ESET PROTECT On-Prem – Spis treści

Ustawienia

W sekcji Ustawienia można skonfigurować określone ustawienia serwera ESET PROTECT. Ustawienia te są podobne do polityk, ale mają zastosowanie bezpośrednio do serwera ESET PROTECT.

Połączenie


WAŻNE

Zrestartuj usługę ESET PROTECT Server, aby zmiany w sekcji Połączenie weszły w życie.

Port serwera — ten port służy do nawiązywania połączenia między serwerem ESET PROTECT a agentami. Zmiana portu może wymagać zmiany ustawień zapory. Wartość domyślna to 2222.

Port konsoli internetowej — port obsługujący połączenie pomiędzy konsolą internetową ESET PROTECT a serwerem ESET PROTECT. Wartość domyślna to 2223. Jeśli zmienisz port, konieczna może być zmiana ustawień zapory.

Zaawansowane zabezpieczenia — to ustawienie włącza zaawansowane zabezpieczenia komunikacji sieciowej komponentów oprogramowania ESET PROTECT. Zaawansowane zabezpieczenia są włączone domyślnie.

Certyfikat — tutaj możesz zarządzać certyfikatami serwera ESET PROTECT. Kliknij Wybierz istniejący certyfikat i wybierz certyfikat serwera ESET PROTECT. Kliknij Prześlij niestandardowy certyfikat, aby przesłać niestandardowy certyfikat. Więcej informacji zawiera sekcja Certyfikaty równorzędne.

Aktualizacje

Wybierz interwał określający częstotliwość odbierania aktualizacji. Możesz wybrać:

Aktualizuj serwer w regularnych odstępach czasu — wartość domyślna to sześć godzin.

Aktualizuj serwer w odstępach czasowych określonych przez wyrażenie CRON — skonfiguruj interwał aktualizacji za pomocą wyrażenia CRON.

Serwer aktualizacji — serwer aktualizacji, z którego serwer ESET PROTECT pobiera aktualizacje wersji aplikacji ESET oraz komponentów oprogramowania ESET PROTECT. Wartość domyślna to AUTOSELECT. Na przykład w celu przeprowadzenia aktualizacji oprogramowania ESET PROTECT On-Prem 13.1 z kopii dystrybucyjnej (Narzędzie Mirror tool) należy ustawić pełny adres folderu aktualizacji era6 (zgodnie z lokalizacją serwera głównego HTTP). Na przykład: http://your_server_address/mirror/eset_upd/era6

Typ aktualizacji — tutaj można wybrać typ aktualizacji modułów serwera ESET PROTECT, które mają być pobierane. Aktualną wersję zainstalowanych modułów serwera ESET PROTECT można sprawdzić, klikając kolejno opcje Pomoc > Informacje.

Regularna aktualizacja

Aktualizacje modułów serwera ESET PROTECT będą automatycznie pobierane z serwera ESET przy w porze najmniejszego ruchu w sieci. Ustawienie domyślne.

Aktualizacja w wersji wstępnej

Aktualizacje tego rodzaju przeszły wewnętrzne testowanie i będą wkrótce publicznie dostępne. Włączenie aktualizacji w wersji wstępnej może być korzystne, ponieważ zapewnia dostęp do najnowszych aktualizacji modułów serwera ESET PROTECT. Aktualizacje w wersji wstępnej mogą pomóc rozwiązać konkretne problemy z serwerem ESET PROTECT. Mogą one jednak być niestabilne i nie należy ich stosować na serwerach produkcyjnych wymagających maksymalnego poziomu dostępności i stabilności. Aktualizacje w wersji wstępnej są dostępne tylko wtedy, kiedy w parametrze Aktualizuj serwer zdefiniowano wartość AUTOSELECT.

Zaawansowane

Przesyłanie plików poddanych kwarantannie — podaj ścieżkę do katalogu (Ścieżka zapisu pliku) serwera ESET PROTECT, gdzie zostaną zapisane wyeksportowane pliki poddane kwarantannie. Upewnij się, że ścieżka jest poprawna, a na serwerze dostępna jest wystarczająca ilość wolnego miejsca.

Serwer proxy HTTP — przy użyciu serwera proxy można zapewnić ruch internetowy klientom w sieci.

Określ ustawienia serwera proxy (Host, Port, Nazwa użytkownika i Hasło). Pole Host to adres komputera, na którym działa serwer proxy HTTP.

Jeśli program ESET PROTECT On-Prem został zainstalowany przy użyciu instalatora kompleksowego, serwer proxy HTTP (ESET Bridge) jest zainstalowany i domyślnie włączony.

ESET Bridge domyślnie używa portu 3128. W razie potrzeby można ustawić inny port. Ten sam port należy ustawić również w konfiguracji serwera proxy HTTP (patrz Polityka ESET Bridge).

Jako zabezpieczenie wybrano wstępnie opcję Użyj połączenia bezpośredniego, gdy serwer proxy HTTP jest niedostępny.

Ustawienia serwera proxy HTTP nie są stosowane w przypadku komunikacji z serwerami uwierzytelniania dwuskładnikowego.

Umożliwia serwerowi ESET PROTECT natychmiastową replikację agenta ESET Management na komputerze klienckim poprzez EPNS (Sygnał wznowienia). Jest to przydatne, jeśli użytkownik nie chce czekać na regularny interwał, gdy agent ESET Management nawiązuje połączenie z serwerem ESET PROTECT. Na przykład, gdy chce, by Zadanie zostało wykonane na klientach natychmiast, lub jeśli chce, by polityka została natychmiast wprowadzona.

Wake On LAN — trzeba skonfigurować Adresy multiemisji, jeśli chcesz przesyłać sygnały Wake On LAN do jednego lub więcej adresów IP.

Serwer SMTP — można używać serwera SMTP, aby umożliwić wysyłanie z serwera ESET PROTECT wiadomości e-mail (np. z powiadomieniami i raportami). Konieczne jest wprowadzenie danych serwera SMTP.

Active Directory — umożliwia wstępne zdefiniowanie ustawień usługi AD. ESET PROTECT On-Prem domyślnie wykorzysta Twoje poświadczenia w zadaniach synchronizacji z usługą Active Directory (synchronizacja użytkowników, synchronizacja grupy statycznej). Jeśli podczas konfiguracji zadania powiązane pola nie zostaną wypełnione, ESET PROTECT On-Prem wykorzysta wstępnie zdefiniowane poświadczenia. W przypadku użycia użytkownika usługi AD z uprawnieniem tylko do odczytu ESET PROTECT On-Prem nie wprowadzi żadnych zmian w strukturze usługi AD.


Uwaga

Jeśli serwer ESET PROTECT działa w systemie Linux (lub na urządzeniu wirtualnym), należy poprawnie skonfigurować plik konfiguracyjny Kerberos. Protokół Kerberos można skonfigurować w celu synchronizacji z wieloma domenami.

Jeśli serwer ESET PROTECT działa na komputerze z systemem Windows i jest podpięty do domeny, wymagane jest tylko pole Host. Wszystkie inne kroki konfiguracji usługi Active Directory poniżej możesz pominąć. Synchronizacja między wieloma domenami jest możliwa, jeśli domeny nawiązały relacje zaufania.

HostWpisz nazwę serwera lub adres IP kontrolera domeny.

Nazwa użytkownikaWprowadź nazwę użytkownika kontrolera domeny w następującym formacie:

oDOMAIN\username (Serwer ESET PROTECT z systemem Windows)

ousername@FULL.DOMAIN.NAME lub username (Serwer ESET PROTECT z systemem Linux).


WAŻNE

Wprowadź domenę z użyciem wielkich liter, co pozwoli na poprawne uwierzytelnianie zapytań do serwera Active Directory.

Hasło — wpisz hasło używane do logowania do kontrolera domeny.

Kontener główny — wprowadź pełny identyfikator kontenera AD, na przykład: CN=John,CN=Users,DC=Corp. Pełni funkcję wstępnie zdefiniowanej nazwy wyróżniającej. Aby zapewnić dokładność, zalecamy skopiowanie tej wartości z zadania serwera i wklejenie jej (skopiuj wartość z pola Nazwa wyróżniająca po jej wybraniu).


WAŻNE

Serwer ESET PROTECT w systemie Windows używa domyślnie szyfrowanego protokołu LDAPS (LDAP przez SSL) do wszystkich połączeń z usługą Active Directory (AD). Można również skonfigurować LDAPS na urządzeniu wirtualnym ESET PROTECT.

Aby zapewnić sprawne połączenie z usługą AD za pomocą protokołu LDAPS, należy dokonać następującej konfiguracji:

1.Kontroler domeny musi mieć zainstalowany certyfikat komputera. Aby wydać certyfikat dla kontrolera domeny, wykonaj poniższe czynności:

a)Otwórz Menedżer serwera, kliknij kolejno pozycje Zarządzaj > Dodaj role i funkcje, a następnie zainstaluj Usługi certyfikatów Active Directory > Urząd certyfikacji. Nowy urząd certyfikacji zostanie utworzony w zaufanych głównych urzędach certyfikacji.

b)Kliknij powiadomienie (żółty trójkąt) w Menedżerze serwera i wybierz polecenie Konfiguruj usługi certyfikatów w usłudze Active Directory na serwerze docelowym. W obszarze Usługi ról wybierz pozycję Urząd certyfikacji. Kliknij Dalej, aby zakończyć konfigurację.

c)Wybierz Start > wpisz certlm.msc i naciśnij Enter, aby uruchomić przystawkę Certyfikaty w programie Microsoft Management Console. Następnie wybierz pozycję Certyfikaty - komputer lokalny > Osobiste > kliknij puste okienko prawym przyciskiem myszy > Wszystkie zadania > Zażądaj nowego certyfikatu > rola Zarejestruj kontroler domeny.

d)Sprawdź, czy wystawiony certyfikat zawiera FQDN kontrolera domeny.

e)Na serwerze ESET PROTECT zaimportuj wygenerowany urząd certyfikacji do magazynu certyfikatów (za pomocą narzędzia certlm.msc) > Komputer > Lokalna maszyna, folder Zaufane główne urzędy certyfikacji użytkowników głównych.

f)Zrestartuj serwer ESET PROTECT.

2.Podczas podawania ustawień połączenia z serwerem usługi AD wpisz FQDN kontrolera domeny (podany w certyfikacie kontrolera domeny) w polu Serwer lub Host. Adres IP nie jest już wystarczający dla LDAPS.

Aby włączyć powrót do protokołu LDAP, zaznacz pole wyboru Użyj protokołu LDAP zamiast usługi Active Directory w zadaniu Synchronizacja grup statycznych lub Synchronizacja użytkowników.

Grupy statyczne > Automatycznie paruj znalezione komputery — włącz automatyczne parowanie znalezionych komputerów z komputerami już znajdującymi się w grupach statycznych. Parowanie wykorzystuje zgłoszoną nazwę hosta od agenta ESET Management, a jeśli nie jest godna zaufania, należy ją wyłączyć. Jeśli parowanie się nie powiodło, komputer przechodzi do grupy Zgubione i znalezione.

Repozytorium — lokalizacja serwera repozytorium, na którym przechowywane są pliki instalacyjne.


WAŻNE

Ustawienie domyślne repozytorium ESET to AUTOSELECT (prowadzi do adresu: http://repository.eset.com/v1). Funkcja automatycznie określa serwer repozytorium z najlepszym połączeniem na podstawie lokalizacji geograficznej (adresu IP) serwera ESET PROTECT (poprzez wykorzystanie CDN — Content Delivery Network, sieć dostarczania treści). Zmiana ustawień repozytorium nie jest zatem konieczna.

Możesz także ustawić repozytorium korzystające wyłącznie z serwerów ESET: http://repositorynocdn.eset.com/v1

W celu uzyskania dostępu do repozytorium ESET nie należy korzystać z adresu IP.

Możesz utworzyć repozytorium offline i korzystać z niego.

Weź udział w programie udoskonalania aplikacji — włącz lub wyłącz przesyłanie raportów o awariach i anonimowych danych telemetrycznych do firmy ESET (wersja i typ systemu operacyjnego, wersja aplikacji ESET i inne informacje specyficzne dla aplikacji).

Szczegółowość dziennika śledzenia — istnieje możliwość skonfigurowania szczegółowości dziennika i wybrania poziomu informacji gromadzonych i zapisywanych w dzienniku — od poziomu Śledzenie (informacyjne) do poziomu Krytyczny (najważniejsze informacje o decydującym znaczeniu).

Najnowsze pliki dziennika serwera ESET PROTECT znajdują się tutaj:

System Windows: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs

System Linux: /var/log/eset/RemoteAdministrator/Server/

Możesz skonfigurować eksport dzienników do serwera Syslog.

Czyszczenie bazy danych — tej opcji można używać do regularnego usuwania dzienników, co zapobiega przeciążaniu bazy danych. Czyszczenie bazy danych powoduje usunięcie następujących typów dzienników: dzienników aplikacji SysInspector, dzienników diagnostycznych i dzienników, które nie są już gromadzone (dzienników z usuniętych urządzeń i z usuniętych szablonów raportów). Proces czyszczenia bazy danych jest domyślnie uruchamiany codziennie o północy. Zmiany tego ustawienia zostaną zastosowane po następnym czyszczeniu. Można ustawić interwał czyszczenia dla następujących typów dzienników:

Typ dziennika

Przykład typu dziennika

Dzienniki wykryć

Wykrycia antywirusoweAntivirus

Zablokowane pliki Zablokowane pliki

ESET Inspect alerty: ESET Inspect Alerty

Wykrycia zapory Firewall

Wykrywanie HIPS SYSTEM HIPS

Wykrycia w ochronie sieci Ochrona WWW (filtrowane strony internetowe)

Dzienniki zarządzania

Zadania

Elementy wyzwalające

Wyeksportowana konfiguracja

Rejestracja

Dzienniki audytów

Dziennik audytu i raport dziennika inspekcji.

Dzienniki monitorowania

Kontrola dostępu do urządzeń

Kontrola dostępu do stron internetowych

Zalogowani użytkownicy

Dzienniki diagnostyczne są czyszczone każdego dnia. Użytkownik nie może zmienić częstotliwości czyszczenia.


WAŻNE

Podczas czyszczenia bazy danych elementy w obszarze Wykrycia odpowiadające wyczyszczonym dziennikom incydentów również zostaną usunięte (niezależnie od stanu). Domyślny okres czyszczenia dzienników incydentów (oraz wykryć) to 6 miesięcy. Interwał można zmienić w menu Więcej > Ustawienia.

API

REST API — włącz przełącznik, aby włączyć serwer REST. Serwer REST działa lokalnie na serwerze ESET PROTECT.


WAŻNE

Serwer REST działający w systemie Linux wymaga biblioteki glibc w wersji 2.32.0 lub nowszej. Aby zweryfikować zainstalowaną wersję glibc, uruchom to polecenie w terminalu: ldd --version.

Port publiczny (domyślny: 9443) — port otwierany dla klientów REST API. Zmiana portu wymaga restartu serwera ESET PROTECT.

Port wewnętrzny (domyślnie: 2224) — port używany wewnętrznie przez serwer ESET PROTECT do komunikacji z komponentem REST API dostarczającym port publiczny. Zmień ten port tylko wtedy, gdy wymaga tego konfiguracja sieci. Zmiana portu wymaga restartu serwera ESET PROTECT.

Certyfikat — wybierz certyfikat używany do komunikacji między klientem REST API klientem a serwerem REST. Aby wybrać certyfikat serwera, kliknij Wybierz istniejący certyfikat. Zalecamy jednak użycie dedykowanego certyfikatu dla serwera REST — kliknij Prześlij certyfikat niestandardowy.


WAŻNE

Serwer REST nie akceptuje certyfikatu SHA-1. Upewnij się, że włączono zaawansowane zabezpieczenia, a certyfikat obsługuje algorytm SHA-256.

Aby narzędzie API działało poprawnie na serwerze ESET PROTECT działającym w systemie Linux, pole Wspólna nazwa/host w certyfikacie musi zawierać rzeczywistą nazwę hosta i nie może używać symbolu wieloznaczności.

Uruchom ponownie usługę ESET PROTECT Server, aby wprowadzić zmiany w porcie publicznym, porcie wewnętrznym lub certyfikacie interfejsu API.

Włącz usługę Swagger UI –Włączony wbudowany Swagger UI jest dostępny pod adresem https://localhost:9443/swagger. W razie potrzeby zastąp wartość localhost nazwą serwera lub adresem IP. Czym jest Swagger UI? Pliki Swagger UI znajdują się w:

oSystem Windows: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Data\swagger-ui

oSystem Linux: /var/opt/eset/RemoteAdministrator/Server/swagger-ui


WAŻNE

Dodatkowe wymagania interfejsu REST API

Przypisz użytkownikom API zestaw uprawnień do API. Konto administratora nie może używać API.

Pamiętaj, aby otworzyć porty API w swojej lokalnej zaporze.

Aby korzystać z interfejsu REST API, certyfikat równorzędny serwera ESET PROTECT (niezależnie od tego, czy jest on używany jako serwer REST) musi zawierać ciąg localhost w polu Common name/Host. Jeśli certyfikat równorzędny (serwera) nie spełnia tego wymogu, utwórz nowy certyfikat i zmień certyfikat serwera.

Personalizacja

Logo firmy — możesz dodać niestandardowe logo do konsoli internetowej ESET PROTECT, raportów generowanych za pomocą Zadania serwerowego i powiadomień e-mail.

 

Konsola internetowa

Raporty

Powiadomienia

Brak

Wygląd podstawowy, bez niestandardowego logo

Logo ESET PROTECT On-Prem w bocznej części stopki.

Logo ESET PROTECT On-Prem w bocznej części nagłówka.

Co-branding

Niestandardowe logo dla konsoli internetowej

Niestandardowe logo w stopce raportu — logo ESET PROTECT On-Prem i Twoje logo.

Niestandardowe logo w nagłówku powiadomienia — logo ESET PROTECT On-Prem i Twoje logo.

Oznaczanie białą etykietą (wymaga subskrypcji MSP)

Niestandardowe logo dla konsoli internetowej

Niestandardowe logo w stopce raportu — bez logo ESET PROTECT On-Prem, tylko Twoje logo.

Niestandardowe logo w nagłówku powiadomienia. Obok znajduje się logo Powered by ESET PROTECT On-Prem.

Wybierz jedną z opcji niestandardowego logo > kliknij Prześlij, aby wybrać logo firmy:

Logo na ciemnym tle — to logo będzie wyświetlane w górnym rogu konsoli internetowej.

Logo z jasnym tłem — logo to będzie wyświetlane w nagłówku (dla właścicieli subskrypcji MSP) lub stopce (ustawienie co-brandingu) raportów generowanych za pomocą zadania serwera oraz w nagłówku powiadomień e-mailowych.

Kliknij Pobieranie, aby pobrać aktualne logo. Kliknij Usuń, aby usunąć obecne logo.

Raporty i powiadomienia

Dostosuj raporty — należy włączyć tę opcję, aby używać wybranego logo w raportach i/lub w celu dodania tekstu stopki.

Tekst stopki raportu — należy wpisać tekst, który będzie umieszczany w dolnym rogu raportów generowanych w formacie PDF.


WAŻNE

Nie można jednocześnie używać niestandardowego logo z niestandardowym tekstem w stopce. Logo jest umieszczane w tym samym miejscu co tekst stopki. Jeśli logo i stopka są używane jednocześnie, widoczne będzie tylko logo. W przypadku użycia ustawienia Oznaczanie białą etykietą niestandardowe logo zostanie umieszczone w górnym rogu raportu, a zamiast tekstu stopki w dolnym rogu zostanie umieszczone mniejsze logo obsługiwane przez rozwiązanie ESET.

Odznaki — wyłącz opcję Włącz odznaki w menu głównym dla wszystkich użytkowników, aby ukryć odznaki w menu głównym.

Eksportuj

W sekcji Eksport możesz zobaczyć i edytować skonfigurowane serwery Syslog.


Uwaga

Możesz skonfigurować maksymalnie pięć serwerów Syslog.

Dodaj serwer programu Syslog –Możesz skonfigurować program ESET PROTECT On-Prem, by wysyłał powiadomienia oraz komunikaty o zdarzeniach do serwera programu Syslog. Również eksportować dzienniki z zainstalowanej na komputerze klienckim aplikacji firmy ESET i wysyłać je do serwera programu Syslog.

Kliknij ikonę trzech kropekWięcejobok skonfigurowanego serwera Syslog i wybierz:

Edytuj. Edytuj — wprowadź zmiany w konfiguracji wybranego serwera Syslog.

Usuń. Usuń — usuń konfigurację wybranego serwera Syslog.