Princip fungování politik v ESET Remote Administrator 6

V ESET Remote Administrator 6 se nezměnila pouze architektura, ale také práce s politikami. Na rozdíl od politik v ESET Remote Administrator 5 je nově každá politika platná pouze pro jeden produkt. Každému počítači nebo skupině tedy můžete přiřadit neomezené množství politik. To znamená, že jednotlivé politiky jsou si rovny a výsledné nastavení závisí na jejich pořadí.

Výsledné nastavení produktu, které se na klienta propíše je sestaveno po provedení následujících kroků:

1. zjištění pořadí skupin, ve kterých se klient nachází,
2. načtení politik ze všech skupin, ve kterých se klient nachází,
3. sloučení politik do výsledné sady zásad.

Upozornění: Mějte na paměti, že výslednou politiku ovlivňuje hierarchie skupin a pořadí politik. Sloučení dvou politik může vrátit odlišný výsledek, pokud změníte jejich pořadí.

Zjištění skupin

Hierarchie skupin určuje pořadí, v jakém jsou na klienty v těchto skupinách politiky aplikovány. Stromová struktura je vyhodnocována na základě grafového algoritmu prohledávání do šířky. To znamená, že je nejprve vyhodnocena kořenová skupina, následně její přímé podskupiny, dále jejich podskupiny atd.

Na obrázku níže je v levé části zobrazena struktura, tak jak ji vidíte v ESET Remote Administrator, v pravé části je struktura znázorněna schematicky.

Načtení politik

Při zjišťování pořadí politik se uplatňují následující pravidla:

• Statické skupiny jsou vyhodnocovány od kořene, tedy skupiny Všechna zařízení.
• V každém uzlu jsou nejprve prohledány statické skupiny, poté dynamické skupiny.
• Vyhodnocení stromu končí u klientského zařízení (počítače).

Po získání seznamu skupin dojde k načtení politik, které mají dané skupiny přiřazeny. Pokud skupina nemá přiřazenou žádnou skupinu, bude ze seznamu odstraněna.

Na závěr se všechny získané politiky sloučí do jedné výsledné.

Sloučení politik

Při slučování pravidel platí pravidlo, že nastavení z naposledy načtené politiky přepisuje nastavení z dříve načtené politiky.

Každému nastavení v politice však můžete přiřadit příznak, pomocí kterého ovlivníte, jak politika nastavení zpracuje. K dispozici jsou dva příznaky:

• Použít (Apply) – nastavení s tímto příznakem bude aplikováno na klientech, ale může být přepsáno politikou, která se aplikuje později.
• Vynutit (Force) – nastavení s tímto příznakem má nejvyšší prioritu a nemůže být přepsáno jinou politikou (i v případě, že má stejný příznak). To zajistí, že se nastavení nezmění ani po sloučení všech politik.

Výsledná politika vznikne sloučením všech politik s ohledem použité příznaky u jednotlivých nastavení.

V našem případě se do nastavení propíší hodnoty zvýrazněné na obrázku výše.

• Příznak Vynutit (Force) u režimu firewallu Policy based (Administrátorský režim) v politice č. 1 způsobí, že se již nepoužije nastavení z politiky č.4 Learning (Učící režim).
• Jako profil kontroly se použije Smart scan (Smart kontrola) definovaná v politice č. 4 a přepíše nastavení z politiky č.1 In-depth (Hloubková kontrola).
• Správa zařízení bude ON (Zapnuta) a nastavení nebude přepsáno politikou č. 3 ani politikou č. 2, protože je zde použit příznak Vynutit (Force).
• Nastavení HIPS se při zpracování politiky několikrát změní, protože je ve všech případech nastaven příznak Použít (Apply). Politika č. 5 vrátí hodnotu na výchozí nastavení a systém HIPS bude aktivní.

Štítky: ERA6, politiky, vynucení nastavení, uzamknutí nastavení