ESET REMOTE ADMINISTRATOR 6 Instrukcj a instalacj i i podręcznik użytkownika
Transkrypt
ESET REMOTE ADMINISTRATOR 6 Instrukcj a instalacj i i podręcznik użytkownika
ESET REMOTE ADMINISTRATOR6 Instrukcj a instalacj i i podręcznik użytkownika Kliknij tutaj, aby przejść do najnowszej wersji tego dokumentu ESET REMOTE ADMINISTRATOR 6 Copyright 2015 by ESET, spol. s r.o. Oprogramowanie ESET Remote Administrator 6 zostało opracowane przez firmę ESET, spol. s r.o. Więcej informacji można znaleźć w witrynie www.eset.pl. Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji nie może być powielana, przechowywana w systemie pobierania ani przesyłana w żadnej formie bądź przy użyciu jakichkolwiek środków elektronicznych, mechanicznych, przez fotokopiowanie, nagrywanie, skanowanie lub w inny sposób bez uzyskania pisemnego zezwolenia autora. Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmian w dowolnych elementach opisanego oprogramowania bez uprzedniego powiadomienia. Dział obsługi klienta: www.eset.com/support WER. 20/05/2015 Spis treści 1. Wprowadzenie .......................................................6 1.1 Funkcje ....................................................................................................6 1.2 Architektura ....................................................................................................7 3.7.5 Instalacja ..............................................................................54 serwera proxy — system Windows 3.7.5.1 Wymagania wstępne dotyczące serwera proxy — system ..................................................................................55 Windows 3.7.6 Instalacja ..............................................................................55 narzędzia RD Sensor — system Windows 3.7.6.1 Wymagania wstępne dotyczące narzędzia RD Sensor — system ..................................................................................55 Windows 3.7.7 Instalacja narzędzia Moduł zarządzania urządzeniami mobilnymi ..............................................................................55 — system Windows 3.7.7.1 Wymagania wstępne dotyczące narzędzia Moduł zarządzania urządzeniami mobilnymi — system Windows ..................................................................................58 3.7.8 Instalacja serwera proxy Apache HTTP — system Windows ..............................................................................60 1.2.1 Serwer ..............................................................................8 1.2.2 Konsola ..............................................................................9 internetowa 1.2.3 Agent ..............................................................................9 1.2.4 Serwer ..............................................................................10 proxy 1.2.5 Rogue ..............................................................................11 Detection Sensor 1.2.6 Moduł ..............................................................................12 zarządzania urządzeniami mobilnymi 1.2.7 Scenariusze ..............................................................................13 wdrożenia 1.2.7.1 Pojedynczy ..................................................................................13 serwer (małe firmy) 1.2.7.2 Odległe ..................................................................................14 oddziały z serwerami proxy 1.2.7.3 Wysoka ..................................................................................15 dostępność (środowisko firmowe) 3.8.1 Instalacja ..............................................................................61 serwera — system Linux 1.2.8 Przykłady ..............................................................................15 wdrożenia w praktyce 3.8.1.1 Wymagania wstępne dotyczące serwera — system Linux ..................................................................................63 1.3 Obsługiwane ....................................................................................................17 produkty i języki 3.8.2 Instalacja ..............................................................................64 agenta — system Linux 2. Wymagania .......................................................19 systemowe 3.8.2.1 Wymagania wstępne dotyczące agenta — system Linux ..................................................................................65 2.1 Sprzęt ....................................................................................................19 3.8.3 Instalacja ..............................................................................66 konsoli internetowej ERA — system Linux 2.2 Baza ....................................................................................................19 danych 3.8.3.1 Wymagania wstępne dotyczące konsoli internetowej ERA ..................................................................................66 — system Linux 2.3 Obsługiwane ....................................................................................................20 systemy operacyjne 3.8.4 Instalacja ..............................................................................66 serwera proxy — system Linux 3.8.4.1 Wymagania wstępne dotyczące serwera proxy — system ..................................................................................67 Linux 3.8.5 Instalacja narzędzia RD Sensor i wymagania wstępne — system ..............................................................................68 Linux 3.8.6 Instalacja narzędzia Moduł zarządzania urządzeniami mobilnymi ..............................................................................68 — system Linux 3.8.6.1 Wymagania wstępne dotyczące komponentu Moduł zarządzania ..................................................................................70 urządzeniami mobilnymi — system Linux 3.8.7 Instalacja serwera proxy Apache HTTP — system Linux ..............................................................................70 3.8.8 Dezinstalacja i ponowna instalacja komponentu — system ..............................................................................73 Linux 2.3.1 System ..............................................................................20 Windows 2.3.2 System ..............................................................................22 Linux 2.3.3 OS X ..............................................................................22 2.4 Używane ....................................................................................................23 porty 3. Procedura .......................................................25 instalacji 3.8 Instalacja komponentów w systemie ....................................................................................................61 Linux 3.1 Instalacja ....................................................................................................26 pakietowa 3.1.1 Instalacja ..............................................................................27 w systemie Windows SBS/Essentials 3.2 Baza ....................................................................................................30 danych 3.2.1 Kopia..............................................................................30 zapasowa serwera baz danych 3.2.2 Uaktualnienie ..............................................................................30 serwera baz danych 3.2.3 Migracja ..............................................................................31 bazy danych ERA 3.9 Rekord ....................................................................................................74 usługi DNS 3.2.3.1 Procedura ..................................................................................31 migracji programu SQL Server 3.10 Narzędzie ....................................................................................................75 do obsługi migracji 3.2.3.2 Procedura ..................................................................................39 migracji programu MySQL Server 3.3 Obraz ....................................................................................................40 ISO 3.10.1 Scenariusz ..............................................................................76 migracji 1 3.10.2 Scenariusz ..............................................................................78 migracji 2 3.10.3 Scenariusz ..............................................................................81 migracji 3 3.4 Urządzenie ....................................................................................................40 wirtualne 3.4.1 VMware ..............................................................................43 Player 3.4.2 Oracle ..............................................................................44 VirtualBox 3.4.3 Microsoft ..............................................................................45 Hyper-V 3.5 Klaster trybu failover — system ....................................................................................................46 Windows 3.6 Klaster ....................................................................................................46 trybu failover — system Linux 4. Pierwsze .......................................................85 kroki 4.1 Otwieranie ....................................................................................................85 konsoli internetowej ERA 4.2 Ekran logowania do konsoli internetowej ....................................................................................................87 ERA 4.3 Zapoznanie się z konsolą internetową ERA ....................................................................................................89 3.7 Instalacja komponentów w systemie 4.4 Wdrożenie ....................................................................................................91 Windows ....................................................................................................49 Dodawanie ..............................................................................91 komputera klienckiego do struktury ERA 4.4.1 3.7.1 Instalacja ..............................................................................49 serwera — system Windows 3.7.1.1 Wymagania wstępne dotyczące serwera — system Windows ..................................................................................51 3.7.2 4.4.1.1 Używanie ..................................................................................92 synchronizacji z usługą Active Directory 4.4.1.2 Ręczne ..................................................................................93 wpisanie nazwy/adresu IP Program ..............................................................................52 Microsoft SQL Server — system Windows 4.4.1.3 Korzystanie ..................................................................................94 z narzędzia RD Sensor 3.7.3 Instalacja ..............................................................................52 agenta — system Windows 4.4.2 Wdrażanie ..............................................................................97 agenta 3.7.4 Instalacja ..............................................................................53 konsoli internetowej — system Windows 4.4.2.1 Etapy ..................................................................................97 wdrożenia — system Windows Obsługiwane ..................................................................................54 przeglądarki internetowe ........................................................................98 Live agenta 4.4.2.1.1 Instalatory 3.7.4.1 4.4.2.1.2 Zdalne ........................................................................101 wdrożenie agenta 6.1.1.6 4.4.2.1.3 Lokalne........................................................................106 wdrożenie agenta grup statycznych 6.1.1.6.1 Kreator........................................................................187 4.4.2.2 Etapy ..................................................................................109 wdrożenia — system Linux ........................................................................188 grupami statycznymi 6.1.1.6.2 Zarządzanie 4.4.2.3 Etapy ..................................................................................110 wdrożenia — system OS X ........................................................................189 grupy statycznej 6.1.1.6.3 Przenoszenie 4.4.2.4 Rozwiązywanie ..................................................................................110 problemów — wdrażanie agenta 6.1.1.6.4 Dodawanie komputera klienckiego do grupy 4.4.3 Wdrożenie agenta przy użyciu obiektu GPO lub programu ..............................................................................112 SCCM ........................................................................193 klientów z usługi Active Directory 6.1.1.6.5 Importowanie 4.4.3.1 Tworzenie ..................................................................................112 pliku MST ........................................................................193 zadania do grupy statycznej 6.1.1.6.6 Przypisywanie 4.4.3.2 Etapy ..................................................................................118 wdrożenia — obiekt GPO ........................................................................193 reguły do grupy statycznej 6.1.1.6.7 Przypisywanie 4.4.3.3 Etapy ..................................................................................122 wdrożenia — program SCCM ........................................................................194 grup statycznych 6.1.1.6.8 Eksportowanie 4.4.4 Instalacja ..............................................................................139 produktu ........................................................................195 grup statycznych 6.1.1.6.9 Importowanie 4.4.4.1 Instalacja ..................................................................................142 produktu (wiersz polecenia) 6.1.1.7 4.4.4.2 Lista problemów występujących w przypadku niepowodzenia ..................................................................................143 instalacji szablonu grupy dynamicznej 6.1.1.7.1 Kreator........................................................................196 4.5 Zarządzanie ....................................................................................................143 grupy dynamicznej 6.1.1.7.3 Kreator........................................................................198 4.5.1 Dodawanie ..............................................................................144 komputerów do grup 4.5.1.1 Grupy ..................................................................................144 statyczne ........................................................................145 komputera do grupy statycznej 4.5.1.1.1 Dodawanie 4.5.1.2 Grupy ..................................................................................146 dynamiczne ........................................................................147 grupy dynamicznej 4.5.1.2.1 Nowy szablon 4.5.1.2.2 Tworzenie ........................................................................148 nowej grupy dynamicznej 4.5.2 Tworzenie ..............................................................................150 nowej reguły 4.5.3 Przypisywanie ..............................................................................153 reguły do grupy 4.5.4 Rejestracja ..............................................................................155 urządzenia mobilnego 4.6 Najlepsze ....................................................................................................157 praktyki 4.6.1 Zarządzanie ..............................................................................157 użytkownikami 5. Praca z programem ESET Remote .......................................................158 Administrator 5.1 Panel ....................................................................................................158 kontrolny 5.1.1 Ustawienia ..............................................................................160 panelu kontrolnego 5.1.2 Przechodzenie ..............................................................................161 do szczegółów 5.1.3 Edytowanie ..............................................................................162 szablonu raportu 5.2 Komputery ....................................................................................................166 5.2.1 Dodawanie ..............................................................................168 komputerów 5.2.2 Szczegóły ..............................................................................170 komputera Grupy ..................................................................................187 statyczne statycznej ........................................................................191 Grupy ..................................................................................196 dynamiczne ........................................................................197 szablonami grup dynamicznych 6.1.1.7.2 Zarządzanie 6.1.1.7.4 Tworzenie grupy dynamicznej na podstawie istniejącego ........................................................................200 szablonu 6.1.1.7.5 Tworzenie grupy dynamicznej na podstawie nowego szablonu ........................................................................202 ........................................................................202 grupami dynamicznymi 6.1.1.7.6 Zarządzanie ........................................................................204 grupy dynamicznej 6.1.1.7.7 Przenoszenie ........................................................................206 reguły do grupy dynamicznej 6.1.1.7.8 Przypisywanie ........................................................................206 zadania do grupy dynamicznej 6.1.1.7.9 Przypisywanie ........................................................................206 programu ESET Remote Administrator 6.1.1.7.10 Automatyzacja ........................................................................207 komputera do grupy dynamicznej 6.1.1.7.11 Dołączanie ........................................................................207 szablonu 6.1.1.7.12 Ocena reguł ........................................................................209 6.1.1.7.13 Edytor reguł 6.1.2 Reguły ..............................................................................211 6.1.2.1 Kreator ..................................................................................212 reguł 6.1.2.2 Flagi ..................................................................................213 6.1.2.3 Zarządzanie ..................................................................................214 regułami 6.1.2.4 Stosowanie ..................................................................................217 reguł w odniesieniu do klientów ........................................................................217 kolejności grup 6.1.2.4.1 Ustalanie ........................................................................219 wykazu reguł 6.1.2.4.2 Tworzenie reguł 6.1.2.4.3 Scalanie........................................................................220 6.1.2.5 Konfigurowanie ..................................................................................220 produktu przy użyciu rozwiązania ERA 6.1.2.6 Przypisywanie ..................................................................................220 reguły do grupy 5.3 Zagrożenia ....................................................................................................171 6.1.2.7 Przypisywanie ..................................................................................222 reguły do klienta 5.4 Raporty ....................................................................................................172 6.1.3 Zadania ..............................................................................223 klienta 5.4.1 Tworzenie ..............................................................................173 nowego szablonu raportu 6.1.3.1 Kreator ..................................................................................225 zadań klienta 5.4.2 Generowanie ..............................................................................176 raportów 6.1.3.2 Zarządzanie ..................................................................................229 zadaniami klienta 5.4.3 Planowanie ..............................................................................176 raportu ........................................................................231 na żądanie 6.1.3.2.1 Skanowanie 5.4.4 Nieaktualne ..............................................................................176 aplikacje ........................................................................234 systemu operacyjnego 6.1.3.2.2 Aktualizacja 6. Administrowanie programem ESET Remote .......................................................177 Administrator ........................................................................236 kwarantanną 6.1.3.2.3 Zarządzanie ........................................................................238 bazy danych Rogue Detection Sensor 6.1.3.2.4 Resetowanie 6.1.3.2.5 Uaktualnianie komponentów programu Remote 6.1 Administrator ....................................................................................................177 Administrator ........................................................................241 6.1.1 Grupy ..............................................................................177 ........................................................................243 sklonowanego agenta 6.1.3.2.6 Resetowanie 6.1.1.1 Tworzenie ..................................................................................179 nowej grupy statycznej ........................................................................245 polecenia 6.1.3.2.7 Uruchomienie 6.1.1.2 Tworzenie ..................................................................................182 nowej grupy dynamicznej ........................................................................247 skryptu programu SysInspector 6.1.3.2.8 Uruchomienie 6.1.1.3 Przypisywanie ..................................................................................184 zadania do grupy ........................................................................249 oprogramowania 6.1.3.2.9 Instalacja 6.1.1.4 Przypisywanie ..................................................................................185 reguły do grupy ........................................................................251 oprogramowania 6.1.3.2.10 Dezinstalacja 6.1.1.5 Reguły ..................................................................................187 i grupy ........................................................................253 produktu 6.1.3.2.11 Aktywacja Spis treści dziennika programu SysInspector 6.1.3.2.12 Żądanie........................................................................255 6.1.7.2 ........................................................................257 pliku poddanego kwarantannie 6.1.3.2.13 Przesyłanie zestawów uprawnień 6.1.7.2.1 Kreator........................................................................332 ........................................................................259 bazy sygnatur wirusów 6.1.3.2.14 Aktualizacja ........................................................................333 zestawami uprawnień 6.1.7.2.2 Zarządzanie aktualizacji bazy sygnatur wirusów 6.1.3.2.15 Cofanie........................................................................261 6.1.8 Ustawienia ..............................................................................334 serwera ........................................................................263 komunikatów 6.1.3.2.16 Wyświetlanie 6.1.9 Zarządzanie ..............................................................................334 licencjami ........................................................................265 funkcji Anti-Theft 6.1.3.2.17 Działanie 6.1.9.1 Aktywacja ..................................................................................337 ........................................................................268 urządzenia 6.1.3.2.18 Rejestracja ........................................................................281 zarządzania (odinstalowanie agenta ERA) 6.1.3.2.19 Zatrzymanie Zestawy ..................................................................................331 uprawnień 7. Narzędzie .......................................................341 diagnostyczne 6.1.3.3 Eksportowanie ..................................................................................284 konfiguracji zarządzanych produktów 6.1.3.4 Przypisywanie ..................................................................................286 zadania do grupy 8. Słowniczek .......................................................342 6.1.3.5 Przypisywanie ..................................................................................287 zadań do komputerów 8.1 Typy ....................................................................................................342 infekcji 6.1.3.6 Planowanie ..................................................................................289 zadania 8.1.1 Wirusy ..............................................................................342 6.1.3.7 Elementy ..................................................................................291 wyzwalające 8.1.2 Robaki ..............................................................................342 6.1.4 Zadania ..............................................................................291 serwera 8.1.3 Konie ..............................................................................343 trojańskie 6.1.4.1 Kreator ..................................................................................291 zadań serwera 8.1.4 Programy ..............................................................................343 typu rootkit 6.1.4.2 Zarządzanie ..................................................................................292 zadaniami serwera 8.1.5 Adware ..............................................................................344 ........................................................................292 agenta 6.1.4.2.1 Wdrażanie 8.1.6 Spyware ..............................................................................344 Generowanie ........................................................................297 raportów 8.1.7 Potencjalnie ..............................................................................344 niebezpieczne aplikacje 6.1.4.2.3 Synchronizacja ........................................................................300 grupy statycznej 8.1.8 Potencjalnie ..............................................................................345 niepożądane aplikacje 6.1.4.2.4 Synchronizacja grupy statycznej — komputery z systemem ........................................................................301 Linux 6.1.4.3 Planowanie ..................................................................................302 zadania serwera 6.1.4.4 Ponowne użycie elementu wyzwalającego w zadaniu serwera ..................................................................................302 6.1.4.5 Elementy ..................................................................................303 wyzwalające 6.1.4.2.2 ........................................................................304 6.1.4.5.1 Ograniczanie ........................................................................307 czułość elementu wyzwalającego 6.1.4.5.1.1 Zbyt wysoka 6.1.4.5.2 Kreator........................................................................308 elementu wyzwalającego serwera 6.1.4.5.3 Zarządzanie ........................................................................309 elementami wyzwalającymi serwera wyzwalający jest aktywowany zbyt często 6.1.4.5.3.1 Element........................................................................310 ........................................................................311 CRON 6.1.4.5.3.2 Wyrażenie 6.1.4.5.4 Zarządzanie ........................................................................311 czułością elementów wyzwalających 6.1.5 Powiadomienia ..............................................................................313 6.1.5.1 Kreator ..................................................................................314 powiadomień 6.1.5.2 Zarządzanie ..................................................................................317 powiadomieniami 6.1.5.3 Konfigurowanie ..................................................................................319 usługi SNMP Trap 6.1.6 Certyfikaty ..............................................................................321 6.1.6.1 Certyfikaty ..................................................................................321 równorzędne 6.1.6.1.1 Tworzenie nowego certyfikatu z użyciem urzędu certyfikacji ........................................................................322 ERA 6.1.6.1.2 Tworzenie nowego certyfikatu z użyciem niestandardowego ........................................................................323 urzędu certyfikacji 6.1.6.2 Urzędy ..................................................................................323 certyfikacji ........................................................................324 nowego urzędu certyfikacji 6.1.6.2.1 Tworzenie 6.1.7 Uprawnienia ..............................................................................325 dostępu 6.1.7.1 Użytkownicy ..................................................................................325 6.1.7.1.1 Kreator zmapowanych grup domen z zabezpieczeniami ........................................................................326 6.1.7.1.2 Kreator........................................................................327 użytkowników macierzystych 6.1.7.1.3 Tworzenie ........................................................................328 użytkownika macierzystego ........................................................................329 nowego konta administratora 6.1.7.1.3.1 Tworzenie 6.1.7.1.4 Mapowanie grupy w ramach grupy domen z zabezpieczeniami ........................................................................329 6.1.7.1.5 Przypisywanie ........................................................................330 użytkownika do zestawu uprawnień 9. Często .......................................................346 zadawane pytania 10. ESET .......................................................349 Remote Administrator — informacje 11. Umowa Licencyjna Użytkownika Końcowego .......................................................350 (EULA) 1. Wprowadzenie ESET Remote Administrator (ERA) to aplikacja umożliwiająca zarządzanie produktami firmy ESET na klienckich stacjach roboczych, serwerach i urządzeniach mobilnych w środowisku sieciowym z jednej lokalizacji centralnej. Dzięki wbudowanemu systemowi zarządzania zadaniami dostępnemu w programie ESET Remote Administrator można instalować rozwiązania zabezpieczające firmy ESET na komputerach zdalnych i szybko reagować na nowe problemy i zagrożenia. Sam program ESET Remote Administrator nie zapewnia ochrony przed szkodliwym kodem. Ochrona środowiska użytkownika zależy od zainstalowanego na stacjach roboczych, serwerach lub urządzeniach mobilnych rozwiązania zabezpieczającego firmy ESET, takiego jak ESET Endpoint Security czy ESET File Security dla systemu Microsoft Windows Server. W rozwiązaniu ESET Remote Administrator 6 zastosowano dwie główne zasady: 1. Scentralizowane zarządzanie — możliwość skonfigurowania całej sieci oraz zarządzania nią i monitorowania jej działania z jednego miejsca. 2. Skalowalność — system można wdrażać zarówno w niewielkich sieciach, jak i w wielkich środowiskach firmowych. Rozszerzanie (skalowanie) systemu umożliwia łatwe dostosowywanie go do rozwoju infrastruktury użytkownika. Na stronach pomocy programu ESET Remote Administrator można znaleźć wyczerpujący podręcznik użytkownika dotyczący administracji. Na początek zalecamy zapoznanie się z często używanymi elementami oprogramowania ESET Remote Administrator: Architektura programu ESET Remote Administrator Procedury instalacji i Procedury wdrażania Wdrożenie agenta przy użyciu obiektu GPO lub programu SCCM Pierwsze kroki po zainstalowaniu programu ESET Remote Administrator Zapoznanie się z konsolą internetową ERA Praca z programem ESET Remote Administrator Administracja Narzędzie do obsługi migracji 1.1 Funkcje W wersji 6 dostępne są następujące nowe funkcje i możliwości: Niezależność od platformy — serwer ERA działa zarówno w systemie Windows, jak i Linux! Dostęp do konsoli internetowej ERA — głównego interfejsu użytkownika w programie ESET Remote Administrator — uzyskiwany jest przy użyciu przeglądarki internetowej. Umożliwia to łatwą obsługę programu z dowolnego miejsca i dowolnego urządzenia. Panel kontrolny z pełną gamą ustawień, umożliwiający szczegółowy wgląd w stan zabezpieczeń sieci, a także sekcja Administrator w konsoli internetowej ESET Remote Administrator (konsoli internetowej ERA) to zaawansowane i przyjazne dla użytkownika narzędzia do zarządzania produktami firmy ESET. Powiadomienia z ważnymi informacjami przekazywane w czasie rzeczywistym oraz raporty umożliwiają wygodne sortowanie danych różnego typu do użytku w przyszłości. 6 1.2 Architektura Aby przeprowadzić całkowite wdrożenie pakietu rozwiązań zabezpieczających firmy ESET, należy zainstalować następujące komponenty (platforma Windows): Serwer ERA Baza danych ERA Konsola internetowa ERA Agent ERA Aby przeprowadzić całkowite wdrożenie pakietu rozwiązań zabezpieczających firmy ESET, należy zainstalować następujące komponenty (platforma Linux): Serwer ERA Konsola internetowa ERA Agent ERA Wymienione niżej komponenty pomocnicze są opcjonalne. Zalecamy zainstalowanie ich w celu osiągnięcia optymalnej wydajności oprogramowania w sieci: Serwer proxy ERA RD Sensor Moduł zarządzania urządzeniami mobilnymi Serwer proxy Apache HTTP 7 1.2.1 Serwer ESET Remote Administrator Server to aplikacja wykonawcza przetwarzająca wszystkie dane otrzymywane od klientów nawiązujących połączenia z serwerem (za pośrednictwem agenta ERA). Aby poprawnie przetwarzać dane, serwer wymaga stabilnego połączenia z serwerem bazy danych, gdzie dane sieciowe są przechowywane. W celu uzyskania wyższej wydajności zalecane jest zainstalowanie serwera bazy danych na innym komputerze. 8 1.2.2 Konsola internetowa Konsola internetowa ERA to oparty na Internecie interfejs użytkownika, umożliwiający zarządzanie rozwiązaniami zabezpieczającymi firmy ESET, używanymi w środowisku użytkownika. Umożliwia wyświetlanie podsumowania stanu klientów w danej sieci i może być używana do zdalnego wdrażania rozwiązań ESET na niezarządzanych komputerach. Dostęp do konsoli internetowej uzyskiwany jest przy użyciu przeglądarki internetowej (patrz Obsługiwane przeglądarki internetowe). Jeśli zdecydujesz się, by serwer sieciowy był dostępny przez Internet, możesz używać programu ESET Remote Administrator z praktycznie dowolnego miejsca, za pomocą dowolnego urządzenia. 1.2.3 Agent Agent to podstawowy element w oprogramowaniu ESET Remote Administrator. Klienty nie komunikują się bezpośrednio z serwerem. Komunikacja ta odbywa się za pośrednictwem agenta. Agent gromadzi informacje pozyskiwane od klienta i wysyła je do serwera ERA. Gdy serwer ERA wysyła zadanie do klienta, przesyła je do agenta, po czym agent przekazuje to zadanie do klienta. W celu uproszczenia wdrażania rozwiązań do ochrony punktów końcowych do pakietu ERA (od wersji 6) dołączany jest samodzielny agent ERA. Jest to prosta usługa modułowa, która nie wymaga wielu zasobów, obsługująca całość komunikacji pomiędzy serwerem ERA a dowolnymi produktami firmy ESET oraz systemami operacyjnymi. Zamiast komunikować się bezpośrednio z serwerem ERA, produkty firmy ESET komunikują się za pośrednictwem agenta. Komputery klienckie z zainstalowanym agentem ESET, które są w stanie komunikować się z serwerem ERA, nazywane są komputerami „zarządzanymi”. Agenta można zainstalować na dowolnym komputerze, niezależnie od tego, czy zainstalowano na nim inne oprogramowanie firmy ESET. 9 Wiążą się z tym następujące korzyści: Łatwość konfiguracji — możliwe jest wdrożenie agenta w ramach standardowej instalacji korporacyjnej. Zarządzanie zabezpieczeniami na miejscu — w związku z tym, że agenta można skonfigurować tak, aby przechowywał wiele scenariuszy zabezpieczeń, czas reakcji na zagrożenie ulega znacznemu skróceniu. Zarządzanie zabezpieczeniami w trybie offline — agent może zareagować na zdarzenie, nawet gdy nie jest połączony z serwerem ERA. 1.2.4 Serwer proxy Serwer proxy ERA to komponent serwerowy w wersji okrojonej. Zastosowanie serwera tego typu zapewnia znaczną skalowalność. Serwer proxy ERA umożliwia koncentrowanie ruchu generowanego przez agenty klientów. Umożliwia wielu agentom łączenie się z serwerem proxy ERA, który następnie dystrybuuje ruch, przekazując go do serwera ERA. Dzięki temu możliwe jest optymalizowanie zapytań do bazy danych. Serwer proxy ERA może również łączyć się z innymi serwerami proxy, a następnie z serwerem ERA. Wszystko zależy od środowiska sieciowego i konfiguracji sieci. Serwer proxy ERA kontroluje również pasywną dystrybucję danych konfiguracyjnych (takich jak grupy, reguły, zadania itp.) wśród agentów. Takie przekazywanie odbywa się bez udziału serwera ERA. Jedynym sposobem skonfigurowania serwera proxy ERA (i wszystkich innych komponentów) jest wysłanie reguły z serwera ERA. Oznacza to, że w celu przekazania konfiguracji z serwera ERA do komponentu serwera proxy ERA na komputerze z serwerem proxy ERA musi być zainstalowany agent. UWAGA: Nie jest możliwe nawiązanie bezpośredniego połączenia pomiędzy serwerem ERA a serwerem proxy ERA bez udziału agenta. 10 Serwer proxy ERA to jeden z komponentów programu ESET Remote Administrator, który służy do realizacji dwóch celów. W przypadku sieci średniej wielkości lub sieci firmowej z wieloma klientami (na przykład od 10 000 klientów wzwyż) można korzystać z serwera proxy ERA w celu dystrybuowania obciążeń pomiędzy wieloma serwerami proxy ERA, co umożliwia odciążenie głównego serwera ERA. Kolejną zaletą serwera proxy ERA jest to, że można go użyć w celu nawiązania połączenia ze zdalnym biurem oddziału, w którym dostępne jest słabe łącze. Oznacza to, że agent ERA na każdym z klientów nie łączy się z bezpośrednio z głównym serwerem ERA, korzystając zamiast tego z serwera proxy ERA, który znajduje się w tej samej sieci lokalnej co dane biuro oddziału. Taka konfiguracja zapewnia lepszą komunikację z biurem oddziału. Serwer proxy ERA przyjmuje połączenia ze wszystkich lokalnych agentów ERA, kompiluje pobrane od nich dane i przesyła je do głównego serwera ERA (lub do innego serwera proxy ERA). Umożliwia to umieszczenie w sieci większej liczby klientów bez obniżenia sprawności działania sieci oraz jakości kwerend bazy danych. Aby serwer proxy ERA funkcjonował poprawnie, komputer, na którym zainstalowany jest serwer proxy ERA, musi mieć zainstalowanego agenta ESET i być połączony z wyższym poziomem sieci (serwerem ERA lub wyższym w hierarchii serwerem proxy ERA, jeśli taki istnieje). UWAGA: Zapoznaj się ze scenariuszem wdrożenia serwera proxy ERA. 1.2.5 Rogue Detection Sensor Rogue Detection Sensor (RD Sensor) to narzędzie systemowe do wykrywania komputerów w sieci użytkownika. Narzędzie RD Sensor stanowi udogodnienie, ponieważ umożliwia zlokalizowanie nowych komputerów w programie ESET Remote Administrator bez konieczności ich ręcznego wyszukiwania i dodawania. Wykryte urządzenia są natychmiast lokalizowane i uwzględniane we wstępnie zdefiniowanym raporcie, co umożliwia przeniesienie ich do określonych grup statycznych i przystąpienie do realizowania w odniesieniu do nich zadań związanych z zarządzaniem. Działanie narzędzia RD Sensor opiera się na nasłuchu pasywnym, co umożliwia wykrywanie komputerów znajdujących się w sieci oraz wysyłanie informacji o nich do serwera ERA. Serwer ERA dokonuje następnie oceny, czy komputery znalezione w sieci są nieznane na serwerze ERA, czy może są już obsługiwane. 11 Każdy komputer w ramach struktury sieci (domeny, usługi LDAP, sieci Windows) zostaje automatycznie dodany do listy komputerów na serwerze ERA przy użyciu zadania synchronizacji serwera. Korzystanie z narzędzia RD Sensor to wygodny sposób wyszukiwania komputerów, które nie znajdują się w domenie ani innej strukturze sieci, oraz dodawania ich do serwera ESET Remote Administrator. Wykryte komputery są zapamiętywane w narzędziu RD Sensor i te same informacje nie są wysyłane ponownie. 1.2.6 Moduł zarządzania urządzeniami mobilnymi Moduł zarządzania urządzeniami mobilnymi to aplikacja umożliwiająca zarządzanie urządzeniami mobilnymi oraz administrowanie programem ESET Endpoint Security dla systemu Android. 12 1.2.7 Scenariusze wdrożenia W następnych rozdziałach omówione zostaną scenariusze wdrożenia w różnych środowiskach sieciowych. Szczegółowe instrukcje można znaleźć w odpowiednim rozdziale: Pojedynczy serwer (małe firmy) Wysoka dostępność (środowisko firmowe) Odległe oddziały z serwerami proxy 1.2.7.1 Pojedynczy serwer (małe firmy) Do zarządzania niewielkimi sieciami (liczącymi nie więcej niż 1000 klientów) wystarczającym rozwiązaniem jest zwykle jeden komputer z zainstalowanym serwerem ERA oraz wszystkimi jego komponentami (dostarczonym serwerem internetowym, bazą danych itd.). Można postrzegać to rozwiązanie jako pojedynczy serwer lub samodzielną instalację. Wszystkie zarządzane klienty łączą się bezpośrednio z serwerem ERA przy użyciu agenta ERA. Administrator może łączyć się z konsolą internetową ERA przy użyciu przeglądarki internetowej z dowolnego komputera w sieci lub może uruchamiać konsolę internetową bezpośrednio na serwerze ERA. 13 1.2.7.2 Odległe oddziały z serwerami proxy W średniej wielkości sieci (liczącej przykładowo 10 000 klientów) dodawana jest dodatkowa warstwa składająca się z serwerów proxy ERA. Agenty ERA są połączone z serwerem proxy ERA, a powodem włączenia serwera proxy ERA może być słabe łącze z odległą placówką (biuro oddziału). Nadal jednak możliwe jest bezpośrednie łączenie się agentów ERA (zlokalizowanych w odległym oddziale) z głównym serwerem. 14 1.2.7.3 Wysoka dostępność (środowisko firmowe) W przypadku środowisk firmowych (liczących na przykład 100 000 klientów) należy zastosować dodatkowe komponenty oprogramowania ERA. Jednym z nich jest narzędzie RD Sensor, ułatwiające przeszukiwanie sieci i wykrywanie nowych komputerów. Kolejnym elementem dodatkowym jest warstwa serwerów proxy ERA. Agenty ERA są połączone z serwerem proxy ERA, co pozwala zrównoważyć obciążenia na serwerze głównym, mającym istotne znaczenie dla wydajności. W przypadku zastosowania takiej konfiguracji agenty ERA nadal są w stanie łączyć się bezpośrednio z serwerem głównym. W celu zapewnienia nadmiarowości baza danych SQL jest również wdrożona w klastrze trybu failover. 1.2.8 Przykłady wdrożenia w praktyce W celu uzyskania najwyższej wydajności zalecamy korzystanie z serwera Microsoft SQL Server jako bazy danych programu ESET Remote Administrator. Program ESET Remote Administrator jest wprawdzie zgodny z programem MySQL, jednak korzystanie z programu MySQL może negatywnie wpływać na wydajność systemu podczas pracy ze znacznymi ilościami danych związanych z panelami kontrolnymi, zagrożeniami i klientami. Ten sam sprzęt z zainstalowanym programem Microsoft SQL Server jest w stanie obsłużyć około 10-krotnie większą liczbę klientów w porównaniu do zastosowania programu MySQL. Do celów testowych na każdym z klientów przechowywanych jest w bazie danych około 30 dzienników. Program Microsoft SQL Server wykorzystuje znaczną ilość pamięci RAM do przechowywania bazy danych w lokalnej pamięci podręcznej, zatem zalecane jest udostępnienie przynajmniej takiej ilości pamięci, jaką program Microsoft SQL Server dysponuje na dysku. 15 Nie ma łatwego sposobu na precyzyjne obliczenie ilości zasobów wykorzystywanych przez program ESET Remote Administrator, ponieważ stopień wykorzystania zasobów różni się w zależności od konfiguracji sieci. Poniżej widoczne są wyniki testów przeprowadzonych w często stosowanych konfiguracjach sieci: Przypadek testowy — maksymalnie 5000 klientów łączących się z serwerem ERA Przypadek testowy — maksymalnie 100 000 klientów łączących się z serwerem ERA W celu uzyskania konfiguracji optymalnie dostosowanej do potrzeb użytkownika zalecamy przeprowadzenie testów na mniejszej liczbie klientów i mniej wydajnym sprzęcie oraz ustalenie wymogów systemowych na podstawie wyników tych testów. PRZYPADEK TESTOWY (5000 KLIENTÓW) Sprzęt/oprogramowanie Windows Server 2003 R2, architektura procesora x86 Microsoft SQL Server Express 2008 R2 Intel Core 2 Duo E8400, 3 GHz 3 GB pamięci RAM Seagate Barracuda 7200 obr./min, 500 GB, 16 MB pamięci podręcznej, SATA 3,0 Gb/s Wyniki Konsola internetowa ERA reaguje bardzo szybko (w czasie krótszym niż 5 s) Zużycie pamięci: o Apache Tomcat 200 MB o Serwer ERA 200 MB o Baza danych SQL Server 1 GB Wydajność replikacji serwera: 10 replikacji na sekundę Rozmiar bazy danych na dysku: 1 GB (5000 klientów, z których każdy przechowuje w bazie danych 30 dzienników) W tym przykładzie testowano program SQL Server Express 2008 R2. Pomimo pewnych ograniczeń (baza danych o pojemności 10 GB, 1 procesor i 1 GB wykorzystywanej pamięci RAM), ta konfiguracja działała skutecznie i wydajnie. W przypadku serwerów, na których liczba klientów nie przekracza 5000 zalecane jest używanie programu SQL Server Express. Początkowo można wdrożyć program SQL Server Express, a następnie uaktualnić go do programu Microsoft SQL Server (pełna wersja), gdy pojawi się potrzeba powiększenia bazy danych. Należy pamiętać, że w starszych wersjach programu Express (wcześniejszych niż 2008 R2) wielkość bazy danych na dysku jest ograniczona do 4 GB. Wydajność replikacji serwera definiuje interwał replikacji dla poszczególnych klientów. W przypadku 10 replikacji na sekundę mamy do czynienia z 600 replikacjami na minutę. Zatem w sytuacji idealnej interwał replikacji na wszystkich 5000 klientów należałoby ustawić na 8 minut, jednak spowodowałoby to 100-procentowe obciążenie serwera, dlatego w tym przypadku potrzebny jest dłuższy interwał. W omawianym przykładzie zalecany interwał replikacji to 20–30 minut. PRZYPADEK TESTOWY (100 000 KLIENTÓW) Sprzęt/oprogramowanie Windows Server 2012 R2 Datacenter, architektura procesora x64 Microsoft SQL Server 2012 Intel Xeon E5-2650v2, 2,60 GHz 64 GB pamięci RAM Karta sieciowa Intel NIC/PRO/1000 PT Dual 2 dyski SSD Micron RealSSD C400 o pojemności 256 GB (jeden do obsługi systemu i oprogramowania, drugi na pliki bazy danych SQL Server) 16 Wyniki Konsola internetowa reaguje szybko (w czasie krótszym niż 30 s) Zużycie pamięci: o Apache Tomcat 1 GB o Serwer ERA 2 GB o Baza danych SQL Server 10 GB Wydajność replikacji serwera: 80 replikacji na sekundę Rozmiar bazy danych na dysku: 10 GB (100 000 klientów, z których każdy przechowuje w bazie danych 30 dzienników) W tym przypadku postanowiliśmy zainstalować wszystkie komponenty (Apache Tomcat z konsolą sieciową, serwer ERA, serwer SQL) na jednym komputerze, by przetestować wydajność serwera ERA. Duża liczba klientów spowodowała zwiększenie zużycia pamięci i dysku przez program Microsoft SQL Server. W celu zapewnienia optymalnej wydajności serwer SQL korzysta z bazy danych przechowywanej niemal całkowicie w pamięci podręcznej. Apache Tomcat (konsola internetowa) oraz serwer ERA również przechowują dane w pamięci podręcznej, co wyjaśnia zwiększone wykorzystanie pamięci obserwowane w tym przykładzie. Serwer ERA jest w stanie obsłużyć 80 replikacji na sekundę (288 000 na godzinę), zatem w sytuacji idealnej interwał replikacji na wszystkich 100 000 klientów należałoby ustawić na co około 30 minut (przekłada się to na obciążenie wynoszące 200 000 replikacji na godzinę), jednak spowodowałoby to 100-procentowe obciążenie serwera, zatem optymalny interwał replikacji w tym przypadku to 1 godzina (100 000 replikacji na godzinę). Wykorzystanie danych sieciowych zależy od liczby dzienników gromadzonych na klientach. W tym teście wartość ta wynosiła około 20 KB na replikację, zatem 80 replikacji na sekundę przekłada się na szybkość sieci rzędu 1600 KB/s (20 Mb/s). W tym przykładzie zastosowaliśmy scenariusz z jednym serwerem. Obciążenie procesora i sieci będzie rozłożone lepiej w przypadku zastosowania wielu serwerów proxy ERA (im więcej, tym lepiej). Spowoduje to rozłożenie zarówno obciążeń procesora, jak i obciążeń sieci związanych z obsługą replikacji klientów. Warto rozkładać obciążenia sieci, szczególnie wówczas, gdy klienty znajdują się w odległych lokalizacjach. Wydajność interwału replikacji serwerów proxy na serwerze można zwiększać poza godzinami pracy, gdy szybkość połączeń sieciowych z odległych lokalizacji jest większa. 1.3 Obsługiwane produkty i języki W ramach rozwiązania ESET Remote Administrator można wdrażać i aktywować następujące produkty ESET oraz zarządzać nimi: Możliwość zarządzania przy użyciu rozwiązania ESET Remote Administrator 6 Wersja produktu Metoda aktywacji ESET Endpoint Security dla systemu Windows 6.x i 5.x 6.x — klucz licencyjny 5.x — nazwa użytkownika/hasło ESET Endpoint Antivirus dla systemu Windows 6.x i 5.x ESET Endpoint Security dla systemu OS X ESET Endpoint Antivirus dla systemu OS X ESET Endpoint Security dla systemu Android ESET File Security dla systemu Windows Server ESET File Security dla systemu Microsoft Windows Server ESET NOD32 Antivirus 4 Business Edition dla systemu Mac OS X ESET NOD32 Antivirus 4 Business Edition dla systemu Linux Desktop ESET Mail Security dla systemu Microsoft Exchange Server ESET Mail Security dla IBM Lotus Domino 6.x 6.x 2.x 6.x 4.5.x 4.x 6.x — klucz licencyjny 5.x — nazwa użytkownika/hasło Klucz licencyjny Klucz licencyjny Klucz licencyjny Klucz licencyjny Nazwa użytkownika/hasło Nazwa użytkownika/hasło 4.x Nazwa użytkownika/hasło 4.5.x 4.5.x Nazwa użytkownika/hasło Nazwa użytkownika/hasło 17 Możliwość zarządzania przy użyciu rozwiązania ESET Remote Administrator 6 ESET Security dls systemu Microsoft Windows Server Core ESET Security dla systemu Microsoft SharePoint Server ESET Security dla serwera Kerio ESET NOD32 Antivirus Business Edition ESET Smart Security Business Edition Wersja produktu Metoda aktywacji 4.5.x 4.5.x 4.5.x 4.2.76 4.2.76 Nazwa użytkownika/hasło Nazwa użytkownika/hasło Nazwa użytkownika/hasło Nazwa użytkownika/hasło Nazwa użytkownika/hasło UWAGA: Produktami Windows Server w wersjach starszych niż te, które przedstawiono w powyższej tabeli nie można obecnie zarządzać przy użyciu rozwiązania ESET Remote Administrator. Obsługiwane języki Nazwa Angielski (Stany Zjednoczone) Arabski (Egipt) Chiński uproszczony Chiński tradycyjny Chorwacki (Chorwacja) Czeski (Czechy) Francuski (Francja) Francuski (Kanada) Niemiecki (Niemcy) Włoski (Włochy) Japoński (Japonia) Koreański (Korea) Polski (Polska) Portugalski (Brazylia) Rosyjski (Rosja) Hiszpański (Chile) Hiszpański (Hiszpania) Słowacki (Słowacja) 18 Kod en-US ar-EG zh-CN zh-TW hr-HR cs-CZ fr-FR fr-FC de-DE it-IT ja-JP ko-KR pl-PL pt-BR ru-RU es-CL es-ES sk-SK 2. Wymagania systemowe Zainstalowanie programu ESET Remote Administrator jest uwarunkowane spełnieniem wymagań wstępnych związanych ze sprzętem, bazą danych i oprogramowaniem. 2.1 Sprzęt Aby zapewnić bezproblemowe działanie programu ESET Remote Administrator, komputer powinien spełniać następujące wymagania dotyczące sprzętu: Pamięć Dysk twardy Procesor Połączenie sieciowe 4 GB pamięci RAM Co najmniej 20 GB wolnego miejsca Dwurdzeniowy, o częstotliwości taktowania co najmniej 2,0 GHz 1 Gb/s 2.2 Baza danych Program ESET Remote Administrator obsługuje dwa typy serwerów baz danych: Microsoft SQL Server (w tym edycje Express i inne niż Express) 2008, 2008 R2, 2012, 2014 MySQL (wersja 5.5 i nowsze) Można określić serwer bazy danych, który ma zostać użyty podczas instalowania serwera lub serwera proxy. Domyślnie instalowany jest serwer Microsoft SQL Server 2008 R2 Express, który stanowi element pakietu instalacyjnego. Należy pamiętać, że program Microsoft SQL Server 2008 R2 Express ma ograniczenie wielkości bazy danych do 10 GB i nie można go zainstalować na kontrolerze domeny. Jeśli na przykład używany jest system Microsoft SBS, zalecamy zainstalowanie programu ESET Remote Administrator na innym serwerze lub niewybieranie komponentu SQL Server Express podczas instalacji (wiąże się to z koniecznością uruchomienia bazy danych ERA na istniejącym serwerze SQL lub MySQL). Jeśli użytkownik zdecyduje się na korzystanie z serwera Microsoft SQL Server, najwcześniejszą z obsługiwanych jego wersji jest Microsoft SQL Server 2008. Można użyć istniejącego serwera Microsoft SQL Server uruchomionego w danym środowisku, jednak musi on spełniać wymagania minimalne. UWAGA: Na serwerze ERA oraz na serwerze proxy ERA nie jest stosowana zintegrowana funkcja tworzenia kopii zapasowej, w związku z czym zalecane jest tworzenie kopii zapasowej bazy danych serwera w celu uniknięcia utraty danych. Wymagania sprzętowe dotyczące serwera bazy danych: Pamięć Dysk twardy Szybkość procesora Typ procesora 1 GB pamięci RAM Co najmniej 10 GB wolnego miejsca Procesor x86: 1,0 GHz Procesor x64: 1,4 GHz Uwaga: W celu uzyskania optymalnej wydajności zalecane jest użycie procesora o częstotliwości taktowania 2,0 GHz lub wyższej. Procesor x86: Procesor zgodny z architekturą Pentium III lub procesor o wyższej wydajności Procesor x64: AMD Opteron, AMD Athlon 64, Intel Xeon z obsługą architektury Intel EM64T, Intel Pentium IV z obsługą architektury EM64T 19 2.3 Obsługiwane systemy operacyjne W poniższej części podano, które wersje systemów operacyjnych Windows, Linux i Mac OS są obsługiwane przez poszczególne komponenty oprogramowania ESET Remote Administrator. 2.3.1 System Windows W poniższej tabeli wymieniono systemy operacyjne obsługiwane przez poszczególne komponenty programu ESET Remote Administrator. Istnieje również możliwość zainstalowania serwera ERA, serwera proxy ERA oraz serwera MDM na klienckim systemie operacyjnym (*Microsoft Windows 7, 8, 8.1), jednak można to zrobić wyłącznie do celów ewaluacyjnych. System operacyjny Serwer Agent Serwer proxy RD Sensor Windows XP x86 SP3 Windows XP x64 SP2 X X X X Windows Vista x86 SP2 Windows Vista x64 SP2 X X X X MDM Windows 7 x86 SP1 Windows 7 x64 SP1 * * X X * * X X * * Windows 8 x86 Windows 8 x64 * * X X * * X X * * Windows 8.1 x86 Windows 8.1 x64 * * X X * * X X * * Windows HomeServer 2003 SP2 Windows HomeServer 2011 x64 X X X X Windows Server 2003 x86 SP2 Windows Server 2003 x64 SP2 Windows Server 2003 x86 R2 SP2 Windows Server 2003 x64 R2 SP2 X X X X X X X X X X X X X X X X Windows Server 2008 x64 R2 SP1 Windows Server 2008 x64 R2 CORE Windows Server 2008 x86 Windows Server 2008 x86 SP2 Windows Server 2008 x64 Windows Server 2008 x64 SP2 X X X X X X X X X X X X X X X X X X X X Windows Server 2012 x64 Windows Server 2012 x64 CORE Windows Server 2012 x64 R2 Windows Server 2012 x64 R2 CORE X X X X X X X X X X X X X X X X X X X X Microsoft SBS 2003 x86 SP2 ** Microsoft SBS 2003 x86 R2 ** Microsoft SBS 2008 x64 Microsoft SBS 2008 x64 SP2 ** Microsoft SBS 2011 x64 Standard Microsoft SBS 2011 x64 Essential X X X X X X X X X X X X X X X X X X 20 X X X X X X X X X X X X X * Komponenty ERA uruchamiane na klienckich systemach operacyjnych (wyłącznie do celów ewaluacyjnych). ** Program Microsoft SQL Server Express dołączony do systemu Microsoft Small Business Server (SBS) nie jest obsługiwany przez oprogramowanie ESET Remote Administrator. Aby uruchomić bazę danych ERA w systemie SBS, należy użyć nowszej wersji programu Microsoft SQL Server. Więcej szczegółowych informacji oraz instrukcje można znaleźć w części Instalacja w systemie Windows SBS/Essentials. W starszych systemach, takich jak Windows Server 2003, szyfrowanie protokołów może nie być w pełni obsługiwane po stronie systemu operacyjnego. W związku z tym zamiast szyfrowania TLS w wersji 1.2 używane jest w nich szyfrowanie TLS w wersji 1.0 (wersję TLS 1.0 uznaje się za mniej bezpieczną od nowszych wersji). Taka sytuacja może również mieć miejsce, gdy system operacyjny obsługuje szyfrowanie TLS w wersji 1.2, ale nie obsługuje go klient. W takim przypadku komunikacja jest szyfrowana przy użyciu protokołu TLS w wersji 1.0. Jeśli konieczne jest zwiększenie bezpieczeństwa komunikacji, zalecane jest korzystanie z nowszych systemów operacyjnych na serwerach i klientach (system Windows Server 2008 R2 i nowsze wersje w przypadku serwerów oraz system Windows Vista i nowsze w przypadku klientów). UWAGA: W systemie operacyjnym na komputerze można zainstalować program , a następnie wdrożyć urządzenie wirtualne. Umożliwi to uruchamianie programu ESET Remote Administrator w nieserwerowym systemie operacyjnym bez konieczności korzystania z oprogramowania ESXi. 21 2.3.2 System Linux System operacyjny Serwer Agent X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X CentOS 5 x86 CentOS 5 x64 CentOS 6 x86 CentOS 6 x64 CentOS 7 x86 CentOS 7 x64 X X X X X X X X X X X X X X X X X X X X X X SLED 11 x86 SLED 11 x64 SLES 11 x86 SLES 11 x64 X X X X X X X X X X X X X X X X X X X X OpenSUSE 13 x86 OpenSUSE 13 x64 X X X X X X X X X X Debian 7 x86 Debian 7 x64 X X X X X X X X X X Fedora 19 x86 Fedora 19 x64 Fedora 20 x86 Fedora 20 x64 X X X X X X X X X X X X X X X X X X X X Ubuntu 12.04 LTS x86 Desktop Ubuntu 12.04 LTS x86 Server Ubuntu 12.04 LTS x64 Desktop Ubuntu 12.04 LTS x64 Server Ubuntu 14.04 LTS x86 Desktop Ubuntu 14.04 LTS x86 Server Ubuntu 14.04 LTS x64 Desktop Ubuntu 14.04 LTS x64 Server RHEL 5 x86 RHEL 5 x64 RHEL Server 6 x86 RHEL Server 6 x64 RHEL Server 7 x86 RHEL Server 7 x64 Serwer proxy RD Sensor MDM 2.3.3 OS X System operacyjny OS X 10.7 Lion OS X 10.8 Mountain Lion OS X 10.9 Mavericks OS X 10.10 Yosemite Agent X X X X UWAGA: System OS X jest obsługiwany wyłącznie w charakterze klienta. Nie można zainstalować serwera ERA w systemie OS X. 22 2.4 Używane porty W poniższych tabelach przedstawiono wszystkie możliwe porty komunikacji sieciowej używane, gdy w infrastrukturze zainstalowane jest rozwiązanie ESET Remote Administrator oraz jego komponenty. Inne rodzaje komunikacji są obsługiwane przez procesy zachodzące w macierzystym systemie operacyjnym (na przykład NetBIOS przez TCP/IP). Serwer ERA: Protokół Port Użytkowanie Opisy TCP 2222 Nasłuchiwanie na serwerze ERA Komunikacja pomiędzy klientami a serwerem ERA Server Server TCP 2223 Komunikacja pomiędzy konsolą ERA Web Console Nasłuchiwanie na serwerze ERA a serwerem ERA Server stosowana w ramach Server instalacji wspomaganej UDP 1237 Transmisja Sygnał wznowienia Konsola internetowa ERA: Protokół Port Sposób użycia Opisy TCP 2223 Konsola internetowa TCP 443 Konsola internetowa HTTP SSL Serwer proxy ERA: Protokół Port Sposób użycia Opisy TCP 3128 Serwer proxy HTTP (buforowanie aktualizacji) TCP 2222 Serwer proxy Agent ERA: Protokół Port Sposób użycia Opisy TCP 139 Port docelowy z punktu widzenia serwera ERA Server Korzystanie z udziału ADMIN$ TCP 445 Port docelowy z punktu widzenia serwera ERA Server Bezpośredni dostęp do zasobów udostępnionych przy użyciu protokołu TCP/IP podczas zdalnej instalacji (alternatywa dla portu TCP 139) UDP 137 Port docelowy z punktu widzenia serwera ERA Server Rozpoznawanie nazwy podczas zdalnej instalacji UDP 138 Port docelowy z punktu widzenia serwera ERA Server Przeglądanie podczas zdalnej instalacji Moduł zarządzania urządzeniami mobilnymi: Protokół Port Sposób użycia Opisy TCP 9980 Rejestracja urządzenia mobilnego Port rejestracji TCP 9981 Komunikacja z rozwiązaniem ERA Komponent Moduł zarządzania urządzeniami mobilnymi łączy się z serwerem ERA Wstępnie zdefiniowane porty 2222 i 2223 można zmienić, jeśli są już używane przez inne aplikacje. UWAGA: Żaden z powyższych portów nie może być używany przez inne aplikacje. Może to spowodować 23 nieprawidłowości w działaniu programu. UWAGA: Należy pamiętać o skonfigurowaniu zapór w sieci tak, by umożliwić komunikację pomiędzy wymienionymi wyżej portami. 24 3. Procedura instalacji Instalację programu ESET Remote Administrator można przeprowadzić na kilka różnych sposobów. Wybierz typ instalacji, który najbardziej odpowiada Twoim potrzebom i jest najwłaściwszy dla używanego środowiska. Najprostszą metodą jest użycie instalatora programu ESET Remote Administrator (ERA) (pakietu do instalacji kompleksowej), który umożliwia zainstalowanie programu ESET Remote Administrator oraz jego komponentów na jednym komputerze. Instalacja komponentów umożliwia zainstalowanie różnych komponentów programu ESET Remote Administrator na różnych komputerach. Ta metoda umożliwia swobodne dostosowanie instalacji — można zainstalować każdy komponent na dowolnym komputerze pod warunkiem, że spełnia on wymogi systemowe. Użytkownicy chcący uruchamiać program ERA w środowisku zwirtualizowanym mogą przeprowadzić wdrożenie na urządzeniu wirtualnym. Instalatory programu ESET Remote Administrator dostępne są w różnych formach. Dostępne są one w obszarze Pliki do pobrania strony internetowej ESET w części Zdalne zarządzanie (kliknij znak +, by rozwinąć kategorię). W tym miejscu możesz pobrać następujące elementy: Pakiet instalacyjny programu ERA w postaci pliku zip Odrębne instalatory dla każdego z komponentów Urządzenie wirtualne (plik OVA) Obraz ISO, zawierający wszystkie instalatory programu ESET Remote Administrator (w tym wymienione wyżej) Aby zainstalować program ESET Remote Administrator, należy postępować według następujących kroków: 1. Upewnij się, że spełnione są wszystkie wymagania. 2. Możesz wybrać instalację pakietową (kompleksowy instalator rozwiązania ERA) lub instalację komponentów dla systemu operacyjnego Windows lub Linux. Możesz również wykorzystać urządzenie wirtualne, wdrażając plik OVA. 3. Pobierz odpowiedni plik instalacyjny, pakiet instalacyjny dla instalacji pakietowej lub osobne pliki instalacyjne dla każdego komponentu, który chcesz zainstalować. Możesz również pobrać plik OVA lub obraz ISO urządzenia wirtualnego, zawierający wszystkie pliki instalacyjne programu ESET Remote Administrator. 4. Przeprowadź instalację zgodnie z instrukcją instalacji opisaną w następnych rozdziałach. 5. W razie potrzeby zainstaluj opcjonalne komponenty (serwer proxy ERA, RD Sensor, Moduł zarządzania urządzeniami mobilnymi). Po zakończeniu procedury instalacji możesz się połączyć z serwerem ERA przy użyciu konsoli internetowej ERA i rozpocząć pierwsze kroki jego konfiguracji, mającej na celu rozpoczęcie korzystania z programu ESET Remote Administrator. 25 3.1 Instalacja pakietowa Instalacja pakietowa serwera ERA (instalator kompleksowy) dostępna jest wyłącznie dla systemów operacyjnych Windows i stanowi wygodny sposób instalacji wszystkich komponentów systemu ERA przy użyciu prostego kreatora instalacji. Po uruchomieniu pakietu instalacyjnego użytkownik ma do wyboru dwie opcje: Instalacja serwera Remote Administrator Instalacja serwera proxy Remote Administrator Instalacja serwera Remote Administrator Skorzystaj z poniższych instrukcji, obejrzyj film instruktażowy dostępny w bazie wiedzy lub przeczytaj ten artykuł bazy wiedzy, aby zapoznać się ze szczegółowymi instrukcjami dotyczącymi przeprowadzenia instalacji za pomocą kompleksowego instalatora. 1. Aby rozpocząć instalację, dwukrotnie kliknij pakiet instalacyjny. Wybierz opcję Serwer Remote Administrator. UWAGA: Jeśli rozwiązanie ERA ma zostać zainstalowane w środowisku klastra trybu failover, należy przeprowadzić instalację komponentów. 2. Wybierz komponenty, które chcesz zainstalować. Jeśli nie posiadasz serwera bazy danych, możesz zainstalować program Microsoft SQL Server 2008 R2 Express, który jest dołączony do pakietu instalacyjnego. Należy pamiętać, że wielkość bazy danych w programie Microsoft SQL Server 2008 R2 Express jest ograniczona do 10 GB. Korzystając z instalacji pakietowej można również zainstalować konsolę internetową ERA, moduł zarządzania urządzeniami mobilnymi, serwer proxy Apache HTTP oraz komponent Rogue Detection Sensor. 3. Wpisz prawidłowy klucz licencyjny lub wybierz opcję Aktywuj później. 4. Jeśli korzystasz z bazy danych programu SQL Express, zostanie zweryfikowane połączenie z bazą danych i pojawi się monit o wprowadzenie hasła do konsoli internetowej ERA (krok 8) oraz hasła do certyfikatu (krok 10). 5. Jeśli korzystasz z innego systemu bazy danych, wybierz konto użytkownika usługi. Konto to będzie używane do uruchamiania Usługi ESET Remote Administrator. Dostępne opcje: a. Konto usługi sieciowej b. Określony użytkownik: DOMENA/UŻYTKOWNIK 6. Nawiąż połączenie z bazą danych. Tutaj przechowywane są wszystkie dane, od hasła do konsoli internetowej po dzienniki komputerów klienckich. a. Baza danych: MySQL/MS SQL b. Sterownik ODBC: Sterownik MySQL ODBC 5.1/sterownik Unicode MySQL ODBC 5.2/SQL Server c. Nazwa hosta: nazwa hosta lub adres IP serwera bazy danych d. Port używany do połączenia z serwerem e. Nazwa/hasło administratora bazy danych W tym kroku następuje weryfikacja połączenia z bazą danych. Jeśli połączenie jest prawidłowe, można przejść do następnego kroku. 7. Wybierz użytkownika programu ESET Remote Administrator, który ma dostęp do bazy danych. Możesz wybrać istniejącego użytkownika lub utworzyć nowego. 8. Wprowadź hasło dostępu do konsoli internetowej. 9. Program ESET Remote Administrator do komunikacji między klientem a serwerem wykorzystuje certyfikaty. Można wybrać własne certyfikaty lub stworzyć nowe certyfikaty za pomocą serwera. 10. Zdefiniuj hasło do urzędu certyfikacji. Należy zapamiętać to hasło! Aby utworzyć urząd certyfikacji dla rozwiązania ESET Remote Administrator, kliknij przycisk Dalej. Można również wprowadzić informacje dodatkowe dotyczące certyfikatu (nie jest to obowiązkowe). Pole Hasło urzędu może pozostać puste, jednak w przypadku wprowadzenia hasła należy je zapamiętać. 11. Aby zainstalować serwer ERA, kliknij opcję Zainstaluj. 26 12. Po zakończeniu instalacji kliknij łącze wyświetlone w kreatorze instalacji, by uruchomić konsolę internetową (zalecamy dodanie tego adresu URL do zakładek), a następnie kliknij opcję Zakończ. UWAGA: Jeśli instalacja zakończy się z błędem 2068052081, rozwiązania można znaleźć w części Często zadawane pytania. Instalacja serwera proxy Remote Administrator 1. Uruchom pakiet instalacyjny. Wybierz opcję Serwer proxy Remote Administrator. 2. Wybierz komponenty, które chcesz zainstalować. Jeśli nie posiadasz serwera bazy danych, możesz zainstalować program Microsoft SQL Server 2008 R2 Express, który jest dołączony do pakietu instalacyjnego. Należy pamiętać, że wielkość bazy danych w programie Microsoft SQL Server 2008 R2 Express jest ograniczona do 10 GB. Przy użyciu pakietu instalacyjnego można również zainstalować narzędzie RD Sensor. 3. Nawiąż połączenie z bazą danych: a. Baza danych: MySQL/MS SQL b. Sterownik ODBC: sterownik MySQL ODBC 5.1/sterownik Unicode MySQL ODBC 5.2/SQL Server c. Nazwa hosta: nazwa hosta lub adres IP serwera bazy danych d. Port używany do połączenia z serwerem e. Nazwa/hasło administratora bazy danych W tym kroku następuje weryfikacja połączenia z bazą danych. Jeśli połączenie jest prawidłowe, można przejść do następnego kroku. 4. Wybierz port komunikacyjny serwera proxy. Domyślnie używany jest port 2222. 5. Skonfiguruj połączenie serwera proxy z programem ESET Remote Administrator. Wprowadź dane w polach Host serwera (nazwa hosta/adres IP serwera) oraz Port serwera (2222). 6. Wybierz certyfikat równorzędny i podaj hasło do tego certyfikatu. Opcjonalnie możesz dodać urząd certyfikacji. Jest to wymagane wyłącznie w przypadku niepodpisanych certyfikatów. 7. Opcjonalnie wybierz docelowy folder instalacji serwera proxy, a następnie kliknij opcję Zainstaluj. 8. Oprócz serwera proxy zostanie również zainstalowany agent ERA. 3.1.1 Instalacja w systemie Windows SBS/Essentials Sprawdź, czy spełnione zostały wszystkie wymagania, a w szczególności sprawdź obsługiwane systemy operacyjne. UWAGA: W niektórych starszych wersjach systemu Microsoft SBS dostępne są wersje programu Microsoft SQL Server Express nieobsługiwane przez program ESET Remote Administrator: Microsoft SBS 2003 x86 SP2 Microsoft SBS 2003 x86 R2 Microsoft SBS 2008 x64 SP2 Jeśli używasz którejś z wyżej wymienionych wersji systemu Windows Small Business Server, a chcesz zainstalować bazę danych ERA w systemie Microsoft SBS, konieczne jest użycie nowszej wersji programu Microsoft SQL Server Express. o Jeśli program Microsoft SQL Express nie jest zainstalowany w używanym systemie SBS, wykonaj poniższe działania. o Jeśli program Microsoft SQL Express jest zainstalowany w systemie SBS, ale nie jest używany, odinstaluj go i wykonaj poniższe działania. o Jeśli używasz programu Microsoft SQL Server Express w wersji dostarczonej z systemem SBS, przeprowadź migrację bazy danych do wersji programu SQL Express zgodnej z serwerem ERA. W tym celu wykonaj kopie zapasowe baz danych, odinstaluj program Microsoft SQL Server Express i wykonaj poniższe działania w celu zainstalowania zgodnej wersji programu Microsoft SQL Server Express i w razie potrzeby przywróć bazy danych. 27 1. Pobierz pakiet instalacyjny programu ERA dostępny w postaci spakowanej w obszarze Pliki do pobrania strony internetowej ESET w części Zdalne zarządzanie (kliknij znak +, by rozwinąć kategorię). 2. Rozpakuj plik instalacyjny pobrany w kroku pierwszym, otwórz folder instalacyjny i dwukrotnie kliknij pozycję SQLEXPR_x64_ENU. Zostanie uruchomione centrum instalacyjne. Kliknij pozycję Nowa instalacja lub Dodaj funkcje do istniejącej instalacji, aby uruchomić kreatora instalacji. UWAGA: W kroku 8 procedury instalacji w pozycji Tryb uwierzytelniania wybierz opcję Tryb mieszany (Uwierzytelnianie programu SQL Server i Uwierzytelnianie Windows). UWAGA: Aby zainstalować serwer ERA w systemie SBS, należy zezwolić na połączenia TCP/IP z programem SQL Server. 3. Zainstaluj program ESET Remote Administrator, otwierając plik Setup.exe. 28 4. Wybierz komponenty, które chcesz zainstalować, odznacz pozycję Microsoft SQL Server Express i kliknij opcję Zainstaluj. 29 3.2 Baza danych W programie ESET Remote Administrator baza danych służy do zapisywania danych klientów. W kolejnych sekcjach znajdują się szczegółowe informacje dotyczące instalacji, tworzenia kopii zapasowej, uaktualniania oraz migracji bazy danych serwera ERA i serwera proxy ERA: Należy sprawdzić zgodność bazy danych oraz wymagania systemowe serwera ERA. Jeśli baza danych nie została skonfigurowana do użytku z serwerem ERA, do instalatora dołączony jest program Microsoft SQL Server Express. Jeśli używasz systemu Microsoft Small Business Server (SBS) lub Essentials, zalecamy sprawdzenie czy spełnione są wszystkie wymagania i czy korzystasz z obsługiwanego systemu operacyjnego. Jeśli spełnione są wszystkie wymagania, należy postępować zgodnie z instrukcjami dotyczącymi instalacji dla systemu Windows SBS/ Essentials, aby zainstalować serwer ERA na tych systemach operacyjnych. Jeśli w systemie zainstalowany jest program Microsoft SQL Server, sprawdź wymagania, by upewnić się, że ta wersja programu Microsoft SQL Server jest obsługiwana przez program ESET Remote Administrator. Jeśli używana wersja programu Microsoft SQL Server nie jest obsługiwana, uaktualnij program SQL Server do zgodnej wersji. 3.2.1 Kopia zapasowa serwera baz danych Wszystkie informacje i ustawienia dotyczące programu ESET Remote Administrator przechowywane są w bazie danych. Aby uniknąć utraty danych, zalecamy regularne tworzenie kopii zapasowych bazy danych. Spośród sekcji znajdujących się poniżej należy skorzystać z tej, która odpowiada używanej bazie danych: MySQL SQL Server Kopię zapasową można również utworzyć w późniejszym terminie, podczas migracji programu ESET Remote Administrator na nowy serwer. Jeśli chcesz przywrócić kopię zapasową bazy danych, postępuj według poniższych instrukcji: MySQL SQL Server 3.2.2 Uaktualnienie serwera baz danych Aby uaktualnić używaną instancję programu Microsoft SQL Server obsługującego bazę danych serwera ERA lub serwera proxy ERA do nowszej wersji, wykonaj poniższe instrukcje: 1. Zatrzymaj wszystkie uruchomione usługi serwera ERA lub serwera proxy ERA wymagające połączenia z serwerem baz danych, który zamierzasz uaktualnić. Ponadto zatrzymaj wszystkie inne aplikacje, które mogą łączyć się z używaną instancją programu Microsoft SQL Server. 2. Zanim przejdziesz do dalszych działań wykonaj kopie zapasowe wszystkich niezbędnych baz danych. 3. Uaktualnij serwer baz danych, wykonując instrukcje dostawcy serwera baz danych. 4. Uruchom wszystkie usługi na serwerze ERA lub serwerze proxy ERA i sprawdź ich dzienniki śledzenia w celu zweryfikowania, czy połączenie z bazą danych działa prawidłowo. Dodatkowe informacje dotyczące używanej bazy danych możesz znaleźć na poniższych stronach internetowych: Uaktualnianie programu SQL Server https://msdn.microsoft.com/en-us/library/bb677622.aspx (możesz kliknąć pozycję Inne wersje, aby uzyskać instrukcje dotyczące uaktualniania programu SQL Server do określonej wersji) Uaktualnianie serwera MySQL (do wersji 5.6) http://dev.mysql.com/doc/refman/5.6/en/upgrading.html 30 3.2.3 Migracja bazy danych ERA Kliknij odpowiednie łącze poniżej, by zapoznać się z instrukcjami dotyczącymi migracji bazy danych serwera ERA lub serwera proxy ERA między różnymi instancjami programu SQL Server (dotyczy to również migracji do innych wersji programu SQL Server lub migracji do programu SQL Server zainstalowanego na innym komputerze): Procedura migracji programu SQL Server Procedura migracji programu MySQL Server 3.2.3.1 Procedura migracji programu SQL Server Procedura migracji jest taka sama w przypadku programów Microsoft SQL Server oraz Microsoft SQL Server Express. Dodatkowe informacje można znaleźć w następującym artykule bazy wiedzy firmy Microsoft: https:// msdn.microsoft.com/en-us/library/ms189624.aspx. Wymagania wstępne: o Zainstalowana źródłowa i docelowa instancja programu SQL Server. Mogą być hostowane na różnych komputerach. o Docelowa instancja programu SQL Server musi być co najmniej w tej samej wersji co instancja źródłowa. Migracja do starszej wersji nie jest obsługiwana! o Zainstalowane musi być narzędzie SQL Server Management Studio. Jeśli instancje programu SQL Server znajdują się na różnych komputerach, narzędzie to musi być zainstalowane na obu. Migracja: 1. Zatrzymaj usługę Serwer ERA lub Serwer proxy ERA. 2. Zaloguj się do źródłowej instancji programu SQL Server przy użyciu narzędzia SQL Server Management Studio. 3. Utwórz pełną kopię zapasową bazy danych, która ma zostać podana migracji. Zalecamy podanie nowej nazwy zestawu kopii zapasowych. W przeciwnym razie, jeśli zestaw kopii zapasowych był już wcześniej używany, nowa kopia zapasowa zostanie do niego dołączona, co spowoduje niepotrzebne zwiększenie objętości pliku kopii zapasowej. 4. Przełącz źródłową bazę danych do trybu offline, wybierając opcje Zadania > Przełącz do trybu offline. 31 5. Skopiuj plik kopii zapasowej (.bak) utworzony w kroku 3 do lokalizacji dostępnej dla docelowej instancji programu SQL Server. Konieczna może być edycja uprawnień dostępu do pliku kopii zapasowej bazy danych. 6. Przełącz źródłową bazę danych do trybu online, ale nie uruchamiaj jeszcze serwera ERA! 7. Zaloguj się do docelowej instancji programu SQL Server przy użyciu narzędzia SQL Server Management Studio. 8. Przywróć bazę danych w docelowej instancji programu SQL Server. 9. Wpisz nazwę nowej bazy danych w polu Do bazy danych. Możesz nazwać ją tak samo jak starą bazę danych. 10.Wybierz opcję Z urządzenia w obszarze Określ źródło i lokalizację zestawów kopii zapasowych do przywrócenia, a następnie kliknij … . 32 11.Kliknij opcję Dodaj, przejdź do pliku kopii zapasowej i otwórz go. 12. Wybierz najnowszą z dostępnych kopii zapasowych do przywrócenia (w zestawie kopii zapasowych może się znajdować większa liczba kopii zapasowych). 13. Kliknij stronę Opcje w kreatorze przywracania. Można też wybrać opcję Zastąp istniejącą bazę danych i sprawdzić, czy lokalizacje przywracania bazy danych (.mdf) oraz dziennika (.ldf) są prawidłowe. Pozostawienie wartości domyślnych bez zmian spowoduje użycie ścieżek ze źródłowej instancji programu SQL Server, dlatego należy sprawdzić te wartości. o Jeśli nie wiesz, gdzie w docelowej instancji programu SQL Server zapisywane są pliki bazy danych, kliknij prawym przyciskiem myszy istniejącą bazę danych, wybierz pozycję Właściwości i kliknij kartę Pliki. Katalog, w którym zapisana jest baza danych, jest widoczny w kolumnie Ścieżka w tabeli przedstawionej poniżej. 33 14.Kliknij opcję OK w oknie kreatora przywracania. 15.Sprawdź, czy na nowym serwerze bazy danych włączone jest uwierzytelnianie programu SQL Server. Kliknij serwer prawym przyciskiem myszy i kliknij pozycję Właściwości. Przejdź do obszaru Zabezpieczenia i sprawdź, czy wybrano Tryb uwierzytelniania programu SQL Server oraz Tryb uwierzytelniania Windows. 34 16.Utwórz nową nazwę użytkownika programu SQL Server (dla serwera ERA lub serwera proxy ERA) w docelowej instancji programu SQL Server z uwierzytelnianiem programu SQL Server i zmapuj tę nazwę, przypisując ją do użytkownika w przywróconej bazie danych. o Nie wymuszaj wygasania hasła! o Znaki zalecane w przypadku nazw użytkowników: Małe litery z zestawu znaków ASCII, cyfry oraz znak podkreślenia „_” o Znaki zalecane w przypadku haseł: TYLKO znaki z zestawu znaków ASCII, w tym małe i wielkie litery z zestawu znaków ASCII, cyfry, spacje i znaki specjalne o Nie należy używać znaków spoza zestawu znaków ASCII, takich jak nawiasy klamrowe {} i znak @ o Uwaga: W razie niezastosowania się do powyższych zaleceń dotyczących znaków możliwe są problemy z komunikacją z bazą danych lub konieczne może być anulowanie znaków specjalnych na późniejszych etapach, podczas modyfikacji ciągu połączenia bazy danych. Reguły anulowania znaków nie zostały opisane w niniejszym dokumencie. 35 17.Zmapuj nazwę użytkownika, przypisując ją do użytkownika w docelowej bazie danych. Na karcie mapowań użytkowników sprawdź, czy do użytkownika bazy danych przypisane są następujące role: db_datareader, db_datawriter, db_owner. 36 18.Aby włączyć najnowsze funkcje serwera bazy danych, zmień poziom zgodności w przywróconej bazie danych na najnowszy. Kliknij nową bazę danych prawym przyciskiem myszy i otwórz obszar Właściwości bazy danych. 37 UWAGA: W narzędziu SQL Server Management Studio nie można określać poziomów zgodności nowszych od wersji, która jest w użyciu. Na przykład w narzędziu SQL Server Management Studio 2008 nie można ustawić poziomu zgodności z programem SQL Server 2014. 19.Znajdź plik startupconfiguration.ini na komputerze, na którym zainstalowany jest serwer ERA lub serwer proxy ERA. o W systemie Windows Vista i nowszych: % PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Conf iguration \startupconf iguration.ini o We wcześniejszych wersjach systemu Windows: % ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData \Conf iguration\startupconf iguration.ini o W systemie Linux: /etc/opt/eset/RemoteAdministrator/Server/StartupConf iguration.ini 20.Zmień ciąg połączenia z bazą danych w pliku startupconfiguration.ini serwera ERA lub serwera proxy ERA. o Skonfiguruj adres i port nowego serwera bazy danych. o Skonfiguruj nową nazwę użytkownika ERA i hasło w ciągu połączenia. Efekt końcowy powinien wyglądać następująco: DatabaseType=MSSQLOdbc DatabaseConnectionString=Driver=SQL Server;Server=localhost,1433;Uid=era_user1;Pwd={TajneHaslo123};Ch 21.Uruchom serwer ERA lub serwer proxy ERA i sprawdź, czy usługa Serwer ERA lub Server proxy ERA działa prawidłowo. 38 3.2.3.2 Procedura migracji programu MySQL Server Wymagania wstępne: o Zainstalowana źródłowa i docelowa instancja programu SQL Server. Mogą być hostowane na różnych komputerach. o Narzędzia MySQL muszą być dostępne na co najmniej jednym z komputerów (mysqldump i kliencie mysql). Przydatne łącza: http://dev.mysql.com/doc/refman/5.6/en/copying-databases.html http://dev.mysql.com/doc/refman/5.6/en/mysqldump.html http://dev.mysql.com/doc/refman/5.6/en/mysql.html W przedstawionych dalej poleceniach, plikach konfiguracyjnych oraz instrukcjach SQL należy zawsze zastępować zmienne według poniższych instrukcji: SRCHOST zastąp adresem serwera źródłowej bazy danych SRCROOTLOGIN zastąp nazwą użytkownika źródłowego serwera głównego MySQL SRCERADBNAME zastąp nazwą źródłowej bazy danych ERA, której kopię zapasową chcesz utworzyć BACKUPFILE zastąp ścieżką do pliku, w którym zostanie zapisana kopia zapasowa TARGETHOST zastąp adresem serwera docelowej bazy danych TARGETROOTLOGIN zastąp nazwą użytkownika docelowego serwera głównego MySQL TARGETERADBNAME zastąp nazwą docelowej bazy danych ERA (po migracji) TARGETERALOGIN zastąp nazwą użytkownika nowej bazy danych ERA na docelowym serwerze MySQL TARGETERAPASSWD zastąp hasłem do nowej bazy danych ERA na docelowym serwerze MySQL Poniższych instrukcji SQL nie trzeba wykonywać przy użyciu wiersza polecenia. Jeśli dostępne jest narzędzie z graficznym interfejsem użytkownika, można skorzystać ze znanej aplikacji. 1. Zatrzymaj usługę Serwer ERA lub Serwer proxy ERA. 2. Utwórz pełną kopię zapasową źródłowej bazy danych ERA (bazy danych, która ma zostać poddana migracji): mysqldump --host SRCHOST --disable-keys --extended-insert -u SRCROOTLOGIN -p SRCERADBNAME > BACKUPFILE 3. Przygotuj pustą bazę danych na docelowym serwerze MySQL: mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE DATABASE TARGETERADBNAME /*!40100 DEFAULT UWAGA: W systemie Linux zamiast znaku cudzysłowu (") należy używać znaku apostrofu ('). 4. Na docelowym serwerze MySQL przywróć bazę danych do przygotowanej wcześniej pustej bazy danych: mysql --host TARGETHOST -u TARGETROOTLOGIN -p TARGETERADBNAME < BACKUPFILE 5. Utwórz użytkownika bazy danych ERA na docelowym serwerze MySQL: mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE USER TARGETERALOGIN@'%' IDENTIFIED BY 'TA Znaki zalecane w przypadku pozycji TARGETERALOGIN: Małe litery z zestawu znaków ASCII, cyfry oraz znak podkreślenia „_” Znaki zalecane w przypadku pozycji TARGETERAPASSWD: Tylko znaki z zestawu znaków ASCII, w tym małe i wielkie litery z zestawu znaków ASCII, cyfry, spacje i znaki specjalne Nie należy używać znaków spoza zestawu znaków ASCII, nawiasów klamrowych {} ani znaku @ 39 Uwaga: W razie niezastosowania się do powyższych zaleceń dotyczących znaków możliwe są problemy z komunikacją z bazą danych lub konieczne może być anulowanie znaków specjalnych na późniejszych etapach, podczas modyfikacji ciągu połączenia bazy danych. Reguły anulowania znaków nie zostały opisane w niniejszym dokumencie. 6. Nadaj odpowiednie uprawnienia dostępu użytkownikowi bazy danych ERA na docelowym serwerze MySQL: mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=GRANT ALL ON TARGETERADBNAME.* TO TARGETERALOGIN UWAGA: W systemie Linux zamiast znaku cudzysłowu (") należy używać znaku apostrofu ('). 7. Znajdź plik startupconfiguration.ini na komputerze, na którym zainstalowany jest serwer ERA lub serwer proxy ERA. o W systemie Windows Vista i nowszych: % PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Conf iguration \startupconf iguration.ini o We wcześniejszych wersjach systemu Windows: % ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData \Conf iguration\startupconf iguration.ini o W systemie Linux: /etc/opt/eset/RemoteAdministrator/Server/StartupConf iguration.ini 8. Zmień ciąg połączenia z bazą danych w pliku startupconfiguration.ini serwera ERA lub serwera proxy ERA. o Skonfiguruj adres i port nowego serwera bazy danych. o Skonfiguruj nazwę użytkownika i hasło Efekt końcowy powinien wyglądać następująco: DatabaseType=MySqlOdbc DatabaseConnectionString=Driver=MySQL ODBC 5.3 Unicode Driver;Server=TARGETHOST;Port=3306;User=TARGETERAL 9. Uruchom serwer ERA lub serwer proxy ERA i sprawdź, czy usługa Serwer ERA lub Server proxy ERA działa prawidłowo. 3.3 Obraz ISO Plik obrazu ISO to jeden z formatów, w których można pobrać (z kategorii instalatorów kompleksowych) programy instalacyjne programu ESET Remote Administrator. Obraz ISO zawiera następujące elementy: Pakiet instalacyjny programu ERA Odrębne instalatory dla każdego z komponentów Obraz ISO jest przydatny, gdy użytkownik chce przechowywać wszystkie programy instalacyjne programu ESET Remote Administrator w jednym miejscu. Korzystanie z niego eliminuje również potrzebę pobierania programów instalacyjnych ze strony internetowej firmy ESET za każdym razem, gdy trzeba przeprowadzić instalację. Obraz ISO jest również przydatny podczas instalowania programu ESET Remote Administrator na maszynie wirtualnej. 3.4 Urządzenie wirtualne Serwer ERA można wdrożyć w środowisku VMware lub Microsoft Hyper-V. Urządzenie wirtualne ERA dostępne jest w postaci pliku OVA (Open Virtualization Appliance). Plik OVA to szablon, zawierający funkcjonalny system operacyjny CentOS 6.5. Przy użyciu odpowiedniego szablonu można wdrożyć serwer ERA, serwer proxy ERA lub serwer ERA MDM. Podczas wdrażania szablonu OVF w środowisku VMware należy postępować według instrukcji dostępnych w kreatorze instalacji w celu podania hasła do konta administratora ERA oraz skonfigurowania maszyny wirtualnej przed wdrożeniem. Po wdrożeniu urządzenia maszyna wirtualna stanowi kompletne środowisko, w którym można używać oprogramowania ESET Remote Administrator. Urządzenia wirtualne ERA należą do rodziny sprzętów wirtualnych vmx-07 i są obsługiwane przez następujące infrastruktury VMware Hypervisor: 40 o ESXi 5.0 i nowsze o Workstation 6.5 i nowsze W systemie operacyjnym na komputerze można użyć programu VMware Player lub Oracle VirtualBox, a następnie wdrożyć urządzenie wirtualne przy użyciu dostępnej w nim konfiguracji. Umożliwi to uruchamianie programu ESET Remote Administrator w nieserwerowym systemie operacyjnym bez konieczności korzystania z oprogramowania ESXi klasy korporacyjnej. Dotyczy to wyłącznie pliku ERA_Server.ova. Wdrażanie szablonu OVF na kliencie vSphere 1. Nawiąż połączenie z serwerem vCenter przy użyciu klienta vSphere (nie nawiązuj bezpośredniego połączenia z serwerem ESXi). 2. Na górnym pasku menu kliknij opcję Plik i wybierz pozycję Wdrożenie szablonu OVF. 3. Kliknij przycisk Przeglądaj i przejdź do pliku OVA pobranego ze strony internetowej firmy ESET i kliknij opcję Otwórz. W zależności od wdrażanego komponentu użyj pliku ERA_Server.ova, ERA_Proxy.ova lub ERA_MDM.ova. 4. Kliknij przycisk Dalej w oknie szczegółów szablonu OVF. 5. Przeczytaj i zaakceptuj Umowę licencyjną użytkownika końcowego (EULA). 6. Wykonaj instrukcje wyświetlane na ekranie, aby zakończyć instalację i podaj następujące informacje dotyczące klienta wirtualnego: - Nazwa i lokalizacja - Host/klaster - Pula zasobów - Pamięć masowa - Format dysku - Mapowanie sieci 6. Na stronie Właściwości podaj dane w polach Nazwa hosta (będzie to nazwa hosta serwera ERA lub serwera proxy ERA) oraz Hasło. To hasło jest ważne, ponieważ będzie używane we wszystkich komponentach oprogramowania ERA — w bazie danych ERA, na serwerze ERA oraz w konsoli internetowej ERA, a także przy uzyskiwaniu dostępu do maszyny wirtualnej ERA (z systemem CentOS). 41 7. Pozostałe pola są opcjonalne. Możesz podać szczegóły dotyczące domeny Windows, które przydadzą się podczas synchronizacji grupy statycznej. Możesz również skonfigurować właściwości sieci. 8. Kliknij przycisk Dalej, zapoznaj się z podsumowaniem wdrożenia i kliknij przycisk Zakończ. Uruchomiona procedura automatycznie utworzy maszynę wirtualną z zastosowaniem wprowadzonych ustawień. Po pomyślnym utworzeniu maszyny wirtualnej można ją włączyć. 42 9. Gdy otworzysz konsolę VMware po wdrożeniu rozwiązania ERA, widoczne w niej będą następujące informacje, wraz z adresem URL konsoli internetowej ERA w formacie https://[adres IP]:8443. Wpisz wyświetlony adres URL w przeglądarce internetowej, aby zalogować się do konsoli internetowej ERA (użyj hasła podanego w kroku 6). UWAGA: Zdecydowanie zalecamy skonfigurowanie ról i funkcji na serwerze vCenter w taki sposób, aby użytkownicy środowiska VMware nie mieli dostępu do maszyny wirtualnej ERA. Uniemożliwi to użytkownikom ingerowanie w ustawienia maszyny wirtualnej ERA. Użytkownicy rozwiązania ERA nie mają potrzeby uzyskiwania dostępu do maszyny wirtualnej. Aby zarządzać dostępem do samego produktu ESET Remote Administrator, należy przejść do obszaru Uprawnienia dostępu na konsoli internetowej ERA. 3.4.1 VMware Player Wdrażanie szablonu OVF w programie VMware Player Zalecamy korzystanie z najnowszej wersji programu VMware Player. 1. Wybierz kolejno opcje Plik > Otwórz maszynę wirtualną. 2. Przejdź do pliku OVA (ERA_Server.ova) pobranego ze strony internetowej firmy ESET. Kliknij opcję Otwórz. 3. Podaj nazwę nowej maszyny wirtualnej oraz lokalną ścieżkę do miejsca, w którym zostanie zapisana, i kliknij opcję Importuj. 4. Przeczytaj Umowę licencyjną użytkownika końcowego (EULA) i zaakceptuj ją, jeśli zgadzasz się z jej postanowieniami. 5. Po wdrożeniu urządzenia włącz je. Spowoduje to wyświetlenie następujących informacji: 43 6. Należy zmodyfikować plik konfiguracyjny ovf.xml tak, aby zawierał szczegóły dotyczące połączenia z bazą danych itp. Aby to zrobić, wykonaj instrukcje wyświetlane na ekranie. 3.4.2 Oracle VirtualBox Wdrażanie pliku OVA w środowisku VirtualBox Zalecamy korzystanie z najnowszej wersji środowiska VirtualBox. 1. Kliknij pozycję Plik i wybierz opcję Zaimportuj urządzenie... 2. Kliknij przycisk Przeglądaj i przejdź do pliku OVA (ERA_Server.ova) pobranego ze strony internetowej firmy ESET i kliknij opcję Otwórz. Kliknij przycisk Dalej. 3. Sprawdź ustawienia urządzenia i kliknij opcję Importuj. 4. Przeczytaj Umowę licencyjną użytkownika końcowego (EULA) i zaakceptuj ją, jeśli zgadzasz się z jej postanowieniami. 5. Po wdrożeniu urządzenia włącz je. Spowoduje to wyświetlenie następujących informacji: 44 6. Należy zmodyfikować plik konfiguracyjny ovf.xml tak, aby zawierał szczegóły dotyczące połączenia z bazą danych itp. Aby to zrobić, wykonaj instrukcje wyświetlane na ekranie. 3.4.3 Microsoft Hyper-V Wdrażanie pliku OVA na serwerze Microsoft Hyper-V 1. Wyodrębnij pliki (pobrane ze strony internetowej firmy ESET) z pliku urządzenia wirtualnego (ERA_Server.ova) przy użyciu odpowiedniego narzędzia, takiego jak Tar lub 7-Zip. Zostaną wyświetlone nazwy wyodrębnionych plików, a wśród nich będzie plik .vmdk (np. ERA_Server-disk1.vmdk). 2. Pobierz i zainstaluj narzędzie Microsoft Virtual Machine Converter 3.0 http://www.microsoft.com/en-us/ download/details.aspx?id=42497. 3. Sprawdź, czy w systemie (szczególnie w przypadku systemu Windows 7) dostępne jest środowisko Windows PowerShell 3.0 (lub w nowszej wersji). W tym celu należy wykonać poniższe działania: a. b. c. d. Otwórz wiersz polecenia systemu Windows (cmd.exe). W wierszu polecenia wpisz powershell i naciśnij klawisz Enter. W środowisku PowerShell wpisz polecenie $PSVersionTable i naciśnij klawisz Enter. Jeśli wyświetlony zostanie tekst PSVersion 3.0 (lub w nowszej wersji), przejdź do kroku 5. W przeciwnym razie pobierz i zainstaluj program Windows Management Framework 3.0 http://www.microsoft.com/en-us/ download/details.aspx?id=34595. e. Powtórz kroki od a do c w celu sprawdzenia, czy zainstalowane jest środowisko Powershell 3.0 lub nowsze, a następnie przejdź do kroku 5. 4. Uruchom środowisko PowerShell i wykonaj polecenia podane w poniższych krokach. 5. Uruchom polecenie importowania modułu: import-Module 'C:\Program Files\Microsoft Virtual Machine Converter\MvmcCmdlet.psd1' 6. Aby sprawdzić, czy import się powiódł, wyświetl zaimportowane moduły przy użyciu następującego polecenia: get-command -Module mvmccmdlet 7. Przekonwertuj dysk .vmdk wyodrębniony w kroku 1. (ERA_Server-disk1.vmdk w przypadku wdrażania serwera ERA): 45 a. W systemie Windows 7 należy użyć formatu VHD: ConvertTo-MvmcVirtualHardDisk -SourceLiteralPath <path>\ERA_Server-disk1.vmdk DestinationLiteralPath <output-dir> -VhdType DynamicHardDisk -VhdFormat Vhd b. W systemie Windows 8 i nowszych można użyć formatu VHDX: ConvertTo-MvmcVirtualHardDisk -SourceLiteralPath <path>\ERA_Server-disk1.vmdk DestinationLiteralPath <output-dir> -VhdType DynamicHardDisk -VhdFormat Vhdx 8. Połącz się z serwerem Hyper-V. 9. Utwórz maszynę wirtualną (generacji 1) z co najmniej 4 rdzeniami i 4 GB pamięci RAM. W tej maszynie wirtualnej używany będzie dysk przekonwertowany w kroku 7. 3.5 Klaster trybu failover — system Windows Poniżej przedstawiono zaawansowane działania wymagane podczas instalacji programu ESET Remote Administrator na klastrze trybu failover: 1. Utwórz klaster trybu failover. Taki klaster powinien mieć dysk udostępniony, adres IP oraz nazwę klastra. a. Instrukcje dotyczące tworzenia klastra trybu failover w systemie Windows Server 2012 b. Instrukcje dotyczące tworzenia klastra trybu failover w systemie Windows Server 2008 2. Zainstaluj serwer ERA oraz agenta ERA na aktywnym węźle. Wybierz dysk udostępniony jako pamięć masową do przechowywania danych aplikacji. 3. Zmień aktywny węzeł i powtórz krok 2. 4. W menedżerze konfiguracji klastra utwórz 2 usługi klastra: agenta ERA i serwer ERA. 5. Skonfiguruj odpowiednie zależności: usługi powinny uruchomić się po zainicjowaniu zasobów z kroku 1. Agent ERA powinien być również zależny od serwera ERA. 6. W ramach klastra nie jest obsługiwana baza danych ani serwer sieciowy. UWAGA: Instalacji serwera ERA na klastrze trybu failover nie można przeprowadzić przy użyciu instalatora oprogramowania ERA. W celu zainstalowania oprogramowania ESET Remote Administrator na klastrze trybu failover należy przeprowadzić instalację komponentów. 3.6 Klaster trybu failover — system Linux Poniższe informacje odnoszą się do instalacji i konfiguracji programu ESET Remote Administrator na klastrze Red Hat o wysokiej dostępności (HA). Obsługa klastra z systemem Linux Wymagania wstępne Zakres Procedura instalacji Obsługa klastra z systemem Linux Serwer ESET Remote Administrator lub komponenty serwera proxy ERA można zainstalować na klastrze z systemem Red Hat Linux 6 i nowszym. Klaster trybu failover jest obsługiwany wyłącznie w trybie aktywnym/pasywnym z menedżerem klastra rgmanager. Wymagania wstępne Klaster aktywny/pasywny musi być zainstalowany i skonfigurowany. Aktywny może być w danym momencie tylko jeden węzeł. Inne węzły muszą być w stanie wstrzymania. Nie jest obsługiwane równoważenie obciążenia. 46 Obsługiwane są magazyny udostępnione iSCSI SAN, NFS oraz inne rozwiązania (dowolne technologie lub protokoły zapewniające dostęp blokowy lub plikowy do magazynu udostępnionego, w ramach których urządzenia udostępnione widoczne są jako urządzenia podłączone lokalnie do systemu operacyjnego). Magazyn udostępniony musi być dostępny z każdego aktywnego węzła w ramach klastra, a współużytkowany system plików musi być odpowiednio zainicjowany (na przykład przy użyciu systemu plików EXT3 lub EXT4). Do zarządzania systemem wymagane są następujące dodatki HA: o rgmanager o Conga Dodatek rgmanager to klasyczny stos klastra Red Hat HA. Jest to element obowiązkowy. Interfejs GUI CongaConga jest opcjonalny. Klastrem trybu failover można zarządzać bez tego elementu, jednak zalecane jest zainstalowanie go w celu uzyskania najwyższej wydajności. W tej instrukcji założono, że jest on zainstalowany. Aby zapobiec uszkodzeniu danych, należy odpowiednio skonfigurować ustawienia Fencing (odgradzanie). Administrator klastra musi skonfigurować odgradzanie, jeśli konfiguracja nie została jeszcze wprowadzona. Jeśli klaster nie został jeszcze uruchomiony, przy konfiguracji klastra trybu failover (aktywnego/pasywnego) o wysokiej dostępności z systemem Red Hat można skorzystać z poniższej instrukcji: Administrowanie klastrem Red Hat Enterprise Linux 6. Zakres Komponenty oprogramowania ESET Remote Administrator, które można zainstalować na klastrze HA z systemem Red Hat Linux: Serwer ERA z agentem ERA Serwer proxy ERA z agentem ERA UWAGA: Agent ERA musi zostać zainstalowany, gdyż w przeciwnym razie nie będzie możliwe uruchomienie usługi klastrowania ERA. UWAGA: Instalacja bazy danych serwera ERA oraz konsoli internetowej ERA nie jest obsługiwana. Poniższy przykład instalacji dotyczy klastra z 2 węzłami. Można jednak zainstalować program ESET Remote Administrator na klastrze wielowęzłowym, przyjmując, że niniejszy przykład ma wyłącznie charakter poglądowy. W tym przykładzie węzłom klastra nadano nazwy węzeł 1 oraz węzeł 2. Procedura instalacji 1. Zainstaluj serwer ERA lub serwer proxy ERA, a następnie agenta ERA na węźle 1. W trakcie instalowania agenta ERA, podczas korzystania z polecenia --hostname=, istnieje możliwość określenia hosta localhost (nie należy podawać adresu IP ani rzeczywistej nazwy hosta danego węzła). Można również podać zewnętrzny adres IP lub nazwę hosta interfejsu klastra. Należy pamiętać, że nazwa hosta w certyfikacie serwera lub serwera proxy musi zawierać zewnętrzny adres IP (lub nazwę hosta) interfejsu klastra (nie lokalny adres IP czy nazwę hosta węzła). Podczas instalacji agenta ERA z użyciem polecenia --hostname= do wyboru są następujące opcje: o Można podać zewnętrzny adres IP lub nazwę hosta interfejsu klastra. o Można również wskazać hosta lokalnego (nie należy podawać adresu IP ani rzeczywistej nazwy hosta danego węzła). W takim przypadku nazwa hosta certyfikatu serwera ERA lub serwera proxy ERA musi zawierać dodatkowo hosta lokalnego. 2. Zatrzymaj i wyłącz usługi agenta ERA oraz serwera ERA (lub serwera proxy ERA) dla systemu Linux przy użyciu następujących poleceń: chkconfig eraagent off chkconfig eraserver off service eraagent stop service eraserver stop 47 3. Zamontuj magazyn udostępniony na węźle 1. W tym przykładzie magazyn udostępniony zamontowano przy użyciu ścieżki /usr/share/erag2cluster. 4. W lokalizacji /usr/share/erag2cluster utwórz następujące katalogi: /usr/share/erag2cluster/etc/opt /usr/share/erag2cluster/opt /usr/share/erag2cluster/var/log /usr/share/erag2cluster/var/opt 5. Kolejno przenieś poniższe katalogi do wskazanych poniżej miejsc docelowych (źródło > miejsce docelowe): Przenieś folder: /etc/opt/eset /opt/eset /var/log/eset /var/opt/eset Przenieś do: /usr/share/erag2cluster/etc/opt/ /usr/share/erag2cluster/opt/ /usr/share/erag2cluster/var/log/ /usr/share/erag2cluster/var/opt/ 6. Utwórz łącza symboliczne przy użyciu następujących poleceń: ln -s /usr/share/erag2cluster/etc/opt/eset /etc/opt/eset ln -s /usr/share/erag2cluster/opt/eset /opt/eset ln -s /usr/share/erag2cluster/var/log/eset /var/log/eset ln -s /usr/share/erag2cluster/var/opt/eset /var/opt/eset 7. Odmontuj magazyn udostępniony z węzła 1 i zamontuj go w węźle 2, korzystając z tego samego katalogu, w którym był zamontowany w węźle 1 (/usr/share/erag2cluster). 8. Na węźle 2 utwórz łącza symboliczne przy użyciu następujących poleceń: ln -s /usr/share/erag2cluster/etc/opt/eset /etc/opt/eset ln -s /usr/share/erag2cluster/opt/eset /opt/eset ln -s /usr/share/erag2cluster/var/log/eset /var/log/eset ln -s /usr/share/erag2cluster/var/opt/eset /var/opt/eset 9. Skopiuj skrypt eracluster_server (eracluster_proxy) do lokalizacji /usr/share/cluster. Skrypty eracluster_server (eracluster_proxy) znajdują się w katalogu ustawień serwera ERA oraz serwera proxy ERA. Następne działania wykonywane są w ramach interfejsu GUI Conga do zarządzania klastrem: 10. Utwórz grupę usług, na przykład EraService. Do realizacji usługi klastra ESET Remote Administrator wymagane są trzy zasoby: adres IP, system plików oraz skrypt. 11. Utwórz niezbędne zasoby usługi. Dodaj zasób adresu IP, systemu plików oraz skryptu. Zasób systemu plików powinien wskazywać magazyn udostępniony. Punkt zamontowania zasobu systemu plików należy skonfigurować jako /usr/share/erag2cluster. Parametr „Pełna ścieżka do pliku skryptu” należy skonfigurować jako /usr/share/cluster/eracluster_server (lub / usr/share/cluster/eracluster_proxy). 12. Dodaj wymienione wyżej zasoby do grupy EraService. 48 3.7 Instalacja komponentów w systemie Windows W większości scenariuszy instalacji na poszczególnych komputerach należy zainstalować różne komponenty oprogramowania ESET Remote Administrator w celu dostosowania go do różnych architektur, spełnienia wymogów związanych z wydajnością lub z innych przyczyn. W przypadku instalacji tego typu dostępne są pakiety instalacyjne poszczególnych komponentów. Komponenty główne Serwer ERA Konsola internetowa ERA Agent ERA (musi być zainstalowany na komputerach klienckich i może być zainstalowany na serwerze ERA) Komponenty opcjonalne Serwer proxy ERA RD Sensor Moduł zarządzania urządzeniami mobilnymi Serwer proxy Apache HTTP W razie konieczności uaktualnienia oprogramowania ESET Remote Administrator do najnowszej wersji (6.x) zapoznaj się z tym artykułem bazy wiedzy. 3.7.1 Instalacja serwera — system Windows W celu przeprowadzenia osobnej instalacji serwera ERA w systemie Windows należy wykonać poniższe działania: 1. Sprawdź, czy spełnione są wszystkie wymagania wstępne. 2. Uruchom instalatora serwera ERA i zaakceptuj umowę EULA, jeśli zgadzasz się z jej postanowieniami. UWAGA: W przypadku instalowania serwera ERA w ramach klastra trybu failover należy zaznaczyć pole wyboru obok opcji To jest instalacja klastra. W przeciwnym razie to pole wyboru należy pozostawić puste. 3. W przypadku instalacji w ramach klastra trybu failover w polu Niestandardowa ścieżka danych aplikacji podaj ścieżkę do magazynu udostępnionego klastra. Dane muszą być przechowywane w jednej lokalizacji, która jest dostępna dla wszystkich węzłów w ramach klastra. 4. Wpisz prawidłowy klucz licencyjny ERA lub wybierz opcję Aktywuj później. 5. Wybierz konto użytkownika usługi. Konto to będzie używane do uruchamiania Usługi ESET Remote Administrator. Dostępne są następujące opcje: Konto usługi sieciowej Określony użytkownik: DOMENA/UŻYTKOWNIK 4. Nawiąż połączenie z bazą danych. Tutaj przechowywane są wszystkie dane (hasło do konsoli internetowej ERA, dzienniki komputerów klienckich itd.): Baza danych: MySQL Server/MS SQL Server/MS SQL Server z uwierzytelnianiem systemu Windows Sterownik ODBC: sterownik MySQL ODBC 5.1/sterownik MySQL ODBC 5.2 Unicode/sterownik MySQL ODBC 5.3 Unicode/SQL Server/SQL Server Native Client 10.0/sterownik ODBC 11 dla programu SQL Server Nazwa bazy danych: można zostawić wstępnie zdefiniowaną nazwę lub w razie potrzeby ją zmienić Nazwa hosta: nazwa hosta lub adres IP serwera bazy danych Port: port używany do łączenia się z serwerem bazy danych Nazwa użytkownika/hasło do konta administratora bazy danych UWAGA: W bazie danych na serwerze ERA zapisywane są duże obiekty blob danych, w związku z czym prawidłowe działanie serwera ERA wymaga skonfigurowania programu MySQL tak, aby przyjmował duże pakiety. Szczegółowe informacje dotyczące konfiguracji można znaleźć w części Często zadawane pytania. 49 W tym kroku następuje weryfikacja połączenia z bazą danych. Jeśli połączenie jest prawidłowe, można przejść do następnego kroku. 5. Wybierz użytkownika programu ESET Remote Administrator, który ma dostęp do bazy danych. Można wybrać istniejącego użytkownika lub skonfigurować nowego. 6. Wprowadź hasło dostępu do konsoli internetowej. 7. Program ESET Remote Administrator do komunikacji między klientem a serwerem wykorzystuje certyfikaty. Można wybrać własne certyfikaty lub stworzyć nowe certyfikaty za pomocą serwera. 8. Wprowadź hasło urzędu certyfikacji. Należy zapamiętać to hasło. 9. Zostanie utworzony nowy certyfikat serwera, dla którego również należy wybrać hasło. 10. W następnym kroku wybierz hasło do certyfikatu agenta. W ramach konfiguracji zostanie wykonane wstępne zadanie Synchronizacja grupy statycznej. Wybierz metodę (Nie synchronizuj, Synchronizuj z siecią Windows Network, Synchronizuj z usługą Active Directory) i kliknij przycisk Dalej. Potwierdź lub zmień folder instalacji serwera i kliknij przycisk Dalej. Aby zainstalować serwer, kliknij opcję Zainstaluj. UWAGA: Po ukończeniu instalacji serwera ERA można również zainstalować agenta ERA na tym samym komputerze (opcjonalnie). Dzięki temu można zarządzać samym serwerem w taki sam sposób, w jaki zarządza się komputerem klienckim. 50 3.7.1.1 Wymagania wstępne dotyczące serwera — system Windows W celu zainstalowania serwera ERA w systemie Windows niezbędne jest spełnienie następujących wymagań wstępnych: Należy mieć ważną licencję. Niezbędne porty muszą być otwarte i dostępne — pełną listę portów można znaleźć tutaj. Zainstalowany i uruchomiony serwer bazy danych (Microsoft SQL Server lub MySQL). Tutaj dostępne są szczegółowe wymagania dotyczące bazy danych. W przypadku braku istniejącego serwera bazy danych zalecamy przeprowadzenie procedury konfiguracji programu SQL Server w celu prawidłowego skonfigurowania serwera SQL na potrzeby programu ESET Remote Administrator. Zainstalowane środowisko Java Runtime Environment (JRE) — można je pobrać ze strony http://java.com/en/ download/. Zawsze należy używać najnowszej oficjalnie opublikowanej wersji środowiska Java. Zainstalowana aplikacja Microsoft .NET Framework 3.5. Użytkownicy systemu Windows Server 2008 lub 2012 mogą ją zainstalować przy użyciu Kreatora ról i funkcji (jak pokazano poniżej), natomiast użytkownicy systemu Windows Server 2003 mogą pobrać aplikację .NET 3.5 tutaj: http://www.microsoft.com/en-us/download/details.aspx?id=21 UWAGA: Jeśli zdecydujesz się na zainstalowanie komponentu Microsoft SQL Server Express podczas instalacji produktu ESET Remote Administrator, nie będziesz mieć możliwości zainstalowania go na kontrolerze domeny. Może się tak stać w przypadku korzystania z systemu Microsoft SBS. Jeśli korzystasz z systemu Microsoft SBS, zalecamy zainstalowanie produktu ESET Remote Administrator na innym serwerze lub niezaznaczanie komponentu SQL Server Express podczas instalacji (wymaga to uruchomienia bazy danych ERA na istniejącym już serwerze SQL lub MySQL). Instrukcje dotyczące instalowania serwera ERA na kontrolerze domeny można znaleźć w artykule bazy wiedzy. UWAGA: W bazie danych na serwerze ERA zapisywane są duże obiekty blob danych, w związku z czym prawidłowe działanie serwera ERA wymaga skonfigurowania programu MySQL tak, aby przyjmował duże pakiety. Instrukcje dotyczące wprowadzania tej zmiany można znaleźć w części Często zadawane pytania. 51 3.7.2 Program Microsoft SQL Server — system Windows Jednym z wymagań wstępnych przed zainstalowaniem serwera ERA jest zainstalowanie programu Microsoft SQL Server i skonfigurowanie go pod kątem współpracy z programem ESET Remote Administrator. Muszą być spełnione następujące wymagania: Zainstaluj program Microsoft SQL Server 2008 R2 lub nowszy. Można również zainstalować program Microsoft SQL Server 2008 R2 Express lub nowszy. Podczas instalacji wybierz opcję uwierzytelniania Tryb mieszany. Jeśli program Microsoft SQL Server jest już zainstalowany, ustaw w opcji uwierzytelnienia Tryb mieszany (Uwierzytelnianie programu SQL Server i Uwierzytelnianie Windows). Aby to zrobić, wykonaj działania opisane w tym artykule bazy wiedzy. Zezwól na połączenia TCP/IP z programem SQL Server. Aby to zrobić, wykonaj działania opisane w tym artykule bazy wiedzy, rozpoczynając od części II. Zezwalanie na połączenia TCP/IP z programem SQL Server. 3.7.3 Instalacja agenta — system Windows W celu przeprowadzenia osobnej instalacji agenta ERA w systemie Windows należy wykonać poniższe działania: 1. Uruchom instalatora agenta ERA i zaakceptuj umowę EULA, jeśli zgadzasz się z jej postanowieniami. UWAGA: W przypadku instalowania agenta ERA w ramach klastra trybu failover należy zaznaczyć pole wyboru obok opcji To jest instalacja klastra. W przeciwnym razie to pole wyboru należy pozostawić puste. 2. W przypadku instalacji w ramach klastra trybu failover w polu Niestandardowa ścieżka danych aplikacji podaj ścieżkę do magazynu udostępnionego klastra. Dane muszą być przechowywane w jednej lokalizacji, która jest dostępna dla wszystkich węzłów w ramach klastra. 3. Wprowadź dane w polach Host serwera (nazwa lub adres IP serwera ERA) oraz Port serwera (port domyślny to 2222; jeśli korzystasz z innego portu, zastąp port domyślny własnym numerem portu). Wybierz jedną z następujących opcji instalacji i wykonaj działania opisane w odpowiedniej części poniżej: 52 Wspomagana instalacja serwerowa — konieczne będzie wprowadzenie poświadczeń administratora konsoli internetowej ERA (instalator automatycznie pobierze wymagane certyfikaty). Instalacja offline — konieczne będzie podanie certyfikatu agenta, który można wyeksportować z programu ESET Remote Administrator. Można również użyć certyfikatu niestandardowego. Wspomagana instalacja serwerowa: 4. Wprowadź dane w polach Host serwera — nazwa lub adres IP serwera ERA oraz Port konsoli internetowej (pozostaw domyślny port 2223, jeśli nie korzystasz z portu niestandardowego). Podaj również poświadczenia konta administratora konsoli internetowej — w polach Nazwa użytkownika/Hasło. 5. Po wyświetleniu monitu o zaakceptowanie certyfikatu kliknij opcję Tak. 6. Wybierz opcję Nie twórz komputera lub Wybierz niestandardową grupę statyczną. Kliknięcie opcji Wybierz niestandardową grupę statyczną umożliwi wybranie pozycji z listy grup statycznych istniejących na serwerze ERA. Komputer zostanie dodany do wybranej grupy. 7. Określ folder docelowy dla agenta ERA (zalecamy użycie lokalizacji domyślnej), kliknij przycisk Dalej, a następnie Zainstaluj. Instalacja offline: 4. Kliknij przycisk Przeglądaj i przejdź do lokalizacji certyfikatu równorzędnego (jest to certyfikat agenta wyeksportowany z programu ERA). Pole tekstowe Hasło do certyfikatu pozostaw puste, ponieważ ten certyfikat nie wymaga podawania hasła. Nie musisz przeglądać w celu wybrania wartości pola Urząd certyfikacji — pozostaw to pole puste. UWAGA: Jeśli w rozwiązaniu ERA używany jest certyfikat niestandardowy (zamiast certyfikatów domyślnych wygenerowanych automatycznie podczas instalacji programu ESET Remote Administrator), należy wskazać odpowiednie certyfikaty niestandardowe. 5. Kliknij przycisk Dalej, by zainstalować w folderze domyślnym lub przycisk Zmień, by wybrać inny folder (zalecamy użycie folderu domyślnego). 3.7.4 Instalacja konsoli internetowej — system Windows W celu przeprowadzenia instalacji komponentu konsola internetowa ERA w systemie Windows należy wykonać poniższe działania: 1. Sprawdź, czy spełnione są następujące wymagania wstępne: Środowisko Java — zawsze należy używać najnowszej oficjalnie opublikowanej wersji środowiska Java (do obsługi konsoli internetowej ERA wymagane jest środowisko Java co najmniej w wersji 7, jednak zdecydowanie zalecamy korzystanie z najnowszej wersji). Apache Tomcat (wersja 6 i nowsze). Plik konsoli internetowej (era.war) musi być zapisany na lokalnym dysku twardym. 2. Skopiuj plik era.war do folderu aplikacji sieciowych Tomcat (w większości systemów operacyjnych znajduje się on w tej lokalizacji: C:\Program Files (x86)\Apache Sof tware Foundation\Tomcat 7.0\webapps\). 3. Uruchom ponownie usługę Apache Tomcat. 4. Otwórz łącze https://localhost/era/ w przeglądarce na hoście lokalnym. Zostanie wyświetlony ekran logowania. 53 3.7.4.1 Obsługiwane przeglądarki internetowe Przeglądarka internetowa Mozilla Firefox Internet Explorer Chrome Safari Opera Wersja 20+ 10+ 23+ 6+ 12+ 3.7.5 Instalacja serwera proxy — system Windows W celu przeprowadzenia osobnej instalacji serwera proxy ERA w systemie Windows należy wykonać poniższe działania: 1. Sprawdź, czy spełnione są wszystkie wymagania wstępne. UWAGA: W przypadku instalowania serwera proxy ERA w ramach klastra trybu failover należy zaznaczyć pole wyboru To jest instalacja klastra. W przeciwnym razie to pole wyboru należy pozostawić puste. 2. W przypadku instalacji w ramach klastra trybu failover w polu Niestandardowa ścieżka danych aplikacji podaj ścieżkę do magazynu udostępnionego klastra. Dane muszą być przechowywane w jednej lokalizacji, która jest dostępna dla wszystkich węzłów w ramach klastra. 3. Wybierz konto użytkownika usługi. Konto to będzie używane do uruchamiania Usługi ESET Remote Administrator. Dostępne są następujące opcje: a. Konto usługi sieciowej b. Konto niestandardowe: DOMENA/UŻYTKOWNIK 4. Nawiąż połączenie z bazą danych. Tutaj przechowywane są wszystkie dane, od hasła do konsoli internetowej ERA po dzienniki komputerów klienckich. a. Baza danych: MySQL/MS SQL b. Sterownik ODBC: sterownik MySQL ODBC 5.1/sterownik MySQL ODBC 5.2 ANSI/SQL Server c. Nazwa hosta serwera bazy danych d. Port używany do połączenia z serwerem e. Nazwa bazy danych f. Nazwa/hasło administratora bazy danych g. Nazwa/hasło użytkownika bazy danych ERA W tym kroku następuje weryfikacja połączenia z bazą danych. Jeśli połączenie jest prawidłowe, można przejść do następnego kroku. Jeśli nie uda się nawiązać połączenia, wyświetlony zostanie komunikat o błędzie. 4. Wybierz port komunikacyjny serwera proxy. Domyślnie używany jest port 2222. 5. Skonfiguruj połączenie serwera proxy z programem ESET Remote Administrator. Wprowadź dane w polach Host serwera (nazwa hosta/adres IP serwera) oraz Port serwera (2222). 6. Wybierz certyfikat równorzędny i podaj hasło do tego certyfikatu. Opcjonalnie możesz dodać urząd certyfikacji. Jest to wymagane wyłącznie w przypadku niepodpisanych certyfikatów. 7. Wybierz folder, w którym zostanie zainstalowany serwer proxy lub pozostaw zaznaczony folder wstępnie zdefiniowany. 8. Kliknij opcję Zainstaluj. Serwer proxy zostanie zainstalowany na komputerze. UWAGA: Wspomagana instalacja serwerowa nie jest obsługiwana w przypadku instalowania serwera proxy ERA. 54 3.7.5.1 Wymagania wstępne dotyczące serwera proxy — system Windows W celu zainstalowania komponentu serwera proxy ERA w systemie Windows niezbędne jest spełnienie następujących wymagań wstępnych: Serwer ERA i konsola internetowa ERA są zainstalowane (na komputerze pełniącym rolę serwera). Certyfikat serwera proxy został utworzony i pobrany na dysk lokalny. Urząd certyfikacji jest przygotowany na dysku lokalnym. Ważna licencja. Serwer bazy danych jest już zainstalowany i skonfigurowany. Sterownik ODBC do obsługi połączenia z serwerem bazy danych (MySQL/MS SQL) zainstalowany na komputerze. Na komputerze lokalnym musi być zainstalowany agent, umożliwiający pełną obsługę wszystkich funkcji programu. 3.7.6 Instalacja narzędzia RD Sensor — system Windows W celu przeprowadzenia instalacji komponentu RD Sensor w systemie Windows należy wykonać poniższe działania: 1. Sprawdź, czy spełnione są wszystkie wymagania wstępne. 2. Aby rozpocząć instalację, dwukrotnie kliknij plik instalacyjny narzędzia RD Sensor. 3. Wybierz miejsce instalacji narzędzia RD Sensor i kliknij kolejno opcje Dalej > Zainstaluj. 3.7.6.1 Wymagania wstępne dotyczące narzędzia RD Sensor — system Windows W celu zainstalowania komponentu RD Sensor w systemie Windows niezbędne jest spełnienie następujących wymagań wstępnych: WinPcap — należy użyć najnowszej wersji oprogramowania WinPcap (co najmniej wersji 4.1.0) Należy odpowiednio skonfigurować sieć (odpowiednie porty muszą być otwarte, komunikacja przychodząca nie może być blokowana przez zaporę itd.) Serwer ERA musi być osiągalny Na komputerze lokalnym musi być zainstalowany agent ERA, umożliwiający pełną obsługę wszystkich funkcji programu Plik dziennika komponentu Rogue Detection Sensor można znaleźć tutaj: C:\ProgramData\ESET\Rouge Detection Sensor\Logs\trace.log 3.7.7 Instalacja narzędzia Moduł zarządzania urządzeniami mobilnymi — system Windows Komponent Moduł zarządzania urządzeniami mobilnymi można zainstalować na serwerze innym niż serwer, na którym zainstalowane jest rozwiązanie ERA. Jeśli na przykład narzędzie Moduł zarządzania urządzeniami mobilnymi ma być dostępne przez Internet, by na stałe umożliwić zarządzanie urządzeniami mobilnymi użytkowników bez względu na ich lokalizację. W celu zainstalowania narzędzia Moduł zarządzania urządzeniami mobilnymi w systemie Windows wykonaj poniższe działania: 1. Sprawdź, czy spełnione są wszystkie wymagania wstępne. 2. Uruchom instalator narzędzia Moduł zarządzania urządzeniami mobilnymi i zaakceptuj umowę EULA, jeśli zgadzasz się na jej warunki. 3. Kliknij przycisk Przeglądaj, przejdź do lokalizacji certyfikatu SSL do obsługi komunikacji przy użyciu protokołu HTTPS i wpisz hasło do tego certyfikatu: 55 4. Zalecamy korzystanie z domyślnej nazwy hosta i portów (9981 oraz 9980), jednak w razie potrzeby można skonfigurować własne porty. Sprawdź, czy przy użyciu tych dwóch portów urządzenia są w stanie nawiązywać połączenia z serwerem, na którym instalujesz narzędzie Moduł zarządzania urządzeniami mobilnymi. Zmień ustawienia zapory (w razie konieczności), aby to umożliwić. 56 5. Instalator musi utworzyć nową bazę danych, która będzie używana przez narzędzie Moduł zarządzania urządzeniami mobilnymi, w związku z czym należy podać szczegóły połączenia: Baza danych: MySQL Server/MS SQL Server/MS SQL Server z uwierzytelnianiem systemu Windows Sterownik ODBC: sterownik MySQL ODBC 5.1/sterownik MySQL ODBC 5.2 Unicode/sterownik MySQL ODBC 5.3 Unicode/SQL Server/SQL Server Native Client 10.0/sterownik ODBC 11 dla programu SQL Server Nazwa bazy danych: można zostawić wstępnie zdefiniowaną nazwę lub w razie potrzeby ją zmienić Nazwa hosta: nazwa hosta lub adres IP serwera bazy danych Port: port używany do łączenia się z serwerem bazy danych Nazwa użytkownika/hasło do konta administratora bazy danych UWAGA: Zalecamy korzystanie z tego samego serwera bazy danych, który używany jest do obsługi bazy danych serwera ERA, jednak w razie konieczności można użyć innego serwera bazy danych. Po kliknięciu przycisku Dalej instalator narzędzia Moduł zarządzania urządzeniami mobilnymi utworzy bazę danych. 6. Określ użytkownika nowo utworzonej bazy danych narzędzia Moduł zarządzania urządzeniami mobilnymi. Możesz utworzyć nowego użytkownika lub wybrać istniejącego użytkownika bazy danych. Wpisz hasło użytkownika bazy danych. 7. Wprowadź dane w polach Host serwera (nazwa lub adres IP serwera ERA) oraz Port serwera (port domyślny to 2222; jeśli korzystasz z innego portu, zastąp port domyślny własnym numerem portu). Obecnie dostępne są dwie opcje kontynuacji instalacji: Wspomagana instalacja serwerowa — konieczne będzie wprowadzenie poświadczeń administratora konsoli internetowej ERA (instalator automatycznie pobierze wymagane certyfikaty). Instalacja offline — konieczne będzie podanie certyfikatu agenta, który można wyeksportować z programu ESET Remote Administrator. Można również użyć certyfikatu niestandardowego. Poniższe działania należy wykonać w przypadku wybrania opcji Wspomagana instalacja serwerowa: 8. Wprowadź dane w polach Host serwera — nazwa lub adres IP serwera ERA oraz Port konsoli internetowej (pozostaw domyślny port 2223, jeśli nie korzystasz z portu niestandardowego). Podaj również poświadczenia konta administratora konsoli internetowej — w polach Nazwa użytkownika/Hasło. 9. Po wyświetleniu monitu o zaakceptowanie certyfikatu kliknij opcję Tak. 57 10.Określ folder docelowy dla narzędzia Moduł zarządzania urządzeniami mobilnymi (zalecamy użycie folderu domyślnego), kliknij przycisk Dalej, a następnie Zainstaluj. Poniższe działania należy wykonać w przypadku wybrania opcji Instalacja offline: 8. Kliknij przycisk Przeglądaj i przejdź do lokalizacji certyfikatu równorzędnego (jest to certyfikat agenta wyeksportowany z programu ERA). Pole tekstowe Hasło do certyfikatu pozostaw puste, ponieważ ten certyfikat nie wymaga podawania hasła. UWAGA: W przypadku korzystania w rozwiązaniu ERA z certyfikatów niestandardowych (zamiast certyfikatów domyślnych wygenerowanych automatycznie podczas instalacji programu ESET Remote Administrator) należy wskazać odpowiednie certyfikaty niestandardowe. 9. Kliknij przycisk Dalej, by zainstalować w folderze domyślnym lub przycisk Zmień..., by wybrać inny folder (zalecamy użycie folderu domyślnego). Po ukończeniu instalacji sprawdź czy narzędzie Moduł zarządzania urządzeniami mobilnymi działa prawidłowo, otwierając w przeglądarce internetowej łącze https://nazwa-hosta-mdm:port-rej estracj i (np. https://eramdm:9980). Jeśli instalacja przebiegła prawidłowo, wyświetlony zostanie następujący komunikat: Przy użyciu tego adresu URL można również sprawdzić dostępność serwera narzędzia Moduł zarządzania urządzeniami mobilnymi w Internecie (jeśli zastosowano taką konfigurację), na przykład przechodząc pod ten adres na urządzeniu mobilnym. Jeśli strona okaże się niedostępna, należy sprawdzić ustawienia zapory oraz inne elementy konfiguracji infrastruktury sieciowej. 3.7.7.1 Wymagania wstępne dotyczące narzędzia Moduł zarządzania urządzeniami mobilnymi — system Windows W celu zainstalowania komponentu Moduł zarządzania urządzeniami mobilnymi w systemie Windows niezbędne jest spełnienie następujących wymagań wstępnych: Otwarte i dostępne porty — pełną listę portów można znaleźć tutaj. Ustawienia zapory — w przypadku instalowania Modułu zarządzania urządzeniami mobilnymi na nieserwerowych systemach operacyjnych, takich jak Windows 7 (tylko do celów ewaluacyjnych) należy pamiętać o tym, by udostępnić porty komunikacyjne poprzez utworzenie reguł zapory dla następujących plików: C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, protokół TCP, port 9980 C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, protokół TCP, port 9981 C:\Program Files\ESET\RemoteAdministrator\Server\ERAServer.exe, protokół TCP, port 2222 C:\Program Files\Apache HTTP Proxy\bin\httpd.exe, protokół TCP, port 3128 UWAGA: Rzeczywiste ścieżki do plików .exe mogą się różnić w zależności od miejsca instalacji poszczególnych komponentów programu ERA w systemie operacyjnym klienta. Zainstalowane środowisko Java Runtime Environment (JRE) — można je pobrać ze strony http://java.com/en/ download/. Zawsze należy używać najnowszej oficjalnie opublikowanej wersji środowiska Java. 58 Zainstalowana aplikacja Microsoft .NET Framework 3.5. Użytkownicy systemu Windows Server 2008 lub 2012 mogą ją zainstalować przy użyciu Kreatora ról i funkcji (jak pokazano poniżej), natomiast użytkownicy systemu Windows Server 2003 mogą pobrać aplikację .NET 3.5 tutaj: http://www.microsoft.com/en-us/download/details.aspx?id=21 UWAGA: Jeśli zdecydujesz się na zainstalowanie komponentu Microsoft SQL Server Express podczas instalacji produktu ESET Remote Administrator, nie będziesz mieć możliwości zainstalowania go na kontrolerze domeny. Może się tak stać w przypadku korzystania z systemu Microsoft SBS. Jeśli korzystasz z systemu Microsoft SBS, zalecamy zainstalowanie produktu ESET Remote Administrator na innym serwerze lub niezaznaczanie komponentu SQL Server Express podczas instalacji (wymaga to uruchomienia bazy danych ERA na istniejącym już serwerze SQL lub MySQL). UWAGA: W bazie danych na serwerze ERA zapisywane są duże obiekty blob danych, w związku z czym prawidłowe działanie serwera ERA wymaga skonfigurowania programu MySQL tak, aby przyjmował duże pakiety. Instrukcje dotyczące wprowadzania tej zmiany można znaleźć w części Często zadawane pytania. WAŻNE: Potrzebny będzie certyfikat SSL w formacie .pfx umożliwiający bezpieczną komunikację przy użyciu protokołu HTTPS. Zalecamy użycie certyfikatu dostarczonego przez urząd certyfikacji. Samodzielnie podpisane certyfikaty nie są zalecane, ponieważ nie wszystkie urządzenia mobilne umożliwiają użytkownikom akceptowanie samodzielnie podpisanych certyfikatów. Ten problem nie występuje w przypadku certyfikatów podpisanych przez urząd certyfikacji, ponieważ są one zaufane i nie wymagają akceptacji ze strony użytkownika. WAŻNE: W przypadku instalacji offline konieczne będzie podanie certyfikatu agenta wyeksportowanego z programu ESET Remote Administrator. W rozwiązaniu ERA można również użyć certyfikatu niestandardowego. 59 3.7.8 Instalacja serwera proxy Apache HTTP — system Windows Serwer proxy Apache HTTP to usługa, z której można korzystać w połączeniu z produktem ESET Remote Administrator w wersji 6 oraz nowszych w celu dystrybuowania aktualizacji wśród komputerów klienckich oraz przesyłania pakietów instalacyjnych do agenta ERA. Serwer proxy HTTP pełni rolę zbliżoną do serwera kopii dystrybucyjnych używanego powszechnie w programie ESET Remote Administrator w wersji 5 i starszych. Korzystanie z serwera proxy HTTP wiąże się z następującymi korzyściami: o Pobieranie nowych aktualizacji baz sygnatur wirusów i komponentów produktów, a następnie dystrybuowanie ich wśród klientów w ramach danej sieci. o Możliwość dodawania pakietów instalacyjnych produktów ESET do pamięci podręcznej. o Ograniczenie natężenia ruchu internetowego w danej sieci. Aby zainstalować komponent serwer proxy Apache HTTP w systemie Windows, należy wykonać następujące działania: 1. Otwórz plik ApacheHttp.zip i wyodrębnij pliki w lokalizacji C:\Program Files\Apache HTTP Proxy. 2. Otwórz administracyjny wiersz polecenia i przy użyciu polecenia CD przejdź do lokalizacji C:\Program Files \Apache HTTP Proxy\bin. 3. Wykonaj następujące polecenie: httpd.exe -k install -n ApacheHttpProxy 4. Za pomocą edytora tekstu, na przykład programu Notatnik, otwórz plik httpd.conf i na końcu pliku dodaj następujące wiersze: ServerRoot "C:\Program Files\Apache HTTP Proxy" DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs" <Directory "C:\Program Files\Apache HTTP Proxy\htdocs"> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> CacheRoot "C:\Program Files\Apache HTTP Proxy\cache" 5. Uruchom usługę serwer proxy Apache HTTP przy użyciu następującego polecenia: sc start ApacheHttpProxy 6. Przy użyciu wtyczki services.msc można sprawdzić, czy usługa serwer proxy Apache HTTP działa (należy szukać pozycji ApacheHttpProxy). Domyślnie usługa jest tak skonfigurowana, by uruchamiać się automatycznie. Aby skonfigurować nazwę użytkownika i hasło dla serwera proxy Apache HTTP (zalecane), należy wykonać poniższe działania: 1. Sprawdź, czy w pliku Apache HTTP Proxy\conf \httpd.conf znajdują się następujące moduły: LoadModule LoadModule LoadModule LoadModule authn_core_module modules\mod_authn_core.dll authn_file_module modules\mod_authn_file.dll authz_groupfile_module modules\mod_authz_groupfile.dll auth_basic_module modules\mod_auth_basic.dll 2. W pliku Apache HTTP Proxy\conf \httpd.conf w sekcji <Proxy *> dodaj następujące wiersze: AuthType Basic AuthName "Password Required" AuthUserFile password.file AuthGroupFile group.file Require group usergroup 3. Użyj polecenia htpasswd, aby utworzyć plik o nazwie password.file w folderze Apache HTTP Proxy\bin\ (zostanie wyświetlony monit o podanie hasła): htpasswd.exe -c ..\password.file username 4. W folderze Apache HTTP Proxy\ ręcznie utwórz plik group.file o następującej zawartości: usergroup:username 60 5. Przetestuj połączenie z serwerem proxy HTTP, wpisując w przeglądarce następujący adres URL: http://localhost:3128/index.html Użyj polecenia htcacheclean do wyczyszczenia pamięci podręcznej dysku. To narzędzie można uruchomić ręcznie lub w trybie demona. Podaj limit, określając maksymalny rozmiar pamięci podręcznej dysku. Domyślnie wartość ta jest podawana w bajtach (można też dodać literę B do liczby). Aby użyć kilobajtów lub megabajtów, użyj odpowiednio litery K lub M. Więcej informacji można znaleźć w tym artykule bazy wiedzy lub w dokumentacji dotyczącej uwierzytelniania i autoryzacji serwera Apache. 3.8 Instalacja komponentów w systemie Linux W większości scenariuszy instalacji na poszczególnych komputerach należy zainstalować różne komponenty oprogramowania ESET Remote Administrator w celu dostosowania go do różnych architektur, spełnienia wymogów związanych z wydajnością lub z innych przyczyn. Komponenty główne Serwer ERA Konsola internetowa ERA Agent ERA Komponenty opcjonalne Serwer proxy ERA RD Sensor Moduł zarządzania urządzeniami mobilnymi Serwer proxy Apache HTTP W razie konieczności uaktualnienia oprogramowania ESET Remote Administrator do najnowszej wersji (6.x) zapoznaj się z tym artykułem bazy wiedzy. 3.8.1 Instalacja serwera — system Linux Instalacja komponentu serwera ERA w systemie Linux realizowana jest przy użyciu polecenia w terminalu. Sprawdź, czy spełnione są wszystkie wymagania wstępne. Można przygotować skrypt instalacyjny, a następnie wykonać go przy użyciu programu sudo. Przykład (Nowe wiersze są oddzielone znakiem „\”, co umożliwia skopiowanie całego polecenia do terminala) sudo ./Server-Linux-i386.sh \ --skip-license \ --db-driver=MySQL \ --db-hostname=127.0.0.1 \ --db-port=3306 \ --db-admin-username=root \ --db-admin-password=Admin123 \ --server-root-password=Admin123 \ --db-user-username=root \ --db-user-password=Admin123 \ --cert-hostname="10.1.179.46;Ubuntu64-bb;Ubuntu64-bb.BB.LOCAL" Serwer ERA oraz usługa eraserver zostaną zainstalowane w następującej lokalizacji: /opt/eset/RemoteAdministrator/Server Można modyfikować następujące atrybuty: Atrybut Opis Wymagany --uninstall Odinstalowuje produkt. - 61 Atrybut Opis --locale Identyfikator ustawień regionalnych (LCID) zainstalowanego Tak serwera (wartość domyślna to „en_US”). Informacje o dostępnych opcjach przedstawiono w części obsługiwane języki. Uwaga: Język można ustawić dla każdej sesji konsoli internetowej ERA. Podczas instalacji użytkownik nie będzie proszony o potwierdzenie umowy licencyjnej. Pominięcie generowania certyfikatów (należy stosować w połączeniu z parametrem --server-cert-path). Klucz licencyjny produktu ESET. Można go skonfigurować później. Nie Globalny unikatowy identyfikator produktu. Jeśli nie zostanie Nie podany, zostanie wygenerowany. Port serwera ESET Remote Administrator (ERA) (domyślnie Nie 2222). Port konsoli programu ESET Remote Administrator (domyślnie Nie 2223) Hasło umożliwiające zalogowanie się do konsoli internetowej Tak jako użytkownik „Administrator”. Musi składać się z co najmniej 8 znaków. Typ bazy danych, która będzie używana (możliwe wartości: „MySQL Server”, „Microsoft SQL Server”). Sterownik ODBC używany w celu łączenia się z bazą danych (na Tak przykład sterownik „MySQL ODBC 5.3 ANSI”). Nazwa komputera lub adres IP serwera bazy danych. Tak Port serwera bazy danych (domyślnie 3306). Tak Nazwa bazy danych serwera ERA (domyślnie „era_db”). Tak Nazwa użytkownika będącego administratorem bazy danych Tak (używana w instalatorze podczas tworzenia i modyfikowania bazy danych). Hasło administratora bazy danych. Tak Nazwa użytkownika bazy danych serwera ERA (używana na Tak serwerze ERA w celu nawiązywania połączenia z bazą danych). Jej długość nie powinna przekraczać 16 znaków. Hasło użytkownika bazy danych serwera ERA. Tak Zawiera wszystkie możliwe nazwy i/lub adresy IP komputera, na Tak którym zainstalowany będzie serwer ERA. Umożliwia to uzgodnienie z nazwą serwera podaną w certyfikacie agenta, który próbuje nawiązać połączenie z serwerem. Ścieżka do certyfikatu serwera równorzędnego (tej opcji należy użyć w przypadku określenia również parametru --skip-cert). Hasło do certyfikatu serwera równorzędnego. Hasło do certyfikatu agenta równorzędnego. Hasło do urzędu certyfikacji. Ścieżka do pliku urzędu certyfikacji serwera. Nazwa pospolita urzędu certyfikacji (należy użyć „”). - --skip-license --skip-cert --license-key --product-guid --server-port --console-port --server-root-password --db-type --db-driver --db-hostname --db-port --db-name --db-admin-username --db-admin-password --db-user-username --db-user-password --cert-hostname --server-cert-path --server-cert-password --agent-cert-password --cert-auth-password --cert-auth-path --cert-auth-common-name --cert-organizational-unit --cert-organization --cert-locality --cert-state 62 Wymagany Atrybut Opis Wymagany --cert-country --cert-validity Ważność certyfikatu w dniach lub latach (należy to określić w argumencie --cert-validity-unit). Jednostka, w jakiej podawana jest ważność certyfikatu. Możliwe wartości to „Lata” lub „Dni” (wartość domyślna to Lata). Serwer Active Directory. Nazwa użytkownika, który dysponuje prawami do wyszukiwania w sieci AD. Hasło użytkownika usługi Active Directory. Ścieżka drzewa Active Directory, które będzie synchronizowane. Aby synchronizować całe drzewo, należy nie wpisywać nic pomiędzy cudzysłowami (""). Nie Nie --cert-validity-unit --ad-server --ad-user-name --ad-user-password --ad-cdn-include Nie Nie Dziennik instalatora Dziennik instalatora może okazać się przydatny przy rozwiązywaniu problemów i można go znaleźć tutaj: /var/log/eset/RemoteAdministrator/EraServerInstaller.log Po instalacji należy sprawdzić, czy usługa serwera ERA jest uruchomiona: service eraserver status 3.8.1.1 Wymagania wstępne dotyczące serwera — system Linux W celu zainstalowania serwera ERA w systemie Linux niezbędne jest spełnienie następujących wymagań wstępnych: Ważna licencja. Zainstalowany i skonfigurowany serwer bazy danych z kontem głównym (przed instalacją nie trzeba tworzyć konta użytkownika, ponieważ może je utworzyć instalator). Sterownik ODBC do obsługi połączenia z serwerem bazy danych (MySQL/MS SQL) zainstalowany na komputerze. apt-get install unixodbc libmyodbc (dystrybucje Debian, Ubuntu) yum install mysql-connector-odbc (dystrybucje CentOS, Red-Hat, Fedora) UWAGA: Należy użyć pakietu unixODBC_23 (nie domyślnego pakietu unixODBC) w celu połączenia serwera ERA z bazą danych MySQL bez żadnych problemów. Dotyczy to w szczególności systemu SUSE Linux. Skonfigurowanie pliku instalacyjnego serwera jako pliku wykonywalnego. chmod +x Server-Linux-i686.sh Najniższa obsługiwana wersja biblioteki openSSL to openssl-1.0.1e-30. Do prawidłowego drukowania raportów (Generowanie raportów) na serwerach z systemem Linux bez interfejsu graficznego wymagany jest pakiet xvfb. apt-get install xvfb (dystrybucje Debian, Ubuntu) yum install xorg-x11-server-Xvfb (dystrybucje CentOS, Red-Hat, Fedora) Do prawidłowego wdrożenia agenta w systemie operacyjnym Windows wymagany jest pakiet cifs-utils. apt-get install cifs-utils (dystrybucje Debian, Ubuntu) yum install cifs-utils (dystrybucje CentOS, Red-Hat, Fedora) Biblioteki Qt4 WebKit: używane do drukowania raportów w formatach PDF i PS (muszą być w wersji 4.8, a nie 5). Wszystkie inne zależności Qt4 zostaną zainstalowane automatycznie. apt-get install libqtwebkit4 (dystrybucje Ubuntu) UWAGA: W przypadku dystrybucji CentOS pakiet może nie być dostępny w oficjalnych repozytoriach. Można zainstalować go z repozytorium strony trzeciej (np. z repozytoriów EPEL) lub skompilować go samodzielnie na komputerze docelowym. 63 Polecenia kinit + klist służą do uwierzytelniania serwera Kerberos podczas zadania synchronizacji AD i logowania przy użyciu nazwy użytkownika domeny. Wymagana jest również odpowiednia konfiguracja serwera Kerberos (/ etc/krb5.conf ). apt-get install krb5-user (dystrybucje Debian, Ubuntu) yum install krb5-workstation (dystrybucje CentOS, Red-Hat, Fedora) Polecenia wbinfo + ntlm_auth służą do uwierzytelniania kont domeny oraz uwierzytelniania NTLM przy użyciu serwera SMTP (wysyłanie wiadomości e-mail). apt-get install winbind ( dystrybucje Debian, Ubuntu) yum install samba-winbind-clients (dystrybucje CentOS, Red-Hat, Fedora) Polecenie ldapsearch jest używane w zadaniu synchronizacji AD. apt-get install ldap-utils ( dystrybucje Debian, Ubuntu) yum install openldap-clients (dystrybucje CentOS, Red-Hat, Fedora) Polecenie snmptrap jest używane do wysyłania komunikatów SNMP Trap. Jest opcjonalne w przypadku gdy ta funkcja nie jest używana. Protokół SNMP również należy skonfigurować. apt-get install snmp (dystrybucje Ubuntu) yum install net-snmp-utils (dystrybucje CentOS, Red-Hat, Fedora) Pakiet programistyczny SELinux jest używany podczas instalacji produktu do tworzenia SELinux modułów zasad. Jest wymagany tylko w systemach z włączonym zestawem SELinux (CentOS, Fedora, RHEL). apt-get install selinux-policy-dev (dystrybucje Debian, Ubuntu) yum install policycoreutils-devel (dystrybucje CentOS, Red-Hat, Fedora) UWAGA: W bazie danych na serwerze ERA zapisywane są duże obiekty blob danych, w związku z czym prawidłowe działanie serwera ERA wymaga skonfigurowania programu MySQL tak, aby przyjmował duże pakiety. Szczegółowe informacje dotyczące konfiguracji można znaleźć w części Często zadawane pytania. 3.8.2 Instalacja agenta — system Linux Połączenie z serwerem Era nawiązywane jest przy użyciu parametrów --hostname oraz --port (port nie jest używany, gdy dostępny jest rekord SRV). Możliwe formaty połączenia: Nazwa hosta i port Adres IPv4 i port Adres IPv6 i port Rekord usługi (rekord SRV) — aby skonfigurować rekord zasobu DNS w systemie Linux, komputer musi należeć do domeny z działającym serwerem DNS. Patrz Rekord zasobu DNS. Rekord SRV musi rozpoczynać się od prefiksu „_NAZWA._tcp”, gdzie „NAZWA” odpowiada nazewnictwu niestandardowemu (na przykład „era”). Poniżej znajduje się przykładowy skrypt instalacyjny, a parametry tego skryptu opisane są w następnym rozdziale. ./Agent-Linux-i686-1.0.387.0.sh --skip-license --cert-path=/home/admin/Desktop/agent.pfx --cert-auth-path=/h --cert-password=N3lluI4#2aCC --hostname=10.1.179.36 --port=2222 spowoduje, że instalator nie poprosi użytkownika o potwierdzenie licencji. --cert-path to ścieżka do pliku certyfikatu agenta. --cert-auth-path to ścieżka do pliku urzędu certyfikacji serwera. --cert-password — hasło musi być takie samo jak hasło certyfikatu agenta. --hostname to połączenie z serwerem (lub serwerem proxy) w jednym z następujących formatów (nazwa hosta, adres IPv4, adres IPv6 lub rekord SRV). --port to otwarty port nasłuchu na serwerze lub serwerze proxy (domyślna wartość dla obu to 2222). --skip-license 64 Parametry opcjonalne: --product-guid — identyfikator GUID produktu (jeśli go nie określono, zostanie wygenerowany). --cert-content — zakodowana w formacie Base64 treść zakodowanego w formacie PKCS12 certyfikatu klucza publicznego oraz klucza prywatnego, służącego do zabezpieczania kanałów komunikacyjnych na serwerze i agentach. Należy używać wyłącznie opcji --cert-path lub --cert-content. --cert-auth-content — zakodowana w formacie Base64 treść certyfikatu kodowanego DER klucza prywatnego urzędu certyfikacji, używanego do weryfikacji zdalnych elementów równorzędnych (serwerów lub serwerów proxy). Należy używać wyłącznie opcji --cert-auth-path lub --cert-auth-content . --webconsole-hostname — nazwa hosta używana w konsoli internetowej do łączenia się z serwerem (pozostawienie tej wartości pustej spowoduje skopiowanie jej z pozycji „nazwa hosta”). --webconsole-port — port używany przez konsolę internetową do łączenia się z serwerem (wartość domyślna to „2223”). --webconsole-user — nazwa użytkownika używana przez konsolę internetową do łączenia się z serwerem (wartość domyślna to „Administrator”). --webconsole-password — hasło używane przez konsolę do łączenia się z serwerem. Połączenie i certyfikaty Należy skonfigurować Połączenie z serwerem ERA: --hostname, --port (port nie jest potrzebny w przypadku podania rekordu usługi, wartość domyślna to „2222”) W przypadku wspomaganej instalacji serwerowej należy podać następujące informacje: --webconsole-port, -webconsole-user, --webconsole-password W przypadku instalacji offline należy podać informacje dotyczące certyfikatu: --cert-path, --cert-password Parametry typu hasła Parametry typu hasła można podać w postaci zmiennej środowiskowej, pliku, wartości odczytywanej ze strumienia stdin lub podawanej w formie zwykłego tekstu, czyli: --password=env:SECRET_PASSWORD , gdzie „SECRET_PASSWORD” to zmienna środowiskowa zawierająca hasło --password=file:/opt/secret , gdzie hasło zawiera pierwszy wiersz zwykłego pliku /opt/secret --password=stdin to instrukcja umożliwiająca instalatorowi odczytanie hasła ze standardowego strumienia wejścia --password="pass:PASSWORD" to instrukcja równorzędna z instrukcją --password="PASSWORD" , obowiązkowa w przypadku, gdy rzeczywiste hasło to "stdin" lub ciąg zaczynający się wyrażeniem "env:", "file:" albo "pass:" Dziennik instalatora Dziennik instalatora może okazać się przydatny przy rozwiązywaniu problemów i można go znaleźć tutaj: /var/log/eset/RemoteAdministrator/EraAgentInstaller.log Aby sprawdzić poprawność instalacji, należy zweryfikować działanie usługi, wpisując następujące polecenie: sudo service eraagent status 3.8.2.1 Wymagania wstępne dotyczące agenta — system Linux W celu zainstalowania komponentu agenta ERA w systemie Linux niezbędne jest spełnienie następujących wymagań wstępnych: Serwer ERA oraz konsola internetowa ERA muszą być zainstalowane Musi istnieć certyfikat agenta Musi istnieć klucz publiczny urzędu certyfikacji Komputer pełniący rolę serwera musi być dostępny w sieci Plik instalacyjny agenta musi być skonfigurowany jako plik wykonywalny (w tym celu należy uruchomić polecenie chmod +x) Najniższa obsługiwana wersja biblioteki openssl to openssl-1.0.1e-30 65 3.8.3 Instalacja konsoli internetowej ERA — system Linux Przed zainstalowaniem komponentu konsola internetowa ERA sprawdź, czy spełnione są wszystkie wymagania wstępne: 1. Wpisz poniższe polecenia, by skopiować plik era.war do wybranego folderu: sudo cp era.war /var/lib/tomcat7/webapps/ Możesz również wyodrębnić zawartość pliku era.war do folderu /var/lib/tomcat7/webapps/era/ 2. Wpisz poniższe polecenie, by uruchomić ponownie usługę Tomcat i przeprowadzić wdrożenie pliku .war, na przykład: sudo service tomcat7 restart 3. Otwórz poniższe łącze w przeglądarce internetowej na lokalnym hoście (powinien się pojawić ekran logowania): http://localhost:8080/era UWAGA: W przypadku instalacji konsoli internetowej za pomocą programu instalacyjnego domyślnym adresem konsoli internetowej jest: https://localhost/era/ 3.8.3.1 Wymagania wstępne dotyczące konsoli internetowej ERA — system Linux W celu zainstalowania komponentu konsoli internetowej ERA w systemie Linux niezbędne jest spełnienie następujących wymagań wstępnych: Środowisko Java — zawsze należy używać najnowszej oficjalnie opublikowanej wersji środowiska Java (do obsługi konsoli internetowej ERA wymagane jest środowisko Java co najmniej w wersji 7, jednak zdecydowanie zalecamy korzystanie z najnowszej wersji). apt-get install openjdk-7-jdk (dystrybucje Debian, Ubuntu) yum install java-1.8.0-openjdk (dystrybucje Red-Hat, Fedora) Apache Tomcat (wersja 6 i nowsze) sudo apt-get install tomcat7 yum install tomcat7 Plik konsoli internetowej (era.war) musi być zapisany na lokalnym dysku twardym. 3.8.4 Instalacja serwera proxy — system Linux 1. Sprawdź, czy spełnione są wszystkie wymagania wstępne. 2. Uruchom skrypt instalacyjny, aby zainstalować serwer proxy. Poniżej znajduje się przykład skryptu instalacyjnego. Ustawienia połączenia Obiekt docelowy musi zostać określony za pomocą poniższych parametrów: Nazwa hosta Adres IPv4 Adres IPv6 Rekord zasobu DNS — komputer z systemem operacyjnym Linux musi znajdować się w domenie — więcej informacji w rozdziale Rekord zasobu DNS. Należy określić port: dla serwera i serwera proxy należy użyć portu 2222. Przykład instalacji (Nowe wiersze są oddzielone znakiem „\”, co umożliwia skopiowanie całego polecenia do terminala) ./Proxy-Linux-x86_64-1.0.407.0.sh --db-hostname=10.1.179.28 --db-dbname=era_6_db_proxy \ --db-admin-username=sa --db-admin-password=admin.1 --db-user-username=tester \ --db-user-password=Admin.1 --db-port=1433 --db-type="MS SQL Server" \ --db-driver=SQL --skip-license --hostname=10.1.179.30 --port=2222 \ --cert-path=/home/adminko/Desktop/proxy.pfx --cert-auth-path=/home/adminko/Desktop/CA-server.der \ --cert-password=root --server-root-password=jjf#jDjr 66 Można modyfikować następujące atrybuty: to nazwa hosta lub adres IP serwera bazy danych. to nazwa bazy danych, która ma zostać użyta. --db-admin-username to nazwa administratora bazy danych. --db-admin-password to hasło administratora bazy danych. --db-user-username to użytkownik, za pośrednictwem którego uzyskiwany będzie dostęp do bazy danych. --db-user-password to hasło użytkownika. --db-port to port bazy danych (1433 dla MSSQL, 3306 dla MySQL). --db-type to definicja używanego typu bazy danych (możliwe wartości: „serwer MySQL” i „serwer MS SQL”). --db-driver musi mieć skonfigurowaną taką samą nazwę, jak nazwa zdefiniowana dla MSSQL w pliku /etc/ odbcinst.ini. --skip-license nie poprosi użytkownika o potwierdzenie licencji. --hostname to nazwa hosta lub adres IP serwera. --port to port serwera (domyślnie 2222) lub serwera proxy (domyślnie 1236). --proxy-port to port, który będzie używany przez serwer proxy (domyślna wartość to „2222”). --cert-path to lokalna ścieżka do pliku certyfikatu serwera proxy. --cert-auth-path to lokalna ścieżka do pliku urzędu certyfikacji serwera. --db-port — to ustawienie jest istotne, gdy używany jest program MySQL i należy je wtedy skonfigurować. Jeśli nie zostanie skonfigurowane, dla programu MySQL domyślnie użyty zostanie port 3306. -product-guid — identyfikator GUID produktu (jeśli go nie określono, zostanie wygenerowany). --cert-content — zakodowana w formacie Base64 treść zakodowanego w formacie PKCS12 certyfikatu klucza publicznego oraz klucza prywatnego, służącego do zabezpieczania kanałów komunikacyjnych na serwerze i agentach. Należy używać wyłącznie opcji --cert-path lub --cert-content. --cert-password — hasło musi być takie samo jak hasło certyfikatu agenta. --cert-auth-content — zakodowana w formacie Base64 treść certyfikatu kodowanego DER klucza prywatnego urzędu certyfikacji, używanego do weryfikacji zdalnych elementów równorzędnych (serwerów lub serwerów proxy). Należy używać wyłącznie opcji --cert-auth-path lub --cert-auth-content . --keep-database — baza danych nie zostanie usunięta podczas instalacji. --db-hostname --db-dbname Aby zweryfikować poprawność instalacji, można wpisać następujące polecenie, umożliwiające sprawdzenie, czy usługa jest uruchomiona: sudo service eraproxy status 3.8.4.1 Wymagania wstępne dotyczące serwera proxy — system Linux W celu zainstalowania komponentu serwera proxy w systemie Linux niezbędne jest spełnienie następujących wymagań wstępnych: Serwer ERA i konsola internetowa ERA są zainstalowane (na komputerze pełniącym rolę serwera). Sterownik ODBC do obsługi połączenia z serwerem bazy danych (MySQL/MS SQL) zainstalowany na komputerze. Serwer bazy danych jest już zainstalowany i skonfigurowany. Certyfikat serwera proxy został utworzony i pobrany na dysk lokalny. Urząd certyfikacji jest przygotowany na dysku lokalnym. Ważna licencja. Na komputerze lokalnym musi być zainstalowany agent, umożliwiający pełną obsługę wszystkich funkcji programu. Najniższa obsługiwana wersja biblioteki openssl to openssl-1.0.1e-30 67 3.8.5 Instalacja narzędzia RD Sensor i wymagania wstępne — system Linux W celu przeprowadzenia instalacji komponentu RD Sensor w systemie Linux należy wykonać poniższe działania: 1. Sprawdź, czy spełnione są następujące wymagania wstępne: o Sieć z możliwością wyszukiwania (otwarte porty, komunikacja przychodząca nieblokowana przez zaporę itd.). o Nawiązane połączenie z komputerem będącym serwerem. o Na komputerze lokalnym musi być zainstalowany agent ERA, umożliwiający pełną obsługę wszystkich funkcji programu. o Otwarty terminal. 2. Wpisz poniższe polecenie, by uruchomić plik jako program sudo: sudo ./RDSensor-Linux-x86_64-1.0.223.0.sh 3. Aby sprawdzić poprawność instalacji, należy zweryfikować działanie usługi, wpisując następujące polecenie: sudo service rdsensor status 4. Narzędzie Rogue Detection Sensor zostanie zainstalowane na komputerze. 5. Plik dziennika komponentu Rogue Detection Sensor można znaleźć tutaj: var/log/eset/RemoteAdministrator/ RogueDetectionSensor/trace.log 3.8.6 Instalacja narzędzia Moduł zarządzania urządzeniami mobilnymi — system Linux Komponent Moduł zarządzania urządzeniami mobilnymi można zainstalować na serwerze innym niż serwer, na którym zainstalowane jest rozwiązanie ERA. Jeśli na przykład narzędzie Moduł zarządzania urządzeniami mobilnymi ma być dostępne przez Internet, by na stałe umożliwić zarządzanie urządzeniami mobilnymi użytkowników. Instalacja komponentu serwera ERA w systemie Linux realizowana jest przy użyciu polecenia w terminalu. Sprawdź, czy spełnione są wszystkie wymagania wstępne. Można przygotować skrypt instalacyjny, a następnie wykonać go przy użyciu programu sudo. Wiele parametrów instalacji ma charakter opcjonalny, jednak niektóre z nich są wymagane. Do instalacji wymagany jest certyfikat równorzędny ERA. Certyfikat równorzędny ERA można uzyskać na dwa sposoby: Wspomagana instalacja serwerowa — konieczne będzie wprowadzenie poświadczeń administratora konsoli internetowej ERA (instalator automatycznie pobierze wymagane certyfikaty). Instalacja offline — konieczne będzie podanie certyfikatu równorzędnego (certyfikatu agenta wyeksportowanego z programu ESET Remote Administrator). Można również użyć certyfikatu niestandardowego. Parametry polecenia instalacji, które muszą zostać podane: Certyfikat protokołu HTTPS: --https-cert-path= --https-cert-password= Certyfikat równorzędny: W przypadku wspomaganej instalacji serwerowej należy podać przynajmniej: --webconsole-password= W przypadku instalacji offline należy podać: --cert-path= (hasło nie jest potrzebne w przypadku domyślnego certyfikatu agenta utworzonego podczas pierwszej instalacji serwera ERA) --cert-password= Połączenie z serwerem ERA (nazwa lub adres IP): --hostname= 68 W przypadku bazy danych MySQL należy podać: --db-type="MySQL Server" --db-driver= --db-admin-username= --db-admin-password= --db-user-password= W przypadku bazy danych MSSQL należy podać: --db-type="Microsoft SQL Server" --db-driver= --db-admin-username= --db-admin-password= --db-user-password= W przypadku istniejącej już bazy danych MySQL/MSSQL należy podać: --db-use-existing-db= lub --db-drop-existing-db= Przykład (Nowe wiersze są oddzielone znakiem „\”, co umożliwia skopiowanie całego polecenia do terminala) sudo ./MDMCore-Linux-x86_64-0.0.0.0.sh \ --https-cert-path="./httpscert.pfx" \ --https-cert-password="123456789" \ --port=2222 \ --db-type="MySQL" \ --db-driver="MySQL" \ --db-admin-username="root" \ --db-admin-password=123456789 \ --db-user-password=123456789 \ --db-hostname="127.0.0.1" \ --db-use-existing-db \ --webconsole-password=123456789 \ --hostname=username.LOCAL \ --mdm-hostname=username.LOCAL Aby uzyskać pełną listę dostępnych parametrów (wydrukować komunikat pomocy), użyj polecenia: --help Dziennik instalatora Dziennik instalatora może okazać się przydatny przy rozwiązywaniu problemów i można go znaleźć tutaj: /var/log/eset//mdminstaller.log Po ukończeniu instalacji sprawdź czy narzędzie Moduł zarządzania urządzeniami mobilnymi działa prawidłowo, otwierając w przeglądarce internetowej łącze https://nazwa-hosta-mdm:port-rej estracj i (np. https://eramdm:9980). Jeśli instalacja przebiegła prawidłowo, wyświetlony zostanie następujący komunikat: Przy użyciu tego adresu URL można również sprawdzić dostępność serwera narzędzia Moduł zarządzania urządzeniami mobilnymi w Internecie (jeśli zastosowano taką konfigurację), przechodząc pod ten adres na urządzeniu mobilnym. Jeśli strona okaże się niedostępna, należy sprawdzić ustawienia zapory oraz inne elementy konfiguracji infrastruktury sieciowej. 69 3.8.6.1 Wymagania wstępne dotyczące komponentu Moduł zarządzania urządzeniami mobilnymi — system Linux W celu zainstalowania komponentu Moduł zarządzania urządzeniami mobilnymi w systemie Linux niezbędne jest spełnienie następujących wymagań wstępnych: Zainstalowany i skonfigurowany serwer bazy danych z kontem głównym (przed instalacją nie trzeba tworzyć konta użytkownika, ponieważ może je utworzyć instalator). Sterownik ODBC do obsługi połączenia z serwerem bazy danych (MySQL/MS SQL) zainstalowany na komputerze. apt-get install unixodbc libmyodbc (dystrybucje Debian, Ubuntu) yum install mysql-connector-odbc (dystrybucje CentOS, Red-Hat, Fedora) UWAGA: Należy użyć pakietu unixODBC_23 (nie domyślnego pakietu unixODBC) w celu połączenia serwera ERA z bazą danych MySQL bez żadnych problemów. Dotyczy to w szczególności systemu SUSE Linux. o Skonfigurowanie pliku instalacyjnego serwera jako pliku wykonywalnego. chmod +x MDMCore-Linux-i686.sh o Po instalacji należy sprawdzić, czy usługa MDMCore jest uruchomiona. service mdmcore status o Najniższa obsługiwana wersja biblioteki openSSL to openssl-1.0.1e-30. UWAGA: W bazie danych na serwerze ERA zapisywane są duże obiekty blob danych, w związku z czym prawidłowe działanie serwera ERA wymaga skonfigurowania programu MySQL tak, aby przyjmował duże pakiety. Szczegółowe informacje dotyczące konfiguracji można znaleźć w części Często zadawane pytania. WAŻNE: Potrzebny będzie certyfikat SSL w formacie .pfx umożliwiający bezpieczną komunikację przy użyciu protokołu HTTPS. Zalecamy użycie certyfikatu dostarczonego przez urząd certyfikacji. Samodzielnie podpisane certyfikaty nie są zalecane, ponieważ nie wszystkie urządzenia mobilne umożliwiają użytkownikom akceptowanie samodzielnie podpisanych certyfikatów. Ten problem nie występuje w przypadku certyfikatów podpisanych przez urząd certyfikacji, ponieważ są one zaufane i nie wymagają akceptacji ze strony użytkownika. WAŻNE: W przypadku instalacji offline konieczne będzie podanie certyfikatu równorzędnego (certyfikatu agenta wyeksportowanego z programu ESET Remote Administrator). W rozwiązaniu ERA można również użyć certyfikatu niestandardowego. 3.8.7 Instalacja serwera proxy Apache HTTP — system Linux Aby zainstalować komponent serwer proxy Apache HTTP w systemie Windows, należy wykonać następujące działania: 1. Zainstaluj serwer Apache HTTP (co najmniej w wersji 2.4.10) 2. Załaduj następujące moduły: access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile, authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk 3. Dodaj konfigurację buforowania: CacheEnable disk http:// CacheDirLevels 4 CacheDirLength 2 CacheDefaultExpire 3600 CacheMaxFileSize 200000000 CacheMaxExpire 604800 CacheQuickHandler Off CacheRoot /var/cache/apache2/mod_cache_disk 4. Jeśli katalog /var/cache/apache2/mod_cache_disk nie istnieje, utwórz go i nadaj mu uprawnienia serwera Apache (r, w, x) 5. Dodaj konfigurację serwera proxy: ProxyRequests On ProxyVia On 70 <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> 6. Włącz dodaną konfigurację (jeśli konfiguracja jest konfiguracją główną, możesz pominąć ten krok) 7. W razie potrzeby zmień port nasłuchu (domyślnie ustawiony jest port 3128) 8. Opcjonalne uwierzytelnianie podstawowe: o Dodaj konfigurację uwierzytelniania do dyrektywy serwera proxy: AuthType Basic AuthName "Password Required" AuthUserFile /etc/apache2/password.file AuthGroupFile /etc/apache2/group.file Require group usergroup o Utwórz plik hasła przy użyciu pliku htpasswd.exe -c o Ręcznie utwórz plik o nazwie group.file z elementem usergroup:username 9. Uruchom serwer ponownie Ubuntu Server 14.10: 1.sudo apt-get install apache2 2.sudo a2enmod access_compat auth_basic authn_core authn_file authz_core authz_groupfile \ authz_host proxy proxy_http proxy_connect cache cache_disk 3.sudo vim /etc/apache2/conf-available/caching.conf o Skopiuj i wklej konfigurację buforowania: CacheEnable disk http:// CacheDirLevels 4 CacheDirLength 2 CacheDefaultExpire 3600 CacheMaxFileSize 200000000 CacheMaxExpire 604800 CacheQuickHandler Off CacheRoot /var/cache/apache2/mod_cache_disk 4. Ten krok powinien być opcjonalny, jednak w razie braku katalogu buforowania uruchom następujące polecenia: sudo mkdir /var/cache/apache2/mod_cache_disk sudo chown www-data /var/cache/apache2/mod_cache_disk sudo chgrp www-data /var/cache/apache2/mod_cache_disk 5.sudo vim /etc/apache2/conf-available/proxy.conf o Skopiuj i wklej konfigurację serwera proxy: ProxyRequests On ProxyVia On <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> 6.sudo a2enconf caching.conf proxy.conf 7.sudo vim /etc/apache2/ports.conf o Zastąp wpis Listen 80 wpisem Listen 3128 8. Opcjonalne uwierzytelnianie podstawowe: o sudo vim /etc/apache2/conf-available/proxy.conf Skopiuj i wklej konfigurację uwierzytelniania przed znacznikiem </Proxy>: 71 AuthType Basic AuthName "Password Required" AuthUserFile /etc/apache2/password.file AuthGroupFile /etc/apache2/group.file Require group usergroup sudo apt-get install apache2-utils sudo htpasswd -c /etc/apache2/password.file user sudo vim /etc/apache2/group.file insert: usergroup:user 9.sudo service apache2 restart Ustawienia ogólne: Zezwól na przekazywanie jedynie w ramach komunikacji z produktami ESET: 1. Zastąp poniższy element konfiguracji serwera proxy: <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> następującym: <Proxy *> Deny from all </Proxy> <ProxyMatch ^[h,H][t,T][t,T][p,P][s,S]?://([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\. \ [e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> <ProxyMatch ^[h,H][t,T][t,T][p,P][s,S]?://([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\. \ [e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> <ProxyMatch ^[h,H][t,T][t,T][p,P][s,S]?://([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2. \ mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net|edf-pcs.cloudapp.net|edf-pcs2.clouda edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> <ProxyMatch ^[h,H][t,T][t,T][p,P][s,S]?://([^@/]*@)?(87.106.247.14|209.157.66.250|209.157.66.253| \ 212.227.134.125|212.227.134.126|212.227.134.128|212.227.134.130|212.227.134.131|212.227.134.132| \ 212.227.134.133|212.227.134.158)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> Tworzenie łańcucha na serwerze proxy (cały ruch): Dodaj poniższy wiersz do konfiguracji serwera proxy (hasło działa wyłącznie w przypadku podrzędnego serwera proxy): ProxyRemote * http://10.1.172.26:3128 Squid3: 1. Zainstaluj oprogramowanie Squid3 2. Dodaj do konfiguracji wpis cache_dir ufs /var/spool/squid3 5000 ustawienia cache_dir (5000 to rozmiar pamięci podręcznej w MB) 16 256 max-size=200000000 3. Utwórz folder pamięci podręcznej przy użyciu usługi squid: squid3 uruchomiona) (zatrzymaj usługę squid3, jeśli jest 4. Dodaj zezwolenie na dostęp w przypadku żądanych klientów 5. Uruchom ponownie usługę squid3 Ubuntu Server 14.10: 1.sudo apt-get install squid3 72 -z w ramach 2.sudo vim /etc/squid3/squid.conf Zastąp wpis #cache_dir ufs /var/spool/squid3 100 16 256 256 max-size=200000000 wpisem cache_dir ufs /var/spool/squid3 5000 16 3.sudo service squid3 stop sudo squid3 -z 4.sudo vim /etc/squid3/squid.conf Dodaj wpis http_access serwera proxy allow all przed wpisem http_access deny all , aby zezwolić wszystkim na dostęp do 5.sudo service squid3 restart 3.8.8 Dezinstalacja i ponowna instalacja komponentu — system Linux Jeśli chcesz ponownie zainstalować lub uaktualnić komponent do nowszej wersji, uruchom ponownie skrypt instalacyjny. Aby odinstalować komponent (w tym przypadku serwer ERA), uruchom program instalacyjny z parametrem -uninstall, jak w poniższym przykładzie: sudo ./Server-Linux-i686.sh --uninstall --keep-database W celu odinstalowania innych komponentów w poleceniu należy użyć nazw odpowiednich pakietów. Przykład dla agenta ER sudo ./Agent-Linux-x86_64.sh --uninstall Ostrzeżenie: Podczas procesu dezinstalacji dane konfiguracji i bazy danych zostaną usunięte. Aby zachować pliki bazy danych, można utworzyć zrzut SQL bazy danych lub użyć parametru --keep-database. Po odinstalowaniu należy sprawdzić: Usunięcie usługi eraserverService.sh. Usunięcie folderu /etc/opt/eset/RemoteAdministrator/Server/. Zalecamy utworzenie kopii zapasowej bazy danych przed przeprowadzeniem dezinstalacji, na wypadek, gdyby zaistniała potrzeba odzyskania danych. 73 3.9 Rekord usługi DNS Procedura konfigurowania rekordu zasobu DNS: 1. Na serwerze DNS (serwerze DNS obsługiwanym przez kontroler domeny) przejdź do obszaru Panel sterowania > Narzędzia administracyjne. 2. Wybierz wartość DNS. 3. W obszarze Menedżer DNS wybierz w strukturze drzewa pozycję _tcp i utwórz nowy rekord Lokalizacja usługi (SRV). 4. W polu Usługa wprowadź nazwę usługi w sposób zgodny ze standardowymi regułami DNS, wpisz symbol podkreślenia ( _ ) przed nazwą usługi (użyj własnej nazwy usługi, na przykład _era). 5. W polu Protokół wprowadź protokół TCP w następującym formacie: _tcp. 6. W polu Numer portu wpisz wartość 2222. 7. W polu Host oferujący tę usługę wprowadź w pełni kwalifikowaną nazwę domeny (nazwę FQDN) serwera ERA. 8. Zapisz rekord, klikając opcję [OK], a następnie [Gotowe] — spowoduje to wyświetlenie rekordu na liście. W celu zweryfikowania rekordu DNS: 1. Zaloguj się na dowolnym komputerze w swojej domenie i otwórz wiersz polecenia (cmd.exe). 2. W wierszu polecenia wpisz nslookup i naciśnij klawisz Enter. 3. Wpisz set querytype=srv i naciśnij klawisz Enter. 4. Wpisz _era._tcp.domain.name i naciśnij klawisz Enter. Lokalizacja usługi powinna zostać poprawnie wyświetlona. UWAGA: Ta procedura jest jednakowa dla systemu Windows oraz systemu Linux. UWAGA: Należy pamiętać o zmianie wartości w polu „Host oferujący tę usługę:” na nazwę FQDN nowego serwera po zainstalowaniu serwera ESET Remote Administrator na innym komputerze. 74 3.10 Narzędzie do obsługi migracji Kreator migracji to odrębna aplikacja, umożliwiająca prostą migrację danych z oprogramowania w wersji 4.x lub 5.x do pośredniej bazy danych, a następnie zaimportowanie ich do rozwiązania ERA 6.x. Należy pobrać narzędzie do obsługi migracji rozwiązania ESET Remote Administrator. Do pobrania narzędzia niezbędna jest istniejąca, nadana przez firmę ESET nazwa użytkownika oraz hasło. UWAGA: W celu rozwiązania problemu z brakującymi plikami MSVCP100.dll lub MSVCR100.dll należy zainstalować najnowszy pakiet Microsoft Visual C++ 2010 Redistributable. Można użyć następującego łącza: pakiet Microsoft Visual C++ 2010 Redistributable (x86). 75 3.10.1 Scenariusz migracji 1 Scenariusz dotyczy migracji do rozwiązania ERA 6.x działającego na innym komputerze niż rozwiązanie ERA w wersji 4.x lub 5.x. 1. Pierwszym krokiem w procedurze migracji jest zainstalowanie oprogramowania ERA 6.x i uruchomienie go na innym komputerze. 2. Uruchom narzędzie do obsługi migracji rozwiązania ESET Remote Administrator na komputerze z oprogramowaniem ERA w wersji 4.x lub 5.x i wybierz opcję Eksportuj, by zapisać dane ze starszego oprogramowania ERA do pliku pośredniej bazy danych. 3. Kreator migracji umożliwia przeniesienie wyłącznie określonych danych. Wybierz dane, które chcesz przenieść i kliknij przycisk Dalej. Ze względu na nową strukturę i zasady działania grup dynamicznych w oprogramowaniu ERA 6.x z wcześniejszych wersji nie można przenieść grup parametrycznych, zadań ani reguł. Po wybraniu folderu, w którym zapisana zostanie tymczasowa baza danych, w kreatorze zostanie wyświetlony stan archiwizacji bazy danych oprogramowania ERA w wersji 4.x lub 5.x. 76 Wszystkie dane są eksportowane do pośredniej bazy danych. 4. Po ukończeniu eksportowania danych do wyboru są dwie możliwości: Pierwsza z nich to zakończenie eksportu, skopiowanie pliku tymczasowej bazy danych na serwer, na którym działa oprogramowanie ESET Remote Administrator 6.x oraz zaimportowanie danych przy użyciu narzędzia do obsługi migracji ERA na tym serwerze. Druga możliwość to kliknięcie opcji Importuj teraz i zaimportowanie danych bezpośrednio do programu ESET Remote Administrator 6.x przez sieć. Należy podać dane połączenia i dane logowania do nowego serwera ERA. UWAGA: Grupy statyczne synchronizowane z usługą Active Directory są ignorowane i nie zostaną wyeksportowane. Jeśli ustawienia serwera nie zezwalają na importowanie określonych danych, w narzędziu do obsługi migracji rozwiązania ESET Remote Administrator użytkownik będzie mógł zdecydować, czy chce wprowadzić zmiany w ustawieniach serwera ERA 6.x w odniesieniu do określonych komponentów. Zostanie wówczas zaimportowany każdy z komponentów. Dla każdego komponentu dostępny jest dziennik importu (migracji). Po ukończeniu importu w narzędziu do obsługi migracji wyświetlone zostaną wyniki procesu importowania. Jeśli migracji poddano użytkowników, ich hasła zostały zresetowane i zastąpione losowo wygenerowanymi hasłami. Hasła te można wyeksportować w formacie .CSV . W kreatorze narzędzia do obsługi migracji generowany jest również skrypt, którego można użyć do wstępnego skonfigurowania agentów ERA na komputerach klienckich. Skrypt ten jest niewielkim plikiem wykonywalnym .bat nadającym się do dystrybucji na komputerach klienckich. 77 Zalecamy przejrzenie ustawień i danych po migracji w celu sprawdzenia, czy importowanie przebiegło pomyślnie. Po sprawdzeniu można użyć tego skryptu do wdrożenia agenta ERA na niewielkiej grupie komputerów w celu sprawdzenia, czy komputery łączą się prawidłowo z serwerem. Po pomyślnym nawiązaniu połączenia przez komputery z grupy testowej można wdrożyć agenta na pozostałych komputerach (ręcznie lub przy użyciu zadania synchronizacji z usługą AD). UWAGA: Jeśli któryś z etapów migracji zakończy się niepowodzeniem, należy wycofać zmiany wprowadzone w ramach rozwiązania ERA 6.x, skonfigurować komputery, by łączyły się z serwerem ERA w wersji 4.x lub 5.x, przywrócić dane kopii zapasowej oprogramowania ERA w wersji 4.x lub 5.x i skontaktować się działem obsługi klienta firmy ESET. 3.10.2 Scenariusz migracji 2 Scenariusz dotyczy migracji do rozwiązania ESET Remote Administrator 6.x działającego na tym samym komputerze co rozwiązanie ERA w wersji 4.x lub 5.x. Przed migracją danych należy wykonać kopię zapasową danych serwera ERA (używając narzędzia konserwacyjnego firmy ESET), a wszystkie usługi w systemie operacyjnym powinny zostać zatrzymane. 1. Po uruchomieniu narzędzia do obsługi migracji rozwiązania ESET Remote Administrator na komputerze z oprogramowaniem ERA w wersji 4.x lub 5.x administrator wybiera opcję Eksportuj, by zapisać dane z oprogramowania ERA w wersji 4.x lub 5.x w pliku pośredniej bazy danych. Kreator migracji umożliwia przeniesienie wyłącznie określonych danych: 78 UWAGA: Z oprogramowania ERA w wersji 4.x lub 5.x nie można przenosić grup parametrycznych, zadań i reguł ze względu na nową strukturę i funkcje grup dynamicznych w rozwiązaniu ERA 6.x. 79 2. Po wybraniu folderu zapisu tymczasowej bazy danych w kreatorze zostanie wyświetlony stan archiwizacji bazy danych oprogramowania ERA w wersji 4.x lub 5.x. 3. Wszystkie dane są eksportowane do pośredniej bazy danych. Po pomyślnym wyeksportowaniu danych i przed wdrożeniem serwera ERA 6.x oprogramowanie ERA w wersji 4.x lub 5.x należy odinstalować. Po zainstalowaniu serwera ERA 6.x można zaimportować wyeksportowaną bazę danych przy użyciu narzędzia do obsługi migracji. Administratorowi wyświetli się monit o wybranie zapisanego pliku. Jeśli ustawienia serwera nie zezwalają na importowanie określonych danych, w narzędziu do obsługi migracji rozwiązania ESET Remote Administrator użytkownik będzie mógł zdecydować, czy chce wprowadzić zmiany w ustawieniach serwera ERA 6.x w odniesieniu do określonych komponentów. Zostanie wówczas zaimportowany każdy z komponentów. Dla każdego komponentu dostępny jest dziennik importu (migracji). Po ukończeniu importu w narzędziu do obsługi migracji wyświetlone zostaną wyniki procesu importowania. Jeśli migracji poddano użytkowników, ich hasła zostały zresetowane i zastąpione losowo wygenerowanymi hasłami. Hasła te można wyeksportować w formacie .CSV . W kreatorze narzędzia do obsługi migracji generowany jest również skrypt, którego można użyć do wstępnego skonfigurowania agentów ERA na komputerach klienckich. Skrypt ten jest niewielkim plikiem wykonywalnym .bat nadającym się do dystrybucji na komputerach klienckich. Zalecamy przejrzenie ustawień i danych po migracji w celu sprawdzenia, czy importowanie przebiegło pomyślnie. Po sprawdzeniu można użyć tego skryptu do wdrożenia agenta ERA na niewielkiej grupie komputerów w celu sprawdzenia, czy komputery łączą się prawidłowo z serwerem. 80 Po pomyślnym nawiązaniu połączenia przez komputery z grupy testowej można wdrożyć agenta na pozostałych komputerach (ręcznie lub przy użyciu zadania synchronizacji z usługą AD). UWAGA: Jeśli któryś z etapów migracji zakończy się niepowodzeniem, należy wycofać zmiany wprowadzone w ramach rozwiązania ERA 6.x, skonfigurować komputery, by łączyły się z serwerem ERA w wersji 4.x lub 5.x, przywrócić dane kopii zapasowej oprogramowania ERA w wersji 4.x lub 5.x i skontaktować się działem obsługi klienta firmy ESET. 3.10.3 Scenariusz migracji 3 Scenariusz dotyczy migracji do rozwiązania ERA 6.x, w którym punkty końcowe łączą się ze starszym rozwiązaniem ERA w wersji 4.x lub 5.x aż do momentu wdrożenia agenta ERA w ramach rozwiązania ERA 6.x. UWAGA: Ten scenariusz przeznaczony jest wyłącznie dla użytkowników zaawansowanych. Nie zalecamy tego typu migracji, jeśli dostępne są inne możliwości. 1. Po uruchomieniu narzędzia do obsługi migracji rozwiązania ESET Remote Administrator na komputerze z oprogramowaniem ERA w wersji 4.x lub 5.x administrator wybiera opcję Eksportuj, by zapisać dane z oprogramowania ERA w wersji 4.x lub 5.x w pliku pośredniej bazy danych. Kreator migracji umożliwia przeniesienie wyłącznie określonych danych: 81 UWAGA: Z oprogramowania ERA w wersji 4.x lub 5.x nie można przenosić grup parametrycznych, zadań i reguł ze względu na nową strukturę i funkcje grup dynamicznych w rozwiązaniu ERA 6.x. 82 2. Po wybraniu folderu zapisu tymczasowej bazy danych w kreatorze zostanie wyświetlony stan archiwizacji bazy danych oprogramowania ERA w wersji 4.x lub 5.x. 3. Wszystkie dane są eksportowane do pośredniej bazy danych. 4. Jeśli nowy serwer ERA 6 zostanie uruchomiony na tym samym komputerze, na którym zainstalowany jest serwer ERA w wersji 4.x lub 5.x, można zmienić porty starego serwera ERA oraz zmienić nazwę usługi serwera (sc config ERA_SERVER DisplayName= "ESET Remote Administrator g1" ). 5. Po wyeksportowaniu danych program ESET Remote Administrator 4.x lub 5.x należy uruchomić ponownie. 6. Należy zainstalować nowe rozwiązanie ESET Remote Administrator 6 i zaimportować pośrednią bazę danych przy użyciu narzędzia do obsługi migracji. Jeśli ustawienia serwera nie zezwalają na importowanie określonych danych, w narzędziu do obsługi migracji rozwiązania ESET Remote Administrator użytkownik będzie mógł zdecydować, czy chce wprowadzić zmiany w ustawieniach serwera ERA 6.x w odniesieniu do określonych komponentów. Zostanie wówczas zaimportowany każdy z komponentów. Dla każdego komponentu dostępny jest dziennik importu (migracji). Po ukończeniu importu w narzędziu do obsługi migracji wyświetlone zostaną wyniki procesu importowania. Jeśli migracji poddano użytkowników, ich hasła zostały zresetowane i zastąpione losowo wygenerowanymi hasłami. Hasła te można wyeksportować w formacie .CSV . W kreatorze narzędzia do obsługi migracji generowany jest również skrypt, którego można użyć do wstępnego skonfigurowania agentów ERA na komputerach klienckich. Skrypt ten jest niewielkim plikiem wykonywalnym .bat nadającym się do dystrybucji na komputerach klienckich. 83 Zalecamy przejrzenie ustawień i danych po migracji w celu sprawdzenia, czy importowanie przebiegło pomyślnie. Po sprawdzeniu można użyć tego skryptu do wdrożenia agenta ERA na niewielkiej grupie komputerów w celu sprawdzenia, czy komputery łączą się prawidłowo z serwerem. Po pomyślnym nawiązaniu połączenia przez komputery z grupy testowej można wdrożyć agenta na pozostałych komputerach (ręcznie lub przy użyciu zadania synchronizacji z usługą AD). UWAGA: Jeśli któryś z etapów migracji zakończy się niepowodzeniem, należy wycofać zmiany wprowadzone w ramach rozwiązania ERA 6.x, skonfigurować komputery, by łączyły się z serwerem ERA w wersji 4.x lub 5.x, przywrócić dane kopii zapasowej oprogramowania ERA w wersji 4.x lub 5.x i skontaktować się działem obsługi klienta firmy ESET. Po przeprowadzeniu tego typu migracji nie będą dostępne dzienniki wyeksportowane w czasie między procesem tworzenia kopii zapasowej serwera ERA w wersji 4.x lub 5.x a wdrożeniem agenta na komputerze klienckim. Dane te będą jednak nadal dostępne w starym oprogramowaniu ERA w wersji 4.x lub 5.x. 84 4. Pierwsze kroki Po pomyślnym zainstalowaniu programu ESET Remote Administrator można przejść do jego konfigurowania. W kolejnych rozdziałach przedstawione zostaną zalecane działania wstępne, które należy podjąć po zainstalowaniu programu ESET Remote Administrator. Najpierw należy otworzyć konsolę internetową ERA w przeglądarce internetowej i zalogować się. Zapoznanie się z konsolą internetową ERA Przed przystąpieniem do wprowadzania konfiguracji wstępnej zalecamy zapoznanie się z konsolą internetową ERA, ponieważ jest to interfejs służący do zarządzania oprogramowaniem zabezpieczającym firmy ESET. Dodawanie do struktury ERA komputerów klienckich, serwerów oraz urządzeń mobilnych działających w sieci Podczas instalacji można zdecydować się na wyszukanie w sieci komputerów (klientów). Wszystkie klienty zostaną wymienione w obszarze Komputery po uruchomieniu programu ESET Remote Administrator. Jeśli w obszarze Komputery nie są wymienione klienty, należy uruchomić zadanie Synchronizacja grupy statycznej w celu wyszukania komputerów i wyświetlenia ich w grupach. Wdrożenie agenta Po wyszukaniu komputerów należy wdrożyć agenta na komputerach klienckich. Agent umożliwia komunikację pomiędzy programem ESET Remote Administrator a klientami. Instalowanie produktu firmy ESET (w tym aktywacja) Aby zapewnić bezpieczeństwo klientów oraz sieci, należy zainstalować produkty firmy ESET. Służy do tego zadanie Instalacja oprogramowania. Tworzenie/edytowanie grup Zalecamy podzielenie klientów na grupy, statyczne i dynamiczne, na podstawie różnych kryteriów. Ułatwia to zarządzanie klientami i pozwala kontrolować stan sieci. Tworzenie nowej reguły Reguły są bardzo przydatne, gdy konieczne jest wymuszenie określonej konfiguracji produktu firmy ESET uruchomionego na komputerach klienckich. Umożliwia to wyeliminowanie konieczności ręcznego konfigurowania produktu ESET na każdym z klientów, dzięki wymuszeniu konfiguracji przy użyciu reguły. Po utworzeniu nowej reguły o niestandardowej konfiguracji można przypisać ją do grupy (statycznej lub dynamicznej). Reguła zostaje następnie zastosowana w odniesieniu do wszystkich komputerów z tej grupy. Przypisywanie reguły do grupy Jak wyjaśniono wyżej, by umożliwić zastosowanie reguły, należy przypisać ją do grupy. Reguła zostanie zastosowana w odniesieniu do komputerów należących do tej grupy. Reguła jest stosowana za każdym razem, gdy agent nawiązuje połączenie z serwerem ERA. Konfigurowanie powiadomień i tworzenie raportów Aby skuteczniej kontrolować, co dzieje się na komputerach klienckich w danym środowisku, zalecamy korzystanie z powiadomień i raportów. Można na przykład zdecydować, czy w razie wystąpienia określonych zdarzeń mają być wysyłane powiadomienia, czy też mają być wyświetlane lub pobierane raporty. 4.1 Otwieranie konsoli internetowej ERA Konsolę internetową ERA można otworzyć na kilka różnych sposobów: Na serwerze lokalnym (urządzeniu będącym hostem dla konsoli internetowej) wpisz w przeglądarce następujący adres URL: https://localhost/era/ Na dowolnym urządzeniu z dostępem do używanego serwera internetowego wpisz adres URL w następującym formacie: https://nazwa_serwera/era/ Część „nazwa_serwera” zastąp prawdziwą nazwą lub adresem IP używanego serwera internetowego. 85 Aby zalogować się do wirtualnego urządzenia ERA, użyj następującego adresu URL: https://[adres IP]:8443/ Część „[adres IP]” zastąp adresem IP maszyny wirtualnej ERA. Jeśli nie pamiętasz adresu IP, zapoznaj się z krokiem 9 instrukcji wdrożenia urządzenia wirtualnego. Na serwerze lokalnym (komputerze będącym hostem dla konsoli internetowej), kliknij kolejno pozycje Start > Wszystkie programy > ESET > ESET Remote Administrator > Konsola internetowa ESET Remote Administrator. Ekran logowania zostanie otwarty w domyślnej przeglądarce internetowej. Nie dotyczy to urządzenia wirtualnego ERA. UWAGA: W związku z tym, że w konsoli internetowej używany jest protokół bezpieczny (HTTPS), w przeglądarce internetowej może zostać wyświetlony komunikat dotyczący certyfikatu zabezpieczeń lub niezaufanego połączenia (dokładna treść komunikatu zależy od używanej przeglądarki). Powodem jest to, że w przeglądarce wymagane jest zweryfikowanie przez użytkownika tożsamości strony, do której próbuje uzyskać dostęp. Aby umożliwić dostęp do konsoli internetowej ERA, kliknij opcję Kontynuuj przeglądanie tej witryny sieci Web (Internet Explorer) lub kliknij opcję Rozumiem zagrożenie, Dodaj wyjątek..., a następnie opcję Potwierdź wyjątek bezpieczeństwa (Firefox). Dotyczy to tylko próby uzyskania dostępu do konsoli internetowej ESET Remote Administrator przy użyciu adresu URL. Gdy serwer internetowy (ten, na którym uruchomiona jest konsola internetowa ERA) działa, wyświetlony zostaje następujący ekran. Jeśli jest to pierwsze logowanie, należy podać poświadczenia wprowadzone podczas procedury instalacji. Więcej informacji na temat tego ekranu można znaleźć w części Ekran logowania do konsoli internetowej. UWAGA: W razie gdyby ekran logowania nie został wyświetlony lub gdyby stale się ładował (zdarza się to rzadko), należy uruchomić ponownie usługę ESET Remote Administrator Server. Po ponownym pomyślnym uruchomieniu usługi ESET Remote Administrator Server należy uruchomić usługę Apache Tomcat. Po tych działaniach ekran logowania do konsoli internetowej załaduje się pomyślnie. 86 4.2 Ekran logowania do konsoli internetowej ERA Do zalogowania się do konsoli internetowej niezbędne są poświadczenia (nazwa użytkownika i hasło). Można również zalogować się jako użytkownik domeny po zaznaczeniu pola wyboru przy opcji Zaloguj się do domeny (użytkownik domeny nie jest powiązany z żadną zmapowaną grupą domen). Z listy dostępnej w prawym górnym ekranu logowania można wybrać język użytkownika. Wybranie opcji Zezwól na sesję na wielu kartach umożliwi otwieranie konsoli internetowej ERA na wielu kartach przeglądarki internetowej. Zmień hasło/Spróbuj użyć innego konta — te opcje umożliwiają zmianę hasła lub przejście z powrotem do ekranu logowania. Użytkownik bez zestawu uprawnień może się zalogować do konsoli internetowej, ale nie będzie miał dostępu do ważnych informacji. 87 W celu nadania użytkownikowi uprawnień do odczytu/zapisu/modyfikacji w modułach konsoli internetowej, należy utworzyć odpowiedni zestaw uprawnień i przypisać go do użytkownika. Zarządzanie sesją i środki bezpieczeństwa: Blokada logowania z adresu IP Po 10 nieudanych próbach zalogowania z tego samego adresu IP kolejne próby zalogowania z tego adresu IP zostaną czasowo zablokowane na około 10 minut. Ta blokada prób logowania z adresu IP nie ma wpływu na trwające sesje. Blokada adresu IP ze względu na nieprawidłowy identyfikator sesji Po 15-krotnym wprowadzeniu z tego samego adresu IP nieprawidłowego identyfikatora sesji wszystkie kolejne połączenia z tego adresu IP będą blokowane przez około 15 minut. Nie są brane pod uwagę identyfikatory wygasłych sesji. Jeśli w przeglądarce używany jest identyfikator wygasłej sesji, nie jest to uznawane za atak. Blokada adresu IP na 15 minut dotyczy wszystkich czynności (w tym prawidłowych żądań). 88 4.3 Zapoznanie się z konsolą internetową ERA Konsola internetowa programu ESET Remote Administrator jest głównym interfejsem umożliwiającym łączenie z serwerem ERA. Można ją postrzegać jako panel sterowania — centralne miejsce, z którego można zarządzać wszystkimi programami zabezpieczającymi ESET. To internetowy interfejs, do którego można uzyskać dostęp za pomocą przeglądarki internetowej (patrz sekcja Obsługiwane przeglądarki internetowe) z dowolnego miejsca, za pomocą dowolnego urządzenia z dostępem do Internetu. Główne zasady dotyczące orientacji interfejsu GUI: Bieżący użytkownik zawsze jest wyświetlany u góry z prawej strony, gdzie odliczany jest limit czasu jego sesji. W dowolnym momencie można się wylogować, klikając opcję Wyloguj dostępną obok licznika czasu. Po upłynięciu limitu czasu sesji (z powodu braku aktywności użytkownika) użytkownik musi się ponownie zalogować. Kliknięcie znaku ? widocznego u góry każdego ekranu umożliwia wyświetlenie ekranu pomocy z informacjami na temat danego ekranu. Menu jest zawsze dostępne z lewej strony, z wyjątkiem sytuacji, gdy używany jest Kreator. W dowolnym momencie można wyświetlić menu, umieszczając wskaźnik myszy po lewej stronie ekranu. W menu dostępne są również łącza Na skróty i wyświetlana jest wersja konsoli internetowej. Ikona koła zębatego zawsze wskazuje menu kontekstowe. Ekrany z drzewem mają określone elementy sterujące. Samo drzewo znajduje się po lewej stronie, a pod nim widoczne są dostępne czynności. Wystarczy kliknąć element, by wyświetlić dostępne dla niego opcje. 89 Tabele umożliwiają zarządzanie jednostkami w wierszach pojedynczo lub całymi grupami (po zaznaczeniu większej liczby wierszy). Kliknięcie wiersza umożliwia wyświetlenie opcji jednostek znajdujących się w tym wierszu. Dane w tabelach można filtrować i sortować. Obiekty w programie ERA można edytować przy użyciu kreatorów. Wszystkie kreatory mają pewne wspólne cechy: 90 Kroki ustawione są pionowo, od góry do dołu. Użytkownik może wrócić do dowolnego kroku, w dowolnym momencie. Nieprawidłowo wprowadzone dane zostają oznaczone w momencie przeniesienia kursora do nowego pola. Krok kreatora zawierający nieprawidłowe dane wejściowe jest także oznaczany. Użytkownik może w dowolnym momencie sprawdzić nieprawidłowe dane, klikając przycisk Ustawienia obowiązkowe. Przycisk Zakończ nie jest dostępny, dopóki wszystkie dane nie są prawidłowe. 4.4 Wdrożenie Po pomyślnym zainstalowaniu programu ESET Remote Administrator konieczne jest wdrożenie na komputerach w sieci agenta ERA i rozwiązań zabezpieczających ESET Endpoint (EES, EEA...). Wdrożenie obejmuje następujące etapy: 1. Dodawanie komputerów klienckich do struktury grup ESET Remote Administrator. 2. Wdrożenie agenta ERA. 3. Wdrożenie rozwiązań zabezpieczających ESET Endpoint Gdy agent ERA zostanie już wdrożony, można przeprowadzić instalację zdalną innych produktów zabezpieczających firmy ESET na komputerach klienckich. Poszczególne kroki instalacji zdalnej opisano w rozdziale Instalacja produktu. 4.4.1 Dodawanie komputera klienckiego do struktury ERA Dostępne są 3 sposoby dodawania komputera klienckiego do struktury ESET Remote Administrator: Synchronizacja z usługą Active Directory Ręczne wpisanie nazwy/adresu IP Korzystanie z narzędzia RD Sensor 91 4.4.1.1 Używanie synchronizacji z usługą Active Directory Synchronizację z usługą Active Directory przeprowadza się uruchamiając zadanie serwera Synchronizacja grupy statycznej. Administrator > Zadanie serwera to wstępnie zdefiniowane zadanie, które można wybrać do automatycznego wykonania podczas instalacji programu ESET Remote Administrator. Jeśli komputer należy do domeny, synchronizacja zostanie przeprowadzone, a komputery z usługi Active Directory zostaną wpisane do domyślnej grupy Wszystkie. Aby rozpocząć procedurę synchronizacji, wystarczy kliknąć zadanie i wybrać pozycję Uruchom teraz. Jeśli konieczne jest utworzenie nowego zadania synchronizacji AD, wybierz grupę, do której mają zostać dodane nowe komputery z usługi AD. Zaznacz również obiekty w usłudze AD, z którą ma być przeprowadzona synchronizacja oraz określ sposób postępowania z duplikatami. Wprowadź ustawienia połączenia z serwerem usługi AD i w pozycji Tryb synchronizacji wybierz opcję Active Directory/Open Directory/LDAP. Wykonaj procedurę przedstawioną w tym artykule bazy wiedzy firmy ESET. 92 4.4.1.2 Ręczne wpisanie nazwy/adresu IP Na karcie Komputery można dodawać nowe komputery. W ten sposób można ręcznie dodawać komputery, które nie zostały znalezione lub dodane automatycznie. Wystarczy wpisać adres IP lub nazwę hosta komputera, który ma zostać dodany, aby program ESET Remote Administrator wyszukał go w sieci. 93 Kliknij opcję Dodaj. Komputery można wyświetlić na liście po prawej stronie po wybraniu grupy, do której należą. Po dodaniu komputera pojawi się wyskakujące okno z opcją Wdrożenie agenta. 4.4.1.3 Korzystanie z narzędzia RD Sensor Jeśli użytkownik nie korzysta z synchronizacji AD, najłatwiejszym sposobem na dodanie komputera do struktury ERA jest użycie narzędzia RD Sensor. Komponent RD Sensor jest częścią pakietu instalacyjnego. Bardziej szczegółowe dane raportu Współczynnik komputerów nieautoryzowanych można z łatwością znaleźć w dostępnej u dołu panelu kontrolnego Komputery tabeli, w której po kliknięciu czerwonej części wykresu można wyświetlić nieautoryzowane komputery. 94 Raport Komputery nieautoryzowane widoczny na panelu kontrolnym będzie zawierać listę komputerów wyszukanych przez narzędzie RD Sensor. Komputery można dodawać, klikając w tym celu żądany komputer i używając przycisku Dodaj, by go dodać lub używając polecenia Dodaj wszystkie wyświetlane elementy. W przypadku dodawania jednego komputera należy wykonać instrukcje wyświetlane na ekranie. Można użyć podanej wstępnie nazwy lub zmienić ją zgodnie z własnym uznaniem (jest to nazwa wyświetlana, która będzie używana wyłącznie w konsoli internetowej ERA, a nie właściwa nazwa hosta). Można również dodać opis. Jeśli dany komputer istnieje już w katalogu ERA, zostanie wyświetlone powiadomienie i użytkownik będzie mógł zdecydować, co zrobić z duplikatem. Dostępne opcje: Wdrożenie agenta, Pomiń, Spróbuj ponownie, Przenieś, Zduplikuj lub Anuluj. Po dodaniu komputera pojawi się wyskakujące okno z opcją Wdrożenie agenta. 95 W przypadku kliknięcia polecenia Dodaj wszystkie wyświetlane elementy wyświetlona zostanie lista komputerów do dodania. Kliknij symbol X przy nazwie danego komputera, jeśli nie chcesz uwzględnić go w danym momencie w katalogu ERA. Gdy zakończysz usuwanie komputerów z listy, kliknij przycisk Dodaj. Po kliknięciu przycisku Dodaj wybierz czynność, która ma zostać wykonana w momencie wykrycia duplikatu (w zależności od liczby komputerów na liście może to chwilę potrwać): Pomiń, Spróbuj ponownie, Przenieś, Zduplikuj oraz Anuluj. Po wybraniu opcji zostanie wyświetlone wyskakujące okno zawierające wszystkie dodane komputery, w odniesieniu do których będzie można użyć opcji Wdrożenie agentów. Wyniki działania narzędzia RD Sensor zostaną zapisane w pliku dziennika o nazwie detectedMachines.log. Plik ten zawiera listę komputerów wykrytych w sieci. Plik detectedMachines.log można znaleźć w następującej lokalizacji: System Windows C:\ProgramData\ESET\Rouge Detection Sensor\Logs\ System Linux var/log/eset/RemoteAdministrator/RogueDetectionSensor/detectedMachines.log 96 4.4.2 Wdrażanie agenta Wdrażanie agenta można przeprowadzić na kilka różnych sposobów. Dostępne sposoby wdrażania agenta: Zdalnie — przy użyciu zadania serwera umożliwiającego masowe wdrożenie agenta ERA. Można również wdrożyć agenta przy użyciu obiektu GPO lub programu SCCM Lokalnie — przy użyciu pakietu instalacyjnego agenta lub instalatora Live agenta, np. gdy podczas zdalnego wdrażania występują problemy. Wdrażanie lokalne można przeprowadzić na trzy sposoby: Instalatory Live agenta — przy użyciu skryptu wygenerowanego na konsoli internetowej ERA można rozesłać instalatory Live agenta w wiadomości e-mail lub uruchomić je z nośnika wymiennego (dysku flash USB itp.). Wspomagana instalacja serwerowa — przy użyciu pakietu instalacyjnego agenta certyfikaty pobierane są automatycznie z serwera ERA (zalecana metoda wdrażania lokalnego). Instalacja offline — przy użyciu pakietu instalacyjnego agenta należy ręcznie wyeksportować certyfikaty i użyć ich w tej metodzie wdrażania. Zadania serwera polegającego na zdalnym wdrożeniu agenta można użyć do masowej dystrybucji agenta na komputerach klienckich. Jest to najwygodniejsza metoda dystrybucji, ponieważ można ją zrealizować przy użyciu konsoli internetowej, bez konieczności ręcznego wdrażania agenta na każdym z komputerów. Agent ERA jest bardzo istotnym elementem, ponieważ rozwiązania zabezpieczające firmy ESET działające na komputerach klienckich komunikują się z serwerem ERA wyłącznie za pośrednictwem agenta. UWAGA: W przypadku wystąpienia problemów podczas zdalnego wdrażania agenta ERA (jeśli zadanie serwera Wdrożenie agenta nie powiedzie się) należy zapoznać się z informacjami w przewodniku Rozwiązywanie problemów. 4.4.2.1 Etapy wdrożenia — system Windows 1. Sprawdź, czy spełnione są wszystkie wymagania wstępne: Serwer ERA i konsola internetowa ERA są zainstalowane (na komputerze pełniącym rolę serwera). Certyfikat agenta jest utworzony i przygotowany na dysku lokalnym. Urząd certyfikacji jest przygotowany na dysku lokalnym. Komputer pełniący rolę serwera musi być dostępny w sieci. UWAGA: W przypadku wystąpienia problemów podczas zdalnego wdrażania agenta ERA (jeśli zadanie serwera Wdrożenie agenta zostanie zakończone ze stanem Nie powiodło się) należy zapoznać się z informacjami w przewodniku Rozwiązywanie problemów. 2. Aby rozpocząć instalację, dwukrotnie kliknij pakiet instalacyjny. 3. Wprowadź dane w polach Host serwera (nazwa hosta/adres IP) oraz Port serwera (domyślnie 2222). Te dane są używane do nawiązania połączenia z serwerem ERA. 4. Wybierz certyfikat równorzędny i podaj hasło do tego certyfikatu. Możesz również dodać urząd certyfikacji. Jest to wymagane tylko w przypadku certyfikatów niepodpisanych. 5. Wybierz folder, w którym zostanie zainstalowany agent lub pozostaw zaznaczony folder wstępnie zdefiniowany. 6. Kliknij opcję Zainstaluj. Agent zostanie zainstalowany na komputerze. UWAGA: Jeśli potrzebny jest szczegółowy dziennik przebiegu instalacji, użytkownik musi uruchomić instalację przy użyciu programu msiexec i podać niezbędne parametry: msiexec /i program_installer.msi /lv* c:\temp \installer_log.txt Przed wykonaniem tego polecenia należy upewnić się, że istnieje folder c:\temp\. Na komputerze klienckim można zapoznać się z dziennikiem stanu C:\ProgramData\ESET\RemoteAdministrator \Agent\Logs\status.html, aby sprawdzić, czy agent ERA działa prawidłowo. 97 4.4.2.1.1 Instalatory Live agenta Ten typ wdrożenia agenta jest przydatny, gdy zdalna i lokalna opcja wdrożenia nie odpowiada użytkownikowi. W takich przypadkach można rozesłać instalator Live agenta pocztą e-mail, aby użytkownicy mogli go wdrożyć. Instalator Live agenta można również uruchomić z nośnika wymiennego (dysku flash USB itp.). UWAGA: Na komputerze klienckim musi być dostępne połączenie internetowe, aby umożliwić pobranie pakietu instalacyjnego agenta. Ponadto klient musi mieć możliwość nawiązania połączenia z serwerem ERA. 1. Aby utworzyć instalator, kliknij opcję Instalatory Live agenta... w sekcji Na skróty na pasku menu. 98 2. Wprowadź nazwę lub adres IP hosta i wybierz urząd certyfikacji ERA, który został utworzony podczas pierwotnej instalacji. Gdy zostanie wyświetlony monit o wprowadzenie hasła do certyfikatu, podaj hasło urzędu certyfikacji, które zostało utworzone podczas instalacji serwera. 3. Kliknij przycisk Pobierz instalatory, aby wygenerować łącza do plików instalatora agentów dla systemu Windows, Linux i Mac OS. 4. Kliknij łącza Pobierz obok plików instalatora, które chcesz pobrać i zapisz plik ZIP. Aby uruchomić instalator, rozpakuj plik na komputerze klienckim, na którym chcesz wdrożyć agenta ERA i uruchom plik wsadowy EraAgentOnlineInstaller.bat (Windows) lub EraAgentOnlineInstaller.sh (Linux i Mac). UWAGA: Podczas uruchamiania skryptu w systemie Windows XP SP2 należy zainstalować pakiet narzędzi administracyjnych systemu Microsoft Windows Server 2003. W przeciwnym razie instalator Live agenta nie uruchomi się prawidłowo. Po zainstalowaniu pakietu narzędzi administracyjnych można uruchomić skrypt instalatora Live agenta. Na komputerze klienckim można zapoznać się z dziennikiem stanu C:\ProgramData\ESET\RemoteAdministrator \Agent\Logs\status.html, aby sprawdzić, czy agent ERA działa prawidłowo. W razie wystąpienia problemów z agentem (np. braku połączenia z serwerem ERA) informacje można znaleźć w części Rozwiązywanie problemów. W celu wdrożenia agenta ERA przy użyciu instalatora Live agenta z lokalnego folderu udostępnionego z pominięciem serwera pobierania repozytorium ESET należy wykonać następujące działania: 99 1. Edytuj plik EraAgentOnlineInstaller.bat (Windows) lub skrypt EraAgentOnlineInstaller.sh (Linux i Mac). 2. Zmień wiersz 28 i 30, by wskazać prawidłowe pliki lokalnego pobierania. Przykład: 3. Użyj własnego adresu URL (w miejsce przedstawionego poniżej): 4. Edytuj wiersz 80, by zastąpić tekst " ^& packageLocation ^& " tekstem !url! 5. Zapisz plik. 100 4.4.2.1.2 Zdalne wdrożenie agenta Wdrożenie agenta ERA można przeprowadzić na dwa sposoby. Można użyć zadania serwera, jak opisano poniżej, lub można wdrożyć agenta przy użyciu obiektu GPO oraz programu SCCM. Zdalne wdrożenie agenta ERA przy użyciu zadania serwera odbywa się w sekcji Administrator. Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy. UWAGA: Zalecamy przetestowanie masowego wdrożenia agenta we własnym środowisku przed zastosowaniem tej metody do wdrożenia agenta ERA na większej grupie klientów. Przed przystąpieniem do testowania masowego wdrożenia należy odpowiednio ustawić interwał połączenia agenta. Kliknij kolejno pozycje Zadanie serwera > Wdrożenie agenta > Nowy, aby skonfigurować nowe zadanie. Podstawowe 101 Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa, opcjonalny opis oraz typ zadania. W polu Typ zadania określane są ustawienia zadania i jego zachowanie. 102 Ustawienia o Automatyczne rozpoznawanie odpowiedniego agenta — jeśli używasz w swojej sieci wielu systemów operacyjnych (Windows, Linux, Mac OS), zaznacz tę opcję, a zadanie automatycznie znajdzie odpowiedni i zgodny z serwerem pakiet instalacyjny agenta dla każdego z systemów. o Obiekty docelowe — kliknij, aby wybrać klienty, które będą odbiorcami tego zadania. o Nazwa użytkownika/hasło — nazwa użytkownika i hasło użytkownika o wystarczających uprawnieniach do przeprowadzenia zdalnej instalacji agenta. o Nazwa hosta serwera (opcjonalne) — możesz wprowadzić nazwę hosta serwera, jeśli jest ona inna po stronie klienta i po stronie serwera. o Certyfikat równorzędny/certyfikat ERA — jest to certyfikat zabezpieczeń i urząd certyfikacji do instalacji agenta. Możesz wybrać domyślny certyfikat i urząd certyfikacji lub użyć certyfikatów niestandardowych. Więcej informacji znajduje się w rozdziale Certyfikaty. o Certyfikat niestandardowy — jeśli do uwierzytelniania używasz certyfikatu niestandardowego, podczas instalowania agenta przejdź do certyfikatu i wybierz go. o Hasło do certyfikatu — hasło do certyfikatu. Hasło wprowadzone podczas instalacji serwera (na etapie tworzenia urzędu certyfikacji) lub hasło do certyfikatu niestandardowego. UWAGA: Serwer ERA może automatycznie wybrać pakiet instalacyjny agenta odpowiedni dla systemów operacyjnych. Aby wybrać pakiet ręcznie, usuń zaznaczenie pozycji Automatyczne rozpoznawanie odpowiedniego agenta i za pośrednictwem repozytorium serwera ERA spośród dostępnych agentów wybierz pakiet, który ma zostać użyty. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. 103 Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. 104 Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. UWAGA: W przypadku wystąpienia problemów podczas zdalnego wdrażania agenta ERA (jeśli zadanie serwera Wdrożenie agenta zakończy się niepowodzeniem) informacje można znaleźć w sekcji Rozwiązywanie problemów w niniejszej instrukcji. 105 4.4.2.1.3 Lokalne wdrożenie agenta Aby przeprowadzić lokalne wdrożenie agenta na komputerze klienckim przy użyciu kreatora instalacji, wykonaj poniższe działania: Pobierz pakiet instalacyjny agenta dostępny w obszarze Pliki do pobrania strony internetowej ESET w części Zdalne zarządzanie (kliknij znak +, by rozwinąć kategorię). Uruchom program instalacyjny na komputerze klienckim, na którym chcesz przeprowadzić wdrożenie agenta. Po zaakceptowaniu umowy EULA wybierz typ instalacji, którą chcesz przeprowadzić — Wspomagana instalacja serwerowa lub Instalacja offline. Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy. Możesz również zapoznać się z tym artykułem bazy wiedzy firmy ESET z ilustrowanymi szczegółowymi instrukcjami. 1. Wspomagana instalacja serwerowa: Sprawdź, czy wybrana jest opcja Wspomagana instalacja serwerowa, w polu Host serwera podaj nazwę lub adres IP a w polu Port serwera podaj port serwera ERA, a następnie kliknij przycisk Dalej. Domyślny port serwera to 2222. Jeśli używany jest inny port, należy zastąpić port domyślny numerem portu niestandardowego. Określ metodę łączenia się z serwerem Remote Administrator: Serwer ERA lub Serwer proxy ERA, a następnie wprowadź port konsoli internetowej ERA oraz poświadczenia konsoli internetowej ERA w polach Nazwa użytkownika i Hasło. 106 Zaznacz opcję Wybierz niestandardową grupę statyczną i z menu rozwijanego wybierz grupę statyczną, do której zostanie dodany komputer kliencki. 107 2. Instalacja offline: Aby przeprowadzić instalację offline, wprowadź wartość 2222 w polu Port serwera, zaznacz opcję Instalacja offline i kliknij przycisk Dalej. W tej metodzie należy określić certyfikat równorzędny i urząd certyfikacji. Więcej informacji na temat eksportowania certyfikatu równorzędnego i urzędu certyfikacji oraz korzystania z nich można znaleźć tutaj. UWAGA: Na komputerze klienckim można zapoznać się z dziennikiem stanu (jego lokalizacja to C:\ProgramData \ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\status.html), aby sprawdzić, czy agent ERA działa prawidłowo. W razie wystąpienia problemów z agentem (np. braku połączenia z serwerem ERA) informacje można znaleźć w części Rozwiązywanie problemów. 108 4.4.2.2 Etapy wdrożenia — system Linux Etapy te dotyczą przeprowadzania lokalnej instalacji agenta. Informacje dotyczące wdrożenia agenta na wielu komputerach znajdują się w sekcji Wdrożenie agenta. Sprawdź, czy spełnione są następujące wymagania wstępne: Serwer ERA i konsola internetowa ERA są zainstalowane (na komputerze pełniącym rolę serwera). Certyfikat agenta jest utworzony i przygotowany na dysku lokalnym. Urząd certyfikacji jest przygotowany na dysku lokalnym. Komputer pełniący rolę serwera musi być dostępny w sieci. Plik instalacyjny agenta musi być ustawiony, jako wykonywalny (chmod +x). Agent instalowany jest przez uruchomienie polecenia w terminalu (zobacz poniższy przykład). Przykład (nowe wiersze oznaczone są znakiem "\", co ułatwia skopiowanie tego ciągu do terminala) ./Agent-Linux-i686-1.0.387.0.sh --skip-license --cert-path=/home/adminko/Desktop/agent.pfx \ --cert-auth-path=/home/adminko/Desktop/CA.der --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 --port=2222 Agent ERA oraz usługa eraagent.service zostaną zainstalowane w następującej lokalizacji: /opt/eset/RemoteAdministrator/Agent Parametry instalacji o --skip-license — użytkownik nie zostanie poproszony o potwierdzenie licencji. o --cert-path to ścieżka do pliku certyfikatu agenta. o --cert-auth-path to ścieżka do pliku urzędu certyfikacji serwera. o --cert-password — hasło musi być takie samo jak hasło certyfikatu agenta. o --hostname to połączenie z serwerem (lub serwerem proxy) w jednym z następujących formatów (nazwa hosta, IPv4, IPv6 lub rekord SRV). o --port to port nasłuchu zarówno dla serwera, jak i serwera proxy (2222). Aby zweryfikować poprawność instalacji, można wpisać następujące polecenie: sudo service eraagent status UWAGA: Podczas korzystania z utworzonego przez siebie certyfikatu, podpisanego przez urząd inny niż urząd certyfikacji ERA należy pozostawić parametr --cert-auth-path poza skryptem instalacyjnym, ponieważ w systemie operacyjnym Linux (a także na komputerze pełniącym rolę serwera) jest już zainstalowany inny urząd certyfikacji. UWAGA: W przypadku wystąpienia problemów podczas zdalnego wdrażania agenta ERA (jeśli zadanie serwera Wdrożenie agenta zostanie zakończone ze stanem Nie powiodło się) należy zapoznać się z informacjami w przewodniku Rozwiązywanie problemów. Na komputerze klienckim można zapoznać się z dziennikiem stanu /var/log/eset/RemoteAdministrator/Agent/ trace.log lub /var/log/eset/RemoteAdministrator/Agent/status.html, aby sprawdzić, czy agent ERA działa prawidłowo. 109 4.4.2.3 Etapy wdrożenia — system OS X 1. Sprawdź, czy spełnione są wszystkie wymagania wstępne: Serwer ERA i konsola internetowa ERA są zainstalowane (na komputerze pełniącym rolę serwera). Certyfikat agenta jest utworzony i przygotowany na dysku lokalnym. Urząd certyfikacji jest przygotowany na dysku lokalnym. UWAGA: W przypadku wystąpienia problemów podczas zdalnego wdrażania agenta ERA (jeśli zadanie serwera Wdrożenie agenta zostanie zakończone ze stanem Nie powiodło się) należy zapoznać się z informacjami w przewodniku Rozwiązywanie problemów. 2. Dwukrotnie kliknij plik .dmg, aby uruchomić instalację. 3. Wprowadź dane dotyczące połączenia z serwerem: Host serwera (nazwa hosta/adres IP serwera) oraz Port serwera (domyślnie 2222). 4. Wybierz certyfikat równorzędny i podaj hasło do tego certyfikatu. Możesz również dodać urząd certyfikacji. Jest to wymagane wyłącznie w przypadku niepodpisanych certyfikatów. 5. Sprawdź miejsce instalacji i kliknij opcję Zainstaluj. Agent zostanie zainstalowany na komputerze. 6. Plik dziennika agenta ERA można znaleźć tutaj: /Library/Application Support/ com.eset.remoteadministrator.agent/Logs/ 4.4.2.4 Rozwiązywanie problemów — wdrażanie agenta Podczas wdrażania agenta mogą wystąpić pewne problemy. Jeśli wdrożenie się nie powiedzie, powodów może być kilka. Informacje w tej sekcji umożliwią: o Znalezienie przyczyny niepowodzenia wdrożenia agenta o Sprawdzenie możliwych przyczyn przy pomocy poniższej tabeli o Rozwiązanie problemu i pomyślne przeprowadzenie wdrożenia System Windows 1. Aby dowiedzieć się, dlaczego wdrażanie agenta zakończyło się niepowodzeniem, przejdź do pozycji Raporty > Automatyzacja, wybierz opcję Informacje dotyczące zadań wdrażania agenta z ostatnich 30 dni i kliknij przycisk Generuj teraz. Zostanie wyświetlona tabela zawierająca informacje dotyczące wdrożenia. W kolumnie Postęp wyświetlane są komunikaty o błędach dotyczące przyczyny niepowodzenia wdrożenia agenta. Jeśli potrzebnych jest jeszcze więcej szczegółów, można zmienić szczegółowość dziennika śledzenia serwera ERA. Przejdź do obszaru Administrator > Ustawienia serwera > Ustawienia zaawansowane > Zapisywanie w dzienniku i z menu rozwijanego wybierz opcję Błąd. Ponownie uruchom wdrażanie agenta, a jeśli zakończy się ono niepowodzeniem, otwórz plik dziennika śledzenia serwera ERA i zapoznaj się z najnowszymi wpisami dziennika u dołu. W raporcie zostaną przedstawione sugestie dotyczące rozwiązania problemu. Najnowszy plik dziennika serwera ERA można znaleźć tutaj: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData \Logs\trace.log W celu włączenia pełnego rejestrowania należy utworzyć fikcyjny plik o nazwie traceAll bez rozszerzenia i umieścić go w tym samym folderze, w którym znajduje się plik trace.log. Ponowne uruchomienie usługi serwera ESET Remote Administrator umożliwi pełne rejestrowanie danych w pliku trace.log. 110 2. Poniższa tabela zawiera kilka przyczyn niepowodzenia wdrożenia agenta: Kod błędu Nie można nawiązać połączenia Odmowa dostępu Nie znaleziono pakietu w repozytorium Możliwa przyczyna Klient nie jest osiągalny w ramach sieci Nie udało się rozpoznać nazwy hosta klienta Zapora blokuje komunikację W zaporze nie są otwarte porty 2222 i 2223 (zarówno po stronie klienta, jak i serwera) Nie ustawiono hasła do konta administratora Niewystarczające uprawnienia dostępu Udział administracyjny ADMIN$ nie jest dostępny Udział administracyjny IPC$ nie jest dostępny Włączona jest opcja Używaj prostego udostępniania plików Łącze do repozytorium jest nieprawidłowe Repozytorium jest niedostępne Repozytorium nie zawiera wymaganego pakietu 3. Wykonaj odpowiednie działania zmierzające do rozwiązania problemu zgodnie z możliwą przyczyną: o Klient nie jest osiągalny w ramach sieci — wyślij polecenie ping do klienta z serwera ERA. Jeśli uzyskasz odpowiedź, spróbuj zalogować się zdalnie na komputerze klienckim (np. przez pulpit zdalny). o Nie udało się rozpoznać nazwy hosta klienta — oto możliwe (ale nie wszystkie) rozwiązania problemów z serwerem DNS: Użycie polecenia nslookup w odniesieniu do adresu IP i nazwy hosta serwera i/lub klientów, na których występują problemy z wdrożeniem agenta. Wynik powinien być zgodny z informacjami uzyskanymi z komputera. Na przykład użycie polecenia nslookup w odniesieniu do nazwy hosta powinno umożliwić uzyskanie adresu IP wyświetlanego po użyciu polecenia ipconfig na hoście, o którym mowa. Polecenie nslookup należy uruchomić na klientach i na serwerze. Ręczne zbadanie rekordów serwera DNS w poszukiwaniu duplikatów. o Zapora blokuje komunikację — sprawdź ustawienia zapory zarówno na serwerze, jak i na kliencie, a także ustawienia wszelkich innych zapór, jakie działają pomiędzy tymi dwoma komputerami (jeśli takie istnieją). o W zaporze nie są otwarte porty 2222 i 2223 — jak wyżej, sprawdź, czy te porty są otwarte we wszystkich zaporach działających pomiędzy tymi dwoma komputerami (klientem a serwerem). o Nie ustawiono hasła do konta administratora — ustaw odpowiednie hasło do konta administratora (hasło nie może być puste). o Niewystarczające uprawnienia dostępu — spróbuj użyć poświadczeń administratora domeny podczas tworzenia zadania wdrożenia agenta. Jeśli komputer kliencki należy do grupy roboczej, skorzystaj z lokalnego konta administratora na tym komputerze. o Udział administracyjny ADMIN$ nie jest dostępny — na komputerze klienckim musi być aktywowany zasób udostępniony ADMIN$. Sprawdź, czy jest on widoczny wśród innych udziałów (Start > Panel sterowania > Narzędzia administracyjne > Zarządzanie komputerem > Foldery udostępnione > Udziały). o Udział administracyjny IPC$ nie jest dostępny — sprawdź, czy klient jest w stanie uzyskać dostęp do udziału IPC, wpisując na kliencie następujące polecenie w wierszu polecenia: net use \\nazwa_serwera\IPC$ W części nazwa_serwera podaj nazwę serwera ERA. 111 o Włączona jest opcja Używaj prostego udostępniania plików — jeśli wyświetlany jest komunikat o błędzie „Odmowa dostępu”, a pracujesz w środowisku mieszanym (w którym używane są zarówno domeny, jak i grupy robocze), wyłącz opcję Używaj prostego udostępniania plików lub funkcję Użyj Kreatora udostępniania na wszystkich komputerach, na których występuje problem z wdrożeniem agenta. Dla przykładu w systemie Windows 7 przeprowadź następujące działania: Kliknij przycisk Start, w polu wyszukiwania wpisz folder i kliknij przycisk Opcje folderów. Kliknij kartę Widok i w polu Ustawienia zaawansowane przewiń w dół listę, a następnie odznacz pole wyboru przy pozycji Użyj Kreatora udostępniania. o Łącze do repozytorium jest nieprawidłowe — w konsoli internetowej ERA przejdź do opcji Administrator > Ustawienia serwera, kliknij Ustawienia zaawansowane > Repozytorium i sprawdź, czy adres URL repozytorium jest prawidłowy. o Nie znaleziono pakietu w repozytorium — ten komunikat o błędzie pojawia się zwykle, gdy nie można nawiązać połączenia z repozytorium serwera ERA. Sprawdź połączenie internetowe. UWAGA: W przypadku nowszych systemów operacyjnych Windows (Windows 7, Windows 8 itd.) konieczne jest aktywowanie konta użytkownika Administrator w celu wykonania zadania wdrożenia agenta. Aby aktywować konto użytkownika Administrator: 1. Otwórz administracyjny wiersz polecenia 2. Wpisz następujące polecenie: net user administrator /active:yes Systemy Linux i Mac OS Jeśli nie udaje się przeprowadzić wdrożenia agenta w systemie Linux lub Mac OS, problem związany jest zwykle z portem SSH. Na komputerze klienckim sprawdź, czy demon SSH jest uruchomiony, i w razie potrzeby uruchom go. Po rozwiązaniu problemu ponownie uruchom wdrożenie agenta. 4.4.3 Wdrożenie agenta przy użyciu obiektu GPO lub programu SCCM Po pomyślnym zainstalowaniu programu ESET Remote Administrator należy na komputerach klienckich należących do sieci wdrożyć agenta ERA i produkty zabezpieczające firmy ESET. Oprócz lokalnego wdrożenia lub zdalnego wdrożenia przy użyciu zadania serwera można również użyć narzędzi do zarządzania, takich jak GPO, SCCM, Symantec Altiris lub Puppet. Kliknij odpowiednie łącze poniżej, by zapoznać się ze szczegółowymi instrukcjami dla tych dwóch popularnych metod wdrożenia agenta ERA: 1. Wdrożenie agenta ERA przy użyciu obiektu GPO 2. Wdrożenie agenta ERA przy użyciu programu SCCM 4.4.3.1 Tworzenie pliku MST Przed wdrożeniem pliku instalatora agenta ERA należy utworzyć plik transformacji .mst z ustawieniami agenta ERA. Aby utworzyć plik transformacji, wykonaj działania opisane poniżej lub zapoznaj się z informacjami w artykule bazy wiedzy. 1. Zainstaluj narzędzie Orca (jest częścią pakietu Windows SDK). Więcej informacji na temat narzędzia Orca można znaleźć tutaj: http://support.microsoft.com/kb/255905/. 2. Pobierz plik instalacyjny agenta ERA. Możesz na przykład użyć pliku Agent-6.1.365.0_x64.msi, który jest komponentem oprogramowania ERA w wersji 6.1.28.0 dla systemów 64-bitowych. Listę wersji komponentów oprogramowania ERA można znaleźć w naszym artykule bazy wiedzy. 3. Otwórz narzędzie Orca, klikając kolejno pozycje Start > Programy > Orca. 112 4. Kliknij opcję Plik w menu górnym, a następnie kliknij opcję Otwórz i wyszukaj plik Agent-6.1.365.0_x64.msi. 5. Kliknij opcję Przekształć w menu górnymi i wybierz opcję Nowe przekształcenie. 113 6. Kliknij pozycję Właściwość. 114 7. Kliknij prawym przyciskiem myszy w dowolnym miejscu na liście wartości właściwości i z menu kontekstowego wybierz opcję Dodaj wiersz. 8. Dodaj właściwość P_HOSTNAME i wpisz nazwę hosta lub adres IP serwera ERA w polu Wartość. 9. Powtórz kroki 7 i 8 w celu dodania właściwości P_PORT, dla której wartością jest numer portu używany domyślnie do obsługi połączeń z serwerem ERA (2222). 10. W przypadku agenta ERA wstaw certyfikat równorzędny (.pfx) podpisany przez odpowiedni urząd certyfikacji, zapisany w bazie danych serwera ERA. Wstaw klucz publiczny urzędu certyfikacji (plik .der) użyty do podpisania certyfikatu równorzędnego serwera ERA. Certyfikaty można wstawiać na dwa sposoby: 1. Można wstawić treść certyfikatu oraz klucz publiczny zakodowane w formacie Base64 (nie są wówczas potrzebne pliki certyfikatów). W konsoli internetowej ERA przejdź do obszaru Administrator > Certyfikaty > Certyfikat równorzędny, kliknij pozycję Certyfikat agenta i wybierz opcję Wyeksportuj jako Base64. Przejdź do obszaru Administrator > Certyfikaty > Urzędy certyfikacji, kliknij pozycję Urząd certyfikacji ERA i wybierz opcję Eksportuj klucz publiczny jako Base64. 115 Dodaj treść wyeksportowanego certyfikatu oraz klucz publiczny do tabeli Właściwość w narzędziu Orca, używając przy tym następujących nazw właściwości: Nazwa właściwości Wartość P_CERT_CONTENT <certyfikat równorzędny w formacie Base64> P_CERT_PASSWORD <hasło do certyfikatu równorzędnego (nie należy wpisywać nic w tym polu, jeśli hasło jest puste)> P_CERT_AUTH_CONTENT <wyeksportowany klucz publiczny urzędu certyfikacji w formacie Base64> 116 Nowe właściwości będą wyróżnione na zielono. Kliknij pozycję Przekształć i wybierz opcję Generuj przekształcenie..., aby utworzyć plik .mst . 2. Można pobrać pliki certyfikatu i zapisać je w lokalizacji dostępnej dla komputera docelowego. Wyeksportuj certyfikat równorzędny agenta oraz plik klucza publicznego z urzędu certyfikacji serwera ERA i umieść je w folderze dostępnym dla komputera docelowego, na którym zostanie zainstalowany agent ERA. UWAGA: Ta opcja jest zalecana w szczególnych przypadkach. Przejdź do obszaru Administrator > Certyfikaty > Certyfikat równorzędny, kliknij pozycję Certyfikat agenta i wybierz opcję Eksportuj.... Przejdź do obszaru Administrator > Certyfikaty > Urzędy certyfikacji, kliknij pozycję Urząd certyfikacji ERA i wybierz opcję Eksportuj klucz publiczny. 117 Użyj wyeksportowanych plików i dodaj ścieżkę do nich w tabeli Właściwości w narzędziu Orca, podając następujące nazwy właściwości: Nazwa właściwości Wartość P_CERT_PATH <ścieżka do wyeksportowanego certyfikatu .pfx> P_CERT_PASSWORD <hasło do certyfikatu .pfx (nie należy wpisywać nic w tym polu, jeśli hasło jest puste)> P_CERT_AUTH_PATH <ścieżka do wyeksportowanego klucza publicznego urzędu certyfikacji> Dodane właściwości będą wyróżnione na zielono. Kliknij pozycję Przekształć i wybierz opcję Generuj przekształcenie..., aby utworzyć plik .mst. 4.4.3.2 Etapy wdrożenia — obiekt GPO W celu wdrożenia agenta ERA na klientach przy użyciu obiektu GPO wykonaj poniższe działania lub zapoznaj się z informacjami przedstawionymi w artykule bazy wiedzy: 1. Ze strony pobierania firmy ESET pobierz plik .msi umożliwiający zainstalowanie agenta ERA. 2. Utwórz plik .mst przekształcenia instalatora agenta ERA. 3. Umieść plik .msi instalatora agenta ERA i plik przekształcenia .mst w folderze udostępnionym, do którego można uzyskać dostęp z klientów docelowych. UWAGA: Na komputerach klienckich niezbędne będą uprawnienia dostępu umożliwiające odczytywanie/ wykonywanie plików w tym folderze udostępnionym. 118 4. Użyj istniejącego obiektu zasad grupy lub utwórz nowy (kliknij obiekt GPO prawym przyciskiem myszy i wybierz opcję Nowy). W drzewie Konsoli zarządzania zasadami grupy kliknij prawym przyciskiem myszy obiekt GPO, którego chcesz użyć i wybierz opcję Edytuj. 5. W obszarze Konfiguracja komputera wybierz kolejno pozycje Zasady > Ustawienia oprogramowania > Ustawienia oprogramowania. 6. Kliknij prawym przyciskiem myszy pozycję Instalacja oprogramowania, wybierz opcję Nowa, a następnie kliknij pozycję Pakiet... w celu utworzenia nowej konfiguracji pakietu. 119 7. Przejdź do lokalizacji pliku .msi instalatora agenta ERA. W oknie dialogowym Otwórz wpisz pełną ścieżkę UNC (Universal Naming Convention) do udostępnionego pakietu instalatora, którego chcesz użyć. Przykład: \ \serwer_plików\udział\nazwa_pliku.msi UWAGA: Pamiętaj o podaniu ścieżki UNC do udostępnionego pakietu instalacyjnego. 8. Kliknij przycisk Otwórz i wybierz Zaawansowane jako metodę wdrożenia. 120 9. Umożliwi to skonfigurowanie opcji wdrożenia. Wybierz kartę Modyfikacje i wyszukaj plik przekształcenia .mst instalatora agenta ERA. UWAGA: Ścieżka musi prowadzić do tego samego folderu udostępnionego, którego użyto w kroku 7. 10. Potwierdź konfigurację pakietu i przejdź do wdrożenia przy użyciu obiektu GPO. 121 4.4.3.3 Etapy wdrożenia — program SCCM W celu wdrożenia agenta ERA na klientach przy użyciu programu SCCM wykonaj poniższe działania lub zapoznaj się z informacjami przedstawionymi w artykule bazy wiedzy: 1. Ze strony pobierania firmy ESET pobierz plik .msi umożliwiający zainstalowanie agenta ERA. 2. Utwórz plik .mst przekształcenia instalatora agenta ERA. 3. Umieść plik .msi instalatora agenta ERA i plik przekształcenia .mst w folderze udostępnionym. UWAGA: Na komputerach klienckich niezbędne będą uprawnienia dostępu umożliwiające odczytywanie/ wykonywanie plików w tym folderze udostępnionym. 122 4. Otwórz konsolę programu SCCM i kliknij pozycję Biblioteka oprogramowania. W obszarze Zarządzanie aplikacjami kliknij prawym przyciskiem myszy pozycję Aplikacje i wybierz opcję Utwórz aplikację. Wybierz pozycję Instalator systemu Windows (plik *.msi) i wyszukaj folder źródłowy, w którym zapisany został plik .msi instalatora agenta ERA. 123 5. Wprowadź wszystkie niezbędne informacje dotyczące aplikacji i kliknij przycisk Dalej. 124 6. Kliknij prawym przyciskiem myszy aplikację Agent ESET Remote Administrator, kliknij kartę Typy wdrożeń, wybierz jedyny dostępny tam typ wdrożenia, a następnie kliknij przycisk Edytuj. 125 7. Kliknij kartę Programy i w polu Program instalacyjny wpisz następujący tekst: msiexec/iAgent_x64.msi/qn TRANSFORMS="Agent_x64.mst (jeśli używasz pakietów 32-bitowych, tekst będzie wyglądał nieco inaczej — widoczny w przykładzie wpis „x64” zostanie zastąpiony wpisem „x32”). 8. W polu Program dezinstalacyjny wpisz następujący tekst: msiexec/x {424F1755-2E58-458F-8583-4A2D08D8BBA8} / qn/norestart. 126 9. Kliknij kartę Wymagania, a następnie kliknij przycisk Dodaj. Z menu rozwijanego Warunek wybierz pozycję System operacyjny, z menu rozwijanego Operator wybierz pozycję Jeden, a następnie wybierz systemy operacyjne, w których przeprowadzisz instalację, zaznaczając odpowiednie pola wyboru. Gdy skończysz, kliknij przycisk OK, a następnie kliknij przycisk OK, aby zamknąć pozostałe okna i zapisać wprowadzone zmiany. 127 128 10. W obszarze Biblioteka oprogramowania w programie System Center kliknij nową aplikację prawym przyciskiem myszy i z menu kontekstowego wybierz opcję Dystrybuuj zawartość. W celu ukończenia wdrażania aplikacji wykonaj instrukcje wyświetlane w postaci monitów w kreatorze wdrażania oprogramowania. 129 130 11. Kliknij aplikację prawym przyciskiem myszy i wybierz opcję Wdróż. Skorzystaj z kreatora i wybierz kolekcję oraz miejsce docelowe, w którym chcesz wdrożyć agenta. 131 132 133 134 135 136 137 138 4.4.4 Instalacja produktu Produkty zabezpieczające firmy ESET można zainstalować zdalnie, klikając odpowiedni komputer i wybierając pozycję Nowy lub tworząc nowe zadanie Instalacja oprogramowania w menu Administrator > Zadania klienta. Kliknij opcję Nowy..., by rozpocząć konfigurowanie nowego zadania. Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy. Podstawowe Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa, opcjonalny opis oraz typ zadania. W polu Typ zadania (patrz powyższa lista) określane są ustawienia zadania i jego zachowanie. Wybierz zadanie Instalacja oprogramowania, a następnie kliknij pozycję Obiekt docelowy. 139 Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które będą odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 140 Element wyzwalający Jako element wyzwalający wybierzemy pozycję Wykonaj jak najszybciej, co spowoduje natychmiastowe wysłanie zadania do klientów. W opcji Używaj czasu lokalnego chodzi o czas lokalny klientów, a nie serwera. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Na razie pozostawiamy ustawienie Ograniczanie bez zmian i klikamy przycisk Zakończ w celu utworzenia nowego zadania. Ustawienia Kliknij pozycję <Wybierz licencję ESET> i z listy dostępnych licencji wybierz licencję odpowiednią dla instalowanego produktu. Zaznacz pole wyboru Akceptuję Umowę licencyjną użytkownika końcowego aplikacji, jeśli akceptujesz tę umowę. Więcej informacji można znaleźć w rozdziałach Zarządzanie licencjami oraz Umowa EULA. Kliknij pozycję <Wybierz pakiet>, aby wybrać pakiet instalacyjny z repozytorium lub podaj adres URL pakietu. Zostanie wyświetlona lista dostępnych pakietów, z której można wybrać produkt firmy ESET do zainstalowania (np. ESET Endpoint Security). Wybierz odpowiedni pakiet instalacyjny i kliknij przycisk OK. Aby wskazać adres URL pakietu instalacyjnego, wpisz ten adres lub skopiuj go i wklej w polu tekstowym (nie używaj adresu URL, który wymaga uwierzytelnienia). UWAGA: Należy pamiętać, że w celu uzyskania dostępu do repozytorium i przeprowadzenia instalacji wymagany jest dostęp do Internetu zarówno w przypadku serwera, jak i agenta. W razie braku dostępu do Internetu oprogramowanie klienta można zainstalować lokalnie. W razie potrzeby można również określić parametry w polu Parametry instalacji. W przeciwnym razie można pozostawić to pole puste. Zaznacz pole wyboru obok opcji W razie potrzeby automatycznie uruchom ponownie, aby wymusić ponowne uruchomienie komputera klienckiego po ukończeniu instalacji. Można również nie zaznaczać tej opcji i pozostawić decyzję dotyczącą ponownego uruchomienia użytkownikowi komputera klienckiego. 141 Podsumowanie Przejrzyj podsumowanie skonfigurowanych ustawień i kliknij przycisk Zakończ. Zadanie zostało utworzone i zostanie wysłane do klientów. 4.4.4.1 Instalacja produktu (wiersz polecenia) Wszystkie poniższe ustawienia są przeznaczone do użytku w interfejsie użytkownika wyłącznie na poziomie ograniczonym, podstawowym i przy ustawieniu brak. Informacje o wersji programu msiexec używanego w odniesieniu do odpowiednich przełączników wiersza poleceń można znaleźć w dokumentacji. APPDIR="<ścieżka>" • Ścieżka — prawidłowa ścieżka do katalogu • Katalog instalacji aplikacji APPDATADIR="<ścieżka>" • Ścieżka — prawidłowa ścieżka do katalogu • Katalog instalacji danych aplikacji MODULEDIR="<ścieżka>" • Ścieżka — prawidłowa ścieżka do katalogu • Katalog instalacji modułu ADDLOCAL="<lista>" • Instalacja komponentów — lista funkcji nieobowiązkowych do instalacji lokalnej • Informacje: http://msdn.microsoft.com/en-us/library/aa367536%28v=vs.85%29.aspx CFG_POTENTIALLYUNWANTED_ENABLED=1/0 • 0 — wyłączone, 1 — włączone • PUA 142 CFG_LIVEGRID_ENABLED=1/0 • 0 — wyłączone, 1 — włączone • LiveGrid CFG_REPORTING_ENABLED=1/0 • 0 — wyłączone, 1 — włączone • LiveGrid — raporty z anonimowymi danymi dotyczącymi użytkowania CFG_PCU_UPDATE_MODE=40/36/34 • 34 — pytaj, 36 — zawsze, 40 — nigdy • Tryb aktualizacji komponentów programu CFG_FIRSTSCAN_ENABLE=1/0 • 0 — wyłącz, 1 — włącz • Zaplanowanie nowego pierwszego skanowania po instalacji CFG_EPFW_MODE=0/1/2/3 • 0 — automatyczny, 1 — interaktywny, 2 — oparty na regułach, 3 — tryb uczenia się CFG_PROXY_ENABLED=0/1 • 0 — wyłączone, 1 — włączone CFG_PROXY_ADDRESS=<ip> • Adres IP serwera proxy CFG_PROXY_PORT=<port> • Numer portu serwera proxy CFG_PROXY_USERNAME="<użytkownik>" • Nazwa użytkownika do celów uwierzytelniania CFG_PROXY_PASSWORD="<hasło>" • Hasło do celów uwierzytelniania 4.4.4.2 Lista problemów występujących w przypadku niepowodzenia instalacji Nie znaleziono pakietu instalacyjnego. Wymagana jest nowsza wersja usługi Instalator Windows. Zainstalowano już inną wersję lub zainstalowano produkt wywołujący konflikty. Inna instalacja już trwa. Zakończ ją przed rozpoczęciem tej instalacji. Instalacja lub dezinstalacja została pomyślnie zakończona, ale wymagane jest ponowne uruchomienie komputera. Zadanie nie powiodło się — wystąpił błąd. Zapoznaj się z dziennikiem śledzenia agenta i sprawdź kod zwrotny instalatora. 4.5 Zarządzanie W tych sekcjach przedstawiono, jak dodać komputer lub urządzenia mobilne do grup. Tworzenie nowej reguły i przypisywanie reguły do grupy. 143 4.5.1 Dodawanie komputerów do grup Istnieje możliwość dodawania komputerów klienckich do grup. Ułatwia to tworzenie i utrzymywanie struktury komputerów zgodnej z uznaniem użytkownika. Komputery można dodawać do grup statycznych lub dynamicznych. Zarządzanie grupami statycznymi odbywa się ręcznie, natomiast grupy dynamiczne są porządkowane automatycznie na podstawie określonych kryteriów zawartych w szablonie. Gdy komputery są już umieszczone w grupach, do grup tych można przypisywać reguły, zadania oraz ustawienia. Dana reguła, zadanie lub ustawienie są następnie stosowane w odniesieniu do wszystkich elementów należących do danej grupy. Tutaj opisano korelacje pomiędzy grupami i zadaniami/regułami: Grupy statyczne Grupy statyczne to grupy klientów wybranych i skonfigurowanych ręcznie. Elementy należące do tych grup mają charakter statyczny i można je dodawać lub usuwać wyłącznie ręcznie, a nie na podstawie kryteriów dynamicznych. Grupy dynamiczne Grupy dynamiczne to grupy klientów, których przynależność do danej grupy jest ustalana na podstawie określonych kryteriów. Jeśli klient nie spełnia kryteriów, zostaje usunięty z grupy. Komputery spełniające kryteria są dodawane do grupy automatycznie, stąd określenie dynamiczna w nazwie grupy. 4.5.1.1 Grupy statyczne Grupy statyczne umożliwiają ręczne sortowanie komputerów klienckich na grupy i podgrupy. Można tworzyć niestandardowe grupy statyczne i przenosić do nich wybrane komputery. Grupy statyczne można tworzyć wyłącznie ręcznie. Komputery klienckie można następnie przenosić do tych grup ręcznie. Każdy z komputerów może należeć tylko do jednej grupy statycznej. Istnieją dwie domyślne grupy statyczne: Wszystkie — jest to grupa główna obejmująca wszystkie komputery w sieci serwerów ERA. Używana jest do stosowania reguł w odniesieniu do poszczególnych komputerów jako reguły domyślnej. Ta grupa wyświetlana jest zawsze i zmiana jej nazwy w ramach edycji grupy nie jest dozwolona. Zgubione i znalezione jako grupa podrzędna grupy Wszystkie — każdy nowy komputer po raz pierwszy nawiązujący połączenie z serwerem za pośrednictwem agenta jest automatycznie wyświetlany w tej grupie. Nazwę tej grupy można zmienić, a samą grupę można skopiować, jednak nie można jej usunąć ani przenieść. Grupy statyczne można tworzyć w sekcji Grupy na karcie Administrator. W tym celu należy kliknąć przycisk Grupy i wybrać opcję Nowa grupa statyczna. 144 4.5.1.1.1 Dodawanie komputera do grupy statycznej Utwórz nową grupę statyczną lub wybierz jedną z domyślnych grup statycznych. Przy użyciu karty Komputery można dodawać nowe komputery na trzy sposoby. Można na przykład wybrać grupę statyczną, kliknąć ikonę koła zębatego i wybrać opcję Dodaj nowy. W polu Nazwa wpisz nazwę komputera, który chcesz dodać. Kliknij opcję + Dodaj urządzenie, aby dodać kolejne komputery lub kliknij opcję Importuj, aby zaimportować plik z listą komputerów do dodania. Opcjonalnie możesz również wprowadzić opisy komputerów. 145 Jeśli dodawany komputer istnieje już w rozwiązaniu ERA, użyj menu rozwijanego Rozwiązywanie konfliktu, by wybrać działanie, które ma zostać podjęte: Pytaj w przypadku wykrycia konfliktów: w przypadku wykrycia konfliktu w programie wyświetlony zostanie monit o wybranie czynności (opcje przedstawione są poniżej). Pomiń komputery powodujące konflikty: zduplikowane komputery nie będą dodawane. Przenieś komputery powodujące konflikty z innych grup: komputery powodujące konflikty będą przenoszone ze swoich grup do grupy Wszystkie. Zduplikuj komputery powodujące konflikty: nowe komputery będą dodawane, ale pod innymi nazwami. Kliknij opcję Dodaj. Komputery można wyświetlić na liście po prawej stronie po wybraniu grupy, do której należą. UWAGA: Dodawanie wielu komputerów może zająć więcej czasu. Konieczne może być przeprowadzenie odwrotnego wyszukiwania DNS. Więcej informacji na temat dodawania urządzeń mobilnych można znaleźć w rozdziale Rejestracja urządzenia mobilnego. 4.5.1.2 Grupy dynamiczne W każdej z grup dynamicznych do filtrowania komputerów klienckich używany jest szablon. Po zdefiniowaniu szablon może być używany do filtrowania klientów w innych grupach dynamicznych. W oprogramowaniu ERA dostępnych jest kilka gotowych szablonów grup dynamicznych, co ułatwia kategoryzowanie komputerów klienckich. Grupy dynamiczne to grupy klientów wybranych na podstawie określonych kryteriów. Jeśli komputer kliencki nie spełnia kryteriów, jest usuwany z grupy, a jeśli je spełnia — jest dodawany do grupy. Wybór grupy jest dokonywany automatycznie na podstawie skonfigurowanych ustawień, nie dotyczy to jednak grup statycznych. W sekcji Szablony grup dynamicznych znajdują się zarówno wstępnie zdefiniowane, jak i niestandardowe szablony utworzone na podstawie różnych kryteriów. Wszystkie szablony wyświetlane są na liście. Po kliknięciu istniejącego szablonu można go edytować. W celu utworzenia nowego szablonu grupy dynamicznej należy kliknąć opcję Nowy szablon. 146 4.5.1.2.1 Nowy szablon grupy dynamicznej Kliknij opcję Nowy szablon w obszarze Administrator > Szablony grup dynamicznych. Podstawowe 1. Wprowadź nazwę i opis nowego szablonu grupy dynamicznej. Wyrażenie Z menu Operacja wybierz operator logiczny. AND — wszystkie zdefiniowane warunki muszą być prawdziwe. OR — co najmniej jeden warunek musi być prawdziwy. NAND — co najmniej jeden warunek musi być fałszywy. NOR — wszystkie warunki muszą być fałszywe. Wybierz na przykład operator AND. Oznacza to, że aby pojawić się w grupie dynamicznej, w odniesieniu do której używany jest dany szablonu, komputer musi spełnić wszystkie warunki. Kliknij opcję + Dodaj regułę i wybierz warunek. Załóżmy, że interesują nas klienty na laptopach podłączonych do sieci elektrycznej. Wybierz kolejno pozycje Sprzęt > Zasilanie z baterii > = (równy) > Nie rozładowywanie. Kliknij opcję + Dodaj regułę, aby wprowadzić drugi warunek (liczba reguł jest nieograniczona). Wybierz kolejno pozycje Wersja systemu operacyjnego > Typ systemu > = (równy) > Windows 8.1 (wprowadź tę wartość w pustym polu). Jeśli spełnione zostaną oba te warunki, klient pojawi się w grupie dynamicznej. Podsumowanie Aby utworzyć szablon, sprawdź skonfigurowane ustawienia i kliknij przycisk Zakończ. Nowy szablon zostanie dodany do listy wszystkich szablonów i można będzie go później użyć do utworzenia nowej grupy dynamicznej. W opcjach w obszarze Wyrażenia można skonfigurować reguły/warunki dla grupy (edytor reguł jest opisany tutaj). Teraz każda grupa dynamiczna oparta na tym szablonie będzie podlegała tym regułom. Aby zapisać zmiany, kliknij przycisk Zakończ. 147 4.5.1.2.2 Tworzenie nowej grupy dynamicznej Nową grupę dynamiczną można utworzyć na trzy sposoby: 1. Kliknij kolejno pozycje Komputery > Grupy > 2. Kliknij kolejno pozycje Administrator > Grupy > 148 i wybierz opcję Nowa grupa dynamiczna. > Nowa podgrupa dynamiczna. 3. Kliknij kolejno pozycje Administrator > Grupy > kliknij przycisk Grupa, a następnie opcję Nowa grupa dynamiczna. Zostanie wyświetlony kreator nowej grupy dynamicznej. 149 4.5.2 Tworzenie nowej reguły W tym przykładzie utworzymy nową regułę związaną z interwałem połączenia agenta ERA. Zdecydowanie zalecamy wykonanie tej czynności przed testowaniem masowego wdrożenia w używanym środowisku. 1. Utwórz nową grupę statyczną. 2. Dodaj nową regułę, klikając kolejno opcje Administrator > Reguły. Kliknij przycisk Reguły u dołu i wybierz opcję Nowa. 150 Podstawowe W polu Nazwa wpisz nazwę nowej reguły (np. „Interwał połączenia agenta”). Pole Opis jest opcjonalne. Ustawienia Wybierz opcję Agent ESET Remote Administrator z menu rozwijanego Produkt. Połączenie Wybierz kategorię w widoku drzewa po lewej stronie. W prawym okienku odpowiednio dostosuj ustawienia. Każde z ustawień jest regułą, dla której można ustawić flagę. W celu ułatwienia nawigacji wszystkie reguły są liczone. Automatycznie wyświetlana jest liczba odpowiadająca liczbie reguł zdefiniowanych w danym obszarze. Odpowiednia liczba wyświetlana jest również obok nazwy kategorii w widoku drzewa po lewej stronie. Jest to suma reguł ze wszystkich obszarów tej kategorii. Dzięki temu można się szybko zorientować co do lokalizacji i liczby zdefiniowanych ustawień lub reguł. Przy edytowaniu reguł pomocne mogą być poniższe sugestie: o użyć opcji do ustawienia flagi Zastosuj w odniesieniu do wszystkich obiektów w bieżącym obszarze; o usunąć reguły przy użyciu ikony Kosz. Kliknij pozycję Zmień interwał. 151 W polu Regularny interwał zmień wartość na preferowany czas trwania interwału (zalecamy 60 sekund) i kliknij przycisk Zapisz. Po utworzeniu nowej reguły interwału połączenia agenta przypisz ją do grupy statycznej utworzonej w kroku 1. Po zakończeniu testowania masowego wdrożenia edytuj ustawienia reguły interwału połączenia agenta ERA utworzonej w kroku 2. 152 Kliknij kolejno pozycje Administrator > Grupy i wybierz kartę Reguły. Kliknij regułę interwału połączenia agenta, wybierz opcję Edytuj, a następnie kliknij pozycje Ustawienia > Połączenie. Kliknij opcję Zmień interwał i ustaw interwał połączenia na 20 minut. 4.5.3 Przypisywanie reguły do grupy Po utworzeniu reguły można ją przypisać do grupy statycznej lub dynamicznej. Można to zrobić na dwa sposoby: 1. W obszarze Administrator > Reguły wybierz regułę i kliknij opcję Przypisywanie grup. Wybierz grupę statyczną lub dynamiczną i kliknij przycisk OK. Wybierz grupę z listy. 153 2. Kliknij kolejno opcje Administrator > Grupy > Grupa lub kliknij przycisk koła zębatego wybierz opcję Zarządzaj regułami. obok nazwy grupy i W oknie Kolejność stosowania reguł kliknij opcję Dodaj regułę. Zaznacz pole wyboru obok reguły, którą chcesz przypisać do danej grupy i kliknij przycisk OK. Kliknij opcję Zapisz. Aby sprawdzić, które reguły są przypisane do danej grupy, zaznacz tę grupę i kliknij kartę Reguły, aby wyświetlić listę reguł przypisanych do grupy. 154 UWAGA: Więcej informacji na temat reguł znajduje się w rozdziale Reguły. 4.5.4 Rejestracja urządzenia mobilnego Do struktury rozwiązania ERA można dodawać urządzenia mobilne w podobny sposób, jak dodawany jest nowy komputer. W tym celu należy wykonać poniższe działania: 1. Kliknij pozycję Administrator, wybierz grupę statyczną, do której ma zostać dodane urządzenie mobilne, a następnie kliknij przycisk Nowe.... 2. Wybierz opcję Urządzenia mobilne i wprowadź nazwę, opis (opcjonalnie) oraz numer identyfikacyjny urządzenia. Numerem identyfikacyjnym urządzenia może być numer IMEI (sieci GSM), numer MEID (sieci CDMA) lub adres MAC WiFi (tylko dla urządzeń mobilnych obsługujących WiFi). 3. Istnieją dwa sposoby rejestracji urządzenia mobilnego: a. Administrator najpierw pozyskuje z urządzenia adres MAC i rejestruje urządzenie przez serwer ERA w zwykły sposób b. Użytkownik klika łącze rejestracyjne (wysłane przez administratora). Aplikacja automatycznie odpowiada, że to urządzenie nie znajduje się na białej liście lub nie zostało zatwierdzone, a następnie wyświetla na ekranie adres MAC oraz monit o skontaktowanie się z administratorem i przekazanie mu identyfikatora urządzenia (adresu MAC). 4. Kliknij przycisk Dodaj, a następnie kliknij opcję Zarejestruj urządzenia mobilne w oknie dialogowym. 155 Kolejne etapy rejestrowania urządzenia mobilnego będą wyświetlane w kreatorze zadania Rejestracja urządzenia. 156 4.6 Najlepsze praktyki Zapomniane hasło: Idealnym rozwiązaniem byłoby, żeby konto administratora było używane wyłącznie do tworzenia kont dla administratorów indywidualnych. Po utworzeniu kont administratorów hasło administratora powinno zostać zapisane, a konto administratora nie powinno być używane. Taki sposób działania sprawia, że konto administratora może zostać użyte do zresetowania danych dotyczących haseł/kont indywidualnych administratorów, jeśli zaistnieje taka potrzeba. Resetowanie hasła na wbudowanym koncie administratora serwera ERA: Otwórz okno Programy i funkcje (uruchom polecenie appwiz.cpl), znajdź pozycję ESET Remote Administrator Server i kliknij ją prawym przyciskiem myszy. Wybierz opcję Zmień z menu kontekstowego. Wybierz opcję Napraw. Podaj szczegóły dotyczące połączenia z bazą danych. Wybierz opcję Użyj istniejącej bazy danych i zastosuj uaktualnienie. Pamiętaj o odznaczeniu opcji Użyj hasła, które jest już zapisane w bazie danych i wprowadź nowe hasło. Teraz możesz zalogować się do konsoli internetowej ERA przy użyciu nowego hasła. 4.6.1 Zarządzanie użytkownikami Stanowczo zalecane jest utworzenie dodatkowych kont o określonych uprawnieniach dostępu, dobranych na podstawie żądanych kompetencji użytkownika konta. 157 5. Praca z programem ESET Remote Administrator Wszystkimi klientami można zarządzać przy pomocy konsoli internetowej ERA. Dostęp do konsoli internetowej można uzyskać z dowolnego urządzenia przy użyciu zgodnej przeglądarki. Konsola internetowa jest podzielona na trzy główne sekcje: 1. W górnej części konsoli internetowej dostępne jest narzędzie Szybkie wyszukiwanie. Można wpisać tam nazwę klienta lub adres IPv4/IPv6 i kliknąć symbol szkła powiększającego lub nacisnąć klawisz Enter. Spowoduje to przekierowanie do sekcji Grupy, gdzie zostaną wyświetlone odpowiednie klienty. 2. W menu po lewej stronie dostępne są podstawowe elementy programu ESET Remote Administrator i następujące szybkie łącza: Panel kontrolny Komputery Zagrożenia Raporty Administrator Szybkie łącza Nowy użytkownik macierzysty Nowa reguła Nowe zadanie klienta Instalatory Live agenta 3. Przyciski u dołu strony są różne w poszczególnych obszarach i funkcjach, a ich szczegółowe opisy można znaleźć w odpowiednich rozdziałach. UWAGA: Jeden przycisk jest wspólny dla wszystkich nowych elementów — Ustawienia obowiązkowe. Ten czerwony przycisk jest wyświetlany w sytuacji, gdy ustawienia obowiązkowe nie zostały skonfigurowane, w związku z czym nie można kontynuować tworzenia elementu. Ta sytuacja jest również sygnalizowana poprzez wyświetlenie czerwonego wykrzyknika przy poszczególnych sekcjach. Aby przejść do obszaru, w którym znajdują się odpowiednie ustawienia, należy kliknąć pozycję Ustawienia obowiązkowe. Reguły ogólne Ustawienia wymagane (obowiązkowe) zawsze są sygnalizowane wyświetleniem czerwonego wykrzyknika przy odpowiedniej sekcji i poszczególnych ustawieniach. Aby przejść do obszaru ustawień obowiązkowych (jeśli to konieczne), należy kliknąć pozycję Ustawienia obowiązkowe u dołu danej strony. W celu uzyskania pomocy podczas pracy z programem ESET Remote Administrator należy kliknąć ikonę ? w prawym górnym rogu lub przejść do dolnej części okna po lewej stronie i kliknąć pozycję Pomoc. Zostanie wyświetlone odpowiednie okno pomocy dotyczące bieżącej strony. Sekcja Administrator służy do wprowadzania określonej konfiguracji. Więcej informacji można znaleźć w rozdziale Administrator. 5.1 Panel kontrolny Panel kontrolny to strona wyświetlana domyślnie po pierwszym zalogowaniu się użytkownika do konsoli internetowej ERA. Wyświetlane są tam wstępnie zdefiniowane raporty dotyczące sieci. Przy użyciu kart widocznych na górnym pasku menu można przełączać poszczególne panele kontrolne. Na każdym panelu kontrolnym znajduje się kilka raportów. Panele kontrolne można dostosowywać, dodając nowe raporty i modyfikując istniejące, zmieniając ich rozmiary oraz przesuwając i zmieniając ich rozmieszczenie. Umożliwia to uzyskanie wszechstronnego wglądu w funkcje produktu ESET Remote Administrator i jego elementy (klienty, grupy, zadania, reguły, użytkownicy, kompetencje itd.). W programie ESET Remote Administrator dostępne są cztery wstępnie zdefiniowane panele kontrolne: 158 Komputery Na tym panelu kontrolnym widoczne jest zestawienie komputerów klienckich, przedstawiające stan ich ochrony, systemy operacyjne, stan aktualizacji itd. Serwer Remote Administrator Na tym panelu kontrolnym można wyświetlać informacje dotyczące samego serwera ESET Remote Administrator — obciążenie serwera, klienty, na których występują problemy, obciążenie procesora, połączenia z bazą danych itd. Zagrożenia antywirusowe Tutaj wyświetlane są raporty z modułu antywirusowego działającego w ramach produktów zabezpieczających klienty — aktywne zagrożenia, zagrożenia w ciągu ostatnich 7/30 dni itd. Zagrożenia dla zapory Zdarzenia zapory dotyczące połączonych klientów uszeregowane według stopnia ważności, czasu zgłoszenia itd. Funkcje panelu kontrolnego: 159 5.1.1 Ustawienia panelu kontrolnego Ustawienia panelu kontrolnego są dostępne dla wszystkich paneli kontrolnych, wstępnie zdefiniowanych oraz nowo utworzonych, i umożliwiają użytkownikowi zarządzanie panelami kontrolnymi. Poniżej opisane są dostępne opcje: Dodaj nowy panel kontrolny — kliknij symbol w górnej części nagłówka panelu kontrolnego. Wprowadź nazwę nowego panelu kontrolnego i kliknij przycisk OK w celu potwierdzenia. Utworzony zostanie panel kontrolny z pustym polem raportów. Po skonfigurowaniu panelu kontrolnego można rozpocząć dodawanie do niego raportów. Zduplikuj panel kontrolny — Wybierz panel kontrolny, który chcesz zduplikować i kliknij koło zębate widoczny obok nazwy panelu kontrolnego. Z listy wybierz opcję Zduplikuj — zostanie utworzony zduplikowany panel kontrolny. Przenieś panel kontrolny — kliknij i przeciągnij nazwę panelu kontrolnego, by zmienić jego położenie w stosunku do pozostałych paneli kontrolnych. Zmień rozmiar panelu kontrolnego (liczbę wyświetlanych raportów) — kliknij kolejno symbol koła zębatego > Zmień układ. Wybierz liczbę raportów, które mają być wyświetlane w panelu kontrolnym, (przeciągnij) i kliknij je. Układ panelu kontrolnego ulegnie zmianie. Zmień nazwę panelu kontrolnego — kliknij symbol koła zębatego widoczny obok nazwy panelu kontrolnego, a następnie kliknij opcję Zmień nazwę. Wprowadź nową nazwę panelu kontrolnego i kliknij przycisk OK. Usuń panel kontrolny — kliknij symbol koła zębatego widoczny obok nazwy panelu kontrolnego, a następnie kliknij opcję Usuń i potwierdź usunięcie. Zmień rozmiar — kliknij symbol podwójnej strzałki, znajdujący się po prawej stronie raportu, by zmienić jego rozmiar. Bardziej istotne raporty są większe, a mniej istotne są mniejsze. Można również włączyć tryb pełnoekranowy, by wyświetlić raport w trybie pełnoekranowym. 160 Zmień typ wykresu — kliknij symbol przedstawiający wykres w lewym górnym rogu wykresu i wybierz Wykres kołowy, Wykres liniowy itd., aby zmienić typ wykresu. Odśwież — opcja ta umożliwia odświeżenie wyświetlanych informacji. Zmień — opcja ta powoduje wyświetlenie innego raportu. Edytuj szablon raportu — funkcja ta umożliwia dodawanie i edycję szablonu. Ustaw przedział czasowy odświeżania — funkcja ta umożliwia zdefiniowanie, jak często mają być odświeżane dane w raporcie. Domyślny przedział czasowy odświeżania wynosi 120 sekund. Zmień nazwę raportu/Usuń raport. 5.1.2 Przechodzenie do szczegółów Ta funkcja panelu kontrolnego umożliwia bardziej szczegółowe analizowanie danych, interaktywne wybieranie określonych elementów z podsumowania oraz wyświetlanie szczegółowych informacji o tych elementach. Przypomina to wykonanie zbliżenia badanego elementu przez przechodzenie od informacji zawartych w podsumowaniu do szczegółów, by uzyskać dalsze informacje o konkretnym elemencie. Zwykle występuje wiele warstw, które można poddać bardziej szczegółowej analizie. Przechodzenie do szczegółów można wykonać czterema metodami: Wyświetlenie informacji szczegółowych — nazwa i opis komputera, nazwa grupy statycznej itd. Wyświetlenie oryginalnych (niezagregowanych) danych dotyczących klikniętego wiersza. Wyświetlenie tylko wartości — informacje, krytyczne, zagrożenie bezpieczeństwa, Powiadomienie dotyczące bezpieczeństwa itd. Rozwinięcie kolumny „wartość” — powoduje wyświetlenie informacji zagregowanych (zwykle liczby lub sumy). Jeśli na przykład w kolumnie jest tylko liczba, to kliknięcie opcji Rozwinięcie kolumny Komputer spowoduje wyświetlenie wszystkich danych szczegółowych dotyczących komputerów. Wyświetlenie opcji Na stronie komputery (wszystko) — przekierowanie na stronę Komputery (wyświetlenie wyników dotyczących tylko 100 elementów) UWAGA: Wyniki uzyskane w ramach przechodzenia do szczegółów innych raportów obejmują tylko 1000 pierwszych elementów. 161 5.1.3 Edytowanie szablonu raportu W tej części znajduje się szczegółowy opis edycji szablonów raportu (informacje dotyczące sposobu tworzenia nowego szablonu raportu można znaleźć, klikając tutaj). Kliknij pusty kwadrat widoczny w nowym panelu kontrolnym. Wyświetli się okno Dodaj raport. Wybierz zainstalowaną aplikację i kliknij przycisk Dodaj lub Edytuj szablon. 162 Podstawowe Przeprowadź edycję informacji podstawowych dotyczących szablonu. Przejrzyj lub zmień nazwę, opis i kategorię. Te informacje są wstępnie zdefiniowane, zgodnie z wybranym typem raportu. Wykres W obszarze Wykres wybierz typ raportu. W tym przypadku opcję Wyświetl tabelę pozostawiamy pustą i wybieramy opcję Wyświetl wykres. UWAGA: Każdy z wybranych typów wykresu zostanie wyświetlony w obszarze Podgląd. Dzięki temu można sprawdzić, jak będzie wyglądać raport generowany w czasie rzeczywistym. Wybranie pozycji Wykres umożliwia dostęp do wielu opcji. Aby ułatwić sobie przeglądanie, wybieramy opcję typ Wykres liniowy skumulowany. Wykres tego typu jest używany, gdy konieczne jest przeanalizowanie danych o różnych jednostkach miary. Istnieje możliwość wpisania nazwy osi X oraz Y wykresu w celu ułatwienia jego odczytywania i obserwowania tendencji. Dane 163 W obszarze Dane wprowadzamy informacje, które mają zostać wyświetlone na osiach X i Y wykresu. Kliknięcie odpowiednich symboli umożliwia otwarcie okna z opcjami. Rodzaj danych dostępnych dla osi Y zależy zawsze od danych wybranych dla osi X i na odwrót, ponieważ na wykresie wyświetlane są relacje pomiędzy tymi danymi i muszą one być ze sobą zgodne. Dla osi X wybieramy kolejno pozycje Komputer > Nazwa komputera, co pozwoli ustalić, które komputery wysyłają spam. Dla opcji Format zostaną wybrane ustawienia Wartość > Bezwzględne. Kolor i ikony ustawiane są przez administratora. Dla osi Y wybieramy kolejno opcje Zainstalowane oprogramowanie > Rozmiar w MB, co umożliwi ustalenie bezwzględnej liczby wiadomości ze spamem. Dla opcji Format zostaną wybrane ustawienia Wartość > Bezwzględne. Kolor i ikony ustawiane są przez administratora. Sortowanie 164 Użyj opcji Dodaj sortowanie, aby określić relacje pomiędzy wybranymi danymi. Wybierz informacje początkowe, a następnie metodę sortowania — Rosnąco lub Malejąco. Możliwe jest także sortowanie danych za pomocą obu tych opcji (jak przedstawiono poniżej). Filtr 165 Rodzaj opcji wyświetlanych w tym miejscu zależy od wcześniej skonfigurowanych ustawień (informacje dla osi X i Y). Aby określić sposób filtrowania danych, wybierz opcję i funkcję matematyczną. W tym przykładzie wybrano: Zainstalowane oprogramowanie, a następnie Nazwa aplikacji > jest równa > ESS oraz Zainstalowane oprogramowanie. Rozmiar w MB > jest większy niż > 50. Podsumowanie W obszarze Podsumowanie przejrzyj wybrane opcje i informacje. Jeśli są zgodne z oczekiwaniami, kliknij opcję Zakończ, aby utworzyć nowy szablon raportu. 5.2 Komputery Tutaj wyświetlane są wszystkie komputery, które zostały dodane w programie ESET Remote Administrator. Zostały one podzielone na grupy. Kliknięcie którejś z grup dostępnych na liście (po lewej) spowoduje wyświetlenie członków tej grupy (klientów) w prawym okienku. Klienty można filtrować przy użyciu filtrów widocznych u góry strony. Kliknięcie opcji Dodaj filtr powoduje wyświetlenie dostępnych kryteriów filtrowania. Dostępnych jest również kilka wstępnie zdefiniowanych filtrów do natychmiastowego użytku: Cztery ikony umożliwiają filtrowanie według wagi zagrożenia (kolor czerwony — błędy, żółty — ostrzeżenia, zielony — zawiadomienia i szary — komputery niezarządzane). Ikona wagi zagrożenia oznacza bieżący stan produktu ESET na danym komputerze klienckim. Z ikon tych można korzystać łącznie, włączając je i wyłączając. Na przykład w celu wyświetlenia wyłącznie komputerów z ostrzeżeniami należy pozostawić włączoną wyłącznie żółtą ikonę (pozostałe ikony muszą być wyłączone). Aby wyświetlane były zarówno komputery z ostrzeżeniami, jak i z błędami, włączone powinny pozostać tylko te dwie ikony. Pole wyboru Podgrupy — umożliwia wyświetlanie również podgrup w ramach wybranej grupy. Komputery niezarządzane (będące klientami w sieci, jednak nieobsługiwane przez agenta ERA i bez zainstalowanego produktu zabezpieczającego ESET) wyświetlane są zwykle w grupie Zgubione i znalezione. Przy użyciu menu rozwijanego widocznego pod filtrami można ograniczyć liczbę wyświetlanych klientów (komputerów). Dostępnych jest kilka kategorii: 166 Aby ponownie wyświetlić wszystkie komputery klienckie bez ograniczeń (filtrowania), z menu rozwijanego należy wybrać opcję Wszystkie urządzenia. Wszystkich powyższych opcji filtrowania można używać łącznie w celu ograniczenia liczby pozycji wyświetlanych w widoku. Ochrona ESET (komputer chroniony przy użyciu produktu firmy ESET). Remote Administrator (poszczególne komponenty rozwiązania ERA, takie jak agent, RD Sensor, serwer proxy itp.). Inne (udostępniona lokalna pamięć podręczna, urządzenie wirtualne). Po dokonaniu wyboru wyświetlane są wyłącznie odpowiednie klienty. UWAGA: Jeśli nie uda się znaleźć określonego komputera na liście, a wiadomo, że znajduje się on w infrastrukturze ERA, należy wyłączyć wszystkie filtry. Można skorzystać z menu kontekstowego (ikona koła zębatego ), w którym dostępne są opcje tworzenia grupy statycznej lub dynamicznej, tworzenia nowego zadania oraz inne czynności. Czynności związane z przyciskiem Komputery: Nowy... Ręczne dodawanie urządzeń, które nie zostały znalezione lub dodane automatycznie. Szczegóły... Podstawowe (nazwa, grupa nadrzędna, urządzenie, informacje o systemie operacyjnym itp.) Konfiguracja (konfiguracja, stosowane reguły itp.) Wykonania zadań (wystąpienie, nazwa zadania, typ zadania, stan itp.) Zainstalowane aplikacje (nazwa, dostawca, wersja, obsługa odinstalowania agenta itp.) Alerty (problem, stan itp.) Zagrożenia (wszystkie typy zagrożeń, wyciszone, przyczyna itp.) Kwarantanna (nazwa zagrożenia, typ zagrożenia, nazwa obiektu, skrót itp.) Usuń Funkcja ta umożliwia usunięcie klienta z listy, ale dopóki znajduje się on w sieci, będzie widoczny w grupie Zgubione i znalezione. 167 Przenieś... Opcja ta umożliwia przeniesienie klienta do innej grupy, a jej kliknięcie powoduje wyświetlenie listy dostępnych grup. Zarządzaj regułami... Regułę można również przypisać bezpośrednio do klienta (wielu klientów), nie tylko do grupy. Wybierz tę opcję, aby przypisać regułę do wybranych klientów. Wyślij sygnał wznowienia Serwer ERA inicjuje natychmiastową komunikację z agentem ERA na komputerze klienckim. Jest to przydatne, gdy użytkownik nie chce czekać na regularny interwał, podczas którego agent ERA nawiązuje połączenie z serwerem ERA. Na przykład, gdy chce, by zadanie klienta zostało wykonane na klientach natychmiast, lub jeśli chce, by reguła została natychmiast wprowadzona. UWAGA: Aby po wprowadzeniu zmiana została zastosowana, należy wstrzymać się z użyciem sygnału wznowienia przez około minutę. Wdrożenie agenta... Przy użyciu tej opcji można utworzyć nowe zadanie serwera. 5.2.1 Dodawanie komputerów Przy użyciu karty Komputery można dodawać nowe komputery na trzy sposoby. Można na przykład wybrać grupę statyczną, kliknąć ikonę koła zębatego i wybrać opcję Dodaj nowy. W polu Nazwa wpisz nazwę komputera, który chcesz dodać. Kliknij opcję + Dodaj urządzenie, aby dodać kolejne komputery lub kliknij opcję Importuj, aby zaimportować plik z listą komputerów do dodania. Opcjonalnie możesz również wprowadzić opisy komputerów. 168 Jeśli dodawany komputer istnieje już w rozwiązaniu ERA, użyj menu rozwijanego Rozwiązywanie konfliktu, by wybrać działanie, które ma zostać podjęte: Pytaj w przypadku wykrycia konfliktów: w przypadku wykrycia konfliktu w programie wyświetlony zostanie monit o wybranie czynności (opcje przedstawione są poniżej). Pomiń komputery powodujące konflikty: zduplikowane komputery nie będą dodawane. Przenieś komputery powodujące konflikty z innych grup: komputery powodujące konflikty będą przenoszone ze swoich grup do grupy Wszystkie. Zduplikuj komputery powodujące konflikty: nowe komputery będą dodawane, ale pod innymi nazwami. Kliknij opcję Dodaj. Komputery można wyświetlić na liście po prawej stronie po wybraniu grupy, do której należą. UWAGA: Dodawanie wielu komputerów może zająć więcej czasu. Konieczne może być przeprowadzenie odwrotnego wyszukiwania DNS. Więcej informacji na temat dodawania urządzeń mobilnych można znaleźć w rozdziale Rejestracja urządzenia mobilnego. 169 5.2.2 Szczegóły komputera Wybierz komputer z grupy statycznej lub dynamicznej i kliknij opcję Szczegóły, aby wyświetlić więcej informacji na temat tego komputera. W menu Szczegóły komputera dostępne są następujące ustawienia: Podstawowe — można tu zmienić nazwę, opis oraz grupę nadrzędną komputera. Konfiguracja — tu wyświetlana jest całość konfiguracji, połączenia oraz reguły stosowane w odniesieniu do tego komputera. Wykonania zadań — wystąpienie, nazwa zadania, typ zadania, stan. Zainstalowane aplikacje — nazwa, wersja, rozmiar, obsługa odinstalowania agenta. Alerty — problem, stan itp. Zagrożenia — wszystkie typy zagrożeń, wyciszone, przyczyna itp. Kwarantanna — nazwa zagrożenia, typ, nazwa obiektu, skrót itp. Zadania opis działania przycisków Po wybraniu komputera lub grupy komputerów i kliknięciu przycisku Zadania dostępne są następujące opcje: Skanuj Użycie tej opcji spowoduje uruchomienie zadania Skanowanie na żądanie na kliencie, z którego otrzymano zgłoszenie zagrożenia. Aktualizuj bazę danych wirusów Użycie tej opcji spowoduje uruchomienie zadania Aktualizacja bazy sygnatur wirusów (ręczne uruchomienie aktualizacji). 170 Urządzenie mobilne Zarejestruj... — przy użyciu tej opcji można utworzyć nowe zadanie klienta. Znajdź — umożliwia wysłanie zapytania o współrzędne GPS urządzenia mobilnego. Zablokuj — powoduje zablokowanie urządzenia w przypadku wykrycia podejrzanych działań lub po oznaczeniu urządzenia jako zgubionego. Odblokuj — powoduje odblokowanie urządzenia. Alarm — zdalne uruchomienie głośnego dźwięku alarmu, który zostanie wyemitowany nawet wówczas, gdy w urządzeniu wyciszono dźwięki. Wyczyść — spowoduje nieodwracalne skasowanie wszystkich danych zapisanych w urządzeniu. Nowe zadanie... Umożliwia wybranie zadania i skonfigurowanie w nim opcji ograniczania (opcjonalnie). Zadanie zostanie dodane do kolejki zgodnie z ustawieniami zadania. Ta opcja natychmiastowo uruchamia istniejące zadanie wybrane z listy dostępnych zadań. W tym zadaniu nie jest dostępny element wyzwalający, ponieważ zostanie ono wykonane natychmiast. Wycisz Po wybraniu komputera i naciśnięciu przycisku Wycisz, agent danego klienta przestaje wysyłać raporty do serwera ERA, poprzestając na gromadzeniu informacji. Obok nazwy komputera, w kolumnie Wyciszono, wyświetlana będzie ikona wyciszenia . Po wyłączeniu wyciszenia poprzez kliknięcie kolejno opcji Wycisz > Wyłącz wyciszenie wyciszony komputer wznowi przesyłanie raportów oraz komunikację z serwerem ERA, a klient zostanie przywrócony. 5.3 Zagrożenia W sekcji Zagrożenia widoczny jest przegląd wszystkich zagrożeń wykrytych na komputerach w danej sieci. Po lewej stronie widoczna jest struktura grup. Można tam przeglądać grupy oraz wyświetlać zagrożenia związane z członkami danej grupy. Wybierz grupę Wszystkie i użyj filtru Wszystkie rodzaje zagrożeń w celu wyświetlenia wszystkich zagrożeń wykrytych na klientach we wszystkich grupach. 171 Filtrowanie zagrożeń Zagrożenia można filtrować, używając filtra znajdującego się nad listą. Domyślnie wyświetlane są wszystkie typy zagrożeń z ostatnich 7 dni. Aby dodać więcej kryteriów filtrowania, kliknij opcję Dodaj filtr i wybierz element z listy — można filtrować wyniki według nazwy (nazwy zagrożenia), przyczyny (przyczyny zagrożenia) lub adresu IPv4/IPv6 klienta, który przesłał zgłoszenie o tym zagrożeniu. Domyślnie wyświetlane są wszystkie typy zagrożeń, ale można je filtrować według zagrożeń programu antywirusowego oraz zapory osobistej, by uzyskać więcej szczegółów. Skanowanie na żądanie Użycie tej opcji spowoduje uruchomienie zadania Skanowanie na żądanie na kliencie, z którego otrzymano zgłoszenie zagrożenia. Wycisz Po wybraniu opcji wyciszenia nastąpi wyciszenie określonego zagrożenia (nie klienta). Ten raport nie będzie już wyświetlany jako aktywny. Można również wyciszyć klienta, z którego przesłano raport o tym zagrożeniu (wybierając opcję Wycisz w menu kontekstowym zagrożenia). 5.4 Raporty Raporty umożliwiają wygodny dostęp do danych w bazie danych oraz ich filtrowanie. Raporty są podzielone na kategorie, co ułatwia ich przeglądanie. Każda kategoria zawiera krótki opis samego raportu. Kliknij opcję Generuj teraz, znajdującą się w dolnej części strony, by utworzyć raport na podstawie wybranego szablonu oraz by wyświetlić ten raport. Możesz użyć wstępnie zdefiniowanych szablonów raportów z listy Kategorie i szablony lub stworzyć nowy szablon raportu o dostosowanych ustawieniach. Kliknij opcję Utwórz nowy szablon raportu, aby wyświetlić szczegółowe ustawienia każdego raportu oraz by wprowadzić własne ustawienia raportu. Po wybraniu raportu pojawi się menu kontekstowe Czynności, które wyświetla się po kliknięciu opcji Szablony raportów w dolnej części strony. Dostępne są następujące opcje: 172 Generuj teraz... — wybierz raport z listy i przejdź do opcji Szablony raportów > Generuj teraz... lub po prostu kliknij opcję Generuj teraz.... Zostanie wygenerowany raport i będzie można przejrzeć dane wyjściowe. Nowa kategoria... — wprowadź nazwę i opis, aby utworzyć nową kategorię szablonów raportów. Nowy szablon raportu... — utwórz nowy niestandardowy szablon raportu. Edytuj... — edytuj istniejący szablon raportu. Można użyć tych samych ustawień i opcji, jak w przypadku tworzenia nowego szablonu raportu (patrz wyżej). Kopiuj — z opcji Kopiuj należy korzystać tylko wówczas, gdy wymagane jest wprowadzenie małych poprawek do istniejącego szablonu raportu. Skopiuj istniejący szablon raportu, a następnie edytuj ustawienia, by utworzyć nowy szablon. Usuń — ta opcja powoduje całkowite usunięcie wybranego szablonu. Importuj/ Eksportuj — wybierz raport z listy i przejdź do opcji Szablony raportów > Eksportuj.... Raport (wraz z danymi zdefiniowanymi w raporcie) zostanie wygenerowany i zapisany w pliku .txt. 5.4.1 Tworzenie nowego szablonu raportu Przejdź do obszaru Raporty i kliknij pozycję Szablony raportów w obszarze Kategorie i szablony po lewej stronie. W wyświetlonym oknie wybierz opcję Nowy szablon raportu.... Podstawowe Przeprowadź edycję informacji podstawowych dotyczących szablonu. Wprowadź dane w polach Nazwa, Opis i Kategoria. Może to być kategoria wstępnie zdefiniowana lub możesz utworzyć nową kategorię. W tym celu należy użyć opcji Nowa kategoria opisanej w poprzednim rozdziale. 173 Wykres W obszarze Wykres wybierz typ raportu. Może to być Tabela, w której informacje przedstawione są w wierszach i kolumnach, lub Wykres, gdzie dane są przedstawione przy użyciu osi X oraz Y. UWAGA: Wybrany typ wykresu zostanie wyświetlony w obszarze Podgląd. Dzięki temu można sprawdzić, jak będzie wyglądać raport generowany w czasie rzeczywistym. Wybranie pozycji Wykres umożliwia dostęp do wielu opcji: Wykres słupkowy — wykres przedstawiający prostokątne słupki o wysokościach proporcjonalnych do prezentowanych wartości. Wykres punktowy — na tym wykresie dane ilościowe są przedstawione za pomocą punktów (w sposób podobny jak na wykresie słupkowym). Wykres kołowy — wykres w postaci koła podzielonego na wycinki proporcjonalne do przedstawianych wartości. Wykres pierścieniowy — wykres podobny do wykresu kołowego, na którym można jednak przedstawiać różne typy danych. Wykres liniowy — przedstawia informacje jako ciąg punktów danych połączonych odcinkami linii prostej. Podstawowy wykres liniowy — przedstawia informacje w postaci linii utworzonej na podstawie wartości bez widocznych punktów danych. Wykres liniowy skumulowany — wykres tego typu jest używany, gdy konieczne jest przeanalizowanie danych o różnych jednostkach miary. Wykres słupkowy skumulowany — jest podobny do zwykłego wykresu słupkowego, jednak w sposób skumulowany przedstawia na słupkach dane różnego typu o różnych jednostkach miary. Istnieje możliwość wpisania nazwy osi X oraz Y wykresu w celu ułatwienia jego odczytywania i obserwowania tendencji. 174 Dane W obszarze Dane wybierz informacje, które mają być wyświetlane: a. Kolumny tabeli: informacje zawarte w tabeli są dodawane automatycznie na podstawie wybranego typu raportu. Można zmienić wpisy w polach Nazwa, Etykieta oraz Format (patrz poniżej). b. Osie wykresu: wybierz dane przypisane do osi X oraz Y. Kliknięcie odpowiednich symboli umożliwia otwarcie okna z opcjami. Rodzaj danych dostępnych dla osi Y zależy zawsze od danych wybranych dla osi X i na odwrót, ponieważ na wykresie wyświetlane są relacje pomiędzy tymi danymi i muszą one być ze sobą zgodne. Wybierz żądane informacje i kliknij przycisk OK. Przy użyciu opcji Format można zmienić format, w jakim wyświetlane są dane na jeden z poniższych: Pasek danych (tylko w przypadku wykresów słupkowych) / Wartość / Kolor / Ikony Sortowanie Użyj opcji Dodaj sortowanie, aby określić relacje pomiędzy wybranymi danymi. Wybierz informacje początkowe (wartość sortowania) oraz metodę sortowanie — Rosnąco lub Malejąco. Umożliwi to określenie wyniku wyświetlanego na wykresie. Filtr Następnie zdefiniuj metodę filtrowania. Wybierz z listy wartość filtrowania i podaj jej wartość. Umożliwia to ustalenie, jakie informacje będą wyświetlane na wykresie. Podsumowanie W obszarze Podsumowanie przejrzyj wybrane opcje i informacje. Jeśli są zgodne z oczekiwaniami, kliknij opcję Zakończ, aby utworzyć nowy szablon raportu. 175 W każdym raporcie na panelu kontrolnym są odrębne opcje dostosowywania. Aby je wyświetlić, kliknij symbol koła zębatego w prawym górnym rogu. Tutaj możesz odświeżyć wyświetlane informacje, zmienić wyświetlany raport na inny, edytować szablon raportu (zobacz opcje opisane powyżej), ustawić nowy interwał odświeżania określający częstotliwość odświeżania danych zawartych w raporcie, a także zmienić nazwę raportu lub go usunąć. Korzystając z widocznych poniżej symboli strzałek możesz dostosować rozmiary raportu. Możesz na przykład powiększyć bardziej istotne raporty i pomniejszyć raporty mniej istotne. Kliknij przełącznik widoku pełnoekranowego, by wyświetlić raport w trybie pełnoekranowym. 5.4.2 Generowanie raportów Szablony można tworzyć lub edytować na dwa sposoby: 1. Przejdź do obszaru Administrator > Zadania > Zadania serwera. Wybierz opcję Nowy... w celu utworzenia nowego zadania Generowanie raportów. 2. Wybierz szablon raportu, na podstawie którego chcesz wygenerować raport. Możesz użyć wstępnie zdefiniowanego szablonu raportu i poddać go edycji lub utworzyć nowy szablon raportu. Raport można wysłać w wiadomości e-mail (w zdefiniowanym tutaj formacie pliku) lub zapisać go bezpośrednio w pliku. Kliknięcie wybranej opcji powoduje wyświetlenie związanych z nią, opisanych poniżej ustawień. Skonfiguruj ustawienia (w sposób opisany w zadaniu Generowanie raportów) i kliknij opcję Zakończ. Zadanie zostanie utworzone i wyświetlone na liście Typy zadań. Wybierz to zadanie i kliknij opcję Uruchom teraz dostępną u dołu strony. Zadanie zostanie wykonane natychmiast. 5.4.3 Planowanie raportu 1. Przejdź do obszaru Administrator > Zadania > Zadania serwera. Wybierz opcję Nowe w celu utworzenia nowego zadania Generowanie raportów. 2. Wybierz szablon raportu, na podstawie którego chcesz wygenerować raport. Możesz użyć wstępnie zdefiniowanego szablonu raportu i poddać go edycji lub utworzyć nowy szablon raportu. Raport można wysłać w wiadomości e-mail (w zdefiniowanym tutaj formacie pliku) lub zapisać go w pliku. Kliknięcie wybranej opcji powoduje wyświetlenie związanych z nią, opisanych poniżej ustawień. Skonfiguruj ustawienia (w sposób opisany w zadaniu Generowanie raportów). W tym przykładzie utworzymy element wyzwalający serwera dla tego zadania. W sekcji Element wyzwalający przejdź do obszaru Ustawienia. Wybierz Zaplanowany element wyzwalający oraz określ termin uruchomienia tego zadania. Kliknij opcję Zakończ. Zadanie zostanie utworzone i uruchomione w podanym tutaj terminie (jeden raz lub wielokrotnie). 5.4.4 Nieaktualne aplikacje Aby sprawdzić, które komponenty programu ERA nie są aktualne, należy użyć raportu o nazwie Nieaktualne aplikacje. Można to zrobić na dwa sposoby: 1. Dodaj nową konsolę i kliknij jeden z elementów w celu wyświetlenia ekranu, na którym widoczne będą szablony raportów. Z listy wybierz raport Nieaktualne aplikacje i kliknij opcję Dodaj. 2. Przejdź do obszaru Raporty, a następnie do kategorii Komputery i wybierz z listy szablon Nieaktualne aplikacje, po czym kliknij widoczny u dołu przycisk Generuj teraz.... Zostanie wygenerowany raport i będzie można przejrzeć dane wyjściowe. W celu uaktualnienia komponentów należy użyć zadania klienta Uaktualnianie komponentów programu Remote Administrator. 176 6. Administrowanie programem ESET Remote Administrator W części Administrowanie programem ESET Remote Administrator omówione są sposoby konfigurowania programu ESET Remote Administrator i zarządzania nim. Więcej informacji można znaleźć w rozdziale Administrator. 6.1 Administrator Część Administrator jest głównym komponentem konfiguracyjnym programu ESET Remote Administrator. W części tej znajdują się wszystkie narzędzia potrzebne administratorowi do zarządzania klienckimi rozwiązaniami zabezpieczającymi oraz ustawienia serwera ERA. Narzędzi z części Administrator można użyć do skonfigurowania środowiska sieciowego w taki sposób, by nie wymagało ono zbyt wielu czynności związanych z konserwacją. Można również skonfigurować powiadomienia i panele kontrolne, które będą stale informować użytkownika o stanie sieci. W tej części: Szablony grup dynamicznych Grupy Reguły Zadania klienta Zadania serwera Elementy wyzwalające Powiadomienia Certyfikaty równorzędne Uprawnienia dostępu Ustawienia serwera Zarządzanie licencjami 6.1.1 Grupy Przy użyciu grup można zarządzać komputerami i kategoryzować je. Można z łatwością stosować różne ustawienia, zadania lub ograniczenia w odniesieniu do komputerów klienckich na podstawie ich przynależności do określonych grup. Można korzystać z grup wstępnie zdefiniowanych oraz szablonów grup, a także tworzyć nowe grupy. Istnieją dwa typy grup klientów: Grupy statyczne Grupy statyczne to grupy wybranych komputerów klienckich. Komputery należące do tych grup mają charakter statyczny i można je dodawać lub usuwać wyłącznie ręcznie, a nie na podstawie kryteriów dynamicznych. Komputer może należeć tylko do jednej grupy statycznej. Grupy dynamiczne Grupy dynamiczne to grupy klientów, których przynależność do danej grupy jest ustalana na podstawie określonych kryteriów. Jeśli klient nie spełnia tych kryteriów, zostaje usunięty z grupy. Komputery spełniające kryteria są dodawane do grup automatycznie. Okno Grupy jest podzielone na trzy sekcje: 1. Lista wszystkich grup wraz z podgrupami jest wyświetlana z lewej strony. Można tu wybrać grupę, a następnie z menu kontekstowego (koło zębate obok nazwy grupy) wybrać czynność przypisaną do tej grupy. Dostępne są takie same opcje, jak opisano poniżej (przycisk czynności związanych z grupami). 177 2. Szczegółowe informacje dotyczące wybranej grupy wyświetlane są w okienku po prawej stronie (można przełączać się pomiędzy kartami): Komputery należące do danej grupy. Reguły przypisane do tej grupy. Zadania przypisane do tej grupy. Podsumowanie z podstawowym opisem grupy. 3. Przy użyciu przycisków menu kontekstowego Grupy oraz Komputery można realizować wszystkie następujące czynności: Opis działania przycisków do obsługi grup Nowa grupa statyczna... Ta opcja zostaje udostępniona po kliknięciu grupy na liście widocznej po lewej stronie. Ta grupa zostanie domyślnie grupą nadrzędną, jednak grupę nadrzędną można zmienić później, podczas tworzenia nowej grupy statycznej. Nowa grupa dynamiczna... Ta opcja zostaje udostępniona po kliknięciu grupy na liście widocznej po lewej stronie. Ta grupa zostanie domyślnie grupą nadrzędną, jednak grupę nadrzędną można zmienić później, podczas tworzenia nowej grupy dynamicznej. Edytuj... Ta opcja umożliwia edytowanie wybranej grupy. Stosowane są takie same ustawienia, jak w przypadku tworzenia nowej grupy (statycznej lub dynamicznej). Przenieś... Istnieje możliwość zaznaczenia grupy i przeniesienia jej do innej grupy w charakterze podgrupy. Usuń Ta opcja powoduje całkowite usunięcie wybranej grupy. Importuj... Można zaimportować listę komputerów (zwykle jest to plik tekstowy) jako elementy należące do wybranej grupy. Jeśli komputery należą już do danej grupy, konflikt zostanie rozwiązany poprzez zastosowanie wybranej czynności: Pomiń komputery powodujące konflikty (komputery powodujące konflikty nie zostaną dodane). Przenieś komputery powodujące konflikty z innych grup (komputery powodujące konflikty zostaną tutaj przeniesione z grup, do których należą). Zduplikuj komputery powodujące konflikty (komputery powodujące konflikty zostaną dodane, jednak ze zmienionymi nazwami). Eksportuj... Ta opcja umożliwia eksportowanie elementów grup (a także podgrup, jeśli je zaznaczono) na listę (w postaci pliku .txt). Lista może zostać użyta podczas kontroli lub zaimportowana w późniejszym czasie. Dodaj nowy... Przy użyciu tej opcji można dodać nowe urządzenie. Skanuj Użycie tej opcji spowoduje uruchomienie zadania Skanowanie na żądanie na kliencie, z którego otrzymano zgłoszenie zagrożenia. Aktualizuj bazę danych wirusów Użycie tej opcji spowoduje uruchomienie zadania Aktualizacja bazy sygnatur wirusów (ręczne uruchomienie aktualizacji). 178 Urządzenie mobilne Zarejestruj... — przy użyciu tej opcji można utworzyć nowe zadanie klienta. Znajdź — umożliwia wysłanie zapytania o współrzędne GPS urządzenia mobilnego. Zablokuj — powoduje zablokowanie urządzenia w przypadku wykrycia podejrzanych działań lub po oznaczeniu urządzenia jako zgubionego. Odblokuj — powoduje odblokowanie urządzenia. Alarm — zdalne uruchomienie głośnego dźwięku alarmu, który zostanie wyemitowany nawet wówczas, gdy w urządzeniu wyciszono dźwięki. Wyczyść — spowoduje nieodwracalne skasowanie wszystkich danych zapisanych w urządzeniu. Nowe zadanie... Przy użyciu tej opcji można utworzyć nowe zadanie klienta. Umożliwia wybranie zadania i skonfigurowanie w nim opcji ograniczania (opcjonalnie). Zadanie zostanie dodane do kolejki zgodnie z ustawieniami zadania. Ta opcja natychmiastowo uruchamia istniejące zadanie wybrane z listy dostępnych zadań. W tym zadaniu nie jest dostępny element wyzwalający, ponieważ zostanie ono wykonane natychmiast. Zarządzaj regułami... Ta opcja umożliwia przypisanie reguły do wybranej grupy. 6.1.1.1 Tworzenie nowej grupy statycznej Nową grupę statyczną można utworzyć na trzy sposoby: 1. Kliknij kolejno pozycje Komputery > Grupy > 2. Kliknij kolejno pozycje Administrator > Grupy > i wybierz opcję Nowa grupa statyczna.... > Nowa grupa statyczna.... 179 3. Kliknij kolejno pozycje Administrator > Grupy, wybierz grupę statyczną i kliknij pozycję Grupa. Podstawowe 180 Wprowadź nazwę i opis (opcjonalnie) nowej grupy statycznej. Domyślnie grupą nadrzędną jest grupa, która była zaznaczona w momencie rozpoczęcia tworzenia nowej grupy statycznej. Aby zmienić grupę nadrzędną, należy kliknąć opcję Zmień grupę nadrzędną i wybrać grupę nadrzędną z drzewa. Grupa nadrzędna nowej grupy statycznej musi być grupą statyczną. Wymóg ten wynika z faktu, że grupa dynamiczna nie może zawierać grup statycznych. Kliknij przycisk Zakończ, aby utworzyć nową grupę statyczną. 181 6.1.1.2 Tworzenie nowej grupy dynamicznej Nową grupę dynamiczną można utworzyć na trzy sposoby: 1. Kliknij kolejno pozycje Komputery > Grupy > 2. Kliknij kolejno pozycje Administrator > Grupy > 182 i wybierz opcję Nowa grupa dynamiczna. > Nowa podgrupa dynamiczna. 3. Kliknij kolejno pozycje Administrator > Grupy > kliknij przycisk Grupa, a następnie opcję Nowa grupa dynamiczna. Zostanie wyświetlony kreator nowej grupy dynamicznej. 183 6.1.1.3 Przypisywanie zadania do grupy Kliknij kolejno pozycje Administrator > Grupy > wybierz grupę statyczną lub dynamiczną > kliknij symbol koła zębatego obok wybranej grupy lub kliknij kolejno opcje Grupa > Nowe zadanie. Te same czynności można wykonać w obszarze Komputery. Wybierz grupę statyczną lub dynamiczną i kliknij kolejno > Nowe zadanie. 184 Zostanie otwarte okno kreatora nowego zadania klienta. 6.1.1.4 Przypisywanie reguły do grupy Po utworzeniu reguły można ją przypisać do grupy statycznej lub dynamicznej. Można to zrobić na dwa sposoby: 1. W obszarze Administrator > Reguły wybierz regułę i kliknij opcję Przypisywanie grup. Wybierz grupę statyczną lub dynamiczną i kliknij przycisk OK. Wybierz grupę z listy. 185 2. Kliknij kolejno opcje Administrator > Grupy > Grupa lub kliknij przycisk koła zębatego wybierz opcję Zarządzaj regułami. obok nazwy grupy i W oknie Kolejność stosowania reguł kliknij opcję Dodaj regułę. Zaznacz pole wyboru obok reguły, którą chcesz przypisać do danej grupy i kliknij przycisk OK. Kliknij opcję Zapisz. Aby sprawdzić, które reguły są przypisane do danej grupy, zaznacz tę grupę i kliknij kartę Reguły, aby wyświetlić listę reguł przypisanych do grupy. 186 UWAGA: Więcej informacji na temat reguł znajduje się w rozdziale Reguły. 6.1.1.5 Reguły i grupy Przynależność komputera do grupy dynamicznej ustalana jest na podstawie reguł przypisanych do tego komputera. Ustalana jest również przy użyciu szablonu, na podstawie którego utworzono grupę dynamiczną. 6.1.1.6 Grupy statyczne Grupy statyczne umożliwiają ręczne sortowanie komputerów klienckich na grupy i podgrupy. Można tworzyć niestandardowe grupy statyczne i przenosić do nich wybrane komputery. Grupy statyczne można tworzyć wyłącznie ręcznie. Komputery klienckie można następnie przenosić do tych grup ręcznie. Każdy z komputerów może należeć tylko do jednej grupy statycznej. Istnieją dwie domyślne grupy statyczne: Wszystkie — jest to grupa główna obejmująca wszystkie komputery w sieci serwerów ERA. Używana jest do stosowania reguł w odniesieniu do poszczególnych komputerów jako reguły domyślnej. Ta grupa wyświetlana jest zawsze i zmiana jej nazwy w ramach edycji grupy nie jest dozwolona. Zgubione i znalezione jako grupa podrzędna grupy Wszystkie — każdy nowy komputer po raz pierwszy nawiązujący połączenie z serwerem za pośrednictwem agenta jest automatycznie wyświetlany w tej grupie. Nazwę tej grupy można zmienić, a samą grupę można skopiować, jednak nie można jej usunąć ani przenieść. 6.1.1.6.1 Kreator grup statycznych W obszarze Komputery > Grupy wybierz jedną z grup statycznych, kliknij symbol koła zębatego Nowa grupa statyczna. i wybierz opcję Podstawowe Wprowadź nazwę i opis nowej grupy. Można tu również zmienić grupę nadrzędną. Domyślnie grupą nadrzędną jest grupa, która była zaznaczona w momencie rozpoczęcia tworzenia nowej grupy statycznej. Kliknij przycisk Zakończ, aby utworzyć nową grupę statyczną. 187 6.1.1.6.2 Zarządzanie grupami statycznymi Przejdź do obszaru Administrator > Grupy i wybierz grupę statyczną, którą chcesz zarządzać. Kliknij przycisk Grupa lub symbol koła zębatego przy nazwie grupy statycznej. Zostanie wyświetlone wyskakujące menu zawierające dostępne opcje: Nowa grupa statyczna Grupa statyczna wybrana przez kliknięcie przycisku Grupa lub koła zębatego będzie domyślnie grupą nadrzędną. Grupę nadrzędną można jednak zmienić w późniejszym czasie (jeśli zajdzie taka potrzeba) podczas tworzenia nowej grupy statycznej. Edytuj grupę Ta opcja umożliwia edytowanie wybranej grupy. Stosowane są takie same ustawienia, jak w przypadku tworzenia nowej grupy (statycznej lub dynamicznej). Przenieś Ta opcja umożliwia przeniesienie wybranej grupy do innej grupy. Przeniesiona grupa stanie się podgrupą tej grupy. Usuń Ta opcja powoduje całkowite usunięcie wybranej grupy. Eksportuj Ta opcja umożliwia wyeksportowanie elementów grup (a także podgrup, jeśli je zaznaczono) i utworzenie listy (w postaci pliku .txt). Lista może zostać użyta podczas kontroli lub zaimportowana w późniejszym czasie. Importuj Ta opcja umożliwia zaimportowanie listy komputerów (zwykle jest to plik tekstowy) i dołączenie ich do wybranej grupy. 188 6.1.1.6.3 Przenoszenie grupy statycznej Kliknij symbol koła zębatego obok nazwy grupy i wybierz opcję Przenieś. Zostanie wyświetlone wyskakujące okienko, przestawiające strukturę drzewa grup. Wybierz grupę docelową (statyczną lub dynamiczną), do której chcesz przenieść wybraną grupę. Grupa docelowa stanie się grupą nadrzędną. Grupy można również przenosić, przeciągając je i upuszczając w wybranej grupie docelowej. Warto wspomnieć o kilku wyjątkach dotyczących organizacji grupy. Nie można przenieść grupy statycznej do grupy dynamicznej. Nie można również przenieść wstępnie zdefiniowanych grup statycznych (na przykład Zgubione i znalezione) do żadnej innej grupy. Inne grupy można dowolnie przenosić. Grupa dynamiczna może należeć do dowolnej grupy, także do grupy statycznej. Do przenoszenia grup można użyć następujących metod: Przeciąganie i upuszczanie — kliknij i przytrzymaj grupę, którą chcesz przenieść i upuść ją na grupę nadrzędną. > Edytuj > Zmień grupę nadrzędną. 189 > Przenieś > wybierz z listy nową grupę nadrzędną i kliknij przycisk OK. 190 6.1.1.6.4 Dodawanie komputera klienckiego do grupy statycznej Utwórz nową grupę statyczną lub wybierz jedną z domyślnych grup statycznych. Przy użyciu karty Komputery można dodawać nowe komputery na trzy sposoby. Można na przykład wybrać grupę statyczną, kliknąć ikonę koła zębatego i wybrać opcję Dodaj nowy. W polu Nazwa wpisz nazwę komputera, który chcesz dodać. Kliknij opcję + Dodaj urządzenie, aby dodać kolejne komputery lub kliknij opcję Importuj, aby zaimportować plik z listą komputerów do dodania. Opcjonalnie możesz również wprowadzić opisy komputerów. 191 Jeśli dodawany komputer istnieje już w rozwiązaniu ERA, użyj menu rozwijanego Rozwiązywanie konfliktu, by wybrać działanie, które ma zostać podjęte: Pytaj w przypadku wykrycia konfliktów: w przypadku wykrycia konfliktu w programie wyświetlony zostanie monit o wybranie czynności (opcje przedstawione są poniżej). Pomiń komputery powodujące konflikty: zduplikowane komputery nie będą dodawane. Przenieś komputery powodujące konflikty z innych grup: komputery powodujące konflikty będą przenoszone ze swoich grup do grupy Wszystkie. Zduplikuj komputery powodujące konflikty: nowe komputery będą dodawane, ale pod innymi nazwami. Kliknij opcję Dodaj. Komputery można wyświetlić na liście po prawej stronie po wybraniu grupy, do której należą. UWAGA: Dodawanie wielu komputerów może zająć więcej czasu. Konieczne może być przeprowadzenie odwrotnego wyszukiwania DNS. Więcej informacji na temat dodawania urządzeń mobilnych można znaleźć w rozdziale Rejestracja urządzenia mobilnego. 192 6.1.1.6.5 Importowanie klientów z usługi Active Directory Synchronizację z usługą Active Directory przeprowadza się uruchamiając zadanie serwera Synchronizacja grupy statycznej. Administrator > Zadanie serwera to wstępnie zdefiniowane zadanie, które można wybrać do automatycznego wykonania podczas instalacji programu ESET Remote Administrator. Jeśli komputer należy do domeny, synchronizacja zostanie przeprowadzone, a komputery z usługi Active Directory zostaną wpisane do domyślnej grupy Wszystkie. Aby rozpocząć procedurę synchronizacji, wystarczy kliknąć zadanie i wybrać pozycję Uruchom teraz. Jeśli konieczne jest utworzenie nowego zadania synchronizacji AD, wybierz grupę, do której mają zostać dodane nowe komputery z usługi AD. Zaznacz również obiekty w usłudze AD, z którą ma być przeprowadzona synchronizacja oraz określ sposób postępowania z duplikatami. Wprowadź ustawienia połączenia z serwerem usługi AD i w pozycji Tryb synchronizacji wybierz opcję Active Directory/Open Directory/LDAP. Wykonaj procedurę przedstawioną w tym artykule bazy wiedzy firmy ESET. 6.1.1.6.6 Przypisywanie zadania do grupy statycznej Przypisywanie zadań odbywa się tak samo w grupach statycznych i dynamicznych. Instrukcje dotyczące przypisywania zadań do grupy można znaleźć tutaj. 6.1.1.6.7 Przypisywanie reguły do grupy statycznej Przypisywanie reguł odbywa się tak samo w grupach statycznych i dynamicznych. Instrukcje dotyczące przypisywania reguł do grupy można znaleźć tutaj. 193 6.1.1.6.8 Eksportowanie grup statycznych Eksportowanie listy komputerów należących do struktury serwera ERA jest proste. Można wyeksportować listę i zachować ją jako kopię zapasową, którą można zaimportować w przyszłości, na przykład w celu przywrócenia struktury grupy. UWAGA: W grupach statycznych musi znajdować się co najmniej jeden komputer. Nie można wyeksportować pustej grupy. 1. Przejdź do obszaru Administrator > Grupy i wybierz grupę statyczną, którą chcesz wyeksportować. 2. Kliknij przycisk Grupa u dołu strony (spowoduje to wyświetlenie menu kontekstowego). 3. Wybierz opcję Eksportuj. 4. Plik zostanie zapisany w formacie .txt. UWAGA: Nie ma możliwości eksportowania grup dynamicznych, ponieważ te grupy są jedynie łączami do komputerów tworzonymi na podstawie kryteriów ustalonych w szablonach grup dynamicznych. 194 6.1.1.6.9 Importowanie grup statycznych Pliki wyeksportowane z grup statycznych można zaimportować ponownie do konsoli internetowej ERA i dołączyć je do istniejącej struktury grup. 1. Kliknij opcję Grupa (spowoduje to wyświetlenie menu kontekstowego). 2. Wybierz opcję Importuj. 3. Kliknij opcję Przeglądaj i przejdź do pliku .txt. 4. Wybierz plik grupy i kliknij opcję Otwórz. Nazwa pliku zostanie wyświetlona w polu tekstowym. 5. W celu rozwiązania konfliktów wybierz jedną z poniższych opcji: Pomiń komputery powodujące konflikty Jeśli istnieją grupy statyczne, a komputery z pliku .txt znajdują się już w tych grupach, komputery te zostaną pominięte i nie będą importowane. Zostanie wyświetlona informacja na ten temat. Przenieś komputery powodujące konflikty z innych grup Jeśli istnieją grupy statyczne, a komputery z pliku .txt znajdują się już w tych grupach, konieczne jest przeniesienie komputerów do innych grup statycznych przed ich zaimportowaniem, po czym po zaimportowaniu komputery te zostaną przeniesione z powrotem do grup wyjściowych, z których zostały przeniesione. Zduplikuj komputery powodujące konflikty Jeśli istnieją grupy statyczne, a komputery z pliku .txt znajdują się już w tych grupach, duplikaty tych komputerów zostaną utworzone w ramach tej samej grupy statycznej. Przy komputerze oryginalnym wyświetlane będą wówczas pełne informacje, a przy duplikacie wyłącznie nazwa komputera. 5. Kliknij opcję Importuj w celu zaimportowania grup statycznych wraz zawartymi w nich komputerami. 195 6.1.1.7 Grupy dynamiczne Grupy dynamiczne to w zasadzie niestandardowe filtry zdefiniowane w szablonach. Komputery są filtrowane po stronie agenta, więc do serwera nie muszą być przesyłane żadne dodatkowe informacje. To agent decyduje, do której grupy dynamicznej należy klient, i tylko powiadamia serwer o podjętej decyzji. Grupy dynamiczne dysponują własnymi regułami zdefiniowanymi w szablonie grupy dynamicznej. Po zainstalowaniu programu ESET Remote Administrator dostępnych jest klika wstępnie zdefiniowanych grup dynamicznych. W razie potrzeby można utworzyć niestandardowe grupy dynamiczne. W tym celu należy najpierw utworzyć szablon, a następnie utworzyć grupę dynamiczną. Inna metoda polega na utworzeniu nowej grupy dynamicznej i nowego szablonu w ramach jednej operacji. Na podstawie jednego szablonu można utworzyć więcej niż jedną grupę dynamiczną. Użytkownik może używać grup dynamicznych w innych częściach serwera ERA. Można przypisać do nich reguły lub utworzyć zadanie dla wszystkich znajdujących się w nich komputerów. Grupy dynamiczne mogą należeć do grup statycznych lub grup dynamicznych. Jednak najwyższa grupa w hierarchii jest zawsze statyczna. Wszystkie grupy dynamiczne w obrębie grupy statycznej jedynie filtrują komputery grupy statycznej, bez względu na to, jaka jest ich pozycja w drzewie. Ponadto, w przypadku grup dynamicznych, głębiej osadzona grupa dynamiczna filtruje wyniki grupy wyższej w hierarchii. Po utworzeniu reguły można dowolnie przenosić w obrębie drzewa. 6.1.1.7.1 Kreator szablonu grupy dynamicznej Kliknij opcję Nowy szablon w obszarze Administrator > Szablony grup dynamicznych. Podstawowe 1. Wprowadź nazwę i opis nowego szablonu grupy dynamicznej. Wyrażenie 196 Z menu Operacja wybierz operator logiczny. AND — wszystkie zdefiniowane warunki muszą być prawdziwe. OR — co najmniej jeden warunek musi być prawdziwy. NAND — co najmniej jeden warunek musi być fałszywy. NOR — wszystkie warunki muszą być fałszywe. Wybierz na przykład operator AND. Oznacza to, że aby pojawić się w grupie dynamicznej, w odniesieniu do której używany jest dany szablonu, komputer musi spełnić wszystkie warunki. Kliknij opcję + Dodaj regułę i wybierz warunek. Załóżmy, że interesują nas klienty na laptopach podłączonych do sieci elektrycznej. Wybierz kolejno pozycje Sprzęt > Zasilanie z baterii > = (równy) > Nie rozładowywanie. Kliknij opcję + Dodaj regułę, aby wprowadzić drugi warunek (liczba reguł jest nieograniczona). Wybierz kolejno pozycje Wersja systemu operacyjnego > Typ systemu > = (równy) > Windows 8.1 (wprowadź tę wartość w pustym polu). Jeśli spełnione zostaną oba te warunki, klient pojawi się w grupie dynamicznej. Podsumowanie Aby utworzyć szablon, sprawdź skonfigurowane ustawienia i kliknij przycisk Zakończ. Nowy szablon zostanie dodany do listy wszystkich szablonów i można będzie go później użyć do utworzenia nowej grupy dynamicznej. W opcjach w obszarze Wyrażenia można skonfigurować reguły/warunki dla grupy (edytor reguł jest opisany tutaj). Teraz każda grupa dynamiczna oparta na tym szablonie będzie podlegała tym regułom. Aby zapisać zmiany, kliknij przycisk Zakończ. 6.1.1.7.2 Zarządzanie szablonami grup dynamicznych Szablonami można zarządzać w obszarze Administrator > Szablony grup dynamicznych. Użytkownik ma możliwość utworzenia nowego szablonu lub edytowania dowolnego z istniejących szablonów. Aby edytować, należy kliknąć szablon, który ma być edytowany, co spowoduje uruchomienie kreatora. Można też wybrać szablon, klikając widoczne obok niego pole wyboru, a następnie opcję Edytuj szablon. Wyrażenie 197 Z menu Operacja wybierz operator logiczny. AND — wszystkie zdefiniowane warunki muszą być prawdziwe. OR — co najmniej jeden warunek musi być prawdziwy. NAND — co najmniej jeden warunek musi być fałszywy. NOR — wszystkie warunki muszą być fałszywe. Wybierz na przykład operator AND. Oznacza to, że aby pojawić się w grupie dynamicznej, w odniesieniu do której używany jest dany szablonu, komputer musi spełnić wszystkie warunki. Kliknij opcję + Dodaj regułę i wybierz warunek. Załóżmy, że interesują nas klienty na laptopach podłączonych do sieci elektrycznej. Wybierz kolejno pozycje Sprzęt > Zasilanie z baterii > = (równy) > Nie rozładowywanie. Kliknij opcję + Dodaj regułę, aby wprowadzić drugi warunek (liczba reguł jest nieograniczona). Wybierz kolejno pozycje Wersja systemu operacyjnego > Typ systemu > = (równy) > Windows 8.1 (wprowadź tę wartość w pustym polu). Jeśli spełnione zostaną oba te warunki, klient pojawi się w grupie dynamicznej. Podsumowanie Aby utworzyć szablon, sprawdź skonfigurowane ustawienia i kliknij przycisk Zakończ. Nowy szablon zostanie dodany do listy wszystkich szablonów i można będzie go później użyć do utworzenia nowej grupy dynamicznej. W opcjach w obszarze Wyrażenia można skonfigurować reguły/warunki dla grupy (edytor reguł jest opisany tutaj). Teraz każda grupa dynamiczna oparta na tym szablonie będzie podlegała tym regułom. Aby zapisać zmiany, kliknij przycisk Zakończ. 6.1.1.7.3 Kreator grupy dynamicznej Grupy dynamiczne można tworzyć na podstawie istniejących szablonów lub poprzez utworzenie nowego szablonu (który następnie zostanie użyty do utworzenia danej grupy dynamicznej). Podstawowe Wprowadź nazwę i opis(opcjonalnie) nowej grupy dynamicznej. Domyślnie grupą nadrzędną jest grupa, która była zaznaczona w momencie rozpoczęcia tworzenia nowej grupy statycznej. Aby w razie potrzeby zmienić grupę nadrzędną, wystarczy kliknąć opcję Zmień grupę nadrzędną i wybrać odpowiednią pozycję w strukturze drzewa. Grupa nadrzędna nowej grupy dynamicznej może być dynamiczna lub statyczna. Kliknij przycisk Zakończ, aby utworzyć nową grupę dynamiczną. 198 Szablon Można wybrać istniejący szablon grupy dynamicznej lub utworzyć nowy szablon grupy dynamicznej. Podsumowanie Sprawdź poprawność konfiguracji (jeśli trzeba wprowadzić zmiany, nadal można to zrobić) i kliknij przycisk Zakończ. 199 6.1.1.7.4 Tworzenie grupy dynamicznej na podstawie istniejącego szablonu Aby utworzyć nową grupę dynamiczną na podstawie istniejącego szablonu, kliknij ikonę koła zębatego nazwy grupy dynamicznej, a następnie kliknij opcję Nowa grupa dynamiczna. obok Polecenie Nowa grupa dynamiczna... jest również dostępne w obszarze Administrator > Grupy. Wybierz grupę (w okienku Grupy) i kliknij pozycję Grupa widoczną u dołu. 200 Zostanie wyświetlony kreator grupy dynamicznej. Wprowadź nazwę i opis (opcjonalnie) nowego szablonu. Można również zmienić grupę nadrzędną, klikając przycisk Zmień grupę nadrzędną. Wybierz szablon grupy dynamicznej spośród szablonów wstępnie zdefiniowanych lub uprzednio utworzonych. Kliknij opcję Wybierz spośród istniejących i wybierz odpowiedni szablon z listy. Jeśli nie zostały dotąd utworzone żadne szablony, a żaden ze wstępnie zdefiniowanych szablonów dostępnych na liście nie jest odpowiedni, kliknij opcję Nowy i postępuj według instrukcji w celu utworzenia nowego szablonu. 201 Ostatni ekran zawiera podsumowanie. Nowa grupa jest widoczna w ramach nadrzędnej grupy statycznej. 6.1.1.7.5 Tworzenie grupy dynamicznej na podstawie nowego szablonu Proces ten obejmuje takie same kroki jak podczas tworzenia grupy dynamicznej na podstawie istniejącego szablonu aż do kroku Szablon grupy dynamicznej, w którym należy kliknąć opcję Nowy szablon grupy dynamicznej i wprowadzić informacje dotyczące nowego szablonu. Po zakończeniu nowy szablon zostanie automatycznie użyty. Szablon ten pojawi się również na liście szablonów grup dynamicznych i będzie można go użyć do tworzenia innych grup dynamicznych. 6.1.1.7.6 Zarządzanie grupami dynamicznymi Grupę dynamiczną można utworzyć na podstawie istniejącego szablonu lub można utworzyć nowy szablon, który zostanie użyty do utworzenia danej grupy dynamicznej. Po utworzeniu grup dynamicznych można wykonywać na nich różnego rodzaju operacje. Oto przykłady tych operacji: Edytowanie Przenoszenie Usuwanie Uruchamianie zadań Używanie zadań do obsługi powiadomień Te operacje można wykonywać z trzech miejsc: 1. Komputer > Grupy > 202 2. Administrator > Grupy > 3. Administrator > Grupy > zaznacz grupy dynamiczne, którymi chcesz zarządzać i kliknij przycisk Grupa. 203 6.1.1.7.7 Przenoszenie grupy dynamicznej Kliknij symbol koła zębatego obok nazwy grupy i wybierz opcję Przenieś. Zostanie wyświetlone wyskakujące okienko, przestawiające strukturę drzewa grup. Wybierz grupę docelową (statyczną lub dynamiczną), do której chcesz przenieść wybraną grupę. Grupa docelowa stanie się grupą nadrzędną. Grupy można również przenosić, przeciągając je i upuszczając w wybranej grupie docelowej. Warto wspomnieć o kilku wyjątkach dotyczących organizacji grupy. Nie można przenieść grupy statycznej do grupy dynamicznej. Nie można również przenieść wstępnie zdefiniowanych grup statycznych (na przykład Zgubione i znalezione) do żadnej innej grupy. Inne grupy można dowolnie przenosić. Grupa dynamiczna może należeć do dowolnej grupy, także do grupy statycznej. Do przenoszenia grup można użyć następujących metod: Przeciąganie i upuszczanie — kliknij i przytrzymaj grupę, którą chcesz przenieść i upuść ją na grupę nadrzędną. 204 > Edytuj > Zmień grupę nadrzędną. > Przenieś > wybierz z listy nową grupę nadrzędną i kliknij przycisk OK. 205 UWAGA: Po przeniesieniu grupy dynamicznej w nowe miejsce uruchamiane jest filtrowanie komputerów (na podstawie szablonu) w sposób niezwiązany w żaden sposób z poprzednią lokalizacją. 6.1.1.7.8 Przypisywanie reguły do grupy dynamicznej Przypisywanie reguł odbywa się tak samo w grupach statycznych i dynamicznych. Instrukcje dotyczące przypisywania reguł do grupy można znaleźć tutaj. 6.1.1.7.9 Przypisywanie zadania do grupy dynamicznej Przypisywanie zadań odbywa się tak samo w grupach statycznych i dynamicznych. Instrukcje dotyczące przypisywania zadań do grupy można znaleźć tutaj. 6.1.1.7.10 Automatyzacja programu ESET Remote Administrator 1. Tworzenie grupy dynamicznej, na przykład „Zainfekowane komputery” 2. Tworzenie zadania — dokładne skanowanie i przypisanie do grupy dynamicznej Zainfekowane komputery (zadanie jest uruchamiane, gdy klienty dołączają do grupy dynamicznej) 3. Tworzenie określonej reguły (w tym przypadku „reguły izolowania”) — po zainstalowaniu produktu zabezpieczającego ESET tworzona jest reguła blokująca cały ruch sieciowy z wyjątkiem połączenia z rozwiązaniem ESET Remote Administrator. 4. Tworzenie szablonu powiadomienia — w przypadku zainfekowanych komputerów (można określić różne warunki) generowane jest powiadomienie, mające na celu ostrzeżenie użytkownika o rozprzestrzeniającym się zagrożeniu. Korzystając z tych samych technik, można zautomatyzować aktualizacje produktów oraz systemu operacyjnego, skanowanie, aktywowanie nowo dodanych produktów przy użyciu wskazanej licencji, a także inne zadania. 206 6.1.1.7.11 Dołączanie komputera do grupy dynamicznej Dołączenie komputera do określonej grupy dynamicznej wymaga spełnienia pewnych warunków. Warunki te są zdefiniowane w szablonie grupy dynamicznej. Każdy szablon składa się z jednej lub kliku reguł (czyli warunków). Te reguły można ustalić podczas tworzenia nowego szablonu. Konkretne informacje dotyczące bieżącego warunku komputera klienckiego są zapisywane przez agenta. Następnie warunki dotyczące komputera są klasyfikowane przez agenta na podstawie reguł szablonu. Użytkownik rozwiązania ERA może być zainteresowany tylko niektórymi stanami. Definiuje je, podając wartości poszczególnych stanów, a taki wstępnie zdefiniowany zestaw określany jest mianem grupy dynamicznej. Gdy tylko komputer znajdzie się w stanie warunkowanym określonymi w ten sposób wartościami, zostanie automatycznie przypisany do danej grupy. Grupy dynamiczne można postrzegać jako filtry stanu komputera. Jeden komputer może być ujęty w więcej niż jednym filtrze, zatem może zostać przypisany do więcej niż jednej grupy dynamicznej. To odróżnia grupy dynamiczne od grup statycznych, w których komputer może występować tylko raz. 6.1.1.7.12 Ocena reguł szablonu Ocena reguł szablonu obsługiwana jest przez agenta, a nie przez serwer ERA (do serwera ERA wysyłane są tylko wyniki). Procedura oceny odbywa się na podstawie reguł skonfigurowanych w szablonie. Poniżej przedstawiono objaśnienie procedury oceny i podano kilka przykładów. Stan jest zbiorem różnych informacji. Niektóre ze źródeł podają więcej niż jeden stan wymiarowy urządzenia (np. system operacyjny, rozmiar pamięci RAM), natomiast inne podają wielowymiarowe dane dotyczące stanu (np. adres IP, zainstalowana aplikacja). Poniżej przedstawiono wizualizację stanu klienta: Karty siecio we.Adr es IP Karty sieciowe.Adres MAC System.Nazwa System.Wersja Sprzęt. Zainsta Pamięćlowana RAM w aplikac MB ja 192.16 8.1.2 4A-64-3F-10-FC-75 Windows 7 Enterprise 6.1.7601 10.1.1. 11 2B-E8-73-BE-81-C7 PDF Reader 124.25 6.25.25 52-FB-E5-74-35-73 Office Suite 2048 ESET Endpoi nt Securit y Weath er Foreca st Na stan składają się grupy informacji. Jedna grupa informacji zawsze obejmuje spójne informacje podane w wierszach. Liczba wierszy w grupie może być różna. Warunki są oceniane według grupy i według wiersza. Jeśli w odniesieniu do kolumn z jednej grupy stosowanych jest więcej warunków, pod uwagę brane są tylko wartości z tego samego wiersza. Przykład 1: W tym przykładzie rozważany jest następujący warunek: 207 Karty sieciowe.Adres IP = 10.1.1.11 AND Karty sieciowe.Adres MAC = 4A-64-3F-10-FC-75 Tej reguły nie spełnia żaden komputer, ponieważ nie ma wiersza, w którym oba warunki byłyby prawdziwe. Karty siecio we — Adres IP Karty sieciowe — Adres MAC 192.16 8.1.2 Nazwa systemu Wersja systemu Windows 7 Enterprise 6.1.7601 Sprzęt Zainsta — lowane Pamięć oprogr RAM w amowa MB nie 2048 4A-64-3F-10-FC-75 ESET Endpoi nt Securit y 10.1.1. 11 2B-E8-73-BE-81-C7 PDF Reader 124.25 6.25.25 52-FB-E5-74-35-73 Office Suite Weath er Foreca st Przykład 2: W tym przykładzie rozważany jest następujący warunek: Karty sieciowe.Adres IP = 192.168.1.2 AND Karty sieciowe.Adres MAC = 4A-64-3F-10-FC-75 Tym razem istnieje wiersz, w którym komórki spełniają oba te warunki, zatem wartość całej reguły to TRUE (prawda). Komputer zostaje wybrany. Karty siecio we — Adres IP Karty sieciowe — Adres MAC 192.16 8.1.2 Nazwa systemu Wersja systemu Windows 7 Enterprise 6.1.7601 4A-64-3F-10-FC-75 Sprzęt Zainsta — lowane Pamięć oprogr RAM w amowa MB nie 2048 ESET Endpoi nt Securit y 10.1.1. 11 2B-E8-73-BE-81-C7 PDF Reader 124.25 6.25.25 52-FB-E5-74-35-73 Office Suite Weath er Foreca st Przykład 3: Przykład dotyczy warunków z operatorem OR (przynajmniej jeden warunek musi mieć wartość TRUE): 208 Karty sieciowe.Adres IP = 10.1.1.11 OR Karty sieciowe.Adres MAC = 4A-64-3F-10-FC-75 Reguła ma wartość TRUE (prawda) dla dwóch wierszy, ponieważ wystarczy spełnienie tylko jednego z podanych warunków. Komputer zostaje wybrany. Karty siecio we — Adres IP Karty sieciowe — Adres MAC Nazwa systemu Wersja systemu Sprzęt Zainsta — lowane Pamięć oprogr RAM w amowa MB nie 192.16 8.1.2 4A-64-3F-10-FC-75 Windows 7 Enterprise 6.1.7601 10.1.1. 11 2B-E8-73-BE-81-C7 PDF Reader 124.25 6.25.25 52-FB-E5-74-35-73 Office Suite 2048 ESET Endpoi nt Securit y Weath er Foreca st 6.1.1.7.13 Edytor reguł Warunki Podczas konfigurowania warunków w ramach szablonu grupy dynamicznej w odniesieniu do poszczególnych warunków używane są różne operatory. Dostępne są 3 typy list: Listy operatorów numerycznych zawierają operatory umożliwiające porównywanie wartości numerycznych Listy operatorów ciągów zawierają operatory umożliwiające porównywanie wartości alfanumerycznych Listy operatorów logicznych zawierają tylko dwa operatory — prawda „= (równy)” i fałsz „≠ (nie równy)” Typy list operatorów Na liście znajduje się 6 wartości: 209 „= (równy)” „≠ (nie równy)” „> (większy niż)” „≥ (większy lub równy)” „< (mniejszy niż)” „≤ (mniejszy lub równy)” Lista operatorów ciągów Na liście znajduje się 9 wartości: „= (równy)” — należy podać wyłącznie dokładną i całkowitą wartość wyszukiwaną. „≠ (nie równy)” — należy podać wyłącznie dokładną i całkowitą wartość, która ma być ignorowana podczas wyszukiwania. „ma podciąg” — należy podać podciąg wyszukiwany w dowolnym miejscu wyrażenia. „ma prefiks” — należy podać dokładnie kilka pierwszych znaków wyszukiwanego ciągu. W przypadku ciągu „Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319” prefiksem może być „Micros”, „Micr”, „Microsof” itd. „ma postfiks” — należy podać dokładnie kilka ostatnich znaków wyszukiwanego ciągu. W przypadku ciągu „Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319” postfiksem może być „319”, „0.30319” itd. „wyrażenie regularne” — używana jest tu składnia Perl. „w” — należy podać wyrażenie dokładne. Na przykład w przypadku ciągu „Microsoft Windows” należy wpisać dokładnie „Microsoft Windows”. „ma maskę” oraz „w (maska ciągu)” — w tych operatorach używane są 2 rodzaje symboli wieloznacznych: * — dowolna liczba znaków (0 lub więcej) ? — dokładnie 1 znak Przykłady Zapis „a*” odpowiada ciągom „a”, „aa”, „ax”, „abcde” Zapis „a?” odpowiada ciągom „aa”, „ab”, „ac”, ale nie ciągom „a” ani „aaa” Zapis „a??” odpowiada ciągom „aaa”, „aab”, „axy”, ale nie ciągom „a”, „aa” ani „aaaa” Zapis „a?*” odpowiada ciągom „aa”, „ax”, „abcde”, ale nie ciągowi „a” Zapis „*a*” odpowiada ciągom „a”, „xa”, „ax”, „xax”, „dynamiczny”, „abba” Zapis „?*” odpowiada wszystkim ciągom z wyjątkiem ciągu pustego „” Lista operatorów logicznych Ta lista obejmuje 2 wartości, jednak wartości te są zawsze połączone z drugą listą warunków: „= (równy)” — następujący po tym warunek jest prawdziwy „≠ (nie równy)” — następujący po tym warunek jest nieprawdziwy Podstawowe operatory matematyczne (np. większy niż) są dość jednoznaczne. W przypadku pozostałych dostępne jest krótkie objaśnienie: Operator „ma podciąg”. Wartość to prawda, jeżeli argument jest podciągiem wartości symbolu. Operator „ma prefiks”. Wartość to prawda, jeżeli wartość symbolu zaczyna się od wartości argumentu, np. „xyz” ma prefiks „xy”. Operator „ma postfiks”. Wartość to prawda, jeżeli wartość symbolu kończy się wartością argumentu, np. „xyz” ma postfiks „yz”. Operator „ma maskę”. Umożliwia używanie symboli wieloznacznych przy porównywaniu ciągów, np. „*z” może oznaczać ciąg „xyz”. Operator „wyrażenie regularne”. Wartość to prawda, jeżeli symbol jest zgodny z wyrażeniem regularnym zawartym w argumencie. Używana jest składnia wyrażeń regularnych Perl. Operator „w”. Argument jest listą wartości. Wartość to prawda, jeżeli wartość symbolu jest równa co najmniej jednej z wartości argumentu, np. „xyz” w („abc”, „def”, „xyz”). Operator „w (maska ciągu)”. Argument jest listą wartości, w której dozwolone są symbole wieloznaczne. Wartość to prawda, jeżeli wartość symbolu odpowiada co najmniej jednej z wartości argumentu, np. „xyz” w („a*”, „*f”, „*z”). Operator „nie ma wartości”. Wartość to prawda, jeżeli symbol nie ma wartości. Drugi argument jest ignorowany. Operator „ma wartość”. Wartość to prawda, jeżeli symbol ma wartość. Drugi argument jest ignorowany. 210 6.1.2 Reguły Reguły służą do wymuszania określonej konfiguracji produktów ESET uruchomionych na komputerach klienckich. Dzięki temu nie jest konieczne ręczne konfigurowanie produktów ESET na poszczególnych klientach. Reguły można również stosować bezpośrednio do określonych komputerów, a także grup (statycznych i dynamicznych). Do danego komputera lub grupy można ponadto przypisać wiele reguł, inaczej niż w przypadku programu ESET Remote Administrator w wersji 5 i wcześniejszych, gdzie do jednego produktu lub komponentu można było zastosować tylko jedną regułę. Stosowanie reguł Reguły są stosowane w kolejności, w której uszeregowane są grupy statyczne. Ta zasada nie odnosi się do grup dynamicznych, w których najpierw uwzględniane są podrzędne grupy dynamiczne. Dzięki temu reguły, które wywierają większy wpływ, mogą znajdować się na szczycie drzewa grup, natomiast reguły bardziej szczegółowe stosowane są w odniesieniu do podgrup. Dzięki odpowiedniemu skonfigurowaniu reguł przy użyciu flag, użytkownik rozwiązania ERA z dostępem do grup znajdujących się wyżej w hierarchii drzewa może zastępować reguły odnoszące się do niższych grup. Algorytm ten wyjaśniono szczegółowo w części Stosowanie reguł w odniesieniu do klientów. Scalanie reguł Reguła stosowana w odniesieniu do klienta powstaje zwykle w wyniku scalenia większej liczby reguł w celu utworzenia jednej ostatecznej reguły. UWAGA: Zalecamy przypisywanie reguł bardziej ogólnych (na przykład ustawień ogólnych, takich jak ustawienia serwera aktualizacji) do grup znajdujących się wyżej w hierarchii drzewa grup. Reguły bardziej szczegółowe (na przykład ustawienia kontroli dostępu do urządzeń) należy stosować głębiej w hierarchii drzewa grup. Podczas scalania niżej położone reguły zastępują zwykle ustawienia wyżej położonych reguł (chyba że użytkownik zdefiniuje inne zachowanie przy użyciu flag reguł). UWAGA: W przypadku stosowania reguły, a następnie jej usunięcia konfiguracja nie zostanie automatycznie przywrócona do ustawień początkowych. Zostanie zachowana konfiguracja zgodna z ostatnią regułą stosowaną w odniesieniu do klientów. To samo ma miejsce, gdy komputer zostaje dołączony do grupy dynamicznej, w której stosowana jest reguła zmieniająca ustawienia komputera. Ustawienia pozostaną niezmienione nawet wówczas, gdy komputer zostanie usunięty z grupy dynamicznej. W związku z tym zalecane jest utworzenie reguły z ustawieniami domyślnymi i przypisanie jej do grupy głównej (Wszystkie), aby umożliwić przywracanie ustawień do wartości domyślnych w tego rodzaju sytuacjach. Dzięki temu, gdy komputer opuści grupę dynamiczną, która spowodowała zmianę jego ustawień, zastosowane zostaną ustawienia domyślne. 211 6.1.2.1 Kreator reguł Przy użyciu reguł można skonfigurować produkt ESET w taki sam sposób, jak można to zrobić w oknie Ustawienia zaawansowane w graficznym interfejsie użytkownika danego produktu. W przeciwieństwie do reguł w usłudze Active Directory, w regułach ERA nie można zapisywać skryptów ani serii poleceń. Tworzenie reguł i zarządzanie nimi odbywa się w obszarze Administrator > Reguły. Kliknij przycisk Reguły u dołu i wybierz opcję Nowa z menu kontekstowego. Podstawowe W polu Nazwa wprowadź nazwę nowej reguły. Pole Opis jest opcjonalne. Ustawienia Wybierz produkt z menu rozwijanego. Wybierz kategorię w widoku drzewa po lewej stronie. W prawym okienku odpowiednio dostosuj ustawienia. Każde z ustawień jest regułą, dla której można ustawić flagę. W celu ułatwienia nawigacji wszystkie reguły są liczone. Automatycznie wyświetlana jest liczba odpowiadająca liczbie reguł zdefiniowanych w danym obszarze. Odpowiednia liczba wyświetlana jest również obok nazwy kategorii w widoku drzewa po lewej stronie. Jest to suma reguł ze wszystkich obszarów tej kategorii. Dzięki temu można się szybko zorientować co do lokalizacji i liczby zdefiniowanych ustawień lub reguł. Przy edytowaniu reguł pomocne mogą być poniższe sugestie: o użyć opcji do ustawienia flagi Zastosuj w odniesieniu do wszystkich obiektów w bieżącym obszarze; o usunąć reguły przy użyciu ikony Kosz. 212 6.1.2.2 Flagi W ramach każdego z ustawień reguły można ustalić flagę. Flagi określają sposób, w jaki ustawienie będzie obsługiwane w ramach reguły: Zastosuj — ustawienia z tą flagą zostaną wysłane do klienta. Jednak w przypadku scalania reguł takie ustawienie może zostać zastąpione późniejszą regułą. Podczas stosowania reguły na komputerze klienckim, gdy określone ustawienie jest opatrzone tą flagą, ustawienie to ulega zmianie bez względu na to, co zostało skonfigurowane lokalnie na kliencie. Ponieważ ustawienie nie jest wymuszane, może w późniejszym czasie zostać zmienione przez inne reguły. Wymuś — ustawienia z flagą wymuszania są priorytetowe i nie mogą zostać zastąpione przez późniejszą regułę (nawet jeśli późniejsza reguła opatrzona jest flagą wymuszania). Gwarantuje to, że dane ustawienie nie zostanie zmienione przez późniejsze reguły podczas scalania. Wybierz kategorię w widoku drzewa po lewej stronie. W prawym okienku odpowiednio dostosuj ustawienia. Każde z ustawień jest regułą, dla której można ustawić flagę. W celu ułatwienia nawigacji wszystkie reguły są liczone. Automatycznie wyświetlana jest liczba odpowiadająca liczbie reguł zdefiniowanych w danym obszarze. Odpowiednia liczba wyświetlana jest również obok nazwy kategorii w widoku drzewa po lewej stronie. Jest to suma reguł ze wszystkich obszarów tej kategorii. Dzięki temu można się szybko zorientować co do lokalizacji i liczby zdefiniowanych ustawień lub reguł. Przy edytowaniu reguł pomocne mogą być poniższe sugestie: o użyć opcji do ustawienia flagi Zastosuj w odniesieniu do wszystkich obiektów w bieżącym obszarze; o usunąć reguły przy użyciu ikony Kosz. 213 6.1.2.3 Zarządzanie regułami W tym przykładzie utworzymy nową regułę związaną z interwałem połączenia agenta ERA. Zdecydowanie zalecamy wykonanie tej czynności przed testowaniem masowego wdrożenia w używanym środowisku. 1. Utwórz nową grupę statyczną. 2. Dodaj nową regułę, klikając kolejno opcje Administrator > Reguły. Kliknij przycisk Reguły u dołu i wybierz opcję Nowa. 214 Podstawowe W polu Nazwa wpisz nazwę nowej reguły (np. „Interwał połączenia agenta”). Pole Opis jest opcjonalne. Ustawienia Wybierz opcję Agent ESET Remote Administrator z menu rozwijanego Produkt. Połączenie Wybierz kategorię w widoku drzewa po lewej stronie. W prawym okienku odpowiednio dostosuj ustawienia. Każde z ustawień jest regułą, dla której można ustawić flagę. W celu ułatwienia nawigacji wszystkie reguły są liczone. Automatycznie wyświetlana jest liczba odpowiadająca liczbie reguł zdefiniowanych w danym obszarze. Odpowiednia liczba wyświetlana jest również obok nazwy kategorii w widoku drzewa po lewej stronie. Jest to suma reguł ze wszystkich obszarów tej kategorii. Dzięki temu można się szybko zorientować co do lokalizacji i liczby zdefiniowanych ustawień lub reguł. Przy edytowaniu reguł pomocne mogą być poniższe sugestie: o użyć opcji do ustawienia flagi Zastosuj w odniesieniu do wszystkich obiektów w bieżącym obszarze; o usunąć reguły przy użyciu ikony Kosz. Kliknij pozycję Zmień interwał. 215 W polu Regularny interwał zmień wartość na preferowany czas trwania interwału (zalecamy 60 sekund) i kliknij przycisk Zapisz. Po utworzeniu nowej reguły interwału połączenia agenta przypisz ją do grupy statycznej utworzonej w kroku 1. Po zakończeniu testowania masowego wdrożenia edytuj ustawienia reguły interwału połączenia agenta ERA utworzonej w kroku 2. 216 Kliknij kolejno pozycje Administrator > Grupy i wybierz kartę Reguły. Kliknij regułę interwału połączenia agenta, wybierz opcję Edytuj, a następnie kliknij pozycje Ustawienia > Połączenie. Kliknij opcję Zmień interwał i ustaw interwał połączenia na 20 minut. 6.1.2.4 Stosowanie reguł w odniesieniu do klientów Do grupy i komputerów można przypisać większą liczbę reguł. Ponadto komputer może znajdować się w głęboko zagnieżdżonej grupie, której grupa nadrzędna ma przypisane własne reguły. Najważniejszym czynnikiem w stosowaniu reguł jest ich kolejność. Ustala się ją na podstawie kolejności grup oraz kolejności reguł przypisanych do danej grupy. W celu ustalenia reguły aktywnej na dowolnym kliencie należy wykonać poniższe działania: 1. Ustal kolejność grup, do których należy klient 2. Zastąp grupy przypisanymi do nich regułami 3. Scal reguły, aby uzyskać wynikowe ustawienia 6.1.2.4.1 Ustalanie kolejności grup Reguły można przypisywać do grup i są one stosowane w określonej kolejności. Przy ustalaniu kolejności grup na liście stosowanych jest kilka reguł: 1. Najpierw uwzględniane są grupy statyczne z elementu głównego grup statycznych — Wszystkie. 2. Na każdym poziomie grupy statyczne z tego poziomu są uwzględniane jako pierwsze w kolejności, w jakiej występują w strukturze drzewa — ta zasada określana jest również jako przeszukiwanie wszerz. 3. Po uwzględnieniu na liście wszystkich grup statycznych z danego poziomu uwzględnione zostają grupy dynamiczne. 4. W każdej z grup dynamicznych elementy podrzędne tej grupy są uwzględniane w kolejności, w jakiej występują na liście. 5. Jeśli w grupie dynamicznej na dowolnym poziomie występuje element podrzędny, zostaje on umieszczony na liście i przeszukany pod kątem jego elementów podrzędnych. Gdy nie ma już więcej elementów podrzędnych, na liście uwzględnione zostają następne grupy dynamiczne na poziomie elementu nadrzędnego — ta zasada określana jest również jako przeszukiwanie w głąb. 6. Procedura sporządzania listy kończy się na poziomie komputera. W praktyce sporządzanie listy wygląda następująco: 217 Jak pokazano powyżej, element główny (grupa statyczna o nazwie Wszystkie) zostaje wyszczególniony w ramach reguły 1. Ponieważ na poziomie grupy Wszystkie nie ma więcej grup, jako następne klasyfikacji poddawane są reguły związane z grupami na następnym poziomie. Jako następne klasyfikacji poddawane są grupy statyczne Zgubione i znalezione, GS 1 i GS 2. Komputer jest w zasadzie tylko członkiem grup statycznych Wszystkie/GS 2/GS 3, w związku z czym nie ma konieczności uwzględniania grup Zgubione i znalezione oraz GS 1. GS 2 jest na tym poziomie jedyną grupą poddawaną klasyfikacji, zatem trafia ona na listę, po czym następuje przejście w głąb struktury. Na poziomie trzecim algorytm wyszukuje grupy GS 3, GD 1 oraz GD 2. Zgodnie z regułą 2 jako pierwsze wyszczególnione zostają grupy statyczne. Dodana zostaje grupa GS 3, a ponieważ jest to ostatnia grupa statyczna na poziomie 3., następuje przejście do grupy GD 1. Przed przejściem do grupy GD 2 na poziomie 3. do listy muszą zostać dodane elementy podrzędne grupy GD 1. Dodana zostaje grupa GD 3. Nie ma w niej elementów podrzędnych, więc następuje kolejny krok procedury. Do listy dodana zostaje grupa GD 2. Nie ma w niej elementów podrzędnych. Na poziomie 3. nie ma już więcej grup. Następuje przejście do poziomu 4. Na poziomie 4. znajduje się tylko grupa dynamiczna GD 4 oraz sam komputer. Według reguły 6 komputer jest uwzględniany na końcu, zatem następuje przejście do grupy GD 4. W grupie GD 4 są dwa elementy podrzędne, które muszą zostać przeanalizowane przed podjęciem dalszych działań. Do listy zostają dodane grupy GD 5 i GD 6. W żadnej z nich nie ma elementów podrzędnych, więc nie pozostaje już nic do przetworzenia. Następuje dodanie komputera i zakończenie procedury. Efektem końcowym jest następująca lista: 218 1. Wszystkie 2. GS 2 3. GS 3 4. GD 1 5. GD 3 6. GD 2 7. GD 4 8. GD 5 9. GD 6 10.Komputer W tej kolejności stosowane są reguły. 6.1.2.4.2 Tworzenie wykazu reguł Gdy znana jest już kolejność grup, następnym krokiem jest zastąpienie każdej z grup przypisanymi do niej regułami. Reguły są wymienione w tej samej kolejności, w jakiej zostały przypisane do grupy. Grupa bez reguł zostaje usunięta z listy. W przypadku grupy z większą liczbą przypisanych reguł można edytować priorytet tych reguł. Każda reguła służy do konfiguracji tylko jednego produktu (agenta ERA, serwera proxy ERA, programu EES itd.). Wyróżniamy 3 reguły stosowane zarówno do grup statycznych, jak i dynamicznych (przedstawiono to na poniższym schemacie): Nasza lista z etapu 1. zostanie przekształcona następująco: 1. Wszystkie (usunięto, brak reguł) 2. GS 2 -> Reguła 1, Reguła 2 3. GS 3 (usunięto, brak reguł) 4. GD 1 -> Reguła 1, Reguła 2 5. GD 3 (usunięto, brak reguł) 6. GD 2 -> Reguła 3 7. GD 4 (usunięto, brak reguł) 8. GD 5 (usunięto, brak reguł) 9. GD 6 (usunięto, brak reguł) 10.Komputer (usunięto, brak reguł) Oto wynikowa lista reguł: 1. Reguła 1 2. Reguła 2 3. Reguła 1 4. Reguła 2 5. Reguła 3 219 6.1.2.4.3 Scalanie reguł Reguły są scalane według kolejności. Przy scalaniu reguł obowiązuje zasada ogólna, według której nowsza reguła zawsze zastępuje ustawienia wprowadzone przez poprzednią regułę. Można to zmienić, stosując flagi reguł (dostępne dla każdego z ustawień). Ustawienia są scalane według kolejności. Należy pamiętać, że struktura grup (ich hierarchia) oraz kolejność reguł decydują o sposobie scalania reguł. Efekty scalenia dwóch dowolnych reguł mogą być różne w zależności od ich kolejności. Kolejność grup została ustalona i lista reguł została sporządzona. 6.1.2.5 Konfigurowanie produktu przy użyciu rozwiązania ERA Przy użyciu reguł można skonfigurować produkt ESET w taki sam sposób, jak można to zrobić w oknie Ustawienia zaawansowane w graficznym interfejsie użytkownika danego produktu. W przeciwieństwie do reguł w usłudze Active Directory, w regułach ERA nie można zapisywać skryptów ani serii poleceń. 6.1.2.6 Przypisywanie reguły do grupy Po utworzeniu reguły można ją przypisać do grupy statycznej lub dynamicznej. Można to zrobić na dwa sposoby: 1. W obszarze Administrator > Reguły wybierz regułę i kliknij opcję Przypisywanie grup. Wybierz grupę statyczną lub dynamiczną i kliknij przycisk OK. Wybierz grupę z listy. 220 2. Kliknij kolejno opcje Administrator > Grupy > Grupa lub kliknij przycisk koła zębatego wybierz opcję Zarządzaj regułami. obok nazwy grupy i W oknie Kolejność stosowania reguł kliknij opcję Dodaj regułę. Zaznacz pole wyboru obok reguły, którą chcesz przypisać do danej grupy i kliknij przycisk OK. Kliknij opcję Zapisz. Aby sprawdzić, które reguły są przypisane do danej grupy, zaznacz tę grupę i kliknij kartę Reguły, aby wyświetlić listę reguł przypisanych do grupy. 221 UWAGA: Więcej informacji na temat reguł znajduje się w rozdziale Reguły. 6.1.2.7 Przypisywanie reguły do klienta W celu przypisania reguły do klienta kliknij kolejno pozycje Administrator > Reguły, wybierz kartę Klienty i kliknij opcję Przypisywanie klientów. Wybierz docelowe komputery klienckie i kliknij przycisk OK. Reguła zostanie przypisana do wszystkich wybranych komputerów. 222 6.1.3 Zadania klienta W celu wysłania do komputera klienckiego żądania wykonania określonej czynności można użyć opcji Zadanie klienta. Zadania klienta można przypisywać do grup lub poszczególnych komputerów. Po utworzeniu zadanie jest wykonywane zgodnie z harmonogramem. Klienty nie są przez cały czas połączone z serwerem ERA, więc rozesłanie zadań do klientów może zająć nieco czasu. Z tego samego powodu może minąć nieco czasu, zanim wyniki wykonania zadania zostaną przesłane z powrotem do serwera ERA. Dla wygody użytkownika dostępne są następujące wstępnie zdefiniowane zadania: Każda kategoria zadania obejmuje typy zadania: Wszystkie zadania Produkt zabezpieczający ESET Eksportowanie konfiguracji zarządzanych produktów Skanowanie na żądanie Aktywacja produktu Zarządzanie kwarantanną Uruchomienie skryptu programu SysInspector Żądanie dziennika programu SysInspector Przesyłanie pliku poddanego kwarantannie Aktualizacja bazy sygnatur wirusów Cofanie aktualizacji bazy sygnatur wirusów ESET Remote Administrator Uaktualnianie komponentów programu Remote Administrator 223 Resetowanie sklonowanego agenta Resetowanie bazy danych Rogue Detection Sensor Zatrzymanie zarządzania (odinstalowanie agenta ERA) System operacyjny Wyświetlanie komunikatów Aktualizacja systemu operacyjnego Uruchomienie polecenia Instalacja oprogramowania Dezinstalacja oprogramowania Zatrzymanie zarządzania (odinstalowanie agenta ERA) Urządzenie mobilne Działanie funkcji Anti-Theft Rejestracja urządzenia Wyświetlanie komunikatów Eksportowanie konfiguracji zarządzanych produktów Skanowanie na żądanie Aktywacja produktu Instalacja oprogramowania Aktualizacja bazy sygnatur wirusów Zatrzymanie zarządzania (odinstalowanie agenta ERA) 224 6.1.3.1 Kreator zadań klienta Zadania klienta można tworzyć na karcie Administrator i tam można nimi zarządzać. Kliknij pozycję Zadania klienta, wybierz zadanie z listy Typy zadań, a następnie kliknij opcję Nowy. Produkty zabezpieczające firmy ESET można zainstalować zdalnie, klikając odpowiedni komputer i wybierając pozycję Nowy lub tworząc nowe zadanie Instalacja oprogramowania w menu Administrator > Zadania klienta. Kliknij opcję Nowy..., by rozpocząć konfigurowanie nowego zadania. Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy. Podstawowe Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa, opcjonalny opis oraz typ zadania. W polu Typ zadania (patrz powyższa lista) określane są ustawienia zadania i jego zachowanie. Wybierz zadanie Instalacja oprogramowania, a następnie kliknij pozycję Obiekt docelowy. 225 Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które będą odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 226 Element wyzwalający Jako element wyzwalający wybierzemy pozycję Wykonaj jak najszybciej, co spowoduje natychmiastowe wysłanie zadania do klientów. W opcji Używaj czasu lokalnego chodzi o czas lokalny klientów, a nie serwera. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Na razie pozostawiamy ustawienie Ograniczanie bez zmian i klikamy przycisk Zakończ w celu utworzenia nowego zadania. Ustawienia Kliknij pozycję <Wybierz licencję ESET> i z listy dostępnych licencji wybierz licencję odpowiednią dla instalowanego produktu. Zaznacz pole wyboru Akceptuję Umowę licencyjną użytkownika końcowego aplikacji, jeśli akceptujesz tę umowę. Więcej informacji można znaleźć w rozdziałach Zarządzanie licencjami oraz Umowa EULA. Kliknij pozycję <Wybierz pakiet>, aby wybrać pakiet instalacyjny z repozytorium lub podaj adres URL pakietu. Zostanie wyświetlona lista dostępnych pakietów, z której można wybrać produkt firmy ESET do zainstalowania (np. ESET Endpoint Security). Wybierz odpowiedni pakiet instalacyjny i kliknij przycisk OK. Aby wskazać adres URL pakietu instalacyjnego, wpisz ten adres lub skopiuj go i wklej w polu tekstowym (nie używaj adresu URL, który wymaga uwierzytelnienia). UWAGA: Należy pamiętać, że w celu uzyskania dostępu do repozytorium i przeprowadzenia instalacji wymagany jest dostęp do Internetu zarówno w przypadku serwera, jak i agenta. W razie braku dostępu do Internetu oprogramowanie klienta można zainstalować lokalnie. W razie potrzeby można również określić parametry w polu Parametry instalacji. W przeciwnym razie można pozostawić to pole puste. Zaznacz pole wyboru obok opcji W razie potrzeby automatycznie uruchom ponownie, aby wymusić ponowne uruchomienie komputera klienckiego po ukończeniu instalacji. Można również nie zaznaczać tej opcji i pozostawić decyzję dotyczącą ponownego uruchomienia użytkownikowi komputera klienckiego. 227 Podsumowanie Przejrzyj podsumowanie skonfigurowanych ustawień i kliknij przycisk Zakończ. Zadanie zostało utworzone i zostanie wysłane do klientów. 228 6.1.3.2 Zarządzanie zadaniami klienta Zadania klienta służą do zarządzania klientami i ich programami zabezpieczającymi. Dostępny jest zestaw wstępnie zdefiniowanych zadań, które wystarczają do obsługi większości zastosowań. Można także tworzyć zadania niestandardowe przy użyciu wybranych ustawień. Jednym ze sposobów tworzenia nowych zadań jest edytowanie zadań istniejących. Edytowanie istniejących zadań jest przydatne, gdy niezbędne są tylko niewielkie modyfikacje. W przypadku bardziej nietypowych zadań lepszym rozwiązaniem może być utworzenie nowego zadania od podstaw. Zduplikuj — na podstawie wybranego zadania zostanie utworzone nowe zadanie klienta. Wymagane jest podanie nazwy zduplikowanego zadania. Usuń — całkowite usunięcie wybranego zadania. Szczegóły... — tu wyświetlane są dane konfiguracji zadania, podsumowanie oraz wykonania zadania (Wystąpienie, Nazwa komputera, Produkt, Stan i Postęp). 229 UWAGA: Podczas instalowania starszych produktów w raporcie zadania klienta wyświetlana jest następująca informacja: Dostarczono zadanie do zarządzanego produktu. 230 6.1.3.2.1 Skanowanie na żądanie Zadanie Skanowanie na żądanie umożliwia ręczne uruchomienie skanowania komputera klienckiego (poza zaplanowanym skanowaniem). Wyłącz po skanowaniu — zaznaczenie tego pola wyboru spowoduje wyłączenie komputera po zakończeniu skanowania. Profil skanowania — tutaj można wybrać żądany profil z menu rozwijanego: Skanowanie dokładne — jest to profil wstępnie zdefiniowany na kliencie, skonfigurowany jako najdokładniejszy profil skanowania, który umożliwia sprawdzenie całego systemu, ale również trwa najdłużej i pochłania najwięcej zasobów. Skanowanie inteligentne - tryb skanowania inteligentnego umożliwia szybkie uruchomienie skanowania komputera i wyleczenie zainfekowanych plików bez konieczności podejmowania dodatkowych działań przez użytkownika. Zaletą skanowania inteligentnego jest łatwość obsługi i brak konieczności szczegółowej konfiguracji skanowania. W ramach skanowania inteligentnego sprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane. Automatycznie ustawiany jest domyślny poziom leczenia. Skanowanie z menu kontekstowego — skanowanie klienta przy użyciu wstępnie zdefiniowanego profilu skanowania z możliwością dostosowania skanowanych obiektów. Profil niestandardowy — skanowanie niestandardowe umożliwia użytkownikowi określenie parametrów skanowania, takich jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jest możliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przez użytkownika profilach skanowania, co ułatwia wielokrotne przeprowadzanie skanowania z zastosowaniem tych samych parametrów. Profil należy utworzyć przed uruchomieniem zadania w ramach opcji profilu niestandardowego. Po wybraniu profilu niestandardowego z menu rozwijanego wpisz dokładną nazwę profilu w polu Profil niestandardowy. Leczenie Domyślnie wybrana jest opcja Skanuj z leczeniem. Oznacza to, że po znalezieniu zainfekowane obiekty są automatycznie poddawane leczeniu. Jeśli nie jest to możliwe, zostają poddane kwarantannie. Skanuj obiekty docelowe Ta opcja również jest domyślnie włączona. W ramach tego ustawienia skanowane są wszystkie obiekty docelowe określone w profilu skanowania. W przypadku odznaczenia tej opcji należy ręcznie określić obiekty docelowe skanowania w polu Dodaj obiekt docelowy. W polu tekstowym należy wpisać obiekt skanowania i kliknąć opcję Dodaj. Obiekt docelowy zostanie wyświetlony w widocznym poniżej polu Skanowane obiekty. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. 231 Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. 232 Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 233 6.1.3.2.2 Aktualizacja systemu operacyjnego Zadanie Aktualizacja systemu służy do aktualizacji systemu operacyjnego na komputerze klienckim. Zadanie to umożliwia uruchomienie aktualizacji systemu na komputerach z systemem operacyjnym Windows, Mac OS oraz Linux. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 234 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Zezwalaj na ponowne uruchamianie — ta opcja dotyczy wyłącznie systemów operacyjnych Windows i powoduje ponowne uruchomienie komputera klienckiego po zainstalowaniu aktualizacji. 235 Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.3 Zarządzanie kwarantanną Zadanie Zarządzanie kwarantanną służy do zarządzania obiektami w ramach kwarantanny na serwerze ERA, obejmującej zainfekowane lub podejrzane obiekty wykryte podczas skanowania. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 236 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Ustawienia zarządzania kwarantanną 237 Czynność — umożliwia wybranie czynności, która ma zostać wykonana w odniesieniu do obiektu dodanego do kwarantanny. Przywróć obiekt (przywrócenie obiektu do oryginalnej lokalizacji i poddanie go skanowaniu; w przypadku dalszego występowania powodu dodania do kwarantanny obiekt trafia tam ponownie). Przywróć obiekt i wyklucz go w przyszłości (przywrócenie obiektu do oryginalnej lokalizacji bez możliwości ponownego dodania go do kwarantanny). Usuń obiekt (całkowite usunięcie obiektu). Typ filtra — filtrowanie obiektów dodanych do kwarantanny na podstawie określonych poniżej kryteriów. Na podstawie ciągu skrótów lub warunków. Ustawienia filtra skrótów W polu należy dodać elementy skrótu. Wprowadzać można wyłącznie znane obiekty, na przykład takie, które były już poddawane kwarantannie. Ustawienia filtra warunkowego Występowanie od/do — tutaj należy podać zakres czasowy objęcia obiektu kwarantanną. Rozmiar minimalny/maksymalny (w bajtach) — tutaj należy podać zakres rozmiarów obiektu objętego kwarantanną (w bajtach). Nazwa zagrożenia — należy wybrać zagrożenie z listy elementów objętych kwarantanną. Nazwa obiektu — należy wybrać obiekt z listy elementów objętych kwarantanną. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.4 Resetowanie bazy danych Rogue Detection Sensor Zadanie Resetowanie bazy danych Rogue Detection Sensor służy do resetowania pamięci podręcznej wyszukiwania narzędzia RD Sensor. Zadanie to powoduje usunięcie danych z pamięci podręcznej, a wyniki wyszukiwania będą na nowo gromadzone. Uruchomienie tego zadania nie skutkuje usunięciem wykrytych komputerów. Zadanie to jest przydatne, gdy wykryte komputery nadal znajdują się w pamięci podręcznej, a nie są zgłoszone do serwera. UWAGA: Dla tego zadania nie są dostępne ustawienia. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. 238 Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. 239 Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 240 6.1.3.2.5 Uaktualnianie komponentów programu Remote Administrator Zadanie Uaktualnienie komponentów programu Remote Administrator służy do uaktualniania głównych komponentów serwera ERA (agenta, serwera proxy, serwera i aplikacji MDM) zainstalowanych na kliencie do wersji zgodnej z określonym serwerem ERA (serwer odniesienia). Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 241 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Serwer odniesienia programu Remote Administrator — wybierz wersję serwera z listy. Wszystkie komponenty ERA zostaną uaktualnione do wersji zgodnych z wybranym serwerem. W razie potrzeby automatycznie uruchom ponownie — można wymusić ponowne uruchomienie systemu operacyjnego klienta, jeśli jest to wymagane przy instalacji. 242 Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.6 Resetowanie sklonowanego agenta Zadanie Resetowanie sklonowanego agenta może posłużyć do dystrybucji agenta ESET w sieci użytkownika za pomocą wstępnie zdefiniowanego obrazu. Sklonowane agenty mają taki sam identyfikator SID, co może powodować problemy (wiele agentów o tym samym identyfikatorze SID). Aby rozwiązać ten problem, należy użyć zadania Resetowanie sklonowanego agenta w celu zresetowania identyfikatora SID i przypisania agentom unikalnej tożsamości. UWAGA: Dla tego zadania nie są dostępne ustawienia. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 243 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 244 6.1.3.2.7 Uruchomienie polecenia Zadanie Uruchom polecenie może posłużyć do wykonania określonych instrukcji wiersza polecenia na kliencie. Administrator może określić dane wejściowe wiersza polecenia, które mają zostać uruchomione. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 245 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Wiersz polecenia do uruchomienia — wprowadź wiersz polecenia, który chcesz uruchomić na klientach. Katalog roboczy — wprowadź katalog, w którym ma zostać uruchomiony powyższy wiersz polecenia. 246 Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.8 Uruchomienie skryptu programu SysInspector Zadanie Uruchomienie skryptu programu SysInspector służy do usuwania z systemu niepożądanych obiektów. Przed przystąpieniem do realizacji tego zadania należy wyeksportować skrypt programu SysInspector z programu ESET SysInspector. Po wyeksportowaniu skryptu można oznaczyć obiekty, które mają zostać usunięte i uruchomić skrypt przy użyciu zmodyfikowanych danych, co spowoduje usunięcie oznaczonych obiektów. UWAGA: Po ukończeniu zadania wynik można sprawdzić w raporcie. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 247 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Skrypt programu SysInspector — w celu przejścia do skryptu usługi należy kliknąć opcję Przeglądaj. Skrypt usługi należy utworzyć przed uruchomieniem tego zadania. Czynność — użytkownik może przesłać skrypt do konsoli ERA lub pobrać go stamtąd. 248 Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.9 Instalacja oprogramowania Zadanie Instalacja oprogramowania służy do instalowania oprogramowania na komputerach klienckich. Jest przeznaczone głównie do instalowania produktów firmy ESET, jednak można z niego korzystać przy instalowaniu dowolnego oprogramowania. Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 249 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Kliknij pozycję <Wybierz licencję ESET> i z listy dostępnych licencji wybierz licencję odpowiednią dla instalowanego produktu. Zaznacz pole wyboru Akceptuję Umowę licencyjną użytkownika końcowego aplikacji, jeśli akceptujesz tę umowę. Więcej informacji można znaleźć w rozdziałach Zarządzanie licencjami oraz Umowa EULA. 250 Kliknij pozycję <Wybierz pakiet>, aby wybrać pakiet instalacyjny z repozytorium lub podaj adres URL pakietu. Zostanie wyświetlona lista dostępnych pakietów, z której można wybrać produkt firmy ESET do zainstalowania (np. ESET Endpoint Security). Wybierz odpowiedni pakiet instalacyjny i kliknij przycisk OK. Aby wskazać adres URL pakietu instalacyjnego, wpisz ten adres lub skopiuj go i wklej w polu tekstowym (nie używaj adresu URL, który wymaga uwierzytelnienia). UWAGA: Należy pamiętać, że w celu uzyskania dostępu do repozytorium i przeprowadzenia instalacji wymagany jest dostęp do Internetu zarówno w przypadku serwera, jak i agenta. W razie braku dostępu do Internetu oprogramowanie klienta można zainstalować lokalnie. W razie potrzeby można również określić parametry w polu Parametry instalacji. W przeciwnym razie można pozostawić to pole puste. Zaznacz pole wyboru obok opcji W razie potrzeby automatycznie uruchom ponownie, aby wymusić ponowne uruchomienie komputera klienckiego po ukończeniu instalacji. Można również nie zaznaczać tej opcji i pozostawić decyzję dotyczącą ponownego uruchomienia użytkownikowi komputera klienckiego. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.10 Dezinstalacja oprogramowania Zadanie Dezinstalacja oprogramowania umożliwia odinstalowywanie produktów firmy ESET z klientów, gdy nie są już potrzebne. W przypadku odinstalowania agenta ERA w produktach ESET zarządzanych przez tego agenta mogą pozostać pewne ustawienia po jego odinstalowaniu. Przed usunięciem urządzenia z grupy urządzeń zarządzanych zalecane jest przywrócenie niektórych ustawień (np. ochrony hasłem) do ustawień domyślnych przy użyciu reguły. Ponadto wszystkie zadania uruchomione na agencie zostaną porzucone. W zależności od replikacji następujący stan tego zadania w konsoli internetowej ERA może nie być precyzyjnie wyświetlany: Uruchomiono, Zakończono lub Niepowodzenie. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 251 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. 252 Ustawienia Ustawienia dezinstalacji oprogramowania Odinstaluj — aplikacja z listy: Nazwa pakietu — tutaj można wybrać komponent oprogramowania ERA lub produkt zabezpieczający używany na kliencie. Na tej liście wyświetlane są wszystkie pakiety zainstalowane na wybranych klientach. Wersja pakietu — można usunąć określoną wersję pakietu (zdarza się, że któraś z wersji powoduje problemy) lub odinstalować wszystkie wersje pakietu. W razie potrzeby automatycznie uruchom ponownie — można wymusić ponowne uruchomienie systemu operacyjnego klienta, jeśli jest to wymagane przy dezinstalacji. Odinstaluj — Oprogramowanie antywirusowe innej firmy (użyto w nim technologii OPSWAT) — listę zgodnych programów antywirusowych można znaleźć w tym artykule bazy wiedzy. Ta metoda usuwania różni się od odinstalowania przy użyciu funkcji Dodaj lub usuń programy. Zastosowano w niej alternatywne metody dokładnego usuwania oprogramowania antywirusowego innych firm, z uwzględnieniem wszelkich wpisów w rejestrze oraz innych pozostałości. Należy wykonać procedurę przedstawioną w artykule Usuwanie oprogramowania antywirusowego innych firm z komputerów klienckich przy użyciu programu ESET Remote Administrator (6.x) w celu wysłania zadania polegającego na usunięciu oprogramowania antywirusowego innych firm z komputerów klienckich. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.11 Aktywacja produktu W celu aktywowania produktu firmy ESET na komputerze klienckim należy wykonać poniższe działania: Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. 253 Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Ustawienia aktywacji produktu — wybierz z listy licencję dla klienta. Ta licencja zostanie użyta w odniesieniu do produktów, które są już zainstalowane na kliencie. 254 Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.12 Żądanie dziennika programu SysInspector Zadanie Żądanie dziennika programu SysInspector umożliwia zażądanie dziennika programu SysInspector od produktu zabezpieczającego klienta, w którym dostępna jest ta funkcja. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 255 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Przechowuj dziennik na kliencie — tę opcję należy wybrać, jeśli dziennik programu SysInspector ma być przechowywany zarówno na kliencie, jak i na serwerze ERA. Jeśli na przykład na kliencie zainstalowany jest program ESET Endpoint Security, dziennik jest zwykle zapisany w lokalizacji C:\Program Data\ESET\ESET Endpoint Antivirus\SysInspector. 256 Dołącz porównanie z ostatnią migawką sprzed podanej godziny — ta opcja umożliwia porównywanie generowanego dziennika z dziennikami z określonego okresu poprzedzającego dany rekord. Na podstawie porównania informacji można wskazać różnice i zmiany, jakie pojawiły się na kliencie. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.13 Przesyłanie pliku poddanego kwarantannie Zadanie Prześlij plik poddany kwarantannie służy do zarządzania plikami poddanych kwarantannie na klientach. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 257 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. 258 Ustawienia Obiekt poddany kwarantannie — wybierz konkretny obiekt z kwarantanny. Hasło do obiektu — wprowadź hasło, by zaszyfrować obiekt ze względów bezpieczeństwa. Należy pamiętać o tym, że hasło będzie widoczne w odpowiednimi raporcie. Prześlij ścieżkę — wprowadź ścieżkę do lokalizacji, do której chcesz przesłać obiekt. Prześlij nazwę użytkownika/hasło — na wypadek, gdyby lokalizacja wymagała uwierzytelnienia (udział sieciowy itp.), wprowadź poświadczenia wymagane do uzyskania dostępu do tej ścieżki. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.14 Aktualizacja bazy sygnatur wirusów Zadanie Aktualizacja produktu wymusza aktualizację bazy sygnatur wirusów produktu zabezpieczającego zainstalowanego na klientach. Jest to ogólne zadanie dla wszystkich produktów na wszystkich systemach. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 259 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Wyczyść pamięć podręczną aktualizacji — opcja ta umożliwia usunięcie tymczasowych plików aktualizacji z pamięci podręcznej klienta i może być często używana do naprawy błędów powstałych na skutek niepomyślnej aktualizacji bazy sygnatur wirusów. 260 Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.15 Cofanie aktualizacji bazy sygnatur wirusów Czasami aktualizacja bazy sygnatur wirusów może powodować problemy lub na niektórych klientach może być niepożądana (na przykład w związku z testowaniem aktualizacji lub stosowaniem aktualizacji w wersji wstępnej). Można wówczas użyć zadania Cofanie aktualizacji bazy sygnatur wirusów. Po zastosowaniu tego zadania baza sygnatur wirusów zostanie przywrócona do poprzedniej wersji. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 261 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Tutaj można konfigurować ustawienia cofania aktualizacji bazy sygnatur wirusów. Czynność 262 Włącz aktualizacje — aktualizacje są włączone i na kliencie zostanie odebrana następna aktualizacja bazy sygnatur wirusów. Cofnięcie aktualizacji i wyłączenie ich na kolejne — aktualizacje zostają wyłączone na czas wybrany z menu rozwijanego Przedział czasowy wyłączenia — na 24/36/48 godz. lub do odwołania. W przypadku opcji Do odwołania należy zachować ostrożność, ponieważ wiąże się ona z zagrożeniem bezpieczeństwa. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.2.16 Wyświetlanie komunikatów Ta funkcja umożliwia wysyłanie komunikatów na dowolne urządzenia (komputer kliencki, tablet, telefon komórkowy itp.). Komunikat zostanie wyświetlony na ekranie w celu przekazania użytkownikowi informacji. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 263 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Można tu wprowadzić tytuł i wpisać komunikat. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 264 6.1.3.2.17 Działanie funkcji Anti-Theft Funkcja Anti-Theft zapewnia ochronę urządzeń mobilnych przed nieupoważnionym dostępem. Gdy urządzenie mobilne (zarejestrowane w usłudze ERA i zarządzane przez tę usługę) zostanie zagubione lub skradzione, pewne działania zostają podjęte automatycznie, a pewne działania mogą zostać podjęte przy użyciu zadań klienta. Jeśli nieupoważniona osoba wymieni zaufaną kartę SIM na niezaufaną kartę SIM, urządzenie zostanie automatycznie zablokowane przez program ESET Endpoint Security dla systemu Android, a pod podany przez użytkownika numer (lub numery) telefonu zostanie wysłana wiadomość SMS. W tej wiadomości podany będzie numer telefonu przypisany do obecnie używanej karty SIM, numer IMSI (International Mobile Subscriber Identity — międzynarodowy identyfikator abonenta) oraz numer IMEI (International Mobile Equipment Identity — międzynarodowy identyfikator urządzenia mobilnego) przypisany do telefonu. Nieupoważniony użytkownik nie będzie wiedzieć o wysłaniu tej wiadomości, ponieważ zostanie ona automatycznie usunięta z wątków wiadomości rejestrowanych w urządzeniu. Przy użyciu zadania klienta użytkownik może również zażądać podania współrzędnych GPS zagubionego urządzenia mobilnego lub zdalnie usunąć wszystkie dane zapisane w urządzeniu. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 265 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia 266 Znajdź — urządzenie wyśle w odpowiedzi wiadomość tekstową ze współrzędnymi GPS określającymi jego położenie. Jeśli dostępne będą bardziej precyzyjne dane lokalizacji, po 10 minutach urządzenie ponownie wyśle wiadomość. Zablokuj — urządzenie zostanie zablokowane. Urządzenie można odblokować przy użyciu hasła administratora lub polecenia odblokowania. Odblokuj — urządzenie zostanie odblokowane, aby można było z niego korzystać. Aktualnie włożona karta SIM zostanie zapisana w urządzeniu jako zaufana karta SIM. Alarm — urządzenie zostanie zablokowane i przez 5 minut (lub do odblokowania) będzie odtwarzać bardzo głośny dźwięk. Wyczyść — wszystkie dane dostępne w urządzeniu zostaną usunięte (pliki zostaną zastąpione). Program ESET Endpoint Security pozostanie na urządzeniu. Może to potrwać do kilku godzin. Rozszerzony reset do ustawień fabrycznych — wszystkie dane dostępne w urządzeniu zostaną usunięte (nagłówki plików zostaną zniszczone), a urządzenie zostanie przywrócone do ustawień fabrycznych. Może to potrwać kilka minut. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 267 6.1.3.2.18 Rejestracja urządzenia Istnieje możliwość zarządzanie telefonami komórkowymi poprzez serwer ERA przy użyciu aplikacji mobilnej ESET Endpoint Security dla systemu Android w wersji 2. Aby uruchomić zarządzanie urządzeniami mobilnymi, należy zarejestrować je na serwerze ERA. Rejestracja urządzenia odbywa się przy użyciu zadania klienta. Podstawowe Wprowadź dane w polach Nazwa i Opis(opcjonalnie. Moduł zarządzania urządzeniami mobilnymi Wybierz komputer, na którym zainstalowane jest narzędzie Moduł zarządzania urządzeniami mobilnymi. Automatycznie zostanie wyświetlone łącze rejestracyjne (adres URL). Jeśli po kliknięciu przycisku Wybierz nie zostaną wyświetlone żadne łącza, sprawdź, czy serwer narzędzia Moduł zarządzania urządzeniami mobilnymi jest dostępny. Jeśli narzędzie Moduł zarządzania urządzeniami mobilnymi nie zostało jeszcze zainstalowane, zapoznaj się z instrukcją instalacji dostępną w rozdziale Instalacja narzędzia Moduł zarządzania urządzeniami mobilnymi — system Windows lub system Linux. Ustawienia W polu Nazwa wpisz nazwę urządzenia mobilnego (ta nazwa będzie wyświetlana na liście Komputery) i opcjonalnie podaj opis. Wprowadź numer IMEI urządzenia mobilnego, które chcesz dodać. Zalecamy również wprowadzenie adresu e-mail powiązanego z urządzeniem mobilnym (na ten adres zostanie przesłane łącze rejestracyjne). Kliknij opcję + Dodaj urządzenie, jeśli chcesz dodać kolejne urządzenie mobilne. W ramach jednej operacji można dodać wiele urządzeń mobilnych. Wybierz czynność, zaznaczając pole wyboru obok pozycji Wyświetl łącze rejestracyjne i/ lub Wyślij łącze rejestracyjne (adres URL zostanie wysłany na adresy e-mail powiązane z urządzeniem). Jeśli chcesz, aby łącze rejestracyjne zostało wysłane do urządzenia mobilnego (zalecane), możesz edytować wpisy w polach Temat i Treść wiadomości, pamiętając jednak o tym, aby nie wprowadzać zmian w adresie URL. 268 Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. Po kliknięciu przycisku Zakończ wyświetlone zostanie łącze rejestracyjne (adres URL). W przypadku niepodania adresu e-mail i niezaznaczenia opcji Wyślij łącze rejestracyjne należy ręcznie wpisać adres URL w przeglądarce internetowej na urządzeniu mobilnym lub innym sposobem przesłać adres URL na urządzenie mobilne. Przy aktywacji aplikacji ESET Endpoint Security dla systemu Android (EESA) dostępne są dwa scenariusze rejestracji. Można aktywować aplikację EESA na urządzeniu mobilnym przy użyciu zadania klienta Aktywacja produktu ERA (zalecane). Drugi scenariusz dotyczy urządzeń mobilnych, na których aktywowano już aplikację EESA. Nie aktywowano jeszcze aplikacji EESA — wykonaj poniższe działania w celu aktywowania produktu i zarejestrowania urządzenia: 1. Naciśnij łącze rejestracyjne w postaci adresu URL otrzymane w wiadomości e-mail lub wpisz ten adres ręcznie wraz z adresem portu (np. https://eramdm:9980). Może pojawić się monit o zaakceptowanie certyfikatu SSL. Jeśli się zgadzasz, kliknij opcję oznaczającą akceptację, a następnie kliknij pozycję Połącz. 269 2. Jeśli na urządzeniu mobilnym nie jest zainstalowana aplikacja ESET Endpoint Security, nastąpi automatyczne przekierowanie do sklepu Google Play, skąd można pobrać aplikację. UWAGA: W razie wyświetlenia powiadomienia Nie można znaleźć aplikacji umożliwiającej otwarcie tego łącza spróbuj otworzyć łącze rejestracyjne w domyślnej przeglądarce internetowej systemu Android. 270 3. Wprowadź nazwę użytkownika urządzenia mobilnego. 271 4. Naciśnij przycisk Włącz, aby włączyć ochronę przed odinstalowaniem. 272 5. Naciśnij przycisk Aktywuj, aby aktywować administratora urządzenia. 273 6. Na tym etapie możesz zamknąć aplikację EESA na urządzeniu mobilnym i otworzyć konsolę internetową ERA. 274 7. W konsoli internetowej ERA przejdź kolejno do opcji Administrator > Zadania klienta > Urządzenie mobilne > Aktywacja produktu i kliknij pozycję Nowy. 8. Wybierz urządzenie mobilne, klikając opcję Dodaj obiekty docelowe. 9. W obszarze Ustawienia kliknij pozycję <Wybierz licencję ESET> i wybierz odpowiednią licencję. Kliknij opcję Zakończ. Uruchamianie zadania klienta Aktywacja produktu na urządzeniu mobilnym może chwilę potrwać. Po pomyślnym wykonaniu zadania aplikacja EESA zostanie aktywowana i będzie można zarządzać urządzeniem mobilnym za pomocą serwera ERA. Użytkownik będzie odtąd mógł korzystać z aplikacji EESA. Po otwarciu aplikacji EESA wyświetlone zostaje menu główne: 275 Aktywowano już aplikację EESA — wykonaj poniższe działania w celu zarejestrowania urządzenia: 1. Naciśnij łącze rejestracyjne w postaci adresu URL otrzymane w wiadomości e-mail lub wpisz ten adres ręcznie wraz z adresem portu (np. https://eramdm:9980). Może pojawić się monit o zaakceptowanie certyfikatu SSL. Jeśli się zgadzasz, kliknij opcję oznaczającą akceptację, a następnie kliknij pozycję Połącz. 276 UWAGA: Jeśli na urządzeniu mobilnym nie jest zainstalowana aplikacja ESET Endpoint Security, nastąpi automatyczne przekierowanie do sklepu Google Play, skąd można pobrać aplikację. UWAGA: W razie wyświetlenia powiadomienia Nie można znaleźć aplikacji umożliwiającej otwarcie tego łącza spróbuj otworzyć łącze rejestracyjne w domyślnej przeglądarce internetowej systemu Android. 277 2. Sprawdź szczegóły połączenia (adres i port serwera narzędzia Moduł zarządzania urządzeniami mobilnymi), a następnie kliknij przycisk Połącz. 278 3. W pustym polu wpisz hasło do trybu administratora programu ESET Endpoint Security i naciśnij przycisk Wprowadź. 279 4. Urządzeniem mobilnym można odtąd zarządzać przy użyciu serwera ERA. Naciśnij przycisk Zakończ. 280 6.1.3.2.19 Zatrzymanie zarządzania (odinstalowanie agenta ERA) Komputer stacjonarny — to zadanie spowoduje usunięcie agenta zainstalowanego na komputerze, na którym zainstalowana jest usługa MDM. Urządzenie mobilne — to zadanie powoduje anulowanie rejestracji MDM urządzenia mobilnego. Jeśli urządzenie nie jest już zarządzane (usunięto agenta), w zarządzanych produktach mogą pozostać pewne ustawienia. Przed usunięciem urządzenia z grupy urządzeń zarządzanych zalecane jest przywrócenie niektórych ustawień (np. ochrony hasłem) do ustawień domyślnych przy użyciu reguły. Ponadto wszystkie zadania uruchomione na agencie zostaną porzucone. W zależności od replikacji następujący stan tego zadania w konsoli internetowej ERA może nie być precyzyjnie wyświetlany: Uruchomiono, Zakończono lub Niepowodzenie. 1. Jeśli w urządzeniu zastosowano ustawienia specjalne, które nie mają zostać zachowane, warto skonfigurować dla urządzenia regułę przywracającą niepożądane ustawienia do wartości domyślnych (lub do wartości pożądanych). 2. Przed wykonaniem tego działania zalecamy odczekać wystarczająco długo, aby przed usunięciem komputera z listy w rozwiązaniu ERA uzyskać pewność, że reguły z punktu 1 ukończyły replikację na komputerze docelowym. 3. Przed wykonaniem tego działania zalecamy odczekać wystarczająco długo, by mieć pewność, że reguły z punktu 2 ukończyły replikację na komputerze docelowym. UWAGA: Dla tego zadania nie są dostępne ustawienia. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. 281 Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. 282 Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 283 6.1.3.3 Eksportowanie konfiguracji zarządzanych produktów Zadanie Eksportowanie konfiguracji zarządzanych produktów umożliwia eksportowanie ustawień poszczególnych komponentów oprogramowania ERA lub produktów zabezpieczających firmy ESET zainstalowanych na klientach. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 284 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Ustawienia Eksportuj ustawienia konfiguracji zarządzanych produktów Produkt — tutaj można wybrać komponent oprogramowania ERA lub produkt zabezpieczający klienta, którego konfiguracja ma zostać wyeksportowana. 285 Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. 6.1.3.4 Przypisywanie zadania do grupy Kliknij kolejno pozycje Administrator > Grupy > wybierz grupę statyczną lub dynamiczną > kliknij symbol koła zębatego obok wybranej grupy lub kliknij kolejno opcje Grupa > Nowe zadanie. Te same czynności można wykonać w obszarze Komputery. Wybierz grupę statyczną lub dynamiczną i kliknij kolejno > Nowe zadanie. 286 Zostanie otwarte okno kreatora nowego zadania klienta. 6.1.3.5 Przypisywanie zadań do komputerów Zadania można przypisywać do komputerów na trzy sposoby. 1. W obszarze Panel kontrolny > Komputery z problemami wybierz opcję Nowe zadanie... 287 2. W obszarze Komputer wybierz komputery, zaznaczając pola wyboru, a następnie wybierz opcję Nowe zadanie... 3. W obszarze Administrator > Grupy wybierz komputery, naciśnij przycisk Zadania, wybierz zadanie i kliknij opcję Nowe zadanie... Zostanie otwarte okno kreatora nowego zadania klienta. 288 6.1.3.6 Planowanie zadania W celu utworzenia zaplanowanego zadania wykonaj następujące działanie: W obszarze Administrator > Zadania klienta wybierz zadanie, a następnie wybierz opcję obszaru Obiekt docelowy. Edytuj... i przejdź do Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. 289 Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. 290 6.1.3.7 Elementy wyzwalające Z elementów wyzwalających można korzystać zarówno na serwerze ERA, jak na agentach (klientach). 6.1.4 Zadania serwera Zadania serwera służą do automatyzacji rutynowych działań. Dla zadania serwera można skonfigurować elementy wyzwalające, co oznacza, że dane zadanie zostanie wykonane wówczas, gdy na serwerze ERA nastąpi określona kombinacja zdarzeń. Za pomocą serwera ERA można zaplanować dowolne z następujących zadań: Synchronizacja grupy statycznej — umożliwia aktualizację informacji dotyczących klientów w grupach, dzięki czemu dane są aktualne. Wdrożenie agenta — umożliwia rozdystrybuowanie agenta wśród komputerów klienckich. Generowanie raportu — umożliwia generowanie raportów na bieżąco, zgodnie z zapotrzebowaniem. UWAGA: Zadania serwera nie mogą zostać przypisane do konkretnego klienta ani do grupy klientów. 6.1.4.1 Kreator zadań serwera Aby utworzyć nowe zadanie, kliknij kolejno pozycje Administrator > Zadania serwera > Nowe. Podstawowe Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa, opis (opcjonalnie) oraz typ zadania. W polu Typ zadania określane są ustawienia zadania i jego zachowanie. Zaznacz pole wyboru obok pozycji Uruchom zadanie natychmiast po ukończeniu, aby zadanie zostało uruchomione automatycznie po kliknięciu przycisku Zakończ. 291 6.1.4.2 Zarządzanie zadaniami serwera Następujące zadania serwera zostały wstępnie zdefiniowane: Synchronizacja grupy statycznej — umożliwia aktualizowanie informacji dotyczących grupy, dzięki czemu wyświetlane są aktualne dane. Wdrożenie agenta — umożliwia rozdystrybuowanie agenta wśród komputerów klienckich. Generowanie raportu — umożliwia generowanie raportów zgodnie z zapotrzebowaniem. 6.1.4.2.1 Wdrażanie agenta Zdalne wdrożenie agenta ERA odbywa się w sekcji Administrator. Skorzystaj z następujących instrukcji lub obejrzyj film instruktażowy dostępny w bazie wiedzy. UWAGA: Zalecamy uprzednie przetestowanie masowego wdrożenia agenta we własnym środowisku. Gdy wynik będzie pozytywny, można przystąpić do rzeczywistego wdrożenia na komputerach klienckich użytkowników. Przed przystąpieniem do testowania masowego wdrożenia należy również zmienić interwał połączenia agenta. Kliknij kolejno pozycje Zadanie serwera > Wdrożenie agenta > Nowy..., aby skonfigurować nowe zadanie. Podstawowe 292 Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa, opcjonalny opis oraz typ zadania. W polu Typ zadania określane są ustawienia zadania i jego zachowanie. Zaznacz pole wyboru obok pozycji Uruchom zadanie natychmiast po ukończeniu, aby zadanie zostało uruchomione automatycznie po kliknięciu przycisku Zakończ. 293 Ustawienia Automatyczne rozpoznawanie odpowiedniego agenta — jeśli używasz w swojej sieci wielu systemów operacyjnych (Windows, Linux, Mac OS), zaznacz tę opcję, a zadanie automatycznie znajdzie odpowiedni i zgodny z serwerem pakiet instalacyjny agenta dla każdego z systemów. Obiekty docelowe — kliknij, aby wybrać klienty, które będą odbiorcami tego zadania. Nazwa użytkownika/hasło — nazwa użytkownika i hasło użytkownika o wystarczających uprawnieniach do przeprowadzenia zdalnej instalacji agenta. Nazwa hosta serwera (opcjonalne) — możesz wprowadzić nazwę hosta serwera, jeśli jest ona inna po stronie klienta i po stronie serwera. Certyfikat równorzędny/certyfikat ERA — jest to certyfikat zabezpieczeń i urząd certyfikacji do instalacji agenta. Możesz wybrać domyślny certyfikat i urząd certyfikacji lub użyć certyfikatów niestandardowych. Więcej informacji znajduje się w rozdziale Certyfikaty. Certyfikat niestandardowy — jeśli do uwierzytelniania używasz certyfikatu niestandardowego, podczas instalowania agenta przejdź do certyfikatu i wybierz go. Hasło do certyfikatu — hasło do certyfikatu. Hasło wprowadzone podczas instalacji serwera (na etapie tworzenia urzędu certyfikacji) lub hasło do certyfikatu niestandardowego. UWAGA: Serwer ERA może automatycznie wybrać pakiet instalacyjny agenta odpowiedni dla systemów operacyjnych. Aby wybrać pakiet ręcznie, usuń zaznaczenie pozycji Automatyczne rozpoznawanie odpowiedniego agenta i za pośrednictwem repozytorium serwera ERA spośród dostępnych agentów wybierz pakiet, który ma zostać użyty. Obiekt docelowy Tutaj można określić klienty (pojedyncze komputery lub całe grupy), które są odbiorcami tego zadania. 294 Kliknij pozycję Dodaj obiekty docelowe, by wyświetlić wszystkie grupy statyczne i dynamiczne oraz ich elementy. Wybierz klienty, kliknij przycisk OK i przejdź do części Element wyzwalający. 295 Element wyzwalający — określa zdarzenie wyzwalające zadanie. Zaplanowany element wyzwalający — rozpoczyna wykonywanie zadania o ustalonym czasie. Harmonogram można ustawić w taki sposób, by zadanie było wykonane raz, wielokrotnie lub przy użyciu wyrażenia CRON. Jak najszybciej — powoduje wykonanie zadania zaraz po połączeniu się klienta z serwerem programu ESET Remote Administrator i odebraniu przez niego zadania. Jeśli wykonanie zadania przed upłynięciem jego daty wygaśnięcia nie jest możliwe, zadanie zostanie wycofane z kolejki. Nie zostanie ono usunięte, a jedynie nie zostanie wykonane. Element wyzwalający dziennik zdarzeń — powoduje wykonanie zadania po nastąpieniu określonych w tym miejscu zdarzeń. Ten element wyzwalający jest wywoływany, gdy w dzienniku pojawia się określone zdarzenie. Zdefiniuj typ dziennika, operator logiczny oraz kryteria filtrowania wyzwalające wykonanie zadania. Element wyzwalający dołączenie do grupy dynamicznej — ten element wyzwalający inicjuje wykonanie zadania, gdy klient dołącza do grupy dynamicznej wybranej w opcji Obiekt docelowy. Jeśli wybrano grupę statyczną lub pojedyncze klienty, ta opcja nie jest dostępna. UWAGA: Więcej informacji na temat elementów wyzwalających znajduje się w rozdziale Elementy wyzwalające. Ustawienia zaawansowane — Ograniczanie — ograniczanie służy do ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie, na przykład element wyzwalający dziennik zdarzeń lub element wyzwalający dołączenie do grupy dynamicznej (patrz wyżej). Więcej informacji znajduje się w rozdziale Ograniczanie. Po zdefiniowaniu odbiorców tego zadania oraz elementów wyzwalających wykonanie zadania kliknij przycisk Zakończ. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. Wdrażanie agenta można przeprowadzić na kilka różnych sposobów. Dostępne sposoby wdrażania agenta: Zdalnie — przy użyciu zadania serwera umożliwiającego masowe wdrożenie agenta ERA. Można również wdrożyć agenta przy użyciu obiektu GPO lub programu SCCM Lokalnie — przy użyciu pakietu instalacyjnego agenta lub instalatora Live agenta, np. gdy podczas zdalnego wdrażania występują problemy. Wdrażanie lokalne można przeprowadzić na trzy sposoby: Instalatory Live agenta — przy użyciu skryptu wygenerowanego na konsoli internetowej ERA można rozesłać instalatory Live agenta w wiadomości e-mail lub uruchomić je z nośnika wymiennego (dysku flash USB itp.). Wspomagana instalacja serwerowa — przy użyciu pakietu instalacyjnego agenta certyfikaty pobierane są automatycznie z serwera ERA (zalecana metoda wdrażania lokalnego). Instalacja offline — przy użyciu pakietu instalacyjnego agenta należy ręcznie wyeksportować certyfikaty i użyć ich w tej metodzie wdrażania. Zadania serwera polegającego na zdalnym wdrożeniu agenta można użyć do masowej dystrybucji agenta na komputerach klienckich. Jest to najwygodniejsza metoda dystrybucji, ponieważ można ją zrealizować przy użyciu konsoli internetowej, bez konieczności ręcznego wdrażania agenta na każdym z komputerów. Agent ERA jest bardzo istotnym elementem, ponieważ rozwiązania zabezpieczające firmy ESET działające na komputerach klienckich komunikują się z serwerem ERA wyłącznie za pośrednictwem agenta. UWAGA: W przypadku wystąpienia problemów podczas zdalnego wdrażania agenta ERA (jeśli zadanie serwera Wdrożenie agenta nie powiedzie się) należy zapoznać się z informacjami w przewodniku Rozwiązywanie problemów. 296 6.1.4.2.2 Generowanie raportów Zadanie Generowanie raportów umożliwia generowanie raportów na podstawie utworzonych wcześniej lub wstępnie zdefiniowanych szablonów raportów. Ustawienia Szablon raportu — z listy należy wybrać szablon raportu. 297 Wybranie opcji Wyślij wiadomość e-mail lub Zapisz do pliku umożliwia pobranie wygenerowanego raportu. WYŚLIJ WIADOMOŚĆ E-MAIL W celu wysyłania lub odbierania wiadomości pocztowych należy skonfigurować ustawienia SMTP w obszarze Ustawienia serwera > Ustawienia zaawansowane. Wiadomość pocztowa Wyślij do — tu należy wprowadzić adresy e-mail odbiorców wiadomości e-mail z raportami. Kolejne adresy należy oddzielić od siebie przecinkami (,). Można również dodać pola DW oraz UDW, tak samo jak w programach do obsługi poczty. Temat — temat wiadomości z raportem. Należy tu wprowadzić charakterystyczny temat, który umożliwi sortowanie wiadomości przychodzących. Jest to ustawienie opcjonalne, jednak zalecamy wpisanie w tym polu jakiegoś ciągu, by nie pozostało puste. Treść wiadomości — tutaj można określić treść wiadomości z raportem. Wysyłaj wiadomość, gdy raport jest pusty — tę opcję należy zaznaczyć, gdy raport ma zostać wysłany nawet wówczas, gdy nie zawiera żadnych danych. Opcje drukowania Kliknij opcję Pokaż opcje drukowania, aby wyświetlić następujące ustawienia: Format danych wyjściowych — umożliwia wybranie odpowiedniego formatu pliku. Wygenerowany raport zostanie dołączony do wiadomości i można będzie go później wydrukować. Język danych wyjściowych — umożliwia wybranie języka wiadomości. Językiem domyślnym jest język wybrany w konsoli internetowej ERA. Format strony/Rozdzielczość/Orientacja papieru/Format koloru/Jednostki marginesów/Marginesy — te opcje mają znaczenie w przypadku drukowania raportu. Odpowiednie opcje należy dobrać na podstawie preferencji wydruku. Mają one zastosowanie wyłącznie do formatu PDF oraz PS, a nie do formatu CSV. UWAGA: W zadaniu Generowanie raportów do wyboru jest kilka formatów pliku wynikowego. Wybranie formatu CSV spowoduje zapisanie wartości daty i godziny w raporcie w formacie UTC. Wybranie któregoś z dwóch pozostałych formatów (PDF, PS) spowoduje użycie w raporcie czasu lokalnego serwera. 298 ZAPISZ DO PLIKU Opcje pliku Ścieżka względna do pliku — raport zostanie wygenerowany w określonym katalogu, na przykład: C:\Users\All Users\ESET\RemoteAdministrator\Server\Data\GeneratedReports\ Zapisuj plik, gdy raport jest pusty — tę opcję należy zaznaczyć, gdy raport ma zostać zapisany nawet wówczas, gdy nie zawiera żadnych danych. Opcje drukowania Kliknij opcję Pokaż opcje drukowania, aby wyświetlić następujące ustawienia: Format danych wyjściowych — umożliwia wybranie odpowiedniego formatu pliku. Wygenerowany raport zostanie dołączony do wiadomości i można będzie go później wydrukować. Język danych wyjściowych — umożliwia wybranie języka wiadomości. Językiem domyślnym jest język wybrany w konsoli internetowej ERA. Format strony/Rozdzielczość/Orientacja papieru/Format koloru/Jednostki marginesów/Marginesy — te opcje mają znaczenie w przypadku drukowania raportu. Odpowiednie opcje należy dobrać na podstawie preferencji wydruku. Mają one zastosowanie wyłącznie do formatu PDF oraz PS, a nie do formatu CSV. UWAGA: W zadaniu Generowanie raportów do wyboru jest kilka formatów pliku wynikowego. Wybranie formatu CSV spowoduje zapisanie wartości daty i godziny w raporcie w formacie UTC. Wybranie któregoś z dwóch pozostałych formatów (PDF, PS) spowoduje użycie w raporcie czasu lokalnego serwera. Elementy wyzwalające Wybierz istniejący element wyzwalający dla tego zadania lub utwórz nowy element wyzwalający. Można również usunąć lub zmodyfikować element wyzwalający. Podsumowanie Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i, jeśli wszystko się zgadza, kliknij przycisk Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. UWAGA: W przypadku serwerów Ubuntu Server Edition do prawidłowego działania drukarki raportów (raporty w formacie PDF) wymagane jest zainstalowanie narzędzi X Server oraz xinit. sudo apt-get install server-xorg sudo apt-get install xinit startx 299 6.1.4.2.3 Synchronizacja grupy statycznej Celem zadania Synchronizacja grupy statycznej jest wyszukanie komputerów w sieci (Active Directory, Mac Open Directory, LDAP, sieci lokalnej) i dodanie ich do grupy statycznej. Wybranie opcji Synchronizuj z usługą Active Directory podczas instalowania serwera sprawi, że wyszukane komputery zostaną dodane do grupy Wszystkie. Kliknij kolejno pozycje Administrator > Zadanie serwera > Synchronizacja grupy statycznej > Nowy..., aby skonfigurować nowe zadanie. Podstawowe Wprowadź informacje podstawowe dotyczące zadania, takie jak nazwa i opis (opcjonalny). W polu Typ zadania określane są ustawienia zadania i jego zachowanie. Zaznacz pole wyboru obok pozycji Uruchom zadanie natychmiast po ukończeniu, aby zadanie zostało uruchomione automatycznie po kliknięciu przycisku Zakończ. Ustawienia Nazwa grupy statycznej — będzie to dla synchronizowanych komputerów grupa główna. Obiekty do synchronizacji — można tu wybrać opcję Komputery i grupy lub Tylko komputery. Obsługa kolizji przy tworzeniu komputerów — gdy w ramach synchronizacji dodawane są komputery należące już do grupy statycznej, użytkownik ma do wyboru następujące metody rozwiązania konfliktu: Pomiń (synchronizowane komputery nie zostaną dodane), Przenieś (nowe komputery zostaną przeniesione do podgrupy) lub Zduplikuj (nowe komputery zostaną dodane pod innymi nazwami). Obsługa wygaśnięcia komputera — jeśli dany komputer już nie istnieje, można użyć w odniesieniu do niego opcji Usuń lub Pomiń. Tryb synchronizacji: Active Directory/Open Directory/LDAP — tu należy wprowadzić podstawowe informacje dotyczące połączenia z serwerem (nazwę serwera, nazwę użytkownika, hasło). Sieć MS Windows — należy tu wprowadzić nazwę grupy roboczej, która ma być używana, oraz użytkownika korzystającego z podanych poświadczeń (nazwa użytkownika i hasło). VMware — należy tu wprowadzić nazwę lub adres IP hosta oraz poświadczenia używane w celu uzyskiwania dostępu do serwera VMware vCenter. 300 Ustawienia połączenia z serwerem: Serwer — wpisz nazwę serwera lub adres IP kontrolera domeny. Nazwa użytkownika — wpisz poświadczenia umożliwiające logowanie do kontrolera domeny w formacie domena\nazwa użytkownika. Hasło — wpisz hasło używane do logowania do kontrolera domeny. Użyj parametrów LDAP — w celu skorzystania z usługi LDAP należy zaznaczyć pole wyboru Użyj usługi LDAP zamiast usługi Active Directory i wprowadzić odpowiednie atrybuty dostosowane do serwera. Można też wybrać ustawienia wstępne po kliknięciu pozycji Niestandardowe..., co spowoduje automatyczne wypełnienie atrybutów. Ustawienia synchronizacji: Nazwa wyróżniająca — ścieżka (nazwa wyróżniająca) do węzła w ramach drzewa Active Directory. Pozostawienie tej opcji pustej spowoduje synchronizowanie całego drzewa AD. Wykluczone nazwy wyróżniające — można wykluczać (ignorować) określone nazwy w ramach drzewa Active Directory. Ignoruj wyłączone komputery (tylko w usłudze Active Directory) — można wybrać ignorowanie wyłączonych komputerów w ramach usługi Active Directory, co spowoduje pomijanie tych komputerów przy wykonywaniu zadania. Elementy wyzwalające Wybierz istniejący element wyzwalający dla tego zadania lub utwórz nowy element wyzwalający. Można również usunąć lub zmodyfikować element wyzwalający. Podsumowanie Sprawdź wyświetlane tutaj dane konfiguracji i, jeśli wszystko się zgadza, kliknij opcję Zakończ. Zadanie zostanie utworzone i będzie gotowe do użytku. Domyślnie odbiorcami są wyłącznie komputery z systemem Windows. Jeśli w domenie Windows używane są komputery z systemem Linux, które mają zostać dodane jako odbiorcy tego zadania, należy najpierw zadbać o to, by były widoczne. W przypadku komputerów z systemem Linux używanych w domenie Windows żaden tekst nie jest wyświetlany w ramach właściwości komputerów w narzędziu ADUC (Użytkownicy i komputery usługi Active Directory), w związku z czym informacje te należy wprowadzić ręcznie. 6.1.4.2.4 Synchronizacja grupy statycznej — komputery z systemem Linux W przypadku komputerów z systemem Linux, które są dołączane do domeny systemu Windows żaden tekst nie jest wyświetlany w ramach właściwości komputerów w narzędziu ADUC (Użytkownicy i komputery usługi Active Directory), w związku z czym informacje te należy wprowadzić ręcznie. Sprawdź wymagania wstępne serwera oraz następujące wymagania wstępne: Komputery z systemem Linux są w usłudze Active Directory. Kontroler domeny ma zainstalowany serwer DNS. Zainstalowano narzędzie ADSI Edit. 1. Otwórz wiersz polecenia i uruchom narzędzie adsiedit.msc 2. Przejdź do obszaru Czynność > Połącz z. Zostanie wyświetlone okno ustawień połączenia. 3. Kliknij pozycję Wybierz dobrze znany kontekst nazewnictwa. 4. Rozwiń widoczne poniżej pole kombi i wybierz pozycję Domyślny w odniesieniu do kontekstu nazewnictwa. 5. Kliknij przycisk OK — wartość ADSI po lewej stronie powinna być nazwą kontrolera domeny w domyślnym kontekście nazewnictwa (kontroler domeny). 6. Kliknij wartość ADSI i rozwiń jej podgrupę. 301 7. Kliknij podgrupę i przejdź do pozycji CN (Nazwa pospolita) lub OU (Jednostka organizacyjna), gdzie wyświetlane są komputery z systemem Linux. 8. Kliknij nazwę hosta komputera z systemem Linux i wybierz pozycję Właściwości z menu kontekstowego. Przejdź do parametru dNSHostName i kliknij przycisk Edytuj. 9. Zmień wartość <nie skonfigurowano> na prawidłowy tekst (na przykład ubuntu.TEST). 10.Kliknij kolejno OK > OK. Otwórz narzędzie ADUC i wybierz właściwości komputera z systemem Linux — w tym miejscu powinien być wyświetlony nowy tekst. 6.1.4.3 Planowanie zadania serwera Zaplanowany element wyzwalający spowoduje wykonanie zadania na podstawie ustawień daty i godziny. Można zaplanować, by zadanie zostało uruchomione jeden raz, by było uruchamiane wielokrotnie lub na podstawie wyrażenia CRON. 6.1.4.4 Ponowne użycie elementu wyzwalającego w zadaniu serwera Ponowne użycie elementu wyzwalającego serwera oznacza, że ten sam element wyzwalający (okoliczność/ zdarzenie) jest w stanie zainicjować wiele zadań (czynności) równocześnie. Przykładem może być sytuacja, w której użytkownik rozwiązania ERA chce wygenerować 2 różne okresowe raporty miesięczne równocześnie. Poniżej opisano działania umożliwiające ponowne użycie elementu wyzwalającego użytego w pierwszym raporcie do utworzenia drugiego. 1. Utwórz pierwsze zadanie Generowanie raportów z przypisanym elementem wyzwalającym Co miesiąc. 2. Zacznij konfigurować drugie zadanie Generowanie raportów z innym raportem. 3. Na ekranie elementów wyzwalających w kreatorze tworzenia zadań kliknij opcję Dodaj istniejący. Spowoduje to wyświetlenie listy istniejących elementów wyzwalających. 4. Wybierz ten sam element wyzwalający Co miesiąc, który został użyty w odniesieniu do pierwszego zadania Generowanie raportów. 5. Zapisz zadanie. Opisane działania spowodują generowanie 2 różnych raportów co miesiąc o tej samej porze. 302 6.1.4.5 Elementy wyzwalające Elementy wyzwalające to ogólnie czujniki reagujące na określone zdarzenia we wstępnie zdefiniowany sposób. Używane są do wykonywania działań (w większości przypadku do uruchamiania zadań). Mogą być aktywowane harmonogramem (zdarzenia czasowe) lub wystąpieniem określonego zdarzenia w systemie. Element wyzwalający powoduje wykonanie wszystkich zadań przypisanych do niego w momencie jego aktywacji. Element wyzwalający nie uruchamia nowo przypisanych zadań natychmiast. Zadania te uruchamiane są w momencie aktywacji elementu wyzwalającego. Czułość elementu wyzwalającego na zdarzenia można dodatkowo ograniczyć, korzystając z funkcji ograniczania. Typy elementów wyzwalających serwera: Członkowie grupy dynamicznej ulegli zmianie — ten element wyzwalający jest aktywowany, gdy zawartość grupy dynamicznej ulegnie zmianie. Na przykład wówczas, gdy do grupy dynamicznej o nazwie Zainf ekowane zostaną dodane klienty, lub gdy zostaną z niej usunięte. Wielkość grupy dynamicznej uległa zmianie w odniesieniu do grupy porównywanej — ten element wyzwalający jest aktywowany, gdy liczba klientów w obserwowanej grupie dynamicznej zmieni się w odniesieniu do grupy porównywanej (statycznej lub dynamicznej). Na przykład wówczas, gdy więcej niż 10% wszystkich komputerów zostanie zainfekowanych (grupa Wszystkie zostanie porównana do grupy Zainfekowane). Wielkość grupy dynamicznej uległa zmianie w odniesieniu do wartości progowej — ten element wyzwalający jest aktywowany, gdy liczba klientów w grupie dynamicznej staje się większa lub mniejsza od określonej wartości progowej. Na przykład wówczas, gdy więcej niż 100 komputerów znajdzie się w grupie Zainfekowane. Wielkość grupy dynamicznej uległa zmianie w danym okresie — ten element wyzwalający jest aktywowany, gdy liczba klientów w grupie dynamicznej zmieni się w zdefiniowanym okresie. Na przykład wówczas, gdy liczba komputerów w grupie Zainfekowane zwiększy się o 10% w ciągu godziny. Element wyzwalający dziennik zdarzeń — ten element wyzwalający jest aktywowany, gdy w dzienniku pojawia się określone zdarzenie. Na przykład wówczas, gdy w dzienniku skanowania pojawi się zagrożenie. Zaplanowany element wyzwalający — ten element wyzwalający jest aktywowany w ustalonym dniu o ustalonej godzinie. Uruchomiono serwer— ten element jest aktywowany w momencie uruchomienia serwera. Ten element jest na przykład używany w odniesieniu do zadania Synchronizacja grupy statycznej. 303 6.1.4.5.1 Ograniczanie W pewnych okolicznościach ograniczanie może uniemożliwić aktywację elementu wyzwalającego. Warunki czasowe mają wyższy priorytet niż warunki statystyczne. W przypadku spełnienia któregoś z warunków wszystkie informacje skumulowane w ramach wszystkich obserwatorów zostają zresetowane (obserwacja zaczyna się od początku). Dotyczy to zarówno warunków czasowych, jak i statystycznych. Informacje dotyczące stanu w ramach poszczególnych obserwatorów nie są zachowywane. Są resetowane nawet w przypadku ponownego uruchomienia agenta lub serwera. Wprowadzenie jakichkolwiek zmian w elemencie wyzwalającym powoduje zresetowanie jego stanu. Dostępnych jest kilka metod kontrolowania wyzwalania: Statystyczne Statystyczne elementy wyzwalające są aktywowane na podstawie dowolnych kombinacji następujących parametrów: S1: element wyzwalający powinien być aktywowany co N wystąpień zdarzenia wyzwalającego (licznik modulo N), począwszy od ostatniego wystąpienia w serii (np. od początku, oczekiwanie na N-te zdarzenie). S2: wyzwolenie następuje, gdy w okresie X wystąpi N zdarzeń (okres można wybrać przy użyciu wstępnie zdefiniowanej listy) [N <= 100] — uwzględniane są tylko zdarzenia, które wystąpiły w ciągu ostatniego okresu X. Aktywowanie elementu wyzwalającego powoduje zresetowanie bufora. S3: N zdarzeń o unikatowym symbolu S musi wystąpić [N <= 100] razy z rzędu. Bufor jest resetowany po aktywowaniu elementu wyzwalającego, gdy zdarzenie jest już w buforze. Bufor jest w trybie „okna przestawnego” — kolejka FIFO. Nowy symbol jest porównywany z każdym z symboli w buforze. Uwaga: Brakująca wartość (nie dot.) nie jest uznawana za unikatową, w związku z czym następuje zresetowanie bufora od ostatniego wyzwolenia. Warunki te można łączyć przy użyciu operatora AND (wszystkie ustawione warunki muszą zostać spełnione) lub operatora OR (pierwsze wystąpienie dowolnego warunku). Czasowe Wszystkie z poniższych warunków muszą równocześnie zostać spełnione (jeśli zostały ustawione): T1: element wyzwalający może zostać uruchomiony w zakresie czasu X. Zakres jest podawany jako powtarzający się szereg ograniczeń czasowych (np. 13:00 - 14:00 OR 17:00 - 23:30). T2: element wyzwalający może zostać aktywowany nie więcej niż raz w danym okresie X. Właściwości dodatkowe Zgodnie z powyższym nie każde zdarzenie spowoduje aktywowanie elementu wyzwalającego. Oto możliwe czynności w przypadku zdarzeń, które nie wywołują aktywacji: Gdy pominięte zostanie więcej niż jedno zdarzenie, następuje zgrupowanie ostatnich N zdarzeń w jedno (dane znaczników blokowanych zostają zachowane) [N <= 100] Gdy N == 0 przetworzone zostaje tylko ostatnie zdarzenie (N oznacza długość historii, ostatnie zdarzenie jest zawsze przetwarzane) Wszystkie zdarzenia, które nie wywołują aktywacji są scalane (ostatni znacznik zostaje scalony ze znacznikami historycznymi w liczbie N) Przykłady: S1: Kryterium zdarzeń (zezwalanie co 3. znacznik) 304 Wystą 0 01 02 03 04 05 06 pienie 0 Znaczn x x iki S1 x x x x 1 modyfikacja elementu wyzwalającego x 07 08 09 10 11 12 13 14 x x x 1 x 15 x x 1 1 S2: Kryterium zdarzeń występujących w danym czasie (zezwalanie, gdy 3 znaczniki wystąpią w ciągu 4 sekund) Wyst ąpien 00 01 02 03 04 05 06 ie Znacz x niki x x S2 x modyfikacja elementu wyzwalającego 07 08 09 10 11 12 13 x x x x 1 x x 1 S3: Kryterium unikatowej wartości symbolu (zezwalanie w przypadku wystąpienia 3 unikatowych wartości z rzędu) Wyst ąpien 00 01 02 03 04 05 06 ie Wart ość A B B C S3 modyfikacja elementu wyzwalającego 07 08 09 10 11 12 13 D G H J nie K dot L M N N . 1 1 S3: Kryterium unikatowej wartości symbolu (zezwalanie w przypadku wystąpienia 3 unikatowych wartości od ostatniego znacznika) Wyst 07 ąpien 00 01 02 03 04 05 06 ie Wart ość A modyfikacja elementu wyzwalającego 08 09 10 11 12 13 14 I B B C D G H 1 1 S3 J nie K dot L M N N . 1 T1: Zezwalanie na znacznik w określonych zakresach czasowych (zezwalanie codziennie od 8:10, czas trwania 60 sekund) Wyst ąpien 8:09:50 8:09:59 8:10:00 8:10:01 ie Znacz niki T1 x x modyfikacja elementu wyzwalającego 8:10:59 8:11:00 8:11:01 x x x 1 1 1 x x To kryterium nie ma stanu, w związku z czym modyfikacje elementu wyzwalającego nie mają wpływu na wyniki. T2: Zezwalanie na jeden znacznik w danym okresie (zezwalanie nie częściej niż co 5 sekund) 305 Wyst ąpien 00 01 02 03 04 05 06 ie Znacz x niki T2 x x x 1 modyfikacja elementu wyzwalającego 07 08 09 10 11 12 13 x x 1 1 x x x x 1 Kombinacja S1+S2 S1: co 5. znacznik S2: 3 znaczniki w ciągu 4 sekund Wystą 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 pienie Znaczn x x iki x x x x x x x x S1 x 1 S2 1 1 1 Wynik 1 1 1 Wynik wymieniony jako: S1 (operator logiczny OR) S2 Kombinacja S1+T1 S1: zezwalanie na co 3. znacznik T1: zezwalanie codziennie od 8:08, czas trwania 60 sekund Wyst ąpien 8:07:50 8:07:518:07:52 8:07:53 8:08:10 8:08:118:08:19 8:08:54 8:08:55 8:09:01 ie: Znacz niki x x S1 x x x 1 x x x 1 T1 1 Wyni k 1 x x 1 1 1 1 1 1 Wynik wymieniony jako: S1 (operator logiczny AND) T1 Kombinacja S2+T1 S2: 3 znaczniki w ciągu 10 sekund T1: zezwalanie codziennie od 8:08, czas trwania 60 sekund Wyst ąpien 8:07:50 8:07:518:07:52 8:07:53 8:08:10 8:08:118:08:19 8:08:54 8:08:55 8:09:01 ie: Znacz niki S2 306 x x x x 1 1 x x x 1 x x x 1 T1 1 1 1 Wyni k 1 1 1 Wynik wymieniony jako: S2 (operator logiczny AND) T1 Uwaga: stan warunku S2 jest resetowany tylko wówczas, gdy wynik globalny to 1 Kombinacja S2+T2 S2: 3 znaczniki w ciągu 10 sekund T2: zezwalanie nie więcej niż raz w ciągu 20 sekund Wystą … pienie 00 01 02 03 04 05 06 07 16 17 18 19 20 21 22 23 24 : Znacz x x niki S2 T2 Wynik x 1 1 1 x x x x x 1 1 1 x x x x x x x 1 1 1 1 1 1 1 1 1 x x Wynik wymieniony jako: S2 (operator logiczny AND) T2 Uwaga: stan warunku S2 jest resetowany tylko wówczas, gdy wynik globalny to 1 6.1.4.5.1.1 Zbyt wysoka czułość elementu wyzwalającego Użyj warunków ograniczania przedstawionych w niniejszej instrukcji w części Element wyzwalający jest aktywowany zbyt często. 307 6.1.4.5.2 Kreator elementu wyzwalającego serwera Elementy wyzwalające są tworzone na karcie Administrator, w obszarze Zadania serwera > Elementy wyzwalające i tam można nimi zarządzać. Wybierz pozycje Typ elementu wyzwalającego > Nowy element wyzwalający. 308 6.1.4.5.3 Zarządzanie elementami wyzwalającymi serwera W celu zarządzania elementami wyzwalającymi serwera na karcie Administrator kliknij kolejno pozycje Zadania serwera > Elementy wyzwalające, wybierz pozycję Typ elementu wyzwalającego i kliknij opcję Edytuj. Podstawowe Podaj nazwę elementu wyzwalającego. Opcjonalnie można również wprowadzić opis elementu wyzwalającego. Ustawienia Wybierz typ elementu wyzwalającego. Typ elementu wyzwalającego określa metodę aktywacji elementu wyzwalającego. Wybierz pozycję Element wyzwalający dziennik zdarzeń i przejdź dalej. Wybierz typ dziennika. Element wyzwalający jest aktywowany, gdy w danym dzienniku pojawia się określone zdarzenie. Określ zdarzenie, które musi wystąpić, aby aktywować element wyzwalający. Wybierz operator logiczny umożliwiający filtrowanie zdarzeń. W tym przykładzie wybierzemy operator AND (wszystkie warunki muszą zostać spełnione). Dodaj filtr z listy (jako zdarzenie) i wybierz operator logiczny z ciągu niestandardowego. Z menu Operacja wybierz operator logiczny. AND — wszystkie zdefiniowane warunki muszą być prawdziwe. OR — co najmniej jeden warunek musi być prawdziwy. NAND — co najmniej jeden warunek musi być fałszywy. NOR — wszystkie warunki muszą być fałszywe. Ustawienia zaawansowane — Ograniczanie Podaj wartość w polu Liczba znaczników do zagregowania. Umożliwi to określenie liczby znaczników (trafień w ramach elementu wyzwalającego) niezbędnych do aktywowania elementu wyzwalającego. Bardziej szczegółowe informacje znajdują się w rozdziale Ograniczanie. 309 Podsumowanie Sprawdź ustawienia nowego elementu wyzwalającego, wprowadź niezbędne poprawki i kliknij przycisk Zakończ. Element wyzwalający został zapisany na serwerze i jest gotowy do użytku. Możesz również wyświetlić utworzone elementy wyzwalające na liście z prawej strony. Aby edytować lub usunąć element wyzwalający, wystarczy kliknąć go na liście i wybrać odpowiednią czynność z menu kontekstowego. Aby usunąć kilka elementów wyzwalających równocześnie, należy zaznaczyć pola wyboru przy elementach wyzwalających, które mają zostać usunięte i kliknąć opcję Usuń. 6.1.4.5.3.1 Element wyzwalający jest aktywowany zbyt często Jeśli powiadomienia mają być wysyłane rzadziej, należy wziąć pod uwagę następujące sugestie: Jeśli użytkownik chce reagować tyko wówczas, gdy pojawi się więcej zdarzeń, należy użyć warunku statystycznego S1 w obszarze Ograniczanie. Jeśli element wyzwalający powinien być aktywowany tylko wówczas, gdy zaistnieje klaster zdarzeń, należy użyć warunku statystycznego S2 w obszarze Ograniczanie. Jeśli zdarzenia o niepożądanych wartościach mają być ignorowane, należy użyć warunku statystycznego S3 w obszarze Ograniczanie. Jeśli wydarzenia mające miejsce poza wyznaczonymi godzinami (na przykład godzinami pracy) mają być ignorowane, należy użyć warunku czasowego T1 w obszarze Ograniczanie. W celu wyznaczenia minimalnego czasu pomiędzy aktywacją elementów wyzwalających należy użyć warunku czasowego T2 w obszarze Ograniczanie. UWAGA: Warunki te można również łączyć w celu uzyskania bardziej złożonych scenariuszy ograniczania. 310 6.1.4.5.3.2 Wyrażenie CRON Wyrażenie CRON służy do konfiguracji poszczególnych wystąpień elementu wyzwalającego. Jest to ciąg złożony z 7 wyrażeń podrzędnych (pól), oznaczających poszczególne wartości harmonogramu. Pola te są oddzielone spacją i mogą zawierać dowolną dozwoloną wartość z różnymi kombinacjami. Nazwa Wymagany Wartość Dozwolone znaki specjalne Sekundy Tak 0-59 ,-*/ Minuty Tak 0-59 ,-*/ Godziny Tak 0-23 ,-*/ Dzień miesiąca Tak 1-31 ,-*/ L W C Miesiąc Tak 0–11 lub STY–GRU ,-*/ Dzień tygodnia Tak 1–7 lub NIE–SOB ,-*/ L C # Rok Nie puste lub 1970–2099 ,-*/ Przykłady dostępne są tutaj. 6.1.4.5.4 Zarządzanie czułością elementów wyzwalających Ograniczanie stosowane jest w celu ograniczenia wykonywania zadania, jeśli zadanie jest wyzwalane przez często występujące zdarzenie. W określonych okolicznościach ograniczanie może uniemożliwić aktywację elementu wyzwalającego. W przypadku spełnienia któregoś ze zdefiniowanych warunków informacje skumulowane w ramach wszystkich obserwatorów zostają zresetowane (odliczanie zaczyna się ponownie od 0). Informacje te zostają również zresetowane w przypadku ponownego uruchomienia agenta lub serwera ERA. Wprowadzenie jakichkolwiek modyfikacji w elemencie wyzwalającym powoduje zresetowanie jego stanu. Kryteria czasowe ograniczania mają wyższy priorytet niż warunki statystyczne. Zalecamy stosowanie tylko jednego warunku statystycznego oraz wielu warunków czasowych. Większa liczba warunków statystycznych może niepotrzebnie komplikować działanie elementu wyzwalającego i zmieniać jego wyniki. Warunki statystyczne Warunki statystyczne można łączyć przy użyciu operatora logicznego AND (wszystkie warunki muszą zostać spełnione) lub operatora logicznego OR (pierwszy spełniony warunek wyzwala czynność). Warunki czasowe W celu wyzwolenia danego zdarzenia wszystkie skonfigurowane warunki muszą zostać spełnione. Kryteria ograniczania są skoncentrowane na czasie wystąpienia zdarzenia. Agregacja Liczba znaczników do zagregowania — liczba znaczników (liczba trafień elementu wyzwalającego) niezbędna do aktywowania elementu wyzwalającego. Aktywowanie elementu wyzwalającego jest wstrzymywane do momentu osiągnięcia tej liczby. Na przykład ustawienie w tym miejscu wartości 100 spowoduje, że w momencie wykrycia 100 zagrożeń do użytkownika nie zostanie wysłanych 100 powiadomień, tylko jedno powiadomienie, w którym wyszczególnionych będzie 100 zagrożeń. W przypadku wykrycia 200 zagrożeń w powiadomieniu wyszczególnionych będzie 100 ostatnich zagrożeń. Kryteria czasowe Agreguj wywołania w danym okresie — można ustawić rejestrowanie trafienia co X sekund. Ustawienie w tej opcji wartości 10 sekund spowoduje, że jeśli w tym czasie wystąpi 10 wywołań, uznane zostanie tylko 1. Zakresy czasu — można zezwolić na rejestrowanie znaczników wyłącznie w podanym okresie. Do listy można dodać wiele zakresów czasu, które zostaną posortowane chronologicznie. 311 Kryteria statystyczne Stosowanie kryteriów statystycznych — w tej opcji definiowana jest metoda stosowana do oceny kryteriów statystycznych. Spełnione muszą być wszystkie te kryteria (operator AND) lub co najmniej jedno z nich (operator OR). Wyzwalanie co określoną liczbę wystąpień — rejestrowany jest co X-ty znacznik (trafienie). Na przykład w przypadku wprowadzenia wartości 10 rejestrowany będzie co 10-ty znacznik. Liczba wystąpień w danym okresie — rejestrowane są tylko znaczniki występujące w podanym okresie. Umożliwia to określenie częstotliwości. Można na przykład zezwolić na wykonanie zadania, gdy zdarzenie jest wykrywane 10 razy w ciągu godziny. o Okres — podanie okresu na potrzeby opisanej powyżej opcji. Liczba zdarzeń z symbolem — rejestrowanie znacznika (trafienia) w przypadku wystąpienia X zdarzeń z określonym symbolem. Na przykład wprowadzenie wartości 10 spowoduje, że znacznik będzie dodawany dla co 10-tej instalacji określonej aplikacji. o Stosowanie po wystąpieniu pewnej liczby zdarzeń — należy tu wprowadzić liczbę zdarzeń, które muszą wystąpić kolejno od ostatniego znacznika, aby zarejestrowany został kolejny znacznik. Na przykład wprowadzenie wartości 10 spowoduje, że kolejny znacznik będzie rejestrowany po 10 wystąpieniach zdarzenia od ostatniego znacznika. Stosowanie po wystąpieniu pewnej liczby zdarzeń — element wyzwalający zostaje zastosowany w przypadku znaczników następujących po sobie (wystąpienie elementu wyzwalającego nie jest brane pod uwagę) lub występujących od ostatniego uruchomienia elementu wyzwalającego (uruchomienie elementu wyzwalającego powoduje zresetowanie liczby znaczników do 0). 312 6.1.5 Powiadomienia Powiadomienia są niezbędne do śledzenia ogólnego stanu sieci. W przypadku wystąpienia nowego zdarzenia (w zależności od konfiguracji) użytkownik zostanie powiadomiony o tym przy użyciu zdefiniowanej metody (w ramach usługi SNMP Trap lub w wiadomości e-mail) i będzie mógł odpowiednio zareagować. Wszystkie szablony powiadomień są wyświetlane na liście i można filtrować je według nazwy lub opisu. W celu dodania kryteriów filtrowania i/lub wprowadzenia tekstu w polu Nazwa/Powiadomienie należy kliknąć opcję Dodaj filtr. Wybranie istniejącego powiadomienia umożliwia edytowanie go lub całkowite usunięcie. W celu utworzenia nowego powiadomienia należy kliknąć opcję Nowe powiadomienie u dołu strony. 313 6.1.5.1 Kreator powiadomień Podstawowe Tutaj widoczna jest nazwa oraz opis powiadomienia. Te dane są istotne przy filtrowaniu wielu powiadomień. Filtr znajduje się u góry strony Powiadomienie. 314 Szablon powiadomienia Istniejąca grupa dynamiczna — przy generowaniu powiadomień stosowana będzie istniejąca grupa dynamiczna. Należy wybrać z listy grupę dynamiczną i kliknąć pozycję OK. Wielkość grupy dynamicznej uległa zmianie w odniesieniu do grupy porównywanej — jeśli liczba klientów w obserwowanej grupie dynamicznej zmieni się w odniesieniu do grupy porównywanej (statycznej lub dynamicznej), wygenerowane zostanie powiadomienie. Inny szablon dziennika zdarzeń — ta opcja jest używana w przypadku powiadomień niepowiązanych z grupą dynamiczną, ale generowanych na podstawie zdarzeń systemowych wyfiltrowanych z dziennika zdarzeń. Wybierz typ dziennika, na podstawie którego generowane będą powiadomienia oraz operator logiczny stosowany w odniesieniu do filtrów. Stan śledzenia — ta opcja umożliwia powiadamianie o zmianach stanu obiektu na podstawie filtrów zdefiniowanych przez użytkownika. Konfiguracja Powiadamiaj przy każdej zmianie zawartości grupy dynamicznej — włączenie tej opcji powoduje powiadamianie o wszystkich zmianach związanych z dodawaniem, usuwaniem lub modyfikowaniem elementów grupy dynamicznej. Okres powiadomienia — tutaj można zdefiniować okres (w minutach, godzinach lub dniach), w którym następuje porównywanie z nowym stanem. Na przykład 7 dni temu liczba klientów z nieaktualnymi wersjami produktów wynosiła 10, a w opcji Wartość progowa (opis poniżej) ustawiono wartość 20. Jeśli liczba klientów z nieaktualnymi wersjami produktów dojdzie do 30, wygenerowane zostanie powiadomienie. Wartość progowa — ustalenie wartości progowej, która wyzwala wysłanie powiadomienia. Można tu podać liczbę lub odsetek klientów (należących do grupy dynamicznej). Wygenerowany komunikat — wstępnie zdefiniowany komunikat, który będzie widoczny w powiadomieniu. Zawiera skonfigurowane ustawienia w postaci tekstowej. Komunikat — do wstępnie zdefiniowanego komunikatu można dodać komunikat niestandardowy (zostanie on wyświetlony po wstępnie zdefiniowanym komunikacie z powyższej opcji). Ten komunikat jest opcjonalny, ale jest zalecany ze względu na skuteczniejsze filtrowanie powiadomień. UWAGA: Opcje konfiguracji mogą się różnić w zależności od szablonu powiadomienia. 315 Ustawienia zaawansowane — Ograniczanie Kryteria czasowe Podaj wartość w polu Liczba znaczników do zagregowania. Umożliwi to określenie liczby znaczników (trafień w ramach elementu wyzwalającego) niezbędnych do aktywowania elementu wyzwalającego. Bardziej szczegółowe informacje znajdują się w rozdziale Ograniczanie. Kryteria statystyczne Stosowanie kryteriów statystycznych — w tej opcji definiowana jest metoda stosowana do oceny kryteriów statystycznych. Spełnione muszą być wszystkie te kryteria (operator AND) lub co najmniej jedno z nich (operator OR). Wyzwalanie co określoną liczbę wystąpień — rejestrowany jest co X-ty znacznik (trafienie). Na przykład w przypadku wprowadzenia wartości 10 rejestrowany będzie co 10-ty znacznik. Liczba wystąpień w danym okresie — rejestrowane są tylko znaczniki występujące w podanym okresie. Umożliwia to określenie częstotliwości. Można na przykład zezwolić na wykonanie zadania, gdy zdarzenie jest wykrywane 10 razy w ciągu godziny. Okres — podanie okresu na potrzeby opisanej powyżej opcji. Liczba zdarzeń z symbolem — rejestrowanie znacznika (trafienia) w przypadku wystąpienia X zdarzeń z określonym symbolem. Na przykład wprowadzenie wartości 10 spowoduje, że znacznik będzie dodawany dla co 10-tej instalacji określonego oprogramowania. Stosowanie po wystąpieniu pewnej liczby zdarzeń — należy tu wprowadzić liczbę zdarzeń, które muszą wystąpić kolejno od ostatniego znacznika, aby zarejestrowany został kolejny znacznik. Na przykład wprowadzenie wartości 10 spowoduje, że kolejny znacznik będzie rejestrowany po 10 wystąpieniach zdarzenia od ostatniego znacznika. Stosowanie po wystąpieniu pewnej liczby zdarzeń — element wyzwalający zostaje zastosowany w przypadku znaczników następujących po sobie (wystąpienie elementu wyzwalającego nie jest brane pod uwagę) lub występujących od ostatniego uruchomienia elementu wyzwalającego (uruchomienie elementu wyzwalającego powoduje zresetowanie liczby znaczników do 0). Dystrybucja Temat — temat wiadomości z powiadomieniem. Podanie tematu jest opcjonalne, ale zalecane w celu zapewnienia skuteczniejszego filtrowania lub w przypadku tworzenia reguł umożliwiających sortowanie wiadomości z powiadomieniami. Dystrybucja Wysyłanie komunikatu SNMP Trap — powoduje wysłanie komunikatu SNMP Trap. Komunikat SNMP Trap powiadamia serwer, posługując się niezamawianą wiadomością SNMP. Więcej informacji można znaleźć w części Konfigurowanie usługi SNMP Trap. Wysyłanie wiadomości e-mail — powoduje wysłanie wiadomości e-mail zgodnie z ustawieniami wiadomości email. Adresy e-mail — tu należy wprowadzić adresy odbiorców wiadomości z powiadomieniami oddzielone przecinkami („,”). 316 6.1.5.2 Zarządzanie powiadomieniami Zarządzanie powiadomieniami odbywa się na karcie Administrator. Wybierz powiadomienie i kliknij opcję Edytuj powiadomienie. Podstawowe Zmienić można dane w polach Nazwa powiadomienia oraz Opis. Jest to istotne w przypadku filtrowania większej liczby powiadomień. Szablon powiadomienia Istniejąca grupa dynamiczna — przy generowaniu powiadomień stosowana będzie istniejąca grupa dynamiczna. Należy wybrać z listy grupę dynamiczną i kliknąć pozycję OK. Wielkość grupy dynamicznej uległa zmianie w odniesieniu do grupy porównywanej — jeśli liczba klientów w obserwowanej grupie dynamicznej zmieni się w odniesieniu do grupy porównywanej (statycznej lub dynamicznej), wygenerowane zostanie powiadomienie. Inny szablon dziennika zdarzeń Ta opcja jest używana w przypadku powiadomień niepowiązanych z grupą dynamiczną, ale generowanych na podstawie zdarzeń systemowych wyfiltrowanych z dziennika zdarzeń. Wybierz typ dziennika, na podstawie którego generowane będą powiadomienia oraz operator logiczny stosowany w odniesieniu do filtrów. Stan śledzenia — ta opcja umożliwia powiadamianie o zmianach stanu obiektu na podstawie filtrów zdefiniowanych przez użytkownika. UWAGA: Można zmienić stan śledzenia oraz użyć opcji + Dodaj filtr lub Operator logiczny w odniesieniu do filtrów. 317 Konfiguracja Powiadamiaj przy każdej zmianie zawartości grupy dynamicznej — włączenie tej opcji powoduje powiadamianie o wszystkich zmianach związanych z dodawaniem, usuwaniem lub modyfikowaniem elementów grupy dynamicznej. Okres powiadomienia — tutaj można zdefiniować okres (w minutach, godzinach lub dniach), w którym następuje porównywanie z nowym stanem. Na przykład 7 dni temu liczba klientów z nieaktualnymi wersjami produktów wynosiła 10, a w opcji Wartość progowa (opis poniżej) ustawiono wartość 20. Jeśli liczba klientów z nieaktualnymi wersjami produktów dojdzie do 30, wygenerowane zostanie powiadomienie. Wartość progowa — ustalenie wartości progowej, która wyzwala wysłanie powiadomienia. Można tu podać liczbę lub odsetek klientów (należących do grupy dynamicznej). Wygenerowany komunikat — wstępnie zdefiniowany komunikat, który będzie widoczny w powiadomieniu. Zawiera skonfigurowane ustawienia w postaci tekstowej. Komunikat — do wstępnie zdefiniowanego komunikatu można dodać komunikat niestandardowy (zostanie on wyświetlony po wstępnie zdefiniowanym komunikacie z powyższej opcji). Ten komunikat jest opcjonalny, ale jest zalecany ze względu na skuteczniejsze filtrowanie i przeglądanie powiadomień. UWAGA: Dostępne opcje zależą od wybranego szablonu powiadomienia. Ustawienia zaawansowane — Ograniczanie Kryteria czasowe Podaj wartość w polu Liczba znaczników do zagregowania. Umożliwi to określenie liczby znaczników (trafień w ramach elementu wyzwalającego) niezbędnych do aktywowania elementu wyzwalającego. Bardziej szczegółowe informacje znajdują się w rozdziale Ograniczanie. Kryteria statystyczne 318 Stosowanie kryteriów statystycznych — w tej opcji definiowana jest metoda stosowana do oceny kryteriów statystycznych. Spełnione muszą być wszystkie te kryteria (operator AND) lub co najmniej jedno z nich (operator OR). Wyzwalanie co określoną liczbę wystąpień — rejestrowany jest co X-ty znacznik (trafienie). Na przykład w przypadku wprowadzenia wartości 10 rejestrowany będzie co 10-ty znacznik. Liczba wystąpień w danym okresie — rejestrowane są tylko znaczniki występujące w podanym okresie. Umożliwia to określenie częstotliwości. Można na przykład zezwolić na wykonanie zadania, gdy zdarzenie jest wykrywane 10 razy w ciągu godziny. Okres — podanie okresu na potrzeby opisanej powyżej opcji. Liczba zdarzeń z symbolem — rejestrowanie znacznika (trafienia) w przypadku wystąpienia X zdarzeń z określonym symbolem. Na przykład wprowadzenie wartości 10 spowoduje, że znacznik będzie dodawany dla co 10-tej instalacji określonego oprogramowania. Stosowanie po wystąpieniu pewnej liczby zdarzeń — należy tu wprowadzić liczbę zdarzeń, które muszą wystąpić kolejno od ostatniego znacznika, aby zarejestrowany został kolejny znacznik. Na przykład wprowadzenie wartości 10 spowoduje, że kolejny znacznik będzie rejestrowany po 10 wystąpieniach zdarzenia od ostatniego znacznika. Stosowanie po wystąpieniu pewnej liczby zdarzeń — element wyzwalający zostaje zastosowany w przypadku znaczników następujących po sobie (wystąpienie elementu wyzwalającego nie jest brane pod uwagę) lub występujących od ostatniego uruchomienia elementu wyzwalającego (uruchomienie elementu wyzwalającego powoduje zresetowanie liczby znaczników do 0). Dystrybucja Temat — temat wiadomości z powiadomieniem. Podanie tematu jest opcjonalne, ale zalecane w celu zapewnienia skuteczniejszego filtrowania lub w przypadku tworzenia reguł umożliwiających sortowanie wiadomości. Dystrybucja Wysyłanie komunikatu SNMP Trap — powoduje wysłanie komunikatu SNMP Trap. Komunikat SNMP Trap powiadamia serwer, posługując się niezamawianą wiadomością SNMP. Więcej informacji można znaleźć w części Konfigurowanie usługi SNMP Trap. Wysyłanie wiadomości e-mail — powoduje wysłanie wiadomości e-mail zgodnie z ustawieniami wiadomości email. Adresy e-mail — tu należy wprowadzić adresy odbiorców wiadomości z powiadomieniami oddzielone przecinkami („,”). 6.1.5.3 Konfigurowanie usługi SNMP Trap Skuteczne odbieranie komunikatów SNMP wymaga skonfigurowania usługi SNMP Trap. Procedura konfiguracji w zależności od systemu operacyjnego System Windows System Linux SYSTEM WINDOWS Wymagania wstępne Na komputerze, na którym zainstalowany jest serwer ERA, a także na komputerze, na którym zostanie zainstalowane oprogramowanie SNMP Trap musi być zainstalowana usługa Simple Network Management Protocol. Oba te komputery muszą znajdować się w tej samej podsieci. Na komputerze z serwerem ERA musi być skonfigurowana usługa SNMP. Konfigurowanie usługi SNMP (serwer ERA) 319 Naciśnij klawisze Windows + R, aby otworzyć okno dialogowe Uruchamianie. Wpisz ciąg Services.msc w polu Otwórz, a następnie naciśnij klawisz Enter. Wyszukaj usługę SNMP. Przejdź na kartę Pułapki, wpisz public w polu Nazwa wspólnoty i kliknij przycisk Dodaj do listy. Kliknij przycisk Dodaj i w odpowiednim polu wpisz nazwę hosta, adres IP lub adres IPX komputera, na którym zainstalowane jest oprogramowanie do pułapkowania SNMP, a następnie kliknij przycisk Dodaj. Przejdź na kartę Zabezpieczenia. Kliknij przycisk Dodaj, aby wyświetlić okno Konfiguracja usługi SNMP. Wpisz tekst public w polu Nazwa wspólnoty i kliknij przycisk Dodaj. Zostaną skonfigurowane uprawnienia TYLKO DO ODCZYTU. To prawidłowe ustawienie. Sprawdź, czy opcja Zaakceptuj pakiety SNMP od tych hostów jest zaznaczona i kliknij przycisk OK w celu potwierdzenia. Usługa SNMP nie jest skonfigurowana. Konfigurowanie oprogramowania SNMP Trap (klient) Usługa SNMP jest zainstalowana i nie wymaga konfigurowania. Zainstaluj oprogramowanie AdRem SNMP Manager lub AdRem NetCrunch. AdRem SNMP Manager: Uruchom aplikację i wybierz opcję Utwórz nową listę węzłów SNMP. Kliknij przycisk Tak w celu potwierdzenia. Sprawdź adres sieciowy podsieci (wyświetlany w tym oknie). Kliknij przycisk OK, aby wyszukać swoją sieć. Poczekaj na ukończenie wyszukiwania. Wyniki wyszukiwania zostaną wyświetlone w oknie Wyniki odnajdywania. Adres IP serwera ERA powinien zostać wyświetlony na tej liście. Zaznacz adres IP serwera i kliknij przycisk OK. Adres serwera zostanie wyświetlony w obszarze Węzły. Kliknij pozycję Odbieranie pułapek zatrzymane i wybierz opcję Uruchom. Zostanie wyświetlony komunikat Odbieranie pułapek uruchomione. Teraz możliwe jest odbieranie komunikatów SNMP z serwera ERA. SYSTEM LINUX 1. Zainstaluj pakiet snmpd, uruchamiając jedno z poniższych poleceń: apt-get install snmpd snmp (dystrybucje Debian, Ubuntu) yum install net-snmp (dystrybucje Red-Hat, Fedora) 2. Otwórz plik /etc/def ault/snmpd i przeprowadź edycję następujących atrybutów: #SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid' Dodanie znaku # spowoduje całkowite wyłączenie danego wiersza. SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid -c /etc/snmp/snmpd.conf' Dodaj do pliku następujący wiersz. TRAPDRUN=yes Zmień ustawienie atrybutu trapdrun na yes. 3. Utwórz kopię zapasową oryginalnego pliku snmpd.conf . Plik zostanie później poddany edycji. mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.original 4. Utwórz nowy plik snmpd.conf i dodaj następujące wiersze: rocommunity public syslocation "Testing ERA6" syscontact [email protected] 5. Otwórz plik /etc/snmp/snmptrapd.conf i na jego końcu dodaj następujący wiersz: authCommunity log,execute,net public 6. Wpisz poniższe polecenie, aby uruchomić usługi zarządzania SNMP i zapisywanie w dzienniku odbieranych pułapek: /etc/init.d/snmpd restart lub service snmpd restart 7. Aby sprawdzić, czy obsługa pułapek działa, umożliwiając przechwytywanie komunikatów, uruchom następujące polecenie: tail -f /var/log/syslog | grep -i TRAP 320 6.1.6 Certyfikaty Certyfikat służy do uwierzytelniania danych wymienianych w ramach komunikacji między serwerem ERA a agentem, ponieważ serwer ERA komunikuje się również przez agenta. Tworzenie nowego certyfikatu z użyciem urzędu certyfikacji ERA Tworzenie nowego certyfikatu z użyciem niestandardowego urzędu certyfikacji Tworzenie nowego urzędu certyfikacji 6.1.6.1 Certyfikaty równorzędne Certyfikat służy do uwierzytelniania danych podczas komunikacji między serwerem ERA a agentem, ponieważ serwer ERA komunikuje się również przez agenta. Nowy... - ta opcja służy do tworzenia nowego certyfikatu z użyciem urzędu certyfikacji serwera ERA lub do tworzenia nowego certyfikatu z użyciem niestandardowego urzędu certyfikacji. Certyfikaty te są używane przez agenta, serwer proxy oraz serwer. Edytuj... — ta opcja umożliwia edytowanie istniejącego certyfikatu znajdującego się na liście. Dostępne są takie same opcje, jak podczas tworzenia nowego certyfikatu. Eksportuj... — ta opcja służy do eksportowania certyfikatu w postaci pliku. Ten plik jest niezbędny, jeśli agent jest instalowany na komputerze lokalnie lub w przypadku instalowania komponentu Moduł zarządzania urządzeniami mobilnymi. Wyeksportuj jako Base64... — ta opcja służy do eksportowania certyfikatu w postaci pliku .txt. Odwołaj... — aby zaprzestać używania certyfikatu, należy wybrać opcję Odwołaj. Ta opcja powoduje unieważnienie certyfikatu. Nieważne certyfikaty nie są akceptowane w oprogramowaniu ESET Remote Administrator. 321 6.1.6.1.1 Tworzenie nowego certyfikatu z użyciem urzędu certyfikacji ERA Aby utworzyć nowy urząd w konsoli internetowej ERA, przejdź do obszaru Administrator > Certyfikaty i kliknij przycisk Czynności > Nowa. Podstawowe Wprowadź opis certyfikatu i wybierz agenta jako produkt. Wprowadź połączenie z serwerem ERA w polu Host. Może to być nazwa hosta, adres IP lub częściowa nazwa z symbolem wieloznacznym („*”). Poszczególne wpisy oddzielane są przy użyciu spacji („ ”), przecinka („,”) lub średnika („;”). Wprowadź hasło w polu Hasło oraz w polu potwierdzenia. To hasło zostanie użyte podczas instalacji agenta. Wpisz wartość w polu Nazwa pospolita. Ta wartość powinna obejmować ciąg „agent”, „proxy” lub „server”, zależnie od wybranego produktu. W razie potrzeby można wprowadzić opisową informację dotyczącą certyfikatu. Wprowadź wartości w polach Ważność od oraz Ważność do, aby zapewnić ważność certyfikatu. Podpisywanie Należy zastosować metodę podpisywania z użyciem urzędu certyfikacji. Wybierz urząd certyfikacji ERA utworzony podczas instalacji. Pomiń opcję niestandardowego pliku pfx . Opcja ta ma zastosowanie wyłącznie w odniesieniu do urzędów certyfikacji z samodzielnie podpisanym plikiem pfx . Wprowadź hasło do certyfikatu. Jest to hasło urzędu certyfikacji utworzone podczas instalacji serwera. Podsumowanie Sprawdź wprowadzone informacje dotyczące certyfikatu i kliknij przycisk Zakończ. Certyfikat został pomyślnie utworzony i jest dostępny na liście certyfikatów, których można użyć podczas instalacji agenta. 322 6.1.6.1.2 Tworzenie nowego certyfikatu z użyciem niestandardowego urzędu certyfikacji Aby utworzyć nowy urząd w konsoli internetowej ERA, przejdź do obszaru Administrator > Certyfikaty i kliknij przycisk Czynności > Nowa. Podstawowe Wprowadź opis certyfikatu i wybierz agenta jako produkt. Wprowadź połączenie z serwerem ERA w polu Host. Może to być nazwa hosta, adres IP lub częściowa nazwa z symbolem wieloznacznym („*”). Poszczególne wpisy oddzielane są przy użyciu spacji („ ”), przecinka („,”) lub średnika („;”). Wprowadź hasło w polu Hasło oraz w polu potwierdzenia. To hasło zostanie użyte podczas instalacji agenta. Wpisz wartość w polu Nazwa pospolita. Ta wartość powinna obejmować ciąg „agent”, „proxy” lub „server”, zależnie od wybranego produktu. W razie potrzeby można wprowadzić opisową informację dotyczącą certyfikatu. Wprowadź wartości w polach Ważność od oraz Ważność do, aby zapewnić ważność certyfikatu. Podpisywanie Należy zastosować metodę podpisywania z użyciem niestandardowego pliku pfx. Kliknij opcję Przeglądaj, by wybrać niestandardowy plik pfx. Przejdź do niestandardowego pliku pfx i kliknij przycisk OK. Kliknij przycisk Prześlij, by przesłać ten certyfikat do serwera. Wprowadź hasło do certyfikatu. Jest to hasło urzędu certyfikacji utworzone podczas instalacji serwera. Podsumowanie Sprawdź wprowadzone informacje dotyczące certyfikatu i kliknij przycisk Zakończ. Certyfikat został pomyślnie utworzony i może zostać użyty do zainstalowania Agenta. 6.1.6.2 Urzędy certyfikacji W sekcji Urzędy certyfikacji dostępna jest lista urzędów certyfikacji i opcje zarządzania nimi. Jeśli w użyciu jest wiele urzędów certyfikacji, warto jest użyć filtra do ich sortowania. W tym celu należy kliknąć opcję Dodaj filtr u góry strony i wybrać kryteria filtrowania, które mają zostać użyte (Opis, Podmiot, Ważność od/do itp.). W każdym filtrze można ustawić jedno kryterium. Po wybraniu jednego z kryteriów i kliknięciu przycisku OK obok przycisku Dodaj filtr otworzy się pole tekstowe. W tym polu tekstowym można wprowadzić informacje niestandardowe, takie jak data i opis. Aby utworzyć dodatkowy filtr, należy kliknąć opcję Dodaj filtr. Można utworzyć dowolną liczbę filtrów. 323 6.1.6.2.1 Tworzenie nowego urzędu certyfikacji W celu utworzenia nowego urzędu certyfikacji przejdź kolejno do opcji Administrator > Certyfikaty > Urząd certyfikacji i kliknij opcje Czynność > Nowy... lub kliknij opcję Nowy u dołu strony. Urząd certyfikacji W polu Opis wprowadź opis urzędu certyfikacji i wybierz hasło. Hasło powinno składać się z co najmniej 12 znaków. Atrybuty (Podmiot) 1. W polu Nazwa pospolita wprowadź nazwę urzędu certyfikacji. Wybierz unikatową nazwę, by umożliwić odróżnienie poszczególnych urzędów certyfikacji. Opcjonalnie możesz wprowadzić dane opisowe dotyczące urzędu certyfikacji. 2. Wprowadź wartości w polach Ważność od oraz Wartość do, aby zapewnić ważność certyfikatu. 3. Kliknij opcję Zapisz, aby zapisać nowy urząd certyfikacji. Zostanie dodany do listy urzędów certyfikacji w obszarze Administrator > Certyfikaty > Urząd certyfikacji i będzie gotowy do użytku. Aby zarządzać urzędem certyfikacji, zaznacz pole wyboru obok urzędu certyfikacji na liście i skorzystaj z menu kontekstowego (kliknij urząd certyfikacji lewym przyciskiem myszy) lub użyj przycisku Czynność u dołu strony. Opcje dostępne dla urzędu certyfikacji to Edytuj (patrz poniższy opis działań), Usuń (całkowite usunięcie) oraz Eksportuj klucz publiczny. Eksportowanie klucza publicznego z urzędu certyfikacji 1. Wybierz z listy urząd certyfikacji, którego chcesz użyć i zaznacz pole wyboru obok niego. 2. Z menu kontekstowego wybierz opcję Eksportuj klucz publiczny. Klucz publiczny zostanie wyeksportowany w postaci pliku .der. Wybierz nazwę klucza publicznego i kliknij opcję Zapisz. UWAGA: Usunięcie domyślnego urzędu certyfikacji ERA i utworzenie nowego nie wystarczy do jego aktywacji. Należy również przypisać ten urząd do komputera pełniącego rolę serwera ERA i ponownie uruchomić usługę serwera ERA. 324 6.1.7 Uprawnienia dostępu Uprawnienia dostępu w oprogramowaniu ERA można podzielić na dwie podstawowe kategorie: 1. Dostęp do funkcji 2. Dostęp do grup statycznych Dostęp do elementów z dowolnej z tych kategorii musi być udzielony poszczególnym użytkownikom konsoli internetowej ERA w ramach uprawnień. Najwyższe uprawnienia przysługują administratorowi, który ma dostęp do wszystkich obszarów. Ze względu na zbyt rozległe kompetencje korzystanie z tego konta może być dość niebezpieczne. Stanowczo zalecane jest utworzenie innych kont o mniej rozległych uprawnieniach dostępu, dobranych na podstawie żądanych kompetencji użytkownika konta. Użytkownikami można zarządzać w obszarze Użytkownicy w sekcji Administrator. Możliwe kompetencje są ujęte w zestawach uprawnień. 6.1.7.1 Użytkownicy Z konsoli internetowej ERA mogą korzystać użytkownicy z różnymi zestawami uprawnień. Użytkownikiem z największą liczbą uprawnień jest administrator — dysponuje on pełnią uprawnień. W celu ułatwienia korzystania z usługi Active Directory użytkownicy z grup domen z zabezpieczeniami mogą mieć możliwość logowania się do programu ERA. Tacy użytkownicy mogą istnieć w programie ERA obok użytkowników macierzystych, jednak w takim przypadku zestawy uprawnień są konfigurowane w odniesieniu do grupy usługi Active Directory z zabezpieczeniami (zamiast do poszczególnych użytkowników, jak to ma miejsce w przypadku użytkowników macierzystych). Zarządzanie użytkownikami jest częścią sekcji Administrator w konsoli internetowej ERA. UWAGA: W nowo zainstalowanym programie ERA jedynym kontem jest konto Administrator (użytkownik macierzysty). 325 6.1.7.1.1 Kreator zmapowanych grup domen z zabezpieczeniami Aby uzyskać dostęp do kreatora zmapowanych grup domen z zabezpieczeniami, przejdź do obszaru Administrator > Uprawnienia dostępu > Zmapowane grupy domen z zabezpieczeniami > Nowa lub po prostu kliknij opcję Nowa (gdy w strukturze drzewa wybrana jest zmapowana grupa domen z zabezpieczeniami). Podstawowe Grupa domen Wprowadź nazwę grupy, a ponadto możesz wprowadzić opis grupy. Grupa zostanie zdefiniowana przy użyciu identyfikatora SID grupy (identyfikatora zabezpieczeń). Kliknij opcję Wybierz, aby wybrać grupę z listy, a następnie kliknij OK w celu potwierdzenia. Konto Pozostaw zaznaczoną opcję Włączony, aby uaktywnić użytkownika. Opcja Automatyczne wylogowanie (min) służy do określenia czasu bezczynności (w minutach), po upływie którego następuje wylogowanie użytkownika z konsoli internetowej ERA. Pola Kontaktowy adres e-mail oraz Kontakt telefoniczny są opcjonalne i można ich użyć w celu identyfikacji użytkownika. Zestaw uprawnień Tutaj można ustalić kompetencje (uprawnienia) użytkownika. Można użyć wstępnie zdefiniowanych kompetencji: Zestaw uprawnień przeglądającego (zbliżone do uprawnień tylko do odczytu) lub Zestaw uprawnień administratora (zbliżony do pełnego dostępu). Można także użyć niestandardowego zestawu uprawnień. Podsumowanie Przejrzyj ustawienia skonfigurowane dla danego użytkownika i kliknij opcję Zakończ, aby utworzyć grupę. 326 6.1.7.1.2 Kreator użytkowników macierzystych Aby uzyskać dostęp do kreatora użytkowników macierzystych, przejdź do obszaru Administrator > Uprawnienia dostępu > Użytkownik > Użytkownicy lub użyj opcji Nowy u dołu strony. 327 6.1.7.1.3 Tworzenie użytkownika macierzystego Aby utworzyć nowego użytkownika macierzystego, na karcie Administrator kliknij kolejno opcje Uprawnienia dostępu > Użytkownik, a następnie kliknij opcję Użytkownicy lub Nowy u dołu strony. Podstawowe Wprowadź nazwę użytkownika i opcjonalnie podaj opis nowego użytkownika. Uwierzytelnianie Hasło użytkownika musi zawierać co najmniej 8 znaków. Nazwa użytkownika nie może być częścią hasła. Konto Pozostaw zaznaczoną opcję Włączone, chyba że chcesz, by konto było nieaktywne (przygotowane do użytku w przyszłości). Opcję Konieczna jest zmiana hasła pozostaw niezaznaczoną (zaznaczenie jej spowoduje wymuszenie na użytkowniku zmiany hasła przy pierwszym logowaniu do konsoli internetowej ERA). Opcja Wygaśnięcie hasła służy do określenia przez ile dni hasło zachowuje ważność. Po upływie tego okresu hasło musi zostać zmienione. Opcja Automatyczne wylogowanie (min) służy do określenia czasu bezczynności (w minutach), po upływie którego następuje wylogowanie użytkownika z konsoli internetowej. W polach Pełna nazwa, Kontaktowy adres e-mail i Kontakt telefoniczny można wpisać informacje ułatwiające identyfikację użytkownika. Zestaw uprawnień Tutaj można ustalić kompetencje (uprawnienia) użytkownika. Można wybrać wstępnie zdefiniowane kompetencje: Zestaw uprawnień przeglądającego (zbliżone do uprawnień tylko do odczytu) lub Zestaw uprawnień administratora (zbliżony do pełnego dostępu). Można także użyć niestandardowego zestawu uprawnień. Podsumowanie Przejrzyj ustawienia skonfigurowane dla danego użytkownika i kliknij opcję Zakończ, aby utworzyć konto. 328 6.1.7.1.3.1 Tworzenie nowego konta administratora W celu utworzenia drugiego konta administratora wykonaj działania niezbędne do utworzenia konta użytkownika macierzystego, a następnie przypisz do tego konta zestaw uprawnień administratora. 6.1.7.1.4 Mapowanie grupy w ramach grupy domen z zabezpieczeniami Na serwerze ERA można zmapować grupę domen z zabezpieczeniami i umożliwić istniejącym użytkownikom (należących do grup domen z zabezpieczeniami) korzystanie z konsoli internetowej ERA. W tym celu należy kliknąć kolejno opcje Administrator > Uprawnienia dostępu > Zmapowane grupy domen z zabezpieczeniami > Nowa lub po prostu kliknąć opcję Nowa (gdy w widoku drzewa wybrana jest zmapowana grupa domen z zabezpieczeniami). Podstawowe Grupa domen Wprowadź nazwę grupy, a ponadto możesz wprowadzić opis grupy. Grupa zostanie zdefiniowana przy użyciu identyfikatora SID grupy (identyfikatora zabezpieczeń). Kliknij opcję Wybierz, aby wybrać grupę z listy, a następnie kliknij OK w celu potwierdzenia. Konto Pozostaw zaznaczoną opcję Włączony, aby uaktywnić użytkownika. Opcja Automatyczne wylogowanie (min) służy do określenia czasu bezczynności (w minutach), po upływie którego następuje wylogowanie użytkownika z konsoli internetowej. Pola Kontaktowy adres e-mail oraz Kontakt telefoniczny są opcjonalne i można ich użyć w celu identyfikacji użytkownika. Zestaw uprawnień Tutaj można ustalić kompetencje (uprawnienia) użytkownika. Można użyć wstępnie zdefiniowanych kompetencji: Zestaw uprawnień przeglądającego (zbliżone do uprawnień tylko do odczytu) lub Zestaw uprawnień administratora (zbliżony do pełnego dostępu). Można także użyć niestandardowego zestawu uprawnień. 329 Podsumowanie Przejrzyj ustawienia skonfigurowane dla danego użytkownika i kliknij opcję Zakończ, aby utworzyć grupę. 6.1.7.1.5 Przypisywanie użytkownika do zestawu uprawnień Aby przypisać użytkownika do określonego zestawu uprawnień, kliknij kolejno opcje Administrator > Uprawnienia dostępu > Zestawy uprawnień, a następnie kliknij opcję Edytuj. Więcej szczegółów można znaleźć w części Zarządzanie zestawami uprawnień. W części Użytkownicy należy edytować określonego użytkownika, klikając opcję Edytuj... i zaznaczyć pole wyboru przy określonych uprawnieniach w części Nieprzypisane (dostępne) zestawy uprawnień. 330 6.1.7.2 Zestawy uprawnień Zestaw uprawnień obejmuje uprawnienia nadawane użytkownikom uzyskującym dostęp do konsoli internetowej ERA, decydujące o tym, jakie działania użytkownik może wykonać lub co może wyświetlić w konsoli internetowej. Użytkownicy macierzyści dysponują własnym zestawem uprawnień, natomiast użytkownicy domeny otrzymują uprawnienia zmapowanej grupy zabezpieczeń, do której należą. Uprawnienia dotyczące konsoli internetowej ERA są podzielone na kategorie, na przykład Użytkownicy macierzyści, Certyfikaty, Reguły. W przypadku każdej z funkcji dany zestaw uprawnień może zezwalać na dostęp w trybie Tylko do odczytu lub Zapis/Wykonanie. Uprawnienia Tylko do odczytu sprawdzają się w przypadku użytkowników dokonujących audytu. Mogą oni wyświetlać dane, ale nie mogą wprowadzać zmian. Użytkownicy z uprawnieniami Zapis/Wykonanie mogą modyfikować odpowiednie obiekty lub je wykonywać (jeśli to możliwe — wykonywać można na przykład zadania). Obok uprawnień do funkcji serwera ERA, użytkownikom można udzielić dostępu do grup statycznych. Każdy z użytkowników może dysponować dostępem do wszystkich grup statycznych lub do podzestawów grup statycznych. Dysponowanie dostępem do określonej grupy statycznej automatycznie oznacza dostęp do wszystkich jej podgrup. W tym przypadku: Uprawnienia dostępu Tylko do odczytu oznacza wyświetlanie listy komputerów. Uprawnienia Zapis/Wykonanie umożliwiają użytkownikowi manipulowanie komputerami z grupy statycznej, a także przydzielanie zadań klienta i reguł. 331 6.1.7.2.1 Kreator zestawów uprawnień W celu dodania nowego zestawu uprawnień kliknij kolejno pozycje Zestawy uprawnień > Nowy lub po prostu Nowy. 332 6.1.7.2.2 Zarządzanie zestawami uprawnień Aby wprowadzić zmiany w określonym zestawie uprawnień, kliknij go, a następnie kliknij opcję Edytuj. W celu utworzenia duplikatu zestawu uprawnień, który można modyfikować, kliknij opcję Kopiuj, a następnie przypisz odpowiedniego użytkownika. Podstawowe W polu Nazwa wprowadź nazwę zestawu (ustawienie obowiązkowe). W polu Opis można również wprowadzić opis zestawu. Funkcja Zaznacz poszczególne moduły, do których chcesz udzielić dostępu. Użytkownik o tych kompetencjach będzie miał dostęp do określonego zadania. Można również użyć opcji Nadaj wszystkim modułom uprawnienie tylko do odczytu oraz Nadaj wszystkim modułom uprawnienie pełnego dostępu, ale takie kompetencje już istnieją pod nazwami Kompetencje administratora (pełen dostęp) i Kompetencje przeglądającego (tylko odczyt). Przyznanie uprawnień do zapisu/wykonania automatycznie przyznaje uprawnienia do odczytu. Grupy statyczne Możliwe jest dodanie grupy statycznej (lub większej liczby grup statycznych) o danych kompetencjach (przydzielenie uprawnień zdefiniowanych w sekcji Moduły), przyznanie wszystkim grupom statycznym uprawnień tylko do odczytu lub przyznanie wszystkim grupom statycznym uprawnień pełnego dostępu. Dodawać można wyłącznie grupy statyczne, ponieważ przyznane zestawy uprawnień są ustalone dla określonych użytkowników lub grup. Użytkownicy Wszyscy dostępni użytkownicy są wyszczególnieni z lewej strony. Wybierz określonych użytkowników lub wybierz wszystkich użytkowników przy użyciu przycisku Dodaj wszystkich. Użytkownicy przypisani są wyszczególnieni po prawej stronie. Podsumowanie Przejrzyj ustawienia skonfigurowane w odniesieniu do tych kompetencji i kliknij przycisk Zakończ. 333 6.1.8 Ustawienia serwera W tej sekcji można skonfigurować określone ustawienia serwera ESET Remote Administrator. Połączenie Port Remote Administrator (wymagane jest ponowne uruchomienie!) — jest to port obsługujący połączenie pomiędzy serwerem ESET Remote Administrator a agentem lub agentami. Wprowadzenie zmian w tej opcji wymaga ponownego uruchomienia usługi serwera ERA. Port konsoli internetowej ERA (wymagane jest ponowne uruchomienie!) — port obsługujący połączenie pomiędzy konsolą internetową a serwerem ERA. Certyfikat — tutaj można zarządzać certyfikatami. Więcej informacji znajduje się w rozdziale Certyfikaty równorzędne. Aktualizacje Interwał aktualizacji — interwał wyznaczający częstotliwość pobierania aktualizacji. Można wybrać regularny interwał i skonfigurować ustawienia lub użyć wyrażenia CRON. Serwer aktualizacji — serwer aktualizacji, z którego serwer ERA pobiera aktualizacje produktów zabezpieczających oraz komponentów serwera ERA. Typ aktualizacji — tutaj można wybrać typ aktualizacji, które mają być pobierane. Do wyboru są aktualizacje regularne, w wersji wstępnej lub opóźnione. Wybieranie opcji aktualizacji w wersji wstępnej nie jest zalecane w przypadku systemów produkcyjnych, ponieważ wiąże się to z ryzykiem. Ustawienia zaawansowane Serwer proxy HTTP — do obsługi połączeń z Internetem można używać serwera proxy. Serwer SMTP — do obsługi odbierania lub wysyłania różnego rodzaju wiadomości można używać serwera SMTP. Tutaj można skonfigurować ustawienia serwera SMTP. Repozytorium — lokalizacja repozytorium, w którym przechowywane są pliki instalacyjne. Zapisywanie w dzienniku — istnieje możliwość skonfigurowania szczegółowości dziennika i wybrania poziomu informacji gromadzonych i zapisywanych w dzienniku — od poziomu Śledzenie (informacyjne) do poziomu Krytyczny (najważniejsze informacje o decydującym znaczeniu). Czyszczenie bazy danych — tej opcji można używać do regularnego usuwania dzienników, co zapobiega przeciążaniu bazy danych. 6.1.9 Zarządzanie licencjami W programie ESET Remote Administrator od wersji 6 używany jest zupełnie nowy system zarządzania licencjami firmy ESET. Nazwę użytkownika i hasło zastępuje teraz klucz licencyjny/identyfikator publiczny — klucz licencyjny to unikatowy ciąg znaków używany do identyfikacji właściciela licencji oraz do samej aktywacji. Identyfikator publiczny to krótki ciąg znaków używany do identyfikowania licencji przez stronę trzecią (na przykład administratora zabezpieczeń odpowiedzialnego za dystrybucję jednostek). Administrator zabezpieczeń to osoba, która zarządza licencjami i nie musi być tożsama z rzeczywistym właścicielem licencji. Właściciel licencji może przekazać licencję administratorowi zabezpieczeń (upoważnić go), a jeżeli administrator ją przyjmie, będzie mógł nią zarządzać (wprowadzać zmiany, powiązywać jednostki itp.). Administrator zabezpieczeń może używać licencji do aktywowania produktów firmy ESET (powiązywania jednostek). Licencjami można zarządzać zarówno z tego obszaru, jak i przez Internet, po kliknięciu opcji Otwórz narzędzie ELA (ESET License Administrator) lub przy użyciu interfejsu sieciowego narzędzia ESET License Administrator (informacje na ten temat można znaleźć w części Administrator zabezpieczeń). 334 Dostęp do obszaru Zarządzanie licencjami w programie ESET Remote Administrator 6 można uzyskać z menu głównego po wybraniu opcji Administrator > Zarządzanie licencjami. Licencje można rozsyłać z serwera ERA do produktów zabezpieczających przy użyciu dwóch zadań: Zadanie Instalacja oprogramowania Zadanie Aktywacja produktu Licencje są identyfikowane jako unikatowe poprzez zastosowanie identyfikatorów publicznych. W każdej licencji widoczne są następujące dane: nazwa produktu zabezpieczającego, którego dotyczy licencja; ogólny stan licencji (jeśli licencja wygasła, została nadużyta lub wkrótce może dojść do jej wygaśnięcia albo nadużycia, tutaj wyświetlana jest wiadomość z ostrzeżeniem); liczba jednostek, które mogą być aktywowane w ramach danej licencji; data ważności licencji; nazwa właściciela licencji oraz jego dane kontaktowe. 335 Synchronizuj licencje Synchronizacja licencji z narzędziem ESET License Administrator jest przeprowadzana automatycznie raz dziennie. Jeśli w narzędziu ESET License Administrator zostały wprowadzone zmiany i użytkownik chce, aby aktualne informacje dotyczące licencji były widoczne w programie ERA od razu, bez czekania na kolejną automatyczną synchronizację, należy kliknąć przycisk Synchronizuj licencje. Dodaj licencję lub klucz licencyjny Należy kliknąć opcję Dodaj licencje, a następnie wybrać metodę, która ma zostać użyta w celu dodania nowych licencji: 1. Klucz licencyjny — należy wprowadzić klucz licencyjny ważnej licencji i kliknąć opcję Dodaj licencję. Klucz licencyjny zostanie zweryfikowany na serwerze aktywacji i dodany do listy. 2. Poświadczenia administratora zabezpieczeń — należy połączyć konto administratora zabezpieczeń oraz wszystkie przypisane do niego licencje z obszarem Zarządzanie licencjami. 3. Plik licencji — należy dodać plik licencji (.lf) i kliknąć opcję Dodaj licencję. Plik licencji zostanie zweryfikowany, a licencja zostanie dodana do listy. Usuń licencje Należy wybrać licencję z powyższej listy i kliknąć tę opcję, aby całkowicie usunąć tę licencję. To działanie będzie wymagać potwierdzenia. Usunięcie licencji nie powoduje dezaktywacji produktu. Po usunięciu licencji w obszarze Zarządzanie licencjami ERA produkt ESET nadal jest aktywowany. 336 6.1.9.1 Aktywacja Przejdź do obszaru Administrator > Zarządzanie licencjami i kliknij opcję Dodaj licencje. W polu Klucz licencyjny wpisz lub skopiuj i wklej klucz licencyjny otrzymany przy zakupie oprogramowania zabezpieczającego ESET. Jeśli korzystasz z poświadczeń licencyjnych starszej wersji (nazwy użytkownika i hasła), przekonwertuj te poświadczenia na klucz licencyjny. Jeśli licencja nie jest zarejestrowana, uruchomiony zostanie proces rejestracji, który zostanie przeprowadzony na portalu ELA (w oprogramowaniu ERA zostanie wygenerowany adres URL umożliwiający rejestrację na podstawie pochodzenia licencji). 337 Wprowadź poświadczenia konta administratora zabezpieczeń (w rozwiązaniu ERA zostaną wyświetlone wszystkie licencje przekazane przy użyciu Menedżera licencji ERA). Wprowadź Plik licencji offline — należy go wyeksportować przy użyciu portalu ELA i dołączyć do niego informacje dotyczące produktów, którymi można zarządzać przy pomocy rozwiązania ERA. Podczas generowania pliku licencji offline w portalu ESET License Administrator należy wprowadzić określony token pliku licencji, gdyż w przeciwnym razie plik licencji nie zostanie przyjęty przez oprogramowanie ESET Remote Administrator. 338 Kliknij symbol dokumentu , aby zapisać plik licencji offline. Wróć do okna Zarządzanie licencjami ERA, kliknij pozycję Dodaj licencje, przejdź do pliku licencji offline wyeksportowanego przy użyciu portalu ELA, a następnie kliknij opcję Prześlij. 339 340 7. Narzędzie diagnostyczne Narzędzie diagnostyczne jest jednym z komponentów systemu ERA. Służy do gromadzenia i pakowania dzienników używanych przez programistów przy rozwiązywaniu problemów związanych z komponentami produktu. Należy uruchomić narzędzie diagnostyczne, wybrać folder główny, w którym zapisywane będą pliki oraz wybrać czynności do wykonania (więcej informacji poniżej w części Czynności). Lokalizacja narzędzia diagnostycznego: System Windows Folder C:\Program Files\ESET\RemoteAdministrator\<product>\, plik o nazwie Diagnostic.exe. System Linux Ścieżka na serwerze: /opt/eset/RemoteAdministrator/<product>/. Jest tam plik wykonywalny o nazwie Diagnostic<produkt> (jedno słowo, np. DiagnosticServer, DiagnosticAgent). Czynności Zrzut dzienników — tworzony jest folder, w którym zapisywane są wszystkie dzienniki. Zrzut procesów — utworzony zostaje nowy folder. Plik zrzutu procesów jest tworzony w razie wykrycia problemów. W przypadku wykrycia poważnego problemu system tworzy plik zrzutu. Aby wykonać to działanie ręcznie, należy przejść do folderu %temp% (w systemie Windows) lub do folderu /tmp/ (w systemie Linux) i wstawić tam plik dmp. UWAGA: Usługa (Agent, Proxy, Server, RD Sensor, FileServer) musi być uruchomiona. Informacje ogólne o aplikacji — tworzony jest folder GeneralApplicationInformation, w którym znajduje się plik GeneralApplicationInformation.txt. Ten plik zawiera informacje tekstowe, wśród których jest nazwa i wersja aktualnie zainstalowanego produktu. Konfiguracja czynności — w miejscu zapisu pliku storage.lua tworzony jest folder konfiguracji. 341 8. Słowniczek 8.1 Typy infekcji Infekcja oznacza atak szkodliwego oprogramowania, które usiłuje uzyskać dostęp do komputera użytkownika i (lub) uszkodzić jego zawartość. 8.1.1 Wirusy Wirus komputerowy to program, który atakuje system i uszkadza pliki znajdujące się na komputerze. Nazwa tego typu programów pochodzi od wirusów biologicznych, ponieważ stosują one podobne metody przenoszenia się z jednego komputera na drugi. Wirusy komputerowe atakują głównie pliki wykonywalne i dokumenty. W celu powielenia wirus dokleja swój kod na końcu zaatakowanego pliku. Działanie wirusa komputerowego w skrócie przedstawia się następująco: po uruchomieniu zainfekowanego pliku wirus uaktywnia się (przed aplikacją, do której jest doklejony) i wykonuje zadanie określone przez jego twórcę. Dopiero wtedy następuje uruchomienie zaatakowanej aplikacji. Wirus nie może zainfekować komputera, dopóki użytkownik (przypadkowo lub rozmyślnie) nie uruchomi lub nie otworzy szkodliwego programu. Wirusy komputerowe różnią się pod względem odgrywanej roli i stopnia stwarzanego zagrożenia. Niektóre z nich są bardzo niebezpieczne, ponieważ mogą celowo usuwać pliki z dysku twardego. Część wirusów nie powoduje natomiast żadnych szkód — celem ich działania jest tylko zirytowanie użytkownika i zademonstrowanie umiejętności programistycznych ich twórców. Warto zauważyć, że w porównaniu z końmi trojańskimi lub oprogramowaniem spyware wirusy stają się coraz rzadsze, ponieważ nie przynoszą autorom żadnych dochodów. Ponadto termin „wirus” jest często błędnie używany w odniesieniu do wszystkich typów programów infekujących system. Taka interpretacja powoli jednak zanika i stosowane jest nowe, ściślejsze określenie „szkodliwe oprogramowanie”. Jeśli komputer został zaatakowany przez wirusa, konieczne jest przywrócenie zainfekowanych plików do pierwotnego stanu, czyli wyleczenie ich przy użyciu programu antywirusowego. Przykłady wirusów: OneHalf, Tenga i Yankee Doodle. 8.1.2 Robaki Robak komputerowy jest programem zawierającym szkodliwy kod, który atakuje hosty. Robaki rozprzestrzeniają się za pośrednictwem sieci. Podstawowa różnica między wirusem a robakiem polega na tym, że ten ostatni potrafi samodzielnie powielać się i przenosić — nie musi w tym celu korzystać z plików nosicieli ani sektorów rozruchowych dysku. Robaki rozpowszechniają się przy użyciu adresów e-mail z listy kontaktów oraz wykorzystują luki w zabezpieczeniach aplikacji sieciowych. Robaki są przez to znacznie bardziej żywotne niż wirusy komputerowe. Ze względu na powszechność dostępu do Internetu mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin po opublikowaniu, a w niektórych przypadkach nawet w ciągu kilku minut. Możliwość szybkiego i niezależnego powielania się powoduje, że są one znacznie groźniejsze niż inne rodzaje szkodliwego oprogramowania. Robak uaktywniony w systemie może być przyczyną wielu niedogodności: może usuwać pliki, obniżać wydajność komputera, a nawet blokować działanie programów. Natura robaka komputerowego predestynuje go do stosowania w charakterze „środka transportu” dla innych typów szkodliwego oprogramowania. Jeśli komputer został zainfekowany przez robaka, zaleca się usunięcie zainfekowanych plików, ponieważ prawdopodobnie zawierają one szkodliwy kod. Przykłady popularnych robaków: Lovsan/Blaster, Stration/Warezov, Bagle i Netsky. 342 8.1.3 Konie trojańskie Komputerowe konie trojańskie uznawano dotychczas za klasę wirusów, które udają pożyteczne programy, aby skłonić użytkownika do ich uruchomienia. Należy jednak koniecznie zauważyć, że było to prawdziwe w odniesieniu do koni trojańskich starej daty — obecnie nie muszą już one ukrywać swojej prawdziwej natury. Ich jedynym celem jest jak najłatwiejsze przeniknięcie do systemu i wyrządzenie w nim szkód. Określenie „koń trojański” stało się bardzo ogólnym terminem używanym w odniesieniu do każdego wirusa, którego nie można zaliczyć do infekcji innego typu. W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją często na wiele podkategorii: Program pobierający (ang. downloader) — szkodliwy program, który potrafi pobierać inne wirusy z Internetu. Program zakażający (ang. dropper) — rodzaj konia trojańskiego, którego działanie polega na umieszczaniu na zaatakowanych komputerach szkodliwego oprogramowania innych typów. Program otwierający furtki (ang. backdoor) — aplikacja, która komunikuje się ze zdalnymi intruzami, umożliwiając im uzyskanie dostępu do systemu i przejęcie nad nim kontroli. Program rejestrujący znaki wprowadzane na klawiaturze (ang. keylogger, keystroke logger) — program, który rejestruje znaki wprowadzone przez użytkownika i wysyła informacje o nich zdalnym intruzom. Program nawiązujący kosztowne połączenia (ang. dialer) — program mający na celu nawiązywanie połączeń z kosztownymi numerami telefonicznymi. Zauważenie przez użytkownika nowego połączenia jest prawie niemożliwe. Programy takie mogą przynosić straty tylko użytkownikom modemów telefonicznych, które nie są już powszechnie używane. Konie trojańskie występują zwykle w postaci plików wykonywalnych z rozszerzeniem EXE. Jeśli na komputerze zostanie wykryty plik uznany za konia trojańskiego, zaleca się jego usunięcie, ponieważ najprawdopodobniej zawiera szkodliwy kod. Przykłady popularnych koni trojańskich: NetBus, Trojandownloader. Small.ZL, Slapper 8.1.4 Programy typu rootkit Programy typu rootkit są szkodliwymi aplikacjami, które przyznają internetowym intruzom nieograniczony dostęp do systemu operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu do komputera (zwykle z wykorzystaniem luki w jego zabezpieczeniach) programy typu rootkit używają funkcji systemu operacyjnego, aby uniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemu Windows. Z tego powodu wykrycie ich przy użyciu zwykłych technik testowania jest prawie niemożliwe. Wykrywanie programów typu rootkit odbywa się na dwóch poziomach: 1) Podczas próby uzyskania przez nie dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem są nieaktywne. Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tym poziomie (przy założeniu, że rozpoznają takie pliki jako zainfekowane). 2) Gdy są niewidoczne dla zwykłych narzędzi testowych. W programie ESET Remote Administrator zastosowano technologię Anti-Stealth, która potrafi wykrywać i usuwać także aktywne programy typu rootkit. 343 8.1.5 Adware Oprogramowanie adware to oprogramowanie utrzymywane z reklam. Do tej kategorii zaliczane są programy wyświetlające treści reklamowe. Takie aplikacje często automatycznie otwierają okienka wyskakujące z reklamami lub zmieniają stronę główną w przeglądarce internetowej. Oprogramowanie adware jest często dołączane do bezpłatnych programów, dzięki czemu ich autorzy mogą pokryć koszty tworzenia tych (zazwyczaj użytecznych) aplikacji. Oprogramowanie adware samo w sobie nie jest niebezpieczne — użytkownikom mogą jedynie przeszkadzać wyświetlane reklamy. Niebezpieczeństwo związane z oprogramowaniem adware polega jednak na tym, że może ono zawierać funkcje śledzące (podobnie jak oprogramowanie spyware). Jeśli użytkownik zdecyduje się użyć bezpłatnego oprogramowania, powinien zwrócić szczególną uwagę na jego program instalacyjny. Podczas instalacji zazwyczaj jest wyświetlane powiadomienie o instalowaniu dodatkowych programów adware. Często jest dostępna opcja umożliwiająca anulowanie instalacji programu adware i zainstalowanie programu głównego bez dołączonego oprogramowania tego typu. W niektórych przypadkach zainstalowanie programu bez dołączonego oprogramowania adware jest niemożliwe lub powoduje ograniczenie funkcjonalności. Dzięki temu oprogramowanie adware może zostać zainstalowane w systemie w sposób legalny, ponieważ użytkownik wyraża na to zgodę. W takim przypadku należy kierować się względami bezpieczeństwa. Jeśli na komputerze wykryto plik rozpoznany jako oprogramowanie adware, zaleca się jego usunięcie, ponieważ zachodzi duże prawdopodobieństwo, że zawiera on szkodliwy kod. 8.1.6 Spyware Do tej kategorii należą wszystkie aplikacje, które przesyłają prywatne informacje bez zgody i wiedzy użytkownika. Korzystają one z funkcji śledzących w celu wysyłania różnych danych statystycznych, na przykład listy odwiedzonych witryn internetowych, adresów e-mail z listy kontaktów użytkownika lub listy znaków wprowadzanych za pomocą klawiatury. Twórcy oprogramowania spyware twierdzą, że te techniki mają na celu uzyskanie pełniejszych informacji o potrzebach i zainteresowaniach użytkowników oraz umożliwiają trafniejsze kierowanie reklam do odbiorców. Problem polega jednak na tym, że nie ma wyraźnego rozgraniczenia między pożytecznymi a szkodliwymi aplikacjami i nikt nie może mieć pewności, czy gromadzone informacje nie zostaną wykorzystane w niedozwolony sposób. Dane pozyskiwane przez spyware mogą obejmować kody bezpieczeństwa, kody PIN, numery kont bankowych itd. Aplikacja spyware jest często umieszczana w bezpłatnej wersji programu przez jego autora w celu uzyskania środków pieniężnych lub zachęcenia użytkownika do nabycia wersji komercyjnej. Nierzadko użytkownicy są podczas instalacji programu informowani o obecności oprogramowania spyware, co ma ich skłonić do zakupu pozbawionej go wersji płatnej. Przykładami popularnych bezpłatnych produktów, do których dołączone jest takie oprogramowanie, są aplikacje klienckie sieci P2P (ang. peer-to-peer). Programy Spyfalcon i Spy Sheriff (oraz wiele innych) należą do szczególnej podkategorii oprogramowania spyware. Wydają się zapewniać przed nim ochronę, ale w rzeczywistości same są takimi programami. Jeśli na komputerze zostanie wykryty plik rozpoznany jako spyware, zaleca się jego usunięcie, ponieważ z dużym prawdopodobieństwem zawiera on szkodliwy kod. 8.1.7 Potencjalnie niebezpieczne aplikacje Istnieje wiele legalnych programów, które ułatwiają administrowanie komputerami połączonymi w sieć. Jednak w niewłaściwych rękach mogą one zostać użyte do wyrządzania szkód. Program ESET Remote Administrator zawiera narzędzia pozwalające wykrywać takie zagrożenia. „Potencjalnie niebezpieczne aplikacje” to kategoria, do której należą niektóre legalne programy komercyjne. Są to m.in. narzędzia do dostępu zdalnego, programy do łamania haseł i programy rejestrujące znaki wprowadzane na klawiaturze. W przypadku wykrycia działającej na komputerze potencjalnie niebezpiecznej aplikacji, która nie została zainstalowana świadomie przez użytkownika, należy skonsultować się z administratorem sieci lub usunąć ją. 344 8.1.8 Potencjalnie niepożądane aplikacje Aplikacje potencjalnie niepożądane nie musiały być świadomie projektowane w złych intencjach, ale ich stosowanie może w jakimś stopniu obniżać wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed instalacją. Najbardziej mogą się rzucać w oczy następujące zmiany: otwieranie nowych, nieznanych okien; aktywacja i uruchamianie ukrytych procesów; zwiększone wykorzystanie zasobów systemowych; zmiany w wynikach wyszukiwania; komunikacja aplikacji z serwerami zdalnymi. 345 9. Często zadawane pytania P: Dlaczego instalujemy środowisko Java na serwerze? Czy nie powoduje to zagrożenia bezpieczeństwa? O: Działanie konsoli internetowej ERA wymaga środowiska Java. Java to standard branżowy związany z obsługą konsol internetowych. Do obsługi konsoli internetowej ERA wymagane jest wprawdzie środowisko Java co najmniej w wersji 7, jednak zdecydowanie zalecamy korzystanie z najnowszej oficjalnie opublikowanej wersji środowiska Java. P: W dzienniku śledzenia trace.log narzędzia ESET Rogue Detector stale zapisywany jest następujący komunikat o błędzie: 2015-02-25 18:55:04 Inf ormacj e: CPCAPDeviceSnif f er [Thread 764]: Element CPCAPDeviceSnif f er w lokalizacj i rpcap://\Device\NPF_{2BDB8A61-FFDA-42FC-A883-CDAF6D129C6B} zgłosił błąd: Otwarcie urządzenia nie powiodło się, błąd:Błąd podczas otwierania karty: System nie może znaleźć podanego urządzenia. (20) O: Ten problem dotyczy programu WinPcap. Zatrzymaj usługę ESET Rogue Detector Sensor, zainstaluj ponownie najnowszą wersję programu WinPcap (co najmniej wersję 4.1.0) i uruchom ponownie usługę ESET Rogue Detector Sensor. P: Jak w prosty sposób znaleźć numer portu serwera SQL? O: Numer portu serwera SQL można ustalić na kilka sposobów. Najlepszy wynik można uzyskać poprzez użycie narzędzia Menedżer konfiguracji programu SQL Server. Na poniższym przykładzie przedstawiono, gdzie można znaleźć tę informacje w oknie Menedżera konfiguracji programu SQL Server: P: Po zainstalowaniu oprogramowania SQL Express 2008 (dołączonego do pakietu ERA) w systemie Windows Server 2012 zdaje się, że nasłuch nie odbywa się na standardowym porcie SQL. O: Nasłuch odbywa się najprawdopodobniej na porcie innym niż domyślny port 1433. P: Jak skonfigurować program MySQL, by przyjmował większe pakiety? O: Należy odnaleźć plik konfiguracyjny MySQL (my.ini dla systemu Windows oraz my.cnf dla systemu Linux, a dokładna lokalizacja pliku ini może być różna w różnych systemach operacyjnych), otworzyć ten plik i znaleźć sekcję [mysqld] . Następnie należy dodać nowy wiersz o następującej treści: max_allowed_packet=33M (wartość powinna wynosić co najmniej 33M). 346 P: Jak utworzyć bazę danych serwera ERA w przypadku samodzielnej instalacji programu SQL? O: Nie trzeba tego robić. Baza danych jest tworzona przez instalator Server.msi , a nie przez instalator oprogramowania ERA. W celu uproszczenia procedury do pakietu dołączono instalator oprogramowania ERA, który instaluje serwer SQL, po czym baza danych zostaje utworzona przez instalator server.msi. P: Czy instalator ERA serwera umożliwia utworzenie nowej bazy danych w ramach istniejącej instalacji serwera SQL w przypadku podania prawidłowych danych połączenia z serwerem SQL oraz poświadczeń? Możliwość obsługi różnych wersji programu SQL Server (2008, 2014 itd.) byłaby udogodnieniem. O: Baza danych jest tworzona przez instalator Server.msi, zatem odpowiedź brzmi tak: utworzenie bazy danych serwera ERA w osobno zainstalowanych instancjach programu SQL Server jest możliwe. Obsługiwane wersje oprogramowania SQL Server to 2008, 2012 i 2014. P: Dlaczego w instalatorze serwera ERA używany jest serwer SQL w wersji 2008 R2? O: Używany jest serwer SQL w wersji 2008 R2, ponieważ firma Microsoft deklaruje zgodność tego typu bazy danych z systemem Windows XP oraz nowszymi systemami operacyjnymi. P: Co zrobić, jeśli podczas instalacji MSSQL pojawi się kod błędu: -2068052081 ? O: Należy uruchomić komputer ponownie i jeszcze raz przeprowadzić instalację. Jeśli problem nie ustąpił, należy odinstalować macierzystego klienta serwera SQL i ponownie uruchomić program instalacyjny. Jeśli nie rozwiązało to problemu, należy odinstalować wszystkie produkty Microsoft SQL Server, uruchomić ponownie komputer i ponownie uruchomić instalację. P: Co zrobić, jeśli podczas instalacji MSSQL pojawi się kod błędu: -2067922943 ? O: Należy sprawdzić, czy system spełnia wszystkie wymagania dotyczące bazy danych dla oprogramowania ERA. P: Jeśli instalacja przeprowadzana jest na istniejącym serwerze SQL, to czy na tym serwerze SQL powinien być używany domyślnie wbudowany tryb uwierzytelniania Windows? O: Nie, ponieważ tryb uwierzytelniania Windows może być wyłączony na serwerze SQL i jedynym sposobem logowania, z którego należy korzystać jest uwierzytelnianie serwera SQL (wprowadzanie nazwy użytkownika i hasła). Należy korzystać z uwierzytelniania serwera SQL lub z trybu mieszanego. W przypadku ręcznego instalowania programu SQL Server zalecane jest utworzenie hasła głównego do serwera SQL (nazwa użytkownika głównego to „sa” i jest to skrót od słów „security admin”, czyli administrator zabezpieczeń) i zapisanie go w bezpiecznym miejscu. Hasło główne może być potrzebne przy uaktualnianiu serwera ERA. P: Instalator oprogramowania ERA zasygnalizował konieczność zainstalowania aplikacji Microsoft .NET Framework 3.5 (http://www.microsoft.com/en-us/download/details.aspx?id=21), jednak nie udało się tego zrobić w nowo zainstalowanym systemie Windows Server 2012 R2 z dodatkiem SP1. O: Nie można użyć tego instalatora w systemie Windows Server 2012 ze względu na zasady zabezpieczeń stosowane w systemie Windows Server 2012. Aplikację Microsoft .NET Framework należy zainstalować przy użyciu Kreatora ról i funkcji. P: W systemie zainstalowana była już aplikacja Microsoft .NET Framework 4.5. Konieczne było skorzystanie z Kreatora ról i funkcji w celu dodania wersji .NET 3.5. Dlaczego nie można korzystać z wersji 4.5? O: Ponieważ program .NET 4.5 nie jest zgodny z poprzednią wersją .NET 3.5, co jest warunkiem koniecznym dla instalatora programu SQL Server. P: Trudno jest stwierdzić, czy instalacja serwera SQL jest w toku. W jaki sposób sprawdzić co się dzieje, jeśli instalacja trwa dłużej niż 10 minut? O: Instalacja serwera SQL może, w rzadkich przypadkach, zająć nawet do 1 godziny. Czas instalacji zależy od wydajności systemu. P: Jak zresetować hasło administratora konsoli internetowej (wprowadzone podczas konfiguracji)? O: Hasło można zresetować poprzez uruchomienie instalatora serwera i wybranie opcji Napraw. Potrzebne może być jednak hasło do bazy danych serwera ERA, jeśli podczas tworzenia bazy danych nie został użyty tryb uwierzytelniania Windows. UWAGA: Należy zachować ostrożność, ponieważ niektóre opcje naprawy mogą spowodować usunięcie zapisanych danych. 347 P: Jakiego formatu powinien być plik przeznaczony do zaimportowania na serwer ERA, zawierający listę komputerów, które mają zostać dodane? O: Ten plik powinien zawierać następujące wiersze: Wszystkie\Grupa_1\Grupa_N\Komputer_1 Wszystkie\Grupa_1\Grupa_M\Komputer_X Wszystkie to wymagana nazwa grupy głównej. 348 10. ESET Remote Administrator — informacje W tym oknie znajdują się szczegółowe informacje o zainstalowanej wersji oprogramowania ESET Remote Administrator oraz lista zainstalowanych modułów programu. W górnej części okna znajdują się informacje na temat systemu operacyjnego i zasobów systemowych. 349 11. Umowa Licencyjna Użytkownika Końcowego (EULA) WAŻNE: Przed pobraniem, zainstalowaniem, skopiowaniem lub użyciem Oprogramowania należy się dokładnie zapoznać z poniższymi warunkami korzystania z produktu. POBRANIE, ZAINSTALOWANIE, SKOPIOWANIE LUB UŻYCIE OPROGRAMOWANIA OZNACZA WYRAŻENIE ZGODY NA TE WARUNKI KORZYSTANIA Z PRODUKTU. Umowa licencyjna użytkownika końcowego oprogramowania Niniejsza Umowa licencyjna użytkownika końcowego oprogramowania (w dalszej części nazywana „Umową”), zawierana między spółką ESET, spol. s r. o., z siedzibą w Słowacji pod adresem Einsteinova 24, 851 01 Bratislava, zarejestrowaną w Rejestrze Handlowym Sądu Rejonowego dla okręgu Bratislava I, w sekcji Sro pod numerem 3586/ B, numer w rejestrze przedsiębiorców: 31 333 535, lub między inną spółką wchodzącą w skład grupy ESET Group (w dalszej części nazywaną „firmą ESET” lub „Dostawcą”) a licencjobiorcą, który jest osobą fizyczną lub prawną (w dalszej części nazywanym „Licencjobiorcą” lub „Użytkownikiem końcowym”), uprawnia Licencjobiorcę do korzystania z Oprogramowania określonego w punkcie 1 niniejszej Umowy. Oprogramowanie określone w punkcie 1 niniejszej Umowy może znajdować się na nośniku danych albo zostać przesłane pocztą elektroniczną, pobrane z Internetu, pobrane z serwerów Dostawcy lub uzyskane z innych źródeł na warunkach wyszczególnionych poniżej. NINIEJSZA UMOWA DOTYCZY WYŁĄCZNIE OKREŚLENIA PRAW UŻYTKOWNIKA KOŃCOWEGO I NIE STANOWI UMOWY SPRZEDAŻY. Dostawca pozostaje właścicielem kopii Oprogramowania i nośnika fizycznego zawartego w opakowaniu z produktem, a także wszystkich innych kopii Oprogramowania, które Użytkownik końcowy może wykonać zgodnie z niniejszą Umową. Kliknięcie opcji „Akceptuję” w trakcie pobierania, instalowania, kopiowania lub używania Oprogramowania oznacza, że Licencjobiorca wyraża zgodę na warunki określone w niniejszej Umowie. Jeśli Licencjobiorca nie wyraża zgody na którykolwiek warunek określony w niniejszej Umowie, powinien niezwłocznie kliknąć opcję „Nie akceptuję” oraz anulować pobieranie lub instalację albo zniszczyć Oprogramowanie, nośnik instalacyjny, dokumentację towarzyszącą Oprogramowaniu i dowód sprzedaży Oprogramowania bądź zwrócić je do firmy ESET lub w miejscu zakupu Oprogramowania. LICENCJOBIORCA PRZYJMUJE DO WIADOMOŚCI, ŻE KORZYSTANIE Z OPROGRAMOWANIA OZNACZA ZAPOZNANIE SIĘ Z NINIEJSZĄ UMOWĄ, ZROZUMIENIE WARUNKÓW W NIEJ OKREŚLONYCH ORAZ ZOBOWIĄZANIE DO ICH PRZESTRZEGANIA. 1. Oprogramowanie. Termin „Oprogramowanie” używany w niniejszej Umowie oznacza: (i) program komputerowy ESET Remote Administrator i wszystkie jego składniki; (ii) całą zawartość dysków, płyt CD-ROM i płyt DVD, wiadomości e-mail wraz z ich załącznikami oraz innych nośników, do których jest dołączona niniejsza Umowa, w tym Oprogramowanie w formie kodu obiektowego dostarczone na nośniku danych albo za pośrednictwem poczty elektronicznej lub Internetu; (iii) wszelkie powiązane drukowane materiały instruktażowe oraz wszelką inną dokumentację powiązaną z Oprogramowaniem, w tym przede wszystkim wszelkie opisy Oprogramowania, jego dane techniczne, wszelkie opisy jego właściwości lub działania, wszelkie opisy środowiska operacyjnego, w którym Oprogramowanie jest używane, instrukcje obsługi lub instalacji Oprogramowania oraz wszelkie opisy sposobu korzystania z Oprogramowania (w dalszej części nazywane „Dokumentacją”); (iv) wszelkie ewentualne kopie Oprogramowania, poprawki możliwych błędów Oprogramowania, dodatki do Oprogramowania, rozszerzenia Oprogramowania, zmodyfikowane wersje Oprogramowania oraz aktualizacje składników Oprogramowania, na które Dostawca udziela Licencjobiorcy licencji zgodnie z zapisami w punkcie 3 niniejszej Umowy. Oprogramowanie jest dostarczane wyłącznie w postaci wykonywalnego kodu obiektowego. 2. Instalacja. Oprogramowanie dostarczone na nośniku danych, otrzymane za pośrednictwem poczty elektronicznej, pobrane z Internetu, pobrane z serwerów Dostawcy lub uzyskane z innych źródeł musi zostać zainstalowane. Oprogramowanie należy zainstalować na prawidłowo skonfigurowanym komputerze, który spełnia minimalne wymagania określone w Dokumentacji. Procedurę instalacji również opisano w Dokumentacji. Na komputerze, na którym zostanie zainstalowane Oprogramowanie, nie można instalować sprzętu komputerowego ani programów komputerowych, które mogłyby niekorzystnie wpłynąć na Oprogramowanie. 3. Licencja. Dostawca udziela Licencjobiorcy praw określonych poniżej (w dalszej części nazywanych zbiorczo „Licencją”), jeśli Licencjobiorca zobowiązał się przestrzegać i przestrzega wszelkich warunków określonych w niniejszej Umowie oraz w stosownym terminie uiścił opłatę licencyjną: 350 a) Instalacja i użycie. Licencjobiorcy przysługują niewyłączne, nieprzenoszalne prawa do zainstalowania Oprogramowania na dysku twardym komputera lub na innym nośniku do trwałego przechowywania danych, do zainstalowania i przechowywania Oprogramowania w pamięci systemu komputerowego oraz do zaimplementowania, przechowywania i wyświetlania Oprogramowania. b) Postanowienia w sprawie liczby Licencji. Prawo do korzystania z Oprogramowania w ramach jednej Licencji jest ograniczone do jednego Użytkownika końcowego. Jeden Użytkownik końcowy oznacza: (i) instalację Oprogramowania na jednym systemie komputerowym lub, jeśli liczba Licencji zależy od liczby skrzynek pocztowych, (ii) użytkownika komputera, który odbiera pocztę elektroniczną za pośrednictwem klienta poczty elektronicznej. Jeśli do klienta poczty elektronicznej dociera poczta elektroniczna, która jest następnie automatycznie dystrybuowana do innych użytkowników, liczbę Użytkowników końcowych stanowi liczba wszystkich użytkowników, do których jest dostarczana poczta. Jeśli serwer poczty pełni funkcję bramy pocztowej, liczba Użytkowników końcowych jest równa liczbie użytkowników serwera poczty, którzy są obsługiwani przez tę bramę. Jeśli jeden użytkownik odbiera pocztę przesyłaną na różne adresy e-mail (na przykład za pośrednictwem usługi aliasów), a liczba tych adresów jest nieokreślona i wiadomości nie są automatycznie dystrybuowane przez klienta poczty elektronicznej do większej liczby użytkowników, wymagana jest licencja na jednego użytkownika komputera. Z jednej Licencji można korzystać każdorazowo tylko na jednym komputerze. c) Wersja Business Edition. W przypadku zamiaru zainstalowania i użycia Oprogramowania na serwerze poczty, w systemie przekazywania wiadomości e-mail lub w połączeniu z bramą pocztową bądź internetową wymagane jest nabycie wersji Business Edition Oprogramowania. d) Okres obowiązywania Licencji. Prawo do korzystania z Oprogramowania jest ograniczone w czasie. e) Oprogramowanie dostarczone przez producenta urządzenia (OEM). Prawo do korzystania z Oprogramowania, które zostało dostarczone przez producenta zakupionego urządzenia (OEM, Original Equipment Manufacturer), jest ograniczone do tego urządzenia. Prawa tego nie można przenosić na inne urządzenia. f) Oprogramowanie w wersji próbnej lub nieprzeznaczonej do obrotu handlowego. Nie można pobierać opłat za korzystanie z Oprogramowania, które jest oznaczone napisem „Not for resale” lub „NFR” (Nie do sprzedaży) albo „TRIAL” (Wersja próbna). Oprogramowanie takie jest przeznaczone wyłącznie do prezentacji lub testowania jego funkcji. g) Wygaśnięcie Licencji. Licencja wygasa automatycznie po upływie okresu jej obowiązywania. Jeśli Licencjobiorca naruszył którekolwiek z postanowień niniejszej Umowy, Dostawca jest uprawniony do rozwiązania niniejszej Umowy oraz do wykonania wszelkich innych praw i zastosowania wszelkich innych środków prawnych przysługujących mu w takiej sytuacji. W razie anulowania Licencji Licencjobiorca musi natychmiast usunąć lub zniszczyć Oprogramowanie i wszystkie jego kopie zapasowe lub zwrócić je na własny koszt do firmy ESET bądź w miejscu zakupu Oprogramowania. 4. Połączenie z Internetem. Aby Oprogramowanie działało poprawnie, wymagane jest stałe połączenie z Internetem oraz regularne połączenia z serwerami Dostawcy lub z serwerami innych firm. Połączenie z Internetem jest niezbędne do obsługi następujących funkcji Oprogramowania: a) Aktualizacje Oprogramowania. Dostawca jest uprawniony do wprowadzania w Oprogramowaniu zmian w formie aktualizacji (w dalszej części nazywanych „Aktualizacjami”), przy czym nie jest on ograniczony żadnymi terminami wprowadzenia takich zmian ani nie jest zobowiązany do ich wprowadzenia. Funkcja Aktualizacji jest domyślnie włączona w ustawieniach standardowych Oprogramowania, dlatego Aktualizacje są instalowane automatycznie, o ile Użytkownik końcowy nie zmienił ustawienia automatycznego instalowania Aktualizacji. 351 b) Przekazywanie szkodliwego oprogramowania i informacji o komputerze do Dostawcy. Oprogramowanie jest wyposażone w funkcję, która umożliwia gromadzenie próbek nowych wirusów komputerowych i innych szkodliwych programów komputerowych, jak również podejrzanych lub problematycznych plików (w dalszej części nazywanych „Szkodliwym oprogramowaniem”), a następnie ich przesyłanie do Dostawcy wraz z informacjami na temat komputera i/lub platformy, na których Oprogramowanie jest zainstalowane (w dalszej części nazywanymi „Informacjami”). Informacje mogą obejmować dane Użytkownika końcowego (w tym jego dane osobowe) i/lub dane innych użytkowników komputera, na którym zainstalowano Oprogramowanie, informacje na temat tego komputera oraz na temat systemu operacyjnego i programów zainstalowanych na tym komputerze, a także pliki z tego komputera, pliki uszkodzone przez Szkodliwe oprogramowanie i informacje o takich plikach. Dostawca może wykorzystać otrzymane Szkodliwe oprogramowanie oraz Informacje tylko w celu analizy Szkodliwego oprogramowania i jest zobowiązany do podjęcia stosownych środków gwarantujących zachowanie poufności Informacji. Zaakceptowanie niniejszej Umowy oraz włączenie opisanej wyżej funkcji Oprogramowania oznacza, że Licencjobiorca wyraża zgodę na przesyłanie Szkodliwego oprogramowania i Informacji do Dostawcy, a także udziela Dostawcy zezwolenia na przetwarzanie przesłanych Informacji, które to zezwolenie jest wymagane stosownymi przepisami prawnymi. 5. Wykonywanie praw Użytkownika końcowego. Licencjobiorca może wykonywać swoje prawa wyłącznie osobiście lub za pośrednictwem swoich pracowników. Licencjobiorca może korzystać z Oprogramowania wyłącznie w celu zapewnienia ciągłości swojej działalności gospodarczej i w celu zabezpieczenia systemów komputerowych, na które uzyskał Licencje. 6. Ograniczenie praw. Licencjobiorca nie może kopiować, rozpowszechniać ani wyodrębniać składników Oprogramowania, jak również nie może tworzyć produktów na podstawie Oprogramowania (nie może wykonywać dzieł pochodnych). Korzystając z Oprogramowania, Licencjobiorca musi przestrzegać następujących ograniczeń: (a) Licencjobiorca może wykonać jedną kopię Oprogramowania na nośniku przeznaczonym do trwałego przechowywania danych i przechowywać tę kopię w charakterze archiwalnej kopii zapasowej, tj. nie może zainstalować ani użyć takiej kopii na żadnym komputerze. Wszelkie inne kopie Oprogramowania wykonane przez Licencjobiorcę stanowią naruszenie warunków określonych w niniejszej Umowie. (b) Licencjobiorca nie może używać, modyfikować, tłumaczyć ani odtwarzać Oprogramowania ani jego kopii w sposób inny niż wyszczególniony w niniejszej Umowie. (c) Licencjobiorca nie może sprzedawać Oprogramowania, udzielać na nie podlicencji, oddawać go w użytkowanie, wypożyczać go innym osobom ani pożyczać go od innych osób, a także nie może używać Oprogramowania w celu świadczenia usług o charakterze dochodowym. (d) Licencjobiorca nie może podejmować prób odtworzenia kodu źródłowego Oprogramowania na drodze dekompilacji lub dezasemblacji ani w żaden inny sposób, chyba że pozwalają mu na to przepisy, które w stosownym zakresie wyraźnie znoszą niniejsze postanowienie. (e) Licencjobiorca zobowiązuje się używać Oprogramowania w sposób zgodny z wszelkimi przepisami, które mają zastosowanie do Oprogramowania ze względu na właściwość terytorialną Licencjobiorcy, w tym między innymi ze stosownymi ograniczeniami dotyczącymi prawa autorskiego i innych praw własności intelektualnej. 7. Prawo autorskie. Oprogramowanie i wszystkie prawa z nim związane, w tym między innymi prawa własności i prawa własności intelektualnej do Oprogramowania, należą do firmy ESET i/lub jej licencjodawców. Prawa te gwarantują zapisy traktatów międzynarodowych oraz wszelkie właściwe przepisy ustawowe obowiązujące w kraju, w którym jest używane Oprogramowanie. Struktura Oprogramowania, sposób jego zorganizowania i kod w nim zawarty są cennymi tajemnicami handlowymi oraz informacjami poufnymi firmy ESET i/lub jej licencjodawców. Licencjobiorca nie może kopiować Oprogramowania poza okolicznościami opisanymi w punkcie 6(a). Wszelkie kopie utworzone przez Licencjobiorcę zgodnie z niniejszą Umową muszą zawierać te same informacje o prawie autorskim i innych prawach własności, które znajdują się w Oprogramowaniu. Licencjobiorca niniejszym przyjmuje do wiadomości, że w razie naruszenia postanowień niniejszej Umowy przez podjęcie próby odtworzenia kodu źródłowego Oprogramowania na drodze dekompilacji lub dezasemblacji albo w inny sposób, prawa do wszelkich informacji uzyskanych przez Licencjobiorcę w wyniku podjęcia takiej próby zostaną uznane za automatycznie i nieodwołalnie przeniesione w całości na Dostawcę już w momencie powstania takich informacji i to niezależnie od praw przysługujących Dostawcy w związku z naruszeniem przez Licencjobiorcę warunków określonych w niniejszej Umowie. 352 8. Zastrzeżenie praw. Dostawca niniejszym zastrzega sobie wszelkie prawa do Oprogramowania, z wyjątkiem praw wyraźnie udzielonych Licencjobiorcy (występującemu w charakterze Użytkownika końcowego) na podstawie niniejszej Umowy. 9. Różne wersje językowe, Oprogramowanie obsługujące wiele urządzeń i wiele kopii Oprogramowania. Jeśli Oprogramowanie może obsługiwać wiele platform lub języków bądź jeśli Licencjobiorca uzyskał wiele kopii Oprogramowania, Oprogramowania można używać tylko na tych systemach komputerowych i w tych wersjach, na które Licencjobiorca uzyskał Licencje. Licencjobiorca nie może sprzedawać wersji ani kopii Oprogramowania, których nie używa, jak również nie może ich oddawać w użytkowanie, udzielać na nie podlicencji, wypożyczać ich ani przenosić do nich praw na inne osoby. 10. Rozpoczęcie i zakończenie obowiązywania Umowy. Niniejsza Umowa wchodzi w życie z datą wyrażenia przez Licencjobiorcę zgody na warunki określone w tej Umowie. Licencjobiorca może rozwiązać niniejszą Umowę w dowolnej chwili przez trwałe odinstalowanie i zniszczenie Oprogramowania, wszystkich jego kopii zapasowych i wszelkich powiązanych materiałów dostarczonych przez Dostawcę lub jego partnerów handlowych bądź przez zwrócenie tych produktów na własny koszt. Bez względu na powód rozwiązania niniejszej Umowy po zakończeniu jej obowiązywania nadal obowiązują postanowienia zawarte w punktach 7, 8, 11, 13, 20 i 22. 11. OŚWIADCZENIA UŻYTKOWNIKA KOŃCOWEGO. LICENCJOBIORCA (WYSTĘPUJĄCY W CHARAKTERZE UŻYTKOWNIKA KOŃCOWEGO) PRZYJMUJE OPROGRAMOWANIE W STANIE TAKIM, W JAKIM ZOSTAŁO MU ONO DOSTARCZONE, BEZ JAKICHKOLWIEK WYRAŹNYCH LUB DOROZUMIANYCH GWARANCJI, O ILE PRAWO WŁAŚCIWE TEGO NIE ZABRANIA. ANI DOSTAWCA, ANI JEGO LICENCJODAWCY CZY PODMIOTY STOWARZYSZONE, ANI WŁAŚCICIELE STOSOWNYCH PRAW AUTORSKICH NIE UDZIELAJĄ ŻADNYCH WYRAŹNYCH ANI DOROZUMIANYCH GWARANCJI, W TYM MIĘDZY INNYMI GWARANCJI PRZYDATNOŚCI HANDLOWEJ LUB PRZYDATNOŚCI DO OKREŚLONEGO CELU, JAK RÓWNIEŻ NIE GWARANTUJĄ, ŻE OPROGRAMOWANIE NIE BĘDZIE NARUSZAĆ PRAW PATENTOWYCH, PRAW AUTORSKICH, PRAW DO ZNAKÓW TOWAROWYCH ANI INNYCH PRAW OSÓB TRZECICH. ANI DOSTAWCA, ANI ŻADNA INNA OSOBA NIE GWARANTUJE, ŻE FUNKCJE OPROGRAMOWANIA SPEŁNIAJĄ WYMAGANIA LICENCJOBIORCY LUB ŻE DZIAŁANIE OPROGRAMOWANIA BĘDZIE NIEZAKŁÓCONE I POZBAWIONE BŁĘDÓW. LICENCJOBIORCA BIERZE NA SIEBIE WSZELKĄ ODPOWIEDZIALNOŚĆ ZA DOBÓR OPROGRAMOWANIA ODPOWIEDNIEGO DO OSIĄGNIĘCIA CELÓW LICENCJOBIORCY ORAZ ZA PRZEPROWADZENIE INSTALACJI OPROGRAMOWANIA, ZA JEGO UŻYCIE I ZA WYNIKI TEGO UŻYCIA. 12. Brak innych zobowiązań. W niniejszej Umowie określono wszystkie zobowiązania Dostawcy i jego licencjodawców. 13. OGRANICZENIE ODPOWIEDZIALNOŚCI. O ILE PRAWO WŁAŚCIWE TEGO NIE ZABRANIA, ANI DOSTAWCA, ANI JEGO PRACOWNICY CZY LICENCJODAWCY NIE PONOSZĄ ŻADNEJ ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK UTRATY ZYSKÓW, PRZYCHODÓW, ŹRÓDEŁ PRZYCHODÓW LUB DANYCH, SZKODY MAJĄTKOWE LUB OBRAŻENIA CIAŁA, ZAKŁÓCENIA DZIAŁALNOŚCI PRZEDSIĘBIORSTWA, UTRATY DANYCH HANDLOWYCH CZY JAKIEKOLWIEK SZKODY SZCZEGÓLNE, BEZPOŚREDNIE, POŚREDNIE, UBOCZNE, GOSPODARCZE, MORALNE LUB WYNIKOWE, JAK RÓWNIEŻ NIE BĘDĄ PONOSIĆ KOSZTÓW NABYCIA ZASTĘPCZYCH TOWARÓW LUB USŁUG ANI POKRYWAĆ RÓŻNIC MIĘDZY CENAMI KONTRAKTOWYMI A CENAMI TRANSAKCJI. ZASTRZEŻENIE OKREŚLONE W POWYŻSZYM ZDANIU MA ZASTOSOWANIE BEZ WZGLĘDU NA PRZYCZYNĘ POWSTANIA SZKODY I NA TO, CZY EWENTUALNE ROSZCZENIE ZOSTAŁO ZGŁOSZONE NA PODSTAWIE UMOWY, PRZEPISÓW O CZYNACH NIEDOZWOLONYCH, PRZEPISÓW DOTYCZĄCYCH ZANIEDBAŃ CZY NA JAKIEJKOLWIEK INNEJ PODSTAWIE ORAZ CZY ZOSTAŁO ONO ZGŁOSZONE W ZWIĄZKU Z UŻYCIEM, CZY Z NIEMOŻNOŚCIĄ UŻYCIA OPROGRAMOWANIA. ZASTRZEŻENIE TO MA ZASTOSOWANIE TAKŻE WÓWCZAS, GDY DOSTAWCA LUB JEGO LICENCJODAWCY BĄDŹ PODMIOTY STOWARZYSZONE ZOSTALI POWIADOMIENI O MOŻLIWOŚCI WYSTĄPIENIA DANEJ SZKODY. W PRZYPADKU JURYSDYKCJI, KTÓRE NIE ZEZWALAJĄ NA WYŁĄCZENIE ODPOWIEDZIALNOŚCI ODSZKODOWAWCZEJ, LECZ DOPUSZCZAJĄ JEJ OGRANICZENIE, ODPOWIEDZIALNOŚĆ DOSTAWCY, JEGO PRACOWNIKÓW, LICENCJODAWCÓW LUB PODMIOTÓW STOWARZYSZONYCH JEST OGRANICZONA DO KWOTY ZAPŁACONEJ PRZEZ LICENCJOBIORCĘ ZA LICENCJĘ. 14. Jeśli którekolwiek postanowienie niniejszej Umowy jest sprzeczne z ustawowymi prawami konsumenckimi jakiejkolwiek osoby, postanowienie to nie może być interpretowane w sposób naruszający te prawa. 353 15. Pomoc techniczna. Usługi pomocy technicznej świadczą wedle własnego uznania i bez udzielania jakichkolwiek gwarancji firma ESET lub inne firmy, którym firma ESET zleca świadczenie takich usług. Przed skorzystaniem z usługi pomocy technicznej Użytkownik końcowy musi utworzyć kopię zapasową wszystkich istniejących danych, programów i aplikacji. Ani firma ESET, ani inne firmy, którym firma ESET zleca świadczenie usług pomocy technicznej, nie mogą wziąć na siebie odpowiedzialności za uszkodzenie lub utratę danych, własności, oprogramowania lub urządzeń, jak również nie mogą odpowiadać za utratę zysków spowodowaną świadczeniem usług pomocy technicznej. Firma ESET i/lub inne firmy, którym firma ESET zleca świadczenie usług pomocy technicznej, zastrzegają sobie prawo do odmowy wykonania usługi, jeśli uznają, że nie mieści się ona w zakresie oferowanych usług pomocy technicznej. Firma ESET zastrzega sobie prawo do odmowy, wstrzymania lub zaprzestania świadczenia usług pomocy technicznej, jeśli uzna to za stosowne. 16. Przeniesienie Licencji. Jeśli odpowiednie postanowienia niniejszej Umowy tego nie zabraniają, Oprogramowanie można przenosić między poszczególnymi systemami komputerowymi. O ile nie jest to sprzeczne z warunkami określonymi w niniejszej Umowie, za zgodą Dostawcy Użytkownik końcowy może trwale przenieść Licencję i wszelkie prawa przysługujące mu na podstawie niniejszej Umowy na innego Użytkownika końcowego, pod warunkiem, że (i) nie zachowa dla siebie żadnych kopii Oprogramowania; (ii) przeniesienie praw będzie bezpośrednie, tj. prawa zostaną przeniesione bezpośrednio na nowego Użytkownika końcowego; (iii) nowy Użytkownik końcowy przejmie na siebie wszystkie prawa i obowiązki wynikające z niniejszej Umowy, które miały dotąd zastosowanie do Użytkownika końcowego przenoszącego Licencję; (iv) nowy Użytkownik końcowy otrzyma od Użytkownika końcowego przenoszącego Licencję dokumentację, która umożliwi mu stwierdzenie zgodnie z zapisami w punkcie 17, czy Oprogramowanie jest oryginalne. 17. Stwierdzenie oryginalności Oprogramowania.Użytkownik końcowy może stwierdzić swoje uprawnienia do korzystania z Oprogramowania na trzy sposoby: (i) na podstawie certyfikatu licencyjnego wystawionego przez Dostawcę lub inną firmę wskazaną przez Dostawcę; (ii) na podstawie pisemnej umowy licencyjnej (jeśli została ona zawarta); (iii) przez przesłanie do Dostawcy wiadomości e-mail z danymi wymaganymi do zidentyfikowania Licencji (nazwą użytkownika i hasłem) w celu uzyskiwania Aktualizacji. 18. Dane Użytkownika końcowego i dane umożliwiające ochronę praw. Licencjobiorca (występujący w charakterze Użytkownika końcowego) niniejszym upoważnia Dostawcę do przekazywania, przetwarzania i przechowywania danych umożliwiających Dostawcy weryfikację tożsamości Użytkownika końcowego. Licencjobiorca niniejszym wyraża zgodę na to, by Dostawca za pomocą własnych środków sprawdzał, czy Licencjobiorca korzysta z Oprogramowania zgodnie z postanowieniami niniejszej Umowy. Licencjobiorca niniejszym wyraża zgodę na to, by w ramach komunikacji między Oprogramowaniem a systemami komputerowymi Dostawcy lub jego partnerów handlowych były przesyłane dane zapewniające poprawne działanie Oprogramowania i upoważniające do korzystania z Oprogramowania, a także umożliwiające ochronę praw Dostawcy. Po zawarciu niniejszej Umowy Dostawca i każdy z jego partnerów handlowych będzie uprawniony do przekazywania, przetwarzania i przechowywania istotnych danych identyfikujących Licencjobiorcę w celach związanych z rozliczaniem opłat i wykonywaniem niniejszej Umowy. Szczegółowe informacje na temat ochrony prywatności i danych osobowych można znaleźć pod adresem http://www.eset.com/privacy. 19. Udzielanie Licencji organom władzy publicznej i rządowi USA. Organy władzy publicznej, w tym rząd Stanów Zjednoczonych Ameryki Północnej, otrzymują Licencje na Oprogramowanie zgodnie z postanowieniami niniejszej Umowy, tj. z uwzględnieniem wszystkich praw i obowiązków określonych w niniejszej Umowie. 20. Kontrola eksportu i reeksportu. Oprogramowanie i Dokumentacja lub ich składniki, w tym informacje na temat Oprogramowania i jego składników, podlegają kontroli eksportu i importu zgodnie z przepisami prawnymi, które mogą być publikowane przez instytucje rządowe odpowiedzialne za ich wydawanie na podstawie prawa właściwego, w tym prawa obowiązującego w USA. Przepisy eksportowe oraz ograniczenia nakładane przez rząd USA i inne rządy na Użytkowników końcowych, na korzystanie z Oprogramowania przez Użytkowników końcowych i na miejsca korzystania z Oprogramowania. Licencjobiorca zobowiązuje się skrupulatnie przestrzegać wszystkich stosownych przepisów eksportowych i importowych oraz przyjmuje do wiadomości, że jego obowiązkiem jest uzyskanie wszystkich licencji wymaganych do eksportowania, reeksportowania, przesyłania lub importowania Oprogramowania. 21. Zawiadomienia. Wszystkie zawiadomienia oraz zwroty Oprogramowania i Dokumentacji należy kierować na adres: ESET, spol. s r. o., Einsteinova 24, 851 01 Bratislava, Słowacja. 354 22. Prawo właściwe. Niniejsza Umowa podlega przepisom prawnym obowiązującym w Słowacji i powinna być interpretowana zgodnie z tymi przepisami. Użytkownik końcowy i Dostawca niniejszym stwierdzają, że do niniejszej Umowy nie mają zastosowania przepisy dotyczące konfliktu praw ani Konwencja Organizacji Narodów Zjednoczonych o umowach międzynarodowej sprzedaży towarów. Licencjobiorca wyraźnie stwierdza, że wszelkie spory lub roszczenia względem Dostawcy wynikające z zawarcia niniejszej Umowy, jak również wszelkie spory lub roszczenia związane z użyciem Oprogramowania będą rozstrzygane przez Sąd Rejonowy dla okręgu Bratislava I. Licencjobiorca wyraźnie poddaje się jurysdykcji tego sądu. 23. Postanowienia ogólne. Uznanie któregokolwiek z postanowień niniejszej Umowy za nieważne lub niewykonalne nie wpływa na ważność innych postanowień niniejszej Umowy, które pozostają wówczas w mocy zgodnie z warunkami określonymi w niniejszej Umowie. Zmiana niniejszej Umowy musi mieć formę pisemną i musi zostać zatwierdzona podpisem złożonym przez upoważnionego przedstawiciela Dostawcy lub przez osobę wyraźnie upoważnioną do reprezentowania Dostawcy na zasadzie pełnomocnictwa. Niniejsza Umowa stanowi całość porozumienia między Dostawcą a Licencjobiorcą w sprawie Oprogramowania i zastępuje wszelkie wcześniejsze oświadczenia, negocjacje, zobowiązania, wymiany zdań lub reklamy związane z Oprogramowaniem. 355