ESET Remote Administrator 6 walkthrough

Die Firma ESET hat ihrem aktuellen Business Produkt eine völlig überarbeitete Remote Administration (ERA) zur Seite gestellt. Für Neueinsteiger ist dies kein Problem – für Anwender der älteren ESA 5 Konsole bedeutet dies ein starkes Umdenken. Neu ist auch die Bereitstellung des ERA als virtuelle Appliance. Ich werde hier die wichtigsten Schritte skizzieren, die zur Basiskonfiguration notwendig sind.

  • Bereitstellung der vAppliance
  • Installation VM-Tools
  • Erster Login
  • Anbindung ESET License Administrator (ELA)
  • Anbindung Active Directory
  • Verteilung der ESET Agenten
  • Verteilung der ESET Antivirus Software
  • Dynamische Gruppen
  • Policies
  • Zugriffsrechte für Domänenkonten

Bereitstellung der Virtual Appliance

Ich persönlich bin seit der VCSA 5.5 (vCenter Server Appliance) ein großer Fan von virtual Appliances. Gemäß dem Motto: “Einschalten und wohlfühlen”. Daher werde ich mich auch hier auf die ERA vAPP konzentrieren.

Download der Appliance.

ERA02Die Appliance wird im OVA Format bereitgestellt. Die Basiskonfiguration erfolgt unmittelbar vor dem Upload auf den vSphere Cluster.

ERA03Die Appliance kann problemlos “Thin” bereitgestellt werden.

ERA04

Das Zielnetzwerk muss je nach lokalen Gegebenheiten angepasst werden. Die Appliance muss im LAN erreichbar sein.

ERA05Im folgenden Dialog werden Netzwerk- und Sicherheitsparameter übergeben. Wie z.B. der Hostname, oder das root Passwort. Dieses dient künftig als Login an der Web-GUI und auf der Shell als root.

Wichtig ist noch die Ländereinstellung. Wählt man hier en-US (default), so ist auch die GUI Sprache Englisch. Das Keyboard Layout wird auf US eingestellt. Dies ist inbesondere zu beachten bei der Eingabe des Passwortes auf der Shell. Enthält beispielsweise das festgelgte Passwort das Zeichen “Z”, so muss man auf der Shell ein “Y” eingeben. Gleiches gilt für Sonderzeichen. Daher empfiehlt sich die Verwendung der lokalen Landeseinstellungen de-DE.

ERA06

Es folgen Angaben zu Domäne, Domain-Controller (IP), Domain-Administrator, Netzmaske, Gateway und DNS.

Durch Aktivierung des HTTP Forward Proxy werden Updates für Clients auf dem ERA Server zwischengespeichert.

ERA07

Installation der VM-Tools

Die ERA Aplliance wird leider ohne VM-Tools ausgeliefert. Diese sind jedoch wichtig für die Überwachung im Cluster oder für das Backup.

Da es sich um ein CentOS handelt, ist die Installation nicht weiter schwierig. Ich skizziere die Installation hier nur der Vollständigkeit halber. Sie entspricht einer normalen Tools Installation unter Linux.

Der Zugang erfolgt entweder über die vSphere-Konsole, oder SSH. Der Login ist root und das oben definierte Passwort <mypass>.

  • Zunächst das Tools ISO einhängen im vSphere Client einbinden. Gast > VMware Tools installieren.
  • Login als root auf der shell.
  • Mountpoint erstellen und CD-ROM mounten
mkdir /mnt/cdrom
mount /dev/cdrom /mnt/cdrom

ERA08

  • Ins Verzeichnis /dev/cdrom wechseln und das Archiv mit den Installationsdateien nach /tmp kopieren. Der Name variiert je nach vSphere Version. Er beginnt auf jeden Fall mit VMwareTools… und endet mit tar.gz.
cd /mnt/cdrom
cp VMwareTools<Version>.tar.gz /tmp
cd /tmp
tar -xzf VMwareTools<Version>.tar.gz
cd vmware-tools-distrib
./vmware-install.pl
  • Ab hier können für dieses OS alle Default-Einstellungen der Tools Installation übernommen werden.

ERA09

  • Konfiguration mit Return (yes) starten. Auch hier alle Defaults übernehmen.

Erster Login

Der erste Login erfolgt zunächst mit dem anfangs definierten root (=Administrator) Benutzer.

https://era.mydomain.com:8443

Die Option, sich mit einem Domänenkonto einzuloggen (Log into Domain) muss zunächst konfiguriert werden.

Wurde als Ländereinstellung locale en_US verwendet, so ist hier auch nur “English” wählbar.

ERA10

Anbindung des ESET License Administrator (ELA)

ELA ist ein Onlineportal zur Verwaltung der ESET Lizenzen. Registrierung, Konvertierung und Verwaltung erfolgt unter der Adresse:

https://ela.eset.com/

Sollten noch Lizenzen im Format Benutzername  AV-1234567 vorhanden sein, können diese im ELA Portal konvertiert werden.

Die dort hinterlegten Lizenzen lassen sich mit dem Remote Administrator synchronisieren. Durch Angabe des ELA Sicherheits-Adaministrators entfällt die Eingabe eines Lizenzschlüssels im ERA.

Admin > Lizenzverwaltung > Lizenzen hinzufügen

ERA11Beenden und Lizenzen synchronisieren. Der Vorgang kann einige Minuten dauern.

Anbindung Active Directory

Um nicht alle Clients manuell hinzufügen zu müssen, ist eine Anbindung des ERA ans Active Directory zu empfehlen. Dazu wird ein Server-Task erstellt der einmalig oder zeitgesteuert Objekte aus dem ADS abruft. ESET hat hierzu einen guten KB-Artikel verfasst.

Admin > Server-Task > Synchronisierung statischer Gruppen > Neu

ERA13Danach die Sektion “Settings” mit dem + erweitern. Hier muss gewählt werden, unterhalb welcher statischen Gruppe die ADS Objekte eingefügt werden sollen.  Man wählt entweder “Alle” oder wahlweise “Fundbüro” bzw. “lost and found”. Alternativ kann auch speziell dafür mit “New Static group” eine statische Gruppe definiert werden.

ERA14Der nächste Schritt ist sehr wichtig für die Kommunikation mit ADS. Da die Appliance kein Windows Server ist, muss die Synchronisation über LDAP erfolgen (use LDAP instead active directory).

Login in der Form domain\user eingeben. Server ist die IP Adresse des DC.

ERA15Sobald die Checkbox “use LDAP instead active directory” aktiviert ist, erscheinen weitere LDAP Parameter. Unter “Custom” wählt man die Vorgabe für Active Directory.

ERA16Durch den Preset Active Direcory füllen sich die Pflichtfelder. Die Checkbox “use simple authentication” muss aktiviert werden. Dadurch ändert sich der Preset Name von “Active Directory” wieder in “Custom”.

Im Bereich “Synchronization Settings” lässt sich der abzurufende Teil des ADS einschränken. Lässt man den Eintrag “Distinguished Name” frei, so wird der gesamte Tree des ADS synchronisiert. Das ist nicht immer sinnvoll. Zusätzlich können Teile des ADS explizit ausgeschlossen werden. Enthält zum Beispiel eine OU Computer, die über eine andere Technik abgesichert werden und daher nicht in ERA erscheinen sollen, kann man sie somit ausblenden.

ERA17

Über die Sektion “Triggers” kann optional festgelegt werden, wie oft der Vorgang ausgeführt wird. Ich werde hier eine Synchronisation an Arbeitstagen (Mo-Fr) aufzeigen.

ERA18

Mit Finish wird der Trigger erstellt und mit dem Finish Button im Task Dialog (Bild unten) der ADS Synctask erstellt.

ERA19

Die Synchronisation dauert je nach größe des Trees einige Augenblicke. Danach erscheinen Computer-Objekte im zuvor gewählten statischen Ordner.

Verteilung der ESET Agenten

Auch die Verteilung der Agenten ist ein Servertask. Um Missverständnissen vorzugreifen: die Agenten machen keine Virenprüfung! Sie dienen als Informations-Sammler auf dem Clientsystem und ermöglichen den Remotezugriff und die Softwareverteilung.

Admin > Server Tasks > Agent deployment > New

era20Der Agent muss die Logindaten eines Benutzers erhalten, der das Recht hat auf Clients Software zu installieren. Üblicherweise ein Domain-Administrator. Targets sind Computerobjekte, auf welche im aktuellen Durchgang ein Agent verteilt werden soll. Dieser Parameter muss bei jedem Durchgang angepasst werden.

ERA21Der Agent erhält ein Zertifikat, welches ihn als berechtigt ausweist. Dieses ist im Standard vom ERA Server ausgestellt. Durch Klick auf <no certificate selected> wird das Zertifikat gewählt.

ERA22Hier wird das “Agent Certificate” gewählt. und der Prozess mit Finish abgeschlossen.

ERA23Hat man unter den Basic Settings nicht den Haken bei “run task immediately after finish” gesetzt, so lässt sich der Task auch direkt in der Taskliste mit “Run Now” starten.

ERA24

Verteilung der ESET Antivirus Software

Prinzipiell können mit ERA alle ESET Business Produkte verteilt werden. Lediglich die Lizenz regelt, welche Produkte zur Verfügung stehen.

Admin > Client Task > Software Installation >  Neu

ERA25Auswahl der Computer Targets für die Installation. Diese müssen einen ESET Agenten installiert haben und sollten durch keine anderen AV-Produkte gesichert sein.

ERA26Unter der Sektion Settings muss immer die EULA akzeptiert werden. Das gilt auch für spätere Durchläufe mit neuen Targets.

Von den verfügbaren Lizenzen muss die passende ausgewählt werden. Ich zeige hier das Beispiel einer ESET Endpoint Lizenz. Dazu passend muss das Software Package gewählt werden. Es stehen mehrere Produkte in mehreren Sprachen für unterschiedliche Plattformen (Windows, Mac, Linux etc.) zur Verfügung.

ERA27

Zunächst die Auswahl der Lizenz im Dialog <CHOOSE ESET LICENSE>. Wir wählen im Beispiel ESET Endpoint Security.

ERA28Das zu installierende Paket wird im Dialog <COOSE PACKAGE> gewählt. Die Liste ist unter Umständen sehr lang und unübersichtlich. Daher empfiehlt sich die Verwendung der Filter. Mit Add Filter habe ich drei Filter hinzugefügt (OS Type: Windows, Product Name: Endpoint Antivirus 6, Language: Deutsch). Damit bleibt nur das gesuchte übrig.

ERA29Optional kann man das Reboot-Verhalten des Targets steuern. Bei der Installation von Endpoint Antivirus 6 ist in der Regel kein Reboot notwendig.

ERA30Bevor man auf “Finish” klicken kann, müssen alle Pflichtangaben ausgefüllt sein. Der Button “Mandatory Settings” bringt einen direkt zur fehlenden Information. Meist wurde vergessen, die EULA zu akzeptieren.

ERA31

Tipp: Der Standard-Trigger zur Software-Verteilung ist “ASAP – as soon as possible”. Das bedeutet, die Verteilung beginnt sobald ein Kontakt zum Agent auf dem Target hergestellt wurde. Damit die Wartezeit nicht zu lage ist, kann man den Agenten aufwecken, indem man einen Weckruf sendet. Dazu wählt man das Target unter der Computer Liste aus, öffnet mit der linken Maustaste das Aktionsmenü und wählt “Send Wake-Up Call”.

ERA32

Dynamische Gruppen

ERA unterscheidet prinzipiell zwei Arten von Computergruppen:

  • statische Gruppen
  • dynamische Gruppen

Statische Gruppen werden zum Beispiel aus dem ADS übernommen. Dabei entspricht jede OU einer Gruppe. Statische Gruppen können auch manuell im ERA angelegt werden. Die Zugehörigkeit der Computer zur statischen Gruppe wird manuell gepflegt.

Dynamische Gruppen werden automatisch anhand von Auswahlregeln befüllt. Ändert sich die Eigenschft eines Computers, so ändert sich auch dynamisch die Gruppenmitgliedschaft. Ich erkläre das anhand einer dynamischen Gruppe für Computer, die weder ESET Endpoint, noch das File Security Produkt installiert haben.

Zunächst erstellt man eine dynamische Gruppe.

ESETDyn01In den Basiseinstellungen vergibt man einen Namen und eine Beschreibung.

ESETDyn02Unter Parent Group wächt man die Platzierung in der Hierarchie. Dynamische Gruppen können geschachtelt sein.

Wichtig ist die Definition des Templates. Man kann entweder auf vorhandene zurückgreifen, oder ein neues (NEW) erstellen.

ESETDyn03Wieder wird dem Template ein aussagekräftiger Name und eine Beschreibung gegeben.

ESETDyn04Unter Expression können Regelsätze zur Auswahl definiert werden. Unter Operation wird in diesem Fall definiert, daß keine der folgenden Kriterien zutreffen darf. Mit Add Rule wird ein Kriterium definiert.

ESETDyn06In diesem Fall ist es Computer / Managed Product Mask. Mit dem Plus Symbol wird das Produkt definiert.

ESETDyn07Der Vorgang wird wiederholt für “Eset Protected Server”. Der Regelsatz des Templates sieht dann wie unten aus.

ESETDyn05Nachdem das Template definiert ist kann man unter Summary die Zusammenfassung ansehen und die Dynamische Gruppe mit OK erstellen.

Den Direkteinstieg in die Templates findet man übrigens unterhalb des Admin Menüs.

ESETDyn08

Gruppen zur Unterscheidung des OS

Ein Weiters Beispiel für eine dynamische Gruppe ist die Zuordnung anhand des Betriebsystems. Die Erstellung des Templates erfolgt wie oben, jedoch mit anderen Parametern.

Windows7

Operation: AND (all conditions have to be true)

Property operator value
OS edition, OS version has prefix 6.1
OS edition, OS name contains 7

Server 2008 R2

Operation: AND (all conditions have to be true)

Property operator value
OS edition, OS version has prefix 6.1
OS edition, OS name contains Windows Server 2008 R2

XP

Operation: AND (all conditions have to be true)

Property operator value
OS edition, OS version has prefix 5.1
OS edition, OS name contains XP

 

Policies

Policies sind Regeln, die der Endpoint durch seine Gruppenmitgliedschaft erbt. Man kann sie am besten mit GPOs im ActiveDirectory vergleichen. Anstatt an OUs hängen sie an statischen, oder dynamischen Gruppen.

Eine neue Policy ist zunächst leer. D.h. sie enthält alle ESET Standardeinstellungen. Sind einige dieser Einstellungen nicht gewünscht, so definiert man diese im Policy-Editor. So kann man dem Client beispielsweise untersagen, Netzwerk-Shares zu scannen, oder bestimmte Dateitypen von der Überprüfung aussschließen.

Policies werden im ERA unter Admin > Policies definiert. Dort können sie auch den Gruppen zugeteilt werden. Bestehende Policies können alternativ auch über die Eigenschaften der Gruppen zugeteilt werden.

ESETPol02

Policies werden genau wie GPO innerhalb der Gruppenhierarchie vererbt. Hier kann es vorkommen, dass eine Policy die Werte einer anderen umkehrt. Aus diesem Grund gibt es zwei Modi zur Regel-Übergabe: Apply und Force.

ESETPol01Regeln, die über Apply gesetzt wurden, können von später angewandten Regeln überschrieben werden. Ist die Regel jedoch mit ‘Force’ gesetzt, so ist diese geschützt und kann von nachgeschalteten Policies nicht umgekehrt werden.

 

Zugriffsrechte für Domänenkonten

Neben dem vordefinierten ESET Administrator, kann man auch Rechte über ADS Gruppen oder Personen definieren.

Im Menü Admin > Access Rights kann sowohl lokalen Nutzern, als auch ADS Gruppen Rechte übertragen werden.

ESETAcc01Ich skizziere hier, wie man einer ADS Gruppe Adminrechte auf dem ERA zuteilen kann. Unter Admin > Access Rights klickt man auf den Pfeil bei Users und wählt “New mapped domain security group”.

ESETAcc02Wie immer muss ein Name vergeben werden und eine SID aus dem ADS. Wenn die Koppelung mit dem ADS erfolgreich eingerichtet wurde (vgl. weiter oben im Artikel), dann kann man nun unter “Group SID” ADS-Gruppen auswählen.

ESETAcc03In den erweiterten Einstellungen wird der oben selektierten Gruppe nun eine Rolle auf dem ERA zugeteilt. Jede Rolle enthält ein Set an Rechten, von denen die Administrator-Rolle natürlich die meisten hat.

ESETAcc04Nach Fertigstellung können sich die Mitglieder der ADS-Gruppe mit ihren Domänen Logins am ERA anmelden.

Links

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert