy komputer w ramach struktury sieci (domeny, usługi LDAP, sieci Windows) zostaje automatycznie dodany do
listy komputerów na serwerze ERA przy użyciu zadania synchronizacji serwera. Korzystanie z narzędzia RD Sensor to
wygodny sposób wyszukiwania komputerów, które nie znajdują się w domenie ani innej strukturze sieci, oraz
dodawania ich do serwera ESET Remote Administrator. Wykryte komputery są zapamiętywane w narzędziu RD
Sensor i te same informacje nie są wysyłane ponownie.
1.2.6 Moduł zarządzania urządzeniami mobilnymi
Moduł zarządzania urządzeniami mobilnymi to aplikacja umożliwiająca zarządzanie urządzeniami mobilnymi oraz
administrowanie programem ESET Endpoint Security dla systemu Android.
12
1.2.7 Scenariusze wdrożenia
W następnych rozdziałach omówione zostaną scenariusze wdrożenia w różnych środowiskach sieciowych.
Szczegółowe instrukcje można znaleźć w odpowiednim rozdziale:
Pojedynczy serwer (małe firmy)
Wysoka dostępność (środowisko firmowe)
Odległe oddziały z serwerami proxy
1.2.7.1 Pojedynczy serwer (małe firmy)
Do zarządzania niewielkimi sieciami (liczącymi nie więcej niż 1000 klientów) wystarczającym rozwiązaniem jest
zwykle jeden komputer z zainstalowanym serwerem ERA oraz wszystkimi jego komponentami (dostarczonym
serwerem internetowym, bazą danych itd.). Można postrzegać to rozwiązanie jako pojedynczy serwer lub
samodzielną instalację. Wszystkie zarządzane klienty łączą się bezpośrednio z serwerem ERA przy użyciu agenta ERA.
Administrator może łączyć się z konsolą internetową ERA przy użyciu przeglądarki internetowej z dowolnego
komputera w sieci lub może uruchamiać konsolę internetową bezpośrednio na serwerze ERA.
13
1.2.7.2 Odległe oddziały z serwerami proxy
W średniej wielkości sieci (liczącej przykładowo 10 000 klientów) dodawana jest dodatkowa warstwa składająca się z
serwerów proxy ERA. Agenty ERA są połączone z serwerem proxy ERA, a powodem włączenia serwera proxy ERA
może być słabe łącze z odległą placówką (biuro oddziału). Nadal jednak możliwe jest bezpośrednie łączenie się
agentów ERA (zlokalizowanych w odległym oddziale) z głównym serwerem.
14
1.2.7.3 Wysoka dostępność (środowisko firmowe)
W przypadku środowisk firmowych (liczących na przykład 100 000 klientów) należy zastosować dodatkowe
komponenty oprogramowania ERA. Jednym z nich jest narzędzie RD Sensor, ułatwiające przeszukiwanie sieci i
wykrywanie nowych komputerów. Kolejnym elementem dodatkowym jest warstwa serwerów proxy ERA. Agenty
ERA są połączone z serwerem proxy ERA, co pozwala zrównoważyć obciążenia na serwerze głównym, mającym
istotne znaczenie dla wydajności. W przypadku zastosowania takiej konfiguracji agenty ERA nadal są w stanie łączyć
się bezpośrednio z serwerem głównym. W celu zapewnienia nadmiarowości baza danych SQL jest również wdrożona
w klastrze trybu failover.
1.2.8 Przykłady wdrożenia w praktyce
W celu uzyskania najwyższej wydajności zalecamy korzystanie z serwera Microsoft SQL Server jako bazy danych
programu ESET Remote Administrator. Program ESET Remote Administrator jest wprawdzie zgodny z programem
MySQL, jednak korzystanie z programu MySQL może negatywnie wpływać na wydajność systemu podczas pracy ze
znacznymi ilościami danych związanych z panelami kontrolnymi, zagrożeniami i klientami. Ten sam sprzęt z
zainstalowanym programem Microsoft SQL Server jest w stanie obsłużyć około 10-krotnie większą liczbę klientów w
porównaniu do zastosowania programu MySQL.
Do celów testowych na każdym z klientów przechowywanych jest w bazie danych około 30 dzienników. Program
Microsoft SQL Server wykorzystuje znaczną ilość pamięci RAM do przechowywania bazy danych w lokalnej pamięci
podręcznej, zatem zalecane jest udostępnienie przynajmniej takiej ilości pamięci, jaką program Microsoft SQL Server
dysponuje na dysku.
15
Nie ma łatwego sposobu na precyzyjne obliczenie ilości zasobów wykorzystywanych przez program ESET Remote
Administrator, ponieważ stopień wykorzystania zasobów różni się w zależności od konfiguracji sieci. Poniżej
widoczne są wyniki testów przeprowadzonych w często stosowanych konfiguracjach sieci:
Przypadek testowy — maksymalnie 5000 klientów łączących się z serwerem ERA
Przypadek testowy — maksymalnie 100 000 klientów łączących się z serwerem ERA
W celu uzyskania konfiguracji optymalnie dostosowanej do potrzeb użytkownika zalecamy przeprowadzenie testów
na mniejszej liczbie klientów i mniej wydajnym sprzęcie oraz ustalenie wymogów systemowych na podstawie
wyników tych testów.
PRZYPADEK TESTOWY (5000 KLIENTÓW)
Sprzęt/oprogramowanie
Windows Server 2003 R2, architektura procesora x86
Microsoft SQL Server Express 2008 R2
Intel Core 2 Duo E8400, 3 GHz
3 GB pamięci RAM
Seagate Barracuda 7200 obr./min, 500 GB, 16 MB pamięci podręcznej, SATA 3,0 Gb/s
Wyniki
Konsola internetowa ERA reaguje bardzo szybko (w czasie krótszym niż 5 s)
Zużycie pamięci:
o Apache Tomcat 200 MB
o Serwer ERA 200 MB
o Baza danych SQL Server 1 GB
Wydajność replikacji serwera: 10 replikacji na sekundę
Rozmiar bazy danych na dysku: 1 GB (5000 klientów, z których każdy przechowuje w bazie danych 30 dzienników)
W tym przykładzie testowano program SQL Server Express 2008 R2. Pomimo pewnych ograniczeń (baza danych o
pojemności 10 GB, 1 procesor i 1 GB wykorzystywanej pamięci RAM), ta konfiguracja działała skutecznie i wydajnie.
W przypadku serwerów, na których liczba klientów nie przekracza 5000 zalecane jest używanie programu SQL Server
Express. Początkowo można wdrożyć program SQL Server Express, a następnie uaktualnić go do programu Microsoft
SQL Server (pełna wersja), gdy pojawi się potrzeba powiększenia bazy danych. Należy pamiętać, że w starszych
wersjach programu Express (wcześniejszych niż 2008 R2) wielkość bazy danych na dysku jest ograniczona do 4 GB.
Wydajność replikacji serwera definiuje interwał replikacji dla poszczególnych klientów. W przypadku 10 replikacji na
sekundę mamy do czynienia z 600 replikacjami na minutę. Zatem w sytuacji idealnej interwał replikacji na wszystkich
5000 klientów należałoby ustawić na 8 minut, jednak spowodowałoby to 100-procentowe obciążenie serwera,
dlatego w tym przypadku potrzebny jest dłuższy interwał. W omawianym przykładzie zalecany interwał replikacji to
20–30 minut.
PRZYPADEK TESTOWY (100 000 KLIENTÓW)
Sprzęt/oprogramowanie
Windows Server 2012 R2 Datacenter, architektura procesora x64
Microsoft SQL Server 2012
Intel Xeon E5-2650v2, 2,60 GHz
64 GB pamięci RAM
Karta sieciowa Intel NIC/PRO/1000 PT Dual
2 dyski SSD Micron RealSSD C400 o pojemności 256 GB (jeden do obsługi systemu i oprogramowania, drugi na pliki
bazy danych SQL Server)
16
Wyniki
Konsola internetowa reaguje szybko (w czasie krótszym niż 30 s)
Zużycie pamięci:
o Apache Tomcat 1 GB
o Serwer ERA 2 GB
o Baza danych SQL Server 10 GB
Wydajność replikacji serwera: 80 replikacji na sekundę
Rozmiar bazy danych na dysku: 10 GB (100 000 klientów, z których każdy przechowuje w bazie danych 30
dzienników)
W tym przypadku postanowiliśmy zainstalować wszystkie komponenty (Apache Tomcat z konsolą sieciową, serwer
ERA, serwer SQL) na jednym komputerze, by przetestować wydajność serwera ERA.
Duża liczba klientów spowodowała zwiększenie zużycia pamięci i dysku przez program Microsoft SQL Server. W celu
zapewnienia optymalnej wydajności serwer SQL korzysta z bazy danych przechowywanej niemal całkowicie w
pamięci podręcznej. Apache Tomcat (konsola internetowa) oraz serwer ERA również przechowują dane w pamięci
podręcznej, co wyjaśnia zwiększone wykorzystanie pamięci obserwowane w tym przykładzie.
Serwer ERA jest w stanie obsłużyć 80 replikacji na sekundę (288 000 na godzinę), zatem w sytuacji idealnej interwał
replikacji na wszystkich 100 000 klientów należałoby ustawić na co około 30 minut (przekłada się to na obciążenie
wynoszące 200 000 replikacji na godzinę), jednak spowodowałoby to 100-procentowe obciążenie serwera, zatem
optymalny interwał replikacji w tym przypadku to 1 godzina (100 000 replikacji na godzinę).
Wykorzystanie danych sieciowych zależy od liczby dzienników gromadzonych na klientach. W tym teście wartość ta
wynosiła około 20 KB na replikację, zatem 80 replikacji na sekundę przekłada się na szybkość sieci rzędu 1600 KB/s
(20 Mb/s).
W tym przykładzie zastosowaliśmy scenariusz z jednym serwerem. Obciążenie procesora i sieci będzie rozłożone
lepiej w przypadku zastosowania wielu serwerów proxy ERA (im więcej, tym lepiej). Spowoduje to rozłożenie
zarówno obciążeń procesora, jak i obciążeń sieci związanych z obsługą replikacji klientów. Warto rozkładać
obciążenia sieci, szczególnie wówczas, gdy klienty znajdują się w odległych lokalizacjach. Wydajność interwału
replikacji serwerów proxy na serwerze można zwiększać poza godzinami pracy, gdy szybkość połączeń sieciowych z
odległych lokalizacji jest większa.
1.3 Obsługiwane produkty i języki
W ramach rozwiązania ESET Remote Administrator można wdrażać i aktywować następujące produkty ESET oraz
zarządzać nimi:
Możliwość zarządzania przy użyciu rozwiązania ESET Remote
Administrator 6
Wersja produktu
Metoda aktywacji
ESET Endpoint Security dla systemu Windows
6.x i 5.x
6.x — klucz licencyjny
5.x — nazwa użytkownika/hasło
ESET Endpoint Antivirus dla systemu Windows
6.x i 5.x
ESET Endpoint Security dla systemu OS X
ESET Endpoint Antivirus dla systemu OS X
ESET Endpoint Security dla systemu Android
ESET File Security dla systemu Windows Server
ESET File Security dla systemu Microsoft Windows Server
ESET NOD32 Antivirus 4 Business Edition dla systemu Mac OS X
ESET NOD32 Antivirus 4 Business Edition dla systemu Linux
Desktop
ESET Mail Security dla systemu Microsoft Exchange Server
ESET Mail Security dla IBM Lotus Domino
6.x
6.x
2.x
6.x
4.5.x
4.x
6.x — klucz licencyjny
5.x — nazwa użytkownika/hasło
Klucz licencyjny
Klucz licencyjny
Klucz licencyjny
Klucz licencyjny
Nazwa użytkownika/hasło
4.x
4.5.x
4.5.x
17
Możliwość zarządzania przy użyciu rozwiązania ESET Remote
Administrator 6
ESET Security dls systemu Microsoft Windows Server Core
ESET Security dla systemu Microsoft SharePoint Server
ESET Security dla serwera Kerio
ESET NOD32 Antivirus Business Edition
ESET Smart Security Business Edition
Wersja produktu
Metoda aktywacji
4.5.x
4.5.x
4.5.x
4.2.76
4.2.76
UWAGA: Produktami Windows Server w wersjach starszych niż te, które przedstawiono w powyższej tabeli nie
można obecnie zarządzać przy użyciu rozwiązania ESET Remote Administrator.
Obsługiwane języki
Nazwa
Angielski (Stany
Zjednoczone)
Arabski (Egipt)
Chiński uproszczony
Chiński tradycyjny
Chorwacki (Chorwacja)
Czeski (Czechy)
Francuski (Francja)
Francuski (Kanada)
Niemiecki (Niemcy)
Włoski (Włochy)
Japoński (Japonia)
Koreański (Korea)
Polski (Polska)
Portugalski (Brazylia)
Rosyjski (Rosja)
Hiszpański (Chile)
Hiszpański (Hiszpania)
Słowacki (Słowacja)
18
Kod
en-US
ar-EG
zh-CN
zh-TW
hr-HR
cs-CZ
fr-FR
fr-FC
de-DE
it-IT
ja-JP
ko-KR
pl-PL
pt-BR
ru-RU
es-CL
es-ES
sk-SK
2. Wymagania systemowe
Zainstalowanie programu ESET Remote Administrator jest uwarunkowane spełnieniem wymagań wstępnych
związanych ze sprzętem, bazą danych i oprogramowaniem.
2.1 Sprzęt
Aby zapewnić bezproblemowe działanie programu ESET Remote Administrator, komputer powinien spełniać
następujące wymagania dotyczące sprzętu:
Pamięć
Dysk twardy
Procesor
Połączenie sieciowe
4 GB pamięci RAM
Co najmniej 20 GB wolnego miejsca
Dwurdzeniowy, o częstotliwości taktowania co
najmniej 2,0 GHz
1 Gb/s
2.2 Baza danych
Program ESET Remote Administrator obsługuje dwa typy serwerów baz danych:
Microsoft SQL Server (w tym edycje Express i inne niż Express) 2008, 2008 R2, 2012, 2014
MySQL (wersja 5.5 i nowsze)
Można określić serwer bazy danych, który ma zostać użyty podczas instalowania serwera lub serwera proxy.
Domyślnie instalowany jest serwer Microsoft SQL Server 2008 R2 Express, który stanowi element pakietu
instalacyjnego. Należy pamiętać, że program Microsoft SQL Server 2008 R2 Express ma ograniczenie wielkości bazy
danych do 10 GB i nie można go zainstalować na kontrolerze domeny. Jeśli na przykład używany jest system
Microsoft SBS, zalecamy zainstalowanie programu ESET Remote Administrator na innym serwerze lub niewybieranie
komponentu SQL Server Express podczas instalacji (wiąże się to z koniecznością uruchomienia bazy danych ERA na
istniejącym serwerze SQL lub MySQL).
Jeśli użytkownik zdecyduje się na korzystanie z serwera Microsoft SQL Server, najwcześniejszą z obsługiwanych jego
wersji jest Microsoft SQL Server 2008. Można użyć istniejącego serwera Microsoft SQL Server uruchomionego w
danym środowisku, jednak musi on spełniać wymagania minimalne.
UWAGA: Na serwerze ERA oraz na serwerze proxy ERA nie jest stosowana zintegrowana funkcja tworzenia kopii
zapasowej, w związku z czym zalecane jest tworzenie kopii zapasowej bazy danych serwera w celu uniknięcia utraty
danych.
Wymagania sprzętowe dotyczące serwera bazy danych:
Pamięć
Dysk twardy
Szybkość procesora
Typ procesora
1 GB pamięci RAM
Co najmniej 10 GB wolnego miejsca
Procesor x86: 1,0 GHz
Procesor x64: 1,4 GHz
Uwaga: W celu uzyskania optymalnej wydajności zalecane jest użycie procesora
o częstotliwości taktowania 2,0 GHz lub wyższej.
Procesor x86: Procesor zgodny z architekturą Pentium III lub procesor o wyższej
wydajności
Procesor x64: AMD Opteron, AMD Athlon 64, Intel Xeon z obsługą architektury
Intel EM64T, Intel Pentium IV z obsługą architektury EM64T
19
2.3 Obsługiwane systemy operacyjne
W poniższej części podano, które wersje systemów operacyjnych Windows, Linux i Mac OS są obsługiwane przez
poszczególne komponenty oprogramowania ESET Remote Administrator.
2.3.1 System Windows
W poniższej tabeli wymieniono systemy operacyjne obsługiwane przez poszczególne komponenty programu ESET
Remote Administrator. Istnieje również możliwość zainstalowania serwera ERA, serwera proxy ERA oraz serwera
MDM na klienckim systemie operacyjnym (*Microsoft Windows 7, 8, 8.1), jednak można to zrobić wyłącznie do
celów ewaluacyjnych.
System operacyjny
Serwer
Agent
Serwer proxy
RD Sensor
Windows XP x86 SP3
Windows XP x64 SP2
X
X
X
X
Windows Vista x86 SP2
Windows Vista x64 SP2
X
X
X
X
MDM
Windows 7 x86 SP1
Windows 7 x64 SP1
*
*
X
X
*
*
X
X
*
*
Windows 8 x86
Windows 8 x64
*
*
X
X
*
*
X
X
*
*
Windows 8.1 x86
Windows 8.1 x64
*
*
X
X
*
*
X
X
*
*
Windows HomeServer 2003 SP2
Windows HomeServer 2011 x64
X
X
X
X
Windows Server 2003 x86 SP2
Windows Server 2003 x86 R2 SP2
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Windows Server 2008 x64 R2 CORE
Windows Server 2008 x86
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Windows Server 2012 x64 CORE
Windows Server 2012 x64 R2
Windows Server 2012 x64 R2 CORE
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Microsoft SBS 2003 x86 SP2 **
Microsoft SBS 2003 x86 R2 **
Microsoft SBS 2008 x64
Microsoft SBS 2008 x64 SP2 **
Microsoft SBS 2011 x64 Standard
Microsoft SBS 2011 x64 Essential
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
20
X
X
X
X
X
X
X
X
X
X
X
X
X
* Komponenty ERA uruchamiane na klienckich systemach operacyjnych (wyłącznie do celów ewaluacyjnych).
** Program Microsoft SQL Server Express dołączony do systemu Microsoft Small Business Server (SBS) nie jest
obsługiwany przez oprogramowanie ESET Remote Administrator. Aby uruchomić bazę danych ERA w systemie SBS,
należy użyć nowszej wersji programu Microsoft SQL Server. Więcej szczegółowych informacji oraz instrukcje można
znaleźć w części Instalacja w systemie Windows SBS/Essentials.
W starszych systemach, takich jak Windows Server 2003, szyfrowanie protokołów może nie być w pełni obsługiwane
po stronie systemu operacyjnego. W związku z tym zamiast szyfrowania TLS w wersji 1.2 używane jest w nich
szyfrowanie TLS w wersji 1.0 (wersję TLS 1.0 uznaje się za mniej bezpieczną od nowszych wersji). Taka sytuacja może
również mieć miejsce, gdy system operacyjny obsługuje szyfrowanie TLS w wersji 1.2, ale nie obsługuje go klient. W
takim przypadku komunikacja jest szyfrowana przy użyciu protokołu TLS w wersji 1.0. Jeśli konieczne jest
zwiększenie bezpieczeństwa komunikacji, zalecane jest korzystanie z nowszych systemów operacyjnych na
serwerach i klientach (system Windows Server 2008 R2 i nowsze wersje w przypadku serwerów oraz system
Windows Vista i nowsze w przypadku klientów).
UWAGA: W systemie operacyjnym na komputerze można zainstalować program , a następnie wdrożyć urządzenie
wirtualne. Umożliwi to uruchamianie programu ESET Remote Administrator w nieserwerowym systemie
operacyjnym bez konieczności korzystania z oprogramowania ESXi.
21
2.3.2 System Linux
System operacyjny
Serwer
Agent
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
CentOS 5 x86
CentOS 5 x64
CentOS 6 x86
CentOS 6 x64
CentOS 7 x86
CentOS 7 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
SLED 11 x86
SLED 11 x64
SLES 11 x86
SLES 11 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
OpenSUSE 13 x86
OpenSUSE 13 x64
X
X
X
X
X
X
X
X
X
X
Debian 7 x86
Debian 7 x64
X
X
X
X
X
X
X
X
X
X
Fedora 19 x86
Fedora 19 x64
Fedora 20 x86
Fedora 20 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Ubuntu 12.04 LTS x86 Desktop
Ubuntu 12.04 LTS x86 Server
RHEL 5 x86
RHEL 5 x64
RHEL Server 6 x86
RHEL Server 6 x64
RHEL Server 7 x86
RHEL Server 7 x64
Serwer proxy RD Sensor
MDM
2.3.3 OS X
System operacyjny
OS X 10.7 Lion
OS X 10.8 Mountain Lion
OS X 10.9 Mavericks
OS X 10.10 Yosemite
Agent
X
X
X
X
UWAGA: System OS X jest obsługiwany wyłącznie w charakterze klienta. Nie można zainstalować serwera ERA w
systemie OS X.
22
2.4 Używane porty
W poniższych tabelach przedstawiono wszystkie możliwe porty komunikacji sieciowej używane, gdy w
infrastrukturze zainstalowane jest rozwiązanie ESET Remote Administrator oraz jego komponenty. Inne rodzaje
komunikacji są obsługiwane przez procesy zachodzące w macierzystym systemie operacyjnym (na przykład NetBIOS
przez TCP/IP).
Serwer ERA:
Protokół
Port
Użytkowanie
Opisy
TCP
2222
Nasłuchiwanie na serwerze ERA Komunikacja pomiędzy klientami a serwerem ERA
Server
Server
TCP
2223
Komunikacja pomiędzy konsolą ERA Web Console
Nasłuchiwanie na serwerze ERA
a serwerem ERA Server stosowana w ramach
Server
instalacji wspomaganej
UDP
1237
Transmisja
Sygnał wznowienia
Konsola internetowa ERA:
Protokół
Port
Sposób użycia
Opisy
TCP
2223
Konsola internetowa
TCP
443
Konsola internetowa HTTP SSL
Serwer proxy ERA:
Protokół
Port
Sposób użycia
Opisy
TCP
3128
Serwer proxy HTTP (buforowanie aktualizacji)
TCP
2222
Serwer proxy
Agent ERA:
Protokół
Port
Sposób użycia
Opisy
TCP
139
Port docelowy z punktu
widzenia serwera ERA Server
Korzystanie z udziału ADMIN$
TCP
445
Bezpośredni dostęp do zasobów udostępnionych
przy użyciu protokołu TCP/IP podczas zdalnej
instalacji (alternatywa dla portu TCP 139)
UDP
137
Rozpoznawanie nazwy podczas zdalnej instalacji
UDP
138
Przeglądanie podczas zdalnej instalacji
Moduł zarządzania urządzeniami mobilnymi:
Protokół
Port
Sposób użycia
Opisy
TCP
9980
Rejestracja urządzenia
mobilnego
Port rejestracji
TCP
9981
Komunikacja z rozwiązaniem
ERA
Komponent Moduł zarządzania urządzeniami
mobilnymi łączy się z serwerem ERA
Wstępnie zdefiniowane porty 2222 i 2223 można zmienić, jeśli są już używane przez inne aplikacje.
UWAGA: Żaden z powyższych portów nie może być używany przez inne aplikacje. Może to spowodować
23
nieprawidłowości w działaniu programu.
UWAGA: Należy pamiętać o skonfigurowaniu zapór w sieci tak, by umożliwić komunikację pomiędzy wymienionymi
wyżej portami.
24
3. Procedura instalacji
Instalację programu ESET Remote Administrator można przeprowadzić na kilka różnych sposobów. Wybierz typ
instalacji, który najbardziej odpowiada Twoim potrzebom i jest najwłaściwszy dla używanego środowiska.
Najprostszą metodą jest użycie instalatora programu ESET Remote Administrator (ERA) (pakietu do instalacji
kompleksowej), który umożliwia zainstalowanie programu ESET Remote Administrator oraz jego komponentów na
jednym komputerze. Instalacja komponentów umożliwia zainstalowanie różnych komponentów programu ESET
Remote Administrator na różnych komputerach. Ta metoda umożliwia swobodne dostosowanie instalacji — można
zainstalować każdy komponent na dowolnym komputerze pod warunkiem, że spełnia on wymogi systemowe.
Użytkownicy chcący uruchamiać program ERA w środowisku zwirtualizowanym mogą przeprowadzić wdrożenie na
urządzeniu wirtualnym.
Instalatory programu ESET Remote Administrator dostępne są w różnych formach. Dostępne są one w obszarze Pliki
do pobrania strony internetowej ESET w części Zdalne zarządzanie (kliknij znak +, by rozwinąć kategorię). W tym
miejscu możesz pobrać następujące elementy:
Pakiet instalacyjny programu ERA w postaci pliku zip
Odrębne instalatory dla każdego z komponentów
Urządzenie wirtualne (plik OVA)
Obraz ISO, zawierający wszystkie instalatory programu ESET Remote Administrator (w tym wymienione wyżej)
Aby zainstalować program ESET Remote Administrator, należy postępować według następujących kroków:
1. Upewnij się, że spełnione są wszystkie wymagania.
2. Możesz wybrać instalację pakietową (kompleksowy instalator rozwiązania ERA) lub instalację komponentów dla
systemu operacyjnego Windows lub Linux. Możesz również wykorzystać urządzenie wirtualne, wdrażając plik
OVA.
3. Pobierz odpowiedni plik instalacyjny, pakiet instalacyjny dla instalacji pakietowej lub osobne pliki instalacyjne
dla każdego komponentu, który chcesz zainstalować. Możesz również pobrać plik OVA lub obraz ISO urządzenia
wirtualnego, zawierający wszystkie pliki instalacyjne programu ESET Remote Administrator.
4. Przeprowadź instalację zgodnie z instrukcją instalacji opisaną w następnych rozdziałach.
5. W razie potrzeby zainstaluj opcjonalne komponenty (serwer proxy ERA, RD Sensor, Moduł zarządzania
urządzeniami mobilnymi).
Po zakończeniu procedury instalacji możesz się połączyć z serwerem ERA przy użyciu konsoli internetowej ERA i
rozpocząć pierwsze kroki jego konfiguracji, mającej na celu rozpoczęcie korzystania z programu ESET Remote
Administrator.
25
3.1 Instalacja pakietowa
Instalacja pakietowa serwera ERA (instalator kompleksowy) dostępna jest wyłącznie dla systemów operacyjnych
Windows i stanowi wygodny sposób instalacji wszystkich komponentów systemu ERA przy użyciu prostego kreatora
instalacji. Po uruchomieniu pakietu instalacyjnego użytkownik ma do wyboru dwie opcje:
Instalacja serwera Remote Administrator
Instalacja serwera proxy Remote Administrator
Instalacja serwera Remote Administrator
Skorzystaj z poniższych instrukcji, obejrzyj film instruktażowy dostępny w bazie wiedzy lub przeczytaj ten artykuł
bazy wiedzy, aby zapoznać się ze szczegółowymi instrukcjami dotyczącymi przeprowadzenia instalacji za pomocą
kompleksowego instalatora.
1. Aby rozpocząć instalację, dwukrotnie kliknij pakiet instalacyjny. Wybierz opcję Serwer Remote Administrator.
UWAGA: Jeśli rozwiązanie ERA ma zostać zainstalowane w środowisku klastra trybu failover, należy przeprowadzić
instalację komponentów.
2. Wybierz komponenty, które chcesz zainstalować. Jeśli nie posiadasz serwera bazy danych, możesz zainstalować
program Microsoft SQL Server 2008 R2 Express, który jest dołączony do pakietu instalacyjnego. Należy pamiętać,
że wielkość bazy danych w programie Microsoft SQL Server 2008 R2 Express jest ograniczona do 10 GB. Korzystając
z instalacji pakietowej można również zainstalować konsolę internetową ERA, moduł zarządzania urządzeniami
mobilnymi, serwer proxy Apache HTTP oraz komponent Rogue Detection Sensor.
3. Wpisz prawidłowy klucz licencyjny lub wybierz opcję Aktywuj później.
4. Jeśli korzystasz z bazy danych programu SQL Express, zostanie zweryfikowane połączenie z bazą danych i pojawi
się monit o wprowadzenie hasła do konsoli internetowej ERA (krok 8) oraz hasła do certyfikatu (krok 10).
5. Jeśli korzystasz z innego systemu bazy danych, wybierz konto użytkownika usługi. Konto to będzie używane do
uruchamiania Usługi ESET Remote Administrator. Dostępne opcje:
a. Konto usługi sieciowej
b. Określony użytkownik: DOMENA/UŻYTKOWNIK
6. Nawiąż połączenie z bazą danych. Tutaj przechowywane są wszystkie dane, od hasła do konsoli internetowej po
dzienniki komputerów klienckich.
a. Baza danych: MySQL/MS SQL
b. Sterownik ODBC: Sterownik MySQL ODBC 5.1/sterownik Unicode MySQL ODBC 5.2/SQL Server
c. Nazwa hosta: nazwa hosta lub adres IP serwera bazy danych
d. Port używany do połączenia z serwerem
e. Nazwa/hasło administratora bazy danych
W tym kroku następuje weryfikacja połączenia z bazą danych. Jeśli połączenie jest prawidłowe, można przejść do
następnego kroku.
7. Wybierz użytkownika programu ESET Remote Administrator, który ma dostęp do bazy danych. Możesz wybrać
istniejącego użytkownika lub utworzyć nowego.
8. Wprowadź hasło dostępu do konsoli internetowej.
9. Program ESET Remote Administrator do komunikacji między klientem a serwerem wykorzystuje certyfikaty.
Można wybrać własne certyfikaty lub stworzyć nowe certyfikaty za pomocą serwera.
10. Zdefiniuj hasło do urzędu certyfikacji. Należy zapamiętać to hasło! Aby utworzyć urząd certyfikacji dla
rozwiązania ESET Remote Administrator, kliknij przycisk Dalej. Można również wprowadzić informacje dodatkowe
dotyczące certyfikatu (nie jest to obowiązkowe). Pole Hasło urzędu może pozostać puste, jednak w przypadku
wprowadzenia hasła należy je zapamiętać.
11. Aby zainstalować serwer ERA, kliknij opcję Zainstaluj.
26
12. Po zakończeniu instalacji kliknij łącze wyświetlone w kreatorze instalacji, by uruchomić konsolę internetową
(zalecamy dodanie tego adresu URL do zakładek), a następnie kliknij opcję Zakończ.
UWAGA: Jeśli instalacja zakończy się z błędem 2068052081, rozwiązania można znaleźć w części Często zadawane
pytania.
Instalacja serwera proxy Remote Administrator
1. Uruchom pakiet instalacyjny. Wybierz opcję Serwer proxy Remote Administrator.
2. Wybierz komponenty, które chcesz zainstalować. Jeśli nie posiadasz serwera bazy danych, możesz zainstalować
program Microsoft SQL Server 2008 R2 Express, który jest dołączony do pakietu instalacyjnego. Należy pamiętać,
że wielkość bazy danych w programie Microsoft SQL Server 2008 R2 Express jest ograniczona do 10 GB. Przy użyciu
pakietu instalacyjnego można również zainstalować narzędzie RD Sensor.
3. Nawiąż połączenie z bazą danych:
b. Sterownik ODBC: sterownik MySQL ODBC 5.1/sterownik Unicode MySQL ODBC 5.2/SQL Server
c. Nazwa hosta: nazwa hosta lub adres IP serwera bazy danych
e. Nazwa/hasło administratora bazy danych
następnego kroku.
4. Wybierz port komunikacyjny serwera proxy. Domyślnie używany jest port 2222.
5. Skonfiguruj połączenie serwera proxy z programem ESET Remote Administrator. Wprowadź dane w polach Host
serwera (nazwa hosta/adres IP serwera) oraz Port serwera (2222).
6. Wybierz certyfikat równorzędny i podaj hasło do tego certyfikatu. Opcjonalnie możesz dodać urząd certyfikacji.
Jest to wymagane wyłącznie w przypadku niepodpisanych certyfikatów.
7. Opcjonalnie wybierz docelowy folder instalacji serwera proxy, a następnie kliknij opcję Zainstaluj.
8. Oprócz serwera proxy zostanie również zainstalowany agent ERA.
3.1.1 Instalacja w systemie Windows SBS/Essentials
Sprawdź, czy spełnione zostały wszystkie wymagania, a w szczególności sprawdź obsługiwane systemy operacyjne.
UWAGA: W niektórych starszych wersjach systemu Microsoft SBS dostępne są wersje programu Microsoft SQL Server
Express nieobsługiwane przez program ESET Remote Administrator:
Microsoft SBS 2003 x86 SP2
Microsoft SBS 2003 x86 R2
Microsoft SBS 2008 x64 SP2
Jeśli używasz którejś z wyżej wymienionych wersji systemu Windows Small Business Server, a chcesz zainstalować
bazę danych ERA w systemie Microsoft SBS, konieczne jest użycie nowszej wersji programu Microsoft SQL Server
Express.
o Jeśli program Microsoft SQL Express nie jest zainstalowany w używanym systemie SBS, wykonaj poniższe
działania.
o Jeśli program Microsoft SQL Express jest zainstalowany w systemie SBS, ale nie jest używany, odinstaluj go i
wykonaj poniższe działania.
o Jeśli używasz programu Microsoft SQL Server Express w wersji dostarczonej z systemem SBS, przeprowadź
migrację bazy danych do wersji programu SQL Express zgodnej z serwerem ERA. W tym celu wykonaj kopie
zapasowe baz danych, odinstaluj program Microsoft SQL Server Express i wykonaj poniższe działania w celu
zainstalowania zgodnej wersji programu Microsoft SQL Server Express i w razie potrzeby przywróć bazy danych.
27
1. Pobierz pakiet instalacyjny programu ERA dostępny w postaci spakowanej w obszarze Pliki do pobrania strony
internetowej ESET w części Zdalne zarządzanie (kliknij znak +, by rozwinąć kategorię).
2. Rozpakuj plik instalacyjny pobrany w kroku pierwszym, otwórz folder instalacyjny i dwukrotnie kliknij pozycję
SQLEXPR_x64_ENU.
Zostanie uruchomione centrum instalacyjne. Kliknij pozycję Nowa instalacja lub Dodaj funkcje do istniejącej
instalacji, aby uruchomić kreatora instalacji.
UWAGA: W kroku 8 procedury instalacji w pozycji Tryb uwierzytelniania wybierz opcję Tryb mieszany
(Uwierzytelnianie programu SQL Server i Uwierzytelnianie Windows).
UWAGA: Aby zainstalować serwer ERA w systemie SBS, należy zezwolić na połączenia TCP/IP z programem SQL
Server.
3. Zainstaluj program ESET Remote Administrator, otwierając plik Setup.exe.
28
4. Wybierz komponenty, które chcesz zainstalować, odznacz pozycję Microsoft SQL Server Express i kliknij opcję
Zainstaluj.
29
3.2 Baza danych
W programie ESET Remote Administrator baza danych służy do zapisywania danych klientów. W kolejnych sekcjach
znajdują się szczegółowe informacje dotyczące instalacji, tworzenia kopii zapasowej, uaktualniania oraz migracji
bazy danych serwera ERA i serwera proxy ERA:
Należy sprawdzić zgodność bazy danych oraz wymagania systemowe serwera ERA.
Jeśli baza danych nie została skonfigurowana do użytku z serwerem ERA, do instalatora dołączony jest program
Microsoft SQL Server Express.
Jeśli używasz systemu Microsoft Small Business Server (SBS) lub Essentials, zalecamy sprawdzenie czy spełnione
są wszystkie wymagania i czy korzystasz z obsługiwanego systemu operacyjnego. Jeśli spełnione są wszystkie
wymagania, należy postępować zgodnie z instrukcjami dotyczącymi instalacji dla systemu Windows SBS/
Essentials, aby zainstalować serwer ERA na tych systemach operacyjnych.
Jeśli w systemie zainstalowany jest program Microsoft SQL Server, sprawdź wymagania, by upewnić się, że ta
wersja programu Microsoft SQL Server jest obsługiwana przez program ESET Remote Administrator. Jeśli używana
wersja programu Microsoft SQL Server nie jest obsługiwana, uaktualnij program SQL Server do zgodnej wersji.
3.2.1 Kopia zapasowa serwera baz danych
Wszystkie informacje i ustawienia dotyczące programu ESET Remote Administrator przechowywane są w bazie
danych. Aby uniknąć utraty danych, zalecamy regularne tworzenie kopii zapasowych bazy danych. Spośród sekcji
znajdujących się poniżej należy skorzystać z tej, która odpowiada używanej bazie danych:
MySQL
SQL Server
Kopię zapasową można również utworzyć w późniejszym terminie, podczas migracji programu ESET Remote
Administrator na nowy serwer.
Jeśli chcesz przywrócić kopię zapasową bazy danych, postępuj według poniższych instrukcji:
MySQL
SQL Server
3.2.2 Uaktualnienie serwera baz danych
Aby uaktualnić używaną instancję programu Microsoft SQL Server obsługującego bazę danych serwera ERA lub
serwera proxy ERA do nowszej wersji, wykonaj poniższe instrukcje:
1. Zatrzymaj wszystkie uruchomione usługi serwera ERA lub serwera proxy ERA wymagające połączenia z serwerem
baz danych, który zamierzasz uaktualnić. Ponadto zatrzymaj wszystkie inne aplikacje, które mogą łączyć się z
używaną instancją programu Microsoft SQL Server.
2. Zanim przejdziesz do dalszych działań wykonaj kopie zapasowe wszystkich niezbędnych baz danych.
3. Uaktualnij serwer baz danych, wykonując instrukcje dostawcy serwera baz danych.
4. Uruchom wszystkie usługi na serwerze ERA lub serwerze proxy ERA i sprawdź ich dzienniki śledzenia w celu
zweryfikowania, czy połączenie z bazą danych działa prawidłowo.
Dodatkowe informacje dotyczące używanej bazy danych możesz znaleźć na poniższych stronach internetowych:
Uaktualnianie programu SQL Server https://msdn.microsoft.com/en-us/library/bb677622.aspx (możesz kliknąć
pozycję Inne wersje, aby uzyskać instrukcje dotyczące uaktualniania programu SQL Server do określonej wersji)
Uaktualnianie serwera MySQL (do wersji 5.6) http://dev.mysql.com/doc/refman/5.6/en/upgrading.html
30
3.2.3 Migracja bazy danych ERA
Kliknij odpowiednie łącze poniżej, by zapoznać się z instrukcjami dotyczącymi migracji bazy danych serwera ERA lub
serwera proxy ERA między różnymi instancjami programu SQL Server (dotyczy to również migracji do innych wersji
programu SQL Server lub migracji do programu SQL Server zainstalowanego na innym komputerze):
Procedura migracji programu SQL Server
Procedura migracji programu MySQL Server
3.2.3.1 Procedura migracji programu SQL Server
Procedura migracji jest taka sama w przypadku programów Microsoft SQL Server oraz Microsoft SQL Server Express.
Dodatkowe informacje można znaleźć w następującym artykule bazy wiedzy firmy Microsoft: https://
msdn.microsoft.com/en-us/library/ms189624.aspx.
Wymagania wstępne:
o Zainstalowana źródłowa i docelowa instancja programu SQL Server. Mogą być hostowane na różnych
komputerach.
o Docelowa instancja programu SQL Server musi być co najmniej w tej samej wersji co instancja źródłowa.
Migracja do starszej wersji nie jest obsługiwana!
o Zainstalowane musi być narzędzie SQL Server Management Studio. Jeśli instancje programu SQL Server znajdują
się na różnych komputerach, narzędzie to musi być zainstalowane na obu.
Migracja:
1. Zatrzymaj usługę Serwer ERA lub Serwer proxy ERA.
2. Zaloguj się do źródłowej instancji programu SQL Server przy użyciu narzędzia SQL Server Management Studio.
3. Utwórz pełną kopię zapasową bazy danych, która ma zostać podana migracji. Zalecamy podanie nowej nazwy
zestawu kopii zapasowych. W przeciwnym razie, jeśli zestaw kopii zapasowych był już wcześniej używany, nowa
kopia zapasowa zostanie do niego dołączona, co spowoduje niepotrzebne zwiększenie objętości pliku kopii
zapasowej.
4. Przełącz źródłową bazę danych do trybu offline, wybierając opcje Zadania > Przełącz do trybu offline.
31
5. Skopiuj plik kopii zapasowej (.bak) utworzony w kroku 3 do lokalizacji dostępnej dla docelowej instancji programu
SQL Server. Konieczna może być edycja uprawnień dostępu do pliku kopii zapasowej bazy danych.
6. Przełącz źródłową bazę danych do trybu online, ale nie uruchamiaj jeszcze serwera ERA!
7. Zaloguj się do docelowej instancji programu SQL Server przy użyciu narzędzia SQL Server Management Studio.
8. Przywróć bazę danych w docelowej instancji programu SQL Server.
9. Wpisz nazwę nowej bazy danych w polu Do bazy danych. Możesz nazwać ją tak samo jak starą bazę danych.
10.Wybierz opcję Z urządzenia w obszarze Określ źródło i lokalizację zestawów kopii zapasowych do przywrócenia, a
następnie kliknij … .
32
11.Kliknij opcję Dodaj, przejdź do pliku kopii zapasowej i otwórz go.
12. Wybierz najnowszą z dostępnych kopii zapasowych do przywrócenia (w zestawie kopii zapasowych może się
znajdować większa liczba kopii zapasowych).
13. Kliknij stronę Opcje w kreatorze przywracania. Można też wybrać opcję Zastąp istniejącą bazę danych i sprawdzić,
czy lokalizacje przywracania bazy danych (.mdf) oraz dziennika (.ldf) są prawidłowe. Pozostawienie wartości
domyślnych bez zmian spowoduje użycie ścieżek ze źródłowej instancji programu SQL Server, dlatego należy
sprawdzić te wartości.
o Jeśli nie wiesz, gdzie w docelowej instancji programu SQL Server zapisywane są pliki bazy danych, kliknij
prawym przyciskiem myszy istniejącą bazę danych, wybierz pozycję Właściwości i kliknij kartę Pliki. Katalog, w
którym zapisana jest baza danych, jest widoczny w kolumnie Ścieżka w tabeli przedstawionej poniżej.
33
14.Kliknij opcję OK w oknie kreatora przywracania.
15.Sprawdź, czy na nowym serwerze bazy danych włączone jest uwierzytelnianie programu SQL Server. Kliknij
serwer prawym przyciskiem myszy i kliknij pozycję Właściwości. Przejdź do obszaru Zabezpieczenia i sprawdź, czy
wybrano Tryb uwierzytelniania programu SQL Server oraz Tryb uwierzytelniania Windows.
34
16.Utwórz nową nazwę użytkownika programu SQL Server (dla serwera ERA lub serwera proxy ERA) w docelowej
instancji programu SQL Server z uwierzytelnianiem programu SQL Server i zmapuj tę nazwę, przypisując ją do
użytkownika w przywróconej bazie danych.
o Nie wymuszaj wygasania hasła!
o Znaki zalecane w przypadku nazw użytkowników:
Małe litery z zestawu znaków ASCII, cyfry oraz znak podkreślenia „_”
o Znaki zalecane w przypadku haseł:
TYLKO znaki z zestawu znaków ASCII, w tym małe i wielkie litery z zestawu znaków ASCII, cyfry, spacje i znaki
specjalne
o Nie należy używać znaków spoza zestawu znaków ASCII, takich jak nawiasy klamrowe {} i znak @
o Uwaga: W razie niezastosowania się do powyższych zaleceń dotyczących znaków możliwe są problemy z
komunikacją z bazą danych lub konieczne może być anulowanie znaków specjalnych na późniejszych etapach,
podczas modyfikacji ciągu połączenia bazy danych. Reguły anulowania znaków nie zostały opisane w niniejszym
dokumencie.
35
17.Zmapuj nazwę użytkownika, przypisując ją do użytkownika w docelowej bazie danych. Na karcie mapowań
użytkowników sprawdź, czy do użytkownika bazy danych przypisane są następujące role: db_datareader,
db_datawriter, db_owner.
36
18.Aby włączyć najnowsze funkcje serwera bazy danych, zmień poziom zgodności w przywróconej bazie danych na
najnowszy. Kliknij nową bazę danych prawym przyciskiem myszy i otwórz obszar Właściwości bazy danych.
37
UWAGA: W narzędziu SQL Server Management Studio nie można określać poziomów zgodności nowszych od wersji,
która jest w użyciu. Na przykład w narzędziu SQL Server Management Studio 2008 nie można ustawić poziomu
zgodności z programem SQL Server 2014.
19.Znajdź plik startupconfiguration.ini na komputerze, na którym zainstalowany jest serwer ERA lub serwer
proxy ERA.
o W systemie Windows Vista i nowszych:
% PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Conf iguration
\startupconf iguration.ini
o We wcześniejszych wersjach systemu Windows:
% ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData
\Conf iguration\startupconf iguration.ini
o W systemie Linux:
/etc/opt/eset/RemoteAdministrator/Server/StartupConf iguration.ini
20.Zmień ciąg połączenia z bazą danych w pliku startupconfiguration.ini serwera ERA lub serwera proxy ERA.
o Skonfiguruj adres i port nowego serwera bazy danych.
o Skonfiguruj nową nazwę użytkownika ERA i hasło w ciągu połączenia.
Efekt końcowy powinien wyglądać następująco:
DatabaseType=MSSQLOdbc
DatabaseConnectionString=Driver=SQL Server;Server=localhost,1433;Uid=era_user1;Pwd={TajneHaslo123};Ch
21.Uruchom serwer ERA lub serwer proxy ERA i sprawdź, czy usługa Serwer ERA lub Server proxy ERA działa
prawidłowo.
38
3.2.3.2 Procedura migracji programu MySQL Server
Wymagania wstępne:
o Zainstalowana źródłowa i docelowa instancja programu SQL Server. Mogą być hostowane na różnych
komputerach.
o Narzędzia MySQL muszą być dostępne na co najmniej jednym z komputerów (mysqldump i kliencie mysql).
Przydatne łącza:
http://dev.mysql.com/doc/refman/5.6/en/copying-databases.html
http://dev.mysql.com/doc/refman/5.6/en/mysqldump.html
http://dev.mysql.com/doc/refman/5.6/en/mysql.html
W przedstawionych dalej poleceniach, plikach konfiguracyjnych oraz instrukcjach SQL należy zawsze zastępować
zmienne według poniższych instrukcji:
SRCHOST zastąp adresem serwera źródłowej bazy danych
SRCROOTLOGIN zastąp nazwą użytkownika źródłowego serwera głównego MySQL
SRCERADBNAME zastąp nazwą źródłowej bazy danych ERA, której kopię zapasową chcesz utworzyć
BACKUPFILE zastąp ścieżką do pliku, w którym zostanie zapisana kopia zapasowa
TARGETHOST zastąp adresem serwera docelowej bazy danych
TARGETROOTLOGIN zastąp nazwą użytkownika docelowego serwera głównego MySQL
TARGETERADBNAME zastąp nazwą docelowej bazy danych ERA (po migracji)
TARGETERALOGIN zastąp nazwą użytkownika nowej bazy danych ERA na docelowym serwerze MySQL
TARGETERAPASSWD zastąp hasłem do nowej bazy danych ERA na docelowym serwerze MySQL
Poniższych instrukcji SQL nie trzeba wykonywać przy użyciu wiersza polecenia. Jeśli dostępne jest narzędzie z
graficznym interfejsem użytkownika, można skorzystać ze znanej aplikacji.
1. Zatrzymaj usługę Serwer ERA lub Serwer proxy ERA.
2. Utwórz pełną kopię zapasową źródłowej bazy danych ERA (bazy danych, która ma zostać poddana migracji):
mysqldump --host SRCHOST --disable-keys --extended-insert -u SRCROOTLOGIN -p SRCERADBNAME > BACKUPFILE
3. Przygotuj pustą bazę danych na docelowym serwerze MySQL:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE DATABASE TARGETERADBNAME /*!40100 DEFAULT
UWAGA: W systemie Linux zamiast znaku cudzysłowu (") należy używać znaku apostrofu (').
4. Na docelowym serwerze MySQL przywróć bazę danych do przygotowanej wcześniej pustej bazy danych:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p TARGETERADBNAME < BACKUPFILE
5. Utwórz użytkownika bazy danych ERA na docelowym serwerze MySQL:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE USER TARGETERALOGIN@'%' IDENTIFIED BY 'TA
Znaki zalecane w przypadku pozycji TARGETERALOGIN:
Małe litery z zestawu znaków ASCII, cyfry oraz znak podkreślenia „_”
Znaki zalecane w przypadku pozycji TARGETERAPASSWD:
Tylko znaki z zestawu znaków ASCII, w tym małe i wielkie litery z zestawu znaków ASCII, cyfry, spacje i znaki
specjalne
Nie należy używać znaków spoza zestawu znaków ASCII, nawiasów klamrowych {} ani znaku @
39
Uwaga: W razie niezastosowania się do powyższych zaleceń dotyczących znaków możliwe są problemy z
komunikacją z bazą danych lub konieczne może być anulowanie znaków specjalnych na późniejszych etapach,
podczas modyfikacji ciągu połączenia bazy danych. Reguły anulowania znaków nie zostały opisane w niniejszym
dokumencie.
6. Nadaj odpowiednie uprawnienia dostępu użytkownikowi bazy danych ERA na docelowym serwerze MySQL:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=GRANT ALL ON TARGETERADBNAME.* TO TARGETERALOGIN
UWAGA: W systemie Linux zamiast znaku cudzysłowu (") należy używać znaku apostrofu (').
7. Znajdź plik startupconfiguration.ini na komputerze, na którym zainstalowany jest serwer ERA lub serwer proxy
ERA.
o W systemie Windows Vista i nowszych:
% PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Conf iguration
\startupconf iguration.ini
o We wcześniejszych wersjach systemu Windows:
% ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData
\Conf iguration\startupconf iguration.ini
o W systemie Linux:
/etc/opt/eset/RemoteAdministrator/Server/StartupConf iguration.ini
8. Zmień ciąg połączenia z bazą danych w pliku startupconfiguration.ini serwera ERA lub serwera proxy ERA.
o Skonfiguruj adres i port nowego serwera bazy danych.
o Skonfiguruj nazwę użytkownika i hasło
Efekt końcowy powinien wyglądać następująco:
DatabaseType=MySqlOdbc
DatabaseConnectionString=Driver=MySQL ODBC 5.3 Unicode Driver;Server=TARGETHOST;Port=3306;User=TARGETERAL
9. Uruchom serwer ERA lub serwer proxy ERA i sprawdź, czy usługa Serwer ERA lub Server proxy ERA działa
prawidłowo.
3.3 Obraz ISO
Plik obrazu ISO to jeden z formatów, w których można pobrać (z kategorii instalatorów kompleksowych) programy
instalacyjne programu ESET Remote Administrator. Obraz ISO zawiera następujące elementy:
Pakiet instalacyjny programu ERA
Odrębne instalatory dla każdego z komponentów
Obraz ISO jest przydatny, gdy użytkownik chce przechowywać wszystkie programy instalacyjne programu ESET
Remote Administrator w jednym miejscu. Korzystanie z niego eliminuje również potrzebę pobierania programów
instalacyjnych ze strony internetowej firmy ESET za każdym razem, gdy trzeba przeprowadzić instalację. Obraz ISO
jest również przydatny podczas instalowania programu ESET Remote Administrator na maszynie wirtualnej.
3.4 Urządzenie wirtualne
Serwer ERA można wdrożyć w środowisku VMware lub Microsoft Hyper-V. Urządzenie wirtualne ERA dostępne jest
w postaci pliku OVA (Open Virtualization Appliance). Plik OVA to szablon, zawierający funkcjonalny system
operacyjny CentOS 6.5. Przy użyciu odpowiedniego szablonu można wdrożyć serwer ERA, serwer proxy ERA lub
serwer ERA MDM. Podczas wdrażania szablonu OVF w środowisku VMware należy postępować według instrukcji
dostępnych w kreatorze instalacji w celu podania hasła do konta administratora ERA oraz skonfigurowania maszyny
wirtualnej przed wdrożeniem. Po wdrożeniu urządzenia maszyna wirtualna stanowi kompletne środowisko, w
którym można używać oprogramowania ESET Remote Administrator.
Urządzenia wirtualne ERA należą do rodziny sprzętów wirtualnych vmx-07 i są obsługiwane przez następujące
infrastruktury VMware Hypervisor:
40
o ESXi 5.0 i nowsze
o Workstation 6.5 i nowsze
W systemie operacyjnym na komputerze można użyć programu VMware Player lub Oracle VirtualBox, a następnie
wdrożyć urządzenie wirtualne przy użyciu dostępnej w nim konfiguracji. Umożliwi to uruchamianie programu ESET
Remote Administrator w nieserwerowym systemie operacyjnym bez konieczności korzystania z oprogramowania
ESXi klasy korporacyjnej. Dotyczy to wyłącznie pliku ERA_Server.ova.
Wdrażanie szablonu OVF na kliencie vSphere
1. Nawiąż połączenie z serwerem vCenter przy użyciu klienta vSphere (nie nawiązuj bezpośredniego połączenia z
serwerem ESXi).
2. Na górnym pasku menu kliknij opcję Plik i wybierz pozycję Wdrożenie szablonu OVF.
3. Kliknij przycisk Przeglądaj i przejdź do pliku OVA pobranego ze strony internetowej firmy ESET i kliknij opcję
Otwórz. W zależności od wdrażanego komponentu użyj pliku ERA_Server.ova, ERA_Proxy.ova lub ERA_MDM.ova.
4. Kliknij przycisk Dalej w oknie szczegółów szablonu OVF.
5. Przeczytaj i zaakceptuj Umowę licencyjną użytkownika końcowego (EULA).
6. Wykonaj instrukcje wyświetlane na ekranie, aby zakończyć instalację i podaj następujące informacje dotyczące
klienta wirtualnego:
- Nazwa i lokalizacja
- Host/klaster
- Pula zasobów
- Pamięć masowa
- Format dysku
- Mapowanie sieci
6. Na stronie Właściwości podaj dane w polach Nazwa hosta (będzie to nazwa hosta serwera ERA lub serwera proxy
ERA) oraz Hasło. To hasło jest ważne, ponieważ będzie używane we wszystkich komponentach oprogramowania
ERA — w bazie danych ERA, na serwerze ERA oraz w konsoli internetowej ERA, a także przy uzyskiwaniu dostępu
do maszyny wirtualnej ERA (z systemem CentOS).
41
7. Pozostałe pola są opcjonalne. Możesz podać szczegóły dotyczące domeny Windows, które przydadzą się podczas
synchronizacji grupy statycznej. Możesz również skonfigurować właściwości sieci.
8. Kliknij przycisk Dalej, zapoznaj się z podsumowaniem wdrożenia i kliknij przycisk Zakończ. Uruchomiona
procedura automatycznie utworzy maszynę wirtualną z zastosowaniem wprowadzonych ustawień. Po pomyślnym
utworzeniu maszyny wirtualnej można ją włączyć.
42
9. Gdy otworzysz konsolę VMware po wdrożeniu rozwiązania ERA, widoczne w niej będą następujące informacje,
wraz z adresem URL konsoli internetowej ERA w formacie https://[adres IP]:8443. Wpisz wyświetlony adres URL w
przeglądarce internetowej, aby zalogować się do konsoli internetowej ERA (użyj hasła podanego w kroku 6).
UWAGA: Zdecydowanie zalecamy skonfigurowanie ról i funkcji na serwerze vCenter w taki sposób, aby użytkownicy
środowiska VMware nie mieli dostępu do maszyny wirtualnej ERA. Uniemożliwi to użytkownikom ingerowanie w
ustawienia maszyny wirtualnej ERA. Użytkownicy rozwiązania ERA nie mają potrzeby uzyskiwania dostępu do
maszyny wirtualnej. Aby zarządzać dostępem do samego produktu ESET Remote Administrator, należy przejść do
obszaru Uprawnienia dostępu na konsoli internetowej ERA.
3.4.1 VMware Player
Wdrażanie szablonu OVF w programie VMware Player
Zalecamy korzystanie z najnowszej wersji programu VMware Player.
1. Wybierz kolejno opcje Plik > Otwórz maszynę wirtualną.
2. Przejdź do pliku OVA (ERA_Server.ova) pobranego ze strony internetowej firmy ESET. Kliknij opcję Otwórz.
3. Podaj nazwę nowej maszyny wirtualnej oraz lokalną ścieżkę do miejsca, w którym zostanie zapisana, i kliknij
opcję Importuj.
4. Przeczytaj Umowę licencyjną użytkownika końcowego (EULA) i zaakceptuj ją, jeśli zgadzasz się z jej
postanowieniami.
5. Po wdrożeniu urządzenia włącz je. Spowoduje to wyświetlenie następujących informacji:
43
6. Należy zmodyfikować plik konfiguracyjny ovf.xml tak, aby zawierał szczegóły dotyczące połączenia z bazą danych
itp. Aby to zrobić, wykonaj instrukcje wyświetlane na ekranie.
3.4.2 Oracle VirtualBox
Wdrażanie pliku OVA w środowisku VirtualBox
Zalecamy korzystanie z najnowszej wersji środowiska VirtualBox.
1. Kliknij pozycję Plik i wybierz opcję Zaimportuj urządzenie...
2. Kliknij przycisk Przeglądaj i przejdź do pliku OVA (ERA_Server.ova) pobranego ze strony internetowej firmy ESET i
kliknij opcję Otwórz. Kliknij przycisk Dalej.
3. Sprawdź ustawienia urządzenia i kliknij opcję Importuj.
4. Przeczytaj Umowę licencyjną użytkownika końcowego (EULA) i zaakceptuj ją, jeśli zgadzasz się z jej
postanowieniami.
5. Po wdrożeniu urządzenia włącz je. Spowoduje to wyświetlenie następujących informacji:
44
6. Należy zmodyfikować plik konfiguracyjny ovf.xml tak, aby zawierał szczegóły dotyczące połączenia z bazą danych
itp. Aby to zrobić, wykonaj instrukcje wyświetlane na ekranie.
3.4.3 Microsoft Hyper-V
Wdrażanie pliku OVA na serwerze Microsoft Hyper-V
1. Wyodrębnij pliki (pobrane ze strony internetowej firmy ESET) z pliku urządzenia wirtualnego (ERA_Server.ova)
przy użyciu odpowiedniego narzędzia, takiego jak Tar lub 7-Zip. Zostaną wyświetlone nazwy wyodrębnionych
plików, a wśród nich będzie plik .vmdk (np. ERA_Server-disk1.vmdk).
2. Pobierz i zainstaluj narzędzie Microsoft Virtual Machine Converter 3.0 http://www.microsoft.com/en-us/
download/details.aspx?id=42497.
3. Sprawdź, czy w systemie (szczególnie w przypadku systemu Windows 7) dostępne jest środowisko Windows
PowerShell 3.0 (lub w nowszej wersji). W tym celu należy wykonać poniższe działania:
a.
b.
c.
d.
Otwórz wiersz polecenia systemu Windows (cmd.exe).
W wierszu polecenia wpisz powershell i naciśnij klawisz Enter.
W środowisku PowerShell wpisz polecenie $PSVersionTable i naciśnij klawisz Enter.
Jeśli wyświetlony zostanie tekst PSVersion 3.0 (lub w nowszej wersji), przejdź do kroku 5. W przeciwnym
razie pobierz i zainstaluj program Windows Management Framework 3.0 http://www.microsoft.com/en-us/
download/details.aspx?id=34595.
e. Powtórz kroki od a do c w celu sprawdzenia, czy zainstalowane jest środowisko Powershell 3.0 lub nowsze, a
następnie przejdź do kroku 5.
4. Uruchom środowisko PowerShell i wykonaj polecenia podane w poniższych krokach.
5. Uruchom polecenie importowania modułu:
import-Module 'C:\Program Files\Microsoft Virtual Machine Converter\MvmcCmdlet.psd1'
6. Aby sprawdzić, czy import się powiódł, wyświetl zaimportowane moduły przy użyciu następującego polecenia:
get-command -Module mvmccmdlet
7. Przekonwertuj dysk .vmdk wyodrębniony w kroku 1. (ERA_Server-disk1.vmdk w przypadku wdrażania serwera
ERA):
45
a. W systemie Windows 7 należy użyć formatu VHD:
ConvertTo-MvmcVirtualHardDisk -SourceLiteralPath <path>\ERA_Server-disk1.vmdk DestinationLiteralPath <output-dir> -VhdType DynamicHardDisk -VhdFormat Vhd
b. W systemie Windows 8 i nowszych można użyć formatu VHDX:
ConvertTo-MvmcVirtualHardDisk -SourceLiteralPath <path>\ERA_Server-disk1.vmdk DestinationLiteralPath <output-dir> -VhdType DynamicHardDisk -VhdFormat Vhdx
8. Połącz się z serwerem Hyper-V.
9. Utwórz maszynę wirtualną (generacji 1) z co najmniej 4 rdzeniami i 4 GB pamięci RAM. W tej maszynie wirtualnej
używany będzie dysk przekonwertowany w kroku 7.
3.5 Klaster trybu failover — system Windows
Poniżej przedstawiono zaawansowane działania wymagane podczas instalacji programu ESET Remote Administrator
na klastrze trybu failover:
1. Utwórz klaster trybu failover. Taki klaster powinien mieć dysk udostępniony, adres IP oraz nazwę klastra.
a. Instrukcje dotyczące tworzenia klastra trybu failover w systemie Windows Server 2012
b. Instrukcje dotyczące tworzenia klastra trybu failover w systemie Windows Server 2008
2. Zainstaluj serwer ERA oraz agenta ERA na aktywnym węźle. Wybierz dysk udostępniony jako pamięć masową do
przechowywania danych aplikacji.
3. Zmień aktywny węzeł i powtórz krok 2.
4. W menedżerze konfiguracji klastra utwórz 2 usługi klastra: agenta ERA i serwer ERA.
5. Skonfiguruj odpowiednie zależności: usługi powinny uruchomić się po zainicjowaniu zasobów z kroku 1. Agent
ERA powinien być również zależny od serwera ERA.
6. W ramach klastra nie jest obsługiwana baza danych ani serwer sieciowy.
UWAGA: Instalacji serwera ERA na klastrze trybu failover nie można przeprowadzić przy użyciu instalatora
oprogramowania ERA. W celu zainstalowania oprogramowania ESET Remote Administrator na klastrze trybu failover
należy przeprowadzić instalację komponentów.
3.6 Klaster trybu failover — system Linux
Poniższe informacje odnoszą się do instalacji i konfiguracji programu ESET Remote Administrator na klastrze Red Hat
o wysokiej dostępności (HA).
Obsługa klastra z systemem Linux
Wymagania wstępne
Zakres
Procedura instalacji
Obsługa klastra z systemem Linux
Serwer ESET Remote Administrator lub komponenty serwera proxy ERA można zainstalować na klastrze z systemem
Red Hat Linux 6 i nowszym. Klaster trybu failover jest obsługiwany wyłącznie w trybie aktywnym/pasywnym z
menedżerem klastra rgmanager.
Wymagania wstępne
Klaster aktywny/pasywny musi być zainstalowany i skonfigurowany. Aktywny może być w danym momencie tylko
jeden węzeł. Inne węzły muszą być w stanie wstrzymania. Nie jest obsługiwane równoważenie obciążenia.
46
Obsługiwane są magazyny udostępnione iSCSI SAN, NFS oraz inne rozwiązania (dowolne technologie lub
protokoły zapewniające dostęp blokowy lub plikowy do magazynu udostępnionego, w ramach których urządzenia
udostępnione widoczne są jako urządzenia podłączone lokalnie do systemu operacyjnego). Magazyn
udostępniony musi być dostępny z każdego aktywnego węzła w ramach klastra, a współużytkowany system plików
musi być odpowiednio zainicjowany (na przykład przy użyciu systemu plików EXT3 lub EXT4).
Do zarządzania systemem wymagane są następujące dodatki HA:
o rgmanager
o Conga
Dodatek rgmanager to klasyczny stos klastra Red Hat HA. Jest to element obowiązkowy.
Interfejs GUI CongaConga jest opcjonalny. Klastrem trybu failover można zarządzać bez tego elementu, jednak
zalecane jest zainstalowanie go w celu uzyskania najwyższej wydajności. W tej instrukcji założono, że jest on
zainstalowany.
Aby zapobiec uszkodzeniu danych, należy odpowiednio skonfigurować ustawienia Fencing (odgradzanie).
Administrator klastra musi skonfigurować odgradzanie, jeśli konfiguracja nie została jeszcze wprowadzona.
Jeśli klaster nie został jeszcze uruchomiony, przy konfiguracji klastra trybu failover (aktywnego/pasywnego) o
wysokiej dostępności z systemem Red Hat można skorzystać z poniższej instrukcji: Administrowanie klastrem Red
Hat Enterprise Linux 6.
Zakres
Komponenty oprogramowania ESET Remote Administrator, które można zainstalować na klastrze HA z systemem
Red Hat Linux:
Serwer ERA z agentem ERA
Serwer proxy ERA z agentem ERA
UWAGA: Agent ERA musi zostać zainstalowany, gdyż w przeciwnym razie nie będzie możliwe uruchomienie usługi
klastrowania ERA.
UWAGA: Instalacja bazy danych serwera ERA oraz konsoli internetowej ERA nie jest obsługiwana.
Poniższy przykład instalacji dotyczy klastra z 2 węzłami. Można jednak zainstalować program ESET Remote
Administrator na klastrze wielowęzłowym, przyjmując, że niniejszy przykład ma wyłącznie charakter poglądowy. W
tym przykładzie węzłom klastra nadano nazwy węzeł 1 oraz węzeł 2.
Procedura instalacji
1. Zainstaluj serwer ERA lub serwer proxy ERA, a następnie agenta ERA na węźle 1. W trakcie instalowania agenta
ERA, podczas korzystania z polecenia --hostname=, istnieje możliwość określenia hosta localhost (nie należy
podawać adresu IP ani rzeczywistej nazwy hosta danego węzła). Można również podać zewnętrzny adres IP lub
nazwę hosta interfejsu klastra.
Należy pamiętać, że nazwa hosta w certyfikacie serwera lub serwera proxy musi zawierać zewnętrzny adres IP (lub
nazwę hosta) interfejsu klastra (nie lokalny adres IP czy nazwę hosta węzła).
Podczas instalacji agenta ERA z użyciem polecenia --hostname= do wyboru są następujące opcje:
o Można podać zewnętrzny adres IP lub nazwę hosta interfejsu klastra.
o Można również wskazać hosta lokalnego (nie należy podawać adresu IP ani rzeczywistej nazwy hosta danego
węzła). W takim przypadku nazwa hosta certyfikatu serwera ERA lub serwera proxy ERA musi zawierać
dodatkowo hosta lokalnego.
2. Zatrzymaj i wyłącz usługi agenta ERA oraz serwera ERA (lub serwera proxy ERA) dla systemu Linux przy użyciu
następujących poleceń:
chkconfig eraagent off
chkconfig eraserver off
service eraagent stop
service eraserver stop
47
3. Zamontuj magazyn udostępniony na węźle 1. W tym przykładzie magazyn udostępniony zamontowano przy użyciu
ścieżki /usr/share/erag2cluster.
4. W lokalizacji /usr/share/erag2cluster utwórz następujące katalogi:
/usr/share/erag2cluster/etc/opt
/usr/share/erag2cluster/opt
/usr/share/erag2cluster/var/log
/usr/share/erag2cluster/var/opt
5. Kolejno przenieś poniższe katalogi do wskazanych poniżej miejsc docelowych (źródło > miejsce docelowe):
Przenieś folder:
/etc/opt/eset
/opt/eset
/var/log/eset
/var/opt/eset
Przenieś do:
/usr/share/erag2cluster/etc/opt/
/usr/share/erag2cluster/opt/
/usr/share/erag2cluster/var/log/
/usr/share/erag2cluster/var/opt/
6. Utwórz łącza symboliczne przy użyciu następujących poleceń:
ln -s /usr/share/erag2cluster/etc/opt/eset /etc/opt/eset
ln -s /usr/share/erag2cluster/opt/eset /opt/eset
ln -s /usr/share/erag2cluster/var/log/eset /var/log/eset
ln -s /usr/share/erag2cluster/var/opt/eset /var/opt/eset
7. Odmontuj magazyn udostępniony z węzła 1 i zamontuj go w węźle 2, korzystając z tego samego katalogu, w
którym był zamontowany w węźle 1 (/usr/share/erag2cluster).
8. Na węźle 2 utwórz łącza symboliczne przy użyciu następujących poleceń:
ln -s /usr/share/erag2cluster/etc/opt/eset /etc/opt/eset
ln -s /usr/share/erag2cluster/opt/eset /opt/eset
ln -s /usr/share/erag2cluster/var/log/eset /var/log/eset
ln -s /usr/share/erag2cluster/var/opt/eset /var/opt/eset
9. Skopiuj skrypt eracluster_server (eracluster_proxy) do lokalizacji /usr/share/cluster.
Skrypty eracluster_server (eracluster_proxy) znajdują się w katalogu ustawień serwera ERA oraz serwera
proxy ERA.
Następne działania wykonywane są w ramach interfejsu GUI Conga do zarządzania klastrem:
10. Utwórz grupę usług, na przykład EraService.
Do realizacji usługi klastra ESET Remote Administrator wymagane są trzy zasoby: adres IP, system plików oraz skrypt.
11. Utwórz niezbędne zasoby usługi.
Dodaj zasób adresu IP, systemu plików oraz skryptu.
Zasób systemu plików powinien wskazywać magazyn udostępniony.
Punkt zamontowania zasobu systemu plików należy skonfigurować jako /usr/share/erag2cluster.
Parametr „Pełna ścieżka do pliku skryptu” należy skonfigurować jako /usr/share/cluster/eracluster_server (lub /
usr/share/cluster/eracluster_proxy).
12. Dodaj wymienione wyżej zasoby do grupy EraService.
48
3.7 Instalacja komponentów w systemie Windows
W większości scenariuszy instalacji na poszczególnych komputerach należy zainstalować różne komponenty
oprogramowania ESET Remote Administrator w celu dostosowania go do różnych architektur, spełnienia wymogów
związanych z wydajnością lub z innych przyczyn. W przypadku instalacji tego typu dostępne są pakiety instalacyjne
poszczególnych komponentów.
Komponenty główne
Serwer ERA
Agent ERA (musi być zainstalowany na komputerach klienckich i może być zainstalowany na serwerze ERA)
Komponenty opcjonalne
Serwer proxy ERA
RD Sensor
W razie konieczności uaktualnienia oprogramowania ESET Remote Administrator do najnowszej wersji (6.x)
zapoznaj się z tym artykułem bazy wiedzy.
3.7.1 Instalacja serwera — system Windows
W celu przeprowadzenia osobnej instalacji serwera ERA w systemie Windows należy wykonać poniższe działania:
1. Sprawdź, czy spełnione są wszystkie wymagania wstępne.
2. Uruchom instalatora serwera ERA i zaakceptuj umowę EULA, jeśli zgadzasz się z jej postanowieniami.
UWAGA: W przypadku instalowania serwera ERA w ramach klastra trybu failover należy zaznaczyć pole wyboru obok
opcji To jest instalacja klastra. W przeciwnym razie to pole wyboru należy pozostawić puste.
3. W przypadku instalacji w ramach klastra trybu failover w polu Niestandardowa ścieżka danych aplikacji podaj
ścieżkę do magazynu udostępnionego klastra. Dane muszą być przechowywane w jednej lokalizacji, która jest
dostępna dla wszystkich węzłów w ramach klastra.
4. Wpisz prawidłowy klucz licencyjny ERA lub wybierz opcję Aktywuj później.
5. Wybierz konto użytkownika usługi. Konto to będzie używane do uruchamiania Usługi ESET Remote Administrator.
Dostępne są następujące opcje:
Konto usługi sieciowej
Określony użytkownik: DOMENA/UŻYTKOWNIK
4. Nawiąż połączenie z bazą danych. Tutaj przechowywane są wszystkie dane (hasło do konsoli internetowej ERA,
dzienniki komputerów klienckich itd.):
Baza danych: MySQL Server/MS SQL Server/MS SQL Server z uwierzytelnianiem systemu Windows
Sterownik ODBC: sterownik MySQL ODBC 5.1/sterownik MySQL ODBC 5.2 Unicode/sterownik MySQL ODBC 5.3
Unicode/SQL Server/SQL Server Native Client 10.0/sterownik ODBC 11 dla programu SQL Server
Nazwa bazy danych: można zostawić wstępnie zdefiniowaną nazwę lub w razie potrzeby ją zmienić
Nazwa hosta: nazwa hosta lub adres IP serwera bazy danych
Port: port używany do łączenia się z serwerem bazy danych
Nazwa użytkownika/hasło do konta administratora bazy danych
UWAGA: W bazie danych na serwerze ERA zapisywane są duże obiekty blob danych, w związku z czym prawidłowe
działanie serwera ERA wymaga skonfigurowania programu MySQL tak, aby przyjmował duże pakiety. Szczegółowe
informacje dotyczące konfiguracji można znaleźć w części Często zadawane pytania.
49
następnego kroku.
5. Wybierz użytkownika programu ESET Remote Administrator, który ma dostęp do bazy danych. Można wybrać
istniejącego użytkownika lub skonfigurować nowego.
6. Wprowadź hasło dostępu do konsoli internetowej.
7. Program ESET Remote Administrator do komunikacji między klientem a serwerem wykorzystuje certyfikaty.
Można wybrać własne certyfikaty lub stworzyć nowe certyfikaty za pomocą serwera.
8. Wprowadź hasło urzędu certyfikacji. Należy zapamiętać to hasło.
9. Zostanie utworzony nowy certyfikat serwera, dla którego również należy wybrać hasło.
10. W następnym kroku wybierz hasło do certyfikatu agenta.
W ramach konfiguracji zostanie wykonane wstępne zadanie Synchronizacja grupy statycznej. Wybierz metodę (Nie
synchronizuj, Synchronizuj z siecią Windows Network, Synchronizuj z usługą Active Directory) i kliknij przycisk Dalej.
Potwierdź lub zmień folder instalacji serwera i kliknij przycisk Dalej.
Aby zainstalować serwer, kliknij opcję Zainstaluj.
UWAGA: Po ukończeniu instalacji serwera ERA można również zainstalować agenta ERA na tym samym komputerze
(opcjonalnie). Dzięki temu można zarządzać samym serwerem w taki sam sposób, w jaki zarządza się komputerem
klienckim.
50
3.7.1.1 Wymagania wstępne dotyczące serwera — system Windows
W celu zainstalowania serwera ERA w systemie Windows niezbędne jest spełnienie następujących wymagań
wstępnych:
Należy mieć ważną licencję.
Niezbędne porty muszą być otwarte i dostępne — pełną listę portów można znaleźć tutaj.
Zainstalowany i uruchomiony serwer bazy danych (Microsoft SQL Server lub MySQL). Tutaj dostępne są
szczegółowe wymagania dotyczące bazy danych. W przypadku braku istniejącego serwera bazy danych zalecamy
przeprowadzenie procedury konfiguracji programu SQL Server w celu prawidłowego skonfigurowania serwera SQL
na potrzeby programu ESET Remote Administrator.
Zainstalowane środowisko Java Runtime Environment (JRE) — można je pobrać ze strony http://java.com/en/
download/. Zawsze należy używać najnowszej oficjalnie opublikowanej wersji środowiska Java.
Zainstalowana aplikacja Microsoft .NET Framework 3.5. Użytkownicy systemu Windows Server 2008 lub 2012 mogą
ją zainstalować przy użyciu Kreatora ról i funkcji (jak pokazano poniżej), natomiast użytkownicy systemu Windows
Server 2003 mogą pobrać aplikację .NET 3.5 tutaj: http://www.microsoft.com/en-us/download/details.aspx?id=21
UWAGA: Jeśli zdecydujesz się na zainstalowanie komponentu Microsoft SQL Server Express podczas instalacji
produktu ESET Remote Administrator, nie będziesz mieć możliwości zainstalowania go na kontrolerze domeny.
Może się tak stać w przypadku korzystania z systemu Microsoft SBS. Jeśli korzystasz z systemu Microsoft SBS,
zalecamy zainstalowanie produktu ESET Remote Administrator na innym serwerze lub niezaznaczanie komponentu
SQL Server Express podczas instalacji (wymaga to uruchomienia bazy danych ERA na istniejącym już serwerze SQL
lub MySQL). Instrukcje dotyczące instalowania serwera ERA na kontrolerze domeny można znaleźć w artykule bazy
wiedzy.
działanie serwera ERA wymaga skonfigurowania programu MySQL tak, aby przyjmował duże pakiety. Instrukcje
dotyczące wprowadzania tej zmiany można znaleźć w części Często zadawane pytania.
51
3.7.2 Program Microsoft SQL Server — system Windows
Jednym z wymagań wstępnych przed zainstalowaniem serwera ERA jest zainstalowanie programu Microsoft SQL
Server i skonfigurowanie go pod kątem współpracy z programem ESET Remote Administrator. Muszą być spełnione
następujące wymagania:
Zainstaluj program Microsoft SQL Server 2008 R2 lub nowszy. Można również zainstalować program Microsoft SQL
Server 2008 R2 Express lub nowszy. Podczas instalacji wybierz opcję uwierzytelniania Tryb mieszany.
Jeśli program Microsoft SQL Server jest już zainstalowany, ustaw w opcji uwierzytelnienia Tryb mieszany
(Uwierzytelnianie programu SQL Server i Uwierzytelnianie Windows). Aby to zrobić, wykonaj działania opisane w
tym artykule bazy wiedzy.
Zezwól na połączenia TCP/IP z programem SQL Server. Aby to zrobić, wykonaj działania opisane w tym artykule
bazy wiedzy, rozpoczynając od części II. Zezwalanie na połączenia TCP/IP z programem SQL Server.
3.7.3 Instalacja agenta — system Windows
W celu przeprowadzenia osobnej instalacji agenta ERA w systemie Windows należy wykonać poniższe działania:
1. Uruchom instalatora agenta ERA i zaakceptuj umowę EULA, jeśli zgadzasz się z jej postanowieniami.
UWAGA: W przypadku instalowania agenta ERA w ramach klastra trybu failover należy zaznaczyć pole wyboru obok
opcji To jest instalacja klastra. W przeciwnym razie to pole wyboru należy pozostawić puste.
3. Wprowadź dane w polach Host serwera (nazwa lub adres IP serwera ERA) oraz Port serwera (port domyślny to
2222; jeśli korzystasz z innego portu, zastąp port domyślny własnym numerem portu).
Wybierz jedną z następujących opcji instalacji i wykonaj działania opisane w odpowiedniej części poniżej:
52
Wspomagana instalacja serwerowa — konieczne będzie wprowadzenie poświadczeń administratora konsoli
internetowej ERA (instalator automatycznie pobierze wymagane certyfikaty).
Instalacja offline — konieczne będzie podanie certyfikatu agenta, który można wyeksportować z programu
ESET Remote Administrator. Można również użyć certyfikatu niestandardowego.
Wspomagana instalacja serwerowa:
4. Wprowadź dane w polach Host serwera — nazwa lub adres IP serwera ERA oraz Port konsoli internetowej
(pozostaw domyślny port 2223, jeśli nie korzystasz z portu niestandardowego). Podaj również poświadczenia
konta administratora konsoli internetowej — w polach Nazwa użytkownika/Hasło.
5. Po wyświetleniu monitu o zaakceptowanie certyfikatu kliknij opcję Tak.
6. Wybierz opcję Nie twórz komputera lub Wybierz niestandardową grupę statyczną. Kliknięcie opcji Wybierz
niestandardową grupę statyczną umożliwi wybranie pozycji z listy grup statycznych istniejących na serwerze ERA.
Komputer zostanie dodany do wybranej grupy.
7. Określ folder docelowy dla agenta ERA (zalecamy użycie lokalizacji domyślnej), kliknij przycisk Dalej, a następnie
Zainstaluj.
Instalacja offline:
4. Kliknij przycisk Przeglądaj i przejdź do lokalizacji certyfikatu równorzędnego (jest to certyfikat agenta
wyeksportowany z programu ERA). Pole tekstowe Hasło do certyfikatu pozostaw puste, ponieważ ten certyfikat
nie wymaga podawania hasła. Nie musisz przeglądać w celu wybrania wartości pola Urząd certyfikacji — pozostaw
to pole puste.
UWAGA: Jeśli w rozwiązaniu ERA używany jest certyfikat niestandardowy (zamiast certyfikatów domyślnych
wygenerowanych automatycznie podczas instalacji programu ESET Remote Administrator), należy wskazać
odpowiednie certyfikaty niestandardowe.
5. Kliknij przycisk Dalej, by zainstalować w folderze domyślnym lub przycisk Zmień, by wybrać inny folder (zalecamy
użycie folderu domyślnego).
3.7.4 Instalacja konsoli internetowej — system Windows
W celu przeprowadzenia instalacji komponentu konsola internetowa ERA w systemie Windows należy wykonać
poniższe działania:
1. Sprawdź, czy spełnione są następujące wymagania wstępne:
Środowisko Java — zawsze należy używać najnowszej oficjalnie opublikowanej wersji środowiska Java (do
obsługi konsoli internetowej ERA wymagane jest środowisko Java co najmniej w wersji 7, jednak zdecydowanie
zalecamy korzystanie z najnowszej wersji).
Apache Tomcat (wersja 6 i nowsze).
Plik konsoli internetowej (era.war) musi być zapisany na lokalnym dysku twardym.
2. Skopiuj plik era.war do folderu aplikacji sieciowych Tomcat (w większości systemów operacyjnych znajduje się on
w tej lokalizacji: C:\Program Files (x86)\Apache Sof tware Foundation\Tomcat 7.0\webapps\).
3. Uruchom ponownie usługę Apache Tomcat.
4. Otwórz łącze https://localhost/era/ w przeglądarce na hoście lokalnym. Zostanie wyświetlony ekran logowania.
53
3.7.4.1 Obsługiwane przeglądarki internetowe
Przeglądarka internetowa
Mozilla Firefox
Internet Explorer
Chrome
Safari
Opera
Wersja
20+
10+
23+
6+
12+
3.7.5 Instalacja serwera proxy — system Windows
W celu przeprowadzenia osobnej instalacji serwera proxy ERA w systemie Windows należy wykonać poniższe
działania:
UWAGA: W przypadku instalowania serwera proxy ERA w ramach klastra trybu failover należy zaznaczyć pole
wyboru To jest instalacja klastra. W przeciwnym razie to pole wyboru należy pozostawić puste.
3. Wybierz konto użytkownika usługi. Konto to będzie używane do uruchamiania Usługi ESET Remote Administrator.
Dostępne są następujące opcje:
a. Konto usługi sieciowej
b. Konto niestandardowe: DOMENA/UŻYTKOWNIK
4. Nawiąż połączenie z bazą danych. Tutaj przechowywane są wszystkie dane, od hasła do konsoli internetowej ERA
po dzienniki komputerów klienckich.
b. Sterownik ODBC: sterownik MySQL ODBC 5.1/sterownik MySQL ODBC 5.2 ANSI/SQL Server
c. Nazwa hosta serwera bazy danych
e. Nazwa bazy danych
f. Nazwa/hasło administratora bazy danych
g. Nazwa/hasło użytkownika bazy danych ERA
następnego kroku. Jeśli nie uda się nawiązać połączenia, wyświetlony zostanie komunikat o błędzie.
4. Wybierz port komunikacyjny serwera proxy. Domyślnie używany jest port 2222.
5. Skonfiguruj połączenie serwera proxy z programem ESET Remote Administrator. Wprowadź dane w polach Host
serwera (nazwa hosta/adres IP serwera) oraz Port serwera (2222).
6. Wybierz certyfikat równorzędny i podaj hasło do tego certyfikatu. Opcjonalnie możesz dodać urząd certyfikacji.
Jest to wymagane wyłącznie w przypadku niepodpisanych certyfikatów.
7. Wybierz folder, w którym zostanie zainstalowany serwer proxy lub pozostaw zaznaczony folder wstępnie
zdefiniowany.
8. Kliknij opcję Zainstaluj. Serwer proxy zostanie zainstalowany na komputerze.
UWAGA: Wspomagana instalacja serwerowa nie jest obsługiwana w przypadku instalowania serwera proxy ERA.
54
3.7.5.1 Wymagania wstępne dotyczące serwera proxy — system Windows
W celu zainstalowania komponentu serwera proxy ERA w systemie Windows niezbędne jest spełnienie
następujących wymagań wstępnych:
Serwer ERA i konsola internetowa ERA są zainstalowane (na komputerze pełniącym rolę serwera).
Certyfikat serwera proxy został utworzony i pobrany na dysk lokalny.
Urząd certyfikacji jest przygotowany na dysku lokalnym.
Ważna licencja.
Serwer bazy danych jest już zainstalowany i skonfigurowany.
Sterownik ODBC do obsługi połączenia z serwerem bazy danych (MySQL/MS SQL) zainstalowany na komputerze.
Na komputerze lokalnym musi być zainstalowany agent, umożliwiający pełną obsługę wszystkich funkcji
programu.
3.7.6 Instalacja narzędzia RD Sensor — system Windows
W celu przeprowadzenia instalacji komponentu RD Sensor w systemie Windows należy wykonać poniższe działania:
2. Aby rozpocząć instalację, dwukrotnie kliknij plik instalacyjny narzędzia RD Sensor.
3. Wybierz miejsce instalacji narzędzia RD Sensor i kliknij kolejno opcje Dalej > Zainstaluj.
3.7.6.1 Wymagania wstępne dotyczące narzędzia RD Sensor — system Windows
W celu zainstalowania komponentu RD Sensor w systemie Windows niezbędne jest spełnienie następujących
wymagań wstępnych:
WinPcap — należy użyć najnowszej wersji oprogramowania WinPcap (co najmniej wersji 4.1.0)
Należy odpowiednio skonfigurować sieć (odpowiednie porty muszą być otwarte, komunikacja przychodząca nie
może być blokowana przez zaporę itd.)
Serwer ERA musi być osiągalny
Na komputerze lokalnym musi być zainstalowany agent ERA, umożliwiający pełną obsługę wszystkich funkcji
programu
Plik dziennika komponentu Rogue Detection Sensor można znaleźć tutaj: C:\ProgramData\ESET\Rouge Detection
Sensor\Logs\trace.log
3.7.7 Instalacja narzędzia Moduł zarządzania urządzeniami mobilnymi — system Windows
Komponent Moduł zarządzania urządzeniami mobilnymi można zainstalować na serwerze innym niż serwer, na
którym zainstalowane jest rozwiązanie ERA. Jeśli na przykład narzędzie Moduł zarządzania urządzeniami mobilnymi
ma być dostępne przez Internet, by na stałe umożliwić zarządzanie urządzeniami mobilnymi użytkowników bez
względu na ich lokalizację.
W celu zainstalowania narzędzia Moduł zarządzania urządzeniami mobilnymi w systemie Windows wykonaj
2. Uruchom instalator narzędzia Moduł zarządzania urządzeniami mobilnymi i zaakceptuj umowę EULA, jeśli zgadzasz
się na jej warunki.
3. Kliknij przycisk Przeglądaj, przejdź do lokalizacji certyfikatu SSL do obsługi komunikacji przy użyciu protokołu
HTTPS i wpisz hasło do tego certyfikatu:
55
4. Zalecamy korzystanie z domyślnej nazwy hosta i portów (9981 oraz 9980), jednak w razie potrzeby można
skonfigurować własne porty. Sprawdź, czy przy użyciu tych dwóch portów urządzenia są w stanie nawiązywać
połączenia z serwerem, na którym instalujesz narzędzie Moduł zarządzania urządzeniami mobilnymi. Zmień
ustawienia zapory (w razie konieczności), aby to umożliwić.
56
5. Instalator musi utworzyć nową bazę danych, która będzie używana przez narzędzie Moduł zarządzania
urządzeniami mobilnymi, w związku z czym należy podać szczegóły połączenia:
Baza danych: MySQL Server/MS SQL Server/MS SQL Server z uwierzytelnianiem systemu Windows
Sterownik ODBC: sterownik MySQL ODBC 5.1/sterownik MySQL ODBC 5.2 Unicode/sterownik MySQL ODBC 5.3
Unicode/SQL Server/SQL Server Native Client 10.0/sterownik ODBC 11 dla programu SQL Server
Nazwa bazy danych: można zostawić wstępnie zdefiniowaną nazwę lub w razie potrzeby ją zmienić
Nazwa hosta: nazwa hosta lub adres IP serwera bazy danych
Port: port używany do łączenia się z serwerem bazy danych
Nazwa użytkownika/hasło do konta administratora bazy danych
UWAGA: Zalecamy korzystanie z tego samego serwera bazy danych, który używany jest do obsługi bazy danych
serwera ERA, jednak w razie konieczności można użyć innego serwera bazy danych. Po kliknięciu przycisku Dalej
instalator narzędzia Moduł zarządzania urządzeniami mobilnymi utworzy bazę danych.
6. Określ użytkownika nowo utworzonej bazy danych narzędzia Moduł zarządzania urządzeniami mobilnymi.
Możesz utworzyć nowego użytkownika lub wybrać istniejącego użytkownika bazy danych. Wpisz hasło
użytkownika bazy danych.
7. Wprowadź dane w polach Host serwera (nazwa lub adres IP serwera ERA) oraz Port serwera (port domyślny to
2222; jeśli korzystasz z innego portu, zastąp port domyślny własnym numerem portu).
Obecnie dostępne są dwie opcje kontynuacji instalacji:
Instalacja offline — konieczne będzie podanie certyfikatu agenta, który można wyeksportować z programu ESET
Remote Administrator. Można również użyć certyfikatu niestandardowego.
Poniższe działania należy wykonać w przypadku wybrania opcji Wspomagana instalacja serwerowa:
8. Wprowadź dane w polach Host serwera — nazwa lub adres IP serwera ERA oraz Port konsoli internetowej
(pozostaw domyślny port 2223, jeśli nie korzystasz z portu niestandardowego). Podaj również poświadczenia
konta administratora konsoli internetowej — w polach Nazwa użytkownika/Hasło.
9. Po wyświetleniu monitu o zaakceptowanie certyfikatu kliknij opcję Tak.
57
10.Określ folder docelowy dla narzędzia Moduł zarządzania urządzeniami mobilnymi (zalecamy użycie folderu
domyślnego), kliknij przycisk Dalej, a następnie Zainstaluj.
Poniższe działania należy wykonać w przypadku wybrania opcji Instalacja offline:
8. Kliknij przycisk Przeglądaj i przejdź do lokalizacji certyfikatu równorzędnego (jest to certyfikat agenta
wyeksportowany z programu ERA). Pole tekstowe Hasło do certyfikatu pozostaw puste, ponieważ ten certyfikat
nie wymaga podawania hasła.
UWAGA: W przypadku korzystania w rozwiązaniu ERA z certyfikatów niestandardowych (zamiast certyfikatów
domyślnych wygenerowanych automatycznie podczas instalacji programu ESET Remote Administrator) należy
wskazać odpowiednie certyfikaty niestandardowe.
9. Kliknij przycisk Dalej, by zainstalować w folderze domyślnym lub przycisk Zmień..., by wybrać inny folder
(zalecamy użycie folderu domyślnego).
Po ukończeniu instalacji sprawdź czy narzędzie Moduł zarządzania urządzeniami mobilnymi działa prawidłowo,
otwierając w przeglądarce internetowej łącze https://nazwa-hosta-mdm:port-rej estracj i (np. https://eramdm:9980).
Jeśli instalacja przebiegła prawidłowo, wyświetlony zostanie następujący komunikat:
Przy użyciu tego adresu URL można również sprawdzić dostępność serwera narzędzia Moduł zarządzania
urządzeniami mobilnymi w Internecie (jeśli zastosowano taką konfigurację), na przykład przechodząc pod ten adres
na urządzeniu mobilnym. Jeśli strona okaże się niedostępna, należy sprawdzić ustawienia zapory oraz inne elementy
konfiguracji infrastruktury sieciowej.
3.7.7.1 Wymagania wstępne dotyczące narzędzia Moduł zarządzania urządzeniami mobilnymi — system
Windows
W celu zainstalowania komponentu Moduł zarządzania urządzeniami mobilnymi w systemie Windows niezbędne
jest spełnienie następujących wymagań wstępnych:
Otwarte i dostępne porty — pełną listę portów można znaleźć tutaj.
Ustawienia zapory — w przypadku instalowania Modułu zarządzania urządzeniami mobilnymi na nieserwerowych
systemach operacyjnych, takich jak Windows 7 (tylko do celów ewaluacyjnych) należy pamiętać o tym, by
udostępnić porty komunikacyjne poprzez utworzenie reguł zapory dla następujących plików:
C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, protokół TCP, port 9980
C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, protokół TCP, port 9981
C:\Program Files\ESET\RemoteAdministrator\Server\ERAServer.exe, protokół TCP, port 2222
C:\Program Files\Apache HTTP Proxy\bin\httpd.exe, protokół TCP, port 3128
UWAGA: Rzeczywiste ścieżki do plików .exe mogą się różnić w zależności od miejsca instalacji poszczególnych
komponentów programu ERA w systemie operacyjnym klienta.
Zainstalowane środowisko Java Runtime Environment (JRE) — można je pobrać ze strony http://java.com/en/
download/. Zawsze należy używać najnowszej oficjalnie opublikowanej wersji środowiska Java.
58
Zainstalowana aplikacja Microsoft .NET Framework 3.5. Użytkownicy systemu Windows Server 2008 lub 2012 mogą
ją zainstalować przy użyciu Kreatora ról i funkcji (jak pokazano poniżej), natomiast użytkownicy systemu Windows
Server 2003 mogą pobrać aplikację .NET 3.5 tutaj: http://www.microsoft.com/en-us/download/details.aspx?id=21
UWAGA: Jeśli zdecydujesz się na zainstalowanie komponentu Microsoft SQL Server Express podczas instalacji
produktu ESET Remote Administrator, nie będziesz mieć możliwości zainstalowania go na kontrolerze domeny.
Może się tak stać w przypadku korzystania z systemu Microsoft SBS. Jeśli korzystasz z systemu Microsoft SBS,
zalecamy zainstalowanie produktu ESET Remote Administrator na innym serwerze lub niezaznaczanie komponentu
SQL Server Express podczas instalacji (wymaga to uruchomienia bazy danych ERA na istniejącym już serwerze SQL
lub MySQL).
działanie serwera ERA wymaga skonfigurowania programu MySQL tak, aby przyjmował duże pakiety. Instrukcje
dotyczące wprowadzania tej zmiany można znaleźć w części Często zadawane pytania.
WAŻNE: Potrzebny będzie certyfikat SSL w formacie .pfx umożliwiający bezpieczną komunikację przy użyciu
protokołu HTTPS. Zalecamy użycie certyfikatu dostarczonego przez urząd certyfikacji. Samodzielnie podpisane
certyfikaty nie są zalecane, ponieważ nie wszystkie urządzenia mobilne umożliwiają użytkownikom akceptowanie
samodzielnie podpisanych certyfikatów. Ten problem nie występuje w przypadku certyfikatów podpisanych przez
urząd certyfikacji, ponieważ są one zaufane i nie wymagają akceptacji ze strony użytkownika.
WAŻNE: W przypadku instalacji offline konieczne będzie podanie certyfikatu agenta wyeksportowanego z programu
ESET Remote Administrator. W rozwiązaniu ERA można również użyć certyfikatu niestandardowego.
59
3.7.8 Instalacja serwera proxy Apache HTTP — system Windows
Serwer proxy Apache HTTP to usługa, z której można korzystać w połączeniu z produktem ESET Remote
Administrator w wersji 6 oraz nowszych w celu dystrybuowania aktualizacji wśród komputerów klienckich oraz
przesyłania pakietów instalacyjnych do agenta ERA. Serwer proxy HTTP pełni rolę zbliżoną do serwera kopii
dystrybucyjnych używanego powszechnie w programie ESET Remote Administrator w wersji 5 i starszych.
Korzystanie z serwera proxy HTTP wiąże się z następującymi korzyściami:
o Pobieranie nowych aktualizacji baz sygnatur wirusów i komponentów produktów, a następnie dystrybuowanie
ich wśród klientów w ramach danej sieci.
o Możliwość dodawania pakietów instalacyjnych produktów ESET do pamięci podręcznej.
o Ograniczenie natężenia ruchu internetowego w danej sieci.
Aby zainstalować komponent serwer proxy Apache HTTP w systemie Windows, należy wykonać następujące
działania:
1. Otwórz plik ApacheHttp.zip i wyodrębnij pliki w lokalizacji C:\Program Files\Apache HTTP Proxy.
2. Otwórz administracyjny wiersz polecenia i przy użyciu polecenia CD przejdź do lokalizacji C:\Program Files
\Apache HTTP Proxy\bin.
3. Wykonaj następujące polecenie:
httpd.exe -k install -n ApacheHttpProxy
4. Za pomocą edytora tekstu, na przykład programu Notatnik, otwórz plik httpd.conf i na końcu pliku dodaj
następujące wiersze:
ServerRoot "C:\Program Files\Apache HTTP Proxy"
DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs"
<Directory "C:\Program Files\Apache HTTP Proxy\htdocs">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
CacheRoot "C:\Program Files\Apache HTTP Proxy\cache"
5. Uruchom usługę serwer proxy Apache HTTP przy użyciu następującego polecenia:
sc start ApacheHttpProxy
6. Przy użyciu wtyczki services.msc można sprawdzić, czy usługa serwer proxy Apache HTTP działa (należy szukać
pozycji ApacheHttpProxy). Domyślnie usługa jest tak skonfigurowana, by uruchamiać się automatycznie.
Aby skonfigurować nazwę użytkownika i hasło dla serwera proxy Apache HTTP (zalecane), należy wykonać poniższe
działania:
1. Sprawdź, czy w pliku Apache HTTP Proxy\conf \httpd.conf znajdują się następujące moduły:
LoadModule
LoadModule
LoadModule
LoadModule
authn_core_module modules\mod_authn_core.dll
authn_file_module modules\mod_authn_file.dll
authz_groupfile_module modules\mod_authz_groupfile.dll
auth_basic_module modules\mod_auth_basic.dll
2. W pliku Apache HTTP Proxy\conf \httpd.conf w sekcji <Proxy
*>
dodaj następujące wiersze:
AuthType Basic
AuthName "Password Required"
AuthUserFile password.file
AuthGroupFile group.file
Require group usergroup
3. Użyj polecenia htpasswd, aby utworzyć plik o nazwie password.file w folderze Apache HTTP Proxy\bin\ (zostanie
wyświetlony monit o podanie hasła):
htpasswd.exe -c ..\password.file username
4. W folderze Apache HTTP Proxy\ ręcznie utwórz plik group.file o następującej zawartości:
usergroup:username
60
5. Przetestuj połączenie z serwerem proxy HTTP, wpisując w przeglądarce następujący adres URL:
http://localhost:3128/index.html
Użyj polecenia htcacheclean do wyczyszczenia pamięci podręcznej dysku. To narzędzie można uruchomić ręcznie lub
w trybie demona. Podaj limit, określając maksymalny rozmiar pamięci podręcznej dysku. Domyślnie wartość ta jest
podawana w bajtach (można też dodać literę B do liczby). Aby użyć kilobajtów lub megabajtów, użyj odpowiednio
litery K lub M.
Więcej informacji można znaleźć w tym artykule bazy wiedzy lub w dokumentacji dotyczącej uwierzytelniania i
autoryzacji serwera Apache.
3.8 Instalacja komponentów w systemie Linux
W większości scenariuszy instalacji na poszczególnych komputerach należy zainstalować różne komponenty
oprogramowania ESET Remote Administrator w celu dostosowania go do różnych architektur, spełnienia wymogów
związanych z wydajnością lub z innych przyczyn.
Komponenty główne
Serwer ERA
Agent ERA
Komponenty opcjonalne
Serwer proxy ERA
RD Sensor
W razie konieczności uaktualnienia oprogramowania ESET Remote Administrator do najnowszej wersji (6.x)
zapoznaj się z tym artykułem bazy wiedzy.
3.8.1 Instalacja serwera — system Linux
Instalacja komponentu serwera ERA w systemie Linux realizowana jest przy użyciu polecenia w terminalu. Sprawdź,
czy spełnione są wszystkie wymagania wstępne. Można przygotować skrypt instalacyjny, a następnie wykonać go
przy użyciu programu sudo.
Przykład
(Nowe wiersze są oddzielone znakiem „\”, co umożliwia skopiowanie całego polecenia do terminala)
sudo ./Server-Linux-i386.sh \
--skip-license \
--db-driver=MySQL \
--db-hostname=127.0.0.1 \
--db-port=3306 \
--db-admin-username=root \
--db-admin-password=Admin123 \
--server-root-password=Admin123 \
--db-user-username=root \
--db-user-password=Admin123 \
--cert-hostname="10.1.179.46;Ubuntu64-bb;Ubuntu64-bb.BB.LOCAL"
Serwer ERA oraz usługa eraserver zostaną zainstalowane w następującej lokalizacji:
/opt/eset/RemoteAdministrator/Server
Można modyfikować następujące atrybuty:
Atrybut
Opis
Wymagany
--uninstall
Odinstalowuje produkt.
-
61
Atrybut
Opis
--locale
Identyfikator ustawień regionalnych (LCID) zainstalowanego
Tak
serwera (wartość domyślna to „en_US”). Informacje o
dostępnych opcjach przedstawiono w części obsługiwane języki.
Uwaga: Język można ustawić dla każdej sesji konsoli
internetowej ERA.
Podczas instalacji użytkownik nie będzie proszony o
potwierdzenie umowy licencyjnej.
Pominięcie generowania certyfikatów (należy stosować w
połączeniu z parametrem --server-cert-path).
Klucz licencyjny produktu ESET. Można go skonfigurować później. Nie
Globalny unikatowy identyfikator produktu. Jeśli nie zostanie
Nie
podany, zostanie wygenerowany.
Port serwera ESET Remote Administrator (ERA) (domyślnie
Nie
2222).
Port konsoli programu ESET Remote Administrator (domyślnie
Nie
2223)
Hasło umożliwiające zalogowanie się do konsoli internetowej
Tak
jako użytkownik „Administrator”. Musi składać się z co najmniej 8
znaków.
Typ bazy danych, która będzie używana (możliwe wartości:
„MySQL Server”, „Microsoft SQL Server”).
Sterownik ODBC używany w celu łączenia się z bazą danych (na Tak
przykład sterownik „MySQL ODBC 5.3 ANSI”).
Nazwa komputera lub adres IP serwera bazy danych.
Tak
Port serwera bazy danych (domyślnie 3306).
Tak
Nazwa bazy danych serwera ERA (domyślnie „era_db”).
Tak
Nazwa użytkownika będącego administratorem bazy danych
Tak
(używana w instalatorze podczas tworzenia i modyfikowania
bazy danych).
Hasło administratora bazy danych.
Tak
Nazwa użytkownika bazy danych serwera ERA (używana na
Tak
serwerze ERA w celu nawiązywania połączenia z bazą danych).
Jej długość nie powinna przekraczać 16 znaków.
Hasło użytkownika bazy danych serwera ERA.
Tak
Zawiera wszystkie możliwe nazwy i/lub adresy IP komputera, na Tak
którym zainstalowany będzie serwer ERA. Umożliwia to
uzgodnienie z nazwą serwera podaną w certyfikacie agenta,
który próbuje nawiązać połączenie z serwerem.
Ścieżka do certyfikatu serwera równorzędnego (tej opcji należy użyć w przypadku
określenia również parametru --skip-cert).
Hasło do certyfikatu serwera równorzędnego.
Hasło do certyfikatu agenta równorzędnego.
Hasło do urzędu certyfikacji.
Ścieżka do pliku urzędu certyfikacji serwera.
Nazwa pospolita urzędu certyfikacji (należy użyć „”).
-
--skip-license
--skip-cert
--license-key
--product-guid
--server-port
--console-port
--server-root-password
--db-type
--db-driver
--db-hostname
--db-port
--db-name
--db-admin-username
--db-admin-password
--db-user-username
--db-user-password
--cert-hostname
--server-cert-path
--server-cert-password
--agent-cert-password
--cert-auth-password
--cert-auth-path
--cert-auth-common-name
--cert-organizational-unit
--cert-organization
--cert-locality
--cert-state
62
Wymagany
Atrybut
Opis
Wymagany
--cert-country
--cert-validity
Ważność certyfikatu w dniach lub latach (należy to określić w
argumencie --cert-validity-unit).
Jednostka, w jakiej podawana jest ważność certyfikatu. Możliwe
wartości to „Lata” lub „Dni” (wartość domyślna to Lata).
Serwer Active Directory.
Nazwa użytkownika, który dysponuje prawami do wyszukiwania
w sieci AD.
Hasło użytkownika usługi Active Directory.
Ścieżka drzewa Active Directory, które będzie synchronizowane.
Aby synchronizować całe drzewo, należy nie wpisywać nic
pomiędzy cudzysłowami ("").
Nie
Nie
--cert-validity-unit
--ad-server
--ad-user-name
--ad-user-password
--ad-cdn-include
Nie
Nie
Dziennik instalatora
Dziennik instalatora może okazać się przydatny przy rozwiązywaniu problemów i można go znaleźć tutaj:
/var/log/eset/RemoteAdministrator/EraServerInstaller.log
Po instalacji należy sprawdzić, czy usługa serwera ERA jest uruchomiona:
service eraserver status
3.8.1.1 Wymagania wstępne dotyczące serwera — system Linux
W celu zainstalowania serwera ERA w systemie Linux niezbędne jest spełnienie następujących wymagań wstępnych:
Ważna licencja.
Zainstalowany i skonfigurowany serwer bazy danych z kontem głównym (przed instalacją nie trzeba tworzyć konta
użytkownika, ponieważ może je utworzyć instalator).
apt-get install unixodbc libmyodbc (dystrybucje Debian, Ubuntu)
yum install mysql-connector-odbc (dystrybucje CentOS, Red-Hat, Fedora)
UWAGA: Należy użyć pakietu unixODBC_23 (nie domyślnego pakietu unixODBC) w celu połączenia serwera ERA z
bazą danych MySQL bez żadnych problemów. Dotyczy to w szczególności systemu SUSE Linux.
Skonfigurowanie pliku instalacyjnego serwera jako pliku wykonywalnego.
chmod +x Server-Linux-i686.sh
Najniższa obsługiwana wersja biblioteki openSSL to openssl-1.0.1e-30.
Do prawidłowego drukowania raportów (Generowanie raportów) na serwerach z systemem Linux bez interfejsu
graficznego wymagany jest pakiet xvfb.
apt-get install xvfb (dystrybucje Debian, Ubuntu)
yum install xorg-x11-server-Xvfb (dystrybucje CentOS, Red-Hat, Fedora)
Do prawidłowego wdrożenia agenta w systemie operacyjnym Windows wymagany jest pakiet cifs-utils.
apt-get install cifs-utils (dystrybucje Debian, Ubuntu)
yum install cifs-utils (dystrybucje CentOS, Red-Hat, Fedora)
Biblioteki Qt4 WebKit: używane do drukowania raportów w formatach PDF i PS (muszą być w wersji 4.8, a nie 5).
Wszystkie inne zależności Qt4 zostaną zainstalowane automatycznie.
apt-get install libqtwebkit4 (dystrybucje Ubuntu)
UWAGA: W przypadku dystrybucji CentOS pakiet może nie być dostępny w oficjalnych repozytoriach. Można
zainstalować go z repozytorium strony trzeciej (np. z repozytoriów EPEL) lub skompilować go samodzielnie na
komputerze docelowym.
63
Polecenia kinit + klist służą do uwierzytelniania serwera Kerberos podczas zadania synchronizacji AD i logowania
przy użyciu nazwy użytkownika domeny. Wymagana jest również odpowiednia konfiguracja serwera Kerberos (/
etc/krb5.conf ).
apt-get install krb5-user (dystrybucje Debian, Ubuntu)
yum install krb5-workstation (dystrybucje CentOS, Red-Hat, Fedora)
Polecenia wbinfo + ntlm_auth służą do uwierzytelniania kont domeny oraz uwierzytelniania NTLM przy użyciu
serwera SMTP (wysyłanie wiadomości e-mail).
apt-get install winbind ( dystrybucje Debian, Ubuntu)
yum install samba-winbind-clients (dystrybucje CentOS, Red-Hat, Fedora)
Polecenie ldapsearch jest używane w zadaniu synchronizacji AD.
apt-get install ldap-utils ( dystrybucje Debian, Ubuntu)
yum install openldap-clients (dystrybucje CentOS, Red-Hat, Fedora)
Polecenie snmptrap jest używane do wysyłania komunikatów SNMP Trap. Jest opcjonalne w przypadku gdy ta
funkcja nie jest używana. Protokół SNMP również należy skonfigurować.
apt-get install snmp (dystrybucje Ubuntu)
yum install net-snmp-utils (dystrybucje CentOS, Red-Hat, Fedora)
Pakiet programistyczny SELinux jest używany podczas instalacji produktu do tworzenia SELinux modułów zasad.
Jest wymagany tylko w systemach z włączonym zestawem SELinux (CentOS, Fedora, RHEL).
apt-get install selinux-policy-dev (dystrybucje Debian, Ubuntu)
yum install policycoreutils-devel (dystrybucje CentOS, Red-Hat, Fedora)
3.8.2 Instalacja agenta — system Linux
Połączenie z serwerem Era nawiązywane jest przy użyciu parametrów --hostname oraz --port (port nie jest używany,
gdy dostępny jest rekord SRV). Możliwe formaty połączenia:
Nazwa hosta i port
Adres IPv4 i port
Adres IPv6 i port
Rekord usługi (rekord SRV) — aby skonfigurować rekord zasobu DNS w systemie Linux, komputer musi należeć do
domeny z działającym serwerem DNS. Patrz Rekord zasobu DNS.
Rekord SRV musi rozpoczynać się od prefiksu „_NAZWA._tcp”, gdzie „NAZWA” odpowiada nazewnictwu
niestandardowemu (na przykład „era”).
Poniżej znajduje się przykładowy skrypt instalacyjny, a parametry tego skryptu opisane są w następnym rozdziale.
./Agent-Linux-i686-1.0.387.0.sh --skip-license --cert-path=/home/admin/Desktop/agent.pfx --cert-auth-path=/h
--cert-password=N3lluI4#2aCC --hostname=10.1.179.36 --port=2222
spowoduje, że instalator nie poprosi użytkownika o potwierdzenie licencji.
--cert-path to ścieżka do pliku certyfikatu agenta.
--cert-auth-path to ścieżka do pliku urzędu certyfikacji serwera.
--cert-password — hasło musi być takie samo jak hasło certyfikatu agenta.
--hostname to połączenie z serwerem (lub serwerem proxy) w jednym z następujących formatów (nazwa hosta,
adres IPv4, adres IPv6 lub rekord SRV).
--port to otwarty port nasłuchu na serwerze lub serwerze proxy (domyślna wartość dla obu to 2222).
--skip-license
64
Parametry opcjonalne:
--product-guid — identyfikator GUID produktu (jeśli go nie określono, zostanie wygenerowany).
--cert-content — zakodowana w formacie Base64 treść zakodowanego w formacie PKCS12 certyfikatu klucza
publicznego oraz klucza prywatnego, służącego do zabezpieczania kanałów komunikacyjnych na serwerze i
agentach. Należy używać wyłącznie opcji --cert-path lub --cert-content.
--cert-auth-content — zakodowana w formacie Base64 treść certyfikatu kodowanego DER klucza prywatnego
urzędu certyfikacji, używanego do weryfikacji zdalnych elementów równorzędnych (serwerów lub serwerów proxy).
Należy używać wyłącznie opcji
--cert-auth-path lub --cert-auth-content .
--webconsole-hostname — nazwa hosta używana w konsoli internetowej do łączenia się z serwerem (pozostawienie
tej wartości pustej spowoduje skopiowanie jej z pozycji „nazwa hosta”).
--webconsole-port — port używany przez konsolę internetową do łączenia się z serwerem (wartość domyślna to
„2223”).
--webconsole-user — nazwa użytkownika używana przez konsolę internetową do łączenia się z serwerem (wartość
domyślna to „Administrator”).
--webconsole-password — hasło używane przez konsolę do łączenia się z serwerem.
Połączenie i certyfikaty
Należy skonfigurować Połączenie z serwerem ERA: --hostname, --port (port nie jest potrzebny w przypadku
podania rekordu usługi, wartość domyślna to „2222”)
W przypadku wspomaganej instalacji serwerowej należy podać następujące informacje: --webconsole-port, -webconsole-user, --webconsole-password
W przypadku instalacji offline należy podać informacje dotyczące certyfikatu: --cert-path, --cert-password
Parametry typu hasła
Parametry typu hasła można podać w postaci zmiennej środowiskowej, pliku, wartości odczytywanej ze strumienia
stdin lub podawanej w formie zwykłego tekstu, czyli:
--password=env:SECRET_PASSWORD , gdzie „SECRET_PASSWORD” to zmienna środowiskowa zawierająca hasło
--password=file:/opt/secret , gdzie hasło zawiera pierwszy wiersz zwykłego pliku /opt/secret
--password=stdin to instrukcja umożliwiająca instalatorowi odczytanie hasła ze standardowego strumienia wejścia
--password="pass:PASSWORD" to instrukcja równorzędna z instrukcją --password="PASSWORD" , obowiązkowa w
przypadku, gdy rzeczywiste hasło to "stdin" lub ciąg zaczynający się wyrażeniem "env:", "file:" albo "pass:"
/var/log/eset/RemoteAdministrator/EraAgentInstaller.log
Aby sprawdzić poprawność instalacji, należy zweryfikować działanie usługi, wpisując następujące polecenie:
sudo service eraagent status
3.8.2.1 Wymagania wstępne dotyczące agenta — system Linux
W celu zainstalowania komponentu agenta ERA w systemie Linux niezbędne jest spełnienie następujących wymagań
wstępnych:
Serwer ERA oraz konsola internetowa ERA muszą być zainstalowane
Musi istnieć certyfikat agenta
Musi istnieć klucz publiczny urzędu certyfikacji
Komputer pełniący rolę serwera musi być dostępny w sieci
Plik instalacyjny agenta musi być skonfigurowany jako plik wykonywalny (w tym celu należy uruchomić polecenie
chmod +x)
Najniższa obsługiwana wersja biblioteki openssl to openssl-1.0.1e-30
65
3.8.3 Instalacja konsoli internetowej ERA — system Linux
Przed zainstalowaniem komponentu konsola internetowa ERA sprawdź, czy spełnione są wszystkie wymagania
wstępne:
1. Wpisz poniższe polecenia, by skopiować plik era.war do wybranego folderu:
sudo cp era.war /var/lib/tomcat7/webapps/
Możesz również wyodrębnić zawartość pliku era.war do folderu /var/lib/tomcat7/webapps/era/
2. Wpisz poniższe polecenie, by uruchomić ponownie usługę Tomcat i przeprowadzić wdrożenie pliku .war, na
przykład:
sudo service tomcat7 restart
3. Otwórz poniższe łącze w przeglądarce internetowej na lokalnym hoście (powinien się pojawić ekran logowania):
http://localhost:8080/era
UWAGA: W przypadku instalacji konsoli internetowej za pomocą programu instalacyjnego domyślnym adresem
konsoli internetowej jest:
https://localhost/era/
3.8.3.1 Wymagania wstępne dotyczące konsoli internetowej ERA — system Linux
W celu zainstalowania komponentu konsoli internetowej ERA w systemie Linux niezbędne jest spełnienie
następujących wymagań wstępnych:
Środowisko Java — zawsze należy używać najnowszej oficjalnie opublikowanej wersji środowiska Java (do
obsługi konsoli internetowej ERA wymagane jest środowisko Java co najmniej w wersji 7, jednak zdecydowanie
zalecamy korzystanie z najnowszej wersji).
apt-get install openjdk-7-jdk (dystrybucje Debian, Ubuntu)
yum install java-1.8.0-openjdk (dystrybucje Red-Hat, Fedora)
Apache Tomcat (wersja 6 i nowsze)
sudo apt-get install tomcat7
yum install tomcat7
Plik konsoli internetowej (era.war) musi być zapisany na lokalnym dysku twardym.
3.8.4 Instalacja serwera proxy — system Linux
2. Uruchom skrypt instalacyjny, aby zainstalować serwer proxy. Poniżej znajduje się przykład skryptu instalacyjnego.
Ustawienia połączenia
Obiekt docelowy musi zostać określony za pomocą poniższych parametrów:
Nazwa hosta
Adres IPv4
Adres IPv6
Rekord zasobu DNS — komputer z systemem operacyjnym Linux musi znajdować się w domenie — więcej
informacji w rozdziale Rekord zasobu DNS.
Należy określić port: dla serwera i serwera proxy należy użyć portu 2222.
Przykład instalacji
./Proxy-Linux-x86_64-1.0.407.0.sh --db-hostname=10.1.179.28 --db-dbname=era_6_db_proxy \
--db-admin-username=sa --db-admin-password=admin.1 --db-user-username=tester \
--db-user-password=Admin.1 --db-port=1433 --db-type="MS SQL Server" \
--db-driver=SQL --skip-license --hostname=10.1.179.30 --port=2222 \
--cert-path=/home/adminko/Desktop/proxy.pfx --cert-auth-path=/home/adminko/Desktop/CA-server.der \
--cert-password=root --server-root-password=jjf#jDjr
66
Można modyfikować następujące atrybuty:
to nazwa hosta lub adres IP serwera bazy danych.
to nazwa bazy danych, która ma zostać użyta.
--db-admin-username to nazwa administratora bazy danych.
--db-admin-password to hasło administratora bazy danych.
--db-user-username to użytkownik, za pośrednictwem którego uzyskiwany będzie dostęp do bazy danych.
--db-user-password to hasło użytkownika.
--db-port to port bazy danych (1433 dla MSSQL, 3306 dla MySQL).
--db-type to definicja używanego typu bazy danych (możliwe wartości: „serwer MySQL” i „serwer MS SQL”).
--db-driver musi mieć skonfigurowaną taką samą nazwę, jak nazwa zdefiniowana dla MSSQL w pliku /etc/
odbcinst.ini.
--skip-license nie poprosi użytkownika o potwierdzenie licencji.
--hostname to nazwa hosta lub adres IP serwera.
--port to port serwera (domyślnie 2222) lub serwera proxy (domyślnie 1236).
--proxy-port to port, który będzie używany przez serwer proxy (domyślna wartość to „2222”).
--cert-path to lokalna ścieżka do pliku certyfikatu serwera proxy.
--cert-auth-path to lokalna ścieżka do pliku urzędu certyfikacji serwera.
--db-port — to ustawienie jest istotne, gdy używany jest program MySQL i należy je wtedy skonfigurować. Jeśli nie
zostanie skonfigurowane, dla programu MySQL domyślnie użyty zostanie port 3306.
-product-guid — identyfikator GUID produktu (jeśli go nie określono, zostanie wygenerowany).
--cert-content — zakodowana w formacie Base64 treść zakodowanego w formacie PKCS12 certyfikatu klucza
publicznego oraz klucza prywatnego, służącego do zabezpieczania kanałów komunikacyjnych na serwerze i
agentach.
Należy używać wyłącznie opcji --cert-path lub --cert-content.
--cert-password — hasło musi być takie samo jak hasło certyfikatu agenta.
--cert-auth-content — zakodowana w formacie Base64 treść certyfikatu kodowanego DER klucza prywatnego
urzędu certyfikacji, używanego do weryfikacji zdalnych elementów równorzędnych (serwerów lub serwerów proxy).
Należy używać wyłącznie opcji
--cert-auth-path lub --cert-auth-content .
--keep-database — baza danych nie zostanie usunięta podczas instalacji.
--db-hostname
--db-dbname
Aby zweryfikować poprawność instalacji, można wpisać następujące polecenie, umożliwiające sprawdzenie, czy
usługa jest uruchomiona:
sudo service eraproxy status
3.8.4.1 Wymagania wstępne dotyczące serwera proxy — system Linux
W celu zainstalowania komponentu serwera proxy w systemie Linux niezbędne jest spełnienie następujących
wymagań wstępnych:
Serwer bazy danych jest już zainstalowany i skonfigurowany.
Certyfikat serwera proxy został utworzony i pobrany na dysk lokalny.
Ważna licencja.
Na komputerze lokalnym musi być zainstalowany agent, umożliwiający pełną obsługę wszystkich funkcji
programu.
Najniższa obsługiwana wersja biblioteki openssl to openssl-1.0.1e-30
67
3.8.5 Instalacja narzędzia RD Sensor i wymagania wstępne — system Linux
W celu przeprowadzenia instalacji komponentu RD Sensor w systemie Linux należy wykonać poniższe działania:
1. Sprawdź, czy spełnione są następujące wymagania wstępne:
o Sieć z możliwością wyszukiwania (otwarte porty, komunikacja przychodząca nieblokowana przez zaporę itd.).
o Nawiązane połączenie z komputerem będącym serwerem.
o Na komputerze lokalnym musi być zainstalowany agent ERA, umożliwiający pełną obsługę wszystkich funkcji
programu.
o Otwarty terminal.
2. Wpisz poniższe polecenie, by uruchomić plik jako program sudo:
sudo ./RDSensor-Linux-x86_64-1.0.223.0.sh
3. Aby sprawdzić poprawność instalacji, należy zweryfikować działanie usługi, wpisując następujące polecenie:
sudo service rdsensor status
4. Narzędzie Rogue Detection Sensor zostanie zainstalowane na komputerze.
5. Plik dziennika komponentu Rogue Detection Sensor można znaleźć tutaj: var/log/eset/RemoteAdministrator/
RogueDetectionSensor/trace.log
3.8.6 Instalacja narzędzia Moduł zarządzania urządzeniami mobilnymi — system Linux
Komponent Moduł zarządzania urządzeniami mobilnymi można zainstalować na serwerze innym niż serwer, na
którym zainstalowane jest rozwiązanie ERA. Jeśli na przykład narzędzie Moduł zarządzania urządzeniami mobilnymi
ma być dostępne przez Internet, by na stałe umożliwić zarządzanie urządzeniami mobilnymi użytkowników.
Instalacja komponentu serwera ERA w systemie Linux realizowana jest przy użyciu polecenia w terminalu. Sprawdź,
czy spełnione są wszystkie wymagania wstępne. Można przygotować skrypt instalacyjny, a następnie wykonać go
przy użyciu programu sudo.
Wiele parametrów instalacji ma charakter opcjonalny, jednak niektóre z nich są wymagane.
Do instalacji wymagany jest certyfikat równorzędny ERA. Certyfikat równorzędny ERA można uzyskać na dwa
sposoby:
Instalacja offline — konieczne będzie podanie certyfikatu równorzędnego (certyfikatu agenta wyeksportowanego
z programu ESET Remote Administrator). Można również użyć certyfikatu niestandardowego.
Parametry polecenia instalacji, które muszą zostać podane:
Certyfikat protokołu HTTPS:
--https-cert-path=
--https-cert-password=
Certyfikat równorzędny:
W przypadku wspomaganej instalacji serwerowej należy podać przynajmniej:
--webconsole-password=
W przypadku instalacji offline należy podać:
--cert-path=
(hasło nie jest potrzebne w przypadku domyślnego certyfikatu agenta utworzonego podczas
pierwszej instalacji serwera ERA)
--cert-password=
Połączenie z serwerem ERA (nazwa lub adres IP):
--hostname=
68
W przypadku bazy danych MySQL należy podać:
--db-type="MySQL Server"
--db-driver=
--db-admin-username=
--db-admin-password=
--db-user-password=
W przypadku bazy danych MSSQL należy podać:
--db-type="Microsoft SQL Server"
--db-driver=
--db-admin-username=
--db-admin-password=
--db-user-password=
W przypadku istniejącej już bazy danych MySQL/MSSQL należy podać:
--db-use-existing-db=
lub
--db-drop-existing-db=
Przykład
sudo ./MDMCore-Linux-x86_64-0.0.0.0.sh \
--https-cert-path="./httpscert.pfx" \
--https-cert-password="123456789" \
--port=2222 \
--db-type="MySQL" \
--db-driver="MySQL" \
--db-admin-username="root" \
--db-admin-password=123456789 \
--db-user-password=123456789 \
--db-hostname="127.0.0.1" \
--db-use-existing-db \
--webconsole-password=123456789 \
--hostname=username.LOCAL \
--mdm-hostname=username.LOCAL
Aby uzyskać pełną listę dostępnych parametrów (wydrukować komunikat pomocy), użyj polecenia:
--help
/var/log/eset//mdminstaller.log
Po ukończeniu instalacji sprawdź czy narzędzie Moduł zarządzania urządzeniami mobilnymi działa prawidłowo,
otwierając w przeglądarce internetowej łącze https://nazwa-hosta-mdm:port-rej estracj i (np. https://eramdm:9980).
Jeśli instalacja przebiegła prawidłowo, wyświetlony zostanie następujący komunikat:
Przy użyciu tego adresu URL można również sprawdzić dostępność serwera narzędzia Moduł zarządzania
urządzeniami mobilnymi w Internecie (jeśli zastosowano taką konfigurację), przechodząc pod ten adres na
urządzeniu mobilnym. Jeśli strona okaże się niedostępna, należy sprawdzić ustawienia zapory oraz inne elementy
konfiguracji infrastruktury sieciowej.
69
3.8.6.1 Wymagania wstępne dotyczące komponentu Moduł zarządzania urządzeniami mobilnymi —
system Linux
W celu zainstalowania komponentu Moduł zarządzania urządzeniami mobilnymi w systemie Linux niezbędne jest
spełnienie następujących wymagań wstępnych:
Zainstalowany i skonfigurowany serwer bazy danych z kontem głównym (przed instalacją nie trzeba tworzyć konta
użytkownika, ponieważ może je utworzyć instalator).
apt-get install unixodbc libmyodbc (dystrybucje Debian, Ubuntu)
yum install mysql-connector-odbc (dystrybucje CentOS, Red-Hat, Fedora)
UWAGA: Należy użyć pakietu unixODBC_23 (nie domyślnego pakietu unixODBC) w celu połączenia serwera ERA z
bazą danych MySQL bez żadnych problemów. Dotyczy to w szczególności systemu SUSE Linux.
o Skonfigurowanie pliku instalacyjnego serwera jako pliku wykonywalnego.
chmod +x MDMCore-Linux-i686.sh
o Po instalacji należy sprawdzić, czy usługa MDMCore jest uruchomiona.
service mdmcore status
o Najniższa obsługiwana wersja biblioteki openSSL to openssl-1.0.1e-30.
WAŻNE: Potrzebny będzie certyfikat SSL w formacie .pfx umożliwiający bezpieczną komunikację przy użyciu
protokołu HTTPS. Zalecamy użycie certyfikatu dostarczonego przez urząd certyfikacji. Samodzielnie podpisane
certyfikaty nie są zalecane, ponieważ nie wszystkie urządzenia mobilne umożliwiają użytkownikom akceptowanie
samodzielnie podpisanych certyfikatów. Ten problem nie występuje w przypadku certyfikatów podpisanych przez
urząd certyfikacji, ponieważ są one zaufane i nie wymagają akceptacji ze strony użytkownika.
WAŻNE: W przypadku instalacji offline konieczne będzie podanie certyfikatu równorzędnego (certyfikatu agenta
wyeksportowanego z programu ESET Remote Administrator). W rozwiązaniu ERA można również użyć certyfikatu
niestandardowego.
3.8.7 Instalacja serwera proxy Apache HTTP — system Linux
Aby zainstalować komponent serwer proxy Apache HTTP w systemie Windows, należy wykonać następujące
działania:
1. Zainstaluj serwer Apache HTTP (co najmniej w wersji 2.4.10)
2. Załaduj następujące moduły: access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile,
authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk
3. Dodaj konfigurację buforowania:
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk
4. Jeśli katalog /var/cache/apache2/mod_cache_disk nie istnieje, utwórz go i nadaj mu uprawnienia serwera
Apache (r, w, x)
5. Dodaj konfigurację serwera proxy:
ProxyRequests On
ProxyVia On
70
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
6. Włącz dodaną konfigurację (jeśli konfiguracja jest konfiguracją główną, możesz pominąć ten krok)
7. W razie potrzeby zmień port nasłuchu (domyślnie ustawiony jest port 3128)
8. Opcjonalne uwierzytelnianie podstawowe:
o Dodaj konfigurację uwierzytelniania do dyrektywy serwera proxy:
AuthType Basic
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
o Utwórz plik hasła przy użyciu pliku htpasswd.exe
-c
o Ręcznie utwórz plik o nazwie group.file z elementem usergroup:username
9. Uruchom serwer ponownie
Ubuntu Server 14.10:
1.sudo apt-get install apache2
2.sudo a2enmod access_compat auth_basic authn_core authn_file authz_core authz_groupfile \
authz_host proxy proxy_http proxy_connect cache cache_disk
3.sudo vim /etc/apache2/conf-available/caching.conf
o Skopiuj i wklej konfigurację buforowania:
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk
4.
Ten krok powinien być opcjonalny, jednak w razie braku katalogu buforowania uruchom następujące polecenia:
sudo mkdir /var/cache/apache2/mod_cache_disk
sudo chown www-data /var/cache/apache2/mod_cache_disk
sudo chgrp www-data /var/cache/apache2/mod_cache_disk
5.sudo vim /etc/apache2/conf-available/proxy.conf
o Skopiuj i wklej konfigurację serwera proxy:
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
6.sudo a2enconf caching.conf proxy.conf
7.sudo vim /etc/apache2/ports.conf
o
Zastąp wpis Listen
80
wpisem Listen
3128
8. Opcjonalne uwierzytelnianie podstawowe:
o sudo vim /etc/apache2/conf-available/proxy.conf
Skopiuj i wklej konfigurację uwierzytelniania przed znacznikiem </Proxy>:
71
AuthType Basic
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
sudo apt-get install apache2-utils
sudo htpasswd -c /etc/apache2/password.file user
sudo vim /etc/apache2/group.file
insert: usergroup:user
9.sudo service apache2 restart
Ustawienia ogólne:
Zezwól na przekazywanie jedynie w ramach komunikacji z produktami ESET:
1. Zastąp poniższy element konfiguracji serwera proxy:
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
następującym:
<Proxy *>
Deny from all
</Proxy>
<ProxyMatch ^[h,H][t,T][t,T][p,P][s,S]?://([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\. \
[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>
<ProxyMatch ^[h,H][t,T][t,T][p,P][s,S]?://([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\. \
[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>
<ProxyMatch ^[h,H][t,T][t,T][p,P][s,S]?://([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2. \
mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net|edf-pcs.cloudapp.net|edf-pcs2.clouda
edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>
<ProxyMatch ^[h,H][t,T][t,T][p,P][s,S]?://([^@/]*@)?(87.106.247.14|209.157.66.250|209.157.66.253| \
212.227.134.125|212.227.134.126|212.227.134.128|212.227.134.130|212.227.134.131|212.227.134.132| \
212.227.134.133|212.227.134.158)(:[0-9]+)?(/.*)?$>
Allow from all
</ProxyMatch>
Tworzenie łańcucha na serwerze proxy (cały ruch):
Dodaj poniższy wiersz do konfiguracji serwera proxy (hasło działa wyłącznie w przypadku podrzędnego serwera
proxy):
ProxyRemote * http://10.1.172.26:3128
Squid3:
1. Zainstaluj oprogramowanie Squid3
2. Dodaj do konfiguracji wpis cache_dir ufs /var/spool/squid3 5000
ustawienia cache_dir (5000 to rozmiar pamięci podręcznej w MB)
16 256 max-size=200000000
3. Utwórz folder pamięci podręcznej przy użyciu usługi squid: squid3
uruchomiona)
(zatrzymaj usługę squid3, jeśli jest
4. Dodaj zezwolenie na dostęp w przypadku żądanych klientów
5. Uruchom ponownie usługę squid3
Ubuntu Server 14.10:
1.sudo apt-get install squid3
72
-z
w ramach
2.sudo vim /etc/squid3/squid.conf
Zastąp wpis #cache_dir
ufs /var/spool/squid3 100 16 256
256 max-size=200000000
wpisem cache_dir
ufs /var/spool/squid3 5000 16
3.sudo service squid3 stop
sudo squid3 -z
4.sudo vim /etc/squid3/squid.conf
Dodaj wpis http_access
serwera proxy
allow all
przed wpisem http_access
deny all ,
aby zezwolić wszystkim na dostęp do
5.sudo service squid3 restart
3.8.8 Dezinstalacja i ponowna instalacja komponentu — system Linux
Jeśli chcesz ponownie zainstalować lub uaktualnić komponent do nowszej wersji, uruchom ponownie skrypt
instalacyjny.
Aby odinstalować komponent (w tym przypadku serwer ERA), uruchom program instalacyjny z parametrem -uninstall, jak w poniższym przykładzie:
sudo ./Server-Linux-i686.sh --uninstall --keep-database
W celu odinstalowania innych komponentów w poleceniu należy użyć nazw odpowiednich pakietów. Przykład dla agenta ER
sudo ./Agent-Linux-x86_64.sh --uninstall
Ostrzeżenie: Podczas procesu dezinstalacji dane konfiguracji i bazy danych zostaną usunięte. Aby zachować pliki bazy
danych, można utworzyć zrzut SQL bazy danych lub użyć parametru --keep-database.
Po odinstalowaniu należy sprawdzić:
Usunięcie usługi eraserverService.sh.
Usunięcie folderu /etc/opt/eset/RemoteAdministrator/Server/.
Zalecamy utworzenie kopii zapasowej bazy danych przed przeprowadzeniem dezinstalacji, na wypadek, gdyby
zaistniała potrzeba odzyskania danych.
73
3.9 Rekord usługi DNS
Procedura konfigurowania rekordu zasobu DNS:
1. Na serwerze DNS (serwerze DNS obsługiwanym przez kontroler domeny) przejdź do obszaru Panel sterowania >
Narzędzia administracyjne.
2. Wybierz wartość DNS.
3. W obszarze Menedżer DNS wybierz w strukturze drzewa pozycję _tcp i utwórz nowy rekord Lokalizacja usługi
(SRV).
4. W polu Usługa wprowadź nazwę usługi w sposób zgodny ze standardowymi regułami DNS, wpisz symbol
podkreślenia ( _ ) przed nazwą usługi (użyj własnej nazwy usługi, na przykład _era).
5. W polu Protokół wprowadź protokół TCP w następującym formacie: _tcp.
6. W polu Numer portu wpisz wartość 2222.
7. W polu Host oferujący tę usługę wprowadź w pełni kwalifikowaną nazwę domeny (nazwę FQDN) serwera ERA.
8. Zapisz rekord, klikając opcję [OK], a następnie [Gotowe] — spowoduje to wyświetlenie rekordu na liście.
W celu zweryfikowania rekordu DNS:
1. Zaloguj się na dowolnym komputerze w swojej domenie i otwórz wiersz polecenia (cmd.exe).
2. W wierszu polecenia wpisz nslookup i naciśnij klawisz Enter.
3. Wpisz set querytype=srv i naciśnij klawisz Enter.
4. Wpisz _era._tcp.domain.name i naciśnij klawisz Enter. Lokalizacja usługi powinna zostać poprawnie wyświetlona.
UWAGA: Ta procedura jest jednakowa dla systemu Windows oraz systemu Linux.
UWAGA: Należy pamiętać o zmianie wartości w polu „Host oferujący tę usługę:” na nazwę FQDN nowego serwera po
zainstalowaniu serwera ESET Remote Administrator na innym komputerze.
74
3.10 Narzędzie do obsługi migracji
Kreator migracji to odrębna aplikacja, umożliwiająca prostą migrację danych z oprogramowania w wersji 4.x lub 5.x
do pośredniej bazy danych, a następnie zaimportowanie ich do rozwiązania ERA 6.x.
Należy pobrać narzędzie do obsługi migracji rozwiązania ESET Remote Administrator. Do pobrania narzędzia
niezbędna jest istniejąca, nadana przez firmę ESET nazwa użytkownika oraz hasło.
UWAGA: W celu rozwiązania problemu z brakującymi plikami MSVCP100.dll lub MSVCR100.dll należy zainstalować
najnowszy pakiet Microsoft Visual C++ 2010 Redistributable. Można użyć następującego łącza: pakiet Microsoft
Visual C++ 2010 Redistributable (x86).
75
3.10.1 Scenariusz migracji 1
Scenariusz dotyczy migracji do rozwiązania ERA 6.x działającego na innym komputerze niż rozwiązanie ERA w wersji
4.x lub 5.x.
1. Pierwszym krokiem w procedurze migracji jest zainstalowanie oprogramowania ERA 6.x i uruchomienie go na
innym komputerze.
2. Uruchom narzędzie do obsługi migracji rozwiązania ESET Remote Administrator na komputerze z
oprogramowaniem ERA w wersji 4.x lub 5.x i wybierz opcję Eksportuj, by zapisać dane ze starszego
oprogramowania ERA do pliku pośredniej bazy danych.
3. Kreator migracji umożliwia przeniesienie wyłącznie określonych danych. Wybierz dane, które chcesz przenieść i
kliknij przycisk Dalej.
Ze względu na nową strukturę i zasady działania grup dynamicznych w oprogramowaniu ERA 6.x z wcześniejszych
wersji nie można przenieść grup parametrycznych, zadań ani reguł. Po wybraniu folderu, w którym zapisana zostanie
tymczasowa baza danych, w kreatorze zostanie wyświetlony stan archiwizacji bazy danych oprogramowania ERA w
wersji 4.x lub 5.x.
76
Wszystkie dane są eksportowane do pośredniej bazy danych.
4. Po ukończeniu eksportowania danych do wyboru są dwie możliwości:
Pierwsza z nich to zakończenie eksportu, skopiowanie pliku tymczasowej bazy danych na serwer, na którym
działa oprogramowanie ESET Remote Administrator 6.x oraz zaimportowanie danych przy użyciu narzędzia do
obsługi migracji ERA na tym serwerze.
Druga możliwość to kliknięcie opcji Importuj teraz i zaimportowanie danych bezpośrednio do programu ESET
Remote Administrator 6.x przez sieć. Należy podać dane połączenia i dane logowania do nowego serwera
ERA.
UWAGA: Grupy statyczne synchronizowane z usługą Active Directory są ignorowane i nie zostaną wyeksportowane.
Jeśli ustawienia serwera nie zezwalają na importowanie określonych danych, w narzędziu do obsługi migracji
rozwiązania ESET Remote Administrator użytkownik będzie mógł zdecydować, czy chce wprowadzić zmiany w
ustawieniach serwera ERA 6.x w odniesieniu do określonych komponentów.
Zostanie wówczas zaimportowany każdy z komponentów. Dla każdego komponentu dostępny jest dziennik
importu (migracji). Po ukończeniu importu w narzędziu do obsługi migracji wyświetlone zostaną wyniki
procesu importowania.
Jeśli migracji poddano użytkowników, ich hasła zostały zresetowane i zastąpione losowo wygenerowanymi
hasłami. Hasła te można wyeksportować w formacie .CSV .
W kreatorze narzędzia do obsługi migracji generowany jest również skrypt, którego można użyć do wstępnego
skonfigurowania agentów ERA na komputerach klienckich. Skrypt ten jest niewielkim plikiem wykonywalnym
.bat nadającym się do dystrybucji na komputerach klienckich.
77
Zalecamy przejrzenie ustawień i danych po migracji w celu sprawdzenia, czy importowanie przebiegło
pomyślnie. Po sprawdzeniu można użyć tego skryptu do wdrożenia agenta ERA na niewielkiej grupie
komputerów w celu sprawdzenia, czy komputery łączą się prawidłowo z serwerem.
Po pomyślnym nawiązaniu połączenia przez komputery z grupy testowej można wdrożyć agenta na
pozostałych komputerach (ręcznie lub przy użyciu zadania synchronizacji z usługą AD).
UWAGA: Jeśli któryś z etapów migracji zakończy się niepowodzeniem, należy wycofać zmiany wprowadzone w
ramach rozwiązania ERA 6.x, skonfigurować komputery, by łączyły się z serwerem ERA w wersji 4.x lub 5.x,
przywrócić dane kopii zapasowej oprogramowania ERA w wersji 4.x lub 5.x i skontaktować się działem obsługi
klienta firmy ESET.
Scenariusz dotyczy migracji do rozwiązania ESET Remote Administrator 6.x działającego na tym samym komputerze
co rozwiązanie ERA w wersji 4.x lub 5.x. Przed migracją danych należy wykonać kopię zapasową danych serwera ERA
(używając narzędzia konserwacyjnego firmy ESET), a wszystkie usługi w systemie operacyjnym powinny zostać
zatrzymane.
1. Po uruchomieniu narzędzia do obsługi migracji rozwiązania ESET Remote Administrator na komputerze z
oprogramowaniem ERA w wersji 4.x lub 5.x administrator wybiera opcję Eksportuj, by zapisać dane z
oprogramowania ERA w wersji 4.x lub 5.x w pliku pośredniej bazy danych. Kreator migracji umożliwia
przeniesienie wyłącznie określonych danych:
78
UWAGA: Z oprogramowania ERA w wersji 4.x lub 5.x nie można przenosić grup parametrycznych, zadań i reguł ze
względu na nową strukturę i funkcje grup dynamicznych w rozwiązaniu ERA 6.x.
79
2. Po wybraniu folderu zapisu tymczasowej bazy danych w kreatorze zostanie wyświetlony stan archiwizacji bazy
danych oprogramowania ERA w wersji 4.x lub 5.x.
3. Wszystkie dane są eksportowane do pośredniej bazy danych.
Po pomyślnym wyeksportowaniu danych i przed wdrożeniem serwera ERA 6.x oprogramowanie ERA w wersji
4.x lub 5.x należy odinstalować.
Po zainstalowaniu serwera ERA 6.x można zaimportować wyeksportowaną bazę danych przy użyciu narzędzia
do obsługi migracji. Administratorowi wyświetli się monit o wybranie zapisanego pliku.
80
klienta firmy ESET.
Scenariusz dotyczy migracji do rozwiązania ERA 6.x, w którym punkty końcowe łączą się ze starszym rozwiązaniem
ERA w wersji 4.x lub 5.x aż do momentu wdrożenia agenta ERA w ramach rozwiązania ERA 6.x.
UWAGA: Ten scenariusz przeznaczony jest wyłącznie dla użytkowników zaawansowanych. Nie zalecamy tego typu
migracji, jeśli dostępne są inne możliwości.
1. Po uruchomieniu narzędzia do obsługi migracji rozwiązania ESET Remote Administrator na komputerze z
oprogramowaniem ERA w wersji 4.x lub 5.x administrator wybiera opcję Eksportuj, by zapisać dane z
oprogramowania ERA w wersji 4.x lub 5.x w pliku pośredniej bazy danych. Kreator migracji umożliwia
przeniesienie wyłącznie określonych danych:
81
UWAGA: Z oprogramowania ERA w wersji 4.x lub 5.x nie można przenosić grup parametrycznych, zadań i reguł ze
względu na nową strukturę i funkcje grup dynamicznych w rozwiązaniu ERA 6.x.
82
2. Po wybraniu folderu zapisu tymczasowej bazy danych w kreatorze zostanie wyświetlony stan archiwizacji bazy
danych oprogramowania ERA w wersji 4.x lub 5.x.
3. Wszystkie dane są eksportowane do pośredniej bazy danych.
4. Jeśli nowy serwer ERA 6 zostanie uruchomiony na tym samym komputerze, na którym zainstalowany jest serwer
ERA w wersji 4.x lub 5.x, można zmienić porty starego serwera ERA oraz zmienić nazwę usługi serwera (sc config
ERA_SERVER DisplayName= "ESET Remote Administrator g1" ).
5. Po wyeksportowaniu danych program ESET Remote Administrator 4.x lub 5.x należy uruchomić ponownie.
6. Należy zainstalować nowe rozwiązanie ESET Remote Administrator 6 i zaimportować pośrednią bazę danych przy
użyciu narzędzia do obsługi migracji.
83
klienta firmy ESET.
Po przeprowadzeniu tego typu migracji nie będą dostępne dzienniki wyeksportowane w czasie między procesem
tworzenia kopii zapasowej serwera ERA w wersji 4.x lub 5.x a wdrożeniem agenta na komputerze klienckim. Dane te
będą jednak nadal dostępne w starym oprogramowaniu ERA w wersji 4.x lub 5.x.
84
4. Pierwsze kroki
Po pomyślnym zainstalowaniu programu ESET Remote Administrator można przejść do jego konfigurowania. W
kolejnych rozdziałach przedstawione zostaną zalecane działania wstępne, które należy podjąć po zainstalowaniu
programu ESET Remote Administrator.
Najpierw należy otworzyć konsolę internetową ERA w przeglądarce internetowej i zalogować się.
Zapoznanie się z konsolą internetową ERA
Przed przystąpieniem do wprowadzania konfiguracji wstępnej zalecamy zapoznanie się z konsolą internetową ERA,
ponieważ jest to interfejs służący do zarządzania oprogramowaniem zabezpieczającym firmy ESET.
Dodawanie do struktury ERA komputerów klienckich, serwerów oraz urządzeń mobilnych działających w sieci
Podczas instalacji można zdecydować się na wyszukanie w sieci komputerów (klientów). Wszystkie klienty zostaną
wymienione w obszarze Komputery po uruchomieniu programu ESET Remote Administrator. Jeśli w obszarze
Komputery nie są wymienione klienty, należy uruchomić zadanie Synchronizacja grupy statycznej w celu wyszukania
komputerów i wyświetlenia ich w grupach.
Wdrożenie agenta
Po wyszukaniu komputerów należy wdrożyć agenta na komputerach klienckich. Agent umożliwia komunikację
pomiędzy programem ESET Remote Administrator a klientami.
Instalowanie produktu firmy ESET (w tym aktywacja)
Aby zapewnić bezpieczeństwo klientów oraz sieci, należy zainstalować produkty firmy ESET. Służy do tego zadanie
Instalacja oprogramowania.
Tworzenie/edytowanie grup
Zalecamy podzielenie klientów na grupy, statyczne i dynamiczne, na podstawie różnych kryteriów. Ułatwia to
zarządzanie klientami i pozwala kontrolować stan sieci.
Tworzenie nowej reguły
Reguły są bardzo przydatne, gdy konieczne jest wymuszenie określonej konfiguracji produktu firmy ESET
uruchomionego na komputerach klienckich. Umożliwia to wyeliminowanie konieczności ręcznego konfigurowania
produktu ESET na każdym z klientów, dzięki wymuszeniu konfiguracji przy użyciu reguły. Po utworzeniu nowej
reguły o niestandardowej konfiguracji można przypisać ją do grupy (statycznej lub dynamicznej). Reguła zostaje
następnie zastosowana w odniesieniu do wszystkich komputerów z tej grupy.
Przypisywanie reguły do grupy
Jak wyjaśniono wyżej, by umożliwić zastosowanie reguły, należy przypisać ją do grupy. Reguła zostanie zastosowana
w odniesieniu do komputerów należących do tej grupy. Reguła jest stosowana za każdym razem, gdy agent
nawiązuje połączenie z serwerem ERA.
Konfigurowanie powiadomień i tworzenie raportów
Aby skuteczniej kontrolować, co dzieje się na komputerach klienckich w danym środowisku, zalecamy korzystanie z
powiadomień i raportów. Można na przykład zdecydować, czy w razie wystąpienia określonych zdarzeń mają być
wysyłane powiadomienia, czy też mają być wyświetlane lub pobierane raporty.
4.1 Otwieranie konsoli internetowej ERA
Konsolę internetową ERA można otworzyć na kilka różnych sposobów:
Na serwerze lokalnym (urządzeniu będącym hostem dla konsoli internetowej) wpisz w przeglądarce następujący
adres URL:
https://localhost/era/
Na dowolnym urządzeniu z dostępem do używanego serwera internetowego wpisz adres URL w następującym
formacie:
https://nazwa_serwera/era/
Część „nazwa_serwera” zastąp prawdziwą nazwą lub adresem IP używanego serwera internetowego.
85
Aby zalogować się do wirtualnego urządzenia ERA, użyj następującego adresu URL:
https://[adres IP]:8443/
Część „[adres IP]” zastąp adresem IP maszyny wirtualnej ERA. Jeśli nie pamiętasz adresu IP, zapoznaj się z krokiem
9 instrukcji wdrożenia urządzenia wirtualnego.
Na serwerze lokalnym (komputerze będącym hostem dla konsoli internetowej), kliknij kolejno pozycje Start >
Wszystkie programy > ESET > ESET Remote Administrator > Konsola internetowa ESET Remote Administrator. Ekran
logowania zostanie otwarty w domyślnej przeglądarce internetowej. Nie dotyczy to urządzenia wirtualnego ERA.
UWAGA: W związku z tym, że w konsoli internetowej używany jest protokół bezpieczny (HTTPS), w przeglądarce
internetowej może zostać wyświetlony komunikat dotyczący certyfikatu zabezpieczeń lub niezaufanego połączenia
(dokładna treść komunikatu zależy od używanej przeglądarki). Powodem jest to, że w przeglądarce wymagane jest
zweryfikowanie przez użytkownika tożsamości strony, do której próbuje uzyskać dostęp. Aby umożliwić dostęp do
konsoli internetowej ERA, kliknij opcję Kontynuuj przeglądanie tej witryny sieci Web (Internet Explorer) lub kliknij
opcję Rozumiem zagrożenie, Dodaj wyjątek..., a następnie opcję Potwierdź wyjątek bezpieczeństwa (Firefox).
Dotyczy to tylko próby uzyskania dostępu do konsoli internetowej ESET Remote Administrator przy użyciu adresu
URL.
Gdy serwer internetowy (ten, na którym uruchomiona jest konsola internetowa ERA) działa, wyświetlony zostaje
następujący ekran.
Jeśli jest to pierwsze logowanie, należy podać poświadczenia wprowadzone podczas procedury instalacji. Więcej
informacji na temat tego ekranu można znaleźć w części Ekran logowania do konsoli internetowej.
UWAGA: W razie gdyby ekran logowania nie został wyświetlony lub gdyby stale się ładował (zdarza się to rzadko),
należy uruchomić ponownie usługę ESET Remote Administrator Server. Po ponownym pomyślnym uruchomieniu
usługi ESET Remote Administrator Server należy uruchomić usługę Apache Tomcat. Po tych działaniach ekran
logowania do konsoli internetowej załaduje się pomyślnie.
86
4.2 Ekran logowania do konsoli internetowej ERA
Do zalogowania się do konsoli internetowej niezbędne są poświadczenia (nazwa użytkownika i hasło). Można
również zalogować się jako użytkownik domeny po zaznaczeniu pola wyboru przy opcji Zaloguj się do domeny
(użytkownik domeny nie jest powiązany z żadną zmapowaną grupą domen). Z listy dostępnej w prawym górnym
ekranu logowania można wybrać język użytkownika. Wybranie opcji Zezwól na sesję na wielu kartach umożliwi
otwieranie konsoli internetowej ERA na wielu kartach przeglądarki internetowej.
Zmień hasło/Spróbuj użyć innego konta — te opcje umożliwiają zmianę hasła lub przejście z powrotem do ekranu
logowania. Użytkownik bez zestawu uprawnień może się zalogować do konsoli internetowej, ale nie będzie miał
dostępu do ważnych informacji.
87
W celu nadania użytkownikowi uprawnień do odczytu/zapisu/modyfikacji w modułach konsoli internetowej, należy
utworzyć odpowiedni zestaw uprawnień i przypisać go do użytkownika.
Zarządzanie sesją i środki bezpieczeństwa:
Blokada logowania z adresu IP
Po 10 nieudanych próbach zalogowania z tego samego adresu IP kolejne próby zalogowania z tego adresu IP zostaną
czasowo zablokowane na około 10 minut. Ta blokada prób logowania z adresu IP nie ma wpływu na trwające sesje.
Blokada adresu IP ze względu na nieprawidłowy identyfikator sesji
Po 15-krotnym wprowadzeniu z tego samego adresu IP nieprawidłowego identyfikatora sesji wszystkie kolejne
połączenia z tego adresu IP będą blokowane przez około 15 minut. Nie są brane pod uwagę identyfikatory wygasłych
sesji. Jeśli w przeglądarce używany jest identyfikator wygasłej sesji, nie jest to uznawane za atak. Blokada adresu IP
na 15 minut dotyczy wszystkich czynności (w tym prawidłowych żądań).
88
4.3 Zapoznanie się z konsolą internetową ERA
Konsola internetowa programu ESET Remote Administrator jest głównym interfejsem umożliwiającym łączenie z
serwerem ERA. Można ją postrzegać jako panel sterowania — centralne miejsce, z którego można zarządzać
wszystkimi programami zabezpieczającymi ESET. To internetowy interfejs, do którego można uzyskać dostęp za
pomocą przeglądarki internetowej (patrz sekcja Obsługiwane przeglądarki internetowe) z dowolnego miejsca, za
pomocą dowolnego urządzenia z dostępem do Internetu.
Główne zasady dotyczące orientacji interfejsu GUI:
Bieżący użytkownik zawsze jest wyświetlany u góry z prawej strony, gdzie odliczany jest limit czasu jego sesji. W
dowolnym momencie można się wylogować, klikając opcję Wyloguj dostępną obok licznika czasu. Po upłynięciu
limitu czasu sesji (z powodu braku aktywności użytkownika) użytkownik musi się ponownie zalogować.
Kliknięcie znaku ? widocznego u góry każdego ekranu umożliwia wyświetlenie ekranu pomocy z informacjami na
temat danego ekranu.
Menu jest zawsze dostępne z lewej strony, z wyjątkiem sytuacji, gdy używany jest Kreator. W dowolnym
momencie można wyświetlić menu, umieszczając wskaźnik myszy po lewej stronie ekranu. W menu dostępne są
również łącza Na skróty i wyświetlana jest wersja konsoli internetowej.
Ikona koła zębatego zawsze wskazuje menu kontekstowe.
Ekrany z drzewem mają określone elementy sterujące. Samo drzewo znajduje się po lewej stronie, a pod nim
widoczne są dostępne czynności. Wystarczy kliknąć element, by wyświetlić dostępne dla niego opcje.
89
Tabele umożliwiają zarządzanie jednostkami w wierszach pojedynczo lub całymi grupami (po zaznaczeniu większej
liczby wierszy). Kliknięcie wiersza umożliwia wyświetlenie opcji jednostek znajdujących się w tym wierszu. Dane w
tabelach można filtrować i sortować.
Obiekty w programie ERA można edytować przy użyciu kreatorów. Wszystkie kreatory mają pewne wspólne cechy:
90
Kroki ustawione są pionowo, od góry do dołu.
Użytkownik może wrócić do dowolnego kroku, w dowolnym momencie.
Nieprawidłowo wprowadzone dane zostają oznaczone w momencie przeniesienia kursora do nowego pola. Krok
kreatora zawierający nieprawidłowe dane wejściowe jest także oznaczany.
Użytkownik może w dowolnym momencie sprawdzić nieprawidłowe dane, klikając przycisk Ustawienia
obowiązkowe.
Przycisk Zakończ nie jest dostępny, dopóki wszystkie dane nie są prawidłowe.
4.4 Wdrożenie
Po pomyślnym zainstalowaniu programu ESET Remote Administrator konieczne jest wdrożenie na komputerach w
sieci agenta ERA i rozwiązań zabezpieczających ESET Endpoint (EES, EEA...). Wdrożenie obejmuje następujące etapy:
1. Dodawanie komputerów klienckich do struktury grup ESET Remote Administrator.
2. Wdrożenie agenta ERA.
3. Wdrożenie rozwiązań zabezpieczających ESET Endpoint
Gdy agent ERA zostanie już wdrożony, można przeprowadzić instalację zdalną innych produktów zabezpieczających
firmy ESET na komputerach klienckich. Poszczególne kroki instalacji zdalnej opisano w rozdziale Instalacja produktu.
4.4.1 Dodawanie komputera klienckiego do struktury ERA
Dostępne są 3 sposoby dodawania komputera klienckiego do struktury ESET Remote Administrator:
Synchronizacja z usługą Active Directory
Ręczne wpisanie nazwy/adresu IP
Korzystanie z narzędzia RD Sensor
91
4.4.1.1 Używanie synchronizacji z usługą Active Directory
Synchronizację z usługą Active Directory przeprowadza się uruchamiając zadanie serwera Synchronizacja grupy
statycznej.
Administrator > Zadanie serwera to wstępnie zdefiniowane zadanie, które można wybrać do automatycznego
wykonania podczas instalacji programu ESET Remote Administrator. Jeśli komputer należy do domeny,
synchronizacja zostanie przeprowadzone, a komputery z usługi Active Directory zostaną wpisane do domyślnej
grupy Wszystkie.
Aby rozpocząć procedurę synchronizacji, wystarczy kliknąć zadanie i wybrać pozycję Uruchom teraz. Jeśli konieczne
jest utworzenie nowego zadania synchronizacji AD, wybierz grupę, do której mają zostać dodane nowe komputery z
usługi AD. Zaznacz również obiekty w usłudze AD, z którą ma być przeprowadzona synchronizacja oraz określ sposób
postępowania z duplikatami. Wprowadź ustawienia połączenia z serwerem usługi AD i w pozycji Tryb synchronizacji
wybierz opcję Active Directory/Open Directory/LDAP.
Wykonaj procedurę przedstawioną w tym artykule bazy wiedzy firmy ESET.
92
4.4.1.2 Ręczne wpisanie nazwy/adresu IP
Na karcie Komputery można dodawać nowe komputery. W ten sposób można ręcznie dodawać komputery, które nie
zostały znalezione lub dodane automatycznie.
Wystarczy wpisać adres IP lub nazwę hosta komputera, który ma zostać dodany, aby program ESET Remote
Administrator wyszukał go w sieci.
93
Kliknij opcję Dodaj. Komputery można wyświetlić na liście po prawej stronie po wybraniu grupy, do której należą. Po
dodaniu komputera pojawi się wyskakujące okno z opcją Wdrożenie agenta.
4.4.1.3 Korzystanie z narzędzia RD Sensor
Jeśli użytkownik nie korzysta z synchronizacji AD, najłatwiejszym sposobem na dodanie komputera do struktury ERA
jest użycie narzędzia RD Sensor. Komponent RD Sensor jest częścią pakietu instalacyjnego. Bardziej szczegółowe
dane raportu Współczynnik komputerów nieautoryzowanych można z łatwością znaleźć w dostępnej u dołu panelu
kontrolnego Komputery tabeli, w której po kliknięciu czerwonej części wykresu można wyświetlić nieautoryzowane
komputery.
94
Raport Komputery nieautoryzowane widoczny na panelu kontrolnym będzie zawierać listę komputerów
wyszukanych przez narzędzie RD Sensor. Komputery można dodawać, klikając w tym celu żądany komputer i
używając przycisku Dodaj, by go dodać lub używając polecenia Dodaj wszystkie wyświetlane elementy.
W przypadku dodawania jednego komputera należy wykonać instrukcje wyświetlane na ekranie. Można użyć
podanej wstępnie nazwy lub zmienić ją zgodnie z własnym uznaniem (jest to nazwa wyświetlana, która będzie
używana wyłącznie w konsoli internetowej ERA, a nie właściwa nazwa hosta). Można również dodać opis. Jeśli dany
komputer istnieje już w katalogu ERA, zostanie wyświetlone powiadomienie i użytkownik będzie mógł zdecydować,
co zrobić z duplikatem. Dostępne opcje: Wdrożenie agenta, Pomiń, Spróbuj ponownie, Przenieś, Zduplikuj lub
Anuluj. Po dodaniu komputera pojawi się wyskakujące okno z opcją Wdrożenie agenta.
95
W przypadku kliknięcia polecenia Dodaj wszystkie wyświetlane elementy wyświetlona zostanie lista komputerów
do dodania. Kliknij symbol X przy nazwie danego komputera, jeśli nie chcesz uwzględnić go w danym momencie w
katalogu ERA. Gdy zakończysz usuwanie komputerów z listy, kliknij przycisk Dodaj. Po kliknięciu przycisku Dodaj
wybierz czynność, która ma zostać wykonana w momencie wykrycia duplikatu (w zależności od liczby komputerów
na liście może to chwilę potrwać): Pomiń, Spróbuj ponownie, Przenieś, Zduplikuj oraz Anuluj. Po wybraniu opcji
zostanie wyświetlone wyskakujące okno zawierające wszystkie dodane komputery, w odniesieniu do których
będzie można użyć opcji Wdrożenie agentów.
Wyniki działania narzędzia RD Sensor zostaną zapisane w pliku dziennika o nazwie detectedMachines.log. Plik ten
zawiera listę komputerów wykrytych w sieci. Plik detectedMachines.log można znaleźć w następującej lokalizacji:
System Windows
C:\ProgramData\ESET\Rouge Detection Sensor\Logs\
System Linux
var/log/eset/RemoteAdministrator/RogueDetectionSensor/detectedMachines.log
96
4.4.2 Wdrażanie agenta
Wdrażanie agenta można przeprowadzić na kilka różnych sposobów. Dostępne sposoby wdrażania agenta:
Zdalnie — przy użyciu zadania serwera umożliwiającego masowe wdrożenie agenta ERA. Można również wdrożyć
agenta przy użyciu obiektu GPO lub programu SCCM
Lokalnie — przy użyciu pakietu instalacyjnego agenta lub instalatora Live agenta, np. gdy podczas zdalnego
wdrażania występują problemy.
Wdrażanie lokalne można przeprowadzić na trzy sposoby:
Instalatory Live agenta — przy użyciu skryptu wygenerowanego na konsoli internetowej ERA można rozesłać
instalatory Live agenta w wiadomości e-mail lub uruchomić je z nośnika wymiennego (dysku flash USB itp.).
Wspomagana instalacja serwerowa — przy użyciu pakietu instalacyjnego agenta certyfikaty pobierane są
automatycznie z serwera ERA (zalecana metoda wdrażania lokalnego).
Instalacja offline — przy użyciu pakietu instalacyjnego agenta należy ręcznie wyeksportować certyfikaty i użyć ich
w tej metodzie wdrażania.
Zadania serwera polegającego na zdalnym wdrożeniu agenta można użyć do masowej dystrybucji agenta na
komputerach klienckich. Jest to najwygodniejsza metoda dystrybucji, ponieważ można ją zrealizować przy użyciu
konsoli internetowej, bez konieczności ręcznego wdrażania agenta na każdym z komputerów.
Agent ERA jest bardzo istotnym elementem, ponieważ rozwiązania zabezpieczające firmy ESET działające na
komputerach klienckich komunikują się z serwerem ERA wyłącznie za pośrednictwem agenta.
UWAGA: W przypadku wystąpienia problemów podczas zdalnego wdrażania agenta ERA (jeśli zadanie serwera
Wdrożenie agenta nie powiedzie się) należy zapoznać się z informacjami w przewodniku Rozwiązywanie
problemów.
4.4.2.1 Etapy wdrożenia — system Windows
1. Sprawdź, czy spełnione są wszystkie wymagania wstępne:
Certyfikat agenta jest utworzony i przygotowany na dysku lokalnym.
Komputer pełniący rolę serwera musi być dostępny w sieci.
Wdrożenie agenta zostanie zakończone ze stanem Nie powiodło się) należy zapoznać się z informacjami w
przewodniku Rozwiązywanie problemów.
2. Aby rozpocząć instalację, dwukrotnie kliknij pakiet instalacyjny.
3. Wprowadź dane w polach Host serwera (nazwa hosta/adres IP) oraz Port serwera (domyślnie 2222). Te dane są
używane do nawiązania połączenia z serwerem ERA.
4. Wybierz certyfikat równorzędny i podaj hasło do tego certyfikatu. Możesz również dodać urząd certyfikacji. Jest to
wymagane tylko w przypadku certyfikatów niepodpisanych.
5. Wybierz folder, w którym zostanie zainstalowany agent lub pozostaw zaznaczony folder wstępnie zdefiniowany.
6. Kliknij opcję Zainstaluj. Agent zostanie zainstalowany na komputerze.
UWAGA: Jeśli potrzebny jest szczegółowy dziennik przebiegu instalacji, użytkownik musi uruchomić instalację przy
użyciu programu msiexec i podać niezbędne parametry: msiexec /i program_installer.msi /lv* c:\temp
\installer_log.txt
Przed wykonaniem tego polecenia należy upewnić się, że istnieje folder c:\temp\.
Na komputerze klienckim można zapoznać się z dziennikiem stanu C:\ProgramData\ESET\RemoteAdministrator
\Agent\Logs\status.html, aby sprawdzić, czy agent ERA działa prawidłowo.
97
4.4.2.1.1 Instalatory Live agenta
Ten typ wdrożenia agenta jest przydatny, gdy zdalna i lokalna opcja wdrożenia nie odpowiada użytkownikowi. W
takich przypadkach można rozesłać instalator Live agenta pocztą e-mail, aby użytkownicy mogli go wdrożyć.
Instalator Live agenta można również uruchomić z nośnika wymiennego (dysku flash USB itp.).
UWAGA: Na komputerze klienckim musi być dostępne połączenie internetowe, aby umożliwić pobranie pakietu
instalacyjnego agenta. Ponadto klient musi mieć możliwość nawiązania połączenia z serwerem ERA.
1. Aby utworzyć instalator, kliknij opcję Instalatory Live agenta... w sekcji Na skróty na pasku menu.
98
2. Wprowadź nazwę lub adres IP hosta i wybierz urząd certyfikacji ERA, który został utworzony podczas pierwotnej
instalacji. Gdy zostanie wyświetlony monit o wprowadzenie hasła do certyfikatu, podaj hasło urzędu certyfikacji,
które zostało utworzone podczas instalacji serwera.
3. Kliknij przycisk Pobierz instalatory, aby wygenerować łącza do plików instalatora agentów dla systemu Windows,
Linux i Mac OS.
4. Kliknij łącza Pobierz obok plików instalatora, które chcesz pobrać i zapisz plik ZIP. Aby uruchomić instalator,
rozpakuj plik na komputerze klienckim, na którym chcesz wdrożyć agenta ERA i uruchom plik wsadowy
EraAgentOnlineInstaller.bat (Windows) lub EraAgentOnlineInstaller.sh (Linux i Mac).
UWAGA: Podczas uruchamiania skryptu w systemie Windows XP SP2 należy zainstalować pakiet narzędzi
administracyjnych systemu Microsoft Windows Server 2003. W przeciwnym razie instalator Live agenta nie uruchomi
się prawidłowo. Po zainstalowaniu pakietu narzędzi administracyjnych można uruchomić skrypt instalatora Live
agenta.
Na komputerze klienckim można zapoznać się z dziennikiem stanu C:\ProgramData\ESET\RemoteAdministrator
\Agent\Logs\status.html, aby sprawdzić, czy agent ERA działa prawidłowo. W razie wystąpienia problemów z
agentem (np. braku połączenia z serwerem ERA) informacje można znaleźć w części Rozwiązywanie problemów.
W celu wdrożenia agenta ERA przy użyciu instalatora Live agenta z lokalnego folderu udostępnionego z pominięciem
serwera pobierania repozytorium ESET należy wykonać następujące działania:
99
1. Edytuj plik EraAgentOnlineInstaller.bat (Windows) lub skrypt EraAgentOnlineInstaller.sh (Linux i Mac).
2. Zmień wiersz 28 i 30, by wskazać prawidłowe pliki lokalnego pobierania. Przykład:
3. Użyj własnego adresu URL (w miejsce przedstawionego poniżej):
4. Edytuj wiersz 80, by zastąpić tekst " ^& packageLocation ^& "
tekstem !url!
5. Zapisz plik.
100
4.4.2.1.2 Zdalne wdrożenie agenta
Wdrożenie agenta ERA można przeprowadzić na dwa sposoby. Można użyć zadania serwera, jak opisano poniżej, lub
można wdrożyć agenta przy użyciu obiektu GPO oraz programu SCCM.
Zdalne wdrożenie agenta ERA przy użyciu zadania serwera odbywa się w sekcji Administrator. Skorzystaj z
następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy.
UWAGA: Zalecamy przetestowanie masowego wdrożenia agenta we własnym środowisku przed zastosowaniem tej
metody do wdrożenia agenta ERA na większej grupie klientów. Przed przystąpieniem do testowania masowego
wdrożenia należy odpowiednio ustawić interwał połączenia agenta.
Kliknij kolejno pozycje Zadanie serwera > Wdrożenie agenta > Nowy, aby skonfigurować nowe zadanie.
Podstawowe
101
Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa, opcjonalny opis oraz typ zadania. W polu Typ
zadania określane są ustawienia zadania i jego zachowanie.
102
Ustawienia
o Automatyczne rozpoznawanie odpowiedniego agenta — jeśli używasz w swojej sieci wielu systemów
operacyjnych (Windows, Linux, Mac OS), zaznacz tę opcję, a zadanie automatycznie znajdzie odpowiedni i
zgodny z serwerem pakiet instalacyjny agenta dla każdego z systemów.
o Obiekty docelowe — kliknij, aby wybrać klienty, które będą odbiorcami tego zadania.
o Nazwa użytkownika/hasło — nazwa użytkownika i hasło użytkownika o wystarczających uprawnieniach do
przeprowadzenia zdalnej instalacji agenta.
o Nazwa hosta serwera (opcjonalne) — możesz wprowadzić nazwę hosta serwera, jeśli jest ona inna po stronie
klienta i po stronie serwera.
o Certyfikat równorzędny/certyfikat ERA — jest to certyfikat zabezpieczeń i urząd certyfikacji do instalacji agenta.
Możesz wybrać domyślny certyfikat i urząd certyfikacji lub użyć certyfikatów niestandardowych. Więcej
informacji znajduje się w rozdziale Certyfikaty.
o Certyfikat niestandardowy — jeśli do uwierzytelniania używasz certyfikatu niestandardowego, podczas
instalowania agenta przejdź do certyfikatu i wybierz go.
o Hasło do certyfikatu — hasło do certyfikatu. Hasło wprowadzone podczas instalacji serwera (na etapie
tworzenia urzędu certyfikacji) lub hasło do certyfikatu niestandardowego.
UWAGA: Serwer ERA może automatycznie wybrać pakiet instalacyjny agenta odpowiedni dla systemów
operacyjnych. Aby wybrać pakiet ręcznie, usuń zaznaczenie pozycji Automatyczne rozpoznawanie odpowiedniego
agenta i za pośrednictwem repozytorium serwera ERA spośród dostępnych agentów wybierz pakiet, który ma zostać
użyty.
Obiekt docelowy
Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania.
103
Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy.
Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający.
104
Element wyzwalający — określa zdarzenie wyzwalające zadanie.
Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram
można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON.
Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET
Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty
wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie
zostanie wykonane.
Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym
miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie.
Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania.
Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie
zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę
statyczną lub pojedyncze klienty, ta opcja nie jest dostępna.
UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające.
Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli
zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub
element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale
Ograniczanie.
Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk
Zakończ.
Podsumowanie
Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij
przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku.
Wdrożenie agenta zakończy się niepowodzeniem) informacje można znaleźć w sekcji Rozwiązywanie problemów w
niniejszej instrukcji.
105
4.4.2.1.3 Lokalne wdrożenie agenta
Aby przeprowadzić lokalne wdrożenie agenta na komputerze klienckim przy użyciu kreatora instalacji, wykonaj
Pobierz pakiet instalacyjny agenta dostępny w obszarze Pliki do pobrania strony internetowej ESET w części Zdalne
zarządzanie (kliknij znak +, by rozwinąć kategorię). Uruchom program instalacyjny na komputerze klienckim, na
którym chcesz przeprowadzić wdrożenie agenta. Po zaakceptowaniu umowy EULA wybierz typ instalacji, którą
chcesz przeprowadzić — Wspomagana instalacja serwerowa lub Instalacja offline.
Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy. Możesz również
zapoznać się z tym artykułem bazy wiedzy firmy ESET z ilustrowanymi szczegółowymi instrukcjami.
1. Wspomagana instalacja serwerowa:
Sprawdź, czy wybrana jest opcja Wspomagana instalacja serwerowa, w polu Host serwera podaj nazwę lub adres IP a
w polu Port serwera podaj port serwera ERA, a następnie kliknij przycisk Dalej. Domyślny port serwera to 2222. Jeśli
używany jest inny port, należy zastąpić port domyślny numerem portu niestandardowego.
Określ metodę łączenia się z serwerem Remote Administrator: Serwer ERA lub Serwer proxy ERA, a następnie
wprowadź port konsoli internetowej ERA oraz poświadczenia konsoli internetowej ERA w polach Nazwa
użytkownika i Hasło.
106
Zaznacz opcję Wybierz niestandardową grupę statyczną i z menu rozwijanego wybierz grupę statyczną, do której
zostanie dodany komputer kliencki.
107
2. Instalacja offline:
Aby przeprowadzić instalację offline, wprowadź wartość 2222 w polu Port serwera, zaznacz opcję Instalacja offline i
kliknij przycisk Dalej. W tej metodzie należy określić certyfikat równorzędny i urząd certyfikacji.
Więcej informacji na temat eksportowania certyfikatu równorzędnego i urzędu certyfikacji oraz korzystania z nich
można znaleźć tutaj.
UWAGA: Na komputerze klienckim można zapoznać się z dziennikiem stanu (jego lokalizacja to C:\ProgramData
\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\status.html), aby sprawdzić, czy agent ERA działa
prawidłowo. W razie wystąpienia problemów z agentem (np. braku połączenia z serwerem ERA) informacje można
znaleźć w części Rozwiązywanie problemów.
108
4.4.2.2 Etapy wdrożenia — system Linux
Etapy te dotyczą przeprowadzania lokalnej instalacji agenta. Informacje dotyczące wdrożenia agenta na wielu
komputerach znajdują się w sekcji Wdrożenie agenta.
Sprawdź, czy spełnione są następujące wymagania wstępne:
Komputer pełniący rolę serwera musi być dostępny w sieci.
Plik instalacyjny agenta musi być ustawiony, jako wykonywalny (chmod +x).
Agent instalowany jest przez uruchomienie polecenia w terminalu (zobacz poniższy przykład).
Przykład
(nowe wiersze oznaczone są znakiem "\", co ułatwia skopiowanie tego ciągu do terminala)
./Agent-Linux-i686-1.0.387.0.sh --skip-license --cert-path=/home/adminko/Desktop/agent.pfx \
--cert-auth-path=/home/adminko/Desktop/CA.der --cert-password=N3lluI4#2aCC \
--hostname=10.1.179.36 --port=2222
Agent ERA oraz usługa eraagent.service zostaną zainstalowane w następującej lokalizacji:
/opt/eset/RemoteAdministrator/Agent
Parametry instalacji
o --skip-license — użytkownik nie zostanie poproszony o potwierdzenie licencji.
o --cert-path to ścieżka do pliku certyfikatu agenta.
o --cert-auth-path to ścieżka do pliku urzędu certyfikacji serwera.
o --cert-password — hasło musi być takie samo jak hasło certyfikatu agenta.
o --hostname to połączenie z serwerem (lub serwerem proxy) w jednym z następujących formatów (nazwa hosta,
IPv4, IPv6 lub rekord SRV).
o --port to port nasłuchu zarówno dla serwera, jak i serwera proxy (2222).
Aby zweryfikować poprawność instalacji, można wpisać następujące polecenie:
sudo service eraagent status
UWAGA: Podczas korzystania z utworzonego przez siebie certyfikatu, podpisanego przez urząd inny niż urząd
certyfikacji ERA należy pozostawić parametr --cert-auth-path poza skryptem instalacyjnym, ponieważ w systemie
operacyjnym Linux (a także na komputerze pełniącym rolę serwera) jest już zainstalowany inny urząd certyfikacji.
Na komputerze klienckim można zapoznać się z dziennikiem stanu /var/log/eset/RemoteAdministrator/Agent/
trace.log lub /var/log/eset/RemoteAdministrator/Agent/status.html, aby sprawdzić, czy agent ERA działa
prawidłowo.
109
4.4.2.3 Etapy wdrożenia — system OS X
1. Sprawdź, czy spełnione są wszystkie wymagania wstępne:
2. Dwukrotnie kliknij plik .dmg, aby uruchomić instalację.
3. Wprowadź dane dotyczące połączenia z serwerem: Host serwera (nazwa hosta/adres IP serwera) oraz Port
serwera (domyślnie 2222).
4. Wybierz certyfikat równorzędny i podaj hasło do tego certyfikatu. Możesz również dodać urząd certyfikacji. Jest to
wymagane wyłącznie w przypadku niepodpisanych certyfikatów.
5. Sprawdź miejsce instalacji i kliknij opcję Zainstaluj. Agent zostanie zainstalowany na komputerze.
6. Plik dziennika agenta ERA można znaleźć tutaj: /Library/Application Support/
com.eset.remoteadministrator.agent/Logs/
4.4.2.4 Rozwiązywanie problemów — wdrażanie agenta
Podczas wdrażania agenta mogą wystąpić pewne problemy. Jeśli wdrożenie się nie powiedzie, powodów może być
kilka. Informacje w tej sekcji umożliwią:
o Znalezienie przyczyny niepowodzenia wdrożenia agenta
o Sprawdzenie możliwych przyczyn przy pomocy poniższej tabeli
o Rozwiązanie problemu i pomyślne przeprowadzenie wdrożenia
System Windows
1. Aby dowiedzieć się, dlaczego wdrażanie agenta zakończyło się niepowodzeniem, przejdź do pozycji Raporty >
Automatyzacja, wybierz opcję Informacje dotyczące zadań wdrażania agenta z ostatnich 30 dni i kliknij przycisk
Generuj teraz.
Zostanie wyświetlona tabela zawierająca informacje dotyczące wdrożenia. W kolumnie Postęp wyświetlane są
komunikaty o błędach dotyczące przyczyny niepowodzenia wdrożenia agenta.
Jeśli potrzebnych jest jeszcze więcej szczegółów, można zmienić szczegółowość dziennika śledzenia serwera ERA.
Przejdź do obszaru Administrator > Ustawienia serwera > Ustawienia zaawansowane > Zapisywanie w dzienniku i z
menu rozwijanego wybierz opcję Błąd. Ponownie uruchom wdrażanie agenta, a jeśli zakończy się ono
niepowodzeniem, otwórz plik dziennika śledzenia serwera ERA i zapoznaj się z najnowszymi wpisami dziennika u
dołu. W raporcie zostaną przedstawione sugestie dotyczące rozwiązania problemu. Najnowszy plik dziennika
serwera ERA można znaleźć tutaj: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData
\Logs\trace.log
W celu włączenia pełnego rejestrowania należy utworzyć fikcyjny plik o nazwie traceAll bez rozszerzenia i umieścić
go w tym samym folderze, w którym znajduje się plik trace.log. Ponowne uruchomienie usługi serwera ESET Remote
Administrator umożliwi pełne rejestrowanie danych w pliku trace.log.
110
2. Poniższa tabela zawiera kilka przyczyn niepowodzenia wdrożenia agenta:
Kod błędu
Nie można nawiązać połączenia
Odmowa dostępu
Nie znaleziono pakietu w
repozytorium
Możliwa przyczyna
Klient nie jest osiągalny w ramach sieci
Nie udało się rozpoznać nazwy hosta klienta
Zapora blokuje komunikację
W zaporze nie są otwarte porty 2222 i 2223 (zarówno po stronie klienta, jak i
serwera)
Nie ustawiono hasła do konta administratora
Niewystarczające uprawnienia dostępu
Udział administracyjny ADMIN$ nie jest dostępny
Udział administracyjny IPC$ nie jest dostępny
Włączona jest opcja Używaj prostego udostępniania plików
Łącze do repozytorium jest nieprawidłowe
Repozytorium jest niedostępne
Repozytorium nie zawiera wymaganego pakietu
3. Wykonaj odpowiednie działania zmierzające do rozwiązania problemu zgodnie z możliwą przyczyną:
o Klient nie jest osiągalny w ramach sieci — wyślij polecenie ping do klienta z serwera ERA. Jeśli uzyskasz
odpowiedź, spróbuj zalogować się zdalnie na komputerze klienckim (np. przez pulpit zdalny).
o Nie udało się rozpoznać nazwy hosta klienta — oto możliwe (ale nie wszystkie) rozwiązania problemów z
serwerem DNS:
Użycie polecenia nslookup w odniesieniu do adresu IP i nazwy hosta serwera i/lub klientów, na których
występują problemy z wdrożeniem agenta. Wynik powinien być zgodny z informacjami uzyskanymi z
komputera. Na przykład użycie polecenia nslookup w odniesieniu do nazwy hosta powinno umożliwić
uzyskanie adresu IP wyświetlanego po użyciu polecenia ipconfig na hoście, o którym mowa. Polecenie
nslookup należy uruchomić na klientach i na serwerze.
Ręczne zbadanie rekordów serwera DNS w poszukiwaniu duplikatów.
o Zapora blokuje komunikację — sprawdź ustawienia zapory zarówno na serwerze, jak i na kliencie, a także
ustawienia wszelkich innych zapór, jakie działają pomiędzy tymi dwoma komputerami (jeśli takie istnieją).
o W zaporze nie są otwarte porty 2222 i 2223 — jak wyżej, sprawdź, czy te porty są otwarte we wszystkich zaporach
działających pomiędzy tymi dwoma komputerami (klientem a serwerem).
o Nie ustawiono hasła do konta administratora — ustaw odpowiednie hasło do konta administratora (hasło nie
może być puste).
o Niewystarczające uprawnienia dostępu — spróbuj użyć poświadczeń administratora domeny podczas tworzenia
zadania wdrożenia agenta. Jeśli komputer kliencki należy do grupy roboczej, skorzystaj z lokalnego konta
administratora na tym komputerze.
o Udział administracyjny ADMIN$ nie jest dostępny — na komputerze klienckim musi być aktywowany zasób
udostępniony ADMIN$. Sprawdź, czy jest on widoczny wśród innych udziałów (Start > Panel sterowania >
Narzędzia administracyjne > Zarządzanie komputerem > Foldery udostępnione > Udziały).
o Udział administracyjny IPC$ nie jest dostępny — sprawdź, czy klient jest w stanie uzyskać dostęp do udziału IPC,
wpisując na kliencie następujące polecenie w wierszu polecenia:
net use \\nazwa_serwera\IPC$
W części nazwa_serwera podaj nazwę serwera ERA.
111
o Włączona jest opcja Używaj prostego udostępniania plików — jeśli wyświetlany jest komunikat o błędzie
„Odmowa dostępu”, a pracujesz w środowisku mieszanym (w którym używane są zarówno domeny, jak i grupy
robocze), wyłącz opcję Używaj prostego udostępniania plików lub funkcję Użyj Kreatora udostępniania na
wszystkich komputerach, na których występuje problem z wdrożeniem agenta. Dla przykładu w systemie
Windows 7 przeprowadź następujące działania:
Kliknij przycisk Start, w polu wyszukiwania wpisz folder i kliknij przycisk Opcje folderów. Kliknij kartę
Widok i w polu Ustawienia zaawansowane przewiń w dół listę, a następnie odznacz pole wyboru przy
pozycji Użyj Kreatora udostępniania.
o Łącze do repozytorium jest nieprawidłowe — w konsoli internetowej ERA przejdź do opcji Administrator >
Ustawienia serwera, kliknij Ustawienia zaawansowane > Repozytorium i sprawdź, czy adres URL repozytorium
jest prawidłowy.
o Nie znaleziono pakietu w repozytorium — ten komunikat o błędzie pojawia się zwykle, gdy nie można nawiązać
połączenia z repozytorium serwera ERA. Sprawdź połączenie internetowe.
UWAGA: W przypadku nowszych systemów operacyjnych Windows (Windows 7, Windows 8 itd.) konieczne jest
aktywowanie konta użytkownika Administrator w celu wykonania zadania wdrożenia agenta.
Aby aktywować konto użytkownika Administrator:
1. Otwórz administracyjny wiersz polecenia
2. Wpisz następujące polecenie: net user administrator
/active:yes
Systemy Linux i Mac OS
Jeśli nie udaje się przeprowadzić wdrożenia agenta w systemie Linux lub Mac OS, problem związany jest zwykle z
portem SSH. Na komputerze klienckim sprawdź, czy demon SSH jest uruchomiony, i w razie potrzeby uruchom go. Po
rozwiązaniu problemu ponownie uruchom wdrożenie agenta.
4.4.3 Wdrożenie agenta przy użyciu obiektu GPO lub programu SCCM
Po pomyślnym zainstalowaniu programu ESET Remote Administrator należy na komputerach klienckich należących
do sieci wdrożyć agenta ERA i produkty zabezpieczające firmy ESET.
Oprócz lokalnego wdrożenia lub zdalnego wdrożenia przy użyciu zadania serwera można również użyć narzędzi do
zarządzania, takich jak GPO, SCCM, Symantec Altiris lub Puppet. Kliknij odpowiednie łącze poniżej, by zapoznać się
ze szczegółowymi instrukcjami dla tych dwóch popularnych metod wdrożenia agenta ERA:
1. Wdrożenie agenta ERA przy użyciu obiektu GPO
2. Wdrożenie agenta ERA przy użyciu programu SCCM
4.4.3.1 Tworzenie pliku MST
Przed wdrożeniem pliku instalatora agenta ERA należy utworzyć plik transformacji .mst z ustawieniami agenta ERA.
Aby utworzyć plik transformacji, wykonaj działania opisane poniżej lub zapoznaj się z informacjami w artykule bazy
wiedzy.
1. Zainstaluj narzędzie Orca (jest częścią pakietu Windows SDK). Więcej informacji na temat narzędzia Orca można
znaleźć tutaj: http://support.microsoft.com/kb/255905/.
2. Pobierz plik instalacyjny agenta ERA. Możesz na przykład użyć pliku Agent-6.1.365.0_x64.msi, który jest
komponentem oprogramowania ERA w wersji 6.1.28.0 dla systemów 64-bitowych. Listę wersji komponentów
oprogramowania ERA można znaleźć w naszym artykule bazy wiedzy.
3. Otwórz narzędzie Orca, klikając kolejno pozycje Start > Programy > Orca.
112
4. Kliknij opcję Plik w menu górnym, a następnie kliknij opcję Otwórz i wyszukaj plik Agent-6.1.365.0_x64.msi.
5. Kliknij opcję Przekształć w menu górnymi i wybierz opcję Nowe przekształcenie.
113
6. Kliknij pozycję Właściwość.
114
7. Kliknij prawym przyciskiem myszy w dowolnym miejscu na liście wartości właściwości i z menu kontekstowego
wybierz opcję Dodaj wiersz.
8. Dodaj właściwość P_HOSTNAME i wpisz nazwę hosta lub adres IP serwera ERA w polu Wartość.
9. Powtórz kroki 7 i 8 w celu dodania właściwości P_PORT, dla której wartością jest numer portu używany domyślnie
do obsługi połączeń z serwerem ERA (2222).
10. W przypadku agenta ERA wstaw certyfikat równorzędny (.pfx) podpisany przez odpowiedni urząd certyfikacji,
zapisany w bazie danych serwera ERA. Wstaw klucz publiczny urzędu certyfikacji (plik .der) użyty do podpisania
certyfikatu równorzędnego serwera ERA.
Certyfikaty można wstawiać na dwa sposoby:
1. Można wstawić treść certyfikatu oraz klucz publiczny zakodowane w formacie Base64 (nie są wówczas potrzebne
pliki certyfikatów).
W konsoli internetowej ERA przejdź do obszaru Administrator > Certyfikaty > Certyfikat równorzędny, kliknij
pozycję Certyfikat agenta i wybierz opcję Wyeksportuj jako Base64.
Przejdź do obszaru Administrator > Certyfikaty > Urzędy certyfikacji, kliknij pozycję Urząd certyfikacji ERA i wybierz
opcję Eksportuj klucz publiczny jako Base64.
115
Dodaj treść wyeksportowanego certyfikatu oraz klucz publiczny do tabeli Właściwość w narzędziu Orca, używając
przy tym następujących nazw właściwości:
Nazwa właściwości
Wartość
P_CERT_CONTENT
<certyfikat równorzędny w formacie Base64>
P_CERT_PASSWORD
<hasło do certyfikatu równorzędnego (nie należy wpisywać nic w tym polu, jeśli
hasło jest puste)>
P_CERT_AUTH_CONTENT
<wyeksportowany klucz publiczny urzędu certyfikacji w formacie Base64>
116
Nowe właściwości będą wyróżnione na zielono. Kliknij pozycję Przekształć i wybierz opcję Generuj
przekształcenie..., aby utworzyć plik .mst .
2. Można pobrać pliki certyfikatu i zapisać je w lokalizacji dostępnej dla komputera docelowego. Wyeksportuj
certyfikat równorzędny agenta oraz plik klucza publicznego z urzędu certyfikacji serwera ERA i umieść je w
folderze dostępnym dla komputera docelowego, na którym zostanie zainstalowany agent ERA.
UWAGA: Ta opcja jest zalecana w szczególnych przypadkach.
Przejdź do obszaru Administrator > Certyfikaty > Certyfikat równorzędny, kliknij pozycję Certyfikat agenta i
wybierz opcję Eksportuj....
Przejdź do obszaru Administrator > Certyfikaty > Urzędy certyfikacji, kliknij pozycję Urząd certyfikacji ERA i wybierz
opcję Eksportuj klucz publiczny.
117
Użyj wyeksportowanych plików i dodaj ścieżkę do nich w tabeli Właściwości w narzędziu Orca, podając
następujące nazwy właściwości:
Nazwa właściwości
Wartość
P_CERT_PATH
<ścieżka do wyeksportowanego certyfikatu .pfx>
P_CERT_PASSWORD
<hasło do certyfikatu .pfx (nie należy wpisywać nic w tym polu, jeśli hasło jest
puste)>
P_CERT_AUTH_PATH
<ścieżka do wyeksportowanego klucza publicznego urzędu certyfikacji>
Dodane właściwości będą wyróżnione na zielono. Kliknij pozycję Przekształć i wybierz opcję Generuj
przekształcenie..., aby utworzyć plik .mst.
4.4.3.2 Etapy wdrożenia — obiekt GPO
W celu wdrożenia agenta ERA na klientach przy użyciu obiektu GPO wykonaj poniższe działania lub zapoznaj się z
informacjami przedstawionymi w artykule bazy wiedzy:
1. Ze strony pobierania firmy ESET pobierz plik .msi umożliwiający zainstalowanie agenta ERA.
2. Utwórz plik .mst przekształcenia instalatora agenta ERA.
3. Umieść plik .msi instalatora agenta ERA i plik przekształcenia .mst w folderze udostępnionym, do którego można
uzyskać dostęp z klientów docelowych.
UWAGA: Na komputerach klienckich niezbędne będą uprawnienia dostępu umożliwiające odczytywanie/
wykonywanie plików w tym folderze udostępnionym.
118
4. Użyj istniejącego obiektu zasad grupy lub utwórz nowy (kliknij obiekt GPO prawym przyciskiem myszy i wybierz
opcję Nowy). W drzewie Konsoli zarządzania zasadami grupy kliknij prawym przyciskiem myszy obiekt GPO,
którego chcesz użyć i wybierz opcję Edytuj.
5. W obszarze Konfiguracja komputera wybierz kolejno pozycje Zasady > Ustawienia oprogramowania > Ustawienia
oprogramowania.
6. Kliknij prawym przyciskiem myszy pozycję Instalacja oprogramowania, wybierz opcję Nowa, a następnie kliknij
pozycję Pakiet... w celu utworzenia nowej konfiguracji pakietu.
119
7. Przejdź do lokalizacji pliku .msi instalatora agenta ERA. W oknie dialogowym Otwórz wpisz pełną ścieżkę UNC
(Universal Naming Convention) do udostępnionego pakietu instalatora, którego chcesz użyć. Przykład: \
\serwer_plików\udział\nazwa_pliku.msi
UWAGA: Pamiętaj o podaniu ścieżki UNC do udostępnionego pakietu instalacyjnego.
8. Kliknij przycisk Otwórz i wybierz Zaawansowane jako metodę wdrożenia.
120
9. Umożliwi to skonfigurowanie opcji wdrożenia. Wybierz kartę Modyfikacje i wyszukaj plik przekształcenia .mst
instalatora agenta ERA.
UWAGA: Ścieżka musi prowadzić do tego samego folderu udostępnionego, którego użyto w kroku 7.
10. Potwierdź konfigurację pakietu i przejdź do wdrożenia przy użyciu obiektu GPO.
121
4.4.3.3 Etapy wdrożenia — program SCCM
W celu wdrożenia agenta ERA na klientach przy użyciu programu SCCM wykonaj poniższe działania lub zapoznaj się z
informacjami przedstawionymi w artykule bazy wiedzy:
1. Ze strony pobierania firmy ESET pobierz plik .msi umożliwiający zainstalowanie agenta ERA.
2. Utwórz plik .mst przekształcenia instalatora agenta ERA.
3. Umieść plik .msi instalatora agenta ERA i plik przekształcenia .mst w folderze udostępnionym.
UWAGA: Na komputerach klienckich niezbędne będą uprawnienia dostępu umożliwiające odczytywanie/
wykonywanie plików w tym folderze udostępnionym.
122
4. Otwórz konsolę programu SCCM i kliknij pozycję Biblioteka oprogramowania. W obszarze Zarządzanie aplikacjami
kliknij prawym przyciskiem myszy pozycję Aplikacje i wybierz opcję Utwórz aplikację. Wybierz pozycję Instalator
systemu Windows (plik *.msi) i wyszukaj folder źródłowy, w którym zapisany został plik .msi instalatora agenta
ERA.
123
5. Wprowadź wszystkie niezbędne informacje dotyczące aplikacji i kliknij przycisk Dalej.
124
6. Kliknij prawym przyciskiem myszy aplikację Agent ESET Remote Administrator, kliknij kartę Typy wdrożeń,
wybierz jedyny dostępny tam typ wdrożenia, a następnie kliknij przycisk Edytuj.
125
7. Kliknij kartę Programy i w polu Program instalacyjny wpisz następujący tekst: msiexec/iAgent_x64.msi/qn
TRANSFORMS="Agent_x64.mst (jeśli używasz pakietów 32-bitowych, tekst będzie wyglądał nieco inaczej —
widoczny w przykładzie wpis „x64” zostanie zastąpiony wpisem „x32”).
8. W polu Program dezinstalacyjny wpisz następujący tekst: msiexec/x {424F1755-2E58-458F-8583-4A2D08D8BBA8} /
qn/norestart.
126
9. Kliknij kartę Wymagania, a następnie kliknij przycisk Dodaj. Z menu rozwijanego Warunek wybierz pozycję System
operacyjny, z menu rozwijanego Operator wybierz pozycję Jeden, a następnie wybierz systemy operacyjne, w
których przeprowadzisz instalację, zaznaczając odpowiednie pola wyboru. Gdy skończysz, kliknij przycisk OK, a
następnie kliknij przycisk OK, aby zamknąć pozostałe okna i zapisać wprowadzone zmiany.
127
128
10. W obszarze Biblioteka oprogramowania w programie System Center kliknij nową aplikację prawym przyciskiem
myszy i z menu kontekstowego wybierz opcję Dystrybuuj zawartość. W celu ukończenia wdrażania aplikacji
wykonaj instrukcje wyświetlane w postaci monitów w kreatorze wdrażania oprogramowania.
129
130
11. Kliknij aplikację prawym przyciskiem myszy i wybierz opcję Wdróż. Skorzystaj z kreatora i wybierz kolekcję oraz
miejsce docelowe, w którym chcesz wdrożyć agenta.
131
132
133
134
135
136
137
138
4.4.4 Instalacja produktu
Produkty zabezpieczające firmy ESET można zainstalować zdalnie, klikając odpowiedni komputer i wybierając
pozycję Nowy lub tworząc nowe zadanie Instalacja oprogramowania w menu Administrator > Zadania klienta. Kliknij
opcję Nowy..., by rozpocząć konfigurowanie nowego zadania.
Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy.
Podstawowe
zadania (patrz powyższa lista) określane są ustawienia zadania i jego zachowanie. Wybierz zadanie Instalacja
oprogramowania, a następnie kliknij pozycję Obiekt docelowy.
139
Obiekt docelowy
Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które będą odbiorcami tego zadania.
140
Element wyzwalający
Jako element wyzwalający wybierzemy pozycję Wykonaj jak najszybciej, co spowoduje natychmiastowe wysłanie
zadania do klientów. W opcji Używaj czasu lokalnego chodzi o czas lokalny klientów, a nie serwera.
element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Na razie pozostawiamy ustawienie
Ograniczanie bez zmian i klikamy przycisk Zakończ w celu utworzenia nowego zadania.
Ustawienia
Kliknij pozycję <Wybierz licencję ESET> i z listy dostępnych licencji wybierz licencję odpowiednią dla instalowanego
produktu. Zaznacz pole wyboru Akceptuję Umowę licencyjną użytkownika końcowego aplikacji, jeśli akceptujesz tę
umowę. Więcej informacji można znaleźć w rozdziałach Zarządzanie licencjami oraz Umowa EULA.
Kliknij pozycję <Wybierz pakiet>, aby wybrać pakiet instalacyjny z repozytorium lub podaj adres URL pakietu.
Zostanie wyświetlona lista dostępnych pakietów, z której można wybrać produkt firmy ESET do zainstalowania (np.
ESET Endpoint Security). Wybierz odpowiedni pakiet instalacyjny i kliknij przycisk OK. Aby wskazać adres URL
pakietu instalacyjnego, wpisz ten adres lub skopiuj go i wklej w polu tekstowym (nie używaj adresu URL, który
wymaga uwierzytelnienia).
UWAGA: Należy pamiętać, że w celu uzyskania dostępu do repozytorium i przeprowadzenia instalacji wymagany jest
dostęp do Internetu zarówno w przypadku serwera, jak i agenta. W razie braku dostępu do Internetu
oprogramowanie klienta można zainstalować lokalnie.
W razie potrzeby można również określić parametry w polu Parametry instalacji. W przeciwnym razie można
pozostawić to pole puste. Zaznacz pole wyboru obok opcji W razie potrzeby automatycznie uruchom ponownie, aby
wymusić ponowne uruchomienie komputera klienckiego po ukończeniu instalacji. Można również nie zaznaczać tej
opcji i pozostawić decyzję dotyczącą ponownego uruchomienia użytkownikowi komputera klienckiego.
141
Podsumowanie
Przejrzyj podsumowanie skonfigurowanych ustawień i kliknij przycisk Zakończ. Zadanie zostało utworzone i zostanie
wysłane do klientów.
4.4.4.1 Instalacja produktu (wiersz polecenia)
Wszystkie poniższe ustawienia są przeznaczone do użytku w interfejsie użytkownika wyłącznie na poziomie
ograniczonym, podstawowym i przy ustawieniu brak. Informacje o wersji programu msiexec używanego w
odniesieniu do odpowiednich przełączników wiersza poleceń można znaleźć w dokumentacji.
APPDIR="<ścieżka>"
• Ścieżka — prawidłowa ścieżka do katalogu
• Katalog instalacji aplikacji
APPDATADIR="<ścieżka>"
• Katalog instalacji danych aplikacji
MODULEDIR="<ścieżka>"
• Katalog instalacji modułu
ADDLOCAL="<lista>"
• Instalacja komponentów — lista funkcji nieobowiązkowych do instalacji lokalnej
• Informacje: http://msdn.microsoft.com/en-us/library/aa367536%28v=vs.85%29.aspx
CFG_POTENTIALLYUNWANTED_ENABLED=1/0
• 0 — wyłączone, 1 — włączone
• PUA
142
CFG_LIVEGRID_ENABLED=1/0
• LiveGrid
CFG_REPORTING_ENABLED=1/0
• LiveGrid — raporty z anonimowymi danymi dotyczącymi użytkowania
CFG_PCU_UPDATE_MODE=40/36/34
• 34 — pytaj, 36 — zawsze, 40 — nigdy
• Tryb aktualizacji komponentów programu
CFG_FIRSTSCAN_ENABLE=1/0
• 0 — wyłącz, 1 — włącz
• Zaplanowanie nowego pierwszego skanowania po instalacji
CFG_EPFW_MODE=0/1/2/3
• 0 — automatyczny, 1 — interaktywny, 2 — oparty na regułach, 3 — tryb uczenia się
CFG_PROXY_ENABLED=0/1
CFG_PROXY_ADDRESS=<ip>
• Adres IP serwera proxy
CFG_PROXY_PORT=<port>
• Numer portu serwera proxy
CFG_PROXY_USERNAME="<użytkownik>"
• Nazwa użytkownika do celów uwierzytelniania
CFG_PROXY_PASSWORD="<hasło>"
• Hasło do celów uwierzytelniania
4.4.4.2 Lista problemów występujących w przypadku niepowodzenia instalacji
Nie znaleziono pakietu instalacyjnego.
Wymagana jest nowsza wersja usługi Instalator Windows.
Zainstalowano już inną wersję lub zainstalowano produkt wywołujący konflikty.
Inna instalacja już trwa. Zakończ ją przed rozpoczęciem tej instalacji.
Instalacja lub dezinstalacja została pomyślnie zakończona, ale wymagane jest ponowne uruchomienie komputera.
Zadanie nie powiodło się — wystąpił błąd. Zapoznaj się z dziennikiem śledzenia agenta i sprawdź kod zwrotny
instalatora.
4.5 Zarządzanie
W tych sekcjach przedstawiono, jak dodać komputer lub urządzenia mobilne do grup. Tworzenie nowej reguły i
przypisywanie reguły do grupy.
143
4.5.1 Dodawanie komputerów do grup
Istnieje możliwość dodawania komputerów klienckich do grup. Ułatwia to tworzenie i utrzymywanie struktury
komputerów zgodnej z uznaniem użytkownika. Komputery można dodawać do grup statycznych lub dynamicznych.
Zarządzanie grupami statycznymi odbywa się ręcznie, natomiast grupy dynamiczne są porządkowane automatycznie
na podstawie określonych kryteriów zawartych w szablonie. Gdy komputery są już umieszczone w grupach, do grup
tych można przypisywać reguły, zadania oraz ustawienia. Dana reguła, zadanie lub ustawienie są następnie
stosowane w odniesieniu do wszystkich elementów należących do danej grupy. Tutaj opisano korelacje pomiędzy
grupami i zadaniami/regułami:
Grupy statyczne
Grupy statyczne to grupy klientów wybranych i skonfigurowanych ręcznie. Elementy należące do tych grup mają
charakter statyczny i można je dodawać lub usuwać wyłącznie ręcznie, a nie na podstawie kryteriów dynamicznych.
Grupy dynamiczne
Grupy dynamiczne to grupy klientów, których przynależność do danej grupy jest ustalana na podstawie określonych
kryteriów. Jeśli klient nie spełnia kryteriów, zostaje usunięty z grupy. Komputery spełniające kryteria są dodawane
do grupy automatycznie, stąd określenie dynamiczna w nazwie grupy.
4.5.1.1 Grupy statyczne
Grupy statyczne umożliwiają ręczne sortowanie komputerów klienckich na grupy i podgrupy. Można tworzyć
niestandardowe grupy statyczne i przenosić do nich wybrane komputery.
Grupy statyczne można tworzyć wyłącznie ręcznie. Komputery klienckie można następnie przenosić do tych grup
ręcznie. Każdy z komputerów może należeć tylko do jednej grupy statycznej.
Istnieją dwie domyślne grupy statyczne:
Wszystkie — jest to grupa główna obejmująca wszystkie komputery w sieci serwerów ERA. Używana jest do
stosowania reguł w odniesieniu do poszczególnych komputerów jako reguły domyślnej. Ta grupa wyświetlana jest
zawsze i zmiana jej nazwy w ramach edycji grupy nie jest dozwolona.
Zgubione i znalezione jako grupa podrzędna grupy Wszystkie — każdy nowy komputer po raz pierwszy
nawiązujący połączenie z serwerem za pośrednictwem agenta jest automatycznie wyświetlany w tej grupie.
Nazwę tej grupy można zmienić, a samą grupę można skopiować, jednak nie można jej usunąć ani przenieść.
Grupy statyczne można tworzyć w sekcji Grupy na karcie Administrator. W tym celu należy kliknąć przycisk Grupy i
wybrać opcję Nowa grupa statyczna.
144
4.5.1.1.1 Dodawanie komputera do grupy statycznej
Utwórz nową grupę statyczną lub wybierz jedną z domyślnych grup statycznych.
Przy użyciu karty Komputery można dodawać nowe komputery na trzy sposoby. Można na przykład wybrać grupę
statyczną, kliknąć ikonę koła zębatego i wybrać opcję Dodaj nowy.
W polu Nazwa wpisz nazwę komputera, który chcesz dodać. Kliknij opcję + Dodaj urządzenie, aby dodać kolejne
komputery lub kliknij opcję Importuj, aby zaimportować plik z listą komputerów do dodania. Opcjonalnie możesz
również wprowadzić opisy komputerów.
145
Jeśli dodawany komputer istnieje już w rozwiązaniu ERA, użyj menu rozwijanego Rozwiązywanie konfliktu, by
wybrać działanie, które ma zostać podjęte:
Pytaj w przypadku wykrycia konfliktów: w przypadku wykrycia konfliktu w programie wyświetlony zostanie monit o
wybranie czynności (opcje przedstawione są poniżej).
Pomiń komputery powodujące konflikty: zduplikowane komputery nie będą dodawane.
Przenieś komputery powodujące konflikty z innych grup: komputery powodujące konflikty będą przenoszone ze
swoich grup do grupy Wszystkie.
Zduplikuj komputery powodujące konflikty: nowe komputery będą dodawane, ale pod innymi nazwami.
Kliknij opcję Dodaj. Komputery można wyświetlić na liście po prawej stronie po wybraniu grupy, do której należą.
UWAGA: Dodawanie wielu komputerów może zająć więcej czasu. Konieczne może być przeprowadzenie
odwrotnego wyszukiwania DNS.
Więcej informacji na temat dodawania urządzeń mobilnych można znaleźć w rozdziale Rejestracja urządzenia
mobilnego.
4.5.1.2 Grupy dynamiczne
W każdej z grup dynamicznych do filtrowania komputerów klienckich używany jest szablon. Po zdefiniowaniu
szablon może być używany do filtrowania klientów w innych grupach dynamicznych. W oprogramowaniu ERA
dostępnych jest kilka gotowych szablonów grup dynamicznych, co ułatwia kategoryzowanie komputerów klienckich.
Grupy dynamiczne to grupy klientów wybranych na podstawie określonych kryteriów. Jeśli komputer kliencki nie
spełnia kryteriów, jest usuwany z grupy, a jeśli je spełnia — jest dodawany do grupy. Wybór grupy jest dokonywany
automatycznie na podstawie skonfigurowanych ustawień, nie dotyczy to jednak grup statycznych.
W sekcji Szablony grup dynamicznych znajdują się zarówno wstępnie zdefiniowane, jak i niestandardowe szablony
utworzone na podstawie różnych kryteriów. Wszystkie szablony wyświetlane są na liście. Po kliknięciu istniejącego
szablonu można go edytować. W celu utworzenia nowego szablonu grupy dynamicznej należy kliknąć opcję Nowy
szablon.
146
4.5.1.2.1 Nowy szablon grupy dynamicznej
Kliknij opcję Nowy szablon w obszarze Administrator > Szablony grup dynamicznych.
Podstawowe
1. Wprowadź nazwę i opis nowego szablonu grupy dynamicznej.
Wyrażenie
Z menu Operacja wybierz operator logiczny.
AND — wszystkie zdefiniowane warunki muszą być prawdziwe.
OR — co najmniej jeden warunek musi być prawdziwy.
NAND — co najmniej jeden warunek musi być fałszywy.
NOR — wszystkie warunki muszą być fałszywe.
Wybierz na przykład operator AND. Oznacza to, że aby pojawić się w grupie dynamicznej, w odniesieniu do której
używany jest dany szablonu, komputer musi spełnić wszystkie warunki.
Kliknij opcję + Dodaj regułę i wybierz warunek. Załóżmy, że interesują nas klienty na laptopach podłączonych do
sieci elektrycznej. Wybierz kolejno pozycje Sprzęt > Zasilanie z baterii > = (równy) > Nie rozładowywanie.
Kliknij opcję + Dodaj regułę, aby wprowadzić drugi warunek (liczba reguł jest nieograniczona). Wybierz kolejno
pozycje Wersja systemu operacyjnego > Typ systemu > = (równy) > Windows 8.1 (wprowadź tę wartość w pustym
polu).
Jeśli spełnione zostaną oba te warunki, klient pojawi się w grupie dynamicznej.
Podsumowanie
Aby utworzyć szablon, sprawdź skonfigurowane ustawienia i kliknij przycisk Zakończ. Nowy szablon zostanie dodany
do listy wszystkich szablonów i można będzie go później użyć do utworzenia nowej grupy dynamicznej. W opcjach w
obszarze Wyrażenia można skonfigurować reguły/warunki dla grupy (edytor reguł jest opisany tutaj). Teraz każda
grupa dynamiczna oparta na tym szablonie będzie podlegała tym regułom.
Aby zapisać zmiany, kliknij przycisk Zakończ.
147
4.5.1.2.2 Tworzenie nowej grupy dynamicznej
Nową grupę dynamiczną można utworzyć na trzy sposoby:
1. Kliknij kolejno pozycje Komputery > Grupy >
2. Kliknij kolejno pozycje Administrator > Grupy >
148
i wybierz opcję Nowa grupa dynamiczna.
> Nowa podgrupa dynamiczna.
3. Kliknij kolejno pozycje Administrator > Grupy > kliknij przycisk Grupa, a następnie opcję Nowa grupa dynamiczna.
Zostanie wyświetlony kreator nowej grupy dynamicznej.
149
4.5.2 Tworzenie nowej reguły
W tym przykładzie utworzymy nową regułę związaną z interwałem połączenia agenta ERA. Zdecydowanie zalecamy
wykonanie tej czynności przed testowaniem masowego wdrożenia w używanym środowisku.
1. Utwórz nową grupę statyczną.
2. Dodaj nową regułę, klikając kolejno opcje Administrator > Reguły. Kliknij przycisk Reguły u dołu i wybierz opcję
Nowa.
150
Podstawowe
W polu Nazwa wpisz nazwę nowej reguły (np. „Interwał połączenia agenta”). Pole Opis jest opcjonalne.
Ustawienia
Wybierz opcję Agent ESET Remote Administrator z menu rozwijanego Produkt.
Połączenie
Wybierz kategorię w widoku drzewa po lewej stronie. W prawym okienku odpowiednio dostosuj ustawienia. Każde
z ustawień jest regułą, dla której można ustawić flagę. W celu ułatwienia nawigacji wszystkie reguły są liczone.
Automatycznie wyświetlana jest liczba odpowiadająca liczbie reguł zdefiniowanych w danym obszarze.
Odpowiednia liczba wyświetlana jest również obok nazwy kategorii w widoku drzewa po lewej stronie. Jest to suma
reguł ze wszystkich obszarów tej kategorii. Dzięki temu można się szybko zorientować co do lokalizacji i liczby
zdefiniowanych ustawień lub reguł.
Przy edytowaniu reguł pomocne mogą być poniższe sugestie:
o użyć opcji do ustawienia flagi Zastosuj w odniesieniu do wszystkich obiektów w bieżącym obszarze;
o usunąć reguły przy użyciu ikony Kosz.
Kliknij pozycję Zmień interwał.
151
W polu Regularny interwał zmień wartość na preferowany czas trwania interwału (zalecamy 60 sekund) i kliknij
przycisk Zapisz.
Po utworzeniu nowej reguły interwału połączenia agenta przypisz ją do grupy statycznej utworzonej w kroku 1.
Po zakończeniu testowania masowego wdrożenia edytuj ustawienia reguły interwału połączenia agenta ERA
utworzonej w kroku 2.
152
Kliknij kolejno pozycje Administrator > Grupy i wybierz kartę Reguły. Kliknij regułę interwału połączenia agenta,
wybierz opcję Edytuj, a następnie kliknij pozycje Ustawienia > Połączenie. Kliknij opcję Zmień interwał i ustaw
interwał połączenia na 20 minut.
4.5.3 Przypisywanie reguły do grupy
Po utworzeniu reguły można ją przypisać do grupy statycznej lub dynamicznej. Można to zrobić na dwa sposoby:
1. W obszarze Administrator > Reguły wybierz regułę i kliknij opcję Przypisywanie grup. Wybierz grupę statyczną lub
dynamiczną i kliknij przycisk OK.
Wybierz grupę z listy.
153
2. Kliknij kolejno opcje Administrator > Grupy > Grupa lub kliknij przycisk koła zębatego
wybierz opcję Zarządzaj regułami.
obok nazwy grupy i
W oknie Kolejność stosowania reguł kliknij opcję Dodaj regułę. Zaznacz pole wyboru obok reguły, którą chcesz
przypisać do danej grupy i kliknij przycisk OK.
Kliknij opcję Zapisz. Aby sprawdzić, które reguły są przypisane do danej grupy, zaznacz tę grupę i kliknij kartę Reguły,
aby wyświetlić listę reguł przypisanych do grupy.
154
UWAGA: Więcej informacji na temat reguł znajduje się w rozdziale Reguły.
4.5.4 Rejestracja urządzenia mobilnego
Do struktury rozwiązania ERA można dodawać urządzenia mobilne w podobny sposób, jak dodawany jest nowy
komputer. W tym celu należy wykonać poniższe działania:
1. Kliknij pozycję Administrator, wybierz grupę statyczną, do której ma zostać dodane urządzenie mobilne, a
następnie kliknij przycisk Nowe....
2. Wybierz opcję Urządzenia mobilne i wprowadź nazwę, opis (opcjonalnie) oraz numer identyfikacyjny urządzenia.
Numerem identyfikacyjnym urządzenia może być numer IMEI (sieci GSM), numer MEID (sieci CDMA) lub adres
MAC WiFi (tylko dla urządzeń mobilnych obsługujących WiFi).
3. Istnieją dwa sposoby rejestracji urządzenia mobilnego:
a. Administrator najpierw pozyskuje z urządzenia adres MAC i rejestruje urządzenie przez serwer ERA w zwykły
sposób
b. Użytkownik klika łącze rejestracyjne (wysłane przez administratora). Aplikacja automatycznie odpowiada, że
to urządzenie nie znajduje się na białej liście lub nie zostało zatwierdzone, a następnie wyświetla na ekranie
adres MAC oraz monit o skontaktowanie się z administratorem i przekazanie mu identyfikatora urządzenia
(adresu MAC).
4. Kliknij przycisk Dodaj, a następnie kliknij opcję Zarejestruj urządzenia mobilne w oknie dialogowym.
155
Kolejne etapy rejestrowania urządzenia mobilnego będą wyświetlane w kreatorze zadania Rejestracja urządzenia.
156
4.6 Najlepsze praktyki
Zapomniane hasło: Idealnym rozwiązaniem byłoby, żeby konto administratora było używane wyłącznie do
tworzenia kont dla administratorów indywidualnych. Po utworzeniu kont administratorów hasło administratora
powinno zostać zapisane, a konto administratora nie powinno być używane. Taki sposób działania sprawia, że konto
administratora może zostać użyte do zresetowania danych dotyczących haseł/kont indywidualnych administratorów,
jeśli zaistnieje taka potrzeba.
Resetowanie hasła na wbudowanym koncie administratora serwera ERA:
Otwórz okno Programy i funkcje (uruchom polecenie appwiz.cpl), znajdź pozycję ESET Remote Administrator
Server i kliknij ją prawym przyciskiem myszy.
Wybierz opcję Zmień z menu kontekstowego.
Wybierz opcję Napraw.
Podaj szczegóły dotyczące połączenia z bazą danych.
Wybierz opcję Użyj istniejącej bazy danych i zastosuj uaktualnienie.
Pamiętaj o odznaczeniu opcji Użyj hasła, które jest już zapisane w bazie danych i wprowadź nowe hasło.
Teraz możesz zalogować się do konsoli internetowej ERA przy użyciu nowego hasła.
4.6.1 Zarządzanie użytkownikami
Stanowczo zalecane jest utworzenie dodatkowych kont o określonych uprawnieniach dostępu, dobranych na
podstawie żądanych kompetencji użytkownika konta.
157
5. Praca z programem ESET Remote Administrator
Wszystkimi klientami można zarządzać przy pomocy konsoli internetowej ERA. Dostęp do konsoli internetowej
można uzyskać z dowolnego urządzenia przy użyciu zgodnej przeglądarki. Konsola internetowa jest podzielona na
trzy główne sekcje:
1. W górnej części konsoli internetowej dostępne jest narzędzie Szybkie wyszukiwanie. Można wpisać tam nazwę
klienta lub adres IPv4/IPv6 i kliknąć symbol szkła powiększającego lub nacisnąć klawisz Enter. Spowoduje to
przekierowanie do sekcji Grupy, gdzie zostaną wyświetlone odpowiednie klienty.
2. W menu po lewej stronie dostępne są podstawowe elementy programu ESET Remote Administrator i
następujące szybkie łącza:
Panel kontrolny
Komputery
Zagrożenia
Raporty
Administrator
Szybkie łącza
Nowy użytkownik macierzysty
Nowa reguła
Nowe zadanie klienta
Instalatory Live agenta
3. Przyciski u dołu strony są różne w poszczególnych obszarach i funkcjach, a ich szczegółowe opisy można znaleźć w
odpowiednich rozdziałach.
UWAGA: Jeden przycisk jest wspólny dla wszystkich nowych elementów — Ustawienia obowiązkowe. Ten
czerwony przycisk jest wyświetlany w sytuacji, gdy ustawienia obowiązkowe nie zostały skonfigurowane, w związku
z czym nie można kontynuować tworzenia elementu. Ta sytuacja jest również sygnalizowana poprzez wyświetlenie
czerwonego wykrzyknika przy poszczególnych sekcjach. Aby przejść do obszaru, w którym znajdują się odpowiednie
ustawienia, należy kliknąć pozycję Ustawienia obowiązkowe.
Reguły ogólne
Ustawienia wymagane (obowiązkowe) zawsze są sygnalizowane wyświetleniem czerwonego wykrzyknika przy
odpowiedniej sekcji i poszczególnych ustawieniach. Aby przejść do obszaru ustawień obowiązkowych (jeśli to
konieczne), należy kliknąć pozycję Ustawienia obowiązkowe u dołu danej strony.
W celu uzyskania pomocy podczas pracy z programem ESET Remote Administrator należy kliknąć ikonę ? w
prawym górnym rogu lub przejść do dolnej części okna po lewej stronie i kliknąć pozycję Pomoc. Zostanie
wyświetlone odpowiednie okno pomocy dotyczące bieżącej strony.
Sekcja Administrator służy do wprowadzania określonej konfiguracji. Więcej informacji można znaleźć w rozdziale
Administrator.
5.1 Panel kontrolny
Panel kontrolny to strona wyświetlana domyślnie po pierwszym zalogowaniu się użytkownika do konsoli
internetowej ERA. Wyświetlane są tam wstępnie zdefiniowane raporty dotyczące sieci. Przy użyciu kart widocznych
na górnym pasku menu można przełączać poszczególne panele kontrolne. Na każdym panelu kontrolnym znajduje
się kilka raportów. Panele kontrolne można dostosowywać, dodając nowe raporty i modyfikując istniejące,
zmieniając ich rozmiary oraz przesuwając i zmieniając ich rozmieszczenie. Umożliwia to uzyskanie wszechstronnego
wglądu w funkcje produktu ESET Remote Administrator i jego elementy (klienty, grupy, zadania, reguły,
użytkownicy, kompetencje itd.). W programie ESET Remote Administrator dostępne są cztery wstępnie
zdefiniowane panele kontrolne:
158
Komputery
Na tym panelu kontrolnym widoczne jest zestawienie komputerów klienckich, przedstawiające stan ich ochrony,
systemy operacyjne, stan aktualizacji itd.
Serwer Remote Administrator
Na tym panelu kontrolnym można wyświetlać informacje dotyczące samego serwera ESET Remote Administrator —
obciążenie serwera, klienty, na których występują problemy, obciążenie procesora, połączenia z bazą danych itd.
Zagrożenia antywirusowe
Tutaj wyświetlane są raporty z modułu antywirusowego działającego w ramach produktów zabezpieczających klienty
— aktywne zagrożenia, zagrożenia w ciągu ostatnich 7/30 dni itd.
Zagrożenia dla zapory
Zdarzenia zapory dotyczące połączonych klientów uszeregowane według stopnia ważności, czasu zgłoszenia itd.
Funkcje panelu kontrolnego:
159
5.1.1 Ustawienia panelu kontrolnego
Ustawienia panelu kontrolnego są dostępne dla wszystkich paneli kontrolnych, wstępnie zdefiniowanych oraz nowo
utworzonych, i umożliwiają użytkownikowi zarządzanie panelami kontrolnymi. Poniżej opisane są dostępne opcje:
Dodaj nowy panel kontrolny — kliknij symbol w górnej części nagłówka panelu kontrolnego. Wprowadź nazwę
nowego panelu kontrolnego i kliknij przycisk OK w celu potwierdzenia. Utworzony zostanie panel kontrolny z
pustym polem raportów. Po skonfigurowaniu panelu kontrolnego można rozpocząć dodawanie do niego
raportów.
Zduplikuj panel kontrolny — Wybierz panel kontrolny, który chcesz zduplikować i kliknij koło zębate widoczny
obok nazwy panelu kontrolnego. Z listy wybierz opcję Zduplikuj — zostanie utworzony zduplikowany panel
kontrolny.
Przenieś panel kontrolny — kliknij i przeciągnij nazwę panelu kontrolnego, by zmienić jego położenie w stosunku
do pozostałych paneli kontrolnych.
Zmień rozmiar panelu kontrolnego (liczbę wyświetlanych raportów) — kliknij kolejno symbol koła zębatego >
Zmień układ. Wybierz liczbę raportów, które mają być wyświetlane w panelu kontrolnym, (przeciągnij) i kliknij je.
Układ panelu kontrolnego ulegnie zmianie.
Zmień nazwę panelu kontrolnego — kliknij symbol koła zębatego widoczny obok nazwy panelu kontrolnego, a
następnie kliknij opcję Zmień nazwę. Wprowadź nową nazwę panelu kontrolnego i kliknij przycisk OK.
Usuń panel kontrolny — kliknij symbol koła zębatego widoczny obok nazwy panelu kontrolnego, a następnie
kliknij opcję Usuń i potwierdź usunięcie.
Zmień rozmiar — kliknij symbol podwójnej strzałki, znajdujący się po prawej stronie raportu, by zmienić jego
rozmiar. Bardziej istotne raporty są większe, a mniej istotne są mniejsze. Można również włączyć tryb
pełnoekranowy, by wyświetlić raport w trybie pełnoekranowym.
160
Zmień typ wykresu — kliknij symbol przedstawiający wykres w lewym górnym rogu wykresu i wybierz Wykres
kołowy, Wykres liniowy itd., aby zmienić typ wykresu.
Odśwież — opcja ta umożliwia odświeżenie wyświetlanych informacji.
Zmień — opcja ta powoduje wyświetlenie innego raportu.
Edytuj szablon raportu — funkcja ta umożliwia dodawanie i edycję szablonu.
Ustaw przedział czasowy odświeżania — funkcja ta umożliwia zdefiniowanie, jak często mają być odświeżane
dane w raporcie. Domyślny przedział czasowy odświeżania wynosi 120 sekund.
Zmień nazwę raportu/Usuń raport.
5.1.2 Przechodzenie do szczegółów
Ta funkcja panelu kontrolnego umożliwia bardziej szczegółowe analizowanie danych, interaktywne wybieranie
określonych elementów z podsumowania oraz wyświetlanie szczegółowych informacji o tych elementach.
Przypomina to wykonanie zbliżenia badanego elementu przez przechodzenie od informacji zawartych w
podsumowaniu do szczegółów, by uzyskać dalsze informacje o konkretnym elemencie. Zwykle występuje wiele
warstw, które można poddać bardziej szczegółowej analizie.
Przechodzenie do szczegółów można wykonać czterema metodami:
Wyświetlenie informacji szczegółowych — nazwa i opis komputera, nazwa grupy statycznej itd. Wyświetlenie
oryginalnych (niezagregowanych) danych dotyczących klikniętego wiersza.
Wyświetlenie tylko wartości — informacje, krytyczne, zagrożenie bezpieczeństwa, Powiadomienie dotyczące
bezpieczeństwa itd.
Rozwinięcie kolumny „wartość” — powoduje wyświetlenie informacji zagregowanych (zwykle liczby lub sumy).
Jeśli na przykład w kolumnie jest tylko liczba, to kliknięcie opcji Rozwinięcie kolumny Komputer spowoduje
wyświetlenie wszystkich danych szczegółowych dotyczących komputerów.
Wyświetlenie opcji Na stronie komputery (wszystko) — przekierowanie na stronę Komputery (wyświetlenie
wyników dotyczących tylko 100 elementów)
UWAGA: Wyniki uzyskane w ramach przechodzenia do szczegółów innych raportów obejmują tylko 1000 pierwszych
elementów.
161
5.1.3 Edytowanie szablonu raportu
W tej części znajduje się szczegółowy opis edycji szablonów raportu (informacje dotyczące sposobu tworzenia
nowego szablonu raportu można znaleźć, klikając tutaj).
Kliknij pusty kwadrat widoczny w nowym panelu kontrolnym. Wyświetli się okno Dodaj raport. Wybierz
zainstalowaną aplikację i kliknij przycisk Dodaj lub Edytuj szablon.
162
Podstawowe
Przeprowadź edycję informacji podstawowych dotyczących szablonu. Przejrzyj lub zmień nazwę, opis i kategorię. Te
informacje są wstępnie zdefiniowane, zgodnie z wybranym typem raportu.
Wykres
W obszarze Wykres wybierz typ raportu. W tym przypadku opcję Wyświetl tabelę pozostawiamy pustą i wybieramy
opcję Wyświetl wykres.
UWAGA: Każdy z wybranych typów wykresu zostanie wyświetlony w obszarze Podgląd. Dzięki temu można
sprawdzić, jak będzie wyglądać raport generowany w czasie rzeczywistym.
Wybranie pozycji Wykres umożliwia dostęp do wielu opcji. Aby ułatwić sobie przeglądanie, wybieramy opcję typ
Wykres liniowy skumulowany. Wykres tego typu jest używany, gdy konieczne jest przeanalizowanie danych o
różnych jednostkach miary.
Istnieje możliwość wpisania nazwy osi X oraz Y wykresu w celu ułatwienia jego odczytywania i obserwowania
tendencji.
Dane
163
W obszarze Dane wprowadzamy informacje, które mają zostać wyświetlone na osiach X i Y wykresu. Kliknięcie
odpowiednich symboli umożliwia otwarcie okna z opcjami. Rodzaj danych dostępnych dla osi Y zależy zawsze od
danych wybranych dla osi X i na odwrót, ponieważ na wykresie wyświetlane są relacje pomiędzy tymi danymi i
muszą one być ze sobą zgodne.
Dla osi X wybieramy kolejno pozycje Komputer > Nazwa komputera, co pozwoli ustalić, które komputery wysyłają
spam. Dla opcji Format zostaną wybrane ustawienia Wartość > Bezwzględne. Kolor i ikony ustawiane są przez
administratora.
Dla osi Y wybieramy kolejno opcje Zainstalowane oprogramowanie > Rozmiar w MB, co umożliwi ustalenie
bezwzględnej liczby wiadomości ze spamem. Dla opcji Format zostaną wybrane ustawienia Wartość > Bezwzględne.
Kolor i ikony ustawiane są przez administratora.
Sortowanie
164
Użyj opcji Dodaj sortowanie, aby określić relacje pomiędzy wybranymi danymi. Wybierz informacje początkowe, a
następnie metodę sortowania — Rosnąco lub Malejąco. Możliwe jest także sortowanie danych za pomocą obu tych
opcji (jak przedstawiono poniżej).
Filtr
165
Rodzaj opcji wyświetlanych w tym miejscu zależy od wcześniej skonfigurowanych ustawień (informacje dla osi X i Y).
Aby określić sposób filtrowania danych, wybierz opcję i funkcję matematyczną. W tym przykładzie wybrano:
Zainstalowane oprogramowanie, a następnie Nazwa aplikacji > jest równa > ESS oraz Zainstalowane
oprogramowanie. Rozmiar w MB > jest większy niż > 50.
Podsumowanie
W obszarze Podsumowanie przejrzyj wybrane opcje i informacje. Jeśli są zgodne z oczekiwaniami, kliknij opcję
Zakończ, aby utworzyć nowy szablon raportu.
5.2 Komputery
Tutaj wyświetlane są wszystkie komputery, które zostały dodane w programie ESET Remote Administrator. Zostały
one podzielone na grupy. Kliknięcie którejś z grup dostępnych na liście (po lewej) spowoduje wyświetlenie
członków tej grupy (klientów) w prawym okienku. Klienty można filtrować przy użyciu filtrów widocznych u góry
strony. Kliknięcie opcji Dodaj filtr powoduje wyświetlenie dostępnych kryteriów filtrowania. Dostępnych jest
również kilka wstępnie zdefiniowanych filtrów do natychmiastowego użytku:
Cztery ikony umożliwiają filtrowanie według wagi zagrożenia (kolor czerwony — błędy, żółty — ostrzeżenia,
zielony — zawiadomienia i szary — komputery niezarządzane). Ikona wagi zagrożenia oznacza bieżący stan
produktu ESET na danym komputerze klienckim. Z ikon tych można korzystać łącznie, włączając je i wyłączając. Na
przykład w celu wyświetlenia wyłącznie komputerów z ostrzeżeniami należy pozostawić włączoną wyłącznie żółtą
ikonę (pozostałe ikony muszą być wyłączone). Aby wyświetlane były zarówno komputery z ostrzeżeniami, jak i z
błędami, włączone powinny pozostać tylko te dwie ikony.
Pole wyboru Podgrupy — umożliwia wyświetlanie również podgrup w ramach wybranej grupy.
Komputery niezarządzane (będące klientami w sieci, jednak nieobsługiwane przez agenta ERA i bez
zainstalowanego produktu zabezpieczającego ESET) wyświetlane są zwykle w grupie Zgubione i znalezione.
Przy użyciu menu rozwijanego widocznego pod filtrami można ograniczyć liczbę wyświetlanych klientów
(komputerów). Dostępnych jest kilka kategorii:
166
Aby ponownie wyświetlić wszystkie komputery klienckie bez ograniczeń (filtrowania), z menu rozwijanego należy
wybrać opcję Wszystkie urządzenia. Wszystkich powyższych opcji filtrowania można używać łącznie w celu
ograniczenia liczby pozycji wyświetlanych w widoku.
Ochrona ESET (komputer chroniony przy użyciu produktu firmy ESET).
Remote Administrator (poszczególne komponenty rozwiązania ERA, takie jak agent, RD Sensor, serwer proxy itp.).
Inne (udostępniona lokalna pamięć podręczna, urządzenie wirtualne). Po dokonaniu wyboru wyświetlane są
wyłącznie odpowiednie klienty.
UWAGA: Jeśli nie uda się znaleźć określonego komputera na liście, a wiadomo, że znajduje się on w infrastrukturze
ERA, należy wyłączyć wszystkie filtry.
Można skorzystać z menu kontekstowego (ikona koła zębatego ), w którym dostępne są opcje tworzenia grupy
statycznej lub dynamicznej, tworzenia nowego zadania oraz inne czynności.
Czynności związane z przyciskiem Komputery:
Nowy...
Ręczne dodawanie urządzeń, które nie zostały znalezione lub dodane automatycznie.
Szczegóły...
Podstawowe (nazwa, grupa nadrzędna, urządzenie, informacje o systemie operacyjnym itp.)
Konfiguracja (konfiguracja, stosowane reguły itp.)
Wykonania zadań (wystąpienie, nazwa zadania, typ zadania, stan itp.)
Zainstalowane aplikacje (nazwa, dostawca, wersja, obsługa odinstalowania agenta itp.)
Alerty (problem, stan itp.)
Zagrożenia (wszystkie typy zagrożeń, wyciszone, przyczyna itp.)
Kwarantanna (nazwa zagrożenia, typ zagrożenia, nazwa obiektu, skrót itp.)
Usuń
Funkcja ta umożliwia usunięcie klienta z listy, ale dopóki znajduje się on w sieci, będzie widoczny w grupie Zgubione
i znalezione.
167
Przenieś...
Opcja ta umożliwia przeniesienie klienta do innej grupy, a jej kliknięcie powoduje wyświetlenie listy dostępnych
grup.
Zarządzaj regułami...
Regułę można również przypisać bezpośrednio do klienta (wielu klientów), nie tylko do grupy. Wybierz tę opcję, aby
przypisać regułę do wybranych klientów.
Wyślij sygnał wznowienia
Serwer ERA inicjuje natychmiastową komunikację z agentem ERA na komputerze klienckim. Jest to przydatne, gdy
użytkownik nie chce czekać na regularny interwał, podczas którego agent ERA nawiązuje połączenie z serwerem
ERA. Na przykład, gdy chce, by zadanie klienta zostało wykonane na klientach natychmiast, lub jeśli chce, by reguła
została natychmiast wprowadzona.
UWAGA: Aby po wprowadzeniu zmiana została zastosowana, należy wstrzymać się z użyciem sygnału wznowienia
przez około minutę.
Wdrożenie agenta...
Przy użyciu tej opcji można utworzyć nowe zadanie serwera.
5.2.1 Dodawanie komputerów
168
mobilnego.
169
5.2.2 Szczegóły komputera
Wybierz komputer z grupy statycznej lub dynamicznej i kliknij opcję Szczegóły, aby wyświetlić więcej informacji na
temat tego komputera.
W menu Szczegóły komputera dostępne są następujące ustawienia:
Podstawowe — można tu zmienić nazwę, opis oraz grupę nadrzędną komputera.
Konfiguracja — tu wyświetlana jest całość konfiguracji, połączenia oraz reguły stosowane w odniesieniu do tego
komputera.
Wykonania zadań — wystąpienie, nazwa zadania, typ zadania, stan.
Zainstalowane aplikacje — nazwa, wersja, rozmiar, obsługa odinstalowania agenta.
Alerty — problem, stan itp.
Zagrożenia — wszystkie typy zagrożeń, wyciszone, przyczyna itp.
Kwarantanna — nazwa zagrożenia, typ, nazwa obiektu, skrót itp.
Zadania opis działania przycisków
Po wybraniu komputera lub grupy komputerów i kliknięciu przycisku Zadania dostępne są następujące opcje:
Skanuj
Użycie tej opcji spowoduje uruchomienie zadania Skanowanie na żądanie na kliencie, z którego otrzymano
zgłoszenie zagrożenia.
Aktualizuj bazę danych wirusów
Użycie tej opcji spowoduje uruchomienie zadania Aktualizacja bazy sygnatur wirusów (ręczne uruchomienie
aktualizacji).
170
Urządzenie mobilne
Zarejestruj... — przy użyciu tej opcji można utworzyć nowe zadanie klienta.
Znajdź — umożliwia wysłanie zapytania o współrzędne GPS urządzenia mobilnego.
Zablokuj — powoduje zablokowanie urządzenia w przypadku wykrycia podejrzanych działań lub po oznaczeniu
urządzenia jako zgubionego.
Odblokuj — powoduje odblokowanie urządzenia.
Alarm — zdalne uruchomienie głośnego dźwięku alarmu, który zostanie wyemitowany nawet wówczas, gdy w
urządzeniu wyciszono dźwięki.
Wyczyść — spowoduje nieodwracalne skasowanie wszystkich danych zapisanych w urządzeniu.
Nowe zadanie...
Umożliwia wybranie zadania i skonfigurowanie w nim opcji ograniczania (opcjonalnie). Zadanie zostanie dodane do
kolejki zgodnie z ustawieniami zadania.
Ta opcja natychmiastowo uruchamia istniejące zadanie wybrane z listy dostępnych zadań. W tym zadaniu nie jest
dostępny element wyzwalający, ponieważ zostanie ono wykonane natychmiast.
Wycisz
Po wybraniu komputera i naciśnięciu przycisku Wycisz, agent danego klienta przestaje wysyłać raporty do serwera
ERA, poprzestając na gromadzeniu informacji. Obok nazwy komputera, w kolumnie Wyciszono, wyświetlana będzie
ikona wyciszenia .
Po wyłączeniu wyciszenia poprzez kliknięcie kolejno opcji Wycisz > Wyłącz wyciszenie wyciszony komputer wznowi
przesyłanie raportów oraz komunikację z serwerem ERA, a klient zostanie przywrócony.
5.3 Zagrożenia
W sekcji Zagrożenia widoczny jest przegląd wszystkich zagrożeń wykrytych na komputerach w danej sieci. Po lewej
stronie widoczna jest struktura grup. Można tam przeglądać grupy oraz wyświetlać zagrożenia związane z członkami
danej grupy. Wybierz grupę Wszystkie i użyj filtru Wszystkie rodzaje zagrożeń w celu wyświetlenia wszystkich
zagrożeń wykrytych na klientach we wszystkich grupach.
171
Filtrowanie zagrożeń
Zagrożenia można filtrować, używając filtra znajdującego się nad listą. Domyślnie wyświetlane są wszystkie typy
zagrożeń z ostatnich 7 dni. Aby dodać więcej kryteriów filtrowania, kliknij opcję Dodaj filtr i wybierz element z listy
— można filtrować wyniki według nazwy (nazwy zagrożenia), przyczyny (przyczyny zagrożenia) lub adresu IPv4/IPv6
klienta, który przesłał zgłoszenie o tym zagrożeniu.
Domyślnie wyświetlane są wszystkie typy zagrożeń, ale można je filtrować według zagrożeń programu
antywirusowego oraz zapory osobistej, by uzyskać więcej szczegółów.
Skanowanie na żądanie
Wycisz
Po wybraniu opcji wyciszenia nastąpi wyciszenie określonego zagrożenia (nie klienta). Ten raport nie będzie już
wyświetlany jako aktywny. Można również wyciszyć klienta, z którego przesłano raport o tym zagrożeniu (wybierając
opcję Wycisz w menu kontekstowym zagrożenia).
5.4 Raporty
Raporty umożliwiają wygodny dostęp do danych w bazie danych oraz ich filtrowanie. Raporty są podzielone na
kategorie, co ułatwia ich przeglądanie. Każda kategoria zawiera krótki opis samego raportu. Kliknij opcję Generuj
teraz, znajdującą się w dolnej części strony, by utworzyć raport na podstawie wybranego szablonu oraz by wyświetlić
ten raport.
Możesz użyć wstępnie zdefiniowanych szablonów raportów z listy Kategorie i szablony lub stworzyć nowy szablon
raportu o dostosowanych ustawieniach. Kliknij opcję Utwórz nowy szablon raportu, aby wyświetlić szczegółowe
ustawienia każdego raportu oraz by wprowadzić własne ustawienia raportu.
Po wybraniu raportu pojawi się menu kontekstowe Czynności, które wyświetla się po kliknięciu opcji Szablony
raportów w dolnej części strony. Dostępne są następujące opcje:
172
Generuj teraz... — wybierz raport z listy i przejdź do opcji Szablony raportów > Generuj teraz... lub po prostu
kliknij opcję Generuj teraz.... Zostanie wygenerowany raport i będzie można przejrzeć dane wyjściowe.
Nowa kategoria... — wprowadź nazwę i opis, aby utworzyć nową kategorię szablonów raportów.
Nowy szablon raportu... — utwórz nowy niestandardowy szablon raportu.
Edytuj... — edytuj istniejący szablon raportu. Można użyć tych samych ustawień i opcji, jak w przypadku tworzenia
nowego szablonu raportu (patrz wyżej).
Kopiuj — z opcji Kopiuj należy korzystać tylko wówczas, gdy wymagane jest wprowadzenie małych poprawek do
istniejącego szablonu raportu. Skopiuj istniejący szablon raportu, a następnie edytuj ustawienia, by utworzyć nowy
szablon.
Usuń — ta opcja powoduje całkowite usunięcie wybranego szablonu.
Importuj/ Eksportuj — wybierz raport z listy i przejdź do opcji Szablony raportów > Eksportuj.... Raport (wraz z
danymi zdefiniowanymi w raporcie) zostanie wygenerowany i zapisany w pliku .txt.
5.4.1 Tworzenie nowego szablonu raportu
Przejdź do obszaru Raporty i kliknij pozycję Szablony raportów w obszarze Kategorie i szablony po lewej stronie. W
wyświetlonym oknie wybierz opcję Nowy szablon raportu....
Podstawowe
Przeprowadź edycję informacji podstawowych dotyczących szablonu. Wprowadź dane w polach Nazwa, Opis i
Kategoria. Może to być kategoria wstępnie zdefiniowana lub możesz utworzyć nową kategorię. W tym celu należy
użyć opcji Nowa kategoria opisanej w poprzednim rozdziale.
173
Wykres
W obszarze Wykres wybierz typ raportu. Może to być Tabela, w której informacje przedstawione są w wierszach i
kolumnach, lub Wykres, gdzie dane są przedstawione przy użyciu osi X oraz Y.
UWAGA: Wybrany typ wykresu zostanie wyświetlony w obszarze Podgląd. Dzięki temu można sprawdzić, jak będzie
wyglądać raport generowany w czasie rzeczywistym.
Wybranie pozycji Wykres umożliwia dostęp do wielu opcji:
Wykres słupkowy — wykres przedstawiający prostokątne słupki o wysokościach proporcjonalnych do
prezentowanych wartości.
Wykres punktowy — na tym wykresie dane ilościowe są przedstawione za pomocą punktów (w sposób podobny
jak na wykresie słupkowym).
Wykres kołowy — wykres w postaci koła podzielonego na wycinki proporcjonalne do przedstawianych wartości.
Wykres pierścieniowy — wykres podobny do wykresu kołowego, na którym można jednak przedstawiać różne
typy danych.
Wykres liniowy — przedstawia informacje jako ciąg punktów danych połączonych odcinkami linii prostej.
Podstawowy wykres liniowy — przedstawia informacje w postaci linii utworzonej na podstawie wartości bez
widocznych punktów danych.
Wykres liniowy skumulowany — wykres tego typu jest używany, gdy konieczne jest przeanalizowanie danych o
różnych jednostkach miary.
Wykres słupkowy skumulowany — jest podobny do zwykłego wykresu słupkowego, jednak w sposób
skumulowany przedstawia na słupkach dane różnego typu o różnych jednostkach miary.
Istnieje możliwość wpisania nazwy osi X oraz Y wykresu w celu ułatwienia jego odczytywania i obserwowania
tendencji.
174
Dane
W obszarze Dane wybierz informacje, które mają być wyświetlane:
a. Kolumny tabeli: informacje zawarte w tabeli są dodawane automatycznie na podstawie wybranego typu
raportu. Można zmienić wpisy w polach Nazwa, Etykieta oraz Format (patrz poniżej).
b. Osie wykresu: wybierz dane przypisane do osi X oraz Y. Kliknięcie odpowiednich symboli umożliwia otwarcie
okna z opcjami. Rodzaj danych dostępnych dla osi Y zależy zawsze od danych wybranych dla osi X i na odwrót,
ponieważ na wykresie wyświetlane są relacje pomiędzy tymi danymi i muszą one być ze sobą zgodne. Wybierz
żądane informacje i kliknij przycisk OK.
Przy użyciu opcji Format można zmienić format, w jakim wyświetlane są dane na jeden z poniższych:
Pasek danych (tylko w przypadku wykresów słupkowych) / Wartość / Kolor / Ikony
Sortowanie
Użyj opcji Dodaj sortowanie, aby określić relacje pomiędzy wybranymi danymi. Wybierz informacje początkowe
(wartość sortowania) oraz metodę sortowanie — Rosnąco lub Malejąco. Umożliwi to określenie wyniku
wyświetlanego na wykresie.
Filtr
Następnie zdefiniuj metodę filtrowania. Wybierz z listy wartość filtrowania i podaj jej wartość. Umożliwia to
ustalenie, jakie informacje będą wyświetlane na wykresie.
Podsumowanie
W obszarze Podsumowanie przejrzyj wybrane opcje i informacje. Jeśli są zgodne z oczekiwaniami, kliknij opcję
Zakończ, aby utworzyć nowy szablon raportu.
175
W każdym raporcie na panelu kontrolnym są odrębne opcje dostosowywania. Aby je wyświetlić, kliknij symbol koła
zębatego w prawym górnym rogu. Tutaj możesz odświeżyć wyświetlane informacje, zmienić wyświetlany raport na
inny, edytować szablon raportu (zobacz opcje opisane powyżej), ustawić nowy interwał odświeżania określający
częstotliwość odświeżania danych zawartych w raporcie, a także zmienić nazwę raportu lub go usunąć. Korzystając z
widocznych poniżej symboli strzałek możesz dostosować rozmiary raportu. Możesz na przykład powiększyć bardziej
istotne raporty i pomniejszyć raporty mniej istotne. Kliknij przełącznik widoku pełnoekranowego, by wyświetlić
raport w trybie pełnoekranowym.
5.4.2 Generowanie raportów
Szablony można tworzyć lub edytować na dwa sposoby:
1. Przejdź do obszaru Administrator > Zadania > Zadania serwera. Wybierz opcję Nowy... w celu utworzenia nowego
zadania Generowanie raportów.
2. Wybierz szablon raportu, na podstawie którego chcesz wygenerować raport. Możesz użyć wstępnie
zdefiniowanego szablonu raportu i poddać go edycji lub utworzyć nowy szablon raportu.
Raport można wysłać w wiadomości e-mail (w zdefiniowanym tutaj formacie pliku) lub zapisać go bezpośrednio w
pliku. Kliknięcie wybranej opcji powoduje wyświetlenie związanych z nią, opisanych poniżej ustawień.
Skonfiguruj ustawienia (w sposób opisany w zadaniu Generowanie raportów) i kliknij opcję Zakończ.
Zadanie zostanie utworzone i wyświetlone na liście Typy zadań. Wybierz to zadanie i kliknij opcję Uruchom teraz
dostępną u dołu strony. Zadanie zostanie wykonane natychmiast.
5.4.3 Planowanie raportu
1. Przejdź do obszaru Administrator > Zadania > Zadania serwera. Wybierz opcję Nowe w celu utworzenia nowego
zadania Generowanie raportów.
2. Wybierz szablon raportu, na podstawie którego chcesz wygenerować raport. Możesz użyć wstępnie
zdefiniowanego szablonu raportu i poddać go edycji lub utworzyć nowy szablon raportu.
Raport można wysłać w wiadomości e-mail (w zdefiniowanym tutaj formacie pliku) lub zapisać go w pliku.
Kliknięcie wybranej opcji powoduje wyświetlenie związanych z nią, opisanych poniżej ustawień.
Skonfiguruj ustawienia (w sposób opisany w zadaniu Generowanie raportów). W tym przykładzie utworzymy
element wyzwalający serwera dla tego zadania.
W sekcji Element wyzwalający przejdź do obszaru Ustawienia. Wybierz Zaplanowany element wyzwalający oraz
określ termin uruchomienia tego zadania.
Kliknij opcję Zakończ. Zadanie zostanie utworzone i uruchomione w podanym tutaj terminie (jeden raz lub
wielokrotnie).
5.4.4 Nieaktualne aplikacje
Aby sprawdzić, które komponenty programu ERA nie są aktualne, należy użyć raportu o nazwie Nieaktualne
aplikacje.
Można to zrobić na dwa sposoby:
1. Dodaj nową konsolę i kliknij jeden z elementów w celu wyświetlenia ekranu, na którym widoczne będą szablony
raportów. Z listy wybierz raport Nieaktualne aplikacje i kliknij opcję Dodaj.
2. Przejdź do obszaru Raporty, a następnie do kategorii Komputery i wybierz z listy szablon Nieaktualne aplikacje, po
czym kliknij widoczny u dołu przycisk Generuj teraz.... Zostanie wygenerowany raport i będzie można przejrzeć
dane wyjściowe.
W celu uaktualnienia komponentów należy użyć zadania klienta Uaktualnianie komponentów programu Remote
Administrator.
176
6. Administrowanie programem ESET Remote Administrator
W części Administrowanie programem ESET Remote Administrator omówione są sposoby konfigurowania programu
ESET Remote Administrator i zarządzania nim. Więcej informacji można znaleźć w rozdziale Administrator.
6.1 Administrator
Część Administrator jest głównym komponentem konfiguracyjnym programu ESET Remote Administrator. W części
tej znajdują się wszystkie narzędzia potrzebne administratorowi do zarządzania klienckimi rozwiązaniami
zabezpieczającymi oraz ustawienia serwera ERA. Narzędzi z części Administrator można użyć do skonfigurowania
środowiska sieciowego w taki sposób, by nie wymagało ono zbyt wielu czynności związanych z konserwacją. Można
również skonfigurować powiadomienia i panele kontrolne, które będą stale informować użytkownika o stanie sieci.
W tej części:
Szablony grup dynamicznych
Grupy
Reguły
Zadania klienta
Zadania serwera
Elementy wyzwalające
Powiadomienia
Certyfikaty równorzędne
Uprawnienia dostępu
Ustawienia serwera
Zarządzanie licencjami
6.1.1 Grupy
Przy użyciu grup można zarządzać komputerami i kategoryzować je. Można z łatwością stosować różne ustawienia,
zadania lub ograniczenia w odniesieniu do komputerów klienckich na podstawie ich przynależności do określonych
grup. Można korzystać z grup wstępnie zdefiniowanych oraz szablonów grup, a także tworzyć nowe grupy.
Istnieją dwa typy grup klientów:
Grupy statyczne
Grupy statyczne to grupy wybranych komputerów klienckich. Komputery należące do tych grup mają charakter
statyczny i można je dodawać lub usuwać wyłącznie ręcznie, a nie na podstawie kryteriów dynamicznych. Komputer
może należeć tylko do jednej grupy statycznej.
Grupy dynamiczne
Grupy dynamiczne to grupy klientów, których przynależność do danej grupy jest ustalana na podstawie określonych
kryteriów. Jeśli klient nie spełnia tych kryteriów, zostaje usunięty z grupy. Komputery spełniające kryteria są
dodawane do grup automatycznie.
Okno Grupy jest podzielone na trzy sekcje:
1. Lista wszystkich grup wraz z podgrupami jest wyświetlana z lewej strony. Można tu wybrać grupę, a następnie z
menu kontekstowego (koło zębate obok nazwy grupy) wybrać czynność przypisaną do tej grupy. Dostępne są takie
same opcje, jak opisano poniżej (przycisk czynności związanych z grupami).
177
2. Szczegółowe informacje dotyczące wybranej grupy wyświetlane są w okienku po prawej stronie (można
przełączać się pomiędzy kartami):
Komputery należące do danej grupy.
Reguły przypisane do tej grupy.
Zadania przypisane do tej grupy.
Podsumowanie z podstawowym opisem grupy.
3. Przy użyciu przycisków menu kontekstowego Grupy oraz Komputery można realizować wszystkie następujące
czynności:
Opis działania przycisków do obsługi grup
Nowa grupa statyczna...
Ta opcja zostaje udostępniona po kliknięciu grupy na liście widocznej po lewej stronie. Ta grupa zostanie domyślnie
grupą nadrzędną, jednak grupę nadrzędną można zmienić później, podczas tworzenia nowej grupy statycznej.
Nowa grupa dynamiczna...
Ta opcja zostaje udostępniona po kliknięciu grupy na liście widocznej po lewej stronie. Ta grupa zostanie domyślnie
grupą nadrzędną, jednak grupę nadrzędną można zmienić później, podczas tworzenia nowej grupy dynamicznej.
Edytuj...
Ta opcja umożliwia edytowanie wybranej grupy. Stosowane są takie same ustawienia, jak w przypadku tworzenia
nowej grupy (statycznej lub dynamicznej).
Przenieś...
Istnieje możliwość zaznaczenia grupy i przeniesienia jej do innej grupy w charakterze podgrupy.
Usuń
Ta opcja powoduje całkowite usunięcie wybranej grupy.
Importuj...
Można zaimportować listę komputerów (zwykle jest to plik tekstowy) jako elementy należące do wybranej grupy.
Jeśli komputery należą już do danej grupy, konflikt zostanie rozwiązany poprzez zastosowanie wybranej czynności:
Pomiń komputery powodujące konflikty (komputery powodujące konflikty nie zostaną dodane).
Przenieś komputery powodujące konflikty z innych grup (komputery powodujące konflikty zostaną tutaj
przeniesione z grup, do których należą).
Zduplikuj komputery powodujące konflikty (komputery powodujące konflikty zostaną dodane, jednak ze
zmienionymi nazwami).
Eksportuj...
Ta opcja umożliwia eksportowanie elementów grup (a także podgrup, jeśli je zaznaczono) na listę (w postaci pliku
.txt). Lista może zostać użyta podczas kontroli lub zaimportowana w późniejszym czasie.
Dodaj nowy...
Przy użyciu tej opcji można dodać nowe urządzenie.
Skanuj
Aktualizuj bazę danych wirusów
Użycie tej opcji spowoduje uruchomienie zadania Aktualizacja bazy sygnatur wirusów (ręczne uruchomienie
aktualizacji).
178
Urządzenie mobilne
Zarejestruj... — przy użyciu tej opcji można utworzyć nowe zadanie klienta.
Znajdź — umożliwia wysłanie zapytania o współrzędne GPS urządzenia mobilnego.
Zablokuj — powoduje zablokowanie urządzenia w przypadku wykrycia podejrzanych działań lub po oznaczeniu
urządzenia jako zgubionego.
Odblokuj — powoduje odblokowanie urządzenia.
Alarm — zdalne uruchomienie głośnego dźwięku alarmu, który zostanie wyemitowany nawet wówczas, gdy w
urządzeniu wyciszono dźwięki.
Wyczyść — spowoduje nieodwracalne skasowanie wszystkich danych zapisanych w urządzeniu.
Nowe zadanie...
Przy użyciu tej opcji można utworzyć nowe zadanie klienta. Umożliwia wybranie zadania i skonfigurowanie w nim
opcji ograniczania (opcjonalnie). Zadanie zostanie dodane do kolejki zgodnie z ustawieniami zadania.
Ta opcja natychmiastowo uruchamia istniejące zadanie wybrane z listy dostępnych zadań. W tym zadaniu nie jest
dostępny element wyzwalający, ponieważ zostanie ono wykonane natychmiast.
Zarządzaj regułami...
Ta opcja umożliwia przypisanie reguły do wybranej grupy.
6.1.1.1 Tworzenie nowej grupy statycznej
Nową grupę statyczną można utworzyć na trzy sposoby:
i wybierz opcję Nowa grupa statyczna....
> Nowa grupa statyczna....
179
3. Kliknij kolejno pozycje Administrator > Grupy, wybierz grupę statyczną i kliknij pozycję Grupa.
Podstawowe
180
Wprowadź nazwę i opis (opcjonalnie) nowej grupy statycznej. Domyślnie grupą nadrzędną jest grupa, która była
zaznaczona w momencie rozpoczęcia tworzenia nowej grupy statycznej. Aby zmienić grupę nadrzędną, należy kliknąć
opcję Zmień grupę nadrzędną i wybrać grupę nadrzędną z drzewa. Grupa nadrzędna nowej grupy statycznej musi być
grupą statyczną. Wymóg ten wynika z faktu, że grupa dynamiczna nie może zawierać grup statycznych. Kliknij
przycisk Zakończ, aby utworzyć nową grupę statyczną.
181
6.1.1.2 Tworzenie nowej grupy dynamicznej
Nową grupę dynamiczną można utworzyć na trzy sposoby:
182
i wybierz opcję Nowa grupa dynamiczna.
> Nowa podgrupa dynamiczna.
3. Kliknij kolejno pozycje Administrator > Grupy > kliknij przycisk Grupa, a następnie opcję Nowa grupa dynamiczna.
Zostanie wyświetlony kreator nowej grupy dynamicznej.
183
6.1.1.3 Przypisywanie zadania do grupy
Kliknij kolejno pozycje Administrator > Grupy > wybierz grupę statyczną lub dynamiczną > kliknij symbol koła
zębatego obok wybranej grupy lub kliknij kolejno opcje Grupa > Nowe zadanie.
Te same czynności można wykonać w obszarze Komputery. Wybierz grupę statyczną lub dynamiczną i kliknij kolejno
> Nowe zadanie.
184
Zostanie otwarte okno kreatora nowego zadania klienta.
6.1.1.4 Przypisywanie reguły do grupy
185
obok nazwy grupy i
186
6.1.1.5 Reguły i grupy
Przynależność komputera do grupy dynamicznej ustalana jest na podstawie reguł przypisanych do tego komputera.
Ustalana jest również przy użyciu szablonu, na podstawie którego utworzono grupę dynamiczną.
6.1.1.6 Grupy statyczne
Grupy statyczne umożliwiają ręczne sortowanie komputerów klienckich na grupy i podgrupy. Można tworzyć
niestandardowe grupy statyczne i przenosić do nich wybrane komputery.
Grupy statyczne można tworzyć wyłącznie ręcznie. Komputery klienckie można następnie przenosić do tych grup
ręcznie. Każdy z komputerów może należeć tylko do jednej grupy statycznej.
Istnieją dwie domyślne grupy statyczne:
Wszystkie — jest to grupa główna obejmująca wszystkie komputery w sieci serwerów ERA. Używana jest do
stosowania reguł w odniesieniu do poszczególnych komputerów jako reguły domyślnej. Ta grupa wyświetlana jest
zawsze i zmiana jej nazwy w ramach edycji grupy nie jest dozwolona.
Zgubione i znalezione jako grupa podrzędna grupy Wszystkie — każdy nowy komputer po raz pierwszy
nawiązujący połączenie z serwerem za pośrednictwem agenta jest automatycznie wyświetlany w tej grupie.
Nazwę tej grupy można zmienić, a samą grupę można skopiować, jednak nie można jej usunąć ani przenieść.
6.1.1.6.1 Kreator grup statycznych
W obszarze Komputery > Grupy wybierz jedną z grup statycznych, kliknij symbol koła zębatego
Nowa grupa statyczna.
i wybierz opcję
Podstawowe
Wprowadź nazwę i opis nowej grupy. Można tu również zmienić grupę nadrzędną. Domyślnie grupą nadrzędną jest
grupa, która była zaznaczona w momencie rozpoczęcia tworzenia nowej grupy statycznej. Kliknij przycisk Zakończ,
aby utworzyć nową grupę statyczną.
187
6.1.1.6.2 Zarządzanie grupami statycznymi
Przejdź do obszaru Administrator > Grupy i wybierz grupę statyczną, którą chcesz zarządzać. Kliknij przycisk Grupa
lub symbol koła zębatego przy nazwie grupy statycznej. Zostanie wyświetlone wyskakujące menu zawierające
dostępne opcje:
Nowa grupa statyczna
Grupa statyczna wybrana przez kliknięcie przycisku Grupa lub koła zębatego będzie domyślnie grupą nadrzędną.
Grupę nadrzędną można jednak zmienić w późniejszym czasie (jeśli zajdzie taka potrzeba) podczas tworzenia nowej
grupy statycznej.
Edytuj grupę
Ta opcja umożliwia edytowanie wybranej grupy. Stosowane są takie same ustawienia, jak w przypadku tworzenia
nowej grupy (statycznej lub dynamicznej).
Przenieś
Ta opcja umożliwia przeniesienie wybranej grupy do innej grupy. Przeniesiona grupa stanie się podgrupą tej grupy.
Usuń
Ta opcja powoduje całkowite usunięcie wybranej grupy.
Eksportuj
Ta opcja umożliwia wyeksportowanie elementów grup (a także podgrup, jeśli je zaznaczono) i utworzenie listy (w
postaci pliku .txt). Lista może zostać użyta podczas kontroli lub zaimportowana w późniejszym czasie.
Importuj
Ta opcja umożliwia zaimportowanie listy komputerów (zwykle jest to plik tekstowy) i dołączenie ich do wybranej
grupy.
188
6.1.1.6.3 Przenoszenie grupy statycznej
Kliknij symbol koła zębatego obok nazwy grupy i wybierz opcję Przenieś. Zostanie wyświetlone wyskakujące
okienko, przestawiające strukturę drzewa grup. Wybierz grupę docelową (statyczną lub dynamiczną), do której
chcesz przenieść wybraną grupę. Grupa docelowa stanie się grupą nadrzędną. Grupy można również przenosić,
przeciągając je i upuszczając w wybranej grupie docelowej.
Warto wspomnieć o kilku wyjątkach dotyczących organizacji grupy. Nie można przenieść grupy statycznej do grupy
dynamicznej. Nie można również przenieść wstępnie zdefiniowanych grup statycznych (na przykład Zgubione i
znalezione) do żadnej innej grupy. Inne grupy można dowolnie przenosić. Grupa dynamiczna może należeć do
dowolnej grupy, także do grupy statycznej.
Do przenoszenia grup można użyć następujących metod:
Przeciąganie i upuszczanie — kliknij i przytrzymaj grupę, którą chcesz przenieść i upuść ją na grupę nadrzędną.
> Edytuj > Zmień grupę nadrzędną.
189
> Przenieś > wybierz z listy nową grupę nadrzędną i kliknij przycisk OK.
190
6.1.1.6.4 Dodawanie komputera klienckiego do grupy statycznej
Utwórz nową grupę statyczną lub wybierz jedną z domyślnych grup statycznych.
191
mobilnego.
192
6.1.1.6.5 Importowanie klientów z usługi Active Directory
Synchronizację z usługą Active Directory przeprowadza się uruchamiając zadanie serwera Synchronizacja grupy
statycznej.
Administrator > Zadanie serwera to wstępnie zdefiniowane zadanie, które można wybrać do automatycznego
wykonania podczas instalacji programu ESET Remote Administrator. Jeśli komputer należy do domeny,
synchronizacja zostanie przeprowadzone, a komputery z usługi Active Directory zostaną wpisane do domyślnej
grupy Wszystkie.
Aby rozpocząć procedurę synchronizacji, wystarczy kliknąć zadanie i wybrać pozycję Uruchom teraz. Jeśli konieczne
jest utworzenie nowego zadania synchronizacji AD, wybierz grupę, do której mają zostać dodane nowe komputery z
usługi AD. Zaznacz również obiekty w usłudze AD, z którą ma być przeprowadzona synchronizacja oraz określ sposób
postępowania z duplikatami. Wprowadź ustawienia połączenia z serwerem usługi AD i w pozycji Tryb synchronizacji
wybierz opcję Active Directory/Open Directory/LDAP.
Wykonaj procedurę przedstawioną w tym artykule bazy wiedzy firmy ESET.
6.1.1.6.6 Przypisywanie zadania do grupy statycznej
Przypisywanie zadań odbywa się tak samo w grupach statycznych i dynamicznych. Instrukcje dotyczące
przypisywania zadań do grupy można znaleźć tutaj.
6.1.1.6.7 Przypisywanie reguły do grupy statycznej
Przypisywanie reguł odbywa się tak samo w grupach statycznych i dynamicznych. Instrukcje dotyczące przypisywania
reguł do grupy można znaleźć tutaj.
193
6.1.1.6.8 Eksportowanie grup statycznych
Eksportowanie listy komputerów należących do struktury serwera ERA jest proste. Można wyeksportować listę i
zachować ją jako kopię zapasową, którą można zaimportować w przyszłości, na przykład w celu przywrócenia
struktury grupy.
UWAGA: W grupach statycznych musi znajdować się co najmniej jeden komputer. Nie można wyeksportować pustej
grupy.
1. Przejdź do obszaru Administrator > Grupy i wybierz grupę statyczną, którą chcesz wyeksportować.
2. Kliknij przycisk Grupa u dołu strony (spowoduje to wyświetlenie menu kontekstowego).
3. Wybierz opcję Eksportuj.
4. Plik zostanie zapisany w formacie .txt.
UWAGA: Nie ma możliwości eksportowania grup dynamicznych, ponieważ te grupy są jedynie łączami do
komputerów tworzonymi na podstawie kryteriów ustalonych w szablonach grup dynamicznych.
194
6.1.1.6.9 Importowanie grup statycznych
Pliki wyeksportowane z grup statycznych można zaimportować ponownie do konsoli internetowej ERA i dołączyć je
do istniejącej struktury grup.
1. Kliknij opcję Grupa (spowoduje to wyświetlenie menu kontekstowego).
2. Wybierz opcję Importuj.
3. Kliknij opcję Przeglądaj i przejdź do pliku .txt.
4. Wybierz plik grupy i kliknij opcję Otwórz. Nazwa pliku zostanie wyświetlona w polu tekstowym.
5. W celu rozwiązania konfliktów wybierz jedną z poniższych opcji:
Pomiń komputery powodujące konflikty
Jeśli istnieją grupy statyczne, a komputery z pliku .txt znajdują się już w tych grupach, komputery te zostaną
pominięte i nie będą importowane. Zostanie wyświetlona informacja na ten temat.
Przenieś komputery powodujące konflikty z innych grup
Jeśli istnieją grupy statyczne, a komputery z pliku .txt znajdują się już w tych grupach, konieczne jest przeniesienie
komputerów do innych grup statycznych przed ich zaimportowaniem, po czym po zaimportowaniu komputery te
zostaną przeniesione z powrotem do grup wyjściowych, z których zostały przeniesione.
Zduplikuj komputery powodujące konflikty
Jeśli istnieją grupy statyczne, a komputery z pliku .txt znajdują się już w tych grupach, duplikaty tych komputerów
zostaną utworzone w ramach tej samej grupy statycznej. Przy komputerze oryginalnym wyświetlane będą wówczas
pełne informacje, a przy duplikacie wyłącznie nazwa komputera.
5. Kliknij opcję Importuj w celu zaimportowania grup statycznych wraz zawartymi w nich komputerami.
195
6.1.1.7 Grupy dynamiczne
Grupy dynamiczne to w zasadzie niestandardowe filtry zdefiniowane w szablonach. Komputery są filtrowane po
stronie agenta, więc do serwera nie muszą być przesyłane żadne dodatkowe informacje. To agent decyduje, do
której grupy dynamicznej należy klient, i tylko powiadamia serwer o podjętej decyzji. Grupy dynamiczne dysponują
własnymi regułami zdefiniowanymi w szablonie grupy dynamicznej.
Po zainstalowaniu programu ESET Remote Administrator dostępnych jest klika wstępnie zdefiniowanych grup
dynamicznych. W razie potrzeby można utworzyć niestandardowe grupy dynamiczne. W tym celu należy najpierw
utworzyć szablon, a następnie utworzyć grupę dynamiczną.
Inna metoda polega na utworzeniu nowej grupy dynamicznej i nowego szablonu w ramach jednej operacji.
Na podstawie jednego szablonu można utworzyć więcej niż jedną grupę dynamiczną.
Użytkownik może używać grup dynamicznych w innych częściach serwera ERA. Można przypisać do nich reguły lub
utworzyć zadanie dla wszystkich znajdujących się w nich komputerów.
Grupy dynamiczne mogą należeć do grup statycznych lub grup dynamicznych. Jednak najwyższa grupa w hierarchii
jest zawsze statyczna.
Wszystkie grupy dynamiczne w obrębie grupy statycznej jedynie filtrują komputery grupy statycznej, bez względu na
to, jaka jest ich pozycja w drzewie. Ponadto, w przypadku grup dynamicznych, głębiej osadzona grupa dynamiczna
filtruje wyniki grupy wyższej w hierarchii.
Po utworzeniu reguły można dowolnie przenosić w obrębie drzewa.
6.1.1.7.1 Kreator szablonu grupy dynamicznej
Kliknij opcję Nowy szablon w obszarze Administrator > Szablony grup dynamicznych.
Podstawowe
1. Wprowadź nazwę i opis nowego szablonu grupy dynamicznej.
Wyrażenie
196
polu).
Podsumowanie
6.1.1.7.2 Zarządzanie szablonami grup dynamicznych
Szablonami można zarządzać w obszarze Administrator > Szablony grup dynamicznych.
Użytkownik ma możliwość utworzenia nowego szablonu lub edytowania dowolnego z istniejących szablonów. Aby
edytować, należy kliknąć szablon, który ma być edytowany, co spowoduje uruchomienie kreatora. Można też wybrać
szablon, klikając widoczne obok niego pole wyboru, a następnie opcję Edytuj szablon.
Wyrażenie
197
polu).
Podsumowanie
6.1.1.7.3 Kreator grupy dynamicznej
Grupy dynamiczne można tworzyć na podstawie istniejących szablonów lub poprzez utworzenie nowego szablonu
(który następnie zostanie użyty do utworzenia danej grupy dynamicznej).
Podstawowe
Wprowadź nazwę i opis(opcjonalnie) nowej grupy dynamicznej. Domyślnie grupą nadrzędną jest grupa, która była
zaznaczona w momencie rozpoczęcia tworzenia nowej grupy statycznej. Aby w razie potrzeby zmienić grupę
nadrzędną, wystarczy kliknąć opcję Zmień grupę nadrzędną i wybrać odpowiednią pozycję w strukturze drzewa.
Grupa nadrzędna nowej grupy dynamicznej może być dynamiczna lub statyczna. Kliknij przycisk Zakończ, aby
utworzyć nową grupę dynamiczną.
198
Szablon
Można wybrać istniejący szablon grupy dynamicznej lub utworzyć nowy szablon grupy dynamicznej.
Podsumowanie
Sprawdź poprawność konfiguracji (jeśli trzeba wprowadzić zmiany, nadal można to zrobić) i kliknij przycisk Zakończ.
199
6.1.1.7.4 Tworzenie grupy dynamicznej na podstawie istniejącego szablonu
Aby utworzyć nową grupę dynamiczną na podstawie istniejącego szablonu, kliknij ikonę koła zębatego
nazwy grupy dynamicznej, a następnie kliknij opcję Nowa grupa dynamiczna.
obok
Polecenie Nowa grupa dynamiczna... jest również dostępne w obszarze Administrator > Grupy. Wybierz grupę (w
okienku Grupy) i kliknij pozycję Grupa widoczną u dołu.
200
Zostanie wyświetlony kreator grupy dynamicznej. Wprowadź nazwę i opis (opcjonalnie) nowego szablonu. Można
również zmienić grupę nadrzędną, klikając przycisk Zmień grupę nadrzędną.
Wybierz szablon grupy dynamicznej spośród szablonów wstępnie zdefiniowanych lub uprzednio utworzonych.
Kliknij opcję Wybierz spośród istniejących i wybierz odpowiedni szablon z listy. Jeśli nie zostały dotąd utworzone
żadne szablony, a żaden ze wstępnie zdefiniowanych szablonów dostępnych na liście nie jest odpowiedni, kliknij
opcję Nowy i postępuj według instrukcji w celu utworzenia nowego szablonu.
201
Ostatni ekran zawiera podsumowanie. Nowa grupa jest widoczna w ramach nadrzędnej grupy statycznej.
6.1.1.7.5 Tworzenie grupy dynamicznej na podstawie nowego szablonu
Proces ten obejmuje takie same kroki jak podczas tworzenia grupy dynamicznej na podstawie istniejącego szablonu
aż do kroku Szablon grupy dynamicznej, w którym należy kliknąć opcję Nowy szablon grupy dynamicznej i
wprowadzić informacje dotyczące nowego szablonu.
Po zakończeniu nowy szablon zostanie automatycznie użyty. Szablon ten pojawi się również na liście szablonów
grup dynamicznych i będzie można go użyć do tworzenia innych grup dynamicznych.
6.1.1.7.6 Zarządzanie grupami dynamicznymi
Grupę dynamiczną można utworzyć na podstawie istniejącego szablonu lub można utworzyć nowy szablon, który
zostanie użyty do utworzenia danej grupy dynamicznej.
Po utworzeniu grup dynamicznych można wykonywać na nich różnego rodzaju operacje. Oto przykłady tych operacji:
Edytowanie
Przenoszenie
Usuwanie
Uruchamianie zadań
Używanie zadań do obsługi powiadomień
Te operacje można wykonywać z trzech miejsc:
1. Komputer > Grupy >
202
2. Administrator > Grupy >
3. Administrator > Grupy > zaznacz grupy dynamiczne, którymi chcesz zarządzać i kliknij przycisk Grupa.
203
6.1.1.7.7 Przenoszenie grupy dynamicznej
Kliknij symbol koła zębatego obok nazwy grupy i wybierz opcję Przenieś. Zostanie wyświetlone wyskakujące
okienko, przestawiające strukturę drzewa grup. Wybierz grupę docelową (statyczną lub dynamiczną), do której
chcesz przenieść wybraną grupę. Grupa docelowa stanie się grupą nadrzędną. Grupy można również przenosić,
przeciągając je i upuszczając w wybranej grupie docelowej.
Warto wspomnieć o kilku wyjątkach dotyczących organizacji grupy. Nie można przenieść grupy statycznej do grupy
dynamicznej. Nie można również przenieść wstępnie zdefiniowanych grup statycznych (na przykład Zgubione i
znalezione) do żadnej innej grupy. Inne grupy można dowolnie przenosić. Grupa dynamiczna może należeć do
dowolnej grupy, także do grupy statycznej.
Do przenoszenia grup można użyć następujących metod:
Przeciąganie i upuszczanie — kliknij i przytrzymaj grupę, którą chcesz przenieść i upuść ją na grupę nadrzędną.
204
> Edytuj > Zmień grupę nadrzędną.
> Przenieś > wybierz z listy nową grupę nadrzędną i kliknij przycisk OK.
205
UWAGA: Po przeniesieniu grupy dynamicznej w nowe miejsce uruchamiane jest filtrowanie komputerów (na
podstawie szablonu) w sposób niezwiązany w żaden sposób z poprzednią lokalizacją.
6.1.1.7.8 Przypisywanie reguły do grupy dynamicznej
Przypisywanie reguł odbywa się tak samo w grupach statycznych i dynamicznych. Instrukcje dotyczące przypisywania
reguł do grupy można znaleźć tutaj.
6.1.1.7.9 Przypisywanie zadania do grupy dynamicznej
Przypisywanie zadań odbywa się tak samo w grupach statycznych i dynamicznych. Instrukcje dotyczące
przypisywania zadań do grupy można znaleźć tutaj.
6.1.1.7.10 Automatyzacja programu ESET Remote Administrator
1. Tworzenie grupy dynamicznej, na przykład „Zainfekowane komputery”
2. Tworzenie zadania — dokładne skanowanie i przypisanie do grupy dynamicznej Zainfekowane komputery
(zadanie jest uruchamiane, gdy klienty dołączają do grupy dynamicznej)
3. Tworzenie określonej reguły (w tym przypadku „reguły izolowania”) — po zainstalowaniu produktu
zabezpieczającego ESET tworzona jest reguła blokująca cały ruch sieciowy z wyjątkiem połączenia z rozwiązaniem
ESET Remote Administrator.
4. Tworzenie szablonu powiadomienia — w przypadku zainfekowanych komputerów (można określić różne
warunki) generowane jest powiadomienie, mające na celu ostrzeżenie użytkownika o rozprzestrzeniającym się
zagrożeniu.
Korzystając z tych samych technik, można zautomatyzować aktualizacje produktów oraz systemu operacyjnego,
skanowanie, aktywowanie nowo dodanych produktów przy użyciu wskazanej licencji, a także inne zadania.
206
6.1.1.7.11 Dołączanie komputera do grupy dynamicznej
Dołączenie komputera do określonej grupy dynamicznej wymaga spełnienia pewnych warunków. Warunki te są
zdefiniowane w szablonie grupy dynamicznej. Każdy szablon składa się z jednej lub kliku reguł (czyli warunków). Te
reguły można ustalić podczas tworzenia nowego szablonu.
Konkretne informacje dotyczące bieżącego warunku komputera klienckiego są zapisywane przez agenta. Następnie
warunki dotyczące komputera są klasyfikowane przez agenta na podstawie reguł szablonu.
Użytkownik rozwiązania ERA może być zainteresowany tylko niektórymi stanami. Definiuje je, podając wartości
poszczególnych stanów, a taki wstępnie zdefiniowany zestaw określany jest mianem grupy dynamicznej.
Gdy tylko komputer znajdzie się w stanie warunkowanym określonymi w ten sposób wartościami, zostanie
automatycznie przypisany do danej grupy.
Grupy dynamiczne można postrzegać jako filtry stanu komputera. Jeden komputer może być ujęty w więcej niż
jednym filtrze, zatem może zostać przypisany do więcej niż jednej grupy dynamicznej. To odróżnia grupy
dynamiczne od grup statycznych, w których komputer może występować tylko raz.
6.1.1.7.12 Ocena reguł szablonu
Ocena reguł szablonu obsługiwana jest przez agenta, a nie przez serwer ERA (do serwera ERA wysyłane są tylko
wyniki). Procedura oceny odbywa się na podstawie reguł skonfigurowanych w szablonie. Poniżej przedstawiono
objaśnienie procedury oceny i podano kilka przykładów.
Stan jest zbiorem różnych informacji. Niektóre ze źródeł podają więcej niż jeden stan wymiarowy urządzenia (np.
system operacyjny, rozmiar pamięci RAM), natomiast inne podają wielowymiarowe dane dotyczące stanu (np. adres
IP, zainstalowana aplikacja).
Poniżej przedstawiono wizualizację stanu klienta:
Karty
siecio
we.Adr
es IP
Karty sieciowe.Adres MAC
System.Nazwa
System.Wersja
Sprzęt. Zainsta
Pamięćlowana
RAM w aplikac
MB
ja
192.16
8.1.2
4A-64-3F-10-FC-75
Windows 7 Enterprise
6.1.7601
10.1.1.
11
2B-E8-73-BE-81-C7
PDF
Reader
124.25
6.25.25
52-FB-E5-74-35-73
Office
Suite
2048
ESET
Endpoi
nt
Securit
y
Weath
er
Foreca
st
Na stan składają się grupy informacji. Jedna grupa informacji zawsze obejmuje spójne informacje podane w
wierszach. Liczba wierszy w grupie może być różna.
Warunki są oceniane według grupy i według wiersza. Jeśli w odniesieniu do kolumn z jednej grupy stosowanych jest
więcej warunków, pod uwagę brane są tylko wartości z tego samego wiersza.
Przykład 1:
W tym przykładzie rozważany jest następujący warunek:
207
Karty sieciowe.Adres IP = 10.1.1.11 AND Karty sieciowe.Adres MAC = 4A-64-3F-10-FC-75
Tej reguły nie spełnia żaden komputer, ponieważ nie ma wiersza, w którym oba warunki byłyby prawdziwe.
Karty
siecio
we —
Adres
IP
Karty sieciowe — Adres MAC
192.16
8.1.2
Nazwa systemu
Wersja systemu
6.1.7601
Sprzęt Zainsta
— lowane
Pamięć oprogr
RAM w amowa
MB
nie
2048
4A-64-3F-10-FC-75
ESET
Endpoi
nt
Securit
y
10.1.1.
11
2B-E8-73-BE-81-C7
PDF
Reader
124.25
6.25.25
52-FB-E5-74-35-73
Office
Suite
Weath
er
Foreca
st
Przykład 2:
W tym przykładzie rozważany jest następujący warunek:
Karty sieciowe.Adres IP = 192.168.1.2 AND Karty sieciowe.Adres MAC = 4A-64-3F-10-FC-75
Tym razem istnieje wiersz, w którym komórki spełniają oba te warunki, zatem wartość całej reguły to TRUE (prawda).
Komputer zostaje wybrany.
Karty
siecio
we —
Adres
IP
192.16
8.1.2
Nazwa systemu
Wersja systemu
6.1.7601
4A-64-3F-10-FC-75
Sprzęt Zainsta
— lowane
Pamięć oprogr
RAM w amowa
MB
nie
2048
ESET
Endpoi
nt
Securit
y
10.1.1.
11
2B-E8-73-BE-81-C7
PDF
Reader
124.25
6.25.25
52-FB-E5-74-35-73
Office
Suite
Weath
er
Foreca
st
Przykład 3:
Przykład dotyczy warunków z operatorem OR (przynajmniej jeden warunek musi mieć wartość TRUE):
208
Karty sieciowe.Adres IP = 10.1.1.11 OR Karty sieciowe.Adres MAC = 4A-64-3F-10-FC-75
Reguła ma wartość TRUE (prawda) dla dwóch wierszy, ponieważ wystarczy spełnienie tylko jednego z podanych
warunków. Komputer zostaje wybrany.
Karty
siecio
we —
Adres
IP
Nazwa systemu
Wersja systemu
Sprzęt Zainsta
— lowane
Pamięć oprogr
RAM w amowa
MB
nie
192.16
8.1.2
4A-64-3F-10-FC-75
6.1.7601
10.1.1.
11
2B-E8-73-BE-81-C7
PDF
Reader
124.25
6.25.25
52-FB-E5-74-35-73
Office
Suite
2048
ESET
Endpoi
nt
Securit
y
Weath
er
Foreca
st
6.1.1.7.13 Edytor reguł
Warunki
Podczas konfigurowania warunków w ramach szablonu grupy dynamicznej w odniesieniu do poszczególnych
warunków używane są różne operatory.
Dostępne są 3 typy list:
Listy operatorów numerycznych zawierają operatory umożliwiające porównywanie wartości numerycznych
Listy operatorów ciągów zawierają operatory umożliwiające porównywanie wartości alfanumerycznych
Listy operatorów logicznych zawierają tylko dwa operatory — prawda „= (równy)” i fałsz „≠ (nie równy)”
Typy list operatorów
Na liście znajduje się 6 wartości:
209
„= (równy)”
„≠ (nie równy)”
„> (większy niż)”
„≥ (większy lub równy)”
„< (mniejszy niż)”
„≤ (mniejszy lub równy)”
Lista operatorów ciągów
Na liście znajduje się 9 wartości:
„= (równy)” — należy podać wyłącznie dokładną i całkowitą wartość wyszukiwaną.
„≠ (nie równy)” — należy podać wyłącznie dokładną i całkowitą wartość, która ma być ignorowana podczas
wyszukiwania.
„ma podciąg” — należy podać podciąg wyszukiwany w dowolnym miejscu wyrażenia.
„ma prefiks” — należy podać dokładnie kilka pierwszych znaków wyszukiwanego ciągu. W przypadku ciągu
„Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319” prefiksem może być „Micros”, „Micr”, „Microsof” itd.
„ma postfiks” — należy podać dokładnie kilka ostatnich znaków wyszukiwanego ciągu. W przypadku ciągu
„Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319” postfiksem może być „319”, „0.30319” itd.
„wyrażenie regularne” — używana jest tu składnia Perl.
„w” — należy podać wyrażenie dokładne. Na przykład w przypadku ciągu „Microsoft Windows” należy wpisać
dokładnie „Microsoft Windows”.
„ma maskę” oraz „w (maska ciągu)” — w tych operatorach używane są 2 rodzaje symboli wieloznacznych:
* — dowolna liczba znaków (0 lub więcej)
? — dokładnie 1 znak
Przykłady
Zapis „a*” odpowiada ciągom „a”, „aa”, „ax”, „abcde”
Zapis „a?” odpowiada ciągom „aa”, „ab”, „ac”, ale nie ciągom „a” ani „aaa”
Zapis „a??” odpowiada ciągom „aaa”, „aab”, „axy”, ale nie ciągom „a”, „aa” ani „aaaa”
Zapis „a?*” odpowiada ciągom „aa”, „ax”, „abcde”, ale nie ciągowi „a”
Zapis „*a*” odpowiada ciągom „a”, „xa”, „ax”, „xax”, „dynamiczny”, „abba”
Zapis „?*” odpowiada wszystkim ciągom z wyjątkiem ciągu pustego „”
Lista operatorów logicznych
Ta lista obejmuje 2 wartości, jednak wartości te są zawsze połączone z drugą listą warunków:
„= (równy)” — następujący po tym warunek jest prawdziwy
„≠ (nie równy)” — następujący po tym warunek jest nieprawdziwy
Podstawowe operatory matematyczne (np. większy niż) są dość jednoznaczne. W przypadku pozostałych dostępne
jest krótkie objaśnienie:
Operator „ma podciąg”. Wartość to prawda, jeżeli argument jest podciągiem wartości symbolu.
Operator „ma prefiks”. Wartość to prawda, jeżeli wartość symbolu zaczyna się od wartości argumentu, np. „xyz” ma
prefiks „xy”.
Operator „ma postfiks”. Wartość to prawda, jeżeli wartość symbolu kończy się wartością argumentu, np. „xyz” ma
postfiks „yz”.
Operator „ma maskę”. Umożliwia używanie symboli wieloznacznych przy porównywaniu ciągów, np. „*z” może
oznaczać ciąg „xyz”.
Operator „wyrażenie regularne”. Wartość to prawda, jeżeli symbol jest zgodny z wyrażeniem regularnym zawartym
w argumencie. Używana jest składnia wyrażeń regularnych Perl.
Operator „w”. Argument jest listą wartości. Wartość to prawda, jeżeli wartość symbolu jest równa co najmniej
jednej z wartości argumentu, np. „xyz” w („abc”, „def”, „xyz”).
Operator „w (maska ciągu)”. Argument jest listą wartości, w której dozwolone są symbole wieloznaczne. Wartość to
prawda, jeżeli wartość symbolu odpowiada co najmniej jednej z wartości argumentu, np. „xyz” w („a*”, „*f”, „*z”).
Operator „nie ma wartości”. Wartość to prawda, jeżeli symbol nie ma wartości. Drugi argument jest ignorowany.
Operator „ma wartość”. Wartość to prawda, jeżeli symbol ma wartość. Drugi argument jest ignorowany.
210
6.1.2 Reguły
Reguły służą do wymuszania określonej konfiguracji produktów ESET uruchomionych na komputerach klienckich.
Dzięki temu nie jest konieczne ręczne konfigurowanie produktów ESET na poszczególnych klientach. Reguły można
również stosować bezpośrednio do określonych komputerów, a także grup (statycznych i dynamicznych). Do danego
komputera lub grupy można ponadto przypisać wiele reguł, inaczej niż w przypadku programu ESET Remote
Administrator w wersji 5 i wcześniejszych, gdzie do jednego produktu lub komponentu można było zastosować tylko
jedną regułę.
Stosowanie reguł
Reguły są stosowane w kolejności, w której uszeregowane są grupy statyczne. Ta zasada nie odnosi się do grup
dynamicznych, w których najpierw uwzględniane są podrzędne grupy dynamiczne. Dzięki temu reguły, które
wywierają większy wpływ, mogą znajdować się na szczycie drzewa grup, natomiast reguły bardziej szczegółowe
stosowane są w odniesieniu do podgrup. Dzięki odpowiedniemu skonfigurowaniu reguł przy użyciu flag, użytkownik
rozwiązania ERA z dostępem do grup znajdujących się wyżej w hierarchii drzewa może zastępować reguły odnoszące
się do niższych grup. Algorytm ten wyjaśniono szczegółowo w części Stosowanie reguł w odniesieniu do klientów.
Scalanie reguł
Reguła stosowana w odniesieniu do klienta powstaje zwykle w wyniku scalenia większej liczby reguł w celu
utworzenia jednej ostatecznej reguły.
UWAGA: Zalecamy przypisywanie reguł bardziej ogólnych (na przykład ustawień ogólnych, takich jak ustawienia
serwera aktualizacji) do grup znajdujących się wyżej w hierarchii drzewa grup. Reguły bardziej szczegółowe (na
przykład ustawienia kontroli dostępu do urządzeń) należy stosować głębiej w hierarchii drzewa grup. Podczas
scalania niżej położone reguły zastępują zwykle ustawienia wyżej położonych reguł (chyba że użytkownik zdefiniuje
inne zachowanie przy użyciu flag reguł).
UWAGA: W przypadku stosowania reguły, a następnie jej usunięcia konfiguracja nie zostanie automatycznie
przywrócona do ustawień początkowych. Zostanie zachowana konfiguracja zgodna z ostatnią regułą stosowaną w
odniesieniu do klientów. To samo ma miejsce, gdy komputer zostaje dołączony do grupy dynamicznej, w której
stosowana jest reguła zmieniająca ustawienia komputera. Ustawienia pozostaną niezmienione nawet wówczas, gdy
komputer zostanie usunięty z grupy dynamicznej. W związku z tym zalecane jest utworzenie reguły z ustawieniami
domyślnymi i przypisanie jej do grupy głównej (Wszystkie), aby umożliwić przywracanie ustawień do wartości
domyślnych w tego rodzaju sytuacjach. Dzięki temu, gdy komputer opuści grupę dynamiczną, która spowodowała
zmianę jego ustawień, zastosowane zostaną ustawienia domyślne.
211
6.1.2.1 Kreator reguł
Przy użyciu reguł można skonfigurować produkt ESET w taki sam sposób, jak można to zrobić w oknie Ustawienia
zaawansowane w graficznym interfejsie użytkownika danego produktu. W przeciwieństwie do reguł w usłudze
Active Directory, w regułach ERA nie można zapisywać skryptów ani serii poleceń.
Tworzenie reguł i zarządzanie nimi odbywa się w obszarze Administrator > Reguły. Kliknij przycisk Reguły u dołu i
wybierz opcję Nowa z menu kontekstowego.
Podstawowe
W polu Nazwa wprowadź nazwę nowej reguły. Pole Opis jest opcjonalne.
Ustawienia
Wybierz produkt z menu rozwijanego.
212
6.1.2.2 Flagi
W ramach każdego z ustawień reguły można ustalić flagę. Flagi określają sposób, w jaki ustawienie będzie
obsługiwane w ramach reguły:
Zastosuj — ustawienia z tą flagą zostaną wysłane do klienta. Jednak w przypadku scalania reguł takie ustawienie
może zostać zastąpione późniejszą regułą. Podczas stosowania reguły na komputerze klienckim, gdy określone
ustawienie jest opatrzone tą flagą, ustawienie to ulega zmianie bez względu na to, co zostało skonfigurowane
lokalnie na kliencie. Ponieważ ustawienie nie jest wymuszane, może w późniejszym czasie zostać zmienione
przez inne reguły.
Wymuś — ustawienia z flagą wymuszania są priorytetowe i nie mogą zostać zastąpione przez późniejszą regułę
(nawet jeśli późniejsza reguła opatrzona jest flagą wymuszania). Gwarantuje to, że dane ustawienie nie zostanie
zmienione przez późniejsze reguły podczas scalania.
213
6.1.2.3 Zarządzanie regułami
W tym przykładzie utworzymy nową regułę związaną z interwałem połączenia agenta ERA. Zdecydowanie zalecamy
wykonanie tej czynności przed testowaniem masowego wdrożenia w używanym środowisku.
1. Utwórz nową grupę statyczną.
2. Dodaj nową regułę, klikając kolejno opcje Administrator > Reguły. Kliknij przycisk Reguły u dołu i wybierz opcję
Nowa.
214
Podstawowe
W polu Nazwa wpisz nazwę nowej reguły (np. „Interwał połączenia agenta”). Pole Opis jest opcjonalne.
Ustawienia
Wybierz opcję Agent ESET Remote Administrator z menu rozwijanego Produkt.
Połączenie
Kliknij pozycję Zmień interwał.
215
W polu Regularny interwał zmień wartość na preferowany czas trwania interwału (zalecamy 60 sekund) i kliknij
przycisk Zapisz.
Po utworzeniu nowej reguły interwału połączenia agenta przypisz ją do grupy statycznej utworzonej w kroku 1.
Po zakończeniu testowania masowego wdrożenia edytuj ustawienia reguły interwału połączenia agenta ERA
utworzonej w kroku 2.
216
Kliknij kolejno pozycje Administrator > Grupy i wybierz kartę Reguły. Kliknij regułę interwału połączenia agenta,
wybierz opcję Edytuj, a następnie kliknij pozycje Ustawienia > Połączenie. Kliknij opcję Zmień interwał i ustaw
interwał połączenia na 20 minut.
6.1.2.4 Stosowanie reguł w odniesieniu do klientów
Do grupy i komputerów można przypisać większą liczbę reguł. Ponadto komputer może znajdować się w głęboko
zagnieżdżonej grupie, której grupa nadrzędna ma przypisane własne reguły.
Najważniejszym czynnikiem w stosowaniu reguł jest ich kolejność. Ustala się ją na podstawie kolejności grup oraz
kolejności reguł przypisanych do danej grupy.
W celu ustalenia reguły aktywnej na dowolnym kliencie należy wykonać poniższe działania:
1. Ustal kolejność grup, do których należy klient
2. Zastąp grupy przypisanymi do nich regułami
3. Scal reguły, aby uzyskać wynikowe ustawienia
6.1.2.4.1 Ustalanie kolejności grup
Reguły można przypisywać do grup i są one stosowane w określonej kolejności.
Przy ustalaniu kolejności grup na liście stosowanych jest kilka reguł:
1. Najpierw uwzględniane są grupy statyczne z elementu głównego grup statycznych — Wszystkie.
2. Na każdym poziomie grupy statyczne z tego poziomu są uwzględniane jako pierwsze w kolejności, w jakiej
występują w strukturze drzewa — ta zasada określana jest również jako przeszukiwanie wszerz.
3. Po uwzględnieniu na liście wszystkich grup statycznych z danego poziomu uwzględnione zostają grupy
dynamiczne.
4. W każdej z grup dynamicznych elementy podrzędne tej grupy są uwzględniane w kolejności, w jakiej występują na
liście.
5. Jeśli w grupie dynamicznej na dowolnym poziomie występuje element podrzędny, zostaje on umieszczony na
liście i przeszukany pod kątem jego elementów podrzędnych. Gdy nie ma już więcej elementów podrzędnych, na
liście uwzględnione zostają następne grupy dynamiczne na poziomie elementu nadrzędnego — ta zasada
określana jest również jako przeszukiwanie w głąb.
6. Procedura sporządzania listy kończy się na poziomie komputera.
W praktyce sporządzanie listy wygląda następująco:
217
Jak pokazano powyżej, element główny (grupa statyczna o nazwie Wszystkie) zostaje wyszczególniony w ramach
reguły 1. Ponieważ na poziomie grupy Wszystkie nie ma więcej grup, jako następne klasyfikacji poddawane są reguły
związane z grupami na następnym poziomie.
Jako następne klasyfikacji poddawane są grupy statyczne Zgubione i znalezione, GS 1 i GS 2. Komputer jest w
zasadzie tylko członkiem grup statycznych Wszystkie/GS 2/GS 3, w związku z czym nie ma konieczności
uwzględniania grup Zgubione i znalezione oraz GS 1. GS 2 jest na tym poziomie jedyną grupą poddawaną klasyfikacji,
zatem trafia ona na listę, po czym następuje przejście w głąb struktury.
Na poziomie trzecim algorytm wyszukuje grupy GS 3, GD 1 oraz GD 2. Zgodnie z regułą 2 jako pierwsze
wyszczególnione zostają grupy statyczne. Dodana zostaje grupa GS 3, a ponieważ jest to ostatnia grupa statyczna na
poziomie 3., następuje przejście do grupy GD 1. Przed przejściem do grupy GD 2 na poziomie 3. do listy muszą zostać
dodane elementy podrzędne grupy GD 1.
Dodana zostaje grupa GD 3. Nie ma w niej elementów podrzędnych, więc następuje kolejny krok procedury.
Do listy dodana zostaje grupa GD 2. Nie ma w niej elementów podrzędnych. Na poziomie 3. nie ma już więcej grup.
Następuje przejście do poziomu 4.
Na poziomie 4. znajduje się tylko grupa dynamiczna GD 4 oraz sam komputer. Według reguły 6 komputer jest
uwzględniany na końcu, zatem następuje przejście do grupy GD 4. W grupie GD 4 są dwa elementy podrzędne, które
muszą zostać przeanalizowane przed podjęciem dalszych działań.
Do listy zostają dodane grupy GD 5 i GD 6. W żadnej z nich nie ma elementów podrzędnych, więc nie pozostaje już nic
do przetworzenia. Następuje dodanie komputera i zakończenie procedury.
Efektem końcowym jest następująca lista:
218
1. Wszystkie
2. GS 2
3. GS 3
4. GD 1
5. GD 3
6. GD 2
7. GD 4
8. GD 5
9. GD 6
10.Komputer
W tej kolejności stosowane są reguły.
6.1.2.4.2 Tworzenie wykazu reguł
Gdy znana jest już kolejność grup, następnym krokiem jest zastąpienie każdej z grup przypisanymi do niej regułami.
Reguły są wymienione w tej samej kolejności, w jakiej zostały przypisane do grupy. Grupa bez reguł zostaje usunięta
z listy. W przypadku grupy z większą liczbą przypisanych reguł można edytować priorytet tych reguł. Każda reguła
służy do konfiguracji tylko jednego produktu (agenta ERA, serwera proxy ERA, programu EES itd.).
Wyróżniamy 3 reguły stosowane zarówno do grup statycznych, jak i dynamicznych (przedstawiono to na poniższym
schemacie):
Nasza lista z etapu 1. zostanie przekształcona następująco:
1. Wszystkie (usunięto, brak reguł)
2. GS 2 -> Reguła 1, Reguła 2
3. GS 3 (usunięto, brak reguł)
4. GD 1 -> Reguła 1, Reguła 2
5. GD 3 (usunięto, brak reguł)
6. GD 2 -> Reguła 3
10.Komputer (usunięto, brak reguł)
Oto wynikowa lista reguł:
1. Reguła 1
2. Reguła 2
3. Reguła 1
4. Reguła 2
5. Reguła 3
219
6.1.2.4.3 Scalanie reguł
Reguły są scalane według kolejności. Przy scalaniu reguł obowiązuje zasada ogólna, według której nowsza reguła
zawsze zastępuje ustawienia wprowadzone przez poprzednią regułę.
Można to zmienić, stosując flagi reguł (dostępne dla każdego z ustawień). Ustawienia są scalane według kolejności.
Należy pamiętać, że struktura grup (ich hierarchia) oraz kolejność reguł decydują o sposobie scalania reguł. Efekty
scalenia dwóch dowolnych reguł mogą być różne w zależności od ich kolejności. Kolejność grup została ustalona i
lista reguł została sporządzona.
6.1.2.5 Konfigurowanie produktu przy użyciu rozwiązania ERA
Przy użyciu reguł można skonfigurować produkt ESET w taki sam sposób, jak można to zrobić w oknie Ustawienia
zaawansowane w graficznym interfejsie użytkownika danego produktu. W przeciwieństwie do reguł w usłudze
Active Directory, w regułach ERA nie można zapisywać skryptów ani serii poleceń.
6.1.2.6 Przypisywanie reguły do grupy
220
obok nazwy grupy i
221
6.1.2.7 Przypisywanie reguły do klienta
W celu przypisania reguły do klienta kliknij kolejno pozycje Administrator > Reguły, wybierz kartę Klienty i kliknij
opcję Przypisywanie klientów.
Wybierz docelowe komputery klienckie i kliknij przycisk OK. Reguła zostanie przypisana do wszystkich wybranych
komputerów.
222
6.1.3 Zadania klienta
W celu wysłania do komputera klienckiego żądania wykonania określonej czynności można użyć opcji Zadanie
klienta. Zadania klienta można przypisywać do grup lub poszczególnych komputerów. Po utworzeniu zadanie jest
wykonywane zgodnie z harmonogramem. Klienty nie są przez cały czas połączone z serwerem ERA, więc rozesłanie
zadań do klientów może zająć nieco czasu. Z tego samego powodu może minąć nieco czasu, zanim wyniki wykonania
zadania zostaną przesłane z powrotem do serwera ERA. Dla wygody użytkownika dostępne są następujące wstępnie
zdefiniowane zadania:
Każda kategoria zadania obejmuje typy zadania:
Wszystkie zadania
Produkt zabezpieczający ESET
Eksportowanie konfiguracji zarządzanych produktów
Aktywacja produktu
Zarządzanie kwarantanną
Uruchomienie skryptu programu SysInspector
Żądanie dziennika programu SysInspector
Przesyłanie pliku poddanego kwarantannie
Aktualizacja bazy sygnatur wirusów
Cofanie aktualizacji bazy sygnatur wirusów
ESET Remote Administrator
Uaktualnianie komponentów programu Remote Administrator
223
Resetowanie sklonowanego agenta
Resetowanie bazy danych Rogue Detection Sensor
Zatrzymanie zarządzania (odinstalowanie agenta ERA)
System operacyjny
Wyświetlanie komunikatów
Aktualizacja systemu operacyjnego
Uruchomienie polecenia
Instalacja oprogramowania
Dezinstalacja oprogramowania
Urządzenie mobilne
Działanie funkcji Anti-Theft
Rejestracja urządzenia
Wyświetlanie komunikatów
Eksportowanie konfiguracji zarządzanych produktów
Aktywacja produktu
Instalacja oprogramowania
Aktualizacja bazy sygnatur wirusów
224
6.1.3.1 Kreator zadań klienta
Zadania klienta można tworzyć na karcie Administrator i tam można nimi zarządzać. Kliknij pozycję Zadania klienta,
wybierz zadanie z listy Typy zadań, a następnie kliknij opcję Nowy.
Produkty zabezpieczające firmy ESET można zainstalować zdalnie, klikając odpowiedni komputer i wybierając
pozycję Nowy lub tworząc nowe zadanie Instalacja oprogramowania w menu Administrator > Zadania klienta. Kliknij
opcję Nowy..., by rozpocząć konfigurowanie nowego zadania.
Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy.
Podstawowe
zadania (patrz powyższa lista) określane są ustawienia zadania i jego zachowanie. Wybierz zadanie Instalacja
oprogramowania, a następnie kliknij pozycję Obiekt docelowy.
225
Obiekt docelowy
Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które będą odbiorcami tego zadania.
226
Element wyzwalający
Jako element wyzwalający wybierzemy pozycję Wykonaj jak najszybciej, co spowoduje natychmiastowe wysłanie
zadania do klientów. W opcji Używaj czasu lokalnego chodzi o czas lokalny klientów, a nie serwera.
element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Na razie pozostawiamy ustawienie
Ograniczanie bez zmian i klikamy przycisk Zakończ w celu utworzenia nowego zadania.
Ustawienia
227
Podsumowanie
Przejrzyj podsumowanie skonfigurowanych ustawień i kliknij przycisk Zakończ. Zadanie zostało utworzone i zostanie
wysłane do klientów.
228
6.1.3.2 Zarządzanie zadaniami klienta
Zadania klienta służą do zarządzania klientami i ich programami zabezpieczającymi. Dostępny jest zestaw wstępnie
zdefiniowanych zadań, które wystarczają do obsługi większości zastosowań. Można także tworzyć zadania
niestandardowe przy użyciu wybranych ustawień.
Jednym ze sposobów tworzenia nowych zadań jest edytowanie zadań istniejących. Edytowanie istniejących zadań
jest przydatne, gdy niezbędne są tylko niewielkie modyfikacje. W przypadku bardziej nietypowych zadań lepszym
rozwiązaniem może być utworzenie nowego zadania od podstaw.
Zduplikuj — na podstawie wybranego zadania zostanie utworzone nowe zadanie klienta. Wymagane jest podanie
nazwy zduplikowanego zadania.
Usuń — całkowite usunięcie wybranego zadania.
Szczegóły... — tu wyświetlane są dane konfiguracji zadania, podsumowanie oraz wykonania zadania
(Wystąpienie, Nazwa komputera, Produkt, Stan i Postęp).
229
UWAGA: Podczas instalowania starszych produktów w raporcie zadania klienta wyświetlana jest następująca
informacja: Dostarczono zadanie do zarządzanego produktu.
230
6.1.3.2.1 Skanowanie na żądanie
Zadanie Skanowanie na żądanie umożliwia ręczne uruchomienie skanowania komputera klienckiego (poza
zaplanowanym skanowaniem).
Wyłącz po skanowaniu — zaznaczenie tego pola wyboru spowoduje wyłączenie komputera po zakończeniu
skanowania.
Profil skanowania — tutaj można wybrać żądany profil z menu rozwijanego:
Skanowanie dokładne — jest to profil wstępnie zdefiniowany na kliencie, skonfigurowany jako najdokładniejszy
profil skanowania, który umożliwia sprawdzenie całego systemu, ale również trwa najdłużej i pochłania najwięcej
zasobów.
Skanowanie inteligentne - tryb skanowania inteligentnego umożliwia szybkie uruchomienie skanowania
komputera i wyleczenie zainfekowanych plików bez konieczności podejmowania dodatkowych działań przez
użytkownika. Zaletą skanowania inteligentnego jest łatwość obsługi i brak konieczności szczegółowej konfiguracji
skanowania. W ramach skanowania inteligentnego sprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte
infekcje są automatycznie leczone lub usuwane. Automatycznie ustawiany jest domyślny poziom leczenia.
Skanowanie z menu kontekstowego — skanowanie klienta przy użyciu wstępnie zdefiniowanego profilu
skanowania z możliwością dostosowania skanowanych obiektów.
Profil niestandardowy — skanowanie niestandardowe umożliwia użytkownikowi określenie parametrów
skanowania, takich jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jest
możliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przez
użytkownika profilach skanowania, co ułatwia wielokrotne przeprowadzanie skanowania z zastosowaniem tych
samych parametrów. Profil należy utworzyć przed uruchomieniem zadania w ramach opcji profilu
niestandardowego. Po wybraniu profilu niestandardowego z menu rozwijanego wpisz dokładną nazwę profilu w
polu Profil niestandardowy.
Leczenie
Domyślnie wybrana jest opcja Skanuj z leczeniem. Oznacza to, że po znalezieniu zainfekowane obiekty są
automatycznie poddawane leczeniu. Jeśli nie jest to możliwe, zostają poddane kwarantannie.
Skanuj obiekty docelowe
Ta opcja również jest domyślnie włączona. W ramach tego ustawienia skanowane są wszystkie obiekty docelowe
określone w profilu skanowania. W przypadku odznaczenia tej opcji należy ręcznie określić obiekty docelowe
skanowania w polu Dodaj obiekt docelowy. W polu tekstowym należy wpisać obiekt skanowania i kliknąć opcję
Dodaj. Obiekt docelowy zostanie wyświetlony w widocznym poniżej polu Skanowane obiekty.
Obiekt docelowy
231
232
zostanie wykonane.
Ograniczanie.
Zakończ.
Podsumowanie
233
6.1.3.2.2 Aktualizacja systemu operacyjnego
Zadanie Aktualizacja systemu służy do aktualizacji systemu operacyjnego na komputerze klienckim. Zadanie to
umożliwia uruchomienie aktualizacji systemu na komputerach z systemem operacyjnym Windows, Mac OS oraz
Linux.
Obiekt docelowy
234
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Zezwalaj na ponowne uruchamianie — ta opcja dotyczy wyłącznie systemów operacyjnych Windows i powoduje
ponowne uruchomienie komputera klienckiego po zainstalowaniu aktualizacji.
235
Podsumowanie
6.1.3.2.3 Zarządzanie kwarantanną
Zadanie Zarządzanie kwarantanną służy do zarządzania obiektami w ramach kwarantanny na serwerze ERA,
obejmującej zainfekowane lub podejrzane obiekty wykryte podczas skanowania.
Obiekt docelowy
236
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Ustawienia zarządzania kwarantanną
237
Czynność — umożliwia wybranie czynności, która ma zostać wykonana w odniesieniu do obiektu dodanego do
kwarantanny.
Przywróć obiekt (przywrócenie obiektu do oryginalnej lokalizacji i poddanie go skanowaniu; w przypadku dalszego
występowania powodu dodania do kwarantanny obiekt trafia tam ponownie).
Przywróć obiekt i wyklucz go w przyszłości (przywrócenie obiektu do oryginalnej lokalizacji bez możliwości
ponownego dodania go do kwarantanny).
Usuń obiekt (całkowite usunięcie obiektu).
Typ filtra — filtrowanie obiektów dodanych do kwarantanny na podstawie określonych poniżej kryteriów. Na
podstawie ciągu skrótów lub warunków.
Ustawienia filtra skrótów
W polu należy dodać elementy skrótu. Wprowadzać można wyłącznie znane obiekty, na przykład takie, które były
już poddawane kwarantannie.
Ustawienia filtra warunkowego
Występowanie od/do — tutaj należy podać zakres czasowy objęcia obiektu kwarantanną.
Rozmiar minimalny/maksymalny (w bajtach) — tutaj należy podać zakres rozmiarów obiektu objętego
kwarantanną (w bajtach).
Nazwa zagrożenia — należy wybrać zagrożenie z listy elementów objętych kwarantanną.
Nazwa obiektu — należy wybrać obiekt z listy elementów objętych kwarantanną.
Podsumowanie
6.1.3.2.4 Resetowanie bazy danych Rogue Detection Sensor
Zadanie Resetowanie bazy danych Rogue Detection Sensor służy do resetowania pamięci podręcznej wyszukiwania
narzędzia RD Sensor. Zadanie to powoduje usunięcie danych z pamięci podręcznej, a wyniki wyszukiwania będą na
nowo gromadzone. Uruchomienie tego zadania nie skutkuje usunięciem wykrytych komputerów. Zadanie to jest
przydatne, gdy wykryte komputery nadal znajdują się w pamięci podręcznej, a nie są zgłoszone do serwera.
UWAGA: Dla tego zadania nie są dostępne ustawienia.
Obiekt docelowy
238
239
zostanie wykonane.
Ograniczanie.
Zakończ.
Podsumowanie
240
6.1.3.2.5 Uaktualnianie komponentów programu Remote Administrator
Zadanie Uaktualnienie komponentów programu Remote Administrator służy do uaktualniania głównych
komponentów serwera ERA (agenta, serwera proxy, serwera i aplikacji MDM) zainstalowanych na kliencie do wersji
zgodnej z określonym serwerem ERA (serwer odniesienia).
Obiekt docelowy
241
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Serwer odniesienia programu Remote Administrator — wybierz wersję serwera z listy. Wszystkie komponenty
ERA zostaną uaktualnione do wersji zgodnych z wybranym serwerem.
W razie potrzeby automatycznie uruchom ponownie — można wymusić ponowne uruchomienie systemu
operacyjnego klienta, jeśli jest to wymagane przy instalacji.
242
Podsumowanie
6.1.3.2.6 Resetowanie sklonowanego agenta
Zadanie Resetowanie sklonowanego agenta może posłużyć do dystrybucji agenta ESET w sieci użytkownika za
pomocą wstępnie zdefiniowanego obrazu. Sklonowane agenty mają taki sam identyfikator SID, co może powodować
problemy (wiele agentów o tym samym identyfikatorze SID). Aby rozwiązać ten problem, należy użyć zadania
Resetowanie sklonowanego agenta w celu zresetowania identyfikatora SID i przypisania agentom unikalnej
tożsamości.
Obiekt docelowy
243
zostanie wykonane.
Ograniczanie.
Zakończ.
Podsumowanie
244
6.1.3.2.7 Uruchomienie polecenia
Zadanie Uruchom polecenie może posłużyć do wykonania określonych instrukcji wiersza polecenia na kliencie.
Administrator może określić dane wejściowe wiersza polecenia, które mają zostać uruchomione.
Obiekt docelowy
245
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Wiersz polecenia do uruchomienia — wprowadź wiersz polecenia, który chcesz uruchomić na klientach.
Katalog roboczy — wprowadź katalog, w którym ma zostać uruchomiony powyższy wiersz polecenia.
246
Podsumowanie
6.1.3.2.8 Uruchomienie skryptu programu SysInspector
Zadanie Uruchomienie skryptu programu SysInspector służy do usuwania z systemu niepożądanych obiektów. Przed
przystąpieniem do realizacji tego zadania należy wyeksportować skrypt programu SysInspector z programu ESET
SysInspector. Po wyeksportowaniu skryptu można oznaczyć obiekty, które mają zostać usunięte i uruchomić skrypt
przy użyciu zmodyfikowanych danych, co spowoduje usunięcie oznaczonych obiektów.
UWAGA: Po ukończeniu zadania wynik można sprawdzić w raporcie.
Obiekt docelowy
247
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Skrypt programu SysInspector — w celu przejścia do skryptu usługi należy kliknąć opcję Przeglądaj. Skrypt usługi
należy utworzyć przed uruchomieniem tego zadania.
Czynność — użytkownik może przesłać skrypt do konsoli ERA lub pobrać go stamtąd.
248
Podsumowanie
6.1.3.2.9 Instalacja oprogramowania
Zadanie Instalacja oprogramowania służy do instalowania oprogramowania na komputerach klienckich. Jest
przeznaczone głównie do instalowania produktów firmy ESET, jednak można z niego korzystać przy instalowaniu
dowolnego oprogramowania. Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie
wiedzy.
Obiekt docelowy
249
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
250
Podsumowanie
6.1.3.2.10 Dezinstalacja oprogramowania
Zadanie Dezinstalacja oprogramowania umożliwia odinstalowywanie produktów firmy ESET z klientów, gdy nie są
już potrzebne. W przypadku odinstalowania agenta ERA w produktach ESET zarządzanych przez tego agenta mogą
pozostać pewne ustawienia po jego odinstalowaniu.
Przed usunięciem urządzenia z grupy urządzeń zarządzanych zalecane jest przywrócenie niektórych ustawień (np.
ochrony hasłem) do ustawień domyślnych przy użyciu reguły. Ponadto wszystkie zadania uruchomione na agencie
zostaną porzucone. W zależności od replikacji następujący stan tego zadania w konsoli internetowej ERA może nie
być precyzyjnie wyświetlany: Uruchomiono, Zakończono lub Niepowodzenie.
Obiekt docelowy
251
zostanie wykonane.
Ograniczanie.
Zakończ.
252
Ustawienia
Ustawienia dezinstalacji oprogramowania
Odinstaluj — aplikacja z listy:
Nazwa pakietu — tutaj można wybrać komponent oprogramowania ERA lub produkt zabezpieczający używany na
kliencie. Na tej liście wyświetlane są wszystkie pakiety zainstalowane na wybranych klientach.
Wersja pakietu — można usunąć określoną wersję pakietu (zdarza się, że któraś z wersji powoduje problemy) lub
odinstalować wszystkie wersje pakietu.
W razie potrzeby automatycznie uruchom ponownie — można wymusić ponowne uruchomienie systemu
operacyjnego klienta, jeśli jest to wymagane przy dezinstalacji.
Odinstaluj — Oprogramowanie antywirusowe innej firmy (użyto w nim technologii OPSWAT) — listę zgodnych
programów antywirusowych można znaleźć w tym artykule bazy wiedzy. Ta metoda usuwania różni się od
odinstalowania przy użyciu funkcji Dodaj lub usuń programy. Zastosowano w niej alternatywne metody
dokładnego usuwania oprogramowania antywirusowego innych firm, z uwzględnieniem wszelkich wpisów w
rejestrze oraz innych pozostałości.
Należy wykonać procedurę przedstawioną w artykule Usuwanie oprogramowania antywirusowego innych firm z
komputerów klienckich przy użyciu programu ESET Remote Administrator (6.x) w celu wysłania zadania
polegającego na usunięciu oprogramowania antywirusowego innych firm z komputerów klienckich.
Podsumowanie
6.1.3.2.11 Aktywacja produktu
W celu aktywowania produktu firmy ESET na komputerze klienckim należy wykonać poniższe działania:
Obiekt docelowy
253
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Ustawienia aktywacji produktu — wybierz z listy licencję dla klienta. Ta licencja zostanie użyta w odniesieniu do
produktów, które są już zainstalowane na kliencie.
254
Podsumowanie
6.1.3.2.12 Żądanie dziennika programu SysInspector
Zadanie Żądanie dziennika programu SysInspector umożliwia zażądanie dziennika programu SysInspector od
produktu zabezpieczającego klienta, w którym dostępna jest ta funkcja.
Obiekt docelowy
255
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Przechowuj dziennik na kliencie — tę opcję należy wybrać, jeśli dziennik programu SysInspector ma być
przechowywany zarówno na kliencie, jak i na serwerze ERA. Jeśli na przykład na kliencie zainstalowany jest
program ESET Endpoint Security, dziennik jest zwykle zapisany w lokalizacji C:\Program Data\ESET\ESET Endpoint
Antivirus\SysInspector.
256
Dołącz porównanie z ostatnią migawką sprzed podanej godziny — ta opcja umożliwia porównywanie
generowanego dziennika z dziennikami z określonego okresu poprzedzającego dany rekord. Na podstawie
porównania informacji można wskazać różnice i zmiany, jakie pojawiły się na kliencie.
Podsumowanie
6.1.3.2.13 Przesyłanie pliku poddanego kwarantannie
Zadanie Prześlij plik poddany kwarantannie służy do zarządzania plikami poddanych kwarantannie na klientach.
Obiekt docelowy
257
zostanie wykonane.
Ograniczanie.
Zakończ.
258
Ustawienia
Obiekt poddany kwarantannie — wybierz konkretny obiekt z kwarantanny.
Hasło do obiektu — wprowadź hasło, by zaszyfrować obiekt ze względów bezpieczeństwa. Należy pamiętać o tym,
że hasło będzie widoczne w odpowiednimi raporcie.
Prześlij ścieżkę — wprowadź ścieżkę do lokalizacji, do której chcesz przesłać obiekt.
Prześlij nazwę użytkownika/hasło — na wypadek, gdyby lokalizacja wymagała uwierzytelnienia (udział sieciowy
itp.), wprowadź poświadczenia wymagane do uzyskania dostępu do tej ścieżki.
Podsumowanie
6.1.3.2.14 Aktualizacja bazy sygnatur wirusów
Zadanie Aktualizacja produktu wymusza aktualizację bazy sygnatur wirusów produktu zabezpieczającego
zainstalowanego na klientach. Jest to ogólne zadanie dla wszystkich produktów na wszystkich systemach.
Obiekt docelowy
259
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Wyczyść pamięć podręczną aktualizacji — opcja ta umożliwia usunięcie tymczasowych plików aktualizacji z
pamięci podręcznej klienta i może być często używana do naprawy błędów powstałych na skutek niepomyślnej
aktualizacji bazy sygnatur wirusów.
260
Podsumowanie
6.1.3.2.15 Cofanie aktualizacji bazy sygnatur wirusów
Czasami aktualizacja bazy sygnatur wirusów może powodować problemy lub na niektórych klientach może być
niepożądana (na przykład w związku z testowaniem aktualizacji lub stosowaniem aktualizacji w wersji wstępnej).
Można wówczas użyć zadania Cofanie aktualizacji bazy sygnatur wirusów. Po zastosowaniu tego zadania baza
sygnatur wirusów zostanie przywrócona do poprzedniej wersji.
Obiekt docelowy
261
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Tutaj można konfigurować ustawienia cofania aktualizacji bazy sygnatur wirusów.
Czynność
262
Włącz aktualizacje — aktualizacje są włączone i na kliencie zostanie odebrana następna aktualizacja bazy sygnatur
wirusów.
Cofnięcie aktualizacji i wyłączenie ich na kolejne — aktualizacje zostają wyłączone na czas wybrany z menu
rozwijanego Przedział czasowy wyłączenia — na 24/36/48 godz. lub do odwołania. W przypadku opcji Do
odwołania należy zachować ostrożność, ponieważ wiąże się ona z zagrożeniem bezpieczeństwa.
Podsumowanie
6.1.3.2.16 Wyświetlanie komunikatów
Ta funkcja umożliwia wysyłanie komunikatów na dowolne urządzenia (komputer kliencki, tablet, telefon
komórkowy itp.). Komunikat zostanie wyświetlony na ekranie w celu przekazania użytkownikowi informacji.
Obiekt docelowy
263
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Można tu wprowadzić tytuł i wpisać komunikat.
Podsumowanie
264
6.1.3.2.17 Działanie funkcji Anti-Theft
Funkcja Anti-Theft zapewnia ochronę urządzeń mobilnych przed nieupoważnionym dostępem. Gdy urządzenie
mobilne (zarejestrowane w usłudze ERA i zarządzane przez tę usługę) zostanie zagubione lub skradzione, pewne
działania zostają podjęte automatycznie, a pewne działania mogą zostać podjęte przy użyciu zadań klienta. Jeśli
nieupoważniona osoba wymieni zaufaną kartę SIM na niezaufaną kartę SIM, urządzenie zostanie automatycznie
zablokowane przez program ESET Endpoint Security dla systemu Android, a pod podany przez użytkownika numer
(lub numery) telefonu zostanie wysłana wiadomość SMS. W tej wiadomości podany będzie numer telefonu
przypisany do obecnie używanej karty SIM, numer IMSI (International Mobile Subscriber Identity —
międzynarodowy identyfikator abonenta) oraz numer IMEI (International Mobile Equipment Identity —
międzynarodowy identyfikator urządzenia mobilnego) przypisany do telefonu. Nieupoważniony użytkownik nie
będzie wiedzieć o wysłaniu tej wiadomości, ponieważ zostanie ona automatycznie usunięta z wątków wiadomości
rejestrowanych w urządzeniu. Przy użyciu zadania klienta użytkownik może również zażądać podania
współrzędnych GPS zagubionego urządzenia mobilnego lub zdalnie usunąć wszystkie dane zapisane w urządzeniu.
Obiekt docelowy
265
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
266
Znajdź — urządzenie wyśle w odpowiedzi wiadomość tekstową ze współrzędnymi GPS określającymi jego
położenie. Jeśli dostępne będą bardziej precyzyjne dane lokalizacji, po 10 minutach urządzenie ponownie wyśle
wiadomość.
Zablokuj — urządzenie zostanie zablokowane. Urządzenie można odblokować przy użyciu hasła administratora lub
polecenia odblokowania.
Odblokuj — urządzenie zostanie odblokowane, aby można było z niego korzystać. Aktualnie włożona karta SIM
zostanie zapisana w urządzeniu jako zaufana karta SIM.
Alarm — urządzenie zostanie zablokowane i przez 5 minut (lub do odblokowania) będzie odtwarzać bardzo głośny
dźwięk.
Wyczyść — wszystkie dane dostępne w urządzeniu zostaną usunięte (pliki zostaną zastąpione). Program ESET
Endpoint Security pozostanie na urządzeniu. Może to potrwać do kilku godzin.
Rozszerzony reset do ustawień fabrycznych — wszystkie dane dostępne w urządzeniu zostaną usunięte (nagłówki
plików zostaną zniszczone), a urządzenie zostanie przywrócone do ustawień fabrycznych. Może to potrwać kilka
minut.
Podsumowanie
267
6.1.3.2.18 Rejestracja urządzenia
Istnieje możliwość zarządzanie telefonami komórkowymi poprzez serwer ERA przy użyciu aplikacji mobilnej ESET
Endpoint Security dla systemu Android w wersji 2. Aby uruchomić zarządzanie urządzeniami mobilnymi, należy
zarejestrować je na serwerze ERA. Rejestracja urządzenia odbywa się przy użyciu zadania klienta.
Podstawowe
Wprowadź dane w polach Nazwa i Opis(opcjonalnie.
Wybierz komputer, na którym zainstalowane jest narzędzie Moduł zarządzania urządzeniami mobilnymi.
Automatycznie zostanie wyświetlone łącze rejestracyjne (adres URL). Jeśli po kliknięciu przycisku Wybierz nie
zostaną wyświetlone żadne łącza, sprawdź, czy serwer narzędzia Moduł zarządzania urządzeniami mobilnymi jest
dostępny. Jeśli narzędzie Moduł zarządzania urządzeniami mobilnymi nie zostało jeszcze zainstalowane, zapoznaj się
z instrukcją instalacji dostępną w rozdziale Instalacja narzędzia Moduł zarządzania urządzeniami mobilnymi —
system Windows lub system Linux.
Ustawienia
W polu Nazwa wpisz nazwę urządzenia mobilnego (ta nazwa będzie wyświetlana na liście Komputery) i opcjonalnie
podaj opis. Wprowadź numer IMEI urządzenia mobilnego, które chcesz dodać. Zalecamy również wprowadzenie
adresu e-mail powiązanego z urządzeniem mobilnym (na ten adres zostanie przesłane łącze rejestracyjne). Kliknij
opcję + Dodaj urządzenie, jeśli chcesz dodać kolejne urządzenie mobilne. W ramach jednej operacji można dodać
wiele urządzeń mobilnych. Wybierz czynność, zaznaczając pole wyboru obok pozycji Wyświetl łącze rejestracyjne i/
lub Wyślij łącze rejestracyjne (adres URL zostanie wysłany na adresy e-mail powiązane z urządzeniem). Jeśli chcesz,
aby łącze rejestracyjne zostało wysłane do urządzenia mobilnego (zalecane), możesz edytować wpisy w polach
Temat i Treść wiadomości, pamiętając jednak o tym, aby nie wprowadzać zmian w adresie URL.
268
Podsumowanie
Po kliknięciu przycisku Zakończ wyświetlone zostanie łącze rejestracyjne (adres URL). W przypadku niepodania
adresu e-mail i niezaznaczenia opcji Wyślij łącze rejestracyjne należy ręcznie wpisać adres URL w przeglądarce
internetowej na urządzeniu mobilnym lub innym sposobem przesłać adres URL na urządzenie mobilne.
Przy aktywacji aplikacji ESET Endpoint Security dla systemu Android (EESA) dostępne są dwa scenariusze rejestracji.
Można aktywować aplikację EESA na urządzeniu mobilnym przy użyciu zadania klienta Aktywacja produktu ERA
(zalecane). Drugi scenariusz dotyczy urządzeń mobilnych, na których aktywowano już aplikację EESA.
Nie aktywowano jeszcze aplikacji EESA — wykonaj poniższe działania w celu aktywowania produktu i
zarejestrowania urządzenia:
1. Naciśnij łącze rejestracyjne w postaci adresu URL otrzymane w wiadomości e-mail lub wpisz ten adres ręcznie
wraz z adresem portu (np. https://eramdm:9980). Może pojawić się monit o zaakceptowanie certyfikatu SSL. Jeśli
się zgadzasz, kliknij opcję oznaczającą akceptację, a następnie kliknij pozycję Połącz.
269
2. Jeśli na urządzeniu mobilnym nie jest zainstalowana aplikacja ESET Endpoint Security, nastąpi automatyczne
przekierowanie do sklepu Google Play, skąd można pobrać aplikację.
UWAGA: W razie wyświetlenia powiadomienia Nie można znaleźć aplikacji umożliwiającej otwarcie tego łącza
spróbuj otworzyć łącze rejestracyjne w domyślnej przeglądarce internetowej systemu Android.
270
3. Wprowadź nazwę użytkownika urządzenia mobilnego.
271
4. Naciśnij przycisk Włącz, aby włączyć ochronę przed odinstalowaniem.
272
5. Naciśnij przycisk Aktywuj, aby aktywować administratora urządzenia.
273
6. Na tym etapie możesz zamknąć aplikację EESA na urządzeniu mobilnym i otworzyć konsolę internetową ERA.
274
7. W konsoli internetowej ERA przejdź kolejno do opcji Administrator > Zadania klienta > Urządzenie mobilne >
Aktywacja produktu i kliknij pozycję Nowy.
8. Wybierz urządzenie mobilne, klikając opcję Dodaj obiekty docelowe.
9. W obszarze Ustawienia kliknij pozycję <Wybierz licencję ESET> i wybierz odpowiednią licencję. Kliknij opcję
Zakończ.
Uruchamianie zadania klienta Aktywacja produktu na urządzeniu mobilnym może chwilę potrwać. Po pomyślnym
wykonaniu zadania aplikacja EESA zostanie aktywowana i będzie można zarządzać urządzeniem mobilnym za
pomocą serwera ERA. Użytkownik będzie odtąd mógł korzystać z aplikacji EESA. Po otwarciu aplikacji EESA
wyświetlone zostaje menu główne:
275
Aktywowano już aplikację EESA — wykonaj poniższe działania w celu zarejestrowania urządzenia:
1. Naciśnij łącze rejestracyjne w postaci adresu URL otrzymane w wiadomości e-mail lub wpisz ten adres ręcznie
wraz z adresem portu (np. https://eramdm:9980). Może pojawić się monit o zaakceptowanie certyfikatu SSL. Jeśli
się zgadzasz, kliknij opcję oznaczającą akceptację, a następnie kliknij pozycję Połącz.
276
UWAGA: Jeśli na urządzeniu mobilnym nie jest zainstalowana aplikacja ESET Endpoint Security, nastąpi
automatyczne przekierowanie do sklepu Google Play, skąd można pobrać aplikację.
UWAGA: W razie wyświetlenia powiadomienia Nie można znaleźć aplikacji umożliwiającej otwarcie tego łącza
spróbuj otworzyć łącze rejestracyjne w domyślnej przeglądarce internetowej systemu Android.
277
2. Sprawdź szczegóły połączenia (adres i port serwera narzędzia Moduł zarządzania urządzeniami mobilnymi), a
następnie kliknij przycisk Połącz.
278
3. W pustym polu wpisz hasło do trybu administratora programu ESET Endpoint Security i naciśnij przycisk
Wprowadź.
279
4. Urządzeniem mobilnym można odtąd zarządzać przy użyciu serwera ERA. Naciśnij przycisk Zakończ.
280
6.1.3.2.19 Zatrzymanie zarządzania (odinstalowanie agenta ERA)
Komputer stacjonarny — to zadanie spowoduje usunięcie agenta zainstalowanego na komputerze, na którym
zainstalowana jest usługa MDM.
Urządzenie mobilne — to zadanie powoduje anulowanie rejestracji MDM urządzenia mobilnego.
Jeśli urządzenie nie jest już zarządzane (usunięto agenta), w zarządzanych produktach mogą pozostać pewne
ustawienia.
Przed usunięciem urządzenia z grupy urządzeń zarządzanych zalecane jest przywrócenie niektórych ustawień (np.
ochrony hasłem) do ustawień domyślnych przy użyciu reguły. Ponadto wszystkie zadania uruchomione na agencie
zostaną porzucone. W zależności od replikacji następujący stan tego zadania w konsoli internetowej ERA może nie
być precyzyjnie wyświetlany: Uruchomiono, Zakończono lub Niepowodzenie.
1. Jeśli w urządzeniu zastosowano ustawienia specjalne, które nie mają zostać zachowane, warto skonfigurować dla
urządzenia regułę przywracającą niepożądane ustawienia do wartości domyślnych (lub do wartości pożądanych).
2. Przed wykonaniem tego działania zalecamy odczekać wystarczająco długo, aby przed usunięciem komputera z
listy w rozwiązaniu ERA uzyskać pewność, że reguły z punktu 1 ukończyły replikację na komputerze docelowym.
3. Przed wykonaniem tego działania zalecamy odczekać wystarczająco długo, by mieć pewność, że reguły z punktu 2
ukończyły replikację na komputerze docelowym.
Obiekt docelowy
281
282
zostanie wykonane.
Ograniczanie.
Zakończ.
Podsumowanie
283
6.1.3.3 Eksportowanie konfiguracji zarządzanych produktów
Zadanie Eksportowanie konfiguracji zarządzanych produktów umożliwia eksportowanie ustawień poszczególnych
komponentów oprogramowania ERA lub produktów zabezpieczających firmy ESET zainstalowanych na klientach.
Obiekt docelowy
284
zostanie wykonane.
Ograniczanie.
Zakończ.
Ustawienia
Eksportuj ustawienia konfiguracji zarządzanych produktów
Produkt — tutaj można wybrać komponent oprogramowania ERA lub produkt zabezpieczający klienta, którego
konfiguracja ma zostać wyeksportowana.
285
Podsumowanie
6.1.3.4 Przypisywanie zadania do grupy
Kliknij kolejno pozycje Administrator > Grupy > wybierz grupę statyczną lub dynamiczną > kliknij symbol koła
zębatego obok wybranej grupy lub kliknij kolejno opcje Grupa > Nowe zadanie.
Te same czynności można wykonać w obszarze Komputery. Wybierz grupę statyczną lub dynamiczną i kliknij kolejno
> Nowe zadanie.
286
6.1.3.5 Przypisywanie zadań do komputerów
Zadania można przypisywać do komputerów na trzy sposoby.
1. W obszarze Panel kontrolny > Komputery z problemami wybierz opcję
Nowe zadanie...
287
2. W obszarze Komputer wybierz komputery, zaznaczając pola wyboru, a następnie wybierz opcję
Nowe zadanie...
3. W obszarze Administrator > Grupy wybierz komputery, naciśnij przycisk Zadania, wybierz zadanie i kliknij opcję
Nowe zadanie...
288
6.1.3.6 Planowanie zadania
W celu utworzenia zaplanowanego zadania wykonaj następujące działanie:
W obszarze Administrator > Zadania klienta wybierz zadanie, a następnie wybierz opcję
obszaru Obiekt docelowy.
Edytuj... i przejdź do
Obiekt docelowy
289
zostanie wykonane.
Ograniczanie.
Zakończ.
290
6.1.3.7 Elementy wyzwalające
Z elementów wyzwalających można korzystać zarówno na serwerze ERA, jak na agentach (klientach).
6.1.4 Zadania serwera
Zadania serwera służą do automatyzacji rutynowych działań. Dla zadania serwera można skonfigurować elementy
wyzwalające, co oznacza, że dane zadanie zostanie wykonane wówczas, gdy na serwerze ERA nastąpi określona
kombinacja zdarzeń.
Za pomocą serwera ERA można zaplanować dowolne z następujących zadań:
Synchronizacja grupy statycznej — umożliwia aktualizację informacji dotyczących klientów w grupach, dzięki
czemu dane są aktualne.
Wdrożenie agenta — umożliwia rozdystrybuowanie agenta wśród komputerów klienckich.
Generowanie raportu — umożliwia generowanie raportów na bieżąco, zgodnie z zapotrzebowaniem.
UWAGA: Zadania serwera nie mogą zostać przypisane do konkretnego klienta ani do grupy klientów.
6.1.4.1 Kreator zadań serwera
Aby utworzyć nowe zadanie, kliknij kolejno pozycje Administrator > Zadania serwera > Nowe.
Podstawowe
Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa, opis (opcjonalnie) oraz typ zadania. W polu
Typ zadania określane są ustawienia zadania i jego zachowanie. Zaznacz pole wyboru obok pozycji Uruchom zadanie
natychmiast po ukończeniu, aby zadanie zostało uruchomione automatycznie po kliknięciu przycisku Zakończ.
291
6.1.4.2 Zarządzanie zadaniami serwera
Następujące zadania serwera zostały wstępnie zdefiniowane:
Synchronizacja grupy statycznej — umożliwia aktualizowanie informacji dotyczących grupy, dzięki czemu
wyświetlane są aktualne dane.
Wdrożenie agenta — umożliwia rozdystrybuowanie agenta wśród komputerów klienckich.
Generowanie raportu — umożliwia generowanie raportów zgodnie z zapotrzebowaniem.
6.1.4.2.1 Wdrażanie agenta
Zdalne wdrożenie agenta ERA odbywa się w sekcji Administrator. Skorzystaj z następujących instrukcji lub obejrzyj
film instruktażowy dostępny w bazie wiedzy.
UWAGA: Zalecamy uprzednie przetestowanie masowego wdrożenia agenta we własnym środowisku. Gdy wynik
będzie pozytywny, można przystąpić do rzeczywistego wdrożenia na komputerach klienckich użytkowników. Przed
przystąpieniem do testowania masowego wdrożenia należy również zmienić interwał połączenia agenta.
Kliknij kolejno pozycje Zadanie serwera > Wdrożenie agenta > Nowy..., aby skonfigurować nowe zadanie.
Podstawowe
292
zadania określane są ustawienia zadania i jego zachowanie. Zaznacz pole wyboru obok pozycji Uruchom zadanie
natychmiast po ukończeniu, aby zadanie zostało uruchomione automatycznie po kliknięciu przycisku Zakończ.
293
Ustawienia
Automatyczne rozpoznawanie odpowiedniego agenta — jeśli używasz w swojej sieci wielu systemów
operacyjnych (Windows, Linux, Mac OS), zaznacz tę opcję, a zadanie automatycznie znajdzie odpowiedni i zgodny z
serwerem pakiet instalacyjny agenta dla każdego z systemów.
Obiekty docelowe — kliknij, aby wybrać klienty, które będą odbiorcami tego zadania.
Nazwa użytkownika/hasło — nazwa użytkownika i hasło użytkownika o wystarczających uprawnieniach do
przeprowadzenia zdalnej instalacji agenta.
Nazwa hosta serwera (opcjonalne) — możesz wprowadzić nazwę hosta serwera, jeśli jest ona inna po stronie
klienta i po stronie serwera.
Certyfikat równorzędny/certyfikat ERA — jest to certyfikat zabezpieczeń i urząd certyfikacji do instalacji agenta.
Możesz wybrać domyślny certyfikat i urząd certyfikacji lub użyć certyfikatów niestandardowych. Więcej informacji
znajduje się w rozdziale Certyfikaty.
Certyfikat niestandardowy — jeśli do uwierzytelniania używasz certyfikatu niestandardowego, podczas
instalowania agenta przejdź do certyfikatu i wybierz go.
Hasło do certyfikatu — hasło do certyfikatu. Hasło wprowadzone podczas instalacji serwera (na etapie tworzenia
urzędu certyfikacji) lub hasło do certyfikatu niestandardowego.
UWAGA: Serwer ERA może automatycznie wybrać pakiet instalacyjny agenta odpowiedni dla systemów
operacyjnych. Aby wybrać pakiet ręcznie, usuń zaznaczenie pozycji Automatyczne rozpoznawanie odpowiedniego
agenta i za pośrednictwem repozytorium serwera ERA spośród dostępnych agentów wybierz pakiet, który ma zostać
użyty.
Obiekt docelowy
294
295
zostanie wykonane.
Ograniczanie.
Zakończ.
Podsumowanie
Wdrażanie agenta można przeprowadzić na kilka różnych sposobów. Dostępne sposoby wdrażania agenta:
Zdalnie — przy użyciu zadania serwera umożliwiającego masowe wdrożenie agenta ERA. Można również wdrożyć
agenta przy użyciu obiektu GPO lub programu SCCM
Lokalnie — przy użyciu pakietu instalacyjnego agenta lub instalatora Live agenta, np. gdy podczas zdalnego
wdrażania występują problemy.
Wdrażanie lokalne można przeprowadzić na trzy sposoby:
Instalatory Live agenta — przy użyciu skryptu wygenerowanego na konsoli internetowej ERA można rozesłać
instalatory Live agenta w wiadomości e-mail lub uruchomić je z nośnika wymiennego (dysku flash USB itp.).
Wspomagana instalacja serwerowa — przy użyciu pakietu instalacyjnego agenta certyfikaty pobierane są
automatycznie z serwera ERA (zalecana metoda wdrażania lokalnego).
Instalacja offline — przy użyciu pakietu instalacyjnego agenta należy ręcznie wyeksportować certyfikaty i użyć ich
w tej metodzie wdrażania.
Zadania serwera polegającego na zdalnym wdrożeniu agenta można użyć do masowej dystrybucji agenta na
komputerach klienckich. Jest to najwygodniejsza metoda dystrybucji, ponieważ można ją zrealizować przy użyciu
konsoli internetowej, bez konieczności ręcznego wdrażania agenta na każdym z komputerów.
Agent ERA jest bardzo istotnym elementem, ponieważ rozwiązania zabezpieczające firmy ESET działające na
komputerach klienckich komunikują się z serwerem ERA wyłącznie za pośrednictwem agenta.
Wdrożenie agenta nie powiedzie się) należy zapoznać się z informacjami w przewodniku Rozwiązywanie
problemów.
296
6.1.4.2.2 Generowanie raportów
Zadanie Generowanie raportów umożliwia generowanie raportów na podstawie utworzonych wcześniej lub
wstępnie zdefiniowanych szablonów raportów.
Ustawienia
Szablon raportu — z listy należy wybrać szablon raportu.
297
Wybranie opcji Wyślij wiadomość e-mail lub Zapisz do pliku umożliwia pobranie wygenerowanego raportu.
WYŚLIJ WIADOMOŚĆ E-MAIL
W celu wysyłania lub odbierania wiadomości pocztowych należy skonfigurować ustawienia SMTP w obszarze
Ustawienia serwera > Ustawienia zaawansowane.
Wiadomość pocztowa
Wyślij do — tu należy wprowadzić adresy e-mail odbiorców wiadomości e-mail z raportami. Kolejne adresy należy
oddzielić od siebie przecinkami (,). Można również dodać pola DW oraz UDW, tak samo jak w programach do
obsługi poczty.
Temat — temat wiadomości z raportem. Należy tu wprowadzić charakterystyczny temat, który umożliwi
sortowanie wiadomości przychodzących. Jest to ustawienie opcjonalne, jednak zalecamy wpisanie w tym polu
jakiegoś ciągu, by nie pozostało puste.
Treść wiadomości — tutaj można określić treść wiadomości z raportem.
Wysyłaj wiadomość, gdy raport jest pusty — tę opcję należy zaznaczyć, gdy raport ma zostać wysłany nawet
wówczas, gdy nie zawiera żadnych danych.
Opcje drukowania
Kliknij opcję Pokaż opcje drukowania, aby wyświetlić następujące ustawienia:
Format danych wyjściowych — umożliwia wybranie odpowiedniego formatu pliku. Wygenerowany raport
zostanie dołączony do wiadomości i można będzie go później wydrukować.
Język danych wyjściowych — umożliwia wybranie języka wiadomości. Językiem domyślnym jest język wybrany w
konsoli internetowej ERA.
Format strony/Rozdzielczość/Orientacja papieru/Format koloru/Jednostki marginesów/Marginesy — te opcje
mają znaczenie w przypadku drukowania raportu. Odpowiednie opcje należy dobrać na podstawie preferencji
wydruku. Mają one zastosowanie wyłącznie do formatu PDF oraz PS, a nie do formatu CSV.
UWAGA: W zadaniu Generowanie raportów do wyboru jest kilka formatów pliku wynikowego. Wybranie formatu
CSV spowoduje zapisanie wartości daty i godziny w raporcie w formacie UTC. Wybranie któregoś z dwóch
pozostałych formatów (PDF, PS) spowoduje użycie w raporcie czasu lokalnego serwera.
298
ZAPISZ DO PLIKU
Opcje pliku
Ścieżka względna do pliku — raport zostanie wygenerowany w określonym katalogu, na przykład:
C:\Users\All Users\ESET\RemoteAdministrator\Server\Data\GeneratedReports\
Zapisuj plik, gdy raport jest pusty — tę opcję należy zaznaczyć, gdy raport ma zostać zapisany nawet wówczas, gdy
nie zawiera żadnych danych.
Opcje drukowania
Kliknij opcję Pokaż opcje drukowania, aby wyświetlić następujące ustawienia:
Format danych wyjściowych — umożliwia wybranie odpowiedniego formatu pliku. Wygenerowany raport
zostanie dołączony do wiadomości i można będzie go później wydrukować.
Język danych wyjściowych — umożliwia wybranie języka wiadomości. Językiem domyślnym jest język wybrany w
konsoli internetowej ERA.
Format strony/Rozdzielczość/Orientacja papieru/Format koloru/Jednostki marginesów/Marginesy — te opcje
mają znaczenie w przypadku drukowania raportu. Odpowiednie opcje należy dobrać na podstawie preferencji
wydruku. Mają one zastosowanie wyłącznie do formatu PDF oraz PS, a nie do formatu CSV.
UWAGA: W zadaniu Generowanie raportów do wyboru jest kilka formatów pliku wynikowego. Wybranie formatu
CSV spowoduje zapisanie wartości daty i godziny w raporcie w formacie UTC. Wybranie któregoś z dwóch
pozostałych formatów (PDF, PS) spowoduje użycie w raporcie czasu lokalnego serwera.
Wybierz istniejący element wyzwalający dla tego zadania lub utwórz nowy element wyzwalający. Można również
usunąć lub zmodyfikować element wyzwalający.
Podsumowanie
UWAGA: W przypadku serwerów Ubuntu Server Edition do prawidłowego działania drukarki raportów (raporty w
formacie PDF) wymagane jest zainstalowanie narzędzi X Server oraz xinit.
sudo apt-get install server-xorg
sudo apt-get install xinit
startx
299
6.1.4.2.3 Synchronizacja grupy statycznej
Celem zadania Synchronizacja grupy statycznej jest wyszukanie komputerów w sieci (Active Directory, Mac Open
Directory, LDAP, sieci lokalnej) i dodanie ich do grupy statycznej. Wybranie opcji Synchronizuj z usługą Active
Directory podczas instalowania serwera sprawi, że wyszukane komputery zostaną dodane do grupy Wszystkie.
Kliknij kolejno pozycje Administrator > Zadanie serwera > Synchronizacja grupy statycznej > Nowy..., aby
skonfigurować nowe zadanie.
Podstawowe
Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa i opis (opcjonalny). W polu Typ zadania
określane są ustawienia zadania i jego zachowanie. Zaznacz pole wyboru obok pozycji Uruchom zadanie natychmiast
po ukończeniu, aby zadanie zostało uruchomione automatycznie po kliknięciu przycisku Zakończ.
Ustawienia
Nazwa grupy statycznej — będzie to dla synchronizowanych komputerów grupa główna.
Obiekty do synchronizacji — można tu wybrać opcję Komputery i grupy lub Tylko komputery.
Obsługa kolizji przy tworzeniu komputerów — gdy w ramach synchronizacji dodawane są komputery należące
już do grupy statycznej, użytkownik ma do wyboru następujące metody rozwiązania konfliktu: Pomiń
(synchronizowane komputery nie zostaną dodane), Przenieś (nowe komputery zostaną przeniesione do
podgrupy) lub Zduplikuj (nowe komputery zostaną dodane pod innymi nazwami).
Obsługa wygaśnięcia komputera — jeśli dany komputer już nie istnieje, można użyć w odniesieniu do niego
opcji Usuń lub Pomiń.
Tryb synchronizacji:
Active Directory/Open Directory/LDAP — tu należy wprowadzić podstawowe informacje dotyczące połączenia z
serwerem (nazwę serwera, nazwę użytkownika, hasło).
Sieć MS Windows — należy tu wprowadzić nazwę grupy roboczej, która ma być używana, oraz użytkownika
korzystającego z podanych poświadczeń (nazwa użytkownika i hasło).
VMware — należy tu wprowadzić nazwę lub adres IP hosta oraz poświadczenia używane w celu uzyskiwania
dostępu do serwera VMware vCenter.
300
Ustawienia połączenia z serwerem:
Serwer — wpisz nazwę serwera lub adres IP kontrolera domeny.
Nazwa użytkownika — wpisz poświadczenia umożliwiające logowanie do kontrolera domeny w formacie
domena\nazwa użytkownika.
Hasło — wpisz hasło używane do logowania do kontrolera domeny.
Użyj parametrów LDAP — w celu skorzystania z usługi LDAP należy zaznaczyć pole wyboru Użyj usługi LDAP
zamiast usługi Active Directory i wprowadzić odpowiednie atrybuty dostosowane do serwera. Można też
wybrać ustawienia wstępne po kliknięciu pozycji Niestandardowe..., co spowoduje automatyczne wypełnienie
atrybutów.
Ustawienia synchronizacji:
Nazwa wyróżniająca — ścieżka (nazwa wyróżniająca) do węzła w ramach drzewa Active Directory. Pozostawienie
tej opcji pustej spowoduje synchronizowanie całego drzewa AD.
Wykluczone nazwy wyróżniające — można wykluczać (ignorować) określone nazwy w ramach drzewa Active
Directory.
Ignoruj wyłączone komputery (tylko w usłudze Active Directory) — można wybrać ignorowanie wyłączonych
komputerów w ramach usługi Active Directory, co spowoduje pomijanie tych komputerów przy wykonywaniu
zadania.
Wybierz istniejący element wyzwalający dla tego zadania lub utwórz nowy element wyzwalający. Można również
usunąć lub zmodyfikować element wyzwalający.
Podsumowanie
Sprawdź wyświetlane tutaj dane konfiguracji i, jeśli wszystko się zgadza, kliknij opcję Zakończ. Zadanie zostanie
utworzone i będzie gotowe do użytku.
Domyślnie odbiorcami są wyłącznie komputery z systemem Windows. Jeśli w domenie Windows używane są
komputery z systemem Linux, które mają zostać dodane jako odbiorcy tego zadania, należy najpierw zadbać o to, by
były widoczne. W przypadku komputerów z systemem Linux używanych w domenie Windows żaden tekst nie jest
wyświetlany w ramach właściwości komputerów w narzędziu ADUC (Użytkownicy i komputery usługi Active
Directory), w związku z czym informacje te należy wprowadzić ręcznie.
6.1.4.2.4 Synchronizacja grupy statycznej — komputery z systemem Linux
W przypadku komputerów z systemem Linux, które są dołączane do domeny systemu Windows żaden tekst nie jest
wyświetlany w ramach właściwości komputerów w narzędziu ADUC (Użytkownicy i komputery usługi Active
Directory), w związku z czym informacje te należy wprowadzić ręcznie.
Sprawdź wymagania wstępne serwera oraz następujące wymagania wstępne:
Komputery z systemem Linux są w usłudze Active Directory.
Kontroler domeny ma zainstalowany serwer DNS.
Zainstalowano narzędzie ADSI Edit.
1. Otwórz wiersz polecenia i uruchom narzędzie adsiedit.msc
2. Przejdź do obszaru Czynność > Połącz z. Zostanie wyświetlone okno ustawień połączenia.
3. Kliknij pozycję Wybierz dobrze znany kontekst nazewnictwa.
4. Rozwiń widoczne poniżej pole kombi i wybierz pozycję Domyślny w odniesieniu do kontekstu nazewnictwa.
5. Kliknij przycisk OK — wartość ADSI po lewej stronie powinna być nazwą kontrolera domeny w domyślnym
kontekście nazewnictwa (kontroler domeny).
6. Kliknij wartość ADSI i rozwiń jej podgrupę.
301
7. Kliknij podgrupę i przejdź do pozycji CN (Nazwa pospolita) lub OU (Jednostka organizacyjna), gdzie wyświetlane
są komputery z systemem Linux.
8. Kliknij nazwę hosta komputera z systemem Linux i wybierz pozycję Właściwości z menu kontekstowego. Przejdź
do parametru dNSHostName i kliknij przycisk Edytuj.
9. Zmień wartość <nie skonfigurowano> na prawidłowy tekst (na przykład ubuntu.TEST).
10.Kliknij kolejno OK > OK. Otwórz narzędzie ADUC i wybierz właściwości komputera z systemem Linux — w tym
miejscu powinien być wyświetlony nowy tekst.
6.1.4.3 Planowanie zadania serwera
Zaplanowany element wyzwalający spowoduje wykonanie zadania na podstawie ustawień daty i godziny. Można
zaplanować, by zadanie zostało uruchomione jeden raz, by było uruchamiane wielokrotnie lub na podstawie
wyrażenia CRON.
6.1.4.4 Ponowne użycie elementu wyzwalającego w zadaniu serwera
Ponowne użycie elementu wyzwalającego serwera oznacza, że ten sam element wyzwalający (okoliczność/
zdarzenie) jest w stanie zainicjować wiele zadań (czynności) równocześnie.
Przykładem może być sytuacja, w której użytkownik rozwiązania ERA chce wygenerować 2 różne okresowe raporty
miesięczne równocześnie. Poniżej opisano działania umożliwiające ponowne użycie elementu wyzwalającego
użytego w pierwszym raporcie do utworzenia drugiego.
1. Utwórz pierwsze zadanie Generowanie raportów z przypisanym elementem wyzwalającym Co miesiąc.
2. Zacznij konfigurować drugie zadanie Generowanie raportów z innym raportem.
3. Na ekranie elementów wyzwalających w kreatorze tworzenia zadań kliknij opcję Dodaj istniejący. Spowoduje
to wyświetlenie listy istniejących elementów wyzwalających.
4. Wybierz ten sam element wyzwalający Co miesiąc, który został użyty w odniesieniu do pierwszego zadania
Generowanie raportów.
5. Zapisz zadanie. Opisane działania spowodują generowanie 2 różnych raportów co miesiąc o tej samej porze.
302
6.1.4.5 Elementy wyzwalające
Elementy wyzwalające to ogólnie czujniki reagujące na określone zdarzenia we wstępnie zdefiniowany sposób.
Używane są do wykonywania działań (w większości przypadku do uruchamiania zadań). Mogą być aktywowane
harmonogramem (zdarzenia czasowe) lub wystąpieniem określonego zdarzenia w systemie.
Element wyzwalający powoduje wykonanie wszystkich zadań przypisanych do niego w momencie jego aktywacji.
Element wyzwalający nie uruchamia nowo przypisanych zadań natychmiast. Zadania te uruchamiane są w momencie
aktywacji elementu wyzwalającego. Czułość elementu wyzwalającego na zdarzenia można dodatkowo ograniczyć,
korzystając z funkcji ograniczania.
Typy elementów wyzwalających serwera:
Członkowie grupy dynamicznej ulegli zmianie — ten element wyzwalający jest aktywowany, gdy zawartość grupy
dynamicznej ulegnie zmianie. Na przykład wówczas, gdy do grupy dynamicznej o nazwie Zainf ekowane zostaną
dodane klienty, lub gdy zostaną z niej usunięte.
Wielkość grupy dynamicznej uległa zmianie w odniesieniu do grupy porównywanej — ten element wyzwalający
jest aktywowany, gdy liczba klientów w obserwowanej grupie dynamicznej zmieni się w odniesieniu do grupy
porównywanej (statycznej lub dynamicznej). Na przykład wówczas, gdy więcej niż 10% wszystkich komputerów
zostanie zainfekowanych (grupa Wszystkie zostanie porównana do grupy Zainfekowane).
Wielkość grupy dynamicznej uległa zmianie w odniesieniu do wartości progowej — ten element wyzwalający jest
aktywowany, gdy liczba klientów w grupie dynamicznej staje się większa lub mniejsza od określonej wartości
progowej. Na przykład wówczas, gdy więcej niż 100 komputerów znajdzie się w grupie Zainfekowane.
Wielkość grupy dynamicznej uległa zmianie w danym okresie — ten element wyzwalający jest aktywowany, gdy
liczba klientów w grupie dynamicznej zmieni się w zdefiniowanym okresie. Na przykład wówczas, gdy liczba
komputerów w grupie Zainfekowane zwiększy się o 10% w ciągu godziny.
Element wyzwalający dziennik zdarzeń — ten element wyzwalający jest aktywowany, gdy w dzienniku pojawia się
określone zdarzenie. Na przykład wówczas, gdy w dzienniku skanowania pojawi się zagrożenie.
Zaplanowany element wyzwalający — ten element wyzwalający jest aktywowany w ustalonym dniu o ustalonej
godzinie.
Uruchomiono serwer— ten element jest aktywowany w momencie uruchomienia serwera. Ten element jest na
przykład używany w odniesieniu do zadania Synchronizacja grupy statycznej.
303
6.1.4.5.1 Ograniczanie
W pewnych okolicznościach ograniczanie może uniemożliwić aktywację elementu wyzwalającego. Warunki czasowe
mają wyższy priorytet niż warunki statystyczne.
W przypadku spełnienia któregoś z warunków wszystkie informacje skumulowane w ramach wszystkich
obserwatorów zostają zresetowane (obserwacja zaczyna się od początku). Dotyczy to zarówno warunków czasowych,
jak i statystycznych. Informacje dotyczące stanu w ramach poszczególnych obserwatorów nie są zachowywane. Są
resetowane nawet w przypadku ponownego uruchomienia agenta lub serwera.
Wprowadzenie jakichkolwiek zmian w elemencie wyzwalającym powoduje zresetowanie jego stanu.
Dostępnych jest kilka metod kontrolowania wyzwalania:
Statystyczne
Statystyczne elementy wyzwalające są aktywowane na podstawie dowolnych kombinacji następujących
parametrów:
S1: element wyzwalający powinien być aktywowany co N wystąpień zdarzenia wyzwalającego (licznik modulo
N), począwszy od ostatniego wystąpienia w serii (np. od początku, oczekiwanie na N-te zdarzenie).
S2: wyzwolenie następuje, gdy w okresie X wystąpi N zdarzeń (okres można wybrać przy użyciu wstępnie
zdefiniowanej listy) [N <= 100] — uwzględniane są tylko zdarzenia, które wystąpiły w ciągu ostatniego okresu
X. Aktywowanie elementu wyzwalającego powoduje zresetowanie bufora.
S3: N zdarzeń o unikatowym symbolu S musi wystąpić [N <= 100] razy z rzędu. Bufor jest resetowany po
aktywowaniu elementu wyzwalającego, gdy zdarzenie jest już w buforze. Bufor jest w trybie „okna
przestawnego” — kolejka FIFO. Nowy symbol jest porównywany z każdym z symboli w buforze.
Uwaga: Brakująca wartość (nie dot.) nie jest uznawana za unikatową, w związku z czym następuje
zresetowanie bufora
od ostatniego wyzwolenia.
Warunki te można łączyć przy użyciu operatora AND (wszystkie ustawione warunki muszą zostać spełnione) lub
operatora OR (pierwsze wystąpienie dowolnego warunku).
Czasowe
Wszystkie z poniższych warunków muszą równocześnie zostać spełnione (jeśli zostały ustawione):
T1: element wyzwalający może zostać uruchomiony w zakresie czasu X. Zakres jest podawany jako
powtarzający się szereg ograniczeń czasowych (np. 13:00 - 14:00 OR 17:00 - 23:30).
T2: element wyzwalający może zostać aktywowany nie więcej niż raz w danym okresie X.
Właściwości dodatkowe
Zgodnie z powyższym nie każde zdarzenie spowoduje aktywowanie elementu wyzwalającego. Oto możliwe
czynności w przypadku zdarzeń, które nie wywołują aktywacji:
Gdy pominięte zostanie więcej niż jedno zdarzenie, następuje zgrupowanie ostatnich N zdarzeń w jedno (dane
znaczników blokowanych zostają zachowane) [N <= 100]
Gdy N == 0 przetworzone zostaje tylko ostatnie zdarzenie (N oznacza długość historii, ostatnie zdarzenie jest
zawsze przetwarzane)
Wszystkie zdarzenia, które nie wywołują aktywacji są scalane (ostatni znacznik zostaje scalony ze znacznikami
historycznymi w liczbie N)
Przykłady:
S1: Kryterium zdarzeń (zezwalanie co 3. znacznik)
304
Wystą 0 01 02 03 04 05 06
pienie 0
Znaczn
x x
iki
S1
x
x
x
x
1
modyfikacja
elementu
wyzwalającego
x
07 08 09 10 11 12 13 14
x x
x
1
x
15
x
x
1
1
S2: Kryterium zdarzeń występujących w danym czasie (zezwalanie, gdy 3 znaczniki wystąpią w ciągu 4 sekund)
Wyst
ąpien 00 01 02 03 04 05 06
ie
Znacz
x
niki
x
x
S2
x
modyfikacja
elementu
wyzwalającego
07 08 09 10 11 12 13
x
x
x
x
1
x
x
1
S3: Kryterium unikatowej wartości symbolu (zezwalanie w przypadku wystąpienia 3 unikatowych wartości z rzędu)
Wyst
ąpien 00 01 02 03 04 05 06
ie
Wart
ość A
B B C
S3
modyfikacja
elementu
wyzwalającego
07 08 09 10 11 12 13
D G H
J
nie
K dot L M N N
.
1
1
S3: Kryterium unikatowej wartości symbolu (zezwalanie w przypadku wystąpienia 3 unikatowych wartości od
ostatniego znacznika)
Wyst
07
ąpien 00 01 02 03 04 05 06
ie
Wart
ość A
modyfikacja
elementu
wyzwalającego
08 09 10 11 12 13 14
I
B B C
D G H
1
1
S3
J
nie
K dot L M N N
.
1
T1: Zezwalanie na znacznik w określonych zakresach czasowych (zezwalanie codziennie od 8:10, czas trwania 60
sekund)
Wyst
ąpien 8:09:50 8:09:59 8:10:00 8:10:01
ie
Znacz
niki
T1
x
x
modyfikacja
elementu
wyzwalającego
8:10:59 8:11:00 8:11:01
x
x
x
1
1
1
x
x
To kryterium nie ma stanu, w związku z czym modyfikacje elementu wyzwalającego nie mają wpływu na wyniki.
T2: Zezwalanie na jeden znacznik w danym okresie (zezwalanie nie częściej niż co 5 sekund)
305
Wyst
ąpien 00 01 02 03 04 05 06
ie
Znacz
x
niki
T2
x
x
x
1
modyfikacja
elementu
wyzwalającego
07 08 09 10 11 12 13
x
x
1
1
x
x
x
x
1
Kombinacja S1+S2
S1: co 5. znacznik
S2: 3 znaczniki w ciągu 4 sekund
Wystą 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16
pienie
Znaczn
x x
iki
x
x
x
x
x
x
x
x
S1
x
1
S2
1
1
1
Wynik
1
1
1
Wynik wymieniony jako: S1 (operator logiczny OR) S2
Kombinacja S1+T1
S1: zezwalanie na co 3. znacznik
T1: zezwalanie codziennie od 8:08, czas trwania 60 sekund
Wyst
ąpien 8:07:50 8:07:518:07:52 8:07:53 8:08:10 8:08:118:08:19 8:08:54 8:08:55 8:09:01
ie:
Znacz
niki
x
x
S1
x
x
x
1
x
x
x
1
T1
1
Wyni
k
1
x
x
1
1
1
1
1
1
Wynik wymieniony jako: S1 (operator logiczny AND) T1
Kombinacja S2+T1
T1: zezwalanie codziennie od 8:08, czas trwania 60 sekund
Wyst
ąpien 8:07:50 8:07:518:07:52 8:07:53 8:08:10 8:08:118:08:19 8:08:54 8:08:55 8:09:01
ie:
Znacz
niki
S2
306
x
x
x
x
1
1
x
x
x
1
x
x
x
1
T1
1
1
1
Wyni
k
1
1
1
Uwaga: stan warunku S2 jest resetowany tylko wówczas, gdy wynik globalny to 1
Kombinacja S2+T2
T2: zezwalanie nie więcej niż raz w ciągu 20 sekund
Wystą
…
pienie 00 01 02 03 04 05 06 07
16 17 18 19 20 21 22 23 24
:
Znacz
x x
niki
S2
T2
Wynik
x
1
1 1
x
x
x
x
x
1
1
1
x
x
x
x
x
x
x
1
1
1
1
1
1
1
1
1
x
x
Uwaga: stan warunku S2 jest resetowany tylko wówczas, gdy wynik globalny to 1
6.1.4.5.1.1 Zbyt wysoka czułość elementu wyzwalającego
Użyj warunków ograniczania przedstawionych w niniejszej instrukcji w części Element wyzwalający jest aktywowany
zbyt często.
307
6.1.4.5.2 Kreator elementu wyzwalającego serwera
Elementy wyzwalające są tworzone na karcie Administrator, w obszarze Zadania serwera > Elementy wyzwalające i
tam można nimi zarządzać. Wybierz pozycje Typ elementu wyzwalającego > Nowy element wyzwalający.
308
6.1.4.5.3 Zarządzanie elementami wyzwalającymi serwera
W celu zarządzania elementami wyzwalającymi serwera na karcie Administrator kliknij kolejno pozycje Zadania
serwera > Elementy wyzwalające, wybierz pozycję Typ elementu wyzwalającego i kliknij opcję Edytuj.
Podstawowe
Podaj nazwę elementu wyzwalającego. Opcjonalnie można również wprowadzić opis elementu wyzwalającego.
Ustawienia
Wybierz typ elementu wyzwalającego. Typ elementu wyzwalającego określa metodę aktywacji elementu
wyzwalającego. Wybierz pozycję Element wyzwalający dziennik zdarzeń i przejdź dalej.
Wybierz typ dziennika. Element wyzwalający jest aktywowany, gdy w danym dzienniku pojawia się określone
zdarzenie.
Określ zdarzenie, które musi wystąpić, aby aktywować element wyzwalający. Wybierz operator logiczny
umożliwiający filtrowanie zdarzeń. W tym przykładzie wybierzemy operator AND (wszystkie warunki muszą zostać
spełnione).
Dodaj filtr z listy (jako zdarzenie) i wybierz operator logiczny z ciągu niestandardowego.
Ustawienia zaawansowane — Ograniczanie
Podaj wartość w polu Liczba znaczników do zagregowania. Umożliwi to określenie liczby znaczników (trafień w
ramach elementu wyzwalającego) niezbędnych do aktywowania elementu wyzwalającego. Bardziej szczegółowe
informacje znajdują się w rozdziale Ograniczanie.
309
Podsumowanie
Sprawdź ustawienia nowego elementu wyzwalającego, wprowadź niezbędne poprawki i kliknij przycisk Zakończ.
Element wyzwalający został zapisany na serwerze i jest gotowy do użytku. Możesz również wyświetlić utworzone
elementy wyzwalające na liście z prawej strony. Aby edytować lub usunąć element wyzwalający, wystarczy kliknąć
go na liście i wybrać odpowiednią czynność z menu kontekstowego. Aby usunąć kilka elementów wyzwalających
równocześnie, należy zaznaczyć pola wyboru przy elementach wyzwalających, które mają zostać usunięte i kliknąć
opcję Usuń.
6.1.4.5.3.1 Element wyzwalający jest aktywowany zbyt często
Jeśli powiadomienia mają być wysyłane rzadziej, należy wziąć pod uwagę następujące sugestie:
Jeśli użytkownik chce reagować tyko wówczas, gdy pojawi się więcej zdarzeń, należy użyć warunku
statystycznego S1 w obszarze Ograniczanie.
Jeśli element wyzwalający powinien być aktywowany tylko wówczas, gdy zaistnieje klaster zdarzeń, należy
użyć warunku statystycznego S2 w obszarze Ograniczanie.
Jeśli zdarzenia o niepożądanych wartościach mają być ignorowane, należy użyć warunku statystycznego S3 w
obszarze Ograniczanie.
Jeśli wydarzenia mające miejsce poza wyznaczonymi godzinami (na przykład godzinami pracy) mają być
ignorowane, należy użyć warunku czasowego T1 w obszarze Ograniczanie.
W celu wyznaczenia minimalnego czasu pomiędzy aktywacją elementów wyzwalających należy użyć warunku
czasowego T2 w obszarze Ograniczanie.
UWAGA: Warunki te można również łączyć w celu uzyskania bardziej złożonych scenariuszy ograniczania.
310
6.1.4.5.3.2 Wyrażenie CRON
Wyrażenie CRON służy do konfiguracji poszczególnych wystąpień elementu wyzwalającego. Jest to ciąg złożony z 7
wyrażeń podrzędnych (pól), oznaczających poszczególne wartości harmonogramu. Pola te są oddzielone spacją i
mogą zawierać dowolną dozwoloną wartość z różnymi kombinacjami.
Nazwa
Wymagany
Wartość
Dozwolone znaki specjalne
Sekundy
Tak
0-59
,-*/
Minuty
Tak
0-59
,-*/
Godziny
Tak
0-23
,-*/
Dzień miesiąca
Tak
1-31
,-*/ L W C
Miesiąc
Tak
0–11 lub STY–GRU
,-*/
Dzień tygodnia
Tak
1–7 lub NIE–SOB
,-*/ L C #
Rok
Nie
puste lub 1970–2099
,-*/
Przykłady dostępne są tutaj.
6.1.4.5.4 Zarządzanie czułością elementów wyzwalających
Ograniczanie stosowane jest w celu ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często
występujące zdarzenie. W określonych okolicznościach ograniczanie może uniemożliwić aktywację elementu
wyzwalającego. W przypadku spełnienia któregoś ze zdefiniowanych warunków informacje skumulowane w ramach
wszystkich obserwatorów zostają zresetowane (odliczanie zaczyna się ponownie od 0). Informacje te zostają
również zresetowane w przypadku ponownego uruchomienia agenta lub serwera ERA. Wprowadzenie
jakichkolwiek modyfikacji w elemencie wyzwalającym powoduje zresetowanie jego stanu.
Kryteria czasowe ograniczania mają wyższy priorytet niż warunki statystyczne. Zalecamy stosowanie tylko jednego
warunku statystycznego oraz wielu warunków czasowych. Większa liczba warunków statystycznych może
niepotrzebnie komplikować działanie elementu wyzwalającego i zmieniać jego wyniki.
Warunki statystyczne
Warunki statystyczne można łączyć przy użyciu operatora logicznego AND (wszystkie warunki muszą zostać
spełnione) lub operatora logicznego OR (pierwszy spełniony warunek wyzwala czynność).
Warunki czasowe
W celu wyzwolenia danego zdarzenia wszystkie skonfigurowane warunki muszą zostać spełnione. Kryteria
ograniczania są skoncentrowane na czasie wystąpienia zdarzenia.
Agregacja
Liczba znaczników do zagregowania — liczba znaczników (liczba trafień elementu wyzwalającego) niezbędna do
aktywowania elementu wyzwalającego. Aktywowanie elementu wyzwalającego jest wstrzymywane do momentu
osiągnięcia tej liczby. Na przykład ustawienie w tym miejscu wartości 100 spowoduje, że w momencie wykrycia
100 zagrożeń do użytkownika nie zostanie wysłanych 100 powiadomień, tylko jedno powiadomienie, w którym
wyszczególnionych będzie 100 zagrożeń. W przypadku wykrycia 200 zagrożeń w powiadomieniu
wyszczególnionych będzie 100 ostatnich zagrożeń.
Kryteria czasowe
Agreguj wywołania w danym okresie — można ustawić rejestrowanie trafienia co X sekund. Ustawienie w tej opcji
wartości 10 sekund spowoduje, że jeśli w tym czasie wystąpi 10 wywołań, uznane zostanie tylko 1.
Zakresy czasu — można zezwolić na rejestrowanie znaczników wyłącznie w podanym okresie. Do listy można
dodać wiele zakresów czasu, które zostaną posortowane chronologicznie.
311
Kryteria statystyczne
Stosowanie kryteriów statystycznych — w tej opcji definiowana jest metoda stosowana do oceny kryteriów
statystycznych. Spełnione muszą być wszystkie te kryteria (operator AND) lub co najmniej jedno z nich (operator
OR).
Wyzwalanie co określoną liczbę wystąpień — rejestrowany jest co X-ty znacznik (trafienie). Na przykład w
przypadku wprowadzenia wartości 10 rejestrowany będzie co 10-ty znacznik.
Liczba wystąpień w danym okresie — rejestrowane są tylko znaczniki występujące w podanym okresie. Umożliwia
to określenie częstotliwości. Można na przykład zezwolić na wykonanie zadania, gdy zdarzenie jest wykrywane 10
razy w ciągu godziny.
o Okres — podanie okresu na potrzeby opisanej powyżej opcji.
Liczba zdarzeń z symbolem — rejestrowanie znacznika (trafienia) w przypadku wystąpienia X zdarzeń z
określonym symbolem. Na przykład wprowadzenie wartości 10 spowoduje, że znacznik będzie dodawany dla co
10-tej instalacji określonej aplikacji.
o Stosowanie po wystąpieniu pewnej liczby zdarzeń — należy tu wprowadzić liczbę zdarzeń, które muszą
wystąpić kolejno od ostatniego znacznika, aby zarejestrowany został kolejny znacznik. Na przykład
wprowadzenie wartości 10 spowoduje, że kolejny znacznik będzie rejestrowany po 10 wystąpieniach zdarzenia
od ostatniego znacznika.
Stosowanie po wystąpieniu pewnej liczby zdarzeń — element wyzwalający zostaje zastosowany w przypadku
znaczników następujących po sobie (wystąpienie elementu wyzwalającego nie jest brane pod uwagę) lub
występujących od ostatniego uruchomienia elementu wyzwalającego (uruchomienie elementu wyzwalającego
powoduje zresetowanie liczby znaczników do 0).
312
6.1.5 Powiadomienia
Powiadomienia są niezbędne do śledzenia ogólnego stanu sieci. W przypadku wystąpienia nowego zdarzenia (w
zależności od konfiguracji) użytkownik zostanie powiadomiony o tym przy użyciu zdefiniowanej metody (w ramach
usługi SNMP Trap lub w wiadomości e-mail) i będzie mógł odpowiednio zareagować.
Wszystkie szablony powiadomień są wyświetlane na liście i można filtrować je według nazwy lub opisu.
W celu dodania kryteriów filtrowania i/lub wprowadzenia tekstu w polu Nazwa/Powiadomienie należy kliknąć
opcję Dodaj filtr.
Wybranie istniejącego powiadomienia umożliwia edytowanie go lub całkowite usunięcie.
W celu utworzenia nowego powiadomienia należy kliknąć opcję Nowe powiadomienie u dołu strony.
313
6.1.5.1 Kreator powiadomień
Podstawowe
Tutaj widoczna jest nazwa oraz opis powiadomienia. Te dane są istotne przy filtrowaniu wielu powiadomień. Filtr
znajduje się u góry strony Powiadomienie.
314
Szablon powiadomienia
Istniejąca grupa dynamiczna — przy generowaniu powiadomień stosowana będzie istniejąca grupa dynamiczna.
Należy wybrać z listy grupę dynamiczną i kliknąć pozycję OK.
Wielkość grupy dynamicznej uległa zmianie w odniesieniu do grupy porównywanej — jeśli liczba klientów w
obserwowanej grupie dynamicznej zmieni się w odniesieniu do grupy porównywanej (statycznej lub dynamicznej),
wygenerowane zostanie powiadomienie. Inny szablon dziennika zdarzeń — ta opcja jest używana w przypadku
powiadomień niepowiązanych z grupą dynamiczną, ale generowanych na podstawie zdarzeń systemowych
wyfiltrowanych z dziennika zdarzeń. Wybierz typ dziennika, na podstawie którego generowane będą
powiadomienia oraz operator logiczny stosowany w odniesieniu do filtrów.
Stan śledzenia — ta opcja umożliwia powiadamianie o zmianach stanu obiektu na podstawie filtrów zdefiniowanych
przez użytkownika.
Konfiguracja
Powiadamiaj przy każdej zmianie zawartości grupy dynamicznej — włączenie tej opcji powoduje powiadamianie o
wszystkich zmianach związanych z dodawaniem, usuwaniem lub modyfikowaniem elementów grupy dynamicznej.
Okres powiadomienia — tutaj można zdefiniować okres (w minutach, godzinach lub dniach), w którym następuje
porównywanie z nowym stanem. Na przykład 7 dni temu liczba klientów z nieaktualnymi wersjami produktów
wynosiła 10, a w opcji Wartość progowa (opis poniżej) ustawiono wartość 20. Jeśli liczba klientów z nieaktualnymi
wersjami produktów dojdzie do 30, wygenerowane zostanie powiadomienie.
Wartość progowa — ustalenie wartości progowej, która wyzwala wysłanie powiadomienia. Można tu podać liczbę
lub odsetek klientów (należących do grupy dynamicznej).
Wygenerowany komunikat — wstępnie zdefiniowany komunikat, który będzie widoczny w powiadomieniu. Zawiera
skonfigurowane ustawienia w postaci tekstowej.
Komunikat — do wstępnie zdefiniowanego komunikatu można dodać komunikat niestandardowy (zostanie on
wyświetlony po wstępnie zdefiniowanym komunikacie z powyższej opcji). Ten komunikat jest opcjonalny, ale jest
zalecany ze względu na skuteczniejsze filtrowanie powiadomień.
UWAGA: Opcje konfiguracji mogą się różnić w zależności od szablonu powiadomienia.
315
Kryteria czasowe
OR).
razy w ciągu godziny. Okres — podanie okresu na potrzeby opisanej powyżej opcji.
10-tej instalacji określonego oprogramowania. Stosowanie po wystąpieniu pewnej liczby zdarzeń — należy tu
wprowadzić liczbę zdarzeń, które muszą wystąpić kolejno od ostatniego znacznika, aby zarejestrowany został
kolejny znacznik. Na przykład wprowadzenie wartości 10 spowoduje, że kolejny znacznik będzie rejestrowany po
10 wystąpieniach zdarzenia od ostatniego znacznika.
Dystrybucja
Temat — temat wiadomości z powiadomieniem. Podanie tematu jest opcjonalne, ale zalecane w celu zapewnienia
skuteczniejszego filtrowania lub w przypadku tworzenia reguł umożliwiających sortowanie wiadomości z
powiadomieniami.
Dystrybucja
Wysyłanie komunikatu SNMP Trap — powoduje wysłanie komunikatu SNMP Trap. Komunikat SNMP Trap
powiadamia serwer, posługując się niezamawianą wiadomością SNMP. Więcej informacji można znaleźć w
części Konfigurowanie usługi SNMP Trap.
Wysyłanie wiadomości e-mail — powoduje wysłanie wiadomości e-mail zgodnie z ustawieniami wiadomości email.
Adresy e-mail — tu należy wprowadzić adresy odbiorców wiadomości z powiadomieniami oddzielone przecinkami
(„,”).
316
6.1.5.2 Zarządzanie powiadomieniami
Zarządzanie powiadomieniami odbywa się na karcie Administrator. Wybierz powiadomienie i kliknij opcję Edytuj
powiadomienie.
Podstawowe
Zmienić można dane w polach Nazwa powiadomienia oraz Opis. Jest to istotne w przypadku filtrowania większej
liczby powiadomień.
Szablon powiadomienia
Istniejąca grupa dynamiczna — przy generowaniu powiadomień stosowana będzie istniejąca grupa dynamiczna.
Należy wybrać z listy grupę dynamiczną i kliknąć pozycję OK.
Wielkość grupy dynamicznej uległa zmianie w odniesieniu do grupy porównywanej — jeśli liczba klientów w
obserwowanej grupie dynamicznej zmieni się w odniesieniu do grupy porównywanej (statycznej lub dynamicznej),
wygenerowane zostanie powiadomienie.
Inny szablon dziennika zdarzeń
Ta opcja jest używana w przypadku powiadomień niepowiązanych z grupą dynamiczną, ale generowanych na
podstawie zdarzeń systemowych wyfiltrowanych z dziennika zdarzeń. Wybierz typ dziennika, na podstawie którego
generowane będą powiadomienia oraz operator logiczny stosowany w odniesieniu do filtrów.
Stan śledzenia — ta opcja umożliwia powiadamianie o zmianach stanu obiektu na podstawie filtrów zdefiniowanych
przez użytkownika.
UWAGA: Można zmienić stan śledzenia oraz użyć opcji + Dodaj filtr lub Operator logiczny w odniesieniu do filtrów.
317
Konfiguracja
Powiadamiaj przy każdej zmianie zawartości grupy dynamicznej — włączenie tej opcji powoduje powiadamianie o
wszystkich zmianach związanych z dodawaniem, usuwaniem lub modyfikowaniem elementów grupy dynamicznej.
Okres powiadomienia — tutaj można zdefiniować okres (w minutach, godzinach lub dniach), w którym następuje
porównywanie z nowym stanem. Na przykład 7 dni temu liczba klientów z nieaktualnymi wersjami produktów
wynosiła 10, a w opcji Wartość progowa (opis poniżej) ustawiono wartość 20. Jeśli liczba klientów z nieaktualnymi
wersjami produktów dojdzie do 30, wygenerowane zostanie powiadomienie.
Wartość progowa — ustalenie wartości progowej, która wyzwala wysłanie powiadomienia. Można tu podać liczbę
lub odsetek klientów (należących do grupy dynamicznej).
Wygenerowany komunikat — wstępnie zdefiniowany komunikat, który będzie widoczny w powiadomieniu. Zawiera
skonfigurowane ustawienia w postaci tekstowej.
Komunikat — do wstępnie zdefiniowanego komunikatu można dodać komunikat niestandardowy (zostanie on
wyświetlony po wstępnie zdefiniowanym komunikacie z powyższej opcji). Ten komunikat jest opcjonalny, ale jest
zalecany ze względu na skuteczniejsze filtrowanie i przeglądanie powiadomień.
UWAGA: Dostępne opcje zależą od wybranego szablonu powiadomienia.
Kryteria czasowe
318
OR).
razy w ciągu godziny. Okres — podanie okresu na potrzeby opisanej powyżej opcji.
10-tej instalacji określonego oprogramowania. Stosowanie po wystąpieniu pewnej liczby zdarzeń — należy tu
wprowadzić liczbę zdarzeń, które muszą wystąpić kolejno od ostatniego znacznika, aby zarejestrowany został
kolejny znacznik. Na przykład wprowadzenie wartości 10 spowoduje, że kolejny znacznik będzie rejestrowany po
10 wystąpieniach zdarzenia od ostatniego znacznika.
Dystrybucja
Temat — temat wiadomości z powiadomieniem. Podanie tematu jest opcjonalne, ale zalecane w celu zapewnienia
skuteczniejszego filtrowania lub w przypadku tworzenia reguł umożliwiających sortowanie wiadomości.
Dystrybucja
Wysyłanie komunikatu SNMP Trap — powoduje wysłanie komunikatu SNMP Trap. Komunikat SNMP Trap
powiadamia serwer, posługując się niezamawianą wiadomością SNMP. Więcej informacji można znaleźć w
części Konfigurowanie usługi SNMP Trap.
Wysyłanie wiadomości e-mail — powoduje wysłanie wiadomości e-mail zgodnie z ustawieniami wiadomości email.
Adresy e-mail — tu należy wprowadzić adresy odbiorców wiadomości z powiadomieniami oddzielone przecinkami
(„,”).
6.1.5.3 Konfigurowanie usługi SNMP Trap
Skuteczne odbieranie komunikatów SNMP wymaga skonfigurowania usługi SNMP Trap.
Procedura konfiguracji w zależności od systemu operacyjnego
System Windows
System Linux
SYSTEM WINDOWS
Wymagania wstępne
Na komputerze, na którym zainstalowany jest serwer ERA, a także na komputerze, na którym zostanie
zainstalowane oprogramowanie SNMP Trap musi być zainstalowana usługa Simple Network Management
Protocol.
Oba te komputery muszą znajdować się w tej samej podsieci.
Na komputerze z serwerem ERA musi być skonfigurowana usługa SNMP.
Konfigurowanie usługi SNMP (serwer ERA)
319
Naciśnij klawisze Windows + R, aby otworzyć okno dialogowe Uruchamianie. Wpisz ciąg Services.msc w polu
Otwórz, a następnie naciśnij klawisz Enter. Wyszukaj usługę SNMP.
Przejdź na kartę Pułapki, wpisz public w polu Nazwa wspólnoty i kliknij przycisk Dodaj do listy.
Kliknij przycisk Dodaj i w odpowiednim polu wpisz nazwę hosta, adres IP lub adres IPX komputera, na którym
zainstalowane jest oprogramowanie do pułapkowania SNMP, a następnie kliknij przycisk Dodaj.
Przejdź na kartę Zabezpieczenia. Kliknij przycisk Dodaj, aby wyświetlić okno Konfiguracja usługi SNMP. Wpisz
tekst public w polu Nazwa wspólnoty i kliknij przycisk Dodaj. Zostaną skonfigurowane uprawnienia TYLKO DO
ODCZYTU. To prawidłowe ustawienie.
Sprawdź, czy opcja Zaakceptuj pakiety SNMP od tych hostów jest zaznaczona i kliknij przycisk OK w celu
potwierdzenia. Usługa SNMP nie jest skonfigurowana.
Konfigurowanie oprogramowania SNMP Trap (klient)
Usługa SNMP jest zainstalowana i nie wymaga konfigurowania.
Zainstaluj oprogramowanie AdRem SNMP Manager lub AdRem NetCrunch.
AdRem SNMP Manager: Uruchom aplikację i wybierz opcję Utwórz nową listę węzłów SNMP. Kliknij przycisk Tak w
celu potwierdzenia.
Sprawdź adres sieciowy podsieci (wyświetlany w tym oknie). Kliknij przycisk OK, aby wyszukać swoją sieć.
Poczekaj na ukończenie wyszukiwania. Wyniki wyszukiwania zostaną wyświetlone w oknie Wyniki odnajdywania.
Adres IP serwera ERA powinien zostać wyświetlony na tej liście.
Zaznacz adres IP serwera i kliknij przycisk OK. Adres serwera zostanie wyświetlony w obszarze Węzły.
Kliknij pozycję Odbieranie pułapek zatrzymane i wybierz opcję Uruchom. Zostanie wyświetlony komunikat
Odbieranie pułapek uruchomione. Teraz możliwe jest odbieranie komunikatów SNMP z serwera ERA.
SYSTEM LINUX
1. Zainstaluj pakiet snmpd, uruchamiając jedno z poniższych poleceń:
apt-get install snmpd snmp (dystrybucje Debian, Ubuntu)
yum install net-snmp (dystrybucje Red-Hat, Fedora)
2. Otwórz plik /etc/def ault/snmpd i przeprowadź edycję następujących atrybutów:
#SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid'
Dodanie znaku # spowoduje całkowite wyłączenie danego wiersza.
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid -c /etc/snmp/snmpd.conf'
Dodaj do pliku następujący wiersz.
TRAPDRUN=yes
Zmień ustawienie atrybutu trapdrun na yes.
3. Utwórz kopię zapasową oryginalnego pliku snmpd.conf . Plik zostanie później poddany edycji.
mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.original
4. Utwórz nowy plik snmpd.conf i dodaj następujące wiersze:
rocommunity public
syslocation "Testing ERA6"
syscontact [email protected]
5. Otwórz plik /etc/snmp/snmptrapd.conf i na jego końcu dodaj następujący wiersz:
authCommunity log,execute,net public
6. Wpisz poniższe polecenie, aby uruchomić usługi zarządzania SNMP i zapisywanie w dzienniku odbieranych
pułapek:
/etc/init.d/snmpd restart
lub
service snmpd restart
7. Aby sprawdzić, czy obsługa pułapek działa, umożliwiając przechwytywanie komunikatów, uruchom następujące
polecenie:
tail -f /var/log/syslog | grep -i TRAP
320
6.1.6 Certyfikaty
Certyfikat służy do uwierzytelniania danych wymienianych w ramach komunikacji między serwerem ERA a agentem,
ponieważ serwer ERA komunikuje się również przez agenta.
Tworzenie nowego certyfikatu z użyciem urzędu certyfikacji ERA
Tworzenie nowego certyfikatu z użyciem niestandardowego urzędu certyfikacji
Tworzenie nowego urzędu certyfikacji
6.1.6.1 Certyfikaty równorzędne
Certyfikat służy do uwierzytelniania danych podczas komunikacji między serwerem ERA a agentem, ponieważ
serwer ERA komunikuje się również przez agenta.
Nowy... - ta opcja służy do tworzenia nowego certyfikatu z użyciem urzędu certyfikacji serwera ERA lub do
tworzenia nowego certyfikatu z użyciem niestandardowego urzędu certyfikacji. Certyfikaty te są używane przez
agenta, serwer proxy oraz serwer.
Edytuj... — ta opcja umożliwia edytowanie istniejącego certyfikatu znajdującego się na liście. Dostępne są takie
same opcje, jak podczas tworzenia nowego certyfikatu.
Eksportuj... — ta opcja służy do eksportowania certyfikatu w postaci pliku. Ten plik jest niezbędny, jeśli agent jest
instalowany na komputerze lokalnie lub w przypadku instalowania komponentu Moduł zarządzania urządzeniami
mobilnymi.
Wyeksportuj jako Base64... — ta opcja służy do eksportowania certyfikatu w postaci pliku .txt.
Odwołaj... — aby zaprzestać używania certyfikatu, należy wybrać opcję Odwołaj. Ta opcja powoduje unieważnienie
certyfikatu. Nieważne certyfikaty nie są akceptowane w oprogramowaniu ESET Remote Administrator.
321
6.1.6.1.1 Tworzenie nowego certyfikatu z użyciem urzędu certyfikacji ERA
Aby utworzyć nowy urząd w konsoli internetowej ERA, przejdź do obszaru Administrator > Certyfikaty i kliknij
przycisk Czynności > Nowa.
Podstawowe
Wprowadź opis certyfikatu i wybierz agenta jako produkt.
Wprowadź połączenie z serwerem ERA w polu Host. Może to być nazwa hosta, adres IP lub częściowa nazwa z
symbolem wieloznacznym („*”). Poszczególne wpisy oddzielane są przy użyciu spacji („ ”), przecinka („,”) lub
średnika („;”).
Wprowadź hasło w polu Hasło oraz w polu potwierdzenia. To hasło zostanie użyte podczas instalacji agenta.
Wpisz wartość w polu Nazwa pospolita. Ta wartość powinna obejmować ciąg „agent”, „proxy” lub „server”,
zależnie od wybranego produktu.
W razie potrzeby można wprowadzić opisową informację dotyczącą certyfikatu.
Wprowadź wartości w polach Ważność od oraz Ważność do, aby zapewnić ważność certyfikatu.
Podpisywanie
Należy zastosować metodę podpisywania z użyciem urzędu certyfikacji.
Wybierz urząd certyfikacji ERA utworzony podczas instalacji.
Pomiń opcję niestandardowego pliku pfx . Opcja ta ma zastosowanie wyłącznie w odniesieniu do urzędów
certyfikacji z samodzielnie podpisanym plikiem pfx .
Wprowadź hasło do certyfikatu. Jest to hasło urzędu certyfikacji utworzone podczas instalacji serwera.
Podsumowanie
Sprawdź wprowadzone informacje dotyczące certyfikatu i kliknij przycisk Zakończ. Certyfikat został pomyślnie
utworzony i jest dostępny na liście certyfikatów, których można użyć podczas instalacji agenta.
322
6.1.6.1.2 Tworzenie nowego certyfikatu z użyciem niestandardowego urzędu certyfikacji
Aby utworzyć nowy urząd w konsoli internetowej ERA, przejdź do obszaru Administrator > Certyfikaty i kliknij
przycisk Czynności > Nowa.
Podstawowe
Wprowadź opis certyfikatu i wybierz agenta jako produkt.
Wprowadź połączenie z serwerem ERA w polu Host. Może to być nazwa hosta, adres IP lub częściowa nazwa z
symbolem wieloznacznym („*”). Poszczególne wpisy oddzielane są przy użyciu spacji („ ”), przecinka („,”) lub
średnika („;”).
Wprowadź hasło w polu Hasło oraz w polu potwierdzenia. To hasło zostanie użyte podczas instalacji agenta.
Wpisz wartość w polu Nazwa pospolita. Ta wartość powinna obejmować ciąg „agent”, „proxy” lub „server”,
zależnie od wybranego produktu.
W razie potrzeby można wprowadzić opisową informację dotyczącą certyfikatu.
Wprowadź wartości w polach Ważność od oraz Ważność do, aby zapewnić ważność certyfikatu.
Podpisywanie
Należy zastosować metodę podpisywania z użyciem niestandardowego pliku pfx.
Kliknij opcję Przeglądaj, by wybrać niestandardowy plik pfx. Przejdź do niestandardowego pliku pfx i kliknij
przycisk OK. Kliknij przycisk Prześlij, by przesłać ten certyfikat do serwera.
Wprowadź hasło do certyfikatu. Jest to hasło urzędu certyfikacji utworzone podczas instalacji serwera.
Podsumowanie
Sprawdź wprowadzone informacje dotyczące certyfikatu i kliknij przycisk Zakończ. Certyfikat został pomyślnie
utworzony i może zostać użyty do zainstalowania Agenta.
6.1.6.2 Urzędy certyfikacji
W sekcji Urzędy certyfikacji dostępna jest lista urzędów certyfikacji i opcje zarządzania nimi. Jeśli w użyciu jest wiele
urzędów certyfikacji, warto jest użyć filtra do ich sortowania.
W tym celu należy kliknąć opcję Dodaj filtr u góry strony i wybrać kryteria filtrowania, które mają zostać użyte (Opis,
Podmiot, Ważność od/do itp.). W każdym filtrze można ustawić jedno kryterium. Po wybraniu jednego z kryteriów i
kliknięciu przycisku OK obok przycisku Dodaj filtr otworzy się pole tekstowe. W tym polu tekstowym można
wprowadzić informacje niestandardowe, takie jak data i opis. Aby utworzyć dodatkowy filtr, należy kliknąć opcję
Dodaj filtr. Można utworzyć dowolną liczbę filtrów.
323
6.1.6.2.1 Tworzenie nowego urzędu certyfikacji
W celu utworzenia nowego urzędu certyfikacji przejdź kolejno do opcji Administrator > Certyfikaty > Urząd
certyfikacji i kliknij opcje Czynność > Nowy... lub kliknij opcję Nowy u dołu strony.
Urząd certyfikacji
W polu Opis wprowadź opis urzędu certyfikacji i wybierz hasło. Hasło powinno składać się z co najmniej 12 znaków.
Atrybuty (Podmiot)
1. W polu Nazwa pospolita wprowadź nazwę urzędu certyfikacji. Wybierz unikatową nazwę, by umożliwić
odróżnienie poszczególnych urzędów certyfikacji.
Opcjonalnie możesz wprowadzić dane opisowe dotyczące urzędu certyfikacji.
2. Wprowadź wartości w polach Ważność od oraz Wartość do, aby zapewnić ważność certyfikatu.
3. Kliknij opcję Zapisz, aby zapisać nowy urząd certyfikacji. Zostanie dodany do listy urzędów certyfikacji w obszarze
Administrator > Certyfikaty > Urząd certyfikacji i będzie gotowy do użytku.
Aby zarządzać urzędem certyfikacji, zaznacz pole wyboru obok urzędu certyfikacji na liście i skorzystaj z menu
kontekstowego (kliknij urząd certyfikacji lewym przyciskiem myszy) lub użyj przycisku Czynność u dołu strony. Opcje
dostępne dla urzędu certyfikacji to Edytuj (patrz poniższy opis działań), Usuń (całkowite usunięcie) oraz Eksportuj
klucz publiczny.
Eksportowanie klucza publicznego z urzędu certyfikacji
1. Wybierz z listy urząd certyfikacji, którego chcesz użyć i zaznacz pole wyboru obok niego.
2. Z menu kontekstowego wybierz opcję Eksportuj klucz publiczny. Klucz publiczny zostanie wyeksportowany w
postaci pliku .der. Wybierz nazwę klucza publicznego i kliknij opcję Zapisz.
UWAGA: Usunięcie domyślnego urzędu certyfikacji ERA i utworzenie nowego nie wystarczy do jego aktywacji.
Należy również przypisać ten urząd do komputera pełniącego rolę serwera ERA i ponownie uruchomić usługę
serwera ERA.
324
6.1.7 Uprawnienia dostępu
Uprawnienia dostępu w oprogramowaniu ERA można podzielić na dwie podstawowe kategorie:
1. Dostęp do funkcji
2. Dostęp do grup statycznych
Dostęp do elementów z dowolnej z tych kategorii musi być udzielony poszczególnym użytkownikom konsoli
internetowej ERA w ramach uprawnień.
Najwyższe uprawnienia przysługują administratorowi, który ma dostęp do wszystkich obszarów. Ze względu na zbyt
rozległe kompetencje korzystanie z tego konta może być dość niebezpieczne. Stanowczo zalecane jest utworzenie
innych kont o mniej rozległych uprawnieniach dostępu, dobranych na podstawie żądanych kompetencji użytkownika
konta.
Użytkownikami można zarządzać w obszarze Użytkownicy w sekcji Administrator. Możliwe kompetencje są ujęte w
zestawach uprawnień.
6.1.7.1 Użytkownicy
Z konsoli internetowej ERA mogą korzystać użytkownicy z różnymi zestawami uprawnień. Użytkownikiem z
największą liczbą uprawnień jest administrator — dysponuje on pełnią uprawnień. W celu ułatwienia korzystania z
usługi Active Directory użytkownicy z grup domen z zabezpieczeniami mogą mieć możliwość logowania się do
programu ERA. Tacy użytkownicy mogą istnieć w programie ERA obok użytkowników macierzystych, jednak w takim
przypadku zestawy uprawnień są konfigurowane w odniesieniu do grupy usługi Active Directory z zabezpieczeniami
(zamiast do poszczególnych użytkowników, jak to ma miejsce w przypadku użytkowników macierzystych).
Zarządzanie użytkownikami jest częścią sekcji Administrator w konsoli internetowej ERA.
UWAGA: W nowo zainstalowanym programie ERA jedynym kontem jest konto Administrator (użytkownik
macierzysty).
325
6.1.7.1.1 Kreator zmapowanych grup domen z zabezpieczeniami
Aby uzyskać dostęp do kreatora zmapowanych grup domen z zabezpieczeniami, przejdź do obszaru Administrator >
Uprawnienia dostępu > Zmapowane grupy domen z zabezpieczeniami > Nowa lub po prostu kliknij opcję Nowa (gdy
w strukturze drzewa wybrana jest zmapowana grupa domen z zabezpieczeniami).
Podstawowe
Grupa domen
Wprowadź nazwę grupy, a ponadto możesz wprowadzić opis grupy. Grupa zostanie zdefiniowana przy użyciu
identyfikatora SID grupy (identyfikatora zabezpieczeń). Kliknij opcję Wybierz, aby wybrać grupę z listy, a następnie
kliknij OK w celu potwierdzenia.
Konto
Pozostaw zaznaczoną opcję Włączony, aby uaktywnić użytkownika.
Opcja Automatyczne wylogowanie (min) służy do określenia czasu bezczynności (w minutach), po upływie którego
następuje wylogowanie użytkownika z konsoli internetowej ERA.
Pola Kontaktowy adres e-mail oraz Kontakt telefoniczny są opcjonalne i można ich użyć w celu identyfikacji
użytkownika.
Zestaw uprawnień
Tutaj można ustalić kompetencje (uprawnienia) użytkownika. Można użyć wstępnie zdefiniowanych kompetencji:
Zestaw uprawnień przeglądającego (zbliżone do uprawnień tylko do odczytu) lub Zestaw uprawnień administratora
(zbliżony do pełnego dostępu). Można także użyć niestandardowego zestawu uprawnień.
Podsumowanie
Przejrzyj ustawienia skonfigurowane dla danego użytkownika i kliknij opcję Zakończ, aby utworzyć grupę.
326
6.1.7.1.2 Kreator użytkowników macierzystych
Aby uzyskać dostęp do kreatora użytkowników macierzystych, przejdź do obszaru Administrator > Uprawnienia
dostępu > Użytkownik > Użytkownicy lub użyj opcji Nowy u dołu strony.
327
6.1.7.1.3 Tworzenie użytkownika macierzystego
Aby utworzyć nowego użytkownika macierzystego, na karcie Administrator kliknij kolejno opcje Uprawnienia
dostępu > Użytkownik, a następnie kliknij opcję Użytkownicy lub Nowy u dołu strony.
Podstawowe
Wprowadź nazwę użytkownika i opcjonalnie podaj opis nowego użytkownika.
Uwierzytelnianie
Hasło użytkownika musi zawierać co najmniej 8 znaków. Nazwa użytkownika nie może być częścią hasła.
Konto
Pozostaw zaznaczoną opcję Włączone, chyba że chcesz, by konto było nieaktywne (przygotowane do użytku w
przyszłości).
Opcję Konieczna jest zmiana hasła pozostaw niezaznaczoną (zaznaczenie jej spowoduje wymuszenie na
użytkowniku zmiany hasła przy pierwszym logowaniu do konsoli internetowej ERA).
Opcja Wygaśnięcie hasła służy do określenia przez ile dni hasło zachowuje ważność. Po upływie tego okresu hasło
musi zostać zmienione.
następuje wylogowanie użytkownika z konsoli internetowej.
W polach Pełna nazwa, Kontaktowy adres e-mail i Kontakt telefoniczny można wpisać informacje ułatwiające
identyfikację użytkownika.
Zestaw uprawnień
Tutaj można ustalić kompetencje (uprawnienia) użytkownika. Można wybrać wstępnie zdefiniowane kompetencje:
Podsumowanie
Przejrzyj ustawienia skonfigurowane dla danego użytkownika i kliknij opcję Zakończ, aby utworzyć konto.
328
6.1.7.1.3.1 Tworzenie nowego konta administratora
W celu utworzenia drugiego konta administratora wykonaj działania niezbędne do utworzenia konta użytkownika
macierzystego, a następnie przypisz do tego konta zestaw uprawnień administratora.
6.1.7.1.4 Mapowanie grupy w ramach grupy domen z zabezpieczeniami
Na serwerze ERA można zmapować grupę domen z zabezpieczeniami i umożliwić istniejącym użytkownikom
(należących do grup domen z zabezpieczeniami) korzystanie z konsoli internetowej ERA.
W tym celu należy kliknąć kolejno opcje Administrator > Uprawnienia dostępu > Zmapowane grupy domen z
zabezpieczeniami > Nowa lub po prostu kliknąć opcję Nowa (gdy w widoku drzewa wybrana jest zmapowana grupa
domen z zabezpieczeniami).
Podstawowe
Grupa domen
Wprowadź nazwę grupy, a ponadto możesz wprowadzić opis grupy. Grupa zostanie zdefiniowana przy użyciu
identyfikatora SID grupy (identyfikatora zabezpieczeń). Kliknij opcję Wybierz, aby wybrać grupę z listy, a następnie
kliknij OK w celu potwierdzenia.
Konto
Pozostaw zaznaczoną opcję Włączony, aby uaktywnić użytkownika.
następuje wylogowanie użytkownika z konsoli internetowej.
Pola Kontaktowy adres e-mail oraz Kontakt telefoniczny są opcjonalne i można ich użyć w celu identyfikacji
użytkownika.
Zestaw uprawnień
Tutaj można ustalić kompetencje (uprawnienia) użytkownika. Można użyć wstępnie zdefiniowanych kompetencji:
329
Podsumowanie
Przejrzyj ustawienia skonfigurowane dla danego użytkownika i kliknij opcję Zakończ, aby utworzyć grupę.
6.1.7.1.5 Przypisywanie użytkownika do zestawu uprawnień
Aby przypisać użytkownika do określonego zestawu uprawnień, kliknij kolejno opcje Administrator > Uprawnienia
dostępu > Zestawy uprawnień, a następnie kliknij opcję Edytuj. Więcej szczegółów można znaleźć w części
Zarządzanie zestawami uprawnień.
W części Użytkownicy należy edytować określonego użytkownika, klikając opcję Edytuj... i zaznaczyć pole wyboru
przy określonych uprawnieniach w części Nieprzypisane (dostępne) zestawy uprawnień.
330
6.1.7.2 Zestawy uprawnień
Zestaw uprawnień obejmuje uprawnienia nadawane użytkownikom uzyskującym dostęp do konsoli internetowej
ERA, decydujące o tym, jakie działania użytkownik może wykonać lub co może wyświetlić w konsoli internetowej.
Użytkownicy macierzyści dysponują własnym zestawem uprawnień, natomiast użytkownicy domeny otrzymują
uprawnienia zmapowanej grupy zabezpieczeń, do której należą.
Uprawnienia dotyczące konsoli internetowej ERA są podzielone na kategorie, na przykład Użytkownicy macierzyści,
Certyfikaty, Reguły. W przypadku każdej z funkcji dany zestaw uprawnień może zezwalać na dostęp w trybie Tylko
do odczytu lub Zapis/Wykonanie.
Uprawnienia Tylko do odczytu sprawdzają się w przypadku użytkowników dokonujących audytu. Mogą oni
wyświetlać dane, ale nie mogą wprowadzać zmian.
Użytkownicy z uprawnieniami Zapis/Wykonanie mogą modyfikować odpowiednie obiekty lub je wykonywać (jeśli
to możliwe — wykonywać można na przykład zadania).
Obok uprawnień do funkcji serwera ERA, użytkownikom można udzielić dostępu do grup statycznych. Każdy z
użytkowników może dysponować dostępem do wszystkich grup statycznych lub do podzestawów grup statycznych.
Dysponowanie dostępem do określonej grupy statycznej automatycznie oznacza dostęp do wszystkich jej podgrup.
W tym przypadku:
Uprawnienia dostępu Tylko do odczytu oznacza wyświetlanie listy komputerów.
Uprawnienia Zapis/Wykonanie umożliwiają użytkownikowi manipulowanie komputerami z grupy statycznej, a
także przydzielanie zadań klienta i reguł.
331
6.1.7.2.1 Kreator zestawów uprawnień
W celu dodania nowego zestawu uprawnień kliknij kolejno pozycje Zestawy uprawnień > Nowy lub po prostu Nowy.
332
6.1.7.2.2 Zarządzanie zestawami uprawnień
Aby wprowadzić zmiany w określonym zestawie uprawnień, kliknij go, a następnie kliknij opcję Edytuj. W celu
utworzenia duplikatu zestawu uprawnień, który można modyfikować, kliknij opcję Kopiuj, a następnie przypisz
odpowiedniego użytkownika.
Podstawowe
W polu Nazwa wprowadź nazwę zestawu (ustawienie obowiązkowe). W polu Opis można również wprowadzić opis
zestawu.
Funkcja
Zaznacz poszczególne moduły, do których chcesz udzielić dostępu. Użytkownik o tych kompetencjach będzie miał
dostęp do określonego zadania. Można również użyć opcji Nadaj wszystkim modułom uprawnienie tylko do odczytu
oraz Nadaj wszystkim modułom uprawnienie pełnego dostępu, ale takie kompetencje już istnieją pod nazwami
Kompetencje administratora (pełen dostęp) i Kompetencje przeglądającego (tylko odczyt). Przyznanie uprawnień
do zapisu/wykonania automatycznie przyznaje uprawnienia do odczytu.
Grupy statyczne
Możliwe jest dodanie grupy statycznej (lub większej liczby grup statycznych) o danych kompetencjach (przydzielenie
uprawnień zdefiniowanych w sekcji Moduły), przyznanie wszystkim grupom statycznym uprawnień tylko do odczytu
lub przyznanie wszystkim grupom statycznym uprawnień pełnego dostępu. Dodawać można wyłącznie grupy
statyczne, ponieważ przyznane zestawy uprawnień są ustalone dla określonych użytkowników lub grup.
Użytkownicy
Wszyscy dostępni użytkownicy są wyszczególnieni z lewej strony. Wybierz określonych użytkowników lub wybierz
wszystkich użytkowników przy użyciu przycisku Dodaj wszystkich. Użytkownicy przypisani są wyszczególnieni po
prawej stronie.
Podsumowanie
Przejrzyj ustawienia skonfigurowane w odniesieniu do tych kompetencji i kliknij przycisk Zakończ.
333
6.1.8 Ustawienia serwera
W tej sekcji można skonfigurować określone ustawienia serwera ESET Remote Administrator.
Połączenie
Port Remote Administrator (wymagane jest ponowne uruchomienie!) — jest to port obsługujący połączenie
pomiędzy serwerem ESET Remote Administrator a agentem lub agentami. Wprowadzenie zmian w tej opcji
wymaga ponownego uruchomienia usługi serwera ERA.
Port konsoli internetowej ERA (wymagane jest ponowne uruchomienie!) — port obsługujący połączenie
pomiędzy konsolą internetową a serwerem ERA.
Certyfikat — tutaj można zarządzać certyfikatami. Więcej informacji znajduje się w rozdziale Certyfikaty
równorzędne.
Aktualizacje
Interwał aktualizacji — interwał wyznaczający częstotliwość pobierania aktualizacji. Można wybrać regularny
interwał i skonfigurować ustawienia lub użyć wyrażenia CRON.
Serwer aktualizacji — serwer aktualizacji, z którego serwer ERA pobiera aktualizacje produktów zabezpieczających
oraz komponentów serwera ERA.
Typ aktualizacji — tutaj można wybrać typ aktualizacji, które mają być pobierane. Do wyboru są aktualizacje
regularne, w wersji wstępnej lub opóźnione. Wybieranie opcji aktualizacji w wersji wstępnej nie jest zalecane w
przypadku systemów produkcyjnych, ponieważ wiąże się to z ryzykiem.
Ustawienia zaawansowane
Serwer proxy HTTP — do obsługi połączeń z Internetem można używać serwera proxy.
Serwer SMTP — do obsługi odbierania lub wysyłania różnego rodzaju wiadomości można używać serwera SMTP.
Tutaj można skonfigurować ustawienia serwera SMTP.
Repozytorium — lokalizacja repozytorium, w którym przechowywane są pliki instalacyjne.
Zapisywanie w dzienniku — istnieje możliwość skonfigurowania szczegółowości dziennika i wybrania poziomu
informacji gromadzonych i zapisywanych w dzienniku — od poziomu Śledzenie (informacyjne) do poziomu
Krytyczny (najważniejsze informacje o decydującym znaczeniu).
Czyszczenie bazy danych — tej opcji można używać do regularnego usuwania dzienników, co zapobiega
przeciążaniu bazy danych.
6.1.9 Zarządzanie licencjami
W programie ESET Remote Administrator od wersji 6 używany jest zupełnie nowy system zarządzania licencjami
firmy ESET.
Nazwę użytkownika i hasło zastępuje teraz klucz licencyjny/identyfikator publiczny — klucz licencyjny to unikatowy
ciąg znaków używany do identyfikacji właściciela licencji oraz do samej aktywacji. Identyfikator publiczny to krótki
ciąg znaków używany do identyfikowania licencji przez stronę trzecią (na przykład administratora zabezpieczeń
odpowiedzialnego za dystrybucję jednostek).
Administrator zabezpieczeń to osoba, która zarządza licencjami i nie musi być tożsama z rzeczywistym właścicielem
licencji. Właściciel licencji może przekazać licencję administratorowi zabezpieczeń (upoważnić go), a jeżeli
administrator ją przyjmie, będzie mógł nią zarządzać (wprowadzać zmiany, powiązywać jednostki itp.).
Administrator zabezpieczeń może używać licencji do aktywowania produktów firmy ESET (powiązywania jednostek).
Licencjami można zarządzać zarówno z tego obszaru, jak i przez Internet, po kliknięciu opcji Otwórz narzędzie ELA
(ESET License Administrator) lub przy użyciu interfejsu sieciowego narzędzia ESET License Administrator (informacje
na ten temat można znaleźć w części Administrator zabezpieczeń).
334
Dostęp do obszaru Zarządzanie licencjami w programie ESET Remote Administrator 6 można uzyskać z menu
głównego po wybraniu opcji Administrator > Zarządzanie licencjami.
Licencje można rozsyłać z serwera ERA do produktów zabezpieczających przy użyciu dwóch zadań:
Zadanie Instalacja oprogramowania
Zadanie Aktywacja produktu
Licencje są identyfikowane jako unikatowe poprzez zastosowanie identyfikatorów publicznych. W każdej licencji
widoczne są następujące dane:
nazwa produktu zabezpieczającego, którego dotyczy licencja;
ogólny stan licencji (jeśli licencja wygasła, została nadużyta lub wkrótce może dojść do jej wygaśnięcia albo
nadużycia, tutaj wyświetlana jest wiadomość z ostrzeżeniem);
liczba jednostek, które mogą być aktywowane w ramach danej licencji;
data ważności licencji;
nazwa właściciela licencji oraz jego dane kontaktowe.
335
Synchronizuj licencje
Synchronizacja licencji z narzędziem ESET License Administrator jest przeprowadzana automatycznie raz dziennie.
Jeśli w narzędziu ESET License Administrator zostały wprowadzone zmiany i użytkownik chce, aby aktualne
informacje dotyczące licencji były widoczne w programie ERA od razu, bez czekania na kolejną automatyczną
synchronizację, należy kliknąć przycisk Synchronizuj licencje.
Dodaj licencję lub klucz licencyjny
Należy kliknąć opcję Dodaj licencje, a następnie wybrać metodę, która ma zostać użyta w celu dodania nowych
licencji:
1. Klucz licencyjny — należy wprowadzić klucz licencyjny ważnej licencji i kliknąć opcję Dodaj licencję. Klucz
licencyjny zostanie zweryfikowany na serwerze aktywacji i dodany do listy.
2. Poświadczenia administratora zabezpieczeń — należy połączyć konto administratora zabezpieczeń oraz wszystkie
przypisane do niego licencje z obszarem Zarządzanie licencjami.
3. Plik licencji — należy dodać plik licencji (.lf) i kliknąć opcję Dodaj licencję. Plik licencji zostanie zweryfikowany, a
licencja zostanie dodana do listy.
Usuń licencje
Należy wybrać licencję z powyższej listy i kliknąć tę opcję, aby całkowicie usunąć tę licencję. To działanie będzie
wymagać potwierdzenia. Usunięcie licencji nie powoduje dezaktywacji produktu. Po usunięciu licencji w obszarze
Zarządzanie licencjami ERA produkt ESET nadal jest aktywowany.
336
6.1.9.1 Aktywacja
Przejdź do obszaru Administrator > Zarządzanie licencjami i kliknij opcję Dodaj licencje.
W polu Klucz licencyjny wpisz lub skopiuj i wklej klucz licencyjny otrzymany przy zakupie oprogramowania
zabezpieczającego ESET. Jeśli korzystasz z poświadczeń licencyjnych starszej wersji (nazwy użytkownika i hasła),
przekonwertuj te poświadczenia na klucz licencyjny. Jeśli licencja nie jest zarejestrowana, uruchomiony zostanie
proces rejestracji, który zostanie przeprowadzony na portalu ELA (w oprogramowaniu ERA zostanie
wygenerowany adres URL umożliwiający rejestrację na podstawie pochodzenia licencji).
337
Wprowadź poświadczenia konta administratora zabezpieczeń (w rozwiązaniu ERA zostaną wyświetlone wszystkie
licencje przekazane przy użyciu Menedżera licencji ERA).
Wprowadź Plik licencji offline — należy go wyeksportować przy użyciu portalu ELA i dołączyć do niego informacje
dotyczące produktów, którymi można zarządzać przy pomocy rozwiązania ERA. Podczas generowania pliku licencji
offline w portalu ESET License Administrator należy wprowadzić określony token pliku licencji, gdyż w
przeciwnym razie plik licencji nie zostanie przyjęty przez oprogramowanie ESET Remote Administrator.
338
Kliknij symbol dokumentu , aby zapisać plik licencji offline.
Wróć do okna Zarządzanie licencjami ERA, kliknij pozycję Dodaj licencje, przejdź do pliku licencji offline
wyeksportowanego przy użyciu portalu ELA, a następnie kliknij opcję Prześlij.
339
340
7. Narzędzie diagnostyczne
Narzędzie diagnostyczne jest jednym z komponentów systemu ERA. Służy do gromadzenia i pakowania dzienników
używanych przez programistów przy rozwiązywaniu problemów związanych z komponentami produktu. Należy
uruchomić narzędzie diagnostyczne, wybrać folder główny, w którym zapisywane będą pliki oraz wybrać czynności
do wykonania (więcej informacji poniżej w części Czynności).
Lokalizacja narzędzia diagnostycznego:
System Windows
Folder C:\Program Files\ESET\RemoteAdministrator\<product>\, plik o nazwie Diagnostic.exe.
System Linux
Ścieżka na serwerze: /opt/eset/RemoteAdministrator/<product>/. Jest tam plik wykonywalny o nazwie
Diagnostic<produkt> (jedno słowo, np. DiagnosticServer, DiagnosticAgent).
Czynności
Zrzut dzienników — tworzony jest folder, w którym zapisywane są wszystkie dzienniki.
Zrzut procesów — utworzony zostaje nowy folder. Plik zrzutu procesów jest tworzony w razie wykrycia
problemów. W przypadku wykrycia poważnego problemu system tworzy plik zrzutu. Aby wykonać to działanie
ręcznie, należy przejść do folderu %temp% (w systemie Windows) lub do folderu /tmp/ (w systemie Linux) i
wstawić tam plik dmp.
UWAGA: Usługa (Agent, Proxy, Server, RD Sensor, FileServer) musi być uruchomiona.
Informacje ogólne o aplikacji — tworzony jest folder GeneralApplicationInformation, w którym znajduje się plik
GeneralApplicationInformation.txt. Ten plik zawiera informacje tekstowe, wśród których jest nazwa i wersja
aktualnie zainstalowanego produktu.
Konfiguracja czynności — w miejscu zapisu pliku storage.lua tworzony jest folder konfiguracji.
341
8. Słowniczek
8.1 Typy infekcji
Infekcja oznacza atak szkodliwego oprogramowania, które usiłuje uzyskać dostęp do komputera użytkownika i (lub)
uszkodzić jego zawartość.
8.1.1 Wirusy
Wirus komputerowy to program, który atakuje system i uszkadza pliki znajdujące się na komputerze. Nazwa tego
typu programów pochodzi od wirusów biologicznych, ponieważ stosują one podobne metody przenoszenia się z
jednego komputera na drugi.
Wirusy komputerowe atakują głównie pliki wykonywalne i dokumenty. W celu powielenia wirus dokleja swój kod
na końcu zaatakowanego pliku. Działanie wirusa komputerowego w skrócie przedstawia się następująco: po
uruchomieniu zainfekowanego pliku wirus uaktywnia się (przed aplikacją, do której jest doklejony) i wykonuje
zadanie określone przez jego twórcę. Dopiero wtedy następuje uruchomienie zaatakowanej aplikacji. Wirus nie
może zainfekować komputera, dopóki użytkownik (przypadkowo lub rozmyślnie) nie uruchomi lub nie otworzy
szkodliwego programu.
Wirusy komputerowe różnią się pod względem odgrywanej roli i stopnia stwarzanego zagrożenia. Niektóre z nich są
bardzo niebezpieczne, ponieważ mogą celowo usuwać pliki z dysku twardego. Część wirusów nie powoduje
natomiast żadnych szkód — celem ich działania jest tylko zirytowanie użytkownika i zademonstrowanie
umiejętności programistycznych ich twórców.
Warto zauważyć, że w porównaniu z końmi trojańskimi lub oprogramowaniem spyware wirusy stają się coraz
rzadsze, ponieważ nie przynoszą autorom żadnych dochodów. Ponadto termin „wirus” jest często błędnie używany
w odniesieniu do wszystkich typów programów infekujących system. Taka interpretacja powoli jednak zanika i
stosowane jest nowe, ściślejsze określenie „szkodliwe oprogramowanie”.
Jeśli komputer został zaatakowany przez wirusa, konieczne jest przywrócenie zainfekowanych plików do
pierwotnego stanu, czyli wyleczenie ich przy użyciu programu antywirusowego.
Przykłady wirusów: OneHalf, Tenga i Yankee Doodle.
8.1.2 Robaki
Robak komputerowy jest programem zawierającym szkodliwy kod, który atakuje hosty. Robaki rozprzestrzeniają się
za pośrednictwem sieci. Podstawowa różnica między wirusem a robakiem polega na tym, że ten ostatni potrafi
samodzielnie powielać się i przenosić — nie musi w tym celu korzystać z plików nosicieli ani sektorów rozruchowych
dysku. Robaki rozpowszechniają się przy użyciu adresów e-mail z listy kontaktów oraz wykorzystują luki w
zabezpieczeniach aplikacji sieciowych.
Robaki są przez to znacznie bardziej żywotne niż wirusy komputerowe. Ze względu na powszechność dostępu do
Internetu mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin po opublikowaniu, a w niektórych
przypadkach nawet w ciągu kilku minut. Możliwość szybkiego i niezależnego powielania się powoduje, że są one
znacznie groźniejsze niż inne rodzaje szkodliwego oprogramowania.
Robak uaktywniony w systemie może być przyczyną wielu niedogodności: może usuwać pliki, obniżać wydajność
komputera, a nawet blokować działanie programów. Natura robaka komputerowego predestynuje go do stosowania
w charakterze „środka transportu” dla innych typów szkodliwego oprogramowania.
Jeśli komputer został zainfekowany przez robaka, zaleca się usunięcie zainfekowanych plików, ponieważ
prawdopodobnie zawierają one szkodliwy kod.
Przykłady popularnych robaków: Lovsan/Blaster, Stration/Warezov, Bagle i Netsky.
342
8.1.3 Konie trojańskie
Komputerowe konie trojańskie uznawano dotychczas za klasę wirusów, które udają pożyteczne programy, aby
skłonić użytkownika do ich uruchomienia. Należy jednak koniecznie zauważyć, że było to prawdziwe w odniesieniu
do koni trojańskich starej daty — obecnie nie muszą już one ukrywać swojej prawdziwej natury. Ich jedynym celem
jest jak najłatwiejsze przeniknięcie do systemu i wyrządzenie w nim szkód. Określenie „koń trojański” stało się
bardzo ogólnym terminem używanym w odniesieniu do każdego wirusa, którego nie można zaliczyć do infekcji
innego typu.
W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją często na wiele podkategorii:
Program pobierający (ang. downloader) — szkodliwy program, który potrafi pobierać inne wirusy z Internetu.
Program zakażający (ang. dropper) — rodzaj konia trojańskiego, którego działanie polega na umieszczaniu na
zaatakowanych komputerach szkodliwego oprogramowania innych typów.
Program otwierający furtki (ang. backdoor) — aplikacja, która komunikuje się ze zdalnymi intruzami, umożliwiając
im uzyskanie dostępu do systemu i przejęcie nad nim kontroli.
Program rejestrujący znaki wprowadzane na klawiaturze (ang. keylogger, keystroke logger) — program, który
rejestruje znaki wprowadzone przez użytkownika i wysyła informacje o nich zdalnym intruzom.
Program nawiązujący kosztowne połączenia (ang. dialer) — program mający na celu nawiązywanie połączeń z
kosztownymi numerami telefonicznymi. Zauważenie przez użytkownika nowego połączenia jest prawie
niemożliwe. Programy takie mogą przynosić straty tylko użytkownikom modemów telefonicznych, które nie są już
powszechnie używane.
Konie trojańskie występują zwykle w postaci plików wykonywalnych z rozszerzeniem EXE. Jeśli na komputerze
zostanie wykryty plik uznany za konia trojańskiego, zaleca się jego usunięcie, ponieważ najprawdopodobniej
zawiera szkodliwy kod.
Przykłady popularnych koni trojańskich: NetBus, Trojandownloader. Small.ZL, Slapper
8.1.4 Programy typu rootkit
Programy typu rootkit są szkodliwymi aplikacjami, które przyznają internetowym intruzom nieograniczony dostęp
do systemu operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu do komputera (zwykle z
wykorzystaniem luki w jego zabezpieczeniach) programy typu rootkit używają funkcji systemu operacyjnego, aby
uniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemu
Windows. Z tego powodu wykrycie ich przy użyciu zwykłych technik testowania jest prawie niemożliwe.
Wykrywanie programów typu rootkit odbywa się na dwóch poziomach:
1) Podczas próby uzyskania przez nie dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem są nieaktywne.
Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tym poziomie (przy
założeniu, że rozpoznają takie pliki jako zainfekowane).
2) Gdy są niewidoczne dla zwykłych narzędzi testowych. W programie ESET Remote Administrator zastosowano
technologię Anti-Stealth, która potrafi wykrywać i usuwać także aktywne programy typu rootkit.
343
8.1.5 Adware
Oprogramowanie adware to oprogramowanie utrzymywane z reklam. Do tej kategorii zaliczane są programy
wyświetlające treści reklamowe. Takie aplikacje często automatycznie otwierają okienka wyskakujące z reklamami
lub zmieniają stronę główną w przeglądarce internetowej. Oprogramowanie adware jest często dołączane do
bezpłatnych programów, dzięki czemu ich autorzy mogą pokryć koszty tworzenia tych (zazwyczaj użytecznych)
aplikacji.
Oprogramowanie adware samo w sobie nie jest niebezpieczne — użytkownikom mogą jedynie przeszkadzać
wyświetlane reklamy. Niebezpieczeństwo związane z oprogramowaniem adware polega jednak na tym, że może
ono zawierać funkcje śledzące (podobnie jak oprogramowanie spyware).
Jeśli użytkownik zdecyduje się użyć bezpłatnego oprogramowania, powinien zwrócić szczególną uwagę na jego
program instalacyjny. Podczas instalacji zazwyczaj jest wyświetlane powiadomienie o instalowaniu dodatkowych
programów adware. Często jest dostępna opcja umożliwiająca anulowanie instalacji programu adware i
zainstalowanie programu głównego bez dołączonego oprogramowania tego typu.
W niektórych przypadkach zainstalowanie programu bez dołączonego oprogramowania adware jest niemożliwe lub
powoduje ograniczenie funkcjonalności. Dzięki temu oprogramowanie adware może zostać zainstalowane w
systemie w sposób legalny, ponieważ użytkownik wyraża na to zgodę. W takim przypadku należy kierować się
względami bezpieczeństwa. Jeśli na komputerze wykryto plik rozpoznany jako oprogramowanie adware, zaleca się
jego usunięcie, ponieważ zachodzi duże prawdopodobieństwo, że zawiera on szkodliwy kod.
8.1.6 Spyware
Do tej kategorii należą wszystkie aplikacje, które przesyłają prywatne informacje bez zgody i wiedzy użytkownika.
Korzystają one z funkcji śledzących w celu wysyłania różnych danych statystycznych, na przykład listy odwiedzonych
witryn internetowych, adresów e-mail z listy kontaktów użytkownika lub listy znaków wprowadzanych za pomocą
klawiatury.
Twórcy oprogramowania spyware twierdzą, że te techniki mają na celu uzyskanie pełniejszych informacji o
potrzebach i zainteresowaniach użytkowników oraz umożliwiają trafniejsze kierowanie reklam do odbiorców.
Problem polega jednak na tym, że nie ma wyraźnego rozgraniczenia między pożytecznymi a szkodliwymi aplikacjami
i nikt nie może mieć pewności, czy gromadzone informacje nie zostaną wykorzystane w niedozwolony sposób. Dane
pozyskiwane przez spyware mogą obejmować kody bezpieczeństwa, kody PIN, numery kont bankowych itd.
Aplikacja spyware jest często umieszczana w bezpłatnej wersji programu przez jego autora w celu uzyskania
środków pieniężnych lub zachęcenia użytkownika do nabycia wersji komercyjnej. Nierzadko użytkownicy są podczas
instalacji programu informowani o obecności oprogramowania spyware, co ma ich skłonić do zakupu pozbawionej
go wersji płatnej.
Przykładami popularnych bezpłatnych produktów, do których dołączone jest takie oprogramowanie, są aplikacje
klienckie sieci P2P (ang. peer-to-peer). Programy Spyfalcon i Spy Sheriff (oraz wiele innych) należą do szczególnej
podkategorii oprogramowania spyware. Wydają się zapewniać przed nim ochronę, ale w rzeczywistości same są
takimi programami.
Jeśli na komputerze zostanie wykryty plik rozpoznany jako spyware, zaleca się jego usunięcie, ponieważ z dużym
prawdopodobieństwem zawiera on szkodliwy kod.
8.1.7 Potencjalnie niebezpieczne aplikacje
Istnieje wiele legalnych programów, które ułatwiają administrowanie komputerami połączonymi w sieć. Jednak w
niewłaściwych rękach mogą one zostać użyte do wyrządzania szkód. Program ESET Remote Administrator zawiera
narzędzia pozwalające wykrywać takie zagrożenia.
„Potencjalnie niebezpieczne aplikacje” to kategoria, do której należą niektóre legalne programy komercyjne. Są to
m.in. narzędzia do dostępu zdalnego, programy do łamania haseł i programy rejestrujące znaki wprowadzane na
klawiaturze.
W przypadku wykrycia działającej na komputerze potencjalnie niebezpiecznej aplikacji, która nie została
zainstalowana świadomie przez użytkownika, należy skonsultować się z administratorem sieci lub usunąć ją.
344
8.1.8 Potencjalnie niepożądane aplikacje
Aplikacje potencjalnie niepożądane nie musiały być świadomie projektowane w złych intencjach, ale ich stosowanie
może w jakimś stopniu obniżać wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga zgody
użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed instalacją. Najbardziej
mogą się rzucać w oczy następujące zmiany:
otwieranie nowych, nieznanych okien;
aktywacja i uruchamianie ukrytych procesów;
zwiększone wykorzystanie zasobów systemowych;
zmiany w wynikach wyszukiwania;
komunikacja aplikacji z serwerami zdalnymi.
345
9. Często zadawane pytania
P: Dlaczego instalujemy środowisko Java na serwerze? Czy nie powoduje to zagrożenia bezpieczeństwa?
O: Działanie konsoli internetowej ERA wymaga środowiska Java. Java to standard branżowy związany z obsługą
konsol internetowych. Do obsługi konsoli internetowej ERA wymagane jest wprawdzie środowisko Java co najmniej
w wersji 7, jednak zdecydowanie zalecamy korzystanie z najnowszej oficjalnie opublikowanej wersji środowiska
Java.
P: W dzienniku śledzenia trace.log narzędzia ESET Rogue Detector stale zapisywany jest następujący komunikat o
błędzie: 2015-02-25 18:55:04 Inf ormacj e: CPCAPDeviceSnif f er [Thread 764]: Element CPCAPDeviceSnif f er w lokalizacj i
rpcap://\Device\NPF_{2BDB8A61-FFDA-42FC-A883-CDAF6D129C6B} zgłosił błąd: Otwarcie urządzenia nie powiodło
się, błąd:Błąd podczas otwierania karty: System nie może znaleźć podanego urządzenia. (20)
O: Ten problem dotyczy programu WinPcap. Zatrzymaj usługę ESET Rogue Detector Sensor, zainstaluj ponownie
najnowszą wersję programu WinPcap (co najmniej wersję 4.1.0) i uruchom ponownie usługę ESET Rogue Detector
Sensor.
P: Jak w prosty sposób znaleźć numer portu serwera SQL?
O: Numer portu serwera SQL można ustalić na kilka sposobów. Najlepszy wynik można uzyskać poprzez użycie
narzędzia Menedżer konfiguracji programu SQL Server. Na poniższym przykładzie przedstawiono, gdzie można
znaleźć tę informacje w oknie Menedżera konfiguracji programu SQL Server:
P: Po zainstalowaniu oprogramowania SQL Express 2008 (dołączonego do pakietu ERA) w systemie Windows Server
2012 zdaje się, że nasłuch nie odbywa się na standardowym porcie SQL.
O: Nasłuch odbywa się najprawdopodobniej na porcie innym niż domyślny port 1433.
P: Jak skonfigurować program MySQL, by przyjmował większe pakiety?
O: Należy odnaleźć plik konfiguracyjny MySQL (my.ini dla systemu Windows oraz my.cnf dla systemu Linux, a
dokładna lokalizacja pliku ini może być różna w różnych systemach operacyjnych), otworzyć ten plik i znaleźć sekcję
[mysqld] . Następnie należy dodać nowy wiersz o następującej treści: max_allowed_packet=33M (wartość powinna
wynosić co najmniej 33M).
346
P: Jak utworzyć bazę danych serwera ERA w przypadku samodzielnej instalacji programu SQL?
O: Nie trzeba tego robić. Baza danych jest tworzona przez instalator Server.msi , a nie przez instalator
oprogramowania ERA. W celu uproszczenia procedury do pakietu dołączono instalator oprogramowania ERA, który
instaluje serwer SQL, po czym baza danych zostaje utworzona przez instalator server.msi.
P: Czy instalator ERA serwera umożliwia utworzenie nowej bazy danych w ramach istniejącej instalacji serwera SQL
w przypadku podania prawidłowych danych połączenia z serwerem SQL oraz poświadczeń? Możliwość obsługi
różnych wersji programu SQL Server (2008, 2014 itd.) byłaby udogodnieniem.
O: Baza danych jest tworzona przez instalator Server.msi, zatem odpowiedź brzmi tak: utworzenie bazy danych
serwera ERA w osobno zainstalowanych instancjach programu SQL Server jest możliwe. Obsługiwane wersje
oprogramowania SQL Server to 2008, 2012 i 2014.
P: Dlaczego w instalatorze serwera ERA używany jest serwer SQL w wersji 2008 R2?
O: Używany jest serwer SQL w wersji 2008 R2, ponieważ firma Microsoft deklaruje zgodność tego typu bazy danych z
systemem Windows XP oraz nowszymi systemami operacyjnymi.
P: Co zrobić, jeśli podczas instalacji MSSQL pojawi się kod błędu: -2068052081 ?
O: Należy uruchomić komputer ponownie i jeszcze raz przeprowadzić instalację. Jeśli problem nie ustąpił, należy
odinstalować macierzystego klienta serwera SQL i ponownie uruchomić program instalacyjny. Jeśli nie rozwiązało to
problemu, należy odinstalować wszystkie produkty Microsoft SQL Server, uruchomić ponownie komputer i
ponownie uruchomić instalację.
P: Co zrobić, jeśli podczas instalacji MSSQL pojawi się kod błędu: -2067922943 ?
O: Należy sprawdzić, czy system spełnia wszystkie wymagania dotyczące bazy danych dla oprogramowania ERA.
P: Jeśli instalacja przeprowadzana jest na istniejącym serwerze SQL, to czy na tym serwerze SQL powinien być
używany domyślnie wbudowany tryb uwierzytelniania Windows?
O: Nie, ponieważ tryb uwierzytelniania Windows może być wyłączony na serwerze SQL i jedynym sposobem
logowania, z którego należy korzystać jest uwierzytelnianie serwera SQL (wprowadzanie nazwy użytkownika i
hasła). Należy korzystać z uwierzytelniania serwera SQL lub z trybu mieszanego. W przypadku ręcznego instalowania
programu SQL Server zalecane jest utworzenie hasła głównego do serwera SQL (nazwa użytkownika głównego to
„sa” i jest to skrót od słów „security admin”, czyli administrator zabezpieczeń) i zapisanie go w bezpiecznym miejscu.
Hasło główne może być potrzebne przy uaktualnianiu serwera ERA.
P: Instalator oprogramowania ERA zasygnalizował konieczność zainstalowania aplikacji Microsoft .NET Framework
3.5 (http://www.microsoft.com/en-us/download/details.aspx?id=21), jednak nie udało się tego zrobić w nowo
zainstalowanym systemie Windows Server 2012 R2 z dodatkiem SP1.
O: Nie można użyć tego instalatora w systemie Windows Server 2012 ze względu na zasady zabezpieczeń stosowane
w systemie Windows Server 2012. Aplikację Microsoft .NET Framework należy zainstalować przy użyciu Kreatora ról i
funkcji.
P: W systemie zainstalowana była już aplikacja Microsoft .NET Framework 4.5. Konieczne było skorzystanie z
Kreatora ról i funkcji w celu dodania wersji .NET 3.5. Dlaczego nie można korzystać z wersji 4.5?
O: Ponieważ program .NET 4.5 nie jest zgodny z poprzednią wersją .NET 3.5, co jest warunkiem koniecznym dla
instalatora programu SQL Server.
P: Trudno jest stwierdzić, czy instalacja serwera SQL jest w toku. W jaki sposób sprawdzić co się dzieje, jeśli instalacja
trwa dłużej niż 10 minut?
O: Instalacja serwera SQL może, w rzadkich przypadkach, zająć nawet do 1 godziny. Czas instalacji zależy od
wydajności systemu.
P: Jak zresetować hasło administratora konsoli internetowej (wprowadzone podczas konfiguracji)?
O: Hasło można zresetować poprzez uruchomienie instalatora serwera i wybranie opcji Napraw. Potrzebne może być
jednak hasło do bazy danych serwera ERA, jeśli podczas tworzenia bazy danych nie został użyty tryb uwierzytelniania
Windows.
UWAGA: Należy zachować ostrożność, ponieważ niektóre opcje naprawy mogą spowodować usunięcie zapisanych
danych.
347
P: Jakiego formatu powinien być plik przeznaczony do zaimportowania na serwer ERA, zawierający listę
komputerów, które mają zostać dodane?
O: Ten plik powinien zawierać następujące wiersze:
Wszystkie\Grupa_1\Grupa_N\Komputer_1
Wszystkie\Grupa_1\Grupa_M\Komputer_X
Wszystkie to wymagana nazwa grupy głównej.
348
10. ESET Remote Administrator — informacje
W tym oknie znajdują się szczegółowe informacje o zainstalowanej wersji oprogramowania ESET Remote
Administrator oraz lista zainstalowanych modułów programu. W górnej części okna znajdują się informacje na temat
systemu operacyjnego i zasobów systemowych.
349
11. Umowa Licencyjna Użytkownika Końcowego (EULA)
WAŻNE: Przed pobraniem, zainstalowaniem, skopiowaniem lub użyciem Oprogramowania należy się dokładnie
zapoznać z poniższymi warunkami korzystania z produktu. POBRANIE, ZAINSTALOWANIE, SKOPIOWANIE LUB UŻYCIE
OPROGRAMOWANIA OZNACZA WYRAŻENIE ZGODY NA TE WARUNKI KORZYSTANIA Z PRODUKTU.
Umowa licencyjna użytkownika końcowego oprogramowania
Niniejsza Umowa licencyjna użytkownika końcowego oprogramowania (w dalszej części nazywana „Umową”),
zawierana między spółką ESET, spol. s r. o., z siedzibą w Słowacji pod adresem Einsteinova 24, 851 01 Bratislava,
zarejestrowaną w Rejestrze Handlowym Sądu Rejonowego dla okręgu Bratislava I, w sekcji Sro pod numerem 3586/
B, numer w rejestrze przedsiębiorców: 31 333 535, lub między inną spółką wchodzącą w skład grupy ESET Group
(w dalszej części nazywaną „firmą ESET” lub „Dostawcą”) a licencjobiorcą, który jest osobą fizyczną lub prawną
(w dalszej części nazywanym „Licencjobiorcą” lub „Użytkownikiem końcowym”), uprawnia Licencjobiorcę do
korzystania z Oprogramowania określonego w punkcie 1 niniejszej Umowy. Oprogramowanie określone w punkcie 1
niniejszej Umowy może znajdować się na nośniku danych albo zostać przesłane pocztą elektroniczną, pobrane
z Internetu, pobrane z serwerów Dostawcy lub uzyskane z innych źródeł na warunkach wyszczególnionych poniżej.
NINIEJSZA UMOWA DOTYCZY WYŁĄCZNIE OKREŚLENIA PRAW UŻYTKOWNIKA KOŃCOWEGO I NIE STANOWI UMOWY
SPRZEDAŻY. Dostawca pozostaje właścicielem kopii Oprogramowania i nośnika fizycznego zawartego w opakowaniu
z produktem, a także wszystkich innych kopii Oprogramowania, które Użytkownik końcowy może wykonać zgodnie z
niniejszą Umową.
Kliknięcie opcji „Akceptuję” w trakcie pobierania, instalowania, kopiowania lub używania Oprogramowania oznacza,
że Licencjobiorca wyraża zgodę na warunki określone w niniejszej Umowie. Jeśli Licencjobiorca nie wyraża zgody na
którykolwiek warunek określony w niniejszej Umowie, powinien niezwłocznie kliknąć opcję „Nie akceptuję” oraz
anulować pobieranie lub instalację albo zniszczyć Oprogramowanie, nośnik instalacyjny, dokumentację towarzyszącą
Oprogramowaniu i dowód sprzedaży Oprogramowania bądź zwrócić je do firmy ESET lub w miejscu zakupu
Oprogramowania.
LICENCJOBIORCA PRZYJMUJE DO WIADOMOŚCI, ŻE KORZYSTANIE Z OPROGRAMOWANIA OZNACZA ZAPOZNANIE SIĘ Z
NINIEJSZĄ UMOWĄ, ZROZUMIENIE WARUNKÓW W NIEJ OKREŚLONYCH ORAZ ZOBOWIĄZANIE DO ICH
PRZESTRZEGANIA.
1. Oprogramowanie. Termin „Oprogramowanie” używany w niniejszej Umowie oznacza: (i) program komputerowy
ESET Remote Administrator i wszystkie jego składniki; (ii) całą zawartość dysków, płyt CD-ROM i płyt DVD,
wiadomości e-mail wraz z ich załącznikami oraz innych nośników, do których jest dołączona niniejsza Umowa, w tym
Oprogramowanie w formie kodu obiektowego dostarczone na nośniku danych albo za pośrednictwem poczty
elektronicznej lub Internetu; (iii) wszelkie powiązane drukowane materiały instruktażowe oraz wszelką inną
dokumentację powiązaną z Oprogramowaniem, w tym przede wszystkim wszelkie opisy Oprogramowania, jego
dane techniczne, wszelkie opisy jego właściwości lub działania, wszelkie opisy środowiska operacyjnego, w którym
Oprogramowanie jest używane, instrukcje obsługi lub instalacji Oprogramowania oraz wszelkie opisy sposobu
korzystania z Oprogramowania (w dalszej części nazywane „Dokumentacją”); (iv) wszelkie ewentualne kopie
Oprogramowania, poprawki możliwych błędów Oprogramowania, dodatki do Oprogramowania, rozszerzenia
Oprogramowania, zmodyfikowane wersje Oprogramowania oraz aktualizacje składników Oprogramowania, na które
Dostawca udziela Licencjobiorcy licencji zgodnie z zapisami w punkcie 3 niniejszej Umowy. Oprogramowanie jest
dostarczane wyłącznie w postaci wykonywalnego kodu obiektowego.
2. Instalacja. Oprogramowanie dostarczone na nośniku danych, otrzymane za pośrednictwem poczty elektronicznej,
pobrane z Internetu, pobrane z serwerów Dostawcy lub uzyskane z innych źródeł musi zostać zainstalowane.
Oprogramowanie należy zainstalować na prawidłowo skonfigurowanym komputerze, który spełnia minimalne
wymagania określone w Dokumentacji. Procedurę instalacji również opisano w Dokumentacji. Na komputerze, na
którym zostanie zainstalowane Oprogramowanie, nie można instalować sprzętu komputerowego ani programów
komputerowych, które mogłyby niekorzystnie wpłynąć na Oprogramowanie.
3. Licencja. Dostawca udziela Licencjobiorcy praw określonych poniżej (w dalszej części nazywanych zbiorczo
„Licencją”), jeśli Licencjobiorca zobowiązał się przestrzegać i przestrzega wszelkich warunków określonych
w niniejszej Umowie oraz w stosownym terminie uiścił opłatę licencyjną:
350
a) Instalacja i użycie. Licencjobiorcy przysługują niewyłączne, nieprzenoszalne prawa do zainstalowania
Oprogramowania na dysku twardym komputera lub na innym nośniku do trwałego przechowywania danych, do
zainstalowania i przechowywania Oprogramowania w pamięci systemu komputerowego oraz do
zaimplementowania, przechowywania i wyświetlania Oprogramowania.
b) Postanowienia w sprawie liczby Licencji. Prawo do korzystania z Oprogramowania w ramach jednej Licencji jest
ograniczone do jednego Użytkownika końcowego. Jeden Użytkownik końcowy oznacza: (i) instalację
Oprogramowania na jednym systemie komputerowym lub, jeśli liczba Licencji zależy od liczby skrzynek pocztowych,
(ii) użytkownika komputera, który odbiera pocztę elektroniczną za pośrednictwem klienta poczty elektronicznej.
Jeśli do klienta poczty elektronicznej dociera poczta elektroniczna, która jest następnie automatycznie
dystrybuowana do innych użytkowników, liczbę Użytkowników końcowych stanowi liczba wszystkich użytkowników,
do których jest dostarczana poczta. Jeśli serwer poczty pełni funkcję bramy pocztowej, liczba Użytkowników
końcowych jest równa liczbie użytkowników serwera poczty, którzy są obsługiwani przez tę bramę. Jeśli jeden
użytkownik odbiera pocztę przesyłaną na różne adresy e-mail (na przykład za pośrednictwem usługi aliasów),
a liczba tych adresów jest nieokreślona i wiadomości nie są automatycznie dystrybuowane przez klienta poczty
elektronicznej do większej liczby użytkowników, wymagana jest licencja na jednego użytkownika komputera.
Z jednej Licencji można korzystać każdorazowo tylko na jednym komputerze.
c) Wersja Business Edition. W przypadku zamiaru zainstalowania i użycia Oprogramowania na serwerze poczty,
w systemie przekazywania wiadomości e-mail lub w połączeniu z bramą pocztową bądź internetową wymagane jest
nabycie wersji Business Edition Oprogramowania.
d) Okres obowiązywania Licencji. Prawo do korzystania z Oprogramowania jest ograniczone w czasie.
e) Oprogramowanie dostarczone przez producenta urządzenia (OEM). Prawo do korzystania z Oprogramowania,
które zostało dostarczone przez producenta zakupionego urządzenia (OEM, Original Equipment Manufacturer), jest
ograniczone do tego urządzenia. Prawa tego nie można przenosić na inne urządzenia.
f) Oprogramowanie w wersji próbnej lub nieprzeznaczonej do obrotu handlowego. Nie można pobierać opłat za
korzystanie z Oprogramowania, które jest oznaczone napisem „Not for resale” lub „NFR” (Nie do sprzedaży) albo
„TRIAL” (Wersja próbna). Oprogramowanie takie jest przeznaczone wyłącznie do prezentacji lub testowania jego
funkcji.
g) Wygaśnięcie Licencji. Licencja wygasa automatycznie po upływie okresu jej obowiązywania. Jeśli Licencjobiorca
naruszył którekolwiek z postanowień niniejszej Umowy, Dostawca jest uprawniony do rozwiązania niniejszej
Umowy oraz do wykonania wszelkich innych praw i zastosowania wszelkich innych środków prawnych
przysługujących mu w takiej sytuacji. W razie anulowania Licencji Licencjobiorca musi natychmiast usunąć lub
zniszczyć Oprogramowanie i wszystkie jego kopie zapasowe lub zwrócić je na własny koszt do firmy ESET bądź
w miejscu zakupu Oprogramowania.
4. Połączenie z Internetem. Aby Oprogramowanie działało poprawnie, wymagane jest stałe połączenie z Internetem
oraz regularne połączenia z serwerami Dostawcy lub z serwerami innych firm. Połączenie z Internetem jest
niezbędne do obsługi następujących funkcji Oprogramowania:
a) Aktualizacje Oprogramowania. Dostawca jest uprawniony do wprowadzania w Oprogramowaniu zmian w formie
aktualizacji (w dalszej części nazywanych „Aktualizacjami”), przy czym nie jest on ograniczony żadnymi terminami
wprowadzenia takich zmian ani nie jest zobowiązany do ich wprowadzenia. Funkcja Aktualizacji jest domyślnie
włączona w ustawieniach standardowych Oprogramowania, dlatego Aktualizacje są instalowane automatycznie,
o ile Użytkownik końcowy nie zmienił ustawienia automatycznego instalowania Aktualizacji.
351
b) Przekazywanie szkodliwego oprogramowania i informacji o komputerze do Dostawcy. Oprogramowanie jest
wyposażone w funkcję, która umożliwia gromadzenie próbek nowych wirusów komputerowych i innych szkodliwych
programów komputerowych, jak również podejrzanych lub problematycznych plików (w dalszej części nazywanych
„Szkodliwym oprogramowaniem”), a następnie ich przesyłanie do Dostawcy wraz z informacjami na temat
komputera i/lub platformy, na których Oprogramowanie jest zainstalowane (w dalszej części nazywanymi
„Informacjami”). Informacje mogą obejmować dane Użytkownika końcowego (w tym jego dane osobowe) i/lub
dane innych użytkowników komputera, na którym zainstalowano Oprogramowanie, informacje na temat tego
komputera oraz na temat systemu operacyjnego i programów zainstalowanych na tym komputerze, a także pliki
z tego komputera, pliki uszkodzone przez Szkodliwe oprogramowanie i informacje o takich plikach. Dostawca może
wykorzystać otrzymane Szkodliwe oprogramowanie oraz Informacje tylko w celu analizy Szkodliwego
oprogramowania i jest zobowiązany do podjęcia stosownych środków gwarantujących zachowanie poufności
Informacji. Zaakceptowanie niniejszej Umowy oraz włączenie opisanej wyżej funkcji Oprogramowania oznacza, że
Licencjobiorca wyraża zgodę na przesyłanie Szkodliwego oprogramowania i Informacji do Dostawcy, a także udziela
Dostawcy zezwolenia na przetwarzanie przesłanych Informacji, które to zezwolenie jest wymagane stosownymi
przepisami prawnymi.
5. Wykonywanie praw Użytkownika końcowego. Licencjobiorca może wykonywać swoje prawa wyłącznie osobiście
lub za pośrednictwem swoich pracowników. Licencjobiorca może korzystać z Oprogramowania wyłącznie w celu
zapewnienia ciągłości swojej działalności gospodarczej i w celu zabezpieczenia systemów komputerowych, na które
uzyskał Licencje.
6. Ograniczenie praw. Licencjobiorca nie może kopiować, rozpowszechniać ani wyodrębniać składników
Oprogramowania, jak również nie może tworzyć produktów na podstawie Oprogramowania (nie może wykonywać
dzieł pochodnych). Korzystając z Oprogramowania, Licencjobiorca musi przestrzegać następujących ograniczeń:
(a) Licencjobiorca może wykonać jedną kopię Oprogramowania na nośniku przeznaczonym do trwałego
przechowywania danych i przechowywać tę kopię w charakterze archiwalnej kopii zapasowej, tj. nie może
zainstalować ani użyć takiej kopii na żadnym komputerze. Wszelkie inne kopie Oprogramowania wykonane przez
Licencjobiorcę stanowią naruszenie warunków określonych w niniejszej Umowie.
(b) Licencjobiorca nie może używać, modyfikować, tłumaczyć ani odtwarzać Oprogramowania ani jego kopii w
sposób inny niż wyszczególniony w niniejszej Umowie.
(c) Licencjobiorca nie może sprzedawać Oprogramowania, udzielać na nie podlicencji, oddawać go w użytkowanie,
wypożyczać go innym osobom ani pożyczać go od innych osób, a także nie może używać Oprogramowania w celu
świadczenia usług o charakterze dochodowym.
(d) Licencjobiorca nie może podejmować prób odtworzenia kodu źródłowego Oprogramowania na drodze
dekompilacji lub dezasemblacji ani w żaden inny sposób, chyba że pozwalają mu na to przepisy, które w stosownym
zakresie wyraźnie znoszą niniejsze postanowienie.
(e) Licencjobiorca zobowiązuje się używać Oprogramowania w sposób zgodny z wszelkimi przepisami, które mają
zastosowanie do Oprogramowania ze względu na właściwość terytorialną Licencjobiorcy, w tym między innymi ze
stosownymi ograniczeniami dotyczącymi prawa autorskiego i innych praw własności intelektualnej.
7. Prawo autorskie. Oprogramowanie i wszystkie prawa z nim związane, w tym między innymi prawa własności
i prawa własności intelektualnej do Oprogramowania, należą do firmy ESET i/lub jej licencjodawców. Prawa te
gwarantują zapisy traktatów międzynarodowych oraz wszelkie właściwe przepisy ustawowe obowiązujące w kraju,
w którym jest używane Oprogramowanie. Struktura Oprogramowania, sposób jego zorganizowania i kod w nim
zawarty są cennymi tajemnicami handlowymi oraz informacjami poufnymi firmy ESET i/lub jej licencjodawców.
Licencjobiorca nie może kopiować Oprogramowania poza okolicznościami opisanymi w punkcie 6(a). Wszelkie kopie
utworzone przez Licencjobiorcę zgodnie z niniejszą Umową muszą zawierać te same informacje o prawie autorskim
i innych prawach własności, które znajdują się w Oprogramowaniu. Licencjobiorca niniejszym przyjmuje do
wiadomości, że w razie naruszenia postanowień niniejszej Umowy przez podjęcie próby odtworzenia kodu
źródłowego Oprogramowania na drodze dekompilacji lub dezasemblacji albo w inny sposób, prawa do wszelkich
informacji uzyskanych przez Licencjobiorcę w wyniku podjęcia takiej próby zostaną uznane za automatycznie
i nieodwołalnie przeniesione w całości na Dostawcę już w momencie powstania takich informacji i to niezależnie od
praw przysługujących Dostawcy w związku z naruszeniem przez Licencjobiorcę warunków określonych w niniejszej
Umowie.
352
8. Zastrzeżenie praw. Dostawca niniejszym zastrzega sobie wszelkie prawa do Oprogramowania, z wyjątkiem praw
wyraźnie udzielonych Licencjobiorcy (występującemu w charakterze Użytkownika końcowego) na podstawie
niniejszej Umowy.
9. Różne wersje językowe, Oprogramowanie obsługujące wiele urządzeń i wiele kopii Oprogramowania. Jeśli
Oprogramowanie może obsługiwać wiele platform lub języków bądź jeśli Licencjobiorca uzyskał wiele kopii
Oprogramowania, Oprogramowania można używać tylko na tych systemach komputerowych i w tych wersjach, na
które Licencjobiorca uzyskał Licencje. Licencjobiorca nie może sprzedawać wersji ani kopii Oprogramowania, których
nie używa, jak również nie może ich oddawać w użytkowanie, udzielać na nie podlicencji, wypożyczać ich ani
przenosić do nich praw na inne osoby.
10. Rozpoczęcie i zakończenie obowiązywania Umowy. Niniejsza Umowa wchodzi w życie z datą wyrażenia przez
Licencjobiorcę zgody na warunki określone w tej Umowie. Licencjobiorca może rozwiązać niniejszą Umowę
w dowolnej chwili przez trwałe odinstalowanie i zniszczenie Oprogramowania, wszystkich jego kopii zapasowych
i wszelkich powiązanych materiałów dostarczonych przez Dostawcę lub jego partnerów handlowych bądź przez
zwrócenie tych produktów na własny koszt. Bez względu na powód rozwiązania niniejszej Umowy po zakończeniu
jej obowiązywania nadal obowiązują postanowienia zawarte w punktach 7, 8, 11, 13, 20 i 22.
11. OŚWIADCZENIA UŻYTKOWNIKA KOŃCOWEGO. LICENCJOBIORCA (WYSTĘPUJĄCY W CHARAKTERZE UŻYTKOWNIKA
KOŃCOWEGO) PRZYJMUJE OPROGRAMOWANIE W STANIE TAKIM, W JAKIM ZOSTAŁO MU ONO DOSTARCZONE, BEZ
JAKICHKOLWIEK WYRAŹNYCH LUB DOROZUMIANYCH GWARANCJI, O ILE PRAWO WŁAŚCIWE TEGO NIE ZABRANIA. ANI
DOSTAWCA, ANI JEGO LICENCJODAWCY CZY PODMIOTY STOWARZYSZONE, ANI WŁAŚCICIELE STOSOWNYCH PRAW
AUTORSKICH NIE UDZIELAJĄ ŻADNYCH WYRAŹNYCH ANI DOROZUMIANYCH GWARANCJI, W TYM MIĘDZY INNYMI
GWARANCJI PRZYDATNOŚCI HANDLOWEJ LUB PRZYDATNOŚCI DO OKREŚLONEGO CELU, JAK RÓWNIEŻ NIE
GWARANTUJĄ, ŻE OPROGRAMOWANIE NIE BĘDZIE NARUSZAĆ PRAW PATENTOWYCH, PRAW AUTORSKICH, PRAW DO
ZNAKÓW TOWAROWYCH ANI INNYCH PRAW OSÓB TRZECICH. ANI DOSTAWCA, ANI ŻADNA INNA OSOBA NIE
GWARANTUJE, ŻE FUNKCJE OPROGRAMOWANIA SPEŁNIAJĄ WYMAGANIA LICENCJOBIORCY LUB ŻE DZIAŁANIE
OPROGRAMOWANIA BĘDZIE NIEZAKŁÓCONE I POZBAWIONE BŁĘDÓW. LICENCJOBIORCA BIERZE NA SIEBIE WSZELKĄ
ODPOWIEDZIALNOŚĆ ZA DOBÓR OPROGRAMOWANIA ODPOWIEDNIEGO DO OSIĄGNIĘCIA CELÓW LICENCJOBIORCY
ORAZ ZA PRZEPROWADZENIE INSTALACJI OPROGRAMOWANIA, ZA JEGO UŻYCIE I ZA WYNIKI TEGO UŻYCIA.
12. Brak innych zobowiązań. W niniejszej Umowie określono wszystkie zobowiązania Dostawcy i jego
licencjodawców.
13. OGRANICZENIE ODPOWIEDZIALNOŚCI. O ILE PRAWO WŁAŚCIWE TEGO NIE ZABRANIA, ANI DOSTAWCA, ANI JEGO
PRACOWNICY CZY LICENCJODAWCY NIE PONOSZĄ ŻADNEJ ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK UTRATY ZYSKÓW,
PRZYCHODÓW, ŹRÓDEŁ PRZYCHODÓW LUB DANYCH, SZKODY MAJĄTKOWE LUB OBRAŻENIA CIAŁA, ZAKŁÓCENIA
DZIAŁALNOŚCI PRZEDSIĘBIORSTWA, UTRATY DANYCH HANDLOWYCH CZY JAKIEKOLWIEK SZKODY SZCZEGÓLNE,
BEZPOŚREDNIE, POŚREDNIE, UBOCZNE, GOSPODARCZE, MORALNE LUB WYNIKOWE, JAK RÓWNIEŻ NIE BĘDĄ PONOSIĆ
KOSZTÓW NABYCIA ZASTĘPCZYCH TOWARÓW LUB USŁUG ANI POKRYWAĆ RÓŻNIC MIĘDZY CENAMI
KONTRAKTOWYMI A CENAMI TRANSAKCJI. ZASTRZEŻENIE OKREŚLONE W POWYŻSZYM ZDANIU MA ZASTOSOWANIE
BEZ WZGLĘDU NA PRZYCZYNĘ POWSTANIA SZKODY I NA TO, CZY EWENTUALNE ROSZCZENIE ZOSTAŁO ZGŁOSZONE NA
PODSTAWIE UMOWY, PRZEPISÓW O CZYNACH NIEDOZWOLONYCH, PRZEPISÓW DOTYCZĄCYCH ZANIEDBAŃ CZY NA
JAKIEJKOLWIEK INNEJ PODSTAWIE ORAZ CZY ZOSTAŁO ONO ZGŁOSZONE W ZWIĄZKU Z UŻYCIEM, CZY
Z NIEMOŻNOŚCIĄ UŻYCIA OPROGRAMOWANIA. ZASTRZEŻENIE TO MA ZASTOSOWANIE TAKŻE WÓWCZAS, GDY
DOSTAWCA LUB JEGO LICENCJODAWCY BĄDŹ PODMIOTY STOWARZYSZONE ZOSTALI POWIADOMIENI O MOŻLIWOŚCI
WYSTĄPIENIA DANEJ SZKODY. W PRZYPADKU JURYSDYKCJI, KTÓRE NIE ZEZWALAJĄ NA WYŁĄCZENIE
ODPOWIEDZIALNOŚCI ODSZKODOWAWCZEJ, LECZ DOPUSZCZAJĄ JEJ OGRANICZENIE, ODPOWIEDZIALNOŚĆ
DOSTAWCY, JEGO PRACOWNIKÓW, LICENCJODAWCÓW LUB PODMIOTÓW STOWARZYSZONYCH JEST OGRANICZONA
DO KWOTY ZAPŁACONEJ PRZEZ LICENCJOBIORCĘ ZA LICENCJĘ.
14. Jeśli którekolwiek postanowienie niniejszej Umowy jest sprzeczne z ustawowymi prawami konsumenckimi
jakiejkolwiek osoby, postanowienie to nie może być interpretowane w sposób naruszający te prawa.
353
15. Pomoc techniczna. Usługi pomocy technicznej świadczą wedle własnego uznania i bez udzielania jakichkolwiek
gwarancji firma ESET lub inne firmy, którym firma ESET zleca świadczenie takich usług. Przed skorzystaniem z usługi
pomocy technicznej Użytkownik końcowy musi utworzyć kopię zapasową wszystkich istniejących danych,
programów i aplikacji. Ani firma ESET, ani inne firmy, którym firma ESET zleca świadczenie usług pomocy
technicznej, nie mogą wziąć na siebie odpowiedzialności za uszkodzenie lub utratę danych, własności,
oprogramowania lub urządzeń, jak również nie mogą odpowiadać za utratę zysków spowodowaną świadczeniem
usług pomocy technicznej. Firma ESET i/lub inne firmy, którym firma ESET zleca świadczenie usług pomocy
technicznej, zastrzegają sobie prawo do odmowy wykonania usługi, jeśli uznają, że nie mieści się ona w zakresie
oferowanych usług pomocy technicznej. Firma ESET zastrzega sobie prawo do odmowy, wstrzymania lub
zaprzestania świadczenia usług pomocy technicznej, jeśli uzna to za stosowne.
16. Przeniesienie Licencji. Jeśli odpowiednie postanowienia niniejszej Umowy tego nie zabraniają,
Oprogramowanie można przenosić między poszczególnymi systemami komputerowymi. O ile nie jest to sprzeczne
z warunkami określonymi w niniejszej Umowie, za zgodą Dostawcy Użytkownik końcowy może trwale przenieść
Licencję i wszelkie prawa przysługujące mu na podstawie niniejszej Umowy na innego Użytkownika końcowego, pod
warunkiem, że (i) nie zachowa dla siebie żadnych kopii Oprogramowania; (ii) przeniesienie praw będzie
bezpośrednie, tj. prawa zostaną przeniesione bezpośrednio na nowego Użytkownika końcowego; (iii) nowy
Użytkownik końcowy przejmie na siebie wszystkie prawa i obowiązki wynikające z niniejszej Umowy, które miały
dotąd zastosowanie do Użytkownika końcowego przenoszącego Licencję; (iv) nowy Użytkownik końcowy otrzyma od
Użytkownika końcowego przenoszącego Licencję dokumentację, która umożliwi mu stwierdzenie zgodnie z zapisami
w punkcie 17, czy Oprogramowanie jest oryginalne.
17. Stwierdzenie oryginalności Oprogramowania.Użytkownik końcowy może stwierdzić swoje uprawnienia do
korzystania z Oprogramowania na trzy sposoby: (i) na podstawie certyfikatu licencyjnego wystawionego przez
Dostawcę lub inną firmę wskazaną przez Dostawcę; (ii) na podstawie pisemnej umowy licencyjnej (jeśli została ona
zawarta); (iii) przez przesłanie do Dostawcy wiadomości e-mail z danymi wymaganymi do zidentyfikowania Licencji
(nazwą użytkownika i hasłem) w celu uzyskiwania Aktualizacji.
18. Dane Użytkownika końcowego i dane umożliwiające ochronę praw. Licencjobiorca (występujący w charakterze
Użytkownika końcowego) niniejszym upoważnia Dostawcę do przekazywania, przetwarzania i przechowywania
danych umożliwiających Dostawcy weryfikację tożsamości Użytkownika końcowego. Licencjobiorca niniejszym
wyraża zgodę na to, by Dostawca za pomocą własnych środków sprawdzał, czy Licencjobiorca korzysta
z Oprogramowania zgodnie z postanowieniami niniejszej Umowy. Licencjobiorca niniejszym wyraża zgodę na to, by
w ramach komunikacji między Oprogramowaniem a systemami komputerowymi Dostawcy lub jego partnerów
handlowych były przesyłane dane zapewniające poprawne działanie Oprogramowania i upoważniające do
korzystania z Oprogramowania, a także umożliwiające ochronę praw Dostawcy. Po zawarciu niniejszej Umowy
Dostawca i każdy z jego partnerów handlowych będzie uprawniony do przekazywania, przetwarzania
i przechowywania istotnych danych identyfikujących Licencjobiorcę w celach związanych z rozliczaniem opłat
i wykonywaniem niniejszej Umowy. Szczegółowe informacje na temat ochrony prywatności i danych osobowych
można znaleźć pod adresem http://www.eset.com/privacy.
19. Udzielanie Licencji organom władzy publicznej i rządowi USA. Organy władzy publicznej, w tym rząd Stanów
Zjednoczonych Ameryki Północnej, otrzymują Licencje na Oprogramowanie zgodnie z postanowieniami niniejszej
Umowy, tj. z uwzględnieniem wszystkich praw i obowiązków określonych w niniejszej Umowie.
20. Kontrola eksportu i reeksportu. Oprogramowanie i Dokumentacja lub ich składniki, w tym informacje na temat
Oprogramowania i jego składników, podlegają kontroli eksportu i importu zgodnie z przepisami prawnymi, które
mogą być publikowane przez instytucje rządowe odpowiedzialne za ich wydawanie na podstawie prawa
właściwego, w tym prawa obowiązującego w USA. Przepisy eksportowe oraz ograniczenia nakładane przez rząd USA
i inne rządy na Użytkowników końcowych, na korzystanie z Oprogramowania przez Użytkowników końcowych i na
miejsca korzystania z Oprogramowania. Licencjobiorca zobowiązuje się skrupulatnie przestrzegać wszystkich
stosownych przepisów eksportowych i importowych oraz przyjmuje do wiadomości, że jego obowiązkiem jest
uzyskanie wszystkich licencji wymaganych do eksportowania, reeksportowania, przesyłania lub importowania
Oprogramowania.
21. Zawiadomienia. Wszystkie zawiadomienia oraz zwroty Oprogramowania i Dokumentacji należy kierować na
adres: ESET, spol. s r. o., Einsteinova 24, 851 01 Bratislava, Słowacja.
354
22. Prawo właściwe. Niniejsza Umowa podlega przepisom prawnym obowiązującym w Słowacji i powinna być
interpretowana zgodnie z tymi przepisami. Użytkownik końcowy i Dostawca niniejszym stwierdzają, że do niniejszej
Umowy nie mają zastosowania przepisy dotyczące konfliktu praw ani Konwencja Organizacji Narodów
Zjednoczonych o umowach międzynarodowej sprzedaży towarów. Licencjobiorca wyraźnie stwierdza, że wszelkie
spory lub roszczenia względem Dostawcy wynikające z zawarcia niniejszej Umowy, jak również wszelkie spory lub
roszczenia związane z użyciem Oprogramowania będą rozstrzygane przez Sąd Rejonowy dla okręgu Bratislava I.
Licencjobiorca wyraźnie poddaje się jurysdykcji tego sądu.
23. Postanowienia ogólne. Uznanie któregokolwiek z postanowień niniejszej Umowy za nieważne lub niewykonalne
nie wpływa na ważność innych postanowień niniejszej Umowy, które pozostają wówczas w mocy zgodnie
z warunkami określonymi w niniejszej Umowie. Zmiana niniejszej Umowy musi mieć formę pisemną i musi zostać
zatwierdzona podpisem złożonym przez upoważnionego przedstawiciela Dostawcy lub przez osobę wyraźnie
upoważnioną do reprezentowania Dostawcy na zasadzie pełnomocnictwa.
Niniejsza Umowa stanowi całość porozumienia między Dostawcą a Licencjobiorcą w sprawie Oprogramowania i
zastępuje wszelkie wcześniejsze oświadczenia, negocjacje, zobowiązania, wymiany zdań lub reklamy związane z
Oprogramowaniem.
355

ESET REMOTE ADMINISTRATOR 6 Instrukcj a instalacj i i podręcznik użytkownika

Transkrypt

Podobne dokumenty