Einstellungen
In diesem Bereich können Sie bestimmte Einstellungen für den ESET PROTECT Server konfigurieren. Diese Einstellungen funktionieren ähnlich wie Policies, werden jedoch direkt auf dem ESET PROTECT Server angewendet.
Verbindung
Starten Sie den ESET PROTECT Server-Dienst neu, damit die Änderungen im Abschnitt Verbindung wirksam werden. |
Server-Port – Dies ist der Port für die Verbindung zwischen dem ESET PROTECT Server und den Agenten. Wenn Sie den Port ändern, müssen Sie unter Umständen die Firewall-Einstellungen anpassen. Der Standardwert ist 2222.
Port für Web-Konsole – Port für die Verbindung zwischen der ESET PROTECT-Web-Konsole und dem ESET PROTECT Server. Der Standardwert ist 2223. Wenn Sie den Port ändern, müssen Sie möglicherweise die Einstellungen der Firewall anpassen.
Erweiterte Sicherheit – Diese Einstellung aktiviert die erweiterte Sicherheit für die Netzwerkkommunikation von ESET PROTECT-Komponenten. Die erweiterte Sicherheit ist standardmäßig aktiviert.
Zertifikat - Hier können Sie die ESET PROTECT-Server-Zertifikate verwalten. Klicken Sie auf Vorhandenes Zertifikat auswählen und wählen Sie das Zertifikat für den ESET PROTECT-Server aus. Klicken Sie auf Benutzerdefiniertes Zertifikat hochladen, um ein benutzerdefiniertes Zertifikat hochzuladen. Weitere Informationen finden Sie unter Peerzertifikate.
Updates
Wählen Sie das Intervall aus, in dem Aktualisierungen empfangen werden sollen. Sie können wählen zwischen:
•Den Server in regelmäßigen Abständen aktualisieren – Der Standardwert beträgt sechs Stunden.
•Server in den durch einen CRON-Ausdruck festgelegten Intervallen aktualisieren – Konfigurieren Sie das Aktualisierungsintervall mithilfe eines CRON-Ausdrucks.
Update-Server – Update-Server, von dem der ESET PROTECT Server Updates für ESET-Anwendungsversionen und ESET PROTECT-Komponenten empfängt. Der Standardwert ist AUTOSELECT. Um ESET PROTECT On-Prem 13.1 über den Mirror zu aktualisieren (Mirror-Tool), legen Sie die vollständige Adresse des era6-Update-Ordners fest (abhängig vom Stamm Ihres HTTP-Servers). Beispiel: http://your_server_address/mirror/eset_upd/era6
Updatetyp – Wählen Sie hier aus, welche Typen von ESET PROTECT Server-Modulupdates Sie erhalten möchten. Sie finden die aktuelle Version der installierten ESET PROTECT Server-Module unter Hilfe > Über.
Gewöhnliches Update |
Updates für ESET PROTECT Server-Module werden automatisch vom ESET-Server mit dem geringsten Netzwerkdatenverkehr heruntergeladen. Standardeinstellung. |
Test-Update |
Diese Updates wurden bereits ausführlich intern getestet und werden demnächst allgemein veröffentlicht. Sie können die Test-Updates nutzen, um Zugang zu den neuesten Updates der ESET PROTECT Server-Module zu erhalten. Pre-Release-Updates können helfen, bestimmte Probleme mit dem ESET PROTECT-Server zu beheben. Die Pre-Release-Updates sind jedoch bisweilen instabil und sollten nicht auf Produktionsservern eingesetzt werden, die maximale Verfügbarkeit und Stabilität voraussetzen. Pre-Release-Updates sind nur verfügbar, wenn im Parameter Release-Server die Option AUTOSELECT festgelegt ist. |
Erweitert
Quarantänedateien hochladen – Geben Sie den Pfad zum Verzeichnis (Upload-Pfad) auf dem ESET PROTECT Server an, unter dem die exportierten Quarantänedateien gespeichert werden. Stellen Sie sicher, dass der Pfad gültig und auf dem Server genügend freier Speicherplatz vorhanden ist.
HTTP-Proxy – Mit einem Proxyserver können Sie den Datenverkehr zwischen Clients in Ihrem Netzwerk und dem Internet erleichtern.
•Geben Sie die Proxy-Einstellungen an (Host, Port, Benutzername und Passwort). Das Feld Host enthält die Adresse des Computers, auf dem der HTTP-Proxy ausgeführt wird.
•Wenn Sie ESET PROTECT On-Prem mit dem All-in-One-Installationsprogramm installieren, wird der HTTP-Proxy (ESET Bridge) standardmäßig installiert und für die Aktivierung bereitgestellt.
•ESET Bridge verwendet standardmäßig Port 3128. Sie können bei Bedarf einen anderen Port festlegen. Achten Sie darauf, denselben Port auch für die HTTP-Proxy-Konfiguration festzulegen (siehe ESET Bridge Policy).
•Der Umschalter Direktverbindung verwenden, wenn der HTTP-Proxy nicht verfügbar ist ist vorab als Standardoption ausgewählt.
•HTTP-Proxy-Einstellungen werden für die Kommunikation mit 2FA-Servern (Zwei-Faktor-Authentifizierung) nicht angewendet.
Der ESET PROTECT Server führt eine sofortige Replikation des ESET Management Agenten auf einem Clientcomputer über EPNS (Aktivierungsaufruf senden) durch. Dies ist nützlich, wenn Sie nicht auf das planmäßige Intervall warten möchten, in dem sich der ESET Management Agent mit dem ESET PROTECT Server verbindet. Dies ist z. B. hilfreich, wenn Sie einen Task sofort auf einem oder mehreren Clients ausführen oder eine Policy umgehend anwenden möchten.
Wake On LAN – Richten Sie Multicast-Adressen ein, falls Sie Wake On LAN-Aufrufe an eine oder mehrere IP-Adressen senden möchten.
SMTP-Server – Sie können einen SMTP-Server konfigurieren, um E-Mails über den ESET PROTECT Server zu verschicken (z. B. E-Mail-Benachrichtigungen oder Berichte). Geben Sie die Details Ihres SMTP-Servers an.
Active Directory – Sie können Ihre AD-Einstellungen vorab konfigurieren. Standardmäßig verwendet ESET PROTECT On-Prem Ihre Anmeldeinformationen für Active Directory-Synchronisierungs-Tasks (Benutzersynchronisierung, Synchronisierung statischer Gruppen). Wenn Sie die entsprechenden Felder in der Taskkonfiguration leer lassen, verwendet ESET PROTECT On-Prem die vorkonfigurierten Anmeldeinformationen. Verwenden Sie einen schreibgeschützten AD-Benutzer, da ESET PROTECT On-Prem keine Änderungen an der AD-Struktur vornimmt.
•Wenn der ESET PROTECT Server unter Linux (oder einer virtuellen Appliance) läuft, müssen Sie eine gültige Kerberos-Konfigurationsdatei einrichten. Kerberos kann für die Synchronisierung mit mehreren Domänen eingerichtet werden. •Wenn der ESET PROTECT-Server auf einem Windows-Computer ausgeführt wird, der mit einer Domäne verbunden ist, ist nur das Feld Host erforderlich. Sie können alle anderen Active Directory-Konfigurationsschritte unten überspringen. Eine Synchronisierung zwischen mehreren Domänen ist möglich, wenn zwischen den Domänen eine Vertrauensbeziehung existiert. |
•Host –Geben Sie Servername oder IP-Adresse Ihres Domänencontrollers ein.
•Benutzername - Geben Sie den Benutzernamen für Ihren Domänencontroller im folgenden Format ein:
oDOMAIN\username (ESET PROTECT Server unter Windows)
ousername@FULL.DOMAIN.NAME oder username (ESET PROTECT Server unter Linux).
Geben Sie die Domäne in Großbuchstaben an, um Anfragen an einen Active Directory-Server korrekt authentifizieren zu können. |
•Passwort – Geben Sie das Passwort für die Anmeldung bei Ihrem Domänencontroller ein.
•Stammcontainer – Geben Sie den vollständigen Bezeichner eines AD-Containers ein, zum Beispiel: CN=John,CN=Users,DC=Corp. Dieser Wert dient als vorkonfigurierter Distinguished Name. Kopieren Sie den Wert aus einer Server-Task und fügen Sie ihn ein, um die Richtigkeit sicherzustellen (kopieren Sie den Wert aus dem Feld Distinguished Name, nachdem es ausgewählt wurde).
ESET PROTECT Server Windows verwendet standardmäßig das verschlüsselte Protokoll LDAPS (LDAP über SSL) für alle Active Directory-Verbindungen (AD). Sie können LDAPS auch in der virtuellen ESET PROTECT-Appliance konfigurieren. Konfigurieren Sie Folgendes für eine erfolgreiche AD-Verbindung mit LDAPS: 1.Auf dem Domänencontroller muss ein Computerzertifikat installiert sein. Führen Sie die folgenden Schritte aus, um ein Zertifikat für Ihren Domänencontroller auszustellen: a)Öffnen Sie den Server-Manager, klicken Sie auf Verwalten > Hinzufügen von Rollen und Features und installieren Sie Active Directory-Zertifikatdienste > Zertifizierungsstelle. Daraufhin wird eine neue Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen erstellt. b)Klicken Sie im Server-Manager auf die Benachrichtigung (gelbes Dreieck) und Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren. Wählen Sie unter Rollendienste die Option Zertifizierungsstelle aus. Schließen Sie die Konfiguration ab, indem Sie auf Weiter klicken. c)Navigieren Sie zu Start > geben Sie certlm.msc ein und drücken Sie die Eingabetaste, um das Zertifikat-Snap-In der Microsoft Management Console zu öffnen. Wählen Sie Zertifikate - lokaler Computer > Persönlich aus, klicken Sie mit der rechten Maustaste auf das leere Fenster > Alle Tasks > Neues Zertifikat anfordern > Domänencontroller registrieren. d)Stellen Sie sicher, dass das ausgestellte Zertifikat den FQDN des Domänencontrollers enthält. e)Importieren Sie auf Ihrem ESET PROTECT-Server die von Ihnen generierte Zertifizierungsstelle in den Zertifikatspeicher (mit dem Tool certlm.msc) > Lokaler Computer > im Ordner Vertrauenswürdige Stammzertifizierungsstellen. f)Starten Sie den ESET PROTECT-Server-Computer neu. 2.Wenn Sie die Verbindungseinstellungen für den AD-Server bereitstellen, geben Sie den FQDN des Domänencontrollers (wie im Domänencontroller-Zertifikat angegeben) im Feld Server bzw. Host ein. Die IP-Adresse ist für LDAPS nicht mehr ausreichend. Aktivieren Sie das Kontrollkästchen LDAP anstatt Active Directory verwenden unter Synchronisierung statischer Gruppen oder den Task Benutzersynchronisierung verwenden, um das Fallback zum LDAP-Protokoll zu aktivieren. |
Statische Gruppen – Gefundene Computer automatisch paarweise gruppieren—Aktivieren Sie die automatische paarweise Gruppierung gefundener Computer zu Computern, die bereits statischen Gruppen zugeordnet sind. Die Zuordnung erfolgt anhand des vom ESET Management-Agenten gemeldeten Hostnamens. Wenn dieser nicht vertrauenswürdig ist, sollte die Funktion deaktiviert werden. Wenn die Kopplung fehlschlägt, wird der Computer in die Gruppe Fundbüro verschoben.
Repository – Speicherort des Repository-Servers, der die Installationsdateien enthält.
•Das standardmäßige ESET-Repository ist AUTOSELECT (verweist auf: http://repository.eset.com/v1). Der Repository-Server mit der besten Verbindung wird automatisch anhand des geografischen Standorts (IP-Adresse) des ESET PROTECT Servers bestimmt (mithilfe des CDN – Content Delivery Network) Daher müssen Sie die Repository-Einstellungen nicht ändern. •Optional können Sie eine Repository festlegen, das nur ESET-Server verwendet: http://repositorynocdn.eset.com/v1 •Verwenden Sie niemals eine IP-Adresse für den Zugriff auf das ESET-Repository. •Sie können ein Offline-Repository erstellen und verwenden. |
Am Produktverbesserungsprogramm teilnehmen – Aktivieren oder deaktivieren Sie die Übertragung von Absturzberichten und anonymen Telemetriedaten (Betriebssystemversion und -Typ, ESET-Anwendungsversion und andere anwendungsspezifische Daten) an ESET.
Informationsumfang für Trace-Log – Legen Sie die Mindestinformationen fest, die erfasst und in Logs geschrieben werden. Die Abstufung reicht von Trace (umfangreiche Informationen) bis Schwerwiegend (wichtigste, kritische Informationen).
Die neuesten Log-Dateien des ESET PROTECT-Servers finden Sie hier:
•Windows: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs
•Linux: /var/log/eset/RemoteAdministrator/Server/
Sie können den Export von Protokollen in Syslog einrichten.
Datenbank-Bereinigung – Um eine Überlastung der Datenbank zu verhindern, können Sie mit dieser Option regelmäßig die Logs bereinigen. Bei der Datenbank-Bereinigung werden die folgenden Log-Typen gelöscht: SysInspector-Logs, Diagnose-Logs und Logs, die nicht mehr erfasst werden (Logs von gelöschten Geräten oder gelöschten Bericht-Templates). Die Datenbank-Bereinigung wird standardmäßig jeden Tag um Mitternacht ausgeführt. Änderungen an dieser Einstellung wirken sich erst auf die nächste Bereinigung aus. Sie können das Bereinigungsintervall für die folgenden Log-Typen festlegen: Incident-Logs, Verwaltungs-Logs, Audit-Logs und Überwachung-Logs.
Logtyp |
Beispiel für den Logtyp |
|---|---|
Ereignis-Logs |
• • • • • |
Verwaltungs-Logs |
•Tasks •Trigger •Exportierte Konfiguration •Registrierung |
Audit-Logs |
•Audit-Log und der Audit-Log-Bericht. |
Überwachungs-Logs |
•Medienkontrolle •Web-Kontrolle •Geloggte Benutzer |
Die Diagnose-Logs werden jeden Tag bereinigt. Die Benutzer können das Bereinigungsintervall nicht ändern.
Bei der Datenbank-Bereinigung werden Elemente unter Ereignisse, die mit den bereinigten Incident-Logs zusammenhängen, unabhängig vom Ereignisstatus ebenfalls gelöscht. Der Bereinigungszeitraum für Incident-Logs und Ereignisse ist standardmäßig auf sechs Monate festgelegt. Sie können das Intervall unter Mehr > Einstellungen ändern. |
API
•REST API – Aktivieren Sie den Schalter, um den REST Server zu aktivieren. Der REST Server wird lokal auf dem ESET PROTECT Server ausgeführt.
Der unter Linux laufende REST-Server benötigt die glibc Bibliotheksversion 2.32.0 und höher. Sie können die installierte glibc Version überprüfen, indem Sie diesen Terminal-Befehl ausführen: ldd --version. |
•Öffentlicher Port (Standard: 9443) – Der Port, der für REST API Clients geöffnet wird. Um den Port zu ändern, muss der ESET PROTECT Server neu gestartet werden.
•Interner Port (Standard: 2224) – Der interne Port des ESET PROTECT Servers für die Kommunikation mit der REST API Komponente, die den öffentlichen Port bereitstellt. Ändern Sie diesen Port nur, wenn dies für Ihre Netzwerkkonfiguration erforderlich ist. Um den Port zu ändern, muss der ESET PROTECT Server neu gestartet werden.
•Zertifikat Wählen Sie das Zertifikat aus, das für die Kommunikation zwischen dem REST API Client und dem REST Server verwendet wird. Sie können das Serverzertifikat auswählen, indem Sie auf Vorhandenes Zertifikat auswählen klicken. Wir empfehlen jedoch, ein dediziertes Zertifikat für den REST Server zu verwenden – klicken Sie auf Benutzerdefiniertes Zertifikat hochladen.
•Der REST Server akzeptiert kein SHA-1 Zertifikat. Stellen Sie sicher, dass die Aktivierung von erweiterte Sicherheit erfolgt ist und dass das Zertifikat SHA-256 unterstützt. •Für den ordnungsgemäßen Betrieb von API auf einem ESET PROTECT Server, der unter Linux läuft, muss das Feld Common Name/Host im Zertifikat den tatsächlichen Hostnamen ohne Platzhalterzeichen enthalten. •Starten Sie den ESET PROTECT Server Dienst neu, damit Änderungen am öffentlichen Port API, am internen Port oder am Zertifikat wirksam werden. |
•Swagger UI aktivieren –Die Aktivierung der integrierten Funktion Swagger UI ist unter https://localhost:9443/swagger verfügbar. Ersetzen Sie localhost bei Bedarf durch den Servernamen oder die IP-Adresse. Was ist Swagger UI? Die Swagger UI-Dateien befinden sich unter:
oWindows: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Data\swagger-ui
oLinux: /var/opt/eset/RemoteAdministrator/Server/swagger-ui
Zusätzliche Anforderungen an REST API •Weisen Sie den API Benutzern den API Berechtigungssatz zu. Das Administratorkonto kann die API nicht verwenden. •Öffnen Sie die Ports für die API in Ihrer lokalen Firewall. •Um den REST API nutzen zu können, muss das Peer-Zertifikat für den ESET PROTECT-Server (unabhängig davon, ob es als REST Serverzertifikat verwendet wird oder nicht) localhost im Feld AllgemeinerName/Host enthalten. Wenn das Peer-Zertifikat (Serverzertifikat) diese Anforderung nicht erfüllt, erstellen Sie ein neues Zertifikat und tauschen Sie das Serverzertifikat aus. |
Anpassen
Firmenlogo – Sie können ein benutzerdefiniertes Logo für die ESET PROTECT Web-Konsole und die mit Server-Tasks und E-Mail-Benachrichtigungen generierten Berichte hinzufügen.
|
Web-Konsole |
Berichte |
Benachrichtigungen |
|---|---|---|---|
Keine |
Einfaches Design, kein benutzerdefiniertes Logo. |
ESET PROTECT On-Prem-Logo am Rand der Fußzeile. |
ESET PROTECT On-Prem-Logo auf Rand der Kopfzeile |
Co-Branding |
Benutzerdefiniertes Logo für die Web-Konsole |
Ein benutzerdefiniertes Logo in der Fußzeile des Berichts – ESET PROTECT On-Prem-Logo und Ihr Logo. |
Ein benutzerdefiniertes Logo in der Kopfzeile der Benachrichtigung – ESET PROTECT On-Prem-Logo und Ihr Logo. |
White-Labeling (MSP-Lösungspaket benötigt) |
Benutzerdefiniertes Logo für die Web-Konsole |
Ein benutzerdefiniertes Logo in der Fußzeile des Berichts. Kein ESET PROTECT On-Prem Logo, nur Ihr Logo. |
Ein benutzerdefiniertes Logo in der Kopfzeile der Benachrichtigung. Daneben steht der Text Unterstützt von ESET PROTECT On-Prem. |
Wählen Sie eine der Optionen für ein individuelles Logo aus: > Klicken Sie auf Hochladen, um ein Firmenlogo auszuwählen:
•Dunkles Hintergrundlogo (Kopfzeile Web-Konsole) – Dieses Logo wird oben in der Web-Konsole angezeigt.
•Helles Hintergrundlogo – Dieses Logo wird in die Kopfzeile (für MSP Lösungspaketbesitzer) oder die Fußzeile (Co-Branding-Einstellung) der mit Server-Tasks generierten Berichte sowie in die Kopfzeile von E-Mail-Benachrichtigungen eingefügt.
Klicken Sie auf
, um das aktuelle Logo herunterzuladen. Klicken Sie auf
, um das aktuelle Logo zu entfernen.
Berichte und Benachrichtigungen
•Berichte anpassen – Aktivieren Sie diese Option, um das ausgewählte Logo in Berichten zu verwenden und/oder zu einem Fußzeilentext hinzuzufügen.
•Fußzeilentext für Berichte – Geben Sie den Text ein, den Sie unten in den Berichten im PDF-Format einfügen möchten.
Benutzerdefinierte Logos können nicht zusammen mit einem benutzerdefinierten Fußzeilentext verwendet werden. Das Logo und der Fußzeilentext stehen an derselben Position. Wenn das Logo und die Fußzeile gleichzeitig verwendet werden, ist nur das Logo sichtbar. Mit der Einstellung White-Labeling wird das benutzerdefinierte Logo oben im Bericht eingefügt. Unten wird anstelle des Fußzeilentexts ein kleineres Powered by ESET-Logo eingefügt. |
Badges: Deaktivieren Sie Badges im Hauptmenü für alle Benutzer aktivieren, um die Badges im Hauptmenü auszublenden.
Exportieren
Im Bereich Export können Sie die konfigurierten Syslog-Server anzeigen und bearbeiten.
Sie können bis zu fünf Syslog-Server konfigurieren. |
Syslog-Server hinzufügen –Sie können ESET PROTECT On-Prem so konfigurieren, dass Benachrichtigungen und Ereignismeldungen an Ihren Syslog-Server gesendet werden. Außerdem können Sie Logs aus der ESET-Anwendung auf einem Clientcomputer exportieren und an den Syslog-Server schicken.
Klicken Sie auf das Symbol mit den drei Punkten
neben dem konfigurierten Syslog-Server und wählen Sie Folgendes aus:
•
Bearbeiten—Bearbeiten Sie die Konfiguration des ausgewählten Syslog-Servers.
•
Löschen—Entfernen Sie die ausgewählte Syslog-Serverkonfiguration.