Možná si někteří pamatujete můj článek z konce roku 2008 s daleko povedenějším názvem: „ERA 3.0 evoluce nebo revoluce?“. Nejraději bych si opět pohrál s výstižnějším titulkem, ale pravdou je, že třetí verze ERA přinesla řadu převratných novinek a verze čtvrtá je velmi správným směrem rozvíjí a doplňuje. Tedy pokračuje v nastoupeném evolučním vývoji a ctí jeden z nejdůležitějších přínosů centrální správy společnosti ESET: je skutečně dělaná pro správce. Je to služba nenáročná, činí poměrně přesně a dobře to, co slibuje, nabízí díky konzoli přehledné a snadno zvládnutelné rozhraní, v němž se produkty ESET výborně spravují.

Jan HornýJan Horný
SoftwareSoftware
09.06.2010 0:00:0009.06.2010 0:00:00

Jan Horný

technický a licenční specialista

ALSO Czech Republic s.r.o.
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Centrální správa řešení ESET po čtvrté

Možná si někteří pamatujete můj článek z konce roku 2008 s daleko povedenějším názvem: „ERA 3.0 evoluce nebo revoluce?“. Nejraději bych si opět pohrál s výstižnějším titulkem, ale pravdou je, že třetí verze ERA přinesla řadu převratných novinek a verze čtvrtá je velmi správným směrem rozvíjí a doplňuje. Tedy pokračuje v nastoupeném evolučním vývoji a ctí jeden z nejdůležitějších přínosů centrální správy společnosti ESET: je skutečně dělaná pro správce. Je to služba nenáročná, činí poměrně přesně a dobře to, co slibuje, nabízí díky konzoli přehledné a snadno zvládnutelné rozhraní, v němž se produkty ESET výborně spravují.

ERA TABs

ESET Remote Administrator (ERA) je řešením pro správu produktů společnosti ESET v síťovém prostředí. ERA sama o sobě žádnou ochranu před škodlivým kódem neposkytuje. Ovšem prostřednictvím spravovaných produktů zajišťuje perfektní přehled o tom, co se na síti děje, a umožňuje velmi rychle a přesně reagovat v případě výskytu bezpečnostních problémů. Také přináší nástroje na udržování konfigurací produktů ESET na stanicích či serverech prostřednictvím politik založených na skupinách vytvořených ručně, nebo podle členství v organizačních jednotkách Active Directory, či nově na skupinách parametrických. Celé řešení se skládá ze dvou komponent: samotné služby v podobě ERA Serveru (ERAS) a správcovské konzole ERA Console (ERAC). Třebaže ERAS i ERAC lze hostovat výhradně na operačních systémech Windows, spravované produkty již mohou běžet na různých platformách – je tak možné dohledovat NOD32 Antivirus na stanicích s Windows, Linuxem nebo třeba na počítačích Apple, ale i všechny serverové produkty ESET pro ochranu souborových nebo mailových služeb. Verze 4 dokonce zahrnuje i podporu pro management úplně nového produktu, který je zatím ve fázi betatestů, a to ESET Mobile Security pro mobilní telefony platforem Windows Mobile a Symbian.

Pojďme se podívat na seznam novinek ESET Remote Administrator verze 4. Především přináší podporu řadě nových produktů:

  • ESET Smart Security/ESET NOD32 Antivirus 4.2
  • ESET Mail Security 4 for
  • Microsoft Exchange Server
  • Linux/Mac Desktop Security Solution (ESET NOD32 Antivirus 4)
  • ESET Mobile Security

Nicméně vedle nových produktů zachovává i podporu téměř všech starších řešení, a to až do NOD32 verze 2.x, která sice není již možné zakoupit, ale jsou až do února 2012 podporována. Řada vlastností je ve čtyřkové verzi ERA Serveru vylepšena a přibylo i několik velmi užitečných novinek. Podívejme se na přehled:

  • je kompletně přepracované uživatelské rozhraní pro Remote Installation (jednoznačně za jedna!); někteří možná budete zkraje malinko bloudit, ale za chvilku se zorientujete a zjistíte, že změna je to po všech stránkách příjemná
  • změn v uživatelském rozhraní doznala i práce se skupinami, která byla (konečně!) obohacena o integraci s Active Directory a přináší úplně nový typ skupin, a sice skupiny parametrické, kdy členství určuje hodnota zvoleného parametru
  • vylepšenou funkcionalitu najdete u filtrů
  • též u politik najdete novinku v podobě podpory parametrických skupin, do vínku dostávají (konečně) navíc možnost exportu/importu jak samotných politik, tak i jednotlivých pravidel
  • i velmi podařené notifikace, které přinesla verze 3 jako jednu z nejvýznamnějších novinek, doznaly nejen drobných vylepšení. A samozřejmě přinášejí také podporu parametrických skupin
  • opravdu velkou novinkou je centrální karanténa (klientské aplikace ESS/EAV verze 4 a novější)
  • potěší i nový Firewall Rules MergeWizard umožňující slučovat pravidla nasbíraná v učícím režimu (learning mode) klientského firewallu
  • uživatelé ERAC mohou být ověřeni proti Windows či doméně
  • podpora instalace ve Windows Clusteru
  • také je plně podporován in-place upgrade až z verze 1.x
  • změny doznal i editor konfigurací

Kdo dostane novou verzi?

Odpověď je jednoduchá, ale pro mnoho zákazníků asi stále překvapivá, neboť se vždycky najde někdo, kdo se ptá na možnost zakoupení upgrade na novou verzi ERA. Takže jak to tedy je? Všichni uživatelé Business edic (od 5 licencí) mají nejen právo na ERAS, ale i na všechny aktualizace, které se serverem přicházejí. Také serverové produkty (poštovní servery, mail servery a gateway servery) si s sebou „nesou“ licenci ERAS a mohou jím být centrálně spravovány. Proto i ony mají během trvání předplatného nárok na nejnovější verze nejen samotných produktů, ale i ERA.

Z licenčního pohledu máte nárok nainstalovat libovolné množství ERA serverů a konzolí (ERAC) ve vlastní síti, což oceníte třeba v pobočkových scénářích nebo u rozsáhlejších sítí. Licenční podmínky neobsahují žádný limit na počty běžících instancí ERAS a ERAC. Jediným limitem je počet spravovaných klientů. Licenční certifikát v podobě .lic, .zip souborů získá každý zákazník při pořízení serverových nebo business edic produktů.

Systémové požadavky ERAS a ERAC

Vývojáři ERA Serveru jsou poměrně benevolentní, co se podpory serverového OS týká, poradí si totiž se vším od Windows NT4 SP6. Samotná služba i konzole je zatím pouze 32bitová, ale bez jakýchkoli problémů běží i na 64bitových verzích Windows Serveru. ERAS ke svému běhu potřebuje také databázi. Přichází s „built-in“ databází Access, která však má své limity, proto jsou podporována i větší řešení postavená na databázových serverech: MySQL 5.0, ORACLE 9i, Microsoft SQL 2005, případně i novějších.

Instalace serveru je velmi jednoduchá. Vedle Typical je k dispozici i Advanced, která umožňuje všechny důležité parametry služby při instalaci ovlivňovat – zároveň však vyžaduje i poměrně dobrou znalost produktu, neboť špatným nastavením si můžete přivodit dosti zásadní problémy při používání služby. Instalace podporuje in-place upgrade, a to dokonce i z verze 1.x a včetně převodu databází, což může u větších řešení zabrat nějaký čas. Služba je to v rámci provozu menší sítě (50 PC) poměrně nenápadná (proces era.exe zabírá v tomto případě necelých 13 MB operační paměti a vykazuje jen zlomkové zatížení procesoru) a musím dodat, že na rozdíl od jiných řešení jsem v praxi s ERA Serverem neměl nikdy problémy. Při instalaci budete nezbytně potřebovat licenční klíč (nová ERA přijme i zazipovanou verzi) a také se vám hodí informace o přístupu k aktualizačním serverům ESET, pokud bude ERA vystupovat i v roli mirror serveru (poskytuje tuto službu i klientům NOD32 2.x). Instalace vlastní konzole je pak opravdu triviální a postačuje pouze znát jméno serveru a port, na kterém služba ERAS naslouchá (výchozím je TCP 2223).

Remote install

Na závěr jsem si nechal pár poznámek k vzdálené instalaci na klienty s operačními systémy Windows. Občas bývají na toto téma dotazy, ale častěji jsem překvapen, že tuto možnost uživatelé vůbec nevyužívají! Přitom remote install je velmi přímočará cesta, jak na klienty s Windows antivirové řešení včetně počáteční výchozí konfigurace dostat, aniž je nutné se po rozsáhlejší firmě „uběhat“. Lehce se zmíním jen o push instalaci, která je jednoznačně nejjednodušší a ve valné většině situací po ní můžete sáhnout. Je zde však několik předpokladů, které je třeba splnit, aby se dostavil i očekávaný výsledek v podobě nainstalovaného řešení, které se automaticky připojí k ERA Serveru, případně se na něj rovnou naaplikuje potřebná konfigurace prostřednictvím politiky.

ERA - remote install Network View

Základem je funkční nastavení TCP/IP komunikace mezi klientem a serverem, potřebná oprávnění a striktní splnění všech podmínek na klientovi. Bohužel i jediná nesplněná podmínka vede k neúspěchu, tak se na ně pojďme podívat:

  • povolení Client for Microsoft network v nastavení síťového připojení
  • povolení sdílení (file and printer sharing)
  • oproti tomu je nutné zakázat „simple file sharing“
  • ověření, že osobní firewall tuto komunikaci neblokuje, stejně jako komunikaci na portech 2221-2224, kterou ve výchozím stavu využívají produkty ESET
  • TCP/IP protokol
  • funkční administrativní share ADMIN$
  • klient musí být schopen odpovídat na ping
  • jsou nezbytná přihlašovací oprávnění s právy lokálního administrátora a neprázdným heslem
  • služby Server a Remote Registry musí být povoleny

Výbornou pomůckou je před spuštěním vlastní instalace otestování funkčnosti, kterou najdete v kontextové nabídce v záložce Computers, kde si po klepnutí na klienta/klienty vyberete volbu Diagnostics of Push Installation. Rozhodně se v případě problému spolehněte na dokumentaci, kde je celý proces velmi dobře popsán a pomůže vám vyřešit případné potíže. Navíc na straně klienta vznikne textový log, ze kterého se zpravidla přesně dozvíte, kde se stala chyba.

Upgrade

ERA Server ve verzi 4 přináší ve spolupráci s klienty verze 4.2 a novějšími novinku v podobě upgradu klientské instalace bez potřeby speciálního instalačního agenta einstaller.exe. Tento mechanismus funguje na bázi aktualizace programových komponent a běží plně v rámci samotného klientského řešení. Pro EAV/ESS verze 4.2 a vyšší ESET doporučuje výhradně tento typ aktualizace. Je dostupný v rámci kontextové nabídky i přímo v pohledu na seznam spravovaných klientů (záložka Clients) – není nutné být přímo na záložce Remote Install.

Závěr…

Nový ERA Server je významnou aktualizací, která opět produkt posouvá vpřed. Nepřináší tentokrát až tak revoluční změny, ale vylepšení jsou rozhodně příjemná a některé úkony správcům jednoznačně zjednodušují. Určitě doporučuji všem upgradovat už proto, že s vlastním procesem aktualizace není žádný problém a právo na nové verze již máte v ceně předplatného.