[KB7805] Best practises pro využití ESET PROTECT v offline prostředí (8.x-10.x)

Situace

Řešení

Předpoklady

  • Nainstalovaný ESET PROTECT nebo nasazený ESET PROTECT Virtual Appliance
  • Nainstalovaný Apache (ESET PROTECT Virtual Appliance má Apache předinstalovaný) nebo IIS (součást Windows Serveru)
  • Stáhněte si Linuxový nebo Windows MirrorTool. Více informací o nástroji Mirror Tool naleznete v naší online dokumentaci, včetně seznamu parametrů. 
    • MirrorTool.exe nelze spustit v systémech Windows XP a Windows Server 2003
  • Pokud spouštíte Mirror Tool v systému Windows, nainstalujte následující položky
    • Visual C++ Redistributable for Visual Studio 2010
    • Visual C++ 2015 Redistributable x86
  • Jedno zařízení (počítač, server) připojené k internetu, pro vytvoření a aktualizaci offline repozitáře (úložiště)
  • Alespoň 250 GB volného místa na zařízení, kde je vytvořen úplný offline repozitář
  • Stažení offline licenčních souborů z ESET Business Account

Vytvoření repozitáře (úložiště) pomocí Mirror Tool

  1. Stáhněte si aktualizační soubory pomocí Mirror Tool na zprostředkující zařízení.

  2. Přesuňte soubory na offline webový server, např. Apache.

  3. Nakonfigurujte Agenty a koncová zařízení pro použití offline webového serveru.

  4. Nakonfigurujte ESET Mirror Tool pro stahování aktualizací z jiného ESET Mirror Tool.

    Obrázek 1-1

Vytvoření offline repozitáře (úložiště)

Mirror Tool stahuje data do složky repository-intermediate. Jakmile je stahování dokončeno, jsou data přesunuta do složky repository-final.

Ujistěte se, že máte na disku dostatek volného místa, každá složka má velikost 100 GB. Jakmile je vydaná nová aktualizace a verze produktů, celková velikost bude dále narůstat.

Pravidelně aktualizujte offline prostředí

Spouštějte tuto úlohu pravidelně po několika měsících a nové soubory přesuňte do svého offline úložiště.

  1. Spusťte následující příkaz v příkazovém řádku na počítači s přístupem k internetu. V počítačích se systémem Windows použijte příkaz MirrorTool.exe a v počítačích se systémem Linux příkaz MirrorTool.

    MirrorTool.exe --repositoryServer AUTOSELECT ^ --intermediateRepositoryDirectory repository-intermediate ^ --outputRepositoryDirectory repository-final

Postupujte podle následujích kroků pro redukování stažených dat ve složce:


Uživatelé ESET PROTECT 8.x

Velikost stahované složky můžete redukovat pomocí následujících parametrů:

--productFilterForRepository - Dále v tomto dokumentu naleznete seznam názvů produktů, které lze s tímto parametrem použít. Zadejte názvy produktů nebo část názvu. Pokud název obsahuje mezeru, uzavřete ho do " ". Více názvů oddělte jednou mezerou, např: "ESET Management Agent" "Antivirus". Pokud filtrujete částečný název, například "Agent", jsou filtrovány všechny produkty obsahující tento řetězec.

--languageFilterForRepository - Vyberte, které jazykové balíčky budou staženy. Zadejte nebo zkopírujte/vložte kódy oddělené jednou mezerou, například: cz_CZ fr_FR de_DE.

V Online nápovědě naleznete podrobný seznam jazykových kódů.

Následující příkaz stáhne pouze balíčky potřebné pro aktualizaci ESET PROTECT. Například je možné použít takový repozitář při instalaci ESET Management Agenta, pomocí následujících metod:

Příklad použití parametru --productFilterForRepository:

MirrorTool.exe --repositoryServer AUTOSELECT ^ --intermediateRepositoryDirectory repository-intermediate ^ --outputRepositoryDirectory repository-final^ --productFilterForRepository "ESET Management Agent" "ESET PROTECT Bootstrapper" "ESET PROTECT Server" "ESET PROTECT WebConsole"

Uživatelé ESET PROTECT 9.x

  1. Chcete-li zmenšit velikost stahované složky, vytvořte textový soubor ve formátu JSON umístěný ve stejné složce jako Mirror Tool, například: --filterFilePath filter.txt

  2. Do textového souboru zadejte požadované parametry podle popisu v tomto článku online nápovědy. Dále v tomto dokumentu naleznete seznam názvů produktů, které lze s těmito parametry použít. Viz seznam kódů jazyků.

  3. Volitelně přidejte do textového souboru parametr --dryRun a spusťte nástroj Mirror Tool. Pokud použijete tento volitelný parametr, nástroj Mirror Tool nebude stahovat žádné soubory, ale vygeneruje soubor .csv se seznamem všech balíčků, které budou staženy.


Filtrování produktů může poškodit instalátory

Pokud použijete možnost filtrování produktů a vytvoříte redukovaný repozitář, nelze vytvořit All-in-one instalátor produktu, který jste z repozitáře vyfiltrovali.

  • Pro vytvoření All-in-one instalátoru pouze s agentem potřebujete vyfiltrovat "ESET PROTECT Bootstrapper" "ESET Management Agent".
  • Pro vytvoření All-in-one instalátoru obsahujícího Agenta a bezpečnostní produkt ESET vyfiltrujte také název(y) produktu, například: "ESET PROTECT Bootstrapper" "ESET Management Agent" "Antivirus".
  1. Pro vytvoření aktualizačního mirroru potřebujete offline licenční soubor(license_file.lf), který je k dispozici na zprostředkujícím počítači. Pro stažení aktualizačních souborů spusťte následující příkaz:

    MirrorTool.exe --mirrorType regular ^ --intermediateUpdateDirectory mirror-intermediary ^ --offlineLicenseFilename license_file.lf ^ --outputDirectory mirror-final

    Nástroj Mirror Tool vytvoří dvě složky, temporary a final o velikosti 3 GB. Pomocí parametru --excludedProducts můžete velikost stahovaného souboru zmenšit:

    • ep6
    • ep7
    • ep8
    • ep9
    • ep10
    • era6 (zahrnuje všechny balíčky PROTECT, ESMC a ERA)

    Příklad použití parametru --excludedProducts:

    MirrorTool.exe --mirrorType regular ^ --intermediateUpdateDirectory mirror-intermediary ^ --offlineLicenseFilename license_file.lf ^ --outputDirectory mirror-final ^ --excludedProducts ep4 ep5 ep6
    Pravidelně aktualizujte offline prostředí

    Naplánujte spuštění tohoto příkazu každých šest hodin a přesuňte obsah výstupních složek na offline server.


Seznam dostupných produktů

Produkt
ESET Antivirus pro Linux - Business Edition
ESET Endpoint Antivirus
ESET Endpoint Antivirus pro OS X
ESET Inspect Agent
ESET Inspect Server
ESET Endpoint Security pro Android
ESET Endpoint Security pro OS X
ESET Endpoint Security
ESET Full Disk Encryption
ESET File Security
ESET File Security pro Microsoft Windows Server
ESET Mail Security pro Microsoft Exchange Server
ESET Security pro Kerio
ESET Mail Security pro IBM Domino
ESET Rogue Detection Sensor pro Linux
ESET Rogue Detection Sensor pro Windows
ESET Rogue Detection Sensor
ESET Mail/File/Gateway Security pro Linux
ESET Security pro Microsoft SharePoint Server
ESET Secure Authentication
ESET NSX Service Manager
Safetica Agent
WinPcap
Microsoft SQL Express 2016 x64
Microsoft SQL Server 2014 Express
Microsoft SQL Express 2014 x64
Microsoft SQL Express 2014 x86
Microsoft SQL Express 2008R2 x86
Microsoft SQL Express 2008R2 x64
ApacheTomcat
ApacheHttp
ESET Remote Administrator Bootstrapper
ESET Remote Administrator 6 WebConsole
ESET Remote Administrator Virtual Agent Host
ESET Remote Administrator Server
ESET Remote Administrator Proxy
ESET Security Management Center Migration Assistant
ESET Migration Assistant
ESET Security Management Center Mobile Device Connector
ESET Remote Administrator Mobile Device Connector
ESET Remote Administrator Agent
ESET Security Management Center Bootstrapper
ESET Management Agent
ESET Security Management Center Server
ESET Security Management Center WebConsole
ESET PROTECT Server
ESET PROTECT Mobile Device Connector
ESET PROTECT Bootstrapper
ESET PROTECT WebConsole

Přesunutí souborů na offline webový server

Jakmile stáhnete aktualizace a/nebo repozitář (část 1, například Apache) vyberte lokální webový server. Nastavte webový server tak, aby aktualizace a instalační soubory sloužily počítačům v offline prostředí. Informace pro nastavení Apache a a Microsoft IIS jsou uvedeny níže.

Alternativa: Chci mít distribuci aktualizací pomocí ESET Endpoint produktu, který bude aktualizačním mirrorem

Vestavěná proxy politika

Pokud jste nainstalovali ESET PROTECT pomocí All-in-one (Bootstrapper) instalátoru se zapnutým Apache HTTP Proxy, všichni klienti budou mít defaultně zapnutou tuto formu komunikace, tedy tzv. tunneling skrze ESET proxy server. Tato konfigurace je k dispozici i v rámci Live installer skriptů.


Offline webový server ve Windows

Windows server s Microsoft IIS

  1. Zkopírujte celou složku staženou Mirror toolem do C:\inetpub\wwwroot.

  2. Povolte Directory Browsing v ISS Manageru.

  3. Přidejte MIME type s příponou * as text/plain.

    Obrázek 2-1
    Nelze načíst příponu

    Pokud ESET PROTECT není schopen přečíst přidané rozšíření, upravte web.config v root složce IIS a přidejte řádek s fileExtension=".".

    <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <directoryBrowse enabled="true" /> <staticContent> <mimeMap fileExtension=".*" mimeType="text/plain" /> <mimeMap fileExtension="." mimeType="text/plain" /> </staticContent> </system.webServer> </configuration>

Windows server s Apache HTTP Proxy (distribuovaný s ESET PROTECT)

Instalace Apache HTTP Proxy (ESET PROTECT)

Potřebný administrátorský přístup

Pro úpravu nastavení Apache a restartování služby Apache je třeba mít oprávnění správce.

  1. Vyhledejte a otevřete konfigurační soubor vašeho ApacheHTTP Proxy. Výchozí umístění je C:\Program Files\Apache HTTP Proxy\conf\httpd.conf.

  2. V souboru httpd.conf vyhledejte následující řádek.

    ... Listen 3128 ...
  1. Přidejte následující řádek:

    Listen 8080
  1. Uložte změny v souboru a restartujte službu Apache HTTP Proxy.

Můj offline webový server je na Linuxu nebo ESET PROTECT Virtual Appliance

Jak mohu nainstalovat ESET Bridge / Apache HTTP Proxy na Linux?

Linux a ESET PROTECT Virtual Appliance (CentOS) s Apache HTTPd

  1. V souboru /etc/httpd/conf/httpd.conf vyhledejte následující řádek:

    ... Listen 3128 ...
  1. Přidejte následující řádek:

    Listen 8080
  1. Vyhledejte následující řádek:

    #DocumentRoot /var/www/html
  1. Nahraďte tento řádek následujícím blokem kódu:

    DocumentRoot "/var/www/html" <Adresář "/var/www/html"> Options Indexes FollowSymlinks AllowOverride none Require all granted </Directory>
  1. Uložte soubor a restartujte službu httpd .

    sudo systemctl restart httpd.service

SELinux (aplikovatelné na Linux a ESET PROTECT Virtual Appliance)

SELinux může blokovat přístup ostatních zařízení k počítači úložiště. Přidejte výjimku pro umístění souborů repozitáře/aktualizací nebo SELinux zakažte.

Pro vypnutí této vlastnosti postupujte podle níže uvedených kroků:

  1. Otevřete /etc/selinux/config, ve vašem editoru, poté vyhledejte a nastavte následující hodnotu:

    SELINUX=disabled
  1. Restartujte systém (zařízení) pro projevení nového nastavení.


Otevřete porty 8080 a 3128 v Linux nebo Virtual Appliance firewallu

Při použití ESET PROTECT Virtual Appliance použijte Webmin pro přidání portu 8080 do pravidla, kde je již uvedeno 3128 a uložte konfiguraci.

Obrázek 3-1

Pokud dáváte přednost linuxové konzoli, proveďte totéž pomocí následujícího příkazu:

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT ip6tables -A INPUT -p tcp --dport 8080 -j ACCEPT service iptables save service ip6tables save

Zkopírujte soubory stažené pomocí Mirror tool na offline webový server

Zkopírujte soubory z prostředkujícího počítače na offline server, na kterém běží Apache.

  1. Zkopírujte celou strukturu do složky /var/www/html (nebo do složky, kterou jste zadali v nastavení DocumentRoot ).

  2. Nastavte práva k souborům tak, aby uživatel (user), na kterém běží služba httpd je mohl číst.


Volitelné: Instalace bezpečnostních produktů ESET ze sdíleného umístění (shared location)

V tomto případě nepoužíváme repozitář a je nutné mít již nainstalované ESET Management Agenty.

  1. Stáhněte si instalační program ESET.

  2. Uložte instalační program do umístění přístupného ostatním počítačům ve vaší offline síti. Doporučujeme vytvořit logickou strukturu složek podle názvů a verzí produktů.

  3. Přihlaste se do webové konzole (ESET PROTECT).

  4. Vytvořte novou úlohu Instalace aplikace s přímým odkazem. Nasazení nebo aktualizace ESET produktů pomocí ESET PROTECT.


Nastavení serveru a klientů pro používání offline repozitáře (úložiště)

Příklady pro nastavení cest Repozitáře a Aktualizačních serverů s produkty ESET Endpoint verze 7.x (a novější). V programu ESET PROTECT proveďte následující kroky:

Nastavte server ESET PROTECT tak, aby používal offline repozitář a aktualizace


Nastavení serveru

  1. Otevřete webovou konzoli ESET PROTECT ve vašem webovém prohlížeči a přihlaste se.

  2. Přejděte na Další → Nastavení  Rozšířená nastavení → Repozitář.

  3. Do pole Server zadejte svou adresu.

    Obrázek 4-1
  1. Přejděte do sekce Aktualizace .

  2. Do pole Aktualizační server zadejte adresu svého offline serveru. Zadejte celou adresu se strukturou složek podle produktu, který nastavujete.

    Obrázek 4-2
  1. Klikněte na Uložit.

    Obrázek 4-3
Použijte správnou cestou pro každý produkt

Pro nastavení aktualizačního serveru vždy zadejte celou cestu podle produktu, který nastavujete. Například: http: //update.server.local/mirror-final/eset_upd/ep10

Poslední složka v cestě by měla být jedna z následujících:

Název složky Aktualizované produkty
ep6 ESET Endpoint 6.x
ep7 ESET Endpoint 7.x
ep8 ESET Endpoint 8.x
ep9 ESET Endpoint 9.x
ep10 ESET Endpoint 10.x
era6
  • ERA 6.x
  • ESMC 7.x
  • ESET PROTECT
Nastavení ESET Management Agenta pro používání offline repozitáře a aktualizací


Politika agenta

Je třeba aplikovat nové nastavení na všechny zařízení (jejich Agenty), které používají offline server pro aktualizace a repozitář. Vyberte vhodnou politiku nebo vytvořte novou a přiřaďte ji těmto zařízením.

  1. Otevřete webovou konzoli ESET PROTECT ve vašem webovém prohlížeči a přihlaste se.

  2. Přejděte do menu Politiky.

  3. Vyberte příslušnou politiku.

  4. V Nastavení politiky přejděte na → Rozšířená nastaveníRepozitář.

  5. Do pole Server zadejte svou adresu.

Obrázek 3-1
  1. Přejděte do části Aktualizace .

  2. Do pole Aktualizační server zadejte adresu svého offline serveru. Ujistěte se, že jste zadali celou adresu se strukturou složek podle produktu, který nastavujete.

Obrázek 3-2
Nastavení produktů ESET Endpoint pro používání offline repozitáře a aktualizací


Politiky pro produkty ESET Endpoint (na Windows)

Aktivujte produkty ESET Endpoint v offline prostředí.

Nové nastavení je třeba aplikovat na všechny počítače (jejich bezpečnostní produkty ESET), které používají offline server pro aktualizace. Vyberte vhodnou politiku nebo vytvořte novou a přiřaďte ji těmto zařízením.

  1. Otevřete webovou konzoli ESET PROTECT ve vašem webovém prohlížeči a přihlaste se.

  2. Přejděte do sekce Politiky.

  3. Vyberte příslušnou politiku.

  4. V části Nastavení zásad přejděte na → AKTUALIZACEProfily → Aktualizace → Aktualizace modulů.

  5. Zrušte zaškrtnutí možnosti Zvolit automaticky.

  6. Do pole Vlastní server zadejte adresu svého offline serveru. Nezapomeňte zadat celou adresu se strukturou složek podle produktu, který nastavujete. Na příkladovém obrázku níže je uvedena adresa složky ESET Endpoint 8.x.

    Obrázek 4-1
Použijte správnou cestou pro každý produkt

Pro nastavení Vlastního serveru vždy zadejte celou cestu podle produktu, který nastavujete. . Například: http://update.server.local:8080/mirror-final/eset_upd/ep10

Poslední složka v cestě by měla být jedna z následujících:

Název složky Aktualizované produkty
ep6 ESET Endpoint 6.x
ep7 ESET Endpoint 7.x
ep8 ESET Endpoint 8.x
ep9 ESET Endpoint 9.x
ep10 ESET Endpoint 10.x
era6
  • ERA 6.x
  • ESMC 7.x
  • ESET PROTECT

Ostatní produkty

V případě potřeby vytvořte politiky pro libovolný produkt ESET podobně jako v příkladech uvedených výše.

Povolte přístup k zařízení s webovým serverem

Ujistěte se, že všechny klientské počítače mohou přistupovat k zařízení s offline repozitářem na portu 8080.