ESET
REMOTE
ADMINISTRATOR 6
Administrationshandbuch
Klicken Sie hier, um die neueste Version dieses Dokuments zu öffnen.
ESET REMOTE ADMINISTRATOR 6
Copyright
2016 von ESET, spol. s r.o.
ESET Remote Admi ni s tra tor 6 wurde entwi ckel t von ESET, s pol . s r.o.
Nä here Informa ti onen fi nden Si e unter www.es et.de.
Al l e Rechte vorbeha l ten. Kei n Tei l di es er Dokumenta ti on da rf ohne s chri ftl i che
Ei nwi l l i gung des Verfa s s ers reproduzi ert, i n ei nem Abrufs ys tem ges pei chert oder i n
i rgendei ner Form oder a uf i rgendei ne Wei s e wei tergegeben werden, s ei es
el ektroni s ch, mecha ni s ch, durch Fotokopi en, Aufnehmen, Sca nnen oder a uf a ndere
Art.
ESET, s pol . s r.o. behä l t s i ch da s Recht vor, ohne vorheri ge Ankündi gung a n jedem der
hi er bes chri ebenen Softwa re-Produkte Änderungen vorzunehmen.
Support: www.es et.com/s upport
Vers i ons s ta nd
19/07/2016
Inhalt
........................................................................62
für Agenten erstellen
5.5.2.1.2 Live-Installationsprogramm
1. Vorwort
.......................................................6
den Agenten von der ESET-Website herunter
5.5.2.1.3 Laden Sie........................................................................64
1.1 Über
....................................................................................................6
die Hilfe
........................................................................65
des Agenten
5.5.2.1.3.1 Lokale Bereitstellung
1.1.1
Offlinehilfe
..............................................................................7
1.2 Unterstützte Webbrowser und
....................................................................................................9
ESET-Sicherheitsprodukte
1.3 Legende
....................................................................................................10
der Symbole
5.5.2.2
Remotebereitstellung
..................................................................................68
........................................................................68
mithilfe von GPO und SCCM
5.5.2.2.1 Agenten-Bereitstellung
........................................................................69
– GPO
5.5.2.2.1.1 Bereitstellungsschritte
........................................................................74
– SCCM
5.5.2.2.1.2 Bereitstellungsschritte
........................................................................91
Agenten-Bereitstellung
5.5.2.2.2 Servertask
2. Einführung
.......................................................13
zu ESET Remote Administrator
3. Erste Schritte mit der ESET Remote
.......................................................14
Administrator-Web-Konsole
3.1 Öffnen
....................................................................................................14
der ERA Web-Konsole
5.5.2.3
ERA
..................................................................................93
Agent: Einstellungen
5.5.2.3.1 Erstellen einer Policy für das Verbindungsintervall des
ERA Agenten
........................................................................94
5.5.2.3.2 Erstellen einer Policy für die Verbindung zwischen ERA
Agent und
........................................................................97
ERA Server
5.5.2.3.3 Erstellen einer Policy zur Aktivierung des ERA
Agent-Passwortschutzes
........................................................................99
3.2 Der
....................................................................................................15
Startassistent
5.5.2.4
Agenten-Schutz
..................................................................................100
5.5.3
Fehlerbehebung
..............................................................................101
– Agenten-Verbindung
4. Arbeiten
.......................................................20
mit der ERA-Web-Konsole
5.5.4
Fehlerbehebung
..............................................................................101
– Agenten-Bereitstellung
4.1 Anmeldebildschirm
....................................................................................................21
3.3 ERA-Web-Konsole
....................................................................................................17
5.5.5
Produktinstallation
..............................................................................104
Problembehandlung
..............................................................................22
- Web-Konsole
5.5.5.1
Produktinstallation
..................................................................................106
(Befehlszeile)
4.2 Dashboard
....................................................................................................23
5.5.5.2
Liste
..................................................................................108
der Probleme bei Installationsfehlern
5.5.6
Desktopbereitstellung
..............................................................................108
4.1.1
4.2.1
Benutzereinstellungen
..............................................................................24
4.2.2
Dashboard-Einstellungen
..............................................................................25
4.2.3
Detailinformationen
..............................................................................26
4.2.4
Bericht-Template
..............................................................................28
bearbeiten
5.6 Weitere
....................................................................................................108
Einstellungen
6. Mobilgeräte-Verwaltung
.......................................................109
4.3 Computer
....................................................................................................31 6.1 Geräteregistrierung und
....................................................................................................110
MDC-Kommunikation
Computerdetails
..............................................................................33
4.3.1
4.3.2
CSV importieren
..............................................................................35
4.4 Bedrohungen
....................................................................................................36
4.5 Berichte
....................................................................................................37
4.5.1
Erstellen
..............................................................................39
eines neuen Bericht-Templates
4.5.2
Bericht
..............................................................................41
generieren
4.5.3
Planen
..............................................................................41
eines Berichts
4.5.4
Veraltete
..............................................................................42
Anwendungen
4.5.5
SysInspector-Loganzeige
..............................................................................42
5. ESET Remote
.......................................................44
Administrator-Ausgangskonfiguration
6.2 Geräteregistrierung
....................................................................................................111
6.2.1
Registrierung
..............................................................................112
per E-Mail
6.2.2
Individuelle
..............................................................................114
Registrierung per Link oder QR-Code
6.2.3
Geräteregistrierung
..............................................................................115
Android
6.2.4
Geräteregistrierung
..............................................................................124
iOS
6.3 Erstellen einer Policy für iOS MDM Exchange
....................................................................................................128
ActiveSync-Konto
6.4 Erstellen einer Policy für MDC zur
Aktivierung von APNS für die
iOS-Registrierung
....................................................................................................131
6.5 Erstellen einer Policy für
Einschränkungen unter iOS und
....................................................................................................133
Hinzufügen
einer WLAN-Verbindung
5.1 Statusübersicht
....................................................................................................44
5.2 Neuer
....................................................................................................45
Systembenutzer
5.3 Zertifikate
....................................................................................................46
6.5.1
MDM-Konfigurationsprofile
..............................................................................135
7. Admin
.......................................................137
5.4 Lizenzen
....................................................................................................46 7.1 Gruppen
....................................................................................................137
Neue
..............................................................................139
statische Gruppe erstellen
5.5 Bereitstellung
....................................................................................................50
7.1.1
5.5.1
Hinzufügen
..............................................................................50
eines Clientcomputers zur ERA-Struktur
7.1.2
Erstellen
..............................................................................141
einer neuen dynamischen Gruppe
5.5.1.1
Active
..................................................................................51
Directory-Synchronisierung
7.1.3
Zuweisen
..............................................................................142
eines Task zu einer Gruppe
5.5.1.2
Rogue
..................................................................................52
Detection Sensor
7.1.4
Zuweisen
..............................................................................143
einer Policy zu einer Gruppe
5.5.1.3
Hinzufügen
..................................................................................53
von Computern
7.1.5
Statische
..............................................................................144
Gruppen
5.5.2
Bereitstellung
..............................................................................56
des Agenten
7.1.5.1
Assistent
..................................................................................145
für statische Gruppen
5.5.2.1
Lokale
..................................................................................56
Bereitstellung
7.1.5.2
Verwalten
..................................................................................146
statischer Gruppen
5.5.2.1.1
All-in-one-Agent-Installationsprogramm
........................................................................57
erstellen
7.1.5.3
Verschieben
..................................................................................147
einer statischen Gruppe
7.1.5.4
Importieren
..................................................................................148
von Clients aus Active Directory
7.1.5.5
Exportieren
..................................................................................149
statischer Gruppen
5.5.2.1.1.1 Setup-Assistent für
All-in-one-Agent-Installationsprogramm
........................................................................58
7.1.5.6
Importieren
..................................................................................150
statischer Gruppen
7.4.3
On-Demand-Scan
..............................................................................193
7.1.6
Dynamische
..............................................................................151
Gruppen
7.4.4
Betriebssystem-Update
..............................................................................195
7.1.6.1
Assistent
..................................................................................152
für dynamische Gruppen
7.4.5
Quarantäneverwaltung
..............................................................................196
7.1.6.2
Templates
..................................................................................152
für dynamische Gruppen
7.4.6
Rogue
..............................................................................197
Detection Sensor-Datenbank zurücksetzen
7.1.6.2.1
Neues Template
........................................................................153
für dynamische Gruppen
7.4.7
Upgrade
..............................................................................199
von Remote Administrator-Komponenten
7.1.6.2.2
Erstellen einer dynamischen Gruppe mit einem
vorhandenen
........................................................................153
Template
7.4.8
Geklonten
..............................................................................200
Agenten zurücksetzen
7.4.9
Befehl
..............................................................................201
ausführen
7.4.10
SysInspector-Skript
..............................................................................202
ausführen
7.4.11
Server-Scan
..............................................................................204
7.4.12
Software-Installation
..............................................................................205
7.4.13
Software-Deinstallation
..............................................................................206
7.4.14
Produktaktivierung
..............................................................................208
installiert
........................................................................158
7.4.15
SysInspector-Loganfrage
..............................................................................209
7.1.6.2.6.2 Dynamische Gruppen - eine bestimmte Version einer
Software
........................................................................160
ist installiert
7.4.16
Quarantänedatei
..............................................................................211
hochladen
7.4.17
Update
..............................................................................212
der Signaturdatenbank
7.1.6.2.6.3 Dynamische Gruppe - eine bestimmte Version einer
7.4.18
Rollback
..............................................................................213
eines Updates der Signaturdatenbank
7.4.19
Anzeigen
..............................................................................214
einer Meldung
7.4.20
Anti-Theft-Aktionen
..............................................................................215
7.4.21
Verwaltung
..............................................................................217
beenden (ERA-Agent deinstallieren)
7.4.22
Konfiguration
..............................................................................219
verwalteter Produkte exportieren
7.4.23
Zuweisen
..............................................................................220
eines Task zu einer Gruppe
7.4.24
Zuweisen
..............................................................................221
eines Tasks zu Computern
7.4.25
Trigger
..............................................................................222
7.1.6.2.3
Erstellen einer dynamischen Gruppe mit einem neuen
Template
........................................................................155
7.1.6.2.4
Verwalten
........................................................................156
von Templates für dynamische Gruppen
7.1.6.2.5
Verschieben
........................................................................157
einer dynamischen Gruppe
7.1.6.2.6
Dynamisches
........................................................................158
Gruppen-Template - Beispiele
7.1.6.2.6.1 Dynamische Gruppen - ein Sicherheitsprodukt ist
Software
........................................................................161
ist nicht installiert
7.1.6.2.6.4 Dynamische Gruppe - eine bestimmte Version einer
Software ist nicht installiert, dafür aber eine andere
Version........................................................................162
7.1.6.2.6.5 Dynamische Gruppe - ein Computer ist Teil eines
bestimmten
........................................................................163
Subnetzes
7.1.6.2.6.1 Dynamische Gruppe - installierte, jedoch nicht
aktivierte Versionen von Sicherheitsprodukten für
Server ........................................................................164
7.1.6.3
Regeln
..................................................................................164
für dynamische Gruppen-Templates
7.1.6.3.1
Wann ist ein Computer Mitglied einer dynamischen
Gruppe?
........................................................................165
7.1.6.3.2
Beschreibung
........................................................................165
der Operationen
7.1.6.3.3
Regeln und
........................................................................165
logische Operatoren
7.1.6.3.4
Auswertung
........................................................................167
von Template-Regeln
7.1.6.3.5
Automatisieren
........................................................................168
von ESET Remote Administrator
7.5 Server-Tasks
....................................................................................................222
7.5.1
Computer
..............................................................................223
löschen, die sich nicht verbinden
7.5.2
Bericht
..............................................................................223
generieren
7.5.3
Computer
..............................................................................226
umbenennen
7.5.4
Synchronisierung
..............................................................................226
statischer Gruppen
7.5.4.1
Synchronisierungsmodus
..................................................................................227
- Active Directory
7.5.4.2
Synchronisierung statischer Gruppen Linux-Computer
..................................................................................229
7.2 Benutzerverwaltung
....................................................................................................169
7.2.1
Neue
..............................................................................171
Benutzer hinzufügen
7.5.4.3
Synchronisierungsmodus
..................................................................................229
- VMware
7.2.2
Benutzer
..............................................................................173
bearbeiten
7.5.5
Benutzersynchronisierung
..............................................................................231
7.2.3
Neue
..............................................................................175
Benutzergruppe erstellen
7.5.6
Trigger
..............................................................................233
7.3 Policies
....................................................................................................175
7.5.6.1
Assistent
..................................................................................234
für Servertrigger
7.3.1
Assistent
..............................................................................177
für Policies
7.5.6.2
Planen
..................................................................................234
eines Server-Tasks
7.3.2
Markierungen
..............................................................................178
7.5.6.3
Drosselung
..................................................................................234
7.3.3
Verwalten
..............................................................................179
von Policies
........................................................................237
zu empfindlich
7.5.6.3.1 Trigger ist
7.3.4
Anwenden
..............................................................................179
von Policies auf Clients
7.5.6.4
7.3.4.1
Ordnen
..................................................................................180
von Gruppen
........................................................................239
der Triggerempfindlichkeit
7.5.6.4.1 Verwalten
7.3.4.2
Aufzählen
..................................................................................181
von Policies
........................................................................241
zu oft aus
7.5.6.4.2 Trigger löst
7.3.4.3
Zusammenführen
..................................................................................182
von Policies
........................................................................241
7.5.6.4.3 CRON-Ausdrucksintervall
7.3.5
Konfiguration
..............................................................................182
von ERA-Produkten
7.6 Benachrichtigungen
....................................................................................................242
7.3.6
Zuweisen
..............................................................................183
einer Policy zu einer Gruppe
7.6.1
Verwalten
..............................................................................243
von Benachrichtigungen
7.3.7
Zuweisen
..............................................................................184
einer Policy zu einem Client
7.6.2
Konfigurieren
..............................................................................245
eines SNMP-Trap-Dienstes
Verwalten
..................................................................................237
von Servertriggern
7.4 Client-Tasks
....................................................................................................185 7.7 Zertifikate
....................................................................................................247
7.4.1
Ausgeführte
..............................................................................186
Client-Tasks
7.7.1
Peerzertifikate
..............................................................................247
7.4.1.1
Fortschrittsanzeige
..................................................................................188
7.7.1.1
Neues
..................................................................................249
Zertifikat erstellen
7.4.1.2
Status-Symbol
..................................................................................189
7.7.1.2
Peerzertifikat
..................................................................................250
exportieren
7.4.1.3
Detailinformationen
..................................................................................190
7.7.1.3
APN-Zertifikat
..................................................................................250
7.4.1.4
Trigger
..................................................................................191
7.7.1.4
Widerrufene
..................................................................................252
anzeigen
7.4.2
Computer
..............................................................................192
herunterfahren
7.7.1.5
Neues
..................................................................................253
ERA Server-Zertifikat festlegen
Inhalt
7.7.1.6
Benutzerdefinierte Zertifikate mit ESET Remote
Administrator
..................................................................................254
7.7.1.7
Zertifikate
..................................................................................266
ersetzen
7.7.2
Zertifizierungsstelle
..............................................................................268
7.7.2.1
Neue
..................................................................................268
Zertifizierungsstelle erstellen
7.7.2.2
Öffentlichen
..................................................................................269
Schlüssel exportieren
7.7.2.3
Öffentlichen
..................................................................................270
Schlüssel importieren
7.8 Zugriffsrechte
....................................................................................................270
7.8.1
Benutzer
..............................................................................270
7.8.1.1
Erstellen
..................................................................................271
eines Systembenutzers
7.8.1.2
Assistent für zugeordnete
Domänen-Sicherheitsgruppe
..................................................................................272
7.8.1.3
Zuordnen einer Gruppe zur
Domänen-Sicherheitsgruppe
..................................................................................273
7.8.1.4
Zuweisen eines Berechtigungssatzes zu einem
Benutzer
..................................................................................274
7.8.1.5
Zwei-Faktor-Authentifizierung
..................................................................................275
7.8.2
Berechtigungssätze
..............................................................................275
7.8.2.1
Verwalten
..................................................................................275
von Berechtigungssätzen
7.9 Servereinstellungen
....................................................................................................276
7.9.1
SMTP-Server
..............................................................................278
7.9.2
Gefundene
..............................................................................278
Computer automatisch zuordnen
7.9.3
Syslog-Server
..............................................................................279
7.9.4
Logs..............................................................................280
nach Syslog exportieren
8. Lizenzverwaltung
.......................................................283
9. Häufig
.......................................................285
gestellte Fragen (FAQ)
10. Über
.......................................................287
ESET Remote Administrator
1. Vorwort
Willkommen zum ERA-Administratorhandbuch. Dieses Dokument enthält Informationen zur Verwaltung von ESETUnternehmensprodukten in Ihrer Infrastruktur. Hier finden Sie außerdem die wichtigsten Änderungen in den
neuesten ERA-Versionen und Szenarien für Administratoren und Benutzer, die mit der ERA-Web-Konsole arbeiten.
1.1 Über die Hilfe
Dieses Administratorhandbuch hilft Ihnen dabei, sich mit ESET Remote Administrator vertraut zu machen und
enthält verschiedene Hinweise für die Nutzung.
Aus Konsistenzgründen und um Verwechslungen zu vermeiden, basiert die Terminologie in dieser Anleitung auf
den ESET Remote Administrator-Parameternamen. Außerdem verwenden wir einheitliche Symbole, um besonders
wichtige Themen hervorzuheben.
HINWEIS
Notizen sind lediglich kurze Anmerkungen. Diese Notizen können zwar ausgelassen werden, enthalten jedoch
wichtige Informationen wie z. B. spezielle Funktionen oder Links zu verwandten Themen.
WICHTIG
Diese Abschnitte erfordern Ihre Aufmerksamkeit und sollten nicht übersprungen werden. Normalerweise
handelt es sich um nicht kritische, jedoch wichtige Informationen.
WARNUNG
Kritische Informationen, die besondere Vorsicht erfordern. Warnungen dienen dazu, Sie vor potenziell
schädlichen Fehlern zu schützen. Der Text in Warnhinweisen weist auf besonders empfindliche
Systemeinstellungen oder riskante Vorgänge hin und muss daher unbedingt gelesen und verstanden werden.
Konvention
Bedeutung
Fettdruck
Namen von Elementen der Benutzeroberfläche, z. B. Schaltflächen und Optionsfelder.
Kursivdruck
Platzhalter für Informationen, die Sie eingeben. Dateiname oder Pfad bedeutet z. B. dass
Sie den tatsächlichen Pfad oder den Namen einer Datei angeben.
Courier New-Schriftart Codebeispiele
oder Befehle
Hyperlinks
Schnellzugriff auf verwandte Themen oder externe Webadressen. Hyperlinks sind in Blau
hervorgehoben und normalerweise unterstrichen.
%ProgramFiles%
Das Windows-Systemverzeichnis, in dem installierte Windows-Programme und andere
Anwendungen gespeichert werden.
Die Onlinehilfe ist die primäre Quelle für Hilfeinhalte. Bei funktionierender Internetverbindung wird
automatisch die neueste Version der Onlinehilfe angezeigt. Auf den Seiten der ESET Remote AdministratorOnlinehilfe finden Sie drei aktive Registerkarten im oberen Navigationsbereich: Installation/Upgrade,
Administration und VA-Bereitstellung.
Die Themen in diesem Handbuch sind in Kapiteln und Unterkapiteln angeordnet. Im Inhalt der Hilfeseiten können
Sie schnell nach bestimmten Informationen suchen. Alternativ können Sie den Index nach Schlüsselwörtern
durchsuchen oder über die Funktion Suchen eine Volltextsuche ausführen.
6
ESET Remote Administrator kann mit Schlüsselwörtern oder durch Eingabe von Wörtern und Ausdrücken nach
Themen im Benutzerhandbuch durchsucht werden. Der Unterschied zwischen diesen beiden Methoden ist, dass ein
Stichwort logisch mit einer Hilfeseite verknüpft sein kann, ohne dass das Stichwort selbst im Text vorkommt. Bei
der Suche nach Wörtern und Formulierungen wird der gesamte Inhalt aller Seiten durchsucht, und es werden nur
diejenigen Seiten angezeigt, die das gesuchte Wort bzw. die gesuchte Formulierung im Text enthalten.
WICHTIG
Nachdem Sie ein Benutzerhandbuch über die Navigationsleiste am oberen Seitenrand geöffnet haben, bezieht
sich die Suche nur noch auf den Inhalt dieses Handbuchs. Wenn Sie z. B. das Administratorhandbuch geöffnet
haben, werden keine Themen aus den Handbüchern für Installation/Upgrade und VA-Bereitstellung in den
Suchergebnissen angezeigt.
Die ESET-Knowledgebase enthält Antworten auf die am häufigsten gestellten Fragen sowie Lösungsvorschläge für
zahlreiche Probleme. Die Knowledgebase wird regelmäßig von den ESET-Supportmitarbeitern aktualisiert und ist
daher hervorragend für die Lösung verschiedenster Probleme geeignet.
Im ESET-Forum erhalten ESET-Benutzer schnell und einfach Hilfe und können anderen Benutzern helfen. Dort
können Sie Themen zu beliebigen Fragen oder Problemen mit Ihren ESET-Produkten erstellen.
Sie können einzelne Hilfethemen bewerten und/oder Feedback abgeben. Klicken Sie dazu auf den Link War diese
Information hilfreich? oder auf Diesen Artikel bewerten: Hilfreich / Nicht hilfreich am Ende der Hilfeseite in der
ESET-Knowledgebase.
1.1.1 Offlinehilfe
Die Offlinehilfe für ESET Remote Administrator wird standardmäßig nicht installiert. Falls Sie eine offline nutzbare
Hilfe für ESET Remote Administrator brauchen (falls Sie z. B. nicht immer mit dem Internet verbunden sind), führen
Sie die folgenden Schritte aus, um die Offlinehilfe zu installieren.
Klicken Sie auf den Sprachcode, um die Offlinehilfe für ESET Remote Administrator in der gewünschten Sprache zu
installieren. Sie können die Offlinehilfe bei Bedarf auch in mehreren Sprachen installieren.
Offlinehilfe: Einrichtung unter Windows
1. Laden Sie eine .zip-Datei herunter. Klicken Sie auf einen Sprachcode in der folgenden Tabelle, um die
Offlinehilfe für ESET Remote Administrator in der gewünschten Sprache herunterzuladen.
2. Speichern Sie die .zip-Datei (z. B. auf einem USB-Speicherstick).
3. Erstellen Sie einen neuen Ordner mit dem Namen help auf dem Server, auf dem die ERA-Web-Konsole
ausgeführt wird, am folgenden Ort: %ProgramFiles%\Apache Software Foundation\Tomcat 7.0\webapps\era
\webconsole\ und kopieren Sie die .zip-Datei in den Ordner help.
4. Extrahieren Sie den Inhalt der .zip -Datei, z. B. en-US.zip, in einen Ordner mit demselben Namen, in diesem
Fall en-US. Die Ordnerstruktur sollte wie folgt aussehen: %ProgramFiles%\Apache Software Foundation
\Tomcat 7.0\webapps\era\webconsole\help\en-US
7
Öffnen Sie anschließend Ihre ERA-Web-Konsole und melden Sie sich an. Wenn Sie oben rechts auf das ? -Symbol
klicken, wird die Offlinehilfe geöffnet.
HINWEIS
Wiederholen Sie diese Schritte, um die Offlinehilfe in mehreren Sprachen zu installieren.
WICHTIG
Wenn Ihr Computer bzw. Ihr Mobilgerät, mit dem Sie auf die ERA-Web-Konsole zugreifen, nicht mit dem
Internet verbunden ist, müssen Sie eine Einstellung in der ERA-Web-Konsole ändern, damit standardmäßig
die ERA-Offlinehilfe (anstelle der Onlinehilfe) geöffnet wird. Führen Sie dazu die Anweisungen im Anschluss
an die Tabelle aus.
Offlinehilfe: Einrichtung unter Linux
1. Laden Sie eine .tar-Datei herunter. Klicken Sie auf einen Sprachcode in der folgenden Tabelle, um die
Offlinehilfe für ESET Remote Administrator in der gewünschten Sprache herunterzuladen.
2. Speichern Sie die .tar-Datei (z. B. auf einem USB-Speicherstick).
3. Öffnen Sie ein Terminal und navigieren Sie zu /usr/share/tomcat/webapps/era/webconsole
4. Erstellen Sie einen neuen Ordner mit dem Namen help, indem Sie den Befehl mkdir
help
ausführen.
5. Kopieren Sie die .tar-Datei in den Ordner help und extrahieren Sie die Datei, z. B. mit dem Befehl tar
en-US.tar .
-xvf
Öffnen Sie anschließend Ihre ERA-Web-Konsole und melden Sie sich an. Wenn Sie oben rechts auf das ? -Symbol
klicken, wird die Offlinehilfe geöffnet.
HINWEIS
Wiederholen Sie diese Schritte, um die Offlinehilfe in mehreren Sprachen zu installieren.
WICHTIG
Wenn Ihr Computer bzw. Ihr Mobilgerät, mit dem Sie auf die ERA-Web-Konsole zugreifen, nicht mit dem
Internet verbunden ist, müssen Sie eine Einstellung in der ERA-Web-Konsole ändern, damit standardmäßig
die ERA-Offlinehilfe (anstelle der Onlinehilfe) geöffnet wird. Führen Sie dazu die Anweisungen im Anschluss
an die Tabelle aus.
Unterstützte Sprache
Englisch
Arabisch
Chinesisch vereinfacht
Chinesisch traditionell
Kroatisch
Tschechisch
Französisch
Französisch (Kanada)
Deutsch
Griechisch
Italienisch
Japanisch
Koreanisch
Polnisch
Portugiesisch (Brasilien)
8
HTML-Offlinehilfe
.zip
en-US.zip
ar-EG.zip
zh-CN.zip
zh-TW.zip
hr-HR.zip
cs-CZ.zip
fr-FR.zip
fr-FC.zip
de-DE.zip
el-GR.zip
it-IT.zip
ja-JP.zip
ko-KR.zip
pl-PL.zip
pt-BR.zip
HTML-Offlinehilfe
.tar
en-US.tar
ar-EG.tar
zh-CN.tar
zh-TW.tar
hr-HR.tar
cs-CZ.tar
fr-FR.tar
fr-FC.tar
de-DE.tar
el-GR.tar
it-IT.tar
ja-JP.tar
ko-KR.tar
pl-PL.tar
pt-BR.tar
Russisch
Spanisch
Spanish Latin
Slowakisch
Türkisch
ru-RU.zip
es-ES.zip
es-CL.zip
sk-SK.zip
tr-TR.zip
ru-RU.tar
es-ES.tar
es-CL.tar
sk-SK.tar
tr-TR.tar
Offlinehilfe unter Windows erzwingen
1. Öffnen Sie C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/
era/g2webconsole/server/modules/config/EraWebServerConfig.properties in Notepad oder einem anderen
Texteditor.
2. Suchen Sie die Zeile help_show_online=true, ändern Sie den Wert dieser Einstellung zu false und speichern
Sie Ihre Änderungen.
3. Starten Sie den Tomcat-Dienst in den Diensten oder per Befehlszeile neu.
Die ERA-Offlinehilfe wird geöffnet, wenn Sie in der ERA-Web-Konsole oben rechts auf das ? -Symbol klicken
oder im linken Bereich nach unten blättern und auf Hilfe klicken.
Offlinehilfe unter Linux erzwingen
1. Öffnen Sie die Konfigurationsdatei /usr/share/tomcat/webapps/era/WEB-INF/classes/sk/eset/era/
g2webconsole/server/modules/config/EraWebServerConfig.properties in einem Texteditor (z. B. nano).
2. Suchen Sie die Zeile help_show_online=true, ändern Sie den Wert dieser Einstellung zu false und speichern
Sie Ihre Änderungen.
3. Beenden Sie den Tomcat-Dienst mit dem Befehl tomcat
4. Starten Sie den Tomcat-Dienst mit dem Befehl tomcat
stop .
start .
Die ERA-Offlinehilfe wird geöffnet, wenn Sie in der ERA-Web-Konsole oben rechts auf das ? -Symbol klicken
oder im linken Bereich nach unten blättern und auf Hilfe klicken.
1.2 Unterstützte Webbrowser und ESET-Sicherheitsprodukte
Hier finden Sie eine Liste von unterstützten Betriebssystemen, Webbrowsern und ESET-Sicherheitsprodukten in
ESET Remote Administrator.
ERA unterstützt verschiedene Versionen von Windows, Linux und OS X
Der Zugriff auf die ESET Remote Administrator-Web-Konsole erfolgt über Ihren Webbrowser:
Webbrowser
Versionen
Mozilla Firefox
Microsoft Internet Explorer
Microsoft Edge
Google Chrome
Safari
Opera
20+
10+
25+
23+
6+
15+
HINWEIS
Achten Sie darauf, Ihre Webbrowser regelmäßig zu aktualisieren.
ESET Remote Administrator kann die folgenden ESET-Produkte bereitstellen, aktivieren und verwalten:
Neueste Versionen der ESET-Produkte, die mit ESET Remote Administrator 6 verwaltet werden können:
9
Produkt
Produktversion Aktivierungsmethode
ESET Endpoint Security für Windows
6.x & 5.x
ESET Endpoint Antivirus für Windows
6.x & 5.x
ESET Endpoint Security für OS X
ESET Endpoint Antivirus für OS X
ESET Endpoint Security für Android
ESET File Security für Windows Server
ESET Mail Security für Microsoft Exchange Server
ESET Security for Microsoft SharePoint Server
ESET Mail Security für IBM Domino Server
6.x
6.x
2.x
6.x
6.x
6.x
6.x
6.x - Lizenzschlüssel
5.x - Benutzername/Passwort
6.x - Lizenzschlüssel
5.x - Benutzername/Passwort
Lizenzschlüssel
Lizenzschlüssel
Lizenzschlüssel
Lizenzschlüssel
Lizenzschlüssel
Lizenzschlüssel
Lizenzschlüssel
Ältere Versionen der ESET-Produkte, die mit ESET Remote Administrator 6 verwaltet werden können:
Produkt
Produktversion Aktivierungsmethode
ESET File Security für Microsoft Windows Server
ESET NOD32 Antivirus 4 Business Edition für Mac OS
X
ESET NOD32 Antivirus 4 Business Edition für Linux
Desktop
ESET Mail Security für Microsoft Exchange Server
ESET Mail Security für IBM Lotus Domino
ESET Security für Microsoft Windows Server Core
ESET Security for Microsoft SharePoint Server
ESET Security for Kerio
ESET NOD32 Antivirus Business Edition
ESET Smart Security Business Edition
4.5.x
Benutzername/Passwort
4.x
Benutzername/Passwort
4.x
Benutzername/Passwort
4.5.x
4.5.x
4.5.x
4.5.x
4.5.x
4.2.76
4.2.76
Benutzername/Passwort
Benutzername/Passwort
Benutzername/Passwort
Benutzername/Passwort
Benutzername/Passwort
Benutzername/Passwort
Benutzername/Passwort
1.3 Legende der Symbole
Hier finden Sie eine Liste der Symbole, die in der ERA-Web-Konsole verwendet werden, inklusive Beschreibungen.
In dieser Liste können Sie die Bedeutung der einzelnen Symbole nachschlagen. Die Symbole stehen für Aktionen,
Objekttypen oder Statusbezeichnungen. Symbole werden je nach Zugänglichkeit des Elements normalerweise in
drei Farben angezeigt:
Standardsymbol - verfügbare Aktion
Blaues Symbol - hervorgehobenes Element, auf das Sie mit dem Mauszeiger zeigen
Graues Symbol - Aktion nicht verfügbar
StatusSymbol
Beschreibung
Details - Anzeige von Detailinformationen zu einem Clientgerät.
Neues Gerät hinzufügen - Fügen Sie neue Geräte hinzu
Neuer Task - Fügen Sie einen neuen Task hinzu
Neue Benachrichtigung - Fügen Sie eine neue Benachrichtigung hinzu
Neue statische/dynamische Gruppe... Fügen Sie neue Gruppen hinzu
Bearbeiten - Hier können SieIhre erstellten Tasks, Benachrichtigungen, Bericht-Templates, Gruppen,
Policies usw. bearbeiten.
10
StatusSymbol
Beschreibung
Duplizieren - Mit dieser Option können Sie eine neue Policy anhand der ausgewählten Policy
erstellen. Für das Duplikat muss ein neuer Name angegeben werden.
Verschieben - Hier können Sie Computer, Policies und statische sowie dynamische Gruppen
verschieben.
Löschen - Entfernt das ausgewählte Element (Client, Gruppe usw.) vollständig.
Neues Gerät hinzufügen - Fügen Sie neue Geräte hinzu
Prüfen - Mit dieser Option wird der Task On-Demand-Prüfung auf dem Client ausgeführt, der die
Bedrohung gemeldet hat.
Virus-DB aktualisieren - Mit dieser Option wird der Task Update der Signaturdatenbank ausgeführt
(löst ein manuelles Update aus).
Task ausführen für Mobilgeräte
Registrieren - Mit dieser Option können Sie einen neuen Clienttask erstellen.
Entsperren - Das Gerät wird entsperrt.
Sperren – Das Gerät wird gesperrt, wenn eine verdächtige Aktivität erkannt oder das Gerät als
„vermisst“ gekennzeichnet wird.
Suchen – Zum Anfordern der GPS-Koordinaten des Mobilgeräts.
Alarm – Löst aus der Ferne einen lauten Alarm aus. Der Alarm wird auch ausgelöst, wenn das Gerät
stumm geschaltet ist.
Daten löschen – Alle auf dem Gerät gespeicherten Daten werden dauerhaft gelöscht.
Neustart - Wählen Sie einen Computer aus und klicken Sie auf Neustart , um einen Neustart
auszuführen.
Herunterfahren - Wählen Sie einen Computer aus und klicken Sie auf Herunterfahren, um den
Computer herunterzufahren.
Ausführen - Wählen Sie einen Task aus und konfigurieren Sie die Drosselung (optional) für den Task.
Der Task wird gemäß den Taskeinstellungen in die Warteschlange gesetzt. Diese Option löst sofort
einen vorhandenen Task aus, den Sie aus einer Liste der verfügbaren Tasks auswählen. Für diesen Task
ist der Trigger nicht verfügbar, weil er sofort ausgeführt wird.
Policies verwalten - Eine Policy kann auch direkt einem Client (oder mehreren Clients) zugewiesen
werden, nicht nur einer Gruppe. Wählen Sie diese Option aus, um die Policy den ausgewählten Clients
zuzuweisen.
Aktivierungsaufruf senden - Der ERA Server initiiert eine sofortige Kommunikation mit dem ERA Agent
auf dem Clientcomputer. Dies ist nützlich, wenn Sie nicht auf das planmäßige Intervall warten
möchten, in dem der ERA Agent eine Verbindung zum ERA Server herstellt. Dies ist z. B. hilfreich,
wenn Sie einen Clienttask sofort auf einem oder mehreren Clients ausführen oder eine Policy
umgehend anwenden möchten.
Agent bereitstellen - Mit dieser Option können Sie einen neuen Servertask erstellen.
Stummschalten - Wenn Sie einen Computer auswählen und auf Stummschalten klicken, sendet der
Agent auf dem Client keine Informationen mehr an den ERA Server, sondern sammelt diese nur.
Neben dem Computernamen wird in der Spalte „Stummgeschaltet“ das Stummschaltungssymbol
angezeigt.
Wenn die Stummschaltung mit Stummschalten > Stummschaltung aufheben deaktiviert wird, sendet
der Computer wieder Meldungen und die Kommunikation zwischen dem ERA Server und dem Client
wird wiederhergestellt.
11
StatusSymbol
Beschreibung
Deaktivieren - Deaktiviert bzw. entfernt eine Einstellung oder ein anderes ausgewähltes Element.
Desktop
Virtueller Computer (ohne Agent)
Mobilgerät
Server
Dateiserver
Mailserver
Gateway-Server
Collaboration Server
Agent
Mobile Device Connector
Rogue Detection Sensor
Virtual Agent Host
Proxy
Freigegebener lokaler Cache
Virtuelle Sicherheits-Appliance
12
2. Einführung zu ESET Remote Administrator
Willkommen zu ESET Remote Administrator (ERA) Version 6. Mit ERA 6 können Sie ESET-Produkte auf
Arbeitsstationen, Servern und Mobilgeräten in einer Netzwerkumgebung von einem zentralen Standort aus
verwalten. Mit der ESET Remote Administrator-Web-Konsole (ERA-Web-Konsole) können Sie ESET-Lösungen
bereitstellen, Tasks verwalten, Sicherheits-Policies umsetzen, den Systemstatus überwachen und schnell auf
Probleme oder Bedrohungen auf Remotecomputern reagieren. ESET Remote Administrator umfasst die folgenden
Komponenten:
ESET Remote Administrator Server - Die ERA Server-Komponente kann unter Windows oder Linux installiert
werden und ist auch als virtuelle Appliance verfügbar. Diese Komponente ist für die Kommunikation mit Agenten
zuständig und sammelt und speichert Anwendungsdaten in der Datenbank.
ERA-Web-Konsole - Die ERA-Web-Konsole ersetzt die ERA Remote Administrator-Konsole (ERAC) aus älteren
Versionen und ist die wichtigste Oberfläche für die Verwaltung von Clientcomputern in Ihrer Umgebung. Sie
bietet eine Übersicht über den Status der Clients im Netzwerk und kann zur Remote-Bereitstellung von ESETLösungen auf unverwalteten Computern verwendet werden. Nach der Installation von ESET Remote
Administrator Server (ERA Server) können Sie die Web-Konsole in Ihrem Webbrowser öffnen. Wenn der
Webserver über das Internet erreichbar ist, können Sie ERA von jedem beliebigen Standort und Gerät mit
Internetverbindung verwenden.
ERA Agent - Der ESET Remote Administrator Agent erleichtert die Kommunikation zwischen ERA Server und
Clientcomputern. Sie müssen den Agenten auf jedem Clientcomputer installieren, um die Kommunikation
zwischen dem Computer und dem ERA Server zu ermöglichen. Da der ERA Agent auf dem Clientcomputer
installiert wird und mehrere Sicherheitsszenarien speichern kann, wird mit dessen Einsatz die Reaktionszeit für
neue Bedrohungen deutlich reduziert. Mit der ERA-Web-Konsole können Sie den ERA Agenten auf unverwalteten
Computern bereitstellen, die Sie über Ihr Active Directory oder mit dem ESET RD Sensor gefunden haben. Bei
Bedarf können Sie den ERA Agenten auch manuell auf Clientcomputern installieren.
ERA Proxy - Der ERA Proxy wird zwar nicht für die Bereitstellung Ihrer ESET-Lösung benötigt, verbessert allerdings
die Skalierbarkeit. Sie können den Proxyserver in großen Netzwerken zur Optimierung von Datenbankabfragen,
zur Verbesserung der Netzwerkleistung und zur Lastverteilung auf dem ERA Server installieren. Der ERA Proxy
übernimmt außerdem die Verteilung der Konfigurationsdaten an die Client-Agenten. Sie müssen den ERA
Agenten auf demselben Computer installieren wie den ERA Proxyserver, um die Kommunikation zwischen ERA
Server und Proxy zu erleichtern.
Rogue Detection Sensor - Der ERA Rogue Detection Sensor erkennt unverwaltete Computer in Ihrem Netzwerk
und übermittelt deren Daten an den ERA Server. Auf diese Weise können Sie neue Clientcomputer schnell und
einfach zu Ihrem gesicherten Netzwerk hinzufügen. RD Sensor merkt sich Computer, die bereits erkannt wurden,
und sendet nicht zweimal die gleichen Informationen.
HTTP Apache Proxy - Dieser Dienst kann zusammen mit ESET Remote Administrator 6 und neueren Versionen
verwendet werden, um Updates an Clientcomputer und Installationspakete an den ESET Remote Administrator
Agenten zu verteilen.
Mobile Device Connector - Mit dieser ESET Remote Administrator-Komponente können Sie Mobilgeräte (Android
und iOS) verwalten und ESET Endpoint Security für Android administrieren.
ERA VA-Bereitstellung - Die virtuelle ERA-Appliance (ERA VA) eignet sich für Benutzer, die ESET Remote
Administrator (ERA) in einer virtualisierten Umgebung ausführen möchten.
ESET-Lizenzadministrator - Der ESET-Lizenzadministrator ist ein neues Lizenzierungsportal für ESET-Produkte, mit
dem Lizenzeigentümer (Erneuerung/Kauf von Lizenzen) oder Sicherheitsadmins (Produktadmin-Berechtigungen)
Lizenzen verwalten und Lizenzereignisse wie Ablauf, Nutzung und Autorisierung überwachen können. Im Bereich
ESET-Lizenzadministrator finden Sie eine Anleitung zur Produktaktivierung. Weitere Informationen zum ESETLizenzadministrator finden Sie in der Onlinehilfe für den ESET-Lizenzadministrator. Falls Sie bereits einen
Benutzernamen und ein Passwort von ESET erhalten haben und diese Daten in einen Lizenzschlüssel konvertieren
möchten, lesen Sie den Abschnitt Veraltete Lizenzdaten konvertieren.
13
3. Erste Schritte mit der ESET Remote Administrator-Web-Konsole
ESET Remote Administrator wird über eine zentralisierte Verwaltunsplattform mit dem Namen ERA-Web-Konsole
konfiguriert und verwaltet. Nachdem Sie ESET Remote Administrator installiert oder eine ERA-VA bereitgestellt
haben, können Sie sich über die ERA-Web-Konsole mit Ihrem ERA Server verbinden.
In den nächsten Kapiteln wird die ERA-Web-Konsole und deren Nutzung beschrieben. Sie erstellen
Installationsprogramme und stellen ERA Agent und ESET-Sicherheitsprodukte auf Clientcomputern bereit. Nach der
Bereitstellung des ERA Agenten können Sie Gruppen verwalten, Policies erstellen und zuweisen und
Benachrichtigungen und Berichte konfigurieren. Dabei erhalten Sie verschiedene Hilfestellungen:
Öffnen der ERA Web-Konsole
Der Startassistent
ERA-Web-Konsole
Statusübersicht
3.1 Öffnen der ERA Web-Konsole
ESET Remote Administrator Die Web-Konsole ist die primäre Benutzeroberfläche für die Kommunikation mit dem
ERA Server. Sie können sich die Web-Konsole als eine Art Systemsteuerung vorstellen, von der aus Sie alle ESETSicherheitslösungen verwalten können. Die Web-Konsole ist eine webbasierte Benutzeroberfläche. Der Zugriff
erfolgt über einen Browser von überall und mit beliebigen Geräten mit Internetzugriff.
Die ERA Web-Konsole kann auf verschiedene Arten geöffnet werden:
Geben Sie auf dem lokalen Server (Computer, auf dem die Web-Konsole gehostet wird) die folgende URL in einen
Webbrowser ein:
https://localhost/era/
Geben Sie von anderen, beliebigen Standorten mit Internetzugriff auf den Webserver die URL im folgenden
Format ein:
https://yourservername/era/
Ersetzen Sie „servername“ mit dem tatsächlichen Namen bzw. der IP-Adresse des Webservers.
Um sich bei der virtuellen ERA-Appliance anzumelden, verwenden Sie folgende URL:
https://[IP address]:8443/
Ersetzen Sie „[IP-Adresse]“ durch die IP-Adresse der virtuellen ERA-Maschine. Wenn Sie die IP-Adresse nicht zur
Hand haben, lesen Sie Schritt 9 der Bereitstellungsanweisungen für die virtuelle Appliance.
14
Klicken Sie auf dem lokalen Server (Computer, auf dem die Web-Konsole gehostet wird) auf Start > Alle
Programme > ESET > ESET Remote Administrator > ESET Remote Administrator-Web-Konsole. Daraufhin wird der
Anmeldebildschirm in Ihrem Standard-Webbrowser geöffnet. Dies gilt nicht für die virtuelle ERA-Appliance.
Wenn der Webserver (auf dem die ERA-Web-Konsole ausgeführt wird) erreichbar ist, wird der unten abgebildete
Bildschirm angezeigt.
HINWEIS
Wenn bei der Anmeldung Probleme auftreten und Fehlermeldungen angezeigt werden, lesen Sie den Abschnitt
Problembehandlung - Web-Konsole für weitere Informationen.
3.2 Der Startassistent
Wenn Sie sich zum ersten Mal bei der Web-Konsole anmelden, wird ein Startassistent für ESET Remote
Administrator angezeigt. Dieser Assistent enthält eine einfache Anleitung zu wichtigen Bereichen der ERA-WebKonsole, zum ERA Agenten und zu ESET-Sicherheitsprodukten. Hier finden Sie Informationen zu Computern,
Gruppen, Tasks, zum ERA Agenten und zu ESET Endpoint Security 6 bzw. ESET Endpoint Antivirus 6.
Der letzte Schritt des Startassistenten heißt Bereitstellung. Dort können Sie ein All-in-One-Installationsprogramm
erstellen (mit ERA Agent und ESET-Sicherheitsprodukt).
WICHTIG
Das Installationspaket wird in Form einer .exe-Datei erstellt und kann nur unter Windows ausgeführt werden.
Klicken Sie auf Startassistenten schließen, falls Sie den Assistenten nicht verwenden möchten. Die ERA-WebKonsole wird geöffnet. Bei Ihrer nächsten Anmeldung bei der ERA-Web-Konsole wird der Assistent nicht mehr
angezeigt. Um den Startassistenten nach der Anmeldung erneut zu öffnen, müssen Sie den gespeicherten
Benutzerstatus zurücksetzen. Details hierzu finden Sie in den Benutzereinstellungen.
Sie müssen den Assistenten nicht verwenden. Sie können das All-in-one-Agent-Installationsprogramm auch direkt
erstellen, indem Sie auf ERA Agent bereitstellen... in den Quicklinks in der Menüleiste klicken.
15
WICHTIG
Um ein Installationspaket erstellen zu können, benötigt Ihr Benutzerkonto den Administratorberechtigungssatz.
Wenn das Benutzerkonto über den Berechtigungssatz für servergestützte Installation oder den PrüferBerechtigungssatz verfügt, wird der Startassistent ohne den Schritt Bereitstellung angezeigt, und der Benutzer
kann kein Installationspaket erstellen.
So erstellen Sie ein Installationspaket:
1. Sprache - Wählen Sie eine Sprache für das Installationsprogramm aus der Dropdownliste mit den unterstützten
Sprachen aus.
2. Produkt - Klicken Sie dieses Feld an und wählen Sie eine Installationsdatei für ein ESET-Sicherheitsprodukt aus
der Liste aus. Falls Sie Version 6.3 oder eine frühere Version auswählen, wird das Produkt nicht automatisch
aktiviert, und Sie müssen es später manuell aktivieren. ESET-Sicherheitsprodukte ab Version 6.4 werden bei der
Installation automatisch aktiviert.
HINWEIS
Wenn Sie keine Produktinstallationsdateien auswählen, müssen Sie unbedingt unter Repository die Option
AUTOSELECT auswählen. Sie finden diese Option im Bereich Erweiterte Einstellungen in den
Servereinstellungen.
3. Lizenz auswählen (Optional) - Verwenden Sie eine der im Bereich Lizenzen beschriebenen Methoden, um eine
Lizenz hinzuzufügen. Falls Sie bereits Lizenzen in der Lizenzverwaltung eingerichtet haben, wählen Sie die Lizenz
aus, die bei der Installation zur Aktivierung des ESET-Sicherheitsprodukts verwendet werden soll. Alternativ
können Sie auch ein Installationsprogramm ohne Lizenz erstellen und das Produkt später aktivieren.
4. Klicken Sie auf das Kontrollkästchen Erweitert, um ein Agent-Zertifikat auszuwählen und ggf. eine
Zertifikatpassphrase einzugeben. Dies ist der Fall, wenn Sie die Passphrase bei der ERA-Installation angegeben
haben oder wenn Sie ein benutzerdefiniertes Zertifikat mit einer Passphrase verwenden. Andernfalls können Sie
das Feld Zertifikat-Passphrase leer lassen.
16
5. Klicken Sie auf Installationsprogramm erstellen, um das All-in-One-Installationsprogramm für 32 Bit- und 64 BitBetriebssysteme zu generieren. Klicken Sie auf die gewünschte Version, um die Datei herunterzuladen. Nach
Abschluss des Downloads werden Sie aufgefordert, einen Speicherort für die Datei auszuwählen (z. B.
ERA_Installer_x32_en_US.exe oder ERA_Installer_x64_en_US.exe). Klicken Sie auf Datei speichern.
6. Starten Sie das All-in-One-Installationsprogramm auf einem Clientcomputer. Eine Schritt-für-Schritt-Anleitung
finden Sie unter Setup-Assistent für All-in-one-Agent-Installationsprogramm.
3.3 ERA-Web-Konsole
ESET Remote Administrator Die Web-Konsole ist die primäre Benutzeroberfläche für die Kommunikation mit dem
ERA Server. Sie können sich die Web-Konsole als eine Art Systemsteuerung vorstellen, von der aus Sie alle ESETSicherheitslösungen verwalten können. Die Web-Konsole ist eine webbasierte Benutzeroberfläche. Der Zugriff
erfolgt über einen Browser (siehe Unterstützte Browser) von einem beliebigen Standort aus und mit einem
beliebigen Gerät mit Internetzugriff.
Im Standard-Layout der ERA-Web-Konsole:
Der aktuell angemeldete Benutzer wird stets in der oberen rechten Ecke und mit einem Rückwärtszähler für die
Gültigkeitsdauer der aktuellen Sitzung angezeigt. Sie können jederzeit auf Abmelden klicken, um sich
abzumelden. Wenn die Sitzung aufgrund einer Zeitüberschreitung durch Inaktivität beendet wird, muss sich der
Benutzer neu anmelden.
Um die Benutzereinstellungen zu ändern, klicken Sie oben rechts in der ERA-Web-Konsole auf Ihren
Benutzernamen.
Klicken Sie auf ? am oberen Bildschirmrand, um die Bildschirmhilfe für den jeweiligen Bildschirm anzuzeigen.
Das Menü ist immer links verfügbar, sofern kein Assistent geöffnet ist. Bewegen Sie den Mauszeiger in den linken
Bildschirmbereich, um das Menü anzuzeigen. Das Menü enthält außerdem Quick Links und zeigt die Version der
Web-Konsole an.
Das -Symbol markiert Kontextmenüs.
Klicken Sie auf Aktualisieren, um die angezeigten Informationen zu aktualisieren.
Die Statusübersicht unterstützt Sie bei der optimalen Nutzung von ESET Remote Administrator. Außerdem werden
Sie durch die empfohlenen Schritte geführt.
17
In Bildschirmen mit Baumstruktur sind besondere Steuerelemente verfügbar. Der Baum wird links angezeigt, die
Aktionen unten. Klicken Sie im Baum auf ein Element, um die Optionen für dieses Element anzuzeigen.
18
In Tabellen können Sie Elemente aus Zeilen einzeln oder gruppenweise (bei Auswahl mehrerer Zeilen) verwalten.
Klicken Sie auf eine Zeile, um Optionen für die Zeilenelemente anzuzeigen. Die Daten in den Tabellen können
gefiltert und sortiert werden.
Die Objekte in ERA können mit Assistenten bearbeitet werden. Alle Assistenten haben einige Gemeinsamkeiten:
o Die Schritte sind vertikal von oben nach unten angeordnet.
o Der Benutzer kann jederzeit zu einem beliebigen Schritt zurückkehren.
o Ungültige Eingabedaten werden hervorgehoben, wenn Sie den Cursor in das nächste Feld bewegen. Der Schritt
mit ungültiger Dateneingabe wird im Assistent ebenfalls markiert.
o Sie können jederzeit auf Pflichteinstellungen klicken, nach ungültigen Einstellungen zu suchen.
o „Fertig stellen“ ist erst verfügbar, wenn alle Eingabedaten korrekt sind.
19
4. Arbeiten mit der ERA-Web-Konsole
Alle Clients werden über die ERA Web-Konsole verwaltet. Sie können von beliebigen Geräten mit einem
kompatiblem Browser auf die Web-Konsole zugreifen. Die Web-Konsole ist in drei Hauptbereiche unterteilt:
1. Oben in der Web-Konsole befindet sich das Schnellsuche-Tool. Geben Sie einen Clientnamen oder eine IPv4/
IPv6-Adresse ein und klicken Sie dann auf das Lupensymbol der drücken Sie die Eingabetaste. Sie werden zum
Bereich Gruppen geleitet, wo die übereinstimmenden Clients angezeigt wird.
2. Im Menü auf der linken Seite finden Sie die Hauptbereiche von ESET Remote Administrator sowie die folgenden
Quicklinks:
Dashboard
Computer
Bedrohungen
Berichte
Admin
Quick Links
Neuer Systembenutzer
Neue Policy
Neuer Clienttask
ERA Agent bereitstellen
Hilfe
Über
3. Die Schaltflächen unten auf der Seite hängen vom Bereich und der Funktion ab und werden ausführlich in den
entsprechenden Kapiteln beschrieben.
HINWEIS
Eine Schaltfläche wird für alle neuen Elemente angezeigt: Pflichteinstellungen. Diese rote Schaltfläche wird
angezeigt, wenn Pflichteinstellungen nicht konfiguriert wurden und die Erstellung nicht fortgesetzt werden
kann. Dies wird außerdem durch ein rotes Ausrufezeichen neben dem entsprechenden Bereich angezeigt.
Klicken Sie auf Pflichteinstellungen, um zum betreffenden Bereich mit den fehlenden Einstellungen zu
navigieren.
Allgemeine Regeln
Pflichteinstellungen (obligatorische Einstellungen) sind immer mit einem roten Ausrufezeichen gekennzeichnet.
Klicken Sie unten auf der Seite auf Pflichteinstellungen, um (sofern zutreffend) die Pflichteinstellungen zu
öffnen.
Wenn Sie Hilfe mit der Verwendung von ESET Remote Administrator benötigen, klicken Sie oben rechts auf das ?Symbol oder blättern Sie links zum Seitenende und klicken Sie auf Hilfe, um die Hilfeseiten zu öffnen. Das
entsprechende Hilfefenster für die aktuelle Seite wird angezeigt.
Im Bereich Admin werden besondere Konfigurationseinstellungen vorgenommen. Weitere Informationen hierzu
finden Sie im Kapitel Admin.
20
4.1 Anmeldebildschirm
Zur Anmeldung bei der Web-Konsole sind Anmeldedaten (Benutzername und Passwort) erforderlich. Sie können
sich als Domänenbenutzer anmelden, indem Sie das Kontrollkästchen neben An Domäne anmelden aktivieren (ein
Domänenbenutzer ist nicht mit einer der zugeordneten Domänengruppen verknüpft).
HINWEIS
Wenn bei der Anmeldung Probleme auftreten und Fehlermeldungen angezeigt werden, lesen Sie den Abschnitt
Problembehandlung - Web-Konsole für weitere Informationen.
Sie können Ihre Sprache auswählen, indem Sie auf den Dropdownpfeil neben der aktuell ausgewählten Sprache
klicken. Lesen Sie dazu unseren Knowledgebase-Artikel.
Deaktivieren Sie das Kontrollkästchen Sitzung in mehreren Tabs zulassen, falls Sie nicht zulassen möchten, dass die
ERA-Web-Konsole mehrere Registerkarten in Ihrem Webbrowser öffnet.
Passwort ändern/Anderes Benutzerkonto verwenden - Hier können Sie Ihr Passwort ändern oder zum
Anmeldebildschirm zurückkehren.
Sitzungsverwaltung und Sicherheitsmaßnahmen:
Sperre bei erfolglosen Versuchen von gleicher IP-Adresse
Nach 10 erfolglosen Anmeldeversuchen von der gleichen IP-Adresse werden weitere Anmeldeversuche von
dieser IP-Adresse für ungefähr 10 Minuten gesperrt. Die Anmeldesperre auf Grundlage der IP-Adresse
beeinflusst keine bestehenden Sitzungen.
Sperre bei Verwendung falscher Sitzungs-ID
Wenn von der gleichen IP-Adresse 15 Mal hintereinander eine ungültige Sitzungs-ID verwendet wird, werden
alle weiteren Verbindungen von dieser IP-Adresse für ungefähr 15 Minuten gesperrt. Abgelaufene Sitzungs-IDs
werden nicht berücksichtigt. Eine abgelaufene Sitzungs-ID im Browser wird nicht als Angriff eingestuft. Die 15minütige Sperre der IP-Adresse gilt für alle Aktionen (auch gültige Anforderungen).
21
4.1.1 Problembehandlung - Web-Konsole
In diesem Abschnitt finden Sie Informationen zu Fehlermeldungen in der Web-Konsole:
Fehlermeldung
Anmeldung fehlgeschlagen: Ungültiger
Benutzername und/oder ungültiges Passwort
Mögliche Ursache
Überprüfen Sie den Benutzernamen und das Passwort, das Sie
eingegeben haben.
Überprüfen Sie, ob der ERA Server-Dienst und Ihr Datenbankdienst
Anmeldung fehlgeschlagen:
Verbindungsfehler mit Status 'Nicht verbunden' ausgeführt werden. Lesen Sie dazu unseren KnowledgebaseArtikel.
Anmeldung fehlgeschlagen:
Kommunikationsfehler
Stellen Sie sicher, dass Apache Tomcat gestartet wurde und korrekt
ausgeführt wird.
Anmeldung fehlgeschlagen:
Zeitüberschreitung bei der Verbindung
Überprüfen Sie Netzwerkverbindung und Firewall-Einstellungen,
um sicherzustellen, dass der ERA Server für die ERA-Web-Konsole
erreichbar ist. Möglicherweise ist der ERA Server überlastet.
Führen Sie einen Neustart durch. Dieses Problem kann auch durch
Versionsunterschiede zwischen ERA-Web-Konsole und ERA Server
verursacht werden.
Anmeldung fehlgeschlagen: Benutzer hat
keine zugewiesenen Zugriffsrechte
Benutzer hat keine zugewiesenen Zugriffsrechte. Melden Sie sich
als Administrator an, bearbeiten Sie das Benutzerkonto und
weisen Sie mindestens einen Berechtigungssatz zu.
Es wird eine unverschlüsselte Verbindung
verwendet! Konfigurieren Sie den Webserver
zur Nutzung von HTTPS
JavaScript ist deaktiviert. Aktivieren Sie
JavaScript in Ihrem Browser.
Aus Sicherheitsgründen sollten Sie die ERA-Web-Konsole für die
Nutzung von HTTPS einrichten.
Der Anmeldebildschirm wird nicht angezeigt
oder dauerhaft neu geladen.
Starten Sie den ESET Remote Administrator Server-Dienst neu.
Sobald der ESET Remote Administrator Server-Dienst wieder
ausgeführt wird, starten Sie den Apache Tomcat-Dienst neu.
Anschließend sollte der Anmeldebildschirm der ESET Remote
Administrator-Web-Konsole erfolgreich geladen werden.
Aktivieren Sie Ihr JavaScript oder aktualisieren Sie Ihren
Webbrowser.
„Ein unerwarteter Fehler ist aufgetreten“ oder Dieser Fehler tritt normalerweise beim Zugriff auf die ESET Remote
„Ein Ausnahmefehlerist aufgetreten“
Administrator-Web-Konsole auf. Lesen Sie den Abschnitt
Unterstützte Webbrowser.
HINWEIS
Die Web-Konsole arbeitet mit HTTPS. Daher wird im Webbrowser möglicherweise eine Meldung zu einem
Sicherheitszertifikat oder zu einer nicht vertrauenswürdigen Verbindung angezeigt. Der genaue Wortlaut der
Meldung hängt vom verwendeten Browser ab. Diese Meldung wird angezeigt, weil der Browser Sie dazu
auffordert, die Identität der Website zu bestätigen, auf die Sie zugreifen möchten. Klicken Sie auf Laden dieser
Website fortsetzen (Internet Explorer) bzw. Ich kenne das Risiko und dann auf Ausnahme hinzufügen.... Klicken
Sie dann auf Sicherheitsausnahme bestätigen (Firefox), um den Zugriff auf die ERA-Web-Konsole zuzulassen.
Dies gilt nur, wenn Sie auf die URL der ESET Remote Administrator-Web-Konsole zugreifen.
22
4.2 Dashboard
Das Dashboard ist die Standardseite, die bei der ersten Anmeldung des Benutzers bei der ERA Web-Konsole
angezeigt wird. Im Dashboard werden vordefinierte Berichte über das Netzwerk angezeigt. Über die Registerkarten
in der oberen Menüleiste können Sie zwischen den Dashboards wechseln. Jedes Dashboard besteht aus mehreren
Berichten. Sie können die Dashboards anpassen, indem Sie Berichte hinzufügen oder bearbeiten oder die Größe,
Position und Anordnung der Berichte ändern. All diese Informationen bieten einen umfassenden Überblick über
ESET Remote Administrator und die Komponenten (Clients, Gruppen, Tasks, Policies, Benutzer, Kompetenzen usw.).
In ESET Remote Administrator gibt es fünf vorkonfigurierte Dashboards:
Computer
Dieses Dashboard enthält eine Übersicht der Clientcomputer: ihr Schutzstatus, Betriebssystem, Update-Status usw.
Remote Administrator Server
In diesem Dashboard finden Sie Informationen zum ESET Remote Administrator-Server: Serverlast, Clients mit
Problemen, CPU-Auslastung, Datenbankverbindungen usw.
Antivirus-Bedrohungen
Hier werden Bericht des Virenschutzes der Client-Sicherheitsmodule angezeigt: aktive Bedrohungen, Bedrohungen
in den letzten 7/30 Tagen usw.
Firewall-Bedrohungen
Firewall-Ereignisse der verbundenen Clients, nach Schweregrad, Zeitpunkt der Erfassung usw.
ESET-Anwendungen
Dieses Dashboard enthält Informationen über installierte ESET-Anwendungen.
Dashboard-Funktionen:
23
4.2.1 Benutzereinstellungen
In diesem Bereich können Sie die Benutzereinstellungen konfigurieren. Klicken Sie auf das Benutzerkonto in der
oberen rechten Ecke der Web-Konsole (links neben der Schaltfläche Abmelden). Daraufhin werden alle aktiven
Sitzungen des aktuellen Benutzers angezeigt. Sie können sich gleichzeitig mit mehreren Webbrowsern, Computern
oder Mobilgeräten bei der ERA-Web-Konsole anmelden. Hier werden all Ihre Sitzungen angezeigt.
HINWEIS
Diese Einstellung gilt nur für den aktuell angemeldeten Benutzer. Jeder Benutzer kann eigene Zeiteinstellungen
für die ERA-Web-Konsole festlegen. Die benutzerspezifischen Zeiteinstellungen gelten für den jeweiligen
Benutzer unabhängig vom Ort, von dem auf die ERA-Web-Konsole zugegriffen wird.
Zeiteinstellungen:
Alle Informationen in ESET Remote Administrator werden intern im UTC (Coordinated Universal Time)-Standard
gespeichert. Die UTC-Zeit wird anschließend automatisch in die Zeitzone der ERA-Web-Konsole umgerechnet (unter
Berücksichtigung von Sommer- und Winterzeit). In der ERA-Web-Konsole wird die lokale Zeit des Systems
angezeigt, auf dem die ERA-Web-Konsole ausgeführt wird (nicht die interne UTC-Zeit). Sie können diese Einstellung
ändern und die in der ERA-Web-Konsole angezeigte Zeit manuell festlegen.
Deaktivieren Sie das Kontrollkästchen neben Lokale Browserzeit verwenden, um die Standardeinstellung zu
überschreiben. Anschließend können Sie die Konsolen-Zeitzone manuell festlegen und angeben, ob Sie die
Sommerzeit berücksichtigen möchten.
WICHTIG
In manchen Fällen ist die Option verfügbar, eine andere Zeitzone zu verwenden (z. B. die lokale Zeit eines
Clients, auf dem ERA ausgeführt wird). Diese Einstellung ist besonders relevant beim Konfigurieren von Triggers.
Wenn diese Option verfügbar ist, wird dies in der ERA-Web-Konsole angezeigt und Sie können auswählen, ob Sie
die lokale Zeit verwenden möchten.
Klicken Sie auf Zeiteinstellungen speichern, um Ihre Änderungen zu speichern.
Gespeicherter Benutzerstatus:
Sie können den gespeicherten GUI-Status des Benutzer zurücksetzen, indem Sie auf die Schaltfläche Gespeicherten
Benutzerstatus zurücksetzen klicken. Dabei werden Startassistent, Größen von Tabellenspalten, gespeicherte Filter,
angeheftete Seitenmenüs usw. zurückgesetzt.
24
Aktive Sitzungen
In den aktiven Sitzungen des aktuellen Benutzers werden die folgenden Daten angezeigt:
IP-Adresse des Clientcomputers bzw. Geräts, mit dem sich der Benutzer bei der ERA-Web-Konsole angemeldet
hat und via-IP-Adresse (in Klammern) des Webservers, auf dem die ERA-Web-Konsole ausgeführt wird. Falls die
ERA-Web-Konsole auf demselben Computer ausgeführt wird wie der ERA Server, wird via 127.0.0.1 angezeigt.
Datum und Uhrzeit der Anmeldung des Benutzers.
Ausgewählte Sprache für die ERA-Web-Konsole.
Die aktuelle Sitzung ist mit Diese Sitzung beschriftet. Klicken Sie auf das Papierkorb-Symbol, um eine aktive Sitzung
zu beenden.
4.2.2 Dashboard-Einstellungen
Dashboard-Einstellungen sind sowohl für vordefinierte als auch für neu erstellte Dashboards verfügbar und dienen
der Verwaltung der Dashboards. Die verfügbaren Optionen werden nachstehend beschrieben:
Neues Dashboard hinzufügen – Klicken Sie auf das Symbol
oben in der Kopfzeile des Dashboards. Geben Sie
einen Namen für das neue Dashboard ein und klicken Sie zum Bestätigen auf OK. Ein neues Dashboard ohne
Inhalte im Berichtfeld wird erstellt. Nach dem Einrichten des Dashboards können Sie Berichte zu ihm hinzufügen.
Dashboard duplizieren – Wählen Sie das zu duplizierende Dashboard aus und klicken Sie neben dem
Dashboardnamen auf . Wählen Sie Duplizieren in der Liste aus. Ein Duplikat des Dashboards wird erstellt.
Klicken Sie auf Seite Aktualisieren, um die angezeigten Informationen zu aktualisieren.
Dashboard verschieben – Klicken Sie auf den Namen eines Dashboards und ziehen Sie es an eine andere Stelle,
um seine Position in Bezug auf die anderen Dashboards zu ändern.
Dashboardgröße (Anzahl der angezeigten Berichte) ändern – Klicken Sie auf > Layout ändern. Wählen Sie die
Anzahl der im Dashboard anzuzeigenden Berichte aus (Ziehen) und klicken Sie darauf. Das Dashboardlayout wird
geändert.
Dashboard umbenennen – Klicken Sie auf neben dem Dashboardnamen und klicken Sie auf Umbenennen.
Geben Sie einen neuen Namen für das Dashboard ein und klicken Sie auf OK.
Dashboard entfernen – Klicken Sie auf neben dem Dashboardnamen, klicken Sie auf Entfernen und bestätigen
Sie Ihre Auswahl.
Größe ändern – Klicken Sie auf das Doppelpfeilsymbol rechts neben einem Bericht, um seine Größe zu ändern.
Wichtigere Berichte sollten größer, weniger wichtige Berichte kleiner dargestellt werden. Sie können einen
Bericht auch im Vollbildmodus anzeigen.
25
Diagrammtyp ändern - Klicken Sie oben links in einem Diagramm auf das Symbol Diagramm und ändern Sie den
Typ in Tortendiagramm, Liniendiagramm usw.
Klicken Sie auf Aktualisieren, um die angezeigten Informationen zu aktualisieren.
Klicken Sie auf Ändern, um einen anderen Bericht anzuzeigen.
Klicken Sie auf Bericht-Template bearbeiten, um ein Template hinzuzufügen oder zu bearbeiten.
Klicken Sie auf Aktualisierungsintervall einstellen, um festzulegen, wie häufig die Daten im Bericht aktualisiert
werden sollen. Das standardmäßige Aktualisierungsintervall beträgt 120 Sekunden.
Umbenennen/Entfernen: Über diese Schaltflächen können Sie einen Bericht umbenennen oder entfernen.
4.2.3 Detailinformationen
Mit dieser Dashboardfunktion können Sie die Daten genauer untersuchen. Hier können Sie interaktiv bestimmte
Elemente aus der Übersicht auswählen und detaillierte Daten dazu anzeigen lassen. Sie können sich also von den
Übersichtsinformationen ins Detail „herunterarbeiten“, um weitere Informationen zum Element anzuzeigen.
Meistens stehen mehrere Detailebenen zur Verfügung.
Es gibt vier Detailtypen:
Detaillierte Informationen anzeigen - Computername und -beschreibung, Name der statischen Gruppe usw. Zeigt
die ursprünglichen (nicht zusammengefasste) Daten für die ausgewählte Zeile an.
Nur 'Wert' anzeigen: Information, schwerwiegend, Sicherheitsrisiko, Sicherheitsbenachrichtigung usw.
Spalte 'Wert' erweitern - Zeigt das Detail der zusammengefassten Informationen (in der Regel für eine Anzahl
oder Summe) an. Wenn die Spalte beispielsweise nur eine Zahl enthält und Sie auf Spalte 'Computer' erweitern
klicken, werden alle Details zu den Computern aufgeführt.
Auf der Seite "Computer" (alle) - leitet Sie zur Seite „Computer“ weiter (zeigt ein Ergebnis mit 100 Elementen
an).
HINWEIS
Beim Anzeigen von Detailinformationen in anderen Berichten werden nur die ersten 1000 Elemente angezeigt.
26
27
4.2.4 Bericht-Template bearbeiten
Dieser Abschnitt beschreibt das Bearbeiten vorhandener Bericht-Templates. Informationen zum Erstellen neuer
Bericht-Templates finden Sie hier.
Klicken Sie auf das leere Quadrat im neuen Dashboard. Das Fenster zum Hinzufügen eines Berichts wird angezeigt.
Wählen Sie „Installierte Anwendungen“ aus und klicken Sie auf Hinzufügen oder „Template bearbeiten“.
Einfach
Bearbeiten Sie die grundlegenden Informationen zum Template im Bereich Einfach. Hier können Sie den Namen,
die Beschreibung und die Kategorie überprüfen oder ändern. Diese Informationen werden auf Grundlage des
ausgewählten Berichttyps vordefiniert.
Diagramm
Wählen Sie im Abschnitt Diagramm den Typ Bericht aus. In diesem Beispiel lassen wird die Option Tabelle anzeigen
leer und wählen die Option Diagramm anzeigen aus.
28
HINWEIS
Jeder ausgewählte Diagrammtyp wird im Abschnitt Vorschau angezeigt. So können Sie in Echtzeit sehen, wie der
Bericht aussehen wird.
Bei der Auswahl eines Diagramms stehen mehrere Optionen zur Verfügung. Zur besseren Übersichtlichkeit wählen
wir hier den Diagrammtyp Liniendiagramm, gestapelt aus. Dieser Diagrammtyp ist hilfreich, wenn Sie Daten mit
unterschiedlichen Maßeinheiten analysieren möchten.
Optional können Sie für die X- und Y-Achse des Diagramms eine Beschriftung festlegen, um die Analyse des
Diagramms zu erleichtern.
Daten
Geben Sie im Abschnitt Daten die Informationen ein, die an der X- und Y-Achse des Diagramms angezeigt werden
sollen. Wenn Sie auf die entsprechenden Symbole klicken, wird ein Fenster mit Optionen angezeigt. Die für die YAchse verfügbaren Optionen hängen von den Informationen ab, die für die X-Achse ausgewählt wurden (und
umgekehrt), weil das Diagramm ihre Beziehung zueinander darstellt und die Daten hierzu kompatibel sein müssen.
29
In unserem Beispiel wählen wir für die X-Achse Computer > Computername aus, um zu ermitteln, welche Computer
Spam senden. Das Format wird auf Wert > Absolut festgelegt. Der Administrator legt die Farbe und Symbole fest.
Für die Y-Achse wählen wir Installierte Software > Größe in MB, um die absolute Menge Spam-Meldungen zu
ermitteln. Das Format wird auf Wert > Absolut festgelegt. Der Administrator legt die Farbe und Symbole fest.
Sortierung
Über Sortierung hinzufügen können Sie eine Beziehung zwischen den ausgewählten Daten definieren. Wählen Sie
die Ausgangsinformationen und dann die Sortiermethode Aufsteigend oder Absteigend aus. Die Daten können auch
über beide Optionen sortiert werden (siehe oben).
Filter
Die hier angezeigten Optionen hängen von den zuvor konfigurierten Einstellungen ab (Informationen der X- und YAchse). Wählen Sie eine Option und eine mathematische Funktion aus, um festzulegen, wie die Daten gefiltert
werden sollen. In diesem Beispiel wählen wir Installierte Software und Anwendungsname > ist gleich > ESS und
Installierte Software. Größe in MB > ist größer als > 50.
Zusammenfassung
30
Überprüfen Sie in der Zusammenfassung die ausgewählten Optionen und Informationen. Wenn Sie keine
Änderungen vornehmen möchten, klicken Sie auf Fertig stellen, um ein neues Bericht-Template zu erstellen.
4.3 Computer
Alle Clientcomputer, die zu ESET Remote Administrator hinzugefügt wurden, werden hier in Gruppen geordnet
angezeigt. Wenn Sie links in der Liste auf eine Gruppe klicken, werden die Mitglieder (Clients) der Gruppe rechts
angezeigt. Sie können die Clients mit den Filtern am oberen Seitenrand filtern oder einen der vordefinierten, leicht
erreichbaren Filter verwenden:
Vier Symbole zum Filtern nach Schweregrad Rot - Fehler, Gelb - Warnungen, Grün - Hinweise und
Grau - Nicht verwaltete Computer. Das Symbol für den Schweregrad entspricht dem aktuellen Status des ESETProdukts auf dem Clientcomputer. Sie können diese Symbole je nach Bedarf ein- und ausschalten und so
kombinieren. Um beispielsweise nur Computer mit Warnungen anzuzeigen, lassen Sie nur das gelbe Symbol
aktiviert und deaktivieren Sie die restlichen Symbole. Um Warnungen und Fehler anzuzeigen, aktivieren
Sie nur die beiden entsprechenden Symbole.
Um mehrere Filterkriterien anzuwenden, klicken Sie auf Filter hinzufügen und wählen Sie ein Element aus der
Liste aus. Sie können die Ergebnisse nach Computername, Beschreibung, Verbindungszeit, BS-Version oder IPv4bzw. IPv6-Adresse filtern. Aktive Filter werden in blau hervorgehoben.
HINWEIS
Falls Sie einen bestimmten Computer nicht in der Liste finden, der bekannterweise in der ERA-Infrastruktur
enthalten ist, überprüfen Sie, ob alle Filter deaktiviert sind.
Klicken Sie auf das Symbol , um eine Aktionen auszuwählen. Sie können die Liste der Computer aktualisieren,
Spalten bearbeiten, Spalten automatisch anpassen, Ihre Auswahl aufheben oder die Tabelle sortieren.
Kontrollkästchen Untergruppen – Untergruppen der ausgewählten Gruppe anzeigen.
Nicht verwaltete Computer (Clients im Netzwerk ohne installierten ERA Agent bzw. ohne installiertes ESETSicherheitsprodukt) werden üblicherweise in der Gruppe Fundbüro angezeigt.
Sie können ein bestimmtes Gerät auswählen oder die Auswahl bestimmter Einträge aufheben, wenn Sie auf das
Kontrollkästchen Alle auswählen am oberen Rand geklickt haben.
Per Ziehen und Ablegen können Sie Clients in eine neue übergeordnete Gruppe verschieben.
Über das Dropdown-Menü unter den Filtern können Sie die Liste der angezeigten Clients (Computer/Mobilgeräte)
eingrenzen. Folgende Kategorien sind verfügbar:
31
Alle Geräte: Wählen Sie dies im Dropdownmenü aus, um erneut alle Clientcomputer ohne Eingrenzung (ohne
Filterung) anzuzeigen. Zum Eingrenzen der Ansicht können Sie die oben genannten Filteroptionen beliebig
kombinieren.
Durch ESET geschützt (durch ein ESET-Produkt geschützt)
Remote Administrator (einzelne ERA-Komponenten wie Agent, RD Sensor, Proxy usw.)
Sonstige (freigegebener lokaler Cache, virtuelle Appliance). Nachdem Sie Ihre Auswahl getroffen haben, werden
nur die übereinstimmenden Clients angezeigt.
Mit dem Kontextmenü ( -Symbol) neben einer vorhandenen Gruppe können Sie neue statische oder
dynamische Gruppen erstellen, Neue Tasks erstellen oder weitere Aktionen auswählen.
In der Legende der Symbole finden Sie weitere Details zu Symboltypen und Statusmeldungen.
32
4.3.1 Computerdetails
Wählen Sie einen Clientcomputer in einer statischen oder dynamischen Gruppe aus und klicken Sie auf Details, um
weitere Informationen zum Computer anzuzeigen.
Das Informationsfenster besteht aus sieben unterschiedlichen Bereichen:
Einfach:
o Name - Hier können Sie Name und Beschreibung des Computers ändern.
o Übergeordnete Gruppe - Hier können Sie die übergeordnete statische Gruppe des Computers ändern.
o Zugewiesene Benutzer - Hier können Sie die zu diesem Computer zugewiesenen Benutzer ändern.
o Letzte Verbindung und Letzte Prüfung - Informationen zum Zeitpunkt der letzten Verbindung bzw. der letzten
Prüfung.
o Funktionsprobleme - Link zur Liste der Probleme des aktuellen Computers.
o Stummgeschaltet - Gibt an, ob stummgeschaltete Bedrohungen existieren.
o Anzahl angewendeter Policies - Anzahl der angewendeten Policies.
o Anzahl unaufgelöster Bedrohungen - Anzahl der unaufgelösten Bedrohungen.
o ESET-Sicherheitsprodukte - Eine Liste der auf diesem Computer installierten ESET-Komponenten.
o Gerät - Informationen zu Hersteller und Modell des Computers.
o OS-Informationen - Name, Typ, Version und weitere Angaben zum Betriebssystem.
o Netzwerkadapter - Informationen zu Netzwerk, IPv4 und IPv6, Subnetz usw.
o Gerätebezeichnungen - Seriennummer, FQDN-Name usw.
Konfiguration:
o Konfiguration - Eine Liste der Konfigurationen installierter ESET-Produkte (ERA Agent, ERA Proxy, ESETEndpunkt usw.). Sie können die Konfiguration über das Kontextmenü öffnen und zu einer Policy konvertieren.
Klicken Sie auf eine Konfiguration, um die Konfiguration im Viewer zu öffnen. Klicken Sie auf Konfiguration
anfordern, um einen Task für den ERA Agent zu erstellen, mit dem die Konfigurationen aller verwalteten
Produkte angefordert werden. Der Task wird nach der Übermittlung an den ERA Agent unverzüglich ausgeführt,
und das Ergebnis wird beim nächsten Verbindungsaufbau an den ERA Server übermittelt. Anschließend können
Sie die Liste der Konfigurationen aller verwalteten Produkte abrufen. Wenn Sie auf In Richtlinie umwandeln
klicken, wird die geöffnete Konfiguration zu einer Policy konvertiert und kann anschließend bearbeitet
werden.
o Angewendete Policies - Eine Liste der auf dem Computer angewendeten Policies. Unter „Policies verwalten“
können Sie die Policy verwalten, bearbeiten, zuweisen oder löschen.
SysInspector - Anzeige von Log und Ausgaben. Klicken Sie auf Log anfordern, um einen Task mit ASAP-Trigger zu
erstellen und eine SysInspector-Loganfrage auszuführen.
Ausgeführte Tasks - Eine Liste der ausgeführten Tasks. Sie können die Ergebnisse mit Filtern eingrenzen,
Drilldowns ausführen und den Task bearbeiten, duplizieren, löschen, erneut ausführen oder eine Ausführung
planen.
Installierte Anwendungen - Eine Liste der installierten Programme mit Angaben zu Version, Größe,
Sicherheitsstatus usw.. Klicken Sie auf Deinstallieren, um eine ausgewählte Anwendung zu deinstallieren.
Daraufhin werden Sie aufgefordert, Parameter für die Deinstallation anzugeben. Dabei handelt es sich um
optionale Parameter für das Installationsprogramm (Installationspaket). Jedes Software-Installationsprogramm
verwendet eigene, einzigartige Parameter für die Deinstallation.
33
Warnungen - Eine Liste der Warnungen mit den jeweiligen Details: Problem, Status, Produkt, Aufgetreten,
Schweregrad usw.. In diesem Bildschirm können Sie Aktionen ausführen, indem Sie unten rechts auf Tasks klicken.
Bedrohungen und Quarantäne - Hier werden alle Bedrohungsarten angezeigt. Sie können die Liste jedoch nach
Virenschutz, Firewall und HIPS filtern, um nur bestimmte Elemente anzuzeigen.
o Quarantäne - Eine Liste der Bedrohungen in der Quarantäne mit Angaben zu Bedrohungsname, Bedrohungstyp,
Objektname, Größe, Zeitpunkt des ersten Auftretens, Anzahl, Benutzerbegründung usw.
Klicken Sie auf die Schaltfläche Tasks, um Aktionen auszuführen. In der Legende der Symbole finden Sie weitere
Details zu den Aktionen.
34
4.3.2 CSV importieren
Upload - Klicken Sie auf Datei auswählen und navigieren Sie zur .csv-Datei, die Sie hochladen möchten.
Trennzeichen - Das Trennzeichen dient zur Abgrenzung einzelner Zeichenfolgen. Wählen Sie ein passendes
Trennzeichen (Semikolon, Komma, Leerzeichen oder Tab) für Ihre .csv-Datei aus. Falls Ihre .csv-Datei ein
anderes Trennzeichen verwendet, markieren Sie das Kontrollkästchen Andere und geben Sie das Zeichen ein.
Datenvorschau zeigt den Inhalt Ihrer .csv-Datei an und hilft Ihnen dabei, das richtige Trennzeichen
herauszufinden.
Spaltenzuordnung - Nachdem die .csv-Datei hochgeladen und analysiert wurde, müssen Sie die einzelnen
Datenspalten in der Daten zu den jeweiligen ERA-Spalten zuordnen (Name, E-Mail-Adresse, Gerätename,
Beschreibung usw.). Verwenden Sie die Dropdownlisten, um die CSV-Spalten zu den entsprechenden ERASpalten zuzuordnen. Falls Ihre .csv-Datei keine Überschriftenzeile enthält, deaktivieren Sie das Kontrollkästchen
CSV-Überschriften. Überprüfen Sie die Tabellenvorschau, um Ihre Spaltenzuordnung zu überprüfen und
sicherzustellen, dass der Importvorgang wie gewünscht ausgeführt wird.
35
Überprüfen Sie die korrekte Zuordnung der Tabellen und klicken Sie auf Importieren, um den Importvorgang zu
starten.
4.4 Bedrohungen
Im Abschnitt Bedrohungen finden Sie eine Übersicht aller Bedrohungen, die auf den Computern in Ihrem Netzwerk
gefunden wurden. Auf der linken Seite wird die Struktur der Gruppen angezeigt. Hier können Sie die Gruppen
durchsuchen und Bedrohungen auf Mitgliedern einer bestimmten Gruppe anzeigen. Wählen Sie die Gruppe Alle
und den Filter Alle Bedrohungsarten aus, um alle Bedrohungen auf den Clients beliebiger Gruppen anzuzeigen.
Bedrohungen filtern
Standardmäßig werden alle Bedrohungsarten der letzten 7 Tage angezeigt. Um mehrere Filterkriterien zu
verwenden, klicken Sie auf Filter hinzufügen und wählen Sie ein Element aus der Liste aus. Sie können die
Ergebnisse nach Computer stummgeschaltet, Bedrohung abgewehrt, Name (Name der Bedrohung), Ursache
(Ursache der Bedrohung) oder IPv4/IPv6 (Adresse des Clients, der die Bedrohung gemeldet hat) filtern.
Standardmäßig werden alle Bedrohungsarten angezeigt. Sie können sie jedoch nach Virenschutz, Firewall und HIPS
filtern, um nur bestimmte Elemente anzuzeigen.
On-Demand-Scan
Mit dieser Option wird der Task On-Demand-Scan auf dem Client ausgeführt, der die Bedrohung gemeldet hat.
Als "Erledigt" kennzeichnen / Als "Nicht erledigt" kennzeichnen
Bedrohungen können jetzt im entsprechenden Bereich oder in den Details eines Clients als "Erledigt" markiert
werden.
Stummschalten
Mit dieser Option wird die Bedrohung (nicht der Client) stummgeschaltet. Der Bericht wird nicht mehr als aktiv
angezeigt. Sie können auch den Client, der die Bedrohung gemeldet hat, stummschalten (wählen Sie hierzu aus
dem Kontextmenü der Bedrohung Stummschalten aus).
Tabellenspalten:
Erledigt, Objekt, Prozessname, Beschreibung, Benutzer, Computerbeschreibung, Aktionsdetails, Neustart
erforderlich, Scanner, Objekttyp, Umstände, Anzahl Vorkommnisse, Quelladresse, Quellport, Zieladresse usw.
36
4.5 Berichte
Mit Berichten können Sie die Daten aus der Datenbank bequem filtern und auf sie zugreifen. Berichte sind in
Kategorien unterteilt. Jede Kategorie enthält auch eine kurze Beschreibung. Klicken Sie unten auf der Seite auf Jetzt
generieren, um einen Bericht auf Basis eines ausgewählten Templates zu erstellen und den Bericht anzuzeigen.
Sie können vordefinierte Bericht-Templates aus der Liste der Kategorien und Templates verwenden oder ein neues
Bericht-Template mit benutzerdefinierten Einstellungen erstellen. Klicken Sie auf Neues Bericht-Template
erstellen, um die Einstellungen für jeden Bericht im Detail anzuzeigen und benutzerdefinierte Einstellungen für
einen neuen Bericht festzulegen.
Nach der Auswahl eines Berichts ist das Kontextmenü Aktionen verfügbar. Es wird angezeigt, wenn Sie unten auf
der Seite auf Bericht-Templates klicken. Folgende Optionen stehen zur Verfügung:
Jetzt generieren ...
Wählen Sie einen Bericht aus der Liste aus und navigieren Sie zu Bericht-Templates > Jetzt generieren... bzw.
klicken Sie einfach auf Jetzt generieren.... Der Bericht wird erstellt und Sie können die Ausgabedaten überprüfen.
37
Neue Kategorie...
Geben Sie Name und Beschreibung ein, um eine neue Bericht-Template-Kategorie zu erstellen.
Neues Bericht-Template...
Erstellen Sie ein neues Bericht-Template.
Bearbeiten ...
Bearbeiten Sie ein vorhandenes Bericht-Template. Es gelten die gleichen Einstellungen und Optionen wie bei der
Erstellung neuer Bericht-Templates.
Duplizieren
Mit dieser Option können Sie neue Berichte anhand des ausgewählten Berichts erstellen. Für das Duplikat muss ein
neuer Name ausgewählt werden.
Löschen
Entfernt das ausgewählte Bericht-Template vollständig.
Importieren ...
Wählen Sie Bericht-Templates aus der Liste aus und klicken Sie auf Bericht-Templates > Importieren, dann auf Datei
auswählen und navigieren Sie zu der Datei, die Sie importieren möchten.
Exportieren ...
Wählen Sie in der Liste die zu exportierenden Bericht-Templates aus und klicken Sie auf Bericht-Templates >
Exportieren. Die Bericht-Templates werden als .dat-Datei exportiert. Zum Exportieren mehrerer Bericht-Templates
müssen Sie den Auswahlmodus ändern. Weitere Informationen finden Sie unter Modi. Sie können auch eine
gesamte Template-Kategorie inklusive aller Bericht-Templates exportieren.
Mit der Option Modi können Sie den Auswahlmodus ändern (einzeln oder mehrfach). Klicken Sie auf den Pfeil in
der oberen rechten Ecke und wählen Sie einen Eintrag aus dem Kontextmenü aus:
Einzelauswahl-Modus - Ein einzelnes Element kann ausgewählt werden.
Mehrfachauswahl-Modus - Mehrere Elemente können über die Kontrollkästchen ausgewählt werden.
Aktualisieren - Die angezeigten Daten werden aktualisiert.
HINWEIS
Das Exportieren...-Feature exportiert ausgewählte Bericht-Templates, die anschließend mit der ImportierenFunktion auf einem anderen ERA Server importiert werden können. Dies ist hilfreich, wenn Sie z. B. Ihre
benutzerdefinierten Bericht-Templates auf einen anderen ERA Server migrieren möchten.
WICHTIG
Mit dem Importieren / Exportieren-Feature können nur Bericht-Templates importiert bzw. exportiert
werden, nicht die aus den Daten generierten Berichte.
38
4.5.1 Erstellen eines neuen Bericht-Templates
Öffnen Sie Berichte und klicken Sie links unter Kategorien & Templates auf Bericht-Templates. Wählen Sie im
Popup-Fenster den Eintrag Neues Bericht-Template ... aus.
Einfach
Bearbeiten Sie die grundlegenden Informationen zum Template. Geben Sie einen Namen, eine Beschreibung und
eine Kategorie ein. Sie können entweder eine vordefinierte Kategorie verwenden oder eine neue erstellen
(verwenden Sie hierzu die im vorigen Kapitel beschriebene Option „Kategorie“).
Diagramm
Wählen Sie im Abschnitt Diagramm den Typ Bericht aus. Wählen Sie entweder eine Tabelle aus, um die
Informationen in Zeilen und Spalten anzuordnen, oder ein Diagramm, in dem die Daten an X- und Y-Achsen
angezeigt werden.
39
HINWEIS
Der ausgewählte Diagrammtyp wird im Abschnitt Vorschau angezeigt. So können Sie in Echtzeit sehen, wie der
Bericht aussehen wird.
Bei der Auswahl eines Diagramms stehen mehrere Optionen zur Verfügung:
Balkendiagramm – Ein Diagramm mit rechteckigen Balken, deren Größe proportional zum dargestellten Wert ist.
Punktdiagramm – Die quantitativen Werte werden mit Punkten dargestellt (ähnelt einem Balkendiagramm).
Tortendiagramm – Ein Tortendiagramm ist ein kreisförmiges Diagramm, dessen einzelne Teile proportional zur
Größe der dargestellten Werte sind.
Ringdiagramm – Ähnelt dem Tortendiagramm, kann jedoch mehrere Datentypen enthalten.
Liniendiagramm – Zeigt die Informationen als Reihe von Datenpunkten an, die durch gerade Linien verbunden
sind.
Liniendiagramm, einfach – Zeigt die Informationen als auf den Werten basierende Linie ohne Datenpunkte an.
Liniendiagramm, gestapelt – Dieser Diagrammtyp ist hilfreich, wenn Sie Daten mit unterschiedlichen
Maßeinheiten analysieren möchten.
Balkendiagramm, gestapelt – Ähnelt dem einfachen Balkendiagramm, die Balken enthalten jedoch Werte
verschiedener Maßeinheiten, die übereinander gestapelt sind.
Optional können Sie für die X- und Y-Achse des Diagramms eine Beschriftung eingeben, um die Analyse des
Diagramms zu erleichtern.
Daten
Im Abschnitt Daten können Sie die anzuzeigenden Informationen auswählen:
a. Tabellenspalten: Die Informationen werden automatisch auf Grundlage des ausgewählten Berichttyps in die
Tabelle eingefügt. Sie können die Angaben unter Name, Beschriftung und Format anpassen (siehe unten).
b. Diagrammachsen: Wählen Sie die Daten für die X- und Y-Achse aus. Wenn Sie auf die entsprechenden Symbole
klicken, wird ein Fenster mit Optionen angezeigt. Die für die Y-Achse verfügbaren Optionen hängen von den
Informationen ab, die für die X-Achse ausgewählt wurden (und umgekehrt), weil das Diagramm ihre
Beziehung zueinander darstellt und die Daten hierzu kompatibel sein müssen. Wählen Sie die gewünschten
Informationen aus und klicken Sie auf OK.
Sie können das Format zur Anzeige der Daten ändern:
Datenleiste (nur für Balkendiagramme) / Wert / Farbe / Symbole
40
Sortierung
Über Sortierung hinzufügen können Sie eine Beziehung zwischen den ausgewählten Daten definieren. Wählen Sie
die Ausgangsinformationen (Sortierwert) und die Sortiermethode Aufsteigend oder Absteigend aus. Diese Angaben
definieren die Ausgabe im Diagramm.
Filter
Legen Sie als nächstes die Filtermethode fest. Wählen Sie aus der Liste das Filterkriterium und einen Wert aus. Der
Filter legt fest, welche Informationen im Diagramm angezeigt werden.
Zusammenfassung
Überprüfen Sie in der Zusammenfassung die ausgewählten Optionen und Informationen. Wenn Sie keine
Änderungen vornehmen möchten, klicken Sie auf Fertig stellen, um ein neues Bericht-Template zu erstellen.
Für jeden Bericht im Dashboard stehen eigene Optionen zur Anpassung zur Verfügung. Klicken Sie oben rechts auf
das Zahnradsymbol, um die Optionen anzuzeigen. Hier können Sie die angezeigten Optionen Aktualisieren, den
Bericht in einen anderen Bericht Ändern, das Bericht-Template Bearbeiten (siehe oben beschriebene Optionen),
ein neues Intervall für das Aktualisieren der Daten im Bericht festlegen oder den Bericht Umbenennen/Entfernen.
Über die Pfeil im Symbol unten können Sie die Größe des Berichts anpassen. Gestalten Sie beispielsweise wichtige
Berichter größer, weniger wichtige Berichte kleiner. Klicken Sie auf Vollbildmodus ein/aus, um den Bericht im
Vollbildmodus anzuzeigen.
4.5.2 Bericht generieren
Ein Template kann auf zwei verschiedene Weisen erstellt oder bearbeitet werden:
1. Navigieren Sie zu Admin > Tasks > Server-Tasks. Wählen Sie Neu ... aus, um einen neuen Berichtgenerierungstask
zu erstellen.
2. Wählen Sie zum Erzeugen des Berichts ein Bericht-Template aus. Sie können ein vordefiniertes Bericht-Template
verwenden und bearbeiten oder ein neues Bericht-Template erstellen.
Sie können den Bericht entweder per E-Mail senden (in einem hier festgelegten Dateiformat) oder in einer Datei
speichern. Durch Klicken auf eine der Optionen werden die entsprechendem Einstellungen angezeigt.
Konfigurieren Sie die Einstellungen (wie für den Task Bericht erzeugen beschrieben) und klicken Sie auf Fertig
stellen.
Der Task ist nun erstellt und wird in der Liste der Tasktypen angezeigt. Wählen Sie den Task aus und klicken Sie
unten auf der Seite auf Jetzt ausführen. Der Task wird sofort ausgeführt.
Sie können generierte Berichte Speichern oder Aktualisieren.
4.5.3 Planen eines Berichts
1. Navigieren Sie zu Admin > Tasks > Server-Tasks. Wählen Sie Neu aus, um einen neuen Task vom Typ Bericht
generieren zu erstellen.
2. Wählen Sie zum Erzeugen des Berichts ein Bericht-Template aus. Sie können ein vordefiniertes Bericht-Template
verwenden und bearbeiten oder ein neues Bericht-Template erstellen.
Sie können den Bericht entweder per E-Mail senden (in einem hier festgelegten Dateiformat) oder in einer Datei
speichern. Durch Klicken auf eine der Optionen werden die entsprechendem Einstellungen angezeigt.
Konfigurieren Sie die Einstellungen (wie für den Task Bericht erzeugen beschrieben). Erstellen wir dieses Mal
einen Servertrigger für den Task.
Navigieren Sie unter Trigger zu Einstellungen. Wählen Sie Geplanter Trigger aus und geben Sie an, wann der Task
ausgeführt werden soll.
Klicken Sie auf Fertig stellen. Der Task wird erstellt und zum hier definierten Zeitpunkt (einmalig oder
wiederholt) ausgeführt.
41
4.5.4 Veraltete Anwendungen
Rufen Sie den Bericht mit dem Namen Veraltete Anwendungen auf, um anzuzeigen, welche ERA-Komponenten
veraltet sind.
Dies können Sie auf zwei Arten tun:
1. Fügen Sie ein Neues Dashboard hinzu. Klicken Sie auf eine der Kacheln, um ein Popup-Fenster mit der Liste der
Bericht-Templates anzuzeigen. Wählen Sie den Bericht Veraltete Anwendungen aus der Liste aus und klicken Sie
auf Hinzufügen.
2. Navigieren Sie im Bereich Berichte zur Kategorie Computer, wählen Sie die Vorlage Veraltete Anwendungen aus
der Liste aus und klicken Sie unten auf die Schaltfläche Jetzt generieren.... Der Bericht wird erstellt und Sie
können die Ausgabedaten überprüfen.
Mit dem Client-Task Upgrade von Administrator-Komponenten können Sie die Komponenten aktualisieren.
4.5.5 SysInspector-Loganzeige
Mit der SysInspector-Loganzeige können Sie Logs aus SysInspector anzeigen, nachdem dieser auf einem
Clientcomputer ausgeführt wurde. Sie können die SysInspector-Logs auch direkt aus einer SysInspector-Loganfrage
öffnen, nachdem diese erfolgreich ausgeführt wurde.
Führen Sie dazu die folgenden Schritte aus:
1. Fügen Sie ein Neues Dashboard hinzu. Klicken Sie auf eine der Kacheln, um ein Popup-Fenster mit der Liste der
Bericht-Templates zu öffnen.
2. Navigieren Sie im Bereich Berichte zur Kategorie Automatisierung, wählen Sie die Vorlage Verlauf der
SysInspector-Snapshots der letzten 30 Tage aus und klicken Sie auf Jetzt generieren.... Der Bericht wird erstellt
und Sie können die Ausgabedaten überprüfen.
42
3. Wählen Sie einen Computer in einer statischen oder dynamischen Gruppe aus und klicken Sie auf
dann auf die SysInspector-Registerkarte und auf SysInspector-Log-Anzeige öffnen.
Details...,
43
5. ESET Remote Administrator-Ausgangskonfiguration
Bevor Sie mit der Verwaltung der ESET-Unternehmensprodukte beginnen können, müssen Sie eine
Ausgangskonfiguration vornehmen. Dazu empfehlen wir Ihnen, die Schritte in der Statusübersicht von Anfang bis
Ende zu durchlaufen, insbesondere falls Sie den Startassistenten übersprungen haben.
In der Statusübersicht finden Sie Beschreibungen der einzelnen Abschnitte. Die folgenden Kapitel enthalten
zusätzliche Informationen.
5.1 Statusübersicht
In der Statusübersicht werden Nutzungsstatistiken und ein allgemeiner Status Ihrer ESET Remote AdministratorInstallation angezeigt. Hier erhalten Sie außerdem Hilfe für Ihre Ausgangskonfiguration von ESET Remote
Administrator. Klicken Sie auf Admin > Statusübersicht, um ausführliche Statusinformationen zu ESET Remote
Administrator in den folgenden Bereichen anzuzeigen (über die Schaltflächen können Sie Aktionen ausführen):
Hilfe und Support - In unseren Anleitungsvideos und der ESET-Knowledgebase finden Sie weitere Informationen
zu ESET Remote Administrator.
Benutzer - Sie können mehrere Benutzer erstellen und deren Berechtigungen konfigurieren, um verschiedene
Verwaltungsstufen in ESET Remote Administrator einzurichten. Das ERA Administrator-Standardkonto wird bei
der Installation erstellt. Das ERA-Administratorkonto sollte nicht normales Benutzerkonto verwendet werden.
Erstellen Sie ein neues integriertes Benutzerkonto und verwenden Sie dieses Konto anstelle des ERAAdministratorkontos.
Zertifikate (optional) - Falls Sie nicht die von ERA bereitgestellten Zertifikate verwenden möchten, können Sie
hier Zertifizierungsstellen und Peerzertifikate für einzelne ESET Remote Administrator-Komponenten für die
Kommunikation mit dem ERA Server erstellen.
Lizenzen - ESET Remote Administrator 6 verwendet ein völlig neues ESET-Lizenzierungssystem. Wählen Sie die
gewünschte Methode zum Hinzufügen der Lizenzen aus, die zur Aktivierung von ERA-Komponenten und ESETSicherheitsprodukten auf den Clientcomputern verwendet werden.
Computer - Sie haben verschiedene Optionen beim Hinzufügen von Clientcomputern, Servern und Mobilgeräten
in Ihrem Netzwerk zur ERA-Struktur. Sie können Computer und Mobilgeräte manuell hinzufügen oder eine Liste
von Geräten importieren. Sie können die vom ESET RD Sensor erkannten Computer automatisch importieren oder
über statische Gruppen synchronisieren, die Sie mit Active Directory, LDAP, VMware usw. abgleichen können.
Agenten - Sie können ERA Agenten auf verschiedene Arten auf Clientcomputern in Ihrem Netzwerk bereitstellen.
Außerdem können Sie eine neue Policy für ERA Agenten zur Änderung des Verbindungsintervalls erstellen.
Produkte - Nach der Bereitstellung des ERA Agenten können Sie Software direkt aus dem ESET-Repository
installieren oder den Speicherort (URL oder freigegebener Ordner) eines Installationspakets angeben. Sie können
eine neue Policy erstellen, um die Konfiguration von ESET-Sicherheitsprodukten zu ändern, die auf den
Clientcomputern installiert sind. Außerdem können Sie bei Bedarf die Servereinstellungen ändern.
SMTP-Einstellungen - ESET Remote Administrator kann Ihren vorhandenen SMTP-Server für den E-Mail-Versand
verwenden, z. B. für Benachrichtigungen, E-Mails für die Registrierung von Mobilgeräten, Berichte usw.
44
5.2 Neuer Systembenutzer
Wenn Sie in der ERA-Web-Konsole angemeldet sind, können Sie mehrere Systembenutzer erstellen und deren
Berechtigungssätze festlegen, um verschiedene Verwaltungsstufen in ESET Remote Administrator einzurichten.
WICHTIG
Das ERA-Administratorkonto sollte nicht als normales Benutzerkonto verwendet werden. Dieses Konto dient als
Backup, falls ein Problem mit den normalen Benutzerkonten auftritt oder falls Sie ausgesperrt werden. In diesen
Fällen können Sie sich mit dem Administratorkonto anmelden.
Um einen neuen Systembenutzer zu erstellen, klicken Sie auf der Registerkarte Admin auf Zugriffsrechte > Benutzer
und dann unten auf der Seite auf Benutzer oder Neu.
Um ein zweites Administratorkonto zu erstellen, erstellen Sie einen Systembenutzer und weisen Sie diesem
Benutzerkonto den Administratorberechtigungssatz zu.
Einfach
Geben Sie einen Benutzernamen und optional eine Beschreibung für den neuen Benutzer ein.
Authentifizierung
Das Passwort des Benutzers sollte aus mindestens 8 Zeichen bestehen. Das Passwort darf nicht den Benutzernamen
enthalten.
Benutzerkonto
Lassen Sie die Option Aktiviert ausgewählt, es sei denn, Sie möchten (zur späteren Verwendung) ein inaktives
Konto erstellen.
Lassen Sie die Option Muss Passwort ändern deaktiviert. Wenn diese Option aktiviert ist, muss der Benutzer bei
der ersten Anmeldung an der ERA Web-Konsole sein Passwort ändern.
Die Option Passwort läuft ab legt fest, wie viele Tage das Passwort gültig ist, bevor es geändert werden muss.
Die Option Autom. Abmeldung (Min) legt fest, nach wie vielen Minuten Inaktivität der Benutzer automatisch von
der Web-Konsole abgemeldet wird.
Zur Identifizierung des Benutzers können außerdem die Angaben Kompletter Name, E-Mail-Adresse und
Telefonnummer eingegeben werden.
45
Berechtigungssatz
Weisen Sie dem Benutzer Berechtigungen (Rechte) zu. Sie können einen vordefinierten Berechtigungssatz
auswählen: Prüfer-Berechtigungssatz (ähnlich Lesezugriff), Administrator-Berechtigungssatz (ähnlich Vollzugriff)
oder Berechtigungssatz für servergestützte Installation (ähnlich Lesezugriff). Alternativ können Sie einen
benutzerdefinierten Berechtigungssatz erstellen.
Zusammenfassung
Überprüfen Sie die für den Benutzer konfigurierten Einstellungen und klicken Sie auf Fertig stellen, um das Konto
zu erstellen.
5.3 Zertifikate
Zertifikate sind ein wichtiger Teil von ESET Remote Administrator und werden für die Kommunikation zwischen
ERA-Komponenten und dem ERA Server benötigt. Alle Peerzertifikate müssen gültig sein und von derselben
Zertifizierungsstelle stammen, um sicherzustellen, dass alle Komponenten korrekt miteinander kommunizieren
können.
Für Zertifikate haben Sie verschiedene Optionen zur Auswahl:
Sie können die Zertifikate verwenden, die bei der ERA-Installation automatisch erstellt wurden.
Sie können eine Zertifizierungsstelle (ZS) erstellen oder einen öffentlichen Schlüssel importieren, mit dem Sie
anschließend Peerzertifikate für die einzelnen Komponenten (ERA Agent, ERA Proxy, ERA Server, ERA MDM oder
Virtual Agent Host) signieren.
Alternativ können Sie benutzerdefinierte Zertifizierungsstellen und Zertifikate verwenden.
HINWEIS
Falls Sie Ihren ERA Server auf einen neuen Computer migrieren möchten, müssen Sie sämtliche
Zertifizierungsstellen und Ihr ERA-Serverzertifikat exportieren oder sichern. Andernfalls kann keine der ERAKomponente mit Ihrem neuen ERA Server kommunizieren.
5.4 Lizenzen
ESET Remote Administrator ESET Remote Administrator verfügt über eine eigene Lizenzverwaltung im Hauptmenü
unter Admin > Lizenzverwaltung.
Sie können Lizenzen auf eine dieser drei Arten hinzufügen: Sie können einen Lizenzschlüssel eingeben oder die
Anmeldeinformationen eines Sicherheitsadmins eingeben oder eine Offline-Lizenzdatei hochladen.
Geben Sie in das entsprechende Feld den Lizenzschlüssel ein, den Sie beim Kauf der ESET-Sicherheitslösung
erhalten haben. Sie können den Lizenzschlüssel entweder kopieren und einfügen oder manuell eingeben. Wenn
Sie über einen alten Lizenznachweis (in Form von Benutzername und Passwort) verfügen, konvertieren Sie die
Anmeldedaten in einen Lizenzschlüssel. Wenn die Lizenz nicht registriert ist, wird der Registrierungsvorgang
ausgelöst. Dieser erfolgt im ELA-Portal (ERA stellt je nach Ursprung der Lizenz eine für die Registrierung gültige
URL bereit).
46
Geben Sie die Anmeldedaten für den Sicherheitsadministrator ein (die delegierten Lizenzen werden später im
ERA-Lizenzmanager angezeigt).
47
Geben Sie die Offline-Lizenzdatei ein. Diese muss über das ELA-Portal exportiert werden. Fügen Sie die
Informationen über die von ERA zu verwaltenden Produkte hinzu. Zum Generieren der Offline-Lizenzdatei
müssen Sie im ESET-Lizenzadministrator-Portal ein spezifisches Lizenzdatei-Token eingeben. Andernfalls wird die
Lizenzdatei von ESET Remote Administrator nicht akzeptiert.
48
Klicken Sie auf das Dokumentsymbol
, um die Offline-Lizenzdatei zu speichern.
Wechseln Sie wieder zur ERA-Lizenzverwaltung, klicken Sie auf „Lizenzen hinzufügen“, suchen Sie nach der in ELA
exportierten Offline-Lizenzdatei und klicken Sie dann auf Hochladen.
49
Die Lizenzen können über zwei Tasks von ERA an die ESET-Sicherheitsprodukte verteilt werden:
Software-Installationstask
Produktaktivierungstask
5.5 Bereitstellung
Nach der erfolgreichen Installation von ESET Remote Administrator muss der ERA Agent auf den Clientcomputern im
Netzwerk bereitgestellt werden. Dieser Abschnitt beschreibt alle verfügbaren Methoden für die Bereitstellung des
ERA Agenten. Diese Komponente ist wichtig, da die Kommunikation zwischen den ESET-Sicherheitslösungen auf
den Clientcomputern und dem ERA Server ausschließlich über den Agenten erfolgt.
Nach der erfolgreichen Installation von ESET Remote Administrator und der Ausgangskonfiguration von ESET
Remote Administrator können Sie die Bereitstellung mit den folgenden Schritten durchführen:
1. Fügen Sie Clientcomputer zur ERA-Gruppenstruktur hinzu. ERA Agent und ESET Endpoint Protection müssen
unbedingt auf allen Computern im Netzwerk bereitgestellt werden.
2. Agenten-Bereitstellung - Sie haben die Wahl zwischen lokaler Bereitstellung und Remote-Bereitstellung.
3. Erstellen Sie eine Policy mit Ihren benutzerdefinierten Einstellungen - Diese Policy wird vom Agenten
umgesetzt, sobald die Software installiert wurde. Weitere Details finden Sie in Schritt 4.
4. Bereitstellung von ESET Endpoint Protection - Führen Sie einen Software-Installationstask aus, um ESETSicherheitsprodukte zu installieren.
Wenn bei der Remote-Bereitstellung des ERA Agenten Probleme auftreten (d. h. der Servertask AgentenBereitstellung schlägt fehl), beachten Sie die Hinweise unter Fehlerbehebung oder verwenden Sie eines der
verifizierten Szenarien:
Fehlerbehebung – Agenten-Bereitstellung
Fehlerbehebung – Agenten-Verbindung
5.5.1 Hinzufügen eines Clientcomputers zur ERA-Struktur
Bevor Sie mit der Verwaltung von Clientcomputern in Ihrem Netzwerk beginnen können, müssen Sie die Computer
zu ESET Remote Administrator hinzufügen. Wählen Sie eine der folgenden Optionen aus:
Active Directory-Synchronisierung
RD Sensor-Komponente
Geräte manuell hinzufügen
ERA Agent lokal installieren
50
5.5.1.1 Active Directory-Synchronisierung
Die AD-Synchronisierung wird über den Servertask Synchronisierung statischer Gruppen ausgeführt.
Admin > Servertask ist ein vordefinierter Standardtask, der bei der Installation von ESET Remote Administrator
automatisch ausgeführt werden kann. Wenn sich der Computer in einer Domäne befindet, wird die
Synchronisierung ausgeführt und die Computer aus AD in der Standardgruppe Alle aufgelistet.
Klicken Sie auf den Task und wählen Sie Jetzt ausführen aus, um den Synchronisierungsvorgang zu starten. Wenn Sie
einen neuen AD-Synchronisierungstask erstellen möchten, wählen Sie eine Gruppe aus, zu der Sie neue Computer
aus AD hinzufügen möchten. Wählen Sie die Objekte im AD aus, von denen Sie synchronisieren möchten, und
wählen Sie Aktionen für Duplikate aus. Geben Sie die Verbindungseinstellungen für den AD-Server ein und legen
Sie den Synchronisierungsmodus auf Active Directory/Open Directory/LDAP fest. Weitere Informationen finden Sie
in diesem ESET Knowledgebase-Artikel.
51
5.5.1.2 Rogue Detection Sensor
Wenn Sie keine AD-Synchronisierung verwenden, ist die einfachste Lösung zum Hinzufügen eines Computers in die
ERA-Struktur die Verwendung von RD Sensor. Die RD Sensor-Komponente ist Teil des Installationspakets. Führen
Sie einen Drilldown im Bericht Anteil unerwünschter Computer im unteren Bereich des Computer-Dashboards aus,
um unerwünschte Computer anzuzeigen, indem Sie auf den roten Teil der Grafik klicken.
Im Bericht Unerwünschte Computer im Dashboard werden nun die vom RD Sensor erfassten Computer angezeigt.
Um einen ausgewählten Computer hinzuzufügen, klicken Sie auf den gewünschten Computer und dann auf
Hinzufügen. Alternativ können Sie Alle angezeigten Elemente hinzufügen.
Befolgen Sie die Anweisungen auf dem Bildschirm, wenn Sie einen einzelnen Computer hinzufügen möchten. Sie
können einen vordefinierten Namen verwenden oder einen eigenen Namen angeben. Der Name ist nur ein
Anzeigename, der in der ERA-Web-Konsole angezeigt wird, nicht ein Hostname. Geben Sie wahlweise eine
Beschreibung ein. Wenn der Computer bereits im ERA-Verzeichnis vorhanden ist, werden Sie darüber informiert
und können auswählen, wie mit dem Duplikat vorgegangen werden soll. Folgende Optionen stehen zur Verfügung:
Agent bereitstellen, Überspringen, Wiederholen, Verschieben, Duplizieren und Abbrechen. Nach dem Hinzufügen
des Computers wird ein Popup-Fenster mit der Option Agent bereitstellen angezeigt.
52
Wenn Sie Alle angezeigten Elemente hinzufügen auswählen, wird eine Liste der hinzuzufügenden Computer
angezeigt. Klicken Sie neben dem Namen eines Computers auf „X“, wenn der Computer momentan nicht in das
ERA-Verzeichnis aufgenommen werden soll. Wenn Sie keine Computer mehr aus der Liste entfernen möchten,
klicken Sie auf Hinzufügen. Wählen Sie dann aus, welche Aktion ausgeführt werden soll, wenn ein Duplikat
gefunden wird (je nach Anzahl der Computer in der Liste kann eine kurze Verzögerung auftreten): Überspringen,
Wiederholen, Verschieben, Duplizieren und Abbrechen. Nachdem Sie eine Option ausgewählt haben, wird ein
Popup-Fenster mit den hinzugefügten Computern geöffnet, das die Option Agent bereitstellen enthält.
Die Ergebnisse des RD-Sensor-Scans werden in die Log-Datei detectedMachines.log geschrieben. Die Datei enthält
eine Liste der im Netzwerk erkannten Computer. Sie finden die Datei detectedMachines.log hier:
Windows
C:\ProgramData\ESET\Rouge Detection Sensor\Logs\detectedMachines.log
Linux
/var/log/eset/RogueDetectionSensor/detectedMachines.log
5.5.1.3 Hinzufügen von Computern
Mit dieser Funktion können Sie Computer oder Mobilgeräte manuell hinzufügen, die nicht automatisch gefunden
und hinzugefügt wurden. In der Registerkarte Computer bzw. Gruppen können Sie neue Computer oder
Mobilgeräte hinzufügen.
1. Um einen neuen Computer hinzuzufügen, navigieren Sie zur Registerkarte Computer, klicken Sie auf die
Schaltfläche Neue hinzufügen und wählen Sie Computer aus (oder klicken Sie auf neben einer vorhandenen
statischen Gruppe und anschließend auf Neue hinzufügen).
2. Geben Sie die IP-Adresse oder den Hostnamen des Computers ein, den Sie hinzufügen möchten. ESET Remote
Administrator sucht im Netzwerk nach dem Computer. Wahlweise können Sie eine Beschreibung für die
Computer eingeben.
3. Im Dropdown-Menü Konfliktlösung können Sie eine Aktion für den Fall auswählen, dass der Computer bereits in
ERA vorhanden ist:
o Bei Konflikt nachfragen: Wenn ein Konflikt erkannt wird, fordert das Programm Sie zur Auswahl einer Aktion auf
(siehe nachstehende Optionen).
o Computer mit Konflikten überspringen: Bereits vorhandene Computer werden nicht hinzugefügt.
o Computer mit Konflikten aus anderen Gruppen verschieben: Computer mit Konflikten werden aus der
ursprünglichen Gruppe in die Gruppe Alle verschoben.
o Computer mit Konflikten duplizieren: Neue Computer werden hinzugefügt, jedoch mit einem anderen Namen.
53
4. Klicken Sie auf + Gerät hinzufügen, um weitere Computer hinzuzufügen. Um Computer aus der Geräteliste zu
löschen, wählen Sie das Papierkorb-Symbol aus oder klicken Sie auf Alle entfernen, um alle Geräte zu entfernen.
5. Klicken Sie alternativ auf CSV importieren, um eine .csv-Datei mit einer Liste der hinzuzufügenden Computer
hochzuladen. Weitere Informationen finden Sie unter CSV importieren.
6. Klicken Sie auf Hinzufügen, wenn Sie Ihre Änderungen abgeschlossen haben.
HINWEIS
Das Hinzufügen mehrerer Computer kann einige Zeit in Anspruch nehmen, Reverse-DNS-Lookup kann
durchgeführt werden.
Klicken Sie auf Hinzufügen, um ein Popupfenster mit einer Liste von Geräten zu öffnen. Klicken Sie auf OK oder auf
Agent bereitstellen.
7. Wenn Sie Agent bereitstellen ausgewählt haben, müssen Sie einen Bereitstellungstyp auswählen:
54
55
5.5.2 Bereitstellung des Agenten
Die Bereitstellung des ERA Agenten kann auf verschiedene Arten erfolgen. Sie können den Agenten lokal oder
remote bereitstellen:
Lokale Bereitstellung - Mit einem All-in-one-Installationspaket (ERA Agent und ESET-Sicherheitsprodukt), dem
Live-Installationsprogramm für Agenten oder indem Sie den ERA Agenten von der ESET-Webseite herunterladen.
Remotebereitstellung - Verwenden Sie diese Methode für die massenhafte Bereitstellung des ERA Agenten auf
Clientcomputern.
5.5.2.1 Lokale Bereitstellung
Diese Bereitstellungsmethode eignet sich für Installationen vor Ort. Mit dieser Methode wird ein Installationspaket
erstellt bzw. heruntergeladen und über einen freigegebenen Ordner bereitgestellt oder per USB-Laufwerk
(alternativ per E-Mail) verteilt. Das Installationspaket muss von einem Administrator oder einem Benutzer mit
Administratorberechtigungen installiert werden.
HINWEIS
Verwenden Sie die lokale Bereitstellung nur, wenn Sie ein kleines Netzwerk mit bis zu 50 Computern verwalten.
In größeren Netzwerken können Sie den Agenten mithilfe von GPO und SCCM bereitstellen. Diese Methoden
eignen sich besser für die massenhafte Bereitstellung des ERA Agenten.
Die lokale Bereitstellung kann auf drei verschiedene Weisen ausgeführt werden:
56
All-in-one-Agenteninstallationsprogramm erstellen (nur Windows)
Live-Installationsprogramm für Agenten erstellen
Laden Sie den Agenten von der ESET-Website herunter
5.5.2.1.1 All-in-one-Agent-Installationsprogramm erstellen
Die folgenden Anweisungen beschreiben die Erstellung des All-in-One-Installationspakets (ERA Agent plus ESETSicherheitsprodukt). Die Erstellungsprozedur für das Installationspaket funktioniert ähnlich wie der Startassistent,
jedoch mit einigen zusätzlichen Konfigurationsoptionen. Diese Optionen umfassen Richtlinien für ERA Agent und
ESET-Sicherheitsprodukt, Hostname und Port des ERA Servers sowie die Auswahl einer übergeordneten Gruppe.
WICHTIG
Das Installationspaket wird in Form einer .exe-Datei erstellt und kann nur unter Windows ausgeführt werden.
Klicken Sie in den Quick Links in der Menüleiste auf ERA Agent bereitstellen..., um das Popupfenster Agent
bereitstellen zu öffnen. Klicken Sie auf die Schaltfläche Installationsprogramm erstellen unter All-in-oneInstallationsprogramm erstellen (nur Windows)Daraufhin öffnet sich das Konfigurationsfenster
Installationsprogramm erstellen.
Zertifikat - Peerzertifikat und ERA-Zertifizierungsstelle werden anhand der verfügbaren Zertifikate automatisch
ausgewählt. Falls Sie nicht das vorausgewählte Zertifikat verwenden möchten, klicken Sie auf die Beschreibung
ERA-Zertifikat und wählen Sie das gewünschte Zertifikat aus der Liste der verfügbaren Zertifikate aus. Falls Sie ein
benutzerdefiniertes Zertifikat verwenden möchten, klicken Sie auf das Optionsfeld und laden Sie die .pfxZertifikatdatei hoch. Weitere Informationen finden Sie unter Benutzerdefinierte Zertifikate mit ERA.
Geben Sie die Zertifikat-Passphrase ein, falls Sie dazu aufgefordert werden. Dies ist der Fall, wenn Sie die
Passphrase bei der ERA-Installation angegeben haben oder wenn Sie ein benutzerdefiniertes Zertifikat mit einer
Passphrase verwenden. Andernfalls können Sie das Feld Zertifikat-Passphrase leer lassen.
WICHTIG
Die Zertifikat-Passphrase ist in der .exe-Datei eingebettet und kann daher extrahiert werden.
Konfiguration - Hier können Sie das All-in-One-Installationsprogramm konfigurieren:
1. Sprache - Wählen Sie eine Sprache für das Installationsprogramm aus der Dropdownliste mit den unterstützten
Sprachen aus.
2. Zu installierendes Paket - Klicken Sie dieses Feld an und wählen Sie eine Installationsdatei für ein ESETSicherheitsprodukt aus der Liste aus. Falls Sie Version 6.3 oder eine frühere Version auswählen, wird das Produkt
nicht automatisch aktiviert, und Sie müssen es später manuell aktivieren. ESET-Sicherheitsprodukte ab Version
6.4 werden bei der Installation automatisch aktiviert.
HINWEIS
Wenn Sie keine Produktinstallationsdateien auswählen, müssen Sie unbedingt unter Repository die Option
AUTOSELECT auswählen. Sie finden diese Option im Bereich Erweiterte Einstellungen in den
Servereinstellungen.
3. Lizenz (Optional) - Verwenden Sie eine der im Bereich Lizenzen beschriebenen Methoden, um eine Lizenz
hinzuzufügen. Falls Sie bereits Lizenzen in der Lizenzverwaltung eingerichtet haben, wählen Sie die Lizenz aus,
die bei der Installation zur Aktivierung des ESET-Sicherheitsprodukts verwendet werden soll. Alternativ können
Sie auch ein Installationsprogramm ohne Lizenz erstellen und das Produkt später aktivieren.
4. Ursprungskonfiguration für Installationsprogramm - Hier können Sie aus zwei Konfigurationstypen wählen:
57
o Nicht konfigurieren - Es werden nur Policies angewendet, die in einer übergeordneten statischen Gruppe
zusammengeführt werden.
o Konfiguration aus der Liste der Policies auswählen - Wählen Sie diese Option aus, wenn Sie eine
Konfigurations-Policy für ERA Agent und/oder ERA-Sicherheitsprodukt übernehmen möchten. Klicken Sie auf
Auswählen und treffen Sie Ihre Auswahl in der Liste der verfügbaren Policies. Falls keine der vordefinierten
Policies geeignet sind, können Sie eine neue Policy erstellen oder Ihre vorhandenen Policies anpassen. Wenn
Sie anschließend erneut auf „Auswählen“ klicken, wird Ihre neue Policy in der Liste angezeigt.
5. Sonstige - Bei Bedarf können Sie Hostname und Portnummer Ihres ERA Servers angeben. Übernehmen Sie
andernfalls die Standardwerte.
6. Übergeordnete Gruppe (optional) - Hier können Sie eine vorhandene statische Gruppe auswählen oder eine
neue Gruppe erstellen. Klicken Sie auf Auswählen, um eine übergeordnete statische Gruppe für den
Clientcomputer auszuwählen, auf dem Sie das All-in-One-Installationsprogramm ausführen werden. Klicken Sie
auf Neue statische Gruppe und führen Sie den Assistenten aus, um eine neue übergeordnete statische Gruppe zu
erstellen. Die neu erstellte Gruppe wird automatisch ausgewählt.
5. Klicken Sie auf Installationsprogramm erstellen, um das All-in-One-Installationsprogramm für 32 Bit- und 64 BitBetriebssysteme zu generieren. Klicken Sie auf die gewünschte Version, um die Datei herunterzuladen. Nach
Abschluss des Downloads werden Sie aufgefordert, einen Speicherort für die Datei auszuwählen (z. B.
ERA_Installer_x32_en_US.exe oder ERA_Installer_x64_en_US.exe). Klicken Sie auf Datei speichern.
6. Starten Sie das All-in-One-Installationsprogramm auf einem Clientcomputer. Eine Schritt-für-Schritt-Anleitung
finden Sie unter Setup-Assistent für All-in-one-Agent-Installationsprogramm.
5.5.2.1.1.1 Setup-Assistent für All-in-one-Agent-Installationsprogramm
Dieser Assistent führt Sie durch die Installation der folgenden Komponenten:
ERA Agent
ESET AV Remover (optional)
ESET Endpoint-Sicherheitsprodukt
WICHTIG
Das Installationspaket wird in Form einer .exe-Datei erstellt und kann nur unter Windows ausgeführt werden.
HINWEIS
Das Installationsprogramm muss mit dem integrierten Administratorkonto oder einem
Domänenadministratorkonto ausgeführt werden (falls das lokale integrierte Administratorkonto deaktiviert ist).
Andere Benutzer haben nicht die erforderlichen Zugriffsrechte (auch dann nicht, wenn sie der Gruppe
„Administratoren“ angehören). Verwenden Sie also immer das integrierte Administratorkonto, da die
Installation nur mit einem lokalen oder Domänenadministratorkonto abgeschlossen werden kann.
58
1. Markieren Sie das Kontrollkästchen, falls Sie eine laufende bzw. installierte externe Antivirensoftware von Ihrem
Computer entfernen/deinstallieren möchten, und klicken Sie auf Weiter.
2. Falls Sie keine anderen Sicherheitsanwendungen auf Ihrem lokalen Computer verwenden, klicken Sie auf Weiter
und fahren Sie mit Schritt 7 fort.
3. ESET AV Remover hilft Ihnen dabei, andere Virenschutzprogramme zu deinstallieren bzw. vollständig zu
entfernen. Überprüfen Sie die Liste unterstützter Software und/oder klicken Sie auf Weiter.
4. Lesen und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung (EULA), falls Sie dieser zustimmen.
5. Markieren Sie nach der Überprüfung der installierten Anwendungen die Kontrollkästchen neben den
Anwendungen, die Sie entfernen möchten, und klicken Sie auf Entfernen. Weitere Informationen zum ESET AV
Remover finden Sie in unserem Knowledgebase-Artikel.
6. Wenn Sie ESET AV Remover nicht mehr benötigen oder keine Anwendung entfernt haben, klicken Sie auf Weiter
zur Installation.
7. Im nächsten Installationsschritt wird der ERA Agent installiert. Klicken Sie auf Weiter.
59
8. Lesen und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung (EULA), falls Sie dieser zustimmen.
9. Klicken Sie auf Installieren, um den ERA Agenten auf Ihrem Computer zu installieren, und klicken Sie
anschließend auf Fertig stellen.
10. Klicken Sie im nächsten Schritt auf Weiter, um ESET Endpoint Security zu installieren.
11. Lesen und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung (EULA), falls Sie dieser zustimmen.
12. Sie werden aufgefordert, ESET ESET Live Grid zu konfigurieren. ESET ESET Live Grid sorgt dafür, dass ESET
unmittelbar und fortlaufend aktuelle Informationen zu neuer Schadsoftware erhält, um unsere Kunden besser
schützen zu können.
60
13. Klicken Sie auf Erkennung evtl. unerwünschter Anwendungen. Klicken Sie auf Erweiterte Einstellungen, um
zusätzliche Einstellungsoptionen zu konfigurieren (z. B. um Ihr ESET-Produkt in einem bestimmten Ordner zu
installieren).
14. Bestätigen Sie die Installation abschließend, indem Sie auf Installieren klicken.
15. Klicken Sie nach Abschluss der Installation auf Fertig stellen. Daraufhin wird das Endpoint-Sicherheitsprodukt
geöffnet. Im Status-Log auf dem Clientcomputer unter C:\ProgramData\ESET\RemoteAdministrator\Agent\Logs
\status.html können Sie überprüfen, ob der ERA Agent richtig ausgeführt wird. Bei Problemen mit dem Agenten
(z. B. bei Problemen mit der Verbindung zum ERA Server) beachten Sie die Hinweise unter Fehlerbehebung.
61
5.5.2.1.2 Live-Installationsprogramm für Agenten erstellen
Diese Art der Agenten-Bereitstellung ist hilfreich, wenn die Optionen zur Remotebereitstellung und zur lokalen
Bereitstellung nicht geeignet sind. In diesen Fällen können Sie das Live-Installationsprogramm für den Agenten per
E-Mail verschicken und die Bereitstellung durch den Benutzer ausführen lassen. Sie können das LiveInstallationsprogramm für den Agenten auch von einem Wechselmedium (z. B. einem USB-Speicher) ausführen.
HINWEIS
Auf dem Clientcomputer muss eine Internetverbindung verfügbar sein, um das Agenten-Installationspaket
herunterzuladen. Außerdem muss der Client eine Verbindung zum ERA-Server herstellen können.
Klicken Sie in den Quick Links in der Menüleiste auf ERA Agent bereitstellen..., um das Popupfenster Agent
bereitstellen zu öffnen. Klicken Sie auf Installationsprogramm erstellen unter Live-Installer für Agenten erstellen.
Daraufhin öffnet sich das Konfigurationsfenster für den Live-Installer.
Zertifikat - Peerzertifikat und ERA-Zertifizierungsstelle werden anhand der verfügbaren Zertifikate automatisch
ausgewählt. Falls Sie nicht das vorausgewählte Zertifikat verwenden möchten, klicken Sie auf die Beschreibung
ERA-Zertifikat und wählen Sie das gewünschte Zertifikat aus der Liste der verfügbaren Zertifikate aus. Falls Sie ein
benutzerdefiniertes Zertifikat verwenden möchten, klicken Sie auf das Optionsfeld und laden Sie die .pfxZertifikatdatei hoch. Weitere Informationen finden Sie unter Benutzerdefinierte Zertifikate mit ERA.
Geben Sie die Zertifikat-Passphrase ein, falls Sie dazu aufgefordert werden. Dies ist der Fall, wenn Sie die
Passphrase bei der ERA-Installation angegeben haben oder wenn Sie ein benutzerdefiniertes Zertifikat mit einer
Passphrase verwenden. Andernfalls können Sie das Feld Zertifikat-Passphrase leer lassen.
Konfiguration - Hier können Sie das All-in-One-Installationsprogramm konfigurieren:
1. Server-Hostname - Bei Bedarf können Sie Hostname und Portnummer Ihres ERA Servers angeben. Übernehmen
Sie andernfalls die Standardwerte.
2. Übergeordnete Gruppe (optional) - Hier können Sie eine vorhandene statische Gruppe auswählen oder eine
neue Gruppe erstellen. Klicken Sie auf Auswählen, um eine übergeordnete statische Gruppe für den
Clientcomputer auszuwählen, auf dem Sie das All-in-One-Installationsprogramm ausführen werden. Klicken Sie
auf Neue statische Gruppe und führen Sie den Assistenten aus, um eine neue übergeordnete statische Gruppe zu
erstellen. Die neu erstellte Gruppe wird automatisch ausgewählt.
3. Klicken Sie auf Installationsprogramme abrufen, um Links für die Agenten-Installationsprogramme für Windows,
Linux und MAC zu erstellen.
4. Klicken Sie auf den Download-Link neben den Installationsprogrammen, die Sie herunterladen möchten, und
speichern Sie sie als ZIP-Datei. Entzippen Sie die Datei auf dem Clientcomputer, auf dem Sie den ERA-Agenten
bereitstellen möchten. Führen Sie auf dem Clientcomputer das Skript EraAgentOnlineInstaller.bat (Windows)
bzw. EraAgentOnlineInstaller.sh (Linux und Mac) aus, um das Installationsprogramm auszuführen. Hinweise zur
Bereitstellung des ERA Agent auf einem MAC OS X-Client mit dem Live-Installer für Agenten finden Sie in
unserem KB-Artikel.
62
HINWEIS
Wenn Sie das Skript unter Windows XP SP2 ausführen, müssen Sie das Microsoft Windows Server 2003
Administration Tools Pack installieren. Andernfalls wird das Live-Installationsprogramm für den Agenten nicht
richtig ausgeführt. Nachdem Sie das Verwaltungspaket installiert haben, können Sie das Skript des LiveInstallationsprogramms für den Agenten ausführen.
HINWEIS
Im Status-Log auf dem Clientcomputer C:\ProgramData\ESET\RemoteAdministrator\Agent\Logs\status.html
können Sie überprüfen, ob der ERA Agent richtig ausgeführt wird. Bei Problemen mit dem Agenten (z. B. bei
Problemen mit der Verbindung zum ERA-Server) beachten Sie die Hinweise im Abschnitt Fehlerbehebung.
Falls Sie den ERA Agenten mit dem Live-Installationsprogramm aus Ihrem lokalen freigegebenen Ordner ohne ESET
Repository Download-Server bereitstellen möchten, führen Sie die folgenden Schritte aus:
1. Bearbeiten Sie die Skriptdatei EraAgentOnlineInstaller.bat (Windows) bzw. EraAgentOnlineInstaller.sh
(Linux and Mac).
2. Ändern Sie die Zeilen 29 und 31, sodass diese auf die richtigen lokalen Downloaddateien zeigen. Beispiel:
3. Verwenden Sie Ihre eigene URL (anstelle der hier gezeigten URL):
4. Bearbeiten Sie die Zeile und ersetzen Sie " ^& packageLocation ^& "
durch !url!
5. Speichern Sie die Datei.
63
5.5.2.1.3 Laden Sie den Agenten von der ESET-Website herunter
Manuelle Installation der ERA Agent-Komponente: Laden Sie das Installationspaket für den ERA Agent im
Downloadbereich der ESET-Website unter Remote Administrator 6 herunter (klicken Sie auf das Symbol +, um die
Kategorie zu erweitern). ESET Remote Administrator enthält Standalone-Installationsprogramme für verfügbare
Komponenten.
Wählen Sie im Dropdownmenü die Komponente Agent aus und wählen Sie ein Betriebssystem für die Installation
aus:
Windows
Linux
OS X
Servergestützte Installation - Mit dem Agenten-Installationspaket werden die Zertifikate automatisch vom ERA
Server heruntergeladen (empfohlen für die lokale Bereitstellung).
Offline-Installation - mit dem Agenten-Installationspaket. Bei dieser Bereitstellungsmethode müssen Sie die
Zertifikate manuell exportieren.
Im Status-Log auf dem Clientcomputer können Sie überprüfen, ob der ERA Agent richtig ausgeführt wird. Bei
Problemen mit dem Agenten beachten Sie die Hinweise im Abschnitt Fehlerbehebung – Agenten-Bereitstellung.
64
5.5.2.1.3.1 Lokale Bereitstellung des Agenten
Führen Sie die folgenden Schritte aus, um den ERA Agenten mit dem Installationsassistenten lokal auf
Clientcomputern bereitzustellen:
Laden Sie das ERA Agenteninstallationspaket im Downloadbereich der ESET-Website unter Remote Administrator 6
herunter (klicken Sie auf das Symbol +, um die Kategorie zu erweitern). ESET Remote Administrator enthält
Standalone-Installationsprogramme für verfügbare Komponenten. Führen Sie das Installationsprogramm auf dem
Clientcomputer aus, auf dem der Agent bereitgestellt werden soll. In diesem ESET Knowledgebase-Artikel finden
Sie zusätzliche Anweisungen.
1. Servergestützte Installation:
Vergewissern Sie sich, dass Servergestützte Installation ausgewählt ist, geben sie den Serverhost (Name oder IPAdresse) und den Serverport Ihres ERA Servers ein und klicken Sie auf Weiter. Der standardmäßige Serverport ist
2222. Wenn Sie einen anderen Port verwenden, ersetzen Sie den standardmäßigen Port mit der
benutzerdefinierten Portnummer.
Legen Sie die Methode für die Verbindung zum Remote Administrator Server fest: ERA Server oder ERA Proxyserver
und Port der ERA-Web-Konsole. Geben Sie die Anmeldedaten für die ERA-Web-Konsole ein: Benutzername und
Passwort.
65
Klicken Sie auf Benutzerdefinierte statische Gruppe auswählen und wählen Sie im Dropdownmenü die statische
Gruppe aus, zu der der Clientcomputer hinzugefügt werden soll.
66
2. Offline-Installation:
Um eine Offline-Installation durchzuführen, geben Sie im Feld Server-Port den Wert 2222 ein, wählen Sie OfflineInstallation aus und klicken Sie auf Weiter. Bei dieser Methode müssen Sie ein Peerzertifikat und eine
Zertifizierungsstelle angeben.
Weitere Informationen zum Exportieren und Verwenden von Peerzertifikaten und Zertifizierungsstellen finden Sie
hier.
67
HINWEIS
Im Status-Log auf dem Clientcomputer (unter C:\ProgramData\ESET\RemoteAdministrator\Agent
\EraAgentApplicationData\Logs\status.html oder C:\Documents and Settings\All Users\Application Data\Eset
\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\status.hmtl)) können Sie überprüfen, ob der ERA
Agent fehlerfrei ausgeführt wird. Bei Problemen mit dem Agenten (z. B. bei Problemen mit der Verbindung zum
ERA Server) beachten Sie die Hinweise im Abschnitt Fehlerbehebung.
5.5.2.2 Remotebereitstellung
Die Remotebereitstellung kann auf zwei verschiedene Weisen ausgeführt werden:
Gruppenpolicy-Objekte (GPO) und Software Center Configuration Manager (SCCM) - Wir empfehlen diese
Bereitstellungsmethode für die massenhafte Bereitstellung des ERA Agenten auf Clientcomputern.
Servertask Agenten-Bereitstellung - Eine Alternative zu den GPO- und SCCM-Methoden.
WICHTIG
Stellen Sie für die Remotebereitstellung sicher, dass alle Clientcomputer mit dem Internet verbunden sind.
5.5.2.2.1 Agenten-Bereitstellung mithilfe von GPO und SCCM
Alternativ zur lokalen oder Remote-Bereitstellung per Servertask können Sie auch Verwaltungswerkzeuge wie
Gruppenpolicy-Objekte (GPO), Software Center Configuration Manager (SCCM), Symantec Altiris oder Puppet
verwenden.
Klicken Sie auf den entsprechenden Link für schrittweise Anweisungen zu zwei beliebten Bereitstellungsmethoden
für den ERA Agenten:
1. Bereitstellung des ERA Agenten mit Gruppenpolicy-Objekten (GPO)
2. Bereitstellung des ERA Agenten mit dem Software Center Configuration Manager (SCCM)
68
5.5.2.2.1.1 Bereitstellungsschritte – GPO
Führen Sie die folgenden Schritte aus, um den ERA Agenten mithilfe von GPO auf den Clients bereitzustellen:
Laden Sie die .msi-Datei des Installationsprogramms für den ERA Agenten von der ESET-Downloadseite herunter.
Klicken Sie auf ERA Agent bereitstellen... in den Quicklinks in der Menüleiste. Daraufhin wird ein Popupfenster
geöffnet, in dem Sie GPO oder SCCM für die Bereitstellung verwenden auswählen können. Klicken Sie auf Skript
erstellen, um die Konfiguration zu öffnen.
Zertifikat - Peerzertifikat und ERA-Zertifizierungsstelle werden anhand der verfügbaren Zertifikate automatisch
ausgewählt. Falls Sie nicht das vorausgewählte Zertifikat verwenden möchten, klicken Sie auf die Beschreibung
ERA-Zertifikat und wählen Sie das gewünschte Zertifikat aus der Liste der verfügbaren Zertifikate aus. Falls Sie ein
benutzerdefiniertes Zertifikat verwenden möchten, klicken Sie auf das Optionsfeld und laden Sie die .pfxZertifikatdatei hoch. Weitere Informationen finden Sie unter Benutzerdefinierte Zertifikate mit ERA.
Geben Sie die Zertifikat-Passphrase ein, falls Sie dazu aufgefordert werden. Dies ist der Fall, wenn Sie die
Passphrase bei der ERA-Installation angegeben haben oder wenn Sie ein benutzerdefiniertes Zertifikat mit einer
Passphrase verwenden. Andernfalls können Sie das Feld Zertifikat-Passphrase leer lassen.
Konfiguration - Hier können Sie das All-in-One-Installationsprogramm konfigurieren:
1. Ursprungskonfiguration für Installationsprogramm - Hier können Sie aus zwei Konfigurationstypen wählen:
o Nicht konfigurieren - Es werden nur Policies angewendet, die in einer übergeordneten statischen Gruppe
zusammengeführt werden.
o Konfiguration aus der Liste der Policies auswählen - Wählen Sie diese Option aus, wenn Sie eine
Konfigurations-Policy für den ERA Agenten übernehmen möchten. Klicken Sie auf Auswählen und treffen Sie
Ihre Auswahl in der Liste der verfügbaren Policies. Falls keine der vordefinierten Policies geeignet sind, können
Sie eine neue Policy erstellen oder Ihre vorhandenen Policies anpassen. Wenn Sie anschließend erneut auf
„Auswählen“ klicken, wird Ihre neue Policy in der Liste angezeigt.
2. Sonstige - Bei Bedarf können Sie Hostname und Portnummer Ihres ERA Servers angeben. Übernehmen Sie
andernfalls die Standardwerte.
3. Übergeordnete Gruppe (optional) - Hier können Sie eine vorhandene statische Gruppe auswählen oder eine
neue Gruppe erstellen. Klicken Sie auf Auswählen, um eine übergeordnete statische Gruppe für den
Clientcomputer auszuwählen, auf dem Sie das All-in-One-Installationsprogramm ausführen werden. Klicken Sie
auf Neue statische Gruppe und führen Sie den Assistenten aus, um eine neue übergeordnete statische Gruppe zu
erstellen. Die neu erstellte Gruppe wird automatisch ausgewählt.
4. Wählen Sie Paket erstellen aus, um ein Popupfenster mit der install_config.ini-Datei zu öffnen. Klicken Sie
auf Datei speichern.
5. Legen die .msi-Datei des Installationsprogramms für den ERA Agenten und die erstellte
Datei in einem freigegebenen Ordner ab, der von Ihren Zielclients aus erreichbar ist.
install_config.ini
-
69
WICHTIG
Clientcomputer benötigen Schreib-/Ausführungszugriff für diesen freigegebenen Ordner.
70
6. Verwenden Sie ein vorhandenes Gruppenpolicy-Objekt oder erstellen Sie ein neues Objekt (klicken Sie mit der
rechten Maustaste auf GPO und anschließend auf Neu). Klicken Sie in der Struktur der GPMC (GruppenpolicyVerwaltungskonsole) mit der rechten Maustaste auf die GPO, die Sie verwenden möchten, und klicken Sie auf
Bearbeiten...
7. Navigieren Sie in der Computer-Konfiguration zu Policies > Softwareeinstellungen.
8. Klicken Sie mit der rechten Maustaste auf Softwareinstallation, wählen Sie Neu aus und klicken Sie auf Paket...,
um eine neue Paketkonfiguration zu erstellen.
71
9. Navigieren Sie zum Speicherort der (.msi) -Datei des ERA-Agenten. Geben Sie im Dialogfeld "Öffnen" den
Universal Naming Convention (UNC)-Pfad des freigegebenen Installationspakets ein, das Sie verwenden
möchten. Zum Beispiel: \\fileserver\share\filename.msi
HINWEIS
Verwenden Sie unbedingt den UNC-Pfad des freigegebenen Installationspakets.
10. Klicken Sie auf Öffnen und wählen Sie die Bereitstellungsmethode Erweitert aus.
72
11. Bestätigen Sie die Paketkonfiguration und fahren Sie mit der GPO-Bereitstellung fort.
73
5.5.2.2.1.2 Bereitstellungsschritte – SCCM
Führen Sie die folgenden Schritte aus, um den ERA Agenten mithilfe von SCCM auf den Clients bereitzustellen:
Laden Sie die .msi-Datei des Installationsprogramms für den ERA Agenten von der ESET-Downloadseite herunter.
Klicken Sie auf ERA Agent bereitstellen... in den Quicklinks in der Menüleiste. Daraufhin wird ein Popupfenster
geöffnet, in dem Sie GPO oder SCCM für die Bereitstellung verwenden auswählen können. Klicken Sie auf Skript
erstellen, um die Konfiguration zu öffnen.
Zertifikat - Peerzertifikat und ERA-Zertifizierungsstelle werden anhand der verfügbaren Zertifikate automatisch
ausgewählt. Falls Sie nicht das vorausgewählte Zertifikat verwenden möchten, klicken Sie auf die Beschreibung
ERA-Zertifikat und wählen Sie das gewünschte Zertifikat aus der Liste der verfügbaren Zertifikate aus. Falls Sie ein
benutzerdefiniertes Zertifikat verwenden möchten, klicken Sie auf das Optionsfeld und laden Sie die .pfxZertifikatdatei hoch. Weitere Informationen finden Sie unter Benutzerdefinierte Zertifikate mit ERA.
Geben Sie die Zertifikat-Passphrase ein, falls Sie dazu aufgefordert werden. Dies ist der Fall, wenn Sie die
Passphrase bei der ERA-Installation angegeben haben oder wenn Sie ein benutzerdefiniertes Zertifikat mit einer
Passphrase verwenden. Andernfalls können Sie das Feld Zertifikat-Passphrase leer lassen.
Konfiguration - Hier können Sie das All-in-One-Installationsprogramm konfigurieren:
1. Ursprungskonfiguration für Installationsprogramm - Hier können Sie aus zwei Konfigurationstypen wählen:
o Nicht konfigurieren - Es werden nur Policies angewendet, die in einer übergeordneten statischen Gruppe
zusammengeführt werden.
o Konfiguration aus der Liste der Policies auswählen - Wählen Sie diese Option aus, wenn Sie eine
Konfigurations-Policy für den ERA Agenten übernehmen möchten. Klicken Sie auf Auswählen und treffen Sie
Ihre Auswahl in der Liste der verfügbaren Policies. Falls keine der vordefinierten Policies geeignet sind, können
Sie eine neue Policy erstellen oder Ihre vorhandenen Policies anpassen. Wenn Sie anschließend erneut auf
„Auswählen“ klicken, wird Ihre neue Policy in der Liste angezeigt.
2. Sonstige - Bei Bedarf können Sie Hostname und Portnummer Ihres ERA Servers angeben. Übernehmen Sie
andernfalls die Standardwerte.
3. Übergeordnete Gruppe (optional) - Hier können Sie eine vorhandene statische Gruppe auswählen oder eine
neue Gruppe erstellen. Klicken Sie auf Auswählen, um eine übergeordnete statische Gruppe für den
Clientcomputer auszuwählen, auf dem Sie das All-in-One-Installationsprogramm ausführen werden. Klicken Sie
auf Neue statische Gruppe und führen Sie den Assistenten aus, um eine neue übergeordnete statische Gruppe zu
erstellen. Die neu erstellte Gruppe wird automatisch ausgewählt.
4. Wählen Sie Paket erstellen aus, um ein Popupfenster mit der install_config.ini-Datei zu öffnen. Klicken Sie
auf Datei speichern.
5. Legen die .msi-Datei des Installationsprogramms für den ERA Agenten und die Datei install_config.ini in einem
freigegebenen Ordner ab.
74
WICHTIG
Clientcomputer benötigen Schreib-/Ausführungszugriff für diesen freigegebenen Ordner.
75
1. Öffnen Sie die SCCM-Konsole und klicken Sie auf Softwarebibliothek. Klicken Sie unter Anwendungsverwaltung
mit der rechten Maustaste auf Anwendungen und anschließend auf Anwendung erstellen. Klicken Sie auf
Windows-Installationsprogramm (*.msi-Datei).
76
2. Füllen Sie alle benötigten Informationen über die Anwendung aus und klicken Sie auf Weiter.
77
3. Klicken Sie mit der rechten Maustaste auf die ESET Remote Administrator Agenten-Anwendung, klicken Sie auf
die Registerkarte Bereitstellungstypen, wählen Sie die einzige angezeigte Bereitstellung aus und klicken Sie auf
Bearbeiten.
78
4. Klicken Sie auf die Registerkarte Anforderungen und klicken Sie auf „Hinzufügen“. Wählen Sie „Betriebssystem“
im Dropdown-Menü „Bedingung“ aus, wählen Sie ein Betriebssystem im Dropdown-Menü „Operator“ aus und
markieren Sie die entsprechenden Kontrollkästchen, um die Zielbetriebssysteme für die Installation
auszuwählen. Klicken Sie auf OK, wenn Sie fertig sind, und anschließend auf OK, um alle verbleibenden Fenster
zu schließen und Ihre Änderungen zu speichern.
79
80
5. Klicken Sie in der System Center-Softwarebibliothek mit der rechten Maustaste auf Ihre neue Anwendung und
wählen Sie den Eintrag "Inhalt verteilen" im Kontextmenü aus. Folgen Sie den Aufforderungen im
Bereitstellungs-Assistenten, um die Bereitstellung der Anwendung abzuschließen.
81
82
6. Klicken Sie mit der rechten Maustaste auf die Anwendung und wählen Sie Bereitstelle aus. Führen Sie den
Assistenten aus und wählen Sie die Auflistung und das Ziel für die Bereitstellung des Agenten aus.
83
84
85
86
87
88
89
90
5.5.2.2.2 Servertask Agenten-Bereitstellung
Sie können die Remote-Bereitstellung des ERA Agenten über einen Servertask im Bereich Admin ausführen. Klicken
Sie auf Servertask > Agenten-Bereitstellung > Neu, um mit der Konfiguration des neuen Tasks zu beginnen.
HINWEIS
Sie sollten die massenhafte Agenten-Bereitstellung unbedingt in Ihrer Umgebung testen, bevor Sie den ERA
Agenten auf großen Gruppen von Clients bereitstellen. Legen Sie das Agenten-Verbindungsintervall nach Ihren
Wünschen fest, bevor Sie die massenhafte Bereitstellung testen.
Einfach
Geben Sie grundlegende Informationen zum Task ein, wie Name, Beschreibung (optional) und Tasktyp. Der Tasktyp
legt die Einstellungen und das Verhalten des Tasks fest. Markieren Sie das Kontrollkästchen neben "Task sofort nach
dem Beenden ausführen", um den Task sofort auszuführen, nachdem Sie auf "Fertig stellen" klicken.
Einstellungen
Geeignete Agenten automatisch auflösen – Wenn in Ihrem Netzwerk mehrere Betriebssysteme (Windows, Linux,
Mac OS) verwendet werden, wählen Sie diese Option aus, damit der Task für jedes System automatisch das
geeignete und serverkompatible Agenten-Installationspaket ermittelt.
Ziele – Klicken Sie auf diese Option, um die Clients auszuwählen, die Empfänger des Task sein sollen.
Benutzername/Passwort – Benutzername und Passwort eines Benutzers mit ausreichenden Rechten zum
Ausführen einer Remote-Installation des Agenten.
Server-Hostname (optional) – Hier können Sie einen Server-Hostnamen eingeben, falls auf der Clientseite und
der Serverseite unterschiedliche Hostnamen verwendet werden.
Peerzertifikat/ERA-Zertifikat – Sicherheitszertifikat und Zertifizierungsstelle für die Agenten-Installation. Sie
können Standardzertifikat und Zertifizierungsstelle auswählen oder benutzerdefinierte Zertifikate verwenden.
Benutzerdefiniertes Zertifikat – Wenn Sie ein benutzerdefiniertes Zertifikat für die Authentifizierung verwenden,
navigieren Sie während der Installation des Agenten zum Zertifikat und wählen Sie es aus. Weitere Informationen
finden Sie im Kapitel Zertifikate.
Zertifikat-Passphrase – Passwort für das Zertifikat: entweder das Passwort, das Sie während der Installation Ihres
ERA Servers (beim Erstellen der Zertifizierungsstelle) eingegeben haben, oder das Passwort Ihres
benutzerdefinierten Zertifikats.
HINWEIS
Der ERA Server kann automatisch das geeignete ERA Agent-Installationspaket für das entsprechende
Betriebssystem ermitteln. Um manuell ein Paket zu wählen, deaktivieren Sie die Option Geeignete Agenten
automatisch auflösen und wählen Sie über das ERA-Repository das gewünschte Paket aus der Liste der
verfügbaren Agenten.
Ziel
Im Fenster Ziel können Sie die Clients (einzelne Computer oder ganze Gruppen) festlegen, die den Task empfangen
sollen. Klicken Sie auf Ziele hinzufügen, um alle statischen und dynamischen Gruppen und ihre Mitglieder
anzuzeigen.
91
Wählen Sie Clients aus, klicken Sie auf OK und fahren Sie mit dem Bereich „Trigger“ fort.
Trigger – Legt fest, welche Ereignisse den Task auslösen.
Baldmöglichst – Der Task wird ausgeführt, sobald der Client eine Verbindung zum ESET Remote AdministratorServer herstellt und den Task empfängt. Wenn der Task nicht vor dem Ablaufdatum ausgeführt werden kann,
wird er aus der Warteschlange entfernt. Der Task wird nicht gelöscht, aber auch nicht ausgeführt.
Geplanter Trigger – Löst den Task zu einem geplanten Zeitpunkt aus. Sie können eine einmalige oder
wiederholte Ausführung des Task planen oder zur Planung einen CRON-Ausdruck verwenden.
Ereignislog-Trigger – Führt den Task beim Eintreten der festgelegten Ereignisse aus. Der Trigger wird
aufgerufen, wenn ein bestimmtes Ereignis in den Logs auftritt. Legen Sie Logtyp, logischen Operator und
Filterkriterien fest, für die der Task ausgelöst werden soll.
Trigger bei Aufnahme in dynamische Gruppe – Dieser Trigger führt den Task aus, wenn ein Client zu der unter
„Ziel“ ausgewählten dynamischen Gruppe hinzugefügt wird. Wenn eine statische Gruppe oder einzelne Clients
ausgewählt wurden, ist diese Option nicht verfügbar.
HINWEIS
Weitere Informationen zu Triggern finden Sie im Kapitel Trigger.
Erweiterte Einstellungen – Drosselung – Die Drosselung schränkt die Ausführung eines Task ein, wenn das
auslösende Ereignis sehr oft auftritt, beispielsweise ein Ereignislog-Trigger oder Zusammengeführter dynamischer
Gruppen-Trigger (siehe oben). Weitere Informationen finden Sie im Kapitel Drosselung.
Klicken Sie auf Fertig stellen, wenn Sie die Empfänger des Task und die Trigger zum Auslösen des Task definiert
haben.
Zusammenfassung
Hier werden alle konfigurierten Optionen angezeigt. Überprüfen Sie die Einstellungen und klicken Sie auf „Fertig
stellen“, wenn Sie keine Änderungen mehr vornehmen möchten. Der Task ist jetzt erstellt und kann verwendet
werden.
92
HINWEIS
Falls Probleme bei der Remote-Bereitstellung des ERA Agenten auftreten (der Servertask AgentenBereitstellung wird mit einem Fehler beendet), beachten Sie die Hinweise im Abschnitt Fehlerbehebung in
diesem Handbuch.
5.5.2.3 ERA Agent: Einstellungen
Sie können Policies verwenden, um bestimmte Einstellungen für den ERA Agent festzulegen. Für den ERA Agent
existieren vordefinierte Policies, z. B. Verbindung - Alle (Agent-Verbindungsintervall) verbinden oder
Anwendungsbericht - alle installierten Anwendungen melden. Navigieren Sie zu Policies und erweitern Sie den
Eintrag Integrierte Policies > ESET Remote Administrator Agent. Sie können eine vorhandene Policy bearbeiten oder
eine neue Policy erstellen.
Verbindung
Server für die Verbindung - Klicken Sie auf Serverliste bearbeiten, um ERA Server-Verbindungsdetails
hinzuzufügen (Hostname, IP und Portnummer). Sie können mehrere ERA Server angeben, z. B. wenn Sie die IPAdresse Ihres ERA Servers geändert haben oder bei einer Migration.
Verbindungsintervall - Sie können die Option „Normales Intervall“ auswählen und einen Zeitwert für das
Verbindungsintervall eingeben oder einen CRON-Ausdruck verwenden.
Zertifikat (Neustart erforderlich) - Hier können Sie die Peerzertifikate für den ERA Agent verwalten. Klicken Sie
auf Zertifikat ändern und wählen Sie aus, welches ERA Agent-Zertifikat Ihr ERA Agent verwenden soll. Weitere
Informationen finden Sie unter Peerzertifikate.
Updates
Updateintervall – Intervall für das Abrufen dervon Updates. Sie können die Option „Normales Intervall“
auswählen und die Einstellungen konfigurieren oder einen CRON-Ausdruck verwenden.
Update-Server – Update-Server, von dem der ERA Server Updates für Sicherheitsprodukte und ERA-Komponenten
empfängt.
Updatetyp – Wählen Sie hier aus, welche Updatetypen Sie empfangen möchten. Zur Auswahl stehen reguläre
Updates, Test-Updates und verzögerte Updates. Für Produktionssysteme sollten Sie keine Test-Updates
auswählen, da dies mit einem erhöhten Risiko verbunden ist.
Erweiterte Einstellungen
HTTP-Proxy – Sie können einen Proxyserver verwenden, um den Datenverkehr zwischen Clients in Ihrem
Netzwerk und dem Internet zu erleichtern.
Wakeup - Mit dieser Funktion kann Ihr Server eine sofortige Replikation des ausgewählten Agenten auslösen. Für
die UDPv4- und UDPv6-Ports werden die Standardwerte 1237 und 1238 verwendet.
Kompatibilität - Um ESET-Sicherheitsprodukte der Version 5 oder ältere Versionen mit dem ESET Remote
Administrator Agenten verwalten zu können , muss ein Listening-Port angegeben werden. Außerdem müssen die
ESET-Sicherheitsprodukte so konfiguriert werden, dass sie mit diesem Port kommunizieren, und die ESET Remote
Administrator Server-Adresse muss auf localhost festgelegt werden.
Betriebssystem - Mit den (standardmäßig aktivierten) Schaltern können Sie angeben, welche Informationen und
Probleme vom Clientcomputer gemeldet werden sollen.
Repository – Speicherort des Repositorys, das die Installationsdateien enthält.
HINWEIS
Das Standard-Repository ist AUTOSELECT.
93
Diagnose- Aktivieren oder deaktivieren Sie die Übermittlung von Absturzberichten an ESET.
Logging – Legen Sie die Mindestinformationen fest, die erfasst und in Logs geschrieben werden. Die Abstufung
reicht von Trace (umfangreiche Informationen) bis Schwerwiegend (wichtigste, kritische Informationen). Die
neueste Log-Datei des ERA Agenten auf dem Clientcomputer befindet sich unter: C:\ProgramData\ESET
\RemoteAdministrator\Agent\EraAgentApplicationData\Logs oder C:\Documents and Settings\All Users
\Application Data\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
Setup - Das passwortgeschützte Setup ist ein Schutzfeature des ERA Agenten (nur unter Windows). Legen Sie ein
Passwort fest, um den ERA Agent-Passwortschutz zu aktivieren. Wenn diese Policy aktiviert ist, kann der ERA
Agent ohne das Passwort nicht deinstalliert oder repariert werden.
WICHTIG
Ohne dieses Passwort können Sie den ERA Agenten nicht vom Zielcomputer deinstallieren.
5.5.2.3.1 Erstellen einer Policy für das Verbindungsintervall des ERA Agenten
In diesem Beispiel erstellen wir eine neue Policy für das Verbindungsintervall des ERA Agenten. Testen Sie diesen
Vorgang vor der massenhaften Bereitstellung unbedingt in Ihrer Umgebung.
Erstellen Sie eine Neue statische Gruppe. Klicken Sie Admin > Policies, um eine neue Policy zu erstellen. Klicken Sie
unten auf Policies und anschließend auf Neu...
94
Einfach
Geben Sie einen Namen für die neue Policy ein (zum Beispiel „Verbindungsintervall für Agent“). Die Eingabe in das
Feld Beschreibung ist optional.
Einstellungen
Wählen Sie im Dropdownmenü Produkt den Eintrag ESET Remote Administrator-Agent aus.
Verbindung
Wählen Sie links in der Baumstruktur eine Kategorie aus. Bearbeiten Sie die Einstellungen auf der rechten Seite
nach Bedarf. Jede Einstellung ist eine Regel, für die Sie eine Markierung festlegen können. Zur Vereinfachung der
Navigation wird die Gesamtzahl aller Regeln berechnet. Die Anzahl aller in einem bestimmten Bereich definierten
Regeln wird automatisch angezeigt. Außerdem wird neben den Kategorienamen links in der Baumstruktur eine
weitere Zahl angezeigt. Dies ist die Summe der Regeln in den einzelnen Bereichen. Hier können Sie auf einen Blick
sehen, wo und wie viele Einstellungen/Regeln definiert sind.
Mit den folgenden Empfehlungen können Sie die Bearbeitung von Policies vereinfachen:
o
verwenden, um die Übernehmen-Markierung für alle Elemente im aktuellen Bereich zu setzen
o Regeln mit dem Papierkorb-Symbol löschen
Klicken Sie auf Intervall ändern.
95
Ändern Sie den Wert im Feld Reguläres Intervall in den gewünschten Wert für die Intervalldauer (empfohlen:
60 Sekunden) und klicken Sie auf Speichern.
Sobald Sie eine neue Policy für das Agenten-Verbindungsintervall erstellt haben, weisen Sie es zu der statischen
Gruppe zu, die Sie in Schritt 1 erstellt haben.
Führen Sie Ihre Tests für die massenhafte Bereitstellung durch und bearbeiten Sie anschließend die Einstellungen
der Policy für das Agenten-Verbindungsintervall, das Sie in Schritt 2 erstellt haben.
Klicken Sie auf Admin > Gruppen und wählen Sie die Registerkarte Policies aus. Klicken Sie auf die Policy
„Verbindungsintervall für Agent“, wählen Sie Bearbeiten aus und klicken Sie auf Einstellungen > Verbindung.
Klicken Sie auf Intervall ändern und setzen Sie das Verbindungsintervall auf 20 Minuten.
96
5.5.2.3.2 Erstellen einer Policy für die Verbindung zwischen ERA Agent und ERA Server
Mit dieser Policy können Sie das Verhalten des ERA Agenten über dessen Einstellungen ändern. Dies ist besonders
nützlich, wenn Sie Clientcomputer auf einen neuen ERA Server migrieren.
Erstellen Sie eine neue Policy, um die IP-Adresse des neuen ERA Server festzulegen und ordnen Sie die Policy zu
allen Clientcomputern zu. Klicken Sie auf Admin > Policies > Neue erstellen.
Einfach
Geben Sie einen Namen für Ihre Policy ein. Die Eingabe in das Feld Beschreibung ist optional.
Einstellungen
Wählen Sie den Eintrag ESET Remote Administrator Agent im Dropdownmenü aus, erweitern Sie den Eintrag
Verbindung und klicken Sie auf Serverliste bearbeiten neben "Server für die Verbindung" aus.
Daraufhin öffnet sich ein Fenster mit einer Liste aller ERA Server, mit denen sich der ERA Agent verbinden kann.
Klicken Sie auf Hinzufügen und geben Sie die IP-Adresse Ihres neuen ERA Servers in das Feld Host ein. Falls Sie nicht
den ERA Server-Standardport 2222 verwenden, müssen Sie Ihre Portnummer angeben.
97
Mit den Pfeil-Schaltflächen können Sie die Priorität der ERA Server bearbeiten, falls Ihre Liste mehrere Einträge
enthält. Klicken Sie auf den Doppelpfeil nach oben und anschließend auf Speichern, um sicherzustellen, dass Ihr
neuer ERA Server an der Spitze der Liste steht.
Zuweisen
Hier können Sie die Clients (einzelne Computer/Mobilgeräte oder ganze Gruppen) festlegen, die Empfänger der
Policy sein sollen.
Klicken Sie auf Zuweisen, um alle statischen und dynamischen Gruppen und ihre Mitglieder anzuzeigen. Wählen Sie
die gewünschten Clients aus und klicken Sie auf OK.
Zusammenfassung
Überprüfen Sie die Einstellungen für diese Policy und klicken Sie auf Fertig stellen.
98
5.5.2.3.3 Erstellen einer Policy zur Aktivierung des ERA Agent-Passwortschutzes
Mit den folgenden Schritten können Sie eine Policy erstellen, die ein Passwort zum Schutz den ERA Agenten
vorschreibt. Wenn Sie die Option Einstellungen mit Passwort schützen verwenden, kann der ERA Agent ohne das
Passwort nicht deinstalliert oder repariert werden. Weitere Informationen finden Sie im Kapitel Agenten-Schutz.
Einfach
Geben Sie einen Namen für die Policy ein. Die Eingabe in das Feld Beschreibung ist optional.
Einstellungen
Wählen Sie den Eintrag ESET Remote Administrator Agent in der Dropdownliste aus, erweitern Sie die Erweiterten
Einstellungen, navigieren Sie zu Einstellungen und geben Sie das Passwort in das Feld Einstellungen mit Passwort
schützen ein. Dieses Passwort wird anschließend benötigt, um den ERA Agenten auf einem Clientcomputer zu
deinstallieren oder zu reparieren.
WICHTIG: Bewahren Sie dieses Passwort unbedingt an einem sicheren Ort auf. Ohne das Passwort kann der ERA
Agent nicht vom Clientcomputer deinstalliert werden. Nachdem die Policy Einstellungen mit Passwort schützen
eingerichtet wurde, kann der ERA Agent nicht mehr auf normale Weise deinstalliert werden.
Zuweisen
Hier können Sie die Clients (einzelne Computer/Mobilgeräte oder ganze Gruppen) festlegen, die Empfänger der
Policy sein sollen.
99
Klicken Sie auf Zuweisen, um alle statischen und dynamischen Gruppen und ihre Mitglieder anzuzeigen. Wählen Sie
die gewünschten Clients aus und klicken Sie auf OK.
Zusammenfassung
Überprüfen Sie die Einstellungen für diese Policy und klicken Sie auf Fertig stellen.
5.5.2.4 Agenten-Schutz
Der ERA Agent verteidigt sich mit einem integrierten Selbstschutzmechanismus. Dieses Feature hat die folgenden
Eigenschaften:
Schutz vor Änderungen an den Registrierungseinträgen von ERA Agent (HIPS)
Dateien, die zum ERA Agent gehören, können nicht verändert oder ersetzt werden (HIPS)
Der Prozess von ERA Agent kann nicht beendet werden
Der Prozess von ERA Agent kann nicht angehalten, unterbrochen, deaktiviert, deinstalliert oder auf sonstige
Arten gefährdet werden
Einige der Schutzmaßnahmen übernimmt das HIPS-Modul, das in Ihr ESET-Sicherheitsprodukt integriert ist (z. B. in
ESET Endpoint Security).
HINWEIS
HIPS muss auf dem jeweiligen Clientcomputer installiert werden, um den vollständigen Schutz des ERA Agenten
zu gewährleisten.
Einstellungen für Passwortschutz
Zusätzlich zu den Selbstschutzfunktionen können Sie den ERA Agenten auch mit einem Passwort schützen (nur für
Windows verfügbar). Wenn Sie ein Passwort einrichten, kann der ERA Agent ohne dieses Passwort nicht
deinstalliert oder repariert werden. Richten Sie eine Policy für den ERA Agenten ein, um ein Passwort für den ERA
Agenten festzulegen.
100
5.5.3 Fehlerbehebung – Agenten-Verbindung
Wenn sich ein Clientcomputer nicht mit Ihrem ERA Server verbindet, sollten Sie die Problembehandlung des ERA
Agenten lokal auf dem Client durchführen.
Standardmäßig synchronisieren sich die ERA Agenten alle 20 Minuten mit dem ERA Server. Sie können diese
Einstellung mit der Policy für das Verbindungsintervall des ERA Agenten ändern.
Überprüfen Sie die neueste Log-Datei des ERA Agenten. Sie finden diese Datei unter:
C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
C:\Documents and Settings\All Users\Application Data\ESET\RemoteAdministrator\Agent\EraAgentApplicationData
\Logs
HINWEIS
Um die vollständige Protokollierung zu aktivieren, erstellen Sie eine Dummy-Datei mit dem Namen traceAll
ohne Dateierweiterung im gleichen Ordner wie "trace.log". Starten Sie den ESET Remote Administrator ServerDienst anschließend neu. Daraufhin wird die vollständige Protokollierung in der Datei trace.log aktiviert.
last-error.html - Dieses Protokoll (Tabelle) zeigt den letzten aufgezeichneten Fehler an, während der ERA Agent
aktiv ist.
software-install.log - Textprotokoll des letzten Remoteinstallations-Tasks, den der ERA Agent ausgeführt hat.
status.html - Diese Tabelle zeigt den aktuellen Status der Kommunikation (Synchronisierung) zwischen ERA Agent
und ERA Server an.
trace.log - Ein ausführlicher Bericht über alle Aktivitäten des ERA Agenten inklusive aller erfassten Fehler.
Verbindungsprobleme zwischen ERA Agent und ERA Server haben häufig die folgenden Ursachen:
Ihr internes Netzwerk ist nicht korrekt konfiguriert. Stellen Sie sicher, dass der Computer, auf dem der ERA Server
installiert ist, mit allen Clientcomputern kommunizieren kann, auf denen der ERA Agent installiert ist.
Ihr ERA Server ist nicht für eingehende Verbindungen auf Port 2222 konfiguriert.
DNS funktioniert nicht korrekt, oder Ports werden durch eine Firewall gesperrt - Überprüfen Sie unsere Liste der
Ports, die ESET Remote Administrator verwendet, oder lesen Sie unseren KB-Artikel Welche Adressen und Ports
muss ich an meiner Firewall eines Drittanbieters öffnen, damit mein ESET-Produkt vollständig funktioniert?.
Ein fehlerhaftes Zertifikat enthält falsche oder eingeschränkte Features, die nicht mit dem öffentlichen Schlüssel
der ERA Server-Zertifizierungsstelle übereinstimmen - erstellen Sie ein neues ERA Agent-Zertifikat, um dieses
Problem zu beheben.
5.5.4 Fehlerbehebung – Agenten-Bereitstellung
Bei der Agenten-Bereitstellung können Fehler auftreten. Fehler bei der Bereitstellung können verschiedene
Ursachen haben. Dieser Abschnitt unterstützt Sie beim
o Ermitteln der Fehlerursache bei der ERA Agenten-Bereitstellung
o Prüfen möglicher Ursachen anhand der nachstehenden Tabelle
o Beheben des Problems und Ausführen einer erfolgreichen Bereitstellung
Windows
1. Um die Ursache des Fehlers bei der Agenten-Bereitstellung zu ermitteln, navigieren Sie zu Berichte >
Automatisierung und wählen Sie Informationen zu Bereitstellungs-Tasks für Agenten der letzten 30 Tage aus.
Klicken Sie dann auf Jetzt generieren.
Eine Tabelle mit Informationen zur Bereitstellung wird angezeigt. In der Spalte Fortschritt werden
Fehlermeldungen zur Ursache der fehlgeschlagenen Agenten-Bereitstellung angezeigt.
Wenn Sie zusätzliche Details benötigen, können Sie die im ERA-Server-Log angezeigten Mindestinformationen
anpassen. Navigieren Sie hierzu zu Admin > Servereinstellungen > Erweiterte Einstellungen > Logging und wählen
Sie Fehler aus dem Dropdown-Menü aus. Führen Sie die Agenten-Bereitstellung erneut aus. Falls erneut Fehler
auftreten, finden Sie unten in der Trace-Log-Datei des ERA-Servers die neuesten Log-Einträge. Der Bericht enthält
Empfehlungen zur Behebung des Problems.
Sie finden die Log-Datei unter dem folgendem Pfad:
101
ERA Server- C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs\trace.log
Log
ERA Agent- C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
Log
C:\Documents and Settings\All Users\Application Data\ESET\RemoteAdministrator\Agent
\EraAgentApplicationData\Logs
Um die vollständige Protokollierung zu aktivieren, erstellen Sie im gleichen Ordner wie „trace.log“ eine DummyDatei mit der Bezeichnung traceAll und ohne Dateierweiterung. Starten Sie den ESET Remote Administrator ServerDienst neu. Dies aktiviert die vollständige Protokollierung in der Datei trace.log.
HINWEIS
Bei Verbindungsproblemen mit dem ERA Agenten finden Sie weitere Informationen unter Fehlerbehebung –
Agenten-Verbindung.
HINWEIS
Überprüfen Sie die Datei ra-agent-install.log, falls bei der Installation der Fehler 1603 auftritt. Sie finden diese
Datei unter: C:\Users\%user%\AppData\Local\Temp\ra-agent-install.log auf dem Zielcomputer aktiviert.
2. Die folgende Tabelle enthält verschiedene Fehlerursachen bei der Agenten-Bereitstellung:
Fehlermeldung
Verbindung nicht möglich
Zugriff verweigert
Paket wurde nicht in
Repository gefunden
102
Mögliche Ursache(n)
Diese Nachricht kann auf verschiedene Probleme hinweisen:
Client ist im Netzwerk nicht erreichbar
Client-Hostname konnte nicht aufgelöst werden
Firewall blockiert die Kommunikation
Die Ports 2222 und 2223 sind in der Firewall nicht geöffnet (ausgehend auf dem
Client und eingehend auf dem Server)
Verwenden Sie gültige FQDN-Computernamen
Datei- und Druckerfreigabe ist nicht aktiviert
Die eingehenden Ports 135, 137, 138, 139 und 445 sind in der Firewall des Clients
oder in der Windows Firewall nicht geöffnet: Die Ausnahme für eingehende Dateiund Druckerfreigabe ist nicht gesetzt.
Wenn Sie von einem Server in einer Domäne auf einen Client in der Domäne
bereitstellen, müssen Sie die Anmeldeinformationen eines Benutzers, der Mitglied
der Gruppe Domänen-Admins ist, im folgenden Format angeben: Domäne
\DomänenAdmin
Wenn Sie von einem Server in einer Domäne auf einen Client in der Domäne
bereitstellen, können Sie die Berechtigungen des ERA Server-Diensts von einem
Netzwerkdienst zur Ausführung mit dem Domänenadministratorkonto anheben.
Wenn Sie von einem Server auf einen Client in einer anderen Domäne
bereitstellen, müssen Sie die Remote-UAC-Filterung auf dem Zielcomputer
deaktivieren (https://support.microsoft.com/de-de/kb/951016).
Wenn Sie von einem Server auf einen Client in einer anderen Domäne
bereitstellen, verwenden Sie die Anmeldeinformationen eines lokalen Benutzers,
der Mitglied der Gruppe „Administratoren“ ist, im Format „Admin“. Der Name des
Zielcomputer wird automatisch vor den Anmeldenamen eingefügt.
Kein Passwort für Administratorkonto festgelegt
Unzureichende Zugriffsrechte
Verwaltungsfreigabe ADMIN$ ist nicht verfügbar
Verwaltungsfreigabe IPC$ ist nicht verfügbar
Einfache Dateifreigabe ist aktiviert
Link zum Repository ist falsch
Repository ist nicht verfügbar
Repository enthält nicht das erforderliche Paket
3. Führen Sie je nach möglicher Ursache die entsprechenden Schritte zur Fehlerbehebung aus:
Client nicht im Netzwerk erreichbar: Führen Sie vom ERA-Server einen Ping-Befehl zum Client aus. Wenn Sie eine
Antwort erhalten, versuchen Sie, sich remote am Clientcomputer anzumelden (z. B. über Remote Desktop).
Client-Hostname kann nicht aufgelöst werden: Für DNS-Probleme stehen unter anderem folgende
Lösungsmöglichkeiten zur Verfügung:
o Führen Sie den Befehl nslookupfür die IP-Adresse bzw. den Hostnamen des Servers und/oder der Clients aus,
auf denen Probleme bei der Agenten-Bereitstellung auftreten. Die Ergebnisse müssen mit den Informationen
vom entsprechenden Computer übereinstimmen. Beispielsweise sollte der Befehl nslookup für einen
Hostnamen auf die IP-Adresse aufgelöst werden, die mit dem Befehl ipconfig auf dem entsprechenden Host
angezeigt wird. Führen Sie den Befehl nslookup auf den Clients und auf dem Server aus.
o Überprüfen Sie die DNS-Einträge manuell auf Duplikate.
Firewall blockiert die Kommunikation: Überprüfen Sie die Einstellungen der Firewall auf dem Server und auf dem
Client und, sofern zutreffend, aller anderen Firewalls zwischen den beiden Computern.
Die Ports 2222 und 2223 sind in der Firewall nicht geöffnet: Vergewissern Sie sich, dass diese Ports in allen
Firewalls zwischen den beiden Computern (Client und Server) geöffnet sind.
Kein Passwort für Administratorkonto festgelegt: Legen Sie ein zulässiges Passwort für das Administratorkonto
fest (verwenden Sie keine leeren Passwörter).
Unzureichende Zugriffsrechte - Versuchen Sie, den Task für die Agenten-Bereitstellung mit den Anmeldedaten
des Domänenadministrators auszuführen. Wenn sich der Clientcomputer in einer Arbeitsgruppe befindet,
verwenden Sie auf diesem Computer das lokale Administratorkonto.
HINWEIS
Auf neueren Windows-Betriebssystemen (Windows 7, Windows 8 usw.) muss das Administrator-Benutzerkonto
aktiviert sein, um den Task für die Agenten-Bereitstellung auszuführen. Sie können einen lokalen Benutzer
erstellen, der Mitglied der Gruppe „Administratoren“ ist, oder das integrierte lokale Administratorkonto
aktivieren.
So aktivieren Sie das Administrator-Benutzerkonto:
1. Öffnen Sie als Administrator ein Eingabeaufforderungsfenster.
2. Geben Sie den folgenden Befehl ein:
net user administrator /active:yes
Die Verwaltungsfreigabe ADMIN$ ist nicht verfügbar: Auf dem Clientcomputer muss die freigegebene Ressource
ADMIN$ aktiviert sein. Vergewissern Sie sich, dass sie in den anderen Freigaben enthalten ist (Start >
Systemsteuerung > Verwaltung > Computerverwaltung > Freigegebene Ordner > Freigaben).
Die Verwaltungsfreigabe IPC$ ist nicht verfügbar - Vergewissern Sie sich, dass der Server auf IPC$ zugreifen kann,
indem Sie in der Eingabeaufforderung auf dem Server den folgenden Befehl ausführen:
net use \\clientname\IPC$
Ersetzen Sie dabei clientname durch den Namen des Zielcomputers.
Einfache Dateifreigabe ist aktiviert - Wenn Sie in einer gemischten Umgebung aus Domänen und Arbeitsgruppen
die Fehlermeldung Zugriff verweigert erhalten, deaktivieren Sie auf allen Computern, auf denen Probleme bei
der Agenten-Bereitstellung auftreten, die Funktion Einfache Dateifreigabe verwenden bzw. Freigabe-Assistent
verwenden. Gehen Sie unter Windows 7 beispielsweise folgendermaßen vor:
o Klicken Sie auf Start, geben Sie Ordner in das Suchfeld ein und klicken Sie dann auf Ordneroptionen. Klicken
Sie auf die Registerkarte Ansicht und blättern Sie unter „Erweiterte Einstellungen“ nach unten. Deaktivieren
Sie das Kontrollkästchen Freigabe-Assistent verwenden.
Falscher Link zum Repository - Navigieren Sie in der Web-Konsole zu Admin > Servereinstellungen, klicken Sie
auf Erweiterte Einstellungen > Repository und überprüfen Sie die Repository-URL.
Paket nicht im Repository gefunden: Diese Fehlermeldung wird üblicherweise angezeigt, wenn keine Verbindung
zum ERA-Repository hergestellt werden kann. Überprüfen Sie die Internetverbindung.
103
Linux und Mac OS
Wenn bei der Agenten-Bereitstellung auf einem Linux- oder Mac OS-Betriebssystem Probleme auftreten, liegt dies
üblicherweise an einem Problem mit SSH. Überprüfen Sie den Clientcomputer und vergewissern Sie sich, dass der
SSH-Daemon ausgeführt wird. Führen Sie dann erneut die Agenten-Bereitstellung aus.
5.5.5 Produktinstallation
ESET-Sicherheitsprodukte können aus der Ferne installiert werden. Klicken Sie hierzu auf den gewünschten
Clientcomputer und wählen Sie Neu aus oder erstellen Sie einen neuen Software-Installations-Task unter Admin >
Client-Tasks. Klicken Sie auf Neu..., um mit der Einrichtung des neuen Tasks zu beginnen.
Unter Ausgeführte Client-Tasks wird der aktuelle Status der Client-Tasks inklusive einer Fortschrittsanzeige für
den ausgewählten Task angezeigt.
Einfach
Geben Sie grundlegende Informationen zum Task ein, wie Name und fakultativ eine Beschreibung und den Tasktyp.
Der Tasktyp (siehe Liste oben) legt die Einstellungen und das Verhalten des Tasks fest.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
104
Einstellungen
Aktivieren Sie das Kontrollkästchen neben Ich stimme der Endbenutzer-Lizenzvereinbarung für die Anwendung zu,
sofern Sie zustimmen. Weitere Informationen hierzu finden Sie unter Lizenzverwaltung oder EULA.
Klicken Sie auf <ESET-Lizenz auswählen> und wählen Sie aus der Liste der verfügbaren Lizenzen die geeignete Lizenz
für das installierte Produkt aus.
Klicken Sie auf <Paket auswählen>, um ein Installationspaket aus dem Repository auszuwählen, oder geben Sie eine
Paket-URL ein. Eine Liste verfügbarer Pakete wird angezeigt, in der Sie das zu installierende ESET-Produkt (zum
Beispiel ESET Endpoint Security) auswählen können. Wählen Sie das gewünschte Installationspaket aus und klicken
Sie auf OK. Wenn Sie eine URL für den Speicherort des Installationspakets verwenden möchten, geben Sie die URL
(z. B. file://\\pc22\install\ees_nt64_ENU.msi) in das Textfeld ein (verwenden Sie keine URLs, die Authentifizierung
erfordern).
http://server_address/ees_nt64_ENU.msi - Falls Sie die Installation von einem öffentlichen Webserver oder von
Ihrem eigenen HTTP-Server durchführen.
file://\\pc22\install\ees_nt64_ENU.msi - Falls Sie die Anwendung von einem Netzwerkpfad installieren.
file://C:\installs\ees_nt64_ENU.msi - Falls Sie die Anwendung von einem lokalen Pfad installieren.
HINWEIS
Sowohl ERA Server als auch ERA Agent benötigen eine Internetverbindung, um auf das Repository zugreifen und
die Installation durchführen zu können. Falls Sie keinen Internetzugriff haben, können Sie die Clientsoftware
lokal installieren.
Bei Bedarf können Sie Installationsparameter angeben. Lassen Sie dieses Feld andernfalls leer. Aktivieren Sie das
Kontrollkästchen neben Bei Bedarf automatisch neu starten, um einen automatischen Neustart des Computers nach
der Installation zu erzwingen. Sie können diese Option auch deaktiviert lassen und den Clientcomputer manuell
neu starten.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Dialogfeld wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen, wann
und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können Sie den
Trigger später erstellen.
105
5.5.5.1 Produktinstallation (Befehlszeile)
Die folgenden Einstellungen sind nur mit den Einstellungen reduziert, einfach und keine der Benutzeroberfläche
geeignet. Informationen zur msiexec-Version für die Befehlszeilenschalter finden Sie in der Dokumentation.
Unterstützte Parameter:
APPDIR=<Pfad>
o Pfad: gültiger Verzeichnispfad.
o Installationsverzeichnis der Anwendung
o Beispiel: ees_nt64_ENU.msi /qn APPDIR=C:\ESET\
ADDLOCAL=DocumentProtection
APPDATADIR=<Pfad>
o Pfad: gültiger Verzeichnispfad.
o Installationsverzeichnis der Anwendungsdaten
MODULEDIR=<Pfad>
o Pfad: gültiger Verzeichnispfad.
o Installationsverzeichnis des Moduls
ADDEXCLUDE=<Liste>
o Die ADDEXCLUDE-Liste ist eine kommagetrennte Liste der Namen Features, die nicht installiert werden sollen,
als Ersatz für das veraltete REMOVE-Feature.
o Wenn Sie eine Funktion auswählen, die nicht installiert werden soll, müssen der gesamte Pfad (alle
untergeordneten Features) sowie verwandte unsichtbare Features ausdrücklich in der Liste aufgeführt werden.
o Zum Beispiel: ees_nt64_ENU.msi /qn ADDEXCLUDE=Firewall,Network
HINWEIS
Das ADDEXCLUDE-Feature kann nicht zusammen mit ADDLOCAL verwendet werden.
ADDLOCAL=<Liste>
o Komponenteninstallation: Liste nicht obligatorischer Funktionen, die lokal installiert werden sollen
o Verwendung mit .msi-Paketen von ESET: ees_nt64_ENU.msi /qn ADDLOCAL=<list>
o Weitere Informationen zur ADDLOCAL-Eigenschaft finden Sie unter http://msdn.microsoft.com/en-us/library/
aa367536%28v=vs.85%29.aspx
Regeln
o Die ADDLOCAL-Liste ist eine kommagetrennte Liste der Namen aller zu installierenden Funktionen.
o Wenn Sie eine Funktion zur Installation auswählen, muss der gesamte Pfad (alle übergeordneten Funktionen)
explizit in der Liste aufgeführt werden.
o Weitere Informationen zur richtigen Verwendung finden Sie unter „Zusätzliche Regeln“.
Vorhandensein einer Funktion
o Obligatorisch: Die Funktion wird immer installiert.
o Optional - Die Installation der Funktion kann abgewählt werden.
o Unsichtbar: logische Funktion, die für das Funktionieren anderer Funktionen erforderlich ist.
o Platzhalter: Funktion ohne Auswirkung auf das Produkt, die jedoch mit den untergeordneten Funktionen
aufgeführt werden muss.
Der Funktionsbaum von Endpoint sieht folgendermaßen aus:
106
Funktionsbaum
Funktionsname
Vorhandensein der
Funktion
Computer
Computer/Viren- und Spyware-Schutz
Computer/Viren- und Spyware-Schutz > EchtzeitDateischutz
Computer/Viren- und Spyware-Schutz > Computer-Scan
Computer/Viren- und Spyware-Schutz/
Dokumentenschutz
Computer/Medienkontrolle
Netzwerk
Netzwerk/Personal Firewall
Web und E-Mail
Web- und E-Mail-Protokollprüfung
Web und E-Mail/Web-Schutz
Web und E-Mail/E-Mail-Schutz
Web und E-Mail/E-Mail-Schutz/E-Mail-Plugins
Web und E-Mail/E-Mail-Schutz/Spam-Schutz
Web und E-Mail/Web-Kontrolle
Update-Mirror
Microsoft NAP-Unterstützung
Computer
Antivirus
RealtimeProtection
Obligatorisch
Obligatorisch
Obligatorisch
Scan
Dokumentenschutz
Obligatorisch
Optional
DeviceControl
Network
Firewall
WebAndEmail
ProtocolFiltering
WebAccessProtection
EmailClientProtection
MailPlugins
Antispam
WebControl
UpdateMirror
MicrosoftNAP
Optional
Platzhalter
Optional
Platzhalter
Unsichtbar
Optional
Optional
Unsichtbar
Optional
Optional
Optional
Optional
Zusätzliche Regeln
o Wenn eine der Funktionen aus Web und E-Mail für die Installation ausgewählt ist, muss die unsichtbare
Funktion ProtocolFiltering explizit zur Liste hinzugefügt werden.
o Wenn eine der Unterfunktionen aus E-Mail-Schutz zur Installation ausgewählt ist, muss die unsichtbare
Funktion MailPlugins explizit zur Liste hinzugefügt werden.
Beispiele:
ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering
ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,EmailClientProtection,Antispam,MailPlugins
Liste der CFG_-Eigenschaften:
CFG_POTENTIALLYUNWANTED_ENABLED=1/0
• 0 – deaktiviert, 1 – aktiviert
• Eventuell unerwünschte Anwendungen
CFG_LIVEGRID_ENABLED=1/0
• 0 – deaktiviert, 1 – aktiviert
• LiveGrid
FIRSTSCAN_ENABLE=1/0
• 0 – deaktiviert, 1 – aktiviert
• Planen Sie einen neuen „FirstScan“ nach der Installation.
CFG_EPFW_MODE=0/1/2/3
• 0 – automatisch, 1 – interaktiv, 2 – Policy, 3 – Lernen
CFG_PROXY_ENABLED=0/1
• 0 – deaktiviert, 1 – aktiviert
CFG_PROXY_ADDRESS=<IP>
• IP-Adresse des Proxyservers.
CFG_PROXY_PORT=<Port>
• Proxy-Portnummer.
107
CFG_PROXY_USERNAME=<Benutzer>
• Benutzername für die Authentifizierung
CFG_PROXY_PASSWORD=<Passwort>
• Passwort für die Authentifizierung.
5.5.5.2 Liste der Probleme bei Installationsfehlern
Installationspaket nicht gefunden.
Neuere Version des Windows Installer-Dienstes wird benötigt.
Eine andere Version oder ein in Konflikt stehendes Produkt ist bereits installiert.
Eine andere Installation wird bereits ausgeführt. Schließen Sie die andere Installation ab, bevor Sie diese
Installation fortsetzen.
Installation bzw. Deinstallation erfolgreich, allerdings ist ein Computerneustart erforderlich.
Task fehlgeschlagen: Es ist ein Fehler aufgetreten. Überprüfen Sie das Trace-Log des Agenten und den
Rückgabecode des Installationsprogramms.
5.5.6 Desktopbereitstellung
Weitere Details finden Sie unter Unterstützte Umgebungen für die Desktopbereitstellung.
5.6 Weitere Einstellungen
Nach der Ausgangskonfiguration sollten Sie die folgenden zusätzlichen Aktionen in Betracht ziehen:
Erstellen/Bearbeiten von Gruppen
Wir empfehlen, Clients nach verschiedenen Kriterien in statischen oder dynamischen Gruppen anzuordnen. Dies
erleichtert die Verwaltung der Clients und hilft Ihnen, einen Überblick über das Netzwerk zu bewahren.
Erstellen einer neuen Policy
Policies dienen zur Verteilung bestimmter Konfigurationen auf ESET-Sicherheitsprodukte, die auf Clientcomputern
ausgeführt werden. Auf diese Weise müssen Sie die ESET-Produkte auf den Clients nicht einzeln manuell
konfigurieren. Nachdem Sie eine neue Policy mit der benutzerdefinierten Konfiguration erstellt haben, können Sie
diese zu einer statischen oder dynamischen Gruppe zuweisen, um Ihre Einstellungen für alle Computer in der
entsprechenden Gruppe zu übernehmen.
Zuweisen einer Policy zu einer Gruppe
Wie oben beschrieben muss eine Policy zu einer Gruppe zugeordnet werden, um angewendet zu werden. Die
Policy wird auf alle Computer angewendet, die in der Gruppe enthalten sind. Die wird bei jeder Verbindung des
Agents zum ERA Server angewendet und aktualisiert.
Einrichten von Benachrichtigungen und Erstellen von Berichten
Verwenden Sie Benachrichtigungen und Berichte, um die Clientcomputer in Ihrer Umgebung im Überblick zu
behalten. Sie können beispielsweise Benachrichtigungen konfigurieren, die beim Eintreten bestimmter Ereignisses
ausgelöst werden, oder Berichte anzeigen und herunterladen.
108
6. Mobilgeräte-Verwaltung
Führen Sie die folgenden Schritte zur Installation, Registrierung, Konfiguration und Übernahme von Richtlinien aus,
um das Mobile Device Management-Feature in ESET Remote Administrator nutzen zu können.
1. Installieren Sie den Mobile Device Connector (MDC) mit dem All-In-one-Installationsprogramm oder über die
Komponenteninstallation für Windows bzw. Linux. Stellen Sie vor der Installation sicher, dass die
Voraussetzungen erfüllt sind.
HINWEIS
Falls Sie den MDC mit dem All-in-one-Installationsprogramm installieren, brauchen Sie kein HTTPS-Zertifikat von
einem externen Anbieter. Falls Sie die MDC-Komponente einzeln installieren, brauchen Sie eine HTTPSZertifikatskette von einem externen Anbieter. Um ERA mit dem All-in-one-Installationsprogramm zu installieren
und dennoch ein externes HTTPS-Zertifikat zu verwenden, installieren Sie zunächst ESET Remote Administrator
und ändern Sie Ihre Policy für HTTPS-Zertifikate (klicken Sie im Bereich Allgemein auf Zertifikat ändern >
Benutzerdefiniertes Zertifikat).
2. Aktivieren Sie den ERA MDC mit einem Client-Task für die Produktaktivierung. Dieses Produkt wird auf dieselbe
Weise auf Clientcomputern aktiviert wie andere ESET-Sicherheitsprodukte (dabei wird keine Lizenzeinheit
verbraucht).
3. Führen Sie den Server-Task Benutzersynchronisierung aus (empfohlen). Daraufhin werden Ihre Benutzer für die
Benutzerverwaltung automatisch mit Active Directory bzw. LDAP synchronisiert.
HINWEIS
Falls Sie nur Android-basierte Geräte verwalten möchten (keine iOS-Geräte), können Sie mit Schritt 6 fortfahren.
4. Erstellen Sie ein APN-Zertifikat. ERA MDM verwendet dieses Zertifikat für die Registrierung von iOS-Geräten.
5. Erstellen Sie eine neue Policy für ESET Mobile Device Connector, um APNS zu aktivieren.
6. Registrieren Sie Mobilgeräte über die Geräteregistrierung. Konfigurieren Sie den Task für die Registrierung von
Android- und/oder iOS-Geräten. Sie finden diese Option auch in der Registerkarte Computer bzw. Gruppen,
indem Sie auf Neue hinzufügen > Mobilgeräte klicken, nachdem Sie eine statische Gruppe ausgewählt haben
(Neue hinzufügen ist für dynamische Gruppen nicht verfügbar).
7. Falls Sie bei der Geräteregistrierung keine Lizenz angegeben haben, aktivieren Sie Mobilgeräte mit einem ClientTask für die Produktaktivierung. Wählen Sie eine ESET Endpoint Security-Lizenz aus. Pro Mobilgerät wird eine
Lizenzeinheit aufgebraucht.
8. Sie können Benutzer bearbeiten, um benutzerdefinierte Attribute zu konfigurieren und Mobilgeräte zuzuweisen,
falls Sie die Benutzer nicht bei der Geräteregistrierung zugewiesen haben.
9. Anschließend können Sie Policies zuweisen und die Mobilgeräte verwalten. Sie können z. B. eine Policy für iOS
MDM erstellen - Exchange ActiveSync-Konto, um E-Mail-Konto, Kontakte und Kalender auf iOS-Geräten
automatisch zu konfigurieren. Außerdem können Sie Einschränkungen auf iOS-Geräten vorschreiben und WLANVerbindungen hinzufügen.
10. Sie können die Option Erneut registrieren für Mobilgeräte verwenden, die beschädigt oder gelöscht wurden.
Der Link für die erneute Registrierung wird per E-Mail verschickt.
11. Verwaltung beenden (ERA Agent deinstallieren): Dieser Task beendet die MDM-Registrierung eines Mobilgeräts
und entfernt das Gerät aus ERA.
109
6.1 Geräteregistrierung und MDC-Kommunikation
Dieses Diagramm zeigt, wie Mobilgeräte beim Registrierungsprozess mit dem Mobile Device Connector
kommunizieren:
110
Das folgende Diagramm zeigt die Kommunikation zwischen ESET Remote Administrator-Komponenten und einem
Mobilgerät:
6.2 Geräteregistrierung
Mobilgeräte können mit ERA und ESET-Sicherheitsprodukten auf dem Mobilgerät verwaltet werden. Um ein
Mobilgerät verwalten zu können, müssen Sie es in ERA registrieren (dazu ist es nicht mehr notwendig, IMEI oder
andere Identifikationsnummern des Mobilgeräts einzugeben).
WICHTIG
Für die massenhafte Registrierung per E-Mail sollten Sie den SMTP-Server konfigurieren. Navigieren Sie zu
Servereinstellungen, erweitern Sie den Eintrag Erweiterte Einstellungen und geben Sie die Details für den SMTPServer ein.
Sie können neue Mobilgeräte im Bereich Computer oder unter Admin > Gruppen registrieren. Wählen Sie die
statische Gruppe aus, zu der Sie das Mobilgerät hinzufügen möchten, klicken Sie auf Neue hinzufügen >
Mobilgeräte. Daraufhin öffnet sich ein Popupfenster. Wählen Sie je nach gewünschter Bereitstellungsart eine der
folgenden Registrierungsmethoden aus:
Registrierung per E-Mail - Massenhafte Registrierung von Mobilgeräten per E-Mail. Diese Option ist geeignet,
wenn Sie eine große Anzahl von Mobilgeräten registrieren möchten oder für vorhandenen Mobilgeräte, zu denen
Sie keinen physischen Zugang haben. Bei dieser Option muss der Benutzer/Eigentümer des Mobilgeräts eine
Aktion ausführen.
Individuelle Registrierung per Link oder QR-Code - Registrierung einzelner Mobilgeräte. Mit dieser Option
können Sie Mobilgeräte einzeln registrieren und müssen den Prozess für jedes Gerät wiederholen. Verwenden
Sie diese Option nur, wenn Sie eine geringe Anzahl von Mobilgeräten registrieren möchten. Diese Option ist
geeignet, wenn die Benutzer/Eigentümer der Mobilgeräte keine Aktion ausführen sollen und Sie die gesamte
Registrierung selbst durchführen möchten. Sie können diese Methode auch verwenden, um neue Mobilgeräte zu
registrieren, die nach der Einrichtung an die Benutzer übergeben werden.
111
6.2.1 Registrierung per E-Mail
Diese Methode eignet sich optimal für die massenhafte Registrierung von Mobilgeräten. Sie können den
Registrierungs-Link per E-Mail an beliebig viele Geräte schicken. Jedes Mobilgerät erhält ein einzigartiges, einmal
verwendbares Token basierend auf der E-Mail-Adresse.
WICHTIG
Für die massenhafte Registrierung per E-Mail muss der SMTP-Server konfiguriert werden. Navigieren Sie zu
Servereinstellungen, erweitern Sie den Eintrag Erweiterte Einstellungen und geben Sie die Details für den SMTPServer ein.
1. Um neue Mobilgeräte hinzuzufügen, navigieren Sie zum Bereich Computer oder klicken Sie auf Admin >
Gruppen. Wählen Sie die statische Gruppe aus, zu der Sie Ihr Gerät hinzufügen möchten, klicken Sie auf Neue
hinzufügen > Mobilgeräte > Registrierung per E-Mail.
2. Mobile Device Connector - wird automatisch ausgewählt. Falls Sie mehrere MDCs haben, wählen Sie einen
Eintrag aus der Liste aus, indem Sie auf den FQDN klicken. Wenn der Mobile Device Connector noch nicht
installiert ist, beachten Sie die Installationshinweise in den Kapiteln Installation des Mobile Device Connector Windows bzw. Linux.
3. Lizenz (optional) - Klicken Sie auf Auswählen und wählen Sie eine Lizenz für die Aktivierung aus. Ein Client-Task
Produktaktivierung wird für das Mobilgerät erstellt. Pro Mobilgerät wird eine Lizenzeinheit belegt.
4. Übergeordnete Gruppe - Falls Sie keine spezielle statische Gruppe für Mobilgeräte haben, sollten Sie eine neue
statische Gruppe erstellen (z. B. mit dem Namen „Mobilgeräte“). Falls Sie bereits eine entsprechende Gruppe
erstellt haben, klicken Sie auf /ALLE/FUNDBÜRO. Daraufhin wird ein Popupfenster geöffnet, in dem Sie die
statische Gruppe auswählen können.
5. Geräteliste - Wählen Sie Mobilgeräte für die Registrierung aus. Sie können die folgenden Optionen verwenden,
um Mobilgeräte hinzuzufügen:
Gerät hinzufügen - Einzelner Eintrag, mit dieser Option müssen Sie eine E-Mail-Adresse manuell eingeben,
an die die Registrierungs-E-Mail für das Mobilgerät verschickt werden soll. Sie können auf Zuordnen klicken,
um einen Benutzer zum Mobilgerät zuzuweisen. In diesem Fall wird die E-Mail-Adresse aus der
Benutzerverwaltung verwendet. Falls Sie weitere Mobilgeräte hinzufügen möchten, klicken Sie erneut auf
Gerät hinzufügen und füllen Sie die Pflichtfelder aus.
112
Benutzer auswählen - Sie können Geräte hinzufügen, indem Sie Benutzer über die Kontrollkästchen in der
Benutzerverwaltung auswählen. Klicken Sie aufZuordnung aufheben, um Korrekturen an der Liste der
Mobilgeräte für die Registrierung vorzunehmen. Wenn Sie eine Zuordnung aufheben (zugeordneten
Benutzer entfernen), wird der Status „Nicht zugeordnet“ angezeigt. Klicken Sie auf Zuordnen und wählen Sie
den gewünschten Benutzer aus. Klicken Sie auf das Papierkorb-Symbol, um einen Eintrag zu löschen.
CSV importieren - Mit diesem Verfahren können Sie problemlos eine große Anzahl von Mobilgeräten
hinzufügen. Laden Sie dazu eine .csv-Datei mit den hinzuzufügenden Geräten hoch. Details finden Sie unter
CSV importieren.
HINWEIS
Geben Sie nach Möglichkeit einen Gerätenamen für jeden Eintrag an, wenn Sie die Methode „CSV importieren“
verwenden. Dieser Name wird im Bereich Computer und in den Gruppen angezeigt und hilft bei der Erkennung
des jeweiligen Mobilgeräts. Wenn Sie das Feld Gerätename nicht ausfüllen, wird stattdessen die E-Mail-Adresse
als Gerätename unter Computer und Gruppen angezeigt. Dies kann verwirrend sein, insbesondere wenn Sie
mehrere Geräte mit derselben E-Mail-Adresse registrieren. In diesem Fall wird die E-Mail-Adresse mehrfach
angezeigt, und Sie haben keine Möglichkeit, die Geräte zu unterscheiden.
WICHTIG
Sie sollten jedem Mobilgerät mindestens einen Benutzer zuordnen. Sie müssen jedem Gerät einen Benutzer
zuweisen, wenn Sie persönliche Policies unter iOS verwenden möchten.
6. Registrierungs-E-Mail - Diese vordefinierte E-Mail-Vorlage enthält normalerweise genügend Details. Sie können
jedoch Betreff und Inhalt anpassen, indem Sie weitere Details für Ihre Benutzer hinzufügen. Anweisungen
werden in der Registrierungs-E-Mail unterhalb des Inhalts angezeigt und enthalten einen Gerätenamen (oder
eine E-Mail-Adresse) und einen Registrierungs-Link (URL). Wenn Sie mehrere Mobilgeräte mit derselben E-MailAdresse registrieren, wird eine Liste von Geräten angezeigt, wobei jedes Gerät einen eigenen RegistrierungsLink (URL) erhält. Außerdem werden Anweisungen angezeigt, mit denen die Benutzer ihre jeweiligen
Mobilgeräte (iOS und Android) registrieren können.
7. Klicken Sie auf Registrieren, um E-Mails mit Registrierungs-Link und Anweisungen an die E-Mail-Adressen zu
schicken.
8. Um die Registrierung der Mobilgeräte abzuschließen, müssen Sie oder die jeweiligen Benutzer/Eigentümer der
Mobilgeräte die folgenden Schritte ausführen:
Geräteregistrierung Android
Geräteregistrierung iOS
113
6.2.2 Individuelle Registrierung per Link oder QR-Code
Sie benötigen physischen Zugang zum Gerät, um Mobilgeräte per Registrierungs-Link oder per QR-Code zu
registrieren. Außerdem brauchen Sie einen QR-Code-Leser/-Scanner auf dem Mobilgerät, um den QR-Code
verwenden zu können.
HINWEIS
Für eine große Anzahl von Geräten empfehlen wir die Registrierung per E-Mail.
1. Um ein neues Mobilgerät hinzuzufügen, navigieren Sie zum Bereich Computer oder klicken Sie auf Admin >
Gruppen. Wählen Sie die statische Gruppe aus, zu der Sie Ihr Mobilgerät hinzufügen möchten, klicken Sie auf
Neue hinzufügen > Mobilgeräte > Individuelle Registrierung per Link oder QR-Code.
2. Gerätename - Geben Sie den Namen des Mobilgeräts (dieser Name wird in der Liste der Computer angezeigt)
und optional eine Beschreibung ein.
3. Benutzer (optional) - Sie sollten nach Möglichkeit einen Benutzer zu jedem Mobilgerät zuordnen. Dies ist
erforderlich für iOS-Geräte und optional für Android.
4. Mobile Device Connector - wird automatisch ausgewählt. Falls Sie mehrere MDCs haben, wählen Sie einen
Eintrag aus der Liste aus, indem Sie auf den FQDN klicken. Wenn der Mobile Device Connector noch nicht
installiert ist, beachten Sie die Installationshinweise in den Kapiteln Installation des Mobile Device Connector Windows bzw. Linux.
5. Lizenz (optional) - Klicken Sie auf Auswählen und wählen Sie eine Lizenz für die Aktivierung aus. Ein Client-Task
Produktaktivierung wird für das Mobilgerät erstellt. Pro Mobilgerät wird eine Lizenzeinheit belegt.
6. Übergeordnete Gruppe - Falls Sie keine spezielle statische Gruppe für Mobilgeräte haben, sollten Sie eine neue
statische Gruppe erstellen (z. B. mit dem Namen „Mobilgeräte“). Falls Sie bereits eine entsprechende Gruppe
erstellt haben, klicken Sie auf /ALLE/FUNDBÜRO. Daraufhin wird ein Popupfenster geöffnet, in dem Sie die
statische Gruppe auswählen können.
7. Wenn Sie auf Weiter klicken, werden Registrierungs-Link (URL) und QR-Code angezeigt. Geben Sie die URL
entweder manuell im Webbrowser des Mobilgeräts ein (z. B. https://eramdm:9980/token, das Token ist für jedes
Mobilgerät unterschiedlich), oder schicken Sie diese URL auf einem anderen Weg an das Mobilgerät. Alternativ
können Sie einen QR-Code verwenden. Diese Methode ist praktischer als die manuelle Eingabe der URL, benötigt
jedoch einen QR-Code-Leser/-Scanner auf dem Mobilgerät.
114
8. Klicken Sie auf Weiteres Gerät registrieren, um ein weiteres Mobilgerät hinzuzufügen. Daraufhin wird die Seite
„Mobilgerät hinzufügen“ mit den Optionen geöffnet, die Sie im Bereich „Allgemein“ ausgewählt haben. Geben
Sie den Gerätenamen ein, weisen Sie einen Benutzer zu, klicken Sie auf Weiter und folgen Sie den Anweisungen
in Schritt 7. Generieren Sie Ihre Registrierungs-URLs und QR-Codes und klicken Sie anschließend auf Schließen,
um zum vorherigen Fenster zurückzukehren.
9. Führen Sie für die eigentliche Registrierung der Mobilgeräte die folgenden Schritte aus:
o Geräteregistrierung Android
o Geräteregistrierung iOS
6.2.3 Geräteregistrierung Android
Bei der Aktivierung von ESET Endpoint Security für Android (EESA) auf dem Mobilgerät stehen zwei Verfahren zur
Registrierung zur Verfügung. Sie können EESA auf dem Mobilgerät mit dem Task für die Produktaktivierung
aktivieren (empfohlen). Das zweite Verfahren ist für Mobilgeräte anwendbar, auf denen die ESET Endpoint Security
für Android-App bereits aktiviert ist.
EESA bereits aktiviert - Führen Sie diese Schritte aus, um das Gerät zu registrieren:
1. Tippen Sie auf die URL des Registrierungslinks (inklusive Portnummer), den Sie per E-Mail erhalten haben, oder
geben Sie die URL manuell im Browser ein (z. B. https://eramdm:9980/<token>). Möglicherweise werden Sie
aufgefordert, ein SSL-Zertifikat zu akzeptieren. Klicken Sie auf Akzeptieren, wenn Sie zustimmen, und dann auf
Verbinden.
115
WICHTIG
Wenn ESET Endpoint Security nicht auf dem Mobilgerät installiert ist, werden Sie automatisch zu Google Play
Store weitergeleitet, wo Sie die App herunterladen können.
HINWEIS
Wenn Sie die Benachrichtigung Keine App zum Öffnen der URL gefunden erhalten, öffnen Sie den
Registrierungslink im normalen Android-Webbrowser.
2. Überprüfen Sie die Verbindungsdetails (Serveradresse und Port des Mobile Device Connectors) und klicken Sie
auf Verbinden.
3. Geben Sie das Passwort für den Administratormodus von ESET Endpoint Security in das leere Feld ein und tippen
Sie auf die Eingabeschaltfläche.
116
4. Das Mobilgerät wird nun von ERA verwaltet. Tippen Sie auf „Fertig stellen“.
EESA noch nicht aktiviert - Führen Sie diese Schritte aus, um das Produkt zu aktivieren und Ihr Gerät zu registrieren:
1. Tippen Sie auf die URL des Registrierungslinks (inklusive Portnummer), oder geben Sie die URL manuell im
Browser ein (z. B. https://eramdm:9980/<token>). Alternativ können Sie einen QR-Code verwenden.
Möglicherweise werden Sie aufgefordert, ein SSL-Zertifikat zu akzeptieren. Klicken Sie auf Akzeptieren, wenn Sie
zustimmen, und dann auf Verbinden.
117
WICHTIG
Wenn ESET Endpoint Security nicht auf dem Mobilgerät installiert ist, werden Sie automatisch zu Google Play
Store weitergeleitet, wo Sie die App herunterladen können.
HINWEIS
Wenn Sie die Benachrichtigung Keine App zum Öffnen der URL gefunden erhalten, öffnen Sie den
Registrierungslink im normalen Android-Webbrowser.
2. Geben Sie den Namen des Mobilgerätebenutzers ein.
118
3. Tippen Sie auf Aktivieren, um den Deinstallationsschutz zu aktivieren.
119
4. Tippen Sie auf Aktivieren, um den Geräteadministrator zu aktivieren.
120
5. Anschließend können Sie die ESET Endpoint Security für Android-App auf dem Mobilgerät beenden und die ERAWebkonsole öffnen.
121
6. Wechseln Sie in der ERA-Webkonsole zu Admin > Client-Tasks > Mobilgerät > Produktaktivierung und klicken Sie
auf Neu.
7. Klicken Sie auf Ziele hinzufügen, um das Mobilgerät auszuwählen.
8. Klicken Sie in den Einstellungen auf <ESET-Lizenz auswählen>, wählen Sie eine passende Lizenz aus und klicken
Sie auf Fertig stellen.
Das Ausführen des Client-Tasks zur Produktaktivierung auf dem Mobilgerät kann einige Zeit in Anspruch nehmen.
Nachdem der Task erfolgreich ausgeführt wurde, ist die ESET Endpoint Security für Android-App aktiviert, und das
Mobilgerät wird von ERA verwaltet. Der Benutzer kann nun die ESET Endpoint Security für Android-App verwenden.
Wenn Sie die ESET Endpoint Security für Android-App öffnen, wird das Hauptmenü angezeigt:
122
123
6.2.4 Geräteregistrierung iOS
1. Tippen Sie auf die URL des Registrierungslinks (inklusive Portnummer), oder geben Sie die URL manuell im
Browser ein (z. B. https://eramdm:9980/<token>). Alternativ können Sie einen QR-Code verwenden.
2. Klicken Sie auf Installieren, um zum Bildschirm für die Profilinstallation der MDM-Registrierung zu gelangen.
3. Tippen Sie auf Vertrauen, um die Installation des neuen Profils zu erlauben.
124
4. Nach der Installation des neuen Profils wird im Feld „Signiert von“ angezeigt, dass das Profil nicht signiert ist.
Dies ist das Standardverhalten für alle MDM-Registrierungen. Das Profil ist mit einem Zertifikat signiert, obwohl
es als „nicht signiert“ angezeigt wird. Dies liegt daran, dass iOS das Zertifikat noch nicht erkennt.
125
5. Mit dem Registrierungsprofil können Sie Geräte konfigurieren und Sicherheitspolicies für Benutzer oder Gruppen
festlegen.
WICHTIG
Wenn Sie das Registrierungsprofil entfernen, werden sämtliche Unternehmenseinstellungen (E-Mail, Kalender,
Kontakte usw.) entfernt, und das iOS-Mobilgerät wird nicht mehr verwaltet. Wenn ein Benutzer das
Registrierungsprofil entfernt, hat ERA keine Kenntnis von diesem Vorgang, und der Gerätestatus wird zunächst
als und später als angezeigt. Dies geschieht nach 14 Tagen, da sich das iOS-Mobilgerät nicht mehr
verbindet. Sie erhalten keinen weiteren Hinweis darauf, dass das Registrierungsprofil entfernt wurde.
126
127
6.3 Erstellen einer Policy für iOS MDM - Exchange ActiveSync-Konto
Mit dieser Policy können Sie ein Microsoft Exchange-E-Mail-Konto, Kontakte und Kalender auf iOS-Mobilgeräten
konfigurieren. Mit diesem Verfahren können Sie eine einzige Policy erstellen und diese anschließend für beliebig
viele iOS-Mobilgeräte anwenden, ohne die Geräte einzeln konfigurieren zu müssen. Zu diesem Zweck werden
Active Directory-Benutzerattribute verwendet. Geben Sie eine Variable an, z. B. ${exchange_login/exchange}.
Diese Variable wird anschließend durch einen Wert aus AD für einen bestimmten Benutzer ersetzt.
Falls Sie weder Microsoft Exchange noch Exchange ActiveSync verwenden, können Sie die einzelnen Dienste
manuell konfigurieren (E-Mail-Konten, Kontaktkonten, LDAP-Konten, Kalenderkonten und abonnierte
Kalenderkonten).
Im folgenden Beispiel wird eine neue Policy erstellt und übernommen, die automatisch E-Mail, Kontakte und
Kalendergesteuert für alle Benutzer auf iOS-Mobilgeräten einrichtet und das Exchange ActiveSync (EAS)-Protokoll
zum Synchronisieren dieser Dienste verwendet.
HINWEIS
Bevor Sie mit der Einrichtung dieser Policy beginnen, müssen Sie sicherstellen, dass Sie die unter Mobile Device
Management beschriebenen Schritte ausgeführt haben.
Einfach
Geben Sie einen Namen für die Policy ein. Die Eingabe in das Feld Beschreibung ist optional.
Einstellungen
Wählen Sie den Eintrag ESET Mobile Device Management für iOS im Dropdownmenü aus, klicken Sie auf Sonstige,
um die Kategorien zu erweitern, und klicken Sie auf Bearbeiten neben den Exchange ActiveSync-Konten.
Klicken Sie auf Hinzufügen und geben Sie die Details Ihres Exchange ActiveSync-Kontos ein. Sie können Variablen
für bestimmte Felder verwenden (aus der Dropdownliste auswählen), z. B. Benutzer oder E-Mail-Adresse. Diese
Variablen werden mit tatsächlichen Werten aus der Benutzerverwaltung ersetzt, wenn die Policy angewendet wird.
128
Kontoname - Geben Sie den Namen des Exchange-Kontos ein. Diese Angabe dient lediglich zur Wiedererkennung
des E-Mail-/Kontakt-/Kalenderkontos durch den Benutzer bzw. Administrator.
Exchange ActiveSync-Host - Geben Sie Hostname oder IP-Adresse des Exchange-Servers ein.
SSL verwenden - Diese Option ist standardmäßig aktiviert. Hier können Sie festlegen, ob der Exchange-Server
Secure Sockets Layer (SSL) für die Authentifizierung verwendet.
Domäne - Dieses Feld ist optional. Hier können Sie die Domäne angeben, zu der dieses Konto gehört.
Benutzer - Exchange-Anmeldename. Wählen Sie die entsprechende Variable aus der Dropdownliste aus, um ein
Attribut aus Ihrem Active Directory für die einzelnen Benutzer zu verwenden.
E-Mail-Adresse - Wählen Sie die entsprechende Variable aus der Dropdownliste aus, um ein Attribut aus Ihrem
Active Directory für die einzelnen Benutzer zu verwenden.
Passwort - optional. Wir empfehlen, dieses Feld leer zu lassen. Wenn Sie dieses Feld nicht ausfüllen, werden die
Benutzer aufgefordert, ein eigenes Passwort zu erstellen.
Verstrichene Tage zu synchronisierender E-Mails - Wählen Sie in der Dropdownliste aus, wie viele Tage
vergangener E-Mails synchronisiert werden sollen.
Identitätszertifikat - Anmeldeinformationen für die ActiveSync-Verbindung.
Verschieben von Nachrichten zulassen - Nachrichten können aus diesem Konto in einem anderes verschoben
werden.
Zulassen, das die letzten Adressen synchronisiert werden - Benutzer dürfen zuletzt verwendete Adressen
geräteübergreifend synchronisieren.
Nur in E-Mail verwenden - Nur die Mail-App darf ausgehende Nachrichten über dieses Konto verschicken.
S/MIME verwenden - S/MIME-Verschlüsselung wird für ausgehende E-Mails verwendet.
Signieren von Zertifikaten - Anmeldeinformationen für das Signieren von MIME-Daten.
Verschlüsselungszertifikat - Anmeldeinformationen für das Verschlüsseln von MIME-Daten.
Verschlüsselungsschalter je Nachricht aktivieren - Benutzer dürfen pro Nachricht auswählen, ob die Nachricht
verschlüsselt werden soll.
HINWEIS
Wenn Sie keinen Wert auswählen und ein Feld leer lassen, werden Benutzer von Mobilgeräten zur Eingabe eines
Werts aufgefordert. Zum Beispiel ein Passwort.
129
Zertifikat hinzufügen - Sie können bei Bedarf spezielle Exchange-Zertifikate (Benutzeridentität, Digitale Signatur
oder Verschlüsselungszertifikat) hinzufügen.
HINWEIS
Mit diesen Schritten können Sie bei Bedarf mehrere Exchange ActiveSync-Konten hinzufügen. Auf diese Weise
werden mehrere Konten pro Mobilgerät konfiguriert. Außerdem können Sie vorhandene Konten bearbeiten.
Zuweisen
Hier können Sie die Clients (einzelne Computer/Mobilgeräte oder ganze Gruppen) festlegen, die Empfänger der
Policy sein sollen.
Klicken Sie auf Zuweisen, um alle statischen und dynamischen Gruppen und ihre Mitglieder anzuzeigen. Wählen Sie
die gewünschten Clients aus und klicken Sie auf OK.
130
Zusammenfassung
Überprüfen Sie die Einstellungen für diese Policy und klicken Sie auf Fertig stellen.
6.4 Erstellen einer Policy für MDC zur Aktivierung von APNS für die iOS-Registrierung
Dieses Beispiel beschreibt die Erstellung einer neuen Policy für ESET Mobile Device Connector, um APNS (Apple
Push Notification Services) und die iOS-Geräteregistrierung zu aktivieren. Dies wird für die iOS-Geräteregistrierung
benötigt. Bevor Sie diese Policy konfigurieren, erstellen Sie ein neues APN-Zertifikat und lassen Sie es im Apple
Push Certificates-Portal von Apple signieren, um es als APNS-Zertifikat verwenden zu können. Eine Schritt-fürSchritt-Anleitung hierzu finden Sie im Bereich APN-Zertifikate.
Einfach
Geben Sie einen Namen für die Policy ein. Die Eingabe in das Feld Beschreibung ist optional.
Einstellungen
Wählen Sie im Dropdownmenü Produkt den EintragESET Remote Administrator Mobile Device Connector aus.
Navigieren Sie unter Allgemein zu Apple Push Notification Service und laden Sie das APNS-Zertifikat und einen
privaten APNS-Schlüssel hoch.
HINWEIS
Geben Sie den Namen Ihrer Organisation im Feld Organisation ein. Dieser Wert wird beim Generieren von
Registrierungsprofilen verwendet und in das Profil einbezogen.
131
APNS-Zertifikat (signiert von Apple) - Klicken Sie auf das Ordnersymbol und navigieren Sie zum APNS-Zertifikat, um
das Zertifikat hochzuladen.
Privater APNS-Schlüssel - Klicken Sie auf das Ordnersymbol und navigieren Sie zum privaten APNS-Schlüssel, um
den Schlüssel hochzuladen.
Zuweisen
Hier können Sie die Clients (einzelne Computer/Mobilgeräte oder ganze Gruppen) festlegen, die Empfänger der
Policy sein sollen.
Klicken Sie auf Zuweisen, um alle statischen und dynamischen Gruppen und ihre Mitglieder anzuzeigen. Wählen Sie
die Mobile Device Connector-Instanz aus, für die Sie ein APNS-Zertifikat übernehmen möchten, und klicken Sie auf
OK.
Zusammenfassung
Überprüfen Sie die Einstellungen für diese Policy und klicken Sie auf Fertig stellen.
132
6.5 Erstellen einer Policy für Einschränkungen unter iOS und Hinzufügen einer
WLAN-Verbindung
Sie können eine Policy erstellen, um für iOS-Mobilgeräte bestimme Einschränkungen vorzuschreiben. Außerdem
können Sie WLAN-Verbindungen definieren, damit sich die Benutzer an unterschiedlichen Bürostandorten
automatisch mit dem Unternehmens-WLAN verbinden können. Dasselbe gilt für VPN-Verbindungen.
Die möglichen Einschränkungen für iOS-Mobilgeräte sind in Kategorien unterteilt. Sie können z. B. FaceTime, die
Nutzung der Kamera oder bestimmte iCloud-Features deaktivieren, Sicherheits- und Datenschutzeinstellungen
optimieren und unerwünschte Apps blockieren.
HINWEIS
Die verfügbaren Einschränkungen hängen von der iOS-Version des jeweiligen Clientgeräts ab. iOS 8.x und
neuere Versionen werden unterstützt.
Im folgenden Beispiel werden die Kamera- und FaceTime-Apps deaktiviert und WLAN-Verbindungsdetails
hinzugefügt, mit denen sich das iOS-Mobilgerät mit einem Netzwerk verbinden kann, wenn dieses Netzwerk
erkannt wird. Mit der Option Automatisch beitreten können Sie festlegen, ob sich die iOS-Mobilgeräte
standardmäßig mit diesem Netzwerk verbinden sollen. Die Policy-Einstellung überschreibt die manuelle
Benutzerauswahl für WLAN-Netzwerke.
Einfach
Geben Sie einen Namen für die Policy ein. Die Eingabe in das Feld Beschreibung ist optional.
Einstellungen
Wählen Sie ESET Mobile Device Management für iOS aus und klicken Sie auf Einschränkungen, um die Kategorien
anzuzeigen. Klicken Sie auf den Schalter neben Verwendung der Kamera zulassen, um die Option zu deaktivieren.
Wenn Sie die Kamera deaktivieren, wird FaceTime automatisch ebenfalls deaktiviert. Wenn sie nur FaceTime
deaktivieren möchten, lassen Sie die Kamera aktiviert und deaktivieren Sie den Schalter neben FaceTime zulassen.
133
Konfigurieren Sie die Einschränkungen und klicken Sie anschließend auf Sonstige und dann auf Bearbeiten neben
WLAN-Verbindungsliste. Daraufhin wird ein Fenster mit einer Liste der WLAN-Verbindungen geöffnet. Klicken Sie
auf Hinzufügen und füllen Sie die Angaben für das WLAN-Netzwerk aus. Klicken Sie auf Speichern.
Service Set Identifier (SSID) - SSID des WLAN-Netzwerks, das verwendet werden soll.
Automatisch beitreten - Optional (standardmäßig aktiviert), Gerät verbindet sich automatisch mit dem Netzwerk.
Sicherheitseinstellungen:
Verschlüsselungstyp - Wählen Sie die gewünschte Verschlüsselung aus der Dropdownliste aus. Achten Sie darauf,
dass dieser Wert mit den Einstellungen des WLAN-Netzwerks übereinstimmt.
Passwort - Geben Sie das Passwort ein, das für die Verbindung mit diesem WLAN-Netzwerk verwendet werden
soll.
Proxy-Einstellungen - Optional. Geben Sie die Werte ein, falls Ihr Netzwerk einen Proxyserver verwendet.
Zuweisen
Hier können Sie die Clients (einzelne Computer/Mobilgeräte oder ganze Gruppen) festlegen, die Empfänger der
Policy sein sollen.
Klicken Sie auf Zuweisen, um alle statischen und dynamischen Gruppen und ihre Mitglieder anzuzeigen. Wählen Sie
die gewünschten Clients aus und klicken Sie auf OK.
134
Zusammenfassung
Überprüfen Sie die Einstellungen für diese Policy und klicken Sie auf Fertig stellen.
6.5.1 MDM-Konfigurationsprofile
Sie können Profile konfigurieren, um Policies und Einschränkungen für verwaltete Mobilgeräte vorzuschreiben.
Name des Profils
Kurzbeschreibung
Passcode
Schreibt Endbenutzern vor, dass sie ihr Gerät mit einem Passcode schützen müssen, wenn
sie es aus dem Leerlauf aktivieren. Damit wird sichergestellt, dass wichtige
Unternehmensdaten auf verwalteten Geräten geschützt sind. Wenn mehrere Profile
Passcodes für ein einziges Gerät vorschreiben, wird die restriktivste Policy verwendet.
Einschränkungen
Einschränkungsprofile limitieren die nutzbaren Features für Benutzer von verwalteten
Mobilgeräten, indem Berechtigungen für Gerätefunktionen, Apps, iCloud, Sicherheit und
Datenschutz konfiguriert werden.
WLANVerbindungsliste
WLAN-Profile übertragen Einstellungen für Unternehmens-WLANs direkt auf verwaltete
Geräte.
VPN-Verbindungsliste VPN-Profile übertragen Einstellungen für Unternehmens-VPNs auf Geräte, damit Benutzer
an Remote-Standorten sicher auf die Unternehmens-Infrastruktur zugreifen können.
Verbindungsname - Name der Verbindung auf dem Gerät.
Verbindungstyp - Der für dieses Profil aktivierte Verbindungstyp. Jeder Verbindungstyp
verfügt über unterschiedliche Fähigkeiten.
Server - Hostname oder IP-Adresse des Servers, zu dem die Verbindung aufgebaut wird.
E-Mail-Konten
Hier können Administratoren IMAP/POP3-E-Mail-Konten konfigurieren.
135
Exchange ActiveSyncKonten
Mit Exchange ActiveSync-Profilen können Endbenutzer auf pushbasierte E-MailUnternehmensinfrastrukturen zugreifen. Einige der vorausgefüllten bzw. Naschlagefelder
gelten nur für iOS 5+.
CalDAV Kalenderkonten
CalDAV bietet Konfigurationsoptionen für die drahtlose Synchronisierung mit dem CalDAVServer des Unternehmens.
CardDAV Kontaktkonten
In diesem Bereich können Sie CardDAV-Dienste konfigurieren.
Abonnierte
Kalenderkonten
In diesem Bereich können Sie Kalender konfigurieren.
136
7. Admin
Der Bereich Admin stellt die Hauptkomponente zur Konfiguration von ESET Remote Administrator dar. Dieser
Bereich enthält alle Tools, die dem Administrator zur Verwaltung der Client-Sicherheitslösungen und der ERAServereinstellungen zur Verfügung stehen. Mit den Tools im Bereich „Admin“ können Sie die Netzwerkumgebung
so konfigurieren, dass keine umständliche Wartung erforderlich ist. Außerdem können Sie Benachrichtigungen und
Dashboards konfigurieren, die Sie über den Netzwerkstatus auf dem Laufenden halten.
In diesem Abschnitt
Statusübersicht
Templates für dynamische Gruppen
Gruppen
Benutzerverwaltung
Policies
Client-Tasks
Server-Tasks
Trigger
Benachrichtigungen
Zertifikate
Zugriffsrechte
Servereinstellungen
Lizenzverwaltung
7.1 Gruppen
Mit Gruppen können Sie Computer verwalten und in Kategorien einordnen. Anschließend können Sie auf Grundlage
der Gruppenmitgliedschaft ganz einfach verschiedene Einstellungen, Tasks oder Einschränkungen auf die
Clientcomputer anwenden. Sie können vordefinierte Gruppen und Gruppen-Templates verwenden oder neue
erstellen. Clientcomputer können zu Gruppen hinzugefügt werden. Mithilfe der Gruppen können Sie die Computer
je nach Bedarf anordnen und sortieren. Sie können Computer zu statischen oder dynamischen Gruppen hinzufügen.
Statische Gruppen werden manuell verwaltet. Dynamische Gruppen hingegen werden automatisch auf Grundlage
bestimmter Kriterien erstellt, die in einem Template definiert werden. Nachdem Sie Computer zu den Gruppen
hinzugefügt haben, können Sie den Gruppen Policies, Tasks oder Einstellungen zuweisen. Die Policy, der Task bzw.
die Einstellung wird dann auf alle Mitglieder der Gruppe angewendet. Zwischen Gruppen und Tasks/Policies gilt
folgende Beziehung:
Es gibt zwei Haupttypen für Clientgruppen:
Statische Gruppen
Statische Gruppen sind Gruppen ausgewählter Clientcomputer (Mitglieder). Die Gruppenmitglieder sind statisch
und können nur manuell und nicht auf Grundlage dynamischer Kriterien hinzugefügt/entfernt werden. Ein
Computer kann jeweils nur in einer statischen Gruppe enthalten sein.
Dynamische Gruppen
Dynamische Gruppen sind Gruppen aus Clients, deren Mitgliedschaft in der Gruppe nach bestimmten Kriterien
festgelegt wird. Wenn ein Client die Kriterien nicht erfüllt, wird er aus der Gruppe entfernt. Computer, die die
Kriterien erfüllen, werden automatisch zur Gruppe hinzugefügt. Die Gruppe wird also „dynamisch“ erstellt.
137
Das Fenster Gruppen ist in drei Abschnitte unterteilt:
1. Links wird eine Liste aller Gruppen und ihrer Untergruppen angezeigt. Sie können eine Gruppe und eine Aktion
für diese Gruppe im Kontextmenü auswählen ( neben dem Gruppennamen). Die Optionen sind die gleichen
wie die unten beschriebenen (Schaltfläche für Gruppenaktionen).
2. Im rechten Bereich werden Details zur ausgewählten Gruppe angezeigt (Sie können zwischen den Registerkarten
navigieren):
Computer, die Mitglied der Gruppe sind.
Policies, die der Gruppe zugewiesen sind.
Tasks, die der Gruppe zugewiesen sind.
Zusammenfassung, eine kurze Beschreibung der Gruppe.
3. Über die Schaltflächen des Pop-up-Menüs Gruppen und Computer können Sie folgende Aktionen ausführen:
Gruppe Aktionsschaltfläche:
Neue statische Gruppe ...
Diese Option wird verfügbar, wenn Sie links in der Liste auf eine Gruppe klicken. Diese Gruppe ist dann die
standardmäßige übergeordnete Gruppe. Sie können dies übergeordnete Gruppe jedoch später beim Erstellen einer
neuen statischen Gruppe ändern.
Neue dynamische Gruppe ...
Diese Option wird verfügbar, wenn Sie links in der Liste auf eine Gruppe klicken. Diese Gruppe ist dann die
standardmäßige übergeordnete Gruppe. Sie können dies übergeordnete Gruppe jedoch später beim Erstellen einer
neuen dynamischen Gruppe ändern.
Bearbeiten ...
Hier können Sie die ausgewählte Gruppe bearbeiten. Es gelten die gleichen Einstellungen wie beim Erstellen einer
neuen (statischen oder dynamischen) Gruppe.
Verschieben ...
Sie können eine Gruppe auswählen und als Untergruppe einer anderen Gruppe verschieben.
Löschen
Entfernt die ausgewählte Gruppe vollständig.
Importieren ...
Sie können eine Liste (üblicherweise eine Textdatei) von Computern, die Mitglied der ausgewählten Gruppe
werden sollen, importieren. Wenn die Computer bereits in der Gruppe vorhanden sind, wird der Konflikt je nach
ausgewählter Aktion aufgelöst:
Computer mit Konflikten überspringen (Computer mit Konflikten werden nicht hinzugefügt)
Computer mit Konflikten aus anderen Gruppen verschieben (Computer mit Konflikten werden aus anderen
Gruppen, in denen sie enthalten sind, hierher verschoben)
Computer mit Konflikten duplizieren (Computer mit Konflikten werden mit einem anderen Namen
hinzugefügt).
Exportieren ...
Exportieren Sie die Mitglieder der Gruppe (und Untergruppen, sofern ausgewählt) als Liste (TXT-Datei). Die Liste
kann zur Überprüfung verwendet oder später wieder importiert werden.
Neue hinzufügen ...
Mit dieser Option können Sie ein neues Gerät hinzufügen.
Scannen
Mit dieser Option wird der Task On-Demand-Scan auf dem Client ausgeführt, der die Bedrohung gemeldet hat.
Update der Signaturdatenbank
Mit dieser Option wird der Task Update der Signaturdatenbank ausgeführt (löst manuell ein Update aus).
138
Mobilgerät
Registrieren ... Mit dieser Option können Sie einen neuen Clienttask erstellen.
Suchen – Zum Anfordern der GPS-Koordinaten des Mobilgeräts.
Sperren – Das Gerät wird gesperrt, wenn eine verdächtige Aktivität erkannt oder das Gerät als „vermisst“
gekennzeichnet wird.
Entsperren – Das Gerät wird entsperrt.
Alarm – Löst remote einen lauten Alarm aus. Der Alarm wird auch ausgelöst, wenn das Gerät stumm geschaltet
ist.
Daten löschen – Alle auf dem Gerät gespeicherten Daten werden dauerhaft gelöscht.
Neuer Task ...
Mit dieser Option können Sie einen neuen Clienttask erstellen. Wählen Sie einen Task aus und konfigurieren Sie
(optional) die Drosselung für den Task. Der Task wird gemäß den Taskeinstellungen in die Warteschlange gesetzt.
Diese Option löst sofort einen vorhandenen Task aus, den Sie aus einer Liste der verfügbaren Tasks auswählen. Für
diesen Task ist der Trigger nicht verfügbar, weil er sofort ausgeführt wird.
Policies verwalten ...
Weisen Sie einer ausgewählten Gruppe eine Policy zu.
7.1.1 Neue statische Gruppe erstellen
Zum Erstellen einer neuen statischen Gruppe stehen drei Methoden zur Auswahl:
1. Klicken Sie auf Computer > Gruppen >
2. Klicken Sie auf Admin > Gruppen >
und wählen Sie Neue statische Gruppe aus.
> Neue statische Gruppe ....
139
3. Klicken Sie auf Admin > Gruppen, wählen Sie eine statische Gruppe aus und klicken Sie auf Gruppe.
140
7.1.2 Erstellen einer neuen dynamischen Gruppe
Dynamische Gruppen sind Gruppen von Clients, die auf Grundlage bestimmter Kriterien ausgewählt werden. Wenn
ein Clientcomputer die Kriterien nicht erfüllt, wird er aus der Gruppe entfernt. Wenn ein Client die Bedingungen
erfüllt, wird zur Gruppe hinzugefügt. Die Auswahl der Gruppenmitglieder erfolgt automatisch auf Grundlage der
konfigurierten Einstellungen. Bei statischen Gruppen ist dies jedoch nicht der Fall.
Zum Erstellen einer neuen dynamischen Gruppe stehen drei Methoden zur Auswahl:
1. Klicken Sie auf Computer > Gruppen >
2. Klicken Sie auf Admin > Gruppen >
und anschließend auf Neue dynamische Gruppe...
> Neue dynamische Gruppe ....
3. Klicken Sie auf Admin > Gruppen, klicken Sie anschließend auf die Schaltfläche Gruppe und auf Neue dynamische
Gruppe...
141
Der Assistent für neue dynamische Gruppen wird angezeigt. Weitere Anwendungsfälle zur Erstellung von
dynamischen Gruppen mit Regeln für entsprechende Templates.
Im Abschnitt der Templates für dynamische Gruppen sind vordefinierte und benutzerdefinierte Templates
enthalten, die auf unterschiedlichen Kriterien basieren. Alle Templates werden in einer Liste angezeigt. Klicken Sie
auf ein vorhandenes Template, um es zu bearbeiten. Klicken Sie auf Neues Template, um ein neues Template für
eine dynamische Gruppe zu erstellen.
7.1.3 Zuweisen eines Task zu einer Gruppe
Klicken Sie auf Admin > Gruppen, wählen Sie eine Statische oder Dynamische Gruppe aus und klicken Sie auf
neben der ausgewählten Gruppe. Klicken Sie alternativ auf Gruppe > Neuer Task
Sie können auch unter Computer eine statische oder dynamische Gruppe auswählen und auf
klicken. Der Assistent für neue Client-Tasks wird geöffnet.
142
>
Neuer Task
7.1.4 Zuweisen einer Policy zu einer Gruppe
Nachdem Sie eine Policy erstellt haben, können Sie sie einer statischen oder dynamischen Gruppe zuweisen. Es
gibt zwei Möglichkeiten zum Zuweisen einer Policy:
1. Klicken Sie auf Admin > Policies, wählen Sie eine Policy aus und klicken Sie auf Gruppe(n) zuweisen. Wählen Sie
eine statische oder dynamische Gruppe aus und klicken Sie auf OK.
Wählen Sie Gruppe in der Liste aus.
2. Klicken Sie auf Admin > Gruppen > Gruppe oder auf
verwalten.
neben dem Gruppennamen und anschließend auf Policies
143
Klicken Sie im Fenster Anwendungsreihenfolge für Policies auf Policy hinzufügen. Aktivieren Sie das
Kontrollkästchen neben der Policy, die Sie der Gruppe zuweisen möchten, und klicken Sie auf OK.
Klicken Sie auf Speichern. Um anzuzeigen, welche Policies einer bestimmten Gruppe zugewiesen sind, wählen Sie
die gewünschte Gruppe aus und klicken Sie auf die Registerkarte Policies. Eine Liste der Policies, die dieser Gruppe
zugewiesen sind, wird angezeigt.
HINWEIS
Weitere Informationen zu Policies finden Sie im Kapitel Policies.
7.1.5 Statische Gruppen
Statische Gruppen dienen dem manuellen Ordnen der Clientcomputer in Gruppen und Untergruppen. Sie können
benutzerdefinierte statische Gruppen erstellen und die gewünschten Computer in diese Gruppen verschieben.
Statische Gruppen können nur manuell erstellt werden. Anschließend können Clientcomputer manuell in diese
Gruppen verschoben werden. Jeder Computer kann stets nur zu einer statischen Gruppe gehören.
Es gibt zwei standardmäßige statische Gruppen:
Alle – Dies ist eine Hauptgruppe für alle Computer im Netzwerk des ERA-Servers. Über diese Gruppe werden die
Policies auf jeden Computer als standardmäßige Policy angewendet. Die Gruppe wird immer angezeigt und ihr
Name kann nicht geändert werden.
Fundbüro als Untergruppe der Gruppe Alle – Bei der ersten Verbindung zwischen Agent und Server wird jeder
neue Computer zunächst automatisch in dieser Liste angezeigt. Die Gruppe kann umbenannt und kopiert werden,
jedoch nicht gelöscht oder verschoben.
Klicken Sie zum Erstellen statischer Gruppen im Bereich Gruppen der Registerkarte Admin auf die Schaltfläche
Gruppen und wählen Sie Neue statische Gruppe aus.
144
7.1.5.1 Assistent für statische Gruppen
Wählen Sie unter Computer > Gruppen eine der statischen Gruppen aus, klicken Sie auf und wählen Sie Neue
statische Gruppe aus. Klicken Sie zum Erstellen statischer Gruppen im Bereich Gruppen der Registerkarte Admin auf
die Schaltfläche Gruppen oder auf neben dem Namen der statischen Gruppe.
Einfach
Geben Sie einen Namen und eine Beschreibung für die neue Gruppe ein. Optional können Sie die übergeordnete
Gruppe ändern. Standardmäßig ist die übergeordnete Gruppe diejenige Gruppe, die Sie zu Beginn des
Erstellungsvorgangs der neuen statischen Gruppe ausgewählt haben. Wenn Sie die übergeordnete Gruppe ändern
möchten, klicken Sie auf Übergeordnete Gruppe ändern und wählen Sie aus der Baumstruktur eine übergeordnete
Gruppe aus. Die übergeordnete Gruppe der neuen statischen Gruppe muss eine statische Gruppe sein. Dynamische
Gruppen dürfen keine statischen Gruppen enthalten. Klicken Sie auf Fertig stellen, um die neue statische Gruppe zu
erstellen.
145
7.1.5.2 Verwalten statischer Gruppen
Navigieren Sie zu Admin > Gruppen > und wählen Sie die statische Gruppe aus, die Sie verwalten möchten. Klicken
Sie auf die Schaltfläche Gruppe oder auf neben dem Namen der statischen Gruppe. Ein Pop-up-Menü mit den
verfügbaren Optionen wird angezeigt:
Statische Gruppe Aktionen:
Neue statische Gruppe... – Diese Option wird verfügbar, wenn Sie links in der Liste auf eine Gruppe klicken.
Diese Gruppe ist dann die standardmäßige übergeordnete Gruppe. Sie können dies übergeordnete Gruppe jedoch
später beim Erstellen einer neuen statischen Gruppe ändern.
Neue dynamische Gruppe ...
Diese Option wird verfügbar, wenn Sie links in der Liste auf eine Gruppe klicken. Diese Gruppe ist dann die
standardmäßige übergeordnete Gruppe. Sie können dies übergeordnete Gruppe jedoch später beim Erstellen einer
neuen dynamischen Gruppe ändern.
Bearbeiten ...
Hier können Sie die ausgewählte Gruppe bearbeiten. Es gelten die gleichen Einstellungen wie beim Erstellen einer
neuen (statischen oder dynamischen) Gruppe.
Verschieben ...
Sie können eine Gruppe auswählen und als Untergruppe einer anderen Gruppe verschieben.
Löschen
Entfernt die ausgewählte Gruppe vollständig.
Importieren
Sie können eine Liste (üblicherweise eine Textdatei) von Computern, die Mitglied der ausgewählten Gruppe
werden sollen, importieren.
Exportieren
Exportieren Sie die Mitglieder der Gruppe (und Untergruppen, sofern ausgewählt) als Liste (.txt-Datei). Die Liste
kann zur Überprüfung verwendet oder später wieder importiert werden.
Neue hinzufügen ...
Fügt einen Computer zur statischen Gruppe hinzu.
Prüfung
Mit dieser Option wird der Task On-Demand -Prüfung auf dem Client ausgeführt, der die Bedrohung gemeldet hat.
146
Virus-DB aktualisieren
Mit dieser Option wird der Task Update der Signaturdatenbank ausgeführt (löst manuell ein Update aus).
Mobilgerät
Registrieren ... - Mit dieser Option können Sie einen neuen Clienttask erstellen.
Suchen – Zum Anfordern der GPS-Koordinaten des Mobilgeräts.
Sperren – Das Gerät wird gesperrt, wenn eine verdächtige Aktivität erkannt oder das Gerät als „vermisst“
gekennzeichnet wird.
Entsperren – Das Gerät wird entsperrt.
Alarm – Löst remote einen lauten Alarm aus. Der Alarm wird auch ausgelöst, wenn das Gerät stumm geschaltet
ist.
Daten löschen – Alle auf dem Gerät gespeicherten Daten werden dauerhaft gelöscht.
Neuer Task ...
Wählen Sie einen Task aus und konfigurieren Sie (optional) die Drosselung für den Task. Der Task wird gemäß den
Taskeinstellungen in die Warteschlange gesetzt.
Diese Option löst sofort einen vorhandenen Task aus, den Sie aus einer Liste der verfügbaren Tasks auswählen. Für
diesen Task ist der Trigger nicht verfügbar, weil er sofort ausgeführt wird.
Policies verwalten ... – Weist der ausgewählten Gruppe eine Policy zu.
7.1.5.3 Verschieben einer statischen Gruppe
Klicken Sie auf neben dem Gruppennamen und wählen Sie Verschieben aus. Ein Pop-up-Fenster mit der
Baumstruktur der Gruppen wird angezeigt. Wählen Sie die (statische oder dynamische) Zielgruppe aus, in die Sie
die ausgewählte Gruppe verschieben möchten. Die Zielgruppe wird eine übergeordnete Gruppe. Sie können eine
Gruppe auch durch Ziehen der Gruppe und Ablegen in der gewünschten Zielgruppe verschieben.
Einige Ausnahmen bei der Gruppenorganisation müssen beachtet werden. Eine statische Gruppe kann nicht in eine
dynamische Gruppe verschoben werden. Außerdem können keine vordefinierten statischen Gruppen (zum Beispiel
die Gruppe „Fundbüro“) in eine andere Gruppe verschoben werden. Andere Gruppen können frei verschoben
werden. Eine dynamische Gruppe kann Mitglied einer beliebigen anderen Gruppe sein, auch einer statischen
Gruppe.
Zum Verschieben von Gruppen stehen folgende Methoden zur Verfügung:
Ziehen und Ablegen - Klicken Sie auf die zu verschiebende Gruppe und halten Sie die Maustaste gedrückt. Bewegen
Sie den Mauszeiger zur neuen übergeordneten Gruppe Ihrer Wahl und lassen Sie die Maustaste los.
> Bearbeiten > Übergeordnete Gruppe ändern.
147
> Verschieben > Auswahl einer neuen übergeordneten Gruppe aus der Liste und Klicken auf OK.
7.1.5.4 Importieren von Clients aus Active Directory
Um Clients aus AD zu importieren, erstellen Sie einen neuen Server-Task Synchronisierung statischer Gruppen.
Wählen Sie eine Gruppe aus, zu der Sie neue Computer aus AD hinzufügen möchten. Wählen Sie die Objekte im AD
aus, von denen Sie synchronisieren möchten, und wählen Sie Aktionen für Duplikate aus. Geben Sie die
Verbindungseinstellungen für den AD-Server ein und legen Sie den Synchronisierungsmodus auf Active Directory/
Open Directory/LDAP fest.
148
7.1.5.5 Exportieren statischer Gruppen
Die Liste der Computer in der ERA-Struktur kann auf einfache Weise exportiert werden. Sie können die Liste
exportieren und als Sicherung speichern. So steht zum späteren Import zur Verfügung, falls Sie beispielsweise die
Gruppenstruktur wiederherstellen möchten.
HINWEIS
Eine statische Gruppe muss mindestens einen Computer enthalten. Leere Gruppen können nicht exportiert
werden.
1. Navigieren Sie zu Admin > Gruppen > und wählen Sie die statische Gruppe aus, die Sie exportieren möchten.
2. Klicken Sie unten auf die Schaltfläche Gruppe (ein Kontextmenü wird geöffnet).
3. Wählen Sie Exportieren aus.
4. Die Datei wird im .txt-Format gespeichert.
HINWEIS
Dynamische Gruppen können nicht exportiert werden, weil es sich hierbei nur um Verknüpfungen zu Computern
handelt, welche die in den Vorlagen für dynamische Gruppen definierten Kriterien erfüllen.
149
7.1.5.6 Importieren statischer Gruppen
Exportierte Dateien statischer Gruppen können zurück in die ERA Web-Konsole importiert und in die vorhanden
Gruppenstruktur integriert werden.
1. Klicken Sie auf Gruppe (ein Kontextmenü wird geöffnet).
2. Wählen Sie Importieren aus.
3. Klicken Sie auf Durchsuchen und navigieren Sie zur TXT-Datei.
4. Wählen Sie die Datei der Gruppe aus und klicken Sie auf Öffnen. Der Dateiname wird im Textfeld angezeigt.
5. Wählen Sie für das Beheben von Konflikten eine der folgenden Optionen aus:
Computer mit Konflikten überspringen
Wenn statische Gruppen vorhanden sind und bereits Computer aus der .txt-Datei enthalten, werden die
entsprechenden Computer übersprungen und nicht importiert. Es wird eine entsprechende Information hierzu
angezeigt.
Computer mit Konflikten aus anderen Gruppen verschieben
Wenn statische Gruppen vorhanden sind und Computer aus der TXT-Datei bereits in einer dieser Gruppen
vorhanden sind, müssen die Computer vor dem Importieren in eine andere statische Gruppe verschoben werden.
Nach dem Importieren werden die Computer wieder in ihre ursprüngliche Gruppe zurückverschoben.
Computer mit Konflikten duplizieren
Wenn statische Gruppen vorhanden sind und bereits Computer aus der .txt-Datei enthalten, werden in der gleichen
statischen Gruppe Duplikate dieser Computer erstellt. Der ursprüngliche Computer wird mit den vollständigen
Informationen und das Duplikat nur mit dem Computernamen angezeigt.
5. Klicken Sie auf Importieren. Die statischen Gruppen und die darin enthaltenen Computer werden importiert.
150
7.1.6 Dynamische Gruppen
Dynamische Gruppen sind benutzerdefinierte Filter, die unter Templates definiert werden. Die Computer werden
auf der Agentenseite gefiltert, sodass keine zusätzlichen Informationen an den Server übertragen werden müssen.
Der Agent entscheidet selbst, zu welcher dynamischen Gruppe ein Client gehört, und benachrichtigt den Server
lediglich über diese Entscheidung. Die Regeln für dynamische Gruppen sind im Template für dynamische Gruppen
definiert.
Nach der Installation von ESET Remote Administrator stehen einige vordefinierte dynamische Gruppen zur
Verfügung. Bei Bedarf können Sie benutzerdefinierte dynamische Gruppen erstellen. Wenn Sie eine
benutzerdefinierte dynamische Gruppe erstellen möchten, erstellen Sie zuerst ein Template und erstellen Sie dann
eine dynamische Gruppe.
Alternativ können Sie gleichzeitig eine neue dynamische Gruppe und ein neues Template erstellen.
Mit einem Template können mehrere dynamische Gruppen erstellt werden.
Ein Benutzer kann dynamische Gruppen in anderen Komponenten von ERA verwenden. Sie können der Gruppe
Policies zuweisen oder einen Task für alle Computer in der Gruppe vorbereiten.
Dynamische Gruppen können sich unter statischen oder dynamischen Gruppen befinden. Die oberste Gruppe ist
jedoch immer eine statische Gruppe.
Alle dynamischen Gruppen unter einer gegebenen statischen Gruppe filtern nur die Computer dieser statischen
Gruppe, unabhängig davon, wie tief sie im Baum angeordnet sind. Bei verschachtelten dynamischen Gruppen filtert
die tiefer gelegene dynamische Gruppe die Ergebnisse der darüber liegenden.
Policies werden wie hier beschrieben angewendet. Nach der Erstellung können Sie jedoch frei im Baum verschoben
werden.
151
7.1.6.1 Assistent für dynamische Gruppen
In jeder dynamischen Gruppe wird ein Template verwendet, um die Clientcomputer zu filtern. Ein einmal
definiertes Template kann später in anderen dynamischen Gruppen zum Filtern der Clients verwendet werden. ERA
enthält mehrere einsatzbereite standardmäßige Templates für dynamische Gruppen, mit denen Sie die
Clientcomputer auf einfache Weise in Kategorien gliedern können.
Zum Erstellen einer dynamische Gruppe können Sie ein vorhandenes Template verwenden oder ein neues
Template erstellen (das nach der Erstellung für diese dynamische Gruppe verwendet wird).
Einfach
Geben Sie einen Namen und eine Beschreibung (optional) für die neue dynamische Gruppe ein. Standardmäßig ist
die übergeordnete Gruppe die Gruppe, die Sie zu Beginn des Erstellungsvorgangs der neuen statischen Gruppe
ausgewählt haben. Wenn Sie die übergeordnete Gruppe ändern möchten, klicken Sie auf Übergeordnete Gruppe
ändern und wählen Sie eine aus der Baumstruktur aus. Die übergeordnete Gruppe der neuen dynamischen Gruppe
kann dynamisch oder statisch sein. Klicken Sie auf Fertig stellen, um die neue dynamische Gruppe zu erstellen.
Template
Sie können ein vorhandenes Template für dynamische Gruppen auswählen oder ein neues Template für
dynamische Gruppen erstellen.
Zusammenfassung
Überprüfen Sie die Konfiguration, um sicherzustellen, dass sie richtig ist. Nehmen Sie bei Bedarf Änderungen vor.
Klicken Sie dann auf Fertig stellen.
7.1.6.2 Templates für dynamische Gruppen
Templates für dynamische Gruppen enthalten die Kriterien, nach denen Computer in dynamische Gruppen
eingeordnet werden. Wenn ein Client diese Kriterien erfüllt, wird er automatisch in die entsprechende dynamische
Gruppe verschoben.
Neues Template für dynamische Gruppen erstellen
Templates für dynamische Gruppen verwalten
Regeln für dynamische Gruppen-Templates
Dynamische Gruppen-Templates - Beispiele
152
7.1.6.2.1 Neues Template für dynamische Gruppen
Klicken Sie auf Neues Template unter Admin > Templates für dynamische Gruppen.
Geben Sie einen Namen und eine Beschreibung für das neue Template für dynamische Gruppen ein.
In unseren Beispielen finden Sie illustrierte Schritt-für-Schritt-Anleitungen zur Verwendung von dynamischen
Gruppen in Ihrem Netzwerk.
7.1.6.2.2 Erstellen einer dynamischen Gruppe mit einem vorhandenen Template
Um eine dynamische Gruppe mit einer vorhandenen Vorlage zu erstellen, klicken Sie auf neben dem Namen der
dynamischen Gruppe und dann auf Neue dynamische Gruppe.
Alternativ ist die Funktion Neue dynamische Gruppe ... auch unter Admin > Gruppen verfügbar. Wählen Sie im
Gruppenbereich eine Gruppe aus und klicken Sie unten auf Gruppe.
Der Assistent für dynamische Gruppen wird angezeigt. Geben Sie unter Name und (optional) unter Beschreibung
die gewünschten Angaben für das neue Template ein. Sie können auch die übergeordnete Gruppe ändern. Klicken
Sie hierzu auf Übergeordnete Gruppe ändern.
153
Wählen Sie ein Template für dynamische Gruppe aus den vordefinierten Templates oder aus bereits erstellten
Templates aus. Klicken Sie auf Bestehende auswählen ... und wählen Sie in der Liste das gewünschte Template aus.
Wenn Sie noch kein Template erstellt haben und keines der vordefinierten Templates in der Liste geeignet ist,
klicken Sie auf „Neu ...“ und befolgen Sie die Anweisungen zum Erstellen eines neuen Template.
Der letzte Bildschirm enthält eine Zusammenfassung. Die neue Gruppe wird unter der übergeordneten statischen
Gruppe angezeigt.
154
7.1.6.2.3 Erstellen einer dynamischen Gruppe mit einem neuen Template
Die Schritte sind die gleichen wie beim Erstellen einer dynamischen Gruppe mit einem vorhandenen Template, bis
zum Schritt Template für dynamische Gruppe. Hier klicken Sie stattdessen Neues Template für dynamische Gruppen
und füllen die Details für das neue Template aus.
Nach dem Fertigstellen wird automatisch das neue Template verwendet. Außerdem wird das Template in der Liste
der Templates für dynamische Gruppen angezeigt und kann zum Erstellen weiterer dynamischer Gruppen
verwendet werden.
155
7.1.6.2.4 Verwalten von Templates für dynamische Gruppen
Die Verwaltung der Templates erfolgt unter Admin > Templates für dynamische Gruppen. Sie können entweder ein
neues Template erstellen oder eines der vorhandenen Templates bearbeiten. Zum Bearbeiten klicken Sie auf das
gewünschte Template. Ein Assistent wird angezeigt.
Alternativ können Sie ein Template durch Aktivieren des Kontrollkästchens neben dem Template auswählen und
dann auf Template bearbeiten klicken.
Duplizieren - Mit dieser Option können Sie neue Templates für dynamische Gruppen anhand der ausgewählten
Templates erstellen. Für den Duplikattask muss ein neuer Name ausgewählt werden.
Klicken Sie auf Speichern unter, falls Sie Ihr vorhandenes Template behalten und ein neues Template auf dessen
Basis erstellen möchten. Geben Sie einen Namen für Ihr neues Template ein.
156
7.1.6.2.5 Verschieben einer dynamischen Gruppe
Klicken Sie auf neben dem Gruppennamen und wählen Sie Verschieben aus. Ein Pop-up-Fenster mit der
Baumstruktur der Gruppen wird angezeigt. Wählen Sie die (statische oder dynamische) Zielgruppe aus, in die Sie
die ausgewählte Gruppe verschieben möchten. Die Zielgruppe wird eine übergeordnete Gruppe. Sie können eine
Gruppe auch durch Ziehen der Gruppe und Ablegen in der gewünschten Zielgruppe verschieben.
Einige Ausnahmen bei der Gruppenorganisation müssen beachtet werden. Eine statische Gruppe kann nicht in eine
dynamische Gruppe verschoben werden. Außerdem können keine vordefinierten statischen Gruppen (zum Beispiel
die Gruppe „Fundbüro“) in eine andere Gruppe verschoben werden. Andere Gruppen können frei verschoben
werden. Eine dynamische Gruppe kann Mitglied einer beliebigen anderen Gruppe sein, auch einer statischen
Gruppe.
Zum Verschieben von Gruppen stehen folgende Methoden zur Verfügung:
Ziehen und Ablegen - Klicken Sie auf die zu verschiebende Gruppe und halten Sie die Maustaste gedrückt. Bewegen
Sie den Mauszeiger zur neuen übergeordneten Gruppe Ihrer Wahl und lassen Sie die Maustaste los.
> Bearbeiten > Übergeordnete Gruppe ändern.
> Verschieben > Auswahl einer neuen übergeordneten Gruppe aus der Liste und Klicken auf OK.
157
HINWEIS: Eine dynamische Gruppe filtert Computer (basierend auf dem Template) an ihrer neuen Position ohne
jeglichen Bezug zur früheren Position der Gruppe.
7.1.6.2.6 Dynamisches Gruppen-Template - Beispiele
Die dynamischen Gruppen-Templates in dieser Anleitung enthalten Beispiele für die Verwendung von
dynamischen Gruppen für die Verwaltung Ihres Netzwerks:
Dynamische Gruppen zur Erkennung, ob ein Sicherheitsprodukt installiert ist
Dynamische Gruppen zur Erkennung, ob eine bestimmte Version einer Software installiert ist
Dynamische Gruppen zur Erkennung, ob eine bestimmte Version einer Software nicht installiert ist
Dynamische Gruppen zur Erkennung, ob eine bestimmte Version einer Software nicht installiert ist, jedoch eine
andere Version existiert
Dynamische Gruppen zur Erkennung, ob ein Computer Teil eines bestimmten Subnetzes ist
Dynamische Gruppen zur Erkennung installierter, jedoch nicht aktivierter Versionen von Sicherheitsprodukten für
Server
Mit dynamischen Gruppen-Templates und den richtigen Regelkombinationen können noch viele weitere Ziele
erreicht werden. Die Möglichkeiten sind praktisch endlos.
7.1.6.2.6.1 Dynamische Gruppen - ein Sicherheitsprodukt ist installiert
Mit dieser dynamischen Gruppe kann ein Task sofort nach der Installation eines ESET-Sicherheitsprodukts auf einem
Computer ausgeführt werden: Aktivierung, benutzerdefinierter Scan usw.
HINWEIS
Außerdem kann die Bedingung mit dem Operator "nicht in" oder der Operation NAND negiert werden. Beide
Möglichkeiten funktionieren, da die entsprechende Maske ein einzeiliges Log ist.
Sie können entweder ein Neues Template unter Admin > Templates für dynamische Gruppen erstellen und eine
neue dynamische Gruppe mit diesem Template erstellen oder eine neue dynamische Gruppe mit einem
vorhandenen oder neuen Template erstellen.
Einfach
Geben Sie einen Namen und eine Beschreibung für das neue Template für dynamische Gruppen ein.
Ausdruck
Wählen Sie einen logischen Operator im Menü Operation aus: AND (sämtliche Bedingungen müssen erfüllt sein).
Klicken Sie auf + Regel hinzufügen und wählen Sie eine Bedingung aus. Wählen Sie Computer > Maske für
verwaltete Produkte > in > Durch ESET geschützt: Desktop aus. Hier können Sie verschiedene ESET-Produkte
auswählen.
158
Zusammenfassung
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen, um das Template zu erstellen. Das neue
Template wird zur Liste der Templates hinzugefügt und kann später zum Erstellen einer neuen dynamischen Gruppe
verwendet werden.
159
7.1.6.2.6.2 Dynamische Gruppen - eine bestimmte Version einer Software ist installiert
Mit dieser dynamischen Gruppe können installierte ESET-Sicherheitsanwendungen auf Computern erkannt werden.
Anschließend können Sie Upgrade-Tasks oder benutzerdefinierte Befehle auf den jeweiligen Computern
ausführen. Verschiedene Operatoren wie "enthält" oder "hat Präfix" können verwendet werden.
Klicken Sie auf Neues Template unter Admin > Templates für dynamische Gruppen.
Einfach
Geben Sie einen Namen und eine Beschreibung für das neue Template für dynamische Gruppen ein.
Ausdruck
Wählen Sie einen logischen Operator im Menü Operation aus: AND (sämtliche Bedingungen müssen erfüllt sein).
Klicken Sie auf + Regel hinzufügen und wählen Sie eine Bedingung aus:
o Installierte Software > Anwendungsname > = (gleich) > ESET Endpoint Security
o Installierte Software > Anwendungsversion > = (gleich) > 6.2.2033.0
Zusammenfassung
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen, um das Template zu erstellen. Das neue
Template wird zur Liste der Templates hinzugefügt und kann später zum Erstellen einer neuen dynamischen Gruppe
verwendet werden.
160
7.1.6.2.6.3 Dynamische Gruppe - eine bestimmte Version einer Software ist nicht installiert
Mit dieser dynamischen Gruppe können fehlende ESET-Sicherheitsanwendungen auf Computern erkannt werden.
Die Einstellungen aus diesem Beispiel enthalten Computer, auf denen die Software entweder nicht oder in einer
falschen Version installiert ist.
Diese Gruppe ist hilfreich, da Sie anschließend einen Software-Installationstask auf den betreffenden Computern
ausführen können, um die Anwendung zu installieren oder zu aktualisieren. Verschiedene Operatoren wie
"enthält" oder "hat Präfix" können verwendet werden.
Klicken Sie auf Neues Template unter Admin > Templates für dynamische Gruppen.
Einfach
Geben Sie einen Namen und eine Beschreibung für das neue Template für dynamische Gruppen ein.
Ausdruck
Wählen Sie einen logischen Operator im Menü Operation aus: NAND (mindestens eine Bedingung muss falsch
sein).
Klicken Sie auf + Regel hinzufügen und wählen Sie eine Bedingung aus:
o Installierte Software > Anwendungsname > = (gleich) > "ESET Endpoint Security"
o Installierte Software > Anwendungsversion > = (gleich) > "6.2.2033.0"
Zusammenfassung
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen, um das Template zu erstellen. Das neue
Template wird zur Liste der Templates hinzugefügt und kann später zum Erstellen einer neuen dynamischen Gruppe
verwendet werden.
161
7.1.6.2.6.4 Dynamische Gruppe - eine bestimmte Version einer Software ist nicht installiert, dafür aber
eine andere Version
Diese dynamische Gruppe kann zur Erkennung von Software verwendet werden, die zwar installiert ist, jedoch nicht
in der gewünschten Version. Dies ist hilfreich, da Sie anschließend einen Upgrade-Task auf den Computern
ausführen können, auf denen nicht die erforderliche Version installiert ist. Sie können verschiedene Operatoren
verwenden, sollten jedoch für die Versionsüberprüfung immer einen negierten Operator verwenden.
Klicken Sie auf Neues Template unter Admin > Templates für dynamische Gruppen.
Einfach
Geben Sie einen Namen und eine Beschreibung für das neue Template für dynamische Gruppen ein.
Ausdruck
Wählen Sie einen logischen Operator im Menü Operation aus: AND (sämtliche Bedingungen müssen erfüllt sein).
Klicken Sie auf + Regel hinzufügen und wählen Sie eine Bedingung aus:
o Installierte Software > Anwendungsname > = (gleich) > "ESET Endpoint Security"
o Installierte Software > Anwendungsversion >
> "6.2.2033.0"
Zusammenfassung
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen, um das Template zu erstellen. Das neue
Template wird zur Liste der Templates hinzugefügt und kann später zum Erstellen einer neuen dynamischen Gruppe
verwendet werden.
162
7.1.6.2.6.5 Dynamische Gruppe - ein Computer ist Teil eines bestimmten Subnetzes
Mit dieser dynamischen Gruppe können bestimmte Subnetze erkannt werden. Anschließend können spezielle
Policies für Web-Kontrolle oder für Updates angewendet werden. Sie können mehrere Bereiche angeben.
Klicken Sie auf Neues Template unter Admin > Templates für dynamische Gruppen.
Einfach
Geben Sie einen Namen und eine Beschreibung für das neue Template für dynamische Gruppen ein.
Ausdruck
Wählen Sie einen logischen Operator im Menü Operation aus: AND (sämtliche Bedingungen müssen erfüllt sein).
Klicken Sie auf + Regel hinzufügen und wählen Sie eine Bedingung aus:
o IP-Adressen im Netzwerk > IP-Adresse des Adapters >
> "10.1.100.1"
o IP-Adressen im Netzwerk > IP-Adresse des Adapters >
> "10.1.100.254"
o IP-Adressen im Netzwerk > Subnetzmaske des Adapters > )= (gleich) > "255.255.255.0"
Zusammenfassung
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen, um das Template zu erstellen. Das neue
Template wird zur Liste der Templates hinzugefügt und kann später zum Erstellen einer neuen dynamischen Gruppe
verwendet werden.
163
Mit dieser dynamischen Gruppe können nicht aktivierte Serverprodukte erkannt werden. Anschließend können Sie
dieser Gruppe einen Client-Task zuweisen, um Clientcomputer mit einer gültigen Lizenz zu aktivieren. Dieses
Beispiel verwendet nur EMSX. Sie können jedoch mehrere Produkte angeben.
Klicken Sie auf Neues Template unter Admin > Templates für dynamische Gruppen.
Einfach
Geben Sie einen Namen und eine Beschreibung für das neue Template für dynamische Gruppen ein.
Ausdruck
Wählen Sie einen logischen Operator im Menü Operation aus: AND (sämtliche Bedingungen müssen erfüllt sein).
Klicken Sie auf + Regel hinzufügen und wählen Sie eine Bedingung aus:
o Computer > Maske für verwaltete Produkte > in > "Durch ESET geschützt: Mailserver“.
o Funktions- und Schutzprobleme > Quelle > = (gleich) > "Sicherheitsprodukt"
o Funktions- und Schutzprobleme > Problem > = (gleich) > "Produkt nicht aktiviert"
Zusammenfassung
Überprüfen Sie die Einstellungen und klicken Sie auf Fertig stellen, um das Template zu erstellen. Das neue
Template wird zur Liste der Templates hinzugefügt und kann später zum Erstellen einer neuen dynamischen Gruppe
verwendet werden.
7.1.6.3 Regeln für dynamische Gruppen-Templates
Für das Festlegen von Regel für Templates für dynamische Gruppen können Sie je nach Bedingung verschiedene
Operatoren verwenden.
Wann wird ein Computer Mitglied einer dynamischen Gruppe?
Regeln und logische Verknüpfungen
Operationstyp
Anwendungsfälle - Erstellen Sie ein spezielles Template für dynamische Gruppen
Auswertung von Template-Regeln
164
7.1.6.3.1 Wann ist ein Computer Mitglied einer dynamischen Gruppe?
Ein Computer muss bestimmte Bedingungen erfüllen, um Mitglied einer dynamischen Gruppe zu werden. Diese
Bedingungen werden in einem Template für die dynamische Gruppe definiert. Jedes Template enthält eine oder
mehrere Regeln. Sie können diese Regeln beim Erstellen eines neuen Template festlegen.
o Bestimmte Informationen zum aktuellen Status eines Clientcomputers werden im Agent gespeichert. Der
Status des Computers wird dann vom Agent auf Grundlage der Template-Regeln ausgewertet.
o Die Bedingungen für den Beitritt eines Computers in eine dynamische Gruppe sind in Ihren Templates für
dynamische Gruppen definiert. Die Clients werden bei jedem Verbindungsaufbau mit ESET Remote
Administrator auf diese Bedingungen hin geprüft. Wenn ein Client die in einem Template für dynamische
Gruppen festgelegten Werte erfüllt, wird er automatisch zur entsprechenden Gruppe zugewiesen.
o Dynamische Gruppen können als Filter in Bezug auf den Computerstatus betrachtet werden. Ein Computer kann
mehrere Filter erfüllen und daher mehr als einer dynamischen Gruppe zugeordnet werden. Dies ist ein
Unterschied zwischen dynamischen und statischen Gruppen, da einzelne Clients nur zu maximal einer
statischen Gruppe zugeordnet werden können.
7.1.6.3.2 Beschreibung der Operationen
Bei der Angabe mehrerer Regeln (Bedingungen) müssen Sie auswählen, mit welcher Operation die Regeln
verknüpft werden sollen. Das Ergebnis entscheidet, ob ein Clientcomputer zu einer dynamischen Gruppe
hinzugefügt wird, die dieses Template verwendet.
AND – Alle festgelegten Bedingungen müssen erfüllt sein.
Überprüft, ob alle Bedingungen ein positives Ergebnis liefern - der Computer muss alle erforderlichen Parameter
erfüllen.
OR - Mindestens eine Bedingung muss erfüllt sein.
Überprüft, ob mindestens eine Bedingung ein positives Ergebnis liefert - der Computer muss einen der
erforderlichen Parameter erfüllen.
NAND - Mindestens eine Bedingung muss falsch sein.
Überprüft, ob mindestens eine Bedingung ein negatives Ergebnis liefert - der Computer muss mindestens einen der
erforderlichen Parameter nicht erfüllen.
NOR - Alle Bedingungen müssen falsch sein.
Überprüft, ob alle Bedingungen ein negatives Ergebnis liefern - der Computer darf keinen der erforderlichen
Parameter erfüllen.
HINWEIS
Operationen können nicht kombiniert werden. Pro dynamischem Gruppen-Template kann nur eine Operation
verwendet werden, die für alle Regeln gilt.
7.1.6.3.3 Regeln und logische Operatoren
Eine Regel besteht aus einem Element, einem logischen Operator und einem definierten Wert.
Klicken Sie auf + Regel hinzufügen, um ein Popupfenster mit einer Liste von kategorisierten Elementen zu öffnen.
Beispiel:
Installierte Software > Anwendungsname
Netzwerkadapter > MAC-Adresse
OS-Edition > OS-Name
Um eine Regel zu erstellen, wählen Sie einen logischen Operator aus und geben Sie einen Wert an. Die Regel wird
anhand des angegebenen Werts und des verwendeten logischen Operators ausgewertet.
Mögliche Werte sind Zahlen, Zeichenfolgen, Aufzählungen, IP-Adressen, Produktmasken und Computer-IDs. Jeder
Werttyp hat andere logische Operatoren, und die ERA-Web-Konsole zeigt automatisch nur unterstützte Operatoren
an.
165
"= (gleich)" - Symbolwert und Vorlagenwert müssen übereinstimmen. Zeichenfolgen werden ohne Beachtung
von Groß- und Kleinschreibung verglichen.
- Symbolwert und Vorlagenwert dürfen nicht übereinstimmen. Zeichenfolgen werden ohne
Beachtung von Groß- und Kleinschreibung verglichen.
"> (größer als)" - Symbolwert muss größer als Vorlagenwert sein. Kann auch für Bereichsvergleiche von IPAdresssymbolen verwendet werden.
- Symbolwert muss größer oder gleich dem Vorlagenwert sein. Kann auch für
Bereichsvergleiche von IP-Adresssymbolen verwendet werden.
"> (kleiner als)" - Symbolwert muss kleiner als Vorlagenwert sein. Kann auch für Bereichsvergleiche von IPAdresssymbolen verwendet werden.
- Symbolwert muss kleiner oder gleich dem Vorlagenwert sein. Kann auch für
Bereichsvergleiche von IP-Adresssymbolen verwendet werden.
"enthält" - Symbolwert muss den Vorlagenwert enthalten. Zeichenfolgen werden ohne Beachtung von Groß- und
Kleinschreibung verglichen.
"hat Präfix" - Symbolwert hat dasselbe Textpräfix wie der Vorlagenwert. Zeichenfolgen werden ohne Beachtung
von Groß- und Kleinschreibung verglichen. Geben Sie die ersten Zeichen Ihres Suchbegriffs ein. Für „Microsoft
Visual C++ 2010 x86 Redistributable - 10.0.30319“ können Sie das Präfix „Micros“, „Micr“, „Microsof“ usw.
verwenden.
"hat Suffix" - Symbolwert hat dasselbe Textsuffix wie der Vorlagenwert. Zeichenfolgen werden ohne Beachtung
von Groß- und Kleinschreibung verglichen. Geben Sie die ersten Zeichen Ihres Suchbegriffs ein. Für "Microsoft
Visual C++ 2010 x86 Redistributable - 10.0.30319" können Sie das Suffix "319", "0.30319" usw. verwenden.
"hat Maske" - Symbolwert muss mit einer Maske aus einer Vorlage übereinstimmen. Mit Masken können
beliebige Zeichen mit nachfolgenden Sonderzeichen angegeben werden: "*" - null bis beliebig viele Zeichen, "?"
- genau ein Zeichen, z. B.: „6.2.*“ oder „6.2.2033.?“.
"regex" - Symbolwert muss mit einem regulären Ausdruck (RegEx) aus einer Vorlage übereinstimmen. Die RegEx
muss im Perl-Format angegeben werden.
"in" - Symbolwert muss mit einem beliebigen Wert aus einer Liste in einer Vorlage übereinstimmen.
Zeichenfolgen werden ohne Beachtung von Groß- und Kleinschreibung verglichen.
"in (String-Maske)" - Symbolwert muss mit einer beliebigen Maske aus einer Liste in einer Vorlage
übereinstimmen.
Negative Regeln:
WICHTIG
Verwenden Sie negierte Operatoren mit Vorsicht, da in mehrzeiligen Logs wie z. B. "Installierte Anwendung" alle
Zeilen auf diese Bedingungen geprüft werden. Beachten Sie die mitgelieferten Beispiele, um zu verstehen, wie
negierte Operatoren oder Operationen eingesetzt werden können, um das gewünschte Ergebnis zu erzielen.
"enthält nicht" - Symbolwert darf den Vorlagenwert nicht enthalten. Zeichenfolgen werden ohne Beachtung von
Groß- und Kleinschreibung verglichen.
"hat kein Präfix" - Symbolwert hat nicht dasselbe Textpräfix wie der Vorlagenwert. Zeichenfolgen werden ohne
Beachtung von Groß- und Kleinschreibung verglichen.
"hat kein Suffix" - Symbolwert hat nicht dasselbe Textsuffix wie der Vorlagenwert. Zeichenfolgen werden ohne
Beachtung von Groß- und Kleinschreibung verglichen.
"hat keine Maske" - Symbolwert darf nicht mit einer Maske aus einer Vorlage übereinstimmen.
"nicht regex" - Symbolwert darf nicht mit einem regulären Ausdruck (RegEx) aus einer Vorlage übereinstimmen.
Die RegEx muss im Perl-Format angegeben werden. Die Negation dient als Hilfsmittel, um reguläre Ausdrücke
negieren zu können, ohne diese umzuschreiben.
"nicht in" - Symbolwert darf mit keinem der Werte aus einer Liste in einer Vorlage übereinstimmen.
Zeichenfolgen werden ohne Beachtung von Groß- und Kleinschreibung verglichen.
"nicht in (String-Maske)" - Symbolwert darf mit keiner der Masken aus einer Liste in einer Vorlage
übereinstimmen.
166
7.1.6.3.4 Auswertung von Template-Regeln
Die Auswertung von Template-Regeln erfolgt durch den ERA Agenten, nicht durch den ERA Server. Lediglich das
Ergebnis wird an den ERA Server gesendet. Der Bewertungsvorgang erfolgt gemäß den Regeln, die für das Template
konfiguriert sind. Der Bewertungsprozess wird nachfolgend mit einigen Beispielen beschrieben.
Der Status setzt sich aus verschiedenen Informationen zusammen. Bestimmte Quellen stellen mehrere
eindimensionale Status je Computer zur Verfügung (zum Beispiel Betriebssystem und Größe des Arbeitsspeichers),
andere stellen mehrdimensionale Statusinformationen bereit (wie IP-Adresse oder installierte Anwendung).
Nachfolgend finden Sie eine visuelle Darstellung eines Clientstatus:
Netzwerkadapter – IPAdresse
Netzwerkadapter –
MAC-Adresse
OS-Name
OS-Version
HWArbeitsspeicherg
röße in MB
Installierte
Anwendung
192.168.1.2
4A-64-3F-10-FC-75
Windows 7
Enterprise
6.1.7601
2048
ESET Endpoint
Security
10.1.1.11
2B-E8-73-BE-81-C7
PDF Reader
124.256.25.25
52-FB-E5-74-35-73
Office Suite
Weather Forecast
Der Status setzt sich aus Informationsgruppen zusammen. Eine Datengruppe enthält in Zeilen angeordnete,
kohärente Informationen. Die Anzahl der Zeilen je Gruppe kann variieren.
Die Bedingungen werden nach Gruppe und nach Zeile bewertet. Wenn für die Spalten einer Gruppe mehrere
Bedingungen vorliegen, werden nur Werte einer gleichen Zeile berücksichtigt.
Beispiel 1:
In diesem Beispiel gilt folgende Bedingung:
Netzwerkadapter.IP-Adresse = 10.1.1.11 AND Netzwerkadapter.MAC-Adresse = 4A-64-3F-10-FC-75
Kein Computer stimmt mit dieser Regel überein, da keine Zeile beide Bedingungen erfüllt.
Netzwerkadapter – IPAdresse
Netzwerkadapter –
MAC-Adresse
OS-Name
OS-Version
HWArbeitsspeicherg
röße in MB
Installierte
Anwendung
192.168.1.2
4A-64-3F-10-FC-75
Windows 7
Enterprise
6.1.7601
2048
ESET Endpoint
Security
10.1.1.11
2B-E8-73-BE-81-C7
PDF Reader
124.256.25.25
52-FB-E5-74-35-73
Office Suite
Weather Forecast
Beispiel 2:
In diesem Beispiel gilt folgende Bedingung:
Netzwerkadapter.IP-Adresse = 192.168.1.2 AND Netzwerkadapter.MAC-Adresse = 4A-64-3F-10-FC-75
Diesmal erfüllen Zellen in einer einzigen Zeile beide Bedingungen. Daher wird die Regel als WAHR bewertet. Ein
Computer wird ausgewählt.
167
Netzwerkadapter – IPAdresse
Netzwerkadapter –
MAC-Adresse
OS-Name
OS-Version
HWArbeitsspeicherg
röße in MB
Installierte
Anwendung
192.168.1.2
4A-64-3F-10-FC-75
Windows 7
Enterprise
6.1.7601
2048
ESET Endpoint
Security
10.1.1.11
2B-E8-73-BE-81-C7
PDF Reader
124.256.25.25
52-FB-E5-74-35-73
Office Suite
Weather Forecast
Beispiel 3:
Bei Bedingungen mit dem Operator „OR“ (mindestens eine Bedingung muss WAHR sein) wie
Netzwerkadapter.IP-Adresse = 10.1.1.11 OR Netzwerkadapter.MAC-Adresse = 4A-64-3F-10-FC-75
Die Regel für zwei Zeilen ist WAHR, da nur eine der beiden Bedingungen erfüllt werden muss. Ein Computer wird
ausgewählt.
Netzwerkadapter – IPAdresse
Netzwerkadapter –
MAC-Adresse
OS-Name
OS-Version
HWArbeitsspeicherg
röße in MB
Installierte
Anwendung
192.168.1.2
4A-64-3F-10-FC-75
Windows 7
Enterprise
6.1.7601
2048
ESET Endpoint
Security
10.1.1.11
2B-E8-73-BE-81-C7
PDF Reader
124.256.25.25
52-FB-E5-74-35-73
Office Suite
Weather Forecast
7.1.6.3.5 Automatisieren von ESET Remote Administrator
1. Erstellen Sie eine dynamische Gruppe, zum Beispiel: "Infizierte Computer".
2. Erstellen Sie einen Task für einen Tiefen-Scan und weisen Sie ihn zur dynamischen Gruppe "Infizierte Computer"
zu (Task wird ausgelöst, wenn ein Client der dynamischen Gruppe beitritt).
3. Erstellen Sie eine bestimmte Policy (in diesem Fall eine "Isolierungs-Policy"): Bei der Installation von ESETSicherheitsprodukten wird eine Firewall-Regel erstellt, die den gesamten Datenverkehr außer der Verbindung zu
ESET Remote Administrator blockiert.
4. Erstellen Sie ein Benachrichtigungs-Template für infizierte Computer. Sie können verschiedene Bedingungen
festlegen. Eine Benachrichtigung wird ausgelöst, um Sie vor einer sich verbreitenden Bedrohung zu warnen.
Mit dieser Methode können Sie auch Produkt- und BS-Updates, Scans, automatische Aktivierungen neu
hinzugefügter Produkte mit vorausgewählten Lizenzen und weitere Tasks automatisieren.
168
7.2 Benutzerverwaltung
In diesem Bereich können Sie Benutzer und Benutzergruppen für das Mobile Device Management für iOS
verwalten. Mobile Device Management verwendet Policies, die den iOS-Geräten zugewiesen werden. Sie sollten
jedoch zunächst Ihre Benutzer mit Active Directory synchronisieren. Anschließend können Sie Benutzer bearbeiten
oder benutzerdefinierte Attribute hinzufügen.
In Orange hervorgehobene Benutzer haben keine zugeordneten Geräte. Klicken Sie auf den Benutzer, wählen Sie
Bearbeiten... aus und klicken Sie dann auf Zugewiesene Computer, um die Details für den Benutzer anzuzeigen.
Klicken Sie auf Computer hinzufügen, um diesem Benutzer Computer oder Geräte zuzuordnen.
Außerdem können Sie zugewiesene Benutzer in den Computerdetails hinzufügen oder entfernen. Wählen Sie in
einem der Bereiche Computer oder Gruppen einen Computer oder ein Mobilgerät aus, und klicken Sie auf Details.
Jeder Benutzer kann mehreren Computern/Mobilgeräten zugeordnet werden.
Sie können die Benutzer mit den Filtern im oberen Bereich filtern. Klicken Sie auf Filter hinzufügen und wählen
Sie einen Eintrag aus der Liste aus.
169
Benutzerverwaltung - Aktionen:
Details....
In den Benutzerdetails werden verschiedene Informationen angezeigt, z. B. E-Mail-Adresse, Büro oder Standort,
benutzerdefinierte Attribute und zugeordnete Computer. Jedem Benutzer können mehrere Computer/Mobilgeräte
zugeordnet werden. Sie können Name, Beschreibung und übergeordnete Gruppe des Benutzers ändern. Die hier
angezeigten benutzerdefinierten Attribute können beim Erstellen von Policies verwendet werden.
Neue Benutzergruppe...
Alternativ können Sie eine neue Benutzergruppe erstellen.
170
Benutzer hinzufügen...
Fügen Sie einen oder mehrere neue Benutzer hinzu.
Synchronisieren
Klicken Sie auf Servertask - Benutzersynchronisierung >.
Bearbeiten ...
Hier können Sie ausgewählte Benutzer oder Benutzergruppen bearbeiten.
Verschieben...
Sie können einen Benutzer oder eine Benutzergruppe auswählen und als Untergruppe einer anderen
Benutzergruppe verschieben.
Löschen
Entfernt den ausgewählten Benutzer bzw. die ausgewählte Benutzergruppe vollständig.
7.2.1 Neue Benutzer hinzufügen
Klicken Sie auf Admin > Benutzerverwaltung > Benutzer hinzufügen... um Benutzer, die bei der
Benutzersynchronisierung nicht automatisch gefunden und hinzugefügt wurden, manuell hinzufügen.
171
Geben Sie den gewünschten Namen in das Feld Benutzername ein. Im Dropdown-Menü Konfliktlösung können Sie
eine Aktion für den Fall auswählen, dass der Benutzer bereits in ERA vorhanden ist:
Im Konfliktfall nachfragen: Wenn ein Konflikt erkannt wird, fordert das Programm Sie zur Auswahl einer
Aktion auf (siehe nachstehende Optionen).
o Benutzer mit Konflikten überspringen: Benutzer mit gleichem Namen werden nicht hinzugefügt. Mit
dieser Option wird außerdem sichergestellt, dass die benutzerdefinierten Attribute vorhandener
Benutzer in ERA erhalten bleiben (und nicht mit Daten aus Active Directory überschrieben werden).
o Benutzer mit Konflikten überschreiben: Vorhandene Benutzer in ERA werden mit den Active DirectoryBenutzern überschrieben. Wenn zwei Benutzer dieselbe SID haben, wird der vorhandene Benutzer in ERA
von seinem bisherigen Ort gelöscht (selbst wenn der Benutzer Mitglied einer anderen Gruppe war).
Klicken Sie auf "+ Weitere hinzufügen", um weitere Benutzer hinzuzufügen. Klicken Sie auf Importieren, um eine
csv -Datei mit einer Liste der hinzuzufügenden Benutzer hochzuladen. Wahlweise können Sie eine Beschreibung für
die Benutzer eingeben, um die Wiedererkennung zu erleichtern.
Klicken Sie auf Hinzufügen, wenn Sie Ihre Änderungen abgeschlossen haben. Die Benutzer werden in der
angegebenen übergeordneten Gruppe angezeigt.
172
7.2.2 Benutzer bearbeiten
Sie können die Daten von Benutzern bearbeiten, inklusive Einfache Informationen, benutzerdefinierte Attribute
und zugewiesene Computer.
HINWEIS
Wenn Sie den Task Benutzersynchronisierung für Benutzer mit benutzerdefinierten Attributen ausführen,
müssen Sie unter "Kollisionsbehandlung bei der Benutzererstellung" den Wert "Überspringen" festlegen. Wenn
Sie dies nicht tun, werden die Benutzerdaten mit den Daten aus Ihrem Active Directory überschrieben.
Einfach
Wenn Sie einen Benutzersynchronisierungs-Task für die Erstellung des Benutzers verwenden und einzelne Felder
dabei leer sind, können Sie diese Werte bei Bedarf manuell einfügen.
Benutzerdefinierte Attribute
Sie können vorhandene benutzerdefinierte Attribute bearbeiten oder neue Attribute hinzufügen. Klicken Sie auf
Neu hinzufügen und wählen Sie eine der folgenden Kategorien aus, um ein neues Attribut zu erstellen:
WLAN-Konten: Sie können Profile verwenden, um Einstellungen für Unternehmens-WLANs direkt auf verwaltete
Geräte zu übertragen.
VPN-Konten: Sie können ein VPN mit Anmeldeinformationen, Zertifikaten und sonstigen benötigten
Informationen einrichten, um das VPN für Ihre Benutzer bereitzustellen.
E-Mail-Konten: Hier können Sie IMAP- oder POP3-E-Mail-Konten konfigurieren. Verwenden Sie die folgenden
Exchange ActiveSync-Einstellungen, falls Sie einen Exchange-Server verwenden.
Exchange-Konten: Falls Ihr Unternehmen Microsoft Exchange verwendet, können Sie hier alle Einstellungen
vornehmen, um die Einrichtung von E-Mail, Kalender und Kontakten für Ihre Benutzer zu beschleunigen.
LDAP (Attribut-Alias): Dies ist hilfreich, falls Ihr Unternehmen LDAP für Kontakte verwendet. Sie können die
Kontaktfelder zu den entsprechenden Feldern der iOS-Kontakte zuordnen.
CalDAV: Enthält Einstellungen für alle Kalender, die die CalDAV-Spezifikationen verwenden.
CardDAV: Synchronisierungseinstellungen für alle Kontakte, die nach der CardDAV-Spezifikation synchronisiert
werden.
Abonnierte Kalender: Falls Sie CalDAV-Kalender verwenden, können Sie hier schreibgeschützten Zugriff auf die
Kalender anderer Personen definieren.
Manche Felder werden zu Attributen, die anschließend bei der Erstellung von Policies für iOS-Mobilgeräte als
Variablen (Platzhalter) verwendet werden können. Zu, Beispiel Anmeldename ${exchange_login/exchange} oder
E-Mail-Adresse ${exchange_email/exchange}.
173
Zugewiesene Computer
Hier können Sie einzelne Computer/Mobilgeräte auswählen. Klicken Sie auf Computer hinzufügen, um alle
statischen und dynamischen Gruppen mit ihren Mitgliedern aufzulisten. Treffen Sie Ihre Auswahl in den
Kontrollkästchen und klicken Sie auf OK.
Zusammenfassung
Überprüfen Sie die Einstellungen für dieses Benutzerkonto und klicken Sie auf Fertig stellen.
174
7.2.3 Neue Benutzergruppe erstellen
Klicken Sie auf Admin > Benutzerverwaltung >
und anschließend auf
Neue Benutzergruppe...
Einfach
Geben Sie einen Namen und eine Beschreibung (optional) für die neue Benutzergruppe ein. Standardmäßig ist die
übergeordnete Gruppe diejenige Gruppe, die Sie beim Erstellen der neuen Benutzergruppe ausgewählt haben.
Wenn Sie die übergeordnete Gruppe ändern möchten, klicken Sie auf Übergeordnete Gruppe ändern und wählen
Sie aus der Baumstruktur eine übergeordnete Gruppe aus. Klicken Sie auf Fertig stellen, um die neue
Benutzergruppe zu erstellen.
Sie können dieser Benutzergruppe im Bereich Zugriffsberechtigungen bestimmte Berechtigungen mit
Berechtigungssätzen zuweisen (siehe Abschnitt Benutzergruppen). Auf diese Weise können Sie angeben, welche
Benutzergruppen von welchen Benutzern der ERA-Konsole verwaltet werden können. Sie können für diese
Benutzer bei Bedarf sogar den Zugriff auf andere ERA-Funktionen einschränken. In diesem Fall können diese
Benutzer nur Benutzergruppen verwalten.
7.3 Policies
Policies werden dazu verwendet, bestimmte Konfigurationen auf ESET-Sicherheitsprodukte zu übertragen, die auf
Clientcomputern ausgeführt werden. So müssen Sie die ESET-Produkte der Clients nicht einzeln manuell
konfigurieren. Eine Policy kann direkt auf einzelne Computer oder auf (statische oder dynamische) Gruppen
angewendet werden. Sie können einem Computer oder einer Gruppe auch mehrere Policies zuweisen. Dies ist ein
wesentlicher Unterschied zu ESET Remote Administrator 5 und früheren Versionen, wo einem Produkt oder eine
Komponente nur eine einzige Policy zugewiesen werden konnte.
Anwendung von Policies
Policies werden in der Anordnungsreihenfolge der statischen Gruppe angewendet. Dies gilt nicht für dynamische
Gruppen. Hier werden zuerst die untergeordneten dynamischen Gruppen durchlaufen. So können Sie Policies mit
größeren Auswirkungen oben in der Gruppenstruktur definieren und detailliertere Policies auf Untergruppen
anwenden. Bei richtig konfigurierten Policies mit Markierungen kann ein ERA-Benutzer mit Zugriff auf Gruppen
weiter oben in der Baumstruktur die Policies niedrigerer Gruppen unterdrücken. Der Algorithmus wird unter
Anwenden von Policies auf Clients ausführlich beschrieben.
175
Zusammenführen von Policies
Die auf Clients angewendete Policy ist meistens das Ergebnis mehrerer Policies, die in einer endgültigen Policy
zusammengeführt sind.
HINWEIS
Es empfiehlt sich, Gruppen weiter oben in der Baumstruktur allgemeine Policies zuzuweisen (z. B. allgemeine
Einstellungen wie der Update-Server). Detailliertere Policies (zum Beispiel Einstellungen für die
Medienkontrolle) sollten weiter unten in der Gruppenbaumstruktur angewendet werden. Die niedriger
gelegene Policy unterdrückt beim Zusammenführen üblicherweise die Einstellungen der höheren Policies
(sofern nicht mit Policy-Markierungen anderweitig definiert).
HINWEIS
Wenn Sie eine vorhandene Policy später entfernen, wird die Konfiguration der Clientcomputer nach dem
Entfernen der Policy nicht automatisch auf die ursprünglichen Einstellungen zurückgesetzt. Die Konfiguration
bleibt so erhalten, wie sie gemäß der letzten auf die Clients angewendeten Policy festgelegt wurde. Dies gilt
auch, wenn ein Computer Mitglied einer Dynamischen Gruppe wird, auf die eine bestimmte Policy angewendet
wird, die die Computereinstellungen ändert. Diese Einstellungen werden beibehalten, auch wenn der Computer
die dynamische Gruppe verlässt. Es empfiehlt sich daher, eine Policy mit Standardeinstellungen zu erstellen und
diese Policy einer Stammgruppe (Alle) zuzuweisen. So können die Einstellungen in einem solchen Fall auf die
Standardeinestellungen zurückgesetzt werden. Wenn ein Computer aus einer dynamischen Gruppe entfernt
wird, die dessen Einstellungen geändert hat, werden die Einstellungen wieder auf die Standardwerte
zurückgesetzt.
176
7.3.1 Assistent für Policies
Mit Policies können Sie Ihr ESET-Produkt auf die gleiche Weise konfigurieren, wie über das Fenster für die
erweiterten Einstellungen in der Benutzeroberfläche des Produkts. Anders als Policies in Active Directory können
ERA-Policies keine Skripte oder Befehlsfolgen enthalten.
Policies werden über die Registerkarte Admin > Policies erstellt und verwaltet. Klicken Sie unten auf Policies und
anschließend auf Neu...
Einfach
Geben Sie einen Namen für die neue Policy ein. Das Feld Beschreibung ist optional.
Einstellungen
Wählen Sie im Dropdown-Menü ein Produkt aus.
Wählen Sie links in der Baumstruktur eine Kategorie aus. Bearbeiten Sie die Einstellungen auf der rechten Seite
nach Bedarf. Jede Einstellung ist eine Regel, für die Sie eine Markierung festlegen können. Zur Vereinfachung der
Navigation wird die Gesamtzahl aller Regeln berechnet. Die Anzahl aller in einem bestimmten Bereich definierten
Regeln wird automatisch angezeigt. Außerdem wird neben den Kategorienamen links in der Baumstruktur eine
weitere Zahl angezeigt. Dies ist die Summe der Regeln in den einzelnen Bereichen. Hier können Sie auf einen Blick
sehen, wo und wie viele Einstellungen/Regeln definiert sind.
Mit den folgenden Empfehlungen können Sie die Bearbeitung von Policies vereinfachen:
o
verwenden, um die Übernehmen-Markierung für alle Elemente im aktuellen Bereich zu setzen
o Regeln mit dem Papierkorb-Symbol löschen
177
7.3.2 Markierungen
Sie können für jede Einstellung in einer Policy eine Markierung festlegen. Markierungen legen fest, wie die
Einstellung von der Richtlinie behandelt wird:
Anwenden - Einstellungen mit dieser Markierung werden an den Client gesendet. Durch das Zusammenführen
von Policies kann die Einstellung jedoch durch eine spätere Policy überschrieben werden. Wenn eine Policy auf
einen Clientcomputer angewendet wird und eine bestimmte Einstellung diese Markierung hat, wird die
Einstellung unabhängig von der lokalen Konfiguration auf dem Client geändert. Die Einstellung ist jedoch nicht
erzwungen und kann daher von anderen Policies geändert werden.
Erzwingen - Einstellungen mit dieser Markierung sind prioritär und können nicht durch eine spätere Policy
überschrieben werden (auch wenn diese ebenfalls die Markierung „Erzwingen“ hat). Dies gewährleistet, dass die
Einstellung beim Zusammenführen nicht durch spätere Policies geändert wird.
Wählen Sie links in der Baumstruktur eine Kategorie aus. Bearbeiten Sie die Einstellungen auf der rechten Seite
nach Bedarf. Jede Einstellung ist eine Regel, für die Sie eine Markierung festlegen können. Zur Vereinfachung der
Navigation wird die Gesamtzahl aller Regeln berechnet. Die Anzahl aller in einem bestimmten Bereich definierten
Regeln wird automatisch angezeigt. Außerdem wird neben den Kategorienamen links in der Baumstruktur eine
weitere Zahl angezeigt. Dies ist die Summe der Regeln in den einzelnen Bereichen. Hier können Sie auf einen Blick
sehen, wo und wie viele Einstellungen/Regeln definiert sind.
Mit den folgenden Empfehlungen können Sie die Bearbeitung von Policies vereinfachen:
o
verwenden, um die Übernehmen-Markierung für alle Elemente im aktuellen Bereich zu setzen
o Regeln mit dem Papierkorb-Symbol löschen
178
7.3.3 Verwalten von Policies
Navigieren Sie zu Admin > Policies > und wählen Sie die Policy aus, die Sie verwalten möchten. Klicken Sie auf die
Policies-Schaltfläche oder auf neben einer vorhandenen Policy.
Verfügbare Aktionen für Policies:
Neu...
Mit dieser Option können Sie eine neue Policy erstellen.
Bearbeiten ...
Hier können Sie die ausgewählte Policy bearbeiten.
Duplizieren
Mit dieser Option können Sie eine neue Policy anhand der ausgewählten Policy erstellen. Für das Duplikat muss ein
neuer Name angegeben werden.
Zuweisen
Hier können Sie eine Policy zu einem Client oder Gruppen zuweisen.
Löschen
Entfernt die ausgewählte Policy vollständig.
Importieren ...
Klicken Sie auf Policies > Importieren..., dann auf Datei auswählen und navigieren Sie zur Datei, die Sie importieren
möchten. Hinweise zum Auswählen mehrerer Policies finden Sie unter Modi.
Exportieren ...
Wählen Sie in der Liste eine zu exportierende Policy aus und klicken Sie auf Policies > Exportieren... Die Policy wird
als .dat-Datei exportiert. Zum Exportieren mehrerer Policies müssen Sie den Auswahlmodus ändern. Weitere
Informationen finden Sie unter Modi.
Mit der Option Modi können Sie den Auswahlmodus ändern (einzeln oder mehrfach). Klicken Sie auf den Pfeil in
der oberen rechten Ecke und wählen Sie einen Eintrag aus dem Kontextmenü aus:
Einzelauswahl-Modus - Ein einzelnes Element kann ausgewählt werden.
Mehrfachauswahl-Modus - Mehrere Elemente können über die Kontrollkästchen ausgewählt werden.
Aktualisieren - Die angezeigten Daten werden aktualisiert.
7.3.4 Anwenden von Policies auf Clients
Gruppen und Computern können mehrere Policies zugewiesen sein. Ein Computer kann sich außerdem in einer tief
verschachtelten Gruppe befinden, deren übergeordnete Gruppen eigene Policies haben.
Die Policies werden gemäß ihrer Reihenfolge angewendet. Die Reihenfolge ergibt sich aus der Reihenfolge der
Gruppen und aus der Reihenfolge der einer Gruppe zugewiesenen Policies.
So ermitteln Sie die aktive Policy für einen beliebigen Client:
1. Ermitteln Sie die Reihenfolge der Gruppen, in denen der Client enthalten ist
2. Ersetzen Sie die Gruppen durch die zugewiesenen Policies
3. Führen Sie die Policies zusammen, um die endgültigen Einstellungen zu erhalten
179
7.3.4.1 Ordnen von Gruppen
Policies können Gruppen zugewiesen werden und werden in einer bestimmten Reihenfolge angewendet.
Beim Ordnen der Gruppen in der Liste werden mehrere Regeln angewendet:
1. Statische Gruppen werden von der statischen Stammgruppe „Alle“ aus durchlaufen.
2. In jeder Ebene werden die statischen Gruppen der Ebene zuerst in der Reihenfolge durchlaufen, in der sie in der
Baumstruktur angezeigt werden (Breitensuche).
3. Nachdem alle statischen Gruppen einer bestimmten Ebene in die Liste aufgenommen wurden, werden die
dynamischen Gruppen durchlaufen.
4. In jeder dynamischen Gruppe werden die untergeordneten Gruppen in der Reihenfolge durchlaufen, in der sie in
der Liste angezeigt werden.
5. Wenn in einer beliebigen Ebene der dynamischen Gruppen eine untergeordnete Gruppe vorhanden ist, wird sie
aufgeführt und nach untergeordneten Elementen durchsucht. Wenn keine weiteren untergeordneten Elemente
mehr vorhanden sind, werden die nächsten dynamischen Gruppen der übergeordneten Ebene aufgelistet
(Tiefensuche).
6. Das Durchlaufen wird auf Ebene des Computers beendet.
Die folgende Abbildung zeigt diesen Vorgang an einem Beispiel:
Der Stamm (die statische Gruppe „Alle“) wird als Regel 1 aufgeführt. Da auf der Ebene der Gruppe „Alle“ keine
weiteren Gruppen vorhanden sind, werden anschließend die Policies der Gruppen der nächsten Ebene bewertet.
Die Gruppen „Fundbüro“ und die statischen Gruppen SG 1 und SG 2 werden als nächstes bewertet. Der Computer ist
nur Mitglied der statischen Gruppen „Alle“/SG 2/SG 3. Die Gruppen „Fundbüro“ und SG 1 müssen daher nicht
durchlaufen werden. SG 2 ist die einzige Gruppe auf dieser Ebene, die bewertet wird. Sie wird daher in die Liste
aufgenommen. Das Durchlaufen wird eine Ebene tiefer fortgesetzt.
In der dritten Ebene findet der Algorithmus die Gruppen SG 3, DG 1 und DG 2. Gemäß Regel 2 werden zuerst die
statischen Gruppen aufgelistet. Durch das weitere Durchlaufen wird Gruppe SG 3 hinzugefügt. Da dies die letzte
statische Gruppe in Ebene 3 ist, wird mit DG 1 fortgefahren. Bevor mit DG 2 in Ebene 3 fortgefahren wird, müssen
die untergeordneten Elemente von DG 1 aufgeführt werden.
180
DG 3 wird hinzugefügt. Diese Gruppe enthält keine untergeordneten Elemente. Daher wird das Durchlaufen auf der
nächsthöheren Ebene fortgesetzt.
DG 2 wird aufgeführt. Die Gruppe enthält keine untergeordneten Elemente. In Ebene 3 sind keine weiteren
Gruppen vorhanden. Das Durchlaufen wird in Ebene 4 fortgesetzt.
In Ebene 4 befinden sich nur die dynamische Gruppe DG 4 und der Computer selbst. Regel 6 schreibt vor, dass der
Computer als Letztes bearbeitet wird, daher wird DG 4 aufgenommen. DG 4 hat zwei untergeordnete Elemente, die
verarbeitet werden müssen, bevor fortgefahren wird.
DG 5 und DG 6 werden zur Liste hinzugefügt. Keine der beiden Gruppen enthält untergeordnete Elemente. Das
Durchlaufen ist abgeschlossen. Als Letztes wird der Computer hinzugefügt.
Das Ergebnis ist folgende Liste:
1. Alle
2. SG 2
3. SG 3
4. DG 1
5. DG 3
6. DG 2
7. DG 4
8. DG 5
9. DG 6
10.Computer
Die Policies werden in dieser Reihenfolge angewendet.
7.3.4.2 Aufzählen von Policies
Nachdem die Reihenfolge der Gruppen bekannt ist, können Sie die einzelnen Gruppen durch die jeweils
zugewiesenen Policies ersetzen. Die Policies werden in der Reihenfolge aufgeführt, in der sie einer Gruppe
zugewiesen sind. Gruppen ohne Policy werden aus der Liste entfernt. Für Gruppen mit mehreren zugewiesenen
Policies kann die Priorität der Policies bearbeitet werden. Jede Policy konfiguriert nur ein Produkt (ERA-Agent, ERAProxy, EES, usw.)
3 Policies sind sowohl statischen als auch dynamischen Gruppen zugewiesen (siehe Abbildung unten):
Unsere Liste aus Schritt 1 würde folgendermaßen verändert:
181
1. Alle (entfernt, keine Policy)
2. SG 2 -> Policy 1, Policy 2
3. SG 3 (entfernt, da keine Policy)
4. DG 1 -> Policy 1, Policy 2
5. DG 3 (entfernt, keine Policy)
6. DG 2 -> Policy 3
7. DG 4 (entfernt, keine Policy)
8. DG 5 (entfernt, keine Policy)
9. DG 6 (entfernt, keine Policy)
10.Computer (entfernt, keine Policy)
Die endgültige Liste der Policies ist:
1.
2.
3.
4.
5.
Policy 1
Policy 2
Policy 1
Policy 2
Policy 3
7.3.4.3 Zusammenführen von Policies
Policies werden einzeln zusammengeführt. Beim Zusammenführen von Policies gilt die allgemeine Regel, dass die
letzte Policy jeweils die Einstellungen der vorigen Policy ersetzt.
Um dieses Verhalten zu ändern, können Sie Policy-Markierungen verwenden (für jede Einstellung verfügbar). Die
Einstellungen werden einzeln zusammengeführt.
Beachten Sie, dass die Struktur der Gruppen (ihre Hierarchie) und die Reihenfolge der Policies festlegen, wie die
Policies zusammengeführt werden. Das Zusammenführen von zwei Policies kann je nach Reihenfolge der Policies
zu einem unterschiedlichen Ergebnis führen. Die Gruppen wurden sortiert und die Policies aufgezählt.
7.3.5 Konfiguration von ERA-Produkten
Mit Policies können Sie Ihr ESET-Produkt auf die gleiche Weise konfigurieren, wie über das Fenster für die
erweiterten Einstellungen in der Benutzeroberfläche des Produkts. Anders als Policies in Active Directory können
ERA-Policies keine Skripte oder Befehlsfolgen enthalten.
182
7.3.6 Zuweisen einer Policy zu einer Gruppe
Nachdem Sie eine Policy erstellt haben, können Sie sie einer statischen oder dynamischen Gruppe zuweisen. Es
gibt zwei Möglichkeiten zum Zuweisen einer Policy:
1. Klicken Sie auf Admin > Policies, wählen Sie eine Policy aus und klicken Sie auf Gruppe(n) zuweisen. Wählen Sie
eine statische oder dynamische Gruppe aus und klicken Sie auf OK.
Wählen Sie Gruppe in der Liste aus.
2. Klicken Sie auf Admin > Gruppen > Gruppe oder auf
verwalten.
neben dem Gruppennamen und anschließend auf Policies
183
Klicken Sie im Fenster Anwendungsreihenfolge für Policies auf Policy hinzufügen. Aktivieren Sie das
Kontrollkästchen neben der Policy, die Sie der Gruppe zuweisen möchten, und klicken Sie auf OK.
Klicken Sie auf Speichern. Um anzuzeigen, welche Policies einer bestimmten Gruppe zugewiesen sind, wählen Sie
die gewünschte Gruppe aus und klicken Sie auf die Registerkarte Policies. Eine Liste der Policies, die dieser Gruppe
zugewiesen sind, wird angezeigt.
HINWEIS
Weitere Informationen zu Policies finden Sie im Kapitel Policies.
7.3.7 Zuweisen einer Policy zu einem Client
Um eine Policy zu einer Clientarbeitsstation zuzuweisen, klicken Sie auf Admin > Policies und wählen Sie die
Registerkarte Clients aus. Klicken Sie dann auf Client(s) zuweisen.
Wählen Sie den oder die Zielclientcomputer aus und klicken Sie auf OK. Die Policy wird allen ausgewählten
Computern zugewiesen.
184
7.4 Client-Tasks
Mit Client-Tasks können Sie Clientcomputer und deren ESET-Sicherheitsprodukte verwalten. Ein Satz vordefinierter
Tasks deckt die häufigsten Szenarien ab. Alternativ können Sie benutzerdefinierte Client-Tasks mit besonderen
Einstellungen erstellen. Mit Client-Tasks können Sie Aktionen von Clientcomputern anfordern.
Client-Tasks können zu Gruppen oder einzelnen Computern zugewiesen werden. Nach der Erstellung werden Tasks
über Trigger ausgelöst. Client-Tasks werden auf die Clients verteilt, wenn sich der ERA Agent eines Clients mit dem
ERA Server verbindet. Aus diesem Grund kann es einige Zeit dauern, bis die Ergebnisse der Taskausführung auf dem
ERA-Server verfügbar sind. Sie können das Verbindungsintervall des ERA Agenten ändern, um die Taskausführungen
zu beschleunigen. Die folgenden vordefinierten Tasks vereinfachen verschiedene Aufgaben:
Jede Taskkategorie enthält Tasktypen:
Alle Tasks
ESET-Sicherheitsprodukt
Konfiguration verwalteter Produkte exportieren
On-Demand-Scan
Produktaktivierung
Quarantäneverwaltung
SysInspector-Skript ausführen
Server-Scan
Software-Installation
SysInspector-Loganfrage
185
Quarantänedatei hochladen
Update der Signaturdatenbank
Rollback eines Updates der Signaturdatenbank
ESET Remote Administrator
Upgrade von Remote Administrator-Komponenten
Geklonten Agenten zurücksetzen
Rogue Detection Sensor-Datenbank zurücksetzen
Verwaltung beenden (ERA-Agent deinstallieren)
Betriebssystem
Meldung anzeigen
Betriebssystem-Update
Befehl ausführen
Computer herunterfahren
Software-Installation
Software-Deinstallation
Verwaltung beenden (ERA-Agent deinstallieren)
Mobilgerät
Anti-Theft-Aktionen
Meldung anzeigen
Konfiguration verwalteter Produkte exportieren
On-Demand-Scan
Produktaktivierung
Software-Installation
Verwaltung beenden (ERA-Agent deinstallieren)
Update der Signaturdatenbank
7.4.1 Ausgeführte Client-Tasks
Sie können den Status einzelner Client-Tasks unter Admin > Client Tasks nachverfolgen. Für jeden Task wird eine
Fortschrittsanzeige und ein Statussymbol angezeigt. Mit der Drilldown-Funktion können Sie weitere Details von
Client-Tasks anzeigen und verschiedene Aktionen ausführen, z. B. Ausführen um... oder Fehlgeschlagene erneut
ausführen.
WICHTIG
Sie müssen einen Trigger erstellen, um Client-Tasks ausführen zu können.
HINWEIS
Dieser Prozess wertet große Datenmengen neu aus und kann länger als in früheren Versionen dauern (je nach
Client-Task, Client-Trigger und Gesamtanzahl der Computer).
186
In der Legende der Symbole finden Sie weitere Details zu Symboltypen und Statusmeldungen.
Client-Task-Aktion (klicken Sie auf den Client-Task, um das Kontextmenü zu öffnen):
Details...
Unter Client-Task-Details finden Sie eine Zusammenfassung des Tasks. In der Registerkarte Ausführungen werden
die Ergebnisse der einzelnen Ausführungen angezeigt. Mit der Drilldown-Funktion können Sie weitere Details
einzelner Client-Tasks anzeigen. Falls zu viele Ausführungen angezeigt werden, können Sie die Ansicht filtern, um
die Ergebnisse einzugrenzen.
HINWEIS
Bei der Installation älterer ESET-Produkte wird im Client-Task-Bericht Folgendes angezeigt: Task wurde an
verwaltetes Produkt übergeben.
Bearbeiten ...
Hier können Sie den ausgewählten Client-Task bearbeiten. Das Bearbeiten vorhandener Tasks ist sinnvoll, wenn Sie
nur geringfügige Änderungen vornehmen möchten. Für speziellere Aufgaben macht es Sinn, die entsprechenden
Tasks von Grund auf zu erstellen.
Duplizieren...
Mit dieser Option können Sie neue Tasks anhand des ausgewählten Tasks erstellen. Für das Duplikat muss ein neuer
Name ausgewählt werden.
Löschen
Entfernt die ausgewählten Tasks vollständig.
Ausführen um...
Fügen Sie einen neuen Trigger hinzu und wählen Sie Zielcomputer oder Gruppen für diesen Task aus.
Fehlgeschlagene erneut ausführen
Erstellt einen neuen Trigger, der alle Computer als Ziele enthält, auf denen die vorherige Taskausführung
fehlgeschlagen ist. Sie können die Taskeinstellungen bearbeiten oder auf Fertig stellen klicken, um den Task
unverändert auszuführen.
187
Ausführungs-Aktion (klicken Sie auf , um den Client-Task zu erweitern und dessen Ausführungen und Trigger
anzuzeigen, klicken Sie auf einen Trigger, um das Kontextmenü zu öffnen):
Bearbeiten ...
Hier können Sie den ausgewählten Trigger bearbeiten.
Schnellstmöglich erneut ausführen
Sie können einen Client-Task mit einem vorhandenen Trigger schnellstmöglich erneut ausführen, ohne Änderungen
vorzunehmen.
Löschen
Entfernt den ausgewählten Trigger vollständig.
Duplizieren...
Mit dieser Option können Sie neue Trigger anhand des ausgewählten Triggers erstellen. Für das Duplikat muss ein
neuer Name ausgewählt werden.
7.4.1.1 Fortschrittsanzeige
Die Fortschrittsanzeige ist eine farbige Leiste, die den Ausführungsstatus eines Client-Tasks anzeigt. Jeder ClientTask hat eine eigene Anzeige (wird in der Zeile Fortschritt angezeigt). Der Ausführungsstatus von Client-Tasks wird
in drei verschiedenen Farben dargestellt und zeigt die Anzahl der Computer an, die den jeweiligen Status für einen
bestimmten Task haben:
Wird ausgeführt (blau)
Erfolgreich abgeschlossen (grün)
Fehlgeschlagen (orange)
188
Neu erstellter Client-Task (weiß) - Es kann einige Zeit dauern, bis sich die Farbe der Anzeige ändert. ERA Server
muss auf eine Antwort vom ERA Agent warten, um den Ausführungsstatus anzeigen zu können. Die
Fortschrittsanzeige wird in weiß dargestellt, wenn kein Trigger zugewiesen ist.
Eine Kombination der obigen Punkte
Wenn Sie die farbige Leiste anklicken, können Sie Ausführungsergebnisse auswählen und bei Bedarf weitere
Aktionen ausführen (weitere Informationen finden Sie unter Drilldown).
In der Legende der Symbole finden Sie weitere Details zu Symboltypen und Statusmeldungen.
WICHTIG
Die Fortschrittsanzeige stellt den Status eines Client-Tasks bei der letzten Ausführung an. Diese Information
stammt aus dem ERA Agent. Die Fortschrittsanzeige gibt wieder, was der ERA Agent von den Clientcomputern
meldet.
7.4.1.2 Status-Symbol
Das Symbol neben der Fortschrittsanzeige bietet weitere Informationen. Dort wird angezeigt, ob geplante
Ausführungen für den jeweiligen Client-Task vorliegen, sowie die Ergebnisse früherer Ausführungen. Diese
Informationen werden vom ERA Server geliefert. Die folgenden Zustände werden unterschieden:
Wird ausgeführt
Client-Task wird auf mindestens einem Ziel ausgeführt, es existieren keine geplanten und
fehlgeschlagenen Ausführungen. Dieses Symbol wird auch angezeigt, wenn der Client-Task
bereits auf einigen Zielen abgeschlossen wurde.
Erfolg
Client-Task wurde erfolgreich auf allen Zielen ausgeführt, es existieren keine geplanten
oder laufenden Ausführungen.
Fehler
Client-Task wurde auf allen Zielen ausgeführt, ist jedoch auf mindestens einem Ziel
fehlgeschlagen. Es sind keine weiteren Ausführungen geplant.
Geplant
Client-Task ist für die Ausführung geplant, es existieren jedoch noch keine laufenden
Ausführungen.
Geplant/wird
ausgeführt
Client-Task ist für (vergangene oder zukünftige) Ausführungen geplant. Es existieren keine
fehlgeschlagenen Ausführungen, und mindestens eine Ausführung läuft momentan.
Geplant/Erfolg
Client-Task ist für (vergangene oder zukünftige) Ausführungen geplant, es existieren keine
fehlgeschlagenen oder laufenden Ausführungen, und mindestens eine Ausführung wurde
erfolgreich abgeschlossen.
Geplant/Fehler
Client-Task ist für (vergangene oder zukünftige) Ausführungen geplant, es existieren keine
laufenden Ausführungen, und mindestens eine Ausführung ist fehlgeschlagen. Dies gilt
auch, wenn ein Teil der Ausführungen erfolgreich war.
189
7.4.1.3 Detailinformationen
Wenn Sie die farbige Fortschrittsanzeige anklicken, können Sie eine der folgenden Optionen auswählen:
Geplante anzeigen
Ausgeführte anzeigen
Erfolgreiche anzeigen
Fehlgeschlagene anzeigen
Im Ausführungsfenster wird eine Liste der Computer mit dem ausgewählten Ergebnis angezeigt (mit Filter).
Computer mit abweichenden Ergebnissen werden nicht angezeigt. Sie können den Filter bearbeiten oder
deaktivieren, um alle Computer unabhängig von deren letztem Status anzuzeigen.
Sie können den Drilldown fortsetzen, indem Sie den Verlauf auswählen, um Details zur Ausführung von Client-Tasks
anzuzeigen, inklusive Aufgetreten, aktueller Status, Fortschritt und Trace-Nachricht (falls verfügbar). Klicken Sie auf
Computername oder Computerbeschreibung und nehmen Sie bei Bedarf weitere Änderungen vor, oder öffnen Sie
die Computerdetails für einen bestimmten Client.
190
HINWEIS
Falls in der Ausführungsverlauf keine Einträge angezeigt werden, können Sie den Filter Aufgetreten auf einen
größeren Zeitraum festlegen.
7.4.1.4 Trigger
Jedem Client-Task muss ein Trigger zugeordnet werden, damit der Task ausgeführt werden kann. Bei der Erstellung
eines Triggers wählen Sie die Zielcomputer oder Gruppen aus, auf denen ein Client-Task ausgeführt werden soll.
Legen Sie anschließend mit ausgewählten Zielen die Triggerbedingungen fest, anhand derer ein Task zu einem
bestimmten Zeitpunkt bzw. bei einem bestimmten Ereignis ausgeführt wird. Außerdem können Sie unter
Erweiterte Einstellungen - Drosselung bei Bedarf weitere Einstellungen am Trigger vornehmen.
Einfach
Geben Sie grundlegende Informationen zum Trigger in das Feld Beschreibung ein und klicken Sie auf Ziel.
Ziel
Im Fenster Ziel können Sie die Clients (einzelne Computer oder ganze Gruppen) festlegen, die den Task empfangen
sollen. Klicken Sie auf Ziele hinzufügen, um alle statischen und dynamischen Gruppen und ihre Mitglieder
anzuzeigen.
Wählen Sie Clients aus, klicken Sie auf OK und fahren Sie mit dem Bereich „Trigger“ fort.
Trigger – Legt fest, welche Ereignisse den Task auslösen.
Baldmöglichst – Der Task wird ausgeführt, sobald der Client eine Verbindung zum ESET Remote AdministratorServer herstellt und den Task empfängt. Wenn der Task nicht vor dem Ablaufdatum ausgeführt werden kann,
wird er aus der Warteschlange entfernt. Der Task wird nicht gelöscht, aber auch nicht ausgeführt.
Geplanter Trigger – Löst den Task zu einem geplanten Zeitpunkt aus. Sie können eine einmalige oder
wiederholte Ausführung des Task planen oder zur Planung einen CRON-Ausdruck verwenden.
Ereignislog-Trigger – Führt den Task beim Eintreten der festgelegten Ereignisse aus. Der Trigger wird
aufgerufen, wenn ein bestimmtes Ereignis in den Logs auftritt. Legen Sie Logtyp, logischen Operator und
191
Filterkriterien fest, für die der Task ausgelöst werden soll.
Trigger bei Aufnahme in dynamische Gruppe – Dieser Trigger führt den Task aus, wenn ein Client zu der unter
„Ziel“ ausgewählten dynamischen Gruppe hinzugefügt wird. Wenn eine statische Gruppe oder einzelne Clients
ausgewählt wurden, ist diese Option nicht verfügbar.
HINWEIS
Weitere Informationen zu Triggern finden Sie im Kapitel Trigger.
Erweiterte Einstellungen – Drosselung – Die Drosselung schränkt die Ausführung eines Task ein, wenn das
auslösende Ereignis sehr oft auftritt, beispielsweise ein Ereignislog-Trigger oder Zusammengeführter dynamischer
Gruppen-Trigger (siehe oben). Weitere Informationen finden Sie im Kapitel Drosselung.
Klicken Sie auf Fertig stellen, wenn Sie die Empfänger des Task und die Trigger zum Auslösen des Task definiert
haben.
7.4.2 Computer herunterfahren
Mit dem Task Computer herunterfahren können Sie Clientcomputer herunterfahren oder neu starten. Klicken Sie
auf Neu..., um mit der Einrichtung des neuen Tasks zu beginnen.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task Computer herunterfahren ausführen.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Computer neu starten- Mit dieser Option werden die Computer nach Taskabschluss neu gestartet. Markieren Sie
dieses Feld nicht, wenn die Computer heruntergefahren werden sollen.
192
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.3 On-Demand-Scan
Mit dem Task On-Demand-Scan können Sie manuell einen Scan des Clientcomputers starten (unabhängig von den
regulär geplanten Scans). Klicken Sie auf Neu..., um mit der Einrichtung des neuen Tasks zu beginnen.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task On-Demand-Scan verwenden.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
193
Einstellungen
Nach Scan herunterfahren - Wenn Sie diese Option aktivieren, wird der Computer nach dem Fertigstellen des Scans
automatisch heruntergefahren
Prüfprofil - Wählen Sie aus dem Dropdownmenü das gewünschte Profil aus:
Tiefen-Scan – Dies ist ein auf dem Client vordefiniertes Profil zum Ausführen eines besonders gründlichen Scans.
Das gesamte System wird gescannt, der Scan nimmt jedoch auch am meisten Zeit und Ressourcen in Anspruch.
Smart-Prüfung - Mit der Smart-Prüfung (Standardprüfung) können Sie schnell den Computer prüfen und infizierte
Dateien säubern, ohne eingreifen zu müssen. Ihr Vorteil ist die einfache Bedienung, bei der Sie keine
detaillierten Prüfeinstellungen festlegen müssen. Bei der Smart-Prüfung werden alle Dateien auf allen
Laufwerken geprüft, und erkannte eingedrungene Schadsoftware wird automatisch entfernt. Als Säuberungsstufe
wird automatisch der Standardwert festgelegt.
Scan aus Kontextmenü - Führt auf dem Client ein Scan mit einem vordefinierten Scanprofil aus. Sie können die zu
scannenden Objekte benutzerdefiniert anpassen.
Benutzerdefiniertes Profil – Beim Prüfen mit speziellen Einstellungen können Sie verschiedene Prüfparameter
festlegen, z. B. die zu prüfenden Objekte und die Prüfmethoden. Der Vorteil eines benutzerdefinierten Scans ist
die Möglichkeit zur genauen Parameterkonfiguration. Verschiedene Konfigurationen können in
benutzerdefinierten Prüfprofilen gespeichert werden. Das ist hilfreich, um Prüfungen wiederholt mit denselben
Parametern auszuführen. Bevor der Task mit der Option „benutzerdefiniertes Profil“ ausgeführt werden kann,
muss ein Profil erstellt werden. Nachdem Sie im Dropdownmenü ein benutzerdefiniertes Profil ausgewählt
haben, geben Sie im Feld Benutzerdefiniertes Profil den genauen Profilnamen ein.
Säubern
Standardmäßig ist Prüfen und Aktion ausgewählt. Hierbei werden gefundene infizierte Objekte automatisch
gesäubert. Wenn dies nicht möglich ist, werden sie in die Quarantäne verschoben.
Prüfungsziele
Diese Option ist ebenfalls standardmäßig aktiviert. Mit dieser Einstellung werden alle im Prüfprofil festgelegten
Ziele geprüft. Wenn Sie die Option deaktivieren, müssen Sie im Feld Ziel hinzufügen manuell die zu scannenden
Objekte angeben. Geben Sie das zu scannende Objekt ein und klicken Sie auf Hinzufügen. Das Ziel wird im Feld der
Prüfziele angezeigt.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
194
7.4.4 Betriebssystem-Update
Der Task System-Update dient dem Aktualisieren des Betriebssystems auf dem Clientcomputer. Der Task kann
Updates für Windows-, OS X- oder Linux-Betriebssysteme auslösen.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie den Task Betriebssystem-Update aus. Der Tasktyp (siehe Liste der Client-Task-Typen) definiert die
Einstellungen und das Verhalten des Tasks.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
EULA automatisch annehmen - Mit diesem Kontrollkästchen können Sie angeben, dass die EULA automatisch
akzeptiert werden soll. Für den Benutzer wird kein Text angezeigt.
Optionale Updates installieren - Diese Option ist nur für Windows-Betriebssysteme relevant und legt fest, dass
optionale Updates ebenfalls installiert werden sollen.
Neustart zulassen – Diese Option gilt nur für Windows-Betriebssysteme und legt fest, dass der Clientcomputer
nach der Installation der Updates neu gestartet wird.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
195
7.4.5 Quarantäneverwaltung
Mit dem Task Quarantäneverwaltung werden die Objekte in der Quarantäne des ERA-Servers verwaltet. Hierbei
handelt es sich um infizierte oder verdächtige Objekte, die während einer Prüfung erkannt wurden.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task Quarantäne-Verwaltung verwenden.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Quarantäneverwaltungseinstellungen
196
Aktion – Wählen Sie die Aktion aus, die auf das Objekt in der Quarantäne angewendet werden soll.
o Objekte wiederherstellen (stellt das Objekt am ursprünglichen Speicherort wieder her; das Objekt wird jedoch
gescannt und bei Fortbestehen des Quarantänegrunds erneut in die Quarantäne verschoben)
o Objekte wiederherstellen und in Zukunft ausschließen (stellt das Objekt am ursprünglichen Speicherort wieder
her und verschiebt es nicht mehr in die Quarantäne).
o Objekte löschen (löscht das Objekt vollständig).
Filtertyp – Sie können die Objekte in der Quarantäne mit den unten angegebenen Kriterien filtern. Der Filter kann
entweder auf der Hash-Zeichenkette des Objekts oder auf Bedingungen basieren.
Bedingte Filtereinstellungen:
o Einstellungen für Hashfilter - Fügen Sie Hash-Elemente in das Feld ein. Es können nur bekannte Objekte
eingegeben werden, beispielsweise ein Objekt, das bereits in die Quarantäne verschoben wurde.
o Aufgetreten von/bis – Legen Sie hier den Zeitraum fest, in dem das Objekt in die Quarantäne verschoben
wurde.
o Mindestgröße/Maximalgröße (Byte) – Legen Sie hier den Größenbereich für das in die Quarantäne verschoben
Objekt (in Byte) fest.
o Bedrohungsname – Wählen Sie aus der Liste der Objekte in der Quarantäne eine Bedrohung aus.
o Objektname – Wählen Sie aus der Liste der Objekte in der Quarantäne ein Objekt aus.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.6 Rogue Detection Sensor-Datenbank zurücksetzen
Der Task Rogue Detection Sensor-Datenbank zurücksetzen setzt den Cache der RD Sensor-Suchen zurück. Der Task
löscht den Cache und die Suchergebnisse werden erneut gespeichert. Der Task entfernt keine erkannten Computer.
Dieser Task ist hilfreich, wenn erkannte Computer noch im Cache vorhanden sind und nicht dem Server gemeldet
werden.
HINWEIS
Für diesen Task sind keine Einstellungen verfügbar.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
197
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
198
7.4.7 Upgrade von Remote Administrator-Komponenten
Der Task Upgrade von Remote Administrator-Komponenten wird eingesetzt, um ERA-Komponenten (ERA-Agent,
ERA-Proxy, ERA-Server und MDM) aufzurüsten. Beispielsweise für Upgrades von ERA Version 6.1.28.0, 6.1.33.0, 6.2.x.
6.3.x auf ERA-Version 6.4.x
HINWEIS
Unter Komponentenupgrade finden Sie weitere Hinweise. Hinweise zum Upgrade von ESET Remote
Administrator auf die neueste Version (6.x) finden Sie in unserem Knowledgebase-Artikel.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task Upgrade von Remote Administrator-Komponenten verwenden.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Aktivieren Sie das Kontrollkästchen neben Ich stimme der Endbenutzer-Lizenzvereinbarung für die Anwendung zu,
sofern Sie zustimmen. Weitere Informationen hierzu finden Sie unter Lizenzverwaltung oder EULA.
Remote Administration-Referenzserver – Wählen Sie aus der Liste die ERA-Serverversion aus. Alle ERAKomponenten werden auf Versionen aufgerüstet, die mit dem ausgewählten Server kompatibel sind.
Bei Bedarf automatisch neu starten – Mit dieser Option können Sie einen Neustart des Client-Betriebssystems
erzwingen, falls dies für die Installation erforderlich ist.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
199
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.8 Geklonten Agenten zurücksetzen
Mit dem Task Geklonten Agenten zurücksetzen können Sie den ESET-Agenten im Netzwerk über ein vordefiniertes
Image verteilen. Geklonte Agenten haben dieselbe SID. Dies kann Probleme verursachen (mehrere Agenten mit
derselben SID). Führen Sie in diesem Fall den Task „Geklonten Agenten zurücksetzen“ aus, um die SID
zurückzusetzen und den Agenten eine eindeutige Identität zuzuweisen.
HINWEIS
Für diesen Task sind keine Einstellungen verfügbar.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
200
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.9 Befehl ausführen
Mit dem Task Befehl ausführen können Sie spezielle Befehlszeilenanweisungen auf dem Client ausführen. Der
Administrator legt die auszuführende Befehlszeile fest.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task Befehl ausführen ausführen.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Auszuführende Befehlszeile – Geben Sie die Befehlszeile ein, die auf dem/den Client(s) ausgeführt werden soll.
Arbeitsverzeichnis – Geben Sie das Verzeichnis ein, in dem die oben festgelegte Befehlszeile ausgeführt werden
soll.
201
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.10 SysInspector-Skript ausführen
Mit dem Task SysInspector-Skript ausführen können Sie unerwünschte Objekte aus dem System entfernen. Vor dem
Ausführen dieses Tasks muss ein SysInspector-Skript von ESET-SysInspector exportiert werden. Nachdem Sie das
Skript exportiert haben, können Sie die zu entfernenden Objekte markieren und das Skript mit den geänderten
Daten ausführen. Die markierten Objekte werden gelöscht.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task SysInspector-Skript ausführen verwenden.
HINWEIS
Nach dem Abschluss des Tasks können Sie die Ergebnisse in einem Bericht überprüfen.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
202
Einstellungen
SysInspector-Skript – Klicken Sie auf Durchsuchen, um das Skript auszuwählen. Das Dienstskript muss vor dem
Ausführen des Tasks erstellt werden.
Aktion – Wählen Sie Upload oder Download aus, um ein Skript in die ERA-Konsole hochzuladen oder von dort
herunterzuladen.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
203
7.4.11 Server-Scan
Mit dem Server-Scan-Task können Sie Clients scannen, auf denen ESET-Server-Lösungen installiert sind (aktuell ESET
File Security 6 und ESET Mail Security 6).
Gescannter Server - Klicken Sie auf Auswählen, um einen Server für die Prüfung auszuwählen. Sie können nur
einen Server auf einmal auswählen.
Scanziele - Zeigt Ressourcen auf dem ausgewählten Server an, die gescannt werden können.
HINWEIS
Planen Sie bei der ersten Ausführung der Funktion Liste der Ziele generieren ca. die Hälfte des angegebenen
Updateintervalls für die Erkennung ein. Bei einem Updateintervall von 60 Minuten sollten Sie 30 Minuten für
den Empfang der Liste der Scan-Ziele einplanen. Weitere Informationen finden Sie unter Zu prüfende Objekte in
ERA.
HINWEIS
Mit dem Server-Scan-Task können Sie eine Hyper-V-Prüfung unter ESET File Security 6 ausführen, sowie eine OnDemand-Datenbankprüfung für Postfächer und Hyper-V-Prüfung unter ESET Mail Security 6. Weitere
Prüfmethoden sind momentan nicht verfügbar.
204
7.4.12 Software-Installation
Mit dem Task Software-Installation installieren Sie Software auf den Clientcomputern. Der Task wurde
hauptsächlich für die Installation von ESET-Produkten entwickelt, kann jedoch zur Installation beliebiger anderer
Software verwendet werden.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task Software-Installation ausführen.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Aktivieren Sie das Kontrollkästchen neben Ich stimme der Endbenutzer-Lizenzvereinbarung für die Anwendung zu,
sofern Sie zustimmen. Weitere Informationen hierzu finden Sie unter Lizenzverwaltung oder EULA.
Klicken Sie auf <ESET-Lizenz auswählen> und wählen Sie aus der Liste der verfügbaren Lizenzen die geeignete Lizenz
für das installierte Produkt aus.
Klicken Sie auf <Paket auswählen>, um ein Installationspaket aus dem Repository auszuwählen, oder geben Sie eine
Paket-URL ein. Eine Liste verfügbarer Pakete wird angezeigt, in der Sie das zu installierende ESET-Produkt (zum
Beispiel ESET Endpoint Security) auswählen können. Wählen Sie das gewünschte Installationspaket aus und klicken
Sie auf OK. Wenn Sie eine URL für den Speicherort des Installationspakets verwenden möchten, geben Sie die URL
(z. B. file://\\pc22\install\ees_nt64_ENU.msi) in das Textfeld ein (verwenden Sie keine URLs, die Authentifizierung
erfordern).
205
http://server_address/ees_nt64_ENU.msi - Falls Sie die Installation von einem öffentlichen Webserver oder von
Ihrem eigenen HTTP-Server durchführen.
file://\\pc22\install\ees_nt64_ENU.msi - Falls Sie die Anwendung von einem Netzwerkpfad installieren.
file://C:\installs\ees_nt64_ENU.msi - Falls Sie die Anwendung von einem lokalen Pfad installieren.
HINWEIS
Sowohl ERA Server als auch ERA Agent benötigen eine Internetverbindung, um auf das Repository zugreifen und
die Installation durchführen zu können. Falls Sie keinen Internetzugriff haben, können Sie die Clientsoftware
lokal installieren.
Bei Bedarf können Sie Installationsparameter angeben. Lassen Sie dieses Feld andernfalls leer. Aktivieren Sie das
Kontrollkästchen neben Bei Bedarf automatisch neu starten, um einen automatischen Neustart des Computers nach
der Installation zu erzwingen. Sie können diese Option auch deaktiviert lassen und den Clientcomputer manuell
neu starten.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.13 Software-Deinstallation
Mit dem Task Software-Deinstallation können Sie ESET-Sicherheitsprodukte von Clientcomputern deinstallieren,
wenn diese nicht mehr erwünscht sind oder nicht mehr benötigt werden. Wenn Sie den ERA Agenten von einem
Clientcomputer deinstallieren, werden in den ESET-Sicherheitsprodukten nach der Deinstallation des Agenten
möglicherweise einige Einstellungen beibehalten.
WICHTIG
Es empfiehlt sich, bestimmte Einstellungen (z. B. für den Passwortschutz) mithilfe einer Policy auf den
Standardwert zurückzusetzen, bevor das Gerät von der Verwaltung ausgeschlossen wird. Außerdem werden alle
auf dem Agenten ausgeführten Tasks abgebrochen. Der Ausführungsstatus Wird ausgeführt, Fertig oder Fehler
des Tasks wird je nach Replikation möglicherweise nicht richtig in der ERA Web-Konsole angezeigt.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
206
Einstellungen
Einstellungen für Software-Deinstallation
Deinstallieren - Anwendung aus der Liste:
Paketname – Wählen Sie eine ERA-Komponente oder ein Client-Sicherheitsprodukt aus. In dieser Liste werden alle
Pakete angezeigt, die auf den ausgewählten Clients installiert sind.
Paketversion – Sie können entweder eine bestimmte Version des Pakets (beispielsweise wenn eine bestimmte
Paketversion Probleme verursacht) oder alle Versionen des Pakets entfernen.
Bei Bedarf automatisch neu starten – Mit dieser Option können Sie einen Neustart des Client-Betriebssystems
erzwingen, falls dies für die Deinstallation erforderlich ist.
Uninstall - Virenschutz-Software eines Drittanbieters (erstellt mit OPSWAT) - Eine Liste kompatibler
Virenschutzsoftware finden Sie in unserem KnowledgeBase-Artikel. Dieser Vorgang unterscheidet sich von der
Deinstallation via Programme hinzufügen oder entfernen. Er verwendet alternative Methoden zur Entfernung
externer Antivirensoftware und löscht sorgfältig alle verbleibenden Registrierungseinträge und sonstige Spuren.
Führen Sie die schrittweisen Anweisungen in diesem Artikel aus: Entfernen von Virenschutz-Software eines
Drittanbieters von Clientcomputern mithilfe von ESET Remote Administrator (6.x) um einen Task zur Entfernung
externer Antivirensoftware an Clientcomputer senden.
Falls Sie die Deinstallation von passwortgeschützten Anwendungen erlauben möchten, finden Sie weitere
Informationen in unserem Knowledgebase-Artikel. (siehe Schritt 12.)
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
207
HINWEIS
Falls bei der Deinstallation von ESET-Sicherheitsprodukten Fehler auftreten und z. B. die Fehlermeldung
Product: ESET Endpoint Security -- Error 5004. Enter a valid password to continue uninstallation.
angezeigt wird, liegt dies daran, dass das ESET-Sicherheitsprodukt mit einem Passwort geschützt ist.
Deaktivieren Sie den Passwortschutz, der die Deinstallation verhindert, auf den entsprechenden
Clientcomputern mit einer Policy.
7.4.14 Produktaktivierung
Führen Sie die folgenden Schritte aus, um ein ESET-Sicherheitsprodukt auf einem Clientcomputer oder einem
Mobilgerät zu aktivieren.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
208
Einstellungen
Produktaktivierungseinstellungen - Wählen Sie in der Liste eine Lizenz für den Client aus. Die Lizenz wird auf die
bereits auf dem Client installierten Produkte angewendet. Falls keine Lizenzen angezeigt werden, öffnen Sie die
Lizenzverwaltung und fügen Sie Lizenzen hinzu.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.15 SysInspector-Loganfrage
Mit dem Task SysInspector-Loganfrage wird der SysInspector-Log eines Client-Sicherheitsprodukts angefordert, das
über diese Funktion verfügt.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task SysInspector-Loganfrage verwenden.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
209
Einstellungen
Log auf Client speichern – Wählen Sie diese Option aus, wenn der SysInspector-Log auf dem Client und auf dem
ERA-Server gespeichert werden soll. Auf einem Client mit ESET Endpoint Security wird der Log zum Beispiel
üblicherweise unter C:\Program Data\ESET\ESET Endpoint Antivirus\SysInspector gespeichert.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
210
7.4.16 Quarantänedatei hochladen
Mit dem Task Quarantänedatei hochladen können Sie Dateien verwalten, die auf den Clients in die Quarantäne
verschoben wurden.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task Quarantänedatei hochladen verwenden.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Objekt in Quarantäne – Wählen Sie ein Objekt aus der Quarantäne aus.
Objektpasswort – Geben Sie ein Passwort zum Verschlüsseln des Objekts ein. Beachten Sie, dass das Passwort im
entsprechenden Bericht angezeigt wird.
Upload-Pfad – Geben Sie den Pfad zu einem Speicherort an, zu dem das Objekt hochgeladen werden soll.
Benutzername/Passwort für Upload – Falls für den Speicherort eine Authentifizierung erforderlich ist
(Netzwerkfreigabe usw.), geben Sie den Berechtigungsnachweis für diesen Pfad ein.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
211
7.4.17 Update der Signaturdatenbank
Der Task Produkt-Update erzwingt ein Update der Signaturdatenbank des auf den Clients installierten
Sicherheitsprodukts. Dies ist ein allgemeiner Task für alle Produkte im System.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Update-Cache löschen – Mit dieser Option werden die temporären Update-Dateien im Cache auf dem Client
gelöscht. Der Task kann hilfreich sein, um Probleme nach einem nicht erfolgreichen Update der
Signaturdatenbank zu beheben.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
212
7.4.18 Rollback eines Updates der Signaturdatenbank
Manchmal kann ein Update der Signaturdatenbank Probleme verursachen oder Sie möchten ein Update aus
bestimmten Gründen (zum Beispiel zum Testen oder Verwenden von Test-Updates) nicht auf allen Clients
anwenden. In diesem Fall können Sie den Task Rollback eines Updates der Signaturdatenbank ausführen. Dieser
Task setzt die Signaturdatenbank auf eine frühere Version zurück.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Hier können Sie die Einstellungen für den Rollback des Updates der Signaturdatenbank anpassen.
Aktion
Aktivierte Updates – Updates sind aktiviert. Der Client empfängt das nächste Update der Signaturdatenbank.
Rollback ausführen und Aktualisierungen deaktivieren für – Updates sind für den im Dropdown-Menü Intervall
deaktivieren angegebenen Zeitraum deaktiviert (24, 36 oder 48 Stunden oder bis zur Aufhebung). Verwenden Sie
die Option „Bis zur Aufhebung“ mit Vorsicht, da sie mit einem Sicherheitsrisiko verbunden ist.
213
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.19 Anzeigen einer Meldung
Mit dieser Funktion können Sie eine Nachricht an ein beliebiges Gerät (Clientcomputer, Tablet, Mobiltelefon usw.)
senden. Die Nachricht wird auf dem Bildschirm des Geräts angezeigt, um dem Benutzer eine Information
mitzuteilen.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task Nachricht anzeigen ausführen.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
214
Einstellungen
Geben Sie einen Titel und die Nachricht ein.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.20 Anti-Theft-Aktionen
Die Anti-Theft-Funktion schützt Ihr Mobilgerät vor unbefugtem Zugriff. Wenn ein (registriertes und von ERA
verwaltetes) Mobilgerät verloren oder gestohlen wird, werden bestimmte Aktionen automatisch ausgeführt.
Weitere Aktionen können über Client-Tasks ausgeführt werden. Wenn eine nicht autorisierte Person eine
vertrauenswürdige SIM-Karte durch eine nicht vertrauenswürdige SIM-Karte ersetzt, wird das Gerät von ESET
Endpoint Security für Android gesperrt und eine SMS-Benachrichtigung wird an die vom Benutzer festgelegte(n)
Telefonnummer(n) gesendet. Die Benachrichtigung enthält die Telefonnummer der aktuell verwendeten SIMKarte, die IMSI (International Mobile Subscriber Identity) und die IMEI (International Mobile Equipment Identity)
des Telefons. Der nicht autorisierte Benutzer weiß nicht, dass diese Meldung gesendet wurde, da sie automatisch
aus den Nachrichtenlisten auf dem Gerät gelöscht wird. Sie können außerdem die GPS-Koordinaten des verlorenen
Mobilgeräts anfordern oder mit einem Clienttask remote alle auf dem Gerät gespeicherten Daten löschen.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
215
Einstellungen
Suchen - Das Gerät antwortet mit einer Textnachricht, die die GPS-Koordinaten des Geräts enthält. Wenn nach
10 Minuten eine genauere Standortangabe verfügbar ist, sendet das Gerät die Nachricht erneut. Die
empfangenen Informationen werden in den Computerdetails angezeigt.
Sperren - Das Gerät wird gesperrt. Das Gerät kann mit dem Administratorpasswort oder dem Entsperrbefehl
entsperrt werden.
Entsperren - Das Gerät wird entsperrt, sodass es wieder verwendet werden kann. Die aktuell im Gerät eingelegte
SIM-Karte wird als vertrauenswürdige SIM-Karte gespeichert.
Alarm - Das Gerät wird gesperrt und gibt 5 Minuten lang (oder bis zur Entsperrung) einen sehr lauten Ton aus.
Daten löschen - Alle zugreifbaren Daten auf dem Gerät werden gelöscht (Datei wird überschrieben). ESET
Endpoint Security bleibt auf dem Gerät erhalten. Dies kann mehrere Stunden in Anspruch nehmen.
Erweiteres Zurücksetzen auf Werkseinstellungen - Alle zugreifbaren Daten auf dem Gerät werden gelöscht
(Dateikopfdaten werden zerstört) und das Gerät wird auf die standardmäßigen Werkseinstellungen
zurückgesetzt. Dieser Vorgang kann mehrere Minuten in Anspruch nehmen.
216
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
7.4.21 Verwaltung beenden (ERA-Agent deinstallieren)
Desktop - Mit diesem Task wird der Agent, der auf dem Computer mit MDM installiert ist, entfernt.
Mobilgerät - Dieser Task hebt die MDM-Registrierung des Mobilgeräts auf.
Nachdem das Gerät nicht mehr verwaltet wird (Agent wurde entfernt), können in den verwalteten Produkten
einige Einstellungen verbleiben.
WICHTIG
Es empfiehlt sich, bestimmte Einstellungen (z. B. für den Passwortschutz) mithilfe einer Policy auf den
Standardwert zurückzusetzen, bevor das Gerät von der Verwaltung ausgeschlossen wird. Außerdem werden alle
auf dem Agenten ausgeführten Tasks abgebrochen. Der Ausführungsstatus Wird ausgeführt, Fertig oder Fehler
des Tasks wird je nach Replikation möglicherweise nicht richtig in der ERA Web-Konsole angezeigt.
217
1. Wenn einige besondere Einstellungen auf dem Gerät nicht beibehalten werden sollen, legen Sie eine GerätePolicy so fest, dass die unerwünschten Einstellungen auf Standardwerte (bzw. auf die gewünschten Werte)
gesetzt werden.
2. Bevor Sie diesen Schritt ausführen, warten Sie lange genug, um sicher zu sein, dass die Policies aus Punkt 1 die
Replikation auf dem Zielcomputer abgeschlossen haben, bevor Sie den Computer in ERA aus der Liste löschen.
3. Vor der Ausführung dieses Schritts sollten Sie lang genug warten, um sicher zu sein, dass die Replikation der
Policies aus Punkt 2 auf dem Zielcomputer abgeschlossen wurde.
HINWEIS
Für diesen Task sind keine Einstellungen verfügbar.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
218
7.4.22 Konfiguration verwalteter Produkte exportieren
Mit dem Task Konfiguration verwalteter Produkte exportieren können Sie die Einstellungen einzelner ERAKomponenten oder auf den Clients installierter ESET-Sicherheitsprodukte exportieren.
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. einen Namen und optional eine Beschreibung, und
wählen Sie einen Task-Typ aus. Der Tasktyp (siehe Liste oben) definiert die Einstellungen und das Verhalten des
Tasks. In diesem Fall können Sie den Task Konfiguration verwalteter Produkte exportieren verwenden.
Ziel
WICHTIG
Beim Erstellen von Client-Tasks können keine Ziele hinzugefügt werden. Sie können Ziele hinzufügen, nachdem
der Task erstellt wurde. Konfigurieren Sie die Einstellungen für den Task und klicken Sie auf Fertig stellen, um
den Task zu erstellen. Erstellen Sie anschließend einen Trigger, um Ziele für den Task anzugeben.
Einstellungen
Konfigurationseinstellungen für verwaltete Produkte exportieren
Produkt – Wählen Sie eine ERA-Komponente oder ein Sicherheitsprodukt auf einem Client aus, für die/das die
Konfiguration exportiert werden soll.
Zusammenfassung
Überprüfen Sie die Zusammenfassung der konfigurierten Einstellungen und klicken Sie auf Fertig stellen. Der
Client-Task wurde erstellt, und ein Popupfenster wird geöffnet. Klicken Sie auf Trigger erstellen, um festzulegen,
wann und auf welchen Zielen dieser Client-Task ausgeführt werden soll. Wenn Sie auf Schließen klicken, können
Sie den Trigger später erstellen.
219
7.4.23 Zuweisen eines Task zu einer Gruppe
Klicken Sie auf Admin > Gruppen, wählen Sie eine Statische oder Dynamische Gruppe aus und klicken Sie auf
neben der ausgewählten Gruppe. Klicken Sie alternativ auf Gruppe > Neuer Task
Sie können auch unter Computer eine statische oder dynamische Gruppe auswählen und auf
klicken. Der Assistent für neue Client-Tasks wird geöffnet.
220
>
Neuer Task
7.4.24 Zuweisen eines Tasks zu Computern
Tasks können auf drei verschiedene Weisen einem oder mehreren Computern zugewiesen werden.
1. Dashboard > Computer mit Problemen>
Neuer Task ...
2. Computer > Computer über die Kontrollkästchen auswählen >
auswählen Neuer Task ...
3. Admin> Gruppen > Computer auswählen > Schaltfläche Tasks, Aktion auswählen und auf
klicken Neuer Task ...
221
Der Assistent für neue Client-Tasks wird geöffnet.
7.4.25 Trigger
Trigger können sowohl auf dem ERA-Server als auch auf den Agenten (Clients) verwendet werden.
7.5 Server-Tasks
Server-Tasks können zur Automatisierung von Routineaufgaben eingesetzt werden. Für Server-Tasks können Trigger
konfiguriert werden, sodass der Task ausgeführt wird, sobald eine bestimmte Ereigniskombination auf dem ERA
Server auftritt.
HINWEIS
Server-Tasks können nicht einem bestimmten Client oder einer bestimmten Clientgruppe zugewiesen werden.
Klicken Sie auf Admin > Server-Tasks > Neu, um einen neuen Task zu erstellen. Geben Sie grundlegende
Informationen zum Task ein, z. B. Name, Beschreibung (optional) und Tasktyp. Der Tasktyp legt die Einstellungen
und das Verhalten des Tasks fest. Markieren Sie das Kontrollkästchen neben "Task sofort nach dem Beenden
ausführen", um den Task sofort auszuführen, nachdem Sie auf "Fertig stellen" klicken.
Die folgenden vordefinierten Server-Tasks sind verfügbar:
Agenten-Bereitstellung - Verteilt den Agent an die Clientcomputer.
Computer löschen, die sich nicht verbinden - Löscht Computer, die sich nicht mehr mit ESET Remote
Administrator verbinden, aus der Web-Konsole.
Bericht erstellen - ermöglicht das Generieren von Berichten nach Bedarf.
Computer umbenennen - Dieser Task benennt Computer in Gruppen in regelmäßigen Abständen im FQDNFormat um.
Synchronisierung statischer Gruppen - aktualisiert die Gruppeninformationen, damit aktuelle Daten angezeigt
werden.
Benutzersynchronisierung - Aktualisiert Benutzer oder Benutzergruppen.
222
7.5.1 Computer löschen, die sich nicht verbinden
Mit dem Task Computer löschen, die sich nicht verbinden können Sie Computer anhand bestimmter Kriterien
entfernen. Wenn sich z. B. der ERA Agent auf einem Clientcomputers seit 30 Tagen nicht verbunden hat, kann er aus
der ERA-Web-Konsole entfernt werden.
Einfach
Geben Sie grundlegende Informationen zum Task ein, wie Name, Beschreibung (optional) und Tasktyp. Der Tasktyp
legt die Einstellungen und das Verhalten des Tasks fest. Markieren Sie das Kontrollkästchen neben Task sofort nach
dem Beenden ausführen, um den Task sofort auszuführen, nachdem Sie auf Fertig stellen klicken.
Einstellungen
Gruppenname - Hier können Sie statische oder dynamische Gruppen auswählen oder neu erstellen, in die
umbenannte Computer verschoben werden sollen.
Anzahl Tage, seitdem sich der Computer zum letzten Mal verbunden hat - Geben Sie die gewünschte Anzahl von
Tagen ein, nach der ein Computer entfernt werden soll.
Lizenz deaktivieren - Mit dieser Option können Sie die Lizenzen entfernter Computer ebenfalls deaktivieren.
Nicht verwaltete Computer entfernen - Mit dieser Option werden nicht verwaltete Computer ebenfalls entfernt.
Trigger
Wählen Sie einen vorhandenen Trigger für den Task aus oder erstellen Sie einen neuen Trigger. Sie können einen
ausgewählten Trigger außerdem Entfernen oder Ändern.
Zusammenfassung
Überprüfen Sie die angezeigten Konfigurationsinformationen. Wenn Sie keine Änderungen vornehmen möchten,
klicken Sie auf Fertig stellen. Der Task ist jetzt erstellt und kann verwendet werden.
7.5.2 Bericht generieren
Der Task Bericht generieren ermöglicht das Generieren von Berichten über zuvor erstellte oder vordefinierte
Bericht-Templates.
Einstellungen
Bericht-Template - Wählen Sie ein Bericht-Template aus der Liste aus.
223
Wählen Sie E-Mail senden oder In Datei speichern aus, um den generierten Bericht zu erhalten.
E-MAIL SENDEN
Zum Senden/Empfangen von E-Mail-Nachrichten müssen Sie unter Servereinstellungen > „Erweiterte
Einstellungen“ die SMTP-Einstellungen konfigurieren.
E-Mail-Nachricht
Senden an - Geben Sie die E-Mail-Adresse(n) der Empfänger für die per E-Mail gesendeten Berichte ein. Trennen
Sie mehrere Adressen durch Kommas (,). Sie können auch CC- und BCC-Felder hinzufügen. Diese funktionieren
genau wie in E-Mail-Programmen.
Betreff - Betreff für die Nachricht mit dem Bericht. Geben Sie einen klaren Betreff ein, um das Sortieren der
eingehenden Nachrichten zu ermöglichen. Dies ist eine optionale Einstellung. Wir empfehlen jedoch, den Betreff
nicht leer zu lassen.
Nachrichteninhalte - Definieren Sie den Nachrichtenkörper für die Berichtnachricht.
E-Mail senden, wenn Bericht leer ist - Aktivieren Sie diese Option, wenn der Bericht auch dann gesendet werden
soll, wenn er keine Daten enthält.
Druckoptionen
Klicken Sie auf Druckoptionen anzeigen, um die folgenden Einstellungen anzuzeigen:
Ausgabeformat – Wählen Sie das geeignete Dateiformat aus. Der erzeugte Bericht wird an die Nachricht
angehängt und kann später gedruckt werden.
Ausgabesprache – Wählen Sie die Sprache für die Nachricht aus. Standardmäßig ist die in der ERA Web-Konsole
verwendete Sprache ausgewählt.
Seitengröße/Auflösung/Seitenausrichtung/Farbformat/Randeinheiten/Ränder – Diese Optionen sind wichtig,
wenn Sie den Bericht drucken möchten. Wählen Sie je nach bevorzugten Druckeinstellungen die gewünschten
Optionen aus. Diese Optionen werden nur für die Formate PDF und PS angewendet, nicht für das CSV-Format.
HINWEIS
Für den Task Bericht generieren können Sie aus verschiedenen Formaten für die Ausgabedatei auswählen. Wenn
Sie das CSV-Format auswählen, werden die Datums- und Uhrzeitwerte des Berichts im UTC-Format gespeichert.
Wenn Sie eine der anderen beiden Formate (PDF, PS) auswählen, verwendet der Bericht die örtliche Zeit des
Servers.
IN DATEI SPEICHERN
Dateioptionen
224
Relativer Dateipfad - Der Bericht wird in einem bestimmten Verzeichnis erstellt, zum Beispiel:
Unter Windows finden Sie die Berichte normalerweise unter C:\ProgramData\ESET\RemoteAdministrator\Server
\EraServerApplicationData\Data\GeneratedReports\
Ältere Windows-Systeme verwenden unter Umständen den Pfad C:\Users\All Users\ESET\RemoteAdministrator
\Server\EraServerApplicationData\Data\GeneratedReports\
Unter Linux finden Sie die Berichte normalerweise unter /var/opt/eset/RemoteAdministrator/Server/
GeneratedReports/
E-Mail speichern, wenn Bericht leer ist - Aktivieren Sie diese Option, wenn der Bericht auch dann gespeichert
werden soll, wenn er keine Daten enthält.
Druckoptionen
Klicken Sie auf Druckoptionen anzeigen, um die folgenden Einstellungen anzuzeigen:
Ausgabeformat – Wählen Sie das geeignete Dateiformat aus. Der erzeugte Bericht wird an die Nachricht
angehängt und kann später gedruckt werden.
Ausgabesprache – Wählen Sie die Sprache für die Nachricht aus. Standardmäßig ist die in der ERA Web-Konsole
verwendete Sprache ausgewählt.
Seitengröße/Auflösung/Seitenausrichtung/Farbformat/Randeinheiten/Ränder – Diese Optionen sind wichtig,
wenn Sie den Bericht drucken möchten. Wählen Sie je nach bevorzugten Druckeinstellungen die gewünschten
Optionen aus. Diese Optionen werden nur für die Formate PDF und PS angewendet, nicht für das CSV-Format.
HINWEIS
Für den Task Bericht generieren können Sie aus verschiedenen Formaten für die Ausgabedatei auswählen. Wenn
Sie das CSV-Format auswählen, werden die Datums- und Uhrzeitwerte des Berichts im UTC-Format gespeichert.
Wenn Sie eine der anderen beiden Formate (PDF, PS) auswählen, verwendet der Bericht die örtliche Zeit des
Servers.
Trigger
Wählen Sie einen vorhandenen Trigger für den Task aus oder erstellen Sie einen neuen Trigger. Sie können einen
ausgewählten Trigger außerdem Entfernen oder Ändern.
Zusammenfassung
Hier werden alle konfigurierten Optionen angezeigt. Überprüfen Sie die Einstellungen und klicken Sie auf „Fertig
stellen“, wenn Sie keine Änderungen mehr vornehmen möchten. Der Task ist jetzt erstellt und kann verwendet
werden.
HINWEIS
Für Ubuntu Server Edition müssen X Server und xinit installiert werden, damit der Berichtdrucker (PDF-Berichte)
richtig funktioniert.
sudo apt-get install server-xorg
sudo apt-get install xinit
startx
225
7.5.3 Computer umbenennen
Mit dem Task Computer umbenennen können Sie Computer in ERA im FQDN-Format umbenennen. Sie können den
vorhandenen Servertask verwenden, der bei der ERA-Installation eingerichtet wurde. Dieser Task benennt
automatisch stündlich die Computer im „Fundbüro“ um. Alternativ können Sie unter Servertask > Computer
umbenennen > Neu einen neuen Task erstellen.
Einfach
Geben Sie grundlegende Informationen zum Task ein, wie Name, Beschreibung (optional) und Tasktyp. Der Tasktyp
legt die Einstellungen und das Verhalten des Tasks fest. Markieren Sie das Kontrollkästchen neben Task sofort nach
dem Beenden ausführen, um den Task sofort auszuführen, nachdem Sie auf Fertig stellen klicken.
Einstellungen
Gruppenname - Hier können Sie statische oder dynamische Gruppen auswählen oder erstellen, in die umbenannte
Computer verschoben werden sollen.
Umbenennen basierend auf:
Computername
Computer-FQDN (vollqualifizierter Domänenname)
Auflösung von Namenskonflikten für bereits in ERA vorhandene Computer (Computername muss eindeutig sein)
und per Synchronisierung hinzugefügte Computer. Prüfungen gelten nur für Namen von Computern außerhalb des
Zweigs, der synchronisiert wird.
Trigger
Wählen Sie einen vorhandenen Trigger für den Task aus oder erstellen Sie einen neuen Trigger. Sie können einen
ausgewählten Trigger außerdem Entfernen oder Ändern.
Zusammenfassung
Überprüfen Sie die angezeigten Konfigurationsinformationen. Wenn Sie keine Änderungen vornehmen möchten,
klicken Sie auf Fertig stellen. Der Task ist jetzt erstellt und kann verwendet werden.
7.5.4 Synchronisierung statischer Gruppen
Der Task Synchronisierung statischer Gruppen durchsucht das Netzwerk (Active Directory, Open Directory, LDAP,
lokales Netzwerk oder VMware) nach Computern und fügt sie in eine statische Gruppe ein. Wenn Sie während der
Serverinstallation die Option Mit Active Directory synchronisieren auswählen, werden die gefundenen Computer
zur Gruppe Alle hinzugefügt.
Klicken Sie auf Admin > Servertask > Synchronisierung statischer Gruppen > Neu...
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. Name und Beschreibung (optional). Der Tasktyp legt die
Einstellungen und das Verhalten des Tasks fest. Markieren Sie das Kontrollkästchen neben Task sofort nach dem
Beenden ausführen, um den Task sofort auszuführen, nachdem Sie auf Fertig stellen klicken.
Einstellungen
Erweitern Sie die Einstellungen und klicken Sie auf Auswählen unter Name der statischen Gruppe - Standardmäßig
wird das Stammverzeichnis für synchronisierte Computer verwendet. Alternativ können Sie eine neue statische
Gruppe erstellen.
226
Zu synchronisierendes Objekt - Entweder Computer und Gruppen oder Nur Computer.
Kollisionsbehandlung bei der Computererstellung - Wenn bei der Synchronisierung Computer hinzugefügt
werden, die bereits Mitglied der statischen Gruppe sind, wird eine Konfliktauflösungsmethode angewendet.
Wählen Sie eine Methode aus: Überspringen (synchronisierte Computer werden nicht hinzugefügt),
Verschieben (neue Computer werden in eine Untergruppe verschoben).
Verfahren für Computerlöschung - Für nicht mehr vorhandene Computer können Sie die Option Entfernen oder
Überspringen auswählen.
Verfahren für Gruppenlöschung - Für nicht mehr vorhandene Gruppen können Sie die Option Entfernen oder
Überspringen auswählen.
Dieses Produkt unterstützt 3 Synchronisierungsarten:
MS Windows-Netzwerk - Geben Sie eine Arbeitsgruppe und den Benutzer mit den Anmeldedaten ein.
Active Directory/Open Directory/LDAP - Geben Sie die Serververbindungsdaten ein. Unter
Synchronisierungsmodus finden Sie eine ausführliche Anleitung.
VMware - geben Sie die Verbindungsdaten für den VMware vCenter-Server ein. Unter Synchronisierungsmodus
finden Sie eine ausführliche Anleitung.
Geben Sie im Bereich Synchronisierungseinstellungen für das Microsoft Windows-Netzwerk die folgenden
Informationen ein:
o Arbeitsgruppe - Geben Sie die Domäne oder Arbeitsgruppe ein, die die zu synchronisierenden Computer
enthält. Wenn Sie keine Arbeitsgruppe angeben, werden alle sichtbaren Computer synchronisiert.
o Anmeldung - Geben Sie die Anmeldeinformationen für die Synchronisierung in Ihrem Windows-Netzwerk ein.
o Passwort - Geben Sie das Passwort für die Anmeldung bei Ihrem Windows-Netzwerk ein.
Trigger
Wählen Sie einen vorhandenen Trigger für den Task aus oder erstellen Sie einen neuen Trigger. Sie können einen
ausgewählten Trigger außerdem Entfernen oder Ändern.
Zusammenfassung
Überprüfen Sie die angezeigten Konfigurationsinformationen. Wenn Sie keine Änderungen vornehmen möchten,
klicken Sie auf Fertig stellen. Der Task ist jetzt erstellt und kann verwendet werden.
Mit den Standardeinstellungen wird dieser Task nur auf Windows-Computer angewendet. Wenn Ihre WindowsDomäne Linux-Computer enthält und der Task auf diese ebenfalls angewendet werden soll, müssen Sie die LinuxComputer zuerst sichtbar machen. Für Linux-Computer in Windows-Domänen wird in den Computereigenschaften
unter "Active Directory-Benutzer und -Gruppen" (ADUC) kein Text angezeigt, und die Daten müssen manuell
eingefügt werden.
7.5.4.1 Synchronisierungsmodus - Active Directory
Klicken Sie auf Admin > Servertask > Synchronisierung statischer Gruppen > Neu...
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. Name und Beschreibung (optional). Der Tasktyp legt die
Einstellungen und das Verhalten des Tasks fest. Markieren Sie das Kontrollkästchen neben Task sofort nach dem
Beenden ausführen, um den Task sofort auszuführen, nachdem Sie auf Fertig stellen klicken.
Einstellungen
Erweitern Sie die Einstellungen und klicken Sie auf Auswählen unter Name der statischen Gruppe - Standardmäßig
wird das Stammverzeichnis für synchronisierte Computer verwendet. Alternativ können Sie eine neue statische
Gruppe erstellen.
227
Zu synchronisierendes Objekt - Entweder Computer und Gruppen oder Nur Computer.
Kollisionsbehandlung bei der Computererstellung - Wenn bei der Synchronisierung Computer hinzugefügt
werden, die bereits Mitglied der statischen Gruppe sind, wird eine Konfliktauflösungsmethode angewendet.
Wählen Sie eine Methode aus: Überspringen (synchronisierte Computer werden nicht hinzugefügt),
Verschieben (neue Computer werden in eine Untergruppe verschoben).
Verfahren für Computerlöschung - Für nicht mehr vorhandene Computer können Sie die Option Entfernen oder
Überspringen auswählen.
Verfahren für Gruppenlöschung - Für nicht mehr vorhandene Gruppen können Sie die Option Entfernen oder
Überspringen auswählen.
Dieses Produkt unterstützt 3 Synchronisierungsarten:
MS Windows-Netzwerk - Geben Sie eine Arbeitsgruppe und den Benutzer mit den Anmeldedaten ein.
Active Directory/Open Directory/LDAP - Geben Sie die Serververbindungsdaten ein. Unter
Synchronisierungsmodus finden Sie eine ausführliche Anleitung.
VMware - geben Sie die Verbindungsdaten für den VMware vCenter-Server ein. Unter Synchronisierungsmodus
finden Sie eine ausführliche Anleitung.
Serververbindungseinstellungen:
o Server - Geben Sie Servername oder IP-Adresse Ihres Domänencontrollers ein.
o Anmeldung - Geben Sie die Anmeldeinformationen für Ihren Domänencontroller im Format DOMÄNE
\Benutzername ein.
o Passwort - Geben Sie das Passwort für die Anmeldung bei Ihrem Domänencontroller ein.
LDAP-Parameter verwenden - Falls Sie LDAP verwenden möchten, markieren Sie das Kontrollkästchen LDAP
anstatt Active Directory verwenden und geben Sie die Attribute für Ihren Server ein. Alternativ können Sie
eine Voreinstellung auswählen, indem Sie auf Benutzerdefiniert... klicken. In diesem Fall werden die Attribute
automatisch ausgefüllt:
o Active Directory - Klicken Sie auf Durchsuchen neben Distinguished Name. Ihre Active Directory-Baumstruktur
wird angezeigt. Wählen Sie den obersten Eintrag aus, um alle Gruppen mit ERA zu synchronisieren, oder nur die
gewünschten Gruppen, die Sie hinzufügen möchten. Klicken Sie anschließend auf OK.
o Mac OS X Server Open Directory (Computer-Hostnamen)
o Mac OS X Server Open Directory (Computer-IP-Adressen)
o OpenLDAP mit Samba-Computereinträgen - Einrichtung der Parameter DNS-Name in Active Directory.
Synchronisierungseinstellungen:
Distinguished Name - Pfad (Distinguished Name) zum Knoten im Active Directory-Baum. Wenn diese Option
leer gelassen wird, wird der gesamte AD-Baum synchronisiert.
Ausgeschlossene Distinguished Names - Wahlweise können Sie bestimmte Knoten im Active Directory-Baum
ausschließen (ignorieren).
Deaktivierte Computer ignorieren (nur in Active Directory) - Legen Sie fest, ob deaktivierte Computer in Active
Directory ignoriert werden sollen. Der Task überspringt diese Computer dann.
Trigger
Wählen Sie einen vorhandenen Trigger für den Task aus oder erstellen Sie einen neuen Trigger. Sie können einen
ausgewählten Trigger außerdem Entfernen oder Ändern.
Zusammenfassung
Überprüfen Sie die angezeigten Konfigurationsinformationen. Wenn Sie keine Änderungen vornehmen möchten,
klicken Sie auf Fertig stellen. Der Task ist jetzt erstellt und kann verwendet werden.
228
7.5.4.2 Synchronisierung statischer Gruppen - Linux-Computer
Für einen Linux-Computer in einer Windows-Domäne wird in den Computereigenschaften unter „Active DirectoryBenutzer und -Gruppen“ (ADUC) kein Text angezeigt. Daher muss der Text manuell eingefügt werden.
Überprüfen Sie die Servervoraussetzungen und die folgenden weiteren Voraussetzungen:
Die Linux-Computer sind in Active Directory enthalten.
Der Domänencontroller hat einen installierten DNS-Server.
ADSI Edit ist installiert.
1. Öffnen Sie eine Befehlszeile und führen Sie adsiedit.msc aus.
2. Wechseln Sie zu Aktion > Verbinden mit. Das Fenster für die Verbindungeinstellungen wird angezeigt.
3. Klicken Sie auf Einen allgemein bekannten Namenskontext auswählen.
4. Erweitern Sie das Kombinationsfeld und wählen Sie den Namenskontext Standard aus.
5. Klicken Sie auf OK. Der ADSI-Wert links sollte der Name Ihres Domänencontrollers ein. Standard-Namenskontext
(Ihr Domänencontroller).
6. Klicken Sie auf den ADSI-Wert und erweitern Sie die Untergruppe.
7. Klicken Sie auf die Untergruppe und navigieren Sie zum CN (Common Name) oder zur OU (Organizational Unit),
wo die Linux-Computer angezeigt werden.
8. Klicken Sie auf den Hostnamen des Linux-Computers und wählen Sie Eigenschaften aus dem Kontextmenü aus.
Navigieren Sie zum Parameter dNSHostName und klicken Sie auf Bearbeiten.
9. Ändern Sie den Wert <nicht festgelegt> in einen gültigen Text (zum Beispiel ubuntu.TEST).
10.Klicken Sie auf OK > OK Öffnen Sie ADUC und wählen Sie die Eigenschaften des Linux-Computers aus. Der neue
Text sollte angezeigt werden.
7.5.4.3 Synchronisierungsmodus - VMware
Virtuelle Computer unter VMware vCenter-Server können ebenfalls synchronisiert werden.
Klicken Sie auf Admin > Servertask > Synchronisierung statischer Gruppen > Neu...
Einfach
Geben Sie grundlegende Informationen zum Task ein, z. B. Name und Beschreibung (optional). Der Tasktyp legt die
Einstellungen und das Verhalten des Tasks fest. Markieren Sie das Kontrollkästchen neben Task sofort nach dem
Beenden ausführen, um den Task sofort auszuführen, nachdem Sie auf Fertig stellen klicken.
Einstellungen
Erweitern Sie die Einstellungen und klicken Sie auf Auswählen unter Name der statischen Gruppe - Standardmäßig
wird das Stammverzeichnis für synchronisierte Computer verwendet. Alternativ können Sie eine neue statische
Gruppe erstellen.
Zu synchronisierendes Objekt - Entweder Computer und Gruppen oder Nur Computer.
Kollisionsbehandlung bei der Computererstellung - Wenn bei der Synchronisierung Computer hinzugefügt
werden, die bereits Mitglied der statischen Gruppe sind, wird eine Konfliktauflösungsmethode angewendet.
Wählen Sie eine Methode aus: Überspringen (synchronisierte Computer werden nicht hinzugefügt),
Verschieben (neue Computer werden in eine Untergruppe verschoben).
Verfahren für Computerlöschung - Für nicht mehr vorhandene Computer können Sie die Option Entfernen oder
Überspringen auswählen.
Verfahren für Gruppenlöschung - Für nicht mehr vorhandene Gruppen können Sie die Option Entfernen oder
Überspringen auswählen.
229
Dieses Produkt unterstützt 3 Synchronisierungsarten:
MS Windows-Netzwerk - Geben Sie eine Arbeitsgruppe und den Benutzer mit den Anmeldedaten ein.
Active Directory/Open Directory/LDAP - Geben Sie die Serververbindungsdaten ein. Unter
Synchronisierungsmodus finden Sie eine ausführliche Anleitung.
VMware - geben Sie die Verbindungsdaten für den VMware vCenter-Server ein. Unter Synchronisierungsmodus
finden Sie eine ausführliche Anleitung.
Serververbindungseinstellungen:
Server - Geben Sie DNS-Name oder IP-Adresse Ihres VMware vCenter-Servers ein.
Anmeldeinformationen - Geben Sie Anmeldeinformationen für Ihren VMware vCenter-Server ein.
Passwort - Geben Sie das Passwort für die Anmeldung bei Ihrem VMware vCenter-Server ein.
Synchronisierungseinstellungen:
Strukturansicht - Wählen Sie den Typ der Strukturansicht aus: Ordner oder Ressourcenpool.
Strukturpfad - Klicken Sie auf Durchsuchen und navigieren Sie zum Ordner, den Sie synchronisieren möchten. Wenn
dieses Feld leer ist, wird die gesamte Struktur synchronisiert.
Computeransicht - Wählen Sie aus, ob Computer nach der Synchronisierung mit Name, Hostname oder IP-Adresse
angezeigt werden sollen.
Trigger
Wählen Sie einen vorhandenen Trigger für den Task aus oder erstellen Sie einen neuen Trigger. Sie können einen
ausgewählten Trigger außerdem Entfernen oder Ändern.
Zusammenfassung
Überprüfen Sie die angezeigten Konfigurationsinformationen. Wenn Sie keine Änderungen vornehmen möchten,
klicken Sie auf Fertig stellen. Der Task ist jetzt erstellt und kann verwendet werden.
230
7.5.5 Benutzersynchronisierung
Dieser Servertask synchronisiert Daten von Benutzern und Gruppen aus einer Quelle wie z. B. Active Directory,
LDAP-Parameter usw.. Klicken Sie auf Admin > Servertask > Benutzersynchronisierung > Neu..., um diesen Task
auszuführen.
Einfach
Geben Sie grundlegende Informationen zum Task ein, wie Name, Beschreibung (optional) und Tasktyp. Der Tasktyp
legt die Einstellungen und das Verhalten des Tasks fest. Markieren Sie das Kontrollkästchen neben Task sofort nach
dem Beenden ausführen, um den Task sofort auszuführen, nachdem Sie auf Fertig stellen klicken.
Einstellungen
Erweitern Sie die Einstellungen und klicken Sie auf Auswählen unter Name der Benutzergruppe - Standardmäßig
wird das Stammverzeichnis für synchronisierte Benutzer verwendet. Dies ist standardmäßig die Gruppe Alle.
Alternativ können Sie eine neue Benutzergruppe erstellen.
Kollisionsbehandlung bei der Benutzererstellung - Zwei mögliche Arten von Konflikten:
Eine Gruppe enthält zwei Benutzer mit demselben Namen.
Es existiert ein Benutzer mit derselben SID (irgendwo im System).
Sie haben die folgenden Optionen für die Kollisionsbehandlung:
Überspringen - Benutzer wird bei der Active Directory-Synchronisierung nicht zu ERA hinzugefügt.
Überschreiben - Ein vorhandener Benutzer wird in ERA mit dem Active Directory-Benutzer überschrieben. Wenn
ein Benutzer mit SID-Konflikt existiert, wird der vorhandene Benutzer in ERA von seinem bisherigen Ort gelöscht
(selbst wenn der Benutzer Mitglied einer anderen Gruppe war).
Verfahren für Benutzerlöschung - Für nicht mehr vorhandene Benutzer können Sie die Option Entfernen oder
Überspringen auswählen.
Verfahren für Benutzergruppenlöschung - Für nicht mehr vorhandene Benutzergruppen können Sie die Option
Entfernen oder Überspringen auswählen.
HINWEIS
Wenn Sie benutzerdefinierte Attribute für einen Benutzer verwenden, müssen Sie die Option
Kollisionsbehandlung bei der Benutzererstellung auf Überspringen festlegen. Andernfalls wird der Benutzer
(mit allen Details) mit den Daten aus Active Directory überschrieben, und die benutzerdefinierten Attribute
gehen verloren. Wenn Sie den Benutzer überschreiben möchten, müssen Sie die Option Aktion bei
Benutzerlöschung auf Überspringen festlegen.
Serververbindungseinstellungen:
o Server - Geben Sie Servername oder IP-Adresse Ihres Domänencontrollers ein.
o Anmeldung - Geben Sie die Anmeldeinformationen für Ihren Domänencontroller im Format DOMÄNE
\Benutzername ein.
o Passwort - Geben Sie das Passwort für die Anmeldung bei Ihrem Domänencontroller ein.
LDAP-Parameter verwenden - Falls Sie LDAP verwenden möchten, markieren Sie das Kontrollkästchen LDAP anstatt
Active Directory verwenden und geben Sie die Daten für Ihren Server ein. Alternativ können Sie eine
Voreinstellung auswählen, indem Sie auf Benutzerdefiniert... klicken. In diesem Fall werden die Attribute
automatisch ausgefüllt:
o Active Directory
o Mac OS X Server Open Directory (Computer-Hostnamen)
o Mac OS X Server Open Directory (Computer-IP-Adressen)
o OpenLDAP mit Samba-Computereinträgen - Einrichtung der Parameter DNS-Name in Active Directory.
Synchronisierungseinstellungen:
Distinguished Name - Pfad (Distinguished Name) zum Knoten im Active Directory-Baum. Wenn diese Option leer
gelassen wird, wird der gesamte AD-Baum synchronisiert.
231
Benutzergruppe und Benutzerattribute - Die Standardattribute eines Benutzers hängen vom Verzeichnis des
Benutzers ab.
Erweiterte Benutzerattribute - Klicken Sie auf Neue hinzufügen, falls Sie erweiterte benutzerdefinierte Attribute
verwenden möchten. Dieses Feld erbt die Daten des Benutzers und kann in einem Policy-Editor für iOS MDM als
Platzhalter referenziert werden.
Trigger
Wählen Sie einen vorhandenen Trigger für den Task aus oder erstellen Sie einen neuen Trigger. Sie können einen
ausgewählten Trigger außerdem Entfernen oder Ändern.
Zusammenfassung
Überprüfen Sie die angezeigten Konfigurationsdaten. Wenn Sie keine Änderungen vornehmen möchten, klicken Sie
auf Fertig stellen. Der Task ist jetzt erstellt und kann verwendet werden.
232
7.5.6 Trigger
Trigger sind „Sensoren“, die auf eine vordefinierte Weise auf bestimmte Ereignisse reagieren. Sie werden
eingesetzt, um eine Aktion (in den meisten Fällen einen Task) auszuführen. Sie können über einen Zeitplan
(Zeitereignisse) oder das Auftreten eines bestimmten Systemereignisses aktiviert werden.
Ein Trigger führt alle dem Trigger zugewiesenen Tasks aus, wenn er aktiviert wird. Neu zugewiesene Tasks werden
vom Trigger nicht sofort ausgeführt, sondern erst, wenn der Trigger aktiviert wird. Die Triggerempfindlichkeit auf
Ereignisse kann durch die Drosselung reduziert werden.
Servertriggertypen:
Mitglieder der dynamischen Gruppe geändert - Dieser Trigger wird aktiviert, wenn die Mitglieder einer
dynamischen Gruppe geändert werden. Beispiel: Clients treten der dynamischen Gruppe Infiziert bei oder werden
aus dieser Gruppe entfernt.
Größe der dynamischen Gruppe gegenüber Vergleichsgruppe geändert - Dieser Trigger wird aktiviert, wenn die
Anzahl der Clients in einer beobachteten dynamischen Gruppe sich gegenüber einer (statischen oder
dynamischen) Vergleichsgruppe ändert. Beispiel: Mehr als 10 % aller Computer sind infiziert (Größe der Gruppe
„Alle“ in Bezug auf die Gruppe „Infiziert“).
Größe der dynamischen Gruppe gemäß Schwellenwert geändert - Dieser Trigger wird aktiviert, wenn die Anzahl
der Clients in einer dynamischen Gruppe einen festgelegten Schwellenwert über- oder unterschreitet. Beispiel:
Mehr als 100 Computer befinden sich in der Gruppe „Infiziert“.
Größe der dynamischen Gruppe im Zeitintervall geändert - Dieser Trigger wird aktiviert, wenn die Anzahl der
Clients in einer dynamischen Gruppe sich innerhalb eines bestimmten Zeitintervalls ändert. Beispiel: Die Anzahl
der Computer in der Gruppe „Infiziert“ steigt innerhalb einer Stunde um 10 %.
Ereignislog-Trigger - Der Trigger wird aufgerufen, wenn ein bestimmtes Ereignis in den Logs auftritt. Beispiel: Im
Scan-Log wird eine Bedrohung aufgezeichnet.
Geplanter Trigger -Ein geplanter Trigger wird zu einer bestimmten Uhrzeit/einem bestimmten Datum ausgelöst.
Server gestartet - Dieser Trigger wird beim Starten des Servers aktiviert. Dieser Trigger wird beispielsweise für
den Task Synchronisierung der statischen Gruppen eingesetzt.
Duplizieren - Mit dieser Option können Sie neue Triggertypen anhand des ausgewählten Triggers erstellen. Für
den Duplikattask muss ein neuer Name ausgewählt werden.
233
7.5.6.1 Assistent für Servertrigger
Trigger werden auf der Registerkarte Admin unter Server-Tasks > Triggers verwaltet. Wählen Sie Triggertyp > Neuer
Trigger aus.
7.5.6.2 Planen eines Server-Tasks
Ein geplanter Trigger führt den Task gemäß den Datums- und Uhrzeiteinstellungen aus. Für den Task kann eine
einmalige oder wiederholte Ausführung oder eine Ausführung gemäß CRON-Ausdruck geplant werden.
7.5.6.3 Drosselung
Unter bestimmten Umständen kann die Drosselung verhindern, dass ein Trigger ausgelöst wird. Zeitbasierte
Bedingungen haben eine höhere Priorität als statistische Bedingungen.
Wenn eine der Bedingungen erfüllt wird, wird die gesamte Statusinformation für alle Beobachter zurückgesetzt (die
Beobachtung wird wieder neu begonnen). Dies gilt für zeitbasierte und für statistische Bedingungen.
Statusinformationen für Beobachter sind nicht dauerhaft. Sie werden auch zurückgesetzt, wenn der Agent oder der
Server neu gestartet werden.
Änderungen an einem Trigger führen zum Zurücksetzen des Triggerstatus.
Die Triggerauslösung kann auf verschiedene Weisen gesteuert werden:
Statistische
Statistische Trigger können durch eine beliebige Kombination der folgenden Parameter ausgelöst werden:
S1: Der Trigger wird alle N Vorkommnisse des Triggerereignisses aktiviert (Modulo-N), ausgehend vom letzten
Ereignis in einer Serie (beispielsweise N. Ereignis seit dem Start).
S2: Der Trigger wird aktiviert, wenn N Ereignisse innerhalb der Zeit X auftreten (das Zeitintervall kann aus
einem vordefinierten Satz gewählt werden) [N <= 100]. Dabei wird die gleitende Summe betrachtet, d. h. es
wird nur die Anzahl der Ereignisse innerhalb des letzten Zeitraums X berücksichtigt. Beim Auslösen des
Triggers wird der Puffer zurückgesetzt.
S3: N Ereignisse mit dem eindeutigen Symbol S [N <= 100] treten nacheinander auf. Der Puffer wird
zurückgesetzt, wenn der Trigger aktiviert wird und im Puffer bereits ein Ereignis vorhanden ist. Der Puffer
wird als „gleitendes Fenster“ betrachtet (FIFO-Prinzip). Das neue Symbol wird mit allen Symbolen im Puffer
verglichen.
Hinweis: Ein fehlender Wert (n/a) wird als nicht eindeutig betrachtet und der Puffer daher in diesem Fall
seit dem letzten Auslösen zurückgesetzt.
234
Diese Bedingungen können mit dem Operator AND (alle Bedingungen müssen erfüllt werden) oder OR (eine
beliebige Bedingung muss erfüllt werden) kombiniert werden.
Zeitbasiert
Alle folgenden Bedingungen müssen gleichzeitig erfüllt werden (sofern festgelegt):
T1: Der Trigger wird im Zeitraum X ausgeführt. Der Zeitraum wird als wiederholte Serie von Zeitgrenzwerten
festgelegt (zum Beispiel zwischen 13:00 und 14:00 ODER 17:00 und 23:30 Uhr).
T2: Der Trigger kann höchstens alle X Zeiteinheiten ausgeführt werden.
Zusätzliche Eigenschaften
Wie bereits erwähnt, löst nicht jedes Ereignis eine Triggeraktivierung aus. Mögliche Aktionen für Ereignisse, die
keinen Trigger aktivieren, sind Folgende:
Wenn mehr als ein Ereignis übersprungen wird, die letzten N Ereignisse in einem Ereignis zusammenfassen
(Daten unterdrückter Treffer speichern) [N <= 100].
Bei N == 0 nur das letzte Ereignis verarbeiten (N bedeutet die Verlaufslänge; das letzte Ereignis wird immer
verarbeitet).
Alle Ereignisse, die keinen Trigger aktivieren, zusammenführen (den letzten Treffer mit N verstrichenen
Treffern zusammenführen).
Beispiele:
S1: Kriterium für Vorkommnisse (jeden 3. Treffer zulassen)
Zeit
0 01
0
Treffer x
02
03
04
05
06
x
x
x
x
x
x
S1
1
Trigger wird geändert
07 08 09 10
11
x
x
x
x
1
12
13
14
15
x
x
1
1
S2: Kriterium für Vorkommnisse innerhalb des Zeitraums (zulassen, wenn 3 Treffer innerhalb von 4 Sekunden
auftreten)
Zeit
00
Treffer
x
01
02
03
04
05
x
x
x
x
S2
06
Trigger wird geändert
07
08
x
09
10
x
11
12
13
x
x
x
1
1
S3: Kriterium für eindeutige Symbolwerte (zulassen, wenn 3 eindeutige Werte in einer Zeile vorhanden sind)
Zeit
00
01
02
03
04
05
06
Trigger wird geändert
07
08
Wert
A
B
B
C
S3
D
G
H
J
09
10
11
12
13
nicht
K verfü L
gbar
M
N
N
1
1
S3: Kriterium für eindeutige Symbolwerte (zulassen, wenn 3 eindeutige Werte seit dem letzten Treffer)
Zeit
00
01
02
03
04
05
06
Wert
07
Trigger wird geändert
08
09
11
12
13
14
J
nicht
verf
K
L
ügba
r
M
N
N
I
A
B
B
C
D
G
H
10
235
S3
1
1
1
T1: Einen Treffer in einem bestimmten Zeitraum zulassen (täglich ab 8:10 Uhr zulassen, Dauer: 60 Sekunden)
Zeit
08:09:50
08:09:59
08:10:00
08:10:01
Treffer
x
x
x
1
T1
Trigger wird geändert
08:10:59
08:11:00
08:11:01
x
x
x
x
1
1
Dieses Kriterium hat keinen Status. Änderungen des Triggers haben daher keinen Einfluss auf das Ergebnis.
T2: Einen einzigen Treffer innerhalb eines Zeitintervalls zulassen (höchstens einmal alle 5 Sekunden)
Zeit
00
Treffer
x
T2
1
01
02
03
04
05
06
Trigger wird geändert
07
x
x
x
x
x
1
1
08
09
10
11
12
13
x
x
x
x
1
Kombination aus S1 und S2
S1: jeder 5. Treffer
S2: 3 Treffer innerhalb von 4 Sekunden
Zeit
00
01
02
03
04
Treffer
x
x
x
x
x
05
06
07
08
x
x
x
09
10
11
12
x
S1
13
14
x
x
15
16
1
S2
1
1
1
Ergebnis
1
1
1
Das Ergebnis wird aufgezählt als: S1 (logisch „oder“) S2
Kombination aus S1 und T1
S1: Jeden 3. Treffer zulassen
T1: Täglich ab 8:08 Uhr zulassen, für eine Dauer von 60 Sekunden
Uhrzeit: 08:07:50
Treffer
x
08:07:51
08:07:52
08:07:53
08:08:10
08:08:11
08:08:19
08:08:54
08:08:55
08:09:01
x
x
x
x
x
x
x
x
x
S1
1
1
T1
1
Ergebnis
1
1
1
1
1
1
1
Das Ergebnis wird aufgezählt als: S1 (logisch „und“) T1
Kombination aus S2 und T1
S2: 3 Treffer innerhalb von 10 Sekunden
T1: Täglich ab 8:08 Uhr zulassen, für eine Dauer von 60 Sekunden
Zeit:
08:07:50
08:07:51
08:07:52
08:07:53
08:08:10
08:08:11
08:08:19
08:08:54
08:08:55
08:09:01
Treffer
x
x
x
x
x
x
x
x
x
x
1
1
S2
236
1
1
T1
1
1
1
Ergebnis
1
1
1
Das Ergebnis wird aufgezählt als: S2 (logisch „und“) T1.
Beachten Sie, dass der Status von S2 nur zurückgesetzt wird, wenn das globale Ergebnis „1“ ist.
Kombination aus S2 und T2
S2: 3 Treffer innerhalb von 10 Sekunden
T2: Höchstens einmal alle 20 Sekunden zulassen
Zeit:
00
01
02
03
04
05
06
07
Treffer
x
x
x
x
x
x
x
x
1
1
1
S2
T2
1
1
Ergebnis
1
…
16
17
18
19
20
21
22
23
24
x
x
x
x
x
x
x
x
x
1
1
1
1
1
1
1
1
1
Das Ergebnis wird aufgezählt als: S2 (logisch „und“) T2.
Beachten Sie, dass der Status von S2 nur zurückgesetzt wird, wenn das globale Ergebnis „1“ ist.
7.5.6.3.1 Trigger ist zu empfindlich
Verwenden Sie die Drosselungsbedingungen, die im Abschnitt Trigger löst zu oft aus dieses Handbuchs
beschrieben sind.
7.5.6.4 Verwalten von Servertriggern
Klicken Sie zum Verwalten der Servertrigger auf der Registerkarte Admin auf Server-Tasks > Trigger. Wählen Sie
Triggertyp aus und klicken Sie auf Bearbeiten.
Einfach
Definieren Sie einen Namen für den Trigger. Sie können auch eine Beschreibung für den Trigger eingeben.
Einstellungen
Wählen Sie einen Triggertyp aus. Der Triggertyp legt fest, wie der Trigger aktiviert wird. Wählen Sie einen
Ereignislog-Trigger aus und klicken Sie auf „Weiter“.
Wählen Sie einen Logtyp aus. Der Trigger wird aufgerufen, wenn ein bestimmtes Ereignis in den Logs auftritt.
Definieren Sie das Ereignis, bei dessen Auftreten der Trigger aktiviert werden soll. Wählen Sie einen logischen
Operator zum Filtern der Ereignisse aus. Wählen Sie in diesem Beispiel AND (alle Bedingungen müssen erfüllt
werden) aus.
Fügen Sie ggf. einen Filter aus der Liste (als Ereignis) hinzu und wählen Sie den logischen Operator für die
benutzerdefinierte Zeichenfolge.
237
Wählen Sie einen logischen Operator im Menü Operation aus.
AND – Alle festgelegten Bedingungen müssen erfüllt sein.
OR – Mindestens eine Bedingung muss erfüllt sein.
NAND – Mindestens eine Bedingung darf nicht erfüllt sein.
NOR – Alle Bedingungen müssen falsch sein.
Erweiterte Einstellungen - Drosselung
Geben Sie die Anzahl zu aggregierender Ticks an. Dies legt fest, wie viele Triggertreffer benötigt werden, um den
Trigger zu aktivieren. Weitere Informationen finden Sie im Kapitel Drosselung.
Zusammenfassung
238
Überprüfen Sie die Einstellungen für den neuen Trigger, nehmen Sie je Bedarf Änderungen vor und klicken Sie auf
Fertig stellen. Der Trigger ist jetzt auf dem Server gespeichert und bereit zur Verwendung. In der Liste rechts
können Sie Trigger anzeigen, die Sie erstellt haben. Um einen Trigger zu bearbeiten oder zu löschen, klicken Sie in
der Liste auf den Trigger und wählen Sie aus dem Kontextmenü die gewünschte Aktion aus. Um gleichzeitig mehrer
Trigger zu löschen, aktivieren Sie die Kontrollkästchen neben den zu entfernenden Triggern und klicken Sie auf
Löschen.
7.5.6.4.1 Verwalten der Triggerempfindlichkeit
Mithilfe der Drosselung kann das Ausführen eines Tasks eingeschränkt werden, falls der Task durch ein häufig
auftretendes Ereignis ausgelöst wird. Unter bestimmten Umständen kann die Drosselung verhindern, dass ein
Trigger ausgelöst wird. Wenn eine der definierten Bedingungen erfüllt wird, wird die angehäufte Information für
alle Beobachter zurückgesetzt (der Zähler startet erneut bei 0). Diese Informationen werden auch zurückgesetzt,
wenn der Agent oder der ERA-Server neu gestartet werden. Alle Änderungen an einem Trigger führen zum
Zurücksetzen des Triggerstatus.
Die zeitbasierten Drosselungsbedingungen haben eine höhere Priorität als die statistischen Bedingungen. Es
empfiehlt sich, nur eine statistische Bedingung und mehrere zeitbasierte Bedingungen zu verwenden. Mehrere
statistische Bedingung stellen unter Umständen eine unnötige Komplikation dar und können das Ergebnis
beeinträchtigen.
Statistische Bedingungen
Die statistischen Bedingungen können mit dem logischen Operator AND (alle Bedingungen müssen erfüllt werden)
oder mit dem logischen Operator OR (die erste erfüllte Bedingung löst den Trigger aus) kombiniert werden.
Zeitbasierte Bedingungen
Alle konfigurierten Bedingungen müssen erfüllt sein, um ein Ereignis auszulösen. Die Drosselungskriterien
beziehen sich auf die Zeit, zu der das Ereignis eingetreten ist.
Aggregation
Anzahl zu aggregierender Ticks - Anzahl der Treffer (wie oft die Triggerbedingungen erfüllt werden) bis zum
Aktivieren des Triggers. Der Trigger wird erst aktiviert, wenn diese Zahl erreicht wurde. Wenn Sie den Wert
beispielsweise auf „100“ festlegen, erhalten Sie bei 100 erkannten Bedrohungen nicht 100 Benachrichtigungen,
sondern nur eine Benachrichtigung, die auf 100 Bedrohungen hinweist. Wenn 200 Bedrohungen erkannt werden,
enthält die Benachrichtigung nur die letzten 100 Bedrohungen.
Zeitbasierte Kriterien
Aggregierte Aufrufe über Zeitintervall [s] - Sie können einen Treffer je x Sekunden zulassen. Wenn Sie diese
Option auf 10 Sekunden festlegen und innerhalb dieses Zeitraums 10 Treffer auftreten, wird nur 1 Treffer gezählt.
Zeitintervalle - Mit dieser Option können Sie Treffer nur innerhalb eines definierten Zeitintervalls zulassen. Die
Liste kann mehrere Zeitintervalle enthalten, die dann chronologisch geordnet sind.
239
Statistische Kriterien
Anwendung statistischer Kriterien - Diese Option legt fest, mit welcher Methode die statistischen Kriterien
bewertet werden. Es müssen entweder alle Kriterien (UND) oder mindestens ein Kriterium (ODER) erfüllt
werden.
Ausgelöst je Anzahl Vorkommnisse - Nur jeden X. Treffer zulassen. Wenn Sie beispielsweise „10“ eingeben, wird
nur jeder 10. Treffer gezählt.
Anzahl Vorkommnisse über ein Zeitintervall - Nur Treffer im definierten Zeitintervall zulassen. Diese Option legt
die Frequenz fest. Sie können beispielsweise festlegen, dass der Task ausgeführt wird, wenn das Ereignis
innerhalb von einer Stunde 10 Mal auftritt.
o Zeitraum - Definieren Sie hier den Zeitraum für die oben beschriebene Option.
Anzahl Ereignisse mit Symbol - Treffer aufzeichnen, wenn X Ereignisse mit dem angegebenen Symbol eingetreten
sind. Wenn Sie beispielsweise „10“ eingeben, wird ein Treffer je 10 Installationen einer bestimmten Anwendung
gezählt.
o Gilt für Anzahl von Ereignissen - Geben Sie an, nach wie vielen aufeinanderfolgenden Ereignissen nach dem
letzten Treffer ein weiterer Treffer gezählt werden soll. Wenn Sie beispielsweise „10“ eingeben, wird
10 Ereignisse nach dem letzten Treffer ein neuer Treffer gezählt.
Gilt für Anzahl von Ereignissen - Sie können festlegen, ob zur Anwendung des Triggers die in Serie empfangenen
Treffer (Empfangen in Serie; die Triggerausführung wird nicht berücksichtigt) oder die Treffer seit der letzten
Triggerausführung (Empfangen seit letzter Triggerausführung, d. h. beim Ausführen des Triggers wird der Zähler
auf 0 zurückgesetzt) berücksichtigt werden.
240
7.5.6.4.2 Trigger löst zu oft aus
Wenn Sie weniger Benachrichtigungen erhalten möchten, beachten Sie folgende Möglichkeiten:
Wenn eine Benachrichtigung nicht für jedes einzelne Ereignis, sondern nur bei mehreren Ereignissen ausgelöst
werden soll, definieren Sie eine statistische Bedingung S1 für die Drosselung.
Wenn der Trigger nur nach einer Gruppe von Ereignissen ausgelöst werden soll, verwenden Sie die statistische
Bedingung S2 der Drosselung.
Wenn Ereignisse mit unerwünschten Werten ignoriert werden sollen, definieren Sie die statistische Bedingung S3
der Drosselung.
Wenn Ereignisse außerhalb eines bestimmten Zeitfensters (beispielsweise außerhalb der Arbeitszeiten) ignoriert
werden sollen, definieren Sie eine zeitbasierte Bedingung T1 für die Drosselung.
Um ein Mindestintervall zwischen den Triggeraktivierungen festzulegen, verwenden Sie die zeitbasierte
Bedingung T2 der Drosselung.
HINWEIS
Diese Bedingungen können auch kombiniert werden, um eine komplexere Drosselung zu definieren.
7.5.6.4.3 CRON-Ausdrucksintervall
Mit CRON-Ausdrücken können bestimmte Instanzen eines Triggers definiert werden. Ein CRON-Ausdruck ist eine
Zeichenfolge aus 7 Unterausdrücken (Feldern), die Werte für den Zeitplan enthalten. Die Felder sind durch ein
Leerzeichen getrennt und können einen beliebigen zulässigen Wert in verschiedenen Kombinationen enthalten.
Name
Erforderlich
Wert
Zulässige Sonderzeichen
Sekunden
Ja
0-59
,-*/
Minuten
Ja
0-59
,-*/
Stunden
Ja
0-23
,-*/
Tag des Monats
Ja
1-31
,-*/ L W C
Monat
Ja
0–11 oder JAN-DEC
,-*/
Wochentag
Ja
1–7 oder SUN-SAT
,-*/ L C #
Jahr
Nein
leer oder 1970–2099
,-*/
CRON-Ausdruck
Bedeutung
0 0 12 * * ?
Jeden Tag um 12 Uhr mittags.
0 15 10 ? * *
Jeden Tag um 10:15 Uhr.
0 15 10 * * ?
Jeden Tag um 10:15 Uhr.
0 15 10 * * ? *
Jeden Tag um 10:15 Uhr.
0 15 10 * * ? 2016
Jeden Tag im Jahr 2016 um 10:15 Uhr.
0 * 14 * * ?
Jede Minute ab 14 Uhr bis 14:59, jeden Tag.
0 0/5 14 * * ?
Alle 5 Minuten ab 14 Uhr bis 14:55, jeden Tag.
0 0/5 14,18 * * ?
Alle 5 Minuten ab 14 Uhr bis 14:55 UND alle 5 Minuten ab 18 Uhr bis 18:55 , jeden Tag.
0 0-5 14 * * ?
Jede Minute ab 14 Uhr bis 14:05, jeden Tag.
241
CRON-Ausdruck
Bedeutung
0 10,44 14 ? 3 WED
Um 14:10 Uhr und um 14:44 Uhr an jedem Mittwoch im März.
0 15 10 ? * MON-FRI Um 10:15 Uhr jeden Montag, Dienstag, Mittwoch, Donnerstag und Freitag.
0 15 10 15 * ?
Um 10:15 Uhr am 15. Tag jedes Monats.
0 15 10 L * ?
Um 10:15 Uhr am letzten Tag jedes Monats.
0 15 10 ? * 6L
Um 10:15 Uhr am letzten Freitag jedes Monats.
0 15 10 ? * 6L
Um 10:15 Uhr am letzten Freitag jedes Monats.
0 15 10 ? * 6L 20162020
Um 10:15 Uhr am letzten Freitag jedes Monats in den Jahren 2016, 2017, 2018, 2019 und 2020.
0 15 10 ? * 6#3
Um 10:15 Uhr am dritten Freitag jedes Monats.
0 0 12 1/5 * ?
Um 12 Uhr mittags alle 5 Tage jeden Monat, beginnend ab dem ersten Tag des Monats.
0 11 11 11 11 ?
Jeden 11. November um 11:11 Uhr.
7.6 Benachrichtigungen
Benachrichtigungen sind wichtig, um den Gesamtstatus im Netzwerk zu beobachten. Wenn ein neues Ereignis
eintritt (je nach Konfiguration), werden Sie mit einer festgelegten Methode (SNMP-Trap oder E-Mail-Nachricht)
benachrichtigt und können entsprechend reagieren.
Alle Benachrichtigungstemplates werden in der Liste angezeigt. Sie können die Templates nach Name oder
Beschreibung filtern.
Klicken Sie auf Filter hinzufügen, um Filterkriterien hinzuzufügen und/oder eine Zeichenfolge in das Feld Name
oder Benachrichtigung einzugeben.
Wenn Sie eine vorhandene Benachrichtigung auswählen, stehen die Funktionen Bearbeiten und Löschen zur
Verfügung.
Um eine neue Benachrichtigung zu erstellen, klicken Sie unten auf der Seite auf Neue Benachrichtigung.
Duplizieren - Mit dieser Option können Sie neue Benachrichtigungen anhand der ausgewählten Benachrichtigung
erstellen. Für den Duplikattask muss ein neuer Name ausgewählt werden.
242
7.6.1 Verwalten von Benachrichtigungen
Benachrichtigungen werden auf der Registerkarte Admin verwaltet. Wählen Sie eine Benachrichtigung aus und
klicken Sie auf Benachrichtigung bearbeiten oder Duplikat.
Einfach
Sie können Name und Beschreibung für die Benachrichtigung eingeben, um verschiedene Benachrichtigungen
besser unterscheiden zu können.
Benachrichtigungstemplate
Existierende dynamische Gruppe - Für die Generierung von Benachrichtigungen wird eine existierende dynamische
Gruppe verwendet. Wählen Sie eine dynamische Gruppe aus der Liste aus und klicken Sie auf OK.
Größe der dynamischen Gruppe gegenüber Vergleichsgruppe geändert - Wenn die Anzahl der Clients in einer
beobachteten dynamischen Gruppe sich gegenüber einer (statischen oder dynamischen) Vergleichsgruppe ändert,
wird die Benachrichtigung ausgelöst.
Andere Ereignislog-Templates
Diese Option wird für Benachrichtigungen verwendet, die nicht mit einer dynamischen Gruppe verknüpft sind,
sondern auf Systemereignissen basieren, die aus dem Ereignislog gefiltert wurden. Wählen Sie einen Logtyp aus,
auf dem die Benachrichtigung basieren soll, und treffen Sie eine Auswahl für Logischer Operator für Filter.
Verfolgter Status - Löst Benachrichtigungen auf Grundlage benutzerdefinierter Filter bei Änderungen des
Objektstatus aus.
HINWEIS
Sie können den verfolgten Status ändern oder die Funktionen + Filter hinzufügen oder Logischer Operator für
Filter verwenden.
243
Konfiguration
Benachrichtigen, wenn sich der Inhalt der dynamischen Gruppe ändert - Aktivieren Sie diese Option, um
benachrichtigt zu werden, wenn Mitglieder einer dynamischen Gruppe hinzugefügt, entfernt oder geändert
werden.
Benachrichtigungs-Zeitintervall - Legen Sie das Zeitintervall (in Minuten, Stunden oder Tagen) für den Vergleich mit
dem neuen Status fest. Beispiel: Vor 7 Tagen waren auf 10 Clients veraltete Sicherheitslösungen vorhanden und der
Schwellenwert (siehe unten) wurde auf 20 festgelegt. Wenn die Anzahl der Clients mit veralteten
Sicherheitslösungen 30 erreicht, erhalten Sie eine Benachrichtigung.
Schwellenwert - Legen Sie einen Schwellenwert fest, der das Senden einer Benachrichtigung auslöst. Sie können
entweder eine Anzahl Clients oder einen Prozentsatz der Clients (Mitglieder der dynamischen Gruppe) festlegen.
Generierte Nachricht - Dies ist die vordefinierte Nachricht, die in der Benachrichtigung angezeigt wird. Sie enthält
konfigurierte Einstellungen im Textformat.
Nachricht - Neben der vordefinierten Nachricht können Sie eine benutzerdefinierte Nachricht hinzufügen. Diese
wird am Ende der oben beschriebenen, vordefinierten Nachricht angezeigt. Die benutzerdefinierte Nachricht ist
optional, ihre Eingabe wird jedoch zur einfacheren Filterung der Benachrichtigungen und zur besseren
Übersichtlichkeit empfohlen.
HINWEIS
Die verfügbaren Optionen hängen vom ausgewählten Benachrichtigungstemplate ab.
Erweiterte Einstellungen - Drosselung
Zeitbasierte Kriterien
Geben Sie die Anzahl zu aggregierender Ticks an. Dies legt fest, wie viele Triggertreffer benötigt werden, um den
Trigger zu aktivieren. Weitere Informationen finden Sie im Kapitel Drosselung.
Statistische Kriterien
244
Anwendung statistischer Kriterien - Diese Option legt fest, mit welcher Methode die statistischen Kriterien
bewertet werden. Es müssen entweder alle Kriterien (AND) oder mindestens ein Kriterium (OR) erfüllt werden.
Ausgelöst je Anzahl Vorkommnisse - Nur jeden X. Treffer zulassen. Wenn Sie beispielsweise „10“ eingeben, wird
nur jeder 10. Treffer gezählt.
Anzahl Vorkommnisse über ein Zeitintervall - Nur Treffer im definierten Zeitintervall zulassen. Sie können
beispielsweise festlegen, dass der Task ausgeführt wird, wenn das Ereignis innerhalb von einer Stunde 10 Mal
auftritt. Zeitraum - Definieren Sie hier den Zeitraum für die oben beschriebene Option.
Anzahl Ereignisse mit Symbol - Treffer zulassen, wenn X Ereignisse mit dem angegebenen Symbol eingetreten
sind. Wenn Sie beispielsweise 10 eingeben, wird ein Treffer je 10 Installationen einer bestimmten Software
gezählt. Gilt für Anzahl von Ereignissen - Geben Sie an, nach wie vielen aufeinanderfolgenden Ereignissen nach
dem letzten Treffer ein weiterer Treffer gezählt werden soll. Wenn Sie beispielsweise 10 eingeben, wird
10 Ereignisse nach dem letzten Treffer ein neuer Treffer gezählt.
Gilt für Anzahl von Ereignissen - Legen Sie fest, ob zur Anwendung des Triggers die in Serie empfangenen Treffer
(Empfangen in Serie; die Triggerausführung wird nicht berücksichtigt) oder die Treffer seit der letzten
Triggerausführung (Empfangen seit letzter Triggerausführung, d. h. beim Ausführen des Triggers wird der Zähler
zurückgesetzt) berücksichtigt werden.
Verteilung
Betreff - Der Betreff der Benachrichtigung. Dieses Feld ist optional, wird jedoch zur Vereinfachung der Filterung und
für Sortierregeln für Benachrichtigungen empfohlen.
Verteilung
SNMP-Trap senden - Sendet ein SNMP-Trap. Der SNMP-Trap benachrichtigt den Server mit einer nicht
angeforderten SNMP-Nachricht. Weitere Informationen finden Sie unter Konfigurieren eines SNMP-TrapDienstes.
E-Mail senden - Sendet eine E-Mail-Nachricht auf Grundlage der E-Mail-Einstellungen.
Syslog senden - ERA kann Benachrichtigungen und Eventnachrichten an Ihren Syslog-Server schicken. Außerdem
können Sie Logs aus dem ESET-Sicherheitsprodukt eines Clients exportieren und an den Syslog-Server schicken.
E-Mail-Adressen - Geben Sie die E-Mail-Adressen der Empfänger der Benachrichtigungen ein. Trennen Sie mehrere
Adressen durch ein Komma („,“).
Syslog-Schweregrad - Wählen Sie einen Schweregrad aus der Dropdownliste aus. Anschließend werden
Benachrichtigungen mit dem entsprechenden Schweregrad zum Syslog-Server übertragen.
Klicken Sie auf Speichern unter, um ein neues Template auf der Basis des Templates zu erstellen, das Sie momentan
bearbeiten. Wählen Sie einen Namen für das neue Template aus.
7.6.2 Konfigurieren eines SNMP-Trap-Dienstes
Zum erfolgreichen Empfangen von SNMP-Nachrichten muss der SNMP-Trap-Dienst konfiguriert werden.
Konfigurationsschritte für verschiedene Betriebssysteme:
WINDOWS
Voraussetzungen
Der Simple Network Management Protocol-Dienst muss auf dem Computer, auf dem der ERA-Server installiert
wird, und auf dem Computer, auf dem die SNMP-Trap-Software installiert werden soll, installiert sein.
Beide Computer müssen sich im gleichen Subnetz befinden.
Der SNMP-Dienst wird auf dem ERA-Server-Computer konfiguriert.
Konfiguration des SNMP-Dienstes (ERA-Server)
245
Drücken Sie die Windows-Tasten und den Buchstaben „R“, um das Dialogfeld „Ausführen“ zu öffnen. Geben Sie
Services.msc in das Feld Öffnen ein und drücken Sie die Eingabetaste. Suchen Sie den SNMP-Dienst.
Öffnen Sie die Registerkarte Traps, geben Sie „public“ in das Feld Communityname ein und klicken Sie auf Zur
Liste hinzufügen.
Klicken Sie auf Hinzufügen und geben Sie in das entsprechende Feld den Hostnamen, die IP-Adresse oder die IPXAdresse des Computers ein, auf dem die SNMP-Trap-Software installiert ist. Klicken Sie dann auf Hinzufügen.
Wechseln Sie zur Registerkarte Sicherheit. Klicken Sie auf Hinzufügen, um das Fenster SNMP-Dienstkonfiguration
zu öffnen. Geben Sie public in das Feld Communityname ein und klicken Sie auf Hinzufügen. Die Rechte werden
auf schreibgeschützt festgelegt. Dies ist in Ordnung.
Vergewissern Sie sich, dass SNMP-Pakete von jedem Host annehmen ausgewählt ist und klicken Sie zur
Bestätigung auf OK. Der SNMP-Dienst ist nicht konfiguriert.
Konfiguration der SNMP-Trap-Software (Client)
Der SNMP-Dienst ist installiert und muss nicht konfiguriert werden.
Installieren Sie AdRem SNMP Manager oder AdRem NetCrunch.
AdRem SNMP Manager: Starten Sie die Anwendung und wählen Sie Neue SNMP-Knotenliste erstellen aus.
Klicken Sie zur Bestätigung auf Ja.
Überprüfen Sie die Netzwerkadresse des Subnetzes (in diesem Fenster angezeigt). Klicken Sie auf OK, um das
Netzwerk zu durchsuchen.
Warten Sie, bis die Suche abgeschlossen ist. Die Suchergebnisse werden im Fenster Ergebnisse der Ermittlung
angezeigt. Die IP-Adresse des ERA Servers sollte in dieser Liste angezeigt werden.
Wählen Sie die IP-Adresse des Servers aus und klicken Sie auf OK. Die Serveradresse wird im Bereich Knoten
angezeigt.
Klicken Sie auf Trap-Empfänger gestoppt und wählen Sie Starten aus. Trap-Empfänger gestartet wird angezeigt.
Sie können nun SNMP-Nachrichten vom ERA-Server empfangen.
LINUX
1. Installieren Sie das snmpd-Paket, indem Sie einen der folgenden Befehle ausführen:
apt-get install snmpd snmp (Debi a n-, Ubuntu-Vertei l ungen)
yum install net-snmp (Red-Ha t-, Fedora -Vertei l ungen)
2. Öffnen Sie die Datei /etc/default/snmpd und bearbeiten Sie die Attribute:
#SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid'
Das Symbol # deaktiviert die Zeile vollständig.
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid -c /etc/snmp/snmpd.conf'
Fügen Sie diese Zeile zur Datei hinzu.
TRAPDRUN=yes
Ändern Sie das Attribut trapdrun zu yes.
3. Erstellen Sie eine Sicherung der ursprünglichen snmpd.conf-Datei. Die Datei wird später bearbeitet.
mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.original
4. Erstellen Sie eine neue snmpd.conf-Datei und fügen Sie folgende Zeilen hinzu:
rocommunity public
syslocation "Testing ERA6"
syscontact [email protected]
5. Öffnen Sie die Datei /etc/snmp/snmptrapd.conf und fügen Sie am Ende der Datei die folgende Zeile hinzu:
authCommunity log,execute,net public
6. Geben Sie den folgenden Befehl ein, um die SNMP-Dienste und das Protokollieren eingehender Traps zu starten:
/etc/init.d/snmpd restart
oder
service snmpd restart
7. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Trap funktioniert und Nachrichten abfängt:
tail -f /var/log/syslog | grep -i TRAP
246
7.7 Zertifikate
Zertifikate sind ein wichtiger Teil von ESET Remote Administrator und werden für die Kommunikation zwischen
ERA-Komponenten und dem ERA Server benötigt. Alle Peerzertifikate müssen gültig sein und von derselben
Zertifizierungsstelle stammen, um sicherzustellen, dass alle Komponenten korrekt miteinander kommunizieren
können.
Sie können eine neue Zertifizierungsstelle und Peerzertifikate in der ERA-Web-Konsole erstellen. Führen Sie dazu
die folgenden Schritte aus:
Neue Zertifizierungsstelle erstellen
o Öffentlichen Schlüssel importieren
o Öffentlichen Schlüssel exportieren
o Öffentlichen Schlüssel im BASE64-Format exportieren
Neues Peerzertifikat erstellen
o Zertifikat erstellen
o Zertifikat exportieren
o APN-Zertifikat erstellen
o Zertifikat widerrufen
o Zertifikatnutzung
o Neues ERA Server-Zertifikat festlegen
o Benutzerdefinierte Zertifikate mit ESET Remote Administrator
o Zertifikate ersetzen
7.7.1 Peerzertifikate
Wenn eine Zertifizierungsstelle auf Ihrem System vorhanden ist, sollten Sie ein Peerzertifikat für die einzelnen
ESET Remote Administrator-Komponenten erstellen. Jede Komponente (ERA Agent, ERA Proxy und ERA Server)
benötigt ein eigenes Zertifikat.
Neu...
Mit dieser Option können Sie ein neues Zertifikat erstellen. Diese Zertifikate werden vom ERA Agent, vom ERA
Proxy und vom ERA Server verwendet.
APN-Zertifikat
Mit dieser Option können Sie ein neues APN-Zertifikat erstellen. Dieses Zertifikat wird von MDM verwendet.
Zertifikatnutzung
Außerdem können Sie überprüfen, welche Clients dieses ERA-Zertifikat verwenden.
Bearbeiten ...
Wählen Sie diese Option aus, um ein Zertifikat aus der Liste zu bearbeiten. Es stehen die gleichen Optionen wie
beim Erstellen eines neuen Zertifikats zur Verfügung.
Exportieren ...
Mit dieser Option können Sie das Zertifikat als Datei exportieren. Diese Datei ist erforderlich, wenn Sie den ERA
Agenten lokal auf einem Computer installieren oder wenn Sie MDM installieren.
Als Base64 exportieren ...
Mit dieser Option können Sie das -Datei exportieren.
247
Widerrufen ...
Wenn Sie das Zertifikat nicht mehr verwenden möchten, wählen Sie "Widerrufen" aus. Mit dieser Option wird das
Zertifikat ungültig gemacht. Ungültige Zertifikate werden von ESET Remote Administrator nicht akzeptiert.
WICHTIG
Diese Aktion kann nicht rückgängig gemacht werden. Widerrufene Zertifikate können anschließend nicht mehr
verwendet werden. Stellen Sie sicher, dass kein ERA Agent dieses Zertifikat verwendet, bevor Sie es widerrufen.
Auf diese Weise können Sie vermeiden, dass sich Clientcomputer oder Server nicht mehr verbinden können
(ERA Server, ERA Proxy, Mobile Device Connector, Virtual Agent Host).
Widerrufene anzeigen - Mit dieser Option können Sie alle widerrufenen Zertifikate anzeigen.
Agent-Zertifikat für die servergestützte Installation - Dieses Zertifikat wird bei der Serverinstallation generiert,
wenn Sie die Option Zertifikate generieren ausgewählt haben.
248
7.7.1.1 Neues Zertifikat erstellen
Während der Installation von ESET Remote Administrator müssen Sie ein Peerzertifikat für Agenten erstellen. Diese
Zertifikate dienen zur Authentifizierung von Produkten, die unter Ihrer Lizenz verteilt werden.
HINWEIS
Hierbei gibt es eine Ausnahme: Das Agent-Zertifikat für die servergestützte Installation kann nicht manuell
erstellt werden. Dieses Zertifikat wird bei der Serverinstallation generiert, wenn Sie die Option Zertifikate
generieren ausgewählt haben.
Um ein neues Zertifikat in der ERA-Web-Konsole zu erstellen, navigieren Sie zu Admin > Zertifikate und klicken Sie
auf Aktionen > Neu.
Einfach
Geben Sie eine Beschreibung für das Zertifikat ein.
Produkt - Wählen Sie im Dropdownmenü den gewünschten Zertifikattyp aus.
Hostname - Lassen Sie den Standardwert (ein Sternchen) im Feld Host stehen, wenn dieses Zertifikat ohne
Zuordnung an bestimmte DNS-Namen oder IP-Adressen verteilt werden soll.
Passphrase - Dieses Feld sollte leer bleiben. Sie können jedoch eine Passphrase für das Zertifikat festlegen, die
anschließend bei der Aktivierung von Clients eingegeben werden muss.
Attribute - Diese Felder sind optional, können jedoch zur Angabe zusätzlicher Informationen zu diesem Zertifikat
verwendet werden.
Allgemeiner Name - Dieser Wert sollte die Zeichenfolge "Agent", "Proxy" oder "Server" enthalten, je nachdem,
welches Produkt ausgewählt wurde.
Wenn Sie möchten, können Sie beschreibende Informationen zum Zertifikat eingeben.
Geben Sie in die Felder Gültig ab und Gültig bis Werte ein, um sicherzustellen, dass das Zertifikat gültig ist.
Signieren
Sie haben zwei Signierungsmethoden zur Auswahl:
1. Zertifizierungsstelle - Falls S e Zertifikate mit der ERA-Zertifizierungsstelle signieren möchten (diese ZS wird bei
der ERA-Installation erstellt).
o Wählen Sie die ERA-Zertifizierungsstelle aus der Liste der Zertifizierungsstellen aus.
o Alternativ können Sie eine neue Zertifizierungsstelle erstellen.
2. Benutzerdefinierte pfx-Datei - Falls Sie eine benutzerdefinierte .pfx-Datei verwenden möchten, klicken Sie auf
Durchsuchen, um die .pfx-Datei auszuwählen. Navigieren Sie zu Ihrer benutzerdefinierten .pfx-Datei und
klicken Sie auf OK. Klicken Sie auf Hochladen, um das Zertifikat auf den Server hochzuladen.
Zusammenfassung
Überprüfen Sie die eingegebenen Zertifikatinformationen und klicken Sie auf Fertig stellen. Nach der erfolgreichen
Erstellung ist das Zertifikat bei der Installation des Agenten in der Liste Zertifikate verfügbar.
HINWEIS
Falls Sie kein neues Zertifikat erstellen möchten, haben Sie andere Optionen zur Auswahl. Sie können z. B.
einen öffentlichen Schlüssel importieren, einen öffentlichen Schlüssel exportieren oder ein Peerzertifikat
exportieren.
249
7.7.1.2 Peerzertifikat exportieren
Exportieren Peerzertifikate
1. Wählen Sie die gewünschten Peerzertifikate aus der Liste aus und aktivieren Sie das Kontrollkästchen neben dem
Peerzertifikat.
2. Wählen Sie im Kontextmenü exportieren aus. Das Zertifikat wird zusammen mit dem privaten Schlüssel als .pfxDatei exportiert. Wählen Sie einen Namen für den öffentlichen Schlüssel aus und klicken Sie auf Speichern.
Als Base64 exportieren von Peerzertifikate:
Die Zertifikate für ERA-Komponenten sind in der Web-Konsole verfügbar. Klicken Sie auf Admin > Peerzertifikate,
wählen Sie ein Zertifikat aus und klicken Sie auf Als Base64 exportieren, um den Inhalt eines Zertifikats im Base64Format zu kopieren. Sie können das Base64-kodierte Zertifikat auch als Datei herunterladen. Wiederholen Sie
diesen Schritt für weitere Komponentenzertifikate und für Ihre Zertifizierungsstelle.
HINWEIS
Benutzerdefinierte Zertifikate, die nicht im Base64-Format vorliegen, müssen in das Base64-Format konvertiert
werden (alternativ können Sie diese Zertifikate wie oben beschrieben exportieren). Dies ist das einzige
mögliche Format für die Verbindung zwischen ERA-Komponenten und dem ERA Server. Weitere Informationen
zur Konvertierung von Zertifikaten finden Sie unter http://linux.die.net/man/1/base64 und https://
developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/base64.1.html. Beispiel:
'cat ca.der | base64 > ca.base64.txt'
'cat agent.pfx | base64 > agent.base64.txt'
7.7.1.3 APN-Zertifikat
ERA MDM verwendet APN (Apple Push Notification)-Zertifikate für die Registrierung von iOS-Geräten. Um iOSGeräte in ERA registrieren zu können, müssen Sie zunächst ein von Apple bereitgestelltes und signiertes PushZertifikat einrichten. Stellen Sie außerdem sicher, dass Sie über eine gültige ERA-Lizenz verfügen.
Klicken Sie in der Registerkarte Admin auf Zertifikate > Peer-Zertifikate, anschließend auf Neu und wählen Sie die
Option APN-Zertifikat aus.
HINWEIS
Sie benötigen eine Apple ID, um das APN-Zertifikat von Apple signieren zu lassen.
Anfrage erstellen
250
Geben Sie die Zertifikatattribute an (Ländercode, Name der Organisation usw.) und klicken Sie auf Anfrage
übermitteln.
Herunterladen
Laden Sie die Zertifikatsignieranforderung (Certification Signing Request, CSR) und einen privaten Schlüssel
herunter.
Zertifikat
Öffnen Sie das Portal für Apple Push-Zertifikate und melden Sie sich mit Ihrer Apple ID an. Folgen Sie den
Anweisungen im Portal und verwenden Sie die CSR-Datei, um ein von Apple signiertes APN-Zertifikat (APNS) zu
erhalten.
251
Hochladen
Nachdem Sie diese Schritte ausgeführt haben, können Sie eine Policy für MDC zur Aktivierung von APNS für die iOSRegistrierung erstellen. Anschließend können Sie beliebige iOS-Geräte auf dieselbe Weise registrieren wie
Android-Geräte – indem Sie die Seite https://<mdmcore>:<enrollmentport>/enrollment im Browser des Geräts
aufrufen.
7.7.1.4 Widerrufene anzeigen
Diese Liste enthält alle Zertifikate, die vom ERA Server erstellt und anschließend widerrufen wurden. Widerrufene
Zertifikate werden automatisch aus dem Bildschirm Peer-Zertifikat entfernt. Klicken Sie auf Widerrufene anzeigen,
um Zertifikate anzuzeigen, die im Hauptfenster widerrufen wurden.
Führen Sie die folgenden Schritte aus, um ein Zertifikat zu widerrufen:
1. Wählen Sie unter Admin > Zertifikate > Peer-Zertifikate ein Zertifikat aus und klicken Sie auf Widerrufen...
2. Geben Sie einen Grund für den Widerruf an und klicken Sie auf Widerrufen.
3. Klicken Sie auf OK. Daraufhin verschwindet das Zertifikat aus der Liste der Peer-Zertifikate. Klicken Sie auf
Widerrufene anzeigen, um alle bereits widerrufenen Zertifikate anzuzeigen.
252
7.7.1.5 Neues ERA Server-Zertifikat festlegen
Ihr ERA Server-Zertifikat wird bei der Installation erstellt und an ERA Agenten und weitere Komponenten verteilt,
um die Kommunikation mit dem ERA Server zu ermöglichen. Bei Bedarf können Sie im ERA Server ein anderes PeerZertifikat festlegen. Sie können das (bei der Installation automatisch generierte) ERA Server-Zertifikat oder ein
benutzerdefiniertes Zertifikat verwenden. Das ERA Server-Zertifikat wird für sichere TLS-Verbindungen und für die
Authentifizierung benötigt. Mit dem Serverzertifikat wird sichergestellt, dass sich ERA Agenten und ERA Proxies
nicht mit unbefugten Servern verbinden. Klicken Sie auf Tools > Servereinstellungen, um die
Zertifikateinstellungen zu ändern.
1. Klicken Sie auf Admin > Servereinstellungen > erweitern Sie den Bereich Verbindung und klicken Sie auf
Zertifikat ändern.
2. Wählen Sie eine der beiden Arten von Peer-Zertifikaten aus:
Remote Administrator-Zertifikat - Klicken Sie auf Zertifikat öffnen und wählen Sie das gewünschte Zertifikat aus.
Benutzerdefiniertes Zertifikat - Navigieren Sie zu dem gewünschten Zertifikat. Wählen Sie für Migrationen das
exportierte Zertifikat aus Ihrem alten ERA Server aus.
253
3. Klicken Sie auf Benutzerdefiniertes Zertifikat, wählen Sie die ERA Server-Zertifikatdatei ( .pfx) aus, die Sie von
Ihrem alten Server exportiert haben, und klicken Sie auf OK.
4. Starten Sie den ERA Server-Dienst neu und lesen Sie unseren Knowledgebase-Artikel.
7.7.1.6 Benutzerdefinierte Zertifikate mit ESET Remote Administrator
Wenn Sie eine eigene PKI (Public Key-Infrastruktur) in Ihrer Umgebung haben und ESET Remote Administrator Ihre
benutzerdefinierten Zertifikate für die Kommunikation zwischen den Komponenten verwenden soll, können Sie
dies mit den hier beschriebenen Schritten einrichten.
HINWEIS
Das folgende Beispiel wurde unter Windows Server 2012 R2 ausgeführt. Falls Sie eine andere Version von
Windows Server verwenden, unterscheiden sich einige Bildschirme unter Umständen von dieser Beschreibung,
das Ziel der Prozedur ist jedoch dasselbe.
Benötigte Serverrollen:
Active Directory-Zertifikatdienste (AD CS).
Active Directory-Domänendienste.
1. Öffnen Sie die Verwaltungskonsole und fügen Sie Zertifikat-Snap-Ins hinzu:
Melden Sie sich als Mitglied der lokalen Administratorgruppe beim Server an.
Führen Sie mmc.exe aus, um die Verwaltungskonsole zu öffnen.
Klicken Sie auf Datei im oberen Menü und wählen Sie Snap-In hinzufügen/entfernen… aus (oder drücken Sie STRG
+M).
Wählen Sie im linken Bereich Zertifikate aus und klicken Sie auf Hinzufügen.
Wählen Sie Computerkonto aus und klicken Sie auf Weiter.
Wählen Sie Lokaler Computer aus (Standard) und klicken Sie auf Fertig stellen.
Klicken Sie auf OK.
254
2. Erstellen Sie eine benutzerdefinierte Zertifikatanforderung:
Doppelklicken Sie auf Zertifikate (Lokaler Computer), um den Eintrag zu erweitern.
Doppelklicken Sie auf Persönlich, um den Eintrag zu erweitern. Klicken Sie mit der rechten Maustaste auf
Zertifikate, wählen Sie Alle Tasks > Erweiterte Operationen aus und klicken Sie auf Benutzerdefinierte
Anforderung erstellen...
Der Assistent für die Zertifikatregistrierung wird geöffnet. Klicken Sie auf Weiter.
Wählen Sie die Option Ohne Registrierungs-Policy fortfahren aus und klicken Sie auf Weiter, um fortzufahren.
255
Wählen Sie (Kein Template) Legacy-Schlüssel in der Dropdownliste aus und wählen Sie das Anforderungsformat
PKCS #10 aus. Klicken Sie auf Weiter.
256
Klicken Sie auf den Pfeil nach unten, um den Bereich Details zu erweitern, und klicken Sie auf die Schaltfläche
Eigenschaften.
Geben Sie in der Registerkarte Allgemein einen Anzeigenamen und eine optionale Beschreibung für Ihr Zertifikat
ein.
Führen Sie in der Registerkarte Betreff die folgenden Aktionen aus:
Wählen Sie im Bereich Betreffname den Eintrag Allgemeiner Name aus der Dropdownliste unter Typ aus, geben Sie
era server in das Feld Wert ein und klicken Sie auf Hinzufügen. CN=era server wird im Informationsfeld auf der
rechten Seite angezeigt. Wenn Sie eine Zertifikatanforderung für ERA Agent oder ERA Proxy erstellen, geben Sie era
agent oder era proxy in das Wertfeld für den allgemeinen Namen ein.
HINWEIS
Der allgemeine Name muss eine der folgenden Zeichenfolgen enthalten: „server“, „agent“ oder „proxy“, je
nachdem, welche Zertifikatanforderung Sie erstellen.
257
Wählen Sie im Bereich Alternativer Name den Eintrag DNS aus der Dropdownliste unter Typ aus, geben Sie *
(Sternchen) in das Feld Wert ein und klicken Sie auf Hinzufügen.
Erweitern Sie in der Registerkarte Erweiterungen den Bereich Schlüsselnutzung, indem Sie auf den Pfeil nach
unten klicken. Fügen Sie die folgenden Optionen hinzu: Digitale Signatur, Schlüsselvereinbarung,
Schlüsselchiffrierung. Deaktivieren Sie das Kontrollkästchen für die Option Diese Schlüsselnutzungen als kritisch
festlegen.
258
Führen Sie in der Registerkarte Privater Schlüssel die folgenden Aktionen aus:
Erweitern Sie den Bereich Kryptografiedienstanbieter, indem Sie auf den Pfeil nach unten klicken. Daraufhin wird
eine Liste aller Kryptografiedienstanbieter (Cryptographic Service Providers, CSP) angezeigt. Stellen Sie sicher, dass
nur der Eintrag Microsoft RSA SChannel-Kryptografieanbieter (Verschlüsselung) ausgewählt ist.
HINWEIS
Deaktivieren Sie alle anderen CSPs (mit Ausnahme von Microsoft RSA SChannel-Kryptografieanbieter
(Verschlüsselung)).
259
Erweitern Sie den Bereich Schlüsseloptionen. Wählen Sie im Menü Schlüssellänge einen Wert von mindestens 2048
aus. Wählen Sie die Option Privaten Schlüssel exportierbar machen aus.
Erweitern Sie den Bereich Schlüsseltyp und wählen Sie die Option Austausch aus. Klicken Sie auf Übernehmen und
überprüfen Sie Ihre Einstellungen.
Klicken Sie auf OK. Daraufhin werden die Zertifikatinformationen angezeigt. Klicken Sie auf Weiter, um
fortzufahren. Klicken Sie auf Durchsuchen, um einen Speicherort für die Zertifikatsignieranforderung (CSR)
auszuwählen. Geben Sie einen Dateinamen ein und wählen Sie die Option Base 64 aus.
260
Klicken Sie auf Fertig stellen. Ihre CSR wird nun generiert.
3. Importieren Sie die benutzerdefinierte Zertifikatanforderung und stellen Sie ein benutzerdefiniertes Zertifikat in
den ausstehenden Anforderungen aus.
Öffnen Sie den Server-Manager, klicken Sie auf Tools > Zertifizierungsstelle.
Navigieren Sie in der Baumstruktur Zertifizierungsstelle (lokal) zu Ihr Server (normalerweise FQDN) >
Eigenschaften > Registerkarte Policy-Modul und klicken Sie auf die Schaltfläche Eigenschaften.... Legen Sie den
Status der Zertifikatanforderung auf „Ausstehend“ fest. Der Administrator muss die ausgewählte Zertifikatoption
ausdrücklich auswählen. Wählen Sie diese Option andernfalls über das Optionsfeld aus. Ohne diese Auswahl
funktioniert das Produkt nicht korrekt. Falls Sie diese Einstellung geändert haben, müssen Sie die Active
Directory-Zertifikatdienste neu starten.
261
Navigieren Sie in der Baumstruktur Zertifizierungsstelle (lokal) zu Ihr Server (normalerweise FQDN) > Alle Tasks >
Neue Anforderung übermitteln... und navigieren Sie zu der in Schritt 2 erstellten CSR-Datei.
Das Zertifikat wird unter Ausstehende Anforderungen hinzugefügt. Wählen Sie die CSR im rechten
Navigationsbereich aus. Klicken Sie im Menü Aktion auf Alle Tasks > Ausstellen.
4. Exportieren Sie das ausgestellte benutzerdefinierte Zertifikat in eine .tmp-Datei.
262
Klicken Sie auf Ausgestellte Zertifikate im linken Bereich. Klicken Sie mit der rechten Maustaste auf das
gewünschte Zertifikat und klicken Sie auf Alle Tasks > Binärdaten exportieren...
Wählen Sie im Dialogfeld „Binärdaten exportieren“ den Eintrag Binärzertifikat in der Dropdownliste aus, klicken
Sie in den Exportoptionen auf Binärdaten in Datei speichern und dann auf OK.
Navigieren Sie im Dialogfeld „Binärdaten speichern“ zum gewünschten Speicherort für das Zertifikat und klicken
Sie auf Speichern.
5. Import erstellt .tmp Datei.
Navigieren Sie zu Zertifikat (Lokaler Computer) > klicken Sie mit der rechten Maustaste auf Persönlich, wählen
Sie Alle Tasks > Importieren... aus.
Klicken Sie auf Weiter.
Klicken Sie auf Durchsuchen..., navigieren Sie zu der zuvor gespeicherten .tmp-Binärdatei und klicken Sie auf
Öffnen. Wählen Sie Alle Zertifikate in diesem Speicher ablegen > Persönlich aus. Klicken Sie auf Weiter.
Das Zertifikat wird importiert, wenn Sie auf Fertig stellen klicken.
6. Exportieren Sie das Zertifikat inklusive privatem Schlüssel in eine .pfx-Datei.
Erweitern Sie unter Zertifikate (Lokaler Computer) den Eintrag Persönlich und klicken Sie auf Zertifikate. Wählen
Sie das gewünschte Zertifikat im Menü Aktion aus und navigieren Sie zu Alle Tasks > Exportieren...
Klicken Sie im Assistenten für den Zertifikatexport auf Ja, privaten Schlüssel exportieren. (Diese Option wird nur
angezeigt, wenn der private Schlüssel exportierbar ist und Sie Zugang zum privaten Schlüssel haben.)
Aktivieren Sie unter Export-Dateiformat das Kontrollkästchen Alle Zertifikate im Zertifizierungspfad integrieren
aus, falls möglich, und klicken Sie auf Weiter.
263
Passwort, geben Sie ein Passwort für die Verschlüsselung des privaten Schlüssels ein, den Sie exportieren. Geben
Sie dasselbe Passwort unter Passwort bestätigen erneut ein und klicken Sie auf Weiter.
264
Dateiname, geben Sie einen Dateinamen und einen Pfad für die .pfx-Datei ein, in der das exportierte Zertifikat
und der private Schlüssel gespeichert werden. Klicken Sie auf Weiter und dann auf Fertig stellen.
7. Wenn Sie Ihre benutzerdefinierte .pfx-Zertifikatdatei erstellt haben, können Sie Ihre ERA-Komponenten
konfigurieren, um diese Datei zu verwenden.
HINWEIS
Das obige Beispiel beschreibt die Erstellung eines ERA Server-Zertifikats. Wiederholen Sie dieselben Schritte,
um Zertifikate für ERA Agent und ERA Proxy zu erstellen. Das ERA Proxy-Zertifikat kann von ERA MDM verwendet
werden.
Konfigurieren Sie Ihren ERA Server für die Verwendung des benutzerdefinierten .pfx-Zertifikats.
265
Führen Sie eine Reparatur der jeweiligen Komponente durch, um ERA Agent oder ERA Proxy/MDM für die
Verwendung von benutzerdefinierten .pfx-Zertifikaten zu konfigurieren. Navigieren Sie zu Start > Programme und
Features, klicken Sie mit der rechten Maustaste auf ESET Remote Administrator Agent und wählen Sie Ändern aus.
Klicken Sie auf Weiter und anschließend auf Reparieren. Klicken Sie auf Weiter, ohne die Optionen für Serverhost
und Serverport zu ändern. Klicken Sie auf Durchsuchen neben Peerzertifikat und navigieren Sie zu Ihrer
benutzerdefinierten .pfx-Zertifikatdatei. Geben Sie das Zertifikatpasswort ein, das Sie in Schritt 6 festgelegt haben.
Klicken Sie auf Weiter und schließen Sie die Reparatur ab. ERA Agent verwendet nun Ihr benutzerdefiniertes .pfxZertifikat.
7.7.1.7 Zertifikate ersetzen
1. Mit diesem Prozess können Sie eine neue Zertifizierungsstelle erstellen und eine neue Gültigkeitsdauer
angeben (falls die alte ZS abläuft). Im Idealfall ist die neue ZS sofort gültig.
2. Außerdem können Sie Server- und andere Zertifikate (ERA Agent/Proxy) erstellen, sofern Sie dabei die
Gültigkeitsdauer der Zertifizierungsstelle beachten.
3. Sie können Policies erstellen, um Agenten-Zertifikat, Proxyzertifikat für ERA Agenten, ERA Proxy und MDM
festzulegen.
4. Dabei müssen Sie zunächst abwarten, bis die neue Zertifizierungsstelle und das neue ERA Agenten-Zertifikat
übernommen und repliziert werden.
HINWEIS
Warten Sie nach Möglichkeit 24 Stunden oder überprüfen Sie, ob alle ERA-Komponenten (Agenten/Proxies)
mindestens zwei mal (!) repliziert wurden.
5. Anschließend können Sie das Serverzertifikat in den ERA Server-Einstellungen ersetzen.
6. Widerrufen Sie Ihre alten Zertifikate und löschen Sie die alte Zertifizierungsstelle, sobald Sie die oben
beschriebenen Schritte erfolgreich abgeschlossen haben.
ERA kann Kunden bei diesen Ereignissen benachrichtigen und sogar warnen (siehe Screenshot unten):
o Es existieren vorkonfigurierte Benachrichtigungen für ERA-Zertifikate und ERA-Zertifizierungsstellen.
o Sie finden diese Benachrichtigungen in der ERA-Registerkarte Benachrichtigungen. Sie können lediglich die
Verteilung konfigurieren.
266
HINWEIS
Konfigurieren Sie die SMTP-Verbindungseinstellungen in den Servereinstellungen und bearbeiten Sie die
Benachrichtigung, um E-Mail-Adressen für die Verteilung hinzuzufügen.
Wenn das Zertifikat eines Computers abläuft, wird die Statusinformation des Computers automatisch geändert und
im Dashboard, der Computerliste, der Statusübersicht und in der Registerkarte Zertifikate angezeigt:
267
7.7.2 Zertifizierungsstelle
Zertifizierungsstellen werden im Bereich Zertifizierungsstellen aufgelistet und verwaltet. Wenn Sie mehrere
Zertifizierungsstellen verwenden, kann es hilfreich sein, die Liste zu filtern.
Neue Zertifizierungsstelle erstellen
Öffentlichen Schlüssel importieren
Öffentlichen Schlüssel exportieren
7.7.2.1 Neue Zertifizierungsstelle erstellen
Um eine neue Zertifizierungsstelle zu erstellen, navigieren Sie zu Admin > Zertifikate > Zertifizierungsstelle und
klicken Sie auf Aktion > Neu am unteren Seitenrand.
Zertifizierungsstelle
Geben Sie eine Beschreibung der Zertifizierungsstelle ein und wählen Sie eine Passphrase aus. Die Passphrase muss
mindestens 12 Zeichen lang sein.
Attribute (Thema)
1. Geben Sie unter Allgemeiner Namen einen Namen für die Zertifizierungsstelle ein. Wählen Sie einen
eindeutigen Namen aus, um mehrere Zertifikatsbehörden unterscheiden zu können. Optional können Sie
beschreibende Informationen zur Zertifizierungsstelle eingeben.
2. Geben Sie in die Felder Gültig ab und Gültig bis Werte ein, um sicherzustellen, dass das Zertifikat gültig ist.
3. Klicken Sie auf Speichern, um die neue Zertifizierungsstelle zu speichern. Sie wird nun in der Liste der
Zertifikatsbehörden unter Admin > Zertifikate > Zertifizierungsstelle aufgeführt und kann verwendet werden.
Um die Zertifizierungsstelle zu verwalten, aktivieren Sie das Kontrollkästchen neben der Zertifizierungsstelle in der
Liste und verwenden Sie das Kontextmenü (klicken Sie auf die Zertifizierungsstelle) oder klicken Sie am unteren
Seitenrand auf Aktion. Sie haben die Auswahl zwischen Öffentlichen Schlüssel importieren und Öffentlichen
Schlüssel exportieren und können die Zertifizierungsstelle bearbeiten.
268
7.7.2.2 Öffentlichen Schlüssel exportieren
Öffentlichen Schlüssel von einer Zertifizierungsstelle exportieren:
1. Wählen Sie die gewünschte Zertifizierungsstelle aus der Liste aus und aktivieren Sie das Kontrollkästchen neben
der Zertifizierungsstelle.
2. Wählen Sie im Kontextmenü Öffentlichen Schlüssel exportieren aus. Der öffentliche Schlüssel wird als .derDatei exportiert. Wählen Sie einen Namen für den öffentlichen Schlüssel aus und klicken Sie auf Speichern.
HINWEIS
Wenn Sie die standardmäßige ERA-Zertifizierungsstelle löschen und eine neue erstellen, funktioniert dies nicht.
Sie müssen die Zertifizierungsstelle zum ERA Server zuweisen und den Dienst „ERA Server“ neu starten.
Öffentlichen Schlüssel als Base64 von einer Zertifizierungsstelle exportieren:
1. Wählen Sie die gewünschte Zertifizierungsstelle aus der Liste aus und aktivieren Sie das Kontrollkästchen neben
der Zertifizierungsstelle.
2. Wählen Sie im Kontextmenü Öffentlichen Schlüssel als Base64 exportieren aus. Sie können das Base64-kodierte
Zertifikat auch als Datei herunterladen. Wiederholen Sie diesen Schritt für weitere Komponentenzertifikate und
für Ihre Zertifizierungsstelle.
HINWEIS
Benutzerdefinierte Zertifikate, die nicht im Base64-Format vorliegen, müssen in das Base64-Format konvertiert
werden (alternativ können Sie diese Zertifikate wie oben beschrieben exportieren). Dies ist das einzige
mögliche Format für die Verbindung zwischen ERA-Komponenten und dem ERA Server. Weitere Informationen
zur Konvertierung von Zertifikaten finden Sie unter http://linux.die.net/man/1/base64 und https://
developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/base64.1.html. Beispiel:
'cat ca.der | base64 > ca.base64.txt'
'cat agent.pfx | base64 > agent.base64.txt'
269
7.7.2.3 Öffentlichen Schlüssel importieren
Klicken Sie auf Admin > Zertifikate > Zertifizierungsstellen, um eine Zertifizierungsstelle eines Drittanbieters zu
importieren.
1. Klicken Sie auf Aktionen und dann auf Öffentlichen Schlüssel importieren.
2. Wählen Sie die Datei für den Upload aus: Klicken Sie auf Durchsuchen und navigieren Sie zur gewünschten Datei.
3. Geben Sie eine Beschreibung für das Zertifikat ein und klicken Sie auf Importieren. Die Zertifizierungsstelle
wurde importiert.
7.8 Zugriffsrechte
Mit Zugriffsrechten können Sie die Benutzer der ERA-Web-Konsole und deren Berechtigungen verwalten. Die
Software unterscheidet zwei Typen:
1. Systembenutzer – die in der Web-Konsole erstellten und verwalteten Benutzerkonten.
2. Zugeordnete Domänen-Sicherheitsgruppen - Die in Active Directory verwalteten und authentifizierten
Benutzerkonten.
Optional können Sie für Systembenutzer und zugeordnete Domänen-Sicherheitsgruppen auch die Zwei-FaktorAuthentifizierung einrichten. Diese Funktion verbessert die Sicherheit bei der Anmeldung und dem Zugriff auf die
ERA-Web-Konsole.
Der Zugriff auf die Elemente der Kategorien muss jedem Benutzer der ERA-Web-Konsole (über Berechtigungssätze)
erteilt werden.
WICHTIG
Der systemeigene Benutzer Administrator hat uneingeschränkten Zugriff. Dieses Benutzerkonto sollte nicht im
Alltag eingesetzt werden. Erstellen Sie stattdessen ein zusätzliches "Admin"-Konto oder verwenden Sie einen
Administrator aus zugeordneten Domänen-Sicherheitsgruppen mit dem Berechtigungssatz "Administrator". Auf
diese Weise haben Sie einen Ersatz, wenn mit dem Admin-Konto ein Problem auftritt. Sie können auch
zusätzliche Konten mit eingeschränkten Zugriffsrechten erstellen, die den erforderlichen Berechtigungen
entsprechen. Verwenden Sie das Administratorkonto nur in Notfällen.
Benutzer werden im Abschnitt Benutzer im Verwaltungsbereich verwaltet. Berechtigungssätze definieren den
Zugriff auf bestimmte Elemente für die unterschiedlichen Benutzer.
7.8.1 Benutzer
Die Benutzerverwaltung wird im Abschnitt Admin der ERA-Web-Konsole ausgeführt.
Für die ERA-Web-Konsole existieren verschiedene Berechtigungssätze für Benutzer. Der Benutzer mit den meisten
Berechtigungen ist der Administrator. Er verfügt über volle Rechte und Berechtigungen. Zur einfacheren Arbeit mit
Active Directory kann Benutzern aus Domänen-Sicherheitsgruppen die Anmeldung bei ERA erlaubt werden. Diese
Benutzer können neben den ERA -Systembenutzern bestehen, die Berechtigungssätze werden dabei jedoch auf
Ebene der Active Directory-Sicherheitsgruppe festgelegt, und nicht wie bei Systembenutzern für den einzelnen
Benutzer.
HINWEIS
Bei einer neuen ERA-Installation ist nur das Benutzerkonto „Administrator“ (Systembenutzer) vorhanden.
270
7.8.1.1 Erstellen eines Systembenutzers
Um einen neuen Systembenutzer zu erstellen, klicken Sie auf der Registerkarte Admin auf Zugriffsrechte > Benutzer
und dann unten auf der Seite auf Benutzer oder Neu.
Um ein zweites Administratorkonto zu erstellen, erstellen Sie einen Systembenutzer und weisen Sie diesem
Benutzerkonto den Administratorberechtigungssatz zu.
Einfach
Geben Sie einen Benutzernamen und optional eine Beschreibung für den neuen Benutzer ein.
Authentifizierung
Das Passwort des Benutzers sollte aus mindestens 8 Zeichen bestehen. Das Passwort darf nicht den Benutzernamen
enthalten.
Benutzerkonto
Lassen Sie die Option Aktiviert ausgewählt, es sei denn, Sie möchten (zur späteren Verwendung) ein inaktives
Konto erstellen.
Lassen Sie die Option Muss Passwort ändern deaktiviert. Wenn diese Option aktiviert ist, muss der Benutzer bei
der ersten Anmeldung an der ERA Web-Konsole sein Passwort ändern.
Die Option Passwort läuft ab legt fest, wie viele Tage das Passwort gültig ist, bevor es geändert werden muss.
Die Option Autom. Abmeldung (Min) legt fest, nach wie vielen Minuten Inaktivität der Benutzer automatisch von
der Web-Konsole abgemeldet wird.
Zur Identifizierung des Benutzers können außerdem die Angaben Kompletter Name, E-Mail-Adresse und
Telefonnummer eingegeben werden.
Berechtigungssatz
Weisen Sie dem Benutzer Berechtigungen (Rechte) zu. Sie können einen vordefinierten Berechtigungssatz
auswählen: Prüfer-Berechtigungssatz (ähnlich Lesezugriff), Administrator-Berechtigungssatz (ähnlich Vollzugriff)
oder Berechtigungssatz für servergestützte Installation (ähnlich Lesezugriff). Alternativ können Sie einen
benutzerdefinierten Berechtigungssatz erstellen.
Zusammenfassung
Überprüfen Sie die für den Benutzer konfigurierten Einstellungen und klicken Sie auf Fertig stellen, um das Konto
zu erstellen.
271
7.8.1.2 Assistent für zugeordnete Domänen-Sicherheitsgruppe
Um den Assistenten für zugeordnete Domänen-Sicherheitsgruppe zu öffnen, navigieren Sie zu Admin >
Zugriffsrechte > Zugeordnete Domänen-Sicherheitsgruppen > Neu oder, wenn die zugeordnete DomänenSicherheitsgruppe im Baum ausgewählt ist, einfach zu Neu.
Einfach
Domänengruppe
Geben Sie einen Namen für die Gruppe ein. Sie können auch eine Beschreibung der Gruppe angeben. Die Gruppe
wird über eine Gruppen-SID (Sicherheits-ID) identifiziert. Klicken Sie auf Auswählen, um eine Gruppe aus der Liste
auszuwählen, und dann zum Bestätigen auf OK.
Benutzerkonto
Lassen Sie die Option Aktiviert ausgewählt, damit der Benutzer aktiv ist.
Die Option Autom. Abmeldung (Min) legt fest, nach wie vielen Minuten Inaktivität der Benutzer automatisch von
der ERA Web-Konsole abgemeldet wird.
Die Angaben E-Mail-Adresse und Telefonnummer sind fakultativ und dienen der Identifizierung des Benutzers.
Berechtigungssatz
Weisen Sie dem Benutzer Berechtigungen (Rechte) zu. Sie können einen vordefinierten Berechtigungssatz
verwenden:
Administrator-Berechtigungssatz (ähnlich Vollzugriff). Alternativ können Sie einen benutzerdefinierten
Berechtigungssatz erstellen.
Berechtigungssatz für servergestützte Installation - (ähnlich Lesezugriff)
Prüfer-Berechtigungssatz (ähnlich Lesezugriff)
Zusammenfassung
Überprüfen Sie die für den Benutzer konfigurierten Einstellungen und klicken Sie auf Fertig stellen, um die Gruppe
zu erstellen.
272
7.8.1.3 Zuordnen einer Gruppe zur Domänen-Sicherheitsgruppe
Sie können dem ERA-Server eine Domänen-Sicherheitsgruppe zuordnen und zulassen, dass bestehende Benutzer
(Mitglieder dieser Domänen-Sicherheitsgruppen) als Benutzer der ERA Web-Konsole übernommen werden.
Klicken Sie auf Admin > Zugriffsrechte > Zugeordnete Domänen-Sicherheitsgruppen > Neu oder einfach auf Neu
(wenn die zugeordnete Domänen-Sicherheitsgruppe im Baum ausgewählt ist).
Einfach
Domänengruppe
Geben Sie einen Namen für die Gruppe ein. Sie können auch eine Beschreibung der Gruppe angeben. Die Gruppe
wird über eine Gruppen-SID (Sicherheits-ID) identifiziert. Klicken Sie auf Auswählen, um eine Gruppe aus der Liste
auszuwählen, und dann zum Bestätigen auf OK.
Benutzerkonto
Lassen Sie die Option Aktiviert ausgewählt, damit der Benutzer aktiv ist.
Die Option Autom. Abmeldung (Min) legt fest, nach wie vielen Minuten Inaktivität der Benutzer automatisch von
der Web-Konsole abgemeldet wird.
Die Angaben E-Mail-Adresse und Telefonnummer sind fakultativ und dienen der Identifizierung des Benutzers.
Berechtigungssatz
Weisen Sie dem Benutzer Berechtigungen (Rechte) zu. Sie können einen vordefinierten Berechtigungssatz
verwenden: Prüfer-Berechtigungssatz (ähnlich Lesezugriff), Administrator-Berechtigungssatz (ähnlich Vollzugriff)
oder Berechtigungssatz für servergestützte Installation (Berechtigung für die lokale Installation des ERA Agent auf
einem Clientcomputer). Alternativ können Sie benutzerdefinierte Berechtigungssätze erstellen.
Zusammenfassung
Überprüfen Sie die für den Benutzer konfigurierten Einstellungen und klicken Sie auf Fertig stellen, um die Gruppe
zu erstellen.
273
7.8.1.4 Zuweisen eines Berechtigungssatzes zu einem Benutzer
Wechseln Sie zu Admin > Zugriffsrechte > Berechtigungssätze und klicken Sie auf Bearbeiten, um einem Benutzer
einen bestimmten Berechtigungssatz zuzuweisen. Weitere Informationen finden Sie unter Verwalten von
Berechtigungssätzen.
Im Bereich Benutzer können Sie einen bestimmten Benutzer bearbeiten, indem Sie auf Bearbeiten ... klicken und
im Abschnitt Nicht zugewiesene (verfügbare) Berechtigungssätze das Kontrollkästchen neben einem
Berechtigungssatz aktivieren.
274
7.8.1.5 Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung bietet zusätzliche Sicherheit bei der Anmeldung und beim Zugriff auf die ERAWeb-Konsole.
Nur der ERA-Administrator kann die Zwei-Faktor-Authentifizierung (2FA) für andere Benutzerkonten aktivieren.
Nach der Aktivierung müssen die Benutzer die 2FA selbst konfigurieren, bevor sie sich anmelden können. Die
Benutzer erhalten einen Link per Textnachricht (SMS), den sie im Webbrowser ihres Telefons öffnen können, um
Anweisungen zur 2FA-Konfiguration zu erhalten.
Die Zwei-Faktor-Authentifizierung wird von ESET und der ESET Secure Authentication-Technologie unterstützt.
ESET Secure Authentication muss dazu nicht in Ihrer Umgebung installiert oder bereitgestellt werden. ERA
verbindet sich automatisch mit den ESET-Servern, um Benutzer zu authentifizieren, die sich bei Ihrer ERA-WebKonsole anmelden.
Benutzer mit aktivierter 2FA müssen ESET Secure Authentication verwenden, um sich beim ESET Remote
Administrator anzumelden.
HINWEIS
Benutzer mit 2FA dürfen nicht für die servergestützte Installation verwendet werden.
7.8.2 Berechtigungssätze
Ein Berechtigungssatz definiert die Berechtigungen eines Benutzers für den Zugriff auf die ERA-Web-Konsole, d. h.
was der Benutzer in der Web-Konsole anzeigen bzw. welche Aktionen er ausführen kann. Systembenutzer verfügen
über eigene Berechtigungen. Domänenbenutzer haben die Berechtigungen ihrer zugeordneten Sicherheitsgruppe.
Die Berechtigungen für die ERA-Web-Konsole sind in Kategorien eingeteilt, beispielsweise Systembenutzer,
Zertifikate oder Policies. Für jede Funktion kann über einen Berechtigungssatz Lese- oder Schreibzugriff gewährt
werden.
o Lesezugriff eignet sich für Benutzer, die einen Audit durchführen. Sie können Daten anzeigen, jedoch keine
Änderungen vornehmen.
o Benutzer mit den Rechten Schreiben/Ausführen können die entsprechenden Objekte ändern oder ausführen
(abhängig von der Art des Objekts; Tasks beispielsweise können ausgeführt werden).
Neben den Berechtigungen für die ERA-Funktionen kann auch Zugriff auf Statische Gruppen oder
Benutzergruppen erteilt werden. Der Zugriff wird kann für jeden Benutzer einzeln definiert werden und gilt
entweder für alle statischen Gruppen oder für Teilsätze der statischen Gruppen. Der Zugriff auf eine bestimmte
statische Gruppe umfasst automatisch auch den Zugriff auf alle Untergruppen. Hierbei gilt:
o Lesezugriff ermöglicht das Anzeigen der Computerliste.
o Schreiben/Ausführen gibt dem Benutzer die Berechtigung, die Computer unter Statische Gruppe zu ändern und
Client-Tasks und Policies zuzuweisen.
7.8.2.1 Verwalten von Berechtigungssätzen
Um einen bestimmten Berechtigungssatz zu ändern, klicken Sie auf den Berechtigungssatz und dann auf Bearbeiten.
Klicken Sie auf Kopieren, um ein Duplikat eines Berechtigungssatzes zu erstellen, das Sie ändern und einem
bestimmten Benutzer zuweisen können.
Einfach
Geben Sie einen Namen für den Satz ein (Pflichtangabe). Sie können auch eine Beschreibung für den
Berechtigungssatz hinzufügen.
275
Funktion
Wählen Sie einzelne Module aus, auf die Sie Zugriff erteilen möchten. Der Benutzer mit der zugewiesenen
Berechtigung erhält Zugriff auf die angegeben Tasks. Sie können auch die Option Zugriff auf alle Funktionen mit
Schreibschutz erteilen oder Zugriff auf alle Funktionen mit Vollzugriff erteilen aktivieren. Diese Berechtigungen
existieren jedoch bereits als Administrator-Berechtigungssatz (Vollzugriff) bzw. Prüfer-Berechtigungssatz
(Lesezugriff). Die Berechtigung Schreiben/Ausführen enthält automatisch auch die Berechtigung Lesen.
Statische Gruppen
Sie können eine oder mehrere statische Gruppen hinzufügen, die den Berechtigungssatz (und damit die im
Abschnitt Module definierten Rechte) übernehmen, oder allen statischen Gruppen Lesezugriff bzw. Vollzugriff
erteilen. Sie können nur statische Gruppen hinzufügen, weil die erteilten Berechtigungssätze für bestimmte
Benutzer oder Gruppen festgelegt sind.
Benutzergruppen
Sie können eine oder mehrere Benutzergruppen von ESET Mobile Device Management für iOS hinzufügen.
Benutzer
Im linken Bereich werden alle verfügbaren Benutzer angezeigt. Wählen Sie einzelne Benutzer oder alle Benutzer
(Schaltfläche Alle hinzufügen) aus. Die zugewiesenen Benutzer werden rechts aufgelistet.
Zusammenfassung
Überprüfen Sie die für den Berechtigungssatz konfigurierten Einstellungen und klicken Sie auf Fertig stellen.
Klicken Sie auf Speichern unter, um ein neues Template auf der Basis des aktuellen Templates zu erstellen. Wählen
Sie einen Namen für das neue Template aus.
7.9 Servereinstellungen
In diesem Bereich können Sie bestimmte Einstellungen für den ESET Remote Administrator-Server konfigurieren.
Verbindung
Remote Administrator-Port (Neustart erforderlich!) - Dies ist der Port für die Verbindung zwischen dem ESET
Remote Administrator Server und den Agenten. Wenn diese Einstellung geändert wird, muss der ERA ServerDienst neu gestartet werden, um die Änderungen zu übernehmen.
Port für Web-Konsole (Neustart erforderlich!) – Port für die Verbindung zwischen der ERA-Web-Konsole und dem
ERA Server.
Erweiterte Sicherheit - Sie können erzwingen, dass der ERA Server die neueste TLS-Version verwendet und dass
neu erstellte Zertifizierungsstellen und Zertifikate SHA-2 verwenden. Die erweiterte Sicherheit ist unter
Umständen nicht mit älteren Systemen kompatibel.
Zertifikat (Neustart erforderlich) - Hier können Sie Ihre ERA Server-Zertifikate verwalten. Klicken Sie auf Zertifikat
ändern und wählen Sie aus, welches ERA Server-Zertifikat Ihr ERA Server verwenden soll. Weitere Informationen
finden Sie unter Peerzertifikate.
WICHTIG
Starten Sie den ESET Remote
Knowledgebase-Artikel.
276
Administrator Server -Dienst neu. Weitere
Informationen finden Sie in unseren
Updates
Updateintervall – Intervall für das Abrufen der Updates. Sie können die Option „Normales Intervall“ auswählen
und die Einstellungen konfigurieren oder einen CRON-Ausdruck verwenden.
Update-Server – Update-Server, von dem der ERA Server Updates für Sicherheitsprodukte und ERA-Komponenten
empfängt.
Updatetyp – Wählen Sie hier aus, welche Updatetypen Sie empfangen möchten. Zur Auswahl stehen reguläre
Updates, Test-Updates und verzögerte Updates. Für Produktionssysteme sollten Sie keine Test-Updates
auswählen, da dies mit einem erhöhten Risiko verbunden ist.
Erweiterte Einstellungen
HTTP-Proxy – Sie können einen Proxyserver verwenden, um den Datenverkehr zwischen Clients in Ihrem
Netzwerk und dem Internet zu erleichtern.
Wakeup - Mit dieser Funktion kann Ihr Server eine sofortige Replikation des ausgewählten Agenten auslösen. Für
die UDPv4- und UDPv6-Ports werden die Standardwerte 1237 und 1238 verwendet.
SMTP-Server – Sie können einen SMTP-Server konfigurieren, um E-Mails über den ERA Server zu verschicken (z. B.
E-Mail-Benachrichtigungen oder Berichte). Geben Sie die Details Ihres SMTP-Servers an.
Syslog-Server - ERA kann Benachrichtigungen und Eventnachrichten an Ihren Syslog-Server schicken. Außerdem
können Sie Logs aus dem ESET-Sicherheitsprodukt eines Clientcomputers exportieren und an den Syslog-Server
schicken.
Statische Gruppen - Gefundene Computer können automatisch zu vorhandenen Computern in statischen Gruppen
zugeordnet werden . Die Zuordnung erfolgt anhand des vom ERA Agenten gemeldeten Hostnamen. Wenn dieser
Name nicht vertrauenswürdig ist, sollten Sie diese Funktion deaktivieren. Wenn bei der Zuordnung ein Fehler
auftritt, wird der Computer in der Gruppe Fundbüro abgelegt.
Repository – Speicherort des Repositorys, das die Installationsdateien enthält.
HINWEIS
Das Standard-Repository ist AUTOSELECT.
Diagnose- Aktivieren oder deaktivieren Sie die Übermittlung von Absturzberichten an ESET.
Logging – Legen Sie die Mindestinformationen fest, die erfasst und in Logs geschrieben werden. Die Abstufung
reicht von Trace (umfangreiche Informationen) bis Schwerwiegend (wichtigste, kritische Informationen). Die
neueste Log-Datei des ERA Servers befindet sich unter folgendem Pfad: C:\ProgramData\ESET
\RemoteAdministrator\Server\EraServerApplicationData\Logs oder var/log/eset/RemoteAdministrator/Server/
Datenbank-Bereinigung – Um eine Überlastung der Datenbank zu verhindern, können Sie mit dieser Option
regelmäßig die Logs bereinigen.
277
7.9.1 SMTP-Server
ESET Remote Administrator kann automatisch E-Mails mit Berichten und Benachrichtigungen verschicken.
Aktivieren Sie die Option SMTP-Server verwenden, navigieren Sie zu Admin > Servereinstellungen > Erweiterte
Einstellungen > SMTP-Server und geben Sie die folgenden Werte ein:
Host - Hostname oder IP-Adresse Ihres SMTP-Servers.
Port - SMTP verwendet standardmäßig Port 25. Sie können diesen Wert jedoch bei Bedarf ändern, falls Ihr SMTPServer einen anderen Port verwendet.
Benutzername - Geben Sie den Namen des SMTP-Benutzerkontos ein (ohne Domäne, andernfalls funktioniert
dieses Feature nicht), falls Ihr SMTP-Server Authentifizierung erfordert.
Passwort - Das Passwort für das SMTP-Benutzerkonto.
Verbindungs-Sicherheitstyp - Geben Sie den Verbindungstyp an. Der Standardwert ist Ungesichert, Sie können
jedoch TLS oder STARTTLS auswählen, falls Ihr SMTP-Server sichere Verbindungen unterstützt. Wenn Sie also Ihre
Verbindungen schützen möchten, sollten Sie eine STARTTLS- oder SSL/TLS-Erweiterung auswählen. Diese
Erweiterungen verwenden einen separaten Port für die verschlüsselte Kommunikation.
Authentifizierungstyp - Der Standardwert ist Keine AuthentifizierungSie können jedoch einen passenden
Authentifizierungstyp aus der Dropdownliste auswählen (z. B. Anmeldung, CRAM-MD5, CRAM-SHA1, SCRAMSHA1, NTLM oder Automatisch).
Absenderadresse - Geben Sie die Adresse an, die in Ereignismeldungen als Absender angezeigt werden sein soll
(Von:).
SMTP-Server testen - Mit diesem Test können Sie die Einstellungen für den SMTP-Server überprüfen. Wenn Sie
auf Test-E-Mail senden klicken, wird ein Popupfenster geöffnet. Wenn Sie die E-Mail-Adresse des Empfängers
eingeben, wird eine Test-E-Mail über den SMTP-Server an diese Adresse geschickt. Überprüfen Sie den
Posteingang des Empfängers, um sicherzustellen, dass die Test-E-Mail zugestellt wurde.
7.9.2 Gefundene Computer automatisch zuordnen
Wenn mehrere Instanzen desselben Computers in ERA angezeigt werden (z. B. wenn der ERA Agent auf einem
bereits verwalteten Computer neu installiert wird), können Sie diese Instanzen mit der Funktion Gefundene
Computer automatisch zuordnen bearbeiten und die Instanzen zusammenführen. Auf diese Weise sparen Sie sich
die manuelle Prüfung und Sortierung gefundener Computer.
Die Zuordnung erfolgt anhand des vom ERA Agenten gemeldeten Hostnamen. Wenn dieser Name nicht
vertrauenswürdig ist, sollten Sie die Funktion Gefundene Computer automatisch zuordnen deaktivieren. Wenn bei
der Zuordnung ein Fehler auftritt, wird der Computer in der Gruppe Fundbüro abgelegt. Wenn ein ERA Agent auf
einem bereits verwalteten Computer neu installiert wird, sorgt diese Funktion dafür, dass der Computer ohne Ihr
Eingreifen automatisch zugeordnet und in ERA abgelegt wird. Außerdem erhält der neue ERA Agent sofort die
entsprechenden Policies und Tasks.
Wenn diese Funktion deaktiviert ist, werden Computer, die in der Gruppe Fundbüro abgelegt werden sollten,
stattdessen zum ersten nicht verwalteten Computer (Platzhalter, Kreissymbol) in der ERA-Baumstruktur abgelegt.
Wenn kein Platzhalter mit dem gleichen Namen existiert, wird der Computer in der Gruppe Fundbüro abgelegt.
Wenn diese Funktion aktiviert ist (Standardeinstellung), werden Computer, die in der Gruppe Fundbüro abgelegt
werden sollten, stattdessen zum ersten nicht verwalteten Computer (Platzhalter, Kreissymbol) in der ERABaumstruktur abgelegt. Wenn kein Platzhalter mit dem gleichen Namen existiert, wird der Computer zum ersten
nicht verwalteten Computer (Warnungssymbol, Häkchen) in der ERA-Baumstruktur abgelegt. Wenn bei dieser
Zuordnung ebenfalls ein Fehler auftritt, wird der Computer in der Gruppe Fundbüro abgelegt.
HINWEIS
Deaktivieren Sie diese Funktion, falls Sie keine automatische Zuordnung wünschen. Sie können die Computer
jederzeit manuell überprüfen und sortieren.
278
7.9.3 Syslog-Server
Falls Sie einen Syslog-Server in Ihrem Netzwerk verwenden, können Sie festlegen, dass ERA Server
Benachrichtigungen an Ihren Syslog-Server schicken soll. Aktivieren Sie die Option Logs nach Syslog exportieren, um
festzulegen, dass bestimmte Events (ThreatEvent, Firewall Aggregated Event, HIPS Aggregated Event usw.) von
Clientcomputern übertragen werden sollen, auf denen ESET Endpoint Security ausgeführt wird.
Um den Syslog-Server zu aktivieren, navigieren Sie zu Admin > Servereinstellungen > Erweiterte Einstellungen >
Syslog-Server und aktivieren Sie den Schalter neben Syslog-Server verwenden. Geben Sie die folgenden
Pflichteinstellungen an: Host (IP-Adresse oder Hostname - Ziel für Syslog-Nachrichten) und Portnummer (der
Standardwert ist 514).
Syslog-Nachrichten werden per UDP (User Datagram-Protokoll) zum Syslog-Server übertragen. Aktivieren Sie die
Option Logs nach Syslog exportieren, um Logs und Events von Clientcomputern ebenfalls an Ihren Syslog-Server zu
übermitteln. Klicken Sie auf Speichern.
HINWEIS
Die normale Anwendungslogdatei wird fortlaufend erweitert. Syslog ist lediglich ein Medium für den Export
bestimmter asynchroner Ereignisse wie Benachrichtigungen und verschiedene Events auf Clientcomputern.
279
7.9.4 Logs nach Syslog exportieren
ESET Remote Administrator kann bestimmte Logs/Events exportieren und an Ihren Syslog-Server schicken. Events
wie ThreatEvent, Firewall Aggregated Event, HIPS Aggregated Event usw. werden auf einem verwalteten
Clientcomputer generiert, auf dem ein ESET-Sicherheitsprodukt ausgeführt wird (z. B. ESET Endpoint Security).
Diese Events können mit beliebigen SIEM (Security Information and Event Management)-Lösungen verarbeitet
werden, die Events von einem Syslog-Server verarbeiten können. Die Events werden von ESET Remote
Administrator zum Syslog-Server geschrieben.
Aktivieren Sie die Option Syslog-Server verwenden, navigieren Sie zu Admin > Servereinstellungen > Erweiterte
Einstellungen > Syslog-Server > Logging und aktivieren Sie die Option Logs nach Syslog exportieren. Die
Ereignisnachrichten werden im JSON (JavaScript Object Notation)-Format ausgegeben.
Exportierte Events
Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Events. Die
Eventnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Event
enthält den folgenden Schlüssel:
event_type
string
ipv4
string
Typ der exportierten Events: Threat_Event, FirewallAggregated_Event,
HipsAggregated_Event.
optional IPv4-Adresse des Computers, der das Event generiert hat.
ipv6
string
optional IPv6-Adresse des Computers, der das Event generiert hat.
source_uuid
string
UUID des Computers, der das Event generiert hat.
occurred
string
severity
string
UTC-Zeitpunkt, zu dem das Event aufgetreten ist. Format: %d-%b-%Y %
H:%M:%S
Schweregrad des Events. Mögliche Werte (vom niedrigsten zum
höchsten Schweregrad): Information Notice Warning Error Critical Fatal
ThreatEvent
280
Alle von verwalteten Endpunkten generierten Bedrohungs-Events werden an Syslog weitergeleitet. Spezifische
Schlüssel für Bedrohungs-Events:
threat_type
string
optional Bedrohungsart
threat_name
string
optional Bedrohungsname
threat_flags
string
optional Bedrohungsbezogene Flags
scanner_id
string
optional Scanner-ID
scan_id
string
optional Scan-ID
engine_version
string
optional Version des Prüfmoduls
object_type
string
optional Art des Objekts, auf sich das das Event bezieht
object_uri
string
optional Objekt-URI
action_taken
string
optional Auf dem Endpunkt ausgeführte Aktion
action_error
string
optional Fehlermeldung, falls die Aktion nicht erfolgreich war
threat_handled
bool
optional Gibt an, ob die Bedrohung abgewendet wurde
need_restart
bool
optional Gibt an, ob ein Neustart erforderlich ist
Benutzername
string
optional Name des Benutzerkontos, das mit dem Ereignis verknüpft ist
processname
string
optional Name des Prozesses, der mit dem Ereignis verknüpft ist
circumstances
string
optional Kurze Beschreibung der Ursache des Events
Firewall Aggregated Event
Die von ESET Personal Firewall generierten Event-Logs werden von dem verwaltenden ESET Remote Administrator
Agent aggregiert, um die benötigte Bandbreite für die Replikation zwischen ERA Agent und ERA Server zu senken.
Spezifische Schlüssel für Firewall-Events:
event
string
optional Eventname
source_address
string
optional Adresse der Eventquelle
source_address_type string
optional Art der Adresse der Eventquelle
source_port
Nummer optional Port der Eventquelle
target_address
string
target_address_type string
optional Adresse des Eventziels
optional Art der Adresse des Eventziels
target_port
Nummer optional Port des Eventziels
protocol
string
optional Protokoll
account
string
optional Name des Benutzerkontos, das mit dem Ereignis verknüpft ist
process_name
string
optional Name des Prozesses, der mit dem Ereignis verknüpft ist
rule_name
string
optional Regelname
rule_id
string
optional Regel-ID
inbound
bool
optional Gibt an, ob die Verbindung eingehend war
threat_name
string
optional Bedrohungsname
281
event
string
optional Eventname
aggregate_count
Nummer optional Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen
zwei aufeinander folgenden Replikationen zwischen ERA Server und
verwaltendem ERA Agent generiert wurden
HIPS Aggregated Event
Events aus dem Host-based Intrusion Prevention System werden zunächst nach Schweregrad gefiltert und
anschließend als Syslog-Nachrichten weitergeleitet. Nur Events der Schweregraden Error, Critical und Fatal werden
an Syslog weitergeleitet. HIPS-spezifische Attribute:
Anwendung
string
optional Anwendungsname
operation
string
optional Vorgang
target
string
optional Ziel
action
string
optional Aktion
rule_name
string
optional Regelname
rule_id
string
optional Regel-ID
aggregate_count
Nummer optional Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen
zwei aufeinander folgenden Replikationen zwischen ERA Server und
verwaltendem ERA Agent generiert wurden
282
8. Lizenzverwaltung
ESET Remote Administrator verwendet ein völlig neues ESET-Lizenzsystem. Sie können Ihre Lizenzen schnell und
einfach in ESET Remote Administrator verwalten. Wenn Sie ein Lizenz für irgendein ESET Businessprodukt kaufen,
erhalten Sie automatisch Zugriff auf ESET Remote Administrator.
Falls Sie bereits einen Benutzernamen und ein Passwort von ESET haben und diese Daten in einen Lizenzschlüssel
konvertieren möchten, lesen Sie Veraltete Lizenzdaten konvertieren. Benutzername und Passwort wurden durch
Lizenzschlüssel bzw. Öffentliche ID ersetzt. Der Lizenzschlüssel ist eine eindeutige Zeichenkette und identifiziert
Lizenzeigentümer und Aktivierung. Die Public ID ist eine kurze Zeichenkette, mit der ein Dritter (zum Beispiel der
Sicherheitsadministrator, der für die Einheitenverteilung verantwortlich ist) die Lizenz identifizieren kann.
Der Sicherheitsadministrator verwaltet Lizenzen und muss nicht unbedingt der eigentliche Lizenzeigentümer sein.
Lizenzeigentümer können einen Sicherheitsadministrator dazu ermächtigen, bestimmte Lizenzen zu verwalten. In
diesem Fall erhält der Administrator die Berechtigung zur Lizenzverwaltung. Außerdem sollten alle
Lizenzeigentümer ein Sicherheitsadministratorkonto für sich selbst erstellen.
Die Lizenzen werden entweder in diesem Bereich oder online verwaltet. Für die Onlineverwaltung klicken Sie
entweder auf ELA öffnen (ESET License Administrator) oder öffnen Sie die Weboberfläche für den ESET License
Administrator (siehe Abschnitt Sicherheitsadministrator).
Die Lizenzverwaltung in ESET Remote Administrator befindet sich im Hauptmenü unter Admin > Lizenzverwaltung.
Lizenzen sind durch ihre öffentliche ID eindeutig gekennzeichnet. In ESET License Administrator und ERA ist jede
Lizenz durch Öffentliche ID, Lizenztyp und Flags eindeutig gekennzeichnet:
Lizenztyp kann entweder Full_Paid - Kauflizenz, Trial - Probelizenz oder NFR - nicht zum Verkauf sein.
Flags umfassen MSP, Unternehmen und Verbraucher.
Produktname des Sicherheitsprodukts, für das die Lizenz gilt.
Allgemeiner Status der Lizenz (hier wird eine Warnmeldung angezeigt, wenn die Lizenz abgelaufen ist, bald
abläuft oder die Lizenzgrenze überschritten wurde kurz davor steht).
Anzahl der Einheiten, die mit der Lizenz und der Anzahl der Offlineeinheiten aktiviert werden können.
Anzahl der Untereinheiten von ESET-Serverprodukten (Postfächer, Gateway-Schutz, Verbindungen).
Das Ablaufdatum der Lizenz.
Eigentümer und Kontaktdaten für die Lizenz.
Lizenzstatus - für den aktiven Menüeintrag.
Grün - Ihre Lizenz wurde ordnungsgemäß aktiviert.
Rot - Lizenz ist nicht im ESET License Administrator registriert oder ist abgelaufen.
Orange - Ihre Lizenz ist erschöpft oder läuft demnächst ab (in weniger als 30 Tagen).
Lizenzen synchronisieren
ESET License Administrator synchronisiert Ihre Lizenzen automatisch einmal täglich. Klicken Sie auf Lizenzen
synchronisieren, um die Lizenzinformationen in ERA sofort zu aktualisieren.
283
Lizenz oder Lizenzschlüssel hinzufügen
Klicken Sie auf „Lizenzen hinzufügen“ und wählen Sie die gewünschte Methode zum Hinzufügen der neuen
Lizenz(en) aus:
1. Lizenzschlüssel - Geben Sie den Lizenzschlüssel einer gültigen Lizenz ein und klicken sie auf Lizenz
hinzufügen. Der Lizenzschlüssel wird auf dem Aktivierungsserver überprüft und zur Liste hinzugefügt.
2. Anmeldedaten des Sicherheitsadministrators - Verknüpfen Sie ein Sicherheitsadministratorkonto und alle
verbundenen Lizenzen mit dem Bereich Lizenzverwaltung.
3. Lizenzdatei - Fügen Sie eine Lizenzdatei (.lic) hinzu und klicken Sie auf Lizenz hinzufügen. Die Lizenzdatei
wird überprüft und die Lizenz zur Liste hinzugefügt.
Lizenzen entfernen
Wählen Sie eine Lizenz aus der Liste oben aus und klicken Sie auf diese Option, um sie vollständig zu entfernen. Sie
werden aufgefordert, diese Aktion zu bestätigen. Beim Entfernen der Lizenzen wird das Produkt nicht deaktiviert.
Ihr ESET-Produkt bleibt aktiv, selbst wenn die Lizenz in ERA License Management gelöscht wurde.
Die Lizenzen können über zwei Tasks von ERA an die ESET-Sicherheitsprodukte verteilt werden:
Software-Installationstask
Produktaktivierungstask
284
9. Häufig gestellte Fragen (FAQ)
Q: V5 enthält ein Feld für benutzerdefinierte Clientinformationen. Mit diesem Feld können unsere MSPs ermitteln,
welcher Client zu welchem ihrer Kunden gehört. Existiert dieses Feld in V6?
A: Dynamische Gruppen verhalten sich etwas anders (Auswertung auf Agent-Ebene) und bieten keine Funktion für
„benutzerdefinierte Parameter / Tagging“. Sie können jedoch einen Bericht mit benutzerdefinierten Clientdaten
generieren.
Q: Wie behebe ich den Fehler „Fehler bei der Anmeldung: Verbindungsfehler mit Status 'nicht verbunden'“?
A: Überprüfen Sie, ob ERA Server-Dienst und MS SQL Server-Dienst ausgeführt werden und starten Sie die Dienste
ggf. Falls er bereits läuft, starten Sie ihn neu, aktualisieren Sie die Web-Konsole und melden Sie sich erneut an.
F: Wofür dient die Gruppe "Fundbüro"?
A: Alle Computer, die sich mit ERA Server verbinden und nicht Mitglieder einer statischen Gruppe sind, werden
automatisch in dieser Gruppe angezeigt. Sie können diese Gruppe und die enthaltenen Computer wie allen
anderen Computer in statischen Gruppen behandeln. Die Gruppe kann umbenannt oder in eine andere Gruppe
verschoben, jedoch nicht gelöscht werden.
Q: Wie kann ich ein duales Updateprofil erstellen?
A: Unser ESET Knowledgebase-Artikel enthält eine ausführliche Beschreibung.
Q: Wie kann ich die Informationen auf einer Seite oder in einem Seitenbereich aktualisieren, ohne das gesamte
Browserfenster zu aktualisieren?
A: Klicken Sie im Kontextmenü oben rechts im jeweiligen Abschnitt der Seite auf Aktualisieren.
F: Wie kann ich den ERA Agent unbeaufsichtigt installieren?
A: Sie können ein GPO als Anmeldeskript verwenden, um diesen Zweck zu erreichen. Die Web-Konsole unterstützt
momentan keine unbeaufsichtigte Installation.
F: Rogue Detection Sensor erkennt nicht alle Clients im Netzwerk.
A: Der RD Sensor überwacht die Netzwerkkommunikation passiv. Wenn ein PC nicht kommuniziert, wird er auch
nicht vom RD Sensor erfasst. Überprüfen Sie Ihre DNS-Einstellungen und stellen Sie sicher, dass die Kommunikation
nicht durch Probleme beim DNS-Lookup beeinträchtigt wird.
F: Wie kann ich die "Anzahl aktiver Bedrohungen" in ERA nach der Säuberung von Bedrohungen zurücksetzen?
A: Starten Sie eine Tiefenprüfung über ERA auf den Zielcomputern, um die Anzahl der aktiven Bedrohungen
zurückzusetzen. Falls Sie eine Bedrohung manuell gesäubert haben, können Sie die entsprechende Warnung
stummschalten.
F: Kann ich einen CRON-Ausdruck für das Verbindungsintervall des ERA Agent verwenden?
A: P_REPLICATION_INTERVAL nimmt CRON-Ausdrücke entgegen.
Der Standardwert ist "R R/20 * * * ? *": Verbindung zu einer zufälligen Sekunde (R=0-60) jede zufällig ausgewählte
20. Minute (z. B. 3, 23, 43 oder 17,37,57). Verwenden Sie Zufallswerte, um die Last über ein Zeitintervall zu verteilen.
Jeder ERA Agent verbindet sich also zu einem eigenen, zufälligen Zeitpunkt. Wenn Sie einen exakten CRONAusdruck verwenden, z. B. "0 * * * * ? *", verbinden sich alle Agents mit dieser Einstellung zur gleichen Zeit (jede
Minute um :00 Sekunden) und verursachen Lastspitzen auf dem Server.
F: Wie kann ich eine neue dynamische Gruppe für die automatische Bereitstellung erstellen?
A: Unser Knowledgebase-Artikel enthält eine ausführliche Beschreibung.
F: Welches Dateiformat wird für den Import einer Liste von Computern benötigt, die zu ERA hinzugefügt werden
sollen?
A: Datei mit den folgenden Zeilen:
All\Group1\GroupN\Computer1
All\Group1\GroupM\ComputerX
All ist der erforderliche Name der Stammgruppe.
F: Welche Zertifikate von Drittanbietern kann ich für die Signierung von ERA-Zertifikaten verwenden?
A: Das Zertifikat muss von einer ZS (oder einer Zwischen-ZS) stammen und die 'keyCertSign'-Markierung aus der
'keyUsage'-Einschränkung enthalten. Solche Zertifikate können nicht zum Signieren anderer Zertifikate verwendet
werden.
285
F: Wie kann ich das Administratorpasswort für die Webkonsole zurücksetzen (das bei der Einrichtung unter
Windows-Betriebssystemen eingerichtet wurde)?
A: Sie können das Passwort zurücksetzen, indem Sie das Serverinstallationsprogramm ausführen und die Option
Reparieren auswählen. Beachten Sie, dass Sie jedoch evtl. das Passwort für die ERA-Datenbank benötigen, falls Sie
bei der Erstellung der Datenbank keine Windows-Authentifizierung verwendet haben.
HINWEIS
Verwenden Sie diese Funktion mit Bedacht, da manche Reparaturoptionen gespeicherte Daten entfernen
können.
Q: Wie kann ich das Administratorpasswort für die Webkonsole zurücksetzen (Linux, bei der Einrichtung
eingegeben)?
A: Wenn Sie einen weiteren ERA-Benutzer mit ausreichenden Rechten haben, können Sie das
Administratorpasswort zurücksetzen. Falls der Administrator jedoch das einzige Konto (bei der Installation erstellt)
im System ist, können Sie dieses Passwort nicht zurücksetzen.
Installieren Sie ERA neu, suchen Sie nach dem DB-Eintrag für das Administratorkonto und aktualisieren Sie die alte
DB mit dem entsprechenden Eintrag. Allgemein sollten Sie die Anmeldeinformationen für "Administrator" an
einem sicheren Ort aufbewahren und neue Benutzer mit den gewünschten Berechtigungen erstellen. Das
Administratorkonto sollte nach Möglichkeit ausschließlich zur Erstellung anderer Benutzer und zum Zurücksetzen
von Konten verwendet werden.
Q: Wie funktioniert die Fehlersuche, wenn RD Sensor überhaupt nichts erkennt?
A: Falls Ihr BS als Netzwerkgerät erkannt ist, wird es nicht als Computer an ERA übermittelt. Netzwerkgeräte
(Drucker, Router) werden herausgefiltert. RD Sensor wurde mit libpcap version 1.3.0 kompiliert. Stellen Sie sicher,
dass diese Version auf Ihrem System installiert ist. Die zweite Voraussetzung ist eine überbrückte (bridged)
Netzverbindung von Ihrem virtuellen Computer, auf dem RD Sensor installiert ist. Falls diese Voraussetzungen
erfüllt sind, führen Sie "nmap" mit BS-Erkennung aus (http://nmap.org/book/osdetect-usage.html), um zu sehen,
ob das BS auf Ihrem Computer erkannt wird.
286
10. Über ESET Remote Administrator
In diesem Fenster werden Informationen zur installierten Version von ESET Remote Administrator und die Liste der
installierten Programmmodule angezeigt. Der obere Fensterbereich enthält Informationen zum Betriebssystem und
zu den Systemressourcen. Außerdem wird die Lizenz angezeigt, die ERA für den Download von Modulupdates
verwendet (dieselbe Lizenz, mit der ERA aktiviert wurde).
HINWEIS
Hinweise zur Bestimmung der Version von ERA-Komponenten finden Sie in unserem Knowledgebase-Artikel.
287

THUNDERBIRD E-MAIL KONTEN EINSTELLUNGEN

Nach dem Doppelklick auf setup.exe erscheint der

So kontaktieren Sie unsere Support Abteilung Per Live-Chat

Kurzanleitung zur Veranstaltungsbelegung in

So reichen Sie Ihren Businessplan zum CyberOne 2016 ein: 1

Remote Support (Fernwartung)

Anleitung TSL_SSL Aktivieren

Anleitung Registrierung „paydirekt“ Sie melden sich mit Ihren

Wichtiges zu OnePay

In fünf einfachen Schritten zu Ihrem SZ/BZ-Online