Параметры
В разделе Настройки можно настроить конкретные параметры сервера ESET PROTECT. Эти настройки похожи на политики, но они применяются непосредственно на ESET PROTECT Server.
Соединение
Перезапустите службу ESET PROTECT Server, чтобы изменения в разделе Подключение вступили в силу. |
Порт серверa – это порт для связи между сервером ESET PROTECT Server и агентами. Изменение порта может потребовать изменения настроек файервола. Значение по умолчанию — 2222.
Порт веб—консоли — порт для связи веб—консоли ESET PROTECT с сервером ESET PROTECT Server. Значение по умолчанию — 2223. При изменении порта может потребоваться изменение настроек файервола.
Повышенная безопасность – этот параметр обеспечивает повышенную безопасность сетевого подключения компонентов ESET PROTECT. Повышенная безопасность включена по умолчанию.
Сертификат — здесь можно управлять сертификатами сервера ESET PROTECT. Щелкните Выбрать существующий сертификат и выберите сертификат для сервера ESET PROTECT. Щелкните Выгрузить настраиваемый сертификат, чтобы выгрузить настраиваемый сертификат. Дополнительные сведения см. в главе Сертификаты узлов.
Обновления
Выберите интервал получения обновлений. Для выбора доступны следующие варианты:
•Обновлять сервер с регулярным интервалом — значение по умолчанию составляет шесть часов.
•Обновлять сервер с интервалом, указанным в CRON-выражении — настройте интервал обновления с помощью CRON-выражения.
Сервер обновлений – сервер обновлений, с которого ESET PROTECT Server получает обновления для версий приложений ESET и компонентов ESET PROTECT. Значение по умолчанию — AUTOSELECT. Чтобы обновить ESET PROTECT On-Prem 13.1 с зеркала (средство «Зеркало»), установите полный адрес папки обновления era6 (в соответствии с корневым расположением HTTP-сервера). Например, http://your_server_address/mirror/eset_upd/era6
Тип обновления — выберите тип обновлений модуля ESET PROTECT Server, которые вы хотите получать. Чтобы узнать текущую версию модулей ESET PROTECT Server, выберите Справка > О программе.
Регулярное обновление |
Обновления модулей ESET PROTECT Server будут автоматически загружаться с сервера ESET с наименьшим сетевым трафиком. Это настройка по умолчанию. |
Тестовое обновление |
Эти обновления прошли тщательное внутреннее тестирование и вскоре будут доступны широкой общественности. Преимущество их использования заключается в том, что у вас появляется доступ к последним обновлениям для модулей сервера ESET PROTECT. Обновления предварительной версии могут помочь решить определенные проблемы с сервером ESET PROTECT. Однако такие обновления могут работать нестабильно и не должны использоваться на производственных серверах, где необходимы максимальные показатели работоспособности и стабильности. Обновления предварительной версии доступны только в том случае, если для параметра Сервер обновлений задано значение АВТОВЫБОР. |
Дополнительно
Выгрузка помещенных на карантин файлов — укажите путь к каталогу (Путь для выгрузки) сервера ESET PROTECT, где будут сохранены экспортированные из карантина файлы. Убедитесь, что путь правилен и на сервере достаточно свободного места.
Прокси-сервер HTTP — чтобы повысить качество обмена интернет-трафиком в клиентах сети, используйте прокси-сервер.
•Укажите настройки прокси-сервера (хост, порт, имя пользователя и пароль). Поле Хост — это адрес компьютера, на котором запущен прокси-сервер HTTP.
•Если вы установили ESET PROTECT On-Prem с помощью комплексного установщика, прокси-сервер HTTP (ESET Bridge) установлен и включен по умолчанию.
•По умолчанию ESET Bridge использует порт 3128. При необходимости можно установить другой порт. Убедитесь, что в конфигурации прокси-сервера HTTP указан тот же порт (см. Политика ESET Bridge).
•Переключатель Использовать прямое подключение, если прокси-сервер HTTP недоступен предварительно выбран в качестве резервного варианта.
•Параметры прокси-сервера HTTP не применяются для связи с серверами двухфакторной аутентификации.
Сервер ESET PROTECT может выполнить мгновенную репликацию агента ESET Management на клиентском компьютере с помощью EPNS (Сигнал пробуждения). Это полезно, если нет времени ждать следующего запланированного подключения агента ESET Management к ESET PROTECT сервер. Например, если нужно незамедлительно запустить задачу на клиенте или применить политику.
Инициализация в сети – настройка адресов многозадачной рассылки применяется, если нужно отправить вызовы инициализации в сеть для одного или несколько IP—адресов.
SMTP—сервер – используйте SMTP—сервер, чтобы разрешить ESET PROTECT Server отправлять сообщения электронной почты (например, электронные уведомления или отчеты). Укажите данные SMTP-сервера.
Active Directory – позволяет предварительно задать параметры AD. По умолчанию ESET PROTECT On-Prem использует ваши учетные данные при выполнении задач по синхронизации Active Directory (синхронизация пользователей, синхронизация статических групп). Если связанные поля в конфигурации задачи оставлены пустыми, ESET PROTECT On-Prem использует заранее заданные учетные данные. Если у пользователя AD есть права только на чтение, ESET PROTECT On-Prem не вносит никаких изменений в структуру AD.
•Если сервер ESET PROTECT работает в ОС Linux (или на виртуальном устройстве), необходимо правильно настроить файл конфигурации Kerberos. Для Kerberos можно настроить синхронизацию с несколькими доменами. •Если сервер ESET PROTECT работает на компьютере Windows, который подключен к домену, необходимо только поле Хост. Все остальные действия по настройке Active Directory, которые описаны ниже, можно пропустить. Синхронизация между несколькими доменами возможна, если между доменами установлено доверие. |
•Хост –Введите имя сервера или IP-адрес контроллера домена.
•Имя пользователя –Введите имя пользователя для контроллера домена в следующем формате:
oDOMAIN\username (сервер ESET PROTECT запущен на компьютере под управлением Windows);
ousername@FULL.DOMAIN.NAME или username (сервер ESET PROTECT запущен на компьютере под управлением Linux).
Введите домен заглавными буквами для надлежащей аутентификации запросов к серверу Active Directory. |
•Пароль: введите пароль для входа на контроллер домена.
•Корневой контейнер – введите полный идентификатор контейнера AD, например – CN=John,CN=Users,DC=Corp. Он выступает в качестве заранее заданного различающегося имени. Для обеспечения точности скопируйте и вставьте значение из серверной задачи (выберите и скопируйте значение из поля Различающееся имя).
Сервер ESET PROTECT в Windows по умолчанию использует зашифрованный протокол LDAPS (LDAP поверх SSL) для всех соединений с Active Directory (AD). Вы также можете сконфигурировать LDAPS на виртуальном устройстве ESET PROTECT. Для успешного подключения к Active Directory по протоколу LDAPS необходимо выполнить перечисленные ниже действия по настройке. 1.На контроллере домена должен быть установлен сертификат компьютера. Чтобы выпустить сертификат для контроллера домена, выполните указанные ниже действия. a)Откройте Диспетчер сервера, последовательно выберите пункты Управление > Добавить роли и компоненты и установите центр сертификации служб сертификации Active Directory. В разделе Доверенные корневые центры сертификации будет создан новый центр сертификации. b)Щелкните уведомление (желтый треугольник) в диспетчере серверов и настройте службы сертификатов Active Directory на целевом сервере. В разделе Службы роли выберите Центр сертификации. Завершите настройку, щелкнув Далее. c)Щелкните Пуск, введите certlm.msc и нажмите клавишу ВВОД, чтобы запустить оснастку MMC Сертификаты, выберите Сертификаты — локальный компьютер > Личные, щелкните правой кнопкой мыши пустую панель и выберите Все задачи > Запросить новый сертификат > Зарегистрировать роль контроллера домена. d)Убедитесь, что выпущенный сертификат содержит FQDN контроллера домена. e)На сервере ESET PROTECT импортируйте созданный центр сертификации в хранилище сертификатов (с помощью средства certlm.msc) > Локальный компьютер > папка Доверенные корневые центры сертификации. f)Перезапустите компьютер с сервером ESET PROTECT. 2.При указании параметров подключения к серверу Active Directory введите FQDN контроллера домена (как оно указано в сертификате контроллера домена) в поле Сервер или Хост. IP-адрес более не является достаточным для LDAPS. Чтобы включить откат к протоколу LDAP, установите флажок Использовать LDAP вместо Active Directory в задаче Синхронизация статической группы или Синхронизация пользователя. |
Статические группы > Автоматически связывать найденные компьютеры — включение автоматического связывания найденных компьютеров с компьютерами, которые уже входят в статические группы. Связывание работает с именем хоста, полученным от агента ESET Management, и если ему нельзя доверять, следует отключить эту функцию. Если связывание завершается ошибкой, компьютер перемещается в группу Потерянные и найденные.
Репозиторий — расположение сервера репозитория, на котором хранятся все файлы установки.
•Для репозитория ESET по умолчанию задано значение АВТОМАТИЧЕСКИЙ ВЫБОР (оно ссылается на адрес http://repository.eset.com/v1). Этот вариант автоматически определяет сервер репозитория, связь с которым будет наилучшей, исходя из географического расположения (IP—адреса) сервера ESET PROTECT (за счет использования CDN – сети доставки содержимого). Таким образом, изменять настройки репозитория не требуется. •Как вариант, можно настроить репозиторий, который использует только серверы ESET: http://repositorynocdn.eset.com/v1 •Ни в коем случае не используйте IP-адрес для доступа к репозиторию ESET. •Можно создать и использовать автономный репозиторий. |
Участвовать в программе по улучшению продукта: включите или отключите отправку в ESET отчетов об аварийном завершении работы и анонимных данных телеметрии (тип и версия ОС, версия приложения ESET и другие данные о приложении).
Отслеживать детализацию журнала: вы можете настроить степень детализации, определяющую уровень информации, которая будет собираться и записываться в журнал. Доступны такие варианты: от варианта Трассировка (информативная) до варианта Неустранимая ошибка (важнейшая критическая информация).
Последние файлы журнала сервера ESET PROTECT находятся здесь:
•Windows: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs
•Linux: /var/log/eset/RemoteAdministrator/Server/
Вы можете настроить экспорт журналов в системный журнал.
Очистка базы данных – чтобы предотвратить перегрузку базы данных, этот параметр можно использовать для регулярной очистки журналов. Очистка базы данных удаляет журналы следующих типов: журналы SysInspector, журналы диагностики, журналы, которые больше не ведутся (журналы удаленных устройств и удаленных шаблонов отчетов). По умолчанию очистка базы данных выполняется каждую полночь. Изменения этого параметра вступают в силу после следующей очистки. Вы можете задать интервал очистки для каждого из следующих типов журналов:
Тип журнала |
Примеры типов журналов |
|---|---|
Журналы обнаружения |
• • • • • |
Журналы управления |
•Задачи •Триггеры •Экспортированная конфигурация •Регистрация |
Журналы аудита |
|
Журналы мониторинга |
•Контроль устройств •Контроль доступа в Интернет •Пользователи в системе |
Очистка журналов диагностики производится ежедневно. Пользователь не может изменить периодичность очистки.
Во время очистки базы данных будут также удалены элементы списка Обнаружения, которые соответствуют очищаемым журналам происшествий (вне зависимости от состояния обнаружения). По умолчанию периодичность очистки журналов происшествий (и обнаружений) составляет раз в 6 месяцев. Эту периодичность можно изменить в разделе Еще > Настройки. |
API
•REST API — включите переключатель, чтобы включить сервер REST. Сервер REST работает локально на сервере ESET PROTECT.
Для сервера REST, работающего в ОС Linux, требуется библиотека glibc версии 2.32.0 или более поздней. Установленную версию glibc можно проверить, выполнив следующую команду терминала: ldd --version. |
•Общедоступный порт (по умолчанию: 9443) — порт, открытый для клиентов REST API. Смена порта требует перезапуска сервера ESET PROTECT.
•Внутренний порт (по умолчанию: 2224) — порт, используемый сервером ESET PROTECT для связи с компонентом REST API, предоставляющим общедоступный порт. Меняйте этот порт, только если этого требует ваша сетевая конфигурация. Смена порта требует перезапуска сервера ESET PROTECT.
•Сертификат — выберите сертификат, используемый для обмена данными между клиентом REST API и сервером REST. Сертификат сервера можно выбрать, щелкнув Выбрать существующий сертификат. Однако для сервера REST мы рекомендуем использовать выделенный сертификат — щелкните Выгрузить настраиваемый сертификат.
•Сервер REST не принимает сертификат SHA-1. Убедитесь, что включена повышенная безопасность и сертификат поддерживает SHA-256. •Для правильной работы API в сервере ESET PROTECT, который функционирует в ОС Linux, поле Обычное имя/Хост в сертификате должно содержать фактическое имя хоста и не может содержать подстановочных знаков. •Перезапустите службу ESET PROTECT Server, чтобы вступило в силу изменение общедоступного порта, внутреннего порта или сертификата API. |
•Включить Swagger UI —Включенное встроенное средство Swagger UI доступно по адресу https://localhost:9443/swagger. При необходимости замените localhost именем сервера или IP-адресом. Что такое Swagger UI? Расположение файлов Swagger UI:
oWindows: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Data\swagger-ui
oLinux: /var/opt/eset/RemoteAdministrator/Server/swagger-ui
Дополнительные требования REST API •Назначьте пользователям API набор разрешений для API. Учетная запись администратора не может использовать API. •Обязательно откройте порты, используемые API, в локальном файерволе. •Чтобы использовать REST API, сертификат узла для сервера ESET PROTECT (независимо от того, используется ли он как сертификат сервера REST или нет) должен содержать строку localhost в поле Обычное имя/Хост. Если сертификат узла (сервера) не соответствует этому требованию, создайте новый сертификат и измените сертификат сервера. |
Настройка
Логотип компании – позволяет добавить настраиваемый логотип в веб—консоль ESET PROTECT, в отчеты, формируемые с помощью серверной задачи, и в уведомления, отправляемые по электронной почте.
|
Веб-консоль |
Отчеты |
Уведомления |
|---|---|---|---|
Нет |
Базовая структура, без настраиваемого логотипа |
Логотип ESET PROTECT On-Prem в боковой части нижнего колонтитула. |
Логотип ESET PROTECT On-Prem в боковой части верхнего колонтитула. |
Кобрендинг |
Настраиваемый логотип для веб-консоли |
Настраиваемый логотип в нижнем колонтитуле отчета – логотип ESET PROTECT On-Prem и ваш логотип. |
Настраиваемый логотип в верхнем колонтитуле уведомления – логотип ESET PROTECT On-Prem и ваш логотип. |
Стратегия «белых этикеток» (требуется подписка для MSP) |
Настраиваемый логотип для веб-консоли |
Настраиваемый логотип в нижнем колонтитуле отчета – логотип ESET PROTECT On-Prem отсутствует, есть только ваш логотип. |
Настраиваемый логотип в верхнем колонтитуле уведомления. Рядом с ним отображается надпись На основе ESET PROTECT On-Prem. |
Выберите один из вариантов пользовательского логотипа и щелкните Выгрузить, чтобы выбрать логотип компании:
•Логотип на темном фоне (верхний колонтитул веб—консоли) – этот логотип будет отображаться в верхнем углу веб—консоли.
•Логотип на светлом фоне – этот логотип будет отображаться в верхнем колонтитуле (для владельцев подписок MSP) или в нижнем колонтитуле (настройка кобрендинга) отчетов, формируемых с помощью серверной задачи, а также в верхнем колонтитуле уведомлений, отправляемых по электронной почте.
Щелкните
, чтобы загрузить текущий логотип. Щелкните
, чтобы удалить текущий логотип.
Отчеты и уведомления
•Настройка отчетов – Включите эту опцию, чтобы использовать выбранный логотип в отчетах или добавить текст нижнего колонтитула.
•Текст нижнего колонтитула – Введите текст, который будет добавлен в нижний угол отчетов, создаваемых в формате PDF.
Настраиваемый логотип нельзя использовать вместе с настраиваемым текстом нижнего колонтитула. Логотип расположен там же, где и текст нижнего колонтитула. Если логотип и нижний колонтитул используются одновременно, отображаться будет только логотип. При использовании настройки Стратегия «белых этикеток» настраиваемый логотип будет отображаться в верхнем углу отчета. Меньший логотип на основе ESET будет помещен в нижний угол вместо текста нижнего колонтитула. |
Значки — отключите переключатель Включить значки в главном меню для всех пользователей, чтобы скрыть значки в главном меню.
Экспорт
В разделе Экспорт можно просмотреть и изменить настроенные серверы системного журнала.
Можно настроить до пяти серверов системного журнала. |
Добавить сервер системного журнала —В ESET PROTECT On-Prem можно настроить отправку уведомлений и сообщений о событиях на сервер системного журнала. Кроме того, экспортировать журналы из приложения ESET, установленного на клиентском компьютере, и отправлять их на сервер системного журнала.
Щелкните значок с тремя точками
рядом с настроенным сервером системного журнала и выберите:
•
Изменить — изменение конфигурации выбранного сервера системного журнала.
•
Удалить — удаление конфигурации выбранного сервера системного журнала.