问题
- 您已安装 ESET PROTECT On-Prem,但无法访问公共互联网,并希望维护 ESET 应用程序的更新
解决方案
- 前提条件
- 使用镜像工具创建离线版本库
- 配置本地网络服务器以分发离线版本库
- 设置服务器和客户端以使用离线资源库进行更新
- 可选:通过 ESET PROTECT On-Prem 软件安装任务从共享位置安装 ESET 安全应用程序
I.先决条件
- 已安装 ESET PROTECT On-Prem 或已部署虚拟设备
- 要创建脱机存储库的计算机上有互联网连接
- 足够的可用存储空间。目前,整个版本库需要 1.2 TB 的空间。随着 ESET 发布新的更新和应用程序版本,对可用存储空间的要求会增加。
II.使用镜像工具创建离线版本库
-
确保您的设备符合使用 Mirror Tool 的要求,并已下载离线激活文件
(activation_file.lf)。 -
下载镜像工具。
-
从下载的压缩包中提取文件到所需文件夹。
-
在提取存档的文件夹中打开命令行/终端。
-
创建离线存储库。在可上网的计算机上的命令行/终端中运行以下命令。
在可上网的计算机上,在命令行/终端中运行以下命令
MirrorTool.exe --repositoryServer AUTOSELECT ^ --intermediateRepositoryDirectory C:\Intermediary ^ --outputRepositoryDirectory C:\RepositoryLinux
sudo ./MirrorTool --repositoryServer AUTOSELECT ^ --intermediateRepositoryDirectory ~/Documents/Intermediary ^ --outputRepositoryDirectory ~/Documents/Repository镜像工具将数据下载到
intermediateRepositoryDirectory文件夹。下载完成后,它会将所有数据移至outputRepositoryDirectory文件夹。 -
可选:减少文件夹的下载大小。
-
要减少文件夹的下载大小,可创建一个 JSON 格式的文本文件,放置在与 Mirror Tool 相同的文件夹中,例如:
--filterFilePath filter.txt -
在文本文件中,键入此联机帮助主题中描述的所需参数。可以按应用程序或语言过滤下载的文件。
-
-
创建离线更新镜像。要创建更新镜像,您需要在中间机上获得脱机激活文件
(activation_file.lf)。在能上网的计算机上的命令行/终端中运行以下命令。在可上网的计算机上,在命令行/终端中运行以下命令
MirrorTool.exe --mirrorType regular ^ --intermediateUpdateDirectory c:\temp\mirrorTemp ^ --offlineLicenseFilename c:\temp\offline.lf ^ --outputDirectory c:\temp\mirrorLinux
sudo ./MirrorTool --mirrorType regular \ --intermediateUpdateDirectory /tmp/mirrorTool/mirrorTemp \ --offlineLicenseFilename /tmp/mirrorTool/offline.lf \ --outputDirectory /tmp/mirrorTool/mirrorMirror Tool 会创建
临时和最终两个文件夹,大小为 3 GB。 你可以使用--excludedProducts参数来减少下载大小:ep12ep13era6(涵盖所有 PROTECT On-Prem)
使用
--excludedProducts参数的示例:MirrorTool.exe --mirrorType regular ^ --intermediateUpdateDirectory mirror-intermediary ^ --offlineLicenseFilename activation file_file.lf ^ --outputDirectory mirror-final ^ --excludedProducts ep11 ep12
查看可用应用程序列表
| 应用程序 |
|---|
| ESET Endpoint Antivirus for Linux |
| ESET Bridge |
| 适用于 Windows 的 ESET 端点防病毒软件 |
| 适用于 macOS 的 ESET 端点防病毒软件 |
| 适用于 Windows 的 ESET 端点安全软件 |
| 适用于 macOS 的 ESET 端点安全软件 |
| 安卓版 ESET 端点安全软件 |
| ESET 全磁盘加密 |
| ESET 检查连接器 |
| ESET 检查服务器 |
| 适用于 IBM Domino 的 ESET 邮件安全软件 |
| 适用于 Microsoft Exchange Server 的 ESET 邮件安全软件 |
| ESET 管理代理 |
| ESET PROTECT 移动设备连接器 |
| ESET PROTECT 内部服务器 |
| ESET PROTECT 服务器 |
| ESET PROTECT 网络控制台 |
| ESET 恶意程序检测传感器 |
| ESET 安全身份验证 |
| ESET 内部安全身份验证 |
| ESET 安全身份验证组件 |
| ESET 安全身份验证同步代理 |
| 适用于微软 SharePoint Server 的 ESET 安全软件 |
| 用于 Microsoft Windows Server 的 ESET 服务器安全 |
III.配置本地 Web 服务器以分发离线版本库
使用镜像工具下载更新和/或版本库文件(如上所述)后,选择一个本地 Web 服务器(例如 ESET Bridge 或 Microsoft IIS)。
设置网络服务器,以便向脱机环境中的计算机提供更新和安装程序。请参阅下面 ESET Bridge 和 Microsoft IIS 的设置说明。
替代方法:使用 ESET 端点作为更新镜像分发更新。
我的离线网络服务器是在 Windows
使用Microsoft IIS的 Windows 服务器
-
将镜像工具下载的整个文件夹复制到
C:\inetpub\wwwroot。 -
在 IIS 管理器中启用目录浏览。
-
将扩展名为
*的 MIME 类型添加为text/plain。
带有 ESET Bridge 的 Windows 服务器(与 ESET PROTECT On-Prem 一起分发)
-
使用简单的文本编辑器,从
C:\Program Files\ESET\Bridge打开pkgid文件。将http_proxy_settings_static_content_enabled设置更改为true,以激活离线版本库服务器。保存更改并关闭pkgid文件。 -
将下载的版本库复制到离线版本库服务器目录:
- 离线版本库服务器目录的默认位置是具有适当访问权限的
C:\ProgramData\ESET\Bridge\OfflineRepository。 - 要使用自定义目录,请为脱机资源库创建一个新文件夹(例如
C:\Repository)。在pkgid文件中,替换"http_proxy_settings_offline_repository_dirPath "一行:"%DATADIR%\OfflineRepository "改为"http_proxy_settings_offline_repository_dirPath":"C:\\Repository"。NETWORK SERVICE 用户需要对该目录拥有完全访问权限。
- 离线版本库服务器目录的默认位置是具有适当访问权限的
-
使用命令行命令重新启动 ESET Bridge 服务:
net stop "EsetBridge"和net start "EsetBridge"。只有在更改pkgid文件后才必须重启服务--当版本库数据被更改、删除或添加时,无需重启服务。 -
离线版本库在
http://YourIPaddress:4449(例如http://10.1.1.10:4449)地址上运行。
我的脱机网络服务器是在 Linux 或 ESET PROTECT 虚拟设备上运行的
带有 ESET Bridge 的 Linux 和 ESET PROTECT 虚拟设备 (CentOS)
-
使用简单的文本编辑器,打开
/opt/eset/bridge/etc中的pkgid文件。将http_proxy_settings_static_content_enabled设置更改为true,以激活离线版本库服务器。保存更改并关闭pkgid文件。 -
将下载的版本库复制到离线版本库服务器目录:
-
具有适当访问权限的离线版本库服务器目录的默认位置是
/var/opt/eset/bridge/OfflineRepository -
要使用自定义目录,请为离线版本库创建一个新文件夹:
/var/opt/CustomOfflineRepository在
pkgid文件中,替换以下一行http_proxy_settings_offline_repository_dirPath":"%DATADIR%\OfflineRepository改为
http_proxy_settings_offline_repository_dirPath":"/var/opt/CustomOfflineRepositoryNETWORK SERVICE 用户需要对该目录拥有完全访问权限。
-
-
使用此终端命令重新启动 ESET Bridge 服务:
sudo systemctl restart EsetBridge.service只有在更改
pkgid文件后才必须重启服务--当版本库数据被更改、删除或添加时,无需重启服务。 -
离线版本库在
http://YourIPaddress:4449(例如http://10.1.1.10:4449)地址上运行。
SELinux(适用于 Linux 和 ESET PROTECT 虚拟设备)
SELinux 可以阻止其他设备访问版本库机器。为版本库/更新文件位置添加例外或禁用 SELinux。
要关闭此功能,请按照以下步骤操作:
-
在编辑器中打开
/etc/selinux/config,找到并设置以下值:SELINUX=disabled -
重启系统(机器)以应用更改。
在 Linux 或 VA 防火墙上打开端口 4449 和 3128
使用 ESET PROTECT 虚拟设备时,使用Webmin将端口 4449 添加到已列出 3128 的规则中,然后保存配置。
如果您喜欢使用 Linux 控制台,请使用以下命令执行相同操作:
iptables -A INPUT -p tcp --dport 4449 -j ACCEPT ip6tables -A INPUT -p tcp --dport 4449 -j ACCEPT service iptables save service ip6tables saveIV.设置服务器和客户端以使用离线版本库
请参阅下面的示例,使用 ESET Endpoint 应用程序设置版本库和更新服务器的路径。在 ESET PROTECT On-Prem 中执行以下操作:
设置 ESET PROTECT 服务器以使用脱机版本库和更新
服务器设置
-
单击更多 → 设置并展开高级设置。
-
在版本库下的服务器 字段中,键入网络服务器地址。
-
展开更新。
-
在更新服务器字段中,键入网络服务器地址,然后单击保存。
设置 ESET 管理代理以使用脱机存储库和更新
代理策略
您需要将新设置应用于使用脱机服务器更新和版本库的所有机器(其代理)。选择一个合适的策略或 create a new one 并将其分配给这些机器。
-
打开策略。
-
单击相应的策略,然后单击编辑。
-
在策略设置 部分,展开高级设置。
-
在存储库下的服务器 字段中,键入网络服务器地址。
-
展开更新。
-
在更新服务器字段中,键入网络服务器地址,然后单击保存。确保根据要设置的应用程序键入整个地址,包括文件夹结构。
设置 ESET 端点应用程序以使用脱机存储库和更新
ESET 端点应用程序的策略(在 Windows 上)
您需要将新设置应用到使用脱机服务器进行更新的所有机器(它们的 ESET 安全应用程序)。选择合适的策略或 create a new one 并将其分配给这些计算机。
-
打开策略。
-
单击相应的策略,然后单击编辑。
-
在策略设置 部分,单击更新→配置文件 → 更新→ 模块更新。
-
禁用自动选择旁边的切换。
-
在自定义服务器字段中键入网络服务器地址,然后单击完成。确保根据要设置的应用程序键入整个地址,包括文件夹结构。下图示例显示了 ESET Endpoint 文件夹地址。
设置其他 ESET 应用程序以使用离线版本库和更新
其他应用程序
如有必要,请为任何 ESET 应用程序创建与上述示例类似的策略。
V.可选:通过 ESET PROTECT On-Prem 软件安装任务从共享位置安装 ESET 安全应用程序
在这种情况下,我们不使用版本库。您需要在客户端计算机上安装 ESET 管理代理。
-
下载 ESET 端点安装程序(ESET 下载网站)。
-
将安装程序保存到离线网络中其他计算机可访问的位置。建议根据应用程序名称和版本创建逻辑文件夹结构。
-
登录 ESET PROTECT Web 控制台。
-
使用直接链接创建新的软件安装任务。
