ESET REMOTE ADMINISTRATOR 5

Transkript

1 ESET REMOTE ADMINISTRATOR 5 Installations- und Benutzerhandbuch Hier klicken, um die neueste Version dieses Dokuments herunterzuladen

2 ESET REMOTE ADMINISTRATOR 5 Copyright 2015 ESET, spol. s r.o. ESET Remote Admi ni s tra tor 5 wurde entwi ckel t von ESET, s pol. s r.o. Nä here Informa ti onen fi nden Si e unter et.com. Al l e Rechte vorbeha l ten. Ohne s chri ftl i che Genehmi gung des Verfa s s ers da rf di es e Dokumenta ti on weder ga nz noch a us zugs wei s e vervi el fä l ti gt, i n ei nem Abrufs ys tem ges pei chert oder übertra gen werden. Di es gi l t una bhä ngi g von der verwendeten Form und dem techni s chen Verfa hren (el ektroni s ch, mecha ni s ch, Fotokopi e, Sca nnen, s ons ti ge Aufzei chnung us w.). ESET, s pol. s r.o. behä l t s i ch da s Recht vor, ohne ges onderte Ankündi gung Änderungen a n der bes chri ebenen Anwendungs s oftwa re vorzunehmen. Kundens ervi ce wel twei t: et.eu/s upport Kundens ervi ce Norda meri ka : et.com/s upport Vers i ons s ta nd 11/20/2015

3 Inhalt 1. Einführung...5 sich mit ESET Remote Administrator Version 5?3 1.1 Was ändert Programmarchitektur...6 Produkte und Sprachen 1.3 Unterstützte Installation...8 von ERA Server und ERA Console Optionen...56 f ür Installationspakete ESET...57 Endpoint Antiv irus Deinstallationsoptionen ESET...58 Endpoint Security Deinstallationsoptionen Benutzerdef...59 inierte Bef ehlszeilen-optionen f ür Pakete Diagnose...60 v or Remoteinstallation Installationsv...61 erlauf Task erneut...61 ausf ühren Inhalt...62 einer Ergebnisdatei anzeigen für ERA Console 3.5 Optionen Verbindung Spalten Farben Pf ade Datum/Uhrzeit...64 Installationsanleitung Bereiche Überblick...14 zur Netzwerkumgebung Sonstige...64 Einstellungen Vor der...14 Installation 3.6 Anzeigemodi Installation...15 ESET Configuration Editor Installation...15 v on ERA Serv er Arbeiten...67 mit mehreren Konf igurationsebenen Cluster-Installation Wesentliche...68 Konf igurationseinträge Installation...17 v on ERA Console Update-Mirror Installation...70 von ESET Clientlösungen Von ERA...18 Serv er unterstützte Datenbankty pen Grundv...19 oraussetzungen Direkte Installation Einrichten...20 der Datenbankv erbindung 4.2 Remoteinstallation Installation...20 über Vorgängerv ersionen Anf orderungen...71 und Einschränkungen Szenario - Installation in einer großen Unternehmensumgebung Anf orderungen...72 f ür die Push-Installation f ür Linux/Mac Überblick...22 zur Netzwerkumgebung WMI-Anf...72 orderungen Installation Push-Remoteinstallation Installation...23 in der Zentrale Remoteinstallation...75 mit Anmeldung / Zweigniederlassung:...23 Installation v on ERA Serv er ESET...75 Installer in Ordner/Anmeldeskript exportieren Zweigniederlassung:...23 Installation des HTTP-Mirror-Serv ers Standardanmeldung...78 / Anmeldeinf ormationen Zweigniederlassung:...24 Remoteinstallation auf den Clients Benutzerdef...78 inierte Remoteinstallation Weitere...24 Voraussetzungen f ür große Windows...79 Upgrade-Client Unternehmensumgebungen Vermeiden...79 wiederholter Installationen...26 Die Arbeit mit ERA Console Task erneut...81 ausf ühren Verbindungsaufbau mit ERA Server Neuer Installationstask Weitere...83 Einstellungen ERA Console - Hauptfenster Installerf...84 reigabe konf igurieren Seite einrichten WMI-Inf...85 ormationen Filtern...29 von Informationen WSUS-Export Filter GPO-Export Kontextmenü Zeitraumf...31 ilter 5. Verwalten...87 der Clientcomputer 2.1 Anforderungen Sof tware...8 und Datenbankanf orderungen Leistungsanf...9 orderungen Verwendete...12 Ports Computersuche in ERA Console 3.4 Registerkarten Tasks Allgemeiner...31 Überblick zu Registerkarten und Clients Konf igurations-task Inhalt der...32 Registerkarten bei Replikation Task "On-Demand-Scan" Clients...33 (Registerkarte) Task "Update...89 starten" Zusammenf...35 ührung doppelt v orhandener Clients Sy sinspector-skript-task Netzwerkaktionen Schutzkomponenten Bedrohungen...38 (Registerkarte) Geplanten...90 Task ausf ühren Firewall...38 (Registerkarte) Task "Aus...90 Quarantäne wiederherstellen/löschen" Ereignisse...39 (Registerkarte) Rollback...91 der Signaturdatenbank HIPS (Registerkarte) Update-Cache...91 des Clients löschen Medienkontroll-Log Task "Sicherheits-Auditlog...92 erzeugen" Web-Kontroll-Log Task "Hinweis...92 anzeigen" Spam-Schutz...40 (Registerkarte) Bestätigen...92 des Tasks Grey list...40 (Registerkarte) 5.2 Gruppen-Manager Scans (Registerkarte) Statische...93 Gruppen Mobilgeräte...41 (Registerkarte) Parametrische...94 Gruppen Quarantäne...42 (Registerkarte) Activ e...95 Directory -/LDAP-Sy nchronisierung Tasks (Registerkarte) Policies Berichte...43 (Registerkarte) Grundsätze...96 und Funktionsweise Dashboard Erstellen...96 v on Policies Liste der...48 Dashboard-Webserv er Virtuelle...97 Policies Beispielszenario...49 f ür die Berichtf unktionen Rolle und...97 Zweck v on Policies in der Policy hierarchie Remoteinstallation...50 (Registerkarte) Anzeigen...98 v on Policies Assistent...51 f ür Netzwerk-Suchtask Importieren/Exportieren...98 v on Policies Paket-Manager Policy -Migrationsassistent Bef ehlszeilen-optionen...54

4 Zuweisen...99 v on Policies zu Clients Standardpolicy...99 f ür primäre Clients wiederherstellen 9.8 Speicher Manuelle...99 Zuweisung Lizenzschlüssel installieren 9.9 Neuen Policy regeln bearbeiten 9.10 Serverkonfiguration Assistent f ür Policy regeln Policies f ür mobile Clients Löschen v on Policies Erweiterte Einstellungen Szenarien f ür die Durchsetzung v on Policies Nur Standalone-Serv er, Policies werden lokal def iniert Jeder Serv er wird einzeln administriert - Policies werden lokal v erwaltet, aber die übergeordnete Standardpolicy wird v om Vererbung v on Policies durch einen übergeordneten Serv er übergeordneten Serv er geerbt Zuweisung v on Policies ausschließlich v om übergeordneten Serv er Zuweisung an Gruppen 5.4 Notifikations-Manager Clientstatus Serv erstatus Ereignis "Abgeschlossener Task" Ereignis "Neuer Client" Ereignis "Ausbruch" Ereignis "Log erhalten" Aktion Notif ikationen per SNMP-Trap Beispiel zur Erstellung v on Regeln Informationen von Clients 5.5 Ausführliche zum Zusammenführen von Firewall-Regeln 5.6 Assistent Optionen für ERA Server 9.11 Kommandozeilenschnittstelle Fehlerbehebung Fragen (FAQ) 10.1 Häufige Probleme bei der Installation v on ESET Remote Administrator auf Windows Serv er 2000/ Was bedeutet der GLE-Fehlercode? Fehlercodes 10.2 Gängige Fehlermeldungen bei der Remoteinstallation v on ESET Smart Security oder ESET NOD32 Antiv irus über ESET Remote Gängige Fehlercodes in era.log Administrator bei Problemen mit ERAS 10.3 Fehlerdiagnose Tipps und Tricks 11.1 Taskplaner vorhandener Profile 11.2 Entfernen einer Clientkonfiguration ins XML-Format und 11.3 Exportieren Verwendungsmöglichkeiten Update-Abruf für Notebooks 11.4 Kombinierter von Produkten anderer Hersteller über ERA 11.5 Installation ESET SysInspector in ESET SysInspector 12.1 Einführung Starten v on ESET Sy sinspector und Bedienung Allgemein Benutzeroberfläche Menüs und Bedienelemente Lizenzv erwaltung Nav igation in ESET Sy sinspector 6.2 Sicherheit Tastaturbef ehle Benutzer-Manager Vergleichsf unktion Zugrif f spasswort f ür Konsole 12.3 Befehlszeilenparameter Serverwartung Dienste-Skript Parameter f ür Log-Erf assung Erstellen eines Dienste-Skripts Parameter f ür zeitgesteuerte Bereinigung Auf bau des Dienste-Skripts Erweiterte Einstellungen f ür Log-Bereinigung nach Anzahl Ausf ühren v on Dienste-Skripten 6.4 Logging Häufige Fragen (FAQ) Auditlog-Viewer Replikation Replikation in großen Netzwerken 13. ESET SysRescue 13.1 Mindestanforderungen Updates Erstellen der Rettungs-CD Mirror-Serv er Betrieb des Mirror-Serv ers 13.3 Zielauswahl Update-Ty pen 13.4 Einstellungen Aktiv ieren und Konf igurieren des Mirror-Serv ers Ordner Einstellungen 6.7 Sonstige ESET Antiv irus Erweiterte Einstellungen 6.8 Erweitert Internetprotokoll Bootf ähiges USB-Gerät 7. ERA-Befehlszeilenkonsole Brennen Kommando-Flags mit ESET SysRescue 13.5 Die Arbeit Befehle Verwenden des ESET Sy srescue-mediums 8. ERA API Anhang Lizenzen anderer Anbieter 9. ERA Maintenance Tool beenden 9.1 ERA Server starten 9.2 ERA Server übertragen 9.3 Datenbank sichern 9.4 Datenbank wiederherstellen 9.5 Datenbank löschen 9.6 Tabellen sichern 9.7 Speicher...172

5 1. Einführung ESET Remote Administrator (ERA) ist eine Anwendung, mit der Sie ESET Produkte auf Arbeitsplatzrechnern und Servern in einer Netzwerkumgebung zentral administrieren können. Über die integrierte Task-Verwaltung von ESET Remote Administrator können Sie ESET Security-Lösungen komfortabel auf Remoterechnern installieren und schnell auf neue Probleme und Bedrohungen reagieren. ESET Remote Administrator selbst bietet keinen weiteren Schutz vor Schadcode. ERA hängt von einer ESETSicherheitslösung auf den Arbeitsstationen und Servern ab, wie z. B. ESET Endpoint Antivirus oder ESET Endpoint Security. Zur Bereitstellung einer vollständigen ESET Security-Lösung sind die folgenden Schritte erforderlich: Installation von ERA Server (ERAS), Installation von ERA Console (ERAC), Installation auf Clientcomputern (ESET Endpoint Antivirus, ESET Endpoint Security, usw ). HINWEIS: Ordner- und Dateipfade in diesem Dokument nehmen teilweise Bezug auf die folgenden BetriebssystemUmgebungsvariablen: %ProgramFiles% = in der Regel C:\Programme %ALLUSERSPROFILE% = in der Regel C:\Dokumente und Einstellungen\All Users 1.1 Was ändert sich mit ESET Remote Administrator Version 5?3 ESET Remote Administrator Version 5.3 Verbesserte Remote-Pushinstallation und neue Methoden (WMI) IPv6-Unterstützung Verbesserungen an Befehlszeilenschnittstelle und API (mehr Befehle) 64-Bit-API verfügbar Zusammenführung doppelt vorhandener Clients Verbesserte Paketverwaltung Klicken Sie hier, falls Sie ESET Remote Administrator Version 6.x verwenden ESET Remote Administrator Version 5.2 API mit dokumentiertem Quellcode und Befehlszeilenkonsole Remotebereitstellung für Linux und Apple Mac Berichte in PDF-Dokumenten Berichte mit doppelten IP-Adressen Einfache Netzwerkaktionen in der Konsole (Wake-on-LAN, Ping, RDP-Sitzung, Nachricht, Herunterfahren, Benutzerdefiniert) Remoteinstallation benutzerdefinierter Pakete mit umgeleiteter Ausgabe Vereinfachte Log-Weiterleitung 5

6 ESET Remote Administrator Version 5.1 Neues unterstütztes Produkt - ESET File Security für Microsoft SharePoint Server Neues unterstütztes Produkt - ESET Security 4.5 für Kerio Upgrade für unterstütztes Produkt - ESET File Security für Microsoft Windows Server Upgrade für unterstütztes Produkt - ESET Mail Security für Microsoft Exchange Server Upgrade für unterstütztes Produkt - ESET Mail Security für IBM Lotus Domino Upgrade für unterstütztes Produkt - ESET Gateway Security für Microsoft Forefront TMG Upgrade für unterstütztes Produkt - Endpoint Security für Android Neue Remoteinstallationsmethode für Endpoint Security für Android Upgrade für unterstütztes Produkt - ESET Endpoint Security Upgrade für unterstütztes Produkt - ESET Endpoint Antivirus Dashboard-Verbesserungen - Bearbeitungsmodus für Dashboard-Templates im Browser Policies - Neu gestalteter visueller Policy-Manager und zusätzliche Policy-Metadaten Unterstützung für SMTP-Mailserver für Benachrichtigungen und Berichte Replikationsschema: Möglichkeit, die Prüfung eines eingehenden untergeordneten Servers zu überspringen gegenüber einer vordefinierten statischen Liste Apple Open Directory- und OpenLDAP-Unterstützung für Netzwerksuche und Gruppensynchronisierung Policy-Migration für die Konvertierung von v3-/v4-einstellungen in eine v5-kompatible Konfiguration ESET Remote Administrator Version 5.0 Web-Dashboard für Administratoren - umfassende Berichtsübersicht in Ihrem Webbrowser Remoteinstallation - neues Design Schutzfeatures - neuer Task zur Verwaltung von Schutzfeatures auf Clients Geplanten Task ausführen - neuer Task, um geplante Tasks auf Clients sofort auszulösen Benutzer-Manager - Tool zur Verwaltung von Benutzerkonten und Passwörtern für den Konsolenzugriff Registerkarte "HIPS" - Informationen über HIPS-Ereignisse von Clients Registerkarte "Web-Kontrolle" - Informationen über Web-Kontrolle-Ereignisse von Clients Registerkarte "Medienkontrolle" - Informationen über Medienkontrolle-Ereignisse von Clients Registerkarte "Spamschutz" - Informationen über Spamschutz-Ereignisse von Clients Registerkarte "Greylist" - Informationen über Greylist-Ereignisse von Clients Computersuche im Netzwerk - neue Suchtasks und neues Design Installation über ältere Versionen von ERA (4.x, 3.x) inklusive Datenmigration Berichte - neue Berichte, neues Design, Unterstützung für Web-Dashboards 1.2 Programmarchitektur Aus technischer Sicht besteht ESET Remote Administrator aus zwei separaten Komponenten: ERA Server (ERAS) und ERA Console (ERAC). Sie können ERA Server und ERA Console beliebig oft in Ihrem Netzwerk installieren, da die Lizenzvereinbarung keine Höchstzahl hierfür festlegt. Beschränkt wird lediglich die Anzahl der Clients, die Sie mit Ihrer ERA-Installation administrieren können. ERA Server (ERAS) Die Serverkomponente von ERA wird unter den folgenden Microsoft Windows NT-basierten Betriebssystemen als Dienst ausgeführt. Dieser Dienst sammelt Informationen von den Clients und sendet verschiedene Anfragen. Solche Befehle (Konfigurations-Tasks, Remoteinstallationen usw.) werden in ERA Console (ERAC) erstellt. ERAS dient also als Schnittstelle zwischen ERAC und den Clientcomputern - hier werden alle Informationen erfasst, gepflegt und verarbeitet, bevor sie an die Clients oder ERAC übertragen werden. 8 ERA Console (ERAC) ERAC ist die Clientkomponente von ERA und wird in der Regel auf einem Arbeitsplatzrechner installiert. Von diesem Rechner aus kann der Administrator dann die ESET Clientlösungen auf den einzelnen Clients verwalten. Die Verbindung von ERAC zur ERA-Serverkomponente läuft über den TCP-Port Hergestellt wird sie durch den Prozess console.exe, der in der Regel im folgenden Verzeichnis abgelegt ist: 6

7 %ProgramFiles%\ESET\ESET Remote Administrator\Console Bei der Installation von ERAC müssen Sie eventuell den Namen eines ERAS eingeben. Beim Programmstart baut die Konsole dann automatisch eine Verbindung zu diesem Server auf. Selbstverständlich können Sie ERAC auch nach der Installation noch konfigurieren. 1.3 Unterstützte Produkte und Sprachen ESET Remote Administrator 5.3 können Sie die folgenden ESET-Produkte bereitstellen, aktivieren (mit Benutzername/Passwort) und verwalten: Verwaltung möglich über ESET Remote Administrator 5 Bis zur Produktversion ESET Endpoint Security für Windows 5.x ESET Endpoint Antivirus für Windows 5.x ESET File Security für Microsoft Windows Server 4.x ESET NOD32 Antivirus 4 Business Edition für Mac OS X 4.x ESET NOD32 Antivirus 4 Business Edition für Linux Desktop 4.x ESET Mail Security für Microsoft Exchange Server 4.x ESET Mail Security für IBM Lotus Domino 4.x ESET Security für Microsoft Windows Server Core 4.x ESET Security für Microsoft SharePoint Server 4.x ESET Security für Kerio 4.x ESET NOD32 Antivirus Business Edition ESET Smart Security Business Edition ESET Mobile Security für Symbian 1.x ESET Mobile Security für Windows Mobile 1.x ESET Mobile Security für Android 3.x Unterstützte Sprachen Sprache English (United States) Chinesisch vereinfacht Chinesisch traditionell Französisch (Frankreich) Deutsch (Deutschland) Italienisch (Italien) Japanisch (Japan) Koreanisch (Korea) Polnisch (Polen) Portugiesisch (Brasilien) Russisch (Russland) Spanisch (Chile) Spanisch (Spanien) Code ENU CHS CHT FRA DEU ITA JPN KOR PLK PTB RUS ESL ESN 7

8 2. Installation von ERA Server und ERA Console 2.1 Anforderungen ERAS wird als Dienst ausgeführt und benötigt daher ein Microsoft Windows NT-basiertes Betriebssystem. Eine Serverversion von Microsoft Windows ist für den Betrieb von ERAS zwar nicht zwingend erforderlich; wir empfehlen jedoch, ERAS für einen möglichst reibungslosen Betrieb auf einem Server-Betriebssystem zu installieren. Der ERASRechner sollte ständig online und für die folgenden Arten von Computern über das Netzwerk erreichbar sein: Clients (in der Regel Arbeitsplatzrechner) PC mit ERA Console Weitere Instanzen von ERAS (bei Replikation) HINWEIS: ESET Remote Administrator 5 kannüber Vorgängerversionen installiert werden Datenmigration. 20, inklusive Software- und Datenbankanforderungen ERA Server 32-Bit-Betriebssysteme: Windows 2000 oder höher (siehe Hinweis) 64-Bit-Betriebssysteme: Windows XP oder höher Datenbanken: Microsoft Access (integriert) Microsoft SQL Server 2005 und höher MySQL 5.0 und höher Oracle 9i und höher Klicken Sie hier für weitere Informationen 18 Windows Installer: 2.0 oder höher Web-Dashboard: Internet Explorer 7.0 oder höher Mozilla Firefox 3.6 oder höher Google Chrome 9 oder höher Gleiche Voraussetzungen wie ERA Server, unter Windows XP wird jedoch SP2 oder höher benötigt. HTTP-Server: Netzwerk: Volle IPv4-Unterstützung IPv6 wird für Windows Vista und neuere Versionen unterstützt ERA Console 32-Bit-Betriebssysteme: Windows 2000 oder höher (siehe Hinweis) 64-Bit-Betriebssysteme: Windows XP oder höher Windows Installer: 2.0 oder höher Internet Explorer: 7.0 oder höher Hinweis: ERA Console wird nicht auf Microsoft Windows Server Core 2008 und Microsoft Windows Server Core 2012 unterstützt. ERA Server wird auf diesen Betriebssystemen unterstützt, jedoch ohne Integration mit Microsoft Access-Datenbanken. Um die ERA Console, den ESET-Konfigurationseditor und das ERA Maintenance Tool unter Windows 2000 zu 8

9 starten, muss die Datei gdiplus.dll im System vorhanden sein. Hier klicken, um diese Datei herunterzuladen. Extrahieren Sie die Datei aus dem Installationspaket und kopieren Sie sie in das Verzeichnis C:\WINNT\system32\. Die HTTPS-Serverrolle wird unter Windows 2000 nicht unterstützt. Die Dashboard- und Mirror-Funktionen können daher unter diesem Betriebssystem nicht im HTTPS-Modus genutzt werden. Um die Dashboard-Funktion auf einem Windows 2000-Server zu verwenden, bearbeiten Sie die Einstellungen so, dass die Dashboard-Funktion nicht standardmäßig im HTTPS-Modus ausgeführt wird. Die Remoteinstallation für Linux-/MAC-Sicherheitsprodukte und bestimmte Funktionen für RDP-/ Konsolenaktionen zum Herunterfahren werden unter Windows 2000 nicht unterstützt. Unter manchen Betriebssystemen müssen Sie die vertrauenswürdigen Stammzertifikate hinzufügen, bevor eine erfolgreiche Push-Installation möglich ist. Führen Sie dazu den Windows Update-Service aus oder importieren Sie die neuesten Versionen manuell. Falls Sie ein Administrator-Benutzerkonto für die Konfiguration des SMTP-Zugriffs unter Extras > Serveroptionen > Sonstige Einstellungen (für IIS oder Exchange) verwendet haben, funktionieren ausgehende s möglicherweise nicht. Bestimmte Funktionen (RDP, Herunterfahren) aus den Netzwerkaktionen verfügbar. 36 sind unter Windows 2000 nicht Leistungsanforderungen Die Serverleistung hängt von den folgenden Parametern ab: 1. Verwendete Datenbank MS Access-Datenbank - Wird standardmäßig mit dem Server installiert. Diese Lösung empfiehlt sich zur Verwaltung von maximal einigen Hundert Clients. Allerdings gibt es für die Datenbank eine Größenbeschränkung von 2 GB. Daher müssen Sie alte Daten regelmäßig entfernen, indem Sie die ServerBereinigung aktivieren und ein entsprechendes Intervall festlegen (unter Extras > Serveroptionen > Serverwartung). Andere Datenbanken (MySQL, Microsoft SQL Server, Oracle) müssen zwar separat installiert werden, ermöglichen aber eventuell eine bessere Serverleistung. Achten Sie in diesem Fall unbedingt darauf, passende Hardware zu verwenden (insbesondere bei einer Oracle-Datenbank). Richten Sie sich hierfür nach den technischen Empfehlungen des Herstellers. Bei einer Oracle-Datenbank müssen Sie die Cursor-Anzahl höher als den Wert Maximale Anzahl aktiver Verbindungen setzen (unter Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > Erweitert, standardmäßig 500). Um die erforderliche Cursor-Anzahl zu ermitteln, müssen Sie auch die Anzahl der untergeordneten Server (falls eine Replikation stattfindet) sowie Cursors von anderen Anwendungen mit Datenbankzugriff berücksichtigen. In der Regel lässt sich mit einer externen Datenbank (d. h. die Datenbank ist auf einem anderen physischen System installiert) eine höhere Serverleistung erzielen. 2. Einstellungen für Intervall der Clientverbindungen Das Verbindungsintervall für Clients ist in ESET Endpoint Security / ESET Endpoint Antivirus. Wenn der Clientstatus in längeren oder kürzeren Zeitabständen aktualisiert werden soll, können Sie diese Einstellung entsprechend ändern. Bedenken Sie dabei jedoch, dass die Serverleistung bei kürzeren Verbindungsintervallen abnimmt. 3. Durchschnittliche Anzahl gemeldeter Ereignisse pro verbundenem Client Alle vom Client an den Server übertragenen Informationen werden unter dem dazugehörigen Ereignis aufgeführt (z. B. Bedrohungs-Log, Ereignis-Log, Scan-Log, Konfigurationsänderung). Dieser Parameter lässt sich zwar nicht direkt steuern, aber über damit zusammenhängende Einstellungen beeinflussen. So können Sie beispielsweise in der Serverkonfiguration (unter Extras > Serveroptionen > Serverwartung) festlegen, wie viele Log-Daten der Server maximal entgegennehmen soll (sowohl von direkt verbundenen als auch von 9

10 replizierten Clients). Im Normalbetrieb können Sie von einem langfristigen Mittelwert von einem Ereignis alle vier Stunden pro Client ausgehen. 4. Verwendete Hardware Bei kleinen Installationen (weniger als 1000 Clients mit Verbindung zum ERA Server): Prozessor - Pentium-IV-kompatibler Prozessor, mind. 2,0 GHz RAM - 2 GB Netzwerk - 1 Gbit/s Bei mittelgroßen Installationen (1000 bis 4000 Clients mit Verbindung zum ERA Server) empfiehlt es sich, die Installation auf zwei Computer aufzuteilen: ERA Server: Prozessor - Pentium-IV-kompatibler Prozessor, mind. 2,0 GHz RAM - 2 GB Netzwerk - 1 Gbit/s Datenbankserver: Prozessor - Pentium-IV-kompatibler Prozessor, mind. 2,0 GHz RAM - 2 GB Netzwerk - 1 Gbit/s Sie können auch den ERA Server und die Datenbank auf demselben Computer installieren. Dann gelten die folgenden Anforderungen: Prozessor - Pentium-IV-kompatibler Mehrkernprozessor, mind. 3,0 GHz RAM - 4 GB Netzwerk - 1 Gbit/s Festplatte - RAID 0 und/oder SSD HINWEIS: Bei dieser Konfiguration (ERA Server und Datenbank auf demselben Computer) sollte keine MS AccessDatenbank verwendet werden, da aufgrund des Größenlimits von 2 GB eine häufige Bereinigung erforderlich wäre. Bedenken Sie bitte außerdem, dass auch eine Microsoft SQL Server Express-Datenbank ein Größenlimit von nur 4 GB hat. Bei großen Installationen (4000 bis Clients mit Verbindung zum ERA Server) empfiehlt es sich, die Installation auf zwei Computer aufzuteilen und entweder eine Microsoft SQL Server- oder Oracle-Datenbank zu verwenden: ERA Server: Prozessor - Pentium-IV-kompatibler Mehrkernprozessor, mind. 3,0 GHz RAM - 4 GB Netzwerk - 1 Gbit/s Datenbankserver: Prozessor - Pentium-IV-kompatibler Mehrkernprozessor, mind. 3,0 GHz RAM - 4 GB Netzwerk - 1 Gbit/s Festplatte - RAID 0 und/oder SSD Bei sehr großen Installationen (10000 bis Clients auf einem ERA Server) empfiehlt es sich, die Installation auf zwei Computer aufzuteilen und entweder eine Microsoft SQL Server- oder Oracle-Datenbank zu verwenden: ERA Server: 10

11 Prozessor - Pentium-IV-kompatibler Mehrkernprozessor, mind. 3,0 GHz RAM - 8 GB Netzwerk - 1 Gbit/s Festplatte - RAID 0 und/oder SSD Datenbankserver: Prozessor - Pentium-IV-kompatibler Mehrkernprozessor, mind. 3,0 GHz RAM - 8 GB Netzwerk - 1 Gbit/s Festplatte - RAID 0 und/oder SSD HINWEIS: Die genannten Hardwarekonfiguration stellen die Mindestanforderungen für ERA dar. Für eine bessere Performance werden leistungsstärkere Konfigurationen empfohlen. Es wird außerdem dringend empfohlen, die Mindest-Hardwareanforderungen für das Betriebssystem Ihres Servers einzuhalten und zusätzlich zu berücksichtigen, wie viele Clients bedient werden sollen. Weitere Informationen zu den unterstützten Datenbanktypen und ihren Größenbeschränkungen finden Sie im Kapitel Von ERA Server unterstützte Datenbanktypen 18. Sie können die Last auf mehrere Server mit entsprechender Replikation verteilen, falls Sie noch mehr Clients verwalten müssen. Überlastung Wenn ein Server überlastet ist (Beispiel: Clients bauen alle 10 Minuten eine Verbindung zu einem Server auf, der nur Clients bedienen kann), werden einige der Clientverbindungen übersprungen. Im obigen Beispiel würde durchschnittlich nur jede zweite Clientverbindung bedient (so, als ob das Verbindungsintervall nicht auf 10, sondern auf 20 Minuten eingestellt wäre). Serviceverweigerungen werden folgendermaßen protokolliert: "<SERVERMGR_WARNING> ServerThread: Maximale Anzahl von Threads für aktive Verbindungen erreicht (500), Verbindung wird vom Server abgewiesen". Auch bei einer nur zeitweisen Überlastung des Servers kann es vorkommen, dass Verbindungen abgewiesen werden. Sie können in den erweiterten Servereinstellungen unter Maximale Anzahl aktiver Verbindungen einen anderen Wert als den Standardwert 500 einstellen. Dies empfiehlt sich jedoch nur in Ausnahmefällen zur gezielten Behebung von Problemen. Bei einem sehr großzügig ausgelegten System mit entsprechender Datenbankleistung können Sie über diese Einstellung die Gesamtleistung des Servers anpassen. Datenverkehr im Netzwerk Im Normalbetrieb eines Servers kann man als Rechengrundlage davon ausgehen, dass ein Client, der alle 10 Minuten eine Verbindung aufbaut, 0,04 Ereignisse pro Verbindung meldet (ein Ereignis alle vier Stunden). Hierfür fallen etwa 2 KB Datenverkehr pro Verbindung an. Falls nun ein Virus ausbricht und ein Client bei jeder Verbindung sieben Ereignisse meldet, kann das Datenaufkommen pro Verbindung auf bis zu 240 KB steigen. Falls die Daten (wie standardmäßig aktiviert) komprimiert werden, reduziert sich das Datenvolumen um gut 50 % auf etwa 120 KB pro Verbindung. Dabei wurden bis jetzt nur direkte Clientverbindungen berücksichtigt, keine replizierten Verbindungen. Die Replikation findet in deutlich längeren Zeitabständen statt und dient zur Übertragung neuer Ereignisse von untergeordneten Servern. In welchem Umfang Ereignisse automatisch repliziert werden, können Sie in den erweiterten Servereinstellungen festlegen (Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > Replikation). Im Bereich "Serverwartung" können Sie außerdem konfigurieren, in welchem Umfang der übergeordnete Server Logs entgegennimmt. Diese Einstellung gilt sowohl für direkt verbundene als auch für replizierte Clients. Speicherplatzbedarf Eine Erstinstallation von ESET Remote Administrator mit einer MS Access-Datenbank benötigt bis zu 60 MB Speicherplatz auf der Festplatte. Zusätzlicher Speicherplatz wird hauptsächlich für Clientereignisse benötigt, die in der Datenbank sowie in einem Speicher auf dem Datenträger abgelegt werden (Standardverzeichnis: C:\Dokumente und Einstellungen\All Users 11

12 \Anwendungsdaten\Eset\ESET Remote Administrator\Server). Für den Betrieb von ERA müssen mindestens 5 % des Datenträgers noch frei sein. Fällt der verfügbare Speicherplatz unter diesen Grenzwert, nimmt der Server bestimmte Clientereignisse nicht mehr entgegen. Die betreffende Einstellung finden Sie unter Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > Erweitert > Maximal... Prozent der Festplatte belegen. Wenn die Standardeinstellungen für die Server-Bereinigung aktiviert sind (d. h. Ereignisse, die älter als drei Monate sind, werden gelöscht), sind im Normalbetrieb etwa 10 GB freier Speicherplatz pro 1000 Clients erforderlich. Fallbeispiel Ein Server mit einer MS Access-Datenbank, dessen Clients alle fünf Minuten eine Verbindung aufbauen und pro Verbindung durchschnittlich sieben Ereignisse melden (Bedrohungs-, Ereignis-, Scan-Log, Konfigurationsänderungen usw.), kann zeitweise bis zu 3000 Clients bedienen. Dieses Szenario entspricht einer temporären Überlastungssituation, wie sie etwa bei der Ereignismeldung während eines Virenausbruchs auftritt. Mit einer externen MySQL-Datenbank und einem Client-Verbindungsintervall von 10 Minuten (sowie durchschnittlich 0,02 Ereignissen pro Verbindung) kann der Server hingegen maximal Clients bedienen. Bei diesem Szenario gehen wir davon aus, dass die Datenbankleistung optimal ist und die Clients nur relativ wenig Ereignisse melden. Mit einer MS Access-Datenbank und einem Client-Verbindungsintervall von 10 Minuten kann der Server im Normalbetrieb maximal Clients bedienen Verwendete Ports Die folgende Tabelle zeigt, welche Netzwerkverbindungen für die Arbeit mit ERAS je nach verwendeter Funktion erforderlich sind. Der Prozess EHttpSrv.exe überwacht den TCP-Port 2221 auf eingehende Verbindungen, der Prozess era.exe die TCP-Ports 2222, 2223, 2224 und Der restliche Datenverkehr läuft über nativ im Betriebssystem integrierte Prozesse (z. B. NetBIOS über TCP/IP). Protokoll Port Beschreibung TCP 2221 (ERAS ankommend) Standardport für den HTTP-Server des integrierten Update-Mirrors von ERAS TCP 2222 (ERAS ankommend) Kommunikation zwischen Clients und ERAS TCP 2223 (ERAS ankommend) Kommunikation zwischen ERAC und ERAS Damit alle Programmfunktionen korrekt funktionieren, müssen die folgenden Ports im Netzwerk geöffnet sein: Protokoll Port Beschreibung TCP 2224 (ERAS ankommend) Kommunikation zwischen dem Agenten einstaller.exe und ERAS bei einer Remoteinstallation TCP 2225 (ERAS ankommend) Kommunikation zwischen ESET HTTP Dashboard Server und ERAS TCP 2846 (ERAS ankommend) ERAS-Replikation TCP 2226 (ERA-Befehlszeilenkonsole) Verbindung zwischen ERAS und der Befehlszeilenkonsole TCP 139 (ERAS abgehend) Kopieren des Agenten einstaller.exe von ERAS auf einen Client über die administrative Freigabe admin$ UDP 137 (ERAS abgehend) Namensauflösung bei der Remoteinstallation UDP 138 (ERAS abgehend) Computersuche bei der Remoteinstallation 12

13 TCP 445 (ERAS abgehend) Direkter Zugriff auf freigegebene Ressourcen über TCP/IP bei der Remoteinstallation (Alternative zu TCP 139) Die vordefinierten Ports 2221, 2222, 2223, 2224, 2225 und 2846 können geändert werden, wenn sie bereits durch andere Anwendungen genutzt werden. Um die ERA-Standardports zu ändern, klicken Sie auf Extras > Serveroptionen. Um einen anderen Port als 2221 zu verwenden, klicken Sie auf die Registerkarte Updates und ändern dort den Wert Port für HTTP-Server. Für die Funktionen mit den Standardports 2222, 2223, 2224, 2225 und 2846 können Sie im Bereich Ports der Registerkarte Sonstige Einstellungen 135 andere Ports einrichten. Die vordefinierten Ports 2222, 2223, 2224 und 2846 können Sie auch während der benutzerdefinierten Installation von ERAS ändern Computersuche Um die gewünschten Remotecomputer mit ERA Server verwalten zu können, müssen diese per Ping (ICMP echoanfrage) für den ERA Server erreichbar sein. Falls sich der Zielcomputer hinter einer Firewall befindet, muss sichergestellt sein, dass die für die Kommunikation mit dem ERA Server verwendeten Ports 12 aktiviert sind (nicht von der Firewall blockiert). Die für den ERA Server sichtbaren Computer werden in der Registerkarte Computer in der Registerkarte Remoteinstallation von ERA Console angezeigt. Die Liste der Computer ist das Ergebnis des Standard-Suchtasks. Sie können die Konfiguration des Standard-Suchtasks ändern oder einen neuen Suchtask erstellen, indem Sie auf Hinzufügen... klicken und die Schritte im Assistent für Netzwerk-Suchtask: Suchmethoden 51 ausführen. 13

14 2.2 Installationsanleitung Überblick zur Netzwerkumgebung Bei einem typischen Firmennetz, das aus einem einzigen lokalen Netzwerk (LAN) besteht, empfiehlt sich die Installation eines ERAS sowie eines Mirror-Servers. Der Mirror-Server kann entweder in ERAS oder in ESET Endpoint Antivirus / ESET Endpoint Security erstellt werden. Angenommen, alle Clients sind Microsoft Windows-Arbeitsstationen und -Laptops in einem gemeinsamen Netzwerk mit Domäne. Der Server GHOST ist rund um die Uhr online und kann unter einer Workstation-, Professional- oder Serverversion von Windows betrieben werden (ein Betrieb als Active Directory-Server ist nicht erforderlich). Außerdem nehmen wir an, dass die Notebooks bei der Installation der ESET Clientlösungen nicht im Netzwerk sind. Bei einem solchen Beispiel könnte die Netzwerkumgebung etwa wie folgt aussehen: Vor der Installation Laden Sie vor der Installation die folgenden Installationspakete von der ESET-Website herunter. ESET Remote Administrator Komponenten ESET Remote Administrator - Server ESET Remote Administrator - Console ESET Client-/Server-Lösungen Siehe Unterstützte Produkte und Sprachen 7 HINWEIS: Laden Sie nur diejenigen Clientlösungen herunter, die auf den Client-Arbeitsplatzrechnern tatsächlich verwendet werden sollen. 14

15 2.2.3 Installation Installation von ERA Server Installieren Sie ERAS auf dem Server GHOST (siehe dazu das Beispiel unter Überblick zur Netzwerkumgebung 14 ). Wählen Sie zum Beginn der Installation die gewünschten Komponenten aus. Es stehen zwei Komponenten zur Auswahl: ESET Remote Administrator Server und ESET HTTP Dashboard 45 Server. In den meisten Fällen werden Sie die beiden Komponenten gemeinsam installieren. Es kann jedoch auch sein, dass Sie die Komponenten auf unterschiedlichen Computern installieren möchten, damit beispielsweise der ESET HTTP Dashboard Server per Internet zugänglich ist, ERAS jedoch nur aus dem lokalen Intranet. Natürlich können Sie auch angeben, dass Sie den ESET HTTP Dashboard Server überhaupt nicht nutzen möchten. HINWEIS: Wir empfehlen, ERAS auf einem Rechner mit einem Serverbetriebssystem zu installieren. HINWEIS: Sowohl für die Dashboard- als auch für die Mirror-Funktion wird derselbe integrierte HTTP-Server verwendet. Dieser wird automatisch installiert. Wenn Sie den Dashboard-Server bei der Installation nicht ausgewählt haben, können Sie ihn später im ESET-Konfigurationseditor aktivieren (ERAC > Tools > Serveroptionen > Erweitert > Dashboards > Lokales Dashboard verwenden). Nachdem Sie die gewünschten Komponenten ausgewählt haben, können Sie als Installationsart entweder Typisch oder Benutzerdefiniert auswählen. Bei der Installationsart Typisch werden Sie gebeten, einen Lizenzschlüssel anzugeben. Hierbei handelt es sich um eine Datei mit der Erweiterung.lic oder.zip, die den Betrieb von ERAS über den in der Lizenz festgelegten Zeitraum ermöglicht. Im nächsten Schritt werden Sie gebeten, die Update-Einstellungen einzurichten (Benutzername, Passwort und Update-Server). Sie können diesen Schritt auch überspringen und die UpdateEinstellungen später einrichten. Hierzu aktivieren Sie das Kontrollkästchen Update-Einstellungen später einrichten und klicken auf Weiter. Bei der Installationsart Benutzerdefiniert bietet Ihnen das Installationsprogramm zusätzliche Konfigurationsmöglichkeiten. Die betreffenden Einstellungen können auch später noch über ERAC geändert werden; im Regelfall sollte dies jedoch nicht erforderlich sein. Die einzige Ausnahme ist der Servername, der mit dem DNS-Namen (Betriebssystem-Umgebungsvariable %COMPUTERNAME%) bzw. der IP-Adresse des Computers übereinstimmen muss. Hierbei handelt es sich um die wichtigste Angabe für Remoteinstallationen. Wenn dieser Name bei der Installation nicht angegeben wird, fügt das Installationsprogramm automatisch den Wert der Umgebungsvariablen %COMPUTERNAME% ein, was in den meisten Fällen ausreicht. Außerdem müssen Sie darauf achten, die richtige Datenbank zum Speichern der ERAS-Daten anzugeben. Nähere Informationen finden Sie im Kapitel Von ERA Server unterstützte Datenbanktypen 18. Siehe auch Installation im Clustermodus

16 HINWEIS: Bei der Installation von ERAS unter Windows 2000 wird die Verwendung des DNS nicht empfohlen. Verwenden Sie stattdessen den vollständigen Verbindungsstring. Wichtig: Unter Microsoft Windows werden die Berechtigungen von lokalen Benutzerkonten durch entsprechende Sicherheitsrichtlinien eingeschränkt. Bestimmte Vorgänge im Netzwerk können über diese Konten in manchen Fällen nicht ausgeführt werden. Wenn der ERA-Dienst auf Ihrem System unter einem lokalen Benutzerkonto ausgeführt wird, können daher Probleme bei der Push-Installation auftreten (z. B. bei einer Remoteinstallation aus einer Domäne in einer Arbeitsgruppe). Unter Windows Vista, Windows Server 2008 und Windows 7 empfiehlt es sich also, den ERA-Dienst unter einem Konto mit ausreichenden Zugriffsrechten für das Netzwerk auszuführen. Das Benutzerkonto, unter dem ERA ausgeführt wird, können Sie in der Installationsart Benutzerdefiniert festlegen. Hinweis: ERA Server unterstützt zwar uneingeschränkt Unicode, in manchen Situationen werden jedoch Zeichen in ANSI-Codierung umgewandelt oder umgekehrt (z. B. bei s und Computernamen). In diesen Fällen wird die im Betriebssystem festgelegte Einstellung Sprache für Unicode-inkompatible Programme verwendet. Es empfiehlt sich, diese Einstellung an das Gebietsschema der Serverumgebung anzupassen, und zwar auch dann, wenn Sie die englische Version von ERA (d. h. keine übersetzte Sprachversion) verwenden. Die Einstellung finden Sie unter Systemsteuerung > Regions- und Sprachoptionen > Registerkarte Verwaltung. Die ERAS-Programmkomponenten werden standardmäßig im folgenden Verzeichnis installiert: %ProgramFiles%\ESET\ESET Remote Administrator\Server Zusatzdaten wie Logs, Installationspakete, Konfigurationsdaten usw. werden im folgenden Verzeichnis gespeichert: %ALLUSERSPROFILE%\Anwendungsdaten \ESET\ESET Remote Administrator\Server ERAS wird nach der Installation automatisch gestartet. Die Aktivität des ERAS-Dienstes wird in der folgenden Datei protokolliert: %ALLUSERSPROFILE%\Anwendungsdaten\ESET\ESET Remote Administrator\Server\logs\era.log Installation über die Kommandozeile ERAS kann auch über die Kommandozeile installiert werden. Dabei stehen Ihnen die folgenden Parameter zur Verfügung: /q - Unbeaufsichtigte Installation. Es sind keinerlei Benutzereingriffe möglich. Es werden keine Dialogfenster angezeigt. /qb - Es sind keine Benutzereingriffe möglich, der Verlauf der Installation wird jedoch über eine Fortschrittsleiste angezeigt. Beispiel: era_server_nt32_enu.msi /qb Die Parameter der Kommandozeilen-Installation können durch eine XML-Konfigurationsdatei namens cfg.xml ergänzt werden. Diese muss im gleichen Ordner wie die.msi-installationsdatei für ERA liegen. Sie können diese Konfigurationsdatei im ESET Configuration Editor erstellen und auf diese Weise eine Reihe von ERA-Einstellungen konfigurieren. Nähere Informationen finden Sie im Abschnitt ESET Configuration Editor Cluster-Installation Bei der Installationsart Benutzerdefiniert können Sie auch eine Cluster-Installation durchführen. Hierbei müssen Sie den Pfad zu einem freigegebenen Cluster-Datenordner angeben, der von allen Knoten im Cluster aus zugänglich ist (d. h. alle Knoten müssen Lese- und Schreibrechte für den Ordner haben). Es kann sich dabei um einen Quorumdatenträger oder einen UNC-Pfad zu einem freigegebenen Ordner handeln. Bei einem freigegebenen Ordner müssen Sie in den Ordnereigenschaften die Freigabe für Computer aktivieren. Anschließend fügen Sie in den Freigabeberechtigungen den Namen des Cluster-Knotens mit Rechten für den Vollzugriff hinzu. HINWEIS: Bei der Definition des freigegebenen Ordners für den Cluster sollte keine IP-Adresse verwendet werden. Sie müssen ERA Server separat auf jedem Cluster-Knoten installieren. Nach jeder ERA Server-Installation muss der Startmodus für den ERA-Dienst auf "Manuell" geändert werden. Sobald ERA Server auf allen Knoten installiert ist, erstellen Sie den allgemeinen Clusterdienst (era_server). Der allgemeine Dienst sollte von der Netzwerknamensressource in der Clusterverwaltung abhängen. 16

17 Sofern nicht die integrierte MS-Access-Datenbank verwendet wird, achten Sie darauf, dass alle ERA Server-Knoten eine Verbindung zur selben Datenbank aufbauen. Achten Sie in den darauf folgenden Schritten außerdem darauf, als Servernamen den Namen des Cluster-Knotens anzugeben, auf dem ERA installiert wird. Wichtig: Sie müssen den ESET Remote Administrator Server-Dienst (ERA_SERVER) in der Konsole "Clusterverwaltung" als allgemeinen Clusterdienst konfigurieren. Deinstallation Zur Deinstallation von ERA Server muss die Cluster-Gruppe online sein: 1. Nehmen Sie einen der Knoten aus dem Cluster. 2. Vergewissern Sie sich, dass die anderen Knoten nach dem Failover korrekt funktionieren. 3. Deinstallieren Sie ESET Remote Administrator von dem deaktivierten Knoten. 4. Starten Sie den Knoten neu. 5. Binden Sie den Knoten wieder ein. 6. Wiederholen Sie diese Schritte für die weiteren Cluster-Knoten. Upgrade einer ERA-Installation im Cluster-Modus Bei einer Upgrade-Installation im Cluster-Modus muss die Cluster-Gruppe für den ERA-Dienst zunächst mit der Option Offline schalten in der Konsole "Clusterverwaltung" offline geschaltet werden. Installieren Sie dann die neue ERA-Version auf allen Cluster-Knoten und schalten Sie die Cluster-Gruppe wieder online Installation von ERA Console Installieren Sie ESET Remote Administrator Console auf dem PC/Laptop des Administrators oder direkt auf dem Server. Geben Sie am Ende der benutzerdefinierten Installation den Namen oder die IP-Adresse des ERA Servers an, zu dem ERAC beim Programmstart automatisch eine Verbindung aufbauen soll. In unserem Beispiel heißt der Serverrechner GHOST. Starten Sie nach der Installation ERAC und überprüfen Sie die Verbindung zu ERAS. Standardmäßig ist zum Verbindungsaufbau mit einem ERA Server kein Passwort erforderlich (das Eingabefeld für das Passwort ist leer). Wir empfehlen jedoch dringend, ein Passwort einzurichten. Um ein Passwort für den Verbindungsaufbau zum ERA Server einzurichten, klicken Sie auf Datei > Passwort ändern und dann neben "Passwort für Konsole" auf Ändern. HINWEIS: Der Administrator kann ein Benutzerkonto und ein Passwort für den Zugriff auf ESET Remote 17

18 Administrator Console festlegen. Außerdem kann für das Konto die Zugriffsebene festgelegt werden. Nähere Informationen finden Sie im Kapitel Benutzer-Manager 123. ERAC muss auf dem Computer installiert werden, von dem aus Sie mit dem im Benutzer-Manager definierten Konto auf ERAS zugreifen möchten Update-Mirror Über ERA Console können Sie die Mirror-Funktion von ERA Server aktivieren, um einen eigenen Update-Server in Ihrem LAN einzurichten. Arbeitsplatzrechner im LAN können Updates dann von diesem Server abrufen. Auf diese Weise reduzieren Sie das Datenvolumen, das über Ihre Internetverbindung übertragen wird. Gehen Sie wie folgt vor: 1) Verbinden Sie ERA Console mit ERA Server, indem Sie auf Datei > Verbinden klicken. 2) Klicken Sie in ERA Console auf Tools > Serveroptionen, und klicken Sie auf die Registerkarte Updates. 3) Wählen Sie im Dropdownmenü Updateserver die Option Automatisch auswählen aus und belassen Sie den Wert für das Update-Intervall auf 60 Minuten. Geben Sie den Update-Benutzernamen (EAV-***) ein, klicken Sie auf Passwort festlegen... und geben Sie das Passwort ein (oder fügen Sie es ein), das Sie mit Ihrem Benutzernamen erhalten haben. 4) Wählen Sie die Option Update-Mirror aktivieren aus. Übernehmen Sie den Standardpfad für die Mirror-Dateien sowie die Porteinstellung für den HTTP-Server (2221). Belassen Sie die Einstellung "Authentifizierung" auf "Keine". 5) Klicken Sie auf die Registerkarte Erweitert und anschließend auf Erweiterte Einstellungen bearbeiten. Navigieren Sie in den erweiterten Einstellungen zu ERA Server > Einstellungen > Mirror > Mirror-Kopie der ausgewählten Programmkomponenten erstellen. Klicken Sie rechts auf Bearbeiten und wählen Sie die Programmkomponenten aus, die heruntergeladen werden sollen. Sie sollten die Komponenten für alle Sprachversionen auswählen, die im Netzwerk verwendet werden. 6) Klicken Sie in der Registerkarte Updates auf "Update starten", um den Mirror zu erstellen. Weitere Informationen zur Konfiguration von Mirrors finden Sie unter Aktivieren und Konfigurieren des Mirrors Von ERA Server unterstützte Datenbanktypen Standardmäßig verwendet das Programm eine Microsoft Access-Datenbank (Jet-Engine). ERAS 5 unterstützt außerdem die folgenden Datenbanken: Microsoft SQL Server 2005 und höher MySQL 5.0 und höher Oracle 9i und höher Den Datenbanktyp können Sie bei einer benutzerdefinierten Installation von ERAS auswählen. Nach der Installation lässt sich der Datenbanktyp nicht mehr direkt aus ERA ändern. Hierzu können Sie jedoch das ERA Maintenance Tool 170 verwenden. HINWEIS: Microsoft Access-Datenbanken werden unter Windows Server Core 2008 und Windows Server Core 2012 nicht unterstützt. Bei SQL Server Express ist die Datenbankgröße auf maximal 4 GB beschränkt. Bei Microsoft Access ist die Datenbankgröße auf maximal 2 GB beschränkt. Für MySQL unter Microsoft Windows 2000 sollten Sie den ODBC-Treiber oder eine neuere Version für die Datenbankverbindung 20 verwenden. Für MySQL verwendet ERAS standardmäßig das MyISAM DB-Modul. Falls Sie InnoDB anstelle von MyISAM verwenden möchten, können Sie das Skript für die Datenbankerstellung in der erweiterten Installation von ERAS ändern. 18

19 Grundvoraussetzungen Im ersten Schritt müssen Sie eine Datenbank auf einem Datenbankserver erstellen. Das ERASInstallationsprogramm kann eine leere Datenbank erstellen. Diese erhält automatisch den Namen ESETRADB. Standardmäßig erstellt das Installationsprogramm automatisch eine neue Datenbank. Wenn Sie die Datenbank von Hand erstellen möchten, wählen Sie die Option Skript exportieren. Stellen Sie dabei sicher, dass die Option Automatisch Tabellen in der neuen Datenbank erstellen deaktiviert ist. Sortierungseinstellungen Die Sortierung richtet sich nach den Standardeinstellungen der jeweiligen Datenbank. Der Server darf nicht zwischen Groß- und Kleinschreibung unterscheiden, d. h. die CI-Option (Case Insensitivity) muss aktiviert werden. Gehen Sie dazu wie folgt vor: - Microsoft SQL Server und MySQL: Richten Sie per COLLATE-Anweisung eine Sortierung mit aktiver CI-Option ein. - Oracle: Richten Sie per NLS_SORT eine Sortierung mit aktiver CI-Option ein. - MS Access: Keine weiteren Schritte erforderlich (CI-Option ist bereits aktiviert) Zeichensatz Insbesondere bei Clients mit unterschiedlichen Sprachversionen oder bei der Installation von ERA unter einem nicht-englischen Betriebssystem sollten Sie einen Unicode-Zeichensatz verwenden (empfohlene Codierung: UTF8). Falls keine Replikation vorgesehen ist und alle Clients Verbindungen zum gleichen Server aufbauen, können Sie den Zeichensatz der zu installierenden ERA-Sprachumgebung verwenden. Authentifizierung Verwenden Sie nach Möglichkeit die Datenbank-Standardauthentifizierung. Falls Sie Windows- oder Domänenauthentifizierung verwenden, müssen Sie sicherstellen, dass Ihr Benutzerkonto über ausreichende Berechtigungen für die Datenbankverbindung verfügt. Verwenden Sie das DSN-Zeichenfolgenformat 20, falls Sie Microsoft SQL Server einsetzen. Mehrere aktive Resultsets (Multiple Active Result Sets, MARS) Bei einer Microsoft SQL Server-Datenbank ist für fehlerfreien Betrieb ein ODBC-Treiber mit MARS-Unterstützung erforderlich. Anderenfalls arbeitet der Server weniger effizient, und es wird die folgende Fehlermeldung ins Serverlog geschrieben: Database connection problem. It is strongly recommended to use odbc driver that supports multiple active result sets (MARS). The server will continue to run but the database communication may be slower. See the documentation or contact ESET support for more information. Bei anderen Datenbanken wird bei diesem Problem die folgende Meldung ins Serverlog geschrieben, und der Server wird beendet: Database connection problem. Updating the odbc driver may help. You can also contact ESET support for more information. Treiber ohne MARS-Unterstützung: SQLSRV32.DLL ( ) SQLSRV32.DLL ( ) - in Windows Vista und Windows Server 2008 bereits im System enthalten Nativer Treiber mit MARS-Unterstützung: SQLNCLI.DLL ( ) 19

20 Einrichten der Datenbankverbindung Nachdem Sie eine neue Datenbank erstellt haben, müssen Sie die Verbindungsparameter für den Datenbankserver einrichten. Hierzu gibt es zwei Möglichkeiten: 1. Über einen DSN (Data Source Name, Datenquellenname) Zum manuellen Einrichten des DSN öffnen Sie den ODBCDatenquellen-Administrator (Klicken Sie auf Start > Ausführen und geben Sie den Befehl odbcad32.exe ein.) Beispiel für eine Verbindung per DSN: DSN =ERASqlServer Wichtig: Für den ordnungsgemäßen Betrieb von ERA sollten Sie einen System-DSN verwenden. Wichtig: Unter einem 64-Bit-Betriebssystem muss die Datei odbcad32.exe aus dem Ordner %SystemRoot% \SysWOW64\ ausgeführt werden. Für eine erfolgreiche Installation auf einem Microsoft SQL Server mit Windows-/Domänen-Authentifizierung müssen Sie einen Verbindungsstring im DSN-Format verwenden. 2. Direkt über einen vollständigen Verbindungsstring Hier müssen Sie alle erforderlichen Parameter direkt angeben: Treiber, Server sowie den Namen der Datenbank. Beispiel eines vollständigen Verbindungsstrings für Microsoft SQL Server: Driver ={SQL Server}; Server =Hostname; Database =ESETRADB Beispiel eines vollständigen Verbindungsstrings für einen Oracle-Server: Driver ={Oracle in instantclient10_1}; dbq =hostname: 1521/ESETRADB Beispiel eines vollständigen Verbindungsstrings für einen MySQL-Server: Driver ={MySQL ODBC 3.51 Driver}; Server =Hostname; Database =ESETRADB Klicken Sie auf Setzen und geben Sie Benutzername und Passwort für die Verbindung an. Bei einer Oracle- oder MS SQL Server-Datenbank muss außerdem ein Schemaname angegeben werden. Klicken Sie auf Verbindung testen, um die Verbindung zum Datenbankserver zu überprüfen. HINWEIS: Wir empfehlen, anstatt der Windows-/Domänen-Authentifizierung die interne Authentifizierung des Datenbankservers zu verwenden Installation über Vorgängerversionen ESET Remote Administrator 5.3 kann über Vorgängerversionen installiert werden, inklusive Datenmigration. Für die Umstellung von ESET Remote Administrator Version 5.0 ist keine Migration erforderlich. Die Migration von Daten aus ESET Remote Administrator 4.x ist zwar möglich, wird allerdings nicht mehr unterstützt. HINWEIS: Da beim Installieren über eine vorhandene Version der ERA-Serverdienst beendet wird und alle Verbindungen getrennt werden, sollten Sie darauf achten, dass während der Installation keine Clients mit dem Server verbunden sind. Die Migration der Datenbank kann vor oder nach der Installation durchgeführt werden (nähere Informationen siehe Kapitel Datenbank übertragen 171 ). Installation ERA Server 1. Laden Sie die Installationsdatei auf den Serverrechner herunter. Doppelklicken Sie dann auf die Datei, um das Installationsprogramm zu starten. 2. Ähnlich wie bei einer Erstinstallation von ERA Server oder "Benutzerdefiniert" wählen Sie nun zunächst die Installationsart: "Typisch"

21 Typische Installation - Bei dieser Installationsart müssen Sie nur die Lizenzschlüssel-Datei (*.lic), die Passwörter sowie die Update-Einstellungen angeben. Für die Migration gibt es zwei Modi: Mit dem Modus Nur Konfiguration importieren werden leere Tabellen in einer neuen Datenbank erstellt, mit Komplettimport werden sämtliche Daten aus der Datenbank importiert. Die Option Vorhandene Datenbank sichern (standardmäßig aktiviert) bewirkt, dass vor Änderungen an der Datenbank eine Sicherungskopie angelegt wird. Zur Datenbankwartung können Sie außerdem die Option Automatischen Standard-Löschlauf für alte Datensätze aktivieren aktivieren. Benutzerdefinierte Installation - Bei dieser Installationsart können Sie die folgenden Einstellungen konfigurieren: Lizenzschlüssel-Datei (*.lic), Konto zur Ausführung des ERA-Serverdienstes, Ports für Verbindungen, Passwörter, Update-Einstellungen, SMTP-Servereinstellungen (optional), Logging 126 -Einstellungen sowie die Einstellungen für die Datenbankmigration (siehe oben im Abschnitt Typische Installation). Außerdem werden Sie bei der benutzerdefinierten Installation gefragt, ob ältere Policies (Windows-Desktop-Produkte Version 3 und 4) auf neue Policies (Windows-Desktop-Produkte Version 5) migriert werden sollen. Bei dieser automatischen Migration werden die Standardeinstellungen verwendet. Falls Sie diese anpassen möchten, empfiehlt es sich daher, stattdessen nach dem Upgrade den Policy-Migrationsassistenten 98 zu verwenden. HINWEIS: Falls bereits Tabellen in der aktuellen Datenbank vorhanden sind, werden Sie gefragt, was mit ihnen geschehen soll. Um die vorhandenen Tabellen zu überschreiben, klicken Sie auf Überschreiben (Warnung: Hiermit wird sowohl der Inhalt der Tabellen gelöscht als auch ihre Struktur überschrieben!). Klicken Sie auf Überspringen, um die vorhandenen Tabellen unverändert beizubehalten. Die Option Überspringen kann zu Datenbankfehlern aufgrund von Inkonsistenzen führen. Dies gilt insbesondere dann, wenn Tabellen beschädigt oder mit der aktuellen Version inkompatibel sind. Wenn Sie den Inhalt der aktuellen Datenbank zunächst überprüfen möchten, klicken Sie auf Abbrechen, um die ERAS-Installation abzubrechen. Installation ERA Console 1. Laden Sie die Installationsdatei auf den Serverrechner herunter. Doppelklicken Sie dann auf die Datei, um das Installationsprogramm zu starten. 2. Führen Sie die im Kapitel Installation von ERA Console 17 beschriebenen Schritte aus. 21

22 2.3 Szenario - Installation in einer großen Unternehmensumgebung Überblick zur Netzwerkumgebung Die folgende Abbildung zeigt eine Kopie der vorhergehenden Netzwerkumgebung mit einer zusätzlichen Zweigniederlassung, mehreren Clients und einem Server namens LITTLE. Nehmen wir an, zwischen der Zentrale und der Zweigniederlassung besteht nur eine langsame VPN-Verbindung. In einem solchen Szenario sollte der MirrorServer auf dem Server LITTLE installiert werden. Außerdem werden wir einen zweiten ERA Server auf LITTLE installieren, um die Verwaltung zu vereinfachen und das übertragene Datenvolumen zu minimieren. 22

23 2.3.2 Installation Installation in der Zentrale Die Installation von ERAS, ERAC sowie der Client-Arbeitsplatzrechner läuft fast genauso ab wie im vorhergehenden Szenario. Der einzige Unterschied liegt in der Konfiguration des Master-ERAS (GHOST). Aktivieren Sie unter Extras > Serveroptionen > Replikation das Kontrollkästchen Eingehende Replikation aktivieren und tragen Sie den Namen des sekundären Servers im Feld Zulässige Server ein. In unserem Fall heißt der untergeordnete Server LITTLE. Falls auf dem übergeordneten Server ein Passwort für die Replikation eingerichtet ist (Extras > Serveroptionen > Sicherheit > Passwort für Replikation), muss dieses in den Einstellungen für die ausgehende Replikation auf dem untergeordneten Server eingetragen werden Zweigniederlassung: Installation von ERA Server Installieren Sie wie im vorhergehenden Beispiel den zweiten ERAS samt ERAC. Aktivieren und konfigurieren Sie auch hier die Replikationseinstellungen. Aktivieren Sie diesmal das Kontrollkästchen Ausgehende Replikation aktivieren (Extras > Serveroptionen > Replikation) und geben Sie den Master-ERAS an. Es empfiehlt sich, die IPAdresse des Master-Servers zu verwenden, also in diesem Fall die IP-Adresse des Servers GHOST Zweigniederlassung: Installation des HTTP-Mirror-Servers Die Konfiguration für die Installation des Mirror-Servers aus dem vorhergehenden Szenario kann auch hier verwendet werden. Die einzige Änderung betrifft die Einrichtung von Benutzername und Passwort. Wie in der Abbildung im Kapitel Überblick zur Netzwerkumgebung 22 werden die Updates für die Zweigniederlassung nicht von den ESET-Update-Servern, sondern vom Server GHOST in der Zentrale heruntergeladen. Als Update-Quelle wird die folgende URL eingestellt: (oder Standardmäßig muss kein Benutzername und Passwort angegeben werden, da der integrierte HTTP-Server keine Authentifizierung erfordert. Nähere Informationen zur Konfiguration der Mirror-Funktion in ERAS finden Sie im Kapitel Mirror-Server

24 Zweigniederlassung: Remoteinstallation auf den Clients Auch hier kann wieder das bisherige Modell zum Einsatz kommen. Allerdings bietet es sich an, alle Arbeiten in ERAC über eine direkte Verbindung zum ERAS in der Zweigniederlassung auszuführen (in unserem Beispiel der Rechner LITTLE). So müssen die Installationspakete nicht über die langsamere VPN-Verbindung übertragen werden Weitere Voraussetzungen für große Unternehmensumgebungen In größeren Netzwerken können mehrere ERA Server installiert werden, um eine bessere Zugänglichkeit der Server bei Remoteinstallationen auf Clientcomputern zu gewährleisten. Hierzu bietet ERAS die Möglichkeit zu einer Replikation (nähere Informationen siehe Kapitel Installation in der Zentrale 23 sowie Zweigniederlassung: Installation von ERA Server 23 ), bei der gespeicherte Daten an einen übergeordneten ERAS weitergeleitet werden. Die Replikation kann in ERAC konfiguriert werden. Eine Replikation ist besonders bei Unternehmen mit mehreren Zweigniederlassungen oder entlegeneren Filialen sehr hilfreich. In unserem Beispiel würden Sie hierzu ERAS in jeder Zweigniederlassung installieren und jeweils eine Replikation auf einen zentralen ERAS einrichten. Der Vorteil einer solchen Konfiguration zeigt sich besonders deutlich bei privaten Netzwerken, die über eine (meist langsamere) VPN-Verbindung angebunden sind. Der Administrator muss hier lediglich auf den zentralen ERAS zugreifen (Verbindung A in der nachstehenden Abbildung). Ein VPN-Zugriff auf die einzelnen Zweigniederlassungen (Verbindungen B, C, D, E) ist überflüssig. Mithilfe der ERAS-Replikation wird der langsamere Kommunikationskanal auf diese Weise umgangen. Bei der Konfiguration der Replikation kann der Administrator festlegen, welche Informationen automatisch in festen Zeitabständen an die übergeordneten Server übermittelt und welche Daten demgegenüber nur auf Abruf gesendet werden, wenn der Administrator eines übergeordneten Servers sie anfordert. Durch die Replikation wird ERA also nicht nur benutzerfreundlicher, es reduziert sich auch der Datenverkehr im Netzwerk. Eine Replikation bietet darüber hinaus auch den Vorteil, dass sich mehrere Benutzer mit unterschiedlichen Berechtigungsstufen anmelden können. Der Administrator, der über die Konsole auf den ERAS london2.company.com zugreift (Verbindung D), kann nur diejenigen Clients verwalten, die mit london2.company.com verbunden sind. Der Administrator, der auf den zentralen Server central.company.com zugreift (Verbindung A), kann hingegen alle Clients sowohl in der Firmenzentrale als auch in den einzelnen Zweigniederlassungen verwalten. 24

25 25

26 3. Die Arbeit mit ERA Console 3.1 Verbindungsaufbau mit ERA Server Auf die meisten Funktionen in ERAC können Sie erst zugreifen, nachdem Sie eine Verbindung zu ERAS aufgebaut haben. Vor dem Verbindungsaufbau definieren Sie den Server über seinen Hostnamen oder seine IP-Adresse: Öffnen Sie ERAC, klicken Sie auf Datei > Verbindungen bearbeiten (oder Extras > Konsolenoptionen) und dann auf die Registerkarte Verbindung. Klicken Sie auf Hinzufügen/Entfernen, um einen neuen ERA Server hinzuzufügen oder die vorhandenen Servereinträge zu bearbeiten. Wählen Sie in der Liste Verbindung auswählen den gewünschten Server aus. Klicken Sie dann auf Verbinden. HINWEIS: ERAC unterstützt auch IPv6 uneingeschränkt. Die Adresse sollte dann im Format [IPv6-Adresse]:Port angegeben werden. Beispiel: [::1]:2223. Weitere Optionen in diesem Fenster: Beim Start der Konsole automatisch mit ausgewähltem Server verbinden - Wenn diese Option aktiviert ist, wird beim Start der Konsole automatisch eine Verbindung zum ausgewählten ERAS aufgebaut. Meldung bei fehlgeschlagener Verbindung - Bewirkt, dass bei einem Kommunikationsfehler zwischen ERAC und ERAS eine entsprechende Meldung angezeigt wird. Für die Authentifizierung stehen zwei Verfahren zur Verfügung: ERA Server Der Benutzer authentifiziert sich mit seinen ERAS-Anmeldedaten. Standardmäßig ist zum Verbindungsaufbau mit ERAS kein Passwort erforderlich. Wir empfehlen jedoch dringend, ein Passwort einzurichten. Um ein Passwort für den Verbindungsaufbau mit ERAS einzurichten, gehen Sie wie folgt vor: Klicken Sie auf Datei > Passwort ändern (oder Extras > Serveroptionen > Sicherheit) und dann auf die Schaltfläche Ändern neben Passwort für Konsole. Beim Eingeben eines Passworts können Sie die Option Passwort speichern aktivieren. Bedenken Sie dabei aber bitte, dass dies ein Sicherheitsrisiko darstellen kann. Um alle gespeicherten Passwörter zu löschen, klicken Sie auf Datei > Gespeicherte Passwörter löschen. Wenn Sie Benutzerkonten für die Konsolenauthentifizierung am Server einrichten oder bearbeiten möchten, verwenden Sie hierzu den Benutzer-Manager 123. Windows/Domäne Benutzer authentifizieren sich mit ihren Windows- bzw. Domänen-Anmeldedaten. Damit die Windows-/DomänenAuthentifizierung korrekt funktioniert, muss ERAS unter einem Windows-/Domänenkonto mit ausreichenden Rechten installiert worden sein. Außerdem müssen Sie diese Funktion aktivieren. Verwenden Sie hierzu die folgenden Optionen unter Extras > Serveroptionen > Registerkarte Erweitert > Erweiterte Einstellungen bearbeiten > ESET Remote Administrator > ERA Server > Einstellungen > Sicherheit: Windows-/Domänen-Authentifizierung zulassen - Aktiviert bzw. deaktiviert die Windows-/DomänenAuthentifizierung. Administratorgruppen - Hier können Sie die Gruppen definieren, für die die Windows-/Domänen-Authentifizierung aktiviert werden soll. Gruppen mit Read-Only-Zugriff - Hier können Sie die Gruppen definieren, die nur Lesezugriff (Read-Only-Zugriff) haben sollen. Sobald die Verbindung zum Server steht, erscheint in der Titelleiste des Programms der Hinweis Verbunden [Servername]. 26

27 Stattdessen können Sie auch auf Datei > Verbinden klicken, um eine Verbindung zu ERAS aufzubauen. HINWEIS: Der Datenverkehr zwischen ERAC und ERAS findet verschlüsselt statt (AES-256). 3.2 ERA Console - Hauptfenster Der aktuelle Status der Verbindung zwischen ERAC und ERAS wird in der Statusleiste angezeigt (1). Alle erforderlichen Daten von ERAS werden regelmäßig aktualisiert (standardmäßig jede Minute, konfigurierbar unter Extras > Konsolenoptionen > Sonstige Einstellungen > Anzeige automatisch alle... Min. aktualisieren). Der Status der Aktualisierung wird ebenfalls in der Statusleiste angezeigt. HINWEIS: Drücken Sie F5, um die angezeigten Daten von Hand zu aktualisieren. Die angezeigten Daten sind nach der Reihenfolge ihrer Wichtigkeit in mehrere Registerkarten 31 gegliedert (2). Die meisten Angaben auf den Registerkarten beziehen sich auf die Clients, die eine Verbindung zum Server aufgebaut haben. In den meisten Fällen können Sie die Daten durch Klicken auf einen Spaltenkopf (5) auf- oder absteigend sortieren. Per Drag & Drop können Sie die Reihenfolge der Anzeigespalten selbst verändern. Wenn viele Datensätze vorhanden sind, können Sie die Anzahl der angezeigten Einträge über die Liste Anzuzeigende Einträge einschränken und mit den Navigationsschaltflächen durch die Einträge blättern. Durch Auswahl eines Ansichtsmodus können Sie je nach Bedarf festlegen, welche Spalten angezeigt werden sollen (nähere Informationen siehe im Kapitel Filtern von Informationen 29 ). Wenn Sie den Inhalt der Registerkarten ausdrucken möchten, finden Sie hierzu weitere Informationen im Kapitel Seite einrichten 28. Der Serverbereich (4) ist wichtig, wenn Sie ERA Server replizieren. Hier sehen Sie Überblicksinformationen zu der Konsole, mit der ERAS verbunden ist, sowie Angaben zu untergeordneten ERA Servern. Die Liste "Server" im Bereich 4 legt fest, woher die im Bereich 5 angezeigten Daten stammen. Alle Server verwenden - Bewirkt, dass im Bereich (5) Daten von allen ERA Servern angezeigt werden. 27

28 Nur ausgewählte Server verwenden - Bewirkt, dass im Bereich (5) nur Daten von den ausgewählten ERA Servern angezeigt werden. Ausgewählte Server nicht verwenden - Bewirkt, dass Daten von den ausgewählten ERA Servern nicht angezeigt werden. Spalten im Bereich 4: Servername - Name des Servers Clients - Anzahl der Clients, die insgesamt mit dem ausgewählten ERAS verbunden sind, d. h. sich in dessen Datenbank befinden Status der Signaturdatenbank - Version der Signaturdatenbank auf den Clients des ausgewählten ERAS Älteste Verbindung - Zeitdauer seit der ältesten Verbindung zum Server Letzte Bedrohungswarnungen - Gesamtanzahl der Virenwarnungen (siehe Attribut Letzte Bedrohungswarnung in Bereich 5) Letzte Firewall-Warnungen - Gesamtanzahl der Firewall-Warnungen Letzte Ereigniswarnungen - Gesamtanzahl der aktuellen Ereignisse (siehe Attribut Letzte Ereigniswarnung in Bereich 5) Wenn keine Verbindung besteht, können Sie mit der rechten Maustaste auf einen Servereintrag im Serverbereich (4) klicken und Mit diesem Server verbinden wählen, um eine Verbindung zu diesem ERAS aufzubauen. Bei aktivierter Replikation werden im Serverbereich (4) weitere Informationen angezeigt. Die wesentlichen Funktionen von ERAC stehen über das Hauptmenü oder über die ERAC-Symbolleiste (3) zur Verfügung. Nähere Informationen zum Bereich 6 (Kriterien für Clientfilter) finden Sie im Kapitel Filtern von Informationen 29. HINWEIS: Besonders praktisch zum Verwalten von Clients und zum Filtern von Informationen ist das Kontextmenü 30. Hiermit können Sie schnell Tasks ausführen, Gruppen und Policies verwalten, Daten filtern und weitere Aktionen durchführen Seite einrichten Im Fenster Seite einrichten können Sie Einstellungen zum Ausdrucken der Inhalte auf den Registerkarten der ERA Console konfigurieren: WYSIWYG - Die Registerkarten werden exakt wie angezeigt ausgedruckt ("What You See Is What You Get"). Druckausgabe - Die Registerkarten werden schwarz-weiß ausgedruckt. Es werden nur die Farben schwarz und weiß verwendet. Symbole drucken - Es werden auch Symbole neben den Clientnamen ausgedruckt. Kopfzeile drucken - Bewirkt, dass links oben auf der Seite der Text aus dem Feld Kopfzeile ausgedruckt wird. Sie können die Standardkopfzeile verwenden oder einen eigenen Text im Feld Kopfzeile eingeben. Logo drucken - Bewirkt, dass rechts oben auf der Seite das im Feld Logopfad angegebene Logo ausgedruckt wird. Standardmäßig wird das ESET-Logo gedruckt. Um ein eigenes Logo zu verwenden, klicken Sie neben dieser Option auf... und wählen die gewünschte Logodatei von der Festplatte aus. Seitenzahlen drucken - Bewirkt, dass am unteren Rand der Druckseiten Seitenzahlen ausgedruckt werden. Vorschau - Klicken Sie auf diese Schaltfläche, um eine Vorschau der Druckseite anzuzeigen. 28

29 3.3 Filtern von Informationen ERAC bietet umfassende Werkzeuge und Funktionen zur komfortablen Administration von Clients und Ereignissen. Hierzu gehören auch leistungsstarke Filtermöglichkeiten, die besonders bei Systemen mit vielen Clients sehr hilfreich sind. Die angezeigten Informationen lassen sich damit unkompliziert gruppieren und verwalten. Zum Sortieren und Filtern von Informationen zu den verbundenen Clients stehen Ihnen in ERAC verschiedene Werkzeuge zur Verfügung. Mithilfe von Filtern 29 können Sie sich gezielt Informationen zu bestimmten Servern oder ClientArbeitsplatzrechnern anzeigen lassen. Um die Filteroptionen anzuzeigen, klicken Sie im ERAC-Hauptmenü auf Ansicht > Filterbereich anzeigen. Anzeigemodus Sie können einstellen, wie viele Spalten auf der Registerkarte Clients angezeigt werden. Verwenden Sie hierzu die Liste Anzeigemodus rechts in der Konsole. In der Komplettansicht werden alle Spalten angezeigt, in der Minimalansicht nur die wichtigsten. Diese vordefinierten Modi können nicht weiter bearbeitet werden. Sie können aus 5 Benutzerdefinierten Ansichten auswählen, um Ihre Ansicht anzupassen. Sie finden diese Optionen unter Tools > Konsolenoptionen > Spalten - anzeigen/ausblenden. Hinweis: Sie können Reihenfolge und Größe der Spalten in allen Ansichten per Ziehen und Ablegen ändern Filter Zum Anwenden eines Filters aktivieren Sie die Option Filter verwenden oben links im ERAC-Fenster. Sobald Sie die Filterkriterien ändern, werden die angezeigten Daten automatisch aktualisiert, es sei denn, Sie haben diese Funktion deaktiviert (Extras > Konsolenoptionen > Sonstige Einstellungen). Definieren Sie Filterkriterien im Bereich Kriterien für Clientfilter. Clients können mehreren Gruppen und Policies angehören. Die Zuordnung von Clients zu statischen oder parametrischen Gruppen kann nicht nur zu Filterzwecken, sondern auch für andere Arbeiten wie z. B. das Erstellen von Berichten sehr hilfreich sein. Nähere Informationen zum Verwalten von Clients und Gruppen finden Sie im Kapitel Gruppen-Manager 93. Auch die Organisation von Clients mithilfe von Policies eignet sich für eine ganze Reihe von Einsatzzwecken. Nähere Informationen zum Erstellen und Verwalten von Policies finden Sie im Kapitel Policies 96. Das erste Filterwerkzeug ist der Bereich zur Auswahl von Gruppen und Policies. Hier stehen drei Optionen zur Verfügung: Ausgewählte Clients anzeigen - Bewirkt, dass im Bereich Clients nur die Clients in den ausgewählten Gruppen/ Policies angezeigt werden. Ausgewählte Clients ausblenden - Bewirkt, dass im Bereich Clients nur die Clients in den nicht ausgewählten Gruppen/Policies sowie die Clients ohne Gruppen angezeigt werden. Ein Client wird auch dann nicht angezeigt, wenn er mehreren Gruppen angehört und nur eine dieser Gruppen ausgewählt wird. Ausgewählte Clients ausblenden, Mehrfachmitgliedschaft ignorieren - Bewirkt, dass nur die Clients in den nicht ausgewählten Gruppen/Policies sowie die Clients ohne Gruppen angezeigt werden. Wenn ein Client mehreren Gruppen angehört und eine dieser Gruppen ausgewählt wird, wird der Client trotzdem angezeigt. Clients ohne Gruppen anzeigen - Bewirkt, dass nur die Clients angezeigt werden, die keiner Gruppe/Policy angehören. HINWEIS: Bei der Auswahl einer Gruppe aus der Liste werden auch alle dazugehörigen Untergruppen ausgewählt. Im unteren Teil des Bereichs Filter können Sie weitere Parameter definieren: Filter - exakte Übereinstimmung - Es werden nur die Clients angezeigt, deren Name mit der angegebenen Zeichenfolge übereinstimmt. Filter - Namensanfang (?,*) - Es werden nur die Clients angezeigt, deren Name mit der angegebenen Zeichenfolge anfängt. 29

30 Filter - Namensmuster (?,*) - Es werden nur die Clients angezeigt, deren Name die angegebene Zeichenfolge enthält. Ausschlussfilter - exakte Übereinstimmung, Ausschlussfilter - Namensanfang (?,*), Ausschlussfilter Namensmuster (?,*) - Diese Optionen funktionieren ähnlich wie die oben genannten drei Optionen, liefern jedoch jeweils das umgekehrte Ergebnis. In den Feldern Primärer Server, Clientname, Computername und MAC-Adresse können Sie jeweils eine Suchzeichenfolge für die im Dropdown-Menü ausgewählte Filteroption eingeben. Wenn in einem dieser Felder ein Wert eingetragen ist, werden die Ergebnisse der folgenden Datenbankabfrage auf der Grundlage dieses Werts gefiltert. Wenn mehrere Felder ausgefüllt sind, werden die Kriterien mit einem logischen UND verknüpft. Sie können * und? als Platzhalter verwenden. Als letzte Option können Sie einen Filter für Clients mit Problemen einrichten. Es werden dann nur Clients angezeigt, bei denen die angegebene Problemsituation vorliegt. Um ausgewählte Probleme anzuzeigen, wählen Sie Nur Probleme anzeigen aus und klicken Sie auf Bearbeiten. Wählen Sie die anzuzeigenden Probleme aus und klicken Sie auf OK, um eine Liste der Clients mit dem ausgewählten Problem anzuzeigen. Änderungen an den Filterkriterien werden übernommen, sobald Sie auf Übernehmen klicken. Um die Standardeinstellungen wiederherzustellen, klicken Sie auf Zurücksetzen. Wenn die Anzeige nach jeder Änderung an einem Filterkriterium automatisch aktualisiert werden soll, klicken Sie auf Extras > Konsolenoptionen > Sonstige Einstellungen und aktivieren die Option Änderungen automatisch übernehmen HINWEIS: Die Filterkriterien im letzten Abschnitt hängen von der gerade aktiven Registerkarte ab. Sie können damit die Log-Anzeige individuell anpassen und sortieren. Beispielsweise könnten Sie die Log-Einträge im Firewall-Log nach Schweregrad filtern, um nur die wichtigsten Einträge zu sehen. Außerdem können Sie die angezeigten Daten durch Auswahl eines Anzeigezeitraums eingrenzen. Nähere Informationen hierzu finden Sie im Kapitel Zeitraumfilter Kontextmenü Mit der rechten Maustaste können Sie das Kontextmenü aufrufen und die Ausgabe in den Anzeigespalten anpassen. Im Kontextmenü stehen die folgenden Optionen zur Verfügung: Alle auswählen - Wählt alle Einträge aus. Auswahl nach '...' - Wenn Sie mit der rechten Maustaste auf ein bestimmtes Attribut eines Eintrags klicken und dann diese Option wählen, werden alle Arbeitsplatzrechner bzw. Server ausgewählt, die ebenfalls dieses Attribut haben. Die Zeichenfolge "..." wird automatisch durch den Inhalt des betreffenden Attributs ersetzt. Auswahl umkehren - Kehrt die aktuelle Auswahl der Einträge um. Auswahl ausblenden - Blendet die ausgewählten Einträge aus. Nur Auswahl anzeigen - Blendet alle nicht ausgewählten Einträge aus der Liste aus. HINWEIS: Die verfügbaren Optionen hängen davon ab, welches Fenster gerade aktiv ist. Spalten ein-/ausblenden - Öffnet das Fenster Konsolenoptionen > Spalten - Anzeigen/Ausblenden können Sie festlegen, welche Spalten im ausgewählten Fensterbereich angezeigt werden. 63. Hier Die beiden Optionen Auswahl ausblenden und Nur Auswahl anzeigen sind besonders praktisch, wenn Sie die Anzeige nach dem Anwenden von Filtern weiter einschränken möchten. Um alle über das Kontextmenü aktivierten Filter wieder zu deaktivieren, klicken Sie auf Datei > Eingeschränkte Ansicht oder auf das entsprechende Symbol in der ERAC-Symbolleiste. Sie können auch auf F5 drücken, um die Anzeige zu aktualisieren und alle Filter zu deaktivieren. Beispiel: So zeigen Sie nur Clients mit Bedrohungswarnungen an: Klicken Sie auf der Registerkarte Clients mit der rechten Maustaste auf einen beliebigen Eintrag, bei dem die Info "Letzte Bedrohungswarnung" leer ist. Klicken Sie dann im Kontextmenü auf Auswahl nach '...'. Öffnen Sie nun 30

31 erneut das Kontextmenü und wählen Sie Auswahl ausblenden. So zeigen Sie ausschließlich Bedrohungswarnungen für die Clients "Josef" und "Karl" an: Klicken Sie auf die Registerkarte Bedrohungen. Klicken Sie dann mit der rechten Maustaste auf eine Zelle in der Spalte "Clientname", die den Wert "Josef" enthält. Öffnen Sie das Kontextmenü und wählen Sie Auswahl nach 'Josef'. Halten Sie die Strg-Taste gedrückt, wiederholen Sie den obigen Schritt für eine Zelle mit dem Inhalt "Karl" und wählen Sie dementsprechend Auswahl nach 'Karl'. Drücken Sie nun ein letztes Mal die rechte Maustaste, wählen Sie im Kontextmenü den Punkt Nur Auswahl anzeigen und lassen Sie die Strg-Taste los. Mit der Strg-Taste können Sie gezielt mehrere Einzeleinträge nacheinander auswählen/abwählen, mit der Umschalttaste zusammenhängende Blöcke von Einträgen. HINWEIS: Filter können Sie auch verwenden, um ohne großen Aufwand neue Tasks für eine ganz bestimmte Auswahl von Clients zu erstellen. Darüber hinaus gibt es noch viele weitere Möglichkeiten, um Filter effektiv bei Ihrer Arbeit einzusetzen. Probieren Sie die unterschiedlichen Möglichkeiten einfach einmal aus! Zeitraumfilter Unten rechts auf jeder Registerkarte von ERAC haben Sie die Möglichkeit, nach einem Zeitraum zu filtern. Auf diese Weise können Sie sich sehr leicht die Daten aus einer bestimmten Zeitspanne anzeigen lassen. Letzte X Stunden/Tage/Wochen/Monate/Jahre - Geben Sie hier die Anzahl und die gewünschte Zeiteinheit an. Auf der aktuellen Registerkarte werden dann nur Einträge aus diesem Zeitraum angezeigt. Wenn Sie beispielsweise Letzte 10 Tage auswählen, werden alle Einträge aus den letzten 10 Tagen angezeigt. Letzte X - In diesem Dropdown-Menü können Sie eine Reihe von vordefinierten Zeiträumen auswählen, für die Sie Daten anzeigen möchten. Alle bis (einschließlich) / Alle ab (einschließlich) - Aktivieren Sie das Kontrollkästchen neben Alle bis (einschließlich) oder Alle ab (einschließlich) und geben Sie einen Zeitpunkt an. Es werden dann alle Einträge bis zu oder ab diesem Zeitpunkt angezeigt. Alle im folgenden Zeitraum - Definieren Sie Anfang und Ende eines Zeitraums. Es werden dann nur die Einträge aus diesem Zeitraum angezeigt. HINWEIS: Mit der Option Nach Zeitraum filtern können Sie die Datenanzeige auf jeder Registerkarte auf einen bestimmten Zeitraum eingrenzen. Außerdem können Sie ggf. den Log-Umfang steuern, um die Daten nach Wichtigkeit zu sortieren. Der Filter nach Zeitraum grenzt die mit der Option Anzuzeigende Einträge ausgewählten Einträge weiter ein. Diese beiden Filter bauen aufeinander auf. Der Zeitraumfilter wird also auf die bereits gefilterten Daten angewendet. 3.4 Registerkarten in ERA Console Allgemeiner Überblick zu Registerkarten und Clients Die meisten Angaben auf den Registerkarten beziehen sich auf die Clients, die eine Verbindung zum Server aufgebaut haben. Jeder mit ERAS verbundene Client wird über die folgenden Attribute eindeutig identifiziert: Computername (Clientname) + MAC-Adresse + Primärer Server Wie sich ERAS bei bestimmten Verwaltungsaktionen im Netzwerk (z. B. Umbenennen eines PCs) verhält, können Sie in den erweiterten ERAS-Einstellungen festlegen. Auf diese Weise können Sie Dubletten auf der Registerkarte Clients vermeiden. Wenn beispielsweise einer der Computer im Netzwerk umbenannt wurde, die MAC-Adresse sich jedoch nicht geändert hat, können Sie dadurch verhindern, dass ein neuer Eintrag auf der Registerkarte Clients erstellt wird. 31

32 Clients, die erstmals eine Verbindung zu ERAS aufgebaut haben, sind durch den Wert Ja in der Spalte Neuer Client gekennzeichnet. Außerdem erscheint oben rechts am Clientsymbol ein kleines Sternchen (siehe die folgende Abbildung). Dadurch können Sie als Administrator neue Clients, die erstmals eine Verbindung aufgebaut haben, schnell erkennen. Je nach Ihren Vorgehensweisen bei der Administration kann dieses Attribut unterschiedliche Bedeutungen haben. Nachdem Sie einen neuen Client konfiguriert und in eine bestimmte Gruppe verschoben haben, können Sie seine Kennzeichnung als neu löschen. Hierzu klicken Sie mit der rechten Maustaste auf den Client und wählen Markierungen setzen/entfernen > Markierung "Neu" entfernen. Das Clientsymbol erscheint dann wie in der folgenden Abbildung, und der Wert in der Spalte Neuer Client wechselt auf Nein. HINWEIS: Das Attribut "Kommentar" ist auf allen drei Registerkarten optional. Hier können Sie eine beliebige Beschreibung eintragen (z. B. "Büro 129"). Zeitangaben in ERAS können entweder relativ ("Vor 2 Tagen"), absolut (" ") oder gemäß der Gebietseinstellungen des Systems angezeigt werden. In den meisten Fällen können Sie die Daten durch Klicken auf einen Spaltenkopf auf- oder absteigend sortieren. Per Drag & Drop können Sie die Reihenfolge der Anzeigespalten verändern. Mit der Option Anzuzeigende Einträge können Sie die auf einer Registerkarte angezeigten Daten eingrenzen. Wählen Sie aus, wie viele Log-Einträge angezeigt werden sollen (standardmäßig 200 für alle Logs) und aus welchem Zeitraum diese stammen sollen (standardmäßig aus den letzten 7 Tagen). Die Option keine Zeitbegrenzung wird im größeren Netzwerken nicht empfohlen, da sie zu einer starken Belastung der Datenbank und somit zu PerformanceEinbußen führen kann. HINWEIS: Mit der Option Nach Zeitraum filtern können Sie die Datenanzeige auf jeder Registerkarte auf einen bestimmten Zeitraum eingrenzen. Außerdem können Sie ggf. den Log-Umfang steuern, um die Daten nach Wichtigkeit zu sortieren. Der Filter nach Zeitraum grenzt die mit der Option Anzuzeigende Einträge ausgewählten Einträge weiter ein. Diese beiden Filter bauen aufeinander auf. Durch Doppelklicken auf bestimmte Werte können Sie zu anderen Registerkarten springen, um dort ausführlichere Informationen einzusehen. Wenn Sie beispielsweise auf einen Wert in der Spalte Letzte Bedrohungswarnung doppelklicken, wird die Registerkarte Bedrohungen mit den Bedrohungs-Log-Einträgen für den betreffenden Client angezeigt. Wenn Sie auf einen Wert doppelklicken, dessen Detailinformationen aufgrund ihrer Menge nicht mehr in der Registerkartenansicht angezeigt werden können, erscheint ein Dialogfenster mit den Detailinformationen zum betreffenden Client Inhalt der Registerkarten bei Replikation Wenn ERAC mit einem ERAS verbunden ist, dem weitere Server in einer Replikationsbeziehung untergeordnet sind, werden die Clients dieser untergeordneten Server automatisch angezeigt. Welche Daten repliziert werden, kann auf dem untergeordneten Server unter Extras > Serveroptionen > Replikation > Einstellungen für ausgehende Replikation konfiguriert werden. In einem solchen Szenario fehlen zunächst eventuell die folgenden Daten: Ausführliche Log-Daten zu Bedrohungswarnungen (Registerkarte Bedrohungen) Ausführliche Log-Daten zu On-Demand-Scans (Registerkarte Scans) Ausführliche Client-Konfigurationsangaben im XML-Format (Spalten Konfiguration, Schutzstatus, Schutzkomponenten und Systeminformationen auf der Registerkarte Clients) Eventuell fehlen auch Daten aus ESET SysInspector. ESET SysInspector ist in ESET Produkten ab der Version 4.x enthalten. Wenn die genannten Daten in den einzelnen Dialogfenstern nicht zur Verfügung stehen, klicken Sie auf die 32

33 Schaltfläche Anfordern (unter Aktionen > Eigenschaften > Konfiguration). Hierdurch werden die fehlenden Daten vom untergeordneten ERAS angefordert. Da die Replikation immer vom untergeordneten ERAS eingeleitet wird, werden die fehlenden Daten innerhalb des eingestellten Replikationsintervalls übermittelt. Auf dem übergeordneten Server können Sie festlegen, in welchem Umfang Logs entgegengenommen werden (Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > ESET Remote Administrator > ERA Server > Einstellungen > Serverwartung > Umfang der entgegenzunehmenden...-logs). HINWEIS: Diese Option wirkt sich nicht nur auf die replizierten Clients aus, sondern auf alle Clients, die mit dem Server verbunden sind Clients (Registerkarte) Diese Registerkarte enthält allgemeine Informationen zu einzelnen Clients gemäß des in ESET Remote Administrator eingestellten Ansichtsmodus 29. Attribut Beschreibung Clientname Name des Clients (kann im Eigenschaften-Dialogfenster des Clients auf der Registerkarte "Allgemein" geändert werden) Computername Name des Arbeitsplatzrechners/Servers (Hostname) MAC-Adresse MAC-Adresse (Netzwerkadapter) Primärer Server Name des ERAS, zu dem der Client eine Verbindung aufgebaut hat Name der Domäne/Arbeitsgruppe, der der Client angehört (nicht identisch mit den in ERAS Domäne erstellten Gruppen) IP IPv4- oder IPv6-Adresse Produktname Name des ESET-Produkts Produktversion Version des ESET-Produkts Name der Policy, die für einen Client von einem Benutzer oder einem Server angefordert wurde. Die angeforderte Policy wird mit der aktuellen Policy synchronisiert, wenn sich ein Name der angeforderten Policy Client mit ERAS verbindet und keine Policyregeln existieren, die die Zuweisung der angeforderten Policy verbieten. Name der aktuellen Name der Policy, die nach der Verbindung mit ERAS an einen Client zugewiesen wurde. Policy Zeitpunkt, zu dem der Client zuletzt eine Verbindung mit ERAS aufgebaut hat (mit Ausnahme Letzte Verbindung einiger Angaben, die per Replikation eingehen, tragen alle Daten, die vom jeweiligen Client erfasst werden, diesen Zeitstempel) Schutzstatus-Text Aktueller Status des auf dem Client installierten ESET Security-Produkts Signaturdatenbank Version der Signaturdatenbank Letzte Letzter Virenfund Bedrohungswarnung Letzte FirewallDas letzte von der ESET Endpoint Security Personal Firewall entdeckte Ereignis (Nur Ereignisse Warnung ab der Stufe "Warnung" werden angezeigt) Letzte Letzte Fehlermeldung Ereigniswarnung Zuletzt geprüfte Anzahl der Dateien, die beim letzten On-Demand-Scan geprüft wurden Dateien Zuletzt infizierte Anzahl der Dateien, die beim letzten On-Demand-Scan als infiziert erkannt wurden Dateien Zuletzt gesäuberte Anzahl der Dateien, die beim letzten On-Demand-Scan gesäubert (oder gelöscht) wurden Dateien Letzter Scan Zeitpunkt des letzten On-Demand-Scans NeustartIst ein Neustart erforderlich? (z. B. nach einem Programmupgrade). Anforderung Zeitpunkt NeustartZeitpunkt der ersten Neustart-Anforderung Anforderung Letzter Produktstart Zeitpunkt des letzten Starts des Clientprogramms Produkt installiert Zeitpunkt, zu dem das ESET Security-Produkt auf dem Client installiert wurde (Zeitpunkt) 33

34 Mobiler Benutzer Neuer Client Betriebssystem BetriebssystemPlattform Hardware-Plattform Konfiguration Schutzstatus Wenn diese Einstellung bei einem Client aktiviert ist, wird bei jeder Verbindung des Clients zu ERAS ein Update-Task gestartet (empfohlen für Notebooks). Das Update findet nur statt, wenn die Signaturdatenbank des Clients nicht aktuell ist. Diese Funktion ist vor allem für Benutzer hilfreich, die längere Zeit keine Verbindung zum ERAS hergestellt haben. Der Task löst ein sofortiges Update aus (auch vor dem normalen Update-Task). Neu verbundener Computer (siehe hierzu das Kapitel Allgemeiner Überblick zu Registerkarten und Clients 31 ) Name des Betriebssystems auf dem Client Plattform des Betriebssystems (Windows, Linux usw.) 32 oder 64 Bit Aktuelle XML-Konfiguration des Clients (mit Zeitpunkt ihrer Erstellung) Allgemeine Angabe zum Status (ähnlich dem Attribut "Konfiguration") Allgemeine Angabe zum Status der Programmkomponenten (ähnlich dem Attribut Schutzkomponenten "Konfiguration") Systeminformatione Vom Client an ERAS übertragene Systeminformationen (mit Zeitpunkt der Übertragung) n Clients, auf denen das ESET SysInspector-Tool installiert ist, können Logs aus dieser SysInspector Zusatzanwendung an den Server übertragen. Zusätzliche Infos, die vom Administrator für die Anzeige ausgewählt wurden (Einrichtung in Benutzerdefinierte ERAC über "Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > ESET Infos 1, 2, 3 Remote Administrator > ERA Server > Einstellungen > Sonstige Einstellungen > Benutzerdefinierte Clientinfos 1, 2, 3"). Kommentar Kurzer Kommentar zur Beschreibung des Clients (vom Administrator eingegeben) HINWEIS: Einige dieser Werte dienen nur zu Informationszwecken und spiegeln bei der Anzeige in der Konsole eventuell nicht den aktuellen Zustand des Clients wider. So könnte es zum Beispiel sein, dass eine Fehlermeldung zu einem Update vorliegt, das um 7:00 Uhr zwar fehlgeschlagen war, um 8:00 Uhr dann jedoch erfolgreich abgeschlossen wurde. Dies betrifft insbesondere die Infos Letzte Bedrohungswarnung und Letzte Ereigniswarnung. Wenn diese Infos bekanntermaßen nicht mehr aktuell sind, können Sie sie löschen. Klicken Sie hierzu mit der rechten Maustaste darauf und wählen Sie Infos löschen > Info "Letzte Bedrohungswarnung" löschen bzw. Info "Letzte Ereigniswarnung" löschen. Die Infos zum letzten Virenfund bzw. Systemereignis werden dann gelöscht. 34

35 Durch Doppelklicken auf den Eintrag eines Clients auf der Registerkarte Clients werden weitere Optionen angezeigt: Allgemein - Hier sehen Sie allgemeine Informationen zum Client (ähnlich wie auf der Registerkarte "Clients"). Außerdem können Sie hier den Clientnamen ändern, unter dem der Client in ERA angezeigt wird, sowie optional einen Kommentar eingeben. Gruppenmitgliedschaft - Diese Registerkarte zeigt alle Gruppen, denen der Client angehört. Nähere Informationen finden Sie im Kapitel Filtern von Informationen 29. Tasks - Zeigt die Tasks für den betreffenden Client. Nähere Informationen finden Sie im Kapitel Tasks. 87 Konfiguration - Über diese Registerkarte können Sie sich die aktuelle Konfiguration des Clients anzeigen lassen oder in eine XML-Datei exportieren. In einem späteren Abschnitt dieses Handbuchs ist beschrieben, wie Sie mithilfe von XML-Dateien eine Konfigurationsvorlage zum Anlegen bzw. Ändern von XML-Konfigurationsdateien erstellen können. Nähere Informationen finden Sie im Kapitel Tasks 87. Schutzstatus - Hier finden Sie allgemeine Angaben zum Status aller installierten ESET Produkte. Teilweise sind diese Angaben interaktiv, sodass Sie direkt darauf reagieren können. Auf diese Weise müssen Sie nicht extra von Hand einen neuen Task definieren, um Probleme mit dem Schutzstatus zu beheben. Schutzkomponenten - Status der einzelnen ESET Security-Komponenten (Spam-Schutz, Personal Firewall usw.) Systeminformationen - Ausführliche Informationen zum installierten Programm, den Versionen der Programmkomponenten usw. SysInspector - Ausführliche Informationen zu Systemstart- und Hintergrundprozessen Quarantäne - Liste der Dateien in der Quarantäne. Sie können Dateien gezielt aus der Client-Quarantäne anfordern und auf einem lokalen Datenträger speichern. Klicken Sie mit der rechten Maustaste auf einen oder mehrere Clients und wählen Sie Netzwerkaktion Kontextmenü aus, um Netzwerkaktionen für bestimmte Clients auszuführen. Sie können eventuell vorhandene Clients in dieser Registerkarte schnell und einfach zusammenführen im Zusammenführung doppelt vorhandener Clients Wenn Sie die Netzwerkkarte in einem von ERA Server verwalteten Computer austauschen, ändert sich die MACAdresse des Computers. Wenn sich der Computer mit ERA Server verbindet, wird die neue Verbindung als Duplikat des alten (zuvor verbundenen) Computers aufgeführt. Nun können Sie entweder den alten Computer in der Registerkarte Clients von ERA Console löschen, oder Sie können beide Computer zusammenführen, falls Sie die Logs des alten Computers behalten und zum neuen Computer zuordnen möchten. Navigieren Sie zur Registerkarte Clients in ERA Console, wählen Sie die beiden Computer aus, klicken Sie mit der rechten Maustaste auf Ihre Auswahl und anschließend im Kontextmenü auf Duplikate zusammenführen..., um zwei Computer zusammenzuführen. Wählen Sie im Fenster Client-Duplikate zusammenführen aus, welcher Client erhalten bleiben soll, und klicken Sie auf Clients zusammenführen. Falls Sie den falschen Client ausgewählt haben (also den Client, der sich seit längerer Zeit nicht mit ERA Server verbunden hat), wird eine Warnung für Ihre Auswahl angezeigt. HINWEIS: Beim Zusammenführen zweier Computer werden die Logs zum verbleibenden Computer zugeordnet, aber Tasks, Quarantäne und Gruppen- sowie Policyzuweisungen des gelöschten Computers werden gelöscht. 35

36 Netzwerkaktionen Sie können auf den von ERA Server verwalteten Clients verschiedene Netzwerkaktionen ausführen. Wenn Sie mit der rechten Maustaste in die Registerkarte Clients in ERA Console klicken und Netzwerkaktionen auswählen, haben Sie die folgenden Optionen zur Auswahl: Ping, Wake On LAN, Freigeben, Herunterfahren/neu starten, Nachricht, RDP oder Benutzerdefiniert.... Diese Netzwerkaktionen entsprechen den Windows-Netzwerkaktionen und haben dieselben Funktionen. Jede ausgeführte Netzwerkaktion (mit Ausnahme von "Ping") liefert Informationen über den Status der Aktion in Form eines Fortschrittsbalkens im Dialogfenster. Die folgende Tabelle enthält die verfügbaren Netzwerkaktionen, die jeweiligen ausgeführten generischen Windows-Befehle (falls nicht anders in ERA Server implementiert), sowie einige der Voraussetzungen. In manchen Fällen müssen nicht alle Voraussetzungen erfüllt sein, oder es existieren andere, hier nicht genannte Voraussetzungen. Verwenden Sie diese Informationen als Leitfaden bei der Fehlersuche. 36

37 Netzwerkak tion ping Befehl - Voraussetzungen ICMP in Firewall aktiviert Die Netzwerkkarte der ausgewählten Computer muss das Magic Packet-Standardformat unterstützen Wake on Lan Wake On Lan muss im BIOS der ausgewählten Computer und in deren Netzwerkkarte konfiguriert sein - Weitere Informationen finden Sie im Dialogfenster Freigeben explorer.exe \\<Computer> Freigabe muss auf dem Zielcomputer aktiviert sein Firewall-Ausnahme für Freigaben Remoteregistrierung muss aktiviert sein Windows Management Instrumentation-Dienst muss aktiviert sein shutdown /s /t <Timeout> /c "<Grund_Kommentar>" /f /m <Computer> Im Fall eines Neustarts wird "/r" anstelle von "/s" angegeben Herunterfah ren/neu starten Wenn "Grund_Kommentar" leer ist, wird der Parameter /c "<Grund_Kommentar>" nicht angegeben Wenn "Schließen der Anwendungen erzwingen" nicht markiert ist, wird der Parameter "/f" nicht angegeben Wenn "Herunterfahren abbrechen" markiert ist, wird immer nur "/a /m <Computer>" angegeben Firewall-Ausnahme für Windows Management Instrumentation (WMI) Der aktuelle Windows-Benutzer auf dem Konsolencomputer braucht Administratorberechtigungen auf dem Zielcomputer (für Domänenumgebungen) Ausführung mit Administratorkonto auf dem lokalen Computer Benutzerdaten hinzufügen: 1. Abfrage in der WindowsAnmeldeinformationsverwaltung 2. Klicken Sie auf "Windows-Anmeldeinformationen hinzufügen" 3. Geben Sie Name (oder IP-Adresse) des Zielcomputers sowie Benutzername und Passwort für den Zielcomputer ein Registrierungsänderung: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server Name: AllowRemoteRPC Typ: REG_DWORD Wert: 1 Nachricht msg.exe /SERVER:<Computer> * "a" Ausführung mit Administratorkonto auf dem lokalen Computer Unter Windows 2000 lautet dieser Befehl: net send <Computer> Benutzerdaten hinzufügen: 1. Abfrage in der WindowsAnmeldeinformationsverwaltung 2. Klicken Sie auf "Windows-Anmeldeinformationen hinzufügen" 3. Geben Sie Name (oder IP-Adresse) des Zielcomputers 37 sowie Benutzername und Passwort für den

38 Der Befehl wird auf dem Computer ausgeführt, auf dem auch die ERA-Konsole läuft (Derselbe Befehl in cmd.exe auf dem Konsolencomputer sollte genau dasselbe Ergebnis produzieren. Dies ist hilfreich für die Fehlersuche). <Computer> wird durch den Hostnamen oder die IP-Adresse des Zielcomputers basierend auf der Einstellung "Beim Ausführen einer Netzwerkaktion Hostname statt IP-Adresse verwenden" unter Tools > Konsolenoptionen > Sonstige Einstellungen in ERA Console ersetzt. Manche Befehle funktionieren besser in Domänenumgebungen. Wenn Sie als Domänenbenutzer (mit Administratorberechtigungen auf dem Zielcomputer) angemeldet sind, müssen die Anmeldeinformationen nicht hinzugefügt werden Bedrohungen (Registerkarte) Diese Registerkarte enthält ausführliche Informationen zu den einzelnen Virenfunden bzw. erkannten Bedrohungen. Attribut Beschreibung Clientname Computername MAC-Adresse Primärer Server Empfangen Aufgetreten Stufe Scanner Objekt Name Bedrohung Aktion Benutzer Informationen Details Name des Clients, der die Bedrohungswarnung gemeldet hat Name des Arbeitsplatzrechners/Servers (Hostname) MAC-Adresse (Netzwerkadapter) Name des ERAS, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis aufgetreten ist Schweregrad der Meldung Name der Schutzkomponente, die die Bedrohung erkannt hat Objekttyp In der Regel ein Ordner, in dem das infizierte Objekt abgelegt ist Name des erkannten Schadprogramms Aktion, die von der betreffenden Schutzkomponente ausgeführt wurde Name des Benutzers, der zum Zeitpunkt des Ereignisses ermittelt wurde Informationen zur erkannten Bedrohung Übertragungsstatus des Client-Logs Firewall (Registerkarte) Diese Registerkarte zeigt Informationen zu den Firewall-Aktivitäten auf den Clients. Attribut Beschreibung Clientname Computername MAC-Adresse Primärer Server Empfangen Aufgetreten Stufe Ereignis Quelle Ziel Protokoll Regel Anwendung Benutzer Name des Clients, der das Ereignis gemeldet hat Name des Arbeitsplatzrechners/Servers (Hostname) MAC-Adresse (Netzwerkadapter) Name des ERAS, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis aufgetreten ist Schweregrad der Meldung Beschreibung des Ereignisses IP-Quelladresse IP-Zieladresse Protokoll der Verbindung Verwendete Firewall-Regel Betroffene Anwendung Name des Benutzers, der zum Zeitpunkt des Ereignisses ermittelt wurde 38

39 3.4.6 Ereignisse (Registerkarte) Auf dieser Registerkarte wird eine Liste mit allen systembezogenen Ereignissen angezeigt (auf der Grundlage der Programmkomponenten der ESET Security-Produkte). Attribut Beschreibung Clientname Computername MAC-Adresse Primärer Server Empfangen Aufgetreten Stufe Plugin Ereignis Benutzer Name des Clients, der das Ereignis gemeldet hat Name des Arbeitsplatzrechners/Servers (Hostname) MAC-Adresse (Netzwerkadapter) Name des ERAS, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis aufgetreten ist Schweregrad der Meldung Name der Programmkomponente, die das Ereignis gemeldet hat Beschreibung des Ereignisses Name des Benutzers, der mit dem Ereignis verknüpft ist HIPS (Registerkarte) Auf dieser Registerkarte werden alle HIPS-Aktivitäten angezeigt. Attribut Beschreibung HIPS-ID Clientname Primärer Server Empfangen Aufgetreten Stufe ID des entsprechenden Datenbankeintrags (im Format: HIPS-Nummer) Name des Clients, der die HIPS-Informationen gemeldet hat Name des ERA Servers, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis aufgetreten ist Schweregrad des Ereignisses Name der Anwendung, die den Eintrag im HIPS-Log verursacht hat. Format: UNC-Pfad zur Programmdatei. Erkannte Aktivität in Bezug auf das Zielobjekt Name der vom Vorgang betroffenen Anwendungsdatei. Format: Pfad zur Datei im Installationsordner der Anwendung Vom HIPS ausgeführte Aktion auf Basis des gerade aktiven Modus bzw. der aktiven Regel Anwendung Vorgang Objekt Aktion HINWEIS: Standardmäßig werden die HIPS-Aktivitäten nicht protokolliert. Um das Logging zu aktivieren oder die Einstellungen zu ändern, rufen Sie den folgenden Menübefehl auf: Extras > Serveroptionen > Serverwartung > Parameter für Log-Erfassung Medienkontroll-Log Auf dieser Registerkarte wird ein ausführliches Log mit den Aktivitäten der Medienkontrolle angezeigt. Attribut Beschreibung Medienkontroll-ID Clientname Primärer Server Empfangen Aufgetreten Stufe Benutzer Gruppe Geräteklasse Gerät Ereignis Aktion ID des betreffenden Eintrags in der Datenbank Name des Clients, der das Ereignis gemeldet hat Name des ERAS, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis aufgetreten ist Schweregrad der Meldung Name des Benutzers, der mit dem Ereignis verknüpft ist Gruppe des Clients, der die betreffende Aktivität gemeldet hat Art des Wechselmediums (USB-Speichergerät, DVD...) Name und Seriennummer (falls verfügbar) des Wechselmediums Von der Medienkontrolle gemeldetes Ereignis Aktion, die von der betreffenden Schutzkomponente ausgeführt wurde 39

40 HINWEIS: Standardmäßig werden die Aktivitäten der Medienkontrolle nicht protokolliert. Um das Logging zu aktivieren oder die Einstellungen zu ändern, rufen Sie den folgenden Menübefehl auf: Extras > Serveroptionen > Serverwartung > Parameter für Log-Erfassung Web-Kontroll-Log Auf dieser Registerkarte wird ein ausführliches Log mit den Aktivitäten der Web-Kontrolle angezeigt. Attribut Beschreibung Web-Kontroll-ID Clientname Primärer Server Empfangen Aufgetreten Stufe Benutzer Gruppe URL URL-Maske URL-Kategorie Aktion ID des betreffenden Eintrags in der Datenbank Name des Clients, der das Ereignis gemeldet hat Name des ERAS, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis aufgetreten ist Schweregrad der Meldung Name des Benutzers, der mit dem Ereignis verknüpft ist Gruppe des Clients, der die betreffende Aktivität gemeldet hat URL der gesperrten Webseite URL-Maske der gesperrten Webseite URL-Kategorie der gesperrten Webseite Aktion, die von der betreffenden Schutzkomponente ausgeführt wurde HINWEIS: Standardmäßig werden die Aktivitäten der Web-Kontrolle nicht protokolliert. Um das Logging zu aktivieren oder die Einstellungen zu ändern, rufen Sie den folgenden Menübefehl auf: Extras > Serveroptionen > Serverwartung > Parameter für Log-Erfassung Spam-Schutz (Registerkarte) Auf dieser Registerkarte werden alle Aktivitäten im Zusammenhang mit dem Spam-Schutz angezeigt. Attribut Beschreibung Spam-Schutz-ID Clientname Primärer Server Empfangen Aufgetreten Absender Empfänger Betreff Score Grund Aktion ID des entsprechenden Datenbankeintrags (im Format: Spam-Schutz-Nummer) Name des Clients, der die Spam-Schutz-Informationen gemeldet hat Name des ERA Servers, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis aufgetreten ist -Adresse des Absenders der als Spam markierten Nachricht Empfänger der als Spam markierten Nachricht Betreff der als Spam markierten Nachricht Spam-Score (Wahrscheinlichkeit, dass die Nachricht Spam ist) in Prozent Grund dafür, dass die Nachricht als Spam markiert wurde Für die Nachricht durchgeführte Aktion HINWEIS: Standardmäßig werden die Spam-Schutz-Aktivitäten nicht protokolliert. Um das Logging zu aktivieren oder die Einstellungen zu ändern, rufen Sie den folgenden Menübefehl auf: Extras > Serveroptionen > Serverwartung > Parameter für Log-Erfassung Greylist (Registerkarte) Auf dieser Registerkarte werden alle Aktivitäten im Zusammenhang mit dem Greylisting von s angezeigt. Attribut Beschreibung Greylist-ID Clientname Primärer Server Empfangen Aufgetreten ID des entsprechenden Datenbankeintrags (im Format: Greylist-Nummer) Name des Clients, der das Ereignis gemeldet hat Name des ERAS, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis aufgetreten ist Domainname, mit dem sich der sendende Server beim empfangenden Server identifiziert hat IP-Adresse des Absenders HELO-Domain IP-Adresse 40

41 Absender Empfänger Aktion Verbleibende Zeit -Adresse des Absenders -Adresse des Nachrichtenempfängers Aktion, die von der betreffenden Schutzkomponente ausgeführt wurde Restdauer, bis die Nachricht abgewiesen oder verifiziert und zugestellt wird HINWEIS: Standardmäßig werden die Greylisting-Aktivitäten nicht protokolliert. Um das Logging zu aktivieren oder die Einstellungen zu ändern, rufen Sie den folgenden Menübefehl auf: Extras > Serveroptionen > Serverwartung > Parameter für Log-Erfassung Scans (Registerkarte) Diese Registerkarte zeigt die Ergebnisse von On-Demand-Scans, die remote, lokal auf den Clientcomputern oder als geplante Tasks gestartet wurden. Attribut Beschreibung Scan-ID Clientname Computername MAC-Adresse Primärer Server Empfangen Aufgetreten Geprüfte Objekte Geprüft Infiziert Gesäubert Status Benutzer Typ Scanner Details ID des entsprechenden Datenbankeintrags (im Format: Scannummer) Name des Clients, auf dem der Scan stattgefunden hat Name des Arbeitsplatzrechners/Servers (Hostname) MAC-Adresse (Netzwerkadapter) Name des ERA Servers, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Scanereignis von ERAS protokolliert wurde Zeitpunkt, zu dem der Scan auf dem Client stattgefunden hat Geprüfte Dateien, Ordner und Geräte Anzahl der geprüften Dateien Anzahl der infizierten Dateien Anzahl der gesäuberten (oder gelöschten) Objekte Status des Scans Name des Benutzers, der zum Zeitpunkt des Ereignisses ermittelt wurde Benutzertyp Scannertyp Übertragungsstatus des Client-Logs Mobilgeräte (Registerkarte) Diese Registerkarte zeigt ausführliche Log-Informationen von den Mobiltelefonen, die mit dem ERA Server verbunden sind. Attribut Beschreibung Mobilgeräte-ID Clientname Computername MAC-Adresse Primärer Server Empfangen Aufgetreten Stufe Logtyp Ereignis Objekttyp Netzwerkkennung des Mobilgeräts Name des Clients, auf dem die Aktion stattgefunden hat Name des Arbeitsplatzrechners/Servers (Hostname) MAC-Adresse (Netzwerkadapter) Name des ERA Servers, zu dem der Client eine Verbindung aufgebaut hat Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Zeitpunkt, zu dem das Ereignis auf dem Client stattgefunden hat Schweregrad der Meldung Typ des Log-Eintrags (z. B. Sicherheits-Auditlog, SMS-Spamschutz-Log) Beschreibung des Ereignisses Typ des Objekts, auf das sich das Ereignis bezieht (z. B. SMS, Datei...) Objekt, auf das sich das Ereignis bezieht (z. B. Telefonnummer des SMS-Absenders, Dateipfad...) Beim Ereignis ausgeführte Aktion (bzw. aufgetretener Fehler) Objektname Aktion 41

42 Quarantäne (Registerkarte) Diese Registerkarte zeigt alle Quarantäneeinträge in Ihrem Netzwerk. Attribut Beschreibung Quarantäne-ID Hash Empfangen Erstes Auftreten Letztes Auftreten Objektname Dateiname Erweiterung Größe ID-Nummer des Quarantäneobjekts, vergeben in der Reihenfolge des Auftretens Hashwert der Datei Zeitpunkt, zu dem das Scanereignis von ERAS protokolliert wurde Dauer seit dem ersten Auftreten des Quarantäneobjekts Dauer seit dem letzten Auftreten des Quarantäneobjekts In der Regel ein Ordner, in dem das infizierte Objekt abgelegt ist Name der Quarantänedatei Namenserweiterung der Quarantänedatei Größe der Quarantänedatei Grund für das Verschieben in die Quarantäne, in der Regel eine Beschreibung der Bedrohungsart Anzahl der Clients, auf denen sich das Objekt in der Quarantäne befindet Gibt an, wie oft das Objekt in die Quarantäne verschoben wurde Gibt an, ob ein Download des Objekts auf den Server angefordert wurde Grund Clientanzahl Zugriffe Datei HINWEIS: Bitte beachten Sie, dass in den Feldern Objektname, Dateiname und Erweiterung nur die ersten drei Objekte angezeigt werden. Für ausführlichere Informationen öffnen Sie das Eigenschaften-Dialogfenster, indem Sie entweder F3 drücken oder auf das ausgewählte Objekt doppelklicken. Die zentrale Quarantäne bietet Ihnen einen Überblick über die Quarantänedateien, die lokal auf den Clients gespeichert sind. Die einzelnen Dateien können Sie gezielt anfordern. Angeforderte Dateien werden über eine sichere, verschlüsselte Verbindung auf den ERA Server kopiert. Aus Sicherheitsgründen wird die Datei entschlüsselt, wenn sie auf dem Datenträger gespeichert wird. Anleitungen zur Arbeit mit Quarantänedateien finden Sie im Kapitel Task "Aus Quarantäne wiederherstellen/löschen" 90. HINWEIS: Zur Nutzung der zentralen Quarantäne muss auf den Clients EAV/ESS 4.2 oder höher installiert sein Tasks (Registerkarte) Ausführlichere Hintergrundinformationen zu dieser Registerkarte finden Sie im Kapitel Tasks folgenden Attribute: Attribut Status Typ Name Beschreibung Bereitstellungstermin Empfangen Details Kommentar Sie umfasst die Beschreibung Taskstatus ("Aktiv" = Task wird gerade übermittelt, "Abgeschlossen" = Task wurde den Clients zugestellt) Tasktyp Taskname Taskbeschreibung Zeitpunkt der Taskausführung Zeitpunkt, zu dem das Ereignis von ERAS protokolliert wurde Übertragungsstatus des Task-Logs Kurzer Kommentar zur Beschreibung des Clients (vom Administrator eingegeben)

43 Berichte (Registerkarte) Über die Registerkarte Berichte können Sie statistische Daten in Grafiken und Diagrammen aufbereiten. Neben der Möglichkeit zur grafischen Ausgabe können Sie die Daten auch zur späteren Weiterverarbeitung im.csv-format (Werte mit Trennzeichen) speichern. Standardmäßig speichert ERA die Ausgabe im HTML-Format. Die meisten Berichte zu Bedrohungen und Infektionen werden auf der Grundlage des Bedrohungs-Logs erzeugt. 1. Dashboard 45 -Templates - Templates für die Berichte im Web Dashboard. Ein Dashboard ist ein Satz von Berichten, die online über einen Webbrowser abgerufen werden können. Jeder Administrator kann sein Dashboard-Layout individuell anpassen. Doppelklicken Sie auf ein Template, um eine Vorschau des im Dashboard verwendeten Berichts anzuzeigen. 2. Bericht-Templates - Templates für statische Berichte. Im oberen Teil des Konsolenfensters sehen Sie im Bereich Bericht-Templates die Namen der bereits erstellten Templates. Zu jedem Template ist der Ausführungszeitpunkt/-turnus sowie die letzte Ausführung vermerkt. Sie können neue Templates erstellen oder die folgenden vordefinierten Templates bearbeiten: Clientübersicht - Zeigt den Schutzstatus aller Clients. Clients mit aktiven Bedrohungen - Zeigt die Clients mit aktiven (d. h. beim Scan nicht entfernten) Bedrohungen sowie Informationen zu diesen Bedrohungen. Sammelbericht - Angriffe über das Netzwerk - Zeigt einen umfassenden Sammelbericht zu Angriffen über das Netzwerk. Sammelbericht - SMS - Zeigt einen umfassenden Sammelbericht zu Spam-SMS. Sammelbericht - Spam - Zeigt einen umfassenden Sammelbericht zu Spam-Mails. Sammelbericht - Bedrohungen - Zeigt einen umfassenden Sammelbericht zu allen gefundenen Bedrohungen. Übersicht "Benutzerdefinierte Infos" - Zeigt einen umfassenden Bericht mit benutzerdefinierten Informationen zu den Clients (Inhalt muss zunächst definiert werden). Clients mit den meisten Problemen - Zeigt die Clients mit den meisten Problemen (auf der Grundlage der oben stehenden Berichte). Mit einem Klick auf Standard-Templates werden die vordefinierten Templates auf ihren ursprünglichen Zustand zurückgesetzt. Auf benutzerdefinierte Templates wirkt sich dies nicht aus. Optionen Unabhängig vom festgelegten Intervall können Sie einen Bericht jederzeit auf Abruf erstellen, indem Sie auf der Registerkarte Optionen auf Jetzt erstellen klicken. Wählen Sie den Ausgabetyp im Dropdownmenü neben dieser Option aus. Damit legen Sie den Dateityp des generieren Berichts fest (HTML, ZIP oder PDF). Bericht Typ - Typ des Berichts auf der Grundlage der vordefinierten Templates. Bei vordefinierten Templates kann diese Angabe geändert werden, bei benutzerdefinierten Templates wählen Sie sie neu aus. Mit einem Klick auf... (neben dieser Option) sehen Sie die Berichte, die für den benutzerdefinierten Sammelbericht verwendet werden können. Stil - Mit diesem Dropdown-Menü können Sie die Farbe und das Layout des Berichts ändern. Filter Clients - Geben Sie hier an, ob der Bericht sämtliche Daten umfassen soll (Option Alle) oder nur bestimmte Daten (Nur ausgewählte Clients/Server/Gruppen). Mit der Option Ohne ausgewählte Clients/Server/Gruppen können Sie auch bestimmte Objekte ausschließen. Die gewünschten Clients/Server/Gruppen geben Sie über die Schaltfläche... neben der Dropdown-Liste Clients im Dialogfenster Hinzufügen/Entfernen an. Bedrohung - Hier legen Sie fest, welche Bedrohungen der Bericht umfassen soll: Alle oder Nur ausgewählte Bedrohungen. Auch hier können Sie mit der Option Ohne ausgewählte Bedrohungen bestimmte Bedrohungen ausschließen. Die gewünschten Bedrohungen geben Sie über die Schaltfläche... neben dieser Dropdown-Liste im 43

44 Dialogfenster Hinzufügen/Entfernen an. Mit einem Klick auf Weitere Einstellungen können Sie zusätzliche Details festlegen. Hauptsächlich beziehen sich diese auf die Daten im Berichtkopf sowie die Art der verwendeten Diagramme. Sie können hier jedoch auch die Daten nach dem Status ausgewählter Attribute filtern und festlegen, welches Berichtformat verwendet wird (.html,.csv). Zeitraum Laufender Zeitraum - Der Bericht enthält nur die Ereignisse, die im ausgewählten laufenden Zeitraum aufgetreten sind. Wenn Sie zum Beispiel am Mittwoch einen Bericht für die laufende Woche erstellen, enthält er die Ereignisse von Sonntag (Wochenanfang) bis Mittwoch. Abgeschlossener Zeitraum - Der Bericht enthält nur die Ereignisse, die im ausgewählten abgeschlossenen Zeitraum aufgetreten sind (z. B. im gesamten August oder in einer vollen Woche vom Sonntag bis zum folgenden Samstag). Wenn Sie die Option Auch laufenden Zeitraum einbeziehen aktivieren, enthält der Bericht außerdem auch die Ereignisse zwischen dem Abschluss des betreffenden Zeitraums und der Erstellung des Berichts. Beispiel: Nehmen wir an, Sie möchten einen Bericht mit den Ereignissen der vergangenen Kalenderwoche (von Sonntag bis Samstag) erstellen. Der Bericht soll am Mittwoch der darauffolgenden Woche erstellt werden. Wählen Sie auf der Registerkarte Zeitraum die Option Abgeschlossener Zeitraum und geben Sie 1 Woche an. Deaktivieren Sie das Kontrollkästchen Auch laufenden Zeitraum einbeziehen. Setzen Sie auf der Registerkarte Taskplaner das Intervall auf Woche und wählen Sie Mittwoch. Die restlichen Einstellungen können Sie je nach Bedarf einrichten. Von/Bis - Verwenden Sie diese Einstellung, um einen exakten Berichtzeitraum festzulegen. Taskplaner Intervall - Hier können Sie einrichten, dass der Bericht automatisch zu einem bestimmten Zeitpunkt oder in einem festgelegten Intervall ausgeführt wird. Nachdem Sie den Ausführungszeitpunkt eingerichtet haben, klicken Sie auf Ziel auswählen, um festzulegen, wo der Bericht gespeichert werden soll. Berichte können in ERAS gespeichert (Standardeinstellung), per an eine bestimmte Adresse geschickt oder in einen Ordner exportiert werden. Die letzte Option eignet sich beispielsweise, um einen Bericht auf einer Freigabe im Intranet zu speichern, um ihn auch anderen Mitarbeitern zugänglich zu machen. Wenn Sie diese Option verwenden, können Sie den Ausgabetyp auswählen (HTML, ZIP oder PDF). Im Ordnerpfad können Sie Variablen (%) verwenden, Die Groß-/Kleinschreibung der Variablen muss nicht beachtet werden. Mit den Variablen können benutzerdefinierte Informationen zum generierten Bericht hinzufügt werden. Wenn der Ordnerpfad mit "\" endet, werden die Berichte direkt in diesen Ordner geschrieben. Vorhandene Daten werden überschrieben. Die folgenden Variablen werden unterstützt: Variable Beschreibung %INTERVAL% Zeitraum, für den der Bericht erstellt wird, gemäß dem Rückgabewert von CReport::GetIntervalString(INTERVALSTRING_FOLDER) %DATE% Aktuelles Datum im Format JJJJ-MM-TT %TIME% Aktuelle Uhrzeit im Format HH-MM-SS %DATETIME% Datum und Uhrzeit im Format JJJJ-MM-TT HH-MM-SS %TIMESTAMP% Datum und Uhrzeit als Unixzeit, achtstellig hexadezimal %RND4% Vierstelliger Hex-Zufallswert (eindeutige Werte können nicht garantiert werden, daher nicht empfohlen) %DDATE% Datum im kompakten Format (JJJJMMTT) %DTIME% Uhrzeit im kompakten Format (HHMMSS) %YEAR%, %MONTH%, %DAY%, %HOUR%, %MINUTE%, % Datums- und Uhrzeitbestandteile in Zahlenform (Jahr SECOND% vierstellig, alle anderen zweistellig) 44

45 %COUNTER% Fünfstelliger Dezimalzähler, Zählung beginnt bei 1 %COUNTER1%, %COUNTER2%, %COUNTER3%, % COUNTER4%, %COUNTER5% Dezimalzähler mit 1 bis 5 Stellen, Zählung beginnt bei 1 %CCOUNTER% Fünfstelliger konditionaler Dezimalzähler (gibt bei der ersten Iteration nichts zurück, bei der zweiten Iteration "00002") %CCOUNTER1%, %CCOUNTER2%, %CCOUNTER3%, % CCOUNTER4%, %CCOUNTER5% Konditionaler Dezimalzähler mit 1 bis 5 Stellen %UCOUNTER% Fünfstelliger Dezimalzähler mit Unterstrich (gibt bei der ersten Iteration nichts zurück, bei der zweiten Iteration "_00002") %UCOUNTER1%, %UCOUNTER2%, %UCOUNTER3%, % UCOUNTER4%, %UCOUNTER5% Dezimalzähler mit Unterstrich, 1 bis 5 Stellen %% Prozentzeichen Wenn Sie beispielsweise als Pfad C:\Berichte\%INTERVAL%_%COUNTER%" eingeben, werden die Ordnernamen C: \Berichte\Tag _00001; C:\Berichte\Day _00002 usw. erzeugt. Für den -Versand von Berichten müssen Sie zunächst den SMTP-Server und die Absenderadresse einrichten (über Extras > Serveroptionen > Sonstige Einstellungen). 3. Erstellte Berichte - Bereits erstellte Berichte können Sie über die Registerkarte Erstellte Berichte anzeigen. Für weitere Optionen wählen Sie einen oder mehrere Berichte aus und drücken die rechte Maustaste, um das Kontextmenü zu öffnen. Sie können die Berichte nach Berichtname, Datum der Erstellung, Template-Name und Speicherort sortieren. Um einen Bericht aus der Liste zu öffnen, doppelklicken Sie darauf oder klicken auf Öffnen. Im unteren Bereich wird eine Vorschau des gerade ausgewählten Berichts angezeigt, sofern diese Option aktiviert ist. Wenn Sie ein Template in die Liste Favoriten aufnehmen, können Sie später schnell darauf zugreifen, um einen neuen Bericht zu erzeugen. Um ein Template in die Favoritenliste aufzunehmen, klicken Sie mit der rechten Maustaste auf den Bericht und wählen im Kontextmenü Zu Favoriten hinzufügen Dashboard Ein Dashboard ist ein Satz von Berichten, die automatisch mit neuen Daten aktualisiert werden und einen umfassenden Überblick über den Systemstatus liefern. Jeder Benutzer mit Zugriffsrechten für ERAC und einem Anmeldekonto hat einen eigenen Satz von anpassbaren Dashboards. Die Dashboard-Einstellungen werden direkt auf dem Server gespeichert, der Benutzer kann seine persönlichen Dashboards also über einen beliebigen Browser abrufen. Die Dashboard-Funktion verwendet standardmäßig den ERA-HTTP-Server über Port 443. Der Port und die Zertifikate (für HTTPS) können in der ERA Console unter Serveroptionen/Erweitert geändert werden. Das Dashboard und die Dashboard-Verbindungsoptionen können auch über die Symbolleiste im ERAC-Hauptfenster aufgerufen werden (blaues Wolkensymbol). HINWEIS: Der Administrator muss ein Template für jeden Bericht erstellen, der in einem Dashboard verwendet werden soll. Anderenfalls werden die Daten in den Berichten eventuell nicht korrekt angezeigt. HINWEIS: Standardmäßig wird das Dashboard per HTTPS mit einem selbstsignierten Zertifikat aufgerufen. Dies kann dazu führen, dass im Webbrowser die folgende Warnung angezeigt wird: Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt. Beachten Sie bitte auch, dass bei der Verwendung von HTTP die Benutzernamen und Passwörter unverschlüsselt übertragen werden. Dies kann gerade bei der Verwendung von Windows-/Domänenkonten ein Sicherheitsrisiko darstellen. Bei der Installation kann automatisch ein selbstsigniertes Zertifikat erzeugt werden. Einige Browser zeigen eventuell eine Warnung an, wenn Sie das Dashboard über ein solches selbstsigniertes Zertifikat aufrufen. Bei einer benutzerdefinierten Installation oder später im ESET-Konfigurationseditor können Sie auch ein eigenes Zertifikat 45

46 angeben. Dieses Zertifikat kann entweder von einer vertrauenswürdigen Zertifizierungsstelle oder von ihrer eigenen Stammzertifizierungsstelle signiert worden sein. Für das X.509-Zertifikat und den privaten Schlüssel werden die folgenden Formate unterstützt: ASN - DER-codiertes ASN.1-Zertifikat und Schlüssel in separaten Dateien PEM - Base64-codiertes ASN-Zertifikat mit zusätzlichen Headern, Zertifikat und Schlüssel in separaten Dateien PFX - Zertifikat und privater Schlüssel in gemeinsamer Containerdatei Zertifikat und Schlüssel müssen dasselbe Format haben. Sie können das Protokoll auf HTTP ändern, indem Sie im ERAC-Hauptfenster auf das Symbol Dashboard (blaues Wolkensymbol) klicken und dann Konfigurieren wählen. Mit dem ESET-Konfigurationseditor können Sie alternativ auch Ihr eigenes Zertifikat definieren (PEM-Dateiformat, X.509, Base64-Codierung). Hierfür rufen Sie den folgenden Bereich auf: Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > Remote Administrator > ERA Server > Einstellungen > Dashboards > Schlüssel des lokalen Zertifikats/Lokales Zertifikat. HINWEIS: Das Dashboard unterstützt auch den Zugriff per IPv6. Beispiel: Ein Satz vordefinierter Templates für das Dashboard wird mitgeliefert (siehe unten). Alternativ können Sie ein benutzerdefiniertes Template erstellen. 46

47 Übersicht Spam-Schutz-Aktionen - Zeigt eine Übersicht sämtlicher Spam-Schutz-Aktivitäten. Spam-Score-Zusammensetzung - Zeigt die Zusammensetzung des Spam-Scores und die Anzahl der bewerteten Nachrichten. Übersicht Clientverbindungen - Zeigt eine Übersicht zu den Clientverbindungen mit Zeitpunkt und Status der jeweiligen Verbindung. Übersicht "Benutzerdefinierte Infos 1" für Clients - Zeigt einen umfassenden Bericht mit benutzerdefinierten Informationen zu den Clients (Inhalt muss zunächst definiert werden). Übersicht "Benutzerdefinierte Infos 2" für Clients - Zeigt einen umfassenden Bericht mit benutzerdefinierten Informationen zu den Clients (Inhalt muss zunächst definiert werden). Übersicht "Benutzerdefinierte Infos 3" für Clients - Zeigt einen umfassenden Bericht mit benutzerdefinierten Informationen zu den Clients (Inhalt muss zunächst definiert werden). Clients in Gruppen - Zeigt die Anzahl der Clients in den ausgewählten Gruppen. Clients in Gruppen - Anteil an Gesamtheit - Zeigt den Prozentanteil der Clients in den ausgewählten Gruppen an der Gesamtzahl der Clients. Clients mit aktiven Bedrohungen - Zeigt die Clients mit aktiven (d. h. beim Scan nicht entfernten) Bedrohungen sowie Informationen zu diesen Bedrohungen. Übersicht Greylist-Aktionen - Zeigt alle vom Greylisting betroffenen Nachrichten mit der jeweils ausgeführten Aktion. Verwaltete und nicht verwaltete Computer - Zeigt die Computer, die momentan Verbindungen zum ERA Server aufbauen (verwaltete Computer), und die Computer, bei denen dies nicht der Fall ist (nicht verwaltete Computer). Als Grundlage wird der Standard-Suchtask verwendet. Betriebssystem-Übersicht - Zeigt die Betriebssysteme auf den Clients nach Anzahl und Typ. Produktübersicht - Zeigt die Security-Produkte auf den Clients nach Anzahl und Typ. Schutzstatus-Übersicht - Zeigt die Anzahl der Clients mit dem jeweiligen Schutzstatus. SMS-Spam - Verlauf - Zeigt den Verlauf von SMS-Spam. Server-Datenbanklast - Zeigt, wie lange die Datenbank insgesamt von den verschiedenen Threads verwendet wurde. Server-Datenbankabfragen - Zeigt die Anzahl der SQL-Abfragen an die Datenbank. Server-Hardwarelast - Zeigt die CPU- und RAM-Auslastung des Serverrechners. Server-Statusüberwachung - Zeigt den Serverstatus sowie Informationen zum Signaturdatenbank-Update. Verlauf der Bedrohungen im Vergleich - Ausbreitungsverlauf bestimmter Malware (ausgewählt über Filter) im Vergleich zu allen Bedrohungen Verlauf der Bedrohungen - Ausbreitungsverlauf von Malware (Anzahl der Fälle) Bedrohungen nach Objekten - Anzahl der Bedrohungswarnungen nach der jeweiligen Angriffsstelle ( s, Dateien, Systembereiche) Bedrohungen nach Scanner - Anzahl der Bedrohungswarnungen von den einzelnen Programmmodulen Clients mit am längsten vergangener Verbindung - Zeigt eine nach dem letzten Verbindungsdatum sortierte Clientliste. Clients mit den meisten Angriffen über das Netzwerk - Zeigt die Clients mit den meisten Angriffen über das Netzwerk. Clients mit den meisten Spam-SMS - Zeigt die Clients mit den meisten Spam-SMS. Clients mit dem meisten Spam - Zeigt die Clients mit dem meisten Spam. Clients mit den meisten Bedrohungen - Zeigt die "aktivsten" Client-Arbeitsplatzrechner (gemessen an der Anzahl der erkannten Bedrohungen). Empfänger mit den meisten Greylist- s - Zeigt die Empfänger mit den meisten Greylist- s. Absender mit den meisten Greylist- s - Zeigt die Absender mit den meisten Greylist- s. Häufigste Angriffe über das Netzwerk - Zeigt die häufigsten Angriffe über das Netzwerk. Häufigste Quellen für Angriffe über das Netzwerk - Zeigt die häufigsten Quellen für Angriffe über das Netzwerk. Größte SMS-Spammer - Zeigt die größten SMS-Spammer für die ausgewählten Zielobjekte. Empfänger mit dem meisten Spam - Zeigt die Empfänger mit den meisten Spam-Nachrichten. Größte Spam-Versender - Zeigt die Absender mit den meisten Spam-Nachrichten. Häufigste Bedrohungen - Zeigt die am häufigsten erkannten Bedrohungen. Bedrohungen mit der größten Verbreitung - Zeigt die Bedrohungen mit der größten Verbreitung. Benutzer mit den meisten Bedrohungen - Zeigt die "aktivsten" Benutzer (gemessen an der Anzahl der erkannten Bedrohungen). 47

48 Nicht registrierte Computer - Zeigt alle nicht verwalteten Computer, also diejenigen Computer, die keine Verbindung zum ERA Server aufbauen. Wenn ein neuer nicht verwalteter Computer gefunden wird, sehen Sie hier auch den Zeitpunkt der Erkennung. Um ein vorhandenes Bericht-Template als.xml-datei zu importieren/exportieren, klicken Sie auf Importieren/ Exportieren.. Wenn beim Import ein Namenskonflikt auftritt (d. h. das zu importierende Template hat denselben Namen wie ein bereits vorhandenes Template), wird dieser gelöst, indem an den Namen des importierten Templates eine zufällig gewählte Zeichenfolge angehängt wird. Um die aktuell definierten Berichteinstellungen als Template zu speichern, klicken Sie auf Speichern oder Speichern unter. Wenn Sie ein neues Template erstellen, klicken Sie auf Speichern unter und geben ihm einen passenden Namen. Mit einem Klick auf Standard-Templates werden die vordefinierten Templates auf ihren ursprünglichen Zustand zurückgesetzt. Auf benutzerdefinierte Templates wirkt sich dies nicht aus. Optionen Berichtvorschau - Hiermit wird eine Vorschau des Dashboards angezeigt. Bericht Typ - Typ des Berichts auf der Grundlage der vordefinierten Templates. Bei benutzerdefinierten Templates, die auf der Grundlage eines vordefinierten Templates erstellt wurden, kann diese Angabe geändert werden. Filter Clients - Geben Sie hier an, ob der Bericht sämtliche Daten umfassen soll (Option Alle) oder nur bestimmte Daten (Nur ausgewählte Clients/Server/Gruppen). Mit der Option Ohne ausgewählte Clients/Server/Gruppen können Sie auch bestimmte Objekte ausschließen. Die gewünschten Clients/Server/Gruppen geben Sie über die Schaltfläche... neben der Dropdown-Liste Clients im Dialogfenster Hinzufügen/Entfernen an. Bedrohung - Hier legen Sie fest, welche Bedrohungen der Bericht umfassen soll: Alle oder Nur ausgewählte Bedrohungen. Auch hier können Sie mit der Option Ohne ausgewählte Bedrohungen bestimmte Bedrohungen ausschließen. Die gewünschten Bedrohungen geben Sie über die Schaltfläche... neben dieser Dropdown-Liste im Dialogfenster Hinzufügen/Entfernen an. Mit einem Klick auf Weitere Einstellungen können Sie zusätzliche Details festlegen. Hauptsächlich beziehen sich diese auf die Daten im Berichtkopf sowie die Art der verwendeten Diagramme. Sie können hier jedoch auch die Daten nach dem Status ausgewählter Attribute filtern und festlegen, welches Berichtformat verwendet wird (.html,.csv). Zeitraum Zeitraum - Hier legen Sie den Zeitraum fest, den der Bericht umfassen soll (Letzte X Minuten/Stunden/Tage/ Wochen/Monate/Jahre). Bezugsgrundlage ist die Meldung des jeweiligen Vorfalls an ERA. Aktualisieren Browser-Aktualisierungsintervall - Geben Sie an, in welchem Zeitintervall neue Daten vom Webserver angezeigt werden sollen. Server-Aktualisierungsintervall - Geben Sie an, in welchem Zeitintervall Daten an den Webserver gesendet werden sollen Liste der Dashboard-Webserver Klicken Sie im Hauptmenü auf den Pfeil neben dem Dashboard-Symbol, um die Verbindungsoptionen für die Dashboard-Webserver zu konfigurieren. Dashboard-Webserver - Liste der verfügbaren Dashboard-Webserver Entfernen - Entfernt den ausgewählten Dashboard-Webserver aus der Liste. Als Standard festlegen - Legt den ausgewählten Dashboard-Webserver als Standard fest. Dieser Webserver erscheint dann als erster Server im Dropdown-Menü (erreichbar über den Pfeil neben dem Dashboard-Symbol) und wird beim Klicken auf das Dashboard-Symbol automatisch aufgerufen. 48

49 Protokoll - Hier können Sie zwischen HTTP und HTTPS mit einem selbstsignierten Zertifikat wählen. Hostname/IP-Adresse - Hier wird der Hostname bzw. die IP-Adresse des ausgewählten Dashboard-Webservers angezeigt. Sie können einen neuen Hostnamen oder eine IP-Adresse eingeben und dann auf Hinzufügen/ Speichern klicken, um die Daten zu speichern und den Dashboard-Webserver zur Liste hinzuzufügen. Kommentar - Hier können Sie optional einen Kommentar oder eine Beschreibung für den ausgewählten Dashboard-Webserver eingeben. HINWEIS: Das Dashboard unterstützt auch den Zugriff per IPv6. Beispiel: Beispielszenario für die Berichtfunktionen Um ein durchgängig hohes Sicherheitsniveau auf Ihren Clients zu gewährleisten, brauchen Sie einen guten Überblick über den Sicherheitsstatus in Ihrem Netzwerk. Hierzu können Sie komfortabel und unkompliziert Berichte mit ausführlichen Informationen zu Bedrohungen, Updates, Client-Produktversionen usw. erstellen (nähere Informationen siehe Abschnitt Berichte 43 ). In der Regel liefert Ihnen ein wöchentlicher Bericht alle nötigen Informationen. In manchen Situationen ist jedoch eventuell erhöhte Wachsamkeit gefordert, etwa nachdem eine Bedrohung erkannt wurde. Um die Berichtfunktionen an einem Beispiel zu illustrieren, werden wir eine parametrische Gruppe namens Quarantäne erstellen. Diese Gruppe soll nur Computer enthalten, auf denen beim letzten On-Demand-Scan eine Bedrohung erkannt und entfernt wurde. Definieren Sie diese Bedingung, indem Sie das Kontrollkästchen HAT Bedrohung bei letztem Scan gefunden aktivieren. Zum Erstellen dieser parametrischen Gruppe gehen Sie wie im Abschnitt Parametrische Gruppen 94 beschrieben vor. HINWEIS: Achten Sie beim Erstellen der Gruppe Quarantäne darauf, dass die Option Permanent deaktiviert bleibt. So werden die Computer der Gruppe dynamisch zugewiesen und wieder entfernt, sobald die Bedingung nicht mehr erfüllt ist. Erstellen Sie den Bericht Quarantäne-Computer. Hierzu gehen Sie wie im Abschnitt Berichte 43 beschrieben vor. Verwenden Sie für unser Beispiel die folgenden Einstellungen: Einstellungen auf der Registerkarte Optionen: Typ: Quarantänebericht mit Details Stil: Blue Scheme Clients: Nur ausgewählte Gruppen Bedrohung: entfällt Einstellungen auf der Registerkarte Zeitraum: Laufender Zeitraum: Tag Einstellungen auf der Registerkarte Taskplaner: Intervall: Alle: Tage 1 Tage TIPP: Sie können die Ergebnisse in der Berichtdatenbank speichern oder einen Ordner festlegen, in dem die fertigen Berichte abgelegt werden sollen. Außerdem können die Berichte per verschickt werden. All diese Einstellungen stehen Ihnen über die Schaltfläche Ziel auswählen zur Verfügung. Die erstellten Berichte können Sie auf der Registerkarte Erstellte Berichte einsehen. Zusammenfassung: Wir haben die parametrische Gruppe Quarantäne erstellt, die alle Computer enthält, bei denen im letzten On-Demand-Scan eine Bedrohung erkannt wurde. Als nächstes haben wir einen regelmäßig ausgeführten Bericht erstellt, der uns jeden Tag darüber informiert, welche Computer der Gruppe Quarantäne angehören. So erhalten wir einen guten Überblick über den Status unserer Clients und können mögliche Bedrohungen unter Kontrolle halten. TIPP: Um ausführliche Log-Informationen zu den letzten Scans zu erhalten, können Sie den Bericht Scanbericht mit Details verwenden. 49

50 Remoteinstallation (Registerkarte) Diese Registerkarte enthält verschiedene Methoden für die Remoteinstallation von ESET Endpoint Security oder ESET Endpoint Antivirus auf Clients. Ausführliche Informationen finden Sie im Kapitel Remoteinstallation Zur Suche nach Computern können Sie entweder den Standard-Suchtask verwenden oder einen neuen erstellen. Klicken Sie auf Hinzufügen..., um den Assistenten für Netzwerk-Suchtasks 51 zu starten und einen neuen Suchtask zu erstellen. Zum Ausführen eines Suchtasks klicken Sie auf Ausführen. Klicken Sie mit der rechten Maustaste auf einen Task und anschließend auf Bearbeiten, um einen vorhandenen Suchtask zu bearbeiten. 2. Sie können die Suchergebnisse mit dem Tool Filter für Suchergebnisse im unteren Bereich filtern. Dies wirkt sich nicht auf den eigentlichen Suchtask aus. Weitere Suchkriterien im Dropdownmenü: Alle- Zeigt alle Computer an, die für ERAS sichtbar sind. Nicht registriert / Neu - Zeigt Computer an, die nicht in der Registerkarte Clients von ERA Console aufgelistet sind. Verwaltet mit Warnung wegen überfälliger Verbindung - Zeigt Computer an, die in der Registerkarte Clients von ERA Console aufgelistet sind und die sich seit einiger Zeit (Standard: 3 Tage) nicht verbunden haben. Dieses Zeitintervall kann unter Tools > Konsolenoptionen... > Farben > Clients: Letzte Verbindung > Diese Farben werden verwendet, wenn die letzte Verbindung länger her ist als konfiguriert werden. Computer von Ausschlussliste ausblenden - Diese Option ist standardmäßig aktiv. Computer, die in der vom Administrator erstellten Ausschlussliste enthalten sind, werden nicht angezeigt. Sie können Computer zur Ausschlussliste hinzufügen, indem Sie diese mit der rechten Maustaste anklicken und die Option Zur Ausschlussliste hinzufügen... auswählen.. Sie können die Ausschlussliste auch bearbeiten, indem Sie auf die Schaltfläche Ausschlussliste... klicken und die gewünschten Änderungen im Fenster Ausschlussliste für Remoteinstallation vornehmen. 3. Die Suchergebnisse für den aktuellen Suchtask werden im Bereich Computer angezeigt. Dort können Sie Installationspakete verwalten 52, indem Sie auf Paket-Manager... klicken und eine Remote-Pushinstallation über die Schaltfläche Neuer Installationstask... ausführen

51 Das Kontextmenü (Rechtsklick) der Registerkarte Computer enthält die folgenden speziellen Optionen zusätzlich zu den allgemeinen Optionen im Kontextmenü von ERA Console: Zur Ausschlussliste hinzufügen - Fügt die ausgewählten Computer zur Ausschlussliste hinzu WMI-Informationen... - Zur Angabe von WMI-Anmeldeinformationen für ausgewählte Computer. Eigenschaften - Öffnet das Fenster Eigenschaften, in dem Sie alle wichtigen Informationen über einen ausgewählten Computer finden. Informationen zu den anderen Optionen im Kontextmenü finden Sie im Kapitel Kontextmenü Assistent für Netzwerk-Suchtask Ein Suchtask ist eine Reihe von Parametern für die Suche nach Computern in Ihrem Netzwerk. Die erstellten Suchtasks werden direkt auf dem Server gespeichert und stehen dadurch allen Administratoren zur Verfügung. Sie können den vordefinierten Standard-Suchtask verwenden, der regelmäßig (oder auf Wunsch manuell) ausgeführt wird und das gesamte Netzwerk durchsucht. Die Suchergebnisse dieses Tasks werden auf dem Server gespeichert. Sie können den Task auch bearbeiten. Nach dem Start kann er aber bis zum Abschluss nicht abgebrochen werden. Bei benutzerdefinierten Tasks werden die Parameter auf dem Server gespeichert, die Suchergebnisse jedoch nur auf der Konsole, von der aus die Tasks ausgeführt wurden. Benutzerdefinierte Suchtasks können nur manuell gestartet werden. Klicken Sie auf Hinzufügen..., um das Fenster Assistent für Netzwerk-Suchtask: Suchmethoden zu öffnen, das verschiedene Methoden für die Suche im Netzwerk enthält (Sie können mehrere Suchmethoden auswählen): Active Directory / LDAP - Mit dieser Option können Sie auswählen, in welchen Active Directory-Zweigen nach Computern gesucht wird, und Sie können Auch deaktivierte Computer suchen. Windows-Netzwerkfunktionen (WNet) - Sucht nach den Computern in Ihrem Windows-Netzwerk. Shell - Sucht nach allen Computern in der Windows-Netzwerkumgebung. IP-Adresse- Geben Sie einen IP-Bereich oder eine IP-Maske für die Suche ein, oder definieren Sie eine Benutzerdefinierte IP-Adressliste. Die Computer werden ermittelt, indem geprüft wird, ob ein Zugriff auf bestimmte (konfigurierbare) Ports möglich ist. Sie können hierzu auch einen Ping-Befehl verwenden, was sich insbesondere bei Linux-Computern empfiehlt. Benutzerdefinierte Computerliste - Definieren Sie eine eigene Liste mit Computern, oder importieren Sie eine Liste aus einer *.txt-datei über die Schaltfläche Aus Datei importieren... Außerdem können Sie die Option Weitere Informationen zu gefundenen Computern per WMI abfragen auswählen. Klicken Sie auf Weiter. Im nächsten Bildschirm können Sie auswählen, ob der ausgewählte Suchtask vorübergehend (deaktivieren Sie das Kontrollkästchen In Suchtasks speichern) oder dauerhaft (die Standardoption) im Bereich Suchtasks gespeichert werden soll, und ob der Task sofort ausgeführt werden soll, nachdem Sie auf Abschließen klicken (die Standardoption) oder nicht (deaktivieren Sie das Kontrollkästchen Jetzt ausführen). Sie können später jederzeit in der Registerkarte Remoteinstallation auf Ausführen klicken, um Tasks später auszuführen. HINWEIS: Falls der Dienst unter dem lokalen Systemkonto ausgeführt wird, können mit der Shell- und der WnetSuche keine Computer gefunden werden. Dies liegt daran, dass dem lokalen Systemkonto die Berechtigungen für eine solche Suche fehlen. Um dieses Problem zu umgehen, verwenden Sie entweder ein anderes Konto oder eine andere Suchmethode. HINWEIS: Falls Sie die Auswertung von IP-Bereichen und WMI-Informationen in Ihren Suchtasks beschleunigen möchten, erhöhen Sie den Wert in Maximale Anzahl an Such-Threads unter Tools > ESET Configuration Editor > Remote Administrator > ERA Server > Einstellungen > Remoteinstallation. 51

52 Paket-Manager Die Remoteinstallation wird über ERAC ausgelöst. Klicken Sie auf die Registerkarte Remoteinstallation, und wählen Sie die Registerkarte Computer aus, um Installationspakete in ERAC zu verwalten. Klicken Sie auf die Schaltfläche Paket-Manager..., um das Fenster Paket-Manager zu öffnen. Alle Installationspakete sind über einen Namen definiert (siehe (1) in der obigen Abbildung). Die restlichen Bereiche des Dialogfensters beziehen sich auf den Inhalt des Pakets, der installiert wird, nachdem das Paket auf den gewünschten Arbeitsplatzrechner übertragen wurde. Über die Liste Typ im Bereich 1 können Sie auf weitere ERA-Funktionen zugreifen. Neben der Möglichkeit zur Remoteinstallation können ESET Security-Produkte über die Option ESET Security-Produkte für Windows und NOD32 Version 2 deinstallieren auch remote deinstalliert werden. Über die Option Benutzerdefiniertes Paket können Sie außerdem eine Remoteinstallation einer externen Anwendung durchführen. Diese Möglichkeit ist sehr hilfreich, um beliebige Skripts und Programme auf dem Clientcomputer auszuführen, zum Beispiel Deinstallationsroutinen für Security-Software anderer Hersteller oder Standalone-Tools zum Entfernen bestimmter Infektionen. Sie können auch benutzerdefinierte Befehlszeilen-Parameter für die Einstiegsdatei des Pakets angeben. Nähere Informationen finden Sie im Kapitel Installation von Produkten anderer Hersteller über ERA 181. In jedes Paket wird automatisch ein ESET Remote Installer-Agent integriert, der die Installation sowie die Kommunikation zwischen dem Zielrechner und ERAS abwickelt. Dieser Agent hat den Dateinamen einstaller.exe und enthält sowohl den ERAS-Namen als auch den Namen und Typ des dazugehörigen Pakets. Die folgenden Kapitel beschreiben den Installationsagenten im Detail. Installationsdateien für ESET-Clientlösungen (2) Klicken Sie auf Hinzufügen..., um eine Quelle für das Installationspaket auszuwählen. Sie haben 2 Optionen: 52

53 1. Klicken Sie auf die Schaltfläche "...", um ein Installationspaket lokal auszuwählen 2. Verwenden Sie die Option Web-Download (empfohlen). Daraufhin wird im Bereich Download eine Liste von Paketen angezeigt. Wählen Sie die Sprache aus, klicken Sie auf das gewünschte Paket, und wählen Sie einen Zielordner aus, um den Download zu starten. Hinweis: Für Pakete vom Typ ESET Security-Produkte für Windows sollte das Kontrollkästchen neben 32-Bit-Paket für 64-Bit-Systeme verwenden nur für die Installation markiert werden, z. B. ESET Remote Administrator Server oder Konsole. Für die Installation "echter" ESET Security-Produkte (z. B. ESET Endpoint Security oder ESET Endpoint Antivirus) macht dieser Parameter keinen Sinn, da auf 64-Bit-Systemen auch die 64-Bit-Version des jeweiligen Produkts installiert erden muss (Die Installation von 32-Bit-Produkten wird mit einem Fehler abgebrochen). Speicherort des Pakets (3) Alle Installationspakete befinden sich in ERAS im folgenden Verzeichnis: %ALLUSERSPROFILE%\Anwendungsdaten\ESET\ESET Remote Administrator\Server\packages Hier können Sie einen anderen Netzwerkspeicherort für die Remoteinstallationspakete auswählen. XML-Konfigurationsdatei für ESET-Clientlösungen (4) Bei der Erstellung eines neuen Installationspakets wird das Passwort für die Verbindung zu Ihrem primären ERA Server nicht ausgefüllt. Klicken Sie auf Bearbeiten, um die.xml-konfiguration für das Paket zu bearbeiten und das Passwort (sofern erforderlich) unter Remoteverwaltung des jeweiligen Produkts festzulegen. Die Option Firewall deaktivieren ist standardmäßig aktiviert. Auf diese Weise wird die Firewall von ESET Endpoint Security deaktiviert, sodass der nächste Verbindungsversuch von ERA Server zum entsprechenden Client nicht blockiert wird. Sie können die Firewall später wieder aktivieren, in dem Sie einen Konfigurationstask 88 an den Client schicken. Dieser Konfigurationstask sucht nach dem folgenden Element: "Windows desktop v5 > Personal firewall > Einstellungen > Firewall-Systemintegration: Personal Firewall inaktiv" und verwendet den Wert Alle Optionen sind aktiv. Hinweis: Beim Ein- und Ausschalten der Option "Firewall deaktivieren" werden insgesamt zwei Einstellungseigenschaften geändert. Eine dieser Eigenschaften ist in ESET Configuration Editor sichtbar, und die andere Einstellung ist nur in der.xml-konfigurationsdatei sichtbar. Wenn eine dieser Einstellungseigenschaften nicht festgelegt ist oder keinen Wert im Bereich von 1-10 enthält, wenn Sie also z. B. Nur anwendungsspezifische Protokolle prüfen im Feld Wert auswählen, wird das Kontrollkästchen Firewall deaktivieren komplett in blau ausgefüllt. Falls Sie ein Passwort für den ERA Server konfiguriert haben (unter Tools > Serveroptionen > Sicherheit > Passwort für Clients (ESET Security-Produkte)), dann wird dieses Passwort automatisch im erstellten Paket verwendet, damit 53

54 sich die Clientcomputer mit dem ERA Server verbinden können. Wenn Sie das Passwort des ERA Server später ändern, können sich die verwalteten Clients nicht mehr mit dem Server verbinden, obwohl die Option Zugriff ohne Authentifizierung für Clients erlauben (ESET Security-Produkte) auf dem ERA Server aktiviert ist. In diesem Fall müssen Sie einen Konfigurationstask 88 auf den verwalteten Clients ausführen. Befehlszeilenparameter für das Paket (5) Der Installationsprozess kann mit verschiedenen Parametern 54 beeinflusst werden. Diese können sowohl bei einer direkten Installation (Administrator sitzt vor dem Arbeitsplatzrechner) als auch bei einer Remoteinstallation verwendet werden Befehlszeilen-Optionen Die Parameter für Remoteinstallationen werden bei der Konfiguration der Installationspakete ausgewählt. Die ausgewählten Parameter werden anschließend automatisch auf Zielclients angewendet. Zusätzliche Parameter für ESET Endpoint Security und ESET Endpoint Antivirus können auch nach dem Namen des.msi-installationspakets angegeben werden (z. B., eea_nt64_enu.msi /qn), wenn die Remoteinstallation per Befehlszeile auf dem Hostbetriebssystem ausgeführt wird: /qn - Unbeaufsichtigte Installation - keine Dialogfenster werden angezeigt. /qb! - Kein Eingreifen des Benutzers erforderlich, aber der Installationsfortschritt wird in Form eines Fortschrittsbalkens in % angezeigt. REBOOT ="ReallySuppress" - Umgeht den Neustart nach der Programminstallation. REBOOT ="Force" - Führt nach der Programminstallation automatisch einen Neustart aus. REMOVE=... - Deaktiviert die Installation der ausgewählten Komponente. Die Befehlsparameter für die einzelnen Komponenten sind wie folgt: Emon - -Schutz Antispam - Spam-Schutz Dmon - Dokumentenschutz ProtocolScan - Protokollfilterung Firewall - Personal Firewall ehttpserver - Mirrorserver für Updates edevmon - Medienkontrolle MSNap - Microsoft NAP eparental - Web-Kontrolle REBOOTPROMPT ="" - Nach der Installation wird ein Dialog angezeigt, in dem der Benutzer zur Bestätigung des Neustarts aufgefordert wird (kann nicht zusammen mit /qn verwendet werden). ADMINCFG ="Pfad_zur_xml_Datei" - Bei der Installation werden die in der angegebenen.xml-datei definierten Parameter auf ESET-Sicherheitsprodukte angewendet. Dieser Parameter ist für die Remoteinstallation nicht erforderlich. Installationspakete enthalten eine eigene.xml-konfiguration, die automatisch angewendet wird. PASSWORD="Passwort" - Verwenden Sie diesen Parameter, wenn die ESET-Produkteinstellungen auf den Clients passwortgeschützt sind. /SILENTMODE - Unbeaufsichtigte Installation - keine Dialogfenster werden angezeigt. /FORCEOLD - Installiert eine ältere Version über eine bereits vorhandene neuere Version. /CFG ="Pfad_zur_xml_Datei" - Bei der Installation werden die in der angegebenen.xml-datei definierten Parameter auf ESET-Clientlösungen angewendet. Dieser Parameter ist für die Remoteinstallation nicht erforderlich. Installationspakete enthalten eine eigene.xml-konfiguration, die automatisch angewendet wird. /REBOOT - Führt nach der Programminstallation automatisch einen Neustart aus. 54

55 /SHOWRESTART - Nach der Installation wird ein Dialog angezeigt, in dem der Benutzer zur Bestätigung des Neustarts aufgefordert wird. Dieser Parameter kann nur in Kombination mit dem Parameter SILENTMODE verwendet werden. /INSTMFC - Installiert MFC-Bibliotheken für das Microsoft Windows 9x-Betriebssystem, die für einen korrekten Betrieb von ERA erforderlich sind. Dieser Parameter kann immer angegeben werden, auch wenn die MFCBibliotheken bereits vorhanden sind. HINWEIS: Wenn UAC auf Ihren Clientlösungen aktiviert ist, verlangt die UAC-Standardeinstellung unter Windows Vista/7/2008 eine Bestätigung des Benutzers, bevor ein Programm ausgeführt werden kann. Bei der Remoteinstallation von Clientlösungen unter Verwendung der oben genannten Parameter wird unter Umständen ein Popupfenster auf dem Client angezeigt, das vom Benutzer bestätigt werden muss. Verwenden Sie den folgenden Befehl für die Installation, um Benutzerinteraktionen zu vermeiden: C:\Windows\System32\msiExec.exe -i Pfad_zur_MSI_Datei /qb! ADMINCFG="Pfad_zur_XML_Datei" REBOOT="ReallySupress", wobei C:\Windows \System32\msiExec.exe -i die ausführbare Datei der Windows Installer-Komponente ist und Pfad_zur_msi_Datei /qb! ADMINCFG="Pfad_zur_XML_Datei" REBOOT="ReallySupress" der Pfad zur Installationsdatei und der Einstellungsdatei des Sicherheitsprodukts ist, gefolgt vom Parameter zum Unterdrücken der Benutzerinteraktion. Unter Inhalt für Installationspaket erstellen/auswählen (2), können Administratoren ein StandaloneInstallationspaket mit vordefinierter Konfiguration aus einem vorhandenen Installationspaket erstellen (klicken Sie auf Speichern unter). Diese Installationspakete können manuell auf dem Clientcomputer ausgeführt werden, auf dem das Programm installiert werden soll. Die Benutzer müssen das Paket nur ausführen, und das Produkt wird ohne weitere Verbindung zu ERAS installiert. HINWEIS: Wenn Sie eine Konfiguration zur.msi-installationsdatei hinzufügen, wird die digitale Signatur der Datei automatisch ungültig. Wichtig: Unter Microsoft Windows Vista und neueren Versionen empfehlen wir dringend eine unbeaufsichtigte Remoteinstallation (Parameter /qn, /qb). Andernfalls können Benutzerinteraktionen zu Zeitüberschreitungen bei der Remoteinstallation führen. 55

56 Optionen für Installationspakete Die Parameter für Remoteinstallationen werden bei der Konfiguration der Installationspakete ausgewählt. Die ausgewählten Parameter werden anschließend automatisch auf Zielclients angewendet. Die obige Abbildung zeigt die Option, mit der Sie auswählen können, welche Teile des Pakets nicht installiert werden sollen. Alternativ können Sie zusätzliche Parameter 54 für ESET Endpoint Security und ESET Endpoint Antivirus in das Feld Benutzerdefinierte Optionen eingeben. 56

57 ESET Endpoint Antivirus Deinstallationsoptionen Um ESET Endpoint Antivirus oder genauer gesagt NOD 32 aus der Ferne zu deinstallieren, können Sie die Standardkonfiguration anpassen, indem Sie auf die Schaltfläche Bearbeiten... neben dem Feld NOD32 Version 2 im Fenster Paket-Manager klicken, nachdem Sie die Option ESET Security-Produkte und NOD32 Version 2 deinstallieren ausgewählt haben. Im Fenster Befehlszeilen-Optionen bearbeiten können Sie verschiedene Optionen auswählen, z. B. Unbeaufsichtigte Deinstallation (keine Bestätigung vom Benutzer des Zielcomputers erforderlich), Neustart (Zielcomputer wird nach der Deinstallation neu gestartet) und weitere Optionen. Die hier ausgewählten Optionen werden als Parameter in das Feld NOD32 Version 2 im Fenster Paket-Manager übertragen, wenn Sie das Fenster Befehlszeilen-Optionen bearbeiten mit der Schaltfläche OK schließen. Im Feld Benutzerdefinierte Optionen im Fenster Befehlszeilen-Optionen bearbeiten können Sie zusätzliche Befehlszeilenparameter 54 eingeben. Sie können z. B. /L*v "my_log.log" angeben, um die Deinstallations-Logs in die Datei my_log.log zu schreiben. Anschließend können Sie mit der Windows-Dateisuche nach dieser Datei suchen. Alternativ können Sie den absoluten Pfad der Datei my_log.log in das Feld Benutzerdefinierte Optionen eingeben. 57

58 ESET Endpoint Security Deinstallationsoptionen Um ESET Endpoint Security aus der Ferne zu deinstallieren, können Sie die Standardkonfiguration anpassen, indem Sie auf die Schaltfläche Bearbeiten... neben dem Feld Endpoint im Fenster Paket-Manager klicken, nachdem Sie die Option ESET Security-Produkte und NOD32 Version 2 deinstallieren ausgewählt haben. Anschließend können Sie im Fenster Befehlszeilen-Optionen bearbeiten die ausgewählten Optionen bearbeiten. Sie können z. B. den Typ Passiv für die Deinstallation auswählen (der Deinstallationsprozess wird für den Benutzer des Zielcomputers angezeigt), oder Sie können einen Neustart des Zielcomputers nach der Deinstallation erzwingen. Im Feld Benutzerdefinierte Optionen im Fenster Befehlszeilen-Optionen bearbeiten können Sie zusätzliche Befehlszeilenparameter 54 eingeben. Sie können z. B. /L*v "my_log.log" angeben, um die Deinstallations-Logs in die Datei my_log.log zu schreiben. Anschließend können Sie mit der Windows-Dateisuche nach dieser Datei suchen. Alternativ können Sie den absoluten Pfad der Datei my_log.log in das Feld Benutzerdefinierte Optionen eingeben. HINWEIS: Falls Sie "Default" für eine der Optionen ausgewählt haben, werden keine Parameter für die jeweilige Option übernommen. 58

59 Benutzerdefinierte Befehlszeilen-Optionen für Pakete Wenn Sie ein Benutzerdefiniertes Paket im Paket-Manager konfigurieren und Ihr benutzerdefiniertes Paket spezielle Parameter unterstützt, können Sie diese Parameter im Feld Argumente für Einstiegsdatei im Fenster Befehlszeilen-Optionen bearbeiten definieren. Klicken Sie auf die Schaltfläche Bearbeiten... neben dem Feld Befehlszeile für dieses Paket bearbeiten/löschen, um das Fenster Befehlszeilen-Optionen bearbeiten zu öffnen. Falls Ihr benutzerdefiniertes Skript seine Ergebnisse in eine Datei auf dem Zielcomputer schreibt, können Sie den Namen dieser Datei im Feld Datei herunterladen (/eresult=) im Fenster Befehlszeilen-Optionen bearbeiten definieren. Anschließend kann ERA Server die Datei nach Abschluss der Installation des benutzerdefinierten Pakets herunterladen, und Sie können deren Inhalt im Internen Viewer 62 von ERA Console anzeigen. 59

60 Diagnose vor Remoteinstallation IPC$-Verbindung wird hergestellt: Der Administrator benötigt lokale Administratorrechte auf allen Clientcomputern. Die Ressourcenfreigabe muss auf dem Client installiert und aktiviert worden sein. In der Netzwerk-Firewall müssen die Ports für die Ressourcenfreigabe geöffnet sein (Ports 445 und ). Das Windows-Administratorpasswort darf nicht leer sein. Bei einer gemischten Umgebung mit Arbeitsgruppen und Domänen darf die Option "Einfache Dateifreigabe verwenden" nicht aktiviert sein. Der Serverdienst muss auf dem Clientrechner ausgeführt werden. Verbindungsaufbau zur Registry auf dem Remotecomputer (Angaben zum Betriebssystem): Der Remoteregistrierungsdienst muss auf dem Client aktiviert und gestartet worden sein. Öffnen der Registry auf dem Remotecomputer (Angaben zum Betriebssystem): Wie oben, außerdem benötigt der Administrator Vollzugriff auf die Registrierungsdatenbank des Clients. Lesen aus der Registry auf dem Remotecomputer (Angaben zum Betriebssystem): Der Administrator benötigt Vollzugriff auf die Registrierungsdatenbank des Clients. Wenn der vorhergehende Vorgang erfolgreich abgeschlossen wurde, sollte es auch bei diesem keine Probleme geben. Verbindungsaufbau zur Registry auf dem Remotecomputer (Angaben zu ESET Security-Produkten): Der Administrator benötigt Vollzugriff auf den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\ESET oder den gesamten Zweig HKEY_LOCAL_MACHINE\SOFTWARE. Öffnen der Registry auf dem Remotecomputer (Angaben zu ESET Security-Produkten): Der Remoteregistrierungsdienst muss auf dem Clientcomputer ausgeführt werden. ADMIN$-Verbindung wird hergestellt: 60

61 Die administrative Freigabe ADMIN$ muss aktiviert sein. ESET Installer wird kopiert: Die Ports 2222, 2223 und/oder 2224 müssen sowohl auf dem Server als auch in der Netzwerk-Firewall geöffnet sein. IPC$-Verbindung wird hergestellt: Wenn dieser Vorgang bei der Diagnose erfolgreich abgeschlossen wurde, sollten auch hier keine Probleme auftreten. ESET Installer wird als Dienst registriert: Stellen Sie sicher, dass Sie über ausreichende Rechte zum Ausführen von einstaller.exe auf den Zielcomputern verfügen. HINWEIS: Falls während der Diagnose ein Fehler auftritt, können Sie die damit verbundenen Informationen zur Problembehebung verwenden. Lesen Sie diesbezüglich die Kapitel zu den Anforderungen 71 vor der Installation und zu den gängigen Fehlercodes Installationsverlauf Die Registerkarte Installationsverlauf in der Registerkarte Remoteinstallation enthält eine Liste von Tasks und deren Attributen. Diese Liste enthält aktuell ausgeführte, wartende und abgeschlossene Tasks. Sie können festlegen, wie viele Einträge angezeigt werden sollen, und per Rechtsklick auf einen Task in der Liste ein Kontextmenü mit verschiedenen Verwaltungsfunktionen aufrufen. Über die Liste Anzuzeigende Einträge können Sie festlegen, wie viele Einträge pro Seite angezeigt werden. Mit den Navigationsschaltflächen neben der Liste wechseln Sie zwischen den einzelnen Seiten. Sie können die in der Registerkarte "Installationsverlauf" angezeigten Informationen filtern. Aktivieren Sie dafür zunächst im linken Fensterbereich die Option Filter verwenden. Definieren Sie anschließend Filterkriterien für die Tasks - Nur Computer mit (?,*)/Computer mit (?,*) ausschließen. Geben Sie im Feld Computername: einen Computernamen ein. Sie können Platzhalter verwenden, z. B.: "*Com*" für "Computer". Klicken Sie auf Zurücksetzen, um die Filterkriterien zurückzusetzen und den Filter zu deaktivieren. Taskname - Name des Tasks, bei vordefinierten Tasks identisch mit dem Tasktyp Tasktyp - Typ des Tasks, nähere Informationen siehe Kapitel Tasks 87 Status - Aktueller Ausführungsstatus des Tasks Beschreibung - Kurze Beschreibung der Aktion, die mit dem Task ausgeführt wird Bereitstellungsdatum - Zeit bis zur/seit der Taskausführung. Empfangen - Zeit seit/bis Zustellung des Tasks auf dem ausführenden Gerät Kommentar - Anmerkungen zum Installations-Task Durch Doppelklicken auf einen Installations-Task wird das Fenster Eigenschaften geöffnet Task erneut ausführen Wenn Sie einen Task in der Registerkarte Installationsverlauf in der Registerkarte Remoteinstallation erneut ausführen möchten, klicken Sie mit der rechten Maustaste auf den gewünschten Task (oder mehrere ausgewählte Tasks), und wählen Sie im Kontextmenü Task erneut ausführen... aus. Daraufhin wird der Assistent Task erneut ausführen geöffnet, der dem Assistenten Neuer Installationstask 50 stark ähnelt. Klicken Sie auf Weiter, um den Bildschirm Computer-Anmeldeeinstellungen zu öffnen, oder ändern Sie die auszuführenden Tasks, bevor Sie auf Weiter klicken. Für jeden erneut ausgeführten Task wird ein neuer Eintrag (Zeile) in der Registerkarte Installationsverlauf angelegt. Wenn ein Task mit dem Status Abgeschlossen mit Warnung beendet wird, können Sie auf den Task doppelklicken und anschließend im Fenster Eigenschaftenfenster zur Registerkarte Details wechseln. Das FeldStatustext enthält 61

62 weitere Informationen. Falls der Statustext abgeschnitten ist, können Sie mit dem Mauszeiger über den Text fahren, um den gesamten Text anzuzeigen Inhalt einer Ergebnisdatei anzeigen Wenn bei der Installation eines benutzerdefinierten Pakets eine Ergebnisdatei auf dem Zielcomputer erstellt wird und Sie den Namen dieser Datei bei der Konfiguration des benutzerdefinierten Pakets 59 festgelegt haben, können Sie den Inhalt dieser Datei in ERA Console anzeigen. Doppelklicken Sie dazu auf den abgeschlossenen Task in der Registerkarte Details in der Registerkarte Installationsverlauf 61, wählen Sie einen Computer aus und klicken Sie auf Anzeigen Optionen für ERA Console ERA Console kann über den Menübefehl Extras > Konsolenoptionen konfiguriert werden Verbindung Zum Zugriff auf die Einstellungen für ERA Console verwenden Sie im Hauptmenü von ERAC den Punkt Extras > Konsolenoptionen oder Datei > Verbindungen bearbeiten. Auf dieser Registerkarte wird die Verbindung von ERAC zu ERAS konfiguriert. Nähere Informationen finden Sie im Kapitel Verbindungsaufbau mit ERAS 26. Auf der Registerkarte Verbindung können Sie festlegen, zu welchem Server Sie eine Verbindung aufbauen möchten und ob diese Verbindung beim Start von ERA Console automatisch hergestellt werden soll. Es ist immer nur eine Verbindung zu einem Server gleichzeitig möglich. Um replizierte Server hinzuzufügen, müssen Sie die Replikation einrichten. Verwenden Sie hierzu den Menüpunkt Extras/Serveroptionen/Replikation 129. HINWEIS: Sie können den Port für die Verbindung zum ERA Server anpassen. Verwenden Sie dazu unter Extras > Serveroptionen die Registerkarte Sonstige Einstellungen (siehe auch das Kapitel Sonstige Einstellungen 135 ). Hinzufügen/Entfernen - Hiermit können Sie einen neuen ERA Server hinzufügen oder vorhandene Server 62

63 bearbeiten. Mit einem Klick auf diese Option wird das Fenster Verbindung bearbeiten geöffnet. Um eine neue Verbindung hinzuzufügen, geben Sie die IP-Adresse oder den Hostnamen des Servers, den Port für die Verbindung sowie optional einen Kommentar ein. Klicken Sie auf Hinzufügen/Speichern, um die Verbindung zur Serverliste im oberen Teil des Fensters hinzuzufügen. Wenn Sie einen Server auswählen, stehen weitere Optionen zur Verfügung. Sie können die ausgewählte Verbindung dann mit der Option Entfernen löschen oder sie bearbeiten, was ähnlich abläuft wie beim Erstellen einer neuen Verbindung. Mit der Option Alle entfernen können Sie auch sämtliche Verbindungen löschen. Beim Start der Konsole automatisch mit ausgewähltem Server verbinden - Bewirkt, dass beim Start der Konsole automatisch eine Verbindung zum ausgewählten ERA Server aufgebaut wird. Meldung bei fehlgeschlagener Verbindung - Bewirkt, dass bei einem Verbindungsfehler eine entsprechende Warnung angezeigt wird Spalten Auf dieser Registerkarte können Sie festlegen, welche Attribute (Spalten) auf den einzelnen Registerkarten angezeigt werden. Die hier eingestellten Spalten beziehen sich auf die benutzerdefinierte Ansicht (Registerkarte Clients 33 ). Die Anzeige in den anderen Ansichtsmodi kann nicht geändert werden. Um die Spaltenanzeige für eine Registerkarte anzupassen, klicken Sie in der Liste der Bereiche zunächst auf den Namen einer Registerkarte und aktivieren dann die Kontrollkästchen der anzuzeigenden Spalten. Bereich auswählen - Wählen Sie den Bereich/die Registerkarte aus, für den oder die Sie die Anzeigespalten ändern möchten. Anzeigespalten auswählen - Wählen Sie hier die anzuzeigenden Spalten aus. Achten Sie dabei darauf, dass einerseits alle wichtigen Informationen zu sehen sind, andererseits aber die Übersichtlichkeit gewahrt bleibt. Alle löschen - Deaktiviert alle Kontrollkästchen im Abschnitt Anzeigespalten auswählen für den ausgewählten Bereich. Alle anzeigen - Aktiviert alle Kontrollkästchen im Abschnitt Anzeigespalten auswählen für den ausgewählten Bereich. Standard - Setzt alle Kontrollkästchen im Abschnitt Anzeigespalten auswählen für den ausgewählten Bereich auf den Standardwert zurück. Alle auf Standard setzen - Setzt alle Kontrollkästchen im Abschnitt Anzeigespalten auswählen für alle Bereiche auf den Standardwert zurück Farben Auf dieser Registerkarte können Sie mit der so genannten "bedingten Hervorhebung" einzelnen Systemereignissen unterschiedliche Farben zuordnen, um Clients, bei denen ein Problem vorliegt, deutlicher sichtbar zu machen. Auf diese Weise können Sie beispielsweise Clients, auf denen die Signaturdatenbank noch einigermaßen aktuell ist (Clients: Vorgängerversion) farblich von Clients mit einer veralteten Signaturdatenbank unterscheiden (Clients: Ältere Version oder nicht verfügbar). Um einer bestimmten Spalte in einem Bereich eine Farbe zuzuordnen, wählen Sie diese zunächst in der Liste Bereich und Spalte aus. Anschließend wählen Sie die gewünschte Farbe für die Anzeige. HINWEIS: Die Farbeinstellung für die Spalte Clients: Ältere Version oder nicht verfügbar wird verwendet, wenn die Version der ESET Endpoint Security-Signaturdatenbank auf dem Client nicht hinzugefügt wurde oder älter als auf dem Server ist. Außerdem wird sie verwendet, wenn die Version des ESET Security-Produkts auf dem Server älter ist als auf dem Client oder nicht hinzugefügt wurde. Bei der Spalte Clients: Letzte Verbindung kann der Zeitraum festgelegt werden, ab dem eine farbliche Hervorhebung stattfinden soll. 63

64 3.5.4 Pfade Zum Zugriff auf die Einstellungen für ERA Console verwenden Sie im Hauptmenü von ERAC den Punkt Extras > Konsolenoptionen. Über die Registerkarte Pfade können Sie festlegen, wo die von ERA Console erstellten Berichte gespeichert werden sollen. Nähere Informationen zum Erstellen und Anzeigen von Berichten finden Sie im Kapitel Berichte 43 dieser Hilfedatei Datum/Uhrzeit Auf der Registerkarte Datum/Uhrzeit können Sie erweiterte Optionen für ERA Console konfigurieren. Außerdem können Sie hier festlegen, in welchem Format Spalten mit Datums-/Uhrzeitangaben im Fenster von ERA Console angezeigt werden. Absolute Zeitangaben - Bewirkt, dass in der Konsole absolute Zeitangaben angezeigt werden (z. B. "14:30:00"). Relative Zeitangaben - Bewirkt, dass in der Konsole relative Zeitangaben angezeigt werden (z. B. "Vor 2 Wochen"). Format aus den Gebietseinstellungen verwenden - Bewirkt, dass Zeitangaben in der Konsole gemäß der Gebietseinstellungen aus der Windows-Systemsteuerung angezeigt werden. UTC-Angaben in Ortszeit umrechnen - Aktivieren Sie dieses Kontrollkästchen, damit Zeitangaben in Ihre Ortszeit umgerechnet werden. Ansonsten werden Zeitangaben in GMT/UTC verwendet Bereiche In der Registerkarte Bereiche können Sie auswählen, welche Registerkarten/Bereiche werden. 31 in ERA Console angezeigt Wählen Sie unter Sichtbare Bereiche die Bereiche/Registerkarten aus, die im unteren Bereich von ERA Console angezeigt werden sollen und klicken Sie auf OK. Hinweise: Ausgeblendete Registerkarten werden automatisch eingeblendet, wenn Sie das entsprechende Element im Ansichtsmenü von ERA Console anklicken. Sie können Registerkarten direkt im Kontextmenü der Registerkarten/Bereiche ausblenden, indem Sie auf Registerkarte ausblenden klicken. Es ist nicht möglich, alle Registerkarten auszublenden. Mindestens eine Registerkarte muss immer sichtbar sein Sonstige Einstellungen Auf der Registerkarte Sonstige Einstellungen können Sie erweiterte Optionen für ESET ERA Console konfigurieren. 1. Filtereinstellungen Änderungen automatisch übernehmen - Wenn diese Option aktiviert ist, wird bei jeder Änderung an den Filtereinstellungen für eine bestimmte Registerkarte die Anzeige sofort aktualisiert. Ansonsten wird der neue Filter erst übernommen, wenn Sie auf Übernehmen klicken. HINWEIS: Wenn ERA Console vom Administrator-PC aus ständig mit einem ERA Server verbunden bleiben soll, sollte die Option Im minimierten Zustand auf der Taskleiste anzeigen aktiviert und die Konsole minimiert werden, wenn gerade nicht damit gearbeitet wird. Bei einem Problem erscheint das Programmsymbol im Infobereich der Taskleiste rot, um zu zeigen, dass Handlungsbedarf besteht. Bei welchen Problemsituationen dies geschieht, können Sie über die Einstellungen für die Option Infobereich-Symbol hervorheben, wenn Clients mit Problemen gefunden werden einrichten. Remote Administrator-Updates - In diesem Bereich können Sie die Suche nach neuen Versionen von ESET Remote Administrator aktivieren. Es wird empfohlen, den Standardwert beizubehalten (monatlich). Wenn eine neue Version verfügbar ist, zeigt ERA Console beim Programmstart eine entsprechende Meldung an. 2. Sonstige Einstellungen 64

65 Anzeige automatisch alle... Min. aktualisieren - Bewirkt, dass die Anzeige der Daten auf den unterschiedlichen Registerkarten im angegebenen Intervall automatisch aktualisiert wird. Gitternetzlinien anzeigen - Wenn Sie diese Option aktivieren, werden die Zellen auf den einzelnen Registerkarten durch Gitternetzlinien voneinander getrennt. Clients im Format "Server/Name" statt "Server/Computer/MAC" anzeigen - Legt das Anzeigeformat für Clienteinträge in bestimmten Dialogfenstern fest (z. B. Neuer Task). Diese Änderung wirkt sich nur auf die Darstellung aus. Symbol im Infobereich der Taskleiste anzeigen - Bewirkt, dass für ERA Console ein Symbol im Infobereich der Windows-Taskleiste angezeigt wird. Im minimierten Zustand auf der Taskleiste anzeigen - Bewirkt, dass ERA Console weiterhin in der WindowsTaskleiste erscheint, auch wenn das Programmfenster minimiert ist. Infobereich-Symbol hervorheben, wenn Clients mit Problemen gefunden werden - Mit dieser Option ändert das Symbol im Infobereich der Taskleiste seine Farbe bei bestimmten Problemsituationen. Diese Situationen können Sie über die Schaltfläche Bearbeiten definieren. Hinweis: Das Infobereich-Symbol ändert sich auch, wenn die Ausschlussliste geändert, der Standard-Suchtask abgeschlossen und Clients hinzugefügt oder gelöscht werden. Diese Änderung erfolgt nicht sofort, sondern mit einer Verzögerung von 5-15 Sekunden plus der Dauer für die Zusammenführung (normalerweise erfolgt die Zusammenführung sofort). Beim Ausführen einer Netzwerkaktion Hostname statt IP-Adresse verwenden - Beim Ausführen von Netzwerkaktionen auf einem Client (beschrieben im Kapitel Registerkarte Clients 33 ) können Sie dessen Hostnamen anstelle der IP-Adresse verwenden. Optionale Informationsmeldungen - Hiermit können Sie alle Informationsmeldungen deaktivieren (Alle deaktivieren) oder aktivieren (Alle aktivieren). Wenn diese Option aktiviert ist, sehen Sie in der Konsole ERA Console an verschiedenen Stellen blaue, unterstrichene Hinweise. Mit einem Klick auf einen solchen Hinweis können Sie Tipps zur Verwendung des Produkts aufrufen. 3.6 Anzeigemodi In ERAC haben Sie die Wahl zwischen zwei Anzeige- bzw. Zugriffsmodi: Administratormodus - Im Administratormodus können Sie in ERAC uneingeschränkt auf alle Funktionen und Einstellungen zugreifen sowie alle verbundenen Clients verwalten. Read-Only-Modus - Der Read-Only-Modus eignet sich, um den Status der ESET Clientsoftware auf den mit dem ERAS verbundenen Clients zu überwachen. Sie können in diesem Modus jedoch keine Tasks für die ClientArbeitsplatzrechner anlegen, Installationspakete erstellen oder Remoteinstallationen durchführen. Auch der Zugriff auf den Lizenz-, Policy- und Notifikations-Manager ist gesperrt. Sie können im Read-Only-Modus allerdings weiterhin die ERAC-Einstellungen bearbeiten und Berichte erstellen. Den Anzeigemodus für eine Sitzung wählen Sie beim Start der Konsole über die Liste Zugriff aus. Das Passwort für den Verbindungsaufbau zu ERAS kann für jeden der beiden Modi separat festgelegt werden. Diese Möglichkeit ist besonders praktisch, wenn bestimmte Benutzer Vollzugriff auf ERAS erhalten sollen, andere hingegen nur ReadOnly-Zugriff (Lesezugriff). Um die Passwörter einzurichten, klicken Sie auf Extras > Serveroptionen > Sicherheit. Klicken Sie anschließend auf Ändern... neben Passwort für Konsole (Administratorzugriff) oder (Lesezugriff), oder verwenden Sie den Benutzer-Manager

66 3.7 ESET Configuration Editor Der ESET Configuration Editor ist eine wichtige Komponente von ERAC und wird für verschiedene Aufgaben eingesetzt. Insbesondere dient er zum Erstellen von: Vordefinierten Konfigurationen für Installationspakete Konfigurationen, die über Tasks oder Policies an die Clients übermittelt werden Allgemeine Konfigurationsdateien im.xml-format Der Configuration Editor ist ein Teil von ERAC und besteht hauptsächlich aus den Dateien cfgedit.*. Über den Configuration Editor können Sie als Administrator viele Parameter der ESET Security-Produkte zentral aus der Ferne konfigurieren. Praktisch wird dies insbesondere für die Produkte relevant sein, die auf den ClientArbeitsplatzrechnern installiert sind. Außerdem kann ein Administrator Konfigurationen in.xml-dateien exportieren und diese Dateien später zu unterschiedlichen Zwecken einsetzen, z. B. für die Erstellung von Tasks in ERAC, zum lokalen Importieren einer Konfiguration in ESET Endpoint Security, usw. Als Struktur verwendet der Configuration Editor eine.xml-vorlage, in der die Konfiguration als Baumstruktur gespeichert wird. Diese Vorlage ist in der Datei cfgedit.exe gespeichert. Daher empfiehlt es sich, regelmäßige Updates von ERAS und ERAC durchzuführen. Warnung: Im Configuration Editor können Sie beliebige.xml-dateien bearbeiten. Achten Sie darauf, nicht die Vorlage cfgedit.xml zu ändern oder zu überschreiben. Zur ordnungsgemäßen Funktion des Configuration Editor müssen die folgenden Dateien vorhanden sein: eguihipsra.dll, eguihipsralang.dll, eguirulemanagerra.dll sowie eset.chm. 66

67 3.7.1 Arbeiten mit mehreren Konfigurationsebenen Wenn Sie einen Wert im Configuration Editor ändern, wird die betreffende Einstellung mit einem blauen Symbol versehen. Einträge mit einem grauen Symbol wurden nicht verändert und werden daher auch nicht in die.xmlausgabekonfiguration geschrieben. Bei der Übernahme einer Konfiguration auf einem Client werden nur diejenigen Änderungen übernommen, die in der.xml-datei mit der Ausgabekonfiguration gespeichert wurden ( ). Alle anderen Einträge ( ) bleiben unverändert. Auf diese Weise können Sie schrittweise mehrere Konfigurationsebenen nacheinander anwenden, ohne dass sich diese gegenseitig aufheben. Ein Beispiel können Sie der nachstehenden Abbildung entnehmen. In dieser Konfiguration werden der Benutzername EAV und das Passwort festgelegt sowie die Nutzung eines Proxyservers unterbunden. Wenn nun in einem zweiten Schritt zusätzlich die nachstehend abgebildete Konfiguration an die Clients übertragen wird, bleiben die bisherigen Änderungen mit dem Benutzernamen EAV und dem Passwort erhalten. Zusätzlich lässt die Konfiguration jedoch die Nutzung eines Proxyservers zu und definiert dessen Adresse und Port. 67

68 3.7.2 Wesentliche Konfigurationseinträge Dieser Abschnitt erläutert einige der wesentlichen Konfigurationseinträge für die Windows-Produkte der Versionen 3 und 4: Windows-Produkte Version 3 und 4 > ESET-Kernel > Einstellungen > Remote Administration Hier können Sie die Kommunikation zwischen den Clientcomputern und ERAS aktivieren (Remote Administrator Server verwenden). Geben Sie den Namen oder die IP-Adresse des ERAS-Rechners ein (Adresse des primären/ sekundären Servers). Die Einstellung Intervall für Verbindungsaufnahme zum Server sollte auf dem Standardwert 5 Minuten belassen werden. Zu Testzwecken können Sie diesen Wert auf 0 herabsetzen, was bewirkt, dass alle 10 Sekunden eine Verbindung aufgebaut wird. Falls in ERAS ein Passwort für die Verbindungsaufnahme eingerichtet ist, tragen Sie es ein. Nähere Informationen finden Sie in der Beschreibung der Option Passwort für Clients im Kapitel Sicherheit (Registerkarte) 122. Dieser Abschnitt enthält auch weitere Informationen zum Konfigurieren des Passworts. ESET-Kernel > Einstellungen > Lizenzschlüssel Auf Clientcomputern müssen keine Lizenzschlüssel hinzugefügt oder verwaltet werden. Lizenzschlüssel werden nur für Serverprodukte verwendet. ESET-Kernel > Einstellungen > ESET Live Grid Dieser Zweig steuert das Verhalten des Frühwarnsystems ESET Live Grid, über das Sie verdächtige Dateien zur Analyse an ESET weiterleiten können. Bei der Bereitstellung von ESET Lösungen in einem großen Netzwerk sind besonders die Optionen Verdächtige Dateien einreichen und Anonyme statistische Informationen einreichen wichtig. Wenn diese Einstellungen auf Nicht zur Analyse einreichen bzw. Nein gesetzt sind, wird ESET Live Grid komplett deaktiviert. Um Dateien automatisch und ohne Benutzereingriff einzureichen, wählen Sie Ohne Nachfrage automatisch einreichen bzw. Ja. Wenn die Internetverbindung über einen Proxyserver läuft, legen Sie unter ESET-Kernel > Einstellungen > Proxyserver die entsprechenden Parameter fest. Standardmäßig übermitteln die Clientprodukte verdächtige Dateien zunächst an ERAS. Von dort werden sie dann an die ESET-Server weitergeleitet. Auch in ERAS muss daher ein eventuell vorhandener Proxyserver korrekt eingerichtet sein (Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > ERA Server > Einstellungen > Proxyserver). ESET-Kernel > Einstellungen > Einstellungen mit Passwort schützen Hiermit können Sie als Administrator die Konfigurationsparameter mit einem Passwort schützen. Wenn ein Passwort gesetzt ist, ist ein Zugriff auf die Konfiguration auf den Client-Arbeitsplatzrechnern nur noch mit diesem Passwort möglich. Auf Konfigurationsänderungen, die in ERAC vorgenommen werden, hat dieses Passwort jedoch keinen Einfluss. ESET-Kernel > Einstellungen > Taskplaner Dieser Zweig enthält die Taskplaner-Einstellungen, über die Sie beispielsweise eine regelmäßige Systemprüfung o. ä. einrichten können. HINWEIS: Standardmäßig sind in allen ESET Security-Lösungen bereits einige Tasks vordefiniert (z. B. regelmäßige automatische Updates und die automatische Prüfung wichtiger Dateien beim Start). In den meisten Fällen sollte es nicht erforderlich sein, diese Tasks zu bearbeiten oder neue zu definieren. ESET-Kernel > Einstellungen > Standardwerte für Benutzeroberfläche Mit diesen Einstellungen (z. B. Startbild anzeigen ja/nein) werden lediglich die Standardeinstellungen der Clients angepasst. Benutzer auf den Clients können die Einstellungen anschließend individuell anpassen. Eine Änderung per Remoteverwaltung ist dann standardmäßig nicht mehr möglich. Um Remoteänderungen zu ermöglichen, müssen Sie die Option Benutzereinstellungen überschreiben auf Ja setzen. Die Option Benutzereinstellungen überschreiben ist nur für Clients mit ESET Security-Produkten ab der Version 4.0 verfügbar. 68

69 Module Über diesen Zweig richten Sie die Update-Profile ein. In der Regel müssen Sie nur die Einstellungen UpdateServer, Benutzername und Passwort im vordefinierten Profil Eigenes Profil anpassen. Wenn für die UpdateServer-Einstellung die Option Automatisch auswählen aktiv ist, werden alle Updates von den ESET UpdateServern heruntergeladen. In diesem Fall tragen Sie bitte den Benutzernamen und das Passwort ein, die Sie beim Kauf erhalten haben. Sie können die Client-Arbeitsplatzrechner auch so einrichten, dass Updates von einem lokalen Server (Mirror) abgerufen werden. Nähere Informationen hierzu finden Sie im Kapitel Mirror-Server 132. Nähere Informationen zur Arbeit mit dem Taskplaner finden Sie im Kapitel Taskplaner 177. HINWEIS: Auf tragbaren Geräten wie beispielsweise Notebooks können zwei Profile konfiguriert werden - eins zum Abruf von Updates über den Mirror-Server, eins zum direkten Download von den ESET-Servern. Nähere Informationen finden Sie im Kapitel Kombinierter Update-Abruf für Notebooks 179 am Ende dieses Dokuments. 69

70 4. Installation von ESET Clientlösungen Dieses Kapitel beschäftigt sich mit der Installation von ESET Clientlösungen unter Microsoft Windows. Eine solche Installation kann direkt vor Ort 70 an den Arbeitsplatzrechnern oder remote 52 über ERAS durchgeführt werden. Darüber hinaus beschreibt dieses Kapitel weitere Alternativen für die Remoteinstallation. HINWEIS: Die Remoteinstallation von ESET Produkten auf Servern ist zwar technisch möglich, wird aber nicht empfohlen. Nutzen Sie diese Funktion nach Möglichkeit nur für Arbeitsplatzrechner. Wichtig: Wenn Sie als Administrator die Microsoft-Remotedesktopverbindung für den Zugriff auf Remote-Clients verwenden, sollten Sie vor der Remoteinstallation von ESET Smart Security diesen Artikel lesen. 4.1 Direkte Installation Bei einer direkten Installation sitzt der Administrator vor Ort an dem Computer, auf dem das ESET Security-Produkt installiert werden soll. Für diese Methode ist keine weitere Vorbereitung erforderlich. Sie eignet sich für kleine Netze und für Szenarien, in denen ERA nicht verwendet wird. Deutlich vereinfachen lässt sich eine solche Installation mithilfe einer vordefinierten.xml-konfiguration. Während und nach der Installation sind dann keine weiteren Anpassungen an der Konfiguration erforderlich, etwa zum Einrichten eines Update-Servers (Benutzername/Passwort, Pfad zum Mirror-Server usw.), zum Aktivieren des "stillen Modus", für geplante Scans usw. Je nach verwendeter Version der ESET Clientlösungen (5.x, 4.x, 3.x oder 2.x) wird die.xml-konfigurationsdatei auf unterschiedliche Weise übergeben: Version 5.x: wie bei Version 4.x. HINWEIS: Sie können ESET Security-Produkte für Linux und Mac mit v.5-clients installieren. Version 4.x: Laden Sie die Installationsdatei (z. B. ess_nt32_enu.msi) von eset.com herunter und erstellen Sie im Installationspaket-Editor ein eigenes Installationspaket. Erstellen oder wählen Sie die Konfiguration, die Sie mit diesem Paket verknüpfen möchten. Klicken Sie neben dem Feld Paket für Windows NT-Systeme (xx Bit) auf Kopieren und speichern Sie das Paket im Format ESET-MSI-Installationspaket mit Konfiguration (*.msi). HINWEIS: Durch das Hinzufügen einer Konfiguration zur.msi-installationsdatei wird die digitale Signatur dieser Datei ungültig. Führen Sie außerdem auch unter der Version 4.x die für die Version 3.x genannten Schritte aus. Version 3.x: Laden Sie die Installationsdatei (z. B. ess_nt32_enu.msi) von eset.com herunter. Kopieren Sie die Konfigurationsdatei (cfg.xml) in das Verzeichnis, in dem die Installationsdatei gespeichert ist. Wenn Sie nun die Installationsdatei starten, wird automatisch die Konfiguration aus der.xml-konfigurationsdatei übernommen. Wenn die.xml-konfigurationsdatei einen anderen Namen hat oder an einem anderen Speicherort liegt, können Sie den Parameter ADMINCFG ="Pfad_zur_XML-Datei" verwenden (Beispiel: ess_nt32_enu.msi ADMINCFG ="\ \server\xml\settings.xml" für eine Konfiguration auf einem Netzlaufwerk). HINWEIS: Wenn Sie ESET Smart Security installieren, müssen Sie die Freigabe und Remote-Administration in der Personal Firewall zulassen. Anderenfalls werden die Netzwerkverbindungen zwischen diesen Clients und dem ERA Server blockiert. 70

71 4.2 Remoteinstallation Mit der Möglichkeit zur Remoteinstallation ist es nicht mehr nötig, Security-Produkte schon beim Einrichten der Clientcomputer oder später vor Ort beim Benutzer zu installieren. ERA bietet verschiedene Methoden zum Durchführen einer Remoteinstallation. Eine Remoteinstallation über ERA umfasst die folgenden Schritte: Erstellen der Installationspakete Überprüfen Sie zunächst die Voraussetzungen Erstellen Sie dann die Installationspakete für die Remoteinstallation. für die Bereitstellung auf den Clients. Verteilen der Pakete auf die Client-Arbeitsplatzrechner (per Push-Installation, Anmeldeskript, , Upgrade oder über eine externe Lösung): Überprüfen/konfigurieren Sie die Netzwerkumgebung für die Remoteinstallation. Verteilen Sie die Installationspakete auf die Clients. Hierzu gibt es mehrere Möglichkeiten: Push-Remoteinstallation Security-Produkten auf den Clients. 73. Dies ist die zuverlässigste Methode für die Remoteinstallation von Alternativ dazu ist eine Remoteinstallation per Anmeldeskript oder 75 möglich. Wenn Sie keine dieser Methoden verwenden möchten, steht Ihnen außerdem die benutzerdefinierte Remoteinstallation 78 zur Verfügung. Falls auf einigen Clients noch ältere Versionen von ESET Security-Produkten installiert sind, können Sie diese auf die neueste Version aktualisieren. Nähere Informationen hierzu finden Sie im Kapitel Clientupgrade 79. Wenn es vorkommen kann, dass auf den Clients schon die neueste Version installiert ist, sollten Sie außerdem das Kapitel zum Vermeiden wiederholter Installationen 79 lesen. In diesem Kapitel 86 finden Sie Informationen zur Installation von Paketen in großen Unternehmensumgebungen Anforderungen und Einschränkungen Für die Remoteinstallation ist ein korrekt konfiguriertes TCP/IP-Netzwerk erforderlich, das eine zuverlässige Kommunikation zwischen Client und Server ermöglicht. Für die Installation einer Clientlösung auf dem ClientArbeitsplatzrechner mithilfe von ERA gelten strengere Anforderungen als für eine direkte Installation. Für eine Remoteinstallation müssen die folgenden Voraussetzungen gegeben sein: Windows Client für Microsoft-Netzwerke ist aktiviert Dienst für die Datei- und Druckerfreigabe ist aktiviert Zugriff auf die Ports für die Dateifreigabe (445, ) ist möglich Administrative Freigabe ADMIN$ ist aktiviert Name und Passwort eines Benutzers mit Administratorrechten für die Client-Arbeitsplatzrechner ist vorhanden (Benutzername darf nicht leer sein) Einfache Dateifreigabe ist deaktiviert Serverdienst ist aktiviert HINWEIS: In neueren Microsoft Windows-Versionen (Windows Vista, Windows Server 2008 und Windows 7) werden die Berechtigungen von lokalen Benutzerkonten durch entsprechende Sicherheitsrichtlinien eingeschränkt. Bestimmte Vorgänge im Netzwerk können über dieses Konto in manchen Fällen daher eventuell nicht ausgeführt werden. Wenn der ERA-Dienst auf Ihrem System unter einem lokalen Benutzerkonto ausgeführt wird, können bei bestimmten Netzwerkkonfigurationen Probleme bei der Push-Installation auftreten (z. B. bei einer 71

72 Remoteinstallation aus einer Domäne in einer Arbeitsgruppe). Unter Windows Vista, Windows Server 2008 und Windows 7 empfiehlt es sich daher, den ERA-Dienst unter einem Konto mit ausreichenden Zugriffsrechten für das Netzwerk auszuführen. Navigieren Sie zu Start > Systemsteuerung > Verwaltung > Dienste, um das Benutzerkonto anzugeben, mit dem Sie ERA ausführen möchten. Wählen Sie den Dienst ESET Remote Administrator Server in der Liste aus, und klicken Sie auf Anmelden. ESET Remote Administrator 5 enthält diese Einstellung in der erweiterten Installation. Daher müssen Sie während der Installation Erweitert Benutzerdefinierte Installation auswählen. Wichtig: Falls Sie die Installationsmethode Window Push für Ziele mit Windows Vista, Windows Server 2008 oder Windows 7 verwenden, müssen Sie sicherstellen, dass sich ERA Server und die Zielcomputer in einer Domäne befinden. Wenn sich ERA Server und Zielcomputer nicht in einer Domäne befinden, muss die Benutzerkontensteuerung (User Access Control, UAC) auf dem Zielcomputer deaktiviert sein. Klicken Sie dazu auf Start > Systemsteuerung > Benutzerkonten > Benutzerkontensteuerung ein- oder ausschalten. Klicken Sie alternativ auf Start, geben Sie Msconfig in das Suchfeld ein, drücken Sie die Eingabetaste > Tools > Benutzerkontensteuerung deaktivieren (Neustart erforderlich). Diese Voraussetzungen sollten vor der Installation unbedingt geprüft werden, insbesondere wenn das Netzwerk mehrere Arbeitsstationen enthält: Klicken Sie in der Registerkarte Remoteinstallation auf die Registerkarte Computer, wählen Sie die gewünschten Clients aus, klicken Sie auf Neuer Installationstask, wählen Sie Windows Push und Diagnose aus, klicken Sie auf Weiter, und geben Sie die Anmeldeinformationen 78 für die ausgewählten Computer über Für alle festlegen... oder Anmeldeinformationen eingeben... ein (nachdem Sie einen bestimmten Client im Fenster ComputerAnmeldeeinstellungen ausgewählt haben). Klicken Sie anschließend auf Weiter und auf Fertig stellen. Die Remoteinstallation für Linux-/MAC-Sicherheitsprodukte wird unter Windows 2000 nicht unterstützt. Wichtig: Wenn Sie als Administrator die Microsoft-Remotedesktopverbindung für den Zugriff auf Remote-Clients verwenden, sollten Sie vor der Remoteinstallation von ESET Smart Security diesen Artikel lesen Anforderungen für die Push-Installation für Linux/Mac Stellen Sie vor Beginn einer Remoteinstallation sicher, dass alle Client-Arbeitsplätze korrekt konfiguriert sind. Linux 1. Der Computer muss eine SSH-Verbindung zum Server aufbauen können. 2. Das SSH-Konto muss über Administratorrechte verfügen, Sie müssen die Installation also mit dem root-benutzer (UID=0) oder einem Benutzer mit sudo-rechten ausführen. Mac 1. Der Computer muss eine SSH-Verbindung zum Server aufbauen können. 2. Das SSH-Konto muss über Administratorrechte verfügen, Sie müssen die Installation also mit einem Administratorbenutzer ausführen. Hinweis: ESET NOD32 Antivirus Business Edition unterstützt dieses Feature für Mac OS X und ESET NOD32 Antivirus Business Edition für Linux Desktop und alle neueren Versionen beider Plattformen WMI-Anforderungen Für die WMI-Remoteinstallation gelten die folgenden Voraussetzungen: Auf dem Zielcomputer muss WMI aktiviert und gestartet sein. WMI ist standardmäßig aktiviert. Das für die Remoteverbindung verwendete Benutzerkonto benötigt Administratorrechte. Die WMI-Verbindung muss in der Firewall auf dem Zielcomputer zugelassen sein. Port 135 muss für DCOM (Distributed Component Object Model) für eingehende Verbindungen aktiviert sein. Außerdem muss ein Port über 1024 (normalerweise ) aktiviert sein. Führen Sie den folgenden Befehl auf dem Zielcomputer aus, um die Windows-Firewall entsprechend zu konfigurieren: 72

73 netsh firewall set service RemoteAdmin enable Für die Verbindung zum Remotecomputer muss ein Domänenkonto mit lokalen Administratorrechten verwendet werden. WMI funktioniert auch mit lokalen Benutzerkonten, in diesem Fall muss jedoch auf dem Remotesystem die Benutzerkontensteuerung (User Account Control UAC) deaktiviert werden. Weitere Informationen finden Sie unter Push-Remoteinstallation Bei dieser Methode der Remoteinstallation werden die Clientlösungen im Push-Verfahren auf den Zielrechnern installiert. Hierzu müssen die Zielrechner online sein. Sofern diese Voraussetzung gegeben ist, ist die PushInstallation die effektivste Installationsmethode. Bevor Sie eine Pushinstallation beginnen, müssen Sie die.msiinstallationsdateien für ESET Endpoint Security bzw. ESET Endpoint Antivirus von der ESET-Website herunterladen und ein Installationspaket erstellen. Zusätzlich können Sie eine Konfigurationsdatei erstellen, die beim Ausführen des Installationspakets automatisch übergeben wird. Beachten Sie vor der Installation bitte auch die Hinweise im Kapitel Anforderungen 71. Führen Sie die folgenden Schritte aus, um eine Pushinstallation in der Registerkarte Remoteinstallation zu starten: 1) Wenn alle für die Remoteinstallation verfügbaren Computer in der Registerkarte Computer angezeigt werden, können Sie einen Teil oder alle Computer auswählen und eine Pushinstallation ausführen, indem Sie auf Neuer Installationstask... klicken. Daraufhin öffnet sich das Fenster Neuer Installationstask 81, in dem die Optionen Windows Push und Installation standardmäßig ausgewählt sind. Klicken Sie in diesem Fenster auf Weiter. 2) Legen Sie die Anmeldeinformationen für die Computer in der Liste fest (verwenden SieAnmeldeinformationen eingeben... um die Anmeldeinformationen für ausgewählte Computer festzulegen, oder Für alle festlegen... um die Anmeldeinformationen für alle Computer der Gruppe zu verwenden). Das verwendete Konto muss Administratorrechte besitzen. Sie können über das Feature Clients hinzufügen (mit Auswahlhilfe) weitere Clients zur Liste hinzufügen. 3) Wählen Sie das gewünschte Installationspaket 52 aus, das an die Zielcomputer verteilt werden soll. 4) Geben Sie an, wann der Task ausgeführt werden soll, und klicken Sie auf Fertig stellen. In der Registerkarte Installationsverlauf 61 können Sie den Fortschritt der Pushinstallation verfolgen. Für nähere Informationen zu den Ergebnissen der Diagnose wählen Sie den gewünschten Task aus und drücken F4. Das Dialogfenster Eigenschaften wird angezeigt. Auf der Registerkarte Details können Sie nun die Ergebnisse der Diagnose für die Remoteinstallation einsehen, indem Sie auf Alle Logs anzeigen/ausgewählte Logs anzeigen klicken. HINWEIS: Maximal können standardmäßig 20 Remoteinstallations-Threads gleichzeitig ausgeführt werden. Wenn Sie einen Remoteinstallations-Task für eine größere Anzahl von Computern absenden, werden die überzähligen Computer in eine Warteschlange eingereiht und abgearbeitet, sobald wieder Threads frei werden. Aus Leistungsgründen sollte die maximale Threadanzahl möglichst nicht erhöht werden. Sollten Sie dies jedoch trotzdem wünschen, haben Sie im Konfigurationseditor die Möglichkeit dazu (ESET Remote Administrator > ERA Server > Einstellungen > Remoteinstallation). Der weitere Ablauf der Remoteinstallation gestaltet sich wie folgt: 5) ERAS sendet den Agenten einstaller.exe über die administrative Freigabe admin$ an den Zielrechner. 73

74 6) Der Agent wird über das Systemkonto als Dienst gestartet. 7) Der Agent baut über den TCP-Port 2224 eine Verbindung zu dem ERAS auf, von dem er übermittelt wurde, und lädt das jeweilige Installationspaket herunter. 8) Der Agent installiert das Paket über das in Schritt 2 festgelegte Administratorkonto. Dabei werden eine eventuell vorhandene.xml-konfigurationsdatei sowie die festgelegten Befehlszeilenparameter berücksichtigt. 9) Direkt nach Abschluss der Installation sendet der Agent eine Nachricht zurück an ERAS. Bei einigen ESET SecurityProdukten ist ein Neustart erforderlich. Hierzu erfolgt bei Bedarf eine gesonderte Abfrage. 74

75 4.2.3 Remoteinstallation mit Anmeldung / Die Remoteinstallation per Anmeldeskript und die Remoteinstallation per ähneln sich in vielerlei Hinsicht. Der einzige Unterschied liegt in der Art, wie der Agent einstaller.exe auf die Client-Arbeitsplatzrechner übertragen wird. Dies kann bei ERA entweder über ein Anmeldeskript oder per geschehen. Der Agent einstaller.exe kann auch als Standalone-Programm verwendet und auf anderem Wege ausgeführt werden (siehe hierzu das Kapitel Benutzerdefinierte Remoteinstallation 78 ). Die Installation per Anmeldeskript eignet sich gut für Notebooks, die oft außerhalb des lokalen Netzwerks verwendet werden. In diesem Fall findet die Installation statt, sobald sich der Benutzer an der Domäne anmeldet. Während das Anmeldeskript automatisch beim Anmelden des Benutzers gestartet wird, ist für die Remoteinstallation per ein Benutzereingriff nötig. Hier muss der Benutzer den Agenten einstaller.exe aus einer -Anlage ausführen. Bei wiederholten Aufrufen wird keine erneute Installation der jeweiligen ESET Clientsoftware gestartet. Nähere Informationen finden Sie im Kapitel Vermeiden wiederholter Installationen 79. Eine Schritt-für-Schritt-Anleitung für den Export des ESET-Installers in einen Ordner oder ein Anmeldeskript und für den Versand per finden Sie in diesem Kapitel 75. Remoteinstallation von ESET Security-Produkten für Android Wichtig: Lesen Sie zunächst dieses Kapitel 101, bevor Sie hier weiterlesen. 1. Klicken Sie auf Neuer Installationstask... in der Registerkarte "Remoteinstallation" in ERA Console, wählen Sie Android aus und klicken Sie auf Weiter. 2. Klicken Sie auf die Schaltfläche... neben dem Feld Anhang und navigieren Sie zu Ihrem ESET Security-Produkt für Android (.apk-datei). Wählen Sie die Datei aus und klicken Sie auf OK. 3. Geben Sie die -Adresse des Benutzers ein, prüfen/bearbeiten Sie die Texte in den Feldern Betreff und Beschreibung und klicken Sie auf die Schaltfläche... neben dem Konfigurationslink (direkt unter dem Beschreibungsfeld). Das Fenster Konfigurationslink-Einstellungen wird geöffnet. Hier können Sie die Verbindung mit ERA konfigurieren. Hinweis: Über diesen Link wird das zu installierende ESET Security-Produkt für Android konfiguriert. (Sie können einen Link zusammen mit der Installationsdatei an den Benutzer senden oder die Datei wie in Schritt 1 beschrieben direkt senden.) 4. Die Felder Server und Port werden auf Grundlage der Informationen für den aktuellen ERA-Server automatisch ausgefüllt. Wenn die Benutzer für die Verbindung zum Server ein Passwort benötigen, geben Sie es im Feld Passwort ein. Andernfalls können Sie das Feld leer lassen. Wenn ein Passwort verwendet wird, muss die Option Aktuelle SIM als vertrauenswürdig hinzufügen ausgewählt sein. Die Option ist standardmäßig aktiviert, um zu verhindern, dass das Mobiltelefon beim Verbindungsversuch mit dem ERA-Server gesperrt wird. Diese grundlegenden Einstellungen werden an den Client gesendet. Für erweiterte Einstellungen (beispielsweise Benutzername und Passwort für Updates) muss der Client mit dem ERA-Server verbunden sein. Die Einstellungen können über eine Richtlinie 96 verteilt werden ESET Installer in Ordner/Anmeldeskript exportieren Der Aufruf des Agenten einstaller.exe kann über einen normalen Texteditor oder ein proprietäres Werkzeug ins Anmeldeskript eingefügt werden. Alternativ kann die Datei einstaller.exe als -Anlage über ein beliebiges -Programm verschickt werden. Unabhängig von der verwendeten Methode müssen Sie sicherstellen, dass Sie die korrekte einstaller.exe-datei verwenden. Zum Start von einstaller.exe muss der aktuell angemeldete Benutzer nicht unbedingt über Administratorrechte verfügen. Der Agent übernimmt die erforderlichen Administrator-Anmeldedaten (Benutzer/Passwort/Domäne) aus ERAS. Nähere Informationen finden Sie am Ende dieses Kapitels. Geben Sie den Pfad zu einstaller.exe im Anmeldeskript an 1) Wählen Sie einen Eintrag in der Registerkarte Remoteinstallation aus, klicken Sie auf Neuer Installationstask..., wählen Sie Exportieren aus und klicken Sie auf Weiter, um zum Bildschirm Exporttyp zu gelangen. 75

76 2) Der Bildschirm Exporttyp enthält die folgenden Optionen: In Ordner für Windows exportieren - Verwenden Sie diese Option, wenn Sie die Datei einstaller.exe auf Computer verteilen möchten, deren Benutzer keine Administratorrechte haben. Die Administrator-Anmeldeinformationen werden vom ERA Server abgerufen, wenn sich der Installer verbindet, es sei denn, einstaller.exe wird von einem Benutzer mit Administratorrechten ausgeführt. In Windows-Anmeldeskript exportieren - Gleiche Funktionsweise wie In Ordner für Windows exportieren, allerdings enthält der Abschlussbildschirm einen Link zum Exportverzeichnis, der in Anmeldeskripts für verwaltete Computer verwendet werden kann. WSUS-Export (Windows Server Update Services) - Mit dieser Option wird das komplette Installationspaket, das Sie im nächsten Schritt auswählen, als ausführbare *.msi-installationsdatei heruntergeladen und kann als Teil von WSUS an die verwalteten Computer verteilt werden. GPO (Gruppenpolicy-Objekt) - Mit dieser Option wird das komplette Installationspaket, das Sie im nächsten Schritt auswählen, heruntergeladen und kann per GPO an die verwalteten Computer verteilt werden. 3) Klicken Sie auf neben Ordner im Bereich Exportordner, um das Verzeichnis auszuwählen, in das die Datei einstaller.exe (bzw. der *.msi-installer) exportiert und im Netzwerk bereitgestellt werden soll (falls die Option In Windows-Anmeldeskript exportieren ausgewählt ist), und klicken Sie auf Weiter. 4) Anschließend wird der Abschlussbildschirm angezeigt. 76

77 Agent (einstaller.exe) an eine anhängen 1) Klicken Sie auf Neuer Installationstask... in der Registerkarte Remoteinstallation, wählen Sie aus und klicken Sie auf Weiter. 2) Wählen Sie Typ und Namen des gewünschten Pakets aus und klicken Sie auf Weiter. Hinweis: Falls Sie ESET-Sicherheitsprodukte vom Computer des Benutzers deinstallieren möchten, wählen Sie im Listenfeld Typ die Option ESET Security-Produkte und NOD32 Version 2 deinstallieren 3) Klicken Sie auf An, um -Adressen aus dem Adressbuch auszuwählen, oder geben Sie die gewünschten Adressen von Hand ein. 4) Geben Sie im Feld Betreff eine Betreffzeile ein. 5) Geben Sie im Feld Text eine Nachricht ein. 6) Wenn der Agent als komprimiertes.zip-archiv verschickt werden soll, aktivieren Sie die Option Als komprimiertes.zip-archiv senden. 7) Klicken Sie auf Senden, um die Nachricht abzuschicken. Während der Remoteinstallation findet eine umgekehrte Verbindung zu ERAS statt, und der Agent (einstaller.exe) übernimmt Einstellungen aus der Standardanmeldung 78, die Sie im Fenster Einstellungen 83 definiert haben (Dieses Fenster wird geöffnet, wenn Sie auf Einstellungen... im Fenster Neuer Installationstask klicken, während die Option ausgewählt ist). Das zur Installation des Pakets verwendete Benutzerkonto muss ein Administratorkonto sein oder besser noch über Domänenadministrator-Rechte verfügen. Die im Dialogfenster Standardanmeldung eingegebenen Werte bleiben nur bis zum nächsten Neustart des Serverdienstes (ERAS) gespeichert. 77

78 Standardanmeldung / Anmeldeinformationen Im Fenster Standardanmeldung bzw. Anmeldeinformationen können Sie Benutzeranmeldeinformationen und Domäneninformationen angeben, die für den Netzwerkzugriff auf Ihren Clientcomputer und die Verwaltung der installierten ESET-Produkte benötigt werden. Folgende Angaben sind erforderlich: Benutzername Passwort Domäne/Arbeitsgruppe Geben Sie die Daten ein und klicken Sie auf Anmeldedaten übernehmen (im Fenster Standardanmeldung) bzw. auf OK (im Fenster Anmeldeinformationen), um die Informationen auf dem Server zu speichern. HINWEIS: Bitte beachten Sie, dass diese Angaben auf dem Server nur bis zu dessen nächstem Neustart gespeichert werden. HINWEIS: Wenn im Dialogfenster Standardanmeldung die Meldung Die Anmeldedaten sind bereits auf dem Server gespeichert erscheint, wurden die Anmeldedaten bereits auf dem Server gespeichert. Um die gespeicherten Daten zu ändern, klicken Sie auf Überschreiben und geben dann die neuen Anmeldedaten ein Benutzerdefinierte Remoteinstallation Eine Remoteinstallation von ESET Clientlösungen muss nicht unbedingt über die entsprechenden Funktionen von ERA erfolgen. Letztendlich muss im Wesentlichen nur ein Weg gefunden werden, die Datei einstaller.exe auf die Client-Arbeitsplatzrechner zu übertragen und sie dort auszuführen. Zum Start von einstaller.exe muss der aktuell angemeldete Benutzer nicht unbedingt über Administratorrechte verfügen. Der Agent übernimmt die erforderlichen Administrator-Anmeldedaten (Benutzer/Passwort/Domäne) aus ERAS. Nähere Informationen finden Sie am Ende dieses Kapitels. Um die Datei einstaller.exe zu erhalten, gehen Sie wie folgt vor: Klicken Sie in der Registerkarte Computer (in der Registerkarte Remoteinstallation) auf die Schaltfläche Neuer Installationstask..., wählen Sie Exportieren aus und klicken Sie auf Weiter. Wählen Sie In Ordner für Windows exportieren aus und klicken Sie auf Weiter. Wählen Sie Typ und Name des zu installierenden Pakets aus. Klicken Sie auf neben Ordner, wählen Sie das Verzeichnis aus, in das die Datei einstaller.exe exportiert werden soll, und klicken Sie auf Ordner auswählen. Klicken Sie auf Weiter, um die Datei einstaller.exe zu exportieren. Anschließend wird der Abschlussbildschirm angezeigt. Klicken Sie auf Fertig stellen. Die extrahierte Datei einstaller.exe können Sie nun je nach Wunsch weiterverwenden. HINWEIS: Die Methode "Direktinstallation 70 mit vordefinierter XML-Konfiguration" kann verwendet werden, wenn die Möglichkeit besteht, Administratorrechte für die Installation zu vergeben. Das.msi-Paket wird dabei mit dem Parameter /qn (Versionen 5.x, 4.x, 3.x) gestartet. Hierdurch wird die Installation im unbeaufsichtigten Modus ohne Benutzeroberfläche durchgeführt. Das zur Installation des Pakets verwendete Benutzerkonto muss ein Administratorkonto sein oder besser noch über Domänenadministrator-Rechte verfügen. Während der Remoteinstallation findet eine umgekehrte Verbindung zu ERAS statt, und der Agent (einstaller.exe) übernimmt Einstellungen aus der Option Standardanmeldung

79 Wird der Agent einstaller.exe manuell auf dem Zielrechner gestartet, läuft die Remoteinstallation wie folgt ab: Der Agent einstaller.exe sendet eine Anforderung an ERAS (TCP-Port 2224). ERAS startet mit einem neuen Agenten eine neue Push-Installation des betreffenden Pakets, wobei dieses zunächst über die administrative Freigabe admin$ übertragen wird. Der Agent wartet auf eine Antwort von ERAS, dass das Paket über die Freigabe admin$ übertragen wird. Falls keine Antwort erfolgt, versucht der Agent, das Installationspaket über den TCP/IP-Port 2224 herunterzuladen. In diesem Fall werden Benutzername und Passwort des Administrators aus der Option Standardanmeldung 78 in ERAS nicht übertragen, und der Agent versucht, das Paket mit dem aktuellen Benutzer zu installieren. Unter Microsoft Windows 9x/Me kann die administrative Freigabe nicht verwendet werden. Der Agent baut in diesem Fall automatisch eine direkte TCP/IPVerbindung zum Server auf. Anschließend lädt er das Paket per TCP/IP von ERAS herunter. Die Installation des Pakets wird gestartet, und die entsprechenden.xml-parameter für das Konto in ERAS werden übernommen (Option Standardanmeldung 78 ) Windows Upgrade-Client Diese Installationsart ist für Clients mit ESS/EAV ab der Version 4.2 gedacht. Ab dieser Version ist ein neuer Upgrade-Mechanismus vorhanden, über den ERA ein Clientupgrade einleiten kann, ohne dass dafür der Agent einstaller.exe erforderlich ist. Dies funktioniert ähnlich wie bei einem Programmkomponenten-Update (PCU), mit dem Clients auf eine neuere Programmversion aktualisiert werden. Für ESS-/EAV-Clients ab der Version 4.2 wird diese Upgrade-Methode dringend empfohlen. HINWEIS: Eine eventuell vorhandene benutzerdefinierte Konfigurationsdatei im Installationspaket wird beim Upgrade ignoriert. Mit der Option Windows Upgrade-Client des Befehls Neuer Installationstask können Sie Upgrades für Clients oder Gruppen von Clients aus der Ferne ausführen. 1) Wenn Sie die Clients für das Upgrade über eine Auswahlhilfe auswählen möchten, klicken Sie im ersten Schritt auf Clients hinzufügen (mit Auswahlhilfe). Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter, um fortzufahren. HINWEIS: Die Schaltfläche Clients hinzufügen (mit Auswahlliste) öffnet ein neues Dialogfenster, in dem Sie Clients über ihren Server (im Bereich Server) oder ihre Gruppe (im Bereich Gruppen) hinzufügen können. 2) Das Fenster Taskeinstellungen enthält die folgenden Optionen: Wählen Sie in der entsprechenden Liste den Namen eines ESET-Produktpakets aus, das für die Upgrades Ihrer Clients verwendet werden soll. Alternativ können Sie vorhandene Pakete im Paket-Manager 52 bearbeiten. Ändern Sie Standardname und Beschreibung Ihres Upgradetasks, und wählen Sie Task jetzt ausführen aus, um den Task sofort auszuführen, oder Task später ausführen, um einen späteren Ausführungszeitpunkt festzulegen. 3) Klicken Sie auf Fertig stellen, um die Task-Konfiguration für das Client-Upgrade abzuschließen. HINWEIS: Dieser Task funktioniert nur auf Clients mit einer direkten Verbindung zum primären Server. Clients von replizierten Servern werden ignoriert Vermeiden wiederholter Installationen Direkt nach dem erfolgreichen Abschluss der Remoteinstallation setzt der Agent auf dem Remoteclient eine Markierung, die verhindert, dass dasselbe Installationspaket erneut installiert wird. Die Markierung wird in den folgenden Registrierungsschlüssel geschrieben: HKEY_LOCAL_MACHINE\Software\ESET\ESET Remote Installer Wenn bei einem erneuten Aufruf des Agenten einstaller.exe der angegebene Typ und Name des Pakets mit den in der Registrierungsdatenbank hinterlegten Daten übereinstimmen, wird die Installation nicht durchgeführt. So wird verhindert, dass die Software bei wiederholten Installationen immer wieder neu auf demselben Rechner installiert wird. HINWEIS: Bei der Push-Remoteinstallation wird dieser Registrierungsschlüssel ignoriert. 79

80 ERAS bietet eine weitere Funktion, um wiederholte Installationen zu verhindern: Sobald der Agent über den TCPPort 2224 die Rückverbindung zum ERAS aufbaut, findet eine Prüfung statt. Wenn die Installation erfolgreich war, werden alle weiteren Installationsversuche abgelehnt. Der Agent schreibt dann den folgenden Fehler in das Installationsprotokoll %TEMP%\einstaller.log: ESET Installer auf Anforderung des Servers '%s:%d' beendet. Wenn wiederholte Installationen nicht von ERAS unterbunden werden sollen, müssen Sie die entsprechenden Einträge auf der Registerkarte Details im Eigenschaften-Dialogfeld des Remoteinstallations-Tasks entfernen. Um einen Eintrag zu entfernen, wählen Sie ihn aus, klicken auf Löschen und bestätigen mit Ja. 80

81 4.2.7 Task erneut ausführen Sämtliche Tasks, die in der Registerkarte Clients per Rechtsklick auf einen Client und die Option Neuer Task im Kontextmenü gestartet wurden, befinden sich in der Registerkarte Tasks. Sie können diese Tasks erneut ausführen, indem Sie auf den gewünschten Task klicken und im Kontextmenü die Option Task erneut ausführen... auswählen. Das Fenster Task erneut ausführen enthält verschiedene Optionen: Klicken Sie auf Weiter, um zum ursprünglichen Dialogfenster des auszuführenden Tasks zu gelangen Wählen Sie die Clients aus, für die der Task ausgeführt werden soll (Alle - alle zuvor am Task beteiligten Clients, Nur fehlgeschlagene - die Clients, für die der Task zuvor fehlgeschlagen ist, Neu - Clients, die Sie in einem der folgenden Dialogfenster auswählen) Wählen Sie einen anderen Task für die Ausführung aus Auf Standardeinstellungen zurücksetzen - Falls Sie die Standardeinstellungen eines zuvor ausgeführten Tasks geändert haben, können Sie den Task mit der Option Auf Standardeinstellungen zurücksetzen mit seinen Standardeinstellungen erneut ausführen Neuer Installationstask Wenn Sie auf Neuer Installationstask... in der Registerkarte Remoteinstallation klicken, können Sie einen Typ für die Remoteinstallation 73 aus den folgenden Optionen auswählen: Windows Push - Führt die Remoteinstallation von ESET-Clientlösungen auf ausgewählten Clientcomputern als Dienst aus. Diese Installationsmethode benötigt lokale Administratoranmeldeinformationen, um den Installations-Agenten per Push auf die Zielcomputer zu verteilen. Außerdem muss auf den Remotecomputern die Netzwerkfreigabe aktiviert sein, und die Computer müssen online sein. Windows Push (WMI) - Dieses neue Feature in ESET Remote Administrator 5.3 sucht Installationspakete in einer Netzwerkfreigabe nach Ihren Vorgaben 84 und führt die Pakete anschließend aus. Was ist WMI (Windows Management Instrumentation-Handbuch auf MSDN)? 81

82 Windows Upgrade-Client - Die zuverlässigste Methode für die Verteilung der ESET-Virenschutzlösung (ab Version 4.2) auf verwaltete Computer. Diese Methode benötigt keine Administratoranmeldeinformationen, allerdings muss die Netzwerkfreigabe auf den Remotecomputern aktiviert sein. Linux - ESET-Clientlösungen können auf den meisten Linux-Distributionen mit aktiviertem SSH-Zugriff per Befehlszeile installiert werden. Mac - ESET-Clientlösungen können auf Computern mit Mac OS X-Betriebssystem mit aktiviertem SSH-Zugriff per Befehlszeile installiert werden, indem das Installationspaket ausgeführt wird. Android - Schicken Sie einfach auszuführende Downloadanweisungen an Android-Geräte, und Ihre Benutzer können die Geräte mit einem Klick registrieren. Exportieren - Exportieren 75 Sie das Paket als ausführbaren Installer (Datei einstaller.exe), um ESETClientlösungen auf Computer außerhalb von ESET Remote Administrator zu verteilen. Falls der exportierte Installer die WMI-Methode verwenden soll, ändern Sie die Einstellungen... der Export-Methode, bevor Sie den eigentlichen Export 75 ausführen. - Verschicken Sie einen kleinen Installations-Agent per ausführen müssen , den die Benutzer anschließend

83 Weitere Einstellungen Wenn Sie die Installationsmethode Exportieren 75 oder 75 für ESET-Clientlösungen bei der Erstellung eines Neuen Installationstasks 81 ausgewählt haben, können Sie weitere Einstellungen festlegen, indem Sie auf die Schaltfläche Einstellungen... klicken. Bevorzugte Installationsmethode Dienst - Diese Methode ist standardmäßig ausgewählt, auch wenn Sie das Dialogfeld Einstellungen nicht öffnen. WMI - Wählen Sie diese Methode aus, wenn Sie den Installer per WMI für die Clientcomputer bereitstellen möchten. Klicken Sie anschließend auf WMI-Einrichtung..., um das Fenster Installerfreigabe konfigurieren 84 zu öffnen. Standardanmeldung Richten Sie Benutzername und Passwort für Windows NT-basierte Systeme ein. 83

84 Installerfreigabe konfigurieren Falls Sie eine Installation 81 per Windows Push (WMI) ausführen möchten oder eine der Optionen oder Exportieren im Fenster Neuer Installationstask und WMI als bevorzugte Installationsmethode ausgewählt haben, müssen Sie die Zugangsdetails des Freigabeorts festlegen, indem Sie auf die Schaltfläche WMI-Einrichtung... klicken. Wenn Sie auf WMI-Einrichtung... klicken, wird das Fenster Installerfreigabe konfigurieren geöffnet. Dort können Sie zum gewünschten Exportverzeichnis (Freigabeort) navigieren, indem Sie auf Exportieren... klicken. Außerdem können Sie die Anmeldeinformationen für den Freigabeort über die Schaltfläche Anmeldeinformationen... festlegen, mit der das Fenster Anmeldeinformationen geöffnet wird. Sie können im Pfad zum Freigabeort auch Umgebungsvariablen verwenden (falls eine lokale Datei ausgewählt ist), wenn diese Variablen im Betriebssystem konfiguriert sind. Hinweis: Selbst wenn ein Freigabeort für die Verteilung des Installationspakets verwendet wird, benötigt der Zielcomputer immer noch TCP/IP-Zugang zum ERA Server. 84

85 WMI-Informationen Führen Sie die folgenden Schritte aus, um die WMI-Informationen eines verwalteten Computers anzuzeigen und zu bearbeiten: 1. Klicken Sie im Kontextmenü eines verwalteten Computers auf WMI-Informationen Wählen Sie WMI-Anmeldeinformationen aus und klicken Sie auf OK. 3. Warten Sie, bis die Daten vom Computer in die ERA Console heruntergeladen wurden. 4. Die WMI-Informationen sollten innerhalb weniger Sekunden angezeigt werden WSUS-Export Falls Sie ESET-Clientlösungen im Rahmen der WSUS (Windows Server Update Services) installieren möchten, können Sie das Installationspaket aus ERA Server 5.3 exportieren 75 und die Option WSUS-Export (Windows Server Update Services) auswählen. Ausführliche Informationen zur Installation und Konfiguration von WSUS finden Sie in Form einer Schritt-fürSchritt-Anleitung unter WSUS verteilt nur Pakete, die mit einem auf dem WSUS-Server installierten Zertifikat signiert wurden. Sie können ein solches Zertifikat im Local Update Publisher (LUP) generieren. Verwenden Sie das Zertifikat-Snap-In für MMC, um das Zertifikat auf dem WSUS-Server zu installieren. Fügen Sie die exportierte 75.msi-Installerdatei und die.xml-konfigurationsdatei zu dem von LUP erstellten Paket hinzu, und genehmigen Sie das Paket in LUP. Anschließend sollte das genehmigte Paket im Rahmen der Windows Updates verteilt werden. 85

86 GPO-Export Falls Sie ESET-Clientlösungen als Teil einer Gruppenrichtlinie für die Softwareinstallation in Active Directory in einer Domänenumgebung bereitstellen möchten, können Sie das Installationspaket aus ERA Server 5.3 exportieren 75, indem Sie die Option GPO-Export (Gruppenpolicy-Objekt) auswählen. Kopieren Sie den exportierten.msi-installer und die.xml-konfigurationsdatei in einen freigegebenen Ordner (mit Lesezugriff), der für die Zielcomputer verfügbar ist, die mit einer gemeinsamen GPO verwaltet werden sollen. Erstellen Sie eine neue GPO oder verknüpfen Sie eine vorhandene GPO mit der gewünschten Active DirectoryOrganisationseinheit in der Gruppenpolicy-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf die gewünschte Policy, klicken Sie auf Bearbeiten... und klicken Sie im Gruppenrichtlinienverwaltungs-Editor unter Computer-Konfiguration (bzw. Benutzer-Konfiguration) > Policies > Softwareeinstellungen > Softwareinstallation mit der rechten Maustaste den leeren Bereich. Klicken Sie anschließend auf Neu und auf Paket... und navigieren Sie zu dem.msi-installer, den Sie in den freigegebenen Ordner kopiert haben. Geben Sie den Netzwerkpfad zum.msi-installer ein, den Sie in den freigegebenen Ordner kopiert haben Wählen Sie eine Bereitstellungsmethode aus: a) Zuweisen - Installiert die Software b) Veröffentlichen - Bietet die Software unter "Programme hinzufügen/entfernen" (nur für an Benutzer zugewiesene GPOs) c) Erweitert - Konfigurieren Sie eine der Optionen "Zuweisen" oder "Veröffentlichen" und nehmen Sie Änderungen am Paket vor Nachdem die Gruppenpolicy übernommen und die Zielcomputer neu gestartet wurden (Ab- und Anmeldung genügt im Fall von an Benutzer zugewiesenen GPOs), wird die Software automatisch installiert. 86

87 5. Verwalten der Clientcomputer 5.1 Tasks Sobald Client-Arbeitsplatzrechner eine funktionierende Verbindung zu ERAS aufgebaut haben und in ERAC angezeigt werden, können Sie sie mithilfe von Tasks auf verschiedene Weise konfigurieren und administrieren. Schritt 1 - Neuer Task 1) Um Clients einzeln auszuwählen, wählen Sie sie auf der Registerkarte Clients aus und klicken mit der rechten Maustaste darauf, um das Kontextmenü 30 zu öffnen. 2) Klicken Sie auf Neuer Task und wählen Sie dann den gewünschten Tasktyp. HINWEIS: Sie können den Task-Assistenten alternativ auch über den Punkt Aktionen > Neuer Task im ERACHauptmenü öffnen. Schritt 2 - Auswahl des Tasktyps: Konfigurations-Task 88 On-Demand-Scan (mit/ohne Säubern) Update starten SysInspector-Skript-Task Schutzkomponenten Geplanten Task ausführen 90 Aus Quarantäne wiederherstellen/löschen Rollback der Signaturdatenbank 91 Update-Cache des Clients löschen Sicherheits-Auditlog erzeugen Hinweis anzeigen ) Nachdem Sie den gewünschten Tasktyp ausgewählt haben, konfigurieren Sie den Task wie im dazugehörigen Kapitel (siehe oben stehende Links) beschrieben. Schritt 3 - Clients auswählen 4) Nach der Konfiguration des Tasks wird das Dialogfenster Clients auswählen angezeigt, wo Sie noch einmal die Möglichkeit haben, die Clientauswahl anzupassen. Sie können zusätzliche Clients aus der Liste Alle Objekte (links im Fenster) in die Liste Ausgewählte Objekte (rechts im Fenster) übernehmen oder vorhandene Clienteinträge entfernen. HINWEIS: Über die Schaltfläche Hinzufügen (erweitert) können Sie ein zusätzliches Dialogfenster öffnen, in dem Sie Clients aus der Registerkarte Clients bzw. nach ihrem Server und/oder ihrer Gruppe auswählen können. Schritt 4 - Bestätigen des Tasks 92 Die folgenden Unterkapitel beschreiben die einzelnen Tasktypen für Client-Arbeitsplatzrechner und geben ein kurzes Beispielszenario für jeden Typ. HINWEIS: Das Dialogfeld ESET Remote Administrator: Updates suchen wird angezeigt, wenn das festgelegte Suchintervall verstrichen ist oder eine neue Produktversion vorliegt. Um das jeweils aktuelle Produkt-Update von der ESET-Website herunterzuladen, klicken Sie auf Update-Website aufrufen. Sie können alle Tasks in der Registerkarte Tasks erneut ausführen, indem Sie einen oder mehrere ausgewählte Tasks mit der rechten Maustaste anklicken und im Kontextmenü die Option Task erneut ausführen... auswählen. 87

88 Daraufhin wird der Assistent Task erneut ausführen geöffnet, der dem Assistenten Neuer Task stark ähnelt. Klicken Sie auf Weiter, um den nächsten Bildschirm zu öffnen, oder ändern Sie die auszuführenden Tasks, bevor Sie auf Weiter klicken. Für jeden erneut ausgeführten Task wird ein neuer Eintrag (Zeile) in der Registerkarte Tasks angelegt Konfigurations-Task Konfigurations-Tasks dienen zum Ändern der Schutzeinstellungen auf Client-Arbeitsplatzrechnern. Sie werden in Form eines Konfigurationspakets mit den Änderungsparametern an die Zielrechner übermittelt. Auch.xml-Dateien, die im ESET Configuration Editor erstellt oder von Clients exportiert wurden, sind mit Konfigurations-Tasks kompatibel. Das folgende Beispiel zeigt, wie Sie mit einem Konfiguration-Task den Benutzernamen und das Passwort auf den Zielrechnern ändern. Alle Einstellungen und Optionen, die in diesem Beispiel nicht verwendet werden, sind am Ende dieses Kapitels beschrieben. Zunächst legen Sie fest, an welche Arbeitsplatzrechner der Task übermittelt werden soll. Wählen Sie diese Rechner auf der Registerkarte Clients in ERAC aus. 1) Klicken Sie mit der rechten Maustaste auf einen der ausgewählten Rechner und wählen Sie im Kontextmenü Neuer Task > Konfigurations-Task. 2) Der Assistent Konfiguration für Clients wird angezeigt. Hier können Sie über die Schaltflächen Erstellen, Auswählen sowie Aus Vorlage erstellen die zu verwendende Konfigurationsdatei festlegen. 3) Klicken Sie auf Erstellen, um den ESET Configuration Editor zu öffnen, und richten Sie die gewünschte Konfiguration ein. Gehen Sie zu den Einträgen Windows-Produkte Version 3 und 4 > Updates > Profil > Einstellungen > Benutzername und Passwort. 4) Tragen Sie den von ESET bereitgestellten Benutzernamen und das Passwort ein und klicken Sie rechts auf Zurück zur Konsole, um zum Task-Assistenten zurückzukehren. Der Pfad zum Konfigurationspaket erscheint nun unter Konfiguration erstellen/auswählen. 5) Wenn Sie bereits eine Konfigurationsdatei mit den gewünschten Änderungen haben, klicken Sie auf Auswählen und wählen sie aus. Die Datei wird mit dem Konfigurations-Task verknüpft. 6) Alternativ können Sie auch auf Aus Vorlage erstellen klicken, die.xml-datei auswählen und ggf. die gewünschten Änderungen vornehmen. 7) Um die gerade erstellte/bearbeitete Konfigurationsdatei noch einmal einzusehen oder Änderungen daran vorzunehmen, klicken Sie auf Anzeigen bzw. Bearbeiten. 8) Klicken Sie auf Weiter. Das Dialogfeld Clients auswählen wird angezeigt. Hier sehen Sie die Arbeitsplatzrechner, an die der Task übermittelt wird. Sie können nun Clients über ihren Server oder ihre Gruppe hinzufügen. Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren. 9) Im letzten Dialogfenster Taskbericht wird die Task-Konfiguration noch einmal zusammengefasst. Wahlweise können Sie noch einen Namen und eine Beschreibung für den Task eingeben. Über die Option Task ausführen ab können Sie festlegen, dass der Task erst ab einem bestimmten Zeitpunkt ausgeführt werden soll. Wenn Sie die Option Tasks bei erfolgreichem Abschluss automatisch löschen aktivieren, werden Tasks nach erfolgreicher Übermittlung an die Zielrechner automatisch gelöscht. 10) Klicken Sie auf Fertig stellen, um den Task zur Ausführung zu aktivieren. 88

89 5.1.2 Task "On-Demand-Scan" Für einen On-Demand-Scan bietet der Kontextmenü-Befehl Neuer Task zwei unterschiedliche Optionen. Die erste Option ist On-Demand-Scan... - Diese Option führt standardmäßig eine Tiefenprüfung aus und säubert infizierte Dateien im Speicher, in den Systembereichen lokaler Laufwerke und in lokalen Laufwerken. Die zweite Option ist On-Demand-Scan (ohne Säubern)... - Diese Prüfung generiert nur ein Log und führt keine Aktionen für infizierte Dateien aus. Das Fenster On-Demand-Scan enthält dieselben Optionen für beide Varianten, mit Ausnahme der Option Nur Prüfen, keine Aktion. Diese Option legt fest, ob der Scanner infizierte Dateien säubern soll. Das folgende Beispiel illustriert die Erstellung eines Tasks für einen On-Demand-Scan. 1) Über die Liste Konfigurationsbereich legen Sie fest, für welches ESET Produkt der Scantask definiert werden soll. Wählen Sie hier die Produkte aus, die auf den Zielrechnern installiert sind. HINWEIS: Mit der Option Diesen Bereich von Task für On-Demand-Scan ausnehmen werden alle Einstellungen für den unter Konfigurationsbereich ausgewählten Produkttyp deaktiviert und kommen auf Clients, auf denen das betreffende Produkt installiert ist, demzufolge nicht zur Anwendung. Alle Clients mit diesem Produkt werden also aus der Empfängerliste entfernt. Wenn Sie als Administrator Clients als Empfänger auswählen, dann aber das dort installierte Produkt über diese Option ausschließen, schlägt der Task mit einer entsprechenden Meldung fehl. Um dies zu vermeiden, sollten Sie stets passende Clients für den Task auswählen. 2) Unter Profilname können Sie ein Scanprofil für den Task auswählen. 3) Wählen Sie im Bereich Zu prüfende Laufwerke, welche Arten von Laufwerken auf den Clientcomputern geprüft werden sollen. Wenn Ihnen die Auswahl zu allgemein ist, können Sie auch den exakten Pfad der zu prüfenden Objekte festlegen. Verwenden Sie hierzu das Feld Pfad oder die Schaltfläche Pfad hinzufügen. Um die ursprüngliche Laufwerksauswahl für den Scan wiederherzustellen, wählen Sie Verlauf löschen. 4) Klicken Sie auf Weiter, um zu den Dialogfenstern Clients auswählen und Taskbericht zu gelangen. Diese sind ausführlich im Kapitel Tasks 87 beschrieben. 5) Nach Abschluss des Tasks auf den Clients werden die Ergebnisse an ERAS gemeldet und können in ERAC auf der Registerkarte Scan-Log eingesehen werden Task "Update starten" Mit diesem Task können Sie ein Update auf den Zielrechner erzwingen (sowohl der Signaturdatenbank als auch der Programmkomponenten). 1) Klicken Sie auf der Registerkarte Clients auf einen beliebigen Rechner und wählen Sie Neuer Task > Update starten. 2) Wenn Sie bestimmte ESET Security-Produkte vom Update ausnehmen möchten, wählen Sie sie in der Liste Konfigurationsbereich aus und aktivieren das Kontrollkästchen Diesen Bereich vom Update-Task ausnehmen. 3) Um ein bestimmtes Update-Profil für den Task Update starten zu verwenden, aktivieren Sie das Kontrollkästchen Profilnamen angeben und wählen das gewünschte Profil aus. Sie können auch die Option Benutzerdefinierter Profilname wählen und den Profilnamen von Hand eingeben. Um den Feldwert auf die Standardeinstellung zurückzusetzen, klicken Sie auf Verlauf löschen. 4) Klicken Sie auf Weiter, um mit den Dialogfenstern Clients auswählen und Taskbericht fortzufahren. Eine Beschreibung dieser Fenster finden Sie im Kapitel Tasks

90 5.1.4 SysInspector-Skript-Task Mit einem SysInspector-Skript-Task können Sie Skripte auf den Zielrechnern ausführen. Auf diese Weise können Sie unerwünschte Objekte vom System entfernen. Nähere Informationen finden Sie auf der Seite ESET SysInspector 182 der Hilfe. 1) Nachdem Sie die Schritte 1 und 2 gemäß der Beschreibung im Kapitel Tasks 87 ausgeführt haben, klicken Sie auf Auswählen, um das Skript auszuwählen, das auf dem Zielrechner ausgeführt werden soll. 2) Wenn Sie noch Änderungen am Skript vornehmen möchten, klicken Sie auf Anzeigen / Bearbeiten. 3) Klicken Sie auf Weiter, um zu den Dialogfenstern Clients auswählen und Taskbericht zu gelangen. Diese sind ausführlich im Kapitel Tasks 87 beschrieben. 4) Nach Abschluss des Tasks auf dem Client-Arbeitsplatzrechner werden die entsprechenden Informationen in der Spalte Status der Registerkarte Tasks angezeigt. HINWEIS: SysInspector-Skripttasks werden nur von ESET Endpoint Security/ESET Endpoint Antivirus ab Version 4.0 unterstützt Schutzkomponenten Über diesen Task können Sie als Administrator den Status der Schutzkomponenten des Security-Produkts (ESET Security-Produkte für Windows ab Version 5) ändern. 1. Für jede Schutzkomponente gibt es drei Optionen: Nicht ändern, Vorübergehend deaktivieren und Aktivieren. Die gewünschte Option wählen Sie über das Kontrollkästchen neben der betreffenden Komponente aus. Wenn Sie eine Komponente deaktivieren (Option "Vorübergehend deaktivieren"), können Sie auch die Dauer der vorübergehenden Deaktivierung angeben. Diese Dauer kann von 10 Minuten bis Bis zum nächsten Start reichen. Im letzteren Fall bleibt die Komponente bis zum nächsten Neustart des Computers deaktiviert. 2. Wählen Sie nun die Clients aus, auf denen Sie den Status der Schutzkomponenten ändern möchten, und bestätigen Sie den Task 92. HINWEIS: Gehen Sie beim Deaktivieren von Schutzkomponenten mit Bedacht vor, da dies ein Sicherheitsrisiko darstellen kann. Auf dem Client erfolgt beim Deaktivieren einer Schutzkomponente jedes Mal ein Hinweis Geplanten Task ausführen Mit diesem Task wird ein geplanter Task auf dem Client unverzüglich ausgeführt. Sie können entweder unter Vordefiniert einen vordefinierten Task aus dem Client-Taskplaner auswählen oder mit der Option Nach ID einen Task über seine ID angeben. Jeder geplante Task hat eine solche ID, die Sie alternativ zur Auswahl des Tasks aus der Dropdown-Liste direkt eingeben können. Um alle Tasks aus dem Taskplaner eines bestimmten Clients zu sehen, starten Sie diesen Task über das Kontextmenü der Registerkarte Clients. Wählen Sie den auszuführenden Task und die gewünschten Clients aus und bestätigen 92 Sie dann den Task Task "Aus Quarantäne wiederherstellen/löschen" Mit diesem Tasktyp können Sie Quarantäneobjekte gezielt aus der Client-Quarantäne wiederherstellen oder löschen. 1) Nachdem Sie das Fenster Aus Quarantäne wiederherstellen/löschen geöffnet haben (siehe Kapitel Tasks wählen Sie aus, was mit dem Quarantäneobjekt geschehen soll (Wiederherstellen oder Löschen). 87 ), HINWEIS: Wenn Sie ein noch als Bedrohung erkanntes Objekt aus der Quarantäne wiederherstellen, sollten Sie das Objekt unter Umständen mit der Option Ausnahme hinzufügen zu von späteren Prüfungen ausschließen, um zu verhindern, dass es erneut geprüft und in die Quarantäne verschoben wird. Beachten Sie, dass nicht alle Objekte von der Prüfung ausgeschlossen werden können. Dies gilt beispielsweise für Trojaner und Viren. Der Versuche, eine solche Datei auszuschließen, führt zu einem Fehler. Wenn Sie eine saubere Datei (nicht als Bedrohung erkannt) von der Prüfung ausschließen möchten, nehmen Sie dies direkt am Client oder über den ESET-Konfigurationseditor (Policy, Task usw.) vor. 90

91 2) Wählen Sie eine Bedingung aus, um festzulegen, welche Quarantäneobjekte wiederhergestellt/gelöscht werden sollen, und klicken Sie auf Weiter. HINWEIS: Wenn Sie das Dialogfenster Aus Quarantäne wiederherstellen/löschen über das Kontextmenü eines Eintrags auf der Registerkarte Quarantäne aufgerufen haben, müssen Sie keine Bedingung angeben. Die Option Nach Hash ist dann automatisch ausgewählt, und der Hashwert der Quarantänedatei ist bereits als Kriterium eingetragen. 3) Wählen Sie die Clients für den Wiederherstellung-/Löschvorgang aus (siehe Kapitel Tasks Weiter. 87 ) und klicken Sie auf 4) Das Dialogfenster Taskbericht wird angezeigt. Überprüfen Sie noch einmal die Einstellungen, geben Sie dem Task einen Namen, legen Sie den Ausführungszeitpunkt und ggf. die Löschoptionen fest und klicken Sie zum Abschluss auf Fertig stellen, um den Task zu bestätigen. Nähere Informationen finden Sie im Kapitel Tasks Rollback der Signaturdatenbank Falls Sie den Verdacht haben, dass ein neues Update der Signaturdatenbank instabil ist oder zu Fehlern führt, können Sie ein Rollback auf die vorherige Version durchführen und weitere Updates für einen bestimmten Zeitraum deaktivieren. Umgekehrt können Sie auch zuvor deaktivierte Updates wieder aktivieren. 1) Signaturdatenbank-Updates (de)aktivieren Deaktivieren für X Stunden - Die Signaturdatenbank auf den ausgewählten Clients wird auf der Grundlage eines clientseitig erstellten Snapshots auf die vorherige Version zurückgesetzt. Zudem werden weitere Updates für diese Clients für den festgelegten Zeitraum deaktiviert. Mit der Option Unbegrenzt können Sie Updates auch auf unbestimmte Zeit deaktivieren. Verwenden Sie diese Option nur mit Bedacht, da sie ein Sicherheitsrisiko darstellen kann. Warnung: Die Option Unbegrenzt bleibt auch nach einem Neustart des Clientcomputers aktiv. Deaktivierte Updates wieder aktivieren - Hiermit werden die Signaturdatenbank-Updates wieder aktiviert. 2) Wählen Sie die Clients für den Task aus und klicken Sie auf Weiter. 3) Das Dialogfenster Taskbericht wird angezeigt. Überprüfen Sie noch einmal die Einstellungen, geben Sie dem Task einen Namen, legen Sie den Ausführungszeitpunkt und ggf. die Löschoptionen fest und klicken Sie zum Abschluss auf Fertig stellen, um den Task zu bestätigen. Nähere Informationen finden Sie im Kapitel Tasks Update-Cache des Clients löschen Dieser Task wird nur für ESET Security-Produkte ab Version 5 unterstützt. Falls Sie vermuten, dass das Signaturdatenbank-Update fehlgeschlagen ist, können Sie hiermit den Update-Cache des Clients löschen, damit das neueste Update erneut heruntergeladen wird. 1) Starten Sie den Task und klicken Sie auf Weiter. 2) Wählen Sie die Clients für den Task aus und klicken Sie auf Weiter. 3) Das Dialogfenster Taskbericht wird angezeigt. Überprüfen Sie noch einmal die Einstellungen, geben Sie dem Task einen Namen, legen Sie den Ausführungszeitpunkt und ggf. die Löschoptionen fest und klicken Sie zum Abschluss auf Fertig stellen, um den Task zu bestätigen. Nähere Informationen finden Sie im Kapitel Tasks

92 Task "Sicherheits-Auditlog erzeugen" Dieser Tasktyp ist nur für ESET Mobile Security relevant. Der Sicherheits-Audit umfasst die folgenden Informationen: Akkuladestand, Bluetooth-Status, freier Speicherplatz auf dem Datenträger, Sichtbarkeit des Geräts, Stammnetz und laufende Prozesse. Es wird ein ausführlicher Bericht erzeugt, aus dem unter anderem hervorgeht, ob eine der Angaben unter einem festgelegten Grenzwert liegt oder ein mögliches Sicherheitsrisiko darstellt (z. B. Sichtbarkeit des Geräts aktiviert usw.). So starten Sie einen Sicherheits-Audit auf dem Mobiltelefon: 1. Klicken Sie auf der Registerkarte Clients mit der rechten Maustaste auf den Namen des Clients und wählen Sie im Kontextmenü Neuer Task > Sicherheits-Auditlog erzeugen. 2. Klicken Sie auf Weiter, um mit den Dialogfenstern Clients auswählen und Taskbericht fortzufahren. Eine Beschreibung dieser Fenster finden Sie im Kapitel Tasks Task "Hinweis anzeigen" Dieser Tasktyp ist nur für ESET Mobile Security relevant. Um einen Hinweis (z. B. eine Warnmeldung) auf dem Mobiltelefon anzuzeigen, gehen Sie wie folgt vor: 1. Klicken Sie auf der Registerkarte Clients mit der rechten Maustaste auf den Namen des Clients und wählen Sie im Kontextmenü Neuer Task > Hinweis anzeigen. 2. Geben Sie Überschrift und Text für den Hinweis in den entsprechenden Feldern ein und legen Sie die Einstellung Inhalt fest. 3. Klicken Sie auf Weiter, um mit den Dialogfenstern Clients auswählen und Taskbericht fortzufahren. Eine Beschreibung dieser Fenster finden Sie im Kapitel Tasks Bestätigen des Tasks Im letzten Dialogfenster wird eine Vorschau des Tasks angezeigt. Sie sehen hier eine Zusammenfassung aller TaskEinstellungen und können auf Zurück klicken, um ggf. noch Änderungen vorzunehmen. Der zweite Teil des Fensters enthält die folgenden Einstellungen: Name - Name des Tasks Beschreibung - Taskbeschreibung Task ausführen ab - Zeitpunkt, zu dem der Task auf den Clientcomputern bereitgestellt werden soll Tasks bei erfolgreichem Abschluss automatisch löschen - Bewirkt, dass alle erfolgreich ausgeführten Tasks automatisch gelöscht werden. Start um zufällige Wartezeit verzögern, bis zu X Minuten - Der Task wird für die ausgewählten Computer um eine zufällige Wartezeit verzögert. Wenn Sie mehrere Computer ausgewählt haben, wird der Task zu jeweils unterschiedlichen Zeiten an die Computer geschickt, und nicht gleichzeitig. Hinweis: Die zufällige Verzögerung wird erst für ESET-Unternehmensprodukte ab Version 5 unterstützt. 92

93 5.2 Gruppen-Manager Der Gruppen-Manager ist ein leistungsstarkes Werkzeug zur Verwaltung Ihrer Clients. Hier können Sie Clients in Gruppen zusammenfassen, um diesen unterschiedliche Einstellungen, Tasks, Einschränkungen usw. zuzuweisen. Um ihn zu öffnen, verwenden Sie einfach den Menübefehl Extras > Gruppen-Manager oder drücken Strg+G. Gruppen werden für jeden ERAS separat gespeichert und nicht repliziert. Sie können entweder nach Bedarf eigene Gruppen analog zur Struktur Ihres Firmennetzwerks anlegen oder aber die ERAC-Clientgruppen bequem mit Ihrem Microsoft Active Directory abgleichen. Hierzu verwenden Sie die Option Active Directory-Synchronisierung im Hauptfenster des Gruppen-Managers. Es gibt zwei grundlegende Arten von Clientgruppen: Statische Gruppen 93 Parametrische Gruppen 94 Mit statischen und parametrischen Gruppen können Sie sich die Verwaltung von Clients in ERA an vielen Stellen erleichtern Statische Gruppen Über statische Gruppen können Sie die Clients in Ihrem Netzwerk in benannte Gruppen und Untergruppen untergliedern. Beispielsweise könnten Sie eine Gruppe "Marketing" mit allen Clients aus der Marketingabteilung erstellen und zusätzlich Untergruppen für einzelne Teams und Unterabteilungen definieren (Innenvertrieb, Vertriebsleitung usw.). Das Hauptfenster zur Verwaltung von statischen Gruppen gliedert sich in zwei Bereiche. Links werden die vorhandenen Gruppen in einer Hierarchie aus Gruppen und Untergruppen angezeigt. Rechts sehen Sie die Clients, die der ausgewählten Gruppe angehören. Standardmäßig werden nur die Clients in der ausgewählten Gruppe aufgeführt. Um auch die Clients aus den Untergruppen der aktuell ausgewählten Gruppe zu sehen, aktivieren Sie das Kontrollkästchen Clients in Untergruppen anzeigen im rechten Teil des Fensters. Um eine neue Gruppe zu erstellen, klicken Sie auf Erstellen und geben einen Namen für die Gruppe ein. Die neue Gruppe wird als Untergruppe der aktuell ausgewählten Gruppe angelegt. Um eine Gruppe auf oberster Ebene zu erstellen, wählen Sie den Stammeintrag der Hierarchie aus (Statische Gruppen). Das Feld Übergeordnete Gruppe enthält den Namen der Gruppe, der die neue Gruppe untergeordnet wird (für den Stammeintrag ist dies "/"). Es empfiehlt sich, einen Namen zu wählen, aus dem der Standort der Computer ersichtlich wird (z. B. Finanzabteilung, Support usw.). Über das Beschreibungsfeld können Sie weitere Informationen zur Gruppe eingeben (z. B. "Computer in Büro 217", "Arbeitsplatzrechner in der Zentrale" usw.). Neu erstellte und konfigurierte Gruppen können Sie später selbstverständlich noch bearbeiten. HINWEIS: Wenn Sie einen Task für eine bestimmte Gruppe definieren, wird er auch auf allen Clients in ihren Untergruppen ausgeführt. Sie können auch leere Gruppen erstellen, die Sie erst später verwenden möchten. Klicken Sie auf OK, um die Gruppe anzulegen. Ihr Name und ihre Beschreibung erscheinen im linken Teil des Fensters, und die Schaltfläche Hinzufügen/Entfernen ist nun verfügbar. Klicken Sie darauf, um der Gruppe die gewünschten Clients hinzuzufügen (entweder per Doppelklick oder per Drag & Drop aus der linken in die rechte Liste). Um schnell Clients mit einem bestimmten Namen zu finden, geben Sie den Namen ganz oder teilweise im Feld Schnellsuche ein. Daraufhin werden alle Clients angezeigt, deren Name den eingegebenen Text enthält. Um alle Clients auszuwählen, klicken Sie auf Alle auswählen. Um zu prüfen, ob in der Zwischenzeit weitere Clients eine Verbindung zum Server aufgebaut haben, können Sie die Anzeige aktualisieren, indem Sie auf Aktualisieren klicken. Wenn die manuelle Auswahl der Clients zu aufwendig wird, können Sie über die Schaltfläche Hinzufügen (erweitert) auf weitere Optionen zugreifen. Aktivieren Sie die Option Im Clientbereich geladene Clients hinzufügen, um alle auf der Registerkarte "Clients" angezeigten Clients hinzuzufügen. Diese Option können Sie mit dem Kontrollkästchen Nur ausgewählte auch noch 93

94 weiter einschränken. Um Clients hinzuzufügen, die bereits einem anderen Server oder einer anderen Gruppe angehören, wählen Sie sie aus der entsprechenden Liste aus (Server links, Gruppen rechts) und klicken auf Hinzufügen. Um zur Verwaltung der statischen Gruppen im Hauptfenster des Gruppen-Managers zurückzukehren, klicken Sie im Dialogfenster Hinzufügen/Entfernen auf OK. Die neue Gruppe wird nun mit den ausgewählten Clients angezeigt. Klicken Sie auf Hinzufügen/Entfernen, um Clients zu einer Gruppe hinzuzufügen oder daraus zu entfernen, oder auf Löschen, um eine Gruppe komplett zu löschen. Um die Client- und Gruppenliste zu kopieren, klicken Sie auf In Zwischenablage kopieren. Zum Aktualisieren der Clientliste klicken Sie auf Aktualisieren. Sie können die Clients der aktuell ausgewählten Gruppe auch als.xml-datei importieren oder exportieren (Schaltfläche Importieren/Exportieren) Parametrische Gruppen Neben statischen Gruppen sind auch parametrische Gruppen ein sehr leistungsstarkes Werkzeug. Bei einer parametrischen Gruppe werden die Clients dynamisch der Gruppe zugeordnet, je nachdem, ob sie die Bedingungen der Gruppe erfüllen. Parametrische Gruppen bieten den Vorteil, dass sie an einer ganzen Reihe von Stellen einsetzbar sind, so etwa in Filtern, Richtlinien, Berichten und Notifikationen. Das Hauptfenster zur Einrichtung parametrischer Gruppen gliedert sich in vier Bereiche. Die Liste Parametrische Gruppen zeigt die von Ihnen erstellten Gruppen samt Untergruppen. Wenn Sie hier eine bestimmte Gruppe auswählen, werden die Clients aus dieser Gruppe im Bereich Ausgewählte Gruppe angezeigt. HINWEIS: Wenn Sie eine übergeordnete Gruppe auswählen, umfasst die Liste auch den Inhalt der Untergruppen. Die eingestellten Parameter für die ausgewählte Gruppe werden im Bereich Parameter angezeigt. Durch Klicken auf Bearbeiten können Sie jederzeit Parameter bearbeiten oder hinzufügen. Im Bereich Status der Synchronisierung wird über eine Fortschrittsleiste der aktuelle Stand der Synchronisierung angezeigt. 1. Um eine neue Gruppe zu erstellen, klicken Sie auf Erstellen. Die neue Gruppe wird als Untergruppe der aktuell ausgewählten Gruppe angelegt. Um eine Gruppe auf oberster Ebene zu erstellen, wählen Sie den Stammeintrag der Hierarchie aus (Parametrische Gruppen). Das Feld Übergeordnete Gruppe enthält den Namen der Gruppe, der die neue Gruppe untergeordnet wird (für den Stammeintrag ist dies "/"). Geben Sie den Namen und eine kurze Beschreibung für die neue Gruppe ein. 2. Richten Sie dann unter Clientfilter-Parameter die gewünschten Kriterien für die Gruppe ein, indem Sie auf Bearbeiten klicken und im Regel-Editor die passenden Optionen auswählen. Hier legen Sie die Bedingungen fest, auf deren Grundlage die Regel ausgelöst und angewendet wird. Wählen Sie die Bedingung aus und geben Sie dann die dazugehörigen Kriterien an, indem Sie neben der Regel im Bereich Parameter auf Festlegen klicken. Sie können außerdem angeben, ob die Regel nur angewendet werden soll, wenn alle Bedingungen erfüllt sind, oder auch schon dann, wenn nur eine der Bedingungen erfüllt ist. 3. Wenn Sie das Kontrollkästchen Permanent aktivieren, werden Clients, die die Bedingungen erfüllen, automatisch in die Gruppe aufgenommen und anschließend nie wieder daraus entfernt. Der Inhalt einer Gruppe, für die die Einstellung "Permanent" aktiviert ist, kann auf der Stammebene manuell zurückgesetzt werden. HINWEIS: Dieser Parameter kann nur beim Erstellen einer neuen Gruppe verändert werden. Um eine vorhandene Gruppe zu bearbeiten, wählen Sie sie in der Liste Parametrische Gruppen aus und klicken dann im unteren Teil des Fensters auf Bearbeiten. Zum Löschen einer Gruppe wählen Sie sie aus und klicken auf Löschen. Sie können die Anzeige der Gruppenliste von Hand aktualisieren, indem Sie auf Aktualisieren klicken. Um eine Gruppe aus einer Datei zu importieren, wählen Sie zunächst in der Liste Parametrische Gruppen die Gruppe aus, der die importierte Gruppe untergeordnet werden soll. Klicken Sie dann auf Importieren. Bestätigen Sie Ihre Auswahl durch Klicken auf Ja. Wählen Sie die gewünschte Datei für den Import aus und klicken Sie auf Öffnen. Die Gruppe wird mitsamt allen Untergruppen importiert und an der ausgewählten Stelle in die Hierarchie eingefügt. Um eine Gruppe mit allen Untergruppen zu exportieren, wählen Sie sie in der Liste Parametrische Gruppen aus, klicken auf den Pfeil neben Importieren und wählen Exportieren. Klicken Sie zur Bestätigung auf Ja, wählen Sie einen Namen 94

95 und einen Speicherort für die Exportdatei aus und klicken Sie auf Speichern. HINWEIS: Vorhandene Gruppen in der Liste Parametrische Gruppen können Sie per Drag & Drop verschieben. HINWEIS: Parametrische Gruppen sind sehr praktisch, um Daten oder Clients zu filtern. Nehmen wir zum Beispiel an, Sie möchten Berichte erstellen, die ausschließlich die Computer mit Windows XP umfassen. Hierzu könnten Sie eine parametrische Gruppe erstellen, die nur die Computer mit diesem Betriebssystem enthält, und diese Gruppe dann als Filterkriterium angeben. Außerdem können Sie beim Erstellen eines Installationspakets 52 eigene benutzerdefinierte Clientinfos angeben (Konfigurationseditor > Kernel > Einstellungen > Remote Administration). Wenn Sie die benutzerdefinierten Clientinfos dann als Parameter für eine parametrische Gruppe verwenden, wird jeder Benutzer, der das Paket installiert, automatisch Mitglied dieser Gruppe Active Directory-/LDAP-Synchronisierung Bei der Active Directory-Synchronisierung werden ausgehend von der im Active Directory (AD) definierten Struktur automatisch passende Gruppen mit den entsprechenden Clients erstellt. Als Administrator können Sie so sehr komfortabel Clients in Gruppen zusammenfassen. Voraussetzung hierfür ist, dass die Clients im AD unter ihrem Namen als Objekte des Typs Computer vorhanden sind und AD-Gruppen angehören. Der Ablauf der Synchronisierung wird durch zwei grundlegende Optionen gesteuert: Über die Option Gruppen synchronisieren legen Sie fest, welche AD-Gruppen synchronisiert werden sollen. Die Einstellung Alle Gruppen bewirkt, dass die komplette AD-Hierarchie synchronisiert wird, unabhängig davon, ob die AD-Gruppen tatsächlich ERA-Clients enthalten. Bei den beiden anderen Einstellungen (Nur Gruppen mit Clients des ERA Servers und Nur Gruppen mit primären Clients des ERA-Servers) werden hingegen nur Gruppen synchronisiert, die vorhandene ERA-Clients enthalten. Mit der Option Synchronisierungsart legen Sie fest, ob die zu synchronisierenden Gruppen zu den vorhandenen AD-/LDAP-Gruppen hinzugefügt werden (AD-/LDAP-Gruppen importieren) oder diese vollständig ersetzen sollen (AD-/LDAP-Gruppen synchronisieren). Mit der Option Synchronisierte Zweige können Sie festlegen, dass nur bestimmte Active Directory-/LDAP-Zweige synchronisiert werden sollen. Klicken Sie auf Konfigurieren, um auszuwählen, welche Active Directory-/LDAPZweige mit Gruppen synchronisiert werden sollen. Standardmäßig sind alle Zweige ausgewählt. Hinweis: Klicken Sie auf Weitere Informationen!, um zusätzliche Informationen zu den Einstellungen und Regeln für die Active Directory-/LDAP-Synchronisierung zu erhalten. Klicken Sie auf Ändern... neben der Option "Synchronisierung", um das Synchronisierungsintervall zwischen AD/ LDAP und dem ERA Server zu konfigurieren. Wählen Sie im Dialogfenster Intervall für regelmäßige AD-/LDAPSynchronisierung (in Ortszeit des Servers) das gewünschte Intervall aus. Dieses wird dann neben der Option Synchronisieren angezeigt. Weitere Einstellungen für die Active Directory-Synchronisierung können Sie über den Konfigurationseditor einrichten (Remote Administrator > ERA Server > Einstellungen > Gruppen und Active Directory/LDAP). Sie können andere Active Directory-/LDAP-Objekte einbeziehen, indem Sie die Kontrollkästchen für die gewünschten Optionen aktivieren. Über die Schaltfläche Synchronisierung starten wird eine Synchronisierung gemäß den konfigurierten Optionen gestartet. HINWEIS: Für die Active Directory-Synchronisierung muss ERAS nicht auf dem Domänencontroller installiert sein. Es reicht aus, wenn der Rechner, auf dem ERAS installiert ist, auf den Domänencontroller zugreifen kann. Um die Authentifizierung für Ihren Domänencontroller zu konfigurieren, verwenden Sie die Option Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > Remote Administrator > ERA Server > Einstellungen > Active Directory/LDAP. 95

96 5.3 Policies Policies ähneln in vielerlei Hinsicht Konfigurations-Tasks. Allerdings handelt es sich hierbei nicht um einmalige Tasks, die an einen oder mehrere Arbeitsplatzrechner übermittelt werden. Sie dienen vielmehr dazu, bestimmte Konfigurationseinstellungen für ESET Security-Produkte dauerhaft aufrechtzuerhalten. Bei einer Policy handelt es sich also um eine Konfiguration, deren Durchsetzung auf dem Client erzwungen wird Grundsätze und Funktionsweise Zum Öffnen des Policy-Managers wählen Sie den Menüpunkt Extras > Policy-Manager. Die Policyhierarchie im linken Teil des Fensters zeigt die Policies auf den einzelnen Servern. Der rechte Teil des Fensters gliedert sich in vier Bereiche: Policyeinstellungen, Policykonfiguration, Policyaktionen sowie Globale Policyeinstellungen. Mit den Optionen in diesen Bereichen können Sie als Administrator Policies verwalten und konfigurieren. Der Policy-Manager dient primär zum Erstellen, Bearbeiten und Entfernen von Policies. Die Clients erhalten die Policies von ERAS. ERAS kann mehrere Policies verwenden, die ihre Einstellungen voneinander oder von Policies von einem übergeordneten Server erben können. Dieses System der Übernahme von Policies von einem übergeordneten Server wird als Vererbung bezeichnet. Policies, die als Ergebnis einer solchen Vererbung erstellt werden, heißen zusammengeführte Policies. Die Vererbung basiert auf einer hierarchischen Struktur: Untergeordnete Policies erben die Einstellungen der übergeordneten Policies Erstellen von Policies Nach der standarmäßigen Installation ist nur eine einzige Policy namens Server-Policy implementiert. Die Policy selbst können Sie im ESET Configuration Editor konfigurieren. Klicken Sie dazu auf Policy bearbeiten... und definieren Sie die Parameter für das ausgewählte ESET Security-Produkt (Client). Die Parameter sind in einer umfassenden Baumstruktur gegliedert. Jedes Konfigurationselement wird im Editor mit einem Symbol angezeigt. Blaue Symbole stehen dabei für aktive Parameter, die auf den Clients übernommen werden. Alle inaktiven Parameter (graue Symbole) bleiben auf den Zielcomputern hingegen unverändert. Dieses Prinzip gilt auch für geerbte und zusammengeführte Policies; untergeordnete Policies übernehmen aus der übergeordneten Policy jeweils nur die aktiven Parameter. Sie können in ERA Server mehrere Policies definieren (Schaltfläche Neue untergeordnete Policy...). Die wesentlichen Optionen für eine neue Policy sind Name der Policy mit Verknüpfung zu einer Übergeordneten Policy und Policykonfiguration (die Konfiguration darf leer sein; Sie können eine zusammengeführte Policykonfiguration von einer Policy im Dropdownmenü kopieren, eine Kopie einer.xml-konfigurationsdatei übernehmen oder den Assistenten zum Zusammenführen von Firewall-Regeln verwenden). Policies können jeweils nur auf dem Server erstellt werden, mit dem Sie gerade in ERAC verbunden sind. Um eine Policy auf einem untergeordneten Server zu erstellen, müssen Sie direkt eine Verbindung zu diesem Server aufbauen. Jede Policy hat zwei grundlegende Attribute: Vorrang vor allen untergeordneten Policies und Kann auf untergeordnete Server repliziert werden. Diese Attribute legen fest, wie aktive Konfigurationsparameter in untergeordneten Policies übernommen werden. Vorrang vor allen untergeordneten Policies - Erzwingt die Durchsetzung aller aktiven Parameter bei der Vererbung. Falls in der untergeordneten Policy andere Einstellungen für einen aktiven Parameter festgelegt sind, werden diese in der zusammengeführten Policy mit den betreffenden Einstellungen der vererbten übergeordneten Policy überschrieben. Dies gilt auch dann, wenn die Option Vorrang vor allen... in der untergeordneten Policy selbst wiederum aktiviert ist. Parameter, die in der übergeordneten Policy inaktiv sind, richten sich nach den Einstellungen in der untergeordneten Policy. Wenn Vorrang vor allen untergeordneten Policies nicht aktiviert ist, haben die Einstellungen aus der untergeordneten Policy beim Zusammenführen hingegen Vorrang vor denen der übergeordneten Policy. Solche zusammengeführten Policies werden auf alle weiteren untergeordneten Policies der bearbeiteten Policy angewendet. Kann auf untergeordnete Server repliziert werden - Aktiviert die Replikation auf untergeordnete Server. Beispielsweise kann die Policy als Standardpolicy für untergeordnete Server dienen und Clients zugewiesen werden, die mit untergeordneten Servern verbunden sind. 96

97 Sie können Policies auch über.xml-dateien importieren und exportieren oder aus Gruppen importieren. Nähere Informationen finden Sie im Kapitel Importieren/Exportieren von Policies Virtuelle Policies Neben den von Ihnen erstellten und den von anderen Servern replizierten Policies (siehe Kapitel Replikation (Registerkarte) 129 ) enthält die Policyhierarchie auch eine "übergeordnete Standardpolicy". Hierbei handelt es sich um eine sogenannte "virtuelle Policy". Die übergeordnete Standardpolicy ist die Policy, die auf einem übergeordneten Server in den Policyeinstellungen unter Global als Standardpolicy für untergeordnete Server ausgewählt wurde. Wenn der Server nicht repliziert wird, ist diese Policy leer (nähere Informationen hierzu später). Die "Standardpolicy für primäre Clients" wird auf dem jeweiligen Server (also nicht auf einem übergeordneten Server) in den globalen Policyeinstellungen definiert und erscheint unter diesem Namen in der Policyhierarchie. Sie wird auf neu verbundenen Clients (primären Clients) des betreffenden ERAS automatisch durchgesetzt, sofern diesen Clients nicht bereits mithilfe von Policyregeln eine andere Policy zugewiesen wurde (nähere Informationen siehe Kapitel Zuweisen von Policies zu Clients 99 ). Virtuelle Policies sind also Verknüpfungen zu anderen Policies, die sich auf demselben Server befinden Rolle und Zweck von Policies in der Policyhierarchie Neben jeder Policy in der Policyhierarchie steht links ein Symbol. Diese Symbole haben die folgende Bedeutung: 1. Policies mit blauen Symbolen sind auf dem jeweiligen Server vorhanden. Das blaue Symbol hat drei Untertypen: Symbole mit weißer Füllung: Die Policy wurde auf dem jeweiligen Server erstellt. Sie kann nicht auf untergeordnete Server repliziert werden, d. h. sie ist keinen Clients von untergeordneten Servern zugewiesen und dient auch nicht als übergeordnete Policy für die untergeordneten Server. Solche Policies können also nur Clients zugewiesen werden, die direkt mit dem jeweiligen Server verbunden sind. Außerdem können sie als übergeordnete Policies für andere Policies auf demselben Server dienen. Symbole mit blauer Füllung: Die Policy wurde ebenfalls auf dem Server erstellt, aber mit aktivierter Option Vorrang vor allen untergeordneten Policies (nähere Informationen finden Sie im Kapitel Erstellen von Policies 96 ). Symbole mit Pfeilen nach unten: Für diese Policies ist die Option Kann auf untergeordnete Server repliziert werden aktiviert, d. h. sie werden repliziert. Sie können solche Policies sowohl auf dem aktuellen Server als auch auf seinen untergeordneten Servern anwenden. Symbole für die standardmäßige Serverpolicy. 2. Policies mit grauen Symbolen stammen von anderen Servern. Symbole mit Pfeilen nach oben: Diese Policies wurden von einem untergeordneten Server repliziert. Sie können lediglich angezeigt und (über die Schaltfläche Policy-Zweig löschen) gelöscht werden. Hiermit wird die eigentliche Policy nicht gelöscht, sondern nur aus der Policyhierarchie entfernt. Nach einer erneuten Replikation wird sie daher unter Umständen wieder angezeigt. Wenn keine Policies von untergeordneten Servern angezeigt werden sollen, aktivieren Sie die Option Policies anderer Server ausblenden, wenn nicht in Policyhierarchie verwendet. Symbole mit Pfeilen nach unten: Diese Policies wurden von einem übergeordneten Server repliziert. Sie können anderen Policies übergeordnet, Clients zugewiesen (Clients hinzufügen) oder entfernt werden (Policy löschen). Bitte beachten Sie, dass die eigentliche Policy auch hier nicht gelöscht wird und daher nach der nächsten Replikation vom übergeordneten Server wieder erscheint (sofern nicht in der Zwischenzeit die Option Kann auf untergeordnete Server repliziert werden auf dem übergeordneten Server deaktiviert wurde). HINWEIS: Um die Position einer Policy in der Hierarchie zu verändern, können Sie entweder die Einstellung "Übergeordnete Policy" ändern oder die Policy per Drag & Drop mit der Maus verschieben. Um eine vorhandene Policyregel als.xml-datei zu importieren/exportieren, klicken Sie auf Policies importieren/ exportieren. Wenn eine vorhandene und eine importierte Policy den gleichen Namen tragen, wird dem Namen der importierten Policy automatisch eine zufällige Zeichenfolge angehängt. 97

98 5.3.5 Anzeigen von Policies Policies aus der Policyhierarchie können Sie direkt im Konfigurationseditor anzeigen, indem Sie auf Policy anzeigen > Anzeigen... oder Zusammengeführt anzeigen... klicken. Zusammengeführt anzeigen - Zeigt die zusammengeführte Policy an, die als Ergebnis der Vererbung (Übernahme von Einstellungen) von übergeordneten Policies entsteht. Diese Option wird standardmäßig angezeigt, weil es sich bei der aktuellen Policy bereits um eine zusammengeführte Policy handelt. Anzeigen - Zeigt die ursprüngliche Policy vor ihrer Zusammenführung mit der übergeordneten Policy an. Auf untergeordneten Servern stehen für Policies, die von übergeordneten Servern geerbt wurden, die folgenden Optionen zur Verfügung: Zusammengeführt anzeigen - siehe oben Überschreibenden Teil anzeigen - Diese Schaltfläche ist für Policies relevant, bei denen die Option Vorrang vor allen untergeordneten Policies aktiv ist. Sie zeigt gezielt den überschreibenden Teil der Policy an, d. h. den Teil, der abweichende Einstellungen in untergeordneten Policies außer Kraft setzt. Nicht überschreibenden Teil anzeigen - Funktioniert umgekehrt wie der Befehl "Überschreibenden Teil anzeigen", d. h. es werden nur aktive Einträge angezeigt, für die die Option "Vorrang vor allen..." nicht aktiviert ist. HINWEIS: Ein Doppelklick auf einen Eintrag in der Policyhierarchie hat denselben Effekt wie der Befehl "Zusammengeführt anzeigen" Importieren/Exportieren von Policies Über den Policy-Manager können Sie Policies sowie Policyregeln importieren und exportieren. Um eine vorhandene Policy als.xml-datei zu importieren/exportieren, klicken Sie auf Policies importieren/exportieren. Darüber hinaus ist mit der Schaltfläche Aus Gruppen importieren ein Import von Policies aus Gruppen möglich. Zum Importieren/Exportieren von Policyregeln klicken Sie auf Importieren... bzw. Exportieren... Außerdem können Sie Policyregeln auch über den Assistenten für Policyregeln erstellen. Wenn beim Import ein Namenskonflikt auftritt (d. h. die zu importierende Policy hat denselben Namen wie eine bereits vorhandene Policy), wird dieser gelöst, indem an den Namen der importierten Policy eine zufällig gewählte Zeichenfolge angehängt wird. Falls dies im Einzelfall nicht funktioniert (wenn z. B. der neue Name zu lang ist), wird der Importvorgang mit der Warnung Nicht aufgelöster Policyregel-Namenskonflikt abgeschlossen. Um den Konflikt in solch einem Fall aufzulösen, müssen Sie die betreffenden Policies bzw. Policyregeln löschen oder umbenennen Policy-Migrationsassistent Der Policy-Migrationsassistent unterstützt Sie dabei, auf der Grundlage vorhandener Einstellungen für WindowsDesktop-Produkte der Version 3 oder 4 neue Policies für Windows-Desktop-Produkte der Version 5 zu erstellen oder vorhandene Policies zu aktualisieren. Bei der Installation über eine Vorgängerversion können Sie alle Policies automatisch migrieren. Um jedoch die Einstellungen für die Migration individuell anzupassen, empfiehlt sich stattdessen der Policy-Migrationsassistent. So migrieren Sie vorhandene Policies: 1. Aktivieren Sie die Kontrollkästchen neben den Policies, deren Einstellungen Sie migrieren möchten. 2. Wenn bereits eine Endpoint-Policy vorhanden ist, wählen Sie eine der folgenden Einstellungen: Vorhandene Endpoint-Policy ersetzen und nur Quelleinstellungen verwenden - Die vorhandene Policy wird vollständig durch die neu erstellte Policy (Windows-Desktop-Produkte Version 5) ersetzt, wobei die Einstellungen aus der ursprünglichen Policy (Windows-Produkte Version 3 und 4) verwendet werden. Policies zusammenführen und abweichende Endpoint-Einstellungen nicht ersetzen - Vorhandene und migrierte Policies werden zusammengeführt. Vorhandene Einstellungen in einer Policy für Windows-Desktop-Produkte der Version 5 werden nicht mit den Einstellungen aus der Policy für Windows-Produkte der Version 3 und 4 überschrieben. 98

99 Policies zusammenführen und abweichende Endpoint-Einstellungen ersetzen - Vorhandene und migrierte Policies werden zusammengeführt. Abweichende Einstellungen werden mit den Einstellungen aus der ursprünglichen Policy (Windows-Produkte Version 3 und 4) überschrieben. 3. Je nachdem, wie viele Policies migriert werden, kann dieser Prozess einige Zeit dauern. Warten Sie, bis er abgeschlossen ist. Klicken Sie auf Fertig stellen, wenn die Meldung Die Policy-Migration ist abgeschlossen erscheint Zuweisen von Policies zu Clients Für die Zuweisung von Policies zu Clients gibt es zwei wesentliche Regeln: 1. Lokalen (primären) Clients können Sie beliebige lokale Policies oder Policies, die von übergeordneten Servern repliziert wurden, zuweisen. 2. Einem Client, der von einem untergeordneten Server repliziert wurde, können Sie beliebige lokale Policies zuweisen, für die die Einstellung Kann auf untergeordnete Server repliziert werden aktiviert ist, sowie alle Policies, die von übergeordneten Servern repliziert wurden. Sie können dem Client jedoch keine Policies von seinem eigenen primären Server zuweisen. Hierzu müssen Sie in ERAC eine Verbindung zu diesem Server aufbauen. Beachten Sie die folgenden wichtigen Hinweise: Prinzipiell wird jedem Client eine Policy zugewiesen. Einen "Client ohne Policy" gibt es nicht. Außerdem ist es nicht möglich, eine Policy von einem Client zu entfernen. Sie können sie lediglich durch eine andere Policy ersetzen. Wenn ein bestimmter Client überhaupt keine Konfiguration über eine Policy erhalten soll, erstellen Sie eine leere Policy und weisen dem Client diese zu Standardpolicy für primäre Clients Eine Methode zum Zuweisen von Policies ist die automatische Anwendung der Serverpolicy. Hierbei handelt es sich um eine virtuelle Policy, die in den Policyeinstellungen unter Global konfiguriert werden kann. Sie wird den primären Clients zugewiesen, d. h. den Clients mit einer direkten Verbindung zum jeweiligen ERAS. Nähere Informationen finden Sie im Kapitel Virtuelle Policies Manuelle Zuweisung Um Policies manuell zuzuweisen, gibt es zwei Möglichkeiten: Entweder klicken Sie mit der rechten Maustaste auf einen Eintrag auf der Registerkarte Clients und wählen dann im Kontextmenü den Befehl Policy festlegen, oder Sie klicken im Policy-Manager auf Clients hinzufügen > Hinzufügen/Entfernen. Durch Klicken auf Clients hinzufügen im Policy-Manager wird das Dialogfenster Festlegen/Entfernen geöffnet. Im linken Teil des Fensters sind die Clients im Format Server/Client aufgeführt. Wenn die Option Kann auf untergeordnete Server repliziert werden aktiv ist, umfasst die Liste auch Clients, die von untergeordneten Servern repliziert wurden. Wählen Sie die Clients, denen die Policy zugewiesen werden soll, entweder per Drag & Drop aus oder verschieben Sie sie durch Klicken auf >> in die Liste Ausgewählte Objekte. Neu ausgewählte Clients werden mit einem gelben Sternchen angezeigt. Sie haben jetzt noch die Möglichkeit, sie wieder aus der Liste Ausgewählte Objekte zu entfernen; klicken Sie dazu auf << (einzeln entfernen) oder C (alle entfernen). Klicken Sie auf OK, um Ihre Auswahl zu bestätigen. HINWEIS: Nachdem Sie die Zuweisung einmal bestätigt haben, können Sie die Clients im Dialogfenster Festlegen/ Entfernen nicht mehr aus der Liste Ausgewählte Objekte entfernen. Sie können lediglich die Policy durch eine andere ersetzen. Zum Hinzufügen von Clients können Sie auch die Funktion Hinzufügen (erweitert) verwenden. Auf diese Weise können Sie alle Clients auf einmal, nur die ausgewählten Clients oder alle Clients eines bestimmten Servers bzw. einer Gruppe hinzufügen. 99

100 Policyregeln Mit dem Werkzeug Regeln für Policies können Sie als Administrator die Zuweisung von Policies zu Clients umfassend und komfortabel automatisieren. Regeln werden ausgeführt, sobald der Client eine Verbindung zum Server aufbaut. Sie haben Vorrang vor der Serverpolicy und vor manuellen Zuweisungen. Die Serverpolicy wird nur verwendet, wenn der Client durch keine der aktuellen Regeln abgedeckt wird. Wenn einem Client manuell eine Policy zugewiesen wurde, die in Konflikt mit den Policyregeln steht, hat die von den Policyregeln erzwungene Konfiguration Vorrang. Wenn jeder Server von einem lokalen Administrator verwaltet wird, kann jeder dieser Administratoren eigene Policyregeln für seine Clients einrichten. In einem solchen Szenario ist darauf zu achten, dass keine Konflikte zwischen den Policyregeln entstehen etwa wenn der übergeordnete Server einem Client aufgrund einer Policyregel eine bestimmte Policy zuweist, der untergeordnete Server aufgrund seiner eigenen Regeln jedoch eine andere Policy. Policyregeln werden über die Registerkarte Policyregeln im Policy-Manager erstellt und verwaltet. Die Erstellung und Anwendung der Regeln läuft in vielerlei Hinsicht ähnlich ab wie das Erstellen und Verwalten von Regeln in -Programmen. Jede Regel kann ein oder mehrere Kriterien enthalten und in der Regelliste nach oben oder unten verschoben werden. Je weiter oben die Regel in der Liste steht, desto höher ist ihre Priorität. Um eine neue Regel zu erstellen, klicken Sie auf Neue Regel und wählen Sie aus, ob Sie die Regel Neu erstellen oder den Assistenten für Policyregeln 101 verwenden möchten. Tragen Sie dann die gewünschten Werte in die Felder Name, Beschreibung, Client-Filter-Parameter sowie Policy ein (letzteres ist die Policy, die den Clients zugewiesen wird, die die angegebenen Kriterien erfüllen). Um die Filterkriterien zu konfigurieren, klicken Sie auf Bearbeiten: (NICHT) VON Primärer Server - Erfüllt, wenn sich der Client (nicht) auf dem primären Server befindet. IST (NICHT) Neuer Client - Erfüllt, wenn es sich (nicht) um einen neuen Client handelt. HAT (NICHT) Markierung "Neu" - Erfüllt, wenn für den Client die Markierung "Neu" (nicht) gesetzt ist. Primärer Server (NICHT) IN (festlegen) - Erfüllt, wenn der Name des primären Servers die angegebene Zeichenfolge (nicht) enthält. ERA-Gruppen IN (festlegen) - Erfüllt, wenn der Client der angegebenen Gruppe angehört. ERA-Gruppen NICHT IN (festlegen) - Erfüllt, wenn der Client der angegebenen Gruppe nicht angehört. Domäne/Arbeitsgruppe (NICHT) IN (festlegen) - Erfüllt, wenn der Client der angegebenen Domäne (nicht) angehört. Maske für Computernamen IN (festlegen) - Erfüllt, wenn der Client den angegebenen Computernamen hat. HAT IPv4-Maske (festlegen) - Erfüllt, wenn die IPv4-Adresse des Clients in dem durch IPv4-Adresse und Maske angegebenen Netzwerk liegt. HAT IPv4-Bereich (festlegen) - Erfüllt, wenn die IPv4-Adresse des Clients im angegebenen Bereich liegt. HAT IPv6-Maske (festlegen) - Erfüllt, wenn die IPv6-Adresse des Clients in dem durch IPv6-Adresse und Maske angegebenen Netzwerk liegt. HAT IPv6-Bereich (festlegen) - Erfüllt, wenn die IPv6-Adresse des Clients im angegebenen Bereich liegt. HAT (NICHT) Festgelegte Policy (festlegen) - Erfüllt, wenn der Client die angegebene Policy (nicht) verwendet. Produktname (NICHT) IN - Erfüllt, wenn der angegebene Produktname (nicht) vorliegt. Produktversion IST (NICHT) - Erfüllt, wenn die angegebene Produktversion (nicht) vorliegt. Maske für benutzerdefinierte Clientinfos 1, 2, 3 (NICHT) IN - Erfüllt, wenn die benutzerdefinierten Clientinfos die angegebene Zeichenfolge (nicht) enthalten. Maske für Clientkommentar (NICHT) IN HAT (NICHT) Schutzstatus (festlegen) - Erfüllt, wenn auf dem Client der angegebene Schutzstatus (nicht) vorliegt. Signaturdatenbank-Version IST (NICHT) - Erfüllt, wenn die angegebene Version der Signaturdatenbank (nicht) vorliegt. Letzte Verbindung IST (NICHT) länger her als (festlegen) - Erfüllt, wenn die letzte Verbindung (nicht) länger her ist als die angegebene Zeitspanne. IST (NICHT) Im Zustand "Warten auf Neustart" - Erfüllt, wenn der Client (nicht) auf einen Neustart wartet. Policyregeln können aus einer.xml-datei importiert oder in eine solche Datei exportiert werden. Policyregeln können auch automatisch mit dem Assistenten für Policyregeln 101 erstellt werden, um auf der Grundlage der vorhandenen Gruppenstruktur eine passende Policystruktur zu erstellen und die erstellten Policies über entsprechende Policyregeln den Gruppen zuzuweisen. Nähere Informationen zum Importieren/Exportieren von 100

101 Policyregeln finden Sie im Kapitel Importieren/Exportieren von Policies 98. Um eine Policyregeln zu entfernen, klicken Sie auf Regel löschen... Um eine aktivierte Regel sofort anzuwenden, klicken Sie auf Policyregeln jetzt anwenden Assistent für Policyregeln Mit dem Assistenten für Policyregeln können Sie auf der Grundlage der vorhandenen Gruppenstruktur eine passende Policystruktur erstellen und die neuen Policies über entsprechende Regeln den Gruppen zuweisen. 1. Im ersten Schritt werden Sie aufgefordert, die Gruppenstruktur zu bestätigen. Wenn die vorhandene Gruppenstruktur noch nicht Ihren Vorstellungen entspricht, können Sie an dieser Stelle auf Gruppen-Manager klicken, um passende Gruppen einzurichten. Klicken Sie dann auf Weiter Im zweiten Schritt werden Sie gefragt, welche Kategorien von Clientgruppen die neue Policyregel betreffen soll. Aktivieren Sie die gewünschten Kontrollkästchen und klicken Sie auf Weiter. 3. Wählen Sie die übergeordnete Policy. 4. Im letzten Schritt erscheint nun eine einfache Statusanzeige. Klicken Sie auf Fertig stellen, um den Assistenten für Policyregeln zu schließen. Die neue Policyregel erscheint nun in der Liste auf der Registerkarte Regeln für Policies. Um sie zu aktivieren, aktivieren Sie das dazugehörige Kontrollkästchen. Nähere Informationen zum Importieren/Exportieren von Policyregeln und dem Vorgehen bei Namenskonflikten finden Sie im Kapitel Importieren/Exportieren von Policies Policies für mobile Clients Benutzer eines ESET-Produkts auf einem Mobilgerät verfügen über eine größere Kontrolle über die Einstellungen und das Verhalten der Software als Benutzer eines ESET-Produkts auf einem Laptop/Desktop. Aus diesem Grund ist es nicht erforderlich, eine Policy für Mobilbenutzer zu erzwingen, da der Benutzer möglicherweise bestimmte Einstellungen ändern oder anpassen möchte. Gehen Sie folgendermaßen vor, um eine Policy für mobile Clients zu erstellen: Leere Policy erstellen (standardmäßige Policy für Clients) 1. Klicken Sie auf Extras > Policy-Manager. 2. Klicken Sie auf Neue Policy hinzufügen, um eine leere Policy ohne veränderte Einstellungen zu erstellen. Wählen Sie im Konfigurationsbereich der Policy die Option Leere Policykonfiguration erstellen. 3. Klicken Sie auf Clients hinzufügen und wählen Sie die Mobilgerätebenutzer aus, die mit der Policy verwaltet werden sollen. 4. Klicken Sie auf die Registerkarte Policy-Regeln 100 und dann auf Neu. 5. Wählen Sie die Policy im Dropdownmenü Policy aus und klicken Sie auf Bearbeiten. 6. Wählen Sie die Regelbedingung IST neuer Client aus. Klicken Sie im Parameterfeld auf IST, um die Regelbedingung in IST NICHT zu ändern. Klicken Sie dann zweimal auf OK. 7. Klicken Sie auf OK und dann auf Ja, wenn Sie aufgefordert werden, das Speichern der Einstellungen zu bestätigen. 8. Die Policy wird bei jeder Verbindung des Client mit dem ERA-Server angewendet. Einmalige Policy erstellen (anfängliche Policy für Clients) 1. Klicken Sie auf Extras > Policy-Manager. 2. Klicken Sie auf Neue Policy hinzufügen, um eine leere Policy ohne veränderte Einstellungen zu erstellen. Wählen Sie im Konfigurationsbereich der Policy die Option Leere Policykonfiguration erstellen. 101

102 3. Konfigurieren Sie die gewünschten Einstellungen, die auf die Mobilclients angewendet werden sollen, und speichern Sie die Konfiguration. 4. Klicken Sie auf Clients hinzufügen und weisen Sie die Mobilgerätebenutzer zu, die mit der Policy verwaltet werden sollen. 5. Klicken Sie auf die Registerkarte Policy-Regeln 100 und dann auf Neu. 6. Wählen Sie die Policy im Dropdownmenü Policy aus und klicken Sie auf Bearbeiten. 7. Wählen Sie die Regelbedingung IST neuer Client aus und klicken Sie zweimal auf OK. 8. Klicken Sie auf OK und dann auf Ja, wenn Sie aufgefordert werden, das Speichern der Einstellungen zu bestätigen. Bei der ersten Verbindung der Mobilclients zum ERA-Server werden die Einstellungen der Einmaligen Policy angewendet. Bei späteren Verbindungen zum ERA-Server wird eine leere Policy angewendet und die Einstellungen nicht beeinflusst Löschen von Policies Genau wie das Erstellen von Policies ist auch das Löschen von Policies nur auf dem Server möglich, mit dem Sie gerade verbunden sind. Um eine Policy von einem anderen Server zu löschen, müssen Sie zunächst in ERAC eine direkte Verbindung zu diesem Server aufbauen. HINWEIS: Policies können mit anderen Servern oder Policies verknüpft sein (als übergeordnete Policy, als Standardpolicy für untergeordnete Server, als Standardpolicy für primäre Clients usw.). In bestimmten Fällen können Policies daher nicht einfach gelöscht werden, sondern müssen ersetzt werden. Um die Optionen zum Löschen und Ersetzen anzuzeigen, klicken Sie auf Policy löschen... Welche der nachfolgenden Optionen im konkreten Fall zur Verfügung stehen, richtet sich nach der Stellung der betreffenden Policy in der Policyhierarchie. Neue Policy für primäre Clients mit der zu löschenden Policy - Hiermit können Sie für primäre Clients eine neue Policy als Ersatz für die zu löschende Policy festlegen. Primäre Clients können entweder die Standardpolicy für primäre Clients oder andere Policies vom gleichen Server übernehmen (entweder über Clients hinzufügen manuell zugewiesen oder über Policyregeln durchgesetzt). Als Ersatz können Sie eine beliebige Policy vom jeweiligen Server oder eine replizierte Policy verwenden. Neue übergeordnete Policy für Policies unter der zu löschenden Policy - Wenn der zu löschenden Policy andere Policies untergeordnet waren, müssen Sie ebenfalls einen Ersatz festlegen. Als Ersatz können Sie eine andere Policy vom betreffenden Server oder eine von einem übergeordneten Server replizierte Policy verwenden. Sie können auch die Option "Nicht verfügbar" wählen, um den untergeordneten Policies keine Ersatzpolicy zuzuweisen. Es empfiehlt sich jedoch dringend, sogar dann eine Ersatzpolicy zuzuweisen, wenn der zu löschenden Policy keine anderen Policies untergeordnet sind. Anderenfalls kommt es zu Konflikten, wenn parallel zum Löschvorgang ein anderer Benutzer der zu löschenden Policy eine andere Policy unterordnet. Neue Policy für replizierte Clients mit der zu löschenden/ändernden Policy - Hiermit können Sie für Clients, die von untergeordneten Servern repliziert wurden, eine neue Policy als Ersatz für die zu löschende Policy festlegen. Als Ersatz können Sie eine beliebige Policy vom jeweiligen Server oder eine replizierte Policy verwenden. Neue Standardpolicy für untergeordnete Server - Wenn die zu löschende Policy als virtuelle Policy dient (siehe Bereich Globale Policyeinstellungen), muss sie durch eine andere Policy ersetzt werden (nähere Informationen siehe Kapitel Virtuelle Policies 97 ). Als Ersatz können Sie eine beliebige Policy vom jeweiligen Server verwenden oder die Option "Nicht verfügbar" wählen. Neue Standardpolicy für primäre Clients - Wenn die zu löschende Policy als virtuelle Policy dient (siehe Bereich Globale Policyeinstellungen), muss sie durch eine andere Policy ersetzt werden (nähere Informationen siehe Kapitel Virtuelle Policies 97 ). Als Ersatz können Sie eine andere Policy vom gleichen Server verwenden. Dasselbe Dialogfenster erscheint auch, wenn Sie die Option Kann auf untergeordnete Server repliziert werden für eine Policy deaktivieren und auf OK oder Übernehmen klicken oder wenn Sie eine andere Policy in der Hierarchie auswählen. In diesem Fall werden die Felder Neue Policy für replizierte Clients mit der zu löschenden/ändernden Policy bzw. Neue Standardpolicy für untergeordnete Server aktiviert. 102

103 Erweiterte Einstellungen Zwei weitere Einstellungen für die Zuweisung von Policies finden Sie nicht im Policy-Manager, sondern unter Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > ESET Remote Administrator > ERA Server > Einstellungen > Policies. Intervall für die Durchsetzung von Policies (Minuten) - Diese Funktion gilt für Policies im angegebenen Intervall. Die Standardeinstellung wird empfohlen. Policynutzung deaktivieren - Wenn Sie diese Option aktivieren, wird die Durchsetzung von Policies für einen gesamten Server deaktiviert. Sie sollten diese Option nur verwenden, wenn ein Problem mit einer bestimmten Policy vorlegt. Wenn eine Policy nur auf bestimmten Clients nicht durchgesetzt werden soll, sollten Sie diesen Clients stattdessen besser eine leere Policy zuweisen Szenarien für die Durchsetzung von Policies Nur Standalone-Server, Policies werden lokal definiert In diesem Szenario gehen wir von einem kleinen Netzwerk mit einem Hauptserver und zwei untergeordneten Servern aus. Jeder Server hat mehrere Clients. Auf jedem Server ist mindestens eine Policy definiert. Die untergeordneten Server befinden sich in den Zweigniederlassungen des Unternehmens und werden jeweils von einem Administrator vor Ort verwaltet. Jeder Administrator entscheidet für "seinen" Server eigenverantwortlich, welche Policies welchen Clients zugewiesen werden. Der Administrator des Hauptservers greift nicht in diese Konfiguration ein und weist den Clients der untergeordneten Server selbst keine Policies zu. Mit Blick auf die Serverpolicies bedeutet dies, dass Server A keine Standardpolicy für untergeordnete Server hat. Außerdem bedeutet es, dass auf Server B und Server C als übergeordnete Policy entweder "Nicht verfügbar" oder eine andere lokale Policy (außer der übergeordneten Standardpolicy) eingestellt ist. (Den Servern B und C werden also keine übergeordneten Policies vom übergeordneten Server zugewiesen.) 103

104 104

105 Jeder Server wird einzeln administriert - Policies werden lokal verwaltet, aber die übergeordnete Standardpolicy wird vom übergeordneten Server geerbt Die Konfiguration aus dem vorherigen Szenario gilt auch für dieses Szenario. Auf Server A ist diesmal jedoch eine Standardpolicy für untergeordnete Server aktiviert. Die untergeordneten Server erben dadurch die Konfiguration der übergeordneten Standardpolicy vom Master-Server. In diesem Szenario konfigurieren die Administratoren der lokalen Server ihre Policies weitgehend eigenständig. Die Policies auf den untergeordneten Servern erben zwar die übergeordnete Standardpolicy, die lokalen Administratoren können diese jedoch mit eigenen Policies anpassen. 105

106 Vererbung von Policies durch einen übergeordneten Server Für dieses Szenario gilt dasselbe Netzwerkmodell wie in den vorhergehenden beiden Szenarien. Zusätzlich enthält der Master-Server neben der übergeordneten Standardpolicy weitere Policies, die auf die untergeordneten Server repliziert werden und dort als übergeordnete Policies dienen. In der Policy 1 (siehe Abbildung unten) ist die Option Vorrang vor allen untergeordneten Policies aktiviert. Der Administrator des lokalen Servers hat dadurch weiterhin weitreichenden Handlungsspielraum. Welche Policies auf die untergeordneten Server repliziert werden und dort als übergeordnete Policies dienen, entscheidet jedoch der Administrator des Master-Servers. Durch die Einstellung Vorrang vor allen... ist festgelegt, dass die Konfigurationen der ausgewählten Policies Vorrang vor den Konfigurationen haben, die auf den lokalen Servern definiert sind. 106

107 Zuweisung von Policies ausschließlich vom übergeordneten Server Dieses Szenario steht für eine zentralisierte Policyverwaltung. Policies für die Clients werden ausschließlich auf dem zentralen Server erstellt, bearbeitet und zugewiesen. Lokale Administratoren sind nicht berechtigt, sie zu ändern. Auf allen untergeordneten Servern ist nur eine einzige leere Basispolicy vorhanden (standardmäßig unter dem Namen "Server-Policy"). Diese Policy dient als übergeordnete Standardpolicy für primäre Clients Zuweisung an Gruppen In bestimmten Situationen kann die Zuweisung von Policies an Clientgruppen die bisher beschriebenen Methoden ergänzen. Die Gruppen können Sie entweder von Hand oder über die Funktion Active Directory-Synchronisierung erstellen. Die Aufnahme von Clients in die Gruppen kann dabei manuell (statische Gruppen) oder automatisch anhand bestimmter Kriterien (parametrische Gruppen) erfolgen. Nähere Informationen finden Sie im Kapitel GruppenManager 93. Die Zuweisung der Policy an die Clientgruppe können Sie von Hand einmalig im Policy-Manager durchführen (Clients hinzufügen > Hinzufügen (erweitert)) oder automatisch über Policyregeln geschehen lassen. 107

108 Ein mögliches Szenario könnte beispielsweise wie folgt aussehen: Der Administrator möchte Clients aus unterschiedlichen AD-Gruppen unterschiedliche Policies zuweisen. Wenn ein Client in eine andere Gruppe verschoben wird, soll sich auch die zugewiesene Policy automatisch ändern. 1. Zunächst richten Sie hierfür die Active Directory-Synchronisierung im Gruppen-Manager nach Bedarf ein. Wichtig ist dabei insbesondere die Einstellung des korrekten Intervalls für die Synchronisierung (verfügbare Optionen: stündlich, täglich, wöchentlich, monatlich). 2. Nach der ersten erfolgreichen Synchronisierung werden die AD-Gruppen im Bereich Statische Gruppen angezeigt. 3. Erstellen Sie eine neue Policyregel mit der Bedingung ERA-Gruppen IN und/oder ERA-Gruppen NOT IN. 4. Legen Sie die Gruppen fest, die Sie mit dieser Bedingung verknüpfen möchten. 5. Geben Sie nun an, welche Policy den Clients zugewiesen werden soll, die die Regelbedingung(en) erfüllen, und klicken Sie auf OK, um die Regel zu speichern. HINWEIS: Statt den Schritten 3 bis 5 können Sie auch den Assistenten für Policyregeln verwenden, um auf der Grundlage der vorhandenen Gruppenstruktur eine passende Policystruktur zu erstellen und die neuen Policies über entsprechende Regeln den Gruppen zuzuweisen. Auf diese Weise können Sie eine passende Policyregel für jede AD-Gruppe definieren. Welche Policy einem bestimmten Client zugewiesen wird, richtet sich nun danach, welcher AD-Gruppe er angehört. Da eine regelmäßige AD-Synchronisierung eingerichtet wurde, werden Änderungen an der AD-Gruppenmitgliedschaft des Clients erkannt und bei der Zuweisung der Policy berücksichtigt. Die Policies werden den Clients also automatisch je nach ihrer AD-Gruppe zugewiesen. Sobald die Regeln und Policies erst einmal komplett definiert sind, geschieht die Zuweisung der Policies automatisch und ohne Eingriffe des Administrators. Der große Vorteil eines solchen Ansatzes ist die direkte, automatische Verknüpfung zwischen der ADGruppenmitgliedschaft und der zugewiesenen Policy. 108

109 5.4 Notifikations-Manager Um die Sicherheit und Integrität eines Netzwerks zu gewährleisten, muss es möglich sein, System- und Netzwerkadministratoren beim Auftreten von wichtigen Ereignissen durch eine entsprechende Benachrichtigung (Notifikation) zu informieren. Eine frühzeitige Warnung bei einem Fehler oder bei Malware-Aktivitäten kann den Zeit- und Kostenaufwand zur Behebung des Problems deutlich reduzieren. Die nächsten drei Abschnitte geben einen Überblick über die Benachrichtigungsmöglichkeiten in ERA. Um das Hauptfenster des Notifikations-Managers zu öffnen, klicken Sie auf Extras > Notifikations-Manager. Das Hauptfenster gliedert sich in zwei Bereiche: 1. Der Abschnitt Notifikationsregeln im oberen Teil des Fensters enthält eine Liste der vorhandenen Regeln (sowohl vordefinierte als auch vom Benutzer erstellte). Damit eine hier aufgeführte Regel tatsächlich zum Erzeugen von Notifikationen verwendet wird, muss ihr Kontrollkästchen aktiviert sein. Standardmäßig sind keine Notifikationen aktiviert. Prüfen Sie daher immer, ob die gewünschten Regeln tatsächlich aktiv sind. Mit den Schaltflächen unter der Regelliste können Sie verschiedene Aktionen ausführen: Speichern (Änderungen an einer Regel speichern), Speichern unter (geänderte Regel unter einem neuen Namen speichern), Löschen, Testen (Regel und damit die Notifikation testweise auslösen), Neu (neue Regel erstellen), Liste aktualisieren sowie Standardregeln (Standardregeln in der Liste wiederherstellen). Der Notifikations-Manager enthält standardmäßig eine Reihe vordefinierter Regeln. Um eine Regel zu aktivieren, aktivieren Sie das dazugehörige Kontrollkästchen. Die folgenden Notifikationsregeln stehen zur Verfügung. Wenn sie aktiviert werden und die entsprechenden Auslöserkriterien erfüllt sind, werden Log-Einträge erzeugt. 109

110 Mehr als 10% der primären Clients sind ohne Verbindung - Wenn mehr als 10 % der Clients mindestens eine Woche lang keine Verbindung zum Server aufgebaut haben, wird die Regel baldmöglichst ausgeführt. Mehr als 10% der primären Clients mit Schutzstatus "Kritisch" - Wenn mehr als 10 % der Clients eine kritische Warnung zum Schutzstatus gemeldet und mindestens eine Woche lang keine Verbindung zum Server aufgebaut haben, wird die Regel baldmöglichst ausgeführt. Primäre Clients mit Warnung zum Schutzstatus - Regel wird ausgeführt, wenn bei mindestens einem Client eine Warnung zum Schutzstatus vorliegt und der Client mindestens eine Woche lang keine Verbindung zum Server aufgebaut hat. Primäre Clients ohne Verbindung - Regel wird ausgeführt, wenn mindestens ein Client mindestens eine Woche lang keine Verbindung zum Server aufgebaut hat. Primäre Clients mit veralteter Signaturdatenbank - Regel wird ausgeführt, wenn die Version der Signaturdatenbank auf einem Client mindestens zwei Versionen hinter der aktuellen Version liegt und der Client innerhalb der letzten sieben Tage mindestens einmal mit dem Server verbunden war. Primäre Clients mit Schutzstatus "Kritisch" - Regel wird ausgeführt, wenn auf einem Client eine kritische Warnung zum Schutzstatus vorliegt und der Client innerhalb der letzten sieben Tage mindestens einmal mit dem Server verbunden war. Primäre Clients mit neuerer Signaturdatenbank als auf dem Server - Regel wird ausgeführt, wenn ein Client eine neuere Version der Signaturdatenbank als auf dem Server verwendet und innerhalb der letzten sieben Tage mindestens einmal mit dem Server verbunden war. Primäre Clients warten auf Neustart - Regel wird ausgeführt, wenn ein Client auf einen Neustart wartet und innerhalb der letzten sieben Tage mindestens einmal mit dem Server verbunden war. Primäre Clients mit nicht entfernter Bedrohung bei Scan - Regel wird baldmöglichst ausgeführt, wenn mindestens eine Bedrohung bei einem Scan auf einem Client nicht entfernt werden konnte und der Client innerhalb der letzten sieben Tage mindestens einmal mit dem Server verbunden war. Task abgeschlossen - Regel wird baldmöglichst ausgeführt, wenn ein Task auf einem Client abgeschlossen wurde. Neue primäre Clients - Regel wird baldmöglichst ausgeführt, wenn ein neuer Client eine Verbindung zum Server aufgebaut hat. Neue replizierte Clients - Regel wird nach einer Stunde ausgeführt, wenn ein neuer replizierter Client in die Clientliste aufgenommen wurde. Möglicher Virenausbruch - Regel wird ausgeführt, wenn auf mindestens 10 % der Clients innerhalb von einer Stunde jeweils mehr als 1000 kritische Warnungen ins Bedrohungs-Log geschrieben werden. Möglicher Angriff über das Netzwerk - Regel wird ausgeführt, wenn auf mindestens 10 % der Clients innerhalb von einer Stunde jeweils mehr als 1000 kritische Warnungen ins Log der ESET Personal Firewall geschrieben werden. Server-Update abgeschlossen - Regel wird ausgeführt, wenn ein Server-Update abgeschlossen wurde. Server nicht aktualisiert - Regel wird baldmöglichst ausgeführt, wenn auf dem Server mindestens fünf Tage lang kein Update stattgefunden hat. Fehler in Server-Textlog - Regel wird ausgeführt, wenn das Serverlog eine Fehlermeldung enthält. Lizenzablauf - Regel wird baldmöglichst ausgeführt, wenn die aktuelle Lizenz innerhalb von 20 Tagen abläuft und durch den Ablauf der Lizenz die Anzahl der lizenzierten Clients unter die Anzahl der momentan verbundenen Clients fallen würde. Lizenzlimit - Regel wird ausgeführt, wenn der Anteil der noch für neue Clients verfügbaren Lizenzen unter 10 % fällt. Soweit nicht anders angegeben, werden alle Regeln nach 24 Stunden ausgeführt, alle 24 Stunden wiederholt und gelten für den primären Server und primäre Clients. 2. Der Bereich Optionen in der unteren Hälfte des Fensters zeigt die Einstellungen der aktuell ausgewählten Regel. Alle Felder und Optionen in diesem Bereich werden anhand der Beispielregel aus dem Kapitel Erstellen von Regeln 119 beschrieben. Für jede Regel können Sie die Kriterien angeben, bei denen die Regel aktiviert wird - den so genannten Auslöser. Die folgenden Auslösertypen stehen zur Verfügung: Clientstatus Serverstatus Die Regel wird ausgelöst, wenn auf einem oder mehreren Clients ein Problem vorliegt. - Die Regel wird ausgelöst, wenn auf einem oder mehreren Servern ein Problem vorliegt.

111 Ereignis "Abgeschlossener Task" wurde Die Regel wird ausgelöst, nachdem der angegebene Task abgeschlossen Ereignis "Neuer Client" Die Regel wird ausgelöst, sobald eine neue Clientverbindung für den Server vorliegt (gilt auch für replizierte Clients). Ereignis "Ausbruch" Die Regel wird ausgelöst, wenn ein Malware-Ausbruch auf einer größeren Anzahl von Clients erkannt wird. Ereignis "Log erhalten" Diese Regel wird verwendet, wenn Sie in bestimmten Zeitabständen über neue LogEinträge benachrichtigt werden möchten. Je nach Typ des Auslösers können Sie weitere Optionen für die Regeln aktivieren oder deaktivieren. Beim Erstellen einer neuen Regel 119 sollten Sie daher als erstes den Auslösertyp festlegen. Mit der Liste Priorität können Sie die Priorität der Regel auswählen. P1 ist die höchste, P5 die niedrigste Priorität. Die Priorität hat keinerlei Auswirkung auf die Funktion der Regeln. Sie können die Priorität in den Benachrichtigungstext aufnehmen, indem Sie die Variable %PRIORITY% verwenden. Unter der Liste Priorität finden Sie das Feld Beschreibung. Es empfiehlt sich, jeder Regel eine aussagefähige Beschreibung zu geben, z. B. "Regel für Warnungen bei erkannten Bedrohungen". Über das Feld Nachricht im unteren Teil des Notifikations-Managers können Sie Format und Inhalt der Notifikation festlegen. Durch Variablenverweise im Format %Variablenname% können Sie dynamisch den Inhalt spezieller Variablen in den Text einfügen. Für eine Liste der verfügbaren Variablen klicken Sie auf Optionen anzeigen. Rule_Name Rule_Description Priority - Priorität der Notifikationsregel (P1 = höchste Priorität) Triggered - Datum der letzten Notifikation (ohne Wiederholungen) Triggered_Last - Datum der letzten Notifikation (einschließlich Wiederholungen) Client_Filter - Einstellungen des Clientfilters Client_Filter_Short - Einstellungen des Clientfilters in Kurzform Client_List - Liste der Clients Parameters - Parameter der Regel Primary_Server_Name Server_Last_Updated - Letztes Update des Servers Virus_Signature_DB_Version - Aktuelle Version der Signaturdatenbank Pcu_List - Aktuelle Liste aller PCUs. Pcu_List_New_Eula - Aktuelle Liste aller PCUs mit neuer EULA. Last_Log_Date - Datum des letzten Logs Task_Result_List - Liste der abgeschlossenen Tasks Log_Text_Truncated - Log-Text, der die Notifikation ausgelöst hat (abgeschnitten) License_Info_Merged - Lizenzinformationen (Zusammenfassung) License_Info_Full - Lizenzinformationen (komplett) License_Days_To_Expiry - Tage bis zum Ablauf der Lizenz License_Expiration_Date - Nächstes Ablaufdatum License_Clients_Left - Noch verfügbare Client-Verbindungslizenzen in der aktuellen Lizenz Actual_License_Count - Anzahl der Clients, die momentan mit dem Server verbunden sind 111

112 5.4.1 Clientstatus Definieren Sie im Bereich Clientfilter die Clientfilter-Kriterien. Bei der Ausführung der Regel werden dann nur diejenigen Clients berücksichtigt, die die Kriterien des Clientfilters erfüllen. Die folgenden Filterkriterien stehen zur Verfügung: VON Primärer Server - Nur Clients vom primären Server (kann mit der Option NICHT VON auch umgekehrt werden) Primärer Server IN - Primärer Server wird in die Ausgabe aufgenommen HAT Markierung "Neu" - Nur Clients mit der Markierung "Neu" (kann mit der Option HAT NICHT auch umgekehrt werden) ERA-Gruppen IN - Nur Clients, die der angegebenen Gruppe angehören Domäne/Arbeitsgruppe IN - Nur Clients, die der angegebenen Domäne angehören Maske für Computernamen IN - Nur Clients mit dem festgelegten Computernamen HAT IPv4-Maske - Nur Clients innerhalb der angegebenen IPv4-Maske HAT IPv4-Bereich - Nur Clients im angegebenen IPv4-Adressbereich HAT IPv6-Netzwerkpräfix - Nur Clients mit dem angegebenen IPv6-Netzwerkpräfix HAT IPv6-Bereich - Nur Clients im angegebenen IPv6-Adressbereich HAT Festgelegte Policy - Nur Clients, denen die angegebene Policy zugewiesen wurde (kann mit der Option HAT NICHT auch umgekehrt werden) Wenn Sie den Clientfilter für Ihre Notifikationsregel eingerichtet haben, klicken Sie auf OK. Konfigurieren Sie nun die Parameter für die Regel. Diese Clientparameter legen fest, welche Kriterien ein Client oder eine Gruppe von Clients erfüllen muss, damit die festgelegte Notifikationsaktion ausgeführt wird. Um die verfügbaren Parameter anzuzeigen, klicken Sie im Bereich Parameter auf Bearbeiten. Welche Parameter zur Verfügung stehen, hängt vom ausgewählten Auslösertyp ab. Für den Auslösertyp "Clientstatus" stehen die folgenden Parameter zur Verfügung: Schutzstatus - Beliebige Warnung - Spalte "Schutzstatus" enthält eine beliebige Warnung Schutzstatus - Kritische Warnung - Spalte "Schutzstatus" enthält eine kritische Warnung Signaturdatenbank-Version - Problem mit der Signaturdatenbank (sechs mögliche Werte): - Vorgängerversion - Signaturdatenbank liegt eine Version hinter der aktuellen Version zurück - Ältere Version oder nicht verfügbar - Signaturdatenbank liegt mehr als eine Version hinter der aktuellen Version zurück - Älter als 5 Versionen oder nicht verfügbar - Signaturdatenbank liegt mehr als fünf Versionen hinter der aktuellen Version zurück - Älter als 10 Versionen oder nicht verfügbar - Signaturdatenbank liegt mehr als zehn Versionen hinter der aktuellen Version zurück - Älter als 7 Tage oder nicht verfügbar - Signaturdatenbank liegt mehr als 7 Tage hinter der aktuellen Version zurück - Älter als 14 Tage oder nicht verfügbar - Signaturdatenbank liegt mehr als 14 Tage hinter der aktuellen Version zurück Warnung wegen überfälliger Verbindung - Im angegebenen Zeitraum wurde keine Verbindung aufgebaut. Letzte Bedrohungswarnung - Die Spalte "Letzte Bedrohungswarnung" enthält eine Bedrohungswarnung. Letztes Ereignis - Die Spalte "Letzte Ereigniswarnung" enthält einen Eintrag. Letzte Firewall-Warnung - Die Spalte "Letzte Firewall-Warnung" enthält eine Warnung zu einem Firewall-Ereignis. Markierung "Neu" - Für den Client ist die Markierung "Neu" aktiviert. Im Zustand "Warten auf Neustart" - Der Client wartet auf einen Neustart. Bedrohung bei letztem Scan gefunden - Beim letzten Scan wurde die angegebene Anzahl von Bedrohungen auf dem Client gefunden. Bedrohung bei letztem Scan nicht entfernt - Beim letzten Scan wurde die angegebene Anzahl von Bedrohungen nicht vom Client entfernt. Alle Parameter können umgekehrt werden, nicht alle dieser Umkehrungen sind jedoch auch sinnvoll. Eine Umkehrung eignet sich nur für Parameter, die einen Binärwert überprüfen, der entweder wahr oder falsch sein 112

113 kann. Der Parameter HAT Markierung "Neu" ist beispielsweise nur bei Clients erfüllt, bei denen die Markierung "Neu" gesetzt ist. Die Umkehrung dieses Parameters wäre dementsprechend bei allen Clients erfüllt, bei denen diese Markierung nicht gesetzt ist. Alle oben genannten Bedingungen können logisch miteinander verknüpft und umgekehrt werden. Über die Option Die Regel wird angewendet, wenn können Sie eine der beiden folgenden Verknüpfungsarten wählen: alle Bedingungen erfüllt sind - Die Regel wird nur dann ausgeführt, wenn alle angegebenen Bedingungen erfüllt sind. eine der Bedingungen erfüllt ist - Die Regel wird ausgeführt, wenn mindestens eine der angegebenen Bedingungen erfüllt ist. Wenn die festgelegten Kriterien für eine Regel erfüllt sind, wird automatisch die angegebene Aktion ausgeführt. Um die Aktionen zu konfigurieren, klicken Sie im Bereich Aktion auf Bearbeiten 118. Bevor die Regel ausgeführt wird, kann zunächst eine bestimmte Zeit lang gewartet werden (eine Stunde bis drei Monate). Wenn die Regel baldmöglichst ausgeführt werden soll, wählen Sie in der Liste Aktivieren nach den Eintrag Baldmöglichst. Die Notifikationsregeln werden standardmäßig alle zehn Minuten überprüft. Mit der Einstellung Baldmöglichst sollte die Regel also spätestens zehn Minuten nach Eintreten des Auslöseereignisses ausgeführt werden. Wenn Sie eine andere Zeitspanne auswählen, wird die Aktion automatisch nach Ablauf dieser Zeitspanne ausgeführt (sofern die Kriterien der Regel erfüllt sind). Über die Liste Wiederholen alle... können Sie ein Zeitintervall festlegen, in dem die Aktion wiederholt werden soll. Die Aktion wird allerdings nur dann wiederholt, wenn die Auslösekriterien der Regel zum betreffenden Zeitpunkt noch erfüllt sind. Über die Einstellung Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > ESET Remote Administrator > ERA Server > Einstellungen > Notifikation > Intervall für die Verarbeitung von Notifikationen (Minuten) können Sie festlegen, in welchem Zeitintervall der Server die aktiven Regeln überprüft und ausführt. Der Standardwert ist 10 Minuten. Ein niedrigerer Wert wird nicht empfohlen, da dies die Serverleistung deutlich beeinträchtigen kann Serverstatus Im Dialogfenster Parameter für Serverregel können Sie Regelparameter für den Versand von Notifikationen auf der Grundlage des Serverstatus einrichten. Um eine bestimmte Bedingung zu konfigurieren, klicken Sie auf die dazugehörige Optionsschaltfläche. Daraufhin werden die entsprechenden Eingabefelder aktiviert, und Sie können die Parameter der Bedingung bearbeiten. Server-Update - Server ist auf dem neuesten Stand. Kein Server-Update seit - Im angegebenen Zeitraum hat kein Server-Update stattgefunden. Auditlog - Im Auditlog werden alle Konfigurationsänderungen und Aktionen von ERAC-Benutzern protokolliert. Sie können die Log-Einträge nach Typ filtern (siehe hierzu den Abschnitt Serverlog). Serverlog - Das Serverlog enthält einen Eintrag der folgenden Typen: - Fehler - Fehlermeldungen - Fehler + Warnungen - Fehler- und Warnmeldungen - Fehler + Warnungen + Info (Inhaltsstufe 2) - Fehler-, Warn- und Informationsmeldungen 113

114 - Log-Einträge nach Typ filtern - Aktivieren Sie diese Option, um das Serverlog gezielt auf bestimmte Fehlerund Warnmeldungen zu überwachen. Bitte beachten Sie, dass der Log-Umfang in diesem Fall auf die entsprechende Inhaltsstufe gesetzt sein muss (Extras > Serveroptionen > Logging), damit die Notifikation wie beabsichtigt funktioniert. Anderenfalls findet die Regel im Serverlog nie eine Meldung, die eine Notifikation auslösen würde. Die folgenden Log-Typen stehen zur Verfügung: - ADSI_SYNCHRONIZE - Active Directory-Gruppensynchronisierung - CLEANUP - Server-Löschläufe (Bereinigung) - CREATEREPORT - Erstellen von Berichten auf Abruf - DEINIT - Server wird heruntergefahren - INIT - Server wird gestartet - INTERNAL 1 - Interne Servermeldung - INTERNAL 2 - Interne Servermeldung - LICENSE - Lizenzverwaltung - MAINTENANCE - Server-Wartungstasks - NOTIFICATION - Verwaltung von Notifikationen - PUSHINST - Push-Installation - RENAME - Umbenennung von internen Strukturen - REPLICATION - Serverreplikation - POLICY - Verwaltung von Policies - POLICYRULES - Policyregeln - SCHEDREPORT - Automatisch erstellte Berichte - SERVERMGR - Internes Thread-Management des Servers - SESSION - Server-Netzwerkverbindungen - SESSION_USERACTION - Verschiedene Benutzeraktionen - THREATSENSE - ESET Live Grid - Einreichen von statistischen Informationen - UPDATER - Server-Update und Erstellen von Mirror-Kopien Ein Beispiel für einen hilfreichen Parameter ist der Log-Typ UPDATER, mit dem Sie eine Notifikation auslösen können, wenn im Serverlog ein Problem im Zusammenhang mit einem Update oder der Erstellung von MirrorKopien gemeldet wird. Lizenzablauf - Die Lizenz läuft in der angegebenen Anzahl von Tagen ab oder ist bereits abgelaufen. Wenn Sie die Option Nur warnen, wenn dadurch die Anzahl der Clients in der Lizenz unter die Anzahl der vorhandenen Clients in der Serverdatenbank fallen würde aktivieren, erfolgt die Notifikation nur, wenn durch den Ablauf der Lizenz die Anzahl der lizenzierten Clients unter die Anzahl der momentan verbundenen Clients fallen würde. Lizenzlimit - Der Anteil der noch für neue Clients verfügbaren Lizenzen fällt unter den eingestellten Prozentwert. Wenn die festgelegten Kriterien für eine Regel erfüllt sind, wird automatisch die angegebene Aktion ausgeführt. Um die Aktionen zu konfigurieren, klicken Sie im Bereich Aktion auf Bearbeiten 118. Bevor die Regel ausgeführt wird, kann zunächst eine bestimmte Zeit lang gewartet werden (eine Stunde bis drei Monate). Wenn die Regel baldmöglichst ausgeführt werden soll, wählen Sie in der Liste Aktivieren nach den Eintrag Baldmöglichst. Die Notifikationsregeln werden standardmäßig alle zehn Minuten überprüft. Mit der Einstellung Baldmöglichst sollte die Regel also spätestens zehn Minuten nach Eintreten des Auslöseereignisses ausgeführt werden. Wenn Sie eine andere Zeitspanne auswählen, wird die Aktion automatisch nach Ablauf dieser Zeitspanne ausgeführt (sofern die Kriterien der Regel erfüllt sind). Über die Liste Wiederholen alle... können Sie ein Zeitintervall festlegen, in dem die Aktion wiederholt werden soll. Die Aktion wird allerdings nur dann wiederholt, wenn die Auslösekriterien der Regel zum betreffenden Zeitpunkt noch erfüllt sind. Über die Einstellung Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > ESET Remote Administrator > ERA Server > Einstellungen > Notifikation > Intervall für die Verarbeitung von Notifikationen (Minuten) können Sie festlegen, in welchem Zeitintervall der Server die aktiven Regeln überprüft und ausführt. Der Standardwert ist 10 Minuten. Ein niedrigerer Wert wird nicht empfohlen, da dies die Serverleistung deutlich beeinträchtigen kann. 114

115 5.4.3 Ereignis "Abgeschlossener Task" Bei diesem Auslösertyp wird die Regel ausgeführt, nachdem die ausgewählten Tasks abgeschlossen wurden. Standardmäßig sind alle Tasktypen 87 ausgewählt. Wenn die festgelegten Kriterien für eine Regel erfüllt sind, wird automatisch die angegebene Aktion ausgeführt. Um die Aktionen zu konfigurieren, klicken Sie im Bereich Aktion auf Bearbeiten 118. Bevor die Regel ausgeführt wird, kann zunächst eine bestimmte Zeit lang gewartet werden (eine Stunde bis drei Monate). Wenn die Regel baldmöglichst ausgeführt werden soll, wählen Sie in der Liste Aktivieren nach den Eintrag Baldmöglichst. Die Notifikationsregeln werden standardmäßig alle zehn Minuten überprüft. Mit der Einstellung Baldmöglichst sollte die Regel also spätestens zehn Minuten nach Eintreten des Auslöseereignisses ausgeführt werden. Wenn Sie eine andere Zeitspanne auswählen, wird die Aktion automatisch nach Ablauf dieser Zeitspanne ausgeführt (sofern die Kriterien der Regel erfüllt sind) Ereignis "Neuer Client" Definieren Sie im Bereich Clientfilter die Clientfilter-Kriterien. Bei der Ausführung der Regel werden dann nur diejenigen Clients berücksichtigt, die die Kriterien des Clientfilters erfüllen. Die folgenden Filterkriterien stehen zur Verfügung: VON Primärer Server - Nur Clients vom primären Server (kann mit der Option NICHT VON auch umgekehrt werden) Primärer Server IN - Primärer Server wird in die Ausgabe aufgenommen HAT Markierung "Neu" - Nur Clients mit der Markierung "Neu" (kann mit der Option HAT NICHT auch umgekehrt werden) ERA-Gruppen IN - Nur Clients, die der angegebenen Gruppe angehören Domäne/Arbeitsgruppe IN - Nur Clients, die der angegebenen Domäne angehören Maske für Computernamen IN - Nur Clients mit dem festgelegten Computernamen HAT IPv4-Maske - Nur Clients innerhalb der angegebenen IPv4-Maske HAT IPv4-Bereich - Nur Clients im angegebenen IPv4-Adressbereich HAT IPv6-Netzwerkpräfix - Nur Clients mit dem angegebenen IPv6-Adressbereich HAT IPv6-Bereich - Nur Clients im angegebenen IPv6-Adressbereich HAT Festgelegte Policy - Nur Clients, denen die angegebene Policy zugewiesen wurde (kann mit der Option HAT NICHT auch umgekehrt werden) Wenn die festgelegten Kriterien für eine Regel erfüllt sind, wird automatisch die angegebene Aktion ausgeführt. Um die Aktionen zu konfigurieren, klicken Sie im Bereich Aktion auf Bearbeiten 118. Bevor die Regel ausgeführt wird, kann zunächst eine bestimmte Zeit lang gewartet werden (eine Stunde bis drei Monate). Wenn die Regel baldmöglichst ausgeführt werden soll, wählen Sie in der Liste Aktivieren nach den Eintrag Baldmöglichst. Die Notifikationsregeln werden standardmäßig alle zehn Minuten überprüft. Mit der Einstellung Baldmöglichst sollte die Regel also spätestens zehn Minuten nach Eintreten des Auslöseereignisses ausgeführt werden. Wenn Sie eine andere Zeitspanne auswählen, wird die Aktion automatisch nach Ablauf dieser Zeitspanne ausgeführt (sofern die Kriterien der Regel erfüllt sind). 115

116 5.4.5 Ereignis "Ausbruch" Diese Notifikation wird ausgelöst, sobald die definierten Kriterien für einen Malware-Ausbruch erfüllt sind. Sie dient allerdings nicht dazu, jeden einzelnen Vorfall nach Überschreiten des definierten Limits zu melden. Definieren Sie im Bereich Clientfilter die Filterkriterien. Bei der Ausführung der Regel werden dann nur diejenigen Clients berücksichtigt, die die Kriterien des Clientfilters erfüllen. Die folgenden Filterkriterien stehen zur Verfügung: VON Primärer Server - Nur Clients vom primären Server (kann mit der Option NICHT VON auch umgekehrt werden) Primärer Server IN - Primärer Server wird in die Ausgabe aufgenommen HAT Markierung "Neu" - Nur Clients mit der Markierung "Neu" (kann mit der Option HAT NICHT auch umgekehrt werden) ERA-Gruppen IN - Nur Clients, die der angegebenen Gruppe angehören Domäne/Arbeitsgruppe IN - Nur Clients, die der angegebenen Domäne angehören Maske für Computernamen IN - Nur Clients mit dem festgelegten Computernamen HAT IPv4-Maske - Nur Clients innerhalb der angegebenen IPv4-Maske HAT IPv4-Bereich - Nur Clients im angegebenen IPv4-Adressbereich HAT IPv6-Netzwerkpräfix - Nur Clients mit dem angegebenen IPv6-Adressbereich HAT IPv6-Bereich - Nur Clients im angegebenen IPv6-Adressbereich HAT Festgelegte Policy - Nur Clients, denen die angegebene Policy zugewiesen wurde (kann mit der Option HAT NICHT auch umgekehrt werden) Wenn Sie den Clientfilter für Ihre Notifikationsregel eingerichtet haben, klicken Sie auf OK. Konfigurieren Sie nun die Parameter für die Regel. Diese Clientparameter legen fest, welche Kriterien ein Client oder eine Gruppe von Clients erfüllen muss, damit die festgelegte Notifikationsaktion ausgeführt wird. Um die verfügbaren Parameter anzuzeigen, klicken Sie im Bereich Parameter auf Bearbeiten. Logtyp - Wählen Sie, bei welchen Arten von Log-Einträgen die Notifikation erfolgen soll. Log-Stufe - Stufe des Eintrags im jeweiligen Log - Stufe 1 - Kritische Warnungen - Nur kritische Fehler Stufe 2 - wie oben + Warnungen - Wie 1 plus Warnmeldungen Stufe 3 - wie oben + Normal - Wie 2 plus Informationsmeldungen - Stufe 4 - wie oben + Diagnose - Wie 3 plus Diagnosemeldungen 1000 Fälle in 60 Minuten - Geben Sie an, wie oft die betreffende Meldung in einem bestimmten Zeitraum auftreten muss, damit die Notifikation erfolgt. Standardmäßig sind 1000 Fälle innerhalb einer Stunde eingestellt. Menge - Anzahl der Clients (absolut oder in Prozent) Das Warteintervall ist der Zeitabstand, in dem die Notifikationen gesendet werden. Wenn das Warteintervall beispielsweise auf 1 Stunde festgelegt ist, werden die Daten im Hintergrund gesammelt und Sie erhalten stündlich eine Notifikation (solange der Ausbruch andauert und der Auslöser noch aktiv ist). 116

117 5.4.6 Ereignis "Log erhalten" Diese Option können Sie verwenden, wenn Sie in bestimmten Zeitabständen über neue Log-Einträge benachrichtigt werden möchten. Definieren Sie im Bereich Clientfilter die Clientfilter-Kriterien. Bei der Ausführung der Regel werden dann nur diejenigen Clients berücksichtigt, die die Kriterien des Clientfilters erfüllen. Die folgenden Filterkriterien stehen zur Verfügung: VON Primärer Server - Nur Clients vom primären Server (kann mit der Option NICHT VON auch umgekehrt werden) Primärer Server IN - Primärer Server wird in die Ausgabe aufgenommen HAT Markierung "Neu" - Nur Clients mit der Markierung "Neu" (kann mit der Option HAT NICHT auch umgekehrt werden) ERA-Gruppen IN - Nur Clients, die der angegebenen Gruppe angehören Domäne/Arbeitsgruppe IN - Nur Clients, die der angegebenen Domäne angehören Maske für Computernamen IN - Nur Clients mit dem festgelegten Computernamen HAT IPv4-Maske - Nur Clients innerhalb der angegebenen IPv4-Maske HAT IPv4-Bereich - Nur Clients im angegebenen IPv4-Adressbereich HAT IPv6-Netzwerkpräfix - Nur Clients mit dem angegebenen IPv6-Adressbereich HAT IPv6-Bereich - Nur Clients im angegebenen IPv6-Adressbereich HAT Festgelegte Policy - Nur Clients, denen die angegebene Policy zugewiesen wurde (kann mit der Option HAT NICHT auch umgekehrt werden) Wenn Sie den Clientfilter für Ihre Notifikationsregel eingerichtet haben, klicken Sie auf OK. Konfigurieren Sie nun die Parameter für die Regel. Diese Clientparameter legen fest, welche Kriterien ein Client oder eine Gruppe von Clients erfüllen muss, damit die festgelegte Notifikationsaktion ausgeführt wird. Um die verfügbaren Parameter anzuzeigen, klicken Sie im Bereich Parameter auf Bearbeiten. Logtyp - Wählen Sie, bei welchen Arten von Log-Einträgen die Notifikation erfolgen soll. Log-Stufe - Stufe des Eintrags im jeweiligen Log - Stufe 1 - Kritische Warnungen - Nur kritische Fehler Stufe 2 - wie oben + Warnungen - Wie 1 plus Warnmeldungen Stufe 3 - wie oben + Normal - Wie 2 plus Informationsmeldungen - Stufe 4 - wie oben + Diagnose - Wie 3 plus Diagnosemeldungen Wenn die festgelegten Kriterien für eine Regel erfüllt sind, wird automatisch die angegebene Aktion ausgeführt. Um die Aktionen zu konfigurieren, klicken Sie im Bereich Aktion auf Bearbeiten 118. Das Warteintervall ist der Zeitabstand, in dem die Notifikationen gesendet werden. Wenn das Warteintervall beispielsweise auf 1 Stunde festgelegt ist, werden die Daten im Hintergrund gesammelt und Sie erhalten stündlich eine Notifikation (solange der Auslöser noch aktiv ist). 117

118 5.4.7 Aktion Wenn die festgelegten Kriterien für eine Regel erfüllt sind, wird automatisch die angegebene Aktion ausgeführt. Um die Aktionen zu konfigurieren, klicken Sie im Bereich Aktion auf Bearbeiten. Im Aktionseditor stehen die folgenden Optionen zur Verfügung: versenden - Der in der Regel hinterlegte Benachrichtigungstext wird an die angegebene -Adresse verschickt. Im Feld Betreff können Sie die Betreffzeile angeben. Klicken Sie auf An, um das Adressbuch zu öffnen. SNMP-Trap - Es wird eine SNMP-Notifikation erzeugt und verschickt. Befehl ausführen (auf dem Server) - Der angegebene Befehl wird auf dem Server ausgeführt (z. B. Starten eines Programms). Geben Sie den vollständigen Pfad zu der Anwendung ein. In Datei protokollieren - Es werden Protokolleinträge in die angegebene Protokolldatei geschrieben. Geben Sie den vollständigen Ordnerpfad ein. Über die Liste Umfang können Sie den Log-Umfang festlegen. Logging in Syslog - Die Notifikationen werden in die Systemlogs geschrieben. Über die Liste Umfang können Sie den Umfang festlegen. Logging - Die Benachrichtigungen werden ins Serverlog geschrieben. Über die Liste Umfang können Sie den Umfang festlegen. Bericht ausführen - Nach der Auswahl dieser Option steht die Dropdown-Liste Template-Name zur Verfügung. Wählen Sie hier das gewünschte Bericht-Template aus. Nähere Informationen zu den Templates finden Sie im Kapitel Berichte 43. Damit diese Option ordnungsgemäß funktioniert, müssen Sie das Logging in ERA Server aktivieren (Extras > Serveroptionen > Logging) Notifikationen per SNMP-Trap SNMP (Simple Network Management Protocol) ist ein einfaches, weit verbreitetes Managementprotokoll, das sich insbesondere für die Überwachung und Identifikation von Netzwerkproblemen eignet. Unter anderem umfasst es die Aktion TRAP, mit der sich benutzerdefinierte Daten übertragen lassen. ERA verwendet TRAP, um Benachrichtigungen an SNMP zu schicken. Die so erzeugten Notifikationen können im SNMP-Manager angezeigt werden. Dieser muss hierzu mit einem SNMPServer verbunden sein, auf dem die Konfigurationsdatei eset_ras.mib importiert wurde. Diese Standardkomponente von ERA-Installationen befindet sich normalerweise im Ordner "C:\Programme\ESET\ESET Remote Administrator\Server\". HINWEIS: Um Benachrichtigungen verschicken zu können, müssen der SNMP- und der SNMP-Trap-Dienst auf dem Windows-Betriebssystem ausgeführt werden, auf dem sich der ERA Server befindet. Außerdem benötigen Sie ein Hilfsprogramm, das die SNMP-Trap-Informationen lesen und anzeigen kann. Windows 2000 Zur Nutzung der Trap-Funktion muss SNMP auf demselben Computer wie ERAS korrekt installiert und konfiguriert sein (Start > Systemsteuerung > Software > Windows-Komponenten hinzufügen/entfernen). Der SNMP-Dienst sollte wie im folgenden Artikel beschrieben konfiguriert werden: In ERAS müssen Sie außerdem eine SNMP-Notifikationsregel aktivieren. 118

119 5.4.9 Beispiel zur Erstellung von Regeln Im Folgenden wird an einem Beispiel gezeigt, wie Sie eine Regel erstellen, die eine -Benachrichtigung an den Administrator verschickt, wenn auf einem Client-Arbeitsplatzrechner ein Problem mit dem Schutzstatus vorliegt. Die Benachrichtigung wird außerdem in einer Datei namens log.txt gespeichert. 1) Wählen Sie in der Liste Auslöser den Eintrag Clientstatus aus. 2) Übernehmen Sie die vorgegebenen Werte für die Felder Priorität, Aktivieren nach und Wiederholen alle:. Die Regel erhält dann automatisch die Priorität 3 und wird nach 24 Stunden aktiviert. 3) Geben Sie im Feld Beschreibung den Text Schutzstatus-Benachrichtigung für Clients in der Gruppe "Zentrale" ein. 4) Klicken Sie im Bereich Clientfilter auf Bearbeiten und aktivieren Sie ausschließlich die Bedingung ERA-Gruppen IN. Klicken Sie im unteren Teil des Dialogfensters auf den Link festlegen und geben Sie im daraufhin erscheinenden Fenster den Wert Zentrale ein. Klicken Sie auf Hinzufügen und dann zur Bestätigung zweimal auf OK. Die Regel wird so nur auf Clients aus der Gruppe "Zentrale" angewendet. 5) Klicken Sie auf Parameter > Bearbeiten, um weitere Parameter für die Regel festzulegen. Deaktivieren Sie alle Optionen außer HAT Schutzstatus - Beliebige Warnung. 6) Klicken Sie im Bereich Aktion auf Bearbeiten. Das Dialogfenster Aktion wird angezeigt. Aktivieren Sie die Option versenden, geben Sie die Empfänger an (Schaltfläche An) und tragen Sie einen Betreff für die ein. Aktivieren Sie anschließend das Kontrollkästchen Logging in Datei und geben Sie Namen und Pfad der zu erstellenden Log-Datei ein. Bei Bedarf können Sie auch die Inhalte der Log-Datei festlegen. Klicken Sie auf OK, um die Aktion zu speichern. 7) Tragen Sie abschließend im Feld Nachricht den Text ein, der als Text der verschickt werden soll, wenn die Regel ausgelöst wird. Beispiel: "Problem mit Schutzstatus beim Client %CLIENT_LIST%". 8) Klicken Sie auf Speichern unter, geben Sie einen Namen für die Regel ein (z. B. "Schutzstatus-Probleme") und aktivieren Sie ihr Kontrollkästchen in der Liste der Notifikationsregeln. Die Regel ist jetzt aktiv. Sie wird ausgelöst, wenn bei einem Client aus der Gruppe "Zentrale" ein Problem mit dem Schutzstatus vorliegt. Der angegebene Administrator erhält dann eine -Benachrichtigung mit dem Namen des betroffenen Clients. Klicken Sie auf Schließen, um den Notifikations-Manager zu schließen. 5.5 Ausführliche Informationen von Clients Mit ERA können Sie Informationen zu laufenden Prozessen, Autostart-Programmen usw. von den ClientArbeitsplatzrechnern abrufen. Hierzu verwenden Sie das direkt in ERAS integrierte Tool ESET SysInspector. Neben weiteren hilfreichen Funktionen kann ESET SysInspector eine gründliche Untersuchung des Betriebssystems durchführen und System-Logs erstellen. Um das Programm zu öffnen, klicken Sie im ERAC-Hauptmenü auf Extras > ESET SysInspector. Bei Problemen mit einem bestimmten Client können Sie ein ESET SysInspector-Log von diesem Client anfordern. Hierzu klicken Sie auf der Registerkarte Clients mit der rechten Maustaste auf den Client und wählen Daten anfordern > SysInspector-Informationen anfordern. Logs können nur von Produkten mit einer Version ab 4.0 abgerufen werden; frühere Versionen unterstützen diese Funktion nicht. Ein Fenster mit den folgenden Optionen wird angezeigt: Snapshot erstellen (und Ergebnis-Log auf dem Client speichern) - Bewirkt, dass eine Kopie des Logs auf dem Clientcomputer gespeichert wird. Vergleich zum letzten Snapshot vor einem bestimmten Zeitpunkt - Bewirkt, dass ein Vergleichs-Log angezeigt wird (durch Zusammenführen des aktuellen Logs mit einem älteren Log, falls verfügbar). ERA wählt hierzu das letzte Log, das vor dem angegebenen Datum liegt. Klicken Sie auf OK, um die ausgewählten Logs anzufordern und auf dem Server zu speichern. Um die Logs zu öffnen und anzuzeigen, gehen Sie wie folgt vor: Die ESET SysInspector-Optionen für einzelne Client-Arbeitsplatzrechner finden Sie auf der Registerkarte 119

120 SysInspector im Dialogfeld Eigenschaften des Clients. Das Fenster gliedert sich in drei Bereiche. Der obere Bereich zeigt Informationen zu den aktuellen Logs, die vom jeweiligen Client verfügbar sind. Klicken Sie auf Aktualisieren, um die jeweils aktuellen Informationen zu laden. Der mittlere Bereich (Optionen für Anforderung) ist fast identisch mit dem Dialogfenster, das beim Anfordern von Logs von einem Client erscheint (siehe oben). Über die Schaltfläche Anfordern können Sie ein ESET SysInspectorLog vom betreffenden Client anfordern. Der untere Bereich umfasst die folgenden Schaltflächen: Anzeigen - Öffnet das im oberen Bereich angegebene Log direkt in ESET SysInspector. Speichern unter - Speichert das aktuelle Log in einer Datei. Die Option Anschließend Datei in ESET SysInspector Viewer anzeigen bewirkt, dass das Log nach dem Speichern automatisch geöffnet wird (wie beim Klicken auf Anzeigen). Je nach der Größe des Logs und der Übertragungsgeschwindigkeit läuft die Erstellung und Anzeige neuer Logs auf dem lokalen Client in manchen Fällen etwas langsamer ab. Der Zeitstempel des Logs auf der Registerkarte SysInspector im Dialogfeld Eigenschaften des Clients gibt an, wann das Log an den Server übermittelt wurde. 5.6 Assistent zum Zusammenführen von Firewall-Regeln Mit dem Assistenten zum Zusammenführen von Firewall-Regeln können Sie die Firewall-Regeln ausgewählter Clients zusammenführen. Diese Funktion ist sehr praktisch, um eine gemeinsame Konfiguration mit allen FirewallRegeln zu erstellen, die im Trainingsmodus von den Clients erlernt wurden. Diese Konfiguration kann dann über einen Konfigurations-Task an die Clients übermittelt oder mithilfe einer Policy durchgesetzt werden. Um den Assistenten zu starten, verwenden Sie entweder das Menü Extras oder wählen auf der Registerkarte Clients die gewünschten Clients aus, klicken mit der rechten Maustaste darauf und wählen dann den entsprechenden Befehl im Kontextmenü. Die ausgewählten Clients werden dann automatisch in den ersten Schritt des Assistenten übernommen. HINWEIS: Zum erfolgreichen Abschluss dieses Vorgangs muss für alle ausgewählten Clients die aktuelle Konfiguration auf dem Server gespeichert worden sein (entweder durch Anforderung oder per Replikation). Zunächst wählen Sie die Clients oder Clientgruppen aus, deren Firewall-Regeln zusammengeführt werden sollen. Im nächsten Schritt sehen Sie eine Liste der ausgewählten Clients mitsamt ihrem Konfigurationsstatus. Wenn eine bestimmte Clientkonfigurationen noch nicht auf dem Server verfügbar ist, können Sie sie über die Schaltfläche Anfordern anfordern. Abschließend wählen Sie aus, welche der zusammengeführten Regeln in der Konfiguration verwendet werden sollen, und speichern sie als.xml-datei. 120

121 6. Optionen für ERA Server Wenn eine Verbindung zum ERA Server besteht, können Sie diesen bequem aus ERA Console heraus konfigurieren. Hierzu verwenden Sie den Menüpunkt Extras > Serveroptionen. 6.1 Allgemein Auf der Registerkarte Allgemein werden Basisinformationen zum ERA Server angezeigt: Serverinformationen - Dieser Bereich zeigt die Basisinformationen zum ERA Server. Klicken Sie auf "Passwort ändern", um die Registerkarte Sicherheit 122 der ERA-Serveroptionen zu öffnen. Lizenzinformationen - Zeigt die Anzahl der Clientlizenzen für ESET Security-Produkte an, die Sie gekauft haben, sowie die aktuelle Version des NOD32-Virenschutzsystems bzw. ESET Endpoint Security auf dem Server. Wenn Ihre Lizenz abgelaufen ist und Sie eine neue Lizenz erworben haben, klicken Sie auf Lizenz-Manager 121. Es erscheint ein Dialogfenster, in dem Sie eine neue Lizenz auswählen können, um ERA wieder zu aktivieren. Signaturdatenbank-Version - Zeigt die aktuelle Version der Signaturdatenbank (auf Grundlage der angegebenen Update-Informationen und der verwendeten Security-Produkte). Leistungsangaben - Zeigt Statistiken zu den Clientverbindungen sowie allgemeine Informationen zur Performance Lizenzverwaltung Für den ordnungsgemäßen Betrieb von ERA muss ein Lizenzschlüssel auf den Server übertragen werden. Wenn Sie einen Lizenzschlüssel erwerben, wird er Ihnen zusammen mit Ihrem Benutzernamen und Passwort per zugeschickt. Zur Verwaltung der Lizenzen verwenden Sie den Lizenz-Manager. ERA 3.x und höher unterstützt mehrere Lizenzschlüssel gleichzeitig. Dies erleichtert die Verwaltung der Lizenzschlüssel. Das Hauptfenster des Lizenz-Managers öffnen Sie über den Menüpunkt Extras > Lizenz-Manager. So fügen Sie einen neuen Lizenzschlüssel hinzu: 1) Klicken Sie auf Extras > Lizenz-Manager oder drücken Sie die Tastenkombination Strg+L. 2) Klicken Sie auf Durchsuchen und wählen Sie die gewünschte Lizenzschlüssel-Datei aus (die Dateien haben die Namenserweiterung.lic). 3) Klicken Sie zur Bestätigung auf Öffnen. 4) Überprüfen Sie die Angaben zum Lizenzschlüssel. Wenn sie richtig sind, wählen Sie Auf Server übertragen. 5) Klicken Sie zur Bestätigung auf OK. Die Schaltfläche Auf Server übertragen ist nur aktiv, wenn Sie einen Lizenzschlüssel ausgewählt haben (über die Schaltfläche Durchsuchen). In diesem Bereich des Fensters werden auch Angaben zum aktuell ausgewählten Lizenzschlüssel angezeigt. So können Sie diese noch einmal überprüfen, bevor Sie den Schlüssel auf den Server kopieren. Im mittleren Teil des Fensters sehen Sie Angaben zu dem Lizenzschlüssel, der aktuell vom Server verwendet wird. Um Informationen zu allen auf dem Server gespeicherten Lizenzschlüsseln anzuzeigen, klicken Sie auf Details. ERAS kann jeweils den passendsten Lizenzschlüssel auswählen und mehrere Schlüssel zu einem einzigen zusammenführen. Wenn mehrere Lizenzschlüssel auf dem Server gespeichert sind, versucht ERAS stets, den Schlüssel mit den meisten Clients und der längsten noch verbleibenden Gültigkeitsdauer zu ermitteln. Voraussetzung für das Zusammenführen mehrerer Schlüssel ist, dass alle Schlüssel auf denselben Kunden ausgestellt sind. Bei diesem unkomplizierten Vorgang wird ein neuer Schlüssel erstellt, der alle Clients aus den bisherigen Schlüsseln umfasst. Als Ablaufdatum des neuen Lizenzschlüssels wird das früheste Ablaufdatum der bisherigen Lizenzschlüssel verwendet. 121

122 Im unteren Teil des Lizenz-Managers können Sie festlegen, ob bei Lizenzierungsproblemen eine Benachrichtigung erfolgen soll. Es stehen die folgenden Optionen zur Verfügung: Warnen, wenn die Serverlizenz in 20 Tagen abläuft - Bewirkt, dass x Tage vor dem Ablauf der Lizenz eine Warnung angezeigt wird. Nur warnen, wenn dadurch die Anzahl der Clients in der Lizenz unter die Anzahl der vorhandenen Clients in der Serverdatenbank fallen würde - Ist diese Option aktiviert, so wird die Warnung nur angezeigt, wenn durch den Ablauf des Lizenzschlüssels oder eines Teils der Lizenz die Anzahl der lizenzierten Clients unter die Anzahl der momentan verbundenen Clients, d. h. die Anzahl der Clients in der ERAS-Datenbank, fallen würde. Warnen, wenn nur noch 10% freie Clients in der Serverlizenz verfügbar - Bewirkt, dass der Server eine Warnung anzeigt, wenn der Anteil der noch für neue Clients verfügbaren Lizenzen unter den eingestellten Prozentwert fällt. ERAS kann prinzipiell auch mehrere Lizenzen zusammenführen, die auf unterschiedliche Kunden ausgestellt sind. Diese Funktion muss jedoch durch einen speziellen Schlüssel freigeschaltet werden. Wenn Sie einen solchen Schlüssel benötigen, geben Sie dies bitte in Ihrer Bestellung an oder wenden Sie sich an Ihren zuständigen ESETVertriebspartner. 6.2 Sicherheit Die Versionen 3.x und neuere Versionen der ESET Security-Lösungen (ESET Endpoint Security, usw.) bieten Passwortschutz für die entschlüsselte Kommunikation zwischen Client und ERAS (TCP-Protokoll, Port 2222). Frühere Versionen (2.x) bieten diese Möglichkeit nicht. Falls eine Rückwärtskompatibilität mit früheren Versionen erforderlich ist, muss die Option Zugriff ohne Authentifizierung für Clients erlauben ausgewählt werden. Über die Optionen auf der Registerkarte Sicherheit lässt sich ein gleichzeitiger Betrieb von Security-Lösungen der Versionen 2.x und 3.x in einem Netzwerk ermöglichen. Schutz für Verbindungen mit einem ERA Server HINWEIS: Wenn die Authentifizierung sowohl in ERAS als auch auf allen Clients (Version 3.x oder höher) aktiviert ist, kann die Option Zugriff ohne Authentifizierung für Clients erlauben deaktiviert werden. Konsolen-Sicherheitseinstellungen Windows-/Domänen-Authentifizierung verwenden - Aktiviert die Windows-/Domänen-Authentifizierung. Sie können festlegen, welche Gruppen Administratorzugriff (Vollzugriff auf ERA Server) und welche Gruppen nur Lesezugriff haben sollen (Allen anderen Benutzern nur Read-Only-Zugriff geben auswählen). Wenn Sie dieses Kontrollkästchen aktivieren, steht auch die Option Read-Only-Zugriff für Windows-/Domänenbenutzer ohne zugewiesenen ERA Server-Benutzer zulassen zur Verfügung. Hiermit können Sie sicherstellen, dass solche Benutzer die Einstellungen aus ERAC nicht ändern können. Wenn Sie ERA-Serverbenutzer zuweisen möchten, klicken Sie auf Benutzer-Manager. Die Benutzerkonten für den Konsolenzugriff werden über den Benutzer-Manager 123 verwaltet. Server-Sicherheitseinstellungen Passwort für Clients - Legt das Passwort fest, das Clients für den Verbindungsaufbau zum ERAS benötigen. Passwort für Replikation - Legt das Passwort fest, das untergeordnete ERA Server für die Replikation von Daten auf den aktuellen ERAS benötigen. Passwort für ESET Remote Installer (Agent) - Legt das Passwort fest, das der Installer-Agent für eine Verbindung zum ERAS benötigt (wichtig für Remoteinstallationen). Zugriff ohne Authentifizierung für Clients erlauben (ESET Security-Produkte) - Wenn diese Option aktiviert ist, können auch Clients ohne gültiges Passwort (d. h. aktuelles Passwort weicht vom eingestellten Passwort für Clients ab) eine Verbindung zum ERAS aufbauen. Zugriff ohne Authentifizierung für Replikation erlauben - Wenn diese Option aktiviert ist, können auch Clients von untergeordneten ERA Servern ohne gültiges Passwort für die Replikation eine Verbindung zum ERAS 122

123 aufbauen. Zugriff ohne Authentifizierung für ESET Remote Installer (Agent) erlauben - Wenn diese Option aktiviert ist, kann der ESET Remote Installer auch ohne gültiges Passwort auf den ERAS zugreifen. HINWEIS: Mit Standard werden nur vordefinierte Einstellungen wiederhergestellt, nicht jedoch Ihre Passwörter. HINWEIS: Zur Verbesserung der Sicherheit können Sie festlegen, dass komplexe Passwörter verwendet werden müssen. Hierzu setzen Sie unter Extras > ESET-Konfigurationseditor > Remote Administration > ERA Server > Einstellungen > Sicherheit die Option Komplexes Passwort erforderlich auf Ja. Neue Passwörter müssen dann mindestens 8 Zeichen lang sein sowie Groß- und Kleinbuchstaben und ein Zeichen enthalten, das kein Buchstabe ist Benutzer-Manager Im Benutzer-Manager können Sie Benutzerkonten für die Konsolenauthentifizierung am Server verwalten. Standardmäßig sind die Konten "Administrator" (Vollzugriff) und "Read-Only" vordefiniert. Klicken Sie auf Neu, um ein neues Benutzerkonto für die Konsolenauthentifizierung am Server hinzuzufügen. Definieren Sie Benutzername, Passwort und die gewünschten Berechtigungen. Im Feld Beschreibung können Sie optional eine eigene Notiz zum Benutzer eintragen. Im Bereich Berechtigungen legen Sie fest, welchen Zugriff der Benutzer hat und welche Aufgaben er ausführen kann. Um das Zugriffspasswort für die Konsole 123 für einen Benutzer zu ändern, wählen Sie diesen aus und klicken dann neben Passwort für Konsole auf Ändern. HINWEIS: Die Berechtigungen der vordefinierten Konten ("Administrator" und "Read-Only") können nicht geändert werden. Unter Gruppen für Windows-/Domänen-Authentifizierung können Sie mehrere solcher Gruppen mit dem ausgewählten ERA Server-Benutzer verknüpfen. Wenn eine Windows-/Domänengruppe mit mehreren Benutzern verknüpft ist, wird der erste Benutzer aus der Liste verwendet. Die Reihenfolge der Benutzer in der Liste können Sie mit den Pfeilschaltflächen ändern Zugriffspasswort für Konsole Um das Passwort für den Zugriff auf die Konsole zu ändern, klicken Sie auf Datei > Passwort ändern oder ändern Sie das Passwort im Benutzer-Manager 123. Geben Sie das alte Passwort ein und anschließend zweimal das neue Passwort (einmal zur Bestätigung). Wenn Sie das Kontrollkästchen Auch Passwort im Cache ändern aktivieren, wird auch das gecachte Passwort geändert, das beim Start der Anwendung verwendet wird (damit der Benutzer es beim Starten von ERAC nicht jedes Mal eingeben muss). HINWEIS: Passwörter, die Sie in diesem Dialogfenster einrichten, werden direkt an den Server gesendet. Die Änderung wird also sofort nach dem Klicken auf OK wirksam und kann nicht rückgängig gemacht werden. 6.3 Serverwartung Bei korrekter Konfiguration auf der Registerkarte Serverwartung wird die Datenbank von ERA Server automatisch und ohne weiteren Konfigurationsbedarf gewartet und optimiert. Hierzu können Sie die folgenden Einstellungen definieren: Parameter für Log-Erfassung... - Diese Einstellungen legen fest, ab welcher Stufe Logs vom Server angenommen werden. Bereinigungseinstellungen... - Einstellungen für das zeitgesteuerte Löschen alter Log-Einträge Erweiterte Bereinigungseinstellungen... - Einstellungen für die erweiterte Bereinigung auf Basis der Anzahl der Log-Einträge Legen Sie fest, wie viele Log-Einträge nach der Bereinigung übrig bleiben sollen und ab welcher Stufe der Server die Logs von den Clients entgegennimmt. Wenn Sie beispielsweise unter Erweiterte Einstellungen für Log-Bereinigung 123

124 nach Anzahl 125 die Einstellung Bedrohungs-Log löschen bis auf letzte Einträge festlegen und gleichzeitig im Bereich Parameter für Log-Erfassung 124 die Stufe für das Bedrohungs-Log auf Stufe 3 - wie oben + Normal eingestellt ist, werden in der Datenbank die letzten Einträge mit Informationen zu kritischen Fehlern, Warnoder Informationsmeldungen aufbewahrt. Im Bereich Parameter für zeitgesteuerte Bereinigung 124 können Sie auch eine maximale Aufbewahrungsdauer für die Log-Einträge festlegen. Intervall für die Bereinigung - Legt fest, in welchem Intervall die oben festgelegten Löschaktionen durchgeführt werden. Klicken Sie auf Ändern, um das Intervall einzustellen. Um die Bereinigung sofort durchzuführen, klicken Sie auf Bereinigung starten. Intervall für Komprimierung/Reparatur - Bewirkt, dass die Datenbank im angegebenen Intervall und zur festgelegten Uhrzeit komprimiert wird. Ein solcher Komprimierungs-/Reparaturlauf behebt Inkonsistenzen und Fehler und beschleunigt den Zugriff auf die Datenbank. Klicken Sie auf Ändern, um das Intervall einzustellen. Um die Komprimierung und Reparatur sofort zu starten, klicken Sie auf Komprimierung starten. HINWEIS: Sowohl die Bereinigung als auch die Komprimierung/Reparatur ist zeit- und ressourcenintensiv. Es empfiehlt sich daher, sie in Zeiten möglichst niedriger Serverbelastung zu legen (z. B. Bereinigung nachts, Komprimierung/Reparatur an den Wochenenden). Standardmäßig werden Einträge und Logs gelöscht, sobald sie älter als drei bzw. sechs Monate sind. Alle 15 Tage findet außerdem eine regelmäßige Komprimierung/Reparatur statt Parameter für Log-Erfassung Legen Sie fest, ab welcher Stufe Logs an den Server gesendet werden. Hierzu wählen Sie für jedes Log den LogUmfang aus der Dropdown-Liste aus. Keine - Es werden keine Logs an den Server gesendet. Da der Client mit dieser Einstellung nichts ins Log schreibt, kann ERA auch keine Logs empfangen. Stufe 1 - Kritische Warnungen - Nur kritische Fehler Auf den Registerkarten Web-Kontrolle und Medienkontrolle werden keine kritischen Fehler angezeigt, weil der Client keine solchen Log-Einträge erzeugen kann. Stufe 2 - wie oben + Warnungen - Wie Stufe 1 plus Warnmeldungen Stufe 3 - wie oben + Normal - Wie Stufe 2 plus Informationsmeldungen. Auf der Clientseite heißt dieser LogUmfang Informationen anstelle von Normal. Stufe 4 - wie oben + Diagnose - Wie Stufe 3 plus Diagnosemeldungen. Dieser Log-Umfang muss auch auf dem Client eingestellt werden. Die Standardeinstellung ist dort Informationen. Alle - Es werden sämtliche Log-Meldungen angenommen Parameter für zeitgesteuerte Bereinigung Hier legen Sie die Haupteinstellungen für die zeitgesteuerte Bereinigung fest: Clients löschen, wenn keine Verbindung in den letzten X Monaten/Tagen - Bewirkt, dass Clients, die im angegebenen Zeitraum (festgelegte Anzahl von Monaten/Tagen) keine Verbindung zu ERAS aufgebaut haben, automatisch gelöscht werden. Bedrohungs-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Bedrohungs-Logs gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Firewall-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Firewall-Logs gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Ereignis-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Systemereignisse gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. HIPS-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass HIPS-Logs (Host-based Intrusion Prevention System) gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Medienkontroll-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Medienkontroll-Logs gelöscht 124

125 werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Web-Kontroll-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Web-Kontroll-Logs gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Spam-Schutz-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Spam-Schutz-Logs gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Greylist-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Greylist-Logs gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Scan-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Scan-Logs gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Mobilgeräte-Logs löschen, wenn älter als X Monate/Tage - Bewirkt, dass Mobilgeräte-Logs gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Quarantäneeinträge ohne Clients löschen, wenn älter als X Monate/Tage - Bewirkt, dass Quarantäneeinträge, die keinem Client zugeordnet sind, automatisch gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Nicht registrierte Computer löschen, wenn älter als X Monate/Tage - Bewirkt, dass Einträge für nicht registrierte (d. h. nicht von ERA verwaltete) Computer automatisch gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Erledigte Tasks löschen, wenn älter als X Monate/Tage - Bewirkt, dass Einträge für erledigte Tasks automatisch gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind. Tasks unabhängig vom Status löschen, wenn älter als X Monate/Tage - Bewirkt, dass Task-Einträge unabhängig von ihrem Status automatisch gelöscht werden, sobald sie älter als die angegebene Anzahl von Monaten (oder Tagen) sind Erweiterte Einstellungen für Log-Bereinigung nach Anzahl Hier legen Sie die Einstellungen für die erweiterte Bereinigung anhand der Anzahl der Log-Einträge fest: Bedrohungs-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im Bedrohungs-Log bis auf die angegebene Anzahl von Einträgen gelöscht werden. Firewall-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im Firewall-Log bis auf die angegebene Anzahl von Einträgen gelöscht werden. Ereignis-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Systemereignisse im Firewall-Log bis auf die angegebene Anzahl von Einträgen gelöscht werden. HIPS-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im HIPS-Log (Host-based Intrusion Prevention System) bis auf die angegebene Anzahl von Einträgen gelöscht werden. Medienkontroll-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im Medienkontroll-Log bis auf die angegebene Anzahl von Einträgen gelöscht werden. Web-Kontroll-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im Web-Kontroll-Log bis auf die angegebene Anzahl von Einträgen gelöscht werden. Spam-Schutz-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im Spam-Schutz-Log bis auf die angegebene Anzahl von Einträgen gelöscht werden. Greylist-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im Greylist-Log bis auf die angegebene Anzahl von Einträgen gelöscht werden. Scan-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im Scan-Log bis auf die angegebene Anzahl von Einträgen gelöscht werden. Mobilgeräte-Log löschen bis auf letzte X Einträge - Bewirkt, dass alte Einträge im Mobilgeräte-Log bis auf die 125

126 angegebene Anzahl von Einträgen gelöscht werden. 6.4 Logging Zum Einrichten der Parameter für die Datenbankpflege wählen Sie im Hauptmenü von ERA Console den Punkt Extras/Serveroptionen. Über die Datenbankpflege können Sie die Logs übersichtlich halten und die ERA-Hauptdatenbank regelmäßig komprimieren, um Speicherplatz zu sparen. 1. Auditlog Im Auditlog werden alle Konfigurationsänderungen und Aktionen von ERAC-Benutzern protokolliert. Wenn die Option Logging in Textdatei aktiviert ist, wird beim Erreichen einer bestimmten Größenschwelle (Datei archivieren alle... MB) jeweils eine neue Log-Datei erstellt. Die archivierten Dateien werden nach einer bestimmten Anzahl von Tagen gelöscht (Archivierte Logs löschen nach... Tagen). Über das Dropdown-Menü auf der linken Seite können Sie den Log-Umfang festlegen. Klicken Sie auf Log anzeigen 127, um das aktuelle Auditlog anzuzeigen. Die Option Logging in Anwendungs-Log des Betriebssystems bewirkt, dass die Log-Daten in die Ereignisanzeige des Systems kopiert werden (Windows-Systemsteuerung > Verwaltung > Ereignisanzeige). Über das DropdownMenü auf der linken Seite können Sie den Log-Umfang festlegen. Mit der Option Logging in Syslog wird eine Syslog-Nachricht an den angegebenen Syslog-Server gesendet (standardmäßig "localhost" auf Port 514). Die erweiterten Syslog-Einstellungen können Sie unter Extras > Serveroptionen > Erweitert >Erweiterte Einstellungen bearbeiten > Einstellungen > Logging einrichten. Hier können Sie die Syslog-Optionen bearbeiten (Servername und Port, Syslog-Facility und Umfang des Syslog-Logs). HINWEIS: Der Syslog-Schweregrad muss für jeden Log-Typ konfiguriert werden. Für das Serverlog geschieht dies über die Einstellung Syslog-Facility für Server-Log, für das Debug-Log über Syslog-Facility für Debug-Log. Der SyslogSchweregrad für diese Logs lässt sich wie folgt zuordnen: ERA-Log-Umfang Syslog-Schweregrad Stufe 1 (Informationen) LOG_INFO //6 Stufe 2 (Fehler) LOG_INFO //3 Stufe 3 (Warnung) LOG_INFO //4 Stufe 4, 5 (Debug) LOG_INFO //7 Die Einstellung Umfang legt fest, wie detailliert das Log ist und welche Informationen es enthält. Stufe 1 - Benutzer und Gruppen - Das Log enthält Aktivitäten im Zusammenhang mit Benutzern und Gruppen (statische und parametrische Gruppen, Hinzufügen/Entfernen von Clients zu/aus Gruppen usw.). Stufe 2 - wie oben + Clientaktionen - Wie oben, zusätzlich alle ERA-Aktivitäten im Zusammenhang mit Clients (Markierung "Neu" setzen/löschen, Client-Policy festlegen, Daten anfordern usw.) Stufe 3 - wie oben + Tasks und Notifikationen - Wie oben, zusätzlich alle taskbezogenen Aktivitäten (Erstellen/ Löschen von Tasks und Notifikationen usw.) Stufe 4 - wie oben + Berichte - Wie oben, zusätzlich alle berichtbezogenen Aktivitäten (Erstellen/Löschen von Berichten und Templates) Stufe 5 - Alle Ereignisse - Alle Aktivitäten im Zusammenhang mit Logs (Log löschen, Bedrohungs-Log löschen usw.) 2. Serverlog Im laufenden Betrieb erstellt ERA Server ein Serverlog (Log-Dateiname) über die Serveraktivität. Den Umfang können Sie über die Option Log-Umfang anpassen. HINWEIS: Die Textausgabe wird standardmäßig in der Datei %ALLUSERSPROFILE%\Anwendungsdaten\Eset\ESET Remote Administrator\Server\logs\era.log gespeichert. 126

127 Wenn die Option Logging in Textdatei aktiviert ist, wird beim Erreichen einer bestimmten Größenschwelle (Datei archivieren alle... MB) jeweils eine neue Log-Datei erstellt. Die archivierten Dateien werden nach einer bestimmten Anzahl von Tagen gelöscht (Archivierte Logs löschen nach... Tagen). HINWEIS: Im Abschnitt Logging in Textdatei sollten Sie die Einstellung Log-Umfang in der Regel auf dem Standardwert Stufe 2 - wie oben + wichtige Informationen zur Sitzung belassen und nur dann eine umfangreichere Logging-Stufe wählen, wenn Probleme auftreten oder wenn Sie vom ESET-Support dazu aufgefordert werden. Die Option Logging in Anwendungs-Log des Betriebssystems bewirkt, dass die Log-Daten in die Ereignisanzeige des Systems kopiert werden (Windows-Systemsteuerung > Verwaltung > Ereignisanzeige). Mit der Option Logging in Syslog wird eine Syslog-Nachricht an den angegebenen Syslog-Server gesendet (standardmäßig localhost auf Port 514). Die erweiterten Syslog-Einstellungen können Sie unter Extras > Serveroptionen > Erweitert >Erweiterte Einstellungen bearbeiten... > Einstellungen > Logging einrichten. Hier können Sie die Syslog-Optionen bearbeiten (Servername und Port, Syslog-Facility und Umfang des Syslog-Logs). Die Einstellung Umfang legt fest, wie detailliert das Log ist und welche Informationen es enthält. Stufe 1 - Kritische Informationen - Fehler (wenden Sie sich in diesem Fall bitte an den ESET-Support) Stufe 2 - wie oben + wichtige Informationen zur Sitzung - Informationen zur Kommunikation mit dem Server (wer hat wann und warum eine Verbindung zum ERA Server aufgebaut?) Stufe 3 - wie oben + sonstige Informationen - Informationen zum internen Prozessen auf dem ERA Server Stufe 4 - wie oben + Installer - Informationen zum Agent einstaller.exe (in Bezug auf den ERA Server Verbindungsaufbau/-abbau durch den Agent und Ergebnisse) Stufe 5 - wie oben + Clients - Informationen zu den Clients (in Bezug auf den ERA Server - Verbindungsaufbau/abbau durch die Clients und Ergebnisse) HINWEIS: Die Einstellung "Log-Umfang" sollte in der Regel auf dem Standardwert "Stufe 2 - wie oben + wichtige Informationen zur Sitzung" belassen werden. Wählen Sie nur dann eine umfangreichere Logging-Stufe, wenn Probleme auftreten oder wenn Sie vom ESET-Support dazu aufgefordert werden. 3. Die Option Debug-Log sollte unter normalen Umständen deaktiviert bleiben. Sie wird nur zur Behebung von Problemen mit der Datenbank benötigt. Um die Komprimierungsstufe für die archivierten Logs einzurichten, klicken Sie auf Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > Einstellungen > Logging > Komprimierung der archivierten Debug-Logs Auditlog-Viewer Im Auditlog werden alle Konfigurationsänderungen und Aktionen von ERAC-Benutzern protokolliert. Der Administrator behält dadurch den Überblick über die ERAC-Aktivitäten und kann beispielsweise auch unbefugte Zugriffe erkennen. HINWEIS: Im Auditlog-Viewer werden ausschließlich Änderungen angezeigt, die in der Datenbank protokolliert wurden. Andere Logs wie zum Beispiel das Textdatei-Log sind hier nicht enthalten. Links sehen Sie den Bereich Filter, mit dem Sie die Einträge im Auditlog filtern können. Über die Dropdown-Liste Anzuzeigende Einträge rechts oben über der Liste der Auditlog-Einträge können Sie außerdem festlegen, wie viele Einträge angezeigt werden sollen. Filter: Von/Bis - Legen Sie fest, ab bzw. bis zu welchem Zeitpunkt Log-Einträge angezeigt werden sollen. Sie können auch einen spezifischen Zeitraum festlegen, indem Sie beide Optionen auswählen und eine Start- und Endzeit angeben. Benutzer - Geben Sie die Benutzer an, für die Log-Einträge angezeigt werden sollen. Domänen-Anmeldename - Geben Sie die Domänen-Anmeldenamen der Benutzer an, für die Log-Einträge angezeigt werden sollen. IP-Adresse - Wählen Sie die gewünschte Option aus (Adresse, Bereich oder Maske) und geben Sie die Adresse(n) in die dafür vorgesehenen Felder ein. Die Optionen sind für IPv4- und IPv6-Adressen identisch. 127

128 Aktionstypen - Wählen Sie aus, welche Aktionen im Auditlog angezeigt werden sollen. Standardmäßig sind alle Aktionen ausgewählt. Filter übernehmen - Hiermit werden die ausgewählten Filterparameter auf das Auditlog angewendet. Standard - Klicken Sie auf diese Schaltfläche, um die Filterparameter auf ihre Standardwerte zurückzusetzen. Liste der Auditlog-Einträge: Datum - Zeitpunkt der Aktion. Basiert auf den Zeiteinstellungen des Serverrechners. Benutzer - ERAC-Benutzer, der die Aktion durchgeführt hat Anmeldename - Windows-Anmeldename des Benutzers, der die Aktion durchgeführt hat. Wird nur angezeigt, wenn die Windows-/Domänenauthentifizierung verwendet wird. IP-Adresse Konsole - IP-Adresse der Konsole, von der aus der ERAC-Benutzer die Aktion durchgeführt hat Aktion - Die vom Benutzer durchgeführte Aktion Objekt - Anzahl der von der Aktion betroffenen Objekte HINWEIS: Falls weitere Informationen verfügbar sind, können Sie sich diese per Doppelklick auf einen Log-Eintrag anzeigen lassen. 6.5 Replikation Zum Einrichten der Einstellungen für ERA Server klicken Sie im Hauptfenster der ERA Console auf Extras > Serveroptionen. Eine Replikation kommt in größeren Netzwerken zum Einsatz, in denen mehrere ERA Server installiert sind (z. B. ein Unternehmen mit mehreren Standorten). Auf der Registerkarte Replikation können Sie eine solche Datenreplikation zwischen mehreren ERA Servern in einem Netzwerk einrichten. Nähere Informationen zur Installation und Konfiguration von mehreren ERA Servern in einem Unternehmen finden Sie im Kapitel Einrichten von RA-Servern in großen Netzwerken 129. Verwenden Sie zum Einrichten der Replikation die folgenden Replikationsoptionen: Einstellungen für ausgehende Replikation Ausgehende Replikation aktivieren - Aktiviert die Replikation (sinnvoll in größeren Netzwerken, siehe Kapitel Replikation 129 ). Übergeordneter Server - IP-Adresse oder Name des übergeordneten ERA-Servers, der Daten vom lokalen ERAServer erfasst. Port - Legt den Port fest, der für die Replikation verwendet wird. Replizieren alle XX Minuten - Legt das Intervall für die Replikation fest. Replizieren: Bedrohungs-Log, Firewall-Log, Ereignis-Log, Scan-Log, Mobilgeräte-Log, Quarantäne - Wenn diese Optionen aktiviert sind, werden alle Daten aus den einzelnen Spalten und Zeilen im Bedrohungs-, Firewall-, Ereignis-, Scan-, Mobilgeräte- bzw. Quarantäne-Log repliziert. Daten, die nicht direkt in der Datenbank, sondern in separaten Dateien gespeichert sind (z. B..txt- oder.xml-dateien), werden unter Umständen nicht repliziert. Aktivieren Sie diese Optionen, um auch Einträge in solchen Dateien zu replizieren. Automatisch replizieren: Clientdetails, Details zu Bedrohungs-Log, Details zu Scan-Log, Details zu MobilgeräteLog, Quarantänedateien - Mit diesen Optionen wird die automatische Replikation von zusätzlichen Daten aktiviert, die in separaten Dateien gespeichert sind. Über die Schaltfläche Anfordern können Sie solche Daten auch je nach Bedarf herunterladen. Log-Typ - Legt fest, welche Arten von Ereignissen zum übergeordneten ERA-Server repliziert werden (Warnungen, Ereignisse, Scans). 128

129 Automatisch replizieren - Aktiviert eine regelmäßige Replikation. Wenn kein Intervall eingerichtet ist, kann die Replikation manuell gestartet werden. Status der ausgehenden Replikation Replikation jetzt starten - Startet die Replikation. Alle Clients für Replikation vormerken - Wenn diese Option aktiviert ist, werden alle Clients repliziert, also auch solche, für die keine Änderungen vorliegen. Einstellungen für eingehende Replikation Eingehende Replikation aktivieren - Bewirkt, dass der lokale ERA-Server Daten von den im Feld Zulässige Server eingetragenen Servern entgegennimmt. Um mehrere ERA-Server anzugeben, trennen Sie die Namen durch Kommata. Replikation von jedem Server zulassen - Wenn dieses Kontrollkästchen aktiviert ist, kann eine Replizierung von einem beliebigen Server ausgeführt werden. Beim Aktivieren des Kontrollkästchens wird das Feld Zugelassene Server deaktiviert Replikation in großen Netzwerken Eine Replikation kommt in größeren Netzwerken zum Einsatz, in denen mehrere ERA Server installiert sind (z. B. ein Unternehmen mit mehreren Standorten). Nähere Informationen finden Sie im Kapitel Installation 23. Die Optionen auf der Registerkarte Replikation (Extras > Serveroptionen) gliedern sich in zwei Bereiche: Einstellungen für ausgehende Replikation Einstellungen für eingehende Replikation Zur Konfiguration von untergeordneten ERA Servern dienen die Einstellungen für ausgehende Replikation. Aktivieren Sie dazu die Option Ausgehende Replikation aktivieren und geben Sie die IP-Adresse oder den Hostnamen des Master-ERAS (übergeordneter Server) ein. Die Daten des untergeordneten Servers werden dann auf den Master-Server repliziert. Die Einstellungen für eingehende Replikation werden auf übergeordneten ERA Servern (Master-Servern) konfiguriert, damit diese die Daten der untergeordneten ERA Server entgegennehmen bzw. an andere übergeordnete Master-Server weiterleiten. Aktivieren Sie dazu die Option Eingehende Replikation aktivieren und legen Sie die Namen der zulässigen untergeordneten Server fest (bei mehreren Servern jeweils durch ein Komma getrennt). Auf einem ERA Server in der Mitte einer Replikationshierarchie, für den es sowohl übergeordnete als auch untergeordnete Server gibt, müssen beide Optionen aktiviert werden. Die unten stehende Abbildung zeigt alle der vorgenannten Szenarien. Jeder beige Computer steht für einen ERA Server. Für jeden ERAS sind der Name (zur besseren Übersicht identisch mit dem Computernamen) sowie die entsprechenden Einstellungen im Replikations-Dialogfenster angegeben. 129

130 Das Replikationsverhalten der Server lässt sich mit den folgenden Optionen genauer festlegen: Bedrohungs-Log replizieren, Firewall-Log replizieren, Ereignis-Log replizieren, Scan-Log replizieren, MobilgeräteLog replizieren, Quarantäne replizieren Wenn diese Optionen aktiviert sind, werden alle Daten aus den einzelnen Spalten und Zeilen der Registerkarten Clients, Bedrohungs-Log, Firewall-Log, Ereignis-Log, Scan-Log, Mobilgeräte-Log, Quarantäne bzw. Tasks repliziert. Daten, die nicht direkt in der Datenbank, sondern in separaten Dateien gespeichert sind (.txt- oder.xml-dateien), werden unter Umständen nicht repliziert. Aktivieren Sie diese Optionen, um auch Einträge in solchen Dateien zu replizieren. Details zu Bedrohungs-Log automatisch replizieren, Details zu Scan-Log automatisch replizieren, Clientdetails automatisch replizieren, Details zu Mobilgeräte-Log automatisch replizieren, Quarantänedateien automatisch replizieren Mit diesen Optionen wird die automatische Replikation von zusätzlichen Daten aktiviert, die in separaten Dateien gespeichert sind. Über die Schaltfläche Anfordern können Sie solche Daten auch je nach Bedarf herunterladen. HINWEIS: Einige Logs werden automatisch repliziert, die dazugehörigen Details und Clientkonfigurationen jedoch nur auf Abruf. Grund dafür ist, dass einige Logs große Mengen von Daten enthalten, die oft nicht relevant sind. Ein Log eines Scans, bei dem die Option "Alle Dateien in Log aufnehmen" aktiv war, belegt beispielsweise recht viel Platz auf der Festplatte. Die Angaben zu den Dateien sind oft jedoch unnötig und können im Bedarfsfall problemlos von Hand angefordert werden. Beachten Sie außerdem, dass untergeordnete Server nicht automatisch melden, wenn ein Client gelöscht wird. Daten zu gelöschten Clients von untergeordneten Servern bleiben deshalb unter Umständen auf den übergeordneten Servern gespeichert. Damit gelöschte Clients in solch einem Fall automatisch von der Registerkarte "Clients" des übergeordneten Servers entfernt werden, aktivieren Sie die Option Replizierte Clients löschen, wenn sie auf dem untergeordneten Server gelöscht werden unter Serveroptionen > Erweitert > 130

131 Erweiterte Einstellungen bearbeiten > Einstellungen > Replikation. Um festzulegen, in welchem Umfang Logs in ERAS entgegengenommen werden, verwenden Sie die entsprechenden Optionen unter Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > Einstellungen > Serverwartung. Wenn Sie nur Clients mit geändertem Status replizieren möchten, aktivieren Sie die Option Extras > Serveroptionen > Replikation > Alle Clients für Replikation vormerken neben der Schaltfläche Replikation starten. 6.6 Updates Auf der Registerkarte Updates des Dialogfensters Serveroptionen können Sie die Update-Einstellungen für den ESET Remote Administrator Server festlegen. Sie gliedert sich in zwei Bereiche. Im oberen Bereich legen Sie die Optionen für Server-Updates fest, im unteren können Sie einen Update-Mirror konfigurieren. Diese ab ESET Remote Administrator Server 2.0 verfügbare Mirror-Funktion 132 ermöglicht es, einen lokalen Update-Server für die ClientArbeitsplatzrechner einzurichten. Die Elemente und Funktionen auf dieser Registerkarte sind nachstehend beschrieben: Update-Server - Der Update-Server bei ESET. Es wird empfohlen, die Standardeinstellung "Automatisch auswählen" beizubehalten. Update-Intervall - Legt fest, wie viel Zeit zwischen zwei Prüfungen auf neue Update-Dateien maximal verstreichen soll. Update-Benutzername - Benutzername, mit dem sich ESET Remote Administrator beim Update-Server anmeldet Update-Passwort - Passwort für den angegebenen Benutzernamen Regelmäßige Updates der Signaturdatenbank und der Programmkomponenten sind eine wesentliche Voraussetzung, um neue Bedrohungen zuverlässig erkennen zu können. Gerade in größeren Netzwerken kann es bei Updates jedoch vereinzelt zu Problemen wie Fehlalarmen oder Schwierigkeiten mit einzelnen Modulen kommen. Daher gibt es für die Verbindung zum Update-Server drei verschiedene Optionen: Reguläre Updates - Signaturdatenbank-Updates werden von den regulären Update-Servern heruntergeladen, sobald sie offiziell veröffentlicht wurden. Testmodus - Wenn diese Option aktiviert ist, werden beim Update Beta-Module heruntergeladen. Sie empfiehlt sich nicht für Produktivumgebungen, sondern nur für Testzwecke. Verzögerte Updates - Mit dieser Option erhalten Sie Updates erst 12 Stunden nach deren offizieller Veröffentlichung. Die Updates wurden dann in einer Produktivumgebung getestet und können als stabil gelten. Um einen Update-Task zu starten, bei dem die aktuelle Version aller Programmkomponenten von ESET Remote Administrator heruntergeladen wird, klicken Sie auf Update starten. Über Updates werden unter Umständen wichtige Komponenten oder Funktionen bereitgestellt. Sie sollten daher unbedingt sicherstellen, dass die Suche nach Updates korrekt und automatisch funktioniert. Falls Probleme bei den Updates auftreten, wählen Sie die Option Update-Cache löschen, um den Ordner mit den temporären Update-Dateien zu leeren. Die Schaltfläche Mirror für heruntergeladene PCUs wird aktiv, wenn ein PCU (Programmkomponenten-Upgrade) heruntergeladen wurde und manuell bestätigt werden muss. Klicken Sie auf diese Schaltfläche, um alle verfügbaren PCUs und die dazugehörigen Lizenzvereinbarungen anzuzeigen. Zum Einrichten des PCU-Mirrors klicken Sie auf Erweitert > Erweiterte Einstellungen bearbeiten und konfigurieren die Einstellungen unter ESET Remote Administrator > ERA Server > Einstellungen > Mirror. Die Konfiguration eines Mirrors in ESET Remote Administrator Server funktioniert auf dieselbe Weise wie in ESET Endpoint Antivirus Business Edition und ESET Endpoint Security Business Edition. Es folgt eine Beschreibung der wesentlichen Optionen: Update-Mirror aktivieren - Aktiviert die Mirror-Funktion. Wenn diese Option deaktiviert ist, werden keine MirrorKopien der Updates erstellt. Mirror-Kopie der ausgewählten Programmkomponenten erstellen - Hier legen Sie fest, von welchen Programmkomponenten und Sprachvarianten eine Mirror-Kopie angelegt werden soll. 131

132 Mirror-Kopie der ausgewählten Programmkomponenten-Updates nur bei entsprechender Anforderung erstellen - Wenn diese Option aktiviert ist, werden Mirror-Kopien der PCUs nicht automatisch erstellt. Um die MirrorFunktion für PCUs zu aktivieren, wählen Sie die Option Mirror für heruntergeladene PCUs unter Extras > Serveroptionen > Updates. Mirror-Ordner - Lokaler oder Netzwerkordner, in dem die Update-Dateien gespeichert werden Update-Bereitstellung über HTTP aktivieren - Hiermit können Sie Updates über einen integrierten HTTP-Server bereitstellen. HTTP-Serverport - Legt den Port fest, über den der ESET Remote Administrator Server die Updates bereitstellt. Authentifizierung am HTTP-Server - Legt fest, welches Authentifizierungsverfahren für den Zugriff auf die Update-Dateien verwendet wird. Die folgenden Optionen stehen zur Verfügung: Keine, Basis, NTLM. Mit der Option Basis werden die Anmeldedaten lediglich nach dem Base64-Verfahren codiert übertragen ("Basic Authentication"). Bei der Option NTLM werden die Daten nach einem sicheren Verfahren verschlüsselt. Zur Authentifizierung werden die Benutzer auf dem Rechner verwendet, der die Update-Dateien bereitstellt. Klicken Sie im unteren Teil der Registerkarte auf Standard, um die Standardwerte für alle Optionen wiederherzustellen. HINWEIS: Bei der Bereitstellung von Updates über den integrierten HTTP-Server wird ein Höchstwert von 400 Clients pro Update-Mirror empfohlen. In großen Netzwerken mit mehr Clients sollten die Mirror-Updates auf mehrere Mirror-Server (ERA oder ESS/EAV) verteilt werden. Falls zwingend ein einziger zentraler Mirror-Server verwendet werden muss, empfiehlt sich der Einsatz eines anderen HTTP-Servers wie z. B. Apache. ERA unterstützt dann auch andere Authentifizierungsverfahren (bei Apache wird z. B. die Methode über die.htaccess-datei verwendet). Um die Mirror-Funktion in ERAS zu aktivieren, müssen Sie als Administrator den Lizenzschlüssel für das erworbene Produkt sowie den Benutzernamen mit Passwort eingeben. Wenn der Administrator Lizenzschlüssel, Benutzername und Passwort für ESET Endpoint Antivirus Business Edition verwendet und später ein Upgrade auf ESET Endpoint Security Business Edition ausführt, müssen die ursprünglichen Werte für Lizenzschlüssel, Benutzername und Passwort ebenfalls ersetzt werden. HINWEIS: ESET Endpoint Antivirus Clients können auch mit einer ESET Endpoint Security-Lizenz aktualisiert werden, jedoch nicht umgekehrt Mirror-Server Mit der Mirror-Funktion können Sie einen lokalen Update-Server einrichten. Clientcomputer laden Updates für die Signaturdatenbank dann nicht von ESETs Internet-Servern, sondern vom Mirror-Server im lokalen Netzwerk herunter. Hauptvorteil einer solchen Lösung ist, dass sie sowohl das über die Internetverbindung übertragene Datenvolumen als auch die Anzahl der abgehenden Verbindungen deutlich reduziert. Statt Hunderten von Clientrechnern muss nur noch der Mirror-Server die Updates aus dem Internet herunterladen. Allerdings ist bei einer solchen Konfiguration zu beachten, dass der Mirror-Server eine ständige Internetverbindung haben muss. Warnung: Wenn auf einem Mirror-Server ein Programmkomponenten-Upgrade (PCU) ohne anschließenden Neustart durchgeführt wird, kann dies zu Ausfällen führen. In einer solchen Situation kann der Server keine Updates mehr herunterladen oder für die Clientrechner bereitstellen. AKTIVIEREN SIE DAHER UNTER KEINEN UMSTÄNDEN AUTOMATISCHE PROGRAMMKOMPONENTEN-UPGRADES FÜR ESET SERVERPRODUKTE! Die Mirror-Funktion steht an zwei Stellen zur Verfügung: ESET Remote Administrator (Mirror wird intern in ERAS ausgeführt und kann über ERAC verwaltet werden) ESET Endpoint Security Business Edition oder ESET Endpoint Antivirus Business Edition (sofern die Business Edition mit einem Lizenzschlüssel aktiviert wurde). Ein Update-Mirror steht auch in ESET Endpoint Security und ESET Endpoint Antivirus zur Verfügung. Weitere Informationen finden Sie in der Dokumentation zu diesen Clientprodukten. Die Methode zum Aktivieren der Mirror-Funktion wird vom Administrator ausgewählt. 132

133 In großen Netzwerken können mehrere Mirror-Server (z. B. für unterschiedliche Abteilungen eines Unternehmens) in Kombination mit einem zentralen Mirror-Server in einer mehrstufigen Hierarchie eingerichtet werden - ähnlich wie bei einer ERAS-Konfiguration mit mehreren Clients. Um die Mirror-Funktion in ERAS zu aktivieren, müssen Sie als Administrator den Lizenzschlüssel für das erworbene Produkt sowie den Benutzernamen mit Passwort eingeben. Wenn der Administrator Lizenzschlüssel, Benutzername und Passwort für ESET Endpoint Antivirus Business Edition verwendet und später ein Upgrade auf ESET Endpoint Security Business Edition ausführt, müssen die ursprünglichen Werte für Lizenzschlüssel, Benutzername und Passwort ebenfalls ersetzt werden. HINWEIS: ESET Endpoint Antivirus Clients können auch mit einer ESET Endpoint Security-Lizenz aktualisiert werden, jedoch nicht umgekehrt. Dasselbe gilt entsprechend auch für ESET Endpoint Antivirus und ESET Endpoint Security Betrieb des Mirror-Servers Der Computer mit dem Mirror-Server sollte ständig eingeschaltet sein und über eine Verbindung zum Internet bzw. zu einem übergeordneten Mirror-Server (zur Replikation) verfügen. Die Update-Pakete für den Mirror-Server können auf zwei verschiedene Weisen heruntergeladen werden: 1. Per HTTP-Protokoll (empfohlen) 2. Über eine Netzwerkfreigabe (SMB) Die ESET-Update-Server verwenden das HTTP-Protokoll mit Authentifizierung. Auf einem zentralen Mirror-Server sollte daher zum Zugriff auf die Update-Server der korrekte Benutzername (in der Regel im Format EAV-XXXXXXX) samt Passwort eingerichtet werden. Der Mirror-Server ist Teil von ESET Endpoint Security/ESET Endpoint Antivirus und enthält einen integrierten HTTPServer (Variante 1). HINWEIS: Wenn Sie den integrierten HTTP-Server (ohne Authentifizierung) verwenden, stellen Sie bitte sicher, dass kein Zugriff von außerhalb ihres Netzwerks (d. h. durch Clients, die nicht durch Ihre Lizenz abgedeckt sind) möglich ist. Es darf kein Zugriff auf den Server über das Internet möglich sein. Standardmäßig nimmt der integrierte HTTP-Server Verbindungen über den TCP-Port 2221 entgegen. Bitte stellen Sie sicher, dass dieser Port von keiner anderen Anwendung verwendet wird. HINWEIS: Bei der Bereitstellung von Updates über den integrierten HTTP-Server wird ein Höchstwert von 400 Clients pro Update-Mirror empfohlen. In großen Netzwerken mit mehr Clients sollten die Mirror-Updates auf mehrere Mirror-Server (ERA oder ESS/EAV) verteilt werden. Falls zwingend ein einziger zentraler Mirror-Server verwendet werden muss, empfiehlt sich der Einsatz eines anderen HTTP-Servers wie z. B. Apache. ERA unterstützt dann auch andere Authentifizierungsverfahren (bei Apache wird z. B. die Methode über die.htaccess-datei verwendet). Bei der zweiten Methode (Netzwerkfreigabe) muss der Ordner mit den Update-Paketen für den Lesezugriff freigegeben werden. Auf den Client-Arbeitsplatzrechnern ist dementsprechend der Benutzername und das Passwort eines Benutzers mit Leserechten für den Update-Ordner einzutragen. HINWEIS: ESET Clientlösungen verwenden das Benutzerkonto SYSTEM und haben daher andere Netzwerkzugriffsrechte als der aktuell angemeldete Benutzer. Es ist also auch dann eine separate Authentifizierung erforderlich, wenn das Netzlaufwerk für die Gruppe "Jeder" freigegeben ist und auch der aktuell angemeldete Benutzer darauf zugreifen kann. Achten Sie außerdem bitte darauf, dass Sie den Netzwerkpfad zu dem lokalen Server als UNC-Pfad angeben. Pfadangaben im Format LAUFWERK:\ werden nicht empfohlen. Bei der Verwendung einer Netzwerkfreigabe (Variante 2) empfiehlt es sich, für den Zugriff einen eigenen Benutzer zu erstellen (z. B. NODUSER). Dieses Konto verwenden Sie dann auf allen Clientrechnern einzig dazu, um Updates herunterzuladen. Hierzu benötigt das Konto (in unserem Beispiel NODUSER) natürlich Leserechte für die Netzwerkfreigabe mit den Update-Paketen. Geben Sie den Benutzernamen bei der Anmeldung an einem Netzlaufwerk bitte qualifiziert an, also im Format ARBEITSGRUPPE\Benutzer bzw. DOMÄNE\Benutzer. Neben den Anmeldedaten müssen Sie auch die Quelle der Updates für die ESET Clientlösungen festlegen. Hierbei 133

134 handelt es sich entweder um die URL-Adresse eines lokalen Servers ( oder den UNCPfad eines Netzlaufwerks: (\\Mirrorservername\Freigabename) Update-Typen Neben Updates für die Signaturdatenbank (die gleichzeitig auch Updates für den ESET Software-Kernel enthalten können) gibt es eine weitere Art von Updates: so genannte Programmkomponenten-Upgrades. Programmkomponenten-Upgrades erweitern ein Security-Produkt um neue Funktionen. Nach ihrer Installation ist ein Neustart erforderlich. In den Einstellungen für den Mirror-Server können Sie als Administrator verhindern, dass Programm-Upgrades automatisch von den Update-Servern oder einem übergeordneten Mirror-Server heruntergeladen und an die Clients weitergegeben werden. So können Sie zunächst überprüfen, ob ein neues Update eventuell Konflikte mit vorhandenen Anwendungen verursacht. Wenn alles in Ordnung ist, können Sie die Weitergabe des Updates an die Clients anschließend manuell anstoßen. Dies ist besonders dann praktisch, wenn Sie Updates für die Signaturdatenbank herunterladen und verwenden möchten, gleichzeitig aber auch eine neue Programmversion verfügbar ist. In Verbindung mit der aktuellen Signaturdatenbank-Version bietet auch die ältere Programmversion weiterhin optimalen Schutz. Dennoch empfiehlt es sich generell, die jeweils neueste Softwareversion herunterzuladen und zu installieren, um alle aktuellen Programmfunktionen nutzen zu können. Standardmäßig werden Programmkomponenten nicht automatisch heruntergeladen. Wenn Sie einen automatischen Download wünschen, müssen Sie dies von Hand in ERAS konfigurieren. Nähere Informationen finden Sie im Kapitel Aktivieren und Konfigurieren des Update-Mirrors Aktivieren und Konfigurieren des Mirror-Servers Wenn Sie den integrierten Mirror-Server von ERA verwenden, bauen Sie in ERAC eine Verbindung zu ERAS auf und führen dann die folgenden Schritte durch: Klicken Sie in ERAC auf Extras > Serveroptionen > Updates. Wählen Sie in der Liste Update-Server die Option Automatisch auswählen (Updates werden von den ESET-Servern heruntergeladen) oder geben Sie die URL bzw. den UNC-Pfad eines Mirror-Servers ein. Stellen Sie das Update-Intervall ein (Empfehlung: 60 Minuten). Wenn Sie im vorherigen Schritt Automatisch auswählen ausgewählt haben, geben Sie in den Feldern UpdateBenutzername und Update-Passwort den Benutzernamen und das Passwort ein, die Sie beim Kauf erhalten haben. Falls Sie auf einen anderen Server im Netzwerk zugreifen, geben Sie einen gültigen Domänenbenutzer samt Passwort für diesen Server an. Aktivieren Sie die Option Update-Mirror aktivieren und geben Sie den Pfad zu dem Ordner ein, in dem die Update-Dateien gespeichert werden sollen. Standardmäßig wird dieser Mirror-Ordner als relativer Pfad angegeben. Aktivieren Sie die Option Dateien über integrierten HTTP-Server bereitstellen und geben Sie im Feld Port für HTTP-Server den Port ein, den der HTTP-Server verwenden soll (standardmäßig 2221). Setzen Sie die Einstellung Authentifizierung auf Keine (nähere Informationen siehe Kapitel Betrieb des Mirror-Servers 133 ). HINWEIS: Falls Probleme bei den Updates auftreten, aktivieren Sie die Option Update-Cache löschen, um den Ordner mit den temporären Update-Dateien zu leeren. Über die Option Mirror für heruntergeladene PCUs können Sie die Mirror-Funktion für Programmkomponenten aktivieren. Zum Einrichten des PCU-Mirrors klicken Sie auf Erweitert > Erweiterte Einstellungen bearbeiten und konfigurieren die Einstellungen unter ESET Remote Administrator > ERA Server > Einstellungen > Mirror. Wählen Sie aus, welche Sprachversionen heruntergeladen werden sollen (Erweitert > Erweiterte Einstellungen bearbeiten, Zweig ERA Server > Einstellungen > Update-Mirror > Mirror-Kopie der ausgewählten Programmkomponenten erstellen. Sie sollten die Komponenten für alle Sprachversionen auswählen, die im Netzwerk verwendet werden sollen. Nicht benötigte Sprachversionen sollten Sie hingegen nicht herunterladen, um keinen unnötigen Datenverkehr im Netzwerk zu verursachen. 134

135 Sie finden das Mirror-Feature auch direkt in der Benutzeroberfläche unter ESET Endpoint Security Business Edition und ESET Endpoint Antivirus Business Edition, ESET Endpoint Security oder ESET Endpoint Antivirus. Auf welche Weise Sie den Mirror-Server implementieren, bleibt Ihnen als Administrator überlassen. Führen Sie die folgenden Schritte aus, um den Mirror-Server in ESET Endpoint Security Business Edition oder ESET Endpoint Antivirus Business Edition zu starten: 1) Installieren Sie ESET Endpoint Security Business Edition, ESET Endpoint Antivirus Business Edition (Clientversion 4.X), ESET Endpoint Security oder ESET Endpoint Antivirus. 2) Öffnen Sie das Dialogfenster Einstellungen (F5) und klicken Sie auf Allgemein > Lizenzen. Klicken Sie auf Hinzufügen, wählen Sie die *.lic-datei aus und klicken Sie auf Öffnen. Nach der Installation der korrekten Lizenz können Sie nun die Mirror-Funktion konfigurieren. 3) Klicken Sie im Zweig Update auf Konfigurieren und dann auf die Registerkarte Update-Mirror. 4) Aktivieren Sie die Kontrollkästchen Update-Mirror aktivieren sowie Dateien über integrierten HTTP-Server bereitstellen. 5) Geben Sie im Feld Mirror-Ordner den vollständigen Pfad zu dem Ordner ein, in dem die Update-Dateien gespeichert werden sollen. 6) Die Werte in den Feldern Benutzername und Passwort dienen als Anmeldedaten für Clients, die auf den MirrorOrdner zugreifen wollen. In den meisten Fällen sind hier keine Einträge nötig. 7) Setzen Sie die Einstellung Authentifizierung auf NONE. 8) Legen Sie fest, welche Komponenten heruntergeladen werden sollen. Sie sollten die Komponenten für alle Sprachversionen auswählen, die im Netzwerk verwendet werden. Es werden nur die Komponenten angezeigt, die auf den ESET-Update-Servern zur Verfügung stehen. HINWEIS: Um einen optimalen Betrieb zu gewährleisten, sollten Sie auch die Programmkomponenten herunterladen lassen und in den Mirror einbeziehen. Wenn diese Option deaktiviert ist, wird nur die Signaturdatenbank aktualisiert, nicht hingegen die Programmkomponenten. Wenn der integrierte Update-Mirror von ERA verwendet wird, können Sie diese Option in ERAC konfigurieren: Extras > Serveroptionen > Registerkarte Erweitert > Erweiterte Einstellungen bearbeiten > ESET Remote Administrator > ERA Server > Einstellungen > Update-Mirror. Aktivieren Sie alle Sprachversionen, die in Ihrem Netzwerk verwendet werden. HINWEIS: Wenn der Mirror das HTTPS-Protokoll für Client-Updates verwenden soll, navigieren Sie zu Registerkarte ERAC > Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten > ESET Remote Administrator > ERA Server > Einstellungen > Mirror > Protokoll > HTTPS. 6.7 Sonstige Einstellungen Auf der Registerkarte Sonstige Einstellungen können Sie eine SMTP-Serveradresse für den Versand von Installationspaketen per festlegen. Außerdem können Sie eine Administrator- -Adresse als Absenderadresse für s festlegen, die im Namen des Administrators verschickt werden. Falls der Server eine Authentifizierung erfordert, tragen Sie bitte auch den korrekten Benutzernamen samt Passwort ein. Hinweis: Sie können sichere Verbindungen einrichten, indem Sie im Dropdownmenü Sichere Verbindung ein Sicherheitsprotokoll auswählen. Die verfügbaren Optionen sind TLS, SSL und Auto (automatische Auswahl des verfügbaren Protokolls). Neue Clients Neue Clients zulassen - Wenn diese Option aktiviert ist, werden neue Clients bei ihrer ersten Verbindung zum ERA Server automatisch in die Clientliste aufgenommen. Clients, die per Replikation von anderen ERA-Servern importiert werden, werden bei der Replikation automatisch in die Clientliste aufgenommen. Markierung "Neu" bei neuen Clients automatisch entfernen - Wenn diese Option aktiviert ist, werden neue Clients bei ihrer ersten Verbindung zum ERAS nicht automatisch als neu gekennzeichnet. Nähere Informationen finden Sie in der Beschreibung zur Registerkarte Clients. 135

136 Ports - Hier können Sie die verwendeten Ports anpassen. Konsole: Port, über den ERA Console Verbindungen zum ERA Server aufbaut (Standardwert: 2223) Client: Port, über den ESET-Clients Verbindungen zum ERA Server aufbauen (Standardwert: 2222) Replikationsport für diesen Server: Port, den ERA für die ausgehende Replikation zu einem übergeordneten ERA Server verwendet (Standardwert: 2846) ESET Remote Installer (Agent): Port, den der Agent (ESET Remote Installer) bei der Remoteinstallation verwendet (Standardwert: 2224) Webserver: Port für die Verbindung zum Webserver (Standardwert: 2225) HINWEIS: Damit Änderungen an der Portkonfiguration wirksam werden, muss der NOD32 ERA Server-Dienst neu gestartet werden. ESET Live Grid Erfassung - ERAS Legt das Zeitintervall fest, in dem verdächtige Dateien und statistische Informationen von den Clients an die ESET-Server übermittelt werden. In bestimmten Fällen können diese Informationen nicht direkt von den Clients erfasst werden. Dashboards Webserver-Liste konfigurieren... - Hiermit wird die Liste der Dashboard-Webserver 48 aufgerufen. 6.8 Erweitert Über die Registerkarte Erweitert im Fenster Serveroptionen können Sie die erweiterten Einstellungen für den Server über den ESET Configuration Editor einsehen und bearbeiten. Um den Configuration Editor zu öffnen, klicken Sie auf dieser Registerkarte auf Erweiterte Einstellungen bearbeiten. Bitte beachten Sie die daraufhin erscheinende Warnmeldung und nehmen Sie Änderungen an den Einstellungen nur mit Bedacht vor. Die erweiterten Einstellungen umfassen die folgenden Optionen: Maximal... Prozent der Festplatte belegen - Wenn dieser Wert überschritten wird, stehen bestimmte Serverfunktionen eventuell nicht mehr zur Verfügung. In diesem Fall wird beim Verbindungsaufbau zum ERAS eine Meldung in ERAC angezeigt. Bevorzugte Codierung für Kommunikationsprotokoll - Legt die Art der Codierung fest. Die Standardeinstellung wird empfohlen. MAC-Adressangabe bei Bedarf ändern (unbekannt in gültig)- Nach der Installation von einer ESET-Clientlösung, die keine Übertragung von MAC-Adressen unterstützt (z. B. ESET Endpoint Antivirus 2.x) auf eine Clientlösung, die diese Übertragung unterstützt (z. B. ein 3.x-Client) wird der alte Clienteintrag zu einem neuen Eintrag konvertiert. Die Standardeinstellung (Ja) wird empfohlen. MAC-Adressangabe bei Bedarf ändern (gültig in unbekannt)- Nach der Installation von einer ESET-Clientlösung, die die Übertragung von MAC-Adressen unterstützt (z. B. ESET Endpoint Antivirus 3.x) auf eine Clientlösung, die diese Übertragung nicht unterstützt (z. B. ein 2.x-Client) wird der alte Clienteintrag zu einem neuen Eintrag konvertiert. Die Standardeinstellung (Nein) wird empfohlen. MAC-Adressangabe bei Bedarf ändern (gültig in gültig) - Aktiviert die Umbenennung gültiger MAC-Adressen. Mit dem Standardwert ist keine Umbenennung möglich, d. h. die MAC-Adresse ist Teil der eindeutigen Clientkennung. Deaktivieren Sie diese Option, wenn mehrere Einträge für denselben PC vorhanden sind. Außerdem sollten Sie diese Option deaktivieren, wenn ein Client nach einer Änderung der MAC-Adresse als derselbe Client erkannt wird. Computernamen bei Bedarf ändern - Legt fest, ob Änderungen am Hostnamen von Clientcomputern zulässig sind. Wenn diese Einstellung deaktiviert ist, wird der Computername als Teil der eindeutigen Clientkennung verwendet. 136

137 Standard-Serveranmeldedaten auch bei Push-Installation verwenden - In ERAS können Sie einen Benutzernamen und ein Passwort ausschließlich für die Remoteinstallation per Anmeldeskript oder festlegen. Aktivieren Sie diese Option, wenn die hinterlegten Anmeldedaten auch für die Push-Remoteinstallation verwendet werden sollen. 137

138 7. ERA-Befehlszeilenkonsole In der ERA-Befehlszeilenkonsole können Sie direkt über die Befehlszeile Tasks ausführen und Clients verwalten. Starten Sie dazu entweder die ERA-Befehlszeilenkonsole im Verzeichnis der ERA-Konsole oder geben Sie eracmd.exe in der Befehlszeile ein. Die ERA-Befehlszeilenkonsole verwendet die ERA API 169 für die Kommunikation mit dem ERA Server. Nach dem Start der ERA-Befehlszeilenkonsole werden Sie zur Eingabe Ihrer Logindaten aufgefordert. Wenn Sie diese Parameter auslassen, werden Standardwerte verwendet. Hinweis: Die ERA-Befehlszeilenkonsole bietet eine Funktion zum Auto-Vervollständigen von Befehlen. Geben Sie die ersten Buchstaben eines Befehls in die Konsole ein und drücken Sie TAB, um den Befehl zu vervollständigen. Mehrfaches Drücken von TAB wechselt durch die verfügbaren Optionen. Mit den Pfeilen nach unten/oben können Sie durch den bisherigen Befehlsverlauf blättern. Drücken Sie ESC, um zum vorherigen Text zurückzukehren. Drücken Sie ESC zwei mal, um den Text komplett zu löschen. Syntax in der Befehlszeile: eracmd.exe --connectionparameters [command arguments [-commandflags]] [;command arguments -commandflags] Beispiel:: eracmd.exe --s version server -format csv eracmd.exe --aa Nach dem Start versucht die ERA-Befehlszeilenkonsole automatisch, sich mit dem Server zu verbinden. Wenn die Verbindung hergestellt wurde, beginnt eracmd mit der Verarbeitung von Befehlen. Wenn kein Befehl angegeben wurde, startet eracmd im Shell-Modus. Der Benutzer kann anschließend Befehle eingeben und deren Ergebnisse sofort sehen. Mit dem Befehl HELP COMMANDS können Sie eine Liste der verfügbaren Befehle anzeigen. Syntax im Shell-Modus: [command arguments [-commandflags]] [;command arguments -commandflags] Verwenden Sie Anführungszeichen in Argumenten mit Leerzeichen, um mehrere Wörter als einziges Argument zu gruppieren. Verwenden Sie doppelte Anführungszeichen, um Anführungszeichen innerhalb eines solchen Arguments zu verwenden. "Say ""hello"" please" wird interpretiert als 'Say "hello" please' Zwei miteinander verbundene Wörter (eines davon mit Anführungszeichen ) werden miteinander verbunden. "Say "hello wird interpretiert als 'Say hello' Die Befehle und Schlüsselwörter in Eracmd unterscheiden nicht zwischen Groß- und Kleinschreibung. Nur Argumente in Datenbankabfragen können zwischen Groß- und Kleinschreibung Beliebige Teile von Befehlen können aus Dateien stammen. Der Dateipfad muss dabei mit eingeschlossen werden. Mit dieser Syntax wird der Inhalt der angegebenen Datei an der entsprechenden Stelle eingefügt. Falls die Datei weitere Zeilen enthält, werden diese Zeilen mit Kommas angefügt und als einzelne Zeile behandelt. Auf diese Weise kann die Liste der Argumente für den nächsten Befehl in der Datei gespeichert werden. Leere Zeilen werden übersprungen. kann in Anführungszeichen gesetzt werden, um diese Funktion zu unterdrücken. Beispiele: Die Datei myconnection.txt enthält den Text '--s '. Der Befehl show clients id where name -like "*@*" wird verwendet als eracmd.exe --s show clients id where name -like *@* Dieses Beispiel erstellt einen Konfigurations-Task für Clients, deren Name das Wort "notebook" enthält: show client id where client_name -like *Notebook* -out notebookid.txt -format csv -header none 138

139 task config c:\task_config_01.xml Befehle 141 : Mit dem Befehl HELP COMMANDS können Sie eine Liste der verfügbaren Befehle anzeigen, und mit HELP <Befehl> rufen Sie Hinweise zu einem bestimmten Befehl ab. Befehle haben Pflicht- und optionale Parameter, die mithilfe von Schlüsselwörtern angegeben werden können. Optionale Parameter mit Schlüsselwort können in beliebiger Reihenfolge im Anschluss an die Pflichtparameter verwendet werden. Ein Befehl beginnt direkt nach den Verbindungsparametern, ohne Präfix. Falls kein Befehl in der Befehlszeile vorhanden ist, startet eracmd im ShellModus. Eine Zeile kann mehrere Befehle enthalten. Trennen Sie die Befehle in diesem Fall durch ein Semikolon (;). Verwenden Sie den Befehl SCRIPT <Name der Skriptdatei>, um eine Skriptdatei mit mehreren Befehlen auszuführen. In Skriptdateien werden Befehle durch Zeilenumbrüche getrennt. Kommando-Markierungen: Kommando-Markierungen bestimmen das allgemeine Verhalten von Befehlen, wie z. B. Ausgabeformat oder Fehlerbehandlung. Kommando-Markierungen werden nach einem Kommando und dessen Argumenten angehängt. Vor jedem Markierungs-Schlüsselwort steht ein Bindestrich (-). Mit dem Befehl HELP FLAGS können Sie eine Liste der Markierungen ausgeben. Kommentare: Im Shell-Modus können Kommentare in Skripts oder Befehlszeilenargumenten verwendet werden. Kommentare beginnen mit # und enden mit dem Ende der aktuellen Zeile. Kommentare werden durch das Befehls-Trennzeichen nicht beendet. Wenn # innerhalb von Anführungszeichen steht, beginnt dadurch kein Kommentar, sondern das Zeichen wird als normaler Teil des Texts interpretiert. Shell-Modus: Im Shell-Modus können Sie TAB-drücken, um die kontextabhängige Auto-Vervollständigung zu aktivieren. Mit dem Befehl HISTORY können Sie den Befehlsverlauf aktivieren, deaktivieren oder löschen. Mit den Pfeiltasten nach oben und unten können Sie Befehle aus dem Verlauf auswählen. Drücken Sie ESC, um Änderungen mit der TAB-Taste oder den Pfeiltasten zu verwerfen. Startskript: Das Startskript ist eine Datei mit Befehlen, die beim Start des Shell-Modus automatisch ausgeführt werden. Das Standard-Startskript befindet sich im Ordner ProgramData (Alle Benutzer\Anwendungsdaten) unter ESET\ESET Remote Administrator\Console\eracmd_startup.txt. Ein alternativer Pfad kann mit dem Argument --startup eracmd.exe angegeben werden (z. B. eracmd.exe --startup startup_script.txt). Das Skript wird nicht als separates untergeordnetes Skript ausgeführt (wie bei der Ausführung mit dem "Skript"Befehl), sondern so als ob die Befehle direkt im Shell-Modus in der Konsole eingegeben würden (d. h. die im Startskript mit dem Befehl "Set" gesetzten Markierungen bleiben im Shell-Modus gesetzt). Der Befehl "Set Save" kann verwendet werden, um aktuelle Markierungswerte im Startskript zu speichern. Ein eventuell vorhandenes Startskript wird dabei überschrieben. Wenn im Startskript ein Exit-Befehl verwendet wird, werden die nachfolgenden Befehle nicht ausgeführt, aber eracmd.exe verlässt den Shell-Modus nicht. Formatierungen Kopf- und Feldmarkierungen können zur Angabe von Formatierungen verwendet werden: - Schlüsselwort - konstante Texte werden verwendet (geeignet zur automatischen Nachbearbeitung) - Formatiert - übersetzbare Texte werden verwendet (lesbare Ausgabe für Benutzer) Kopfmarkierungen betreffen die Spaltenüberschriften (Spaltennamen). Feldmarkierungen betreffen die Zellenwerte. Verbindungsparameter Die Parameter für die Verbindung zum ERA-Server müssen als Befehlszeilenparameter angegeben werden. 139

140 Eracmd.exe verarbeitet Befehle nur, wenn die Verbindung erfolgreich hergestellt wurde. Alle Verbindungsparameter verwenden einen doppelten Bindestrich (--) als Präfix. --s Server:Port: Server, mit dem die Verbindung aufgebaut werden soll. Standardwert: localhost: u Benutzername: Benutzername für den Era-Server. Falls der Benutzername mit einem Domänen-Präfix beginnt, wird er für die Domänen-Authentifizierung verwendet. Dieser Befehl kann nicht gemeinsam mit --ud oder --uc verwendet werden. Standardwert: Administrator --ud Benutzername: Benutzername für die Domänen-Authentifizierung. Kann nicht gemeinsam mit --u oder --uc verwendet werden. --uc: Anmeldedaten der aktuellen Windows-Sitzung verwenden. Kann nicht gemeinsam mit --u oder --ud verwendet werden. --p Passwort: Passwort für Era-Server oder Domänen-Authentifizierung. Kann nicht gemeinsam mit --pa verwendet werden. Standardwert: "" (leeres Passwort). --pa: Passwort-Eingabeaufforderung. Nach dem Start der Konsole kann das Passwort mit Sternchen-Maskierung eingegeben werden. Kann nicht gemeinsam mit --p verwendet werden. --aa: Eingabeaufforderung für alle Verbindungsparameter. Wenn dies angegeben ist, können keine anderen Verbindungsparameter verwendet werden. --startup: Alternativer Pfad zum Startskript. Das Startskript wird beim Start des Shell-Modus automatisch ausgeführt. 7.1 Kommando-Flags Flags dienen zur Definition des allgemeinen Verhaltens von Kommandos oder zur Bestimmung der Ausgabe von Kommandos. Verwenden Sie das SET-Kommando, um die Standardwerte der einzelnen Flags zu setzen. Flags werden nach einem Kommando und dessen Argumenten angehängt. Hier finden Sie eine Liste der verfügbaren Flags: -format Ausgabeformat. Mögliche Werte: csv, table. Standardwert: csv (im Kommandozeilenmodus), table (im Shell-Modus). -delim Trennzeichen für die CSV-Ausgabe, Bei Verwendung mit dem Argument "" wird das SystemTrennzeichen verwendet (ebenfalls der Standardwert). Falls kein System-Trennzeichen gesetzt ist, wird ',' verwendet. Da das Semikolon als Kommando-Trennzeichen verwendet wird, müssen Sie Anführungszeichen verwenden, um es in diesem Fall als CSV-Trennzeichen zu kennzeichnen. Standardwert: "" (System-Trennzeichen, ',' falls keines gesetzt). -out Leitet die Ausgabe in eine Datei um. Siehe auch Flags -mode und -enc. Bei Verwendung mit dem Argument "" wird die Umleitung deaktiviert (dies ist auch das Standardverhalten). Standardwert: "" (Umleitung deaktiviert). -mode Dateiausgabemodus. Mögliche Werte: o (Datei überschreiben), a (am Ende der Datei anhängen). Standardwert: o (Datei überschreiben). -enc Encoding für die Dateiausgabe. Mögliche Werte: ansi, utf8, utf16. Standardwert: utf8. -header Art der Tabellenüberschriften. Mögliche Werte: keyword (Schlüsselwörter analog zu den Argumenten des show-kommandos, z. B. client_name), pretty (besser lesbare und übersetzbare Spaltennamen, z. B. Client Name), none (keine Tabellenüberschriften). Standardwert: keyword. -paged Seitenweise Ausgabe. Mit dieser Option muss der Benutzer nach jeder Seite eine Taste drücken. Mögliche Werte: true, false. Standardwert: false. -tableclip Zuschneiden von Tabellen auf Bildschirmformat. Dies wird nur bei der Ausgabe von Tabellen in einem Konsolenfenster angewendet. Mögliche Werte: true, false. Standardwert: true. -color Mehrfarbige Darstellung von Inhalten im Konsolenfenster. Mögliche Werte: true, false. Standardwert: true. -field Formatierung von Tabellenfeldern. Mögliche Werte: keyword (konstante Schlüsselwörter, z. B. finished_with_warning), pretty (besser lesbarer und übersetzbarer Text, z. B. "Mit Warnung 140

141 abgeschlossen"). Standardwert: keyword. -onerror Verhalten im Fehlerfall bei der Kommandoausführung. Für stop wird die Ausführung der Kommandosequenz sofort angehalten. Für continue wird die Ausführung mit den nachfolgenden Kommandos fortgesetzt. Die gesamte Sequenz endet mit einem Fehlerstatus, wenn mindestens ein Kommando fehlgeschlagen ist. Mögliche Werte: stop, continue. Standardwert: stop. 7.2 Befehle BEFEHL BESCHREIBUNG clearinfo Löscht bestimmte clearinfo <data type> Informationen von <clients> einem Client. Zur Auswahl stehen die Informationen "Letzte Bedrohungswarnung", "Letzte FirewallWarnung", "Letzte Ereigniswarnung", "Letzter Scan" und "Benutzerdefiniert". client comment Clientkommentar festlegen. SYNTAX PARAMETER BEISPIEL data type Eine clearinfo firewall * kommagetrennte Liste der zu löschenden Informationstypen. Mögliche Werte: threat,firewall,event,s can,custom clients Kommagetrennte Liste der Client-IDs (oder * für alle Clients). Geben Sie "show client *" ein, um die Liste der Clients anzuzeigen. client comment <client client ID ID des Clients, client comment 1 ID> <comment> für den ein Problematic Kommentar gesetzt wird. Geben Sie "show client *" ein, um Informationen zu vorhandenen Clients anzuzeigen, inklusive Client-ID. comment Kommentar für den Client. client delete Löscht Clients vom Server. client delete <client ID> [<nowait>] client ID client delete 1,5,9 nowait Kommagetrennte Liste der IDs der zu löschenden Clients. nowait Nicht auf das Ergebnis der Anforderungsverarbeit ung vom Server warten. Möglicher Wert: nowait client new Setzt/entfernt die client new <client ID> Markierung "Neu" für <action> einen Client auf dem Server. client ID Durch Kommas getrennte Liste mit den IDs der Clients, deren Markierung "Neu" client new 1 reset 141

142 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL gesetzt/entfernt werden soll. action Angabe, ob die Markierung "Neu" gesetzt oder entfernt werden soll. Mögliche Werte: setzen, zurücksetzen client rename Ändert den Namen client rename <client eines Clients auf dem ID> <name> Server. client ID ID des umzubenennenden Clients. client rename 1 new_client_name name Neuer Name für den Client. client roaming Setzt/entfernt die client roaming <client Markierung ID> <action> "Roamingbenutzer" für einen Client auf dem Server. client ID Durch Kommas getrennte Liste mit den IDs der Clients, deren Markierung "Roamingbenutzer" gesetzt/entfernt werden soll. client roaming 1 set Angabe, ob die Markierung "Roamingbenutzer" gesetzt oder entfernt werden soll. Mögliche Werte: setzen, zurücksetzen cls Löscht die Konsolenausgabe. echo Zeigt ein Argument als echo [<message>] Nachricht an. Falls das Argument fehlt, wird nur ein Zeilenumbruch an die Ausgabe angehängt. 142 cls cls message Anzuzeigende Nachricht. Kann mehrere verkettete Werte enthalten. echo "hello world" echo "Report created with ID: ",@reportid.csv@ echo

143 BEFEHL BESCHREIBUNG SYNTAX encrypt Verschlüsselt ein encrypt Passwort zur <encryptiontype> Verwendung in der [<password>] Konfiguration. Die folgenden beiden Verschlüsselungen werden verwendet: 'Server' wird für die vom ERA-Server definierten Passwörter verwendet (Replikation, Client, Installer, Benutzer) und 'Sonstige' wird für die Passwörter anderer Dienste verwendet (SMTP, Update usw.). Als Resultat dieses Kommandos wird das verschlüsselte Passwort angezeigt, das für die Erstellung von Konfigurationsdateien verwendet werden kann. Wenn kein Passwort angegeben wurde, wird der Benutzer zu dessen Eingabe aufgefordert die Zeichen im Passwortfeld werden als Sternchen dargestellt. encryptiontype Art der encrypt server Verschlüsselung. MyReplicationPassword657 Mögliche Werte: 8 server, other, hash, encrypt other int64 MySmnpPwdBfx5 password Zu encrypt hash MyLockPass2 verschlüsselndes Passwort. encrypt int errmsg Zeigt eine Fehlermeldung für einen Fehlercode an. code Fehlercode, errmsg 2001 dessen Fehlermeldung angezeigt werden soll. exit Beendet die exit Befehlszeilenkonsole, falls dieser Befehl im Shell-Modus aufgerufen wird. Beendet die Ausführung der aktuellen Skriptdatei, falls dieser Befehl in einer Skriptdatei verwendet wird. errmsg <code> PARAMETER BEISPIEL 143

144 BEFEHL BESCHREIBUNG SYNTAX getdata Ruft die angegebenen getdata <data type> Daten von einem <data ID> <file> bestimmten Client oder einer bestimmten Policy für eine lokale Datei ab. Manche Daten sind auf dem Server nicht verfügbar. Verwenden Sie den REQUEST-Befehl, um diese Daten zu aktualisieren. Konfiguration, Schutzkomponenten, Schutzstatus und Systeminformationen werden für Clients auf dem primären Server automatisch aktualisiert. PARAMETER BEISPIEL data type Art der getdata configuration 1 c: abzurufenden Daten. \file.xml Mögliche Werte: Client: sysinspector (SysInspector-Log), configuration (XMLKonfiguration), protection_status (Schutzstatus), protection_features (Schutzkomponenten), system_information (Systeminformationen ); Policy: policy (XMLPolicy, nur für nicht vom übergeordneten Server replizierte Policies), policy_merged (XML für zusammengeführte Policies, entsteht durch Vererbung bei der Anwendung von übergeordneten Policies), policy_override (XML für Policies mit Vorrang, nur für vom übergeordneten Server replizierte Policies), policy_nonoverride (XML für Policies ohne Vorrang) ID der Entität (Client oder Policy), deren Daten heruntergeladen werden sollen. file Zielpfad im lokalen Dateisystem. group Zeigt definierte group [<tree>] Gruppen und Gruppeninformationen an. group assign Ordnet einen oder mehrere Clients zu einet statischen Gruppe zu. 144 tree In der group hierarchischen Anzeige können Sie Gruppen mit der jeweiligen Vererbung anzeigen. group assign <group ID> group ID ID einer <clients> Gruppe, zu der die Clients zugewiesen werden sollen. group assign 1 3,4

145 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL clients Kommagetrennte Liste der IDs der Clients, die zur angegebenen Gruppe hinzugefügt werden sollen. Oder * für alle Clients. Geben Sie "show client *" ein, um eine Liste der Clients mit allen Details inklusive IDs anzuzeigen. group create Erstellt eine statische group create <type> oder parametrische <name> [description Gruppe. <description>] [parentid <parent ID>] [paramsxml <params XML>] [sticky <sticky>] type Typ der neuen Gruppe (mögliche Werte: static, parametric) group delete group ID ID einer zu group delete 2 löschenden Gruppe. Geben Sie "group" ein, um die vorhandenen Gruppen und deren IDs anzuzeigen. Löscht eine group delete <group vorhandene statische ID> oder parametrische Gruppe inklusive aller Untergruppen. group export Exportiert statische group export <type> oder parametrische <group ID> <filename> Gruppen in eine lokale [<tree>] XML-Datei. group create static new_group name, description, parent ID, params XML, sticky - Geben Sie "help group create" in eracmd.exe ein, um die Hilfe anzuzeigen. type Typ der zu exportierenden Gruppen. Mögliche Werte: static, parametric group export static * gr_static.xml group export parametric 2 gr_parametric.xml false group ID ID der Gruppe oder ID der Stammgruppe der zu exportierenden Unterstruktur. Wenn "*" angegeben wird und "tree" gleich TRUE ist, wird die gesamte Gruppenstruktur exportiert. filename Der Pfad zur.xml-datei, aus der die Gruppen importiert werden sollen. tree Standardmäßig wird die gesamte Unterstruktur (mit der 145

146 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL Gruppe als Stamm) exportiert. Geben Sie den Wert "false" an, um die Unterstruktur nicht zu exportieren. group import Importiert statische group import <type> oder parametrische <parent ID> <filename> Gruppen aus einer [<relations>] lokalen XML-Datei. Wenn bereits eine Gruppe mit demselben Pfad existiert, wird diese geändert (d. h. die angegebenen Clientbeziehungen werden zur vorhandenen Gruppe hinzugefügt). type Typ der zu importierenden Gruppen. Mögliche Werte: static, parametric group import static * gr_static.xml true group import parametric 2 gr_parametric.xml parent ID ID der übergeordneten Gruppe. Die Gruppen werden unter dieser Gruppe in der Gruppenstruktur importiert. Wenn "*" angegeben ist, wird die Unterstruktur unterhalb des Strukturstamms importiert. filename Der Pfad zur.xml-datei, aus der die Gruppen importiert werden sollen. relations Importiert Clientbeziehungen der angegebenen statischen Gruppe, wenn der Wert "true" angegeben ist. Der Standardwert ist "false". group remove Entfernt einen oder mehrere Clients aus einer statischen Gruppe. group remove <group ID> <clients> group ID, clients gleich group remove 1 3,4 wie für "group assign". group update Aktualisiert eine statische oder parametrische Gruppe mit den angegebenen Parametern. group update <group ID> [name <name>] [description <description>] [parentid <parent ID>] [paramsxml <params XML>] group ID ID einer zu aktualisierenden Gruppe. help help [<command 1>] [<command 2>] command 1 Befehl, help version dessen Hilfe angezeigt help commands 146 Zeigt Informationen über die ERA- group update 2 newname name, description, parent ID, params XML, sticky - Geben Sie "help group update" in eracmd.exe ein, um die Hilfe anzuzeigen.

147 BEFEHL BESCHREIBUNG SYNTAX Befehlszeilenkonsole an. Verwenden Sie das Argument, um die angezeigte Hilfe einzugrenzen. PARAMETER BEISPIEL werden soll (erstes help help Wort des Befehlsnamens). Mögliche Werte: <Befehlsname>, Markierungen, Befehle command 2 Befehl, dessen Hilfe angezeigt werden soll (zweites Wort des Befehlsnamens). history Aktiviert bzw. history [<action>] deaktiviert die persistente Speicherung des Befehlszeilenverlaufs nach Beendigung der Konsole. Dies ist standardmäßig deaktiviert. license Zeigt Informationen zur Serverlizenz an. license add Lädt die license add <filename> angegebene(n) Lizenzdatei(en) auf den ERA-Server hoch. action Wenn dies history true ausgelassen wird, wird der aktuelle Speicherungsstatus für den Verlauf nach Beendigung der Konsole angezeigt. Mögliche Werte: wahr (aktiviert), falsch (deaktiviert), löschen (Befehlsverlauf löschen), liste (aktuell gespeicherten Verlauf anzeigen) license license filename Durch Kommas getrennte Liste mit den Pfaden der hochzuladenden Lizenzdateien. license details Zeigt Informationen license details über die vom ERAServer geladenen Teile von Lizenzschlüsseln an. license replace Lädt eine oder license replace mehrere Lizenzdateien <filename> auf den ERA-Server hoch und ersetzt alle alten Lizenzdateien durch die hochgeladenen Lizenzschlüssel. license add c:\era.lic license details filename Durch Kommas getrennte Liste mit den Pfaden der als Ersatz einzusetzenden Lizenzdateien. license replace c:\era.lic 147

148 BEFEHL BESCHREIBUNG SYNTAX PARAMETER logforward Anzeige/Änderung der aktuellen Weiterleitungseinstell ungen für Logs Dieser Befehl kann auf zwei verschiedene Arten verwendet werden: logforward [<type>] [<enable>] [level <level>] [severity <severity>] [facility <facility>] type Typ des logforward anzuzeigenden oder zu logforward scan ändernden Logs. Mögliche Werte: logforward eventlog true Ereignis, Bedrohung, level warning Firewall, HIPS, logforward threat false Antispam, Greylist, Scan, Mobilgeräte, Geräte_Kontrolle, Web_Kontrolle 1. Um den Status einer bestimmten LogWeiterleitung anzuzeigen, können Sie entweder den ersten Parameter <Typ> oder auch den Befehl ohne Parameter verwenden, um alle Weiterleitungseinstell ungen anzuzeigen. 2. Für Änderungen an den LogWeiterleitungen müssen die Parameter <Typ> und <Aktivieren> verwendet werden. Die anderen Parameter ([Stufe <Stufe>], [Schweregrad <Schweregrad>] und [Facility <Facility>]) sind optional. Wenn ein optionaler Parameter ausgelassen wird, bleibt dessen Wert unverändert. password 148 Ändert ein Sicherheits- password Passwort auf dem ERA- <passwordtype> Server. Verwenden Sie [<oldpassword> "" für ein leeres <newpassword>] Passwort. Wenn altes und neues Passwort nicht angegeben sind, wird der Benutzer zu deren Eingabe aufgefordert - die Zeichen im Passwortfeld werden als Sternchen dargestellt. Mit diesem Befehl können keine Passwörter gesetzt werden, die Teil der BEISPIEL Bestimmt, ob die Weiterleitung aktiviert oder deaktiviert wird. Mögliche Werte: wahr, falsch Stufe des von der Weiterleitung zu verarbeitenden Logs. Mögliche Werte: Kritisch, Warnung, Normal, Diagnose Syslog-Schweregrad. Mögliche Werte: Informationen, Fehler, Warnung, Debug Syslog-Facility. Mögliche Werte: 0 bis 23 passwordtype Art des password currentuser zu setzenden password replication Passworts. Mögliche oldpass1 newpass2 Werte: replication, client, installer, currentuser Altes Passwort. Hier kann ein Administratorpasswort des ERA-Servers verwendet werden. newpassword Neues Passwort.

149 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL Serverkonfiguration sind. Verwenden Sie für diese Passwörter stattdessen SERVERCFG SET oder SERVERCFG SETPWD. path Zeigt oder setzt das path [<action>] aktuelle [<path>] Arbeitsverzeichnis, das als Basis für alle relativen Pfade verwendet wird (bei der Angabe von Pfaden zu Skript- oder Datendateien). action Aktion. path Mögliche Werte: get path set d:\scripts (zeigt das aktuelle Arbeitsverzeichnis an), path script set (setzt den Pfad im folgenden Argument als Arbeitsverzeichnis), Skript (setzt den Pfad des aktuellen Skripts als Arbeitsverzeichnis). Standardwert: get Neues Arbeitsverzeichnis. Relative Pfade werden als relativ zum bisherigen Arbeitsverzeichnis interpretiert. policy policy assign Zeigt definierte Policies mit Policyinformationen an. Zeigt eine hierarchische Darstellung der Policies an, wenn das Argument "Baum" vorhanden ist. policy [<tree>] Weist den policy assign <policy angegebenen Clients ID> <clients> die angegebene Policy zu. Beachten Sie, dass manchen Clients nur bestimmte Policies zugewiesen werden können. Falls die Clientliste replizierte Clients enthält, muss die Policy auf untergeordnete Server replizierbar sein. Policies von untergeordneten Servern können nicht tree In der hierarchischen Anzeige können Sie Policies mit der jeweiligen PolicyVererbung anzeigen. policy policy tree policy ID Die policy assign 10 1,2,5,9 zugewiesene Policy. policy assign Mögliche Werte:!DefaultClientsPolicy * <PolicyID>,!DefaultClientsPol icy clients Durch Kommas getrennte Liste mit den Client-IDs (oder * für alle Clients). 149

150 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL policy create <name> <config XML> [parentid <parent ID>] [description <description>] [overrideanychild <override any child>] [downreplicable <down replicable>] [defaultforclients <default for clients>] [defaultforlowerserve rs <default for lower servers>] name Name für die neue Policy. policy create new_policy policy.xml zugewiesen werden. policy create Erstellt eine Policy mit den angegebenen Parametern auf dem Server. Zeigt nach der erfolgreichen Erstellung die ID der neuen Policy an. XML-Datei mit der Konfiguration für die neue Policy. ID der Policy, die der neu erstellten Policy übergeordnet ist. Beschreibung der neuen Policy. Setzt die Markierung "Vorrang vor allen untergeordneten Policies" für die neue Policy. Mögliche Werte: wahr, falsch. Standardwert: falsch Setzt die Markierung "Kann auf untergeordnete Server repliziert werden" für die neue Policy. Mögliche Werte: wahr, falsch. Standardwert: falsch Setzt die Policy als Standard-Policy für Clients. Mögliche Werte: wahr, falsch. Standardwert: falsch Setzt die Policy als Standard-Policy für untergeordnete Server. Mögliche Werte: wahr, falsch. Standardwert: falsch 150

151 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL policy delete Löscht eine Policy und bietet die Möglichkeit, einen Ersatz für die gelöschte Policy zu setzen. Nicht benötigte Ersatzpolicies werden ignoriert. policy delete <policy policy ID ID der zu policy delete 2 ID> [child_policies aktualisierenden primary_clients 4 <child policies parent Policy. replacement>] child policies parent [primary_clients replacement Neue <primary clients policy übergeordnete Policy replacement>] für Policies unter der [replicated_clients zu löschenden Policy. <replicated clients Mögliche Werte: policy replacement>] <Policy[primary_clients_defau ID>,!DefaultUpperServ lt <primary clients erpolicy,!nicht default policy verfügbar replacement>] [lower_servers_default Neue Policy für <lower servers default primäre Clients mit der policy replacement>] zu löschenden Policy. [whole_branch <delete Mögliche Werte: whole branch>] <PolicyID>,!DefaultClientsPol icy ID der neuen Policy für replizierte Clients mit der zu löschenden Policy. Ersatz-ID der neuen Standardpolicy für primäre Clients. Neue Standardpolicy für untergeordnete Server. Mögliche Werte: <PolicyID>,!NichtVerfügbar Gibt an, ob der gesamte Zweig (angegebene Policy inklusive untergeordnete Policies) gelöscht werden soll. Mögliche Werte: wahr, falsch Standardwert: falsch 151

152 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL policy export Exportiert angegebene policy export <policy policy ID ID der zu policy export * Policies vom lokalen ID> <filename> [<tree>] exportierenden Policy. all_policies.xml Server in eine XMLGeben Sie "*" an, um policy export 3 policy3.xml Datei. Es können alle Policies zu true entweder alle Policies, exportieren. eine einzelne Policy filename Der Pfad der oder eine.xml-datei, in den die Policystruktur mit Policy exportiert angegebenem Stamm werden soll. exportiert werden. tree Der Standardwert ist "true" und gibt an, dass die angegebene Policy mit ihrer gesamten Unterstruktur exportiert werden soll. Geben Sie "false" an, um die Unterstruktur der angegebenen Policy nicht zu exportieren. policy import Importiert alle Policies policy import aus einer XML-Datei. <filename> Bereits vorhandene Policies werden nicht geändert. Wenn ein Policyname bereits vorhanden ist, wird die neue (importierte) Policy stattdessen umbennt. 152 filename Der Pfad der policy import.xml-datei, aus der die policybackup.xml Policies importiert werden sollen.

153 BEFEHL BESCHREIBUNG policy update Aktualisiert eine Policykonfiguration mit den angegebenen Parametern. SYNTAX PARAMETER BEISPIEL policy update <ID> ID ID der zu policy update 123 name [name <name>] aktualisierenden policy1 parentid 1 [parentid <parent ID>] Policy. configxml policy.xml [configxml <config overrideanychild TRUE Neuer Name für die XML>] [description defaultforlowerservers aktualisierte Policy. <description>] FALSE [overrideanychild Neue ID der Policy, die <override any child>] der aktualisierten [downreplicable Policy übergeordnet <down replicable>] ist. Mögliche Werte: [defaultforclients <Policy-ID>,!NoPolicy <default for clients>] (die aktualisierte [defaultforlowerserve Policy ist keiner Policy rs <default for lower untergeordnet) servers>] XML-Datei mit der [replicated_clients neuen Konfiguration <replicated clients policy replacement>] für die aktualisierte [lower_servers_default Policy. <lower servers default Neue Beschreibung für policy replacement>] die aktualisierte [primary_clients_defau Policy. lt <primary clients Neuer Wert der default policy Markierung "Vorrang replacement>] vor allen untergeordneten Policies" für die aktualisierte Policy. Mögliche Werte: wahr, falsch Neuer Wert der Markierung "Kann auf untergeordnete Server repliziert werden" für die aktualisierte Policy. Mögliche Werte: wahr, falsch Setzt die Policy als Standard-Policy für Clients. Mögliche Werte: wahr, falsch Setzt die Policy als Standard-Policy für untergeordnete Server. Mögliche Werte: wahr, falsch 153

154 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL Neue Policy für replizierte Clients mit der aktualisierten Policy. Mögliche Werte: <PolicyID>,!DefaultClientsPol icy,!nichtverfügbar Neue Standardpolicy für untergeordnete Server. Mögliche Werte: <PolicyID>,!DefaultClientsPol icy,!nichtverfügbar primary clients default policy replacement ID der neuen Standardpolicy für primäre Clients. report Zeigt statische oder report <type> Dashboard-BerichtTemplates oder generierte Berichte an. Im Fall von generierten Berichten werden nur die auf dem Server vorhandenen Berichte angezeigt. report create Erstellt ein statisches oder ein DashboardBericht-Template. report create <type> <name> <config XML> [active <active>] [description <description>] type Berichttyp. report static Mögliche Werte: static, dashboard, generated type Typ des zu report create static erstellenden Bericht- new_template C: Templates. Mögliche \config.xml Werte: static, dashboard name Name des zu erstellenden BerichtTemplates. config XML Der Pfad der.xml-datei mit der Konfiguration für das zu erstellende BerichtTemplate. Das erste <INFO> in der Datei wird auf das neu erstellte BerichtTemplate angewendet. Name, Beschreibung und Typ des Bericht-Templates aus der Befehlszeile werden anstelle dieser Werte in der.xml- 154

155 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL Datei verwendet. active Aktiv-Status des zu erstellenden Bericht-Templates. Gilt nicht für DashboardTemplates (wird in diesem Fall ignoriert). Mögliche Werte: true, false. Standardwert: false. description Beschreibung des zu erstellenden BerichtTemplates. report delete Löscht ein statisches oder ein DashboardBericht-Template. report delete <report ID> report export Exportiert Berichtreport export <type> Templates in eine <templates> lokale XML-Datei. <filename> Templates mit inkompatiblem Typ werden übersprungen. report ID ID des zu löschenden BerichtTemplates. Mit den folgenden Befehlen können Sie die verfügbaren IDs anzeigen: "report static", "report dashboard". report delete 2 type Berichttyp. report export static * c: Mögliche Werte: static, \reports_static.xml dashboard report export dashboard 2,3 templates c:\reports_dashboard.xml Kommagetrennte Liste von Bericht-TemplateIDs (mit * werden alle Templates vom angegebenen Typ erfasst). Führen Sie den API-Befehl "report generated" aus, um die verfügbaren IDs anzuzeigen. filename Der Pfad zur.xml-datei, in die die Templates exportiert werden sollen. report generate Generiert statische report generate Berichte basierend auf <template ID> definierten Bericht<directory> Templates, analog zur Schaltfläche "Jetzt erstellen (statisch)" in der ERA-Konsole. template ID ID des report generate 3 C: gewünschten \era_statistics Templates. Führen Sie den API-Befehl "report statistic" aus, um die verfügbaren TemplateIDs anzuzeigen. directory Der Pfad zum 155

156 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL Verzeichnis, in dem die Berichtsdateien erstellt werden sollen. report import Importiert Berichtreport import <type> Templates aus einer <filename> lokalen XML-Datei. Templates mit inkompatiblem Typ, die in der XML-Datei angegeben sind, werden übersprungen. type Berichttyp. report import static c: Mögliche Werte: static, \reports_static.xml dashboard report import dashboard c: filename Der Pfad zur \reports_dashboard.xml.xml-datei, aus der die Templates importiert werden sollen. report server Dieses Feature bietet report server dieselbe Funktionalität <generated template zum Herunterladen ID> <directory> von auf dem Server gespeicherten Berichten wie die Registerkarte "Erstellte Berichte" in der ERAKonsole. generated template ID report server 1 C: ID eines erstellten und \era_reports auf dem Server gespeicherten BerichtTemplates. Führen Sie den Befehl "report generated" aus, um die IDs der vorhandenen BerichtTemplates anzuzeigen. directory Der Pfad zum Verzeichnis, in das die Berichtsdatei heruntergeladen werden soll. report update Ändert das Parameter oder Konfiguration eines BerichtsTemplates. 156 report update <report ID> [configxml <config XML>] [active <active>] [description <description>] report ID ID des zu ändernden BerichtTemplates. config XML Der Pfad der.xml-datei mit der neuen Konfiguration für das zu ändernde Bericht-Template. Das erste "<INFO>" in der Datei wird auf das zu ändernde BerichtTemplate angewendet. Mit dieser Option wird die Beschreibung aus der Befehlszeile anstelle des Werts in der XMLDatei verwendet. Andernfalls wird der Wert nicht geändert. Der im XML angegebene BerichtTemplate-Typ wird ignoriert - der BerichtTemplate-Typ kann report update 1 configxml C:\new_config.xml

157 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL nicht durch eine Änderung aktualisiert werden. active Aktiv-Status des zu ändernden BerichtTemplates. Gilt nicht für DashboardTemplates (wird in diesem Fall ignoriert). Mögliche Werte: true, false description Beschreibung des zu ändernden BerichtTemplates. request Fragt die aktuelle request <data type> Version verschiedener <clients> [si_compare Daten ab, die von <compare date>] einem Client zum ERA- [<si_snapshot>] Server übertragen werden. Die folgenden Daten können abgefragt werden: SysInspector-Daten, Konfiguration, Schutzstatus, Schutzkomponenten und Systeminformationen. Die abgefragten Daten werden empfangen, sobald sich der Client mit dem primären Server verbindet und die Daten verfügbar sind. Auf replizierten Clients muss die Anfrage zunächst repliziert werden. Konfiguration, Schutzkomponenten, Schutzstatus und Systeminformationen werden für Clients auf dem primären Server automatisch aktualisiert. data type Durch Kommas getrennte Liste mit den abzufragenden Daten. Mögliche Werte: Mögliche Werte: sysinspector, configuration, protection_status, protection_features, system_information request protection_features * request sysinspector,config 1,2,8 si_compare " :02:03" si_snapshot Durch Kommas getrennte Liste mit den Client-IDs (oder * für alle Clients). Bei Verwendung wird das angefragte Log mit einem vorherigen Log verglichen, dessen Datum und Uhrzeit in UTC im folgenden Format angegeben werden: YYYY-MM-DD hh:mm:ss (z. B. " :43:00"). Wird nur bei der Abfrage von SysInspectorDaten verwendet. Speichert das Log lokal auf dem ClientArbeitsplatz. Wird nur bei der Abfrage von SysInspector-Daten verwendet. 157

158 BEFEHL BESCHREIBUNG SYNTAX restart Startet den ERA Server restart [<full>] neu. Die Verbindung zur Konsole (Befehlszeile) wird direkt nach dem Neustart getrennt. rule Zeigt die Policyregeln rule an. rule create Erstellt eine neue Policyregel rule create <xml> <name> <policy ID> [desc <description>] [priority <priority>] [enabled <enable>] PARAMETER BEISPIEL full Verwenden Sie restart diesen Parameter, um restart full den ERA Server komplett neu zu starten. Diese Aktion wird in das Auditlog eingetragen. rule xml XML-Quelldatei, erstellt durch Export einer vorhandenen Regel. name Name der Policyregel. rule create "c:\my data \exportedpolicy.xml" mynewpolicy 3 desc "New policy rule" priority top enabled false policy ID ID verwandten Policy. Nur die folgenden Typen dürfen verwendet werden: Standard-Client-Policy, lokale Policies, auf untergeordnete Server replizierbare Policies vom übergeordneten Server. Mögliche Werte:,!DefaultClient spolicy description Beschreibung der Policyregel. priority Priorität der Policyregel. Mögliche Werte: oben, unten Standardwert: unten enable Ausgangsstatus der erstellten Policyregel. Mögliche Werte: wahr, falsch Standardwert: falsch rule delete 158 Löscht eine Policyregel rule delete <policy rule policy rule ID ID der zu rule delete 3 ID> löschenden Policyregel.

159 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL rule import Importiert Policyregeln rule import <file path> aus einer XML-Datei. Die bereits definierten Regeln werden nicht verändert. Falls ein Regelname bereits existiert, wird die neue (importierte) Regel umbenannt. file path Der Pfad zur rule import d:\rule.xml XML-Datei, aus der die Regeln importiert werden sollen. rule export Exportiert Policyregeln rule export <rules> in eine XML-Datei. <file path> rules Kommagetrennte rule export 1,2 d:\rule.xml Liste der Regel-IDs (oder * für alle Regeln). file path Der Pfad zur XML-Datei, in die die Regeln importiert werden sollen. rule update Ändert Parameter oder rule update <policy Konfiguration einer rule ID> [xml <config Policyregel. Nicht xml>] [desc angegebene <description>] [policy Parameter bleiben <policy ID>] [priority unverändert. <priority>] [enabled <enable>] policy rule ID der zu ändernden Policyregel. rule update 2 xml d: \rule.xml enabled true config xml XMLKonfigurationsdatei, erstellt durch Export einer vorhandenen Regel. description Neue Beschreibung der Policyregel. policy ID ID der neuen verwandten Policy. Mögliche Werte:,!DefaultClient spolicy priority Prioritätsänderung der Policyregel. Mögliche Werte: nach oben, nach unten, oben, unten Aktiviert Neuer Status der Policyregel. Mögliche Werte: wahr, falsch runnow Führt eine angegebene runnow <actions> Serveraktion sofort aus. actions Auszuführende runnow update Aktionen. Mögliche runnow cleanup,compact Werte: cleanup, compact, replicate, replicate_with_mark_a ll_clients, update, 159

160 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL update_with_clear_cac he, apply_policy_rules, synchronize_parametri c_groups scanlog Zeigt den Inhalt des angegebenen ScanLogs an. scanlog <ID> ID ID eines benötigten scanlog 1 Prüf-Logs. script Führt eine Reihe von Befehlen in einer externen Datei aus. script <filename> filename Pfad zur script c: Datei mit den \eragetclientsinfo.txt Befehlen. Die Befehle können durch Zeilenumbrüche oder Semikolon getrennt werden. servercfg get Lädt die aktuelle servercfg get Serverkonfiguration in <filename> die angegebene lokale Datei herunter. servercfg list filename Lokaler Pfad, servercfg get d: unter dem die \era_config.xml heruntergeladene Konfiguration gespeichert werden soll. Zeigt die verfügbaren servercfg list Konfigurationseinstell ungen an, die direkt mit den Befehlen SERVERCFG SET und SERVERCFG SETPWD geändert werden können. servercfg list servercfg put Lädt die servercfg put Serverkonfiguration <filename> aus einer lokalen XMLDatei hoch. filename Lokaler Pfad servercfg put d: zu der ew_config.xml hochzuladenden XMLDatei. servercfg set Weist einer servercfg set bestimmten <name=value> Konfigurationseinstell ung einen bestimmten Wert zu. Mit dem Befehl SERVERCFG LIST können Sie alle verfügbaren Einstellungen anzeigen. name=value Name der servercfg set port_con=2223 Einstellung und servercfg set zuzuweisender Wert. mirror_enabled=1 servercfg setpwd name Name der zu ändernden Einstellung. 160 Weist einer servercfg setpwd bestimmten <name> Konfigurationseinstell ung über die Passwortabfrage einen bestimmten Wert zu. Die eingegebenen servercfg setpwd ps_password_smtp

161 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL Werte werden als Sternchen angezeigt. Dies ist hilfreich für die Eingabe von Passwörtern. Mit dem Befehl SERVERCFG LIST können Sie alle verfügbaren Einstellungen anzeigen. Mit diesem Befehl können keine Serverpasswörter festgelegt werden. Verwenden Sie zu diesem Zweck den Befehl PASSWORD. set Liest, schreibt oder set [<flag name>] [<flag flag name Verwenden speichert Werte von value>] Sie den Markierungen. Markierungsnamen Markierungen dienen ohne vorstehenden der Definition von Bindestrich. Mit dem Befehlsausgaben und Befehl HELP FLAGS anderen gängigen können Sie alle Einstellungen. Mit dem verfügbaren Befehl HELP FLAGS Markierungen können Sie eine Liste anzeigen. Wenn dies der verfügbaren nicht angegeben ist, Markierungen werden die aktuellen anzeigen. Gesetzte Werte aller Markierungen sind Markierungen gültig für alle ausgegeben. folgenden Befehle in Alternativ kann der aktuellen "speichern" Skriptdatei oder für verwendet werden, alle folgenden Befehle um den aktuellen im Shell-Modus (falls Status der direkt im Shell-Modus Markierungen in die verwendet). Systemstartdatei zu Markierungen können schreiben (mit dem für einzelne Befehle zweiten Argument überschrieben kann ein alternativer werden, indem ein Pfad zur Wert für die Systemstartdatei Markierung direkt nach angegeben werden). dem Befehl angegeben Mit dem Befehl HELP wird. FLAGS können Sie verfügbare Werte anzeigen. Wenn dies nicht angegeben ist, wird der aktuelle Wert der Markierung ausgegeben. set set enc set enc utf8 set format table set paged true set save set save startup.txt 161

162 BEFEHL BESCHREIBUNG SYNTAX PARAMETER show Zeigt Daten aus der angegebenen Tabelle an. Verwenden Sie "zählen" anstelle der Spaltenliste, um nur die Zeilenanzahl abzurufen. show <table name> <list of columns> [where <where>] [group by <group by>] [order by <order by>] [skip <skip>] [limit <limit>] table name Mit dem show client * Befehl SHOW TABLES show client client_name können Sie alle show client ID, client_name verfügbaren Tabellen WHERE ID>4, configuration anzeigen. IN (ready, requested) ORDER BY client_name Durch Kommas LIMIT 5 getrennte Liste. Mit show client * WHERE dem Befehl SHOW product_name -LIKE COLUMNS können Sie *endpoint* die Spalten der show client count WHERE angegebenen Tabelle ID>4 anzeigen. Verwenden show client * where Sie * für alle Spalten. group_id=4 Verwenden Sie show client * where "zählen", um nur die requested_policy_id -IN Zeilenanzahl (2,3) abzurufen. Mögliche show event * where Werte: client_group_id=4 <Spaltenname>, *, show event * where Anzahl einer client_requested_policy_id kommagetrennten -IN (2,3) Liste von Bedingungen im Format <Spalte><Vergleichsop erator><wert> (z. B. ID>3) oder <Spalte> <IN-Operator> (<kommagetrennte_w erteliste>). Die folgenden Vergleichsoperatoren sind zulässig: = (oder EQ),!= (oder -NE), <= (oder -LE), >= (oder GE), < (oder -LT), > (oder -GT). Die folgenden INOperatoren sind zulässig: -IN oder NOTIN. Für Textspalten können LIKE und -NOTLIKE mit Textangabe und Platzhaltern (* - Null oder mehr Zeichen,? genau ein Zeichen) anstelle eines Vergleichsoperators verwendet werden. group by Durch Kommas getrennte Liste mit den Spalten, nach denen gruppiert 162 BEISPIEL

163 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL werden soll. Zeilen mit entsprechenden Werten in all diesen Spalten werden als eine Zeile angezeigt. Durch Kommas getrennte Liste mit den Spalten, nach denen sortiert werden soll. Nach jedem Spaltennamen kann, ASC (Standard) oder DESC für auf- bzw. absteigende Reihenfolge angegeben werden. Wie viele Spalten sollen am Anfang übersprungen werden. limit Maximale Anzahl der anzuzeigenden Zeilen. show columns Zeigt verfügbare show columns [for] Spalten in der <table name> angegebenen Tabelle an. show tables Zeigt die verfügbaren show tables Tabellen für den Befehl SHOW an. task config Erstellt einen Konfigurations-Task anhand einer Konfigurationsdatei. Zeigt nach der erfolgreichen Erstellung die ID des neuen Tasks an. task config <configuration file> <clients> [name <name>] [description <description>] [applyafter <apply after>] [deleteifcompleted <delete if completed>] table name Tabelle, show columns for client deren Spalten angezeigt werden sollen. Mit dem Befehl SHOW TABLES können Sie die verfügbaren Tabellennamen anzeigen. show tables configuration file XML- task config d: Datei aus dem \task_config_01.xml 1,4,5 Konfigurations-Editor. name "Config01" description " client Durch Kommas protection config" getrennte Liste mit den Client-IDs (oder * für alle Clients). Taskname. Taskbeschreibung. UTC-Zeitpunkt, zu dem der Task ausgeführt werden soll, in einem der folgenden Formate: YYYY-MM-DD hh:mm:ss, YYYY-MM- 163

164 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL DD hh:mm, YYYY-MMDD hh, YYYY-MM-DD. Zum Beispiel (Datum und Uhrzeit): " :43". " :43". " ". Zum Beispiel (Datum ohne Uhrzeit): " ". Gibt an, ob der Task nach erfolgreicher Ausführung gelöscht werden soll. Mögliche Werte: falsch. task scan Erstellt einen ScanTask. Zeigt nach der erfolgreichen Erstellung die ID des neuen Tasks an. task scan <clients> [name <name>] [description <description>] [applyafter <apply after>] [deleteifcompleted <delete if completed>] [exclude <exclude>] [windows_profile <profile>] [windows_targets <windows targets>] [windows_no_cleaning <no cleaning>] [windows_shutdown_a fter_scan <shutdown>] [windows_allow_shutd own_cancel <allow cancel>] [linux3_targets <linux3 targets>] [linux3_no_cleaning <no cleaning>] [linux_profile <profile>] [linux_targets <linux targets>] [linux_no_cleaning <no cleaning>] [mobile_targets <mobile targets>] [mobile_no_cleaning <no cleaning>] [max_delay <max delay>] clients Durch Kommas task scan 1,3 getrennte Liste mit den Client-IDs (oder * für alle Clients). Taskname. Taskbeschreibung. UTC-Zeitpunkt, zu dem der Task ausgeführt werden soll, in einem der folgenden Formate: YYYY-MM-DD hh:mm:ss, YYYY-MMDD hh:mm, YYYY-MMDD hh, YYYY-MM-DD. Zum Beispiel (Datum und Uhrzeit): " :43". Zum Beispiel (Datum ohne Uhrzeit): " ". delete if completed Gibt an, ob der Task nach erfolgreicher Ausführung gelöscht werden soll. Mögliche Werte: wahr, falsch Mögliche Werte: falsch. exclude Durch Kommas getrennte Liste von Bereichen, die der Scan-Task auslassen soll. Mögliche Werte: Windows, Linux3, Linux, Mobilgeräte. Name des Scan-Profils. 164

165 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL Mögliche Werte:!InDepthScan,! MyProfile,!SmartScan,!ContextMenuScan, <benutzerdefinierter Profilname>. Standardwert:!InDept hscan Durch Kommas getrennte Liste mit den zu prüfenden Windows-Zielen. Mögliche Werte:!Memory,!Rem ovabledrivesboot,!re movabledrives,!local DrivesBoot,!LocalDriv es,!remotedrives,!all DrivesBoot,!AllDrives, <benutzerdefinierter Pfad> Standardwert:!Memor y,!localdrivesboot,!l ocaldrives no cleaning Nur Prüfen, keine Aktion. Mögliche Werte: wahr, falsch. Standardwert: falsch shutdown Computer nach Scan herunterfahren. Mögliche Werte: wahr, falsch. Standardwert: falsch allow cancel Benutzer kann Herunterfahren abbrechen. Mögliche Werte: wahr, falsch. Standardwert: falsch linux3 targets Durch Kommas getrennte Liste mit den zu prüfenden Linux3Pfaden. Standardwert: / linux targets Durch Kommas getrennte Liste mit den zu prüfenden Linux- 165

166 BEFEHL BESCHREIBUNG SYNTAX PARAMETER Pfaden. Standardwert: / mobile targets Durch Kommas getrennte Liste mit den zu prüfenden mobilen Zielen. Mögliche Werte:!All, <benutzerdefinierter Pfad> Standardwert:!All max delay Max. zufällige Wartezeit in Minuten. 166 BEISPIEL

167 BEFEHL BESCHREIBUNG SYNTAX PARAMETER BEISPIEL task update Erstellt einen UpdateTask. Zeigt nach der erfolgreichen Erstellung die ID des neuen Tasks an. task update <clients> [name <name>] [description <description>] [applyafter <apply after>] [deleteifcompleted <delete if completed>] [exclude <exclude>] [windows_profile <windows profile>] [max_delay <max delay>] clients Durch Kommas task update 2,4,6 name getrennte Liste mit "Update01" exclude den Client-IDs (oder * windows für alle Clients). task update * Taskname. Taskbeschreibung. UTC-Zeitpunkt, zu dem der Task ausgeführt werden soll, in einem der folgenden Formate: YYYY-MM-DD hh:mm:ss, YYYY-MMDD hh:mm, YYYY-MMDD hh, YYYY-MM-DD. Zum Beispiel (Datum und Uhrzeit): " :43". " :43". " ". Zum Beispiel (Datum ohne Uhrzeit): " ". Gibt an, ob der Task nach erfolgreicher Ausführung gelöscht werden soll. Mögliche Werte: wahr, falsch. Standardwert: falsch. exclude Durch Kommas getrennte Liste von Bereichen, die der Update-Task auslassen soll. Mögliche Werte: Windows, Linux3, Linux, Mobilgeräte windows profile Profilname für den Windowsbereich. max delay Max. zufällige Wartezeit in Minuten. version Zeigt die aktuelle version [<component>] Version von Befehlszeilenkonsole, API und ERA-Server an. component Gibt an, version von welchen version cmd Komponenten die Version angezeigt werden soll. Falls dieser Wert ausgelassen wird, werden alle Versionen angezeigt. Mögliche 167

168 BEFEHL BESCHREIBUNG SYNTAX PARAMETER Werte: cmd, api, server 168 BEISPIEL

169 8. ERA API Sie können auch die API verwenden, um mit dem ERA Server zu interagieren. Die API verwendet dieselben Befehle 141 wie die ERA-Befehlszeilenkonsole 138. Die Befehlszeilenkonsole verwendet im Hintergrund die API für die Kommunikation mit dem ERA Server. Sie finden die API-Dateien unter Online-Dokumentation für die API: 169

170 9. ERA Maintenance Tool Das ESET Remote Administrator Maintenance Tool dient zum Ausführen bestimmter Aufgaben rund um Betrieb und Wartung des Servers. Sie finden es unter Start > Programme > ESET > ESET Remote Administrator Server > ESET Remote Administrator Maintenance Tool. Nach dem Start des ERA Maintenance Tool führt Sie ein interaktiver Assistent durch die gewünschten Aufgaben. Wenn Sie das ESET Remote Administrator Maintenance Tool starten und auf Weiter klicken, sehen Sie zunächst das Informationsfenster zum ERA Server. Das Tool zeigt zusammenfassende Informationen zum installierten ERA Server. Für ein separates Fenster mit ausführlicheren Angaben klicken Sie auf Weitere Informationen. Um die Informationen zu kopieren, klicken Sie auf In Zwischenablage kopieren, um sie zu aktualisieren, auf Aktualisieren. Nachdem Sie die Angaben überprüft haben, fahren Sie mit dem nächsten Schritt fort, indem Sie auf Weiter klicken und eine der folgenden Aufgaben auswählen: ERA Server beenden ERA Server starten Datenbank übertragen Datenbank sichern Datenbank wiederherstellen Tabellen löschen Speicher sichern Speicher wiederherstellen 172 Neuen Lizenzschlüssel installieren Serverkonfiguration bearbeiten Nachdem Sie die Einstellungen für eine bestimmte Aufgabe festgelegt haben, können Sie diese Einstellungen speichern, indem Sie auf Alle Einstellungen in Datei speichern klicken. Später können Sie diese Einstellungen dann jederzeit wiederverwenden, indem Sie auf Alle Einstellungen aus Datei laden klicken. Die Aktionen Alle Einstellungen in Datei speichern und Alle Einstellungen aus Datei laden sind auch bei jedem Zwischenschritt verfügbar, während Sie die Einstellungen für die Aufgabe im Assistenten definieren. 9.1 ERA Server beenden Diese Aufgabe beendet den ESET Remote Administrator Server-Dienst. HINWEIS: Der Dienst heißt ERA_SERVER. Die dazugehörige ausführbare Datei ist "C:\Programme\ESET\ESET Remote Administrator\Server\era.exe". 9.2 ERA Server starten Diese Aufgabe startet den ESET Remote Administrator Server-Dienst. HINWEIS: Der Dienst heißt ERA_SERVER. Die dazugehörige ausführbare Datei ist "C:\Programme\ESET\ESET Remote Administrator\Server\era.exe". 170

171 9.3 Datenbank übertragen Mit dieser Aufgabe können Sie das Datenbankformat umwandeln. Das Tool unterstützt eine Umwandlung zwischen den folgenden Datenbanktypen: MS Access MS SQL Server Oracle MySQL Im ersten Schritt konfigurieren Sie die Datenbankverbindung. Dieser Schritt ist bei allen Aufgaben gleich, ausgenommen das Hochladen eines neuen Lizenzschlüssels und das Ändern der Serverkonfiguration. Bei einer MS Access-Datenbank geben Sie den Pfad zur.mdb-datei an. Standardmäßig wird der bei der Installation von ERA Server angegebene Pfad verwendet. Bei allen anderen Datenbanktypen müssen Sie eine Reihe zusätzlicher Parameter angeben: Verbindungsstring: Spezielle Zeichenfolge, die die Einstellungen für die Verbindung zur Quelldatenbank definiert Benutzername: Benutzername für den Zugriff auf die Datenbank Passwort: Passwort für den Zugriff auf die Datenbank Schemaname: Name eines Schemas (nur bei Oracle und MS SQL) Klicken Sie auf Aktuelle Serverkonfiguration laden, um die aktuellen Einstellungen von ERA Server zu verwenden. Klicken Sie auf Verbindung testen, um die Datenbankverbindung zu testen. Falls keine Verbindung aufgebaut werden kann, überprüfen Sie die Parameter auf Fehler. Fahren Sie nach erfolgreichem Abschluss der Prüfung fort, indem Sie auf Weiter klicken. Wählen Sie nun die Zieldatenbank aus. Wenn der Server nach erfolgreichem Abschluss der Umwandlung eine Verbindung zur neuen Datenbank aufbauen und diese zukünftig verwenden soll, aktivieren Sie die Option ServerVerbindungseinstellungen ersetzen. Wenn diese Option deaktiviert ist, wird zwar die neue Datenbank erstellt, der Server verwendet diese jedoch im Anschluss nicht. Bei allen Datenbanktypen außer MS Access wählen Sie im nächsten Schritt aus, ob die Datenbanktabellen automatisch erstellt werden sollen (Automatisch Tabellen in der neuen Datenbank erstellen) oder ob Sie sie später in die Datenbank einfügen möchten (Skript anzeigen > In Datei speichern). Bei einer MySQL-Datenbank können Sie mit der Option Automatisch eine neue Datenbank (ESETRADB) erstellen automatisch eine neue MS SQL-Datenbank namens ESETRADB erstellen lassen. Im letzten Schritt bestätigen Sie die Umwandlung der Datenbank. 9.4 Datenbank sichern Das Tool bietet Ihnen die Möglichkeit, eine Sicherungskopie der Datenbank zu erstellen. Im ersten Fenster wählen Sie die Quelldatenbank aus. Die Einstellungen sind ähnlich wie beim Übertragen einer Datenbank (siehe Kapitel Datenbank übertragen 171 ). Im nächsten Schritt geben Sie an, in welche Sicherungsdatei die Quelldatenbank kopiert werden soll. Mit den optionalen Parametern im unteren Teil des Fensters können Sie eine ggf. vorhandene Datei überschreiben (Überschreiben, falls vorhanden) sowie ESET Remote Administrator Server während der Sicherung beenden (Server während Verarbeitung der Aufgabe beenden). Klicken Sie auf Weiter, um den Vorgang zu starten. 171

172 9.5 Datenbank wiederherstellen Das Tool bietet Ihnen die Möglichkeit, die Datenbank aus einer vorhandenen Sicherungskopie wiederherzustellen. Im ersten Fenster wählen Sie den Datenbanktyp aus. Die Einstellungen sind ähnlich wie beim Übertragen einer Datenbank (siehe Kapitel Datenbank übertragen 171 ). Bei allen Datenbanktypen außer MS Access wählen Sie im nächsten Schritt aus, ob die Datenbanktabellen automatisch erstellt werden sollen (Automatisch Tabellen in der neuen Datenbank erstellen) oder ob Sie sie später in die Datenbank einfügen möchten (Skript anzeigen > In Datei speichern). Bei einer MS SQL-Datenbank können Sie mit der Option Automatisch neue Datenbank "ESETRADB" erstellen automatisch eine neue MS SQL-Datenbank namens ESETRADB erstellen lassen. Im letzten Schritt bestätigen Sie die Wiederherstellung der Datenbank. Im nächsten Schritt wählen Sie die Sicherungsdatei aus, aus der die Datenbank wiederhergestellt werden soll. Mit den optionalen Parametern im unteren Teil des Fensters können Sie auch Dateien aus einem anderen Datenbanktyp als im vorherigen Schritt ausgewählt importieren (Import aus anderem Datenbanktyp zulassen) sowie ESET Remote Administrator Server während der Wiederherstellung beenden (Server während Verarbeitung der Aufgabe beenden). Klicken Sie auf Weiter, um den Vorgang zu starten. 9.6 Tabellen löschen Löscht den aktuellen Inhalt von Tabellen in der Datenbank. Die Datenbank wird so wieder in den Zustand versetzt, den sie direkt nach der Installation von ERA Server hat. Im ersten Fenster wählen Sie den Datenbanktyp aus. Die Einstellungen sind ähnlich wie beim Übertragen einer Datenbank (siehe Kapitel Datenbank übertragen 171 ). Im nächsten Schritt werden Sie gebeten, die Aktion zu bestätigen. Wählen Sie Zur Kenntnis genommen - Vorgang fortsetzen und klicken Sie dann zur Bestätigung auf Weiter. HINWEIS: Bei einer Microsoft SQL Server-, MySQL- oder Oracle-Datenbank empfiehlt es sich, ERA Server vor dem Löschen der Tabellen zu beenden. Wenn Sie mit einer MS Access-Datenbank arbeiten, wird diese durch die leere Standarddatenbank ersetzt. 9.7 Speicher sichern Mit dieser Aufgabe können Sie den Datenspeicher sichern. Dabei werden alle Daten aus dem Speicherordner (standardmäßig C:\ProgramData\ESET\ESET Remote Administrator\Server\storage\) in eine separate Sicherungsdatei (*.dmp) geschrieben. Dieser Ordner enthält wichtige Serverlogs und Konfigurationsdaten. Klicken Sie im unteren Teil des Fensters auf das Ordnersymbol, um den gewünschten Ordner für die Sicherungsdatei auszuwählen, und geben Sie einen Dateinamen ein. Falls Sie eine vorhandene Sicherungsdatei überschreiben möchten, aktivieren Sie die Option Überschreiben, falls vorhanden. Die Option Server während Verarbeitung der Aufgabe beenden sollte aktiviert bleiben, da die Sicherungsaufgabe die Serverleistung beeinträchtigen kann. Klicken Sie auf Weiter und starten Sie dann die Aufgabe mit Starten. 9.8 Speicher wiederherstellen Mit dieser Aufgabe können Sie den Datenspeicher aus einer zuvor erstellten Sicherungsdatei (*.dmp) wiederherstellen. Weitere Informationen zum Erstellen einer solchen Datei finden Sie im Abschnitt zur Aufgabe "Speicher sichern". Klicken Sie im unteren Teil des Fensters auf das Ordnersymbol, um den Ordner mit der Sicherungsdatei auszuwählen. Die Option Server während Verarbeitung der Aufgabe beenden sollte aktiviert bleiben, da die Wiederherstellungsaufgabe die Serverleistung beeinträchtigen kann. Klicken Sie auf Weiter und starten Sie dann die Aufgabe mit Starten. 172

173 9.9 Neuen Lizenzschlüssel installieren Um einen neuen Lizenzschlüssel für den Server zu installieren, geben Sie seinen Speicherort an. Falls erforderlich, können Sie den vorhandenen Lizenzschlüssel überschreiben (Option Überschreiben, falls vorhanden) sowie den Server neu starten (Server starten, falls er nicht ausgeführt wird). Klicken Sie auf Weiter, um den Vorgang zu starten Serverkonfiguration bearbeiten Über diese Aufgabe können Sie den Configuration Editor starten (falls installiert). Nach Abschluss der Aufgabe wird der Configuration Editor geöffnet, wo Sie die erweiterten Einstellungen für ERA Server bearbeiten können. Dieselben Einstellungen finden Sie auch in der Konsole unter Extras > Serveroptionen > Erweitert > Erweiterte Einstellungen bearbeiten. HINWEIS: Damit Sie diese Funktion nutzen können, muss ERA Console installiert sein. Sie können die Servereinstellungen auch als.xml-datei speichern und diese später mit der Option Alle Einstellungen aus Datei laden hochladen Kommandozeilenschnittstelle Das ESET Remote Administrator Maintenance Tool (ERAtool.exe) kann auch über die Kommandozeile gesteuert und auf diese Weise in Skripte integriert werden. Beim Aufruf wertet das Tool die Parameter aus und führt die Aktionen in der angegebenen Reihenfolge aus. Wenn keine Argumente übergeben werden, wird stattdessen der interaktive Assistent gestartet. Die folgenden Befehle werden unterstützt: /startserver oder /startservice - ESET Remote Administrator-Serverdienst starten /stopserver oder /stopservice - ESET Remote Administrator-Serverdienst beenden /gui - Nach Abschluss aller Aufgaben den interaktiven Assistenten starten Parameter, die nicht mit einem Schrägstrich beginnen, werden als Dateiname des auszuführenden Konfigurationsskripts interpretiert. Konfigurationsskripts werden durch Speichern der Einstellungen aus dem interaktiven Assistenten erstellt. HINWEIS: ERAtool.exe benötigt erhöhte Administratorrechte. Wenn das Skript, aus dem ERAtool.exe aufgerufen wird, nicht über die erforderlichen Rechte verfügt, wird in Windows eventuell eine Abfrage für die erhöhten Rechte angezeigt, oder das Tool wird in einem separaten Konsolenprozess ausgeführt, sodass die Ausgabe verloren geht. 173

174 10. Fehlerbehebung 10.1 Häufige Fragen (FAQ) Dieses Kapitel enthält Antworten auf häufig gestellte Fragen sowie Problemlösungen rund um die Installation und Bedienung von ERA Probleme bei der Installation von ESET Remote Administrator auf Windows Server 2000/2003 Ursache: Eventuell läuft der Terminalserver auf dem System im Ausführungsmodus (execute). Lösung: Microsoft empfiehlt, Systeme, auf denen der Terminalserver-Dienst aktiviert ist, während der Installation neuer Programme in den Installationsmodus (install) zu schalten. Dies können Sie entweder über den Punkt Systemsteuerung > Software oder durch Eingabe des Befehls change user /install in der Eingabeaufforderung bewirken. Nach der Installation geben Sie den Befehl change user /execute ein, um den Terminalserver wieder in den Ausführungsmodus zu schalten. Eine Schritt-für-Schritt-Anleitung zu diesem Vorgang finden Sie im folgenden Artikel: Was bedeutet der GLE-Fehlercode? Bei der Installation von ESET Endpoint Security oder ESET Endpoint Antivirus über die ESET Remote Administrator Console können gelegentlich GLE-Fehler auftreten. Um herauszufinden, wofür ein bestimmter GLE-Fehlercode steht, gehen Sie wie folgt vor: 1) Öffnen Sie eine Eingabeaufforderung. Klicken Sie hierzu zunächst auf Start > Ausführen. Geben Sie cmd ein und klicken Sie auf OK. 2) Geben Sie in der Eingabeaufforderung den folgenden Befehl ein: net helpmsg Fehlercode Beispiel: net helpmsg 55 Ergebnis in diesem Beispiel: Die angegebene Netzwerkressource bzw. das angegebene Gerät ist nicht mehr verfügbar Gängige Fehlercodes Im ERA-Betrieb können Fehlermeldungen mit Fehlercodes auftreten, die auf ein Problem mit einer bestimmten Funktion oder Aktion hinweisen. Die gängigsten Fehlercodes bei Push-Installationen sowie einige Fehlermeldungen aus dem ERAS-Log sind in den folgenden Kapiteln beschrieben Fehlermeldungen bei der Remoteinstallation von ESET Smart Security oder ESET NOD32 Antivirus über ESET Remote Administrator SC-Fehlercode 6, GLE-Fehlercode 53: IPC-Verbindung zum Ziel-Computer konnte nicht hergestellt werden Damit eine IPC-Verbindung hergestellt werden kann, müssen die folgenden Voraussetzungen gegeben sein: 1. Auf dem ERAS-Computer sowie dem Zielrechner muss der TCP/IP-Stack installiert sein. 2. Die Datei- und Druckerfreigabe für Microsoft-Netzwerke muss installiert sein. 3. Die Ports für die Dateifreigabe müssen geöffnet sein ( , 445). 4. Der Zielrechner muss auf ping-anforderungen antworten. SC-Fehlercode 6, GLE-Fehlercode 67: ESET Installer konnte nicht auf dem Ziel-Computer installiert werden Die administrative Freigabe ADMIN$ auf dem Systemlaufwerk des Clients muss zugänglich sein. 174

175 SC-Fehlercode 6, GLE-Fehlercode 1326: IPC-Verbindung zum Ziel-Computer konnte nicht hergestellt werden. Eventuell ist der Benutzername oder das Passwort falsch. Benutzername und Passwort des Administratorkontos wurden nicht oder falsch eingegeben. SC-Fehlercode 6, GLE-Fehlercode 1327: IPC-Verbindung zum Ziel-Computer konnte nicht hergestellt werden Es wurde kein Administratorpasswort angegeben. Ohne Administratorpasswort kann jedoch keine PushRemoteinstallation durchgeführt werden. SC-Fehlercode 11, GLE-Fehlercode 5: ESET Installer konnte nicht auf dem Ziel-Computer installiert werden Der Installer konnte wegen unzureichender Zugriffsrechte nicht auf den Clientcomputer zugreifen (Zugriff verweigert). SC-Fehlercode 11, GLE-Fehlercode 1726: ESET-Installer konnte nicht auf dem Zielcomputer installiert werden Dieser Fehlercode wird angezeigt, wenn bei wiederholten Installationsversuchen das Fenster für die PushInstallation nach dem ersten Versuch nicht geschlossen wurde. Fehler beim Installieren des Pakets - Rückgabecode: Beschreibung: Schwerwiegender Fehler ist ein allgemeiner Rückgabecode und kann verschiedene Ursachen haben. Die zwei häufigsten Ursachen bei der Pushinstallation sind: 1. Der Zielcomputer befindet sich nicht in einer Domäne. Deaktivieren Sie in diesem Fall die Benutzerkontensteuerung (User Access Control UAC) auf dem Zielcomputer. Gilt für PCs mit Windows Vista, Windows 7 und Windows 8 (8.1). 2. Eine ESET-Clientlösung wurde vor der Installation deinstalliert, aber der Zielcomputer wurde nicht neu gestartet. Starten Sie den Zielcomputer in diesem Fall neu Gängige Fehlercodes in era.log 0x UPD_RETVAL_BAD_URL Fehler im Update-Modul - Name des Update-Servers wurde falsch eingegeben. 0x UPD_RETVAL_CANT_DOWNLOAD Dieser Fehler kann in den folgenden Fällen auftreten: Bei einem Update über HTTP: - Der Update-Server gibt einen HTTP-Fehlercode im Bereich 400 bis 500 zurück (außer 401, 403, 404 und 407). - Updates werden von einem Server auf Cisco-Basis heruntergeladen, und das Format der HTTPAuthentifizierungsantwort wurde geändert. Bei einem Update aus einem freigegebenen Ordner: - Der zurückgegebene Fehler passt nicht in die Kategorien "ungültige Authentifizierung" oder "Datei nicht gefunden" (z. B. Verbindung unterbrochen, Server existiert nicht usw.). Bei beiden Update-Methoden: - Es konnte keiner der Server aus der Datei upd.ver gefunden werden (Speicherort der Datei: %ALLUSERSPROFILE %\Anwendungsdaten\ESET\ESET Remote Administrator\Server\updfiles) - Es konnte keine Verbindung zum Failsafe-Server aufgebaut werden (vermutlich wurden die betreffenden ESETEinträge in der Registrierung gelöscht). Bei einer falschen Proxyserver-Konfiguration in ERAS: - Der Proxyserver muss im korrekten Format angegeben werden. 0x UPD_RETVAL_AUTHORIZATION_FAILED Authentifizierung am Update-Server ist fehlgeschlagen (Benutzername oder Passwort ist falsch). 0x UPD_RETVAL_BAD_REPLY Dieser Fehler im Update-Modul kann auftreten, wenn die Internetverbindung über einen Proxyserver läuft, insbesondere den Webwasher-Proxy. 0x UPD_RETVAL_SERVER_ERROR 175

176 Dieser Fehler im Update-Modul gibt an, dass ein HTTP-Fehlercode über 500 vorliegt. Bei Verwendung des ESET HTTP-Servers weist Fehler 500 auf ein Problem mit der Speicherallokation hin. 0x UPD_RETVAL_INTERRUPTED Dieser Fehler im Update-Modul kann auftreten, wenn die Internetverbindung über einen Proxyserver läuft, insbesondere den Webwasher-Proxy Fehlerdiagnose bei Problemen mit ERAS Wenn Sie vermuten, dass ein Problem mit ERAS vorliegt, oder wenn das Programm nicht korrekt funktioniert, sollten Sie die folgenden Schritte durchführen: 1) Überprüfen Sie das ERAS-Log: Klicken Sie im Hauptmenü von ERAC auf Extras > Serveroptionen. Das Dialogfenster Serveroptionen wird angezeigt. Klicken Sie auf die Registerkarte Logging und dann auf Log anzeigen. 2) Wenn Sie keine Fehlermeldungen sehen, erhöhen Sie die Einstellung Log-Umfang im Dialogfenster Serveroptionen auf Stufe 5. (Im Anschluss an die Problemdiagnose sollten Sie den ursprünglichen Wert wiederherstellen.) 3) Für die Problemdiagnose kann es auch helfen, das Datenbank-Debug-Log auf derselben Registerkarte zu aktivieren. Nähere Informationen finden Sie im Abschnitt Debug-Log. Das Debug-Log sollte nur zum Reproduzieren von Problemen aktiviert und anschließend wieder abgeschaltet werden. 4) Sollte ein nicht in dieser Dokumentation aufgeführter Fehlercode erscheinen, wenden Sie sich bitte an den ESETSupport. Bitte beschreiben Sie, was für ein Problem vorliegt, wie es reproduziert oder ggf. umgangen werden kann. Geben Sie unbedingt die Programmversionen aller beteiligten ESET Security-Produkte an (z. B., ERAS, ERAC, ESET Endpoint Security, ESET Endpoint Antivirus). 176

177 11. Tipps und Tricks 11.1 Taskplaner ESET Endpoint Antivirus und ESET Endpoint Security enthalten einen integrierten Taskplaner, mit dem Sie regelmäßige Computerscans, Updates usw. planen können. Der Taskplaner enthält alle spezifischen Tasks. Die folgenden Tasktypen können über ERA konfiguriert werden: Start externer Anwendung Log-Wartung Prüfen des Computers Snapshot des Computerstatus erstellen Update Prüfung Systemstartdateien Tasks des Typs Start externer Anwendung müssen nur sehr selten eingerichtet werden. Der Task Prüfung Systemstartdateien ist ein Standardtask, dessen Parameter nach Möglichkeit nicht geändert werden sollten. Falls nach der Installation keine Änderungen vorgenommen wurden, enthalten, ESET NOD32 und ESET Endpoint Security zwei vordefinierte Tasks von diesem Typ. Mit dem ersten Task werden die Systemstartdateien nach jeder Anmeldung eines Benutzers geprüft, mit dem zweiten Task nach jedem erfolgreichen Update der Signaturdatenbank. Als Administrator werden Sie vermutlich am häufigsten mit den Tasktypen Prüfen des Computers und Update arbeiten: Prüfen des Computers - Hiermit können Sie einen regelmäßigen Scan auf den Clients einrichten (in der Regel für die lokalen Datenträger). Update - Dieser Tasktyp dient dazu, die ESET Clientlösungen auf den neuesten Stand zu halten. Es handelt sich hierbei um einen vordefinierten Task, der standardmäßig alle 60 Minuten ausgeführt wird. In der Regel wird es keinen Anlass geben, seine Parameter zu ändern. Die einzige Ausnahme bilden Notebooks, die oft außerhalb des Firmen-LANs eingesetzt werden, allerdings weiterhin über eine Internetverbindung verfügen. Hier kann der Update-Task so eingerichtet werden, dass er zwei Update-Profile nacheinander verwendet. So können die Notebooks zunächst versuchen, Updates über den lokalen Mirror-Server zu beziehen; wenn dies fehlschlägt, werden die Updates von den ESET-Update-Servern heruntergeladen. Die Taskplaner-Konfiguration finden Sie auch im ESET Configuration Editor unter Windows-Produkte Version 3 und 4 > ESET-Kernel > Einstellungen > Taskplaner > Bearbeiten. Nähere Informationen finden Sie im Kapitel ESET Configuration Editor 66. Das Dialogfenster enthält unter Umständen bereits vorhandene Tasks (die Sie durch Klicken auf Bearbeiten bearbeiten können), eventuell ist es jedoch auch leer. Dies hängt davon ab, ob Sie eine Konfiguration von einem (zuvor bereits konfigurierten) Client geöffnet oder eine neue Datei mit der Standardvorlage erstellt haben, die keine Tasks enthält. Jeder neue Task erhält eine ID-Nummer. Bei Standardtasks ist dies eine Dezimalzahl (1, 2, 3...), bei benutzerdefinierten Tasks ein hexadezimaler Schlüssel (z. B. 4AE13D6C), der beim Erstellen des neuen Tasks automatisch erzeugt wird. Wenn das Kontrollkästchen eines Tasks aktiviert ist, bedeutet dies, dass der Task aktiv ist und auf dem jeweiligen Client ausgeführt wird. Die Schaltflächen im Dialogfenster "Geplante Tasks" haben die folgenden Funktionen: Hinzufügen - Neuen Task hinzufügen Bearbeiten - Änderungen am ausgewählten Task vornehmen 177

178 ID ändern - ID des ausgewählten Tasks ändern Details - Überblicksinformationen zum ausgewählten Task Zum Löschen vormerken - Bewirkt, dass Tasks mit derselben ID-Nummer wie der ausgewählte Task bei der Übernahme der.xml-konfigurationsdatei von den Zielclients gelöscht werden. Entfernen - Ausgewählte Tasks aus der Liste entfernen. Bitte beachten Sie: Tasks werden hiermit lediglich aus der Liste in der.xml-konfigurationsdatei entfernt, nicht jedoch auf den Zielclients gelöscht. Beim Erstellen eines neuen Tasks (Schaltfläche Hinzufügen) bzw. beim Bearbeiten eines vorhandenen Tasks (Bearbeiten) müssen Sie festlegen, wann dieser ausgeführt werden soll. Dies kann entweder in einem bestimmten Intervall (jeden Tag um 12 Uhr, jeden Freitag usw.) oder ausgelöst durch ein bestimmtes Ereignis geschehen (nach einem erfolgreichen Update, beim ersten Computerstart am Tag usw.). Bei einem Task des Typs Prüfen des Computers wird im letzten Schritt ein Fenster mit erweiterten Einstellungen angezeigt. Hier können Sie festlegen, welche Konfiguration (Scanprofil und zu prüfende Objekte) für den Scan verwendet werden soll. Bei einem Task des Typs Update geben Sie im letzten Schritt an, welche Update-Profile für den Task verwendet werden sollen. Es handelt sich hierbei um einen vordefinierten Task, der standardmäßig alle 60 Minuten ausgeführt wird. In der Regel wird es keinen Anlass geben, seine Parameter zu ändern. Die einzige Ausnahme bilden Notebooks, die oft außerhalb des Firmen-LANs eingesetzt werden, allerdings weiterhin über eine Internetverbindung verfügen. Für solche Geräte können Sie in diesem letzten Dialogfenster zwei unterschiedliche Update-Profile auswählen. So können die Notebooks zunächst versuchen, Updates über den lokalen Mirror-Server zu beziehen; wenn dies fehlschlägt, werden die Updates von den ESET-Update-Servern heruntergeladen Entfernen vorhandener Profile Von Zeit zu Zeit stoßen Sie vielleicht auf Profile (für Updates oder Scans), die aus Versehen doppelt erstellt wurden. Um solche Dubletten per Remoteverwaltung zu entfernen, ohne andere Einstellungen im Taskplaner zu beeinflussen, gehen Sie wie folgt vor: Klicken Sie in ERAC auf die Registerkarte Clients und doppelklicken Sie auf einen betroffenen Client. Das Dialogfenster Eigenschaften für den Client wird angezeigt. Klicken Sie auf die Registerkarte Konfiguration. Aktivieren Sie die Optionen Datei anschließend im ESET Configuration Editor zum Bearbeiten öffnen sowie Heruntergeladene Konfiguration im neuen Konfigurations-Task verwenden und klicken Sie dann auf Neuer Task. Klicken Sie im Assistenten für den neuen Task auf Bearbeiten. Drücken Sie im Configuration Editor Strg+D, um alle Einstellungen abzuwählen, sodass sie grau erscheinen. So vermeiden Sie versehentliche Änderungen, da alle neuen Änderungen blau hervorgehoben werden. Klicken Sie mit der rechten Maustaste auf das zu entfernende Profil und wählen Sie im Kontextmenü den Befehl Profil zum Löschen vormerken. Dies bewirkt, dass das Profil gelöscht wird, sobald der Task auf den betreffenden Client übertragen wird. Klicken Sie im ESET Configuration Editor auf Zurück zur Konsole und speichern Sie die Änderungen. Vergewissern Sie sich, dass der ausgewählte Client in der Liste Ausgewählte Objekte im rechten Teil des Fensters enthalten ist. Klicken Sie auf Weiter und dann auf Fertig stellen. 178

179 11.3 Exportieren einer Clientkonfiguration ins XML-Format und Verwendungsmöglichkeiten Wählen Sie in ERAC einen beliebigen Client auf der Registerkarte Clients aus. Drücken Sie die rechte Maustaste und wählen Sie im Kontextmenü den Befehl Konfiguration. Klicken Sie auf Speichern unter, um die zugewiesene Konfiguration für den angegebenen Client in eine.xml-datei zu exportieren (.xml-konfigurationsdateien können auch direkt über die ESET Endpoint Security-Benutzeroberfläche extrahiert werden). Für die so erstellte.xml-datei gibt es anschließend verschiedene Verwendungsmöglichkeiten: Sie können die.xml-datei als fertige Konfiguration bei einer Remoteinstallation verwenden. So müssen Sie keine neue.xml-datei erstellen, sondern weisen einfach dem neuen Installationspaket die vorhandene.xml-datei zu (über die Schaltfläche Auswählen). Die.xml-Konfigurationsdateien können auch direkt über die ESET Endpoint Security-Benutzeroberfläche extrahiert werden. Zur Konfiguration mehrerer Clients auf einmal können die ausgewählten Clients eine zuvor heruntergeladene.xml-datei erhalten und die darin definierten Einstellungen übernehmen. Es wird also keine neue Konfiguration erstellt, sondern lediglich über die Schaltfläche Auswählen eine vorhandene Konfiguration zugewiesen. Beispiel Ein ESET Security-Produkt ist nur auf einem einzigen Arbeitsplatzrechner installiert. Nun können Sie über die Benutzeroberfläche des Programms direkt die gewünschte Konfiguration einrichten. Anschließend exportieren Sie die Einstellungen in eine.xml-datei. Diese.xml-Datei können Sie dann zur Remoteinstallation auf anderen Arbeitsplatzrechnern verwenden. Diese Methode kann insbesondere für Aufgaben wie das Feinabstimmen von Firewall-Regeln im regelbasierten Modus sehr hilfreich sein Kombinierter Update-Abruf für Notebooks Wenn Ihr Netzwerk auch Notebooks oder andere Mobilrechner umfasst, empfiehlt es sich, einen kombinierten Update-Abruf aus zwei Quellen zu konfigurieren: zum einen von den ESET-Update-Servern, zum anderen vom lokalen Mirror-Server. Die Notebooks versuchen dann zunächst, eine Verbindung zum lokalen Mirror-Server aufzubauen. Wenn dies nicht funktioniert, weil sie nicht im Firmennetz sind, werden die Updates direkt von den ESET-Servern heruntergeladen. Um diese Funktion einzurichten, gehen Sie wie folgt vor: Erstellen Sie zwei Update-Profile (siehe Exportieren einer Clientkonfiguration ins XML-Format und Verwendungsmöglichkeiten 179 ). Beim ersten (im folgenden Beispiel als "LAN" bezeichnet) werden die Updates vom Mirror-Server heruntergeladen, beim zweiten (im Folgenden "INET") von den ESET-Update-Servern. Erstellen Sie einen neuen Task oder bearbeiten Sie einen vorhandenen Updatetask im Taskplaner (Tools > Taskplaner im Hauptfenster von ESET Endpoint Security oder ESET Endpoint Antivirus). Die Konfiguration kann direkt auf den Notebooks oder per Remoteverwaltung über den ESET Configuration Editor erstellt werden. Angewendet wird sie dann entweder bei der Installation oder per Konfigurations-Task zu einem beliebigen späteren Zeitpunkt. Zum Erstellen neuer Profile im ESET Configuration Editor klicken Sie mit der rechten Maustaste auf den Zweig Update und wählen Neues Profil im Kontextmenü. 179

180 Das Ergebnis Ihrer Änderungen sollte etwa wie folgt aussehen: Mit dem Profil "LAN" werden Updates vom Mirror-Server im Firmen-LAN heruntergeladen ( mit dem Profil "INET" dagegen von den ESET-Servern (Automatisch auswählen). Als nächstes definieren Sie einen Update-Task, der die beiden Update-Profile nacheinander ausführt. Hierzu wählen Sie im ESET Configuration Editor den Eintrag Windows-Produkte Version 3 und 4 > ESET-Kernel > Einstellungen > Taskplaner aus. Klicken Sie auf Bearbeiten, um das Dialogfenster Geplante Tasks zu öffnen. Um einen neuen Task zu erstellen, klicken Sie auf Hinzufügen. Wählen Sie in der Liste Geplanter Task den Typ Update aus und klicken Sie auf Weiter. Geben Sie den Tasknamen ein (z. B. "Kombiniertes Update"), wählen Sie Regelmäßig - alle 60 Minuten und wählen Sie dann das primäre und sekundäre Profil aus. Wenn die Notebooks zuerst versuchen sollen, den Mirror-Server zu erreichen, richten Sie "LAN" als primäres und "INET" als sekundäres Profil ein. Das Profil "INET" kommt dann nur zum Einsatz, wenn das Update über das Profil "LAN" fehlschlägt. Empfehlung: Exportieren Sie die aktuelle.xml-konfiguration eines Clients (nähere Informationen siehe Fehlerdiagnose bei Problemen mit ERAS 176 ) und nehmen Sie die oben beschriebenen Änderungen an der exportierten.xml-datei vor. So verhindern Sie doppelt angelegte Tasks im Taskplaner sowie nicht funktionierende Profile. 180

181 11.5 Installation von Produkten anderer Hersteller über ERA Neben einer Remoteinstallation von ESET Produkten kann ESET Remote Administrator auch andere Programme installieren. Hierzu muss das gewünschte Installationspaket lediglich im Format.msi vorliegen. Die Remoteinstallation von benutzerdefinierten Paketen läuft sehr ähnlich ab wie im Kapitel Push-Remoteinstallation 73 beschrieben. Der wesentliche Unterschied liegt in der Erstellung des Pakets. Hierzu gehen Sie wie folgt vor: 1) Klicken Sie in ERAC auf die Registerkarte Remoteinstallation. 2) Klicken Sie in der Registerkarte Computer auf die Schaltfläche Paket-Manager. 3) Wählen Sie in der Liste Typ den Typ Benutzerdefiniertes Paket. 4) Klicken Sie auf Erstellen, dann auf Datei hinzufügen und wählen Sie das gewünschte.msi-paket aus. 5) Wählen Sie die Datei im Dropdownmenü Einstiegsdatei des Pakets aus und klicken Sie auf Erstellen. 6) Klicken Sie anschließend im Ausgangsfenster auf Speichern unter..., um das Paket zu speichern. 7) Bei Bedarf können Sie Befehlszeilenparameter für die.msi-datei angeben. Verwenden Sie hierfür dieselben Parameter wie bei einer lokalen Installation des Pakets. Vergessen Sie nicht, anschließend auf Speichern im Bereich "Paket" im Fenster Paket-Manager zu klicken. 8) Klicken Sie auf Schließen, um den Installationspaket-Editor zu schließen. Das neue benutzerdefinierte Paket kann genau wie in den vorhergehenden Kapiteln beschrieben per Remoteinstallation auf den Client-Arbeitsplatzrechnern installiert werden. Hierzu wird es zunächst wie gewohnt per Push-Installation, per Anmeldeskript oder auf die Zielrechner übermittelt. Nach dem Öffnen des Pakets übernimmt der Microsoft Windows Installer-Dienst die restlichen Installationsaufgaben. Nach Abschluss der benutzerdefinierten Installation kann ERAS eine Datei mit den Installationsresultaten vom Client herunterladen. Geben Sie eine Ergebnisdatei an, indem Sie den Parameter /eresult zu der Befehlszeile des Pakets hinzufügen, nachdem Sie das benutzerdefinierte Paket gespeichert haben. Nach der Ausführung des benutzerdefinierten Tasks können Sie die Ergebnisdateien von ERAS im Fenster Aufgabendetails herunterladen. HINWEIS: Für benutzerdefinierte externe Installationspakete gilt ein Größenlimit von 100 MB. 181

182 12. ESET SysInspector 12.1 Einführung in ESET SysInspector ESET SysInspector ist eine Diagnoseanwendung, mit der Sie umfassende Informationen zu einem bestimmten Computer anzeigen können, etwa zu installierten Treibern und Anwendungen, Netzwerkverbindungen oder wichtigen Registrierungseinträgen. Diese Angaben helfen Ihnen bei der Problemdiagnose, wenn sich ein System nicht wie erwartet verhält - ob dies nun an einer Inkompatibilität (Software/Hardware) oder an einer MalwareInfektion liegt. Sie können auf zwei verschiedene Arten auf ESET SysInspector zugreifen: entweder über die in ESET SecurityLösungen integrierte Version oder indem Sie eine kostenlose eigenständige Version (SysInspector.exe) von der ESET-Website herunterladen. Beide Versionen bieten die gleichen Funktionen und Bedienelemente. Der einzige Unterschied besteht in der Art und Weise, wie die Ausgaben verwaltet werden. Sowohl in der eigenständigen als auch in der integrierten Version können Sie System-Snapshots in eine.xml-datei exportieren und auf einem Datenträger speichern. Mit der integrierten Version können Sie die System-Snapshots jedoch direkt über Extras > ESET SysInspector speichern (außer in ESET Remote Administrator). Warten Sie einen Moment, während ESET SysInspector den Computer prüft. Die Dauer der Prüfung variiert je nach Hardwarekonfiguration, Betriebssystem und Anzahl der auf dem Computer installierten Anwendungen und kann zwischen 10 Sekunden und mehreren Minuten liegen Starten von ESET SysInspector Zum Starten von ESET SysInspector führen Sie einfach die von der ESET-Website heruntergeladene Programmdatei SysInspector.exe aus. Bitte haben Sie einen Augenblick Geduld, während die Anwendung Ihr System untersucht. Je nach der Art der Hardwarekonfiguration und den zu erfassenden Daten kann dies einige Minuten dauern. 182

183 12.2 Benutzeroberfläche und Bedienung Zur besseren Übersichtlichkeit ist das Hauptfenster in vier Bereiche gegliedert. Am oberen Rand befindet sich ein Bereich mit dem Menü und sonstigen Bedienelementen. Links finden Sie den Navigationsbereich, rechts in der Mitte den Beschreibungsbereich und rechts unten den Detailbereich. Der Bereich Log-Status zeigt die grundlegenden Eigenschaften eines Logs (verwendeter Filter, Filtertyp, Ergebnis eines Vergleichs, usw.) Menüs und Bedienelemente Dieser Abschnitt beschreibt die Menüs und sonstigen Bedienelemente in ESET SysInspector. Datei Durch Klicken auf Datei können Sie die aktuellen Systeminformationen zur späteren Untersuchung speichern oder ein zuvor gespeichertes Log wieder öffnen. Falls ein Log weitergegeben werden soll, sollten Sie es über die Funktion Zum Senden geeignet erstellen. Sicherheitsrelevante Daten (Name und Berechtigungen des aktuellen Benutzers, Computername, Domänenname, Umgebungsvariablen usw.) werden dann nicht in das Log aufgenommen. HINWEIS: Gespeicherte ESET SysInspector-Berichte können Sie schnell wieder öffnen, indem Sie sie einfach auf das Hauptfenster ziehen und dort ablegen. Baum Hiermit können Sie alle Knoten erweitern oder schließen sowie die ausgewählten Bereiche in ein Dienste-Skript exportieren. Liste Dieses Menü enthält Funktionen zur einfacheren Navigation im Programm sowie eine Reihe von Zusatzfunktionen, etwa für die Online-Informationssuche. 183

184 Hilfe Über dieses Menü finden Sie Informationen zur Anwendung und ihren Funktionen. Detail Mit dieser Einstellung können Sie beeinflussen, welche Informationen im Hauptfenster angezeigt werden. Im Modus Einfach werden die Informationen angezeigt, die Sie benötigen, um gängige Probleme mit dem System zu lösen. Im Modus Mittel zeigt das Programm außerdem einige weniger häufig genutzte Informationen an. Im Modus Vollständig zeigt ESET SysInspector alle Informationen an, die zum Beheben spezifischer Probleme erforderlich sind. Filterung Mit der Filterfunktion können Sie schnell verdächtige Dateien oder Registrierungseinträge auf Ihrem System finden. Durch Verschieben des Schiebereglers legen Sie fest, ab welcher Risikostufe Objekte angezeigt werden. Wenn der Schieberegler ganz links steht (Risikostufe 1), werden alle Objekte angezeigt. Steht der Schieberegler hingegen weiter rechts, werden alle Objekte unterhalb der eingestellten Risikostufe ausgeblendet, sodass Sie nur die Objekte ab einer bestimmten Risikostufe sehen. Wenn der Schieberegler ganz rechts steht, sehen Sie nur solche Objekte, die bekanntermaßen schädlich sind. Elemente, die mit einer Risikostufe zwischen 6 und 9 gekennzeichnet sind, können ein Sicherheitsrisiko darstellen. Falls solche Objekte auf Ihrem System gefunden werden und Sie keine ESET Security-Lösung einsetzen, empfiehlt sich eine Überprüfung Ihres Systems mit dem kostenlosen ESET Online Scanner. HINWEIS: Um schnell herauszufinden, welche Risikostufe ein bestimmtes Objekt hat, vergleichen Sie einfach seine Farbe mit den Farben auf dem Schieberegler für die Risikostufe. Suchen Mit der Suche können Sie ein bestimmtes Objekt schnell über seinen Namen (oder einen Teil des Namens) finden. Die Ergebnisse der Suchanfrage werden im Beschreibungsfenster angezeigt. Zurück Über die Schaltflächen mit den Pfeilen nach links und rechts können Sie zwischen den bisherigen Anzeigeinhalten des Beschreibungsfensters wechseln. Anstatt auf die Pfeilschaltflächen zu klicken, können Sie auch einfach die Rück- bzw. Leertaste drücken. Statusbereich Hier sehen Sie, welcher Knoten im Navigationsfenster gerade ausgewählt ist. Wichtig: Rot hervorgehobene Objekte sind unbekannt und werden daher als potenziell gefährlich markiert. Dies bedeutet jedoch nicht automatisch, dass Sie die Datei gefahrlos löschen können. Vergewissern Sie sich vor dem Löschen auf jeden Fall, dass die Datei tatsächlich überflüssig ist bzw. dass von ihr eine Gefahr ausgeht Navigation in ESET SysInspector In ESET SysInspector gliedern sich die unterschiedlichen Systeminformationen in eine Reihe von Hauptabschnitten, die so genannten Knoten. Wenn zu einem Knoten weitere Details vorhanden sind, können Sie ihn erweitern (ausklappen), um seine Unterknoten anzuzeigen. Zum Erweitern oder Reduzieren (Einklappen) eines Knotens doppelklicken Sie darauf oder klicken auf das Symbol bzw. neben seinem Namen. Soweit vorhanden, werden im Beschreibungsfenster Detailinhalte zum gerade im Navigationsbereich ausgewählten Knoten angezeigt. Diese Einträge im Beschreibungsfenster können Sie dann wiederum auswählen, um (soweit vorhanden) im Detailfenster weitere Detailinformationen dazu anzuzeigen. Im Folgenden sind die Hauptknoten im Navigationsfenster sowie die dazugehörigen Informationen in den Beschreibungs- und Detailfenstern beschrieben. Ausgeführte Prozesse Dieser Knoten enthält Informationen zu den Anwendungen und Prozessen, die zum Zeitpunkt der Log-Erstellung 184

185 ausgeführt wurden. Das Beschreibungsfenster zeigt weitere Details zu jedem Prozess, etwa die verwendeten dynamischen Bibliotheken samt Speicherort, den Namen des Programmherstellers, die Risikostufe der Dateien usw. Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationen wie z. B. die Größe oder der Hashwert der betreffenden Datei. HINWEIS: Jedes Betriebssystem enthält eine Reihe zentraler Kernelkomponenten, die ständig ausgeführt werden und wichtige Funktionen für andere Anwendungen bereitstellen. In bestimmten Fällen wird für solche Prozesse in ESET SysInspector ein Dateipfad angezeigt, der mit \??\ beginnt. Dies bedeutet, dass die Security-Software vor dem Start für diese Prozesse optimiert wird; sie stellen kein Risiko für die Systemsicherheit dar. Netzwerkverbindungen Wenn Sie im Navigationsbereich ein Protokoll (TCP oder UDP) auswählen, erscheint im Beschreibungsfenster eine Liste der Prozesse und Anwendungen, die über das betreffende Protokoll im Netzwerk kommunizieren, samt der jeweiligen Remoteadresse. Außerdem können Sie hier die IP-Adressen der DNS-Server überprüfen. Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationen wie z. B. die Größe oder der Hashwert der betreffenden Datei. Wichtige Einträge in der Registrierung Hier finden Sie eine Liste ausgewählter Registrierungseinträge, die oft im Zusammenhang mit Systemproblemen stehen. Dies betrifft beispielsweise die Registrierungseinträge für Autostart-Programme, Browser-Hilfsobjekte (BHO) usw. Im Beschreibungsfenster werden die mit dem jeweiligen Registrierungseintrag verbundenen Dateien angezeigt. Im Detailfenster finden Sie dazu weitere Informationen. Dienste Bei diesem Knoten enthält das Beschreibungsfenster eine Liste der Dateien, die als Windows-Dienste registriert sind. Im Detailfenster sind die Ausführungsart des Dienstes sowie weitere Informationen zur Datei angegeben. Treiber Liste der im System installierten Treiber Kritische Dateien Unter diesem Knoten können Sie sich im Beschreibungsfenster den Inhalt wichtiger Konfigurationsdateien von Microsoft Windows anzeigen lassen. System-Tasks im Taskplaner Enthält eine Liste der Tasks, die vom Windows-Taskplaner zu einer bestimmten Zeit/mit einem bestimmten Intervall ausgelöst werden. Systeminformationen Hier finden Sie ausführliche Informationen zu Hardware und Software, den gesetzten Umgebungsvariablen, den Benutzerberechtigungen und Systemereignis-Logs. Dateidetails Dieser Knoten enthält eine Liste der wichtigen Systemdateien sowie der Dateien im Ordner Programme. Im Beschreibungs- und Detailfenster finden Sie weitere Informationen zu den einzelnen Dateien. Über Enthält Informationen zur Version von ESET SysInspector und eine Liste der Programmmodule. 185

186 Tastaturbefehle Für die Arbeit mit ESET SysInspector stehen Ihnen die folgenden Tastaturbefehle zur Verfügung: Datei Strg+O Strg+S vorhandenes Log öffnen erstelltes Log speichern Erstellen Strg+G Strg+H Standard-Snapshot des Computers erstellen Standard-Snapshot des Computers erstellen und sicherheitsrelevante Informationen im Log aufzeichnen Filterung 1, O 2 3 4, U 5 6 7, B Strg+9 Strg+0 Risikostufe In Ordnung - Objekte mit Risikostufe 1-9 anzeigen Risikostufe In Ordnung - Objekte mit Risikostufe 2-9 anzeigen Risikostufe In Ordnung - Objekte mit Risikostufe 3-9 anzeigen Risikostufe Unbekannt - Objekte mit Risikostufe 4-9 anzeigen Risikostufe Unbekannt - Objekte mit Risikostufe 5-9 anzeigen Risikostufe Unbekannt - Objekte mit Risikostufe 6-9 anzeigen Risikostufe Risikoreich - Objekte mit Risikostufe 7-9 anzeigen Risikostufe Risikoreich - Objekte mit Risikostufe 8-9 anzeigen Risikostufe Risikoreich - Objekte mit Risikostufe 9 anzeigen Risikostufe vermindern Risikostufe erhöhen Filtermodus: Objekte ab der jeweiligen Risikostufe anzeigen Filtermodus: nur Objekte mit der jeweiligen Risikostufe anzeigen Anzeigen Strg+5 Strg+6 Strg+7 Strg+3 Strg+2 Strg+1 Rücktaste Leertaste Strg+W Strg+Q Anzeige nach Hersteller - alle Hersteller Anzeige nach Hersteller - nur Microsoft Anzeige nach Hersteller - alle anderen Hersteller Einstellung Eigenschaften auf Vollständig setzen Einstellung Eigenschaften auf Mittel setzen Einstellung Eigenschaften auf Einfach setzen einen Schritt zurück einen Schritt weiter Knoten erweitern (ausklappen) Knoten verkleinern (einklappen) Diverse Befehle Strg+T Strg+P Strg+A Strg+C Strg+X Strg+B Strg+L Strg+R Strg+Z Strg+F Strg+D Strg+E 186 zur ursprünglichen Position eines in den Suchergebnissen ausgewählten Elements springen grundlegende Angaben zu einem Element anzeigen vollständige Angaben zu einem Element anzeigen Baumpfad des aktuellen Elements kopieren Elemente kopieren im Internet nach Informationen zur ausgewählten Datei suchen Speicherordner der ausgewählten Datei öffnen betreffenden Eintrag im Registrierungseditor öffnen Dateipfad kopieren (wenn sich das Element auf eine Datei bezieht) zum Suchfeld wechseln Suchergebnisse schließen Dienste-Skript ausführen

187 Vergleich Strg+Alt+O Strg+Alt+R Strg+Alt+1 Strg+Alt+2 Strg+Alt+3 Strg+Alt+4 Strg+Alt+5 Strg+Alt+C Strg+Alt+N Strg+Alt+P ursprüngliches Log/Vergleichs-Log öffnen Vergleich schließen alle Elemente anzeigen nur hinzugefügte Elemente anzeigen (Elemente, die nur im aktuellen Log vorhanden sind) nur gelöschte Elemente anzeigen (Elemente, die nur im ursprünglichen Log vorhanden sind) nur ersetzte Elemente (inkl. Dateien) anzeigen nur Unterschiede zwischen den Logs anzeigen Vergleich anzeigen aktuelles Log anzeigen ursprüngliches Log öffnen Sonstige F1 Hilfe anzeigen Alt+F4 Programm beenden Alt+Umschalt+F4Programm ohne Rückfrage beenden Strg+I Log-Statistik anzeigen Vergleichsfunktion Mit der Funktion Vergleichen können Sie zwei vorhandene Logs vergleichen. Als Ergebnis werden die Unterschiede zurückgegeben, also die Einträge, die nicht in beiden Logs enthalten sind. Diese Funktion ist sehr praktisch, um Änderungen am System zu erkennen, die möglicherweise auf Aktivitäten eines Schadprogramms zurückzuführen sind. Nach dem Start erzeugt die Anwendung ein neues Log, das in einem neuen Fenster angezeigt wird. Um das Log zu speichern, klicken Sie auf Datei > Log speichern. Gespeicherte Log-Dateien können Sie später wieder öffnen, um sie einzusehen. Um ein vorhandenes Log zu öffnen, klicken Sie auf Datei > Log öffnen. Im Hauptfenster von ESET SysInspector wird immer nur jeweils ein Log angezeigt. Mit der Vergleichsfunktion können Sie das momentan aktive Log und ein in einer Datei gespeichertes Log vergleichen. Hierzu klicken Sie auf Datei > Log vergleichen und wählen dann Datei auswählen. Das ausgewählte Log wird nun mit dem aktiven (im Programmfenster angezeigten) Log verglichen. Das Vergleichs-Log zeigt nur die Unterschiede zwischen den beiden Logs an. HINWEIS: Wenn Sie nach dem Vergleich zweier Logs auf Datei > Log speichern klicken und das Ergebnis als ZIP-Datei speichern, werden beide Log-Dateien gespeichert. Wenn Sie die so entstandene Datei später öffnen, werden die enthaltenen Logs automatisch verglichen. Neben den einzelnen Einträgen zeigt ESET SysInspector Symbole an, die angeben, um was für eine Art von Unterschied es sich handelt. Einträge mit dem Symbol sind nur im aktiven Log enthalten, nicht jedoch in dem gespeicherten Log aus der geöffneten Datei. Einträge mit sind nur in dem Log aus der geöffneten Datei enthalten, nicht jedoch im aktiven Log. Die einzelnen Symbole haben die folgende Bedeutung: neuer Wert, nicht im vorherigen Log enthalten betreffender Zweig der Baumstruktur enthält neue Werte gelöschter Wert, nur im vorherigen Log enthalten betreffender Zweig der Baumstruktur enthält gelöschte Werte Wert/Datei wurde geändert betreffender Zweig der Baumstruktur enthält geänderte Werte/Dateien Risiko ist gesunken (war im vorherigen Log höher) Risiko ist gestiegen (war im vorherigen Log niedriger) Die Bedeutung aller Symbole sowie die Namen der verglichenen Logs werden auch in der Legende links unten im Programmfenster angezeigt. 187

188 Sie können jedes Vergleichs-Log in einer Datei speichern und später wieder öffnen. Beispiel Erstellen und speichern Sie ein Log mit einem ersten Stand der Systeminformationen in einer Datei namens alt.xml. Nehmen Sie einige Änderungen am System vor und öffnen Sie dann ESET SysInspector, um ein neues Log zu erstellen. Speichern Sie dieses unter dem Namen neu.xml. Um die Unterschiede zwischen diesen beiden Logs zu sehen, klicken Sie auf Datei > Logs vergleichen. Das Programm erstellt so ein Vergleichs-Log, das die Unterschiede zwischen den beiden Logs zeigt. Dasselbe Ergebnis erzielen Sie bei einem Aufruf über die Befehlszeile mit den folgenden Parametern: SysIsnpector.exe neu.xml alt.xml 12.3 Befehlszeilenparameter Mit ESET SysInspector können Sie auch von der Befehlszeile aus Berichte erzeugen. Hierzu stehen die folgenden Parameter zur Verfügung: /gen /privacy /zip /silent /help, /? Log direkt aus der Befehlszeile erzeugen, keine grafische Oberfläche anzeigen keine sicherheitsrelevanten Informationen ins Log aufnehmen Ergebnis-Log direkt in einer komprimierten Datei auf dem Datenträger speichern keine Fortschrittsleiste während der Erstellung des Logs anzeigen Hilfe zu den Befehlszeilenparametern anzeigen Beispiele Bestimmtes Log direkt in den Browser laden: SysInspector.exe "c:\clientlog.xml" Log im aktuellen Ordner speichern: SysInspector.exe /gen Log in einem bestimmten Ordner speichern: SysInspector.exe /gen="c:\ordner\" Log in einer bestimmten Datei/an einem bestimmten Speicherort speichern: SysInspector.exe /gen="c:\ordner \meinlog.xml" Log ohne sicherheitsrelevante Daten direkt in einer komprimierten Datei speichern: SysInspector.exe /gen="c: \meinlog.zip" /privacy /zip Zwei Logs vergleichen: SysInspector.exe "log_neu.xml" "log_alt.xml" HINWEIS: Datei- und Ordnernamen mit Leerzeichen sollten in Hochkommata gesetzt werden. 188