ESET Remote Administrator 5

Transcription

1 ESET REMOTE ADMINISTRATOR 5 安装手册和用户指南 单击此处下载本文档的最新版本

2 ESET REMOTE ADMI NI STRATOR 5 Copyright 2014 ESET, spol. s r.o. ESET Remote Administrator 5 由 ESET, spol. s r.o. 开发 有关更多信息 请访问 保留所有权利未经作者书面同意 本文档的任何部分均不得复制 存入检 索系统或以任何形式或任何方式传播 包括电子的 机械的 影印 记录 扫描或其他方式 ESET, spol. s r.o. 保留未经事先通知即更改任何所述应用程序软件的权利 全球客户服务中心 北美客户服务中心 REV. 5/19/2014

3 目录 简介 1. 1 新 功 能 程 序 架. 构 远.程..安..装..选...项..卡 网络..搜..索..任...务..向..导 安装..程..序...包 远程..安..装...诊..断 安装..任..务 ERA. 控..制..台..选..项 连.接 列 要 求 颜.色 软件..要..求 路.径 性.能..要..求 日.期.. /. 时..间 使.用..的..端..口 其.他 设 置 基 本.安. 装..指..导 式 环.境..概..览....网..络..结..构 显 示.模 安.装..之..前 ESET..配..置..编..辑..器 安.装 配.置..分..层 安装...ERA.....Server 主.要..配..置..条...目 集 群 模..式..安...装 ESET..... 客户端解决方案 安装...ERA.....Console 安装 镜像 直 接.安..装 ERA...Server...支...持..的..数..据..库..类...型 远 程. 安..装 基 本 要..求 要.求 数 据 库..连..接...设..置 Linux/....Mac...推...送..安..装..要..求 在以..前..的..版...本..上..安..装 远.程 推 送 安 装 方 案. -. 安..装..在..企..业..环. 境..中 登.录.. /. 电..子..邮...件..远..程..安..装 环.境..概..览....网..络..结..构 将.ESET 安 装 程 序 导...出...到..文..件..夹.. /. 登..录...脚..本 安.装 默认 登 录 安装..在..总..部 自.定..义..远..程...安..装 分公..司...安...装.. ERA..... Server 升.级 客 户 端 分公..司...安...装.. HT...T..P..镜..像..服..务..器 避.免..重..复..安...装 分公..司...远...程..安..装..到..客..户...端 安 装. 在.. 企.. 业. 环.. 境.. 中 企.业..环..境..的...其..他..需..求 ERA.... Server.....和.. ERA.... Console 安装 ERA.... Console 管理客户端计算机 3. 使用 3. 1 连 接.至.. ERA.... Server 任 务 ERA. Console 主..窗..口 页.面..设..置 信 息.过. 滤 过.滤..器 右.键..菜..单 日.期..过..滤..器 ERA. Console 中..的..选..项. 卡 选.项..卡..和..客...户..端..的..一..般..说...明 各.个..选..项..卡...中..的..同..步..与..信...息 客.户..端..选..项...卡 威.胁..日..志..选...项..卡 防.火..墙..日..志...选..项..卡 组 管.理..器 事.件..日..志..选...项..卡 HIPS....日..志...选..项..卡 设.备..控..制..日...志 W.eb...控..制..日..志 策 略 反.垃..圾..邮..件...日..志..选..项..卡 灰..名..单..日..志...选..项...卡 扫.描..日..志..选...项..卡 移.动..日..志..选...项..卡 隔.离..选..项..卡 任.务..选..项..卡 报.告..选..项..卡 面板 面 板.W..eb...服..务..器..列..表 示例..报..告..方...案 配.置..任..务 手.动 扫....描..任...务 立.即 更 新...任...务 SysInspector 脚..本..任..务 防.护 功 能 运.行..计..划..的...任..务 恢.复 / 删 除 隔 离..区..任..务 回.滚 病 毒 数 据 库 清.除..客..户..端...更..新..缓..存 生.成 安 全 审 核 日 志 任..务 显.示 通 知 任 务 完.成..任..务 静.态..组 参.数..组 Active......Directory/ LDAP......同..步 基.本..原..则..和...操..作 如.何..创..建...策..略 虚.拟..策..略 策.略..树..结...构..中..策..略..的..角...色..和..用..途 查.看..策..略 导.入.. /. 导..出...策..略 策.略..迁..移...向..导 向.客..户..端...分..配..策..略 默认..的..主...客..户..端..策..略

4 手动..分..配 策略..规..则 策略规..则...向..导 适.用..于..移...动..客..户..端..的..策...略 删.除..策..略 特.殊..设..置 策.略..执..行...方..案 每 个 服 务 器 都 是 一 个 独 立 单 元 并 在 本 地 定义..策..略 独立管理每个服务器 在 本 地 管 理 各 个 策 略 但 从 上 层 服 务 器 继 承默..认..父..策...略 从上 层 服...务...器..继..承..策..略 仅从 上 层 服 务 器 分 配 策..略 使用 组 数 据..库..备. 份 数 据..库..恢. 复 删 除..表..单 存 储..备..份 存 储..恢..复 安 装..新..许. 可..证..密..钥 修 改..服..务. 器..配..置 命 令..行..界. 面 故障排除 9. 1 常 见..问..题. 解..答 将 ESET Remote Administrator 安 装 到 W..indows server / 时...出..现..的..问..题 通 知.管. 理..器 GLE...错...误..代..码..的..含..义...是..什..么 客.户..端..状..态 错..误. 代..码 服.务..器..状..态 常 见 使 用 ESET Remote Administrator 完.成..的..任..务...事..件 远 程 安 装 ESET Smart Security 或 ESET 新.客..户..端..事...件 NOD Antivirus 时..显..示...的..错..误..消..息 爆.发..事..件 era.log 中 常 见 的 错 误 代 码 已.接..收..的..日...志..事..件 如 何..诊..断.. ERAS.....中..的..问..题 操.作 通.过...SNMP......陷..阱...通..知 提示和技巧 规.则..创..建..示...例 任..务 客 户.端. 的..详..细..信..息 计 划..现..有. 配..置..文..件 防 火.墙. 规..则..合..并..向..导 删 除.... 服务器选项 ERA 导 出..和..客. 户..端...XML....配..置..的. 其..他..功..能 用 于..笔..记. 本..电..脑..的..组..合..更. 新 常 规 使 用.. ERA...安..装..第..三..方..产..品 许.可..证..管..理 ESET.... SysInspector 安 全 用.户..管..理..器 ESET... SysInspector 介..绍 控.制..台..访..问...密..码 启..动...ESET......SysInspector 服 务.器. 维..护 用 户..界..面. 和..应..用..程..序..的..使. 用 日.志..收..集..参...数 程..序..控..件 按.时..间..参..数...进..行..清..理 ESET......SysInspector 导..航 高.级 清 理 设 置 按 日..志..记...录..的..计..数 键.盘..快..捷..键 日 志.记. 录 比..较 审.核..日..志..查...看..器 命 令..行..参. 数 同 步 服 务..脚..本 在.大..型..网..络...中..同..步 生..成..服..务..脚...本 更 新 服..务..脚..本..结...构 镜.像..服..务..器 执..行..服..务..脚...本 镜像..服..务..器...的..操..作 常 见..问..题. 解..答 更新..类..型 如何..启..用..和...配..置..镜..像 ESET.... SysRescue 其 他.设. 置 高 级 命令行控制台 ERA... Maintenance Tool ERA 8. 1 停 止.. ERA.... Server 启 动.. ERA.... Server 数 据..库. 转..换 如 何..创..建. 急..救..光..盘 目 标..选..择 设 置 文..件..夹 ESET......Antivirus 高..级..设..置 Internet 协..议 可 引 导 USB 设..备 刻 录 ESET..... SysRescue 使 用 7. 1 命 令.标. 志 命 令 最 低..要..求

5 目录 使..用...ESET......SysRescue 第三方许可证 附录

6 1. 简介 ESET Remote Administrator (ERA) 是一款实用的应用程序 它允许您从一个中心位置管理联网环境 包括工作站和服务 器 中的 ESET 产品借助 ESET Remote Administrator 的内置任务管理系统 您可以在远程计算机上安装 ESET 安全解决 方案 并快速应对新的问题和威胁 ESET Remote Administrator 本身不提供对恶意代码的其他形式防护ERA 依靠工作站或服务器上的 ESET 安全解决方案 例如 ESET NOD32 Antivirus 或 ESET Smart Security 若要完整地执行 ESET 安全解决方案组合 必须执行以下步骤 安装 ERA Server (ERAS) 安装 ERA Console (ERAC) 在客户端计算机上安装 ESET NOD32 Antivirus ESET Smart Security 等 注意 本文档的某些部分使用了指向文件夹或文件确切位置的系统变量 %ProgramFiles% = 通常为 C:\Program Files %ALLUSERSPROFILE% = 通常为 C:\Documents and Settings\All Users 新功能 1.1 ESET Remote Administrator 版本 5.0 新功能 - 管理员 Web 面板 - Web 浏览器中的报告的全面概览 - 远程安装 - 新设计 - 防护功能 - 用于在客户端上管理防护功能的新任务 - 运行计划任务 - 立即在客户端上触发计划任务的新任务 - 用户管理器 - 用于管理控制台访问账户和密码的工具 - HIPS 选项卡 - 来自客户端的 HIPS 相关事件的信息 - Web 控制选项卡 - 来自客户端的 Web 控制相关事件的信息 - 设备控制选项卡 - 来自客户端的设备控制相关事件的信息 - 反垃圾邮件选项卡 - 来自客户端的反垃圾邮件相关事件的信息 - 灰名单选项卡 - 来自需要特别或优先关注的客户端相关事件的信息 - 搜索网络中的计算机 - 新搜索任务和设计 - 支持在旧 ERA 版本 4.x 3.x 上安装 包括数据迁移 - 报告 - 新报告 新设计 支持 Web 面板 ESET Remote Administrator 版本 支持 ESET Smart Security/ESET NOD32 Antivirus 支持 ESET Mail Security 4 for Microsoft Exchange Server - 支持 ESET Mobile Security 6

7 新功能 - 远程安装 - 新设计 - 组管理 - 新设计 静态组 参数组 改进 Active Directory 同步 - 过滤器 - 改进功能 策略过滤器 静态和参数组过滤器 - 策略 - 策略规则中的新参数 支持参数组 导入/导出策略和策略规则 计划任务合并 策略规则向导 - 通知 - 支持参数组 + 一些小改进 - 客户端隔离区的集中视图 对于版本 4 及更高版本 ESS/EAV 客户端 - 报告 - 支持静态和参数组 新类型报告 移动日志 隔离 防火墙 新模板 - 防火墙规则合并向导 - 用于合并学习模式下创建的规则的向导 - ERA Console 用户的 Windows/域验证 - Windows 被动集群支持 - 支持在旧 ERA 版本 3.x 2.x 1.x 上安装 包括数据迁移 - 使用 AES-256 加密通信 新的 ESET 配置编辑器 - 支持新的 ESET 安全产品 - 支持新的 ERA Server 功能 - 压缩许可证文件 - 可以添加预定义的计划任务 ESET Remote Administrator 版本 支持 ESET 安全产品 4.x - 支持 Linux 解决方案 新功能 - 策略管理 - 通知管理器 - 只读控制台访问 - 支持 ESET SysInspector - 增强的数据传输可扩展性 - 删除同步客户端 - 许可证密钥合并/许可证管理器 - ESET NOD32 Antivirus 2.x 镜像 - 新设置 - 查找未注册计算机 中添加的基于域的过滤选项 - 服务器日志压缩 (zip) - 修复小缺陷并添加一些小功能 - 急救 CD 内部服务器增强功能 - 支持其他数据库 (MS Access, MS SQL Server, Oracle, MySQL) 新的 ESET 配置编辑器 - 支持 ESET 安全产品 4.x ESET Remote Administrator 版本 支持版本 3 的新 ESET 安全产品 (ESET Smart Security, ESET NOD32 Antivirus) - 新日志 新列 ESET 个人防火墙日志 - 版本 3 客户端的新客户端状态信息 防护状态 防护功能 系统信息 - 任务 配置 立即更新 手动扫描 交互式任务 - 仍支持 NOD32 版本 2.x 产品 7

8 新功能 - 扩展的客户端识别 添加了 MAC 地址 - 扩展的远程安装 支持 msi 和自定义程序包 - 安全增强功能 针对所有新服务器客户端的加密能力 - 性能改进 通信协议压缩 - 增加通过 ERA Server 转发 ESET Live Grid 数据 - GUI 改进 新图形 增强的状态着色 扩展的过滤器 可调整大小的对话框 - 新报告模板 ESS 方案 - 服务器性能监视 数据 查询 - ERA Server 中的更新功能 允许更新重要信息 - ERA Server 中的镜像功能 - 扩展远程安装 支持 msi 和自定义程序包 ERA 远程安装 诊断 内部服务器增强功能 - 优化的同步 最优 次优等级别划分 - 新数据库结构 - 新目录结构 - 内部安全改进 新的 ESET 配置编辑器 - 支持安全产品版本 2.x 系列和 3.x 系列 - 配置 ERA Server 的能力 - 其他新的小功能 搜索 自定义设置 新安装程序 (MSI) - 来自以前版本的数据库迁移 - 新文档 帮助 手册 1.2 程序架构 从技术上讲 ESET Remote Administrator 包含两个独立组件 ERA Server (ERAS) 和 ERA Console (ERAC)您可以在网 络上运行无限数量的 ERA Server 和控制台 因为它们的使用并没有许可协议的限制唯一的局限就是所安装的 ERA 能够管 理的客户端总数 ERA Server (ERAS) ERA 的服务器组件在以下基于 Microsoft Windows NT 的操作系统下运行为服务 2000 XP 2003 Vista 7 和 2008 该服务的主要任务是从客户端收集信息并发送它们各种请求这些请求通过 ERA Console (ERAC) 创建 包括配置任务 远 程安装请求等ERAS 是 ERAC 和客户端计算机之间的契合点 - 在这里处理 维护或修改所有信息 然后再传输到客户端或 ERAC ERA Console (ERAC) ERAC 是 ERA 的客户端组件 通常安装在工作站上管理员使用该工作站来远程控制各个客户端上的 ESET 解决方案借 助于 ERAC 管理员可以连接到 TCP 2223 端口上的 ERA 服务器组件该通信由进程 console.exe 控制 它通常位于以下目 录 %ProgramFiles%\ESET\ESET Remote Administrator\Console 安装 ERAC 时 您可能需要输入 ERAS 的名称启动时控制台将自动连接到该服务器安装后也可以配置 ERAC 8

9 2. 安装 ERA Server 和 ERA Console 2.1 要求 ERAS 是用作一种服务 因此需要基于 Microsoft Windows NT 的操作系统 2000 XP 2003 Vista 7 或 2008 虽然 ERAS 无需 Microsoft Windows Server Edition 也可以工作 但我们建议在基于服务器版本的操作系统上安装 ERAS 以使工 作顺畅装有 ERAS 的计算机应始终联机 并可由以下各项通过计算机网络进行访问 客户端 通常是工作站 具有 ERA Console 的 PC 其他 ERAS 实例 如果同步 注意 ESET Remote Administrator 5 支持在旧版本上安装 18 包括数据迁移 软 件 要 求 ERA Server 32 位操作系统 Windows 2000 和更高版本 请参见注释 64 位操作系统 Windows XP 及更高版本 数据库 Microsoft Access 内置 Microsoft SQL Server 2005 和更高版本 MySQL 5.0 和更高版本 Oracle 9i 和更高版本 Windows Installer 2.0 及更高版本 Web 面板 Internet Explorer 7.0 及更高版本 Mozilla Firefox 3.6 及更高版本 Google Chrome 9 及更高版本 与 ERA 服务器的要求一样 但在 Windows XP 上需要 SP2 及更高版本 HTTP 服务器 ERA Console 32 位操作系统 Windows 2000 和更高版本 请参见注释 64 位操作系统 Windows XP 及更高版本 Windows Installer 2.0 及更高版本 Internet Explorer 7.0 及更高版本 注释: ERA Console 在 Microsoft Windows Server Core 2008 和 Microsoft Windows Server Core 2012 上不受支持ERA Server 在这些操作系统上受支持 但不支持与 Microsoft Access 数据库集成 要在 Windows 2000 上启动 ERA Console ESET 配置编辑器和 ERA Maintenance Tool 您的系统必须有 gdiplus.dll 文 件您可以在此处下载该文件从安装程序包中解压缩文件 然后将它复制到目录 C:\WINNT\system32\ HTTPS 服务器角色在 Windows 2000 上不受支持 因此 HTTP 模式下的面板和镜像功能在此操作系统上无法正常工作要 在 Windows 2000 服务器上使用面板功能 请编辑您的设置以使面板不再默认为采用 HTTPS 模式运行 远程安装 Linux/MAC 安全产品在 Windows 2000 上不受支持 在可以成功执行推送安装之前 某些操作系统会要求您更新信任的证书您可以通过运行 Windows 更新服务或通过手动导 入最新的版本来更新这些证书 如果您使用管理员帐户在工具 > 服务器选项 > 其他设置 适用于 IIS 或 Exchange 中配置 SMTP 访问 传出电子邮件 9

10 可能无法工作 网络操作 如客户端选项卡 27 部分所述 中的某些功能 RDP 关机 在 Windows 2000 上不可用 性 能 要 求 服务器性能可能依据以下参数变化 1. 使用的数据库 MS Access 数据库 - 默认随服务器安装服务数以百计的客户端时 我们建议此解决方案但是数据库存在 2GB 大小 限制因此您需要在服务器上启动清理并定义间隔 在 工具 服务器选项 服务器维护 下以删除旧数据 其他数据库 MySQL MSSQL ORACLE 需要单独安装 但可能带来更好的服务器性能尤其要按照经销商的技术 建议 对每个数据库引擎 主要是 ORACLE 使用合适的硬件 如果您选择 ORACLE 作为数据库解决方案 则必须设置高于 活动连接最大数 值的光标数量 在 工具 服务器选 项 高级 编辑高级设置 高级 下方 默认设置为 500 光标最终数量必须考虑下层服务器数量 如果使用同 步 以及其他访问数据库引擎的应用程序使用的光标 通常 使用外部数据库 即安装在不同的物理计算机上 时 服务器性能更高 2. 客户端连接间隔设置 在 ESET Smart Security / ESET NOD32 Antivirus 版本 4.2 及更高版本中 客户端连接间隔默认设置为 10 分钟如 果您需要使更新客户端状态的频率比默认间隔更快或更慢 您可以修改此配置请记住 更短的客户端连接间隔将影响 服务器性能 3. 每个连接客户端报告的事件平均数量 从客户端发送到服务器的任何信息在特定事件 例如威胁日志 事件日志 扫描日志或配置更改 下方列出此参数不 能直接修改 但如果更改与其相关的其他设置则可以修改例如 在高级服务器配置中 在 工具 服务器选项 服 务器维护 下 您可以设置服务器可以接受的最大日志数量 此设置包含直接连接的客户端以及同步的客户端 在 常规操作中 长期平均值可以按每客户端每 4 小时 1 个事件进行估计 4. 使用的硬件 对于 小型安装 连接到 ERA 服务器的客户端少于 1000 个 处理器类型 - Pentium IV 兼容处理器 2.0 GHz 或更高 RAM - 2 GB 网络 - 1 Gbit 对于 中型安装 连接到 ERA 服务器的客户端为 个 我们建议将安装拆分到两台计算机 ERA 服务器 处理器类型 - Pentium IV 兼容处理器 2.0 GHz 或更高 RAM - 2 GB 网络 - 1 Gbit 数据库服务器 处理器类型 - Pentium IV 兼容处理器 2.0 GHz 或更高 RAM - 2 GB 网络 - 1 Gbit 或者 您可以在一台计算机上同时安装 ERA 服务器和数据库 处理器类型 - Pentium IV 兼容处理器 多核 3.0 GHz 或更高 RAM - 4 GB 网络 - 1 Gbit HDD - Raid 0 或 SSD 硬盘或二者皆可 注意: 在此情况下 ERA 服务器和数据库同时安装在一台计算机上 我们不建议使用 MS Access 数据库 因为其 2 GB 的 大小限制对于常规数据库清理是必要的还请谨记 MS SQL Express 数据库仅有 4 GB 的大小限制 10

11 对于 大型安装 连接到 ERA 服务器的客户端为 个 我们建议将安装拆分到 2 台计算机并使用 MS SQL 或 Oracle 数据库 ERA 服务器 处理器类型 - Pentium IV 兼容处理器 多核 3.0 GHz 或更高 RAM - 4 GB 网络 - 1 Gbit 数据库服务器 处理器类型 - Pentium IV 兼容处理器 多核 3.0 GHz 或更高 RAM - 4 GB 网络 - 1 Gbit HDD - Raid 0 或 SSD 磁盘或二者皆可 对于特大型安装 在一台 ERA 服务器上有 至 个客户端 我们建议将安装拆分到 2 台计算机并使用 MS SQL 或 Oracle 数据库 ERA 服务器 处理器类型 - Pentium IV 兼容处理器 多核 3.0 GHz 或更高 RAM - 8 GB 网络 - 1 Gbit HDD - Raid 0 或 SSD 磁盘或二者皆可 数据库服务器 处理器类型 - Pentium IV 兼容处理器 多核 3.0 GHz 或更高 RAM - 4 GB 网络 - 1 Gbit HDD - Raid 0 或 SSD 磁盘或二者皆可 注意: 上面列出的所有硬件配置代表运行 ERA 的最低需求我们建议使用更好的配置来获得更好的性能考虑到要服务的客 户端数量 我们强烈建议为您的服务器操作系统使用建议的最低硬件有关所用数据库类型及其限制的更多信息 请参阅由 ERA Server 支持的数据库类型 16 一章 过载 如果服务器过载 例如在以每 10 分钟间隔将 20,000 个客户端连接到最多可服务 10,000 个客户端的服务器时 将忽略部分 连接的客户端平均每秒服务的客户端连接相对于客户端连接间隔设置为 20 分钟而不是 10 分钟每个服务拒绝将记录如 下 "<SERVERMGR_WARNING> ServerThread:maximum number of threads for active connections reached (500), the server will skip this connection"服务拒绝还可以在临时服务器过载期间发生 您可以在高级服务器设置的活动连接最大数量下更改该值 默认为 500 但我们建议仅在例外情况下这样做 如解决特定 问题时 如果系统资源和数据库引擎性能过多 您可以使用此设置调整整体服务器性能 网络上的数据传输 服务器标准操作期间 我们可以估计 每 10 分钟连接的客户端将报告每个连接 0.04 个事件 即每个客户端每 4 小时报告 1 个事件这将产生每个连接 ~2 kb 通信 在病毒爆发的情况下 客户端每次连接通信报告 7 个事件 每个连接将增加最多 240 kb如果使用压缩 默认 传输数据 大小将减小约 50% 即每个连接约 120 kb 数据包括直接客户端连接 省略重复连接同步发生将明显更少 用于从下层服务器发送新事件自动同步的事件的详细级 别可以在服务器的高级设置中配置 在 工具 服务器选项 高级 编辑高级设置 同步 下 在服务器维护部分中 您可以配置上层服务器将接受的日志最高级别 该设置应用于直接连接的客户端和同步客户端 存储容量要求 带有 MS Access 数据库的 ESET Remote Administrator 的全新安装需要 60 MB 磁盘空间 大部分存储空间由客户端事件使用 这些事件存储在数据库中和磁盘上的存储库中 默认目录为 C:\Documents and Settings\All Users\Application Data\Eset\ESET Remote Administrator\Server ERA 要求至少 5% 磁盘空间可用如果超 11

12 过该最小值 服务器将停止接收一些客户端事件此设置位于 工具 服务器选项 高级 编辑高级设置 高级 磁盘 空间最大使用率 下方默认清理设置下 删除 3 个月以上的事件 常规操作需要每 1000 个客户端约 10GB 可用磁盘空 间 案例研究 某使用 MS Access 数据库的服务器每 5 分钟有客户端连接 每个连接平均报告 7 个事件 例如威胁日志 事件日志 扫描 日志 配置更改等 可临时服务最多 3000 个客户端此情况描述临时过载情况 例如病毒爆发时报告 如果服务器使用外部 MySQL 数据库 并且客户端连接间隔设置为 10 分钟 平均每个连接产生 0.02 个事件 则服务器能 够服务的客户端最大数量将增加至 30,000该情况说明最优数据库性能 客户端报告相对较少数量的事件 在常规操作中 使用 MS Access 数据库和客户端连接间隔 10 分钟可允许服务器服务最多 10,000 个客户端 使 用 的 端 口 下表列出了安装 ERAS 时可能使用的网络通信进程 EHttpSrv.exe 侦听 TCP 2221 端口 进程 era.exe 侦听 TCP 和 2846 端口使用本地操作系统进程 例如 NetBIOS over TCP/IP 进行其他通信 协议 端口 说明 TCP 2221 (ERAS 侦听) ERAS 中集成的镜像功能所用的默认端口 HTTP 版本 TCP 2222 (ERAS 侦听) 客户端和 ERAS 之间的通信 TCP 2223 (ERAS 侦听) ERAC 和 ERAS 之间的通信 为了使所有程序功能正常工作 请确保打开以下网络端口 协议 端口 说明 TCP 2224 (ERAS 侦听) 远程安装时 代理 einstaller.exe 和 ERAS 之间的通信 TCP 2225 (ERAS 侦听) ESET 面板 HTTP 服务器和 ERAS 之间的通信 TCP 2846 (ERAS 侦听) ERAS 同步 TCP 139 ERAS 认为的目标端口 使用 share admin$ 将代理 einstaller.exe 从 ERAS 复制 到客户端 UDP 137 ERAS 认为的目标端口 远程安装时 名称解析 UDP 138 ERAS 认为的目标端口 远程安装时 浏览 TCP 445 ERAS 认为的目标端口 远程安装时 使用 TCP/IP 直接访问共享资源 用于替代 TCP 139 当预定义端口 和 2846 已由其他应用程序占用时 它们都可更改 若要更改 ERA 所用的默认端口 请单击 工具 服务器选项... 若要更改端口 2221 请选择 更新 选项卡并更改 HTTP 服务器端口值端口 和 2846 可在 其他设置 93 选项卡的 端口 部分修改 预定义端口 和 2846 可以在高级安装模式中修改 (ERAS) 12

13 2.2 基本安装指导 环 境 概 览 网 络 结 构 公司网络通常包含一个局域网 (LAN) 因为我们建议安装一台 ERAS 和一台镜像服务器镜像服务器可以创建在 ERAS 或 ESET NOD32 Antivirus Business Edition / ESET Smart Security Business Edition 中 假设所有客户端都是 Microsoft Windows 2000/XP/Vista/7 工作站和笔记本电脑 并在一个域内联网名为 GHOST 的服务器 全天候联机 可以是 Professional 或 Server Edition 的 Windows 工作站 不必是 Active Directory 服务器 此外 假设安 装 ESET 客户端解决方案时 公司网络中没有笔记本电脑网络结构可能类似于下图 13

14 2.2.2 安 装 之 前 安装之前 应从 ESET 网站下载以下安装程序包 ESET Remote Administrator 组件 ESET Remote Administrator - 服务器 ESET Remote Administrator - 控制台 ESET 客户端解决方案 ESET ESET ESET ESET ESET ESET ESET Endpoint Security Endpoint Antivirus Smart Security 4.x Smart Security 3.x NOD32 Antivirus 4.x NOD32 Antivirus 3.x NOD32 Antivirus 2.7 注意: 仅下载将要安装到客户端工作站的客户端解决方案 安 装 安 装 E R A S e rve r 在名为 GHOST 的服务器上安装 ERAS 参阅环境概览 13 中的示例 首先 请选择要安装的组件有两个选项 E S E T Remote Administrator 服务器 和E S E T HTTP 面板 35 服务器 对于大多数应用程序 两个组件都将安装您可以选择将两个组件安装在不同的计算机上 例如 将 ESET HTTP 面板服务 器安装在公共可见的计算机上 而将 ERAS 安装在仅可从本地内联网访问的计算机上 或者 您可以选择不使用 ESET HTTP 面板服务器 注意: 建议将 ERAS 安装在运行服务器操作系统的计算机上 注意: 面板和镜像服务器都使用同一 HTTP 服务器 自动安装 因此 即使您在安装时取消选择面板服务器 您以后还可 以在 ESET 配置编辑器 E RA C 工具 服务器选项 高级 面板 使用本地面板 中启用它 选择了所需组件之后 请选择 典型 或 高级 安装模式 如果选择 典型 模式 程序将提示您插入许可证密钥 一个扩展名为.lic 或.zip 的文件 使您可以在许可证定义的时段 内使用 ERAS接下来 程序将提示您设置更新参数 用户名 密码和更新服务器 您还可以继续下一步 并通过选择 以后再设置更新参数 和单击 下一步 来选择以后再输入更新参数 选择 高级安装模式 将允许您配置其他的安装参数您可以通过 ERAC 在以后修改这些参数 但大多数情况下 都无需如 此唯一例外的是服务器名称 它应匹配 DNS 名称或操作系统的 %COMPUTERNAME% 值 又或者是分配给计算机的 IP 地址该信息对于执行远程安装至关重要如果在安装期间未指定该名称 安装程序将自动提供系统变量 % COMPUTERNAME% 这在大多数情况就足够了选择保存 ERAS 信息的数据库也很重要有关更多信息 请参阅 ERA Server 支持的数据库类型 16 一章 注意: 当在 Windows 2000 操作系统上安装 ERAS 时 建议不要使用 DNS 而应使用完整连接字符串 重要 Microsoft Windows 安全策略限制本地用户帐户权限结果是用户可能无法执行相关的网络操作在本地用户帐户下 运行 ERA 服务可能导致推送安装问题 例如从域向工作组远程安装时 使用 Windows Vista Windows Server 2008 或 Windows 7 时 我们建议在具有足够联网权限的帐户上运行 ERA 服务您可以在 高级安装模式 中指定运行 ERA 的用户帐 户 注意: 虽然 ERA Server 有全面的 Unicode 支持 但仍有服务器将字符转换为 ANSI 或反之的情况 例如 电子邮件 计算机 名称 在此类情况下 会使用 非 Unicode 程序的语言 设置我们建议您更改此设置以与服务器环境的区域设置相匹 配 即使您使用的不是本地化的 ERA 版本 即 您使用的是英语语言的转换 您可以在 控制面板 区域和语言选项 的 高级 选项卡中找到此设置 ERAS 程序组件会默认安装到以下目录 %ProgramFiles%\ESET\ESET Remote Administrator\Server 14

15 其他数据组件 例如日志 安装程序包和配置等 将存储在以下目录中 %ALLUSERSPROFILE%\Application Data \ESET\ESET Remote Administrator\Server ERAS 在安装后自动启动ERAS 服务活动记录在以下位置 %ALLUSERSPROFILE%\Application Data\ESET\ESET Remote Administrator\Server\logs\era.log 命令行安装 ERAS 可以使用以下命令行参数安装 /q - 静默安装可无需用户介入不显示对话框窗口 /qb - 可无需用户介入 但安装进度由进度条指示 示例 era_server_nt32_enu.msi /qb 命令行安装的参数和配置可以由管理员的.xml 配置文件 cfg.xml 进一步补充 该文件必须和 ERA.msi 安装文件位于同一文 件夹中配置文件可以在 ESET 配置编辑器 中创建 允许您配置不同 ERA 设置参阅 ESET 配置编辑器 45 部分了解更多 详情 集 群 模 式 安 装 高级安装 方案还允许您启用 集群模式安装 如果启用集群模式安装 您需要指定可供所有集群阶段完全访问的集群共享 数据文件夹的路径 即所有节点必须具有该文件夹的读/写权限 它可以是仲裁磁盘或 UNC 共享文件夹如果使用共享文 件夹 则必须在共享文件夹属性中启用计算机共享然后必须将集群节点名称添加到具有全部权限的共享权限 注意: 建议您在为集群定义共享文件夹时不要使用 IP 地址 需要在所有集群节点上分别安装 ERA Server每次安装 ERA Server 后 需要将 ERA 服务自动启动更改为手动在所有节 点上安装了 ERA Server 以后 创建常规服务 (era_server)常规服务应与集群管理员的网络名称资源相关联 如果使用非内置 MS Access 数据库 务必确保所有 ERA Server 节点连接到同一数据库在接下来的步骤中 还需要将安装 ERA 的集群节点名称设置为服务器名称 重要 需要在集群管理员控制台中将 ESET Remote Administrator Server 服务 (ERA_SERVER) 配置为集群的常规服务 卸载 如果您计划卸载 ERA Server 则集群组必须为联机状态才能进行卸载流程 1) 通过将其中一个节点下线中断集群 2) 等待故障切换完成以确认其他节点正在工作 3) 从禁用节点卸载 ESET Remote Administrator 4) 重启节点 5) 重新链接节点 6) 对集群内的所有其他节点重复上述步骤 升级以集群模式安装的 ERA 重新安装集群模式时 需要通过选中集群管理员控制台内的 脱机 使集群 ERA 服务组脱机然后 在所有集群节点上重新安 装 ERA 并重新使集群 ERA 服务组联机 15

16 安 装 E R A Console 将 ESET Remote Administrator Console 安装到管理员的 PC/笔记本计算机在高级安装模式的最后一步中 输入 ERAC 启 动时将会自动连接的 ERA Server 的名称 或其 IP 地址 本例中名为 GHOST 安装之后 启动 ERAC 并检查到 ERAS 的连接默认情况下 连接到 ERA Server 时无需密码 密码文本字段为空 但强 烈建议创建一个密码若要创建连接到 ERA Server 的密码 请单击 文件 更改密码... 然后单击 更改... 按钮修改控制 台的密码 注意 管理员可以指定访问 ESET Remote Administrator Console 的用户帐户和密码管理员还可以指定访问级别有关更 多信息 请参阅用户管理器 83 一章安装 ERAC 的计算机 需是您想要从该计算机以用户管理器中定义的帐户访问 ERAS 的同一台计算机 镜 像 您可以使用 ERA Console 来激活 LAN Update 服务器 - ERA Server 中的镜像然后可以使用该服务器更新 LAN 中的更新工 作站通过激活镜像 您将会减少通过 Internet 连接传输的数据量 继续以下操作 1) 单击 文件 连接 将 ERA Console 连接到 ERA Server 2) 从 ERA Console 单击 工具 服务器选项... 然后单击 更新 选项卡 3) 从 更新服务器 下拉菜单中选择 自动选择 保留更新间隔为 60 分钟插入 更新用户名 (EAV-***) 并单击 设置密码... 然 后输入或粘贴随用户名一同收到的密码 4) 选择 创建更新镜像 选项保留默认的镜像文件路径和 HTTP 服务器端口 (2221)保留 验证 为 无 5) 单击 高级 选项卡 然后单击 编辑高级设置... 在高级设置树中 浏览至 ERA Server 设置 镜像 为所选程序组件创 建镜像 单击右侧的 编辑 然后选择要下载的程序组件应选择网络中将要使用的所有语言版本的组件 6) 在 更新 选项卡中 单击 立即更新 以创建镜像 有关创建镜像配置选项的更多信息 请参阅如何启用和配置镜像 92 一章 E R A S e rve r 支 持 的 数 据 库 类 型 默认情况下 程序使用 Microsoft Access (Jet Database) 引擎ERAS 5.0 也支持以下数据库 Microsoft SQL Server 2005 和更高版本 MySQL 5.0 和更高版本 Oracle 9i 和更高版本 以 高级 模式安装 ERAS 时可以选择数据库类型安装完成后 无法直接从 ERA 更改数据库类型 但可以使用 ERA Maintenance Tool 111 更改 注意 Microsoft Access 数据库在 Windows Server 2008 Core 上不受支持 SQL Server Express 有 4 GB 的数据库大小限制 Microsoft Access 数据库有 2 GB 的数据库大小限制 在 Microsoft Windows 2000 上使用 MySQL 时 建议您使用 ODBC Driver 或更高版本来建立数据库连接 16 17

17 基 本 要 求 首先需要在数据库服务器上创建数据库ERAS 安装程序可以创建一个空的 MySQL 数据库 并自动命名为 ESETRADB 默认情况下 安装程序会自动创建一个新数据库若要手动创建数据库 请选择 导出脚本 选项确保取消选择 自动在新数 据库中创建表 选项 排序规则设置 将根据各个数据库的默认设置来进行排序需要激活不区分大小写 (CI) 若要激活 - 对于 MS SQL 和 MySQL 必须设置激活 CI 的 COLLATE - 对于 ORACLE 必须设置激活 CI 的 NLS_SORT - 对于 MS Access 无需任何操作 因为 CI 已经激活 字符集 使用 UNICODE 字符集 推荐 UTF-8 非常重要 客户端拥有特定区域设置或 ERA 本身为本地化版本时尤其如此对于未计 划同步以及所有客户端都连接到相同服务器的情况 可以使用想要安装的 ERA 的区域设置的字符集 MARS 多个活动结果集 如果使用 MS SQL 数据库 需要具有 MARS 支持的 ODBC 驱动程序以顺利操作否则服务器工作效率将变低 并在服务器 日志上记录以下错误消息 Database connection problem.it is strongly recommended to use odbc driver that supports multiple active result sets (MARS).The server will continue to run but the database communication may be slower.see the documentation or contact ESET support for more information. 如果问题发生在非 MS SQL 数据库上 服务器在服务器日志上记录以下消息并停止 Database connection problem.updating the odbc driver may help.you can also contact ESET support for more information. 不带 MARS 支持的驱动程序 - SQLSRV32.DLL ( ) - SQLSRV32.DLL ( ) - Windows Vista 和 Windows Server 2008 本地包含 带 MARS 支持的本机驱动程序 - SQLNCLI.DLL ( ) 数 据 库 连 接 设 置 在创建新数据库之后 必须使用以下两个选项之一 为数据库服务器指定连接参数 1. 使用 DSN 数据源名称 若要手动打开 DSN 请打开 OBCD 数据源管理器 单击 开始 运行 - 然后输入 odbcad32.exe DSN 连接示例 DSN =ERASqlServer 重要 建议使用系统 DSN 以使 ERA 正常工作 重要 在 64 位操作系统上 odbcad32.exe 必须从 %SystemRoot%\SysWOW64\ 文件夹运行 要在具有 Windows/域验证的 MSSQL 下成功安装 请确保在输入连接字符串时使用 DSN 格式 17

18 2. 直接使用完整的连接字符串 必须指定所有必要参数 驱动程序 服务器和数据库名称 这是一个用于 MS SQL Server 的完整连接字符串的示例 Driver ={SQL Server}; Server =hostname; Database =ESETRADB 这是一个用于 Oracle 服务器的完整连接字符串的示例 Driver ={Oracle in instantclient10_1}; dbq =hostname:1521/esetradb 这是一个用于 MySQL 服务器的完整连接字符串的示例 Driver ={MySQL ODBC 3.51 Driver}; Server =hostname; Database =ESETRADB 单击 设置 并指定连接所需要的用户名和密码Oracle 和 MS SQL 服务器数据库连接也需要方案名称 单击 测试连接 以验证到数据库服务器的连接 注意 我们建议使用数据库服务器验证 而不是 windows/域验证 在 以 前 的 版 本 上 安 装 ESET Remote Administrator 5 支持在以前的版本上安装 包括数据迁移要从 ERA 版本 1.x 或 2.x 进行升级 我们建议您 首先将数据迁移到 4.x 安装 然后再安装版本 5.x 来保存您的数据 注意: 由于 ERA 服务器服务已停止并且所有连接已在重新安装过程中终止 我们建议您仅在无客户端连接时重新安装可以 在重新安装之前或之后执行数据库迁移 有关详细信息 请参阅数据库转移 111 一章 E RA S erver 的安装 1. 将安装文件下载到您的服务器双击安装程序文件以开始安装 2. 与干净的 ERA Server 的安装 14 类似 请选择 典型 或 高级 安装 典型安装 - 程序会提示您输入许可证密钥文件 (*.lic) 密码和更新数据有两种迁移模式 仅导入配置模式 将在新的数 据库中创建空表 完全导入模式 将导入所有来自数据库的数据选择 创建当前数据库的备份 默认 将在对数据库进 行更改之前创建备份可以通过选择 激活旧记录的默认自动清理 来改进数据库维护 高级安装 - 程序将提示您输入许可证密钥文件 (*.lic) 用于运行 ERA 服务器服务的帐户 用于通信的端口 密码和更新 数据 SMTP 服务器设置 可选 日志记录 86 设置和数据库迁移设置 如上面 典型安装 中所述 在高级安装期间 将询问您是否要将以前的策略 Windows desktopv3 和 v4 迁移到新的 (Windows desktop v5) 策略将使用默认的设置 执行迁移 因此如果您想要配置迁移 建议您在完成升级后使用策略迁移向导 65 注意 如果安装程序在当前数据库中发现任何现有表单 将显示提示要覆盖现有表单的内容 请单击 覆盖 警告 这会 删除表单内容并覆盖其结构 单击 忽略 以保留表单不变尤其是当表单损坏或与当前版本不兼容时 单击 忽略 可能 会导致数据库不一致错误 如果您希望手动分析当前数据库 请单击 取消 以终止 ERAS 的安装 E RA Console 的安装 1. 将安装文件下载到您的服务器双击安装文件以开始安装 2. 按照 ERA Console 的 安 装 一章中所述继续操作

19 2.3 方案 - 安装在企业环境中 环 境 概 览 网 络 结 构 以下沿用了之前的网络结构 但增加了一家分公司 几个客户端和一台名为 LITTLE 的服务器我们假设总部和分公司之间采 用低速的 VPN 通道在此情况下 镜像服务器应安装在服务器 LITTLE 上为了创建更优良的用户友好环境 并尽量减少数 据传输量 我们还将在 LITTLE 上安装第二个 ERA Server 19

20 2.3.2 安 装 安 装 在 总 部 ERAS ERAC 和客户端工作站的安装与之前方案非常相似唯一的区别就在于主 ERAS (GHOST) 的配置在 工具 服务 器选项... 同步 中选择 启用 自 同步 复选框 然后在 允许的服务器 中输入次服务器的名称本例中 下层服务器名为 LITTLE 如果上层服务器上设置有同步密码 工具 服务器选项... 安全 同步密码 则该密码必须用于从下层服务器验 证 分 公 司 安 装 E R A S e rve r 在正上方的示例中 安装第二个 ERAS 和 ERAC再次启用并配置同步设置这次请选择"启用 至 同步"复选框 工具 > 服务器选项... 同步 然后定义主 ERAS 的名称建议使用主服务器的 IP 地址 即服务器 GHOST 的 IP 地址 分 公 司 安 装 H T T P 镜 像 服 务 器 此时也可以使用之前方案中的镜像服务器安装配置唯一的不同就在于定义用户名和密码 如环境概览 19 一章中的图所示 分公司的更新并不是从 ESET 的更新服务器下载 而是从总部的服务器 (GHOST) 下载更 新源由以下 URL 地址定义 (or 默认情况下 不需要指定用户名和密码 因为集成的 HTTP 服务器不需要验证 有关在 ERAS 中配置镜像的更多信息 请参阅镜像服务器 91 一章 分 公 司 远 程 安 装 到 客 户 端 可以再次沿用之前的模型 只不过是适合于执行 ERAC 直接连接到分公司 ERAS 时的所有操作 在我们的示例中为 LITTLE 此操作可防止安装程序包通过较慢的 VPN 通道传送 企 业 环 境 的 其 他 需 求 在大型网络中 可以安装多台 ERA Server 以便从更容易访问的服务器远程安装客户端计算机为此 ERAS 提供同步 参 阅安装在总部 20 和分公司 安装 ERA Server 20 章节 允许将存储的信息转发到父 ERAS 上层服务器 同步功能可 使用 ERAC 来配置 对于拥有多家分公司或远程办公室的公司来说 同步功能非常有用模型执行方案可以如下 在各个办公室中安装 ERAS 并全部同步到一个中央 ERAS在采用较慢的 VPN 连接的专用网络中 该配置的优势尤为明显 管理员只需连接到中央 ERAS 下图中标有字母 A 的通信 即可无需使用 VPN 来访问各个部门 通信 B C D 和 E 使用 ERAS 同步可绕过 较慢的通信通道 通过同步设置 管理员可以定义那些将以预设间隔自动传输到上层服务器的信息 以及那些可以在请求时从上层服务器发送 出去的信息同步功能增强了 ERA 的用户友好性并尽量减少了网络流量 20

21 它的另一个好处就是 多名用户能够以不同的权限级别登录使用控制台访问 ERAS london2.company.com 通信 D 的管 理员只能控制连接到 london2.company.com 的客户端 而访问中央 company.com (A) 的管理员则可以控制公司总部及部门/ 分公司上的所有客户端 21

22 3. 使用 ERA Console 3.1 连接至 ERA Server ERAC 中的大部分功能仅在连接到 ERAS 后可用连接之前按名称或 IP 地址定义服务器 打开 ERAC 单击 文件 编辑连接... 或 工具 控制台选项... 然后单击 连接 选项卡 单击 添加/ 删除... 按钮以添加新的 ERA Server 或修改当前列出的服务器在 选择连接 下拉菜单中选择所需的服务器然 后 单击 连接 按钮 注意: ERAC 完全支持 IPv6 协议地址的格式应为 [ipv6address]:port [ipv6address]:端口 例如 [::1]:2223 该窗口中的其他选项 在控制台启动时连接到选定服务器 - 如果选择此选项 则控制台将在启动时自动连接到选定的 ERAS 连接失败时显示消息 - 如果 ERAC 和 ERAS 之间出现通信错误 则显示警报 有两种验证类型 E RA S erv er 用户使用 ERAS 凭据验证默认情况下 连接到 ERAS 时无需密码 但强烈建议创建一个密码创建连接到 ERAS 的密 码 单击 文件 更改密码... 或 工具 服务器选项 安全 然后单击 控制台密码 旁边的 更改... 按钮 当输入密码时 可以选中 记住密码 选项请考虑使用该选项时可能存在的安全风险若要删除所有记住的密码 请单击 文 件 清除缓存密码... 如果您想设置或更改用于控制台服务器验证的用户账户 可使用用户管理器 83 工具 Windows/ 域 用户使用 Windows/域用户凭据验证若要 Windows/域验证正确工作 需要将 ERAS 安装在具有足够权限的 Windows/域帐 户下您还必须在 工具 服务器选项... 高级 选项卡 编辑高级设置... > E S E T Remot e A dminis t rat or > E RA S erv er 设置 安全性 下启用此功能 允许 Windows/ 域验证 - 启用/禁用 Windows/域验证 管理员组 - 允许您定义将为其启用 Windows/域验证的组 只读组 - 允许您定义具有只读权限的组 建立通信后 程序的标题将更改为 已连接 [服务器名称] 也可以单击 文件 连接 以连接到 ERAS 注意 ERAC 和 ERAS 之间的通信已加密 (AES-256) 22

23 3.2 ERA Console - 主窗口 ERAC 和 ERAS 之间的当前通信状态显示在状态栏 (1) 中ERAS 中的所有必要数据会定期刷新 默认为每分钟请参阅 工 具 控制台选项 其他设置 使用自动刷新 分钟 刷新进度也可以显示在状态栏中 注意 按 F5 刷新显示的数据 信息按重要性分入几个 选项卡 26 (2) 中选项卡上的大多数信息都与相连的客户端有关多数情况下 单击属性 (5) 即可升 序或降序排列数据 同时可以使用拖放操作来重新组织若要处理多个数据行 则可以使用 要显示的项目 下拉菜单和 逐页 浏览 按钮来限制它们根据需要选择 视图模式 以显示属性 有关详细信息 请参阅信息过滤 24 一章 如果您需要从选 项卡打印某些信息 请参阅页面设置 24 一章以获取详细信息 如果您同步 ERA Server 则服务器 (4) 部分很重要该部分显示 ERAS 连接的控制台的摘要信息 以及子或 下层 ERA Server 的信息第 4 部分中的 服务器 下拉菜单将影响第 5 部分中显示的信息范围 使用所有服务器 - 显示所有 ERA Server 中的信息 - 第 (5) 部分 仅使用选定的服务器 - 显示选定的 ERA Server 中的信息 - 第 (5) 部分 排除选定的服务器 - 排除选定的 ERA Server 中的信息 第 4 部分中的列 服务器名称 - 显示服务器的名称 客户端 - 连接到或选定 ERAS 的数据库中的客户端总数 病毒库范围 - 选定 ERAS 的客户端中的病毒库版本 最近的连接 - 至最近一次连接服务器后经过的时间 23

24 上次威胁警报 - 病毒警报的总数 请参阅第 5 部分中的属性 上次威胁警报 上次防火墙警报 - 防火墙警报的总数 上次事件警告 - 当前事件的总数 请参阅第 5 部分中的属性 上次事件 如果当前您已连接 您可以在服务器第 (4) 部分中右键单击并选择 连接到此服务器 以连接到选定的 ERAS启用同步时 服务器第 (4) 部分中将会显示更多信息 ERAC 的最重要功能可以从主菜单或从 ERAC 工具栏 (3) 进行访问 最后一部分是 计算机过滤条件 (6) - 请参阅信息过滤 注意 我们强烈建议您使用右键菜单 捷方式 一章 来管理客户端和过滤信息它是运行任务 管理组和策略 过滤数据和更多操作的快 页 面 设 置 在 页面设置 窗口中 您可以为打印 ERA Console 中选项卡的内容设置参数 所见即所得 - 打印您在选项卡中所看到的确切内容 所见即所得 打印 - 灰度打印选项卡仅使用黑色和白色 打印图标 - 同时打印在客户端名称旁边显示的图标 打印标题 - 在左上角插入在 标题 中定义的字符串使用默认标题 或将您自己的标题写入 标题 字段 打印徽标 - 在右上角插入在 徽标路径 中定义的字符串默认情况下会打印 ESET 徽标您可以通过单击此选项旁边的 "... " 按钮并从您的硬盘上选择徽标来加载您自己的徽标 编制页码 - 在打印页的底部插入页码 预览 - 单击显示打印页面预览 3.3 信息过滤 ERAC 提供了多个工具和功能 可实现用户友好的客户端和事件管理拥有高级过滤系统往往是无价的 尤其是在具有大量 客户端系统上 需要分组和轻松管理显示信息时ERAC 中提供一些工具 允许您高效分类和过滤连接的客户端的信息 过滤器 24 允许管理员仅显示与特定服务器或客户端工作站相关的信息若要显示过滤器选项 请单击 ERAC 菜单中的 查看 显示/ 隐藏过滤器窗格 查看模式 在 客户端 选项卡中 可通过控制台最右侧的 查看模式 下拉菜单来调整所显示的列数 完整视图模式 显示所有列 同时 最小视图模式 仅显示最重要的列这些模式经过预先定义且无法修改要自定义您的视图 请选择自定义视图模式它可 以在 工具 控制台选项... 列 显示/ 隐藏 选项卡中配置 过 滤 器 若要启用过滤 请选择 ERAC 左上角的 使用过滤器 将来对过滤条件的任何修改将会自动更新显示的数据 除非在 工具 控制台选项... 其他设置 中另外配置 在 客户端过滤器 条件部分中定义过滤条件客户端可以属于多个组和策略将客户端分配给静态或参数组经证明不仅对过 滤用途 而且对报告等活动也非常有用若要了解关于组管理的更多信息 请参见组管理器 61 一章使用策略进行客户端隔 离也可以用于多个功能有关策略创建和管理的更多信息 请参见策略 63 一章 第一个过滤工具是组和策略选择部分共有三个可选选项 显示选中的客户端 - 将在 客户端 面板中显示选定的组/策略中的客户端 隐藏选中的客户端 - 将在 客户端 面板中显示未选中的组/策略中的客户端以及不在组中的客户端如果客户端为多个组的 成员且已选中其中一个组 将不显示该客户端 隐藏选中的客户端 忽略多重成员资格 - 将显示未选中的组/策略中的客户端以及不在组中的客户端如果客户端为多个 24

25 组的成员且已选中其中一个组 将显示该客户端 显示未在组中的客户端 - 将仅显示不属于任何组/策略的客户端 注意 选中列表中的组时 还将选中其所有子组 在 过滤器 部分的下半部分中可以指定另一组参数 仅限于客户端 短语搜索 - 仅输出其名称与所输入字符串一致的客户端 仅限于客户端开头 允许通配符 - 仅列出其名称以指定字符串开头的客户端 仅限于客户端 允许通配符 - 仅列出其名称包含指定字符串的客户端 排除客户端 短语搜索 排除客户端开头 允许通配符 排除客户端 允许通配符 - 这些选项与之前三个选项 的输出结果相反 主服务器 客户端名称 计算机名称 和 MAC 地址 字段接受基于上述下拉菜单中定义的标准的字符串如果填充了 任一项 则会运行一次数据库查询 并将基于所填充的字段 可以使用逻辑运算符 AND 过滤结果您可以使用完整字符串 或通配符 (?,*) 最后一个选项是基于问题的过滤 - 仅输出具有指定问题类型的客户端若要显示问题选择 则选择 仅显示问题 并单击 编 辑... 选择您想要显示的问题 并单击 确定 以显示具有选定问题的客户端的列表 对过滤配置做出的所有更改将在单击 应用更改 后生效若要恢复默认值 请单击 重置 若要在每次修改过滤设置后自动 生成新输出 请单击 工具 控制台选项... 其他设置... 并选择 自动应用更改 注意 最后一部分中的过滤标准可能依据当前活动选项卡而变化自定义的标准可有效地对日志排序例如 您可以通过防 火墙日志中的详细级别对日志排序 以便仅显示您需要查看的日志类型 您也可以通过选择要显示的项目所在的时间间隔来对选项卡中的数据排序有关如何使用 日期过滤器 的更多信息 请参见 日期过滤器 26 一章 右 键 菜 单 使用鼠标右键来调用右键菜单 并调整列中的输出右键菜单选项包括 全选 - 选择所有条目 选择方式 '... '- 此选项允许您右键单击任意属性 并自动选择 突出显示 所有具有相同属性的其他工作站或服务器字 符串... 会自动被当前选项卡的值替代 反选 - 对条目执行反选 隐藏选定项 - 隐藏选定的条目 隐藏未选项 - 隐藏列表中所有未选定的条目 注意 选项可能依据当前活动窗口而变化 显示/ 隐藏列 - 打开 控制台选项 列 - 显示/隐藏 43 窗口 您可以在其中定义所选窗格中可用的列 如果使用以前的过滤方法后需要进一步组织条目 隐藏选定项/ 未选定项 选项非常有用若要禁用通过右键菜单设定的所有 过滤器 请单击 视图 缩略视图 或单击 ERAC 工具栏上的图标您还可以按 F5 来刷新显示信息和禁用过滤器 示例 仅显示有威胁警报的客户端 在 客户端 选项卡中 右键单击任意带最新病毒警报的空窗格 并从右键菜单中选择 选择方式... 然后再在右键菜单中 单击 隐藏选定项 显示客户端 Joseph 和 Charles 的威胁警报 单击 威胁日志 选项卡 并在值为 Joseph 的 客户端名称 列中的任意属性上单击鼠标右键在右键菜单中单击选择方式 Joseph 然后 按住 CTRL 键 右键单击并单击选择方式 Charles 最后 右键单击并从右键菜单中选择 隐藏未选 项 然后释放 CTRL 键 25

26 您可以使用 CTRL 键来选择/取消选择特定条目 也可以使用 SHIFT 键来标记/取消标记一组条目 注意 过滤也有助于为特定 突出显示 客户端创建新任务有许多有效的过滤方法 请尝试各种组合 日 期 过 滤 器 日期过滤器 位于 ERAC 中每个选项卡的右下角通过指定 时间间隔 您可以轻松地对特定时段内产生的数据进行排序 最近 X 小时/ 天/ 周/ 月/ 年 - 选择特定数字和时间这将限制当前选项卡中的项目 而且将只显示此时间间隔内产生的项目 例如 如果您选择 最近 10 天 将显示最近 10 天产生的所有项目 最近 X - 从下拉菜单中为要显示的项目选择预定义时间间隔 之前所有 包含 / 之后所有 包含 - 选择 之前所有 包含 或 之后所有 包含 旁边的复选框 并指定时间和日 期这一时间和日期之前/之后的所有项目都将显示 该间隔内所有 - 选择起止时间和日期此时间间隔内的所有项目都将显示 注意: 您可以对每个日志使用 日期过滤器 为要显示在选项卡中的数据指定时间间隔还有一个选项 您可以通过它设置选 项卡中的详细级别 如果可用 以按照相关性对数据排序 日期过滤器 将显示已通过 要显示的项目 过滤器进行过滤的数 据 - 这些过滤器相互关联这意味着将只在已过滤的数据上应用过滤器 3.4 ERA Console 中的选项卡 选 项 卡 和 客 户 端 的 一 般 说 明 选项卡上的大多数信息都与相连的客户端有关连接到 ERAS 的每个客户端均通过以下属性加以识别 计算机名称 客户端名称 + MAC 地址 + 主服务器 与特定网络操作相关的 ERAS 行为 例如重命名 PC 可以在 ERAS 高级设置中定义它有助于防止 客户端 选项卡中出现 重复条目例如 如果网络中的某一台计算机已经过重命名 但其 MAC 地址保持不变 那么 您可以避免在 客户端 选项卡 中创建新的条目 首次连接到 ERAS 的客户端由 新客户端 列中的 是 值来指定此外 它们客户端图标的右上角还标有一个小星号 请参阅 下图 通过此功能 管理员可以轻松地检测新连接的计算机取决于管理员的操作步骤 此属性可拥有不同的意义 如果客户端已经过配置并移至了特定组 则可以禁用 新 状态 方法是右键单击客户端并选择设置/ 重置标记>重置 新 标记 客户端的图标更改为下图显示的图标 新客户端 列中的值将切换为 否 注意 所有三个选项卡中的 注释 属性都是可选的管理员可以在此处插入任何说明 例如 129 号办公室 ERAS 中的时间值既可以相对模式 2 天前 显示 也可以绝对模式 ( ) 或系统模式 区域设置 显示 多数情况下 单击属性即可以升序或降序排序数据 同时可以使用拖放操作来重新组织 使用 要显示的项目 选项对想要显示在选项卡中的数据进行排序设置想要显示的日志数量 对于所有日志默认为 200 以 及希望从某个时间开始显示日志的时间段 默认情况下为最后 7 天 在大型网络中 不建议对 请勿限制时间 设置时间 段 因为这可能导致对数据库的严重加载 而且可能降低性能 注意: 您可以在每个日志中使用日期过滤器来指定时间间隔 您希望数据从该时间间隔开始显示在选项卡中您也可以在选 项卡中设置详细级别 适用时 以按相关性对数据排序 日期过滤器 将显示已通过 要显示的项目 过滤器进行过滤的数据 - 这些过滤器相互关联 双击特定值可激活其他选项卡并显示更详细的信息例如 如果双击 上次威胁警报 列中的值 则会移至 威胁日志 选项 卡 并显示与指定客户端相关的威胁日志条目如果双击的值包含过多信息以致无法显示在选项卡视图中 则打开一个对话 框窗口 其中显示有关对应客户端的详细信息 26

27 3.4.2 各 个 选 项 卡 中 的 同 步 与 信 息 如果 ERAC 连接到用作上层服务器的 ERAS 来自下层服务器的客户端将自动显示可以在下层服务器的 工具 服务器选 项 同步 同步 自 设置 中配置同步信息的类型 这种情况下 可能会丢失以下信息 详细的警报日志 威胁日志 选项卡 详细的手动扫描日志 扫描日志 选项卡.xml 格式的当前客户端详细配置 客户端 选项卡 配置 列 防护状态 防护功能 系统信息 ESET SysInspector 程序中的信息也可能缺少ESET SysInspector 与 4.x ESET 代产品及更高版本集成 如果程序对话框窗口中找不到信息 请单击 请求 按钮 在 操作 属性 配置 下 单击此按钮从下层 ERAS 下载缺失 的信息由于总是由下层 ERAS 启动同步 因此应以预设的同步间隔传输缺失的信息 在上层服务器上 可以设置将由服务器接收的日志级别 工具 服务器选项 高级 编辑高级设置... > ESET Remot e A dminis t rat or > E RA S erv er 设置 服务器维护.... 接受的日志 注意 此选项适用于所有连接到服务器的客户端 不仅是同步客户端 客 户 端 选 项 卡 此选项卡显示有关各个客户端的常规信息 属性 客户端名称 计算机名称 MAC 地址 主服务器 域 IP 产品名称 产品版本 策略名称 上次连接 防护状态文本 病毒库 上次威胁警报 上次防火墙警报 上次事件警告 上次扫描的文件 上次被感染的文件 上次已清除的文件 上次扫描日期 重新启动请求 重新启动请求日期 产品上次启动 产品安装日期 漫游用户 新客户端 操作系统名称 操作系统平台 硬件平台 配置 说明 客户端名称 可以在客户端属性对话框的 常规 选项卡中更改 工作站/服务器的名称 主机名 MAC 地址 网络适配器 与客户端通信的 ERAS 的名称 客户端所属的域/组的名称 此处的组不是在 ERAS 中创建的组 IPv4 或 IPv6 地址 ESET 产品的名称 ESET 产品的版本 分配给客户端的策略的名称 客户端上一次连接到 ERAS 的时间 除了通过同步获得的某些数据 收集自客户端的所有其他数据均 包含此时间戳 安装在某个客户端上的 ESET 安全产品的当前状态 病毒库的版本 上次病毒事件 ESET Smart Security 个人防火墙检测到的上次事件 显示警告或更高级别的事件 上次错误消息 上次手动扫描过程中扫描的文件数量 上次手动扫描过程中找到的被感染文件数量 上次手动扫描过程中被清除的 或被删除的 文件数量 上次手动扫描的日期 是否需要重新启动 例如 完成程序升级后 首次重新启动请求的时间 客户端程序上次启动的时间 ESET 安全产品在客户端上的安装日期 具有此属性的客户端将在每次与 ERAS 建立连接时执行 立即更新 任务 建议笔记本电脑使用 仅 当客户端的病毒库不是最新时 执行此更新此功能对于长时间未连接到 ERAS 的用户非常有用 并 且此任务可以立即触发更新 甚至早于常规更新任务 新连接的计算机 请参阅选项卡和客户端的一般说明 26 客户端操作系统的名称 操作系统平台 Windows/Linux 位/64 位 客户端的 current.xml 配置 包括创建配置的日期/时间 27

28 属性 防护状态 防护功能 系统信息 SysInspector 自定义信息 注释 说明 一般状态声明 性质与配置属性类似 程序组件的一般状态声明 与配置属性类似 客户端向 ERAS 提交系统信息 包括提交系统信息的时间 已安装 ESET SysInspector 工具的客户端可以从这个应用程序提交日志 管理员指定的需要显示的自定义信息 此选项可以在 ERAC 中通过 工具 服务器选项... 高级 选项 卡 编辑高级设置... > ESET Remote Administrator > ERA Server 设置 其他设置 客户端自定 义信息 进行配置 描述客户端的简短注释 由管理员输入 注意 其中某些值仅具参考性 当管理员在控制台中查看这些值时 这些值可能并不能反映当前情况例如 与发生在上午 7 点的更新错误有关的信息 并不一定意味着此更新没有在上午 8 点时完成 上次威胁警报和上次事件警告可能被记入这些 值中如果管理员知道给定信息是已过时的 可以通过右键单击并选择清除信息>清除 上次威胁警报 信息或清除 上次事 件警告 信息来清除信息上次病毒事件或上次系统事件的相关信息将被删除 双击客户端将在客户端选项卡中显示附加选项 常规 - 包含与客户端选项卡中显示的类似信息您可以使用它更改 客户端名称 客户端显示在 ERA 中的名称 并添加可 选注释 组成员 - 此选项卡列出该客户端所属的所有组有关详细信息 请参阅信息过滤 任务 - 显示与给定客户端相关的任务有关更多信息 请参阅任务 一章 配置 - 此选项卡允许您查看当前的客户端配置 或将其导出到一个.xml 文件中在本手册的后续章节中 我们将会介绍如 何使用.xml 文件来创建一个可用于 new/modified.xml 配置文件的配置模板有关详细信息 请参阅任务 57 防护状态 - 这是所有 ESET 程序的一般状态概览一些声明是交互式的 允许立刻干预此功能非常有用 因为它使您无 需手动定义新任务 即可解决特定的防护问题 防护功能 - 所有 ESET 安全功能的组件状态 反垃圾邮件 个人防火墙等 系统信息 - 已安装程序及其程序组件版本等的详细信息 S y s Ins pec t or - 启动进程和后台进程的详细信息 隔离 - 包含隔离文件列表隔离文件可以从客户端请求 保存到本地磁盘 要为特定的客户端执行网络操作 请右键单击客户端并从上下文菜单选择网络操作将向您提供多个选项 - P ing LAN 唤 醒 共享 关机/ 重新启动 消息 RDP 或自定义... 这些网络操作与 Windows 网络操作相对应并具有相同的功能通过 对话框窗口中的进度栏 您运行的每个网络操作 Ping 除外 均将告知您操作的状态 威 胁 日 志 选 项 卡 此选项卡包含有关各个病毒或威胁事件的详细信息 属性 说明 客户端名称 计算机名称 MAC 地址 主服务器 接收日期 发生日期 级别 扫描程序 对象 名称 威胁 操作 用户 信息 详细信息 报告威胁警报的客户端的名称 工作站/服务器名称 主机名 MAC 地址 网络适配器 与客户端通信的 ERAS 的名称 ERAS 记录事件的时间 事件发生的时间 警报级别 检测到威胁的安全功能的名称 对象类型 通常是威胁所处的文件夹 检测到的恶意代码的名称 给定安全功能所执行的操作 事件发生时识别的用户的名称 检测到的威胁的相关信息 客户端日志提交状态 28

29 3.4.5 防 火 墙 日 志 选 项 卡 此选项卡显示与客户端防火墙活动有关的信息 属性 说明 客户端名称 计算机名称 MAC 地址 主服务器 接收日期 发生日期 级别 事件 来源 目标 协议 规则 Application 用户 报告事件的客户端的名称 工作站/服务器名称 主机名 MAC 地址 网络适配器 与客户端通信的 ERAS 的名称 ERAS 记录事件的时间 事件发生的时间 警报级别 事件说明 源 IP 地址 目标 IP 地址 相关的协议 相关的防火墙规则 相关的应用程序 事件发生时识别的用户的名称 事 件 日 志 选 项 卡 此选项卡显示所有系统相关事件的列表 基于 ESET 安全产品程序组件 属性 说明 客户端名称 计算机名称 MAC 地址 主服务器 接收日期 发生日期 级别 插件 事件 用户 报告事件的客户端的名称 工作站/服务器的名称 主机名 MAC 地址 网络适配器 与客户端通信的 ERAS 的名称 ERAS 记录事件的时间 事件发生的时间 警报级别 报告事件的程序组件的名称 事件说明 与事件相关的用户的名称 H IP S 日 志 选 项 卡 该选项卡显示所有与 HIPS 相关的活动 属性 说明 Hips ID 客户端名称 主服务器 接收日期 发生日期 级别 应用程序 操作 目标 操作 数据库中相应条目的 ID ID 格式 HIPS 编号 报告 HIPS 消息的客户端的名称 与客户端通信的 ERA Server 的名称 ERAS 记录事件的时间 事件发生的时间 事件的紧急级别 生成 HIPS 日志的应用程序的名称其格式为应用程序可执行文件的 UNC 路径 检测到的影响目标应用程序的活动 生成 HIPS 日志的应用程序文件其格式为应用程序安装文件夹中文件的路径 HIPS 基于当前活动模式/规则所采取的操作 注意: 默认情况下 HIPS 活动的日志记录被禁用若要启用此活动的日志记录或更改设置 请转至 工具 服务器选项 > 服务器维护 日志收集参数 84 29

30 3.4.8 设 备 控 制 日 志 该选项卡显示设备控制活动的详细日志 属性 说明 设备控制 ID 客户端名称 主服务器 接收日期 发生日期 级别 用户 组 设备类别 设备 事件 操作 数据库中相应条目的 ID 报告事件的客户端的名称 与客户端通信的 ERAS 的名称 ERAS 记录事件的时间 事件发生的时间 警报级别 与事件相关的用户的名称 报告活动的客户端所属的组 可移动设备的类型 USB 存储 DVD... 可移动设备的给定名称和序列号 如果有 设备控制功能所报告的事件 给定安全功能所执行的操作 注意: 默认情况下 设备控制活动的日志记录被禁用若要启用此活动的日志记录或更改设置 请转至 工具 服务器选项 服务器维护 日志收集参数 W e b 控 制 日 志 该选项卡显示 Web 控制活动的详细日志 属性 说明 Web 控制 ID 客户端名称 主服务器 接收日期 发生日期 级别 用户 组 URL URL 掩码 URL 类别 操作 数据库中相应条目的 ID 报告事件的客户端的名称 与客户端通信的 ERAS 的名称 ERAS 记录事件的时间 事件发生的时间 警报级别 与事件相关的用户的名称 报告活动的客户端所属的组 阻止的网页的 URL 阻止的网页的 URL 掩码 阻止的网页的 URL 类别 给定安全功能所执行的操作 注意: 默认情况下 Web 控制活动的日志记录被禁用若要启用此活动的日志记录或更改设置 请转至 工具 服务器选项 服务器维护 日志收集参数 反 垃 圾 邮 件 日 志 选 项 卡 该选项卡显示所有与反垃圾邮件相关的活动 属性 说明 反垃圾邮件 ID 客户端名称 主服务器 接收日期 发生日期 发件人 收件人 主题 评分 原因 数据库中相应条目的 ID ID 格式 反垃圾邮件编号 报告 SpamAS 消息的客户端的名称 与客户端通信的 ERA Server 的名称 ERAS 记录事件的时间 事件发生的时间 标记为垃圾邮件的邮件发件人的电子邮件地址 标记为垃圾邮件的邮件的收件人 标记为垃圾邮件的邮件的主题 以百分比表示的垃圾邮件评级 邮件是垃圾邮件的几率 该邮件被标记为垃圾邮件的原因 30

31 操作 对该邮件采取的操作 注意: 默认情况下 反垃圾邮件活动的日志记录被禁用若要启用此活动的日志记录或更改设置 请转至 工具 服务器选 项 服务器维护 日志收集参数 灰名单日志 选项卡 该选项卡显示所有与灰名单相关的活动 属性 说明 灰名单 ID 客户端名称 主服务器 接收日期 发生日期 HELO 域 IP 地址 发件人 收件人 操作 剩余时间 数据库中相应条目的 ID ID 格式 灰名单编号 报告事件的客户端的名称 与客户端通信的 ERAS 的名称 ERAS 记录事件的时间 事件发生的时间 发送服务器向接收服务器标识其自身所用的域名称 邮件发件人的 IP 地址 邮件发件人的电子邮件地址 邮件收件人的电子邮件地址 给定安全功能所执行的操作 邮件被拒绝或被确认并递送前的等待时间 注意: 默认情况下 灰名单活动的日志记录被禁用若要启用此活动的日志记录或更改设置 请转至 工具 服务器选项 > 服务器维护 日志收集参数 扫 描 日 志 选 项 卡 此选项卡列出了远程启动或按照计划任务启动的手动计算机扫描的结果 属性 说明 扫描 ID 客户端名称 计算机名称 MAC 地址 主服务器 接收日期 发生日期 扫描目标 已扫描 已感染 已清除 状态 用户 类型 扫描程序 详细信息 数据库中相应条目的 ID ID 格式 扫描编号 执行扫描的客户端的名称 工作站/服务器的名称 主机名 MAC 地址 网络适配器 与客户端通信的 ERA Server 的名称 ERAS 记录扫描事件的时间 客户端上发生扫描的时间 扫描的文件 文件夹和设备 已检查文件数 已感染文件数 已清除 或已删除 对象数 扫描状态 事件发生时识别的用户的名称 用户类型 扫描程序类型 客户端日志提交状态 移 动 日 志 选 项 卡 此选项卡显示与 ERA Server 连接的手机的详细日志 属性 说明 移动 ID 客户端名称 计算机名称 MAC 地址 主服务器 移动设备的网络 ID 执行操作的客户端的名称 工作站/服务器的名称 主机名 MAC 地址 网络适配器 与客户端通信的 ERA Server 的名称 31

32 接收日期 发生日期 级别 日志类型 事件 对象类型 对象名称 操作 ERAS 记录事件的时间 客户端上发生事件的时间 警报级别 日志类型 例如安全审核日志 反垃圾短信日志 事件说明 事件相关对象 例如短信 文件... 事件相关的特定对象 例如短信发件人手机号码 文件路径... 事件期间执行的操作 或遇到的错误 隔 离 选 项 卡 此选项卡整理网络中的所有隔离条目 属性 说明 隔离 ID Hash 接收日期 最先发生 上次发生 对象名称 文件名 扩展名 大小 原因 客户端计数 威胁数 文件 按发生顺序分配给隔离对象的 ID 编号 文件哈希代码 ERAS 记录扫描事件的时间 从隔离项目第一次发生经过的时间 从隔离项目最近一次发生经过的时间 通常是威胁所处的文件夹 隔离文件的名称 隔离文件的扩展名类型 隔离文件的大小 隔离原因 - 通常是威胁类型的说明 隔离对象的客户端数量 隔离对象的次数 指示是否要求对象下载到服务器 注意 请注意 字段 对象名称 文件名 和 扩展名 仅显示前三个对象有关详细信息 请按 F3 键或双击选定项目打 开 属性 窗口 集中化隔离区提供客户端上本地存储的隔离文件概览 并提供按需要请求的选项请求文件时 将以安全加密格式复制到 ERA Server出于安全原因 在文件保存到磁盘时执行解密有关使用隔离文件的说明 请参阅恢复/删除隔离区任务 59 一 章 注意 集中化隔离区需要在客户端上安装 EAV/ESS 版本 4.2 或更高版本 任 务 选 项 卡 此选项卡的意义在任务 57 一章中说明有以下属性可供使用 属性 说明 状态 类型 名称 说明 要执行的日期 接收日期 详细信息 注释 任务状态 活动 = 正在应用 已完成 = 任务已发送至客户端 任务类型 任务名称 任务说明 任务执行时间/日期 ERAS 记录事件的时间 任务日志提交状态 描述客户端的简短注释 由管理员输入 32

33 报 告 选 项 卡 报告选项卡用于将统计信息转化为各类图表通过 ERA 工具提供图表和图表输出 这些图表随后可以逗号分隔值格式 (.csv) 保存并处理默认情况下 ERA 以 HTML 格式保存输出大多数与威胁相关的报告从威胁日志中生成 1. 面板 35 模板 - 用于 Web 面板报告的模板面板是一组报告 在使用 Web 浏览器时在线可用面板布局对每个管理员可 完全自定义双击模板将显示面板中使用的报告的预览 2. 报告模板 - 用于静态报告的模板在报告模板部分中控制台窗口的顶部 您可以看到已创建模板的名称在模板名称旁 边 您可以找到有关根据预设模板生成的报告的时间/间隔信息您可以创建新模板 或编辑现有预定义模板 如下所 示 客户端概览 - 显示所有客户端的防护状态 含有活跃威胁的客户端 - 显示含有活跃威胁的客户端 在扫描期间未清除的威胁 以及有关活跃威胁的信息 全面网络攻击报告 - 显示有关网络攻击活动的全面报告 全面短信报告 - 显示有关垃圾短信活动的全面报告 全面垃圾邮件报告 - 显示有关垃圾邮件活动的全面报告 全面威胁报告 - 显示有关所有发现的威胁的全面报告 自定义信息摘要 - 显示包含用户定义的信息 需首先进行定义 的全面报告 主要问题客户端 - 显示包含大量问题的客户端 基于上述报告 单击默认模板将重置预定义模板至其初始状态 此操作不会影响自定义创建的模板 选项 单击立即生成 确保已选择选项选项卡 可在不考虑计划的任何时刻生成报告从此选项旁边的下拉菜单选择输出类型它 将定义生成的报告的文件类型 HTML ZIP 或 PDF 报告 类型 - 基于预定义模板的报告的类型可以为预定义模板修改类型或为自定义创建的模板选定类型单击... 此选 项的旁边 显示可用于自定义全面报告的报告 样式 - 您可以使用此下拉菜单修改报告的颜色和布局 过滤器 目标客户端 - 您可以指定报告是收集所有数据还是收集来自仅选定客户端/ 服务器/ 组的数据 或者您也可以排除选 定客户端/ 服务器/ 组可以在单击添加/删除对话框窗口中目标客户端下拉菜单旁边的... 后 指定客户端/服务器/组 威胁 - 您也可以指定报告是显示所有威胁 仅限选定威胁还是排除选定威胁可以在单击添加/删除对话框窗口中 下拉菜单旁边的... 后指定威胁 单击其他设置... 可以配置其他详细信息这些设置主要应用于标题中以及所用图表类型的数据另外 您还可以按照选定属 性的状态过滤数据 并选择要使用的报告格式 (.html,.csv) 间隔 当前 - 只有发生在选定时段的事件才会包括到报告中 - 例如 如果报告在星期三创建并且间隔设置为 当前周 则报 告会包括星期日 星期一 星期二和星期三中的事件 已完成- 只有发生在已选定且已结束期间的事件才会包括在报告中 例如 整个八月或整周 - 从星期日到下星期 六 如果选择同时添加当前时段 则报告将包括从上一已完成时段到创建日期之间的事件 示例 我们希望创建包括上一日历周 例如 从星期日到下一星期六 中事件的报告我们希望此报告在下个星期三 星期六后 生成在间隔选项卡中 请选择已完成和 1 周删除同时添加当前时段在计划任务选项卡中设置频率为每周并选择星 期三根据管理员的判断可配置其他设置 自/ 至 - 使用此设置定义要生成报告的时段 计划任务 33

34 频率 - 允许您定义和配置特定时间或间隔内的自动报告 计划报告后 单击选择目标... 指定保存报告的位置可将报告保存到 ERAS 默认 通过电子邮件发送到选定的地址或导 出到文件夹如果要将报告发送到您公司内联网上的共享文件夹以便其他员工查看 后面的选项非常有用如果您使用此选 项 请选择输出文件类型 HTML ZIP 或 PDF 您可以在文件的路径中使用变量 (%)变量不区分大小写这些变量向生 成的报告添加自定义信息如果您以 \ 符号结束文件夹路径 则报告将被直接写入此文件夹且数据将被覆盖支持以下变量 变量 说明 %INTERVAL% 生成报告的间隔 按照从 CReport::GetIntervalString (INTERVALSTRING_FOLDER) 返回的值 %DATE% 当前日期 ("YYYY-MM-DD") %TIME% 当前时间 ("HH-MM-SS") %DATETIME% 当前日期和时间 ("YYYY-MM-DD HH-MM-SS") %TIMESTAMP% 当前日期和时间 UNIX时间 十六进制 8 位数 %RND4% 随机值 4 位十六进制数 几乎唯一 不推荐 %DDATE% 当前日期 密集 ("YYYYMMDD") %DTIME% 当前时间 密集 ("HHMMSS") %YEAR%, %MONTH%, %DAY%, %HOUR%, %MINUTE%, 当前日期/时间部分为数字 年份 4 位数 其余 2 位数 %SECOND% %COUNTER% 5 位十进制计数器 从 1 开始 %COUNTER1%, %COUNTER2%, %COUNTER3%, % COUNTER4%, %COUNTER5% 1/2/3/4/5 位十进制计数器 从 1 开始 %CCOUNTER% 5 位十进制条件计数器 一次迭代被清除 二次迭代为 "00002" %CCOUNTER1%, %CCOUNTER2%, %CCOUNTER3%, % 1/2/3/4/5 位十进制条件计数器 CCOUNTER4%, %CCOUNTER5% %UCOUNTER% 5 位带下划线的十进制计数器 一次迭代被清除 二次迭代为 "00002" %UCOUNTER1%, %UCOUNTER2%, %UCOUNTER3%, % 1/2/3/4/5 位带下划线的十进制计数器 UCOUNTER4%, %UCOUNTER5% %% 单点 % 登录 例如 如果您输入以下格式的路径 C:\Reports\%INTERVAL%_%COUNTER%" 生成的文件夹名称将如同 C:\Reports\Day _00001; C:\Reports\Day _00002 等 若要通过电子邮件发送生成的报告 您需要在工具 > 服务器选项 > 其他设置中输入 SMTP 服务器和发件人地址信息 3. 生成的报告 - 以前生成的报告可以在生成的报告选项卡中查看有关更多选项 请选择单个 或多个 报告并使用右键菜 单 右键单击 您可以按报告名称 报告生成的日期 模板名称和报告的位置对报告排序单击打开或在列表中双击 报告可打开报告单击列表中的报告将在下部显示预览 如果选中了此选项 置于常用列表中的模板可用于以后立即生成新报告若要将模板移到 常用 右键单击报告并选择右键菜单中的添加到常用 34

35 面 板 面板 是一组报告 它们会自动更新数据并可提供较全面的系统状态概览具有对 ERAC 进行访问和登录权限的每位用户都 拥有一组单独的面板 用户可以对这些面板进行全面的自定义这些设置直接存储在服务器上 因此用户能从任何浏览器中 访问相同的面板 面板功能默认使用 ERA HTTP 服务器并通过端口 443 进行通信可在 ERA 控制台的 高级服务器选项 中对端口和证书 用 于 HTTPS 进行更改也可以从工具栏中的 ERAC 主程序窗口 蓝色云状图标 访问 面板 和 面板连接选项 注意: 管理员需要首先为每个报告准备一个模板 然后才能将模板用于面板中否则 报告中的数据可能无法正确显示 注意: 默认情况下 面板 使用具有自签名证书的 https 协议来启动这可能会在 Web 浏览器中触发以下警告消息 此网站 出具的安全证书不是由受信任的证书授权机构颁发的请注意 使用 HTTP 时 您的用户名和密码将以纯文本的形式传送 在使用 Windows/域登录时 这种方式尤其不安全 安装程序可为您生成自签名证书一些浏览器可能会在遇到自签名证书时显示警告您也可以在高级安装模式期间或在以后 任意时间通过 ESET 配置编辑器提供您自己的证书提供的证书可以是由受信任的证书授权机构签署的 或者您也可以使用 自己的根证书支持以下 X.509 证书和私钥格式 ASN - 位于单独文件中的 ASN.1 DER 编码的证书和密钥 PEM - 位于单独文件中带额外标题的 Base64 编码的 ASN 证书和密钥 PFX - 位于单个容器文件中的证书和私钥 不能使用具有不同格式的证书和密钥您可以将协议更改为 http 方法是在 ERAC 的主程序窗口中单击 面板 蓝色云状图 标 然后单击 配置... 或者您也可以使用 ESET 配置编辑器定义您自己的证书 采用 PEM 文件格式 X.509 base64 编 码 工具 服务器 选项 高级 编辑高级设置... 远程管理器 E RA 服务器 设置 面板 本地证书密 钥 / 本地证书 注意: 面板还支持 IPv6 协议例如 系统提供一组用于 面板 的预定义模板 如下所示 或者您可以创建自定义模板 35

36 反垃圾邮件操作摘要 - 显示所有反垃圾邮件引擎活动的摘要 反垃圾邮件评分组合 - 显示垃圾邮件评分组合和已评级邮件的数量 客户端连接概览 - 基于其连接时间和状态 显示客户端连接的概览 客户端自定义信息 1 摘要 - 显示包含用户定义的信息 需首先进行定义 的全面报告 客户端自定义信息 2 摘要 - 显示包含用户定义的信息 需首先进行定义 的全面报告 客户端自定义信息 3 摘要 - 显示包含用户定义的信息 需首先进行定义 的全面报告 客户端组 - 显示选定组的客户端计数 所有组客户端 - 显示选定组的客户端计数与总客户端计数的比率 以百分比表示 具有活跃威胁的客户端 - 显示具有活跃威胁 在扫描期间未清除的 的客户端以及有关活跃威胁的信息 灰名单操作摘要 - 显示所有列入灰名单的邮件和已执行的操作 托管和未托管的计算机 - 显示当前连接到 ERA 服务器 托管的计算机 和未连接到 ERA 服务器的计算机 未托管的计 算机 这是基于默认的搜索任务进行的 操作系统名称摘要 - 显示客户端操作系统的数量和类型 产品摘要 - 显示客户端安全产品的数量和类型 防护状态摘要 - 显示客户端的数量及其安全状态 垃圾短信进度 - 显示垃圾短信的进度 服务器数据库加载 - 显示所有线程使用数据库的总时间 服务器数据库查询 - 显示在数据库上执行的 SQL 查询的数量 服务器硬件加载 - 显示服务器计算机的 CPU 和 RAM 使用情况 服务器状态监视 - 显示服务器状态以及有关病毒库更新的信息 威胁相对进度 - 选定威胁 使用过滤器 的恶意软件事件数相对于总威胁数的进度 威胁进度 - 恶意软件事件的进度 数量 威胁 按对象 - 基于攻击媒介 电子邮件 文件 引导区 的威胁警报数 威胁 按扫描程序 - 来自单个程序模块的威胁警报数 主要客户端 按断开连接 - 显示主要客户端 按其上次连接的日期排序 含有最多网络攻击的主要客户端 - 显示含有最多网络攻击的客户端 含有最多垃圾短信的主要客户端 - 显示含有最多垃圾短信的客户端 含有最多垃圾邮件的主要客户端 - 显示含有最多垃圾邮件的客户端 含有最多威胁的主要客户端 - 最 活跃 的客户端工作站列表 由检测到的威胁数量计量 主要灰名单邮件接收者 - 显示灰名单邮件的主要接收者 主要灰名单邮件发送者 - 显示灰名单邮件的主要发送者 主要网络攻击 - 显示主要网络攻击 主要网络攻击源 - 显示主要网络攻击源 主要垃圾短信发送者 - 显示指定目标的主要垃圾短信发送者 主要垃圾邮件接收者 - 显示垃圾邮件的主要接收者 主要垃圾邮件发送者 - 显示垃圾邮件的主要发送者 主要威胁 - 最常检测到的威胁列表 主要威胁 按传播 - 显示主要威胁 按传播 含有最多威胁的主要用户 - 最 活跃 的用户列表 由检测到的威胁数量计量 未注册的计算机 - 显示所有未托管的计算机 - 没有连接到 ERA 服务器的计算机它还将显示找到新的未托管计算机的时 间 通过单击 导入... / 导出... 可以向.xml 文件导入或从其中导出现有报告模板. 在导入的模板名称后分配随机字符串 解决 导入时的名称冲突 现有和导入模板具有相同名称 若要将已定义报告的设置保存到模板 请单击 保存 或 另存为... 如果您要新建模板 请单击 另存为... 并提供一个模板 名称单击 默认模板 将重置预定义模板至其初始状态 此操作不会影响自定义创建的模板 选项 预览报告 - 单击此按钮将生成面板并显示预览 报告 类型 - 报告的类型 基于预定义的模板 可以修改曾用于创建自定义模板的预定义模板的类型 过滤器 36

37 目标客户端 - 您可以指定报告是收集 所有 数据还是收集来自 仅限于选中的客户端/ 服务器/ 组 的数据 或者您也 可以 排除选中的客户端/ 服务器/ 组 单击 添加/ 移除 对话框窗口中 目标客户端 下拉菜单旁边的... 按钮后 即可指定 客户端/服务器/组 威胁 - 您也可以指定报告是显示 所有 威胁 仅限选定威胁 还是 排除选定威胁 可以通过单击 添加/ 移除 对话 框窗口中下拉菜单旁边的... 指定威胁 单击 其他设置... 可以配置其他详细信息这些设置主要应用于标题中以及所用图表类型的数据另外 您还可以按照选定 属性的状态过滤数据此外 您也可以选择要使用的报告格式 (.html,.csv) 间隔 时间 - 您希望报告中包含 最近 X 分钟/ 小时/ 天/ 周/ 月/ 年 的数据该时间基于事件报告给 ERA 的时间 刷新 浏览器刷新间隔 - 选择从 Web 服务器接收的新数据的刷新时间间隔 服务器刷新间隔 - 选择要将其间数据发送到 Web 服务器的时间间隔 面 板 W e b 服 务 器 列 表 单击主菜单中面板图标旁边的箭头可配置 面板 Web 服务器 连接选项 面板 Web 服务器 - 所有可用的面板 Web 服务器的列表 删除 - 单击此按钮将选定的面板 Web 服务器从列表中删除 设置为默认值 - 将选定的面板 Web 服务器设置为默认值这将首先在下拉菜单中可用 单击面板图标旁边的箭头之 后 并在单击面板图标本身后打开 协议 - 您可以从具有自签名证书的 http 和 https 之间选择 主机名或 IP 地址 - 显示选定的面板 Web 服务器的主机名或 IP 地址此外 您可以输入新的主机名或 IP 地址 并单击 添加/ 保存 以保存数据并将面板 Web 服务器添加到列表 注释 - 对选定面板 Web 服务器的可选注释/描述 注意: 面板还支持 IPv6 协议例如 示 例 报 告 方 案 若要保持客户端网络安全处于顶级水平 您需要充分了解网络安全状态您可以轻松创建具有威胁 更新 客户端产品版本 等完整详细信息的报告 有关详细信息 请参阅报告 33 一节 通常每周报告将提供所有所需信息但是可能出现需要额外 警惕的情况 如发现威胁 为提供示例 我们创建一个名为隔离的参数组该组将仅包含最新的手动扫描中检测到威胁并清除的计算机选中 上次扫描 62 发现的威胁 旁边的复选框 设置此条件要创建此参数组 请按参数组 一节中的说明操作 注意 创建隔离组时 检验 粘连 选项禁用这可确保计算机将动态分配 并在条件不再满足后删除 创建隔离计算机报告要为此参数组创建报告 请按报告 33 一节中的说明操作 我们示例的特定设置如下 选项部分设置 类型 样式 目标客户端 威胁 间隔通配符设置 包含详细信息的隔离区报告 深色方案 仅选定组 n/a 当前 天 计划任务通配符设置 频率 每 每天 1天 37

38 提示 您可以将结果存储到报告数据库 或设置将存储报告副本的文件夹还可以通过电子邮件发送报告单击按钮 选择 目标... 后 所有这些设置可用 生成的报告可以在 报告 部分的 常规报告 通配符中查看 摘要 我们创建了参数组隔离 包含最近手动扫描报告威胁的计算机接下来我们创建一个自动报告 每天通知我们哪些计算 机属于隔离组 使我们充分了解客户端网络状态 从而保持潜在威胁处于控制下 提示 如果要查看上次扫描日志详细信息 您可以使用 包含详细信息的扫描报告 报告类型 远 程 安 装 选 项 卡 此选项卡提供在客户端上远程安装 ESET Smart Security 或 ESET NOD32 Antivirus 的多个方法选项有关详细信息 请参 阅远程安装 48 一章 1. 若要搜索计算机 您可以使用默认搜索任务或创建新任务若要创建任务 请单击新搜索... 以启动网络搜索任务向导 若要运行搜索任务 请单击运行 可以使用以下部分中的搜索结果过滤器工具过滤搜索结果过滤结果不影响实际的搜索任务额外搜索条件 未注册的计算机 - 显示当前服务器数据库中未列出的计算机 上次连接警告的客户端 - 显示当前服务器数据库中列出的并且导致上次连接警告的计算机 隐藏忽略的计算机 - 默认情况下 此选项为启用状态它隐藏了由管理员创建的忽略列表上的计算机 可以从右键菜单编 辑和导入此列表 3. 当前搜索任务的搜索结果显示在主要的计算机区域您可以从这里管理安装程序包 并使用右键菜单运行远程推送安装 计算机选项卡的右键菜单 右键单击 提供以下选项 管理程序包 - 运行安装程序包编辑器请参阅远程安装 39 了解详细信息 升级 Windows 客户端 - 运行升级任务如果要在旧的商业版本上安装 EES/EEV 的更高版本 请使用此选项 Windows 推送安装诊断 - 在远程安装过程中检查客户端的可用性和要使用的服务有关详细信息 请参阅远程安装诊断 41 一章 Windows 推送安装 - 运行 Windows 远程推送安装 50 Linux/ Mac 推送安装 - 运行 Linux/Mac 推送安装请参阅 Linux/Mac 推送安装要求 导出到文件夹或登录脚本 - 请参阅登录/电子邮件远程安装 通过电子邮件发送 - 请参阅登录/电子邮件远程安装 获取详细信息 了解详细信息 了解详细信息 为电子邮件和登录脚本安装设置默认登录 - 打开默认登录窗口 您可以在这里指定目标计算机管理员帐户的用户名和密 码 属性 - 打开客户端属性窗口 您可以在这里找到客户端的所有重要信息 有关其他右键菜单选项 请参阅右键菜单 25 一章 网 络 搜 索 任 务 向 导 搜索任务 是一组参数 用于搜索您网络上的计算机创建的搜索任务将直接存储在服务器上 因此它们对所有管理员可 用 您可以使用预定义的默认搜索任务 它将定期 也可以手动触发 运行并搜索整个网络此任务的搜索结果将存储在服务器 上您可以编辑此任务 但是任务一旦开始 将无法停止 直至其完成 自定义任务参数将存储在服务器上 但其搜索结果仅发送至运行它们的控制台这些搜索任务只能够手动启动 1. 首先 请选择网络任务的类型 网络扫描模板 - 创建新的搜索任务 其名称和一组参数将被存储到服务器上以便重复使用搜索结果不会被保存 运行新 搜索将刷新网络上当前可用的客户端计算机的列表 38

39 临时网络搜索任务 - 创建临时搜索任务 此类任务不会存储在服务器上 并且将在结束当前会话后被删除 2. 接下来 选择搜索网络要用的方法 您可以选择多个搜索方法 Active Directory 搜索 - 此选项使您能够为计算机选择想要搜索的活动目录分支 您也可以选择 包括已禁用的计算机 Windows 网络 (Wnet) - 搜索您的 Windows 网络中的计算机 S hell - 搜索您的网络位置 Windows 网络邻居 中的所有计算机 IP 地址搜索 - 您可以选择搜索时要使用的 IP 范围 / IP 掩码 或者您可以 自定义 IP 地址列表 计算机的搜索是通过 访问其端口 可以进行配置 进行的您也可以使用 ping 搜索 Linux 计算机时 特别推荐此方法 自定义计算机列表搜索 - 导入自定义计算机列表 网络搜索任务向导接受 *.txt 文件格式的列表 单击 完成 将保存新搜索任务 可以是临时 临时网络搜索任务 或永久保存 网络扫描模板 若要结束并立即启动任务 请单击 完成和运行 若要运行任务 请单击 远程安装 选项卡中的 运行 注意: 如果服务在本地系统帐户下运行 使用 Shell 和 Wnet 搜索可能找不到任何计算机这是因为本地系统帐户不具备执行 此类搜索的权限若要解决此问题 可更改用户或使用其他搜索方法 安 装 程 序 包 虽然远程安装可通过 ERAC 启动 但安装程序包本身位于 ERAS 的以下目录中 %ALLUSERSPROFILE%\Application Data\Eset\ESET Remote Administrator\Server\packages 要通过 ERAC 启动安装程序包 请单击远程安装选项卡并选择计算机选项卡右键单击任意位置并从右键菜单中选择管理 程序包将打开 安装程序包编辑器 窗口 每个安装程序包用一个名称定义 请参见上图中的 (1) 该对话框窗口的其他区域都与程序包内容相关 它们会在程序包被 成功传送到目标工作站之后得到应用每个程序包包含 ESET 客户端解决方案安装文件 (2) 用于 ESET 客户端解决方案的.xml 配置文件 (3) 注意: 创建新的安装程序包时 用于连接到您的 ERA 服务器的主服务器密码将保留为空白单击编辑以编辑此程序包的.xml 39

40 配置 并在各个产品的远程管理分支中设置密码 如果需要 指定给程序包的命令行参数 (4) 区域 (1) 中的 类型 下拉菜单可允许您访问 ERA 的其他功能除了远程安装 还可以使用卸载适用于 Windows 和 NOD32 版本 2 的 E S E T 安全产品选项远程卸载 ESET 安全产品选择 自定义程序包 也可以执行外部应用程序的远程 安装如果您想要在客户端计算机上运行各种脚本和可执行文件 包括第三方安全产品或独立清理工具的卸载工具 这一点 尤其重要您可以通过 程序包条目文件 指定自定义命令行参数请参阅使用 ERA 安装第三方产品 119 一章 了解更多详细 信息 系统会自动为每个程序包会分配一个 ESET 远程安装程序代理 这就允许目标工作站和 ERAS 之间进行无缝安装和通信 ESET 远程安装程序代理名为 einstaller.exe 包含 ERAS 名称及其所属的程序包的名称和类型后续部分对安装程序代理进 行了详细描述 有几个参数可影响安装过程这些参数可在管理员位于工作站进行的直接安装时使用 或用于远程安装对于远程安装 在 配置安装程序包的过程中会选择参数 - 所选参数随后会自动应用到目标客户端可在.msi 安装程序包的名称后键入 ESET Smart Security 和 ESET NOD32 Antivirus 的其他参数 例如 eav_nt64_enu.msi /qn) : / qn - 静默安装方式 - 不显示对话框窗口 / qb! - 可无需用户介入 但安装过程由进度条以 % 指示 RE B OOT = " Really S uppres s " - 阻止程序安装后的重启 RE B OOT = " Forc e" - 安装后自动重启 RE MOV E =... - 禁用选定组件的安装每个组件的命令参数如下 E mon - 电子邮件客户端防护 A nt is pam - 反垃圾邮件防护 Dmon - 文档防护 P rot oc ols c an - 协议过滤 Firewall - 个人防火墙 eht t ps erv er - 更新镜像服务器 edev mon - 设备控制 MS Nap - Microsoft NAP ep arent al - Web 控制 RE B OOTP ROMP T = " " - 安装后会显示一个对话框窗口 提示用户确认重启 不可与 /qn 一起使用 A DMINCFG = " pat h_ t o_ x ml_ f ile" - 安装过程中 指定的.xml 文件中定义的参数会应用到 ESET 安全产品中远程安 装不需要此参数安装程序包中包括各自拥有的.xml 配置 这些配置会自动应用 P A S S WORD= " pas s word" - 当 ESS/EAV 设置受密码保护时 需要添加此参数 在 setup.exe 文件名后输入 ESET NOD32 Antivirus 2.x 的参数 并且这些参数可与其他文件一起从安装程序包中解压缩 例 如 setup.exe /silentmode) : / S ILE NTMODE - 静默安装方式 - 不显示对话框窗口 / FORCE OLD - 将在已安装新版本上安装一个较旧的版本 A DMINCFG = " pat h_ t o_ x ml_ f ile" - 安装过程中 指定的.xml 文件中定义的参数会应用到 ESET 客户端解决方案中 远程安装不需要参数安装程序包中包括各自拥有的.xml 配置 这些配置会自动被应用 / RE B OOT - 安装后自动重启 / S HOWRE S TA RT - 安装后会显示一个对话框窗口 提示用户确认重启此参数只有在与 SILENTMODE 参数组合时才 可用 / INS TMFC - 安装 ERA 正常运行所需的 Microsoft Windows 9x 操作系统的 MFC 库可始终使用此参数 即使 MFC 库 可用 注意 如果您在客户端解决方案上启用了 UAC Windows Vista/7/2008 上默认的 UAC 安全设置将在执行任何程序前要求用 户确认尝试远程安装客户端解决方案并使用以上任意参数时 可能会在客户端上触发要求用户交互的弹出窗口若要避免 用户交互 请使用以下命令运行安装 C:\Windows\System32\msiExec.exe -i path_to_the_msi_file /qb! 40

41 ADMINCFG="path_tp_the_xml_file" REBOOT="ReallySupress" 其中 C:\Windows\System32\msiExec.exe -i 是 Windows 安装程序组件的可执行文件和安装参数 path_to_the_msi_file /qb!admincfg="path_tp_the_xml_file" REBOOT="ReallySupress" 是安全产品的安装文件和设置文件的路径 其后是用户交互隐藏参数 在创建/ 选择安装程序包内容 (2) 下 管理员可创建独立的安装程序包 其中包括来自现有安装程序包中的预定义配置 单 击另存为 此安装程序包可在要安装程序的客户端工作站上手动运行用户只需运行程序包 产品在安装过程中会自动安 装而无需连接到 ERAS 注意 向.msi 安装文件添加配置意味着该文件的数字签名不再有效 重要 在 Microsoft Windows Vista 及更高版本上 我们强烈建议您执行静默远程安装 /qn /qb 参数 否则与用户交互 可能导致远程安装因超时而失败 远 程 安 装 诊 断 设置 IP C$ 连接 管理员应具有所有客户端计算机的本地管理权限 必须在客户端上安装并启用共享资源 网络防火墙必须启用共享资源 端口 445 和 Windows 管理员密码不能为空 不能在工作组和域的混合环境中激活 使用简单文件共享 选项 确保服务器服务正在客户端计算机上执行 远程注册表连接 操作系统信息 必须在客户端上启用并启动 远程注册表服务 远程注册表打开 操作系统信息 除以上条件以外 还要求管理员必须具备对客户端注册表的完全控制权限 远程注册表读取 操作系统信息 管理员必须具备对客户端注册表的读取权限如果以上操作成功完成 则此操作也应成功完成 远程注册表连接 E S E T 安全产品信息 41

42 管理员必须具有对 HKEY_LOCAL_MACHINE/SOFTWARE/ESET 或整个 HKEY_LOCAL_MACHINE/SOFTWARE 分支 的完全控制权限 远程注册表打开 E S E T 安全产品信息 确保远程注册表服务正在客户端计算机上运行 设置 ADMIN$ 连接 必须启用管理共享 ADMIN$ 复制 E S E T 安装程序 必须在服务器上打开并在网络防火墙中允许端口 和/或 2224 设置 IP C$ 连接 如果此操作在获取诊断信息时已成功完成 则在此处也应成功完成 将 E S E T 安装程序注册为服务 确保您有足够的权限在目标计算机上运行 einstaller.exe 注意: 如果诊断过程中发生错误 您可以根据此信息开始故障排除安装前请参阅要求 进行错误代码分析 49 一章 并参阅常见错误代码 114 一章 安 装 任 务 远程安装 选项卡的 安装任务 选项卡包含任务列表及其属性您可以在这里修改要查看的项目数量 还可以右键单击列表 上的任务查看管理/维护选项使用 显示项目 下拉菜单增加/减少每页查看的项目数量 使用相邻导航按钮在可用页面之间切 换 您也可以过滤显示在 安装任务 选项卡中的信息在左侧窗格中选中 使用过滤器 选项以激活过滤器然后 定义任务过滤条 件 - 仅限于客户端 允许通配符 /排除客户端 允许通配符 在 计算机名称 字段中键入计算机名称 您也可以使 用通配符 (例如 *Com*) 而不是全字匹配的计算机名称单击 重置 按钮将删除过滤条件并禁用过滤器 任务名称 - 任务的名称 对于预定义的任务 其名称与任务类型相同 任务类型 - 任务的类型 有关更多信息 请参阅任务 57 状态 - 任务的当前完成状态 说明 - 任务操作的简短说明 要部署的日期 - 至/自任务执行的时间 接收日期 - 至/自在执行点任务接收的时间 注释 - 分配给安装任务的注释 双击安装任务将显示 属性 窗口 3.5 ERA 控制台选项 可以在菜单 工具 控制台选项... 中配置 ERA Console 42 一章

43 3.5.1 连 接 若要访问 ERA Console 设置 请转至主 ERAC 菜单 工具 控制台选项... 或 文件 编辑连接... 此选项卡用于配置从 ERAC 至 ERAS 的连接有关详细信息 请参阅连接 ERAS 22 一章 连接 选项卡允许您选择想要连接的服务器 以及是否要在 ERA Console 启动时连接该选定服务器控制台一次只可与一个 服务器连接如要添加同步的服务器 您需要在工具/服务器选项/同步设置 菜单中设置同步 注意 连接 ERA Server 的端口可以在 工具 服务器选项 其他设置 选项卡下自定义 参阅其他设置 93 一章 添加/ 删除... - 可将其用于添加新的 ERA Server 或修改现有服务器单击此选项将打开 连接编辑 窗口若要添加新连 接 请输入 IP 地址或服务器主机名 用于连接的端口以及注释 可选 单击 添加/ 保存 按钮 将连接添加至此窗口顶部 的服务器列表选择特定服务器用于更多选项 您可以使用 全部删除 选项 删除 它或编辑连接 与创建新连接类似 在控制台启动时连接到选定服务器 - 控制台将自动连接到一个预定义的 ERA Server 连接失败时显示消息 - 如果存在通信错误 将显示警报 列 此选项卡允许您指定各个选项卡中要显示的属性 列 所做更改将反映在自定义视图模式 客户端 27 选项卡 中无法 修改其他模式 若要在特定选项卡中显示某一列 在选项卡列表中单击选项卡名称 然后选中您想要显示的列 选择窗格 - 选择您想要修改选择的列的显示的窗格 选择要显示的列 - 选择要显示在窗格中的列仔细选择所有您需要显示在窗格中的信息 但同时保持数据查看的透明 清除所有 - 取消选中 选择要显示的列 窗口中选定窗格的所有复选框 设置所有 - 选中 选择要显示的列 窗口中选定窗格的所有复选框 默认值 - 将 选择要显示的列 窗口中选定窗格的所有复选框重置为默认值 全部为默认 - 将 选择要显示的列 窗口中所有窗格的所有复选框重置为默认值 颜 色 此选项卡允许您将不同的颜色与特定的系统相关事件关联起来 从而更清晰地突出显示有问题的客户端 条件亮显 例 如 病毒库稍稍过时的客户端 客户端 以前的版本 可以与病毒库完全过时的客户端 客户端 较旧版本或 N/ A 区分 开 通过在 窗格和列 列表中选择 将特定颜色分配给窗格和列然后选择应显示的颜色 注意 客户端 旧版本或 N/ A 列中的颜色在客户端上的 ESET Smart Security 病毒数据库版本未添加或旧于服务器上的 病毒数据库版本时使用服务器上的 ESET 安全产品版本未添加或旧于客户端上对应产品的版本时 也将会使用该颜色 可以通过 客户端 上次连接 列来指定使用该着色的间隔 路 径 若要访问 ERA Console 设置 请转至 ERAC 主菜单 工具 控制台选项... 路径 选项卡允许您选择由 ERA Console 生成的报告的存储位置若要了解更多有关生成和查看报告的信息 请参阅此帮助 文件的报告 33 一章 43

44 3.5.5 日 期 / 时 间 日期/ 时间 窗格允许您自定义 ERA Console 的高级选项您还可以在这里选择 ERA Console 窗口中记录的显示时间格式 绝对 - 控制台将显示绝对时间 例如14:30:00 相对 - 控制台将显示相对时间 例如 2 周前 区域 - 控制台将根据区域设置显示时间 取自 Windows 设置 将 UTC 时间换算为本地时间 使用本地时间 - 选择此复选框重新计算本地时间否则将显示 GMT - UTC 时间 其 他 设 置 其他设置窗格允许您配置 ESET ERA Console 的高级选项 1. 过滤设置 自动应用更改 - 如果启用 每次更改过滤器设置后 各个选项卡中的过滤器都会生成新的输出否则 仅在单击应用更改按 钮后才会进行过滤 注意 如果 ERA Console 将从管理员的计算机全天候与 ERA Server 连接 建议您选择最小化时在任务栏中显示并在控制 台不活动时将其最小化如果发生问题 系统托盘图标将会变成红色 这表示需要管理员介入此外 还建议您调整发现有 问题的客户端时使用突出显示系统托盘图标选项 触发图标颜色更改的事件 远程管理员更新 - 此部分允许您检查 ESET Remote Administrator 的新版本建议您使用默认值 每月 如果有新版本可 用 ERA Console 将在程序启动时显示一个通知 2. 其他设置 使用自动刷新 - 以选定的间隔自动刷新各个选项卡中的数据 显示网格 - 选择此选项 以使用网格分隔所有选项卡中的所有独立单元格 首选将客户端显示为 服务器/ 名称 而不是 服务器/ 计算机/ MAC - 影响客户端在某些对话框窗口 如新建任务 中 的显示模式此更改只是视觉上的 使用系统托盘图标 - 将以一个 Windows 系统托盘图标来表示 ERA Console 最小化时在任务栏中显示 - 如果 ERA Console 窗口已最小化 可以在 Windows 任务栏中对其进行访问 发现有问题的客户端时突出显示系统托盘图标 - 结合使用此选项和编辑按钮可以定义将触发系统托盘图标颜色更改的事 件 执行网络操作时使用主机名而不是 IP 地址 - 在客户端上执行网络操作时 如客户端选项卡 择使用主机名而不是 IP 地址 27 部分中所述 您可以选 可选信息消息 - 禁用 全部禁用 或启用 全部启用 所有资料消息如果启用此选项 您将在 ERA Console 中发现带 下划线的蓝色消息如果单击这些消息 将打开提示和技巧 介绍如何使用产品 3.6 显示模式 ERAC 为用户提供了两种显示模式 管理模式 - ERAC 的 管理模式 为用户提供了对所有功能和设置的完全控制 并可以管理与其连接的所有客户端工作站 只读模式 - 只读模式 适用于查看连接到 ERAS 的 ESET 客户端解决方案的状态 不允许为客户端工作站创建任务 创建 安装程序包以及远程安装也不可使用许可证管理器 策略管理器和通知管理器 只读模式 不允许管理员修改 ERAC 的 设置和生成报告 每次控制台启动时 在 访问权限 下拉菜单中选择 显示 模式 同时可为任何一个显示模式设置连接到 ERAS 的密码如果 您希望某些用户被授予对 ERAS 的完全访问权限 而其他用户只具有只读权限 则设置密码特别有用若要设置密码 请单 击 工具 服务器选项... 安全 并单击 控制台密码 管理员权限 或 只读权限 旁边的 更改... 按钮或使用用户管 理器 83 工具 44

45 3.7 ESET 配置编辑器 ESET 配置编辑器 是 ERAC 的重要组件 具有多种用途其中一些重要用途包括创建以下内容 安装程序包的预定义配置 作为任务或策略发送至客户端的配置 一般 (.xml) 配置文件 配置编辑器 是 ERAC 的一部分 主要由 cfgedit.* 文件表示 配置编辑器 允许管理员远程配置许多可用于任何 ESET 安全产品的参数 尤其是那些安装在客户端工作站上的安全产品 它还允许管理员将配置导出到.xml 文件中 之后用于多种使用目的 例如在 ERAC 中创建任务 在 ESET Smart Security 本地导入配置等 配置编辑器 采用的结构是一个.xml 模板 可将配置存储在树形结构中此模板存储于 cfgedit.exe 文件中这就是我们为 什么建议定期更新 ERAS 和 ERAC 的原因 警告 配置编辑器 允许您修改任何.xml 文件请避免修改或重写 cfgedit.xml 源文件 要使 配置编辑器 正常运行 必须具备以下文件 eguihipsra.dll, eguihipsralang.dll, eguirulemanagerra.dll 和 eset.chm 配 置 分 层 如果更改 配置编辑器 中的某个值 更改会标记有蓝色符号 输出配置中 任何带灰色图标 的条目不会被更改也不会被写入到.xml 在将配置应用到客户端时 只有已保存到.xml 输出配置文件中的修改才可应用 ( ) 其他所有项目 ( ) 保持不变此举允许 逐个应用多个不同配置 而无需撤销先前修改 下图中显示一个示例在此配置中 插入用户名 EAV 和密码 并禁止使用代理服务器 45

46 发送给客户端的第二个配置 下图中显示 将确保保留以前的修改 包括用户名 EAV 和密码此配置还将显示代 理服务器的使用并定义其地址和端口 主 要 配 置 条 目 本节 我们将介绍几个用于 Windows 产品系列 v3 和 v4 的主要配置条目 Windows 产品系列 v3 和 v4 > E S E T 内核>设置>远程管理 您可在此启用客户端计算机和 ERAS 之间的通信 连接到 Remote Administrator 服务器 输入 ERAS 的名称或 IP 地址 主/次服务器地址 连接到服务器的间隔 选项应保留其默认值 5 分钟出于测试目的 可将此值减为 0 这 样每隔 10 秒会建立一次连接如果设置有密码 请使用 ERAS 中指定的密码有关更多信息 请参阅安全选项卡 83 一章 中的 客户端密码 选项有关密码配置的其他信息也可参阅本节 E S E T 内核>设置>许可证密钥 客户端计算机不要求添加或管理许可证密钥许可证密钥只用于服务器产品 E S E T 内核>设置> E S E T Liv e Grid 该分支定义 ESET Live Grid 预警系统的行为 允许向 ESET 实验室提交可疑文件进行分析在将 ESET 解决方案执行到 大型网络时 提交可疑文件 和 启用匿名统计信息提交功能 选项尤为重要如果将这些选项分别设置为 不提交 或 否 则会完全禁用 ESET Live Grid 系统要在无需用户交互的情况下自动提交文件 请分别选择 无需询问即可提交 和 是 如果要在 Internet 连接时使用代理服务器 请在 E S E T 内核 设置 代理服务器 下指定连接参数 默认情况下 客户端产品将可疑文件提交到 ERAS 然后再提交到 ESET 的服务器因此应在 ERAS 中正确配置代理服务 器 工具 服务器选项 高级 编辑高级设置 E RA S erver 设置 代理服务器 E S E T 内核>设置>保护设置参数 允许管理员使用密码保护设置参数如果创建密码 在访问客户端工作站上的设置参数时则需要该密码但密码不会影响 从 ERAC 对配置所做的任何更改 E S E T 内核>设置>计划任务 此密钥包括 计划任务 选项 可允许管理员计划定期防病毒扫描等任务 注意 默认情况下 所有 ESET 安全解决方案包括多个预定义任务 包括启动时定期自动更新和自动检查重要文件 多数 情况下 无需编辑或添加新的任务 E S E T 内核>设置>默认用户界面值 默认用户界面值下的设置 即显示启动画面/不显示启动画面 仅应用对客户端默认设置的修改然后可以按用户管理客 户端设置 不能远程更改若要远程更改设置 不显示用户设置 选项必须设置为 是 不显示用户设置 选项仅对运行 4.0 或更高版本 ESET 安全产品的客户端可用 46

47 模块 配置编辑器 的此分支允许您定义应用更新配置文件的方式通常只需修改预定义配置文件 我的配置文件 更改 更新服 务器 用户名 和 密码 设置如果将 更新服务器 设置为 自动选择 所有更新都将从 ESET 更新服务器下载在这种 情况下 请指定 用户名 和 密码 参数 这些参数可在购买时为您提供有关设置客户端工作站以从本地服务器 镜像 接 收更新的信息 请参阅镜像服务器 91 一章有关使用此计划任务的更多信息 请参阅计划任务 116 一章 注意 对于便携式设备 例如笔记本电脑 则会配置两个配置文件 一个从镜像服务器提供更新 另一个直接从 ESET 的服 务器下载更新有关更多信息 请参阅本文档末尾的用于笔记本计算机的组合更新 118 一章 47

48 4. 安装 ESET 客户端解决方案 本章将介绍如何为 Microsoft Windows 操作系统安装 ESET 客户端解决方案可直接 ERAS 远程 39 安装本章同时还概述远程安装的其他方法 48 在工作站上执行安装 或通过 注意 尽管技术上可行 但我们不建议使用远程安装功能将 ESET 产品安装到服务器 仅限于工作站 重要 使用 Microsoft 远程桌面连接来访问远程客户端计算机的管理员应在远程安装 ESET Smart Security 之前阅读以下文 章 4.1 直接安装 使用直接安装时 管理员需要在安装 ESET 安全产品的计算机旁边此方法不需要其他准备工作 适合于小型计算机网络或 未使用 ERA 的情况下 使用预定义.xml 配置可简化该任务安装过程中或之后无需进一步修改 例如定义更新服务器 用户名和密码及到镜像服务 器的路径等 静默模式 计划扫描等 在 ESET 客户端解决方案 5.x 4.x 3.x 版和 2.x 版应用.xml 配置格式时存在差异 5.x 版 应用与 4.x 版相同的步骤 注意: 以后 您可以在 v.5 客户端发布后安装适用于 Linux 和 Mac 的 ESET 安全产品 4.x 版 从 eset.com 下载安装文件 例如 ess_nt32_enu.msi 在 安装程序包编辑器 中创建您自己的安装程序包编 辑/选择希望与该程序包关联的配置 按 用于 Windows NT xx 位的系统 字段旁的 复制... 按钮 将程序包保存为 带配 置的 E S E T 安装 Msi 文件 (*. msi) 注意 向.msi 安装文件添加配置意味着该文件的数字签名不再有效此外 版本 3.x 的步骤也适用于版本 4.x 3.x 版 从 eset.com 下载安装文件 例如 ess_nt32_enu.msi 将配置文件 (cfg.xml) 复制到安装文件所在的目录执行 时 安装程序将自动采用.xml 配置文件中的配置如果.xml 配置文件拥有不同名称或位于其他位置 可使用参数 ADMINCFG ="path_to_xml_file" 例如 ess_nt32_enu.msi ADMINCFG ="\\server\xml\settings.xml" 来应用存储在网络驱 动器上的配置 注意 如果您正在安装 ESET Smart Security 包括个人防火墙 在这些解决方案中您需要允许共享和远程管理否则 此类客户端和 ERA 服务器之间的网络通信将被阻止 4.2 远程安装 远程安装使您无需在客户端计算机上预安装或实际安装安全产品ERA 提供多种远程安装方法 通过 ERA 执行远程安装的步骤包括 创建安装程序包 首先 检查远程安装要求 49 然后 创建分发到客户端的安装程序包 39 向客户端工作站分发程序包 推送安装方式 登录脚本 电子邮件 升级 外部解决方案 检查/配置远程安装的网络环境 将安装程序包分发给客户端ERA 提供多种远程安装方法 远程推送安装 50 这是将安全产品分发给客户端的最有效方式 您还可以执行登录/电子邮件远程安装 51 如果您不想使用以上任一方式 您可以执行自定义远程安装 54 如果一些客户端已安装了旧的 ESET 安全产品 您可以将它们升级到最新版本 请参阅升级客户端 55 一章如果它们已拥有 最新版本 请参阅避免重复安装 55 一章要在大型企业环境中安装程序包 请参阅在企业环境中安装 56 一章 48

49 4.2.1 要 求 远程安装需要配置正确并提供可靠的客户端服务器通信的 TCP/IP 网络使用 ERA 安装客户端解决方案时 对于客户端工作 站的要求要比直接安装严格对于远程安装 应该符合下列条件 Windows 启用 Microsoft 网络客户端 启用 文件和打印机共享 服务 可以访问文件共享端口 ( ) TCP/IP 协议 启用管理共享 ADMIN$ 客户端可以回应 PING 请求 ERAS 和 ERAC 连通 可以访问 端口 存在用于客户端工作站的管理员用户名和密码 用户名不能留为空白 禁用 简单文件共享 启用 服务器 服务 启用 远程注册表 服务 注意: 最新版本的 Microsoft Windows Windows Vista Windows Server 2008 和 Windows 7 实施安全策略限制本地用户 帐户权限 即用户无法执行特定网络操作如果您的 ERA 服务在本地用户帐户上运行 在某些特定网络配置下 例如从域向 工作组远程安装时 可能会发生推送安装问题使用 Windows Vista Windows Server 2008 或 Windows 7 时 我们建议在 具有足够联网权限的帐户上运行 ERA 服务若要指定运行 ERA 的用户帐户 请浏览至 开始 控制面板 管理工具 服务 从列表中选择 ESET Remote Administrator Server 服务并单击 登录 ESET Remote Administrator 5 在高级安装 方案中嵌入此设置 因此您必须在安装时选择 高级 完全自定义安装 重要信息 如果在 Windows Vista Windows Server 2008 或 Windows 7 目标工作站上使用推送安装 请确保您的 ERA Server 和目标工作站在某个域中 我们还建议管理员对 Windows Vista Windows 7 和 Windows Server 2008 禁用 UAC 用户访问控制 这可以通过单击 开始 控制面板 用户帐户 打开或关闭用户帐户控制 实现 或者可以单击 开始 > 在搜索字段输入Ms c onf ig并按 回车 工具 禁用 UAC 需要重启 我们强烈建议您在安装前检查所有要求 尤其是网络中有多个工作站的情况 在 远程安装 选项卡上选择 计算机 选项卡 右键单击相关客户端 然后从右键菜单中选择 推送安装诊断 重要 使用 Microsoft 远程桌面连接访问远程客户端计算机的管理员 应在远程安装 ESET Smart Security 之前阅读以下文 章 Linux/ Ma c 推 送 安 装 要 求 在您执行远程安装之前 请确保所有的客户端工作站已正确配置 Linux 1. 计算机必须能够通过 SSH 连接到服务器 2. SSH 帐户必须具有管理权限 - 这意味着您需要以根用户 (UID=0) 或具有 sudo 权限的用户身份执行安装 Mac 1. 计算机必须能够通过 SSH 连接到服务器 2. SSH 帐户必须具有管理权限 - 这意味着您需要以管理员用户身份执行安装 注释 此功能在 ESET NOD32 Antivirus Business Edition for Mac OS X 和 ESET NOD32 Antivirus Business Edition for Linux Desktop 以及这两个平台的所有更高版本中受支持 49

50 4.2.2 远 程 推 送 安 装 该远程安装方法可即时将 ESET 客户端解决方案推送到远程计算机推送安装是最有效的安装方法 要求所有目标工作站联 机开始推送安装之前 先从 ESET 网站下载 ESET Smart Security 或 ESET NOD32 Antivirus 的.msi 安装文件 并创建 安装程序包您可以创建一个.xml 配置文件 在安装程序包运行时自动应用它安装前请参阅要求 49 一章 要启动推送安装 请遵循以下步骤 1) 计算机 选项卡中列出适合远程安装的计算机后 您可以选择全部或部分计算机 然后在窗口中右键单击并选择右键菜单 中的 推送安装 来运行推送安装任务 2) 为列表中的计算机设置登录信息 设置 设置所有 必须使用具有管理员权限的帐户进行您还可以使用 添加客户端 特殊功能 在该步骤中向列表添加客户端 3) 选择要送至目标工作站的所需安装程序包 39 4) 设置任务的运行时间并单击 完成 您可以在 安装任务 42 选项卡中查看推送安装任务的状态有关诊断结果的详细信息 请选择所需任务然后按 F4 属性 窗 口在 详细信息 选项卡中显示 您可以单击 查看所有日志/ 查看选定日志 查看远程安装诊断结果 注意 并行推送安装的最大数量默认设置为 20如果您将推送安装任务发送到超过此限制数量的计算机 其他计算机将进入 队列 等待线程自由出于性能原因我们不建议增加该值 但是 如果您认为需要 可以在 配置编辑器 中更改限制 E S E T Remot e A dminis t rat or > E RA S erv er 设置 远程安装 下面介绍远程安装过程的详细信息 5) ERAS 借助管理共享 admin$ 将 einstaller.exe 代理发送到工作站 6) 代理在系统帐户下作为服务启动 7) 代理可与其 父 ERAS 建立通信并在 TCP 2224 端口上下载相应的安装程序包 50

51 8) 代理在第 2 步中定义的管理员帐户下安装程序包 同时应用相应的.xml 配置和命令行参数 9) 安装完成后 代理会立即向 ERAS 发送消息某些 ESET 安全产品要求重启并且必要时会提示您 登 录 / 电 子 邮 件 远 程 安 装 登录和电子邮件远程安装方法非常相似它们只在将 einstaller.exe 代理发送到客户端工作站的方式上有区别ERA 允许此代 理通过登录脚本或电子邮件运行einstaller.exe 代理也可以单独使用 并可以通过其他方法运行 有关更多信息 请参阅自 定义远程安装 54 一章 登录方法非常适合于经常在本地网络以外使用的笔记本电脑安装在计算机登录到域后执行 用户登录时 登录脚本会自动运行 而电子邮件则需要用户介入 用户必须从电子邮件附件中启动 einstaller.exe 代理即使 重复启动 einstaller.exe 也不会触发其他 ESET 客户端解决方案的安装有关详细信息 请参阅避免重复安装 55 一章 关于如何将 ESET 安装程序导出到文件夹/登录脚本的逐步指导 请参阅本章 52 通过电子邮件发送 E S E T 安装程序 首先 选择 ESET 安装程序的类型 适用于 Windows 的 E S E T 安全产品 1. 选择先前在程序包下拉菜单中创建的程序包 2. 在收件人字段中输入收件人的电子邮件地址 3. 您也可以编辑电子邮件的主题和说明 然后单击发送将 einstaller.exe 代理发给用户 卸载适用于 Windows 的 E S E T 安全产品和 NOD32 版本 2 使用此类型 从用户计算机上卸载所有的 ESET 安全产品 适用于 Android 的 E S E T 安全产品 重要: 在继续操作之前 请先阅读本章 单击附件字段旁边的... 然后浏览到您保存适用于 Android 的 ESET 安全产品的位置.apk 文件 选择此应用程序并 单击确认 2. 输入用户的电子邮件地址 查看或编辑主题和说明字段中的信息 然后单击配置链接旁边的... 该操作将打开配置链接 设置窗口 您可以在其中配置产品连接到 ERA 的方式 注意: 此链接将配置需要安装的适用于 Android 的 ESET 安全产品 如步骤 1 中所述 您可以向用户发送链接和安装文件 或直接发送应用程序 51

52 3. 根据您当前的 ERA 服务器 已预定义服务器和端口字段如果在连接到服务器时要求用户输入密码 请在密码字段中键 入否则 将此字段保留为空白如果您使用密码 必须选中将当前 S IM 卡添加为信任选项默认情况下将选中该选 项 以避免在尝试连接到 ERA 服务器时锁定您的手机这些基础设置将发送到客户端对于高级设置 例如 更新用户 名和密码 客户端必须连接到 ERA 服务器 并且您可以使用策略 63 分发这些设置 自定义程序包 您可以将自定义的安装程序包发给选定用户 如此处 39 所述 将 E S E T 安 装 程 序 导 出 到 文 件 夹 / 登 录 脚 本 您可以使用文字编辑器或其他专用工具 将调用 einstaller.exe 的行插入登录脚本同样 einstaller.exe 也可作为电子邮件附 件使用任何电子邮件客户端发送无论使用何种方法 必须确保使用正确的 einstaller.exe 文件 要启动 einstaller.exe 当前登录的用户也可以不是管理员此代理会从 ERAS 采用所需的管理员用户名/密码/域有关更多 信息 请参阅本章末尾 在登录脚本中输入 einstaller.exe 的路径 1) 右键单击 远程安装 选项卡上的条目 单击 导出到文件夹或登录脚本 并选择要安装的 程序包 的 类型 和名称 2) 单击 文件夹 旁边的... 选择 einstaller.exe 文件所在的且网络中可用的目录 然后单击 确定 3) 确保 共享 字段中的路径正确 或者根据需要进行编辑 4) 单击 脚本文件夹 旁边的... 选择脚本所在的文件夹并根据需要修改掩码 文件 5) 在 文件 区域中 选择要将该行 调用 einstaller.exe 插入其中的文件 6) 单击 导出到登录脚本 以插入该行 7) 您可以单击 编辑 > > 修改该行的位置并单击 保存 进行保存 将代理 (einstaller.exe) 附加到电子邮件 1) 单击 远程安装 选项卡上的 电子邮件... 并选择要安装的 类型 和 程序包 名称 2) 单击 收件人... 从地址簿中选择地址 或者插入单独的地址 3) 在相应字段中输入 主题 4) 在 正文 中输入消息 52

53 5) 如果想要将代理以 zip 文件打包发送 请选中 压缩为 z ip 文件发送 旁边的复选框 6) 单击 发送 以发送邮件 在远程安装过程中 会发生到 ERAS 的反向连接 并且代理 (einstaller.exe) 会采用右键菜单中 为电子邮件和登录脚本安装设 置默认登录 53 设置中的设置 执行程序包安装的帐户必须是具有管理员权限的帐户 或最好是域管理员帐户在每次服务 (ERAS) 重启后 系统都会忘记 在 默认登录... 对话框中插入的值 默 认 登 录 默认登录 窗口允许您设置用于访问网络上的客户端计算机和管理安装的 ESET 产品的用户凭据和域信息 需要的客户端数据包括 用户名 密码 域/ 工作组 输入数据后 按 设置登录 按钮将信息保存在服务器上 53

54 注意 请注意 该信息会一直存储在此服务器上到下一次重启服务器为止 注意 如果在 默认登录 窗口中看到消息登录信息已经存储在服务器上 这意味着设置已经保存在服务器上如果要更改保 存的设置 请单击 覆盖 按钮并继续设置新登录信息 自 定 义 远 程 安 装 远程安装 ESET 客户端解决方案时不要求使用 ERA 工具最后 最重要的是在客户端工作站上传送和执行 einstaller.exe 文 件 要启动 einstaller.exe 当前登录的用户也可以不是管理员此代理会从 ERAS 采用所需的管理员用户名/密码/域有关更多 信息 请参阅本章末尾 可通过如下途径获取 einstaller.exe 文件 在计算机选项卡 在远程安装选项卡中 在任意位置右键单击 然后从右键菜单中选择导出到文件夹或登录脚本选 择类型 然后输入要安装的程序包的名称 单击文件夹旁边的... 按钮并选择 einstaller.exe 要导出到的目录 单击导出到文件夹按钮 使用解压缩的 einstaller.exe 文件 注意 "Direct installation with predefined XML configuration" 方法可在为安装提供管理员权限的情况下使用.msi 程序包使 用 /qn 参数 版本 5.x 4.x 3.x 启动这些参数会在不显示用户界面的情况下运行安装 执行程序包安装的帐户的用户名和密码必须是具有管理员权限的帐户 或最好是域管理员帐户 在远程安装过程中 会发生到 ERAS 的向后连接 并且代理 (einstaller.exe) 会采用为电子邮件和登录脚本安装设置默认登 录选项中的设置 如果在目标工作站上手动启动 einstaller.exe 代理 可使用以下方法处理远程安装 einstaller.exe 代理发送请求到 ERAS TCP 2224 端口 ERAS 使用新代理 启动相应程序包 通过共享 admin$ 发送 的新推送安装代理等待 ERAS 的回应 通过共享 admin$ 发送程序包 在没有回应的情况下 代理会尝试下载安装程序包 通过 TCP/IP 2224 端口 在这种情况下 不 会传送在 ERAS 上远程安装 > 登录... 中指定的管理员用户名和密码 并且代理尝试在当前用户下安装程序包在 Microsoft Windows 9x/Me 操作系统中 不可使用管理共享 因为代理会自动创建直接的 TCP/IP 连接到服务器新代理随 后通过 TCP/IP 协议从 ERAS 下载程序包 54

55 程序包安装启动时会应用 ERAS 中预定义帐户下相关的.xml 参数 为电子邮件和登录脚本安装设置默认登录选项 升 级 客 户 端 此类型安装用于 ESS/EAV 版本 4.2 及更高版本的客户端从版本 4.2 开始 实施了新的升级机制 允许 ERA 在客户端侧启 动升级过程 无需 einstaller.exe 代理该机制与程序组件更新 (PCU) 类似 后者将客户端升级到较新版本程序对于版本 4.2 及更高版本 ESS/EAV 客户端 我们强烈建议此类型升级 注意 如果为安装程序包定义了自定义配置文件 升级时将忽略 升级客户端 命令允许您远程升级客户端/客户端组 1) 如果要使用选择工具选择要升级的客户端 请在第一步中使用 添加指定的客户端 按钮选择后 单击 下一步 继续 注意 单击 添加指定的客户端 会打开一个新窗口 您可以按服务器 在 服务器 部分或按组 在 组 部分添加客户端 2) 在 程序包设置 窗口中 您可以使用相应下拉菜单选择将用于升级客户端的 ESET 产品程序包的 类型 和 名称 选择 后 单击 下一步 继续 3) 在 任务设置 窗口中 您可以更改升级任务的默认名称和说明 如果要立即执行任务 请选择 立即应用任务 如果希望 设置以后日期执行任务 请选择 该时间之后应用任务 单击 完成 完成升级客户端任务的配置 注意: 此任务仅在直接连接到主服务器的客户端上运行来自同步服务器的客户端将被忽略 避 免 重 复 安 装 代理成功完成远程安装过程后 会立即使用禁止相同安装程序包重复安装的标记来标记远程客户端此标记会被写入到以下 注册表项 HKEY_LOCAL_MACHINE\Software\ESET\ESET Remote Installer 如果 einstaller.exe 代理中定义的程序包 类型 和 名称 与注册表中的数据匹配 则不会执行安装这样可以避免对同一工作站 进行重复安装 注意 远程推送安装方法会忽略该注册表项 ERAS 提供一个额外功能 避免安装程序建立与 ERAS 的向后连接时 (TCP 2224) 启动重复安装如果出现与工作站相关的 错误信息 或者安装已顺利完成 则任何其他安装尝试都会被拒绝 此代理会将下列错误记录到位于 %TEMP%\einstaller.log 的安装程序日志中 Eset Installer was told to quit by the server 'X:2224'. 55

56 要阻止 ERAS 拒绝重复安装 必须删除 远程安装任务详细信息 选项卡上的相关条目若要删除条目 请选择条目 单击 删除 按钮 按 是 确认 4.3 安装在企业环境中 在大型网络中执行程序时 有必要使用能够在网络中每台计算机上执行远程程序安装的工具 使用组策略安装 在 Active Directory 环境中 该任务可由 组策略 安装轻松完成安装需使用 MSI 安装程序 此安装程序会被直接分发到所有 通过 组策略 连接到指定域的客户端 要配置域控制器在登录后在每个工作站上自动安装 ESET Smart Security 或 ESET NOD32 Antivirus 请继续以下操作 1) 在域控制器上创建共享文件夹所有工作站必须对此文件夹拥有 读取 权限 2) 将 ESET Smart Security 或 ESET NOD32 Antivirus 安装程序包 (.msi) 复制到此文件夹 3) 将要应用到程序的.xml 配置文件插入到相同文件夹该文件的文件名应该为 cfg.xml若要创建配置文件 可以使用 ESET 配置编辑器有关详细信息 请参阅 ESET 配置编辑器 45 一章 4) 单击 开始 程序 管理工具 Active Directory 用户和计算机 5) 右键单击域名并选择 属性 组策略 编辑 用户配置 6) 右键单击 软件设置 并选择 新建 程序包 7) 在 打开 窗口中 指定共享安装程序包的 UNC 路径 例如 \\computer_name\path\installation_package.msi 并单击 打 开 不要使用 浏览 选项查找安装程序包 因为显示结果为本地网络路径而非 UNC 网络路径 8) 在以下对话框窗口中选择 分配 选项然后按 确定 关闭窗口 遵循以上步骤可使您在输入指定域的每台计算机上安装安装程序包要将程序包安装到目前正在运行的计算机上 计算机用 户必须退出并重新登录 如果想让用户拥有接受或拒绝程序包安装的权限 请在第 8 步中选择 发布 而不选择 分配 用户下次登录时 程序包会被 添加到 控制面板 添加或删除程序 添加新程序 从网络添加程序 这样用户在以后安装时便可从该位置获取程序 包 56

57 5. 管理客户端计算机 5.1 任务 可使用各种任务来配置和管理已正确连接到 ERAS 并显示在 ERAC 中的客户端工作站 阶段 I - 新任务 1) 若要将任务应用于一个或多个客户端工作站 选择并在 客户端 窗格中右键单击工作站以打开右键菜单 25 2) 单击 新任务 并选择要执行的任务类型 注意 此外 也可以从 ERAC 主菜单通过单击 操作 新任务 打开任务向导 阶段 II - 选择以下任务之一 配置任务 58 手动扫描 清除已禁用/清除已启用 立即更新 59 SysInspector 脚本任务 防护功能 运行计划的任务 59 恢复/删除隔离区任务 回滚病毒数据库 清除客户端更新缓存 生成安全审核日志 显示通知 ) 选择所需任务后 您需要执行每个章节中介绍的任务特定操作 参阅下面的链接 阶段 III - 选择客户端 4) 您可以在 选择客户端 窗口中修改客户端选择 设置完任务后该窗口将显示您可以将 所有项目 客户端概览树 窗口左 半部分 中的客户端添加到 选定项目 列表 窗口右半部分 或者删除列表上已有的客户端项目 来优化客户端选择 注意 单击 添加特殊项... 打开一个新窗口 您可以在其中添加 客户端 窗格中的客户端 或按 服务器 和/或 组 添加 客户端 阶段 IV - 完成任务 61 以下子章节列出客户端工作站的各个任务类型 并且附带每个任务类型的示例方案 注意: 经过指定的时间间隔后或者新产品版本可用时 E RA 更新检查 窗口将弹出若要从 ESET 网站下载最新产品更新 请单击 访问更新网站 57

58 5.1.1 配 置 任 务 配置任务用于修改客户端工作站上的防护设置这些任务会以配置数据包 包含修改参数 的形式传送到客户端工作站在 ESET 配置编辑器 中创建或从客户端导出的.xml 文件也适用于配置任务以下示例显示了如何创建一个可更改目标计算机用 户名和密码的配置任务对于该示例中未用到的任何开关和选项 将在本章末尾进行说明 首先 指定要将任务传送到其中的工作站在 ERAC 的 客户端 窗格中标记这些工作站 1) 右键单击选定的任意工作站并从右键菜单选择 新任务 配置任务 2) 将打开可用作配置任务向导的 客户端配置 窗口单击 创建... 选择... 或 从模板创建... 3) 单击"创建"按钮可以打开 ESET 配置编辑器 并指定要应用的配置导航到 Windows 产品系列 v3 和 v4 更新模块 > 配置文件 设置 用户名 和 密码 4) 插入 ESET 提供的用户名和密码并单击左侧的 控制台 返回到任务向导在 创建/ 选择配置 字段中会显示数据包路径 5) 如果已有包含所需修改的配置文件 则单击 选择 查找该文件并将其指定到配置任务 6) 此外 还可以单击 从模板创建 选择.xml 文件并根据需要进行更改 7) 若要查看或编辑刚才创建或编辑的配置文件 请单击 查看 或 编辑 按钮 8) 单击 下一步 进入 选择客户端 窗口 其中会显示要将任务传送到其中的工作站在这一步 您可以从选定服务器或组添 加客户端单击 下一步 继续执行下一个步骤 9) 最后是 任务报告 对话框窗口 显示配置任务预览为任务输入名称或说明 可选 该时间之后应用任务 选项可用于 将任务设定为在特定日期/时间之后运行 如果成功完成 则通过清除功能自动删除任务 选项会自动删除已成功传送到 目标工作站的所有任务 10) 单击 完成 注册要运行的任务 手 动 扫 描 任 务 新任务 右键菜单选项包含两种不同的手动扫描第一个选项是 手动扫描 清除已禁用 该扫描仅创建日志 不会对被 感染的文件执行任何操作第二个选项是 手动扫描 清除已启用 手动扫描 窗口包含的这两种方式的默认设置相同 扫描但不清除 选项除外该选项决定扫描程序是否清除被感染的文 件下例介绍了如何创建手动扫描任务 1) 配置部分 下拉菜单允许您选择 ESET 产品的类型 为其定义手动扫描任务 选择这些安装在目标工作站上的类型 注意 不对该部分进行手动扫描 选项针对选定产品类型禁用该窗口中的所有设置 它们将不会在有在 配置部分 中定 义的产品类型的工作站上应用因此 将从收件人列表中排除包含指定产品的所有客户端如果管理员将客户端标记为接 收者 并使用上述参数排除产品 该任务将失败 并发出无法应用该任务的通知若防止出现此情况 管理员应始终指定 该任务将分配到的客户端 2) 在 配置文件名 中 您可以选择要应用于该任务的扫描配置文件 3) 在 要扫描的驱动器 部分中 选择要在客户端计算机上扫描的驱动器类型如果选择过于普遍化 则可以添加要扫描对象 的确切路径将 路径 字段或 添加路径 按钮用于此目的选择 清除历史记录 以恢复要扫描的驱动器的原始列表 4) 单击 下一步 进入任务 57 一章中详细介绍的名为 选择客户端 和 任务报告 对话框窗口 5) 在客户端工作站上执行完任务之后 结果将被发送回 ERAS 并可以在 ERAC 的 扫描日志 窗格中查看它们 58

59 5.1.3 立 即 更 新 任 务 该任务的目的是在目标计算机上强制实施更新 病毒库更新以及程序组件更新 1) 从 客户端 窗格中右键单击任意工作站 选择 新任务 立即更新 2) 如果要从任务中排除某些类型的 ESET 安全产品 请在 配置部分 下拉菜单中选择它们 然后选择 不对该部分进行任务 更新 选项 3) 若要将特定更新配置文件用于 立即更新 任务 请启用 指定配置文件名称 选项并选择所需的配置文件您也可以选择 用户定义的配置文件名称 并输入配置文件名称 如果单击 清除历史记录 字段的值将返回为默认值 4) 然后单击 下一步 进入 选择客户端 和 任务报告 对话框窗口有关这些对话框的描述 请参阅任务 57 一章 S ysinspe ctor 脚 本 任 务 SysInspector 脚本 任务使您可以在目标计算机上运行脚本您可以使用它来删除系统中不需要的对象有关更多详细信息 请参阅 ESET SysInspector 121 帮助页面 1) 完成任务 57 一章中介绍的阶段 I 和阶段 II 后 单击 选择 选择在目标工作站上运行的脚本 2) 单击 查看 & 编辑 以调整脚本 3) 单击 下一步 进入任务 57 一章中详细介绍的 选择客户端 和 任务报告 对话框窗口 4) 在客户端工作站上执行完任务之后 信息将显示在 任务 窗格的 状态 列中 注意 SysInspector 脚本任务仅受 ESET Smart Security/ESET NOD32 Antivirus 4.0 及更高版本支持 防 护 功 能 此任务允许管理员修改安全产品防护功能的状态 Windows ESET 安全产品版本 5 及更高版本 1. 每个防护功能有三个阶段 - 不更改 临时取消激活和激活您可以通过选中每项功能旁边的复选框对其进行切换如果防 护功能当前被取消激活 临时取消激活 您可以设置一个临时取消激活的时间间隔此间隔可以是 10 分钟到直到下 次重新启动 完全禁用功能直至下次计算机重新启动 2. 然后 请选择您要为其修改防护功能的客户端并完成任务 61 注意: 由于存在潜在的安全风险 请慎用防护功能禁用客户端将在任何防护功能被禁用时收到通知 运 行 计 划 的 任 务 此任务将立即触发将在客户端上运行的计划任务您可以从客户端计划任务中选择 预定义 任务 或者 按 ID 选择任务每 个计划任务均有一个 ID 因此 您可以从下拉菜单中选择任务或者键入 ID若要查看指定客户端上计划任务中的每个任务 请从 客户端 选项卡的右键菜单启动该任务 选择要在客户端上运行的任务 然后选择要为其修改防护功能的客户端并完成任务 恢 复 / 删 除 隔 离 区 任 务 利用此任务 您可以恢复或删除客户端隔离区中的指定隔离对象 1) 打开从隔离区恢复/ 删除窗口后 请参阅任务 57 一章 选择要对隔离的对象执行的操作 恢复或删除 注意 从隔离区恢复仍检测为威胁的对象后 您可能希望使用同时添加排除选项将此对象从以后的扫描中排除 以防止 被重新检测和隔离请注意 并非所有对象都可以排除 例如特洛伊木马或病毒尝试排除这些文件将导致错误如果您 想要排除未受感染的文件 未检测为威胁 您可以直接在客户端上执行此操作或使用 ESET 配置编辑器 策略 任务等 等 2) 选择恢复/删除隔离的对象所要依据的条件并单击 下一步 注意 如果通过直接右键单击隔离选项卡中的隔离条目 并选择恢复/ 删除隔离任务 打开 从隔离区恢复/删除 窗口 则 无需指定条件 按 hash选项将自动选定 隔离文件的哈希代码用作标识符 59

60 3) 选择用于恢复/删除操作的客户端 参阅任务 57 一章 并单击下一步 4) 检查任务报告窗口中的设置 为您的任务输入名称 指定要应用任务和清理选项 如果需要 的时间 然后单击完成确 认请参阅任务 57 一章了解更多详情 回 滚 病 毒 数 据 库 如果您怀疑病毒数据库的最新更新可能不稳定或已损坏 可以回滚至先前版本并对选定时段禁用任何更新此外 您可以启 用先前禁用的更新 1) 禁用/启用病毒数据库更新 禁用 X 小时 - 客户端的病毒数据库将回滚至先前版本 基于客户端创建的快照 并对选定的时段禁用选定客户端的任何更 新您也可以选择 无限期 并完全禁用更新由于存在潜在的安全风险 请慎用完全禁用数据库更新 警告: 即使客户端计算机重启后 选项 无限期 仍将保持启用 启用先前禁用的更新 - 将再次启用病毒数据库的更新 2) 为此任务选择客户端 并单击 下一步 3) 检查 任务报告 窗口中的设置 输入任务的名称 指定要应用任务 和清理选项 如果需要 的时间 然后单击 完成 以 确认参阅任务 57 一章了解更多详细信息 清 除 客 户 端 更 新 缓 存 此任务适用于 ESET 安全产品版本 5 和更高版本如果您怀疑病毒数据库未成功更新 您可以清除客户端的更新缓存并重新 下载最新更新 1) 启动任务并单击 下一步 2) 为此任务选择客户端 并单击 下一步 3) 检查 任务报告 窗口中的设置 输入任务的名称 指定要应用任务 和清理选项 如果需要 的时间 然后单击 完成 以 确认参阅任务 57 一章了解更多详细信息 生 成 安 全 审 核 日 志 任 务 此任务仅适用于 ESET Mobile Security 安全审核检查 电池级别 蓝牙状态 可用磁盘空间 设备可见性 家庭网络和运行进程将生成详细报告 指示项目值是 否低于指定阈值或者是否可以表示潜在安全风险 例如设备可见性打开等 在手机上运行安全审核 1) 右键单击 客户端 窗格中的客户端名称 从右键菜单选择 新任务 生成安全审核日志 2) 然后单击 下一步 进入 选择客户端 和 任务报告 窗口有关这些窗口的描述 请参阅任务 57 一章 57 一章 显 示 通 知 任 务 此任务仅适用于 ESET Mobile Security 向手机发送通知 例如 警告消息 1) 右键单击 客户端 窗格中的客户端名称 从右键菜单选择 新任务 显示通知 2) 在相应字段中键入通知 标题 和消息 正文 选择通知 级别 3) 然后单击 下一步 进入 选择客户端 和 任务报告 窗口有关这些窗口的描述 请参阅任务 60

61 完 成 任 务 在最后的对话框窗口中会显示任务预览它包含所有任务参数 使用户可以单击 后退 并根据需要执行修改 该窗口的第二部分包含下列设置 名称 - 任务名称 说明 - 任务说明 该时间之后应用任务 - 在客户端计算机上部署任务的时间 如果成功完成 则通过清除功能自动删除任务 - 自动删除已成功执行的所有任务 5.2 组管理器 组管理器是管理客户端 分离到不同组以及应用不同设置 任务 限制等的强大工具可以通过 工具 组管理器 或 CTRL+ G 每个 ERAS 的组都是独立的且不能同步 您可以创建自己的组以适合公司网络的需要 或者使用主组管理器窗口中的 Active Directory 同步 通配符将 ERAC 客户 端组与 Microsoft Active Directory 同步 共有两种主要类型的客户端组 静态组 61 参数组 62 静态和参数组可以在 ERA 中的不同地方使用 显著增强客户端管理功能 静 态 组 静态组用于将网络中的客户端分离到命名组和子组中例如 您可以创建将包含所有营销客户端的营销组 还可以创建专业 划分的子组 - 本地销售 EMEA 管理等 静态组 主窗口分为两部分左侧包含现有 按层次显示的组和子组所选组中包含的客户端列在窗口右侧默认情况下 仅 列出所选组中的客户端如果要查看当前所选组的子组中包含的客户端 请选中窗口右侧的 显示子组中的客户端 旁边的复 选框 若要创建新组 请单击 创建 并为该组输入名称新组将作为当前选定父组的子组创建如果要创建新主组 请选择层次树的 根目录 - 静态组 父组 字段包含新创建的组的父组名称 / 表示根目录 建议使用表示计算机所在位置的名称 例如 业务部门 支持部门等 说明 字段可用于进一步描述该组 例如 办公室 C 中的计算机 总部工作站 等 也可稍后 编辑新创建和配置的组 注意 任务发送到父组后 所有属于其子组的工作站也将接受此任务 还可以创建空组用于未来使用 单击 确定 创建组该组的名称和说明将显示在左侧 添加/ 删除 按钮将启用单击此按钮添加要包括在该组中的客户端 双击或从左向右拖放 若要查找和添加客户端 请在 快速搜索 字段中输入某个客户端的全名或部分名称 然后会显示 包含键入字符串的所有客户端若要标记所有客户端 请单击 全选 单击 刷新 检查最近连接到服务器的任何新客户端 如果不便于手动选择客户端 可以单击 添加特殊项... 获取更多选项 选择在客户端窗格选项中加载的 添加客户端 可以添加在客户端区域中显示的所有客户端 或者选择 仅限选定项 选项若 要添加已属于另一个服务器或组的客户端 请从左侧和右侧的列表中将其选中 并单击 添加 单击 添加/ 删除 对话框窗口中的 确定 以返回到组编辑器主窗口将显示新组及其相对应的客户端 单击 添加/ 删除 以在组中添加或删除客户端 或者单击 删除 以删除整个组单击 复制到剪贴板 以复制客户端和组列表 若要刷新组客户端 请单击 刷新 您还可以将当前选择的组客户端导入/ 导出到.xml 文件 61

62 5.2.2 参 数 组 除了静态组 参数组也非常有用客户端站点动态分配给满足组条件的某些参数组参数组的优点是可以在不同场合使用 包括过滤器 策略 报告和通知 参数组主窗口包括四个部分参数组列出已经创建的父组和子组选择 参数组列表 中的某些组后 属于当前选定组的客户 端列在 选定组 部分 注意 选择父组时 列表还包含子组成员 为选定组设置的参数列在窗口的 参数 部分您可以随时单击 编辑... 按钮编辑或添加参数 同步状态 部分显示同步过程的进度条 1. 若要创建新组 请单击 创建... 新组将作为当前选定父组的子组创建如果要创建主组 请选择层次树的根目录 - 参数 组 父组 字段包含新创建的组的父组名称 / 表示根目录 为新组输入 名称 和简短 说明 2. 下一个步骤是创建 客户端过滤器参数 可以通过在 规则编辑器 中单击 编辑... 后选择选项来完成在此您可以指定触 发和应用规则所必需的条件选择条件 并在 参数 窗口中通过单击规则旁边的 指定 按钮指定它您还可以选择是否希 望仅在 所有条件均已满足 时 或在 满足任意条件 时应用此规则 3. 如果选择 粘连 旁边的复选框 满足条件的客户端将自动添加到该组 而不删除粘连组内容可以在根级别手动重置 注意 此参数只能在创建新组时设置 若要编辑现有组 只需从 参数组列表 中选择 然后单击窗口底部的 编辑... 按钮对于组删除 请选择所需组 然后单击 删除 按钮 您可以通过单击 刷新 按钮手动刷新组列表若要从文件导入组 请在 参数组 部分下方要导入新组处选择组 然后单击 导 入... 按钮单击 是 确认选择找到要导入的文件 然后单击 打开 组 及其所有子组 将导入在所选位置下方若要导 出组 及其所有子组 请在 参数组 部分中选择 单击 导入... 按钮上的箭头 然后选择 导出... 单击 是 确认 选择导 出文件的名称和位置 然后单击 保存 注意 您可以使用鼠标拖放 参数组 部分中已有的组 注意: 您可以方便地使用参数组过滤数据或客户端例如 您只想生成具有 Windows XP 操作系统的计算机的报告仅为具 有特定操作系统的计算机创建参数组 并在目标过滤器中使用该组您也可以在创建安装程序包 39 时设置您自己的 自定义 客户端数据 配置编辑器 >内核>设置>远程管理 设置此选项 自定义客户端数据 为参数组的参数 并且安装此程 序包的每个用户都将成为该组成员 Active D ire ctory/ LD AP 同 步 Active Directory 同步根据 Active Directory 定义的结构使用自动组创建 具有对应客户端 只要客户端名称与 Active Directory (AD) 中的对象类型计算机相同并属于 AD 中的组 管理员便能将客户端分入各个组 共有两个确定同步方式的主要选项 同步组 允许您选择将同步的 AD 组选择 所有组 以同步完整 AD 树结构 无论 AD 组是否包含 ERA 客户端接下来两 个选项 仅包含 E RA S erver 客户端的组 和 仅包含 E RA 主服务器客户端的组 将仅同步包含现有 ERA 客户端的 组 同步类型 可以定义是否将要同步的 AD 组添加到现有 AD/LDAP 组 AD/ LDAP 组导入 或者是否将现有 AD/LDAP 组完全替换为要同步的组 AD/ LDAP 组同步 已同步的分支 允许您选择要同步的A c t iv e Direc t ory / LDA P 的特定分支单击 配置 选择将与组同步的 Active Directory/LDAP 的分支默认情况下 将标记/选中所有分支 注释: 单击 更多信息 可显示有关 Active Directory/LDAP 同步设置和规则的其他信息 要配置 AD/LDAP 和 ERA 服务器之间的同步间隔 请单击 同步 选项旁边的 更改 在 AD/ LDAP 同步计划间隔(服务器 本地时间) 对话框中选择所需的同步频率选定的频率将显示在 同步 选项的旁边 Active Directory 同步的详细配置可以使用 配置编辑器 远程管理员 > E RA S erv er 设置 组 和A c t iv e direc t ory / LDA P 来执行您可以通过选中所需选项旁边的复选框来添加其他 Active Directory/LDAP 对象 62

63 单击 立即同步 将触发同步 基于上面配置的选项 注意 若要 ERAS 同步 Active Directory ERAS 无需安装在域控制器上只需从 ERAS 所在的计算机访问域控制器若要 配置域控制器的验证 请转至 工具 服务器选项 高级 编辑高级设置 远程管理员 > E RA S erv er 设置 > A c t iv e direc t ory / LDA P 5.3 策略 策略在许多方面与 配置任务 相似 只是它们不是一次性发送到一个或多个工作站的任务而是对 ESET 安全产品的某些配 置设置提供不间断维护也就是说 策略 就是强制实施到客户端的配置 基 本 原 则 和 操 作 选择 工具 策略管理器... 访问策略管理器左侧的策略树会列出各个服务器上的策略右侧被分为四个区域策略设置 略配置 策略操作和全局策略设置 这些区域中的选项允许管理员管理和配置策略 策 策略管理器的主要功能包括创建 编辑和移除策略客户端从 ERAS 接收策略ERAS 可以使用会从彼此或上层服务器的策 略继承设置的多个策略 采用上层服务器中的策略的系统就称为"继承" 而通过继承创建的策略则称为"合并的策略"继承基于父子策略的原则 即子 策略从父策略继承设置 如 何 创 建 策 略 默认安装只会实施一个称为 服务器策略 的策略策略本身可以从 ESET 配置编辑器 进行配置 单击编辑策略... 并为选定的 ESET 安全产品 或客户端 定义各个参数所有参数都会被整理进一个综合架构 并为编辑器中的所有项目分配一个图 标客户端将只采用活动参数 标记为蓝色图标 所有未使用 灰色 的参数在目标计算机上保持不变同一原则适用于 继承和合并的策略 子策略将只采用父策略的活动参数 ERA Server 允许使用多个策略 新的子策略... 新策略可以使用下列选项 策略名称 与父策略和策略配置相关 配 置可为空 可以从下拉菜单中的策略复制合并的策略配置或从.xml 配置文件进行复制 或者使用防火墙规则合并向导 只可以在当前通过 ERAC 连接的服务器上创建策略若要在下层服务器上创建策略 则需要直接连接该服务器 每个策略具有两个基本属性 覆盖任何子策略 和 可向下复制策略 这两个属性决定了子策略采用活动配置参数的方式 覆盖任何子策略 - 将所有活动参数强制用于继承的策略如果子策略不同 合并的策略将包含来自父策略的所有活动参数 尽管已为子策略激活 覆盖... 父策略中所有未使用的参数都会调整为匹配子策略如果未启用覆盖任何子策略 子 策略中的设置则会优先于父策略中的设置而用于最终合并的策略这种合并策略将应用于已编辑策略的任何其他子策略 可向下同步策略 激活将策略同步到下层服务器的功能 例如 可以将某个策略用作下层服务器的默认策略 也可以分配 给连接至下层服务器的客户端 策略也可以导入/导出到.xml 文件或从组导入有关更多信息 请参阅导入/导出策略 64 一章 虚 拟 策 略 除了已创建的策略以及从其他服务器同步的策略 请参阅同步选项卡 略 88 一章 策略树还包含被称为虚拟策略的默认父策 默认父策略位于全局策略设置中的上层服务器 可以选择作为下层服务器的默认策略如果未同步服务器 此策略则为空 将在后续章节进行说明 默认主客户端策略位于给定服务器 不在上层服务器上 的 全局策略设置 中 可以在主客户端的默认策略中选择它会自动 被强制实施到给定 ERAS 的新连接的客户端 主客户端 除非它们已从策略规则采用了某些其他策略 有关更多信息 请 参阅向客户端分配策略 65 一章 虚拟策略会关联到同一服务器上的其他策略 63

64 5.3.4 策 略 树 结 构 中 策 略 的 角 色 和 用 途 将在左侧为策略树中的每个策略分配一个图标图标的含义如下 1) 带蓝色图标的策略指存在于给定服务器上的策略蓝色图标有三个子组 带白色目标的图标 策略在此服务器上创建此外 它不可向下同步 这意味着它不可分配到下层服务器的客户端 而且 也不可用作子服务器的父策略这些策略只可应用于服务器内 即应用到连接至服务器的客户端它还可用作同一服务器中 其他策略的父策略 略 带蓝色目标的图标 - 策略也在此服务器上创建 但同时会选择 覆盖任何子策略 选项 有关更多信息 请参阅如何创建策 63 一章 带向下箭头的图标 - 这些策略被同步并且启用可向下同步策略您可在给定服务器及其子服务器上应用这些策略 默认服务器策略的 图标 2) 带灰色图标的策略来源于其他服务器 带向上箭头的图标 这些策略同步于子服务器只有使用 删除策略分支 选项才可查看或删除这些图标此选项不会删除 策略本身 它只会从策略树中删除策略因此同步后它们可再次出现如果您不希望显示下层服务器中的策略 请使用选项 隐藏未在策略树中使用的外部服务器策略 带向下箭头的图标 这些策略同步于上层服务器它们可用作其他策略的父策略 分配到客户端 添加客户端 或被删 除 删除策略 请注意 删除只会删除策略 从上层服务器同步后策略可再次出现 除非禁用上层服务器上的属性 可向 下同步策略 注意 要在结构内移动和分配策略 您或者选择父策略或者使用鼠标拖放策略 通过单击导入/ 导出策略 向.xml 文件导入/导出现有策略规则若现有策略和导入策略具有相同名称 在导入的策略名称后 将自动添加一个随机字符串 查 看 策 略 通过单击查看策略 > 查看... 或查看已合并... 直接在配置编辑器中查看策略树结构中的策略 查看已合并 显示由于继承而创建的已合并策略 从父策略继承策略设置的过程 默认显示此选项 因为当前策略已经是 一个合并的策略 查看- 在策略与父策略合并前显示原策略 在下层服务器上 以下选项可用于从下层服务器继承的策略 查看已合并- 同上 查看覆盖部分 - 此按钮应用于带有覆盖任何子策略属性的策略此选项只显示策略的强制部分 - 即子策略中优先于其他设置 的部分 查看非强制部分 具有 查看覆盖部分 的反面效果 只显示活动项目 不会应用到 覆盖... 中 注意: 您可以通过在策略树项目上双击来查看已合并 导 入 / 导 出 策 略 策略管理器允许您导入/导出策略与策略规则通过单击导入/ 导出策略向.xml 文件导入或导出现有策略单击 从组导入... 按钮可以从组进一步导入策略可以通过单击导入... 或导出... 可以导入/导出策略规则 此外还可以使用策略规则向导创建 策略规则 通过向导入策略的名称添加随机字符串 可以解决导入时的名称冲突 现有和导入的策略名称相同 如果此方法无法解决 冲突 通常因为新名称过长 导入完成后将显示警告 Unresolved policy name conflict解决方案是删除或重命名冲突的策 略或策略规则 64

65 5.3.7 策 略 迁 移 向 导 策略迁移向导可帮助您创建新的 Windows desktop v5 策略 或使用现有 Windows 产品系列 v3 和 v4 策略中的设置更新 您现有的 Windows des k t op v 5 策略您可以在安装期间迁移以前版本上的所有策略 但要自定义迁移的所有设置 建议 您使用策略迁移向导 迁移策略的步骤 1. 选择要从中迁移设置的策略旁边的复选框 2. 如果端点策略已存在 请选择以下设置之一 替换现有端点策略并仅使用源设置 - 现有策略将被完全替换为新创建的 (Windows des k t op v 5) 策略并且将使用原始 Windows 产品系列 v3 和 v4 策略中的设置 合并策略且不替换冲突的端点设置 - 将合并现有的和已迁移的策略 并且 Windows desktop v5 策略中的现有设置不会被 Windows 产品系列 v3 和 v4 策略中的设置覆盖 合并策略并替换冲突的端点设置 - 将合并现有的和已迁移的策略 并且将使用原始 (v3/v4) 设置替换冲突设置 3. 等待过程完成 根据要迁移的策略数量 所需的时间会有所不同看到 策略迁移已完成 消息后 单击 完成 向 客 户 端 分 配 策 略 向客户端分配策略的规则主要有两个 1. 可以向本地 主 客户端分配任何本地策略或者从上层服务器同步的任何策略 2. 可以向从下层服务器同步的客户端分配具有 可向下同步 属性的任何本地策略或者从上层服务器同步的任何策略不能为 了采用它们自己的主服务器策略而强制实施这两个规则 若要这样做 则必须使用 ERAC 连接该服务器 其中一个重要功能就是每个客户端都会被分配一些策略 不会出现客户端没有策略这种情况 另外 您无法从客户端移除 策略只可以用另外一个策略替换它如果您不想对客户端应用任何策略配置 则可以创建一个空策略 默 认 的 主 客 户 端 策 略 分配策略的一个方法就是自动应用服务器策略 这是一个可以在全局策略设置中配置的虚拟策略该策略会被应用于主客户 端 即那些直接连接到该 ERAS 的客户端有关更多信息 请参阅虚拟策略 63 一章 手 动 分 配 手动分配策略的方式有两种 在 客户端 窗格上右键单击客户端并从右键菜单中选择 设置策略 或者在策略管理器中单击 添加客户端 添加/ 删除 在策略管理器中单击 添加客户端 会打开 设置/删除 对话框窗口在左侧会以 服务器/客户端 的格式列出各个客户端如果 选择 可向下同步策略 该窗口还将列出从下层服务器同步的客户端通过拖放方式或单击 > > 将其移动到 选定项目 选 择要接收策略的客户端新选定的客户端带一个黄色星号 仍可以通过单击 < < 或 C 按钮从 选定项目 中移除单击 确定 以确认所作的选择 注意 确认之后 如果您重新打开 设置/ 删除 对话框窗口 则无法从 选定项目 移除客户端 只能替换策略 您也可以使用 添加特殊项 功能添加客户端 它可以一次添加所有客户端或 添加选定客户端或者从选定服务器或组添加客 户端 65

66 策 略 规 则 策略规则工具允许管理员以更加全面的方式为客户端工作站自动分配策略在客户端连接到服务器之后就会立即应用规则 它们优先于服务器策略和手动分配策略只有客户端未受到任何现有规则限制时 才会应用服务器策略同样 如果要应用 手动分配的策略 并且它与策略规则冲突 通过策略规则强制实施的配置则有优先性 如果由本地管理员来管理每个服务器 每个管理员则可以为各自的客户端创建单独的策略规则在本方案中 避免策略规则 之间的冲突至关重要 例如 在上层服务器基于策略规则为客户端分配策略的同时 下层服务器又基于本地策略规则分配单 独的策略 可以从策略管理器中的策略规则选项卡创建和管理策略规则创建和应用的流程与在电子邮件客户端中创建和管理规则非常 类似 每个规则都可以包含一个或多个条件 规则在列表中的排序越高 它就越重要 可以向上或向下移动 要创建新的规则 请单击新建规则并选择是要新建 还是要使用策略规则向导 数和策略 将应用于符合指定条件的任何客户端的策略 66 然后输入名称 说明 客户端过滤器参 若要配置过滤条件 请单击编辑 不 FROM 主服务器 如果 不 在主服务器上 不 是新客户端 - 如果 不 是新客户端 不 HAS 新标志 适用于有/没有 新客户端 标志的客户端 不 包含主服务器 指定 如果主服务器的名称包含/未包含... 包含 E RA 组 指定 如果客户端属于组... 不包含 E RA 组 指定 - 如果客户端不属于组... 不 包含域/ 工作组 IN 指定 - 如果客户端属于/不属于域... 计算机名称掩码 指定 如果计算机名称是... HAS IP v4 掩码 指定 - 如果客户端属于由 IPv4 地址和掩码定义的组... HAS IP v4 范围 指定 - 如果客户端属于由 IPv4 范围定义的组... HAS IP v6 掩码 指定 - 如果客户端属于由 IPv6 地址和掩码定义的组... HAS IP v6 范围 指定 - 如果客户端属于由 IPv6 范围定义的组... HAS 未 定义策略 指定 - 如果客户端 不 采用策略... 产品名称 不 - 如果产品名称为... 产品版本 不 - 如果产品版本为... 客户端自定义信息掩码 不 - 如果客户端自定义信息包含... 客户端注释掩码 不 在其中 不 具有防护状态 指定 - 如果客户端防护状态为... 病毒库版本 不 为- 如果病毒库为... 上次连接 不 旧于 指定 - 如果上次连接旧于... 不 等待重启 - 如果客户端正在等待重启 可以从.xml 文件导出策略规则 或向其导入策略规则也可以使用策略规则向导 66 自动创建策略规则 该向导允许您根据 现有组结构创建策略结构 并通过创建对应策略规则将创建的策略映射到组有关导入/导出策略规则的更多信息 请参阅导 入/导出策略 64 一章 若要移除策略规则 请单击删除规则... 如果要立即应用已激活的规则 则单击立即运行策略规则 策 略 规 则 向 导 策略规则向导允许您根据现有组结构创建策略结构 并通过创建相应策略规则将创建的策略映射到组 1. 在第一步中 提示您创建组如果您没有需要的组结构配置 可以单击组管理器 61 设置组 然后单击下一步 2. 在第二步中 将提示您指定受新策略规则影响的客户端组的类别选中所需复选框后 单击 下一步 3. 选择 父策略 4. 在最后一步中 您将看到简单的过程状态消息单击 完成 按钮关闭 策略规则向导 窗口 您的新策略规则将显示在 策略规则 选项卡中的列表中选中规则名称旁边的复选框以启用特定规则 有关导入/导出策略规则和名称冲突的更多信息 请参阅导入/导出策略 一章

67 5.3.9 适 用 于 移 动 客 户 端 的 策 略 相较于在笔记本/台式机上安装 ESET 产品的用户 在移动设备上安装 ESET 产品的用户能更大程度地控制其软件的设置和行 为基于此原因 持续性地强制移动用户接受某个策略是完全没有必要的 因为用户可能会想要更改或调整特定设置我们 建议您使用下面所示方法为移动客户端创建一个策略 创建一个空策略(客户端默认策略) 1. 单击工具 > 策略管理器 2. 单击添加新的策略创建一个未修改设置的空策略在 策略 配置部分中 选择创建空策略配置 3. 单击添加客户端并选择您想要使用此策略管理的移动用户 4. 单击策略规则 66 选项卡并单击新建 5. 在策略下拉菜单中选择此策略 然后单击编辑 6. 选择是新客户端规则条件 在参数字段中单击 是 将规则条件更改为 不是新客户端 然后单击 确定 两次 7. 询问您是否要保存设置时 请单击 确认 然后单击 是 8. 每次连接到 ERA 时 客户端都将应用此策略 创建一次性策略(客户端初始策略) 1. 单击工具 > 策略管理器 2. 单击添加新的策略创建一个未修改设置的空策略在 策略 配置部分中 选择创建空策略配置 3. 配置要应用到移动客户端的设置 然后保存配置 4. 单击添加客户端 然后指定您想要使用此策略管理的移动用户 5. 单击策略规则 66 选项卡并单击新建 6. 在策略下拉菜单中选择此策略 然后单击编辑 7. 选择是新客户端规则条件并单击 确定 两次 8. 询问您是否要保存设置时 请单击 确认 然后单击 是 移动客户端首次连接到 ERA 时 它们将收到来自一次性策略的设置下次连接到 ERA 时 这些客户端将收到空策略并且 它们的设置将不受影响 删 除 策 略 与创建规则一样 删除操作只适用于当前所连接的服务器上的策略若要从其他服务器删除策略 则必须使用 ERAC 直接连 接该服务器 注意 某个策略可能会与其他服务器或策略关联 作为父策略 下层服务器的默认策略或主客户端的默认策略等 因此 在某些情况下 可能需要替换而不是删除若要查看删除和替换选项 请单击删除策略... 下述选项可能会不适用 具体取 决于给定策略在策略层次结构中的位置 新策略用于包含当前已删除策略的主客户端 - 允许您为主客户端选择一个用于代替要删除策略的新策略主客户端可以 采用主客户端的默认策略或同一服务器上的其他策略 手动分配添加客户端 或通过策略规则强制实施 您可以使用 给定服务器上的任意策略或同步的策略来代替 新的父策略用于当前已删除策略的子策略 - 如果要删除的策略是其他子策略的父策略 则必须对其进行替换替换策略 可以是该服务器上的策略 从上层服务器同步的策略 或者 N/A 标志 这意味着将不会为子策略分配替换策略强烈建议 您分配一个替换策略 即使是不存在子策略在删除过程中 如果有另一个用户正在为该策略分配子策略 则会引起冲 突 新策略用于包含当前已删除或已修改策略的同步客户端 - 您可在这里为从下层服务器同步的客户端选择新策略 已应用 于当前要删除的策略的那些策略 您可以使用给定服务器上的任意策略或同步的策略来代替 67

68 新的默认策略用于下层服务器 - 如果删除的策略是虚拟策略 参阅 全局策略设置 一节 则必须使用其他策略来代替 它 有关更多信息 请参阅虚拟策略 63 一章 您可以使用给定服务器上的任意策略或 N/A 标志来代替 新的默认策略用于主客户端 - 如果删除的策略是虚拟策略 参阅 全局策略设置 一章节 则必须使用其他策略来代替 它 有关更多信息 请参阅虚拟策略 63 一章 您可以使用同一服务器的策略作为替换策略 如果禁用策略的 可向下同步 选项并单击 确定 应用 或者从策略树选择另一个策略 也会打开同一对话框这将激活项 目 新策略用于包含当前已删除或已修改策略的同步客户端 或 新的默认策略用于下层服务器 特 殊 设 置 另外两个策略不在策略管理器中 而在工具 > 服务器选项 > 高级 > 编辑高级设置 > E S E T Remot e A dminis t rat or > E RA S erv er > 设置 > 策略中 策略增强的间隔(分钟) - 此功能应用于指定间隔中的策略建议使用默认设置 禁用策略使用 - 启用此选项可取消策略应用到服务器如果策略存在问题 建议使用此选项如果您希望避免将某个策略 应用到某些客户端 更好的解决方案是将它们分配到空策略 68

69 策 略 执 行 方 案 每 个 服 务 器 都 是 一 个 独 立 单 元 并 在 本 地 定 义 策 略 本方案假定有一个具备一个主服务器和两个下层服务器的小型网络每个服务器都有若干个客户端每个服务器上至少有一 个或多个已创建的策略下层服务器位于公司的分支机构 而两个服务器都由本地管理员来管理每个管理员会确定为各自 服务器的客户端指定哪些策略主管理员不会干涉由本地管理员进行的配置 也不会为其服务器的客户端指定任何策略从 服务器策略的角度来看 这意味着服务器 A 没有任何下层服务器的默认策略这也说明 服务器 B 和服务器 C 已将 N/A 标志或另一个本地策略 除了默认父策略 设定为父策略 例如 服务器 B 和 C 未从上层服务器指定任何父策略 69

70 独 立 管 理 每 个 服 务 器 - 在 本 地 管 理 各 个 策 略 但 从 上 层 服 务 器 继 承 默 认 父 策 略 先前方案中的配置还可应用于此方案但是 服务器 A 已启用下层服务器的默认策略 而且下层服务器的策略从主服务器继 承默认父策略的配置在本方案中 在配置策略上给了本地管理员很大程度的自主权在下层服务器上的子策略可能继承默 认父策略的同时 本地管理员仍可以通过他们自己的策略对其进行修改 70

71 从 上 层 服 务 器 继 承 策 略 用于本方案的网络模型与前两个方案相同另外 具有默认父策略的主服务器包含其他策略 可向下同步并用作下层服务器 的父策略对于策略 1 参见下图 会激活 覆盖任何子策略 属性本地管理员仍然有很大的自主权 但得由主管理员来 决定向下同步的策略 以及用哪些策略作为本地策略的父策略 覆盖... 属性指示在选定策略中设定的配置覆盖在本地服务 器上设定的配置 71

72 仅 从 上 层 服 务 器 分 配 策 略 本方案描述了一个集中化的策略管理系统只在主服务器上创建 修改和分配客户端策略 而本地管理员没有权限对其进行 修改所有下层服务器只有一个 空的基本策略 默认名称为 服务器策略 这个空策略也用作主客户端的默认父策略 使 用 组 在有些情况下 为客户端组分配策略可以补充先前的方案可以手动或使用 Active Directory 同步 选项创建组 可以手动( 静态组 或自动 - 通过组属性 参数组 将客户端添加到组参阅组管理器 61 一章了解更多详细信息 若要将策略分配给一组客户端 您可以使用 策略管理器 中的一次性分配选项 添加客户端 添加特殊项 或通过 策 略规则 自动传递策略 下面是一种可能的情况 管理员希望为属于不同 AD 组的客户端分配不同策略 当客户端移动到不同 AD 组时自动更改该客户端的策略 1) 第一步是根据需要设置 组管理器 中的 Active Directory 同步 这里重要的是正确计划 AD 同步 可能选项 每小时 每天 每周 每月 2) 首次成功同步后 AD 组显示在 静态组 部分 3) 创建新策略规则 并标记 E RA 组 IN 和/或 E RA 组 NOT IN 作为规则条件 4) 指定要添加到条件的 AD 组 72

73 5) 在下一步中 定义将应用于满足规则条件的客户端的策略 按 确定 保存规则 注意: 策略规则向导允许您根据现有组结构创建策略结构 并通过创建相应策略规则将创建的策略映射到组 使用它可以代 替步骤 3-5 这样可以为每个 AD 组定义特定策略规则向特定客户端分配特定策略取决于客户端在特定 AD 组中的成员资格因为 AD 同步计划定期进行 应用策略规则时客户端 AD 组成员资格的所有变化将刷新并考虑换句话说 策略根据 AD 组自动应用 于客户端规则和策略彻底定义 无需管理员的策略应用方面干预 此方法的主要优势是直接自动联系 AD 组成员资格与策略分配 5.4 通知管理器 通知系统和网络管理员重要事件的功能是网络安全和完整性的必要组成部分对错误或恶意代码的预警 可以避免在事发后 解决此类问题通常所需的大量时间和金钱上的损失后面的三个章节列出了 ERA 提供的各个通知选项 若要打开通知管理器主窗口 请单击工具 > 通知管理器 主窗口分为两部分 1. 窗口顶部的通知规则区域包含一系列现有 预定义或用户定义的 规则必须在这里选择一个规则才能生成通知消息默 认情况下 不启用通知因此 建议检查您的规则是否处于活动状态规则列表下的功能按钮包括保存 保存对规则的修 改 另存为... 将修改保存到使用新名称的规则 删除 测试 单击此按钮可立即触发规则并发送通知 新建 使用该按钮新建规则 刷新和默认规则 更新包含默认规则的列表 默认情况下 通知管理器窗口包含预定义规则若要激活规则 请选择规则旁边的复选框有下列通知规则可用如果将其 激活并满足规则条件 它们会生成日志条目 73

74 超过 10% 的主客户端未连接 - 如果百分之十以上的客户端超过一个星期未连接到服务器 如果发生这种情况 规则立刻 运行 超过 10% 的主客户端具有严重防护状态 - 如果百分之十以上的客户端生成防护状态严重警告 并且超过一个星期未连 接到服务器 如果发生这种情况 规则立刻运行 具有防护状态警告的主客户端 - 如果至少有一个客户端具有防护状态警告且至少一个星期未连接到服务器 主客户端未连接 - 如果至少有一个客户端超过一个星期未连接到服务器 病毒库过期的主客户端 - 如果客户端病毒库比当前版本旧两个或更多版本 且断开服务器连接的时间未超过一个星期 具有严重防护状态的主客户端 - 如果客户端有防护状态严重警告且断开连接的时间未超过一个星期 具有比服务器更新病毒库的主客户端 - 如果客户端的病毒库比服务器的新且超过一个星期未断开连接 主客户端等待重启 - 如果客户端等待重启且断开连接的时间未超过一个星期 在计算机扫描时包含未清除威胁的主客户端 如果客户端上有至少一个威胁在计算机扫描时无法清除且断开连接的时间 未超过一个星期 如果发生这种情况 规则立刻运行 完成的任务 如果客户端上有已完成的任务 如果发生这种情况 规则立刻运行 新的主客户端 - 如果有新客户端已连接到服务器 如果发生这种情况 规则立刻运行 已同步的新客户端 - 如果在客户端列表中有已同步的新客户端 如果发生这种情况 规则在一小时后运行 可能的病毒爆发 - 如果所有客户端的至少百分之十客户端上威胁日志条目的频率超过每小时 1000 个严重警告 可能的网络攻击 - 如果所有客户端的至少百分之十客户端上 ESET 个人防火墙日志条目的频率超过每小时 1000 个严重警 告 服务器已更新 - 如果服务器已更新 服务器未更新 如果服务器超过五天未更新 如果发生这种情况 规则立刻运行 服务器文本日志中的错误 - 如果服务器日志中包含错误条目 许可证过期 - 如果当前许可证将在 20 天内过期 并且在过期之后 客户端空位的最大数量会低于当前的客户端数量 如 果发生这种情况 规则立刻运行 许可证限制 - 如果客户端免费空位的数量减少至所有客户端可用空位的 10% 以下 如果未另行注明 则在 24 小时之后运行和重复所有规则并将其应用于主服务器和主客户端 2. 窗口下半部分的选项区域提供当前选定规则的相关信息该区域的所有字段和选项都在规则创建 进行描述 80 一章中 通过示例规则 您可以在每个规则中指定称作触发器的条件 用于激活规则可用的触发器包括 客户端状态 75 某些客户端出现问题时将运行规则 服务器状态 76 某些服务器出现问题时运行规则 完成任务事件 77 - 在完成指定任务后运行规则 新客户端事件 78 - 如果有新客户端连接到服务器 包括同步的客户端 将运行规则 爆发事件 78 - 当在相当多的客户端上产生了爆发事件时 将运行规则 已接收的日志事件 79 - 管理员想要接收特定时间间隔内与日志有关的通知时 将运行规则 可基于触发器的类型激活或取消激活其他规则选项 因此 我们建议在创建新规则 80 时首先设置触发器类型 优先级下拉菜单可用于选择规则的优先级P 1 是最高优先级 P 5 是最低优先级优先级无论怎样都不会影响规则的功能 若要给通知消息指定优先级 可以使用 %PRIORITY% 变量在优先级下拉菜单下有一个说明字段我们建议为每个规则指 定一个有意义的说明 例如警告检测到威胁的规则 在通知管理器主窗口下部的消息字段中可以编辑通知格式您可以在文本中使用专用变量 %VARIABLE_NAME%若要查看 可用变量列表 请单击提示选项 Rule_ Name Rule_ Des c ript ion 74

75 P riorit y - 通知规则优先级 P1 为最高优先级 Triggered - 最近通知的发送日期 不包括重复通知 Triggered_ Las t - 最近通知的发送日期 包括重复通知 Client _ Filt er - 客户端过滤器参数 Client _ Filt er_ S hort - 客户端过滤器设置 缩略形式 Client _ Lis t - 客户端列表 P aramet ers - 规则参数 P rimary _ S erv er_ Name S erv er_ Las t _ Updat ed - 服务器的最近更新 V irus _ S ignat ure_ DB _ V ers ion - 最新的病毒库版本 P c u_ Lis t - 所有 PCU 的最新列表 P c u_ Lis t _ New_ E ula - 具有新 EULA 的所有 PCU 的最新列表 Las t _ Log_ Dat e - 最近的日志日期 Tas k _ Res ult _ Lis t - 完成的任务列表 Log_ Tex t _ Trunc at ed - 激活通知的日志文本 已截断 Lic ens e_ Inf o_ Merged - 许可证信息 摘要 Lic ens e_ Inf o_ Full - 许可证信息 完整 Lic ens e_ Day s _ To_ E x piry - 许可证剩余的有效天数 Lic ens e_ E x pirat ion_ Dat e - 最近的过期日期 Lic ens e_ Client s _ Lef t - 客户端可用于连接服务器的当前许可证的免费空位 A c t ual_ Lic ens e_ Count - 当前连接到服务器的客户端数量 客 户 端 状 态 在 客户端过滤器 窗口中定义客户端过滤参数当应用规则时 只有符合客户端过滤条件的客户端会被考虑在内过滤条件 是 FROM 主服务器 仅限于主服务器的客户端 还可以应用否定条件 NOT FROM 主服务器 IN - 在输出中包括主服务器 包含新标志 - 标记为 新 的客户端 还可以应用否定条件 不包含 E RA 组 IN 属于指定组的客户端 域/ 工作组 IN - 属于指定域的客户端 计算机名称掩码 - 具有指定计算名称的客户端 有 IP v4 掩码 - 分配给指定 IPv4 掩码的客户端 有 IP v4 范围 - 在指定 IPv4 地址范围内的客户端 有 IP v6 网络前缀 - 具有指定 IPv6 网络前缀的客户端 有 IP v6 范围 - 在指定 IPv6 地址范围内的客户端 已定义策略 - 已分配指定策略的客户端 还可以应用否定条件 未定义 在为通知规则指定客户端过滤器后 单击 确认 并继续设置规则参数客户端参数定义为了运行通知操作 一个或一组客户端 必须满足的条件若要查看可用参数 请单击 参数 部分中的 编辑... 按钮 参数的可用性取决于选定的触发器类型下列参数适用于客户端状态触发器 防护状态任何警告 - 在防护状态列中发现的任何警告 防护状态严重警告 - 在防护状态列中发现的严重警告 病毒库版本 病毒库有问题 6 个可能值 - 以前 - 病毒库版本比当前的旧 - 较旧或 N/ A 病毒库版本比当前的旧多个版本 - 旧于 5 个版本或 N/ A 病毒库版本比当前的旧 5 个版本以上 - 旧于 10 个版本或 N/ A 病毒库版本比当前的旧 10 个版本以上 - 旧于 7 天或 N/ A 病毒库版本比当前的旧 7 天以上 - 旧于 14 天或 N/ A 病毒库版本比当前的旧 14 天以上 75

76 上次连接警告 - 上次连接是在指定时段之前建立的 包含上次威胁事件 威胁 列包含一个威胁警告 包含上次事件 上次事件 列包含一个条目 包含上次防火墙事件 防火墙事件 列包含一个防火墙事件条目 包含新标志 - 标记为 新 的客户端 等待重启 - 客户端正在等待重启 上次扫描发现的威胁 上次扫描期间 在客户端上发现指定数量的威胁 上次扫描未清除的威胁 上次扫描期间 在客户端上发现指定数量未清除的威胁 所有参数都可以有否定形式 但并不是所有否定条件都可用最好是只否定那些包含两个逻辑值的参数 true 和 not true例 如 参数 包含新标志 只包括标记为 新 的客户端而否定参数则包括没有该标记的客户端 上述所有条件在逻辑上都可以合并和反转具备这两种选择时的 应用规则 下拉菜单 满足所有选项 - 仅在满足指定的 所有 参数时运行规则 满足任意选项 - 满足至少 一个 条件时运行规则 如果符合为某个规则指定的参数 则会自动执行由管理员定义的操作若要配置操作 请单击 操作 部分中的 编辑 激活规则的延迟时间范围可以从一小时到三个月如果您想尽快激活规则 则从 之后激活 下拉菜单选择 A S A P 激活通知 管理器的默认间隔是 10 分钟 因此如果选择A S A P 就会在 10 分钟内运行任务如果从此菜单选择特定时段 则会在该 时段之后自动执行操作 假定满足规则条件 重复间隔时间... 菜单使您可以指定重复操作的时间间隔但是 仍然必须满足激活规则的条件在 服务器 高级 编 辑高级设置 > E S E T Remot e A dminis t rat or 服务器 设置 通知 通知处理间隔 分钟 中 您可以指定服务 器检查和执行活动规则的时间间隔 默认值为 10 分钟建议您不要降低该值 因为这可能会引起服务器明显变慢 服 务 器 状 态 服务器规则参数 窗口允许您设置参数以触发特定服务器状态相关规则 然后应用规则以发送通知若要设置参数 请单击 特定条件旁的单选按钮这将启动 GUI 的相邻激活元素以允许您修改条件参数 服务器已更新 - 服务器为最新状态 服务器未更新 - 服务器超过指定时间未更新 审核日志 - 审核日志 监视并记录对配置的所有更改和由 ERAC 用户执行的所有操作您可以按类型过滤日志条目 请参 阅 服务器日志 服务器日志 - 服务器日志包含下列条目类型 - 错误- 错误消息 - 错误 + 警告 错误消息和警告消息 - 错误+ 警告+ 信息 详细 - 错误 警告和资料消息 76

77 - 按类型过滤日志条目 - 启用该选项以指定要在服务器日志中查看的错误和警告条目请注意 为了使通知功能正常 工作 必须将日志级别 工具 > 服务器选项 > 日志记录 设定为相应的级别否则 此类通知规则将永远不会在服务器日 志中找到触发器下列日志条目可用 - A DS I_ S Y NCHRONIZE - Active Directory 组同步 - CLE A NUP - 服务器清理任务 - CRE A TE RE P ORT - 手动生成报告 - DE INIT - 服务器关闭 - INIT - 服务器启动 - INTE RNA L 1 - 内部服务器消息 - INTE RNA L 2 - 内部服务器消息 - LICE NS E - 许可证管理 - MA INTE NA NCE - 服务器维护任务 - NOTIFICA TION - 通知管理 - P US HINS T - 推送安装 - RE NA ME - 重命名内部结构 - RE P LICA TION - 服务器同步 - P OLICY - 策略管理 - P OLICY RULE S - 策略规则 - S CHE DRE P ORT - 自动生成报告 - S E RV E RMGR - 内部服务器线程管理 - S E S S ION - 服务器网络连接 - S E S S ION_ US E RA CTION - 不同用户操作 - THRE A TS E NS E - ESET Live Grid - 统计信息提交 - UP DA TE R - 服务器更新和镜像创建 一个很有用的参数示例就是 UPDATER 当通知管理器在服务器日志中发现与更新或镜像创建相关的问题时 它会发送通知 消息 许可证过期 - 许可证将在指定天数内到期或者已经过期选择 只在这种情况会导致许可证中的客户端数低于服务器数 据库中的实际客户端数时才警告 选项 可以在过期会引起客户端数量少于当前连接的客户端数量时发送通知 限制许可证 - 如果免费客户端的百分比低于指定值 如果符合为某个规则指定的参数 则会自动执行由管理员定义的操作若要配置操作 请单击 操作 部分中的 编辑 激活规则的延迟时间范围可以从一小时到三个月如果您想尽快激活规则 则从 之后激活 下拉菜单选择 A S A P 激活通知 管理器的默认间隔是 10 分钟 因此如果选择A S A P 就会在 10 分钟内运行任务如果从此菜单选择特定时段 则会在该 时段之后自动执行操作 假定满足规则条件 重复间隔时间... 菜单使您可以指定重复操作的时间间隔但是 仍然必须满足激活规则的条件在 服务器 高级 编 辑高级设置 > E S E T Remot e A dminis t rat or 服务器 设置 通知 通知处理间隔 分钟 中 您可以指定服务 器检查和执行活动规则的时间间隔 默认值为 10 分钟建议您不要降低该值 因为这可能会引起服务器明显变慢 完 成 的 任 务 事 件 将在完成选定任务后触发规则在 默认 设置下 所有任务 57 类型均被选中 如果符合为某个规则指定的参数 则会自动执行由管理员定义的操作若要配置操作 请单击 操作 部分中的 编辑 激活规则的延迟时间范围可以从一小时到三个月如果您想尽快激活规则 则从 之后激活 下拉菜单选择 ASAP 激活通知 管理器的默认间隔是 10 分钟 因此如果选择A S A P 就会在 10 分钟内运行任务如果从此菜单选择特定时段 则会在该 时段之后自动执行操作 假定满足规则条件 77

78 5.4.4 新 客 户 端 事 件 在 客户端过滤器 窗口中定义新客户端过滤参数当应用规则时 只有符合客户端过滤条件的客户端会被考虑在内过滤条 件是 FROM 主服务器 仅限于主服务器的客户端 还可以应用否定条件 NOT FROM 主服务器 IN - 在输出中包括主服务器 包含新标志 - 标记为 新 的客户端 还可以应用否定条件 不包含 E RA 组 IN 属于指定组的客户端 域/ 工作组 IN - 属于指定域的客户端 计算机名称掩码 - 具有指定计算名称的客户端 有 IP v4 掩码 - 分配给指定 IPv4 掩码的客户端 有 IP v4 范围 - 在指定 IPv4 地址范围内的客户端 有 IP v6 网络前缀 - 具有指定 IPv6 网络前缀的客户端 有 IP v6 范围 - 在指定 IPv6 地址范围内的客户端 已定义策略 - 已分配指定策略的客户端 还可以应用否定条件 未定义 如果符合为某个规则指定的参数 则会自动执行由管理员定义的操作若要配置操作 请单击 操作 部分中的 编辑 激活规则的延迟时间范围可以从一小时到三个月如果您想尽快激活规则 则从 之后激活 下拉菜单选择 A S A P 激活通知 管理器的默认间隔是 10 分钟 因此如果选择A S A P 就会在 10 分钟内运行任务如果从此菜单选择特定时段 则会在该 时段之后自动执行操作 假定满足规则条件 爆 发 事 件 此通知在为爆发事件定义的条件得到满足后立即触发 并且不报告各单个事件或超出定义的条件的事件 可在 客户端过滤器 窗口中定义爆发事件的过滤参数当应用规则时 只有符合客户端过滤条件的客户端会被考虑在内过 滤条件是 FROM 主服务器 仅限于主服务器的客户端 还可以应用否定条件 NOT FROM 主服务器 IN - 在输出中包括主服务器 包含新标志 - 标记为 新 的客户端 还可以应用否定条件 不包含 E RA 组 IN 属于指定组的客户端 域/ 工作组 IN - 属于指定域的客户端 计算机名称掩码 - 具有指定计算名称的客户端 有 IP v4 掩码 - 分配给指定 IPv4 掩码的客户端 有 IP v4 范围 - 在指定 IPv4 地址范围内的客户端 有 IP v6 网络前缀 - 具有指定 IPv6 网络前缀的客户端 有 IP v6 范围 - 在指定 IPv6 地址范围内的客户端 已定义策略 - 已分配指定策略的客户端 还可以应用否定条件 未定义 在为通知规则指定客户端过滤器后 单击 确认 并继续设置规则参数客户端参数定义为了运行通知操作 一个或一组客户端 必须满足的条件若要查看可用参数 请单击 参数 部分中的 编辑... 按钮 日志类型 - 选择想要镜像的日志的类型 日志级别 - 给定日志中的日志条目级别 - 级别 1 - 严重警告 - 仅限严重错误 78

79 - 级别 2 - 上述 + 警告-等同于 1 外加警报通知 - 级别 3 - 上述 + 正常 - 等同于 2 外加信息通知 - 级别 4 - 上述 + 诊断 - 等同于 3 外加诊断通知 60 分钟内 1000 次 - 键入发生次数并选择时段以指定发送通知时必须达到的事件频率默认频率是每小时 1000 次 数量 - 客户端数量 绝对值或百分比 合并间隔 是用于发送通知的时间间隔例如 如果合并间隔被设置为 1 小时 则将在后台进行数据收集且您每个小时都会 收到通知 仍在爆发且触发器为激活状态的情况下 已 接 收 的 日 志 事 件 当您想要接收特定时间间隔内每个日志的通知时 可使用此选项 在 客户端过滤器 窗口中定义客户端过滤参数当应用规则时 只有符合客户端过滤条件的客户端会被考虑在内过滤条件 是 FROM 主服务器 仅限于主服务器的客户端 还可以应用否定条件 NOT FROM 主服务器 IN - 在输出中包括主服务器 包含新标志 - 标记为 新 的客户端 还可以应用否定条件 不包含 E RA 组 IN 属于指定组的客户端 域/ 工作组 IN - 属于指定域的客户端 计算机名称掩码 - 具有指定计算名称的客户端 有 IP v4 掩码 - 分配给指定 IPv4 掩码的客户端 有 IP v4 范围 - 在指定 IPv4 地址范围内的客户端 有 IP v6 网络前缀 - 具有指定 IPv6 网络前缀的客户端 有 IP v6 范围 - 在指定 IPv6 地址范围内的客户端 已定义策略 - 已分配指定策略的客户端 还可以应用否定条件 未定义 在为通知规则指定客户端过滤器后 单击 确认 并继续设置规则参数客户端参数定义为了运行通知操作 一个或一组客户端 必须满足的条件若要查看可用参数 请单击 参数 部分中的 编辑... 按钮 日志类型 - 选择想要镜像的日志的类型 日志级别 - 给定日志中的日志条目级别 - 级别 1 - 严重警告 - 仅限严重错误 - 级别 2 - 上述 + 警告-等同于 1 外加警报通知 - 级别 3 - 上述 + 正常 - 等同于 2 外加信息通知 - 级别 4 - 上述 + 诊断 - 等同于 3 外加诊断通知 如果符合为某个规则指定的参数 则会自动执行由管理员定义的操作若要配置操作 请单击 操作 部分中的 编辑 合并间隔 是用于发送通知的时间间隔例如 如果合并间隔被设置为 1 小时 则将在后台进行数据收集且您每个小时都会 收到通知 触发器仍为激活状态的情况下 79

80 5.4.7 操 作 如果符合为某个规则指定的参数 则会自动执行由管理员定义的操作若要配置操作 请单击 操作 部分中的 编辑... 操 作编辑器提供下列选项 电子邮件 - 程序发送规则的通知文本到指定的电子邮件地址 您可以在 主题 中指定主题单击 收件人 打开地址簿 S NMP 陷阱 - 生成并发送 SNMP 通知 执行 在服务器上 - 启用此项并指定要在服务器上运行的应用程序输入应用程序的完整路径 日志到文件- 在指定的日志文件中生成日志条目输入文件夹的完整路径 可以配置通知的 级别 记录到系统日志 - 记录通知到系统日志 可以配置通知的 级别 日志记录- 记录通知到服务器日志 可以配置通知的级别 执行报告 - 选择此选项后 模板名称 下拉菜单为可点击状态在此选择要对报告使用的模板有关模板的更多信息 请参阅报告 33 一章 为了使该功能可以正常工作 您必须在 ERA Server 上启用日志记录功能 工具 服务器选项 日志记录 通 过 S N MP 陷 阱 通 知 SNMP 简单网络管理协议 是一种适合监控和识别网络问题的简单且广泛的管理协议此协议的操作之一就是发送特定数据 的 TRAP在 ERA 中 我们使用 TRAP 发送通知信息 为使 TRAP 工具有效运行 必须在 ERAS 所在的同一计算机上正确安装和配置 SNMP 协议 开始 控制面板 添加或 删除程序 添加/ 删除 Windows 组件 SNMP 服务必须按本文所述的方法进行配置 kb/315154在 ERAS 中 您需要激活 SNMP 通知规则 可在 SNMP 管理器中查看通知 但必须将 SNMP 管理器连接到导入有配置文件 eset_ras.mib 的 SNMP 服务器此文件是 ERA 安装的标准组件 通常位于文件夹 C:\Program Files\ESET\ESET Remote Administrator\Server\snmp\ 规 则 创 建 示 例 如果客户端工作站的防护状态出现问题 下列步骤介绍如何创建发送电子邮件通知到管理员的规则通知还会被保存到名为 log.txt 的文件中 1) 将 触发类型 下拉菜单设定为 客户端状态 2) 保留选项 优先级 之后激活 和 重复间隔时间 的预定义值将规则自动分配为优先级 3 并且在 24 小时后激活 3) 在 说明 字段中输入总部组中客户端的防护状态通知 4) 单击 客户端过滤器 部分中的 编辑... 仅激活 E RA 组 IN 部分中的规则条件单击该窗口下半部分中的 指定 链接和 新窗口中的 HQ 类型单击 添加 然后单击 确定 两次 以确认这可指定此规则只可应用于总部组中的客户端 5) 在 参数 编辑... 中进一步指定规则的参数取消选择除 防护状态任何警告 外的所有选项 6) 继续到 操作 部分并单击 编辑... 按钮在 操作 窗口 激活 电子邮件 指定收件人 收件人... 和电子邮件的主题 然后选择 日志到文件 复选框并输入要创建日志文件的名称和路径此外 您还可选择日志文件的 级别 单击 确定 保存操作 7) 最后 使用 信息 文本区域指定在规则激活时以电子邮件发送的文字示例 "The client %CLIENT_LIST% reports protection status problem". 8) 单击 另存为... 命名规则 例如 "protection status problems" 然后在通知规则列表中选择规则 规则正在使用如果总部组中客户端上的防护状态出现问题 则会运行此规则管理员将收到电子邮件通知及包含问题客户 端名称的附件单击 关闭 退出通知管理器 80

81 5.5 客户端的详细信息 ERA 允许您从客户端工作站提取有关运行过程 启动程序等信息可使用集成的 ESET SysInspector 工具提取信息并直接将 其整合到 ERAS除其他有用功能外 ESET SysInspector 还可彻底检查操作系统并创建系统日志要打开此工具 请单击 ERAC 主菜单中的 工具 >E S E T S y s Ins pec t or 如果特定客户端出现问题 您可从客户端请求 ESET SysInspector 日志若要执行该操作 请右键单击 客户端 窗格中的客 户端并选择 请求数据 - 请求 S ysinspector 信息 日志只可从第 4 代产品或更新的产品中获得 较早版本不支持此功 能将显示一个具有以下选项的窗口 创建快照 同时在客户端上记录生成的日志 将日志副本保存到客户端计算机上 在指定时间前将比较包括到上次快照 - 显示比较日志 适用时可合并当前日志和以前日志创建比较日志ERA 将选择比 指定日期较早的第一个日志 单击 确定 以获取选定的日志并将其保存到服务器要打开和查看日志 请继续以下操作 各个客户端工作站的 ESET SysInspector 选项可在 客户端属性 S y s Ins pec t or 选项卡中找到此窗口分为三个部分 顶部显示有关给定客户端中最新日志的文字信息单击 刷新 以加载最新信息 请求选项 窗口的中间部分几乎与上述从客户端工作站请求日志过程出现的窗口相同 请求 按钮用于从客户端获取 ESET SysInspector 日志 底部由三个按钮组成 查看 - 在 ESET SysInspector 中直接打开顶部中所列的日志 另存为... - 将当前日志保存到文件保存日志后 单击 查看 后即会保存 然后运行 E S E T S ysinspector 查看器 以查看文件 选项将自动打开日志 取决于日志的大小和数据传输速度 本地客户端有时会降低生成和显示新日志文件的速度分配到 客户端属性 > S y s Ins pec t or 中的日志的日期和时间 表示传送到服务器的日期和时间 5.6 防火墙规则合并向导 防火墙规则合并向导允许您为选定客户端合并防火墙规则当需要创建一个包含客户端在学习模式下收集的所有防火墙规则 的配置时 这一点很有用然后产生的配置可以通过配置任务发送到客户端 或者可以作为策略应用 向导可以通过 工具 下拉菜单 在右键单击选定客户端后 然后选定客户端自动添加到第一步中选定的项目 从右键菜单的 客户端 选项卡访问 注意 若要成功执行此操作 所有选定客户端必须在服务器上存储 发送或同步 最新配置您需要选择将从中合并防火墙 规则的客户端或客户端组在下一步中您将看到选定客户端列表及其配置状态如果客户端的配置不在服务器上 可以通过 单击 请求 按钮请求最后 您可以选择将在配置中使用的合并规则 并保存到.xml 文件 81

82 6. ERA 服务器选项 ERA Server 可以直接从连接到 ERA Server 的 ERA Console 轻松配置 - 选项 工具 服务器选项 常规 常规 选项卡显示基本的 ERA Server 信息 服务器信息 - 在这一部分 您可以查看基本的 ERA 服务器信息单击 更改密码... 按钮打开 ERA 服务器选项 的 安全 83 选项卡 许可证信息 - 显示您已购买的 ESET 安全产品客户端许可证的数量 以及服务器计算机上的 NOD32 Antivirus 系统或 ESET Smart Security 的当前版本如果您的许可证已过期 并且已获得一个新的许可证 请单击 许可证管理器 82 按钮 打开一个对话框 您可以在其中浏览新的许可证以激活 ERA 病毒库版本 - 显示病毒库的当前版本 基于提供的更新信息和使用的安全产品 性能 - 显示服务器客户端连接和常规性能信息 许 可 证 管 理 为了使 ERA 正常工作 必须上载许可证密钥在购买之后 许可证密钥和用户名及密码会被一起发送到您的电子邮件地址 许可证管理器用于管理许可证 在 ERA 3.x 及更高版本中 添加了对多个许可证密钥的支持功能该功能使得对许可证密钥的管理更为方便 从 工具 许可证管理器 可以访问许可证管理器主窗口 添加新许可证密钥 1) 浏览到 工具 许可证管理器 或按下键盘上的 CTRL + L 2) 单击 浏览 并找到所需的许可证密钥文件 许可证密钥的扩展名为.lic 3) 单击 打开 进行确认 4) 验证许可证密钥信息正确并选择 上载到服务器 5) 单击 确定 进行确认 上载到服务器 按钮仅在已选择许可证密钥 使用 浏览 按钮 时可用窗口的该部分显示当前所查看的许可证密钥的相关 信息这样就可以在将密钥复制到服务器之前进行最后的检查 窗口的中央会显示服务器当前使用的许可证密钥信息若要查看服务器上的所有许可证密钥信息 请单击 详细信息... 按 钮 ERAS 可以选择最相关的许可证密钥并将多个密钥合而为一如果上载了多个许可证密钥 ERAS 始终尝试查找客户端最多 且有效期最长的密钥 如果涉及到的所有密钥都由同一个客户所有 则可以使用多个密钥的合并功能许可证合并的过程简单 它会创建一个包含 全部所涉及客户端的新密钥新许可证密钥的有效期即为首先过期的密钥的有效期 当许可证有问题时 许可证管理器窗口的下部会显示一个通知可用选项包括 服务器将在 20 天内过期时发出警告 - 在许可证过期 X 天之前发出警告 只在这种情况会导致许可证中的客户端数低于服务器数据库中的实际客户端数时才警告 激活该选项后 可以只在许 可证过期 或者许可证的某一部分会引起客户端数量少于当前连接的客户端或 ERAS 数据库的客户端数量时显示警告 当服务器许可证只有 10% 的免费客户端时发出警告 - 如果免费客户端空位数量低于指定百分比时显示警告 ERAS 可以合并来自多个客户的多个许可证该功能必须通过一个专用密钥激活如果您需要这样的专用密钥 请在订单中 指明或联系当地的 ESET 分销商 82

83 6.2 安全 版本 3.x 及更高版本的 ESET 安全解决方案 ESET Smart Security 等 可为客户端和 ERAS 之间的加密通信 在 TCP 协 议 2222 端口的通信 提供密码保护较早版本 (2.x) 不具有此功能若要为较早版本提供向后兼容 则必须选中 启用对客 户端未经验证的访问 安全选项卡包含允许管理员在同一网络同时使用 2.x 和 3.x 安全解决方案的选项 与 ERA Server 的通信防护 注意 如果在 ERAS 中和所有 3.x 或更高版本 客户端上都启用验证 则可能禁用 启用对客户端未经验证的访问 选 项 控制台安全设置 使用 Windows/ 域验证 启用 Windows/域验证 并允许您定义管理员组 具有 ERA Server 完全访问权限 和具有只读 访问权限的组 选择将所有其他用户当作仅具有只读访问权限 如果选中此复选框 选项对于未指定 E RA 服务器 用户的 Windows/ 域用户允许只读访问将被激活且可以进行选择此选项确保这些用户无法更改 ERAC 中的设置如果 您想要指定 ERA 服务器用户 请单击用户管理器 可以通过用户管理器 83 工具管理用户控制台访问 服务器安全设置 客户端密码 为客户端访问 ERAS 设置密码 用于同步的密码 - 为同步到指定 ERAS 的下层 ERA Server 设置密码 E S E T 远程安装程序 代理 密码 为安装程序代理访问 ERAS 设置密码 与远程安装相关 启用对客户端 E S E T 安全产品 未经验证的访问 允许未指定有效密码的客户端访问 ERAS 如果当前密码与客户 端密码不同 启用对同步未经验证的访问 - 允许未指定有效同步密码的下层 ERA Server 的客户端访问 ERAS 启用对 E S E T 远程安装程序 代理 未经验证的访问 允许未指定有效密码的 ESET 远程安装程序访问 ERAS 注意: 默认值仅恢复预定义设置 此选项不重置密码 注意: 如果要增加安全性 可以使用复杂的密码转至 工具 E S E T 配置编辑器 远程管理 E RA 服务器 设置 > 安全 要求使用复杂的密码 并将此选项设置为 是 如果启用此选项 每个新密码的长度必须至少为 8 个字符 而且必 须包含小写字母 大写字母和非字母字符 用 户 管 理 器 用户管理器 工具使您能够管理用于控制台服务器验证的用户帐户管理员 完全访问 和只读帐户是预定义的 单击 新建 添加新用户帐户用于控制台服务器验证定义 用户名称 密码 和特定 权限 说明 字段用于自定义用户说明 为非必填项 权限 定义用户具有的访问级别以及能够执行的特定任务您可以通过选择指定用户 然后单击 控制台验证密码 旁边的 更 改... 为每个用户访问控制台更改控制台访问密码 84 注意: 不能更改预定义帐户的权限 管理员 和 只读 您可以将一个或多个 Windows/ 域验证组 附加到选定的 ERA 服务器用户如果一个 Windows/域组被指定给多个用户 将 使用用户列表中的第一个用户用户列表旁边的向上和向下箭头定义了用户顺序 83

84 6.2.2 控 制 台 访 问 密 码 若要更改控制台访问密码 请单击 文件 更改密码 或使用用户管理器 83 更改密码输入您的旧密码 然后输入新密码两 次 用于确认 如果您选中 同时更改存储在缓存中的密码 旁边的复选框 将更改启动应用程序时使用的缓存密码 因 此 用户无需在每次访问 ERAC 时键入密码 注意 您在该对话框中设置的密码将被直接发送到服务器这意味着在单击 确定 后 更改将立即执行且不可撤销 6.3 服务器维护 如果在 服务器维护 选项卡中配置正确 则无需进一步的配置 ERA Server 数据库就会自动进行维护和优化您可以定义以 下清理设置 日志收集参数... - 定义服务器接收的日志的级别 清理设置... - 按时间参数删除日志 高级清理设置... - 按日志记录的计数删除日志 指定清理后应保留的日志条目的数量 以及服务器接收的日志的级别例如 如果您在 高级清理设置 按日志记录的计数 85 中选择 删除除最近 条记录之外的所有威胁日志 并将 威胁 的 日志收集参数 84 级别定义为 级别 3 - 上 述+ 正常 则最后 条包含与严重错误 警报通知和信息通知相关的信息的记录将被保留在数据库中您还可以使用 按时间参数进行清理 85 来限制日志条目 清理计划任务 - 以指定间隔执行以上选定的选项单击此选项旁边的 更改... 可设置时间参数单击 立即清理 可立即开始 清理 压缩和修复计划任务 - 按指定时间间隔和时间压缩数据库压缩和修复功能可以消除不一致和问题 并提高与数据库通信的 速度单击此选项旁边的 更改... 可设置时间参数单击 立即压缩 可立即开始压缩和修复 注意 清理 和 压缩和修复 均为时间和资源密集型工具 建议安排在服务器负载最小 例如在夜间运行 清理 在周末运 行 压缩和修复 时运行 默认情况下 存在时间超过三/六个月的条目和日志会被删除 而 压缩和修复 任务将每十五天执行一次 日 志 收 集 参 数 定义发送到服务器的日志的级别使用对应的下拉菜单选择每个日志类型的级别 无 - 不将日志发送到服务器因为客户端没有使用该设置记录任何内容 所以 ERA 不能接收任何日志 级别 1 - 严重警告 - 仅限严重错误不会将严重错误记录到 Web 控制或设备控制选项卡 因为客户端不能生成此类日志 级别 2 - 上述 + 警告 - 等同于级别 1 外加警报通知 级别 3 - 上述 + 正常 - 等同于级别 2 外加信息通知在客户端 该级别称为信息而不是正常 级别 4 - 上述 + 诊断 - 等同于级别 3 外加诊断通知同样需要在客户端设置该级别 在客户端上的默认设置是信息日志 记录级别 全部 - 将接收全部日志 84

85 6.3.2 按 时 间 参 数 进 行 清 理 用于按时间间隔进行清理的主要清理设置 删除过去 X 个月 天 未连接的客户端 - 删除所有超过指定月 天 数未连接 ERAS 的客户端 删除超过 X 个月 天 的威胁日志 - 删除所有超过指定月 天 数的病毒事件 检测到的威胁 删除超过 X 个月 天 的防火墙日志 - 删除所有超过指定月 天 数的防火墙日志 删除超过 X 个月 天 的事件日志 - 删除所有超过指定月 天 数的系统事件日志 删除超过 X 个月 天 的 HIP S 日志 - 删除所有超过指定月 天 数的 HIPS 基于主机的入侵预防系统 日志 删除超过 X 个月 天 的设备控制日志 - 删除所有超过指定月 天 数的设备控制日志 删除超过 X 个月 天 的 Web 控制日志 - 删除所有超过指定月 天 数的 Web 控制日志 删除超过 X 个月 天 的反垃圾邮件日志 - 删除所有超过指定月 天 数的反垃圾邮件日志 删除超过 X 个月 天 的灰名单日志 - 删除所有超过指定月 天 数的灰名单日志 删除超过 X 个月 天 的扫描日志 - 删除所有超过指定月 天 数的扫描日志 删除超过 X 个月 天 的移动日志 - 删除所有超过指定月 天 数的移动日志 删除早于 X 个月 天 的无客户端的隔离区条目 - 删除未分配给任何客户端并且超过指定月 天 数的所有隔离区条 目 删除早于 X 个月 天 的未注册的计算机条目 - 删除超过指定月 天 数的所有未注册的计算机条目 不受 ERA 管理 的计算机 仅删除完成状态早于 X 个月 天 的任务条目 - 删除已完成且早于指定月 天 数完成的任务的所有任务条目 仅删除早于 X 个月 天 的所有任务条目 - 删除超过指定月 天 数的所有任务条目 任何状态 高 级 清 理 设 置 按 日 志 记 录 的 计 数 高级清理设置 按日志记录的计数 删除除最近 X 条记录之外的所有威胁日志 - 删除除指定数量的记录之外的所有病毒事件 检测到的威胁 删除除最近 X 条记录之外的所有防火墙日志 - 删除除指定数量的记录之外的所有防火墙日志 删除除最近 X 条记录之外的所有事件日志 - 删除除指定数量的记录之外的所有系统事件日志 删除除最近 X 条记录之外的所有 HIP S 日志 - 删除除指定数量的记录之外的所有 HIPS 基于主机的入侵预防系统 日志 删除除最近 X 条记录之外的所有设备控制日志 - 删除除指定数量的记录之外的所有设备控制日志 删除除最近 X 条记录之外的所有 Web 控制日志 - 删除除指定数量的记录之外的所有 Web 控制日志 删除除最近 X 条记录之外的所有反垃圾邮件日志 - 删除除指定数量的记录之外的所有反垃圾邮件日志 删除除最近 X 条记录之外的所有灰名单日志 - 删除除指定数量的记录之外的所有灰名单日志 删除除最近 X 条记录之外的所有扫描日志 - 删除除指定数量的记录之外的所有扫描日志 删除除最近 X 条记录之外的所有移动日志 - 删除除指定数量的记录之外的所有移动日志 85

86 6.4 日志记录 若要设置数据库维护参数 请从 ERA Console 主菜单中选择 工具/ 服务器选项 数据库维护提供的选项使日志保持透明并允许定期压缩 ERA 主数据库以节省空间 1. 审核日志 审核日志监视并记录对配置的所有更改和由 ERAC 用户执行的所有操作 如果选择了 记录到文本文件 选项 将会创建新的日志文件 大于 X MB 时替换 并于每天删除旧的日志文件 删除 早于 X 天的替换日志 您还可以在左侧的下拉菜单中更改日志级别 单击 查看日志 87 可显示当前的审核日志 记录到操作系统的应用程序日志 选项允许将信息复制到系统事件查看器日志 Windows 控制面板>管理工具>事件查 看器 您还可以在左侧的下拉菜单中更改日志级别 记录到系统日志 将系统日志消息通过指定端口发送到指定系统日志服务器 默认服务器为 localhost 默认端口 为 514 对于系统日志高级设置 请转至 工具 服务器选项 高级 编辑高级设置... 设置 日志记录 在此 您可以编辑系统日志选项 - 系统日志服务器名称 系统日志服务器端口 系统日志设备以及系统日志级别 注意: 必须为每个日志类型配置系统日志严重级别对于服务器日志 为设置 用于服务器日志的系统日志设备 对于调试 日志 为设置 用于调试日志的系统日志设备 这些日志的系统日志严重级别如下 E RA 级别 系统日志严重级别 级别 1 信息 LOG_INFO //6 级别 2 错误 LOG_INFO //3 级别 3 警告 LOG_INFO //4 级别 4 5 调试 LOG_INFO //7 日志的 级别 意味着日志的详细程度和所包含的信息 级别 1 级别 2 等 级别 3 级别 4 级别 5 - 用户和组 - 记录与用户和组相关的活动 静态组 参数组 在组中添加/删除客户端等 - 上述 + 客户端操作 - 上述 + 所有与 ERA 客户端相关的活动 设置/清除新标志 设置客户端策略 请求数据 - 上述 + 任务和通知 - 上述 + 所有与任务相关的活动 创建/删除任务 创建/删除通知等 - 上述 + 报告 - 上述 + 所有与报告相关的活动 创建/删除报告 创建/删除报告模板 - 所有事件 - 所有与日志相关的活动 清除 HIPS 日志 清除威胁日志等 2. 服务器日志 运行过程中 ERA Server 将创建一个与其活动有关的服务器日志 日志文件名 该日志是可配置的 日志级别 注意 文本文件输出默认保存至文件 %ALLUSERSPROFILE%\Application Data\Eset\ESET Remote Administrator\Server\logs\era.log 如果选择了 记录到文本文件 选项 将会创建新的日志文件 大于 X MB 时替换 并于每天删除旧的日志文件 删除 早于 X 天的替换日志 注意 在 记录到文本文件 部分中 建议使 日志级别 保持为级别 2 - 上述 + 会话错误 并仅在您遇到任何问题或 ESET 的客户服务部门建议您进行设置时 才提高日志级别 记录到操作系统的应用程序日志 选项允许将信息复制到系统事件查看器日志 Windows 控制面板>管理工具>事件查 看器 记录到系统日志 将系统日志消息通过指定端口发送到指定系统日志服务器 默认服务器为 localhost 默认端口 为 514 对于系统日志高级设置 请转至 工具 服务器选项 高级 编辑高级设置... 设置 日志记录 在 此您可以编辑系统日志选项 - 系统日志服务器名称 系统日志服务器端口 系统日志设备以及系统日志级别 日志的 级别 意味着日志的详细程度和所包含的信息 86

87 级别 1 级别 2 级别 3 级别 4 果 级别 5 - 严重信息 - 故障行为 在这种情况下 请联络 ESET 客户服务中心 上述 + 重要会话信息 - 与服务器通信有关的信息 登录到 ERA 服务器的用户名 时间和原因 上述 + 各种信息 - 与 ERA 服务器上的内部流程有关的信息 上述 + 安装程序 - 与 einstaller.exe 代理有关的信息 与 ERA 服务器有关的信息 - 代理连接/断开连接以及结 - 上述 + 客户端 - 客户端信息 与 ERA 服务器 客户端连接/断开连接以及结果有关的信息 注意 我们建议您将日志级别保持为级别 2 - 上述 + 会话错误请仅在您遇到问题 或 ESET 客户服务部门建议您进行设置 时 才更改日志级别 3. 在正常情况下 应禁用数据库 调试日志 选项 - 此选项被用于数据库问题的故障排除单击 工具 服务器选项 高级 编辑高级设置... 设置 日志记录 替换调试日志压缩 以配置各个替换日志的压缩级别 审 核 日 志 查 看 器 审核日志监视并记录对配置的所有更改和由 ERAC 用户执行的操作这可以帮助管理员跟踪与 ERAC 有关的活动 包括可 能未经授权的访问 注意: 审核日志查看器将显示记录到数据库的更改审核日志不包括其他日志 如文件日志和其他日志 在左侧 您可以看到用于过滤审核日志条目的过滤器您还可以从该模块的下拉菜单 即审核日志条目列表下方的右上侧选 择要显示的项目的数量 过滤器 自/至 - 选择要对日志进行过滤的特定时段的起止时间选择以上两项 并选择时间以创建时间间隔 用户 - 输入要向其显示日志的用户 域登录名称 - 输入要向其显示日志的用户的域登录名称 IP 地址 - 选择所需选项 地址 范围或掩码 并在相应字段中输入地址这些选项对 IPv4 和 IPv6 地址通用 操作类型 - 选择要显示在审核日志中的操作默认情况下 将选中并显示所有操作 应用过滤器 - 单击此按钮可立即对审核日志应用过滤参数 默认值 - 单击此按钮将过滤参数重置为其默认状态 审核日志条目列表 日期 - 操作的执行日期此日期和时间基于服务器设备的时间设置 用户 - 执行操作的 ERAC 用户 登录名称 - 执行操作的用户的 Windows 域登录名称仅在使用 Windows/域登录类型时显示 控制台 IP 地址 - ERAC 用户执行操作的控制台的 IP 地址 操作 - 用户执行的操作 对象 - 受此操作影响的对象的数量 注意: 双击日志中的特定行将显示附加信息 如果有 87

88 6.5 同步 若要设置 ERA Server 设置 请从 ERA Console 主程序窗口中单击 工具 服务器选项 同步可用于安装有多个 ERA Server 的大型网络 例如 有多个分支机构的公司 同步设置 选项卡允许您在网络中运行 的多个 ERA Server 之间设置数据同步若要了解如何在组织中设置多个 ERA Server 请参阅在大型网络中设置 RA 服务器 88 一章 若要设置同步 请使用以下同步选项 同步 至 设置 启用 至 同步 如同步 88 一章所述 在大型网络中启用同步 上层服务器 上层 ERA 服务器的 IP 地址或名称 它会收集来自本地 ERA 服务器的数据 端口 - 指定用于同步的端口 每 X X 分钟同步一次 - 设置同步间隔 同步 威胁日志 防火墙日志 事件日志 扫描日志 移动日志 隔离日志 - 如果选择这些选项 客户端 威胁日 志 防火墙日志 事件日志 扫描日志 任务选项卡 移动日志和隔离日志上显示的所有信息将同步到相应列和行中将 不会同步未直接存储在数据库中而是存储在独立文件中 如.txt 或.xml 格式 中的信息启用下面的这些选项可以同时同 步独立文件中的条目 自动同步 客户端详细信息 威胁日志详细信息 扫描日志详细信息 移动日志详细信息 许自动同步各个文件中存储的补充信息 您还可以单击 请求 按钮来手动下载这些信息 隔离文件 - 这些选项允 日志类型 定义需要同步到上层 ERA 服务器的事件的类型 警报 事件和扫描 自动同步... 启用定期同步未启用此选项时 可以手动触发同步 同步 至 状态 立即向上同步 启动同步过程 标记要同步的所有客户端 如果启用 将同步所有客户端 包括没有更改的客户端 同步 自 设置 启用 自 同步 允许本地 ERA 服务器收集来自 允许的服务器 字段中列出的其他服务器的数据使用逗号来分隔多个 ERA 服务器 允许从任何服务器同步 - 若选中此复选框 您可以从任意服务器同步选中此复选框将禁用允许的服务器字段 在 大 型 网 络 中 同 步 同步可用于安装有多个 ERA Server 的大型网络 例如 有多个分支机构的公司 有关详细信息 请参阅安装 20 一章 同步 选项卡中的选项 工具 服务器选项... 分为两部分 同步 至 设置 同步 自 设置 同步 至 设置部分用于配置下层 ERA Server启用 至 同步选项必须启用 并输入主 ERAS 上层服务器 的 IP 地址或名 称然后将下层服务器的数据同步到主服务器同步 自 设置允许主 上层 ERA Server 接受下层 ERA Server 的数据 或 者将其传输到各自的主服务器必须启用启用 自 同步并定义下层服务器的名称 用逗号分隔 必须为位于同步层次结构中间任何位置的 ERA Server 启用这两个选项 即它们有上层服务器和下层服务器 下图中显示了前述的所有方案米色计算机代表各个 ERA Server每个 ERAS 由其名称 应与 %Computer Name% 相同以 避免混淆 和同步对话框窗口中的相应设置表示 88

89 影响服务器同步行为的其他选项包括 同步威胁日志 同步防火墙日志 同步事件日志 同步扫描日志 同步移动日志 同步隔离日志 如果选择这些选项 客户端 威胁日志 防火墙日志 事件日志 扫描日志 移动日志 隔离日志 和 任 务 选项卡上显示的所有信息同步在各个列和行中将不会同步未直接存储在数据库中而是存储在独立文件中 如.txt 或. xml 格式 中的信息启用下面的这些选项可以同时同步独立文件中的条目 自动同步威胁日志详细信息 自动同步扫描日志详细信息 自动同步客户端详细信息 自动同步移动日志详细信息 自动同步隔离文件 这些选项允许自动同步存储在各个文件中的补充信息您还可以单击 请求 按钮来手动下载这些信息 注意 有些日志是自动同步 而详细日志和客户端配置则只可以手动同步这是因为有些日志包含可能不相关的大量数据 例如 启用 记录所有文件 选项的扫描日志将消耗相当多的磁盘空间此类信息通常没用 可以手动请求子服务器不会自动 提交已删除客户端的相关信息因此 上层服务器可能会继续存储已从下层服务器删除的客户端相关信息如果您要从"客户 端"选项卡删除上层服务器上的客户端 则在 服务器选项 高级 编辑高级设置 设置 同步 中选择 启用删除下层服 务器上的同步客户端 选项 若要设置 ERAS 中的日志维护级别 请单击 工具 服务器选项 高级 编辑高级设置... 设置 服务器维护 如果只想同步状态更改的客户端 则选择 工具 服务器选项 同步 通过立即向上同步标记所有要同步的客户端 选 项 89

90 6.6 更新 更新窗口位于服务器选项模块中 用于定义 ESET Remote Administrator Server 的更新参数此窗口分为两个部分 位于 上方的部分列出了服务器更新选项 位于下方的部分用于更新镜像参数ESET Remote Administrator Server 从 2.0 版本开 始提供镜像服务器 91 功能 该功能可为客户端工作站创建一个本地更新服务器 所有元素和功能的描述包括 更新服务器 - 此为 ESET 的更新服务器建议您使用预定义值 自动选择 更新间隔 - 指定两次连续新更新文件可用性检查之间的最大间隔 更新用户名 - ESET Remote Administrator 用于通过更新服务器验证的用户名 更新密码 - 给定用户名的密码 定期更新病毒库和程序组件是确保及时的威胁检测的关键因素然而 管理大型网络的网络管理员有时可能遇到与更新相关 的问题 如伪警报或模块相关问题有三个选项用于连接更新服务器 定期更新 - 在更新发布时 从定期更新服务器对病毒库进行更新 预发布更新 - 如果启用该选项 将在更新期间下载测试模块此选项仅可用于测试用途 不建议将其用于生产环境 延迟的更新 - 启用此选项可接收延迟 12 小时的更新 即更新已在生产环境中进行测试并被认为较稳定 若要启动为 ESET Remote Administrator 下载所有最新组件的更新任务 请单击立即更新更新可能包含重要的组件或功 能 因此确保更新能自动地正常工作极其重要更新出现问题时 请选择清除更新高速缓存选项以便清除临时更新文件文件 夹当 PCU PCU - 程序组件升级 更新已下载且需要手动确认时 镜像下载的 P CU选项开始生效单击此按钮可查看所 有可用的 PCU 更新和 EULA若要设置 PCU 镜像 请转至高级 > 编辑高级设置 然后配置 E S E T Remot e A dminis t rat or > E RA S erv er > 设置 > 镜像中的设置 ESET Remote Administrator Server 中镜像的配置与 ESET NOD32 Antivirus Business Edition 及 ESET Smart Security Business Edition 相同重要镜像元素的描述包括 创建更新镜像 - 激活镜像功能如果此选项已禁用 将不会创建任何更新副本 为所选程序组件创建镜像 - 允许用户指定在镜像中创建的程序组件的语言变量和类型 通过选定程序组件更新填充镜像 仅手动 - 如果启用 则不自动镜像 PCU如果要启用 PCU 镜像 请选择工具 > 服 务器选项 > 更新中的镜像下载的 P CU 选项 镜像文件夹 - 用于存储更新文件的本地或网络目录 通过 HTTP 启用更新分发 - 用于允许使用内部 HTTP 服务器访问更新 HTTP 服务器端口 - 定义 ESET Remote Administrator Server 通过其提供更新服务的端口 HTTP 服务器验证 - 定义用于访问更新文件的验证方法有以下选项可供使用 无 基本和 NTLM请选择基本 以便 使用带基本验证的 base64 编码NTLM 选项提供采用安全编码方法的编码验证将使用工作站共享更新文件上创建的用 户 单击下方部分中的默认值 可以恢复此窗口中的所有功能的预定义值 注意 如果使用 HTTP 服务器方法 我们建议最多 400 个客户端从每个镜像更新在具有更多客户端的大型网络中 我们 建议在更多 ERA 或 ESS/EAV 镜像服务器中平衡镜像更新如果镜像需要集中在一个服务器上 我们建议使用其他类型 的 HTTP 服务器 如 ApacheERA 也支持其他验证方法 例如在 Apache Web 服务器上可使用.htaccess 方法 管理员必须插入所购买产品的许可证密钥 并输入用户名和密码以启用 ERAS 中的镜像功能如果管理员使用用于 ESET NOD32 Antivirus Business Edition 的许可证密钥及用户名和密码 则日后升级到 ESET Smart Security Business Edition 时 也必须替换原始许可证密钥及用户名和密码 注意 ESET NOD32 Antivirus 客户端也可以使用 ESET Smart Security 许可证更新 但反过来不行 90

91 6.6.1 镜 像 服 务 器 镜像功能允许用户创建本地更新服务器客户端计算机将不可以在 Internet 上从 ESET 服务器下载病毒库更新 但可以在您 的网络上连接到本地镜像服务器该解决方案的主要优势在于节省 Internet 带宽并最小化网络流量 因为镜像服务器连接到 Internet 更新 而不是数百个客户端计算机此配置意味着始终将镜像服务器连接到 Internet 非常重要 警告 执行程序组件升级 (PCU) 并且没有重启的镜像服务器可能导致断电在这种情况下 服务器将无法下载 ANY 更新并 将其分发到客户端工作站切勿为 ESET SERVER 产品设置自动化程序组件升级 镜像功能在以下两个位置可用 ESET Remote Administrator 物理上在 ERAS 中运行 可从 ERAC 管理的镜像 ESET Smart Security Business Edition 或 ESET NOD32 Antivirus Business Edition 前提是已经通过许可证密钥激活 Business Edition 也可以在 ESET Endpoint Security 和 ESET Endpoint Antivirus 中访问镜像功能请参阅相应客户端产品的文档了解更多 信息 管理员选择激活镜像功能的方法 在大型网络中 可以以层叠样式创建多个镜像服务器 例如针对多个公司部门 并建立一个中央服务器 在公司总部 类 似于具有多个客户端的 ERAS 配置 管理员必须插入所购买产品的许可证密钥 并输入用户名和密码以启用 ERAS 中的镜像功能如果管理员使用用于 ESET NOD32 Antivirus Business Edition 的许可证密钥及用户名和密码 则日后升级到 ESET Smart Security Business Edition 时 也必须替换原始许可证密钥及用户名和密码 注意 ESET NOD32 Antivirus 客户端也可以使用 ESET Smart Security 许可证更新 但反过来不行这也适用于 ESET Endpoint Antivirus 和 ESET Endpoint Security 镜 像 服 务 器 的 操 作 托管镜像服务器的计算机应始终处于运行状态 并连接到 Internet 或上层镜像服务器以便于同步镜像服务器更新程序包有两 种下载方式 1. 使用 HTTP 协议 推荐 2. 使用共享网络驱动器 (SMB) ESET 的更新服务器使用带有验证的 HTTP 协议中央镜像服务器应使用用户名 通常形式为 EAV-XXXXXXX 和密码 镜像服务器是 ESET Smart Security/ESET NOD32 Antivirus 的一部分 具有集成的 HTTP 服务器 变量 1 注意 如果决定使用集成的 HTTP 服务器 带有验证 请确保无法从您的网络之外访问它 即您许可证中未包含的客户 端 不可从 Internet 访问该服务器 预设情况下 集成的 HTTP 服务器会侦听 TCP 2221 端口请确保该端口未被其他应用程序占用 注意 如果使用 HTTP 服务器方法 我们建议最多 400 个客户端从每个镜像更新在具有更多客户端的大型网络中 我们 建议在更多 ERA 或 ESS/EAV 镜像服务器中平衡镜像更新如果镜像需要集中在一个服务器上 我们建议使用其他类型 的 HTTP 服务器 如 ApacheERA 也支持其他验证方法 例如在 Apache Web 服务器上可使用.htaccess 方法 第二种方法 共享网络文件夹 需要共享 读取 权限 包含更新程序包的文件夹这种情况下 必须在客户端工作站中输入 对更新文件夹具有 读取 权限的用户的用户名和密码 注意 ESET 客户端解决方案使用系统用户帐户 因此与当前登录用户所拥有的网络访问权限不同需要验证 即使 任何 人 都可访问网络驱动器 且当前用户也可访问它们此外 请使用 UNC 路径来定义到本地服务器的网络路径不建议使用 DISK:\ 格式 如果决定使用共享网络文件夹方法 变量 2 我们建议创建独特的用户名 例如 NODUSER 该帐户将在所有客户端计 算机上专门用于下载更新NODUSER 帐户应有权 读取 包含更新程序包的共享网络文件夹 要验证网络驱动器 请输入完整形式的验证数据 WORKGROUP\User 或 DOMAIN\User 除验证之外 您还必须定义 ESET 客户端解决方案的更新源更新源可以是到本地服务器的网址 ( 91

92 port) 或是到网络驱动器的 UNC 路径 (\\Mirror_server_name\share_name) 更 新 类 型 除更新病毒库 可以包括 ESET 软件内核更新 之外 也可升级程序组件程序组件升级可添加 ESET 安全产品的新功能 并需要重启 镜像服务器允许管理员禁用从 ESET 的更新服务器 或上层镜像服务器 自动下载升级程序 并禁止分发到客户端当管理 员稍后确认新版本与现有应用程序并无冲突时 便可手动触发分发操作 如果管理员想要在具有新的程序版本时下载并使用病毒库更新 该功能非常有用如果旧的程序版本能够使用最新的病毒库 版本 该程序将可继续提供最佳的保护但是 我们仍建议您下载并安装最新的程序版本 以享用程序的新功能 默认情况下不会自动下载程序组件 必须在 ERAS 中手动配置有关更多信息 请参阅如何启用和配置镜像 92 一章 如 何 启 用 和 配 置 镜 像 如果镜像直接集成在 ERA 中 则使用 ERAC 连接到 ERAS 并遵循以下步骤 从 ERAC 单击工具 > 服务器选项... > 更新 从更新服务器 下拉菜单 选择自动选择 将从 ESET 服务器下载更新 或输入到镜像服务器的 URL/UNC 路径 选择更新间隔 建议为六十分钟 如果在上一步中选择自动选择 则插入购买后收到的用户名 更新用户名 和密码 更新密码 如果访问上层服务器 请输入该服务器有效的域用户名和密码 选择创建更新镜像选项 输入将存储更新文件的文件夹路径默认情况下 这便是镜像文件夹的相对路径只要选中通过 内部 HTTP 服务器提供更新文件旁边的复选框 便可从 HTTP 服务器端口 默认为 2221 中定义的 HTTP 端口上获 取更新将验证设置为无 有关更多信息 请参阅镜像服务器工作 91 一章 注意 更新出现问题时 请选择清除更新缓存选项以便刷新存储临时更新文件的文件夹 镜像下载的 P CU 选项允许您激活程序组件镜像若要设置 PCU 镜像 请转至高级 > 编辑高级设置 然后配置 E S E T Remot e A dminis t rat or > E RA S erv er > 设置 > 镜像中的设置 在高级 > 编辑高级设置... 分支 E RA S erv er > 设置 > 镜像 > 为选定的程序组件创建镜像中选择要下载组件的语言 应选择网络中将要使用的所有语言版本的组件请注意 下载网络中未安装的语言版本会额外增加网络流量 还可以在 ESET Smart Security Business Edition 和 ESET NOD32 Antivirus Business Edition, ESET Endpoint Security 或 ESET Endpoint Antivirus 的程序界面中直接访问镜像功能由管理员判断用于实施镜像服务器的方法 若要从 ESET Smart Security Business Edition 或 ESET NOD32 Antivirus Business Edition 激活和启动镜像服务器 请按 照以下步骤操作 1) 安装 ESET Smart Security Business Edition ESET NOD32 Antivirus Business Edition 客户端版本 4.X ESET Endpoint Security 或 ESET Endpoint Antivirus 2) 在高级设置窗口 (F5) 中 单击其他 > 许可证单击添加... 找到 *.lic 文件并单击打开这将安装许可证并允许配置镜 像功能 3) 从更新分支 单击设置... 并单击镜像选项卡 4) 选择创建更新镜像和通过内部 HTTP 服务器提供更新文件旁边的复选框 5) 输入要存储更新文件的文件夹的完整目录路径 存储镜像文件的文件夹 6) 用户名和密码用作客户端工作站尝试获取镜像文件夹访问权限的验证数据多数情况下 不需要填写这些字段 7) 将 验证 设置为无 8) 选择要下载的组件 应选择网络中将要使用的所有语言版本的组件 只显示 ESET 更新服务器中可用的组件 注意 为保持最佳性能 建议您启用程序组件的下载和镜像如果禁用该选项 则只更新病毒库 不更新程序组件如果镜 像用作 ERA 的一部分 此选项可以在 ERAC 中通过工具 > 服务器选项... > 高级选项卡 > 编辑高级设置... > E S E T Remot e A dminis t rat or > E RA S erv er > 设置 > 镜像来配置启用网络中存在的所有程序语言版本 92

93 注意 要配置镜像以将 HTTPS 协议用于客户端更新 请导航至 E RA C > 工具 > 服务器选项 > 高级选项卡 > 编辑高级 设置 > E S E T Remot e A dminis t rat or > E RA S erv er > 设置 > 镜像> 协议 > HTTP S 6.7 其他设置 在 其他设置 选项卡中 您可以设置一个通过电子邮件发送安装程序包时使用的S MTP 服务器地址 以及一个将在管理员 发送的电子邮件中使用的管理员电子邮件地址如果服务器要求进行验证 请指定相应的用户名和密码 注意: 您可以通过从安全连接下拉菜单中选择安全协议来保护连接可用的选项为 TLS 协议 S S L 和 自动 将自动选择可用的 新客户端 允许新客户端 - 选择此选项时 新客户端首次连接 ERA Server 时 将会被自动添加至客户端列表通过从其他 ERA 服 务器进行同步而导入的客户端将在同步过程中自动添加至客户端列表 按新客户端自动重置 新 标记 选中此选项时 新客户端首次连接 ERAS 时 将不会被自动标记为新客户端如需更多 详细信息 请参阅对 客户端 选项卡的描述 端口 - 允许您自定义端口 控制台 ERA Console 用于连接 ERA Server 的端口 默认值为 2223 客户端 ESET 客户端用于连接 ERA Server 的端口 默认值为 2222 该服务器的同步端口 ERA 用于同步到上层 ERA Server 的端口 默认值为 2846 E S E T 远程安装程序 代理 远程安装代理用于远程安装的端口 ESET 远程安装程序 默认值为 2224 Web 服务器 用于连接 Web 服务器的端口 默认值为 (2225) 注意 若要使端口配置更改生效 必须重新启动 NOD32 ERA Server 服务 E S E T Liv e Grid 收集 ERAS 会以指定时间间隔将来自客户端的可疑文件和统计信息转发到 ESET 的服务器在某些情况下 无法从客户 端直接收集此信息 面板 配置 Web 服务器列表... - 单击此处访问 面板 Web 服务器列表 高级 服务器选项 窗口中的 高级 选项卡允许您通过 ESET 配置编辑器 访问和修改服务器的高级设置您可以通过单击该选项卡 上的 编辑高级设置... 按钮打开 配置编辑器 请仔细阅读警告消息并处理 高级设置包括 磁盘空间最大使用率 百分比 - 当超出时 某些服务器功能可能不可用当连接到 ERAS 时 ERAC 会在超出限制时 显示通知 首选通信协议编码 - 定义编码类型建议使用默认设置 启用 MAC 地址重命名 从未知到有效 - 从不支持发送 MAC 地址的 ESET 客户端解决方案 例如 ESET NOD32 Antivirus 2.x 重新安装到支持发送 例如 3.x 客户端 之后 旧的客户端记录将会转化为新的记录建议使用默认设置 是 启用 MAC 地址重命名 从有效到未知 - 从支持发送 MAC 地址的 ESET 客户端解决方案 例如 ESET NOD32 Antivirus 3.x 重新安装到不支持发送 例如 2.x 客户端 之后 旧的客户端记录将会转化为新的记录建议使用默认设置 否 启用 MAC 地址重命名 从有效到另一有效 - 允许重命名有效的 MAC 地址默认值不允许重新命名 也就是说 MAC 地址是客户端唯一标识的一部分如果一个 PC 具有多个条目 则禁用该选项我们还建议 如果客户端在 MAC 地 址更改后被识别为同一客户端 则也禁用该选项 93

94 启用计算机名称重命名 - 允许重命名客户端计算机如果禁用 计算机名称将是客户端唯一标识的一部分 在推送安装期间也使用默认服务器登录 - ERAS 允许用户设置仅用于登录脚本和电子邮件远程安装的用户名和密码启 用该选项以将预定义值也用于远程推送安装 94

95 7. ERA 命令行控制台 通过从 ERA 控制台所在的文件夹启动 ERA 命令行控制台工具或通过在命令提示中键入 eracmd.exe ERA 命令行控制台工 具允许您直接从命令行执行任务和管理客户端 启动 ERA 命令行控制台时 将要求您提交登录凭据如果您将这些参数保留为空白 将使用默认值 注释 ERA 命令行控制台支持自动完成功能开始在控制台中键入命令并按 TAB 键来完成命令通过多次按 TAB 键循环浏 览所有可用选项通过按向上/向下箭头循环浏览已输入的命令的历史记录按 ESC 键会将您返回到之前的文本 按两次 ESC 键将彻底删除文本 命令行中的语法 eracmd.exe --connectionparameters [command arguments [-commandflags]] [;command arguments -commandflags] 示例 eracmd.exe --s version server -format csv 启动后 ERA 命令行控制台会自动尝试连接到服务器如果连接成功 eracmd 将开始处理命令如果未指定命令 eracmd 将以 Shell 模式启动 用户可以在其中直接编写命令并查看结果要查看可用命令的列表 请键入命令 HELP COMMANDS S hell 模式中的语法: [command arguments [-commandflags]] [;command arguments -commandflags] 对带有空白的参数 使用引号将所有单词包含为单个参数要在此类参数内包含问号 请使用双引号例如 "Say ""hello"" please" 将转换为 'Say "hello" please' 两个互连的单词 其中一个代引号 将连接在一起例如 "Say "hello 将转换为 'Say hello' Eracmd -替换 符号包围文件路径使用此语法时 将使用指定文件的内容取而代之如果文 件包含更多行 将使用逗号将这些行连接在一起并将它们用作单个行这样便可以将它们保存到文件参数列表 以用于下一 个命令将跳过空白的行要禁用此功能 符号 示例: 文件 myconnection.txt 包含文本 '--s ' 然后命令 显示客户端 ID 其中名称 -like "*@*" 将被用作 eracmd.exe --s show clients id where name -like *@* 本示例将为名称包含单词 notebook 的客户端创建一个配置任务 show client id where client_name -like *Notebook* -out notebookid.txt -format csv -header none task config 命令 97 在终端内键入 HELP COMMANDS 以查看可用命令的列表 键入 HELP <command> 以查看特定于某个命令的说明命令可 以包含强制性参数 也可以包含可选参数 您可以使用关键字指定 在提供强制性参数后 您可以按照任何顺序使用由关 键字调用的可选参数命令将在连接参数后立即启动 无需任何前缀如果命令行中没有任何命令 eracmd 将以 Shell 模式 启动可以在一个行中指定多个命令 使用分号 (;) 字符分隔命令要执行包含多个命令的脚本文件 请使用命令 SCRIPT <scriptfilename>在脚本文件中 命令将由换行符分隔 命令标志 命令标志定义命令的常规行为 例如输出格式或错误处理为实现正常运行 必须在命令及其参数后附加命令标志每个标 95

96 志关键字都使用破折号 (-) 作为前缀要查看标志的列表 请键入命令 HELP FLAGS 注释 使用 Shell 模式时 可在脚本或命名行参数中使用注释注释将以 # 开始并将持续至当前行的末尾命令分隔符不会结束注 释如果 # 用于引用的序列中 则它不会启动注释 而是用作引用文本的常规部分 S hell 模式 在 Shell 模式中 按 TAB 键以激活上下文相关的自动完成功能使用命令 HISTORY 来启用 禁用或清除命令历史记录要 从历史记录中选择一个命令 请使用向上和向下箭头要撤销 TAB 键或向上/向下箭头所做的更改 请按 ESC 键 启动脚本 启动脚本是一个文件 包含可在 Shell 模式开始时自动执行的命令 默认的启动脚本文件位于 ProgramData 所有用户\应用程序数据 的 ESET\ESET Remote Administrator\Console\eracmd_startup.txt 中可以使用 --startup eracmd.exe 参数 例如 eracmd.exe --startup startup_script.txt 指定备用路径 脚本不会作为单独的脚注执行 类似于使用 script 命令执行 但是会像 Shell 模式下已在控制台中直接键入了命令一样执行 因此 启动脚本中使用 set 命令设置的标志在 Shell 模式中仍处于设置状态 set save 命令可用于将当前的标志值保存到启动脚本 并替换启动脚本 如果存在 如果在启动脚本中使用了退出命令 退出命令后面的命令将不会执行 但是 eracmd.exe 不会退出 Shell 模式 格式化样式 标题和字段标志可用于指定格式化样式 - keyword - 使用了常规文本 适用于自动后处理 - pretty - 使用了可转换文本 适用于用户输出 标题标志将影响表头 列名称 字段标志将影响表格字段值 连接参数 必须将有关连接到 ERA 服务器的参数指定为命令行参数仅在成功建立连接后 Eracmd.exe 才会处理命令所有连接参数 都使用双破折号 (--) 前缀 --s server:port 要连接到的服务器默认值 localhost: u username Era 服务器用户名如果用户名以域前缀开头 该用户名将被用作域验证用户名此命令不能与 --ud 或 --uc 结合使用默认值 Administrator --u username 域验证用户名不能与 --u 或 --uc 结合使用 --uc 使用当前的 Windows 会话凭据不能与 --u 或 --ud 结合使用 --p password Era 服务器或域验证密码不能与 --pa 结合使用默认值 "" 空密码 --pa 提示输入密码启动控制台后 可以在仅显示 * 的情况下输入密码不能与 --p 结合使用 --aa 请求所有连接参数指定后 不能再指定任何其他连接参数 --startup 备用启动脚本路径启动脚本将在 Shell 模式开始时自动执行 7.1 命令标志 标志可用于定义某些常见命令行为 或指定每个命令的输出要为每个标志设置默认值 请使用 SET 命令标志附加在命令 及其参数后下面是可用标志的列表 -format 输出格式可能的值 csv, table默认值 csv 命令行模式 table Shell 模式 -delim 用于 CSV 输出的分隔符如果与参数 "" 结合使用 将使用系统分隔符 这也是默认值 如果未设置系统分隔 符 将使用 ','由于分号将用作命令分隔符 请使用引号将其指定为分隔符默认值 "" 系统分隔符 如果未设置 ',' -out 将输出重定向至文件另请参见 -mode 和 -enc 标志如果与参数 "" 结合使用 将禁用重定向 这也是默认行 为 默认值 "" 已禁用重定向 96

97 -mode 文件输出模式可能的值 o 覆盖文件 a 附加到文件末尾 默认值 o 覆盖文件 -enc 文件输出编码可能的值 ansi, utf8 utf16默认值 utf8 -header 表头类型可能的值 keyword 使用显示命令参数时使用的关键字 如 client_name pretty 使用更具可读 性 可转换的列名 例如 客户端名称 none 不显示标题 默认值 keyword -paged 分页输出如果启用 将提示用户在每个页面后按一次键可能的值 true, false默认值 false -tableclip 裁剪表格以适应屏幕仅在将表格输出至控制台窗口时适用可能的值 true, false默认值 true -color 在控制台窗口中显示内容时 使用多个颜色可能的值 true, false默认值 true -field 表格字段格式化样式可能的值 keyword 使用常规关键字 例如 finished_with_warning pretty 使用更具可 读性 可转换的文本 例如 已完成但有警告 默认值 keyword -onerror 若在执行命令时发生错误 应如何操作如果设置了 stop 将立即停止执行命令序列如果设置了 continue 将继续执行后续命令如果任何命令失败 整个序列将以错误状态结束可能的值 stop, continue默认值 stop 7.2 命令 命令 说明 client comment 设置客户端注释 语法 参数 示例 client comment <client ID> <comment> c lient ID 要设置注释的 client comment 1 Problematic 客户端的 ID c omment 客户端的注 释 client new 为服务器上的客户端设置 client new <client ID> 或重置 新 标志 <action> c lient ID 以逗号分隔的 client new 1 reset 客户端 ID 列表 用于设 置或重置 新 标志 ac t ion 是设置还是重 置 新 标志可能的值 设置 重置 client rename 重命名服务器上的客户 端 client rename <client ID> c lient ID 要重命名的客 client rename 1 <name> 户端的 ID new_client_name name 客户端的新名称 client roaming 为服务器上的客户端设置 client roaming <client ID> c lient ID 以逗号分隔的 client roaming 1 set 或重置 漫游用户 标志 <action> 客户端 ID 列表 用于设 置或重置 漫游用户 标 志 ac t ion 是设置还是重 置 漫游用户 标志可能 的值 设置 重置 cls 清除控制台输出 echo 将参数显示为消息如果 echo [<message>] 参数丢失 仅会向输出添 加一个新行 cls cls mes s age 要显示的消 echo "hello world" 息可以包含串联的多个 echo "Report created with id: 值 ",@reportid.csv@ echo 97

98 encrypt 加密在配置中使用的密 encrypt 码将使用两种加密 用 <encryptiontype> 于由 era 服务器 同步 [<password>] 客户端 安装程序 用 户 定义的密码 的 server 用于由其他 服务 smtp 更新... 定 义的密码的 other 因 此 此命令显示加密的密 码 此密码可用于创建配 置文件如果未指定密 码 将提示用户输入密码 - 密码字段中的字符将显 示为星号 enc ry pt ionty pe 加密 encrypt server 的类型可能的值 MyReplicationPassword6578 server other errmsg 为错误代码显示错误消 息 c ode 要为其查找错误消 errmsg 2001 息的错误代码 exit 如果从 Shell 模式使用 exit 则终止命令行控制台如 果在脚本文件中使用 则 停止当前脚本文件执行 getdata 为本地文件获取来自特定 getdata <data type> 客户端或关于特定策略的 <data ID> <file> 信息集一些信息可能没 有在服务器上提供 要刷 新该信息 请使用 REQUEST 命令 errmsg <code> 将为主服务器上的客户端 自动刷新配置 防护功 能 保护状态和系统信 息 pas s word 要加密的密 码 dat a t y pe 要获取的数据 getdata configuration 1 c:\file. 的类型可能的值 客户 xml 端 sysinspector SysInspector 日志 configuration 配置 XML protection_status 保护 状态 protection_features 防 护功能 system_information 系 统信息 策略 policy 策略 XML 仅用于没 从上层服务器同步的策 略 policy_merged 合并策略 XML 通过 应用来自上层策略的设置 创建为继承的结果 policy_override 策略覆 盖部分 XML 仅用于从 上层服务器同步的策 略 policy_nonoverride 策 略非覆盖部分 XML dat a ID 要从其中下载数 据的数据实体 客户端或 策略 的 ID f ile 目标本地文件路径 group 显示定义的组和组信息 group [<tree>] t ree 使用树模式显示带 group 有组继承的组 help 显示关于使用 ERA 命令 help [<command 1>] 行控制台的信息使用该 [<command 2>] c ommand 1 要为其显 help version 示帮助的命令 命令名称 98

99 参数选择一个更专业的帮 助 的第一个字 可能的 值 <command name> 标志 命令 help commands help help c ommand 2 要为其显 示帮助的命令 命令名称 的第二个字 history 启用或禁用控制台退出后 history [<action>] Shell 模式命令历史记录 的持续保存默认为禁 用 license 显示服务器许可证信息 license license add 将指定的许可证密钥文件 license add <filename> 上载到 ERA 服务器 ac t ion 如果省略 将显 history true 示控制台退出后的保存历 史记录的当前状态可能 的值 true 启用 false 禁用 clear 擦除命令历史记录 list 显示当前保存的历 史记录内容 license f ilename 要上载的许可 license add c:\era.lic 证密钥文件路径列表 以 逗号分隔 license details 显示关于由 ERA 服务器 license details 加载的局部许可证密钥的 信息 license replace 将许可证密钥文件上载到 license replace ERA 服务器 并使用已 <filename> 上载的许可证密钥替换所 有旧许可证文件 logforward license details f ilename 要使用其替换 license replace c:\era.lic 的许可证密钥文件路径列 表 以逗号分隔 显示或设置当前日志转发 logforward [<type>] t y pe 要显示或更新的日 logforward 设置有两种使用此命令 [<enable>] [level <level>] 志的类型可能的值 logforward scan 的方式 [severity <severity>] event threat firewall [facility <facility>] hips antispam logforward eventlog true level 1. 要显示特定日志转发设 greylist scan warning 置的状态 请使用第一个 mobile 参数 <type> 或使用不带 logforward threat false device_control 有任何参数的命令显示所 web_control 有日志的当前日志转发设 置 enable 确定转发是否必 须启用或禁用可能的 2. 要设置日志转发设置 值 true false <type> 和 <enable> 参 数是必需的其他参数 lev el 要由日志转发处理 [level <level>] 的日志的级别可能的 [severity <severity>] 和 值 critical warning [facility <facility>] 可 normal diagnostics 选如果省略可选参数 s ev erit y 系统日志严重级 该值将不会改变 别值可能的值 informational error warning debug f ac ilit y 系统日志功能设 备值可能的值 0 到 23 password 更改 ERA 服务器的安全 password 密码对于空密码 请使 <passwordtype> pas s wordty pe 要设置 password currentuser 的密码的类型可能的 99

100 用 ""如果未指定旧密码 [<oldpassword> 和新密码 将提示用户输 <newpassword>] 入密码 - 键入的密码将显 示为星号此命令无法设 置作为服务器配置一部分 的密码对于此类密码 请使用命令 SERVERCFG SET 或 SERVERCFG SETPWD path 值 replication client password replication oldpass1 installer currentuser newpass2 oldp as s word 旧密码 可以使用 ERA 服务器管 理员密码 newp as s word 新密 码 显示或设置用作所有相对 path [<action>] [<path>] ac t ion 操作可能的 path 路径的基准的当前工作目 值 get 显示当前工作 path set d:\scripts 录 当指定脚本路径或数 目录 set 设置为指 据文件路径时 定为下一个参数的路 path script 径 script 设置为当 前脚本的路径 默认 值 get pat h 新工作目录如果 它是相对路径 则视为与 之前的工作目录相对 policy 显示定义的策略以及策略 policy [<tree>] 信息如果显示参 数 tree,则显示策略的树 层次结构 policy assign 将指定的值分配到指定的 policy assign <policy id> polic y id 分配的策略 policy assign 10 1,2,5,9 客户端请注意 无法将 <clients> 可能的值 <policy policy assign! 任何策略分配到任何客户 ID>! DefaultClientsPolicy * 端如果客户端列表包含 DefaultClientsPolicy 同步客户端 该策略必须 c lient s 以逗号分隔的客 为可向下同步策略无法 户端 ID 列表 或 * 代表 分配来自下层服务器的策 所有客户端 略 100 t ree 使用树模式显示带 policy 有策略继承的策略 policy tree

101 policy create 在服务器上创建带有指定 policy create <name> 参数的策略如果成功创 <config XML> [parentid 建 则显示新策略的 <parent ID>] [description ID <description>] [overrideanychild <override any child>] [downreplicable <down replicable>] [defaultforclients <default for clients>] [defaultforlowerservers <default for lower servers>] name 新策略的名称 c onf ig X ML 带有新策略 的配置的 XML 文件 policy create new_policy policy.xml parent ID 新策略的父策 略的 ID des c ript ion 新策略的说 明 ov erride any c hild 为 新策略设置 覆盖任何子 策略 标志可能的值 true false默认值 false down replic able 为新 策略设置 可向下同步策 略 标志可能的值 true false默认值 false def ault f or c lient s 将 该策略设置为客户端的默 认策略可能的值 true false默认值 false def ault f or lower s erv ers 将该策略设置为 下层服务器的默认策略 可能的值 true false 默认值 false 101

102 policy delete 删除策略并允许您为已删 policy delete <policy id> polic y id 要删除的策略 policy delete 2 primary_clients 除的策略设置替换策略 [child_policies <child 的 ID 4 忽略不需要的替换策略 policies parent c hild polic ies parent replacement>] replac ement 当前已删 [primary_clients <primary 除策略的子策略的新父策 clients policy 略可能的值 <policy replacement>] ID>! [replicated_clients DefaultUpperServerPolic <replicated clients policy y!not Available replacement>] [primary_clients_default primary c lient s polic y <primary clients default replac ement 带有当前 policy replacement>] 已删除策略的主客户端的 [lower_servers_default 新策略可能的值 <lower servers default <policy ID>! policy replacement>] DefaultClientsPolicy [whole_branch <delete replic at ed c lient s whole branch>] polic y replac ement 带 有当前已删除策略的同步 客户端的新策略的 ID primary c lient s def ault polic y 主客户 端的新默认策略的替换 ID lower s erv ers def ault polic y 下层服务器的新 默认策略可能的值 <policy ID>,! NotAvailable delet e whole branc h 如果应当删除整个分支 (包括子策略在内的指定 策略 可能的值 true false 默认值 false rule 102 显示策略规则 rule rule

103 rule create 创建新策略规则 rule create <xml> <name> <policy id> [desc <description>] [priority <priority>] [enabled <enable>] x ml 源 XML 文件 通过 rule create "c:\my 导出现有规则创建 data\exportedpolicy.xml" mynewpolicy 3 desc "New name 策略规则名称 policy rule" priority top enabled false polic y id 相关策略的 ID仅可使用以下类型 默认客户端策略 本地策 略 来自上层服务器的可 向下同步策略可能的 值! DefaultClientsPolicy des c ript ion 策略规则说 明 priorit y 策略规则优先 级可能的值 top bottom 默认值 bottom enable 创建的策略规则 的初始状态可能的值 true false 默认值 true rule delete 删除策略规则 rule import 从 XML 文件导入策略规 rule import <file path> 则已定义的规则将不会 更改如果规则名称已存 在 将重新命名新 导入 的 规则 rule export 将策略规则导出到 XML rule export <rules> <file rules 以逗号分隔的规则 rule export 1,2 d:\rule.xml 文件 path> ID 列表 或 * 用于所有 规则 rule delete <policy rule id> polic y rule id 要删除的 rule delete 3 策略规则的 ID f ile pat h 要从中导入规 rule import d:\rule.xml 则的 XML 文件路径 f ile pat h 要导入规则的 XML 文件路径 rule update 更改策略规则的参数或配 rule update <policy rule 置未指定的参数将保持 id> [xml <config xml>] 不变 [desc <description>] [policy <policy id>] [priority <priority>] [enabled <enable>] polic y rule id 要更新的 rule update 2 xml d:\rule.xml 策略规则的 ID enabled true c onf ig x ml 配置 XML 文件 通过导出现有规则 创建 des c ript ion 策略规则的 新说明 polic y id 新的相关策略 ID可能的值! DefaultClientsPolicy priorit y 策略规则的优先 级更改可能的值 up down top bottom enable 策略规则的新状 态可能的值 true false 103

104 policy update 更新带有指定参数的策略 policy update <ID> ID 已更新策略的 ID policy update 123 name 配置 [name <name>] [parentid policy1 parentid 1 configxml name 已更新策略的新名 <parent ID>] [configxml policy.xml overrideanychild 称 <config XML>] TRUE defaultforlowerservers [description parent ID 已更新策略的 FALSE <description>] 父策略的新 ID可能的 [overrideanychild 值 <policy ID>! <override any child>] NoPolicy 已更新策略将 [downreplicable <down 没有父策略 replicable>] c onf ig X ML 带有已更新 [defaultforclients 策略的配置的 XML 文 <default for clients>] [defaultforlowerservers 件 <default for lower des c ript ion 已更新策略 servers>] 的新说明 [replicated_clients <replicated clients policy ov erride any c hild 已 更新策略的 覆盖任何子 replacement>] 标志的新值可能 [lower_servers_default 策略 的值 true false <lower servers default policy replacement>] [primary_clients_default <primary clients default policy replacement>] down replic able 已更 新策略的 可向下同步策 略 标志的新值可能的 值 true false def ault f or c lient s 将 该策略设置为客户端的默 认策略可能的值 true false def ault f or lower s erv ers 将该策略设置 为下层服务器的默认策 略可能的值 true false replic at ed c lient s polic y replac ement 带 有当前已更新策略的同步 客户端的新策略可能的 值 <policy ID>! DefaultClientsPolicy! NotAvailable lower s erv ers def ault polic y replac ement 下 层服务器的新默认策略 可能的值 <policy ID>! DefaultClientsPolicy! NotAvailable primary c lient s def ault polic y replac ement 主客户端 的新默认策略的 ID report 104 显示静态或面板报告模板 report <type> t y pe 报告类型可能的 report static

105 request 或者生成的报告在生成 的报告的情况下 仅显示 位于服务器上的报告 值 static dashboard generated 请求要从客户端传输到 request <data type> ERA 服务器的各种数据 <clients> [si_compare 的当前版本可以请求 <compare date>] SysInspector 信息 配 [<si_snapshot>] 置 保护状态 防护功能 和系统信息客户端连接 到主服务器且请求的数据 可用后 将立刻收到请求 的数据在同步客户端 上 该请求首先需要同 步将为主服务器上的客 户端自动刷新配置 防护 功能 保护状态和系统信 息 dat a t y pe 要请求的数据 request protection_features * 类型列表 以逗号分隔 request sysinspector,config 可能的值 1,2,8 si_compare " sysinspector 01:02:03" si_snapshot configuration protection_status protection_features system_information c lient s 以逗号分隔的客 户端 ID 列表 或 * 代表 所有客户端 c ompare dat e 如果已 使用 将请求的日志与之 前的日志进行比较 后者 由采用 YYYY-MM-DD hh:mm:ss 例如 :43:00 格式的 UTC 中的日期和时间指 定仅在请求 SysInspector 信息时使 用 s i_ s naps hot 在客户端 工作站上本地保存该日 志仅在请求 SysInspector 信息时使 用 scanlog 显示指定的扫描日志的内 scanlog <id> 容 id 所需的扫描日志的 ID script 执行外部文件中的一批命 script <filename> 令 f ilename 指向包含命令 script c:\eragetclientsinfo.txt 的文件的路径命令可由 新行或分号分隔 servercfg get 将当前服务器配置下载到 servercfg get <filename> f ilename 要保存已下载 servercfg get d:\era_config. 指定的本地文件 配置的本地文件路径 xml servercfg list 显示可用的配置设置 这 servercfg list 些设置可直接由 SERVERCFG SET 和 SERVERCFG SETPWD 命令修改 servercfg put 从本地 XML 文件上载服 servercfg put <filename> f ilename 要上载的本地 servercfg put d: 务器配置 XML 文件路径 ew_config.xml servercfg set 将值分配到特定配置设 servercfg set 置使用命令 HELP <name=value> SERVERCFG LIST 显示 所有可用设置 name= v alue 设置的名 servercfg set port_con=2223 称和要分配的值 servercfg set mirror_enabled=1 servercfg setpwd 通过密码提示符将值分配 servercfg setpwd 到特定配置设置键入的 <name> name 要设置的设置的名 servercfg setpwd 称 ps_password_smtp scanlog 1 servercfg list 105

106 值显示为星号 因此它对 输入密码十分有用使用 命令 HELP SERVERCFG LIST 显示 所有可用设置此命令无 法设置服务器安全密码 对其使用 PASSWORD 命令 set 获取 设置或保存标志的 set [<flag name>] [<flag f lag name 使用不带有 set 值标志用于指定命令输 value>] 初始破折号的标志名称 set enc 出和其他常用设置要查 使用命令 HELP FLAGS set enc utf8 看可用标志的列表 请使 查看可用标志的列表如 set format table 用 HELP FLAGS 命令 果未指定 将打印所有标 set paged true 设置标志将对当前脚本文 志的当前值此 set save 件中的所有后续命令或 外 save 可用于将当前 set save startup.txt Shell 模式中的所有后续 标志状态保存到启动文件 命令 如果在 shell 模式 使用第二个参数指定备 中直接使用 有效通过 选启动文件路径 在命令后指定一个命令标 f lag v alue 对可用值使 志 可为单个命令覆盖该 用命令 HELP FLAGS 标志 如果未指定 将打印该标 志的当前值 show 显示来自指定表格的数 show <table name> <list t able name 使用命令 show client * 据使用 count 而不是列 of columns> [where SHOW TABLES 查看可 show client client_name 列表以仅获取行数 <where>] [group by 用表格 show client id, client_name <group by>] [order by WHERE id>4, configuration lis t of c olumns 以逗号 <order by>] [skip <skip>] IN (ready, requested) ORDER 分隔的列表使用命令 [limit <limit>] BY client_name LIMIT 5 SHOW COLUMNS 查看 show client * WHERE 指定表格的列的列表使 product_name -LIKE 用 * 查看所有列使 *endpoint* 用 count 仅获取行数可 show client count WHERE 能的值 <column id>4 name> * count 其中 show client * where 有采用 group_id=4 <column><comparison show client * where operator><value> 例如 requested_policy_id -IN (2,3) id>3 或 <column> <IN show event * where operator> client_group_id=4 (<comma_separated_val show event * where ues_list>) 格式的条件的 client_requested_policy_id -IN 列表 以逗号分隔 允 (2,3) 许以下比较运算符 = (or -EQ)!= (or -NE) <= (or -LE) >= (or -GE) < (or -LT)> 和 (or -GT)允 许以下 IN 运算符 -IN 或 -NOTIN对于文本列 可与带有通配符 * - 零 或更多个字符?- 一个字 符 的文本值一起使用 LIKE 和 -NOTLIKE 而 不是比较运算符 group by 要按其分组的 106

107 列的列表 以逗号分隔 所有这些列中带有对应值 的行将显示为一行 order by 要按其排序的 列的列表 以逗号分隔 在每个列名称后 可指定 -ASC 默认 或 -DESC 用于升序或降序排列 s k ip 开头要跳过多少 行 limit 要显示的最大行 数 show columns 显示指定表格的可用列 show columns [for] <table name> t able name 要为其显示 show columns for client 列的表格使用 SHOW TABLES 命令获取可用 表格名称 show tables 显示可在 SHOW 命令中 show tables 使用的可用表格 task config 使用配置文件创建配置任 task config c onf igurat ion f ile 来自 task config d:\task_config_01. 务如果成功创建 则显 <configuration file> 配置编辑器的 XML 文 xml 1,4,5 name "Config01" 示新任务的 ID <clients> [name 件 description " client <name>] [description protection config" c lient s 以逗号分隔的客 <description>] 户端 ID 列表 或 * 代表 [applyafter <apply after>] 所有客户端 [deleteifcompleted <delete if completed>] name 任务名称 show tables des c ript ion 任务说明 apply af t er 当该任务必 须以以下格式应用时的 UTC 时间 YYYY-MMDD hh:mm:ss YYYYMM-DD hh:mm YYYYMM-DD hh YYYY-MMDD例如 带有时间的 日期 " :43". 示例 不带有时 间的日期 " ". delet e if c omplet ed 如果任务必须在成功完成 后删除 则使用它可能 的值 true false默认 值 false task scan 创建扫描任务如果成功 task scan <clients> c lient s 以逗号分隔的客 task scan 1,3 创建 则显示新任务的 [name <name>] 户端 ID 列表 或 * 代表 ID [description 所有客户端 <description>] name 任务名称 [applyafter <apply after>] [deleteifcompleted des c ript ion 任务说明 <delete if completed>] 107

108 [exclude <exclude>] apply af t er 当该任务必 [windows_profile 须以以下格式应用时的 <profile>] UTC 时间 YYYY-MM[windows_targets DD hh:mm:ss YYYY<windows targets>] MM-DD hh:mm YYYY[windows_no_cleaning MM-DD hh YYYY-MM<no cleaning>] DD例如 带有时间的 [windows_shutdown_after 日期 " _scan <shutdown>] 10:43". 示例 不带有时 [windows_allow_shutdow 间的日期 " n_cancel <allow cancel>] 21". [linux3_targets <linux3 delet e if c omplet ed targets>] 如果任务必须在成功完成 [linux3_no_cleaning <no 后删除可能的值 cleaning>] [linux_profile true false默认值 <profile>] [linux_targets false <linux targets>] [linux_no_cleaning <no ex c lude 要从扫描任务 cleaning>] 排除的部分的列表 以逗 [mobile_targets <mobile 号分隔可能的值 targets>] windows linux3 [mobile_no_cleaning <no linux mobile cleaning>] [max_delay prof ile 扫描配置文件名 <max delay>] 称可能的值! InDepthScan! MyProfile! SmartScan! ContextMenuScan <user-defined profile name>默认值! InDepthScan windows t arget s 以逗 号分隔的要扫描的 Windows 任务列表可 能的值!Memory! RemovableDrivesBoot!RemovableDrives! LocalDrivesBoot! LocalDrives! RemoteDrives! AllDrivesBoot! AllDrives <custom path> 默认值!Memory! LocalDrivesBoot! LocalDrives no c leaning 扫描但不 清除可能的值 true false默认值 false s hut down 扫描后关闭计 算机可能的值 true false默认值 false 108

109 allow c anc el 允许用户 取消关机可能的值 true false默认值 false linux 3 t arget s 以逗号 分隔的要扫描的 linux3 路径列表默认值 / linux t arget s 以逗号分 隔的要扫描的 linux 路径 列表默认值 / mobile t arget s 以逗号 分隔的要扫描的移动任务 列表可能的值!All <custom path> 默认 值!All max delay 最大随机延 迟 以分钟为单位 task update 创建更新任务如果成功 task update <clients> c lient s 以逗号分隔的客 task update 2,4,6 name 创建 则显示新任务的 [name <name>] 户端 ID 列表 或 * 代表 "Update01" exclude windows ID [description 所有客户端 task update * <description>] name 任务名称 [applyafter <apply after>] [deleteifcompleted des c ript ion 任务说明 <delete if completed>] apply af t er 当该任务必 [exclude <exclude>] 须以以下格式应用时的 [windows_profile UTC 时间 YYYY-MM<windows profile>] DD hh:mm:ss YYYY[max_delay <max MM-DD hh:mm YYYYdelay>] MM-DD hh YYYY-MMDD例如 带有时间的 日期 " :43". 示例 不带有时 间的日期 " ". delet e if c omplet ed 如果任务必须在成功完成 后删除 则使用它可能 的值 true false默认 值 false ex c lude 要从更新任务 排除的部分的列表 以逗 号分隔可能的值 windows linux3 linux mobile windows prof ile Windows 部分的配置文 件名称 max delay 最大随机延 迟 以分钟为单位 109

110 version 110 显示命令行控制台 API version [<component>] 和 ERA 服务器的当前版 本 c omponent 应当显示哪 version 个组件的版本如果丢 version cmd 失 将显示所有版本可 能的值 cmd api server

111 8. ERA Maintenance Tool ESET Remote Administrator Maintenance Tool的用途是为服务器操作和维护执行特定任务它可通过单击 开始 程序 > E S E T E S E T Remot e A dminis t rat or S erv er >E S E T Remot e A dminis t rat or Maint enanc e Tool 进行访问启 动 ERA 维护工具会显示一个交互向导 帮助您执行所需任务 在启动 ESET Remote Administrator Maintenance Tool 并单击 下一步 后 您可以看到 ERA Server 信息窗口该工具显示 已安装的 ERA Server 的信息摘要单击 更多信息 即可在单独的窗口中查看更详细的显示信息 单击 复制到剪贴板 可以 复制信息 单击 刷新 可刷新信息如果已验证信息 则可以通过单击 下一步 并选择一项任务来继续执行下一步 停止 ERA Server 111 启动 ERA Server 111 数据库转移 111 数据库备份 112 数据库恢复 112 删除表 112 存储备份 113 存储恢复 113 安装新许可证密钥 113 修改服务器配置 113 在每个任务设置结束时 您可单击 保存所有设置到文件 保存当前任务的设置单击 将所有设置保存到文件 可让您在将 来任何时间使用设置任务设置中每个单独步骤还拥有 将所有设置保存到文件 或 从文件加载所有设置 选项 8.1 停止 ERA Server 此任务停止 ESET Remote Administrator Server 服务 注意: 服务的名称为 ERA_SERVER此服务的可执行文件为 C:\Program Files\ESET\ESET Remote Administrator\Server\era.exe 8.2 启动 ERA Server 此任务启动 ESET Remote Administrator Server 服务 注意: 服务的名称为 ERA_SERVER此服务的可执行文件为 C:\Program Files\ESET\ESET Remote Administrator\Server\era.exe 8.3 数据库转换 您以通过此任务转换数据库格式该工具可以在下列数据库之间进行转换 MS Access MS SQL Server Oracle MySQL 第一步是检查数据库连接此步骤对于所有任务是通用的 除了上载新许可证密钥和修改服务器配置的情况 111

112 如果数据库是 MS Access 数据库 请指定到.mdb 文件的路径在 ERA Server 安装期间默认使用指定路径 所有其他数据库格式要求设置其他参数 连接字符串 用于识别源数据库的专用字符串 用户名 访问数据库使用的用户名 密码 访问数据库使用的密码 方案名称 方案的名称 仅适用于 Oracle 和 MS SQL 单击 加载当前服务器配置 以使用 ERA Server 的当前设置单击 测试连接 以测试数据库的连接如果无法建立连接 请 检查输入的参数是否有误数据库测试成功后 请单击 下一步 继续 然后选择目标数据库选择 替换服务器连接设置 使服务器在转换之后 即可连接并使用新数据库不选择此选项将导致创 建新数据库 但服务器不更新到新数据库版本中 对于 MS Access 数据库以外的所有数据库 请选择是自动创建数据库表单 在数据库中自动创建表单 还是稍后在数据 库中插入表单 查看脚本 保存到文件 对于 MySQL 数据库 自动创建新数据库 E S E TRADB 选项会自动创建一 个名称为 ESETRADB 的新 MS SQL 数据库第一步是确认数据库转换 8.4 数据库备份 该工具使您可以创建数据库的备份文件第一个窗口中的设置与数据库转换 参阅数据库转换 111 一章 中的设置相似 在此 窗口中已选择源数据库源数据库之后会被复制到在下一步指定的备份文件 窗口下部的可选参数可用于覆盖现有文件 如果存在则覆盖 并在备份过程中停止 ESET Remote Administrator Server 在 处理任务期间停止服务器 单击 下一步 确认执行任务 8.5 数据库恢复 该任务使您可以从备份文件恢复数据库第一个窗口中的设置与数据库转换 参阅数据库转换 111 一章 中的设置相似 在此 窗口中已选择数据库类型 对于 MS Access 数据库以外的所有数据库 请选择是自动创建数据库表单 在数据库中自动创建表单 还是稍后在数据 库中插入表单 查看脚本 - 保存到文件 对于 MS SQL 数据库 自动创建新数据库 E S E TRADB 选项会自动创建 一个名称为 ESETRADB 的新 MS SQL 数据库第一步是确认数据库恢复 在下一步选择要从其中恢复数据库的文件使用窗口下部的可选参数可以从上一步选择的其他数据库类型进行导入文件 允 许从其他类型的数据库导入 并可以在数据库恢复期间停止 ESET Remote Administrator Server 在处理任务期间停 止服务器 单击 下一步 确认执行任务 8.6 删除表单 这会删除数据库中的当前表单因此 在安装 ERA Server 之后 数据库即会返回其先前的状态第一个窗口中的设置与数据 库转换 参阅数据库转换 111 一章 中的设置相似 在此窗口中已选择数据库类型接下来程序将提示您确认操作选择 是 我同意 之后可以单击 下一步 以确认操作 注意 如果使用 MS SQL MySQL 或 Oracle 数据库 我们建议您在删除表单之前停止 ERA Server 如果使用 MS Access 数据库 将替换为默认空数据库 112

113 8.7 存储备份 此任务将执行存储备份操作 即所有数据将从存储文件夹 默认为 C:\ProgramData\ESET\ESET Remote Administrator\Server\storage\ 保存到外部转储文件 (*.dmp) 中已存储在此文件夹中的是一些重要的服务器日志和配置单 击下半部分的信封符号 浏览到您希望在其中备份存储的文件夹并输入文件的名称如果您想要替换已经存在的.dmp 文件 您也可以选择是否要 覆盖 如果存在 由于存储备份任务将引起服务器性能的降低 建议您将 在处理任务期间停止服务 器 选项保持为选中状态单击 下一步 然后单击 启动 将启动该任务 8.8 存储恢复 此任务将从先前保存的转储 (*.dmp) 文件执行存储恢复操作请参阅存储备份任务以获取详细信息单击下半部分的信封符 号 浏览到转储文件所在的文件夹由于存储恢复任务将引起服务器性能的降低 建议您将 在处理任务期间停止服务器 选 项保持为选中状态单击 下一步 然后单击 启动 将启动该任务 8.9 安装新许可证密钥 若要插入服务器所用的新许可证密钥 只需要输入新许可证密钥的位置 然后单击 上传到服务器 再单击确定 覆盖现有的许可证密钥 如果需要 如果存在则覆盖 并重新启动服务器 如果需要 强制启动服务器 以防其未运 行 单击 下一步 确认并完成操作 8.10 修改服务器配置 该任务会启动配置编辑器 如果已安装 完成任务则可打开配置编辑器窗口并允许您编辑 ERA Server 高级设置这些设置 还可以通过单击 工具 服务器选项 高级 编辑高级设置 访问 注意 要使此功能工作 必须安装 ERA Console您还可以将服务器设置保存为.xml 文件并在以后使用 从文件载入所有 设置 选项来上载它 8.11 命令行界面 ESET Remote Administrator Maintenance Tool (ERAtool.exe) 也可以作为命令行工具工作 集成到脚本中在运行时 工具 解析参数 并以指定顺序执行每项操作如果未给定参数 则运行交互向导 支持以下命令 /startserver 或 /startservice - 启动 ESET Remote Administrator 服务器的服务 /stopserver 或 /stopservice - 停止 ESET Remote Administrator 服务器的服务 /gui - 完成所有任务后启动交互向导 任何不以斜杠开头的参数将被解释为应执行的配置脚本的文件名通过保存交互向导中的设置可创建配置脚本 注意: ERAtool.exe 需要更高的管理员权限 如果调用 ERAtool.exe 的脚本不具有所需权限 Windows 可能会显示交互信 息 提示进行升级或以独立的控制台进程运行工具 失去工具输出 113

114 9. 故障排除 9.1 常见问题解答 本章节包括大多数常见问题及与 ERA 安装和操作有关问题的解决方案 将 E S E T R e mote Administra tor 安 装 到 W indows se rve r 2000/ 2003 时 出 现 的 问 题 原因 其中一个可能原因是终端服务器以 execution 模式在系统上运行 解决方案 Microsoft 建议在向运行有终端服务器服务的系统安装程序时 将终端服务器切换为 "install" 模式可通过 控制面板 添 加/ 删除程序 或打开命令提示符并发出 change user /install 命令安装后请输入 change user /execute 以使终端服务器返 回到执行模式如需此过程的分步说明 请参阅以下文章 GLE 错 误 代 码 的 含 义 是 什 么 通过 ESET Remote Administrator Console 安装 ESET Smart Security 或 ESET NOD32 Antivirus 有时可能产生 GLE 错 误若要找出 GLE 错误代码的含义 请按如下步骤操作 1) 单击 开始 运行 打开命令提示符输入 cmd 并单击 确定 2) 在命令提示符中输入 net helpmsg error_number 示例 net helpmsg 55 示例结果 指定的网络资源或设备不可用 9.2 常见错误代码 在 ERA 操作期间 您可能会遇到错误信息 其中包含指示某功能或操作出现问题的错误代码以下章节概述执行推送安装时 最常见的错误代码以及在 ERAS 日志中发现的错误 使 用 E S E T R e mote Administra tor 远 程 安 装 E S E T S ma rt S e curity 或 E S E T N OD 32 Antivirus 时显示的错误消息 S C 错误代码 6 GLE 错误代码 53 无法设置到目标计算机的 IP C 连接 若要设置 IPC 连接 应满足以下要求 1. TCP/IP 堆栈安装在装有 ERAS 的计算机及目标计算机上 2. 必须安装 Microsoft 网络文件和打印机共享 3. 文件共享端口必须打开 ( ) 4. 目标计算机必须回应 ping 请求 S C 错误代码 6 GLE 错误代码 67 无法在目标计算机上安装 E S E T 安装程序 必须可以在客户端的系统驱动器上访问管理共享 ADMIN$ S C 错误代码 6 GLE 错误代码 1326 无法设置 IP C 连接到目标计算机 可能是由于错误的用户名或密码 错误的管理员用户名和密码错误或完全没有输入 S C 错误代码 6 GLE 错误代码 1327 无法设置到目标计算机的 IP C 连接 管理员的密码字段为空白远程推送安装无法在空密码字段下运行 S C 错误代码 11 GLE 错误代码 5 无法在目标计算机上安装 E S E T 安装程序 由于访问权不足 访问被拒绝 安装程序无法访问客户端计算机 114

115 S C 错误代码 11 GLE 错误代码 1726 无法在目标计算机上安装 E S E T 安装程序 如果首次尝试安装后未关闭推送安装窗口 重复尝试时会显示此错误代码 e ra.log 中 常 见 的 错 误 代 码 0x UP D_ RE TV A L_ B A D_ URL 更新模块错误 - 未正确输入更新服务器名称 0x UP D_ RE TV A L_ CA NT_ DOWNLOA D 以下情况可能出现此错误 通过 HTTP 更新时 - 除 和 407 外 更新服务器还返回一个介于 之间的 HTTP 错误代码 - 如果从基于 CISCO 的服务器下载更新 则会更改 HTTP 验证响应格式 从共享文件夹更新时 - 返回的错误不会分配到损坏的验证或文件未找到 例如 连接中断或服务器不存在等 两种更新方法 - 如果文件 upd.ver 中所列的所有服务器都无法找到 文件位于 %ALLUSERSPROFILE%\Application Data\ESET\ESET Remote Administrator\Server\updfiles 无法联络自动防故障服务器 可能是由于删除了注册表中相应的 ESET 条目 ERAS 中的代理服务器配置有误 - 管理员必须以正确的格式指定代理服务器 0x UP D_ RE TV A L_ A UTHORIZA TION_ FA ILE D 更新服务器的验证失败 用户名或密码错误 0x UP D_ RE TV A L_ B A D_ RE P LY 如果代理服务器用于调解 Internet 连接 - 即 Webwasher 代理 则可能会出现该更新模块错误 0x UP D_ RE TV A L_ S E RV E R_ E RROR 更新模块错误指示一个 500 以上的 HTTP 错误代码如果未使用 ESET HTTP 服务器 错误 500 则指示内存分配问题 0x UP D_ RE TV A L_ INTE RRUP TE D 如果代理服务器用于调解 Internet 连接 - 即 Webwasher 代理 则可能会出现该更新模块错误 9.3 如何诊断 ERAS 中的问题 如果您怀疑是 ERAS 出错或不能正常运行 建议您遵循以下步骤 1) 检查 ERAS 日志 单击 ERAC 主菜单中的 工具 服务器选项 从 服务器选项 窗口 单击 日志记录 选项卡 然后单 击 查看日志 2) 如果您没有看到错误信息 请将 服务器选项 窗口中的 日志级别 增加到级别 5追踪问题后 我们建议您将其切换回默 认值 3) 您还可启动相同选项卡中的数据库调试日志来排除故障 请参阅 调试日志 一节尝试重现问题时 建议您只激活 调试 日志 4) 如果您看到本文件中未提到的任务错误代码 请联络 ESET 客户服务中心请描述程序行为及如何重现或避免问题包含 所有 ESET 安全产品的程序版本非常重要 例如 ERAS ERAC ESET Smart Security ESET NOD32 Antivirus 115

116 10. 提示和技巧 10.1 计划任务 ESET NOD32 Antivirus 和 ESET Smart Security 包含一个整合的计划任务 允许计划定期计算机扫描 更新等所有指定 任务都已列入 计划任务 中 使用 ERA 可配置以下任务类型: 运行外部应用程序 日志维护 计算机扫描 创建计算机状态快照 更新 自动启动文件检查 大多情况下 无需配置 运行外部应用程序 任务 自动启动文件检查 任务为默认任务 建议不要更改其参数如果安装后 没有做出更改 ESET NOD32 和 ESET Smart Security 包含两个预定义任务第一个任务在用户每次登录时检查系统文件 第二个任务在成功更新病毒库后执行同样的操作管理员认为 计算机扫描 和 更新 任务可能最有用 计算机扫描 - 它可在客户端提供定期病毒防护扫描 通常扫描本地驱动器 更新 - 此任务负责更新 ESET 客户端解决方案它是一项预定义任务 默认为每 60 分钟运行一次通常无需修改其参 数唯一例外是笔记本电脑 因为笔记本电脑用户通常连接到本地网络之外的 Internet这样 可在一个任务内使用两个更 新配置文件来修改更新任务此操作允许笔记本电脑从本地镜像服务器和 ESET 更新服务器中更新 计划任务设置还可以在 Windows 产品系列 v3 和 v4 E S E T 内核 设置 计划任务 编辑 中的 E S E T 配置编辑 器 中找到 有关详细信息 请参阅 ESET 配置编辑器 45 一章 对话框窗口可能包含现有任务 单击 编辑 修改这些任务 否则窗口可能为空它取决于您是否已从客户端打开配置 例如 从以前配置且正在使用的客户端 或使用不包含任务的默认模板打开新文件 每个新任务都会分配一个属性 ID默认任务具有十进制 ID 自定义任务分配了十六进制密钥 例如 4AE13D6C 这是在创建新任务时自动生成的 如果选中某任务的复选框 则表示该任务被激活 并在给定客户端上执行该任务 "计划任务"窗口中的按钮功能如下 添加- 添加新任务 编辑- 修改选定任务 更改 ID- 修改选定任务的 ID 详细信息 - 关于选定任务的摘要信息 标记以删除 应用.xml 文件时将删除通过在目标客户端中单击该按钮选定的任务 具有相同的 ID 从列表删除 - 从列表删除选定任务请注意 将不会从目标工作站中删除从.xml 配置列表中删除的任务 创建新任务 添加 按钮 或编辑现有任务 编辑 时 您必须指定任务运行的时间一定时段 每天 12 点 每周五等 后 任务可能重复或被某事件 成功更新后 计算机每天首次启动等 触发 手动计算机扫描 任务的最后一步显示特殊设置窗口 您可在此窗口定义扫描使用的配置 - 例如要使用的扫描配置文件和扫 描目标 更新 任务的最后一步指定在给定任务中要运行的更新配置文件它是一项预定义任务 默认为每 60 分钟运行一次通常无 需修改其参数唯一例外是笔记本电脑 因为笔记本电脑用户还连接到公司网络之外的 Internet最后一个对话框允许您指定 116

117 两种不同的更新配置文件 包括从本地服务器或 ESET 更新服务器中的更新 10.2 删除现有配置文件 您有时可能遇到由错误导致的重复配置文件 更新或扫描配置文件 若要远程删除这些配置文件而不损坏"计划任务"中的其 他设置 请遵循以下步骤 从 ERAC 中单击 客户端 选项卡并双击有问题的客户端 从 客户端属性 窗口单击 配置 选项卡选择 然后运行 E S E T 配置编辑器 以编辑文件 和 在新配置任务中使用已下 载的配置 选项并单击 新任务 按钮 在新任务向导中单击 编辑. 在 配置编辑器 中 请按 CTRL + D 以取消选择 灰色 所有设置这有助于防止意外更改 因为新更改会以蓝色突出显 示 右键单击您要删除的配置文件 并从右键菜单中选择 编辑配置文件以进行删除 此配置文件在任务传送到客户端后会被 立即删除 单击 ESET 配置编辑器 中的 控制台 按钮 保存设置 验证您在右侧 选定项目 列所选的客户端单击 下一步 然后单击 完成 117

118 10.3 导出和客户端 XML 配置的其他功能 从 ERAC 的 客户端 选项卡中选择任意客户端右键单击并从右键菜单中选择 配置... 单击 另存为... 将分配的给定客户 端配置导出到.xml 文件.xml 配置文件还可以直接从 ESET Smart Security 程序界面直接解压缩.xml 文件之后可用于 各种操作 对于远程安装.xml 文件可用作预定义配置的模板这意味着不会创建新的.xml 文件 而是指定现有的.xml 文件 选 择... 到新的安装程序包.xml 配置文件还可以直接从 ESET Smart Security 程序界面解压缩 如果配置多个客户端 则选定客户端将接收以前下载的.xml 文件 并采用文件中定义的设置 不创建新配置 仅通过 选 择... 按钮 示例 ESET 安全产品仅安装在一个工作站中直接通过程序的用户界面调整设置完成后 将这些设置导出到.xml 文件该.xml 文件可用于其他工作站的远程安装如果要应用 基于策略 的模式 该方法对某些任务 例如微调防火墙规则 非常有用 10.4 用于笔记本电脑的组合更新 如果您的本地网络中有任何移动设备 即笔记本计算机 建议您从以下两个来源配置组合更新 ESET 更新服务器和本地 镜像服务器首先 笔记本计算机与本地镜像服务器通信 如果连接失败 它们不在办公室内 则直接从 ESET 服务器下 载更新允许此功能 创建两个更新配置文件 导出和客户端 XML 配置的其他功能 118 一个指向镜像服务器 指下例中的 LAN 第二个指向 ESET 的更新服务器 (INET) 创建新的更新任务 或通过计划任务修改现有更新任务 ESET Smart Security 或 ESET NOD32 Antivirus 的主程序窗口 中的 工具 计划任务 可直接在笔记本计算机上配置或远程使用 ESET 配置编辑器 进行配置它可以在安装过程中或稍后应用为配置任务 若要在 ESET 配置编辑器 中创建新配置文件 请右键单击 更新 分支 并从右键菜单中选择 新建配置文件 118

119 修改结果应与下面显示的一个相似 当 INET 配置文件连接到 ESET 服务器 自动选择 时 LAN 配置文件会从公司的镜像服务器 ( 下载更 新接下来 定义连续运行每个更新配置文件的更新任务要这样做 请在 ESET 配置编辑器 中导航至 Windows 产品系 列 v3 和 v4 E S E T 内核 设置 计划任务 单击 编辑 按钮显示 计划任务 窗口 若要创建新任务 请单击 添加 从 计划任务 下拉菜单中 选择 更新 并单击 下一步 输入 任务名称 例如 "combined update" 选择"每 60 分钟重复一次" 然后继续选择主配置文件和次配置文件 如果笔记本计算机工作站首先与镜像服务器通信 主配置文件则应设置为 LAN 次配置文件应设置为 INET仅在从 LAN 更 新失败时应用 INET 配置文件 建议 从客户端导出当前.xml 配置 有关更多信息 请参阅如何诊断 ERAS 问题 115 一章 并对导出的.xml 文件执行 上述修改这将防止计划任务和非工作配置文件之间出现任何重复情况 10.5 使用 ERA 安装第三方产品 除远程安装 ESET 产品之外 ESET Remote Administrator 还能够安装其他程序唯一条件是自定义安装程序包必须为.msi 格式您可以使用与远程推送安装 50 中描述的非常类似的过程来执行自定义程序包的远程安装 主要区别是程序包的创建过程 如下所述 1) 从 ERAC 中 单击远程安装选项卡 2) 选择计算机选项卡 并在其内容中的任意位置右键单击选择右键菜单中的管理程序包 3) 从 程序包类型 下拉菜单中 选择自定义程序包 4) 单击添加... 再单击添加文件 然后选择所需的.msi 程序包 5) 从程序包条目文件下拉菜单中选择文件 然后单击创建 6) 返回到初始窗口之后 可以为.msi 文件指定命令行参数这些参数也同样用于给定程序包的本地安装 119

120 7) 单击另存为... 保存程序包 8) 单击关闭退出安装程序包编辑器 可以将新建的自定义程序包分发到客户端工作站 其方式与前面章节中介绍的远程安装相同远程推送安装 登录或电子邮 件推送安装将程序包发送到目标工作站打开执行程序包后 将由 Microsoft Windows Installer 服务处理安装完成自定义安 装后 ERAS 可以从包含安装结果数据的客户端中下载文件要指定结果文件 请在保存自定义程序包后将 / eres ult 参数 添加到与程序包相关联的命令行运行自定义安装任务后 您可以从任务详细信息窗口中的 ERAS 下载结果文件 注意 自定义的第三方安装程序包存在 100mb 的大小限制 120

121 11. ESET SysInspector 11.1 ESET SysInspector 介绍 ESET SysInspector 是彻底检查您的计算机并全面显示所收集数据的应用程序安装的驱动程序和应用程序 网络连接或重 要注册表项等信息有助于调查因软件或硬件不兼容或恶意感染引起的可疑系统行为 您可以使用两种方法访问 ESET SysInspector 一种是从 ESET Security 解决方案中的集成版访问 另一种是从 ESET 网站 免费下载单机版访问这两个版本的功能一致 且具有相同的程序控件唯一的区别是管理输出的方式不同单机版和集成 版均允许您将系统快照输出为.xml 文件 并将它们保存到磁盘但是 集成版还允许您直接将系统快照存储在工具 > E S E T S y s Ins pec t or 中 ESET Remote Administrator 除外 ESET SysInspector 扫描您的计算机时 请等待一些时间它可能要花 10 秒到几分钟的时间 具体取决于您的硬件配置 操 作系统和计算机上安装的应用程序的数量 启 动 E S E T S ysinspe ctor 若要启动 ESET SysInspector 只需运行从 ESET 网站下载的 SysInspector.exe 可执行文件 应用程序检查您的系统时 可能需要几分钟 请稍作等待 具体取决于要收集的硬件和数据 11.2 用户界面和应用程序的使用 为了清晰可见 主窗口被划分为四个主要部分 - 位于主窗口顶部的程序控件 左侧的 导航 窗口 右中位置的 说明 窗口以及 主窗口右下位置的 详细信息 窗口日志状态部分列出了日志的基本参数 过滤器使用 过滤器类型以及日志是否为比较结果 等 121

122 程 序 控 件 本部分将涵盖 ESET SysInspector 中所有可用程序控件的说明 文件 单击 文件 即可存储当前的系统状态以供将来研究使用 或者打开一个先前存储的日志对于发布用途 我们建议生成适合 发送的日志这种形式的日志会省略敏感信息 当前用户名 计算机名称 域名 当前用户权限 环境变量等 注意 只需将先前存储的 ESET SysInspector 报告拖放至主窗口 即可将其打开 树 允许您展开或关闭所有节点 并将选定部分导出到服务脚本中 列表 包含使您能在程序内更方便地导航的功能 以及诸如在线查找信息等各种其他功能 帮助 包含应用程序及其功能的相关信息 详细信息 此设置影响主窗口中显示的信息 从而使该信息更加易于使用在 基本 模式下 您可以访问查找系统常见问题解决方法所需 的信息在 中等 模式下 该程序将显示较少使用的详细信息在 全部 模式下 ESET SysInspector 将显示解决具体问题所 需的所有信息 项目过滤 项目过滤是查找系统中可疑文件或注册表项的最佳方式通过调整滑块 您可以按风险级别来过滤项目如果将滑块完全设 定到左侧 风险级别 1 则会显示所有项目通过将滑块移至右侧 该程序将会过滤出危险程度低于当前风险级别的所有项 目 只显示比显示级别更可疑的项目如果将滑块完全移至右侧 该程序将仅显示已知的有害项目 标记为 6 到 9 的所有项目将会带来安全风险如果您未使用 ESET 的安全解决方案 我们建议您在 ESET SysInspector 找 到任何此类项目后 使用 ESET Online Scanner 来扫描您的系统ESET Online Scanner 是免费服务 注意 将项目颜色与风险级别滑块上的颜色进行比较 可以迅速确定项目的风险级别 搜索 搜索用于通过项目名称或部分名称来快速查找特定项目搜索请求的结果将会显示在 说明 窗口中 返回 通过单击后退或前进箭头 您可以在 说明 窗口中返回先前显示的信息您可以使用 Backspace 键和空格键而不是分别单击 后退和前进 状态部分 显示 导航 窗口中的当前节点 重要 突出显示为红色的项目为未知项目 这也正是程序将其标记为潜在危险项目的原因项目为红色并不一定就意味着您 可以将文件删除删除前 请确保文件确实是危险的或不需要的 122

123 E S E T S ysinspe ctor 导 航 ESET SysInspector 将各种类型的信息划分到一些称为节点的基本部分中如果可用 您可以通过将各个节点扩展到其子节 点中来查找其他详细信息若要打开或折叠某节点 请双击节点的名称或单击 或该节点名称旁边的 当在 导航 窗口中浏 览节点和子节点的树结构时 您可能会在 说明 窗口中找到有关每个节点的各种详细信息如果在 说明 窗口中浏览项目 有 关每个项目的其他详细信息可能会显示在 详细信息 窗口中 下面是 导航 窗口中主要节点的说明 以及 说明 和 详细信息 窗口中的相关信息 运行进程 该节点包含生成报告时运行的应用程序和进程的相关信息在 说明 窗口中 您可以找到有关每个进程的其他详细信息 例如 由进程使用的动态库及其在系统中的位置 应用程序供应商的名称和文件的风险级别 详细信息 窗口包含 说明 窗口中选定项目的其他信息 例如文件大小或其 Hash 信息 注意 一个操作系统包含若干重要内核组件 它们会全天候运行 以便为其他用户应用程序提供基本和关键功能在某些情 况下 此类进程会显示在 ESET SysInspector 工具中 文件路径以 \??\ 开头这些标记为这些进程提供预启动优化 它们对 系统是安全的 网络连接 说明 窗口包含进程和应用程序的列表 这些进程和应用程序使用在 导航 窗口中选定的协议 TCP 或 UDP 的网络以及应用 程序连接到的远程地址进行通讯您还可以检查 DNS 服务器的 IP 地址 详细信息 窗口包含 说明 窗口中选定项目的其他信息 例如文件大小或其 Hash 信息 重要注册表项 包含通常与各种系统问题相关的一系列选定注册表项 例如指定启动程序 浏览器帮助程序对象 (BHO) 等的注册表项 在 说明 窗口中 可以找到哪些文件与特定注册表项相关您可以在 详细信息 窗口中查看其他详细信息 服务 说明 窗口包含注册为 Windows Services 的文件列表在 详细信息 窗口中可以检查服务的启动设置方法以及文件的特定详 细信息 驱动程序 系统中安装的驱动程序列表 关键文件 说明 窗口显示与 Microsoft Windows 操作系统相关的关键文件的内容 系统计划任务 包含在特定时间/间隔由 Windows 任务计划触发的任务列表 系统信息 包含有关硬件和软件的详细信息以及有关设置环境变量 用户权限和系统事件日志的信息 文件详细信息 重要系统文件和 Program Files 文件夹中文件的列表特定于文件的其他信息可以在 说明 和 详细信息 窗口中找到 关于 有关 ESET SysInspector 版本和程序模块列表的信息 123

124 键 盘 快 捷 键 使用 ESET SysInspector 时可用的快捷键有 文件 Ctrl+O Ctrl+S 打开现有日志 保存已创建的日志 生成 Ctrl+G Ctrl+H 生成标准的计算机状态快照 生成还会记录敏感信息的计算机状态快照 项目过滤 1, O 2 3 4, U 5 6 7, B Ctrl+9 Ctrl+0 良好 显示风险级别为 1-9 的项目 良好 显示风险级别为 2-9 的项目 良好 显示风险级别为 3-9 的项目 未知 显示风险级别为 4-9 的项目 未知 显示风险级别为 5-9 的项目 未知 显示风险级别为 6-9 的项目 危险 显示风险级别为 7-9 的项目 危险 显示风险级别为 8-9 的项目 危险 显示风险级别为 9 的项目 降低风险级别 提高风险级别 过滤模式 相等或更高级别 过滤模式 仅相等级别 查看 Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 BackSpace 空格 Ctrl+W Ctrl+Q 按供应商查看 所有供应商 按供应商查看 仅 Microsoft 按供应商查看 所有其他供应商 显示完整的详细信息 显示中等详细信息 基本显示 后退一步 前进一步 扩展树 折叠树 其他控件 Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E 124 在搜索结果中选择后 转至项目的原始位置 显示项目的基本信息 显示项目的完整信息 复制当前项目的树 复制项目 在 Internet 上查找选定文件的相关信息 打开选定文件所在的文件夹 在注册表编辑器中打开相应注册表项 复制文件路径 如果该项目与文件相关 切换至搜索字段 关闭搜索结果 运行服务脚本

125 比较 Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P 打开原始/比较日志 取消比较 显示所有项目 仅显示已添加的项目 日志将显示当前日志中的项目 仅显示已删除的项目 日志将显示以前的日志中的项目 仅显示已替换的项目 含文件 仅显示日志之间的差异 显示比较 显示当前日志 打开以前的日志 其他 F1 Alt+F4 Alt+Shift+F4 Ctrl+I 查看帮助 关闭程序 关闭程序而不询问 日志统计信息 比 较 比较功能允许用户比较两个现有日志该功能的输出结果是一组这两个日志并不共有的项目如果您想跟踪系统中的变化 则这是比较合适的 例如 用于检测恶意代码的活动的有用工具 在启动之后 应用程序会创建新日志并显示在新窗口中导航至 文件 保存日志 将日志保存到文件稍后可打开并查看日 志文件若要打开现有日志 请使用 文件 打开日志 在主程序窗口中 ESET SysInspector 始终一次显示一个日志 比较两个日志的好处是您可以查看当前活动的日志和文件中保存的日志若要比较日志 请使用 文件 比较日志 然后选 择 选择文件 将在主程序窗口中比较活动的日志与选定日志该比较日志将仅显示这两个日志之间的差别 注意 如果比较两个日志文件 请选择 文件 保存日志 来将其另存为 ZIP 文件 这两个文件都会保存如果稍后打开此 文件 将自动比较包含的日志 在显示项目的旁边 ESET SysInspector 将显示标识所比较日志之间的差别的标记 由 标记的项目只能在活动日志中找到 并不显示在打开的比较日志中由 在活动日志中 标记的项目仅显示在打开的日志中 并不显示 所有标记的说明可显示在项目旁边 以前日志中没有出现的新值 包含新值的树结构部分 仅在以前日志中出现的已删除的值 包含已删除的值的树结构部分 值/文件已更改 包含已修改的值/文件的树结构部分 风险级别已经降低/上一个日志中更高 风险级别已经提高/上一个日志中更低 左下角显示的说明部分介绍了所有标记 还显示了所比较的日志的名称 任何比较日志都可以保存到文件并在稍后打开 125