ESET Security Management Center 7.0 Installation/Upgrade Guide

Typ
Installation/Upgrade Guide
ESET Security Management Center
Instalační, aktualizační a migrační příručka
Klikněte sem pro zobrazení online verze tohoto dokumentu
Copyright ©2020 ESET, spol. s r.o.
ESET Security Management Center byl vyvinut společností ESET, spol. s r.o.
Pro více informací navštivte www.eset.cz.
Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani
distribuována jakýmkoliv způsobem bez předchozího písemného povolení společnosti ESET, spol. s r.o.
ESET, spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této publikaci bez předchozího
upozornění.
Technická podpora: www.eset.cz/podpora
REV. 2020-11-19
1 O této nápovědě 1 ........................................................................................................................................
2 Instalace/Aktualizace 2 ...............................................................................................................................
2.1 Nové funkce 2 ..............................................................................................................................................
2.2 Architektura 3 ..............................................................................................................................................
2.2.1 Server 4 ....................................................................................................................................................
2.2.2 Webová konzole 4 ........................................................................................................................................
2.2.3 Agent 5 .....................................................................................................................................................
2.2.4 HTTP Proxy 6 ..............................................................................................................................................
2.2.5 ESET Rogue Detection Sensor 8 .......................................................................................................................
2.2.6 ESET Mobile Device Connector 9 ......................................................................................................................
2.2.7 Apache HTTP Proxy 10 ..................................................................................................................................
2.3 Scénáře nasazení 13 ...................................................................................................................................
2.3.1 Praktické příklady nasazení (Windows) 14 ..........................................................................................................
2.3.2 Nasazení v enterprise prostředí (200 000 klientů) 16 ............................................................................................
2.3.3 Rozdíl mezi Apache HTTP Proxy, Mirror Toolem a přímou konektivitou do internetu 16 ...................................................
2.3.3.1 Kdy se vyplatí používat Apache HTTP Proxy? 18 ................................................................................................
2.3.3.2 Kdy se vyplatí používat Mirror Tool? 18 ...........................................................................................................
2.4 Škálovatelnost infrastruktury 19 .............................................................................................................
2.5 Co je nového v ESET Security Management Center 7.0? 21 .................................................................
3 Systémové požadavky 21 ..........................................................................................................................
3.1 Podporované operační systémy 21 ..........................................................................................................
3.1.1 Windows 21 ...............................................................................................................................................
3.1.2 Linux 23 ....................................................................................................................................................
3.1.3 macOS 24 .................................................................................................................................................
3.1.4 Mobilní zařízení 24 .......................................................................................................................................
3.2 Podporovaná Desktop Provisioning prostředí 25 ..................................................................................
3.3 Hardware 26 .................................................................................................................................................
3.4 Databáze 26 .................................................................................................................................................
3.5 Podporované verze Apache Tomcat 27 ...................................................................................................
3.6 Síť 27 .............................................................................................................................................................
3.6.1 Používané porty 27 ......................................................................................................................................
4 Instalace 30 .......................................................................................................................................................
4.1 Instalace na Windows pomocí all-in-one balíčku 31 ..............................................................................
4.1.1 Instalace ESMC serveru pomocí all-in-one balíčku 31 ............................................................................................
4.1.2 Instalace ESMC Mobile Device Connector 43 .......................................................................................................
4.1.3 Odinstalace komponent 48 ............................................................................................................................
4.2 Instalace na Microsoft Azure 50 ...............................................................................................................
4.3 Komponenty instalované na Windows 51 ...............................................................................................
4.3.1 Instalace serveru na Windows 52 .....................................................................................................................
4.3.1.1 Předpoklady pro instalaci Serveru na Windows 54 .............................................................................................
4.3.2 Požadavky na Microsoft SQL Server 55 ..............................................................................................................
4.3.3 Instalace a konfigurace MySQL 56 ...................................................................................................................
4.3.4 Vlastní databázový uživatel 57 ........................................................................................................................
4.3.5 Instalace agenta na Windows 58 .....................................................................................................................
4.3.5.1 Asistovaná instalace agenta 60 ....................................................................................................................
4.3.5.2 Offline instalace agenta 60 ..........................................................................................................................
4.3.5.3 Odinstalace agenta 60 ...............................................................................................................................
4.3.5.4 ESET Remote Deployment Tool 61 .................................................................................................................
4.3.5.4.1 Předpoklady pro použití Deployment Tool 62 .................................................................................................
4.3.5.4.2 Výběr počítačů z Active Directory 62 ...........................................................................................................
4.3.5.4.3 Vyhledání počítačů v lokální síti 64 ..............................................................................................................
4.3.5.4.4 Importování seznamu počítačů 65 ...............................................................................................................
4.3.5.4.5 Ruční přidání počítačů 67 .........................................................................................................................
4.3.5.4.6 Vzdálené nasazení – řešení problémů 68 .......................................................................................................
4.3.6 Instalace Web Console 70 ..............................................................................................................................
4.3.7 Instalace HTTP Proxy 71 ................................................................................................................................
4.3.8 Instalace ESET RD Senzor 72 ..........................................................................................................................
4.3.8.1 Předpoklady pro instalaci RD Sensor 72 ..........................................................................................................
4.3.9 Mirror tool 72 .............................................................................................................................................
4.3.10 Instalace Mobile Device Connector 77 .............................................................................................................
4.3.10.1 Předpoklady pro instalaci Mobile Device Connector na Windows 78 ......................................................................
4.3.10.2 Aktivace Mobile Device Connector 80 ...........................................................................................................
4.3.10.3 Licencování iOS zařízení 80 ........................................................................................................................
4.3.10.4 Požadavky na HTTPS certifikát 80 ................................................................................................................
4.3.11 Instalace Apache HTTP Proxy na Windows a aktivace cache 81 ..............................................................................
4.3.11.1 Konfigurace Apache HTTP Proxy 82 ..............................................................................................................
4.3.12 Instalace Squid na Windows a aktivace HTTP proxy cache 85 ................................................................................
4.3.13 Offline repozitář 85 ....................................................................................................................................
4.3.14 Instalace na Failover Cluster (Windows) 87 .......................................................................................................
4.4 Komponenty instalované na Linux 88 ......................................................................................................
4.4.1 Instalace a konfigurace MySQL 88 ...................................................................................................................
4.4.2 Konfigurace ODBC ovladače 90 .......................................................................................................................
4.4.3 Instalace serveru na Linuxu 91 .......................................................................................................................
4.4.3.1 Předpoklady pro instalaci Serveru na Linuxu 94 ................................................................................................
4.4.4 Instalace agenta na Linuxu 95 ........................................................................................................................
4.4.4.1 Předpoklady pro instalaci agenta na Linuxu 98 .................................................................................................
4.4.5 Instalace Web Console na Linuxu 99 .................................................................................................................
4.4.5.1 Předpoklady pro instalaci ESMC Web Console na Linuxu 100 ................................................................................
4.4.6 Instalace Proxy na Linuxu 100 ........................................................................................................................
4.4.7 Předpoklady pro instalaci RD Sensor na Linux 102 ...............................................................................................
4.4.8 Instalace Mobile Device Connector na Linuxu 102 ................................................................................................
4.4.8.1 Předpoklady pro instalaci Mobile Device Connector na Linuxu 105 .........................................................................
4.4.9 Instalace Apache HTTP Proxy na Linuxu 106 .......................................................................................................
4.4.10 Instalace Squid HTTP Proxy na Ubuntu Server 110 .............................................................................................
4.4.11 Mirror tool 110 ..........................................................................................................................................
4.4.12 Instalace na Failover Cluster (Linux) 115 .........................................................................................................
4.4.13 Jak aktualizovat, přeinstalovat nebo odinstalovat komponenty na Linuxu 117 ...........................................................
4.5 Instalace ESMC Serveru na Linux krok za krokem 117 .........................................................................
4.6 Komponenty instalované na macOS 119 .................................................................................................
4.6.1 Instalace agenta na macOS 119 ......................................................................................................................
4.7 Databáze 120 ...............................................................................................................................................
4.7.1 Záloha a obnova databáze 121 .......................................................................................................................
4.7.2 Aktualizace databázového serveru 122 .............................................................................................................
4.8 ISO obraz 123 ...............................................................................................................................................
4.9 DNS servisní záznam 123 ...........................................................................................................................
4.10 Instalace ESMC v offline prostředí 123 ..................................................................................................
5 Aktualizace, přeinstalace a migrace 125 ...........................................................................................
5.1 Klientská úloha pro aktualizaci komponent 126 ....................................................................................
5.2 Aktualizace infrastruktury používající ERA 6.x Proxy 129 ....................................................................
5.3 Migrace z ERA 5 130 ...................................................................................................................................
5.3.1 Migration Assistant 132 ................................................................................................................................
5.3.2 Migration Tool 139 ......................................................................................................................................
5.3.2.1 1. scénář: migrace ze starého serveru na nový 141 ...........................................................................................
5.3.2.2 2. scénář: migrace v rámci jednoho serveru 143 ...............................................................................................
5.3.2.3 3. scénář: současný běh ERA 5 a ESMC na jednom serveru 150 ............................................................................
5.3.3 Migrace ze starší verze na linux 155 ................................................................................................................
5.3.4 Konfigurace proxy 156 .................................................................................................................................
5.4 Migrace ze starého serveru na nový 156 ................................................................................................
5.4.1 Čistá instalace – stejná IP adresa 157 ...............................................................................................................
5.4.2 Čistá instalace – odlišná IP adresa 158 ..............................................................................................................
5.4.3 Migrace databáze – stejná IP adresa 159 ...........................................................................................................
5.4.4 Migrace databáze – odlišná IP adresa 160 ..........................................................................................................
5.4.5 Odinstalace starého ESMC serveru 161 .............................................................................................................
5.5 Migrace ESMC databáze 161 .....................................................................................................................
5.5.1 Proces migrace SQL serveru 161 .....................................................................................................................
5.5.2 Proces migrace MySQL serveru 170 .................................................................................................................
5.6 Migrace MDM serveru 172 .........................................................................................................................
5.7 Aktualizace ERA na Windows Failover Clusteru 173 .............................................................................
5.8 Aktualizace Apache HTTP Proxy 173 ........................................................................................................
5.8.1 Aktualizace na Windows prostřednictvím all-in-one instalačního balíčku 173 ...............................................................
5.8.2 Ruční aktualizace na Windows 175 ..................................................................................................................
5.9 Aktualizace Apache Tomcat 176 ...............................................................................................................
5.9.1 Aktualizace na Windows prostřednictvím all-in-one instalačního balíčku 176 ...............................................................
5.9.2 Ruční aktualizace na Windows 177 ..................................................................................................................
5.9.3 Aktualizace Apache Tomcat na Linuxu 179 ........................................................................................................
5.10 Změna názvu nebo IP adresy ESMC Serveru 180 .................................................................................
5.11 Aktualizace ERA na Linux Failover Clusteru 180 .................................................................................
6 Řešení problémů 181 ....................................................................................................................................
6.1 Aktualizace ESMC komponent v offline prostředí 181 ..........................................................................
6.2 Nejčastější instalační problémy 182 ........................................................................................................
6.3 Protokoly 184 ...............................................................................................................................................
6.4 Diagnostický nástroj 185 ...........................................................................................................................
6.5 Problém po aktualizaci/migraci ESMC Serveru 186 ...............................................................................
6.6 Protokolování MSI 187 ...............................................................................................................................
7 Prvotní kroky 187 ............................................................................................................................................
7.1 Otevření ESMC Web Console 189 ..............................................................................................................
7.2 Interval připojení agenta / replikace dat 190 .........................................................................................
8 ESET Security Management Center API 191 ....................................................................................
9 FAQ 191 ................................................................................................................................................................
10 Licenční ujednání s koncovým uživatelem (EULA) 197 ..........................................................
11 Zásady ochrany osobních údajů 202 ................................................................................................
1
O této nápovědě
Tato příručka vám přiblíží proces instalace i aktualizace ESET Security Management Center .
Z důvodu zachování konzistence a zabránění nejasnostem vychází použitá terminologie v této příručce z názvosloví
ESET Security Management Center. Používáme rovněž jednotnou sadu symbolů na zvýraznění částí kapitol, které
jsou zvlášť důležité, případně by neměli uniknout vaší pozornosti.
Poznámka
Poznámka poskytuje cenné informace k dané funkci nebo odkaz na související kapitoly.
DŮLEŽITÉ
Tato akce vyžaduje vaši pozornost a neměli byste ji ignorovat. Obvykle obsahuje nekritické, ale však důležité
informace.
VAROVÁNÍ
Toto označení obsahuje mimořádně důležité informace, kterým byste měli věnovat pozornost. Upozornění jsou
umístěna tak, aby vás včas varovala a zároveň vám pomohla vyvarovat se chybám, které by mohli mít negativní
následky. Prosím, důkladně si přečtěte text ohraničený tímto označením, protože se týká velmi citlivých
systémových nastavení nebo upozorňuje na možná rizika.
Příklad
Příklad popisující uživatelský scénář, který doplní danou kapitolu. Příklady používáme pro vysvětlení
komplikovaných témat.
Konvence Význam
Tučné písmo Názvy položek uživatelského rozhraní jako dialogová okna a tlačítka.
Kurzíva Zástupné znaky pro informace, které máte zadat. Například název souboru nebo cesta k
souboru znamená, že máte zadat skutečnou cestu nebo název souboru.
Courier New Příklady kódů nebo příkazů
Hypertextový odkaz Poskytuje rychlý přístup do odkazovaných kapitol nebo externích zdrojů. Hypertextové odkazy
jsou zvýrazněny modře, mohou být podtržené.
%ProgramFiles% Systémová složka operačního systému Windows, do které se standardně instalují programy a
další součásti systému.
Online příručka je primárním zdrojem nápovědy. V případě funkčního připojení k internetu se automaticky
zobrazí nejnovější verze online příručky. V navigační části online verze příručky k ESET Security Management
Center naleznete navigaci do jejích jednotlivých částí: Instalace/Aktualizace, Administrace, Nasazení VA a SMB
příručka.
Tato příručka je rozdělena do jednotlivých kapitol a podkapitol. Pro nalezení požadovaných informací můžete
využít vyhledávací pole v horní části.
DŮLEŽITÉ
Po otevření uživatelské příručky z navigační lišty umístěné v horní části budou výsledky vyhledávání omezeny na
obsah dané příručky. Například, otevřete-li administrační část příručky, ve výsledcích vyhledávání nebudou témata
z instalační/aktualizační příručky ani nápovědy pro nasazení VA.
V Databázi znalostí naleznete odpovědi na nejčastější dotazy stejně jako doporučené řešení mnoha situací.
Databáze je pravidelně aktualizovaná technickými specialisty, což z ní činí nejefektivnější nástroj pro řešení
různých typů problémů.
2
ESET fórum představuje jednoduchý způsob, jak ESET uživatelé mohou požádat o radu a pomoci ostatním.
Můžete sem umístit váš problém nebo dotaz týkající se produktu ESET.
Váš názor/zpětnou vazbu na konkrétní kapitolu příručky odešlete následujícím způsobem: V dolní části
stránky klikněte na odkaz Byla pro vás tato informace užitečná?
Instalace/Aktualizace
ESET Security Management Center (ESMC) je aplikace navržená pro správu bezpečnostních produkty ESET na
stanicích, serverech i mobilních zařízeních z jednoho centrálního místa v síti. Prostřednictvím ESET Security
Management Center můžete vzdáleně instalovat bezpečnostní řešení ESET na zařízení, spravovat jejich konfiguraci
a rychle reagovat na nové problémy a hrozby v síti.
ESET Security Management Center neposkytuje ochranu proti škodlivému kódu, tu zajišťuje bezpečnostní produkt
ESET nainstalovaný na cílovém zařízení. V závislosti na platformě se může jednat například o ESET Endpoint
Security nebo ESET File Security pro Microsoft Windows Server.
ESET Security Management Center je založen na těchto principech:
1. Centrální správa – celou vaši síť můžete konfigurovat i sledovat z jednoho místa,
2. Škálovatelnost – systém můžete nasadit v malých sítích stejně tak je navržen pro běh ve velkých
podnikových prostředích. Snadno ESET Security Management Center upravíte vaší rostoucí infrastruktuře.
ESET Security Management Center podporuje novou generaci bezpečnostních produktů ESET, ale poskytuje také
částečnou zpětnou kompatibilitu pro starší verze produktů.
Nápověda ESET Security Management Center vás seznámí s produktem. Doporučujeme vám nejprve prostudovat
níže uvedené kapitoly a seznámit se s nejčastěji používanými součástmi ESET Security Management Center:
Architektura ESET Security Management Center
Migration Assistant
Instalace
Aktualizace
Správa licence
Vzdálené nasazení a nasazení ESET Management Agenta prostřednictvím GPO nebo SCCM
První kroky po instalaci ESET Security Management Center
Průvodce nastavením
Administrační příručka
Nové funkce
Níže uvádíme seznam novinek a vylepšení ve verzi 7.0:
Nový replikační protokol pro ESET Management Agenta s podporou ESET Push Notification Service. Změny v
architektuře protokolu umožňují použít proxy služby třetích stran, jako je Apache HTTP Proxy, pro
přesměrování komunikace. Jak přemigrovat z ERA Proxy na Apache HTTP Proxy?
Nová technologie pro probuzení agenta – ESET Push Notification Service.
Podpora VDI prostředí – algoritmus pro získání otisku hardware umožní automatickou detekci a řešení
klonovaných stanic.
Inventář hardware – ESET Management Agent dokáže sbírat informace o hardware zařízení běžících na
Windows, macOS i linuxových systémech.
Podpora nových produktů ESET:
oESET Dynamic Threat Defense
oESET Enterprise Inspector
oRozšířená ochrana proti ransomware (ransomware štít) v produktech z rodiny ESET Endpoint ve verzi 7 a
novější.
Hlavní změny v ESMC Web Console:
3
oPřepracované hlavní menu, uhlazené uživatelské rozhraní, nové ikonky a přepracovaná sekce Rychlé
odkazy a nápověda.
oProaktivní upozornění na dostupnost nové verze ESMC serveru.
oNový interaktivní přehled na nástěnce zobrazující stav infrastruktury společně s RSS kanálem (z webu
WeLiveSecurity a informace o nových verzích produktů).
oNový interaktivní přehled na nástěnce zobrazující incidenty ve vaší síti.
oESET Endpoint Encryption (Deslock) a Safetica jsou nově reportovány jako ESET produkty. Safetica agenta
můžete nasadit z ESET/ESMC repozitáře.
oPřepracovaní průvodci pro vytváření úloh, šablon a politik.
oRozšířené možnosti filtrování v seznamu počítačů.
oVylepšený průvodce pro odebrání zařízení ze správy.
oNová obrazovka pro nasazení agenta s vysvětlujícím popisem jednotlivých možností.
oAll-in-one instalační balíček je možné vytvořit pro agenta.
oNová interaktivní obrazovka s Detaily počítače zobrazující informace o hardware společně s přehledem,
jakých dynamických skupin je počítač členem.
oRozšířen seznam akcí, pomocí nichž je možné vyřešit stav jedním kliknutím – aktivace, aktualizace,
restart, změny stavu ochrany produktu, atp..
oInformace související s potenciálním klonováním/duplikací/problémy se změnou hardware naleznete v
interaktivním průvodci (označeném modrou vlajkou).
oVylepšená správa hrozeb:
zpracované hrozby jsou automaticky označeny jako vyřešené,
jedním kliknutím můžete spustit kontrolu dané složky s hrozbou,
detekovanou hrozbu je možné přímo přidat jako výjimku do politiky,
širší možnosti pro filtrování seznamu hrozeb,
možnost ručně odeslat soubor k analýze do ESET Dynamic Threat Defense.
oZcela přepracovaná sekce Přehledy s možností vygenerovat přehledy jedním kliknutím. Nové šablony
přehledů pro ESET Enterprise Inspector, ESET Dynamic Threat Defense, Inventář hardware a detekci klonů.
oRozšířeny klientské úlohy pro diagnostiku a odeslání souboru do EDTD..
oDo politiky jsme přidali možnost pro povolení lokálních seznamů.
oMožnost pro synchronizaci uživatelů zařízení přímo s Active Directory.
oPřepracovaná oznámení společně s novými šablonami, pokročilými možnostmi pro jejich úpravu.
Oznámení je možné vytvářet na nové typy událostí a širšími možnostmi filtrování.
oV sekci Další > Odeslané soubory – naleznete informace o souborech odeslaných do systému ESET
LiveGrid® a ESET Dynamic Threat Defense.
oPodpora předplatných licencí; lepší bublinové nápovědy zobrazující aktuální stav využití licence,
přepracovaný průvodce pro přidání licence s podporou ESET Business Account a aktivace jedním kliknutím.
oMožnost definovat úklid databáze pro jednotlivé typy protokolů.
Robustnější a bezpečnější Mobile Device Connector.
Architektura
ESET Security Management Center, nová generace produktu pro vzdálenou správu bezpečnostních produktů ESET,
je zcela odlišný od předchozích verzí ERA. Z důvodu odlišné architektury ESET Security Management Center 7
neexistuje zpětná kompatibilita se starým ERA 5, pouze s ERA 6. Omezeným způsobem je však možné starší
klientské produkty ESET prostřednictvím nové konzole spravovat.
Společně s ESET Security Management Center jsme představili novou generaci bezpečnostních produktů a licenční
systém.
Pro úspěšné nasazení bezpečnostního produktu ESET na platformě Windows i Linux je potřeba nainstalovat tyto
komponenty:
ESMC Server
ESMC Web Console
ESET Management Agent
4
Následující komponenty jsou volitelné, ale ve velkých sítích je doporučujeme nainstalovat pro dosažení
maximálního výkonu:
Proxy
RD Sensor
Apache HTTP Proxy
Mobile Device Connector
Komponenty ESMC infrastruktury používají pro ověřování komunikace certifikáty. Více informací o ESMC
certifikátech naleznete v naší Databázi znalostí.
ESMC Server
ESET Security Management Center Server (ESMC Server) je výkonná součást celé infrastruktury, která
zpracovává veškerá data od klientů připojených k serveru. Přenos dat z klienta na ESMC Server zajišťuje ESET
Management Agent, kdy komunikace může vést prostřednictvím HTTP Proxy. Pro úspěšné zpracování dat vyžaduje
ESMC Server stálé připojení k databázovému serveru, ve kterém jsou data uchovávána. Pro dosažení maximálního
výkonu doporučujeme ESMC Server a databázový server instalovat na rozdílné stroje.
ESMC Web Console
ESMC Web Console je webové rozhraní určené pro vzdálenou správu bezpečnostních produktů ESET ve vaší síti.
Poskytuje přehled o všech klientech v síti a umožňuje vzdáleně nasadit ESET Management Agenta a bezpečnostní
řešení ESET na počítače, které zatím prostřednictvím ESMC Web Console nespravujete. ESMC Web Console
otevřete v jakémkoli z podporovaných internetových prohlížečů. Pokud máte webový server dostupný z internetu,
můžete ESET Security Management Center spravovat prakticky odkudkoli z libovolného zařízení s internetovým
prohlížečem.
5
Agent
ESET Management Agent je nezbytnou součástí ESET Security Management Center 7 infrastruktury. Zajišťuje
stejnou roli jako ERA Agent ve verzi 6.x, pouze došlo k přejmenování této služby. ESET Management Agent používá
nový přepracovaný komunikační protokol.
Klienti nekomunikují s ESMC Serverem přímo, ale výměnu dat zajišťuje agent. Agent sbírá informace z klienta a
odesílá je na ESMC Server. A naopak přijímá úlohy, které ESMC Server odeslal klientovi – ty jsou odeslány agentovi,
který je předá klientovi.
Pro zjednodušení nasazení a správy bezpečnostních produktů na klientských stanicích je ESET Management Agent
součástí ESMC řešení. Jedná se o velmi modulární a nezatěžující službu zajišťující veškerou komunikaci mezi ESMC
Serverem a koncovými produkty ESET, případně operačním systémem. Jednotlivé ESET produkty nekomunikují s
ESMC Serverem přímo, ale právě prostřednictvím agenta. Počítače, na kterých je nainstalován ESET Management
Agent rozpoznáte v ESMC Web Console podle příznaku 'spravován'. Agenta můžete nainstalovat na jakýkoli počítač
bez ohledu na to, zda je na něm nainstalován bezpečnostní produkt ESET.
Výhody tohoto řešení:
Jednoduché nasazení – agenta můžete nasadit na stanice stejně jako jakýkoli jiný software,
On-place security management – předdefinováním bezpečnostních scénářů snížíte reakční dobu při výskytu
hrozeb,
Off-line security management – agent reaguje dynamicky na změny bezpečnostního stavu bez nutnosti
kontaktování ESMC Serveru.
DŮLEŽITÉ
Komunikační protokol používaný agentem pro spojení s ESMC Serverem nepodporuje autentifikaci. Pokud proxy
řešení vyžaduje autentifikaci, komunikace mezi agenty a ESMC Serverem nebude funkční.
Pokud používáte nestandardní port pro Web Console nebo Agenty, může tato změna v konfiguraci vyžadovat
úpravy ve vašem firewallu. V opačném případě se nemusí instalace zdařit.
6
HTTP Proxy
Co je to proxy a k čemu ji mohu použít?
HTTP Proxy dokáže přesměrovávat komunikaci ESET Management Agentů na ESMC Server v prostředích, kde cílové
stanice nemají přímý přístup k serveru.
Co je to ERA 6.x Proxy a proč byla zrušena?
ERA Proxy dokázala agregovat komunikaci agentů z klientských stanic. Data agentů následně ERA přeposílal
hromadně na ERA Server. Díky změnám v replikačním protokolu, který používá ESMC 7, je možné komunikaci
agenta snadno přesměrovávat prostřednictvím jakékoli proxy služby. ERA Proxy je tedy nepotřebná a nedokáže
zpracovávat komunikaci ESET Management agentů ve verzi 7.
Může pracovat ERA 6.x Proxy společně s ESMC 7?
Omezeným způsobem ano. ERA 6.x Proxy může přeposílat komunikaci agentů ve verzi 6.x na ESMC 7 Server.
Nicméně ESET Management Agenti se nedokáží připojit k ERA 6.x Proxy. Nicméně ESET Management Agenti ve
verzi 7 se nedokáží připojit k ERA 6.x Proxy. Toto vezměte v potaz při plánování aktualizace vaší infrastruktury z
verze 6.
Jak funguje proxy v ESET Security Management Center?
ESMC 7 používá jako proxy komponentu Apache HTTP Proxy s vlastní konfigurací. Po jejím nainstalování a řádném
nakonfigurování dokáže Apache HTTP Proxy fungovat jako proxy pro ESET Management Agenty – přeposílat
komunikaci na server. Proxy nezajišťuje cache komunikace nebo její navazování, pouze ji přesměrovává.
Mohu místo Apache HTTP Proxy?
Pro směrování komunikace ESET Management Agenta můžete použít jakoukoli proxy službu, která bude splňovat
níže uvedené požadavky:
7
dokáže přeposílat SSL komunikaci
podporuje HTTP CONNECT
nepoužívá ověřování (uživatelské jméno a heslo)
V čem se liší nový replikační protokol?
Nový replikační protokol využívá TLS a HTTP2 protokoly, díky čemuž je možné komunikaci přesměrovávat
prostřednictvím proxy serverů. Mezi další změny patří nový self-recovery mechanismus a persistentní spojení,
které vylepšuje celkový výkon.
Jaký to bude mít dopad na výkon?
Použití HTTP Proxy nemá pozorovatelný dopad na výkon.
Kdy je vhodné použít proxy?
Proxy doporučujeme použít v případě, kdy vaše infrastruktura splňuje alespoň jednu z níže uvedených podmínek:
Pokud stanice nemá přímý přístup k ESMC serveru.
Pokud chcete použít proxy pro zpracování komunikace:
omezi ESMC serverem a proxy
omezi Proxy a klienty ve vzdálené lokalitě
Jak nakonfigurovat HTTP Proxy?
Konfiguraci HTTP Proxy definujte v politice agenta (v sekci Rozšířená nastavení > HTTP Proxy). V případě
potřeby můžete nastavit pro přístup do internetu a směrování komunikace rozdílné proxy servery:
Globální proxy – vybráním této možnosti bude komponenta agent danou proxy používat pro přístup do
internetu (stahování dat z cache) a směrování komunikace.
Rozdílná proxy pro jednotlivé služby – po vybrání této možnosti budete schopni definovat rozdílné
nastavení proxy pro přístup do internetu a směrování komunikace.
Poznámka
K čemu mohu dále využít Apache HTTP Proxy?
Jak aktualizovat infrastrukturu s ERA 6.x Proxy na verzi ESMC 7?
8
ESET Rogue Detection Sensor
Rogue Detection Sensor (RD Sensor) je nástroj, který vyhledává zařízení v síti. RD Sensor je součást ESET Security
Management Center navržená pro detekci zařízení v síti a představuje pohodlný způsob pro přidání nových (dosud
nespravovaných) počítačů do ESET Security Management Center bez nutnosti jejich ručního zadávání. Každé
nalezené zařízení v síti zobrazí ESMC Web Console v přehledu Nalezené počítače, odkud můžete zařízení
následně přidat do konzole.
RD Sensor pasivně naslouchá v síti a informace o nalezených zařízeních odesílá na ESMC Server. ESMC Server
následně vyhodnotí, zda je nalezené zařízení neznámé nebo je již spravováno.
Každé zařízení v síti (doméně, LDAP, síti Windows) je přidáno do seznamu zařízení ESMC Serveru automaticky
prostřednictvím synchronizační úlohy (při instalaci na Windows se vytvoří automaticky, případně si ji můžete
kdykoli vytvořit ručně). RD Sensor představuje vhodný způsob pro nalezení počítačů, které nejsou v doméně či jiné
síťové infrastruktuře, a chcete je přidat do ESET Security Management Center. RD Sensor si pamatuje počítače,
které již objevil a neodesílá duplicitní informace.
9
ESET Mobile Device Connector
ESET Security Management Center Mobile Device Connector je součást ESMC infrastruktury, prostřednictvím které
připojíte Android a iOS zařízení do ESET Security Management Center. V případě iOS zařízení jde o instalaci
nativního MDM profilu, na OS Android je potřeba pro vzdálenou správu nainstalovat aplikaci ESET Endpoint Security
pro Android.
10
Klikněte sem pro zobrazení většího obrázku
Poznámka
Komponentu pro správu mobilních zařízení doporučujeme provozovat na samostatném serveru odlišném od toho,
na kterém běží ESMC Server.
Níže uvádíme doporučené požadavky na hardware při správě přibližně 80 mobilních zařízení.
Hardware Doporučená konfigurace
Procesor 4 jádra, 2.5 GHz
RAM 4 GB (doporučeno)
HDD 100 GB
Při správě více než 80 mobilních zařízení nejsou požadavky výrazně vyšší. Pouze se dojde k prodloužení intervalu,
ve kterém se úloha z ESMC doručí na mobilní zařízení.
Apache HTTP Proxy
Apache HTTP Proxy je proxy služba, která dokáže z cache distribuovat aktualizace detekčního jádra i instalační
balíčky klientům ve vaší sítí. Může tak zastat roli mirroru, populární funkce v ERA 5 a starších verzích.
Funkce Apache HTTP Proxy
Funkce Proxy řešení, které zajistí tuto funkci
Ukládání stahovaných dat do cache Apache HTTP Proxy nebo jiná proxy služba
Ukládání výsledků z ESET Dynamic Threat Defense do
cache
Pouze nakonfigurovaný Apache HTTP Proxy
Replikace ESET Management Agentů na ESMC Server Apache HTTP Proxy nebo jiná proxy služba
Funkce cache
Apache HTTP Proxy do cache dokáže ukládat:
11
Aktualizace detekčních a programových modulů
Aktivační úlohy (do cache se ukládá komunikace s aktivačními servery – žádosti o získání licence)
data z ESMC repozitáře
Aktualizace programových komponent,
A distribuovat je klientům ve vaší síti. Minimalizuje množství dat stažených z internetu.
Ve srovnání s Mirror toolem, který stahuje všechna data z aktualizačních serverů ESET, Apache HTTP Proxy do
cache ukládá výhradně data, která jsou potřeba (vyžádali si je komponenty ESMC infrastruktury nebo bezpečnostní
produkty ESET). Pokud bezpečnostní produkt ESET začne stahovat aktualizaci modulů, Apache HTTP Proxy
stahovaný soubor z aktualizační serverů ESET uloží do své cache. Až se začne aktualizovat produkt ESET na další
stanici, aktualizaci obdrží z cache Apache HTTP Proxy, a nebude ji stahovat znovu z internetu.
Cache pro bezpečnostní produkty ESET
Cache můžete nastavit rozdílně pro ESET Management Agenta bezpečnostní produkt. Konfiguraci bezpečnostního
produktu však zvládnete ovlivnit prostřednictvím ESET Management Agenta. Proxy v ESET Endpoint Security
můžete definovat několika způsoby:
lokálně prostřednictvím grafického rozhraní
zESMC Web Console prostřednictvím politiky (doporučený způsob centrální správy koncových zařízení)
Cache výsledků z ESET Dynamic Threat Defense
Apache HTTP Proxy dokáže cachovat také výsledky přijaté ze služby ESET Dynamic Threat Defense. Cachování
těchto výsledků vyžaduje specifickou konfiguraci. Ta je však již obsažena v balíčku Apache HTTP Proxy
poskytovaného společností ESET. Pokud je to možné, doporučujeme cachovat výsledky ESET Dynamic Threat
Defense. Pro více informací se podívejte do příručky k EDTD.
Použití Apache jako HTTP Proxy – pro komunikaci mezi agentem a serverem
Při správné konfiguraci může Apache HTTP Proxy přeposílat data z komponent ESMC infrastruktury (například ze
vzdálených lokalit) na centrální ESMC server. Dokáže tak nahradit funkci, kterou zastávala ERA Proxy 6.x. Pro
cachování aktualizací (doporučen Apache HTTP Proxy) a směrování komunikace můžete použít rozdílné proxy
služby. V sítích do 1000 klientů může obě služby zastat jedna proxy služba (Apache HTTP Proxy). Ve větších sítích
(nad 1000 klientů) doporučujeme použít pro každou roli rozdílnou proxy službu.
Mějte na paměti, že ERA Proxy 6.x není kompatibilní s ESET Management Agenty. Pro více informací přejděte do
kapitoly funkce proxy.
Jak nakonfigurovat HTTP Proxy?
Konfiguraci HTTP Proxy definujte v politice agenta (v sekci Rozšířená nastavení > HTTP Proxy). V případě
potřeby můžete nastavit pro přístup do internetu a směrování komunikace rozdílné proxy servery:
Globální proxy – vybráním této možnosti bude komponenta agent danou proxy používat pro přístup do
internetu (stahování dat z cache) a směrování komunikace.
Rozdílná proxy pro jednotlivé služby – po vybrání této možnosti budete schopni definovat rozdílné
nastavení proxy pro přístup do internetu a směrování komunikace.
Infrastruktura Apache HTTP Proxy
Níže uvedené schéma demonstruje použití proxy serveru (Apache HTTP Proxy) pro distribuci ESET komunikace
jednotlivým komponentám ESMC a bezpečnostním produktů ESET ve vaší síti.
12
Poznámka
Jaký je rozdíl mezi ERA Proxy a Apache HTTP Proxy?
13
DŮLEŽITÉ
Využití proxy chain můžete Apache HTTP Proxy připojit k nadřazené proxy. Mějte na paměti, že ESMC nepodporuje
proxy chaining s aktivní autentifikací. Kdykoli můžete použít vlastní transparentní proxy – nicméně v tomto
případě bude pravděpodobně nutné upravit její konfiguraci.
Poznámka
Pro stahování aktualizací detekčního jádra a programových modulů v offline prostředí použijte Mirror tool.
Provozovat jej můžete na Windows i Linuxu.
Scénáře nasazení
V následujících kapitolách si ukážeme vzorové nasazení v rozdílných síťových prostředích.
Doporučený scénář pro nasazení ESET Security Management Center
14
Počet klientů Do 1000
klientů
1000 - 5000
klientů
5000 - 10 000
klientů
10 000 - 50
000 klientů
50 000 -
100 000
klientů
100 000+
klientů**
ESMC Server a databázový
server na stejném stroji
x x x
Použití MS SQL Express x x x
Použití MS SQL
Použití MySQL x x x
Použití ESMC Virtual Appliance Není
doporučeno
x x x
Použití virtuálního stroje Volitelná x x
Doporučený interval replikace
(v průběhu prvotního
nasazení)
60 sekund* 5 minut 10 minut 15 minut 20 minut 25 minut
Doporučený interval replikace
pro standardní provoz
10 minut 10 minut 20 minut 30 minut 40 minut 60 minut
* Výchozí interval replikace ESET Management Agenta. Upravte jej v závislosti na velikosti vaší infrastruktury. V
případě výkonného hardwaru doporučujeme držet počet replikací/spojení mezi agentem a serverem pod úrovní
1000 za sekundu.
** Doporučené požadavky na hardware naleznete v samostatné kapitole.
Jeden server (SMB)
Pro správu menších sítí (do 1 000 klientů) můžete ESMC Server a všechny další komponenty nainstalovat na jeden
server. Z pohledu výkonu to bude dostatečné.
Vzdálené lokality s proxy
Pokud nemají všichni klienti přímou viditelnost na ESMC Server, použijte proxy pro přesměrování komunikace.
Proxy neagreguje komunikaci ani nesnižuje množství replikací.
High Availability (Enterprise)
V enterprise prostředí (například při 100 000 klientech) můžete použít níže uvedené ESMC komponenty:
RD Sensor, který vám pomůže najít v sítí všechna zařízení.
SQL databázový server nasadit na samostatný server nebo Failover Cluster.
ESMC Server nasadit na Failover Cluster.
Praktické příklady nasazení (Windows)
Pro zajištění maximálního výkonu doporučujeme pro databázi ESET Security Management Center použít Microsoft
SQL Server. MySQL je ze strany ESET Security Management Center podporován, při velkém množství dat (klientů,
nástěnek, hrozeb atp.) může docházet ke snížení výkonu. Na stejném hardware Microsoft SQL Server dokáže
obsloužit 10krát více klientů než MySQL.
Z diagnostických důvodů se v databázi uchovává posledních 30 protokolů z klienta. Microsoft SQL Server využívá
velké množství RAM pro cache dat databáze, proto doporučujeme mít alespoň tolik paměti, kolik Microsoft SQL
Server databáze zabírá na disku.
Neexistuje žádný přesný výpočet na zjištění, jaké množství dat si ESET Security Management Center alokuje,
protože to závisí na konfiguraci sítě. Níže uvádíme výsledky testů z běžných síťových prostředí:
Testovací scénář – maximálně 5 000 klientů připojujících se k ESMC Serveru
Testovací scénář – maximálně 100 000 klientů připojujících se k ESMC Serveru
Pro zajištění optimální konfigurace vyhovující vašim potřebám, doporučujeme provést test s malým počtem
15
klientům na slabším hardware. Na základě naměřených dat následně zjistíte potřebné systémové požadavky.
TESTOVACÍ SCÉNÁŘ (5 000 KLIENTŮ)
Hardware/software
Windows Server 2012 R2, x64 architektura procesoru
Microsoft SQL Server Express 2014
Intel Core2Duo E8400 @3 GHz
4 GB RAM
Seagate Barracuda 7200rpm, 1TB, 16MB cache, Sata 3.0 Gb/s
Výsledek
Odezva ESMC Web Console je do 5 sekund
Průměrná spotřeba paměti:
oApache Tomcat 200 MB
oESMC Server 200 MB
oSQL Server 2 GB
Výkon replikace serveru: 10 replikací za sekundu
Velikost databáze na disku 2 GB (5 000 klientů, každý má v databázi uloženo 30 protokolů)
V tomto příkladu byl použit SQL Server Express 2014. Navzdory omezením (10GB databáze, 1CPU a využití 1GB
RAM) byla tato konfigurace funkční a dostatečný výkonná. Použití SQL Server Express je doporučeno pro servery,
ke kterým se bude připojovat nejvýše 5 000 klientů. Nejprve můžete použít Microsoft SQL Server Express a provést
upgrade plnou verzi Microsoft SQL Server v případě, že budete potřebovat větší databázi.
Výkon replikace serveru představuje interval replikace klientů. 10 replikací za sekundu představuje výkon 600
replikací za minutu. V ideálním případě by měl být interval replikace při 5 000 klientech nastaven na 8 minut.
Jelikož to může způsobit 100% vytížení serveru, je potřeba nastavit delší interval. V tomto případě doporučujeme
interval nastavit na 20-30 minut.
TESTOVACÍ SCÉNÁŘ (100 000 KLIENTŮ)
Hardware/software
Windows Server 2012 R2 Datacenter, x64 architektura procesoru
Microsoft SQL Server 2012
Intel Xeon E5-2650v2 @2.60GHz
64 GB RAM
Síťový adaptér Intel NIC/PRO/1000 PT Dual
2x Micron RealSSD C400 256GB SSD disky (jeden pro systém a aplikace, druhý pro datové soubory SQL
Serveru)
Výsledek
Odezva ESMC Web Console je do 30 sekund
Průměrná spotřeba paměti:
oApache Tomcat 1 GB
oESMC Server 2 GB
oSQL Server 10 GB
Výkon replikace serveru: 80 replikací za sekundu
Velikost databáze na disku 10 GB (100 000 klientů, každý má v databázi uloženo 30 protokolů)
V tomto případě byly nainstalovány všechny komponenty (Apache Tomcat + Web Console, ESMC Server, SQL
Server) na jeden stroj pro otestování kapacity ESMC Serveru.
Velké množství klientů povede k většímu využití paměti i pevného disku ze strany Microsoft SQL Server. Pro
optimální výkon SQL Server do cache v paměti načítá téměř celou databázi. To samé platí pro cache Apache
Tomcat (ESMC Web Console) a ESMC Serveru – to vysvětluje velkou spotřebu paměti v tomto příkladu.
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25
  • Page 26 26
  • Page 27 27
  • Page 28 28
  • Page 29 29
  • Page 30 30
  • Page 31 31
  • Page 32 32
  • Page 33 33
  • Page 34 34
  • Page 35 35
  • Page 36 36
  • Page 37 37
  • Page 38 38
  • Page 39 39
  • Page 40 40
  • Page 41 41
  • Page 42 42
  • Page 43 43
  • Page 44 44
  • Page 45 45
  • Page 46 46
  • Page 47 47
  • Page 48 48
  • Page 49 49
  • Page 50 50
  • Page 51 51
  • Page 52 52
  • Page 53 53
  • Page 54 54
  • Page 55 55
  • Page 56 56
  • Page 57 57
  • Page 58 58
  • Page 59 59
  • Page 60 60
  • Page 61 61
  • Page 62 62
  • Page 63 63
  • Page 64 64
  • Page 65 65
  • Page 66 66
  • Page 67 67
  • Page 68 68
  • Page 69 69
  • Page 70 70
  • Page 71 71
  • Page 72 72
  • Page 73 73
  • Page 74 74
  • Page 75 75
  • Page 76 76
  • Page 77 77
  • Page 78 78
  • Page 79 79
  • Page 80 80
  • Page 81 81
  • Page 82 82
  • Page 83 83
  • Page 84 84
  • Page 85 85
  • Page 86 86
  • Page 87 87
  • Page 88 88
  • Page 89 89
  • Page 90 90
  • Page 91 91
  • Page 92 92
  • Page 93 93
  • Page 94 94
  • Page 95 95
  • Page 96 96
  • Page 97 97
  • Page 98 98
  • Page 99 99
  • Page 100 100
  • Page 101 101
  • Page 102 102
  • Page 103 103
  • Page 104 104
  • Page 105 105
  • Page 106 106
  • Page 107 107
  • Page 108 108
  • Page 109 109
  • Page 110 110
  • Page 111 111
  • Page 112 112
  • Page 113 113
  • Page 114 114
  • Page 115 115
  • Page 116 116
  • Page 117 117
  • Page 118 118
  • Page 119 119
  • Page 120 120
  • Page 121 121
  • Page 122 122
  • Page 123 123
  • Page 124 124
  • Page 125 125
  • Page 126 126
  • Page 127 127
  • Page 128 128
  • Page 129 129
  • Page 130 130
  • Page 131 131
  • Page 132 132
  • Page 133 133
  • Page 134 134
  • Page 135 135
  • Page 136 136
  • Page 137 137
  • Page 138 138
  • Page 139 139
  • Page 140 140
  • Page 141 141
  • Page 142 142
  • Page 143 143
  • Page 144 144
  • Page 145 145
  • Page 146 146
  • Page 147 147
  • Page 148 148
  • Page 149 149
  • Page 150 150
  • Page 151 151
  • Page 152 152
  • Page 153 153
  • Page 154 154
  • Page 155 155
  • Page 156 156
  • Page 157 157
  • Page 158 158
  • Page 159 159
  • Page 160 160
  • Page 161 161
  • Page 162 162
  • Page 163 163
  • Page 164 164
  • Page 165 165
  • Page 166 166
  • Page 167 167
  • Page 168 168
  • Page 169 169
  • Page 170 170
  • Page 171 171
  • Page 172 172
  • Page 173 173
  • Page 174 174
  • Page 175 175
  • Page 176 176
  • Page 177 177
  • Page 178 178
  • Page 179 179
  • Page 180 180
  • Page 181 181
  • Page 182 182
  • Page 183 183
  • Page 184 184
  • Page 185 185
  • Page 186 186
  • Page 187 187
  • Page 188 188
  • Page 189 189
  • Page 190 190
  • Page 191 191
  • Page 192 192
  • Page 193 193
  • Page 194 194
  • Page 195 195
  • Page 196 196
  • Page 197 197
  • Page 198 198
  • Page 199 199
  • Page 200 200
  • Page 201 201
  • Page 202 202
  • Page 203 203
  • Page 204 204
  • Page 205 205
  • Page 206 206
  • Page 207 207
  • Page 208 208

ESET Security Management Center 7.0 Installation/Upgrade Guide

Typ
Installation/Upgrade Guide