ESET Security Management Center 7.2 Installation/Upgrade Guide

ESET Security Management Center

Instalační, aktualizační a migrační příručka

Klikněte sem pro zobrazení online verze tohoto dokumentu

ESET Security Management Center byl vyvinut společností ESET, spol. s r.o.

Pro více informací navštivte www.eset.cz.

Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani

distribuována jakýmkoliv způsobem bez předchozího písemného povolení společnosti ESET, spol. s r.o.

ESET, spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této publikaci bez předchozího

upozornění.

Technická podpora: www.eset.cz/podpora

REV. 2021-04-13

1 O této nápovědě 1 ........................................................................................................................................

2 Instalace/Aktualizace 2 ...............................................................................................................................

2.1 Nové funkce v ESET Security Management Center 7.2 2 .....................................................................

2.2 Architektura 3 ..............................................................................................................................................

2.2.1 Server 4 ....................................................................................................................................................

2.2.2 Web Console 4 ............................................................................................................................................

2.2.3 HTTP Proxy 5 ..............................................................................................................................................

2.2.4 Agent 7 .....................................................................................................................................................

2.2.5 ESET Rogue Detection Sensor 8 .......................................................................................................................

2.2.6 ESET Mobile Device Connector 9 ......................................................................................................................

2.2.7 Apache HTTP Proxy 10 ..................................................................................................................................

2.3 Rozdíl mezi Apache HTTP Proxy, Mirror Toolem a přímou konektivitou do internetu 13 ...............

2.3.1 Kdy se vyplatí používat Apache HTTP Proxy? 15 ..................................................................................................

2.3.2 Kdy se vyplatí používat Mirror Tool? 15 .............................................................................................................

3 Systémové požadavky a škálovatelnost 16 ....................................................................................

3.1 Podporované operační systémy 16 ..........................................................................................................

3.1.1 Windows 16 ...............................................................................................................................................

3.1.2 Linux 18 ....................................................................................................................................................

3.1.3 macOS 18 .................................................................................................................................................

3.1.4 Mobilní zařízení 19 .......................................................................................................................................

3.2 Podporovaná Desktop Provisioning prostředí 20 ..................................................................................

3.3 Hardware a škálovatelnost infrastruktury 21 ........................................................................................

3.3.1 Doporučení pro nasazení 21 ...........................................................................................................................

3.3.2 Nasazení v prostředí s 10.000 klienty 23 ...........................................................................................................

3.4 Databáze 24 .................................................................................................................................................

3.5 Podporované verze Apache Tomcat a Java 26 ........................................................................................

3.6 Podporované prohlížeče, ESET produkty a jazyky 26 ...........................................................................

3.7 Síť 28 .............................................................................................................................................................

3.7.1 Používané porty 29 ......................................................................................................................................

4 Instalace 32 .......................................................................................................................................................

4.1 Instalace na Windows pomocí all-in-one balíčku 33 ..............................................................................

4.1.1 Instalace ESMC Serveru pomocí all-in-one balíčku 34 ............................................................................................

4.1.2 Instalace ESMC Mobile Device Connector 45 .......................................................................................................

4.2 Instalace na Microsoft Azure 51 ...............................................................................................................

4.3 Komponenty instalované na Windows 51 ...............................................................................................

4.3.1 Instalace serveru na Windows 53 .....................................................................................................................

4.3.1.1 Předpoklady pro instalaci Serveru na Windows 58 .............................................................................................

4.3.2 Požadavky na Microsoft SQL Server 59 ..............................................................................................................

4.3.3 Instalace a konﬁgurace MySQL 59 ...................................................................................................................

4.3.4 Vlastní databázový uživatel 61 ........................................................................................................................

4.3.5 Instalace agenta na Windows 61 .....................................................................................................................

4.3.5.1 Asistovaná instalace agenta 64 ....................................................................................................................

4.3.5.2 Oﬄine instalace agenta 64 ..........................................................................................................................

4.3.5.3 Odinstalace agenta 64 ...............................................................................................................................

4.3.5.4 ESET Remote Deployment Tool 65 .................................................................................................................

4.3.6 Instalace Web Console 65 ..............................................................................................................................

4.3.6.1 Instalace Web Console prostřednictvím all-in-one instalačního balíčku 66 ................................................................

4.3.6.2 Ruční instalace Web Console 70 ....................................................................................................................

4.3.7 Instalace HTTP Proxy na Windows 72 ................................................................................................................

4.3.8 Instalace ESET RD Senzor 73 ..........................................................................................................................

4.3.8.1 Předpoklady pro instalaci RD Sensor 73 ..........................................................................................................

4.3.9 Mirror tool na Windows 73 .............................................................................................................................

4.3.10 Instalace Mobile Device Connector 77 .............................................................................................................

4.3.10.1 Předpoklady pro instalaci Mobile Device Connector na Windows 79 ......................................................................

4.3.10.2 Aktivace Mobile Device Connector 81 ...........................................................................................................

4.3.10.3 Licencování iOS zařízení 81 ........................................................................................................................

4.3.10.4 Požadavky na HTTPS certiﬁkát 81 ................................................................................................................

4.3.11 Instalace Apache HTTP Proxy na Windows a aktivace cache 82 ..............................................................................

4.3.11.1 Konﬁgurace Apache HTTP Proxy 83 ..............................................................................................................

4.3.12 Instalace Squid na Windows a aktivace HTTP proxy cache 86 ................................................................................

4.3.13 Oﬄine repozitář 86 ....................................................................................................................................

4.3.14 Instalace na Failover Cluster (Windows) 88 .......................................................................................................

4.4 Komponenty instalované na Linux 89 ......................................................................................................

4.4.1 Instalace a konﬁgurace MySQL 90 ...................................................................................................................

4.4.2 Konﬁgurace ODBC ovladače 91 .......................................................................................................................

4.4.3 Instalace serveru na Linuxu 92 .......................................................................................................................

4.4.3.1 Předpoklady pro instalaci Serveru na Linuxu 95 ................................................................................................

4.4.4 Instalace agenta na Linuxu 96 ........................................................................................................................

4.4.4.1 Předpoklady pro instalaci agenta na Linuxu 100 ...............................................................................................

4.4.5 Instalace Web Console na Linuxu 100 ...............................................................................................................

4.4.6 Instalace Proxy na Linuxu 102 ........................................................................................................................

4.4.7 Předpoklady pro instalaci RD Sensor na Linux 103 ...............................................................................................

4.4.8 Instalace Mobile Device Connector na Linuxu 104 ................................................................................................

4.4.8.1 Předpoklady pro instalaci Mobile Device Connector na Linuxu 106 .........................................................................

4.4.9 Instalace Apache HTTP Proxy na Linuxu 107 .......................................................................................................

4.4.10 Instalace Squid HTTP Proxy na Ubuntu Server 111 .............................................................................................

4.4.11 Mirror tool na Linuxu 111 .............................................................................................................................

4.4.12 Instalace na Failover Cluster (Linux) 115 .........................................................................................................

4.5 Instalace ESMC Serveru na Linux krok za krokem 118 .........................................................................

4.6 Komponenty instalované na macOS 118 .................................................................................................

4.6.1 Instalace agenta na macOS 118 ......................................................................................................................

4.7 ISO obraz 119 ...............................................................................................................................................

4.8 DNS servisní záznam 119 ...........................................................................................................................

4.9 Instalace ESMC v oﬄine prostředí 120 ....................................................................................................

5 Aktualizace, přeinstalace a migrace 121 ...........................................................................................

5.1 Úloha pro aktualizaci součástí ESET Security Management Center 122 ............................................

5.2 Aktualizace na ESMC 72 prostřednictvím all-in-one instalačního balíčku 126 ..................................

5.3 Aktualizace infrastruktury používající ERA 6.5 Proxy 128 ...................................................................

5.4 Migrace z ERA 5 130 ...................................................................................................................................

5.4.1 Migration Assistant 132 ................................................................................................................................

5.4.2 Migration Tool 139 ......................................................................................................................................

5.4.2.1 1. scénář: migrace ze starého serveru na nový 141 ...........................................................................................

5.4.2.2 2. scénář: migrace v rámci jednoho serveru 144 ...............................................................................................

5.4.2.3 3. scénář: současný běh ERA 5 a ESMC na jednom serveru 151 ............................................................................

5.4.3 Migrace ERA 5.x na ESMC 7 běžící na linuxu 156 .................................................................................................

5.4.4 Konﬁgurace proxy 157 .................................................................................................................................

5.5 Migrace ze starého serveru na nový 157 ................................................................................................

5.5.1 Čistá instalace – stejná IP adresa 157 ...............................................................................................................

5.5.2 Migrace databáze – stejná IP adresa 159 ...........................................................................................................

5.5.3 Migrace databáze – odlišná IP adresa 160 ..........................................................................................................

5.6 Zálohování, aktualizace a migrace ESMC databáze 161 .......................................................................

5.6.1 Záloha a obnova databáze 161 .......................................................................................................................

5.6.2 Aktualizace databázového serveru 163 .............................................................................................................

5.6.3 Proces migrace SQL serveru 164 .....................................................................................................................

5.6.4 Proces migrace MySQL serveru 172 .................................................................................................................

5.6.5 Připojení ESMC Serveru nebo MDM k databázi 174 ...............................................................................................

5.7 Migrace MDM serveru 175 .........................................................................................................................

5.8 Aktualizace ERA na Windows Failover Clusteru 176 .............................................................................

5.9 Aktualizace Apache HTTP Proxy 176 ........................................................................................................

5.9.1 Aktualizace Apache HTTP Proxy prostřednictvím all-in-one instalačního balíčku na Windows 176 .....................................

5.9.2 Ruční aktualizace Apache HTTP Proxy na Windows 178 .........................................................................................

5.10 Aktualizace Apache Tomcat 179 .............................................................................................................

5.10.1 Aktualizace Apache Tomcat prostřednictvím all-in-one instalačního balíčku na Windows 179 .........................................

5.10.2 Ruční aktualizace Apache Tomcat na Windows 182 ............................................................................................

5.10.3 Aktualizace Apache Tomcat na linuxu 183 .......................................................................................................

5.11 Změna názvu nebo IP adresy ESMC Serveru 184 .................................................................................

5.12 Aktualizace ERA na Linux Failover Clusteru 185 .................................................................................

6 Odinstalace ESMC serveru a všech komponent 185 ..................................................................

6.1 Windows – odinstalace ESMC serveru a všech komponent 185 ..........................................................

6.2 Linux – aktualizace, přeinstalace nebo odinstalace ESMC komponent 187 .......................................

6.3 macOS – odinstalace ESET Management Agenta a bezpečnostního produktu ESET 188 ................

6.4 Zrušení starého ERA/ESMC/MDM serveru po migraci na nový 189 .....................................................

7 Řešení problémů 190 ....................................................................................................................................

7.1 Aktualizace ESMC komponent v oﬄine prostředí 190 ..........................................................................

7.2 Nejčastější instalační problémy 191 ........................................................................................................

7.3 Protokoly 193 ...............................................................................................................................................

7.4 Diagnostický nástroj 194 ...........................................................................................................................

7.5 Problém po aktualizaci/migraci ESMC Serveru 196 ...............................................................................

7.6 Protokolování MSI 196 ...............................................................................................................................

8 ESET Security Management Center API 197 ....................................................................................

9 FAQ 197 ................................................................................................................................................................

10 Licenční ujednání s koncovým uživatelem 203 ..............................................................

11 Zásady ochrany osobních údajů 208 ................................................................................................

1

O této nápovědě

Tato příručka vám přiblíží proces instalace i aktualizace ESET Security Management Center .

Z důvodu zachování konzistence a zabránění nejasnostem vychází použitá terminologie v této příručce z názvosloví

ESET Security Management Center. Používáme rovněž jednotnou sadu symbolů na zvýraznění částí kapitol, které

jsou zvlášť důležité, případně by neměli uniknout vaší pozornosti.

Poznámka

Poznámka poskytuje cenné informace k dané funkci nebo odkaz na související kapitoly.

Důležité

Tato akce vyžaduje vaši pozornost a neměli byste ji ignorovat. Obvykle obsahuje nekritické, ale však

důležité informace.

Varování

Kritická informace, které byste měli věnovat pozornost. Upozornění jsou umístěna tak, aby vás včas

varovala a zároveň vám pomohla vyvarovat se chybám, které by mohli mít negativní následky. Tyto

informace čtěte pozorně, mohou se odvolávat na citlivou konﬁguraci systému nebo rizikové kroky.

Příklad

Příklad popisující uživatelský scénář, který doplní danou kapitolu. Příklady používáme pro vysvětlení

složitějších témat.

Konvence Význam

Tučné písmo Názvy položek uživatelského rozhraní jako dialogová okna a tlačítka.

Kurzíva Zástupné znaky pro informace, které máte zadat. Například název souboru nebo cesta k

souboru znamená, že máte zadat skutečnou cestu nebo název souboru.

Courier New Příklady kódů nebo příkazů

Hypertextový odkaz Poskytuje rychlý přístup do odkazovaných kapitol nebo externích zdrojů. Hypertextové odkazy

jsou zvýrazněny modře, mohou být podtržené.

%ProgramFiles% Systémová složka operačního systému Windows, do které se standardně instalují programy a

další součásti systému.

• Online příručka je primárním zdrojem nápovědy. V případě funkčního připojení k internetu se automaticky

zobrazí nejnovější verze online příručky. V navigační části online verze příručky k ESET Security Management

Center naleznete navigaci do jejích jednotlivých částí: Instalace/Aktualizace, Administrace, Nasazení VA a SMB

příručka.

• Související informace tak naleznete jednoduchým procházením této struktury stránek. Pro nalezení

požadovaných informací můžete využít vyhledávací pole v horní části.

Důležité

Po otevření uživatelské příručky z navigační lišty umístěné v horní části budou výsledky vyhledávání

omezeny na obsah dané příručky. Například, otevřete-li administrační část příručky, ve výsledcích

vyhledávání nebudou témata z instalační/aktualizační příručky ani nápovědy pro nasazení VA.

• V Databázi znalostí naleznete odpovědi na nejčastější dotazy stejně jako doporučené řešení mnoha situací.

Články pravidelně aktualizujeme a připravujeme návody na řešení aktuálních situací.

• ESET fórum představuje jednoduchý způsob, jak ESET uživatelé mohou požádat o radu a pomoci ostatním.

Můžete sem umístit váš problém nebo dotaz týkající se produktu ESET.

2

• Váš názor/zpětnou vazbu na konkrétní kapitolu příručky odešlete následujícím způsobem: V dolní části

stránky klikněte na odkaz Byla pro vás tato informace užitečná?

Instalace/Aktualizace

ESET Security Management Center (ESMC) je aplikace navržená pro správu bezpečnostních produkty ESET na

stanicích, serverech i mobilních zařízeních z jednoho centrálního místa v síti. Prostřednictvím ESET Security

Management Center můžete vzdáleně instalovat bezpečnostní řešení ESET na zařízení, spravovat jejich konﬁguraci

a rychle reagovat na nové problémy a detekce v síti.

ESET Security Management Center neposkytuje ochranu proti škodlivému kódu, tu zajišťuje bezpečnostní produkt

ESET nainstalovaný na cílovém zařízení. V závislosti na platformě se může jednat například o ESET Endpoint

Security pro ochranu stanic a mobilních zařízení nebo ESET File Security pro Microsoft Windows Server.

ESET Security Management Center je založen na těchto principech:

1. Centrální správa – celou vaši síť můžete konﬁgurovat i sledovat z jednoho místa,

2. Škálovatelnost – systém můžete nasadit v malých sítích stejně tak je navržen pro běh ve velkých

podnikových prostředích. Snadno ESET Security Management Center upravíte vaší rostoucí infrastruktuře.

ESET Security Management Center podporuje novou generaci bezpečnostních produktů ESET, ale poskytuje také

částečnou zpětnou kompatibilitu pro starší verze produktů.

Nápověda ESET Security Management Center vás seznámí s produktem. Doporučujeme vám nejprve prostudovat

níže uvedené kapitoly a seznámit se s nejčastěji používanými součástmi ESET Security Management Center:

• Architektura ESET Security Management Center

• Migration Assistant

• Instalace

• Aktualizace

• Správa licence

• Vzdálené nasazení a nasazení Agenta prostřednictvím GPO nebo SCCM

• První kroky po instalaci ESET Security Management Center

• Administrátorská příručka

Nové funkce v ESET Security Management Center 7.2

ESET Security Management Center 7.2 představuje minoritní servisní vydání zaměřené na opravy chyb, vylepšení

uživatelského rozhraní a výkon.

Nové funkce

• Pozastavení full disk encryption – administrátor můžete na spravovaných stanicích dočasně pozastavit Full

Disk Encryption. Při pozastavení šifrování nebude uživatel po restartování stanice vyzván k zadání FDE

přihlašovacích údajů. To je užitečné při aktualizacích a údržbě. Při použití úlohy můžete deﬁnovat čas a počet

restartování, případně můžete FDE dočasně vypnout prostřednictvím politiky.

Vylepšení uživatelského rozhraní

• Uniﬁkovaný design tabulek používají nově dialogová okna pro výběr úloh, počítačů atp.

• Nové možnosti pro ﬁltrování objektů.

Přepracovaný design obrazovek

• Uživatelé

• Sady oprávnění

• Naplánované přehledy

• Informace o aktuálně upravovaném objektu v navigačním panelu

3

Výkonová vylepšení

• Načítání stromu na záložce Počítače a Detekce

• Dialogové okno Detaily počítačů

Další změny

• Nová nástěnka související s produktem ESET Dynamic Threat Defense

Další informace naleznete v úplném přehledu změn.

Architektura

ESET Security Management Center, nová generace produktu pro vzdálenou správu bezpečnostních produktů ESET,

je zcela odlišný od předchozích verzí ERA. Z důvodu odlišné architektury ESET Security Management Center 7

neexistuje zpětná kompatibilita se starým ERA 5, pouze s ERA 6. Omezeným způsobem je však možné starší

bezpečnostní produkty ESET prostřednictvím nové konzole spravovat.

Společně s ESET Security Management Center jsme představili novou generaci bezpečnostních produktů a licenční

systém.

Pro úspěšné nasazení bezpečnostního produktu ESET na platformě Windows i Linux je potřeba nainstalovat tyto

komponenty:

• ESMC Server

• ESMC Web Console

• ESET Management Agent

Následující komponenty jsou volitelné, ale ve velkých sítích je doporučujeme nainstalovat pro dosažení

maximálního výkonu:

• Proxy

• RD Sensor

• Apache HTTP Proxy

• Mobile Device Connector

Komponenty ESMC infrastruktury používají pro ověřování komunikace certiﬁkáty. Více informací o ESMC

certiﬁkátech naleznete v naší Databázi znalostí.

Přehled jednotlivých komponent infrastruktury

V tabulce níže uvádíme přehled jednotlivých komponent ESMC infrastruktury společně s informací, jakou zastávají

roli.

Funkce ESMC Server

ESET

Management

Agent

Bezpečnostní

produkt ESET

HTTP Proxy ESET servery

Mobile

Device

Connector

Vzdálená správa

bezpečnostních produktů

(tvorba politik, úloh, přehledů,

…)

✔ x x x x x

Komunikace k ESMC serverem a

správa nainstalovaného

produktu na klientském zařízení

x ✔ x x x ✔

Zdroj aktualizace, ověřování

platnosti licence

x x x x ✔ x

4

Cache aktualizací a jejich

doručování v lokální síti

(detekčního jádra,

programových modulů,

instalačních balíčků)

x x ✔ ✔ x x

Směrování komunikace ESET

Management Agenta na ESMC

Server

x x x ✔ x x

Ochrana klientského zařízení x x ✔ x x x

Vzdálená správa mobilních

zařízení

x x x x x ✔

ESMC Server

ESET Security Management Center Server (ESMC Server) je výkonná součást celé infrastruktury, která

zpracovává veškerá data od klientů připojených k serveru. Přenos dat z klienta na ESMC Server zajišťuje ESET

Management Agent, kdy komunikace může vést prostřednictvím HTTP Proxy. Pro úspěšné zpracování dat vyžaduje

ESMC Server stálé připojení k databázovému serveru, ve kterém jsou data uchovávána. Pro dosažení maximálního

výkonu doporučujeme ESMC Server a databázový server instalovat na rozdílné stroje.

Web Console

ESMC Web Console je webové rozhraní určené pro vzdálenou správu bezpečnostních produktů ESET ve vaší síti.

Poskytuje přehled o všech klientech v síti a umožňuje vzdáleně nasadit ESET Management Agenta a bezpečnostní

řešení ESET na počítače, které zatím prostřednictvím ESMC Web Console nespravujete. ESMC Web Console

otevřete v jakémkoli z podporovaných internetových prohlížečů. Pokud máte webový server dostupný z internetu,

můžete ESET Security Management Center spravovat prakticky odkudkoli z libovolného zařízení s internetovým

prohlížečem.

Pro běh webové konzole je jako HTTP webový server vyžadován Apache Tomcat. Pokud využijete Apache Tomcat,

který je součástí all-in-one instalačního balíčku pro Windows nebo virtuální appliance, připojení k Web Console je

5

možné pouze prostřednictvím TLS 1.2 a 1.3.

HTTP Proxy

Co je to proxy a k čemu ji mohu použít?

HTTP Proxy dokáže přesměrovávat komunikaci ESET Management Agentů na ESMC Server v prostředích, kde cílové

stanice nemají přímý přístup k serveru.

Co je to ERA 6.x Proxy a proč byla zrušena?

ERA Proxy dokázala agregovat komunikaci agentů z klientských stanic. Data agentů následně ERA přeposílal

hromadně na ERA Server. Díky změnám v replikačním protokolu, který používá ESMC 7, je možné komunikaci

agenta snadno přesměrovávat prostřednictvím jakékoli proxy služby. ERA Proxy je tedy nepotřebná a nedokáže

zpracovávat komunikaci ESET Management agentů ve verzi 7.

Může pracovat ERA 6.x Proxy společně s ESMC 7?

Omezeným způsobem ano. ERA 6.x Proxy může přeposílat komunikaci agentů ve verzi 6.x na ESMC 7 Server.

Nicméně ESET Management Agenti se nedokáží připojit k ERA 6.x Proxy. Nicméně ESET Management Agenti ve

verzi 7 se nedokáží připojit k ERA 6.x Proxy. Toto vezměte v potaz při plánování aktualizace vaší infrastruktury z

verze 6.

Jak funguje proxy v ESET Security Management Center?

ESMC 7 používá jako proxy komponentu Apache HTTP Proxy s vlastní konﬁgurací. Po jejím nainstalování a řádném

nakonﬁgurování dokáže Apache HTTP Proxy fungovat jako proxy pro ESET Management Agenty – přeposílat

komunikaci na server. Proxy nezajišťuje cache komunikace nebo její navazování, pouze ji přesměrovává.

Mohu místo Apache HTTP Proxypoužít vlastní proxy řešení?

6

Pro směrování komunikace ESET Management Agenta můžete použít jakoukoli proxy službu, která bude splňovat

níže uvedené požadavky:

• dokáže přeposílat SSL komunikaci

• podporuje HTTP CONNECT

• nepoužívá ověřování (uživatelské jméno a heslo)

V čem se liší nový komunikační protokol?

ESMC Server komunikuje s ESET Management Agenty prostřednictvím gRPC protokolu. Při komunikaci se využívá

TLS a HTTP2 protokol, díky čemuž je možné ji přesměrovávat prostřednictvím proxy serverů. Mezi další změny patří

nový self-recovery mechanismus a persistentní spojení, které vylepšuje celkový výkon.

Jaký to bude mít dopad na výkon?

Použití HTTP Proxy nemá pozorovatelný dopad na výkon.

Kdy je vhodné použít proxy?

Proxy doporučujeme použít v případě, kdy vaše infrastruktura splňuje alespoň jednu z níže uvedených podmínek:

• Pokud stanice nemá přímý přístup k ESMC serveru.

• Pokud chcete použít proxy pro zpracování komunikace:

omezi ESMC serverem a proxy

omezi Proxy a klienty ve vzdálené lokalitě

Jak nakonﬁgurovat HTTP Proxy?

Konﬁguraci HTTP Proxy deﬁnujte v politice agenta (v sekci Rozšířená nastavení > HTTP Proxy). V případě

potřeby můžete nastavit pro přístup do internetu a směrování komunikace rozdílné proxy servery:

• Globální proxy – vybráním této možnosti bude komponenta agent danou proxy používat pro přístup do

internetu (stahování dat z cache) a směrování komunikace.

• Rozdílná proxy pro jednotlivé služby – po vybrání této možnosti budete schopni deﬁnovat rozdílné

nastavení proxy pro přístup do internetu a směrování komunikace.

Poznámka

• K čemu mohu dále využít Apache HTTP Proxy?

• Jak aktualizovat infrastrukturu s ERA 6.x Proxy na verzi ESMC 7?

7

Agent

ESET Management Agent je nezbytnou součástí ESET Security Management Center 7 infrastruktury. Zajišťuje

stejnou roli jako ERA Agent ve verzi 6.x, pouze došlo k přejmenování této služby. ESET Management Agent používá

nový přepracovaný komunikační protokol.

Klienti nekomunikují s ESMC Serverem přímo, ale výměnu dat zajišťuje agent. Agent sbírá informace z klienta a

odesílá je na ESMC Server. A naopak přijímá úlohy, které ESMC Server odeslal klientovi – ty jsou odeslány agentovi,

který je předá klientovi.

Pro zjednodušení nasazení a správy bezpečnostních produktů na klientských stanicích je ESET Management Agent

součástí ESMC řešení. Jedná se o velmi modulární a nezatěžující službu zajišťující veškerou komunikaci mezi ESMC

Serverem a koncovými produkty ESET, případně operačním systémem. Jednotlivé ESET produkty nekomunikují s

ESMC Serverem přímo, ale právě prostřednictvím agenta. Počítače, na kterých je nainstalován ESET Management

Agent rozpoznáte v ESMC Web Console podle příznaku 'spravován'. Agenta můžete nainstalovat na jakýkoli počítač

bez ohledu na to, zda je na něm nainstalován bezpečnostní produkt ESET.

Výhody tohoto řešení:

• Jednoduché nasazení – agenta můžete nasadit na stanice stejně jako jakýkoli jiný software,

• On-place security management – předdeﬁnováním bezpečnostních scénářů snížíte reakční dobu na výskyt

detekcí,

• Oﬀ-line security management – agent reaguje dynamicky na změny bezpečnostního stavu bez nutnosti

kontaktování ESMC Serveru.

8

Důležité

Komunikační protokol používaný agentem pro spojení s ESMC Serverem nepodporuje autentiﬁkaci.

Pokud proxy řešení vyžaduje autentiﬁkaci, komunikace mezi agenty a ESMC Serverem nebude

funkční.

Pokud používáte nestandardní port pro Web Console nebo Agenty, může tato změna v konﬁguraci

vyžadovat úpravy ve vašem ﬁrewallu. V opačném případě se nemusí instalace zdařit.

ESET Rogue Detection Sensor

Rogue Detection Sensor (RD Sensor) je nástroj, který vyhledává zařízení v síti. RD Sensor je součást ESET

Security Management Center navržená pro detekci zařízení v síti a představuje pohodlný způsob pro přidání

nových (dosud nespravovaných) počítačů do ESET Security Management Center bez nutnosti jejich ručního

zadávání. Každé nalezené zařízení v síti zobrazí ESMC Web Console v přehledu Nalezené počítače, odkud můžete

zařízení následně přidat do konzole.

RD Sensor pasivně naslouchá v síti a informace o nalezených zařízeních odesílá na ESMC Server. ESMC Server

následně vyhodnotí, zda je nalezené zařízení neznámé nebo je již spravováno.

Každé zařízení v síti (doméně, LDAP, síti Windows) je přidáno do seznamu zařízení ESMC Serveru automaticky

prostřednictvím synchronizační úlohy (při instalaci na Windows se vytvoří automaticky, případně si ji můžete

kdykoli vytvořit ručně). RD Sensor představuje vhodný způsob pro nalezení počítačů, které nejsou v doméně či jiné

síťové infrastruktuře, a chcete je přidat do ESET Security Management Center. RD Sensor si pamatuje počítače,

které již objevil, a neodesílá duplicitní informace.

9

Mobile Device Connector

ESET Security Management Center Mobile Device Connector je součást ESMC infrastruktury, prostřednictvím které

připojíte Android a iOS zařízení do ESET Security Management Center. V případě iOS zařízení jde o instalaci

nativního MDM proﬁlu, na OS Android je potřeba pro vzdálenou správu nainstalovat aplikaci ESET Endpoint Security

pro Android.

10

Klikněte sem pro zobrazení většího obrázku

Poznámka

Komponentu pro správu mobilních zařízení doporučujeme provozovat na samostatném serveru

odlišném od toho, na kterém běží ESMC Server.

Níže uvádíme doporučené požadavky na hardware při správě přibližně 80 mobilních zařízení.

Hardware Doporučená konﬁgurace

Procesor 4 jádra, 2.5 GHz

RAM 4 GB (doporučeno)

HDD 100 GB

Při správě více než 80 mobilních zařízení nejsou požadavky výrazně vyšší. Pouze se dojde k prodloužení intervalu,

ve kterém se úloha z ESMC doručí na mobilní zařízení.

Apache HTTP Proxy

Apache HTTP Proxy je proxy služba, která dokáže z cache distribuovat aktualizace detekčního jádra i instalační

balíčky klientům ve vaší sítí. Může tak zastat roli mirroru, populární funkce v ERA 5 a starších verzích.

Apache HTTP Proxy můžete nainstalovat na Windows, Linux, případně ji aktivovat na virtuální appliance.

Funkce Apache HTTP Proxy

Funkce Proxy řešení, které zajistí tuto funkci

Ukládání stahovaných dat do cache Apache HTTP Proxy nebo jiná proxy služba

Ukládání výsledků z ESET Dynamic Threat Defense do

cache

Pouze nakonﬁgurovaný Apache HTTP Proxy

Replikace ESET Management Agentů na ESMC Server Apache HTTP Proxy nebo jiná proxy služba

11

Funkce cache

Apache HTTP Proxy do cache dokáže ukládat:

• Aktualizace modulů,

• Instalační balíčky stahované z repozitáře,

• Aktualizace programových komponent.

A distribuovat je klientům ve vaší síti. Minimalizuje množství dat stažených z internetu.

Ve srovnání s Mirror toolem, který stahuje všechna data z aktualizačních serverů ESET, Apache HTTP Proxy do

cache ukládá výhradně data, která jsou potřeba (vyžádali si je komponenty ESMC infrastruktury nebo bezpečnostní

produkty ESET). Pokud bezpečnostní produkt ESET začne stahovat aktualizaci modulů, Apache HTTP Proxy

stahovaný soubor z aktualizační serverů ESET uloží do své cache. Až se začne aktualizovat produkt ESET na další

stanici, aktualizaci obdrží z cache Apache HTTP Proxy, a nebude ji stahovat znovu z internetu.

Cache pro bezpečnostní produkty ESET

Cache můžete nastavit rozdílně pro ESET Management Agenta bezpečnostní produkt. Konﬁguraci bezpečnostního

produktu však zvládnete ovlivnit prostřednictvím ESET Management Agenta. Proxy v ESET Endpoint Security

můžete deﬁnovat několika způsoby:

• lokálně prostřednictvím graﬁckého rozhraní

• prostřednictvím politiky v ESMC Web Console (doporučený způsob pro centrální správu nastavení na

klientských zařízeních)

Cache výsledků z ESET Dynamic Threat Defense

Apache HTTP Proxy dokáže cachovat také výsledky přijaté ze služby ESET Dynamic Threat Defense. Cachování

těchto výsledků vyžaduje speciﬁckou konﬁguraci. Ta je však již obsažena v balíčku Apache HTTP Proxy

poskytovaného společností ESET. Pokud je to možné, doporučujeme cachovat výsledky ESET Dynamic Threat

Defense. Pro více informací se podívejte do příručky k EDTD.

Použití Apache jako HTTP Proxy – pro komunikaci mezi agentem a serverem

Při správné konﬁguraci může Apache HTTP Proxy přeposílat data z komponent ESMC infrastruktury (například ze

vzdálených lokalit) na centrální ESMC server. Dokáže tak nahradit funkci, kterou zastávala ERA Proxy 6.x. Pro

cachování aktualizací (doporučen Apache HTTP Proxy) a směrování komunikace můžete použít rozdílné proxy

služby. V sítích do 10 000 klientů může obě služby zastat jedna proxy služba (Apache HTTP Proxy). Ve větších sítích

(nad 10 000 klientů) doporučujeme použít pro každou roli rozdílnou proxy službu. V enterprise prostředích (při

správě více než 1 000 klientů) doporučujeme pro Apache HTTP Proxy použít dedikovaný server.

Mějte na paměti, že ERA Proxy 6.x není kompatibilní s ESET Management Agenty. Pro více informací přejděte do

kapitoly funkce proxy.

Jak nakonﬁgurovat HTTP Proxy?

Konﬁguraci HTTP Proxy deﬁnujte v politice agenta (v sekci Rozšířená nastavení > HTTP Proxy). V případě

potřeby můžete nastavit pro přístup do internetu a směrování komunikace rozdílné proxy servery:

• Globální proxy – vybráním této možnosti bude komponenta agent danou proxy používat pro přístup do

internetu (stahování dat z cache) a směrování komunikace.

• Rozdílná proxy pro jednotlivé služby – po vybrání této možnosti budete schopni deﬁnovat rozdílné

nastavení proxy pro přístup do internetu a směrování komunikace.

Infrastruktura Apache HTTP Proxy

Níže uvedené schéma demonstruje použití proxy serveru (Apache HTTP Proxy) pro distribuci ESET komunikace

jednotlivým komponentám ESMC a bezpečnostním produktů ESET ve vaší síti.

12

Poznámka

Jaký je rozdíl mezi ERA Proxy a Apache HTTP Proxy?

13

Důležité

Využití proxy chain můžete Apache HTTP Proxy připojit k nadřazené proxy. Mějte na paměti, že ESMC

nepodporuje proxy chaining s aktivní autentiﬁkací. Kdykoli můžete použít vlastní transparentní proxy

– nicméně v tomto případě bude pravděpodobně nutné upravit její konﬁguraci.

Poznámka

V oﬄine prostředích použijte místo Apache HTTP Proxy pro stahování aktualizací detekčního jádra a

programových modulů Mirror tool (dostupný je pro Windows i Linux).

Rozdíl mezi Apache HTTP Proxy, Mirror Toolem a přímou konektivitou do internetu

Produkty ESET vyžadují konektivitu do internetu k tomu, aby si mohly stahovat aktualizace detekčního jádra,

programových modulů, ověřovat licenční údaje a vyměňovat data v rámci technologie ESET LiveGrid® (více

naleznete v tabulce níže).

14

ESET Security Management Center/ESET Management Agent stahuje veškeré instalační balíčky z online ESET

repozitáře. Po stažení na klientskou stanici se zahájí instalace.

Po dokončení instalace je nutné produkt ESET aktivovat, což znamená, že se musí spojit s aktivačním serverem pro

ověření licenčních údajů. Následně si program z internetu pravidelně stahuje aktualizace detekčního jádra a

programových modulů.

Systém včasného varování ESET LiveGrid® pomáhá společnosti ESET získávat data o nových inﬁltracích, díky

čemuž dokáže pohotově chránit zákazníky. Prostřednictvím tohoto systému jsou zároveň odesílány nové detekce

do výzkumných laboratoří ESET k analýze a dalšímu zpracování.

Největší dopad na síťový provoz mají aktualizace modulů produktu. Za měsíc si každý ESET produkt stáhne

přibližně 23,9 MB dat (aktualizace detekčních a programových modulů).

ESET LiveGrid® data (přibližně 22,3 MB) a soubor s informací o verzi detekčního jádra (maximálně 11 KB) není

možné ukládat do cache.

Existují dva typy aktualizací – level a nano. Více informací naleznete v Databázi znalostí.

Snížit zatížení na síťový provoz a distribuovat aktualizace detekčních modulů ve své síti můžete použitím Apache

HTTP Proxy nebo Mirror Toolu (dostupný pro Windows a Linux).

Poznámka

Postup pro nastavení Mirror Tool chainingu (konﬁguraci Mirror Toolu tak, aby stahoval aktualizace z

jiného Mirror Toolu), naleznete v Databázi znalostí.

Komunikace produktů ESET

Komunikace Frekvence Dopad na síťový

provoz

Komunikace

prostřednictvím

proxy

Využití

proxy

cache1

Využití

mirroru2

Funkčnost v

oﬄine prostředí

Nasazení agenta (push

instalace / online

balíček z repozitáře)

Jednou Přibližně

50 MB/klient

ANO

3

NE ANO (GPO /

SCCM, upravený

instalační

balíček)

4

Instalace

bezpečnostního

produktu (z repozitáře)

Jednou Přibližně

100 MB/klient

ANO

3

NE ANO (GPO /

SCCM, instalace

z URL)

4

Aktualizace detekčního

jádra / programových

modulů

6+krát

denně

23,9 MB za

měsíc

5

ANO ANO ANO ANO (Oﬄine

Mirror Tool a

vlastní HTTP

server)

6

Ověření verze stažením

souboru update.ver

~8krát

denně

2,6 MB za

měsíc

7

ANO NE - -

Aktivace / kontrola

licence

4krát denně zanedbatelný ANO NE NE ANO (oﬄine

licenční soubor

získaný na

portále ESET

Business

Account)

8

Cloudová reputace

ESET LiveGrid®

Neustále 11 MB za měsíc ANO NE NE NE

1. Výhody cachování komunikace prostřednictvím Apache HTTP Proxy máme popsány v samostatné kapitole.

2. Efektivitu použití Mirror Toolu máme uvedenou v samostatné kapitole.

3. Při nové instalaci/aktualizaci doporučujeme instalovat nejprve jeden balíček od každé platformy, aby došlo

k uložení všech balíčků do cache.

4. Pro nasazení ESET Management Agenta můžete ve velkých sítích použít doménovou politiku nebo SCCM.

5. Prvotní aktualizace detekčních a programových modulů může být větší. Její velikost záleží na stáří

15

instalačního balíčku (starší balíček nemůže obsahovat aktuální verzi modulů). Doporučujeme nejprve

bezpečnostní produkt nainstalovat na jeden stroj a nechat jej aktualizovat.

6. Pokud nemá stanice přístup k internetu, Mirror Tool nedokáže stáhnout aktualizace modulů. Apache

Tomcat můžete využít jako HTTP server, ze kterého si bude Mirror Tool stahovat aktualizace (dostupný je pro

Windows a Linux.

7. Při každé kontrole modulů se stahuje a zpracovává soubor update.ver. Standardně bezpečnostní produkty

ESET kontrolují dostupnost aktualizací každou hodinu. V tomto scénáři předpokládáme, že ﬁremní počítač je

zapnut 8 hodině denně. Velikost souboru update.ver je přibližně 11 kB.

8. Oﬄine licenční klíč si na portále ESET License Administrator můžete vygenerovat jako vlastník licence

nebo bezpečnostní administrator, případně si soubory vygenerujte na portále ESET Business Account.

Poznámka

Apache HTTP Proxy do cache neukládá aktualizace pro produkt ESET ve verzích 4 a 5. Takové stanice

aktualizujte z Mirror Toolu, nebo na některé z nich vytvořte mirror server.

Kdy se vyplatí používat Apache HTTP Proxy?

Komponentu Apache HTTP Proxy se vyplatí používat ve chvíli, kdy máte ve své síti alespoň 37 stanic.

Důležité

Pro efektivní cachování je nezbytně nutné zajistit korektně nastavený datum a čas na HTTP Proxy

serveru. Rozdíly v řádu minut mohou vést k neefektivitě cachovacího mechanismu, v důsledku čehož

se může stahovat více souborů, než je potřeba.

Pro zjištění množství přenesených dat jsme analyzovali síťovou komunikaci v síti s 1000 počítači, kdy jsme provedli

několik instalací a odinstalací. Závěr je následující:

• Každý počítač si za měsíc stáhl v průměru 23,9 MB dat (průměr stažených aktualizací modulů při přímém

připojení k internetu).

• Při použití Apache HTTP Proxy dosáhl celkový objem dat stažených z internetu pouhých 900 MB.

V tabulce níže uvádíme porovnání objemu stažených dat v závislosti na počtu klientů:

Počet stanic 25 36 50 100 500 1000

Přímá konektivita do internetu (MB/měsíc) 375 900 1250 2500 12500 25.000

Konektivita prostřednictvím Apache HTTP

Proxy (MB/měsíc) 30 50 60 150 600 900

Kdy se vyplatí používat Mirror Tool?

Pokud provozujete oﬄine prostředí zcela odříznuté od internetu, jediné řešení pro distribuci aktualizací detekčního

jádra a programových modulů představuje Mirror Tool (dostupný Windows a Linux). Tento nástroj při každém

dotazu na aktualizační servery stáhne všechny dostupné (level i nano) aktualizace.

Poznámka

Postup pro nastavení Mirror Tool chainingu (konﬁguraci Mirror Toolu tak, aby stahoval aktualizace z

jiného Mirror Toolu), naleznete v Databázi znalostí.

To je zásadní rozdíl oproti Apache HTTP Proxy, který do cache ukládá pouze chybějící aktualizace, které si klienti

vyžádali (například nano 3). Mirror Tool stahuje všechny level i nano aktualizace bez ohledu na to, zda je produkty

v síti vyžadují.

Stránka sa načítava ...

ESET Security Management Center 7.2 Installation/Upgrade Guide

ESET Security Management Center 7.2 Installation/Upgrade Guide

Súvisiace články

Ďalšie dokumenty