设置
在设置部分,您可以为 ESET PROTECT 服务器配置特定设置。这些设置与策略相似,但是它们直接应用在 ESET PROTECT 服务器上。
连接
重新启动 ESET PROTECT Server 服务,使连接部分中的更改生效。 |
服务器端口 - 这是 ESET PROTECT 服务器和服务器代理之间的连接端口。更改端口可能需要更改防火墙设置。默认值为 2222。
Web 控制台端口 - ESET PROTECT Web 控制台和 ESET PROTECT 服务器之间的连接端口。默认值为 2223。如果更改端口,可能需要更改防火墙设置。
高级安全性 - 此设置会启用 ESET PROTECT 组件的网络通信的高级安全性。默认情况下,高级安全性处于启用状态。
证书 - 可以在此处管理 ESET PROTECT 服务器证书。单击选择现有证书,然后选择 ESET PROTECT 服务器的证书。单击上传自定义证书以上传自定义证书。有关详细信息,请参阅对等证书。
更新
选择接收更新的间隔。您可以选择:
•定期更新服务器 - 默认值为 6 小时。
•按 CRON 表达式指定的间隔更新服务器 - 使用 CRON 表达式配置更新间隔。
更新服务器 - 更新 ESET PROTECT 服务器通过其接收 ESET 应用程序各版本和 ESET PROTECT 组件更新的服务器。默认值为 AUTOSELECT。例如,要从镜像(镜像工具)更新 ESET PROTECT On-Prem 13.1,请设置 era6 更新文件夹的完整地址(根据 HTTP 服务器根位置)。例如:http://your_server_address/mirror/eset_upd/era6
更新类型 - 选择想要接收的 ESET PROTECT 服务器模块更新的类型。您可以在帮助 > 关于中找到已安装的 ESET PROTECT 服务器模块的当前版本。
常规更新 |
ESET PROTECT 服务器模块更新将使用最少的网络流量自动从 ESET 服务器下载。默认设置。 |
预发布更新 |
这些更新已经通过了全面的内部测试,并将很快提供给公众。您可以通过获得 ESET PROTECT 服务器模块的最新更新,从启用预发布更新中获益。预发布更新可能有助于解决 ESET PROTECT 服务器的特定问题。但是,预发布更新可能不稳定,不应在需要最大可用性和稳定性的生产服务器上使用。仅当在更新服务器参数中定义了 AUTOSELECT 时,预发布更新才可用。 |
高级
隔离文件上传 - 提供将保存导出的隔离文件的 ESET PROTECT 服务器目录(上传路径)的路径。请确保路径有效且服务器上有足够的可用空间。
HTTP 代理 - 使用代理服务器促进网络上的客户端的 Internet 通信。
•指定代理设置(主机、端口、用户名和密码)。 主机字段是运行 HTTP 代理的计算机的地址。
•如果您使用一体式安装程序安装 ESET PROTECT On-Prem,默认情况下将安装并启用 HTTP 代理(ESET Bridge)。
•ESET Bridge 默认使用端口 3128。可以设置其他端口(如果需要)。确保在 HTTP 代理配置中也设置相同的端口(参阅 ESET Bridge 策略)。
•如果 HTTP 代理不可用,请使用直接连接开关已预先选中,作为回退。
•HTTP 代理设置不适用于与双重身份验证服务器的通信。
ESET PROTECT 服务器可以通过 EPNS (唤醒呼叫) 在客户端计算机上运行 ESET Management 服务器代理的即时复制。当 ESET Management 服务器代理连接到 ESET PROTECT服务器 时,如果您不想等待常规间隔,这将非常有用。例如,在您希望任务立即在客户端上运行,或者希望立即应用策略时。
LAN 唤醒 - 如果您要将 LAN 唤醒呼叫发送到一个或多个 IP 地址,请设置多播地址。
SMTP 服务器 - 使用 SMTP 服务器来让 ESET PROTECT 服务器发送电子邮件(例如电子邮件通知或报告)。指定 SMTP 服务器的详细信息。
Active Directory - 可以预设您的 AD 设置。ESET PROTECT On-Prem 默认将您的凭据用于 Active Directory 同步任务(用户同步、静态组同步)。如果相关字段在任务配置中留空,则 ESET PROTECT On-Prem 使用预设凭据。使用只读 AD 用户,ESET PROTECT On-Prem 不会对 AD 结构进行任何更改。
•如果在 Linux(或虚拟设备)上运行 ESET PROTECT 服务器,则需要正确设置 Kerberos 配置文件。可以将 Kerberos 设置为与多个域同步。 •如果 ESET PROTECT 服务器在连接到域的 Windows 计算机上运行,则只需要主机字段。 您可以跳过下面所有其他 Active Directory 配置步骤。如果域建立了信任,则可以在更多域之间进行同步。 |
•主机 -键入域控制器的服务器名称或 IP 地址。
•用户名 –采用以下格式键入域控制器的用户名:
oDOMAIN\username(在 Windows 上运行的 ESET PROTECT 服务器)
ousername@FULL.DOMAIN.NAME 或 username(在 Linux 上运行的 ESET PROTECT 服务器)。
以大写字母输入域,这样才能对 Active Directory 服务器的查询进行正确的身份验证。 |
•密码 - 键入用于登录到域控制器的密码。
•根容器 - 输入 AD 容器的的完整标识符,例如:CN=John,CN=Users,DC=Corp。它用作预设的可分辨名称。从服务器任务中复制并粘贴该值,以确保准确性(从选中的可分辨名称字段中复制该值)。
Windows 上的 ESET PROTECT 服务器将加密的 LDAPS(通过 SSL 的 LDAP)协议用于所有 Active Directory (AD) 连接。还可以在 ESET PROTECT 虚拟设备上配置 LDAPS。 若要通过 LDAPS 成功连接 AD,请配置以下内容: 1.域控制器必须已安装计算机证书。若要为您的域控制器颁发证书,请遵循以下步骤: a)打开服务器管理器,单击管理 > 添加角色和功能,然后安装 Active Directory 证书服务 > 证书颁发机构。将在受信任的根证书颁发机构中创建新的证书颁发机构。 b)单击服务器管理器中的通知(黄色三角形),然后在目标服务器上配置 Active Directory 证书服务。在角色服务中,选择证书颁发机构。单击下一步完成配置。 c)导航到开始 > 键入 certlm.msc 并按 Enter 键以运行证书 Microsoft 管理控制台控制单元 > 证书 - 本地计算机 > 个人 > 右键单击空窗格 > 所有任务 > 请求新证书 > 注册域控制器角色。 d)验证颁发的证书是否包含域控制器的 FQDN。 e)在 ESET PROTECT 服务器上,将生成的 CA 导入到证书存储(使用 certlm.msc 工具)> 本地计算机 > 受信任的根证书颁发机构文件夹。 f)重新启动 ESET PROTECT 服务器计算机。 2.向 AD 服务器提供连接设置时,请在服务器或主机字段中键入域控制器的 FQDN(在域控制器证书中提供)。对于 LDAPS,IP 地址不再足够。 要启用回退到 LDAP 协议,请选中静态组同步或用户同步任务中的使用 LDAP 而不是 Active Directory 复选框。 |
静态组 > 自动配对找到的计算机 - 对已经在静态组中的计算机启用自动配对找到的计算机。配对使用 ESET Management 服务器代理报告的主机名,如果它不受信任,则应将其禁用。如果配对失败,计算机将移至已丢失和已找到组。
•默认的 ESET 存储库设置为自动选择(它指向:http://repository.eset.com/v1)。它自动根据 ESET PROTECT 服务器的地理位置(IP 地址)(通过使用 CDN - 内容分发网络)确定连接最佳的存储库服务器。因此,您无需更改存储库设置。 •(可选)可以设置仅使用 ESET 服务器的存储库:http://repositorynocdn.eset.com/v1 •切勿使用 IP 地址访问 ESET 存储库。 •可以创建和使用脱机存储库。 |
参与产品改进计划 - 启用或禁用将崩溃报告和匿名遥测数据提交给 ESET(操作系统版本和类型、ESET 应用程序版本和其他特定于应用程序的信息)。
跟踪日志级别 - 设置日志级别以确定将收集和记录的信息的级别:从跟踪(信息性)到致命(最重要的关键信息)。
可以在此处找到最新的 ESET PROTECT 服务器日志文件:
•Windows:C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs
•Linux:/var/log/eset/RemoteAdministrator/Server/
可以设置将日志导出到系统日志。
数据库清理 – 若要阻止数据库过载,可以使用此选项定期清理日志。数据库清理会删除这些类型的日志:SysInspector 日志、不再收集的日志(已删除设备中的日志、已删除报告模板中的日志)。默认情况下,数据库清理过程在每晚午夜时运行。对此设置的更改将在下一次清理之后生效。您可以为以下每种类型的日志设置清理间隔:
日志类型 |
日志类型示例 |
|---|---|
检测日志 |
• • • • • • |
管理日志 |
•任务 •触发器 •导出的配置 •注册 |
审核日志 |
|
监控日志 |
•设备控制 •Web 控制 •登录用户 |
每天清理诊断日志。用户无法更改清理间隔。
API
•REST API - 打开开关以启用 REST 服务器。 REST 服务器在 ESET PROTECT 服务器上本地运行。
在 Linux 上运行 REST 服务器需要 glibc 库版本 2.32.0 及更高版本。您可以通过运行以下终端命令来验证已安装的 glibc 版本:ldd --version。 |
•公共端口(默认:9443)- 对 REST API 客户端开放的端口。 更改端口需要重启 ESET PROTECT 服务器。
•内部端口(默认:2224)- 供 ESET PROTECT 服务器内部使用的端口,用于与提供公共端口的 REST API 组件进行通信。请仅在网络配置需要时才更改此端口。 更改端口需要重启 ESET PROTECT 服务器。
•证书 - 选择用于 REST API 客户端和 REST 服务器之间通信的证书。您可以通过单击选择现有证书来选择服务器证书。但是,我们建议对 REST 服务器使用专用证书 - 单击上传自定义证书。
•REST 服务器不接受 SHA-1 证书。确保已启用高级安全性,并且证书支持 SHA-256。 •为了在 Linux 上运行的 ESET PROTECT 服务器上正常运行 API,证书中的常用名/主机字段必须包含实际主机名,并且不能使用通配符。 •重新启动 ESET PROTECT Server 服务,使 API 公共端口、内部端口或证书中的更改生效。 |
•启用 Swagger UI -可在 https://localhost:9443/swagger 访问已启用的内置 Swagger UI。如果需要,请将 localhost 替换为服务器名称或 IP 地址。 Swagger UI 是什么?Swagger UI 文件位于:
oWindows:C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Data\swagger-ui
oLinux:/var/opt/eset/RemoteAdministrator/Server/swagger-ui
其他 REST API 要求 •为 API 用户分配 API 权限集。 管理员帐户无法使用 API。 •确保打开本地防火墙中的 API 端口。 •要使用 REST API,ESET PROTECT 服务器的对等证书(无论是否用作 REST 服务器证书)的常用名/主机字段中必须包含 localhost。如果对等(服务器)证书不满足此要求,请创建新证书并更改服务器证书。 |
自定义
公司徽标 - 可以将自定义徽标添加到 ESET PROTECT Web 控制台、通过服务器任务生成的报告和电子邮件通知。
|
Web 控制台 |
报告 |
通知 |
|---|---|---|---|
无 |
基本设计,无自定义徽标 |
ESET PROTECT On-Prem 徽标位于页脚一侧。 |
ESET PROTECT On-Prem 徽标位于页眉一侧。 |
合作品牌 |
Web 控制台的自定义徽标 |
报告页脚中的自定义徽标 - ESET PROTECT On-Prem 徽标和您的徽标。 |
通知页眉中的自定义徽标 - ESET PROTECT On-Prem 徽标和您的徽标。 |
贴牌(需要 MSP 订阅) |
Web 控制台的自定义徽标 |
报告页脚中的自定义徽标 - 无 ESET PROTECT On-Prem 徽标,仅您的徽标。 |
通知页眉中的自定义徽标。其旁边是提供支持者 ESET PROTECT On-Prem。 |
选择其中一个自定义徽标选项 > 单击上传以选择公司徽标:
•深色背景徽标(Web 控制台标题)- 此徽标将显示在 Web 控制台的上角。
•浅色背景徽标 - 此徽标将显示在通过服务器任务生成的报告的页眉(适用于 MSP 订阅所有者)或页脚(合作品牌设置)中以及电子邮件通知的标头中。
单击
可下载当前徽标。单击
可删除当前徽标。
报告和通知
•自定义报告 - 启用此选项可在报告中使用所选徽标和/或添加页脚文本。
•报告页脚文本 - 键入将添加到以 PDF 格式生成的报告下角的文本。
自定义徽标不能与自定义页脚文本一起使用。徽标与页脚文本的位置相同。如果同时使用徽标和页脚,则只有徽标可见。使用贴牌设置时,自定义徽标将显示在报告的上角;下角将显示较小的由 ESET 提供支持徽标,而不是页脚文本。 |
徽章 - 禁用在主菜单中为所有用户启用徽章开关,以在主菜单中隐藏徽章。
导出
在导出部分,您可以查看和编辑已配置的系统日志服务器。
最多可以配置五个系统日志服务器。 |
添加系统日志服务器 -您可以将 ESET PROTECT On-Prem 配置为将通知和事件消息发送到您的系统日志服务器。还可以从客户端计算机的 ESET 应用程序导出日志并将其发送到系统日志服务器。
单击已配置的系统日志服务器旁边的三点
图标,然后选择:
•
编辑 - 编辑选定的系统日志服务器配置。
•
删除 - 删除选定的系统日志服务器配置。