Databáze znalostí: Firmy > Konzole pro vzdálenou správu

Vše co vás zajímá o ESET PROTECT

Autor: | Poslední úprava: 20.03.2023 13:28:14

ESET PROTECT (dříve známý jako ESET Security Management Center) představuje novou generaci konzole pro vzdálenou správu klientských stanic, serverů, mobilních zařízení a bezpečnostních produktů ESET na nich nainstalovaných. Jedná se o nástupce ESET Remote Administrator, který navíc nabízí:

  • hardwarový a softwarový audit
  • možnosti pro správu operačního systému včetně Android a iOS
  • podporu cloudového sandboxingu (EDTD) a EEI

V tomto článku naleznete na jednom místě informace, které využijete při seznámení s produktem, v průběhu jeho nasazení i samotném používání.

Video návody:
Pro seznámení s ESET PROTECT/ESMC můžete využít rovněž video návody.

Seznámení s produktem a architekturou

Serverovou část můžete nainstalovat na Windows server, vámi preferovanou linuxovou distribuci, případně do svého hypervizoru nasadit jako hotové řešení v podobě virtuální appliance, která je postavena na operačním systému CentOS.

Konzole pro samotnou správu klientů i serveru je webová, a pohání ji Apache Tomcat. Vyžaduje tedy doplněk Java, případně jakoukoli jeho bezplatnou variantu (například OpenJDK). Přistupovat k ní tak můžete z libovolného zařízení v síti vybaveného internetovým prohlížečem. Nasadit ji můžete na stejný stroj jako server, případě samostatný. Následně jen upravíte její konfiguraci tak, aby se připojovala k serverové části produktu.

Komunikaci mezi klientem a serverem zajišťuje agent. Ověřována je certifikáty vygenerovanými v průběhu instalace serveru. Jedná se o samostatnou komponentu infrastruktury, která běží v systému jako služba na pozadí, nemá grafické rozhraní, v pevně definovaných intervalech se připojuje k serveru a replikuje data. Komunikaci nikdy neinicializuje server. Ten může pouze prostřednictvím EPNS pobídnout agenta k tomu, aby se k serveru připojil.

Rozšířené zabezpečení:
Pokud již v síti nepoužíváte zastaralé a nepodporované operační systémy, doporučujeme vynutit TLS 1.2 a vygenerovat si certifikáty podepsané SHA-2 algoritmem.

Než se pustíte do instalace:

Je dobré vědět:
Serverová část je výhradně 64-bitová a vyžaduje ke svému běhu databázový server (Microsoft SQL nebo MySQL). Další informace o architektuře a jednotlivých komponentách infrastruktury naleznete v uživatelské příručce.


Začínáme spravovat zařízení v síti

Po nasazení serveru vás čeká nejdůležitější úkol. Abyste stanice mohli vzdáleně spravovat, je nutné na ně nasadit agenta. Vyberte si způsob, který bude nejvíce vyhovovat vašemu prostředí. Níže uvádíme možné (doporučené) příklady:

Prostředí Lokálně Vzdáleně
Čistá Windows stanice ručním spuštěním all-in-one instalačního balíčku all-in-one instalační balíček prostřednictvím nástroje ESET Remote Deployment Tool
Stanice s již nainstalovaným AV řešením ručním spuštěním online instalačního balíčku prostřednictvím serverové úlohy
Linux nebo macOS
Doménová síť prostřednictvím doménové politiky (GPO)

Jelikož se jedná výhradně o komunikační prvek infrastruktury, můžete jej nainstalovat i na stanice, na nichž aktuálně běží jiný bezpečnostní produkt. V takovém případě můžete při plynulé migraci na řešení ESET využít kroky uvedené v článku Přecházíme od konkurenčního řešení.

Je dobré vědět:
Licencuje se vždy koncový bezpečnostní produkt. Agenta můžete nainstalovat na libovolné množství zařízení, například za účelem, abyste měli ve Web Console přehled o jeho stavu (hardwaru, nainstalovaných aplikacích, …) a mohli na něm spouštět libovolné příkazy.


Nasazení bezpečnostního produktu a prvotní konfigurace

Pokud jste bezpečnostní produkt nenasadili již společně s agentem prostřednictvím all-in-one instalačního balíčku, využijte k tomu nyní klientskou úlohu na Instalaci aplikace. V průběhu vytváření úlohy vyberte z repozitáře produkt, který chcete nainstalovat, a licenci.

Po nasazení produktu je vhodné vynutit jeho jednotnou konfiguraci, minimálně uživatelům zabránit v tom, aby produkt mohli svévolně modifikovat, případně odinstalovat. K tomu doporučujeme postupovat podle kroků v článku Průvodce nastavením základní konfigurace

Produkty se standardně aktualizují ze serverů ESET umístěných v internetu. V případě velkých sítí nebo prostředí s omezeným přístupem do internetu, využijte Apache HTTP Proxy pro cachování instalačních balíčků a aktualizací. Pro více informací si přečtěte níže uvedené články:

Je dobré vědět:
V offline sítích využijte Mirror Tool a následně aktualizace distribuujte na výměnném médiu. Případě produkty nasměrujte na UNC cestu, v níž se bude nacházet obsah stažený pomocí Mirror Toolu. Vytvořit si můžete rovněž offline repozitář.


Aktualizace, migrace, zálohování

Při instalaci prostřednictvím all-in-one instalačního balíčku Windows nebo v průběhu nasazení virtuální appliance dojde k vygenerování self-signed certifikátu, který používá webový server. Pro jeho změnu postupujte podle kroků uvedených v článku Jak do konzole nahrát vlastní SSL certifikát.

Na dostupnost aktualizace vás konzole upozorní automaticky. Aktualizaci nejen serveru, konzole, ale rovněž agentů, provedete pohodlně prostřednictvím klientské úlohy. Bezpečnostní produkty si pravidelně stahují aktualizace detekčního jádra a programových modulů, nicméně nové funkce, detekční technologie a opravy chyb získáte jedině nainstalováním nové verze produktu. Ty vydáváme několikrát ročně (podobně jako velké aktualizace Windows 10). Aktualizaci provedete, stejně jako při prvotním nasazení, prostřednictvím úlohy na instalaci aplikace.

Důležité:
Komponenty třetích stran, jako je doplněk Java nebo webový server Apache Tomcat, je nutné aktualizovat samostatně. Na Windows k tomu můžete využít all-in-one instalační balíček, případně Tomcat aktualizujte ručně (Windows, Linux).

Pokud se chystáte postavit nový server, pro migraci agentů využijte postup uvedený v článku Migrace ze starého serveru na nový.

Potřebujete-li zachovat databázi, vyberte si jeden z migračních scénářů popsaných v uživatelské příručce. V případě virtuální appliance dle kroků v kapitole Migrace databáze.

Škálovatelná je nejen infrastruktura, ale také bezpečnostní model přístupových oprávnění. Toho můžete využít nejen při správě více subjektů. Máte-li ve firmě více administrátorů, vytvořte další uživatele a přiřaďte jim oprávnění pouze k objektům, které potřebují.

Je dobré vědět:
Server sám o sobě neprovádí zálohu databáze. Zálohujte ručně. Pro disaster recovery vám postačí exportovaný veřejný klíč certifikační autority a zálohovaný certifikát serveru.


Správa mobilní zařízení

Prostřednictvím ESET PROTECT můžete spravovat rovněž mobilní zařízení s operačním systémem Android a iOS. Jedná se o komponentu, kterou doporučujeme nainstalovat na samostatný server. Opět se můžete rozhodnout, zda ji nasadíte na Windows, Linux nebo jako virtuální appliance. Tato komponenta virtualizuje agenty mobilních zařízeními a zajišťuje komunikaci mezi nimi a serverem. Pro pochopení komunikace doporučujeme přečíst níže uvedené články:

Pro ověřování komunikace můžete použít certifikát vydaný důvěryhodnou certifikační autoritou. Potřebné informace, včetně návodu, jak certifikát vyměnit bez nutnosti přeregistrace zařízení, naleznete v článku:

Pokud se rozhodnete server přesunout, postupujte podle kroků uvedených v příručce v kapitole Migrace MDM serveru.


Řešení potíží a další informace

Relevantní informace a možné vodítko pro vyřešení naleznete v protokolech. Ty budou v každém případě vyžadovat specialisté technické podpory.

Instalace aplikace se nemusí vždy zdařit. Ať již důvodu dlouho nerestartovaného systému. Níže uvádíme odkazy na články, v nichž dohledáte potřebné informace k úspěšnému vyřešení situace:


FAQ

Otázka: Proč virtuální appliance skenuje moji síť na portu 22?
Odpověď: Součástí virtuální appliance je RD Senzor, který touto cestou zjišťuje, zda se jedná o spravovatelné zařízení s operačním systémem. Pokud jeho možnosti nevyužíváte, můžete jej odinstalovat.

Štítky: eset security management center, esmc průvodce, začínáme s esmc, protect průvodce, eset protect