התקנת ממשק הניהול ESET PROTECT On-Prem
פירוט
במדריך הבא נתאר את שלבי ההתקנה של ממשק ניהול בשרת ניהול מקומי ESET PROTECT On-Prem, יש לבצע את ההתקנה על פי הסדר המתואר מטה.
דרישות קדם
חומרה
מעבד: 4 ליבות
זיכרון: 4GB (מומלץ 8GB)
אחסון: 20GB פנוי עם לפחות 500IOPS
תוכנה
Microsoft .NET Framework 3.5
JAVA/Open JDK
מערכת הפעלה
Windows server 2012 ומעלה
דגשים
ממשק ניהול מקומי אינו תומך בניהול מכשירי מובייל (Android/IOS) - ניתן לנהל מכשירי מובייל בענן בלבד.
אם ניתן, מומלץ לא להתקין את ממשק הניהול על שרת Domain Controller.
תוכן
שלב 1 מתוך 5: התקנת ממשק הניהול
1. יש להוריד את קובץ ההתקנה של ממשק הניהול דרך הקישור הבא.
בסיום ההורדה חלצו את קבצי ההתקנה מתוך ה-ZIP אל שולחן העבודה.
2. ממשק הניהול משתמש ב-(Java Development Kit (JDK.
יש להוריד את Amazon Corretto מהקישור הבא, ולהריץ את ההתקנה - לחצו Next בכל המסכים.
3. יש להיכנס לתיקייה שחילצתם בסעיף 1 ולהפעיל את הקובץ Setup.exe בלחיצה ימנית ו-Run as Administrator.
יש ללחוץ על Next.
4. יש לסמן את Install וללחוץ על Next.
5. יש לאשר את הסכם המשתמש וללחוץ על Next.
6. יש ללחוץ על Next.
7. יש ללחוץ על השורה של ה-Java שהתקנו בסעיף 2 (Amazon Corretto), ולחוץ על Install.
8. אם יופיע החלון הבא יש ללחוץ על OK.
*אם הוא לא מופיע, יש להמתין לסיום התקנת ה-SQL (יכול לקחת עד כ-20 דקות) ולהמשיך מסעיף 19.
9. יש לאשר את הסכם המשתמש וללחוץ על Next.
10. יש לסמן את Use Microsoft Update to check for updated וללחוץ על Next.
11. יש ללחוץ על Next.
12. יש ללחוץ על Next.
13. יש ללחוץ על Next.
14. יש ללחוץ על Next.
15. אם אתם מתקינים על שרת רגיל (שאינו Domain Controller) לחצו על Next.
*אם השרת שאתם מתקינים עליו הוא Domain Controller, פתחו את התפריט בשורת SQL Server Database Engine, ולחצו על Browse.
יש לבחור במשתמש SYSTEM.
יש לכתוב SYSTEM וללחוץ על Check Names, לאחר מכן יש ללחוץ על OK.
יש ללחוץ על Next.
16. ההתקנה תייצר סיסמה ל-SA באופן אוטומטי, ניתן לשנות אותה במידה ורוצים אך לא חובה (זו לא הסיסמה של ממשק הניהול).
יש ללחוץ על Next, וההתקנה תתחיל לרוץ.
17. יש להמתין לסיום ההתקנה.
18. בסיום ההתקנה יש ללחוץ על Close.
19. בסיום התקנת ה-SQL, ייפתח חלון ההתקנה של ממשק הניהול.
יש ללחוץ על Next.
20. יש ללחוץ על Next.
21. יש ליצור סיסמת הכניסה לממשק הניהול, וללחוץ על Next.
22. יש ללחוץ על Next.
23. יש ללחוץ על Activate Later ואז על Next.
24. יש ללחוץ על Install.
25. בסיום ההתקנה יש ללחוץ על Finish.
26. כעת ירוצו עוד מספר התקנות של רכיבים באופן אוטומטי.
אחת מהן היא Winpcap, יש ללחוץ על Next.
27. יש ללחוץ על I Agree.
28. יש ללחוץ על Install.
29. בסיום ההתקנה יש ללחוץ על Finish.
30. בסיום התהליך ייפתח החלון הבא, בו רשומה הכתובת לגישה לממשק הניהול.
עם כניסתכם הראשונית לממשק הניהול לחצו על Close Startup Wizard והמשיכו את השלבים לפי המדריך.
שלב 2 מתוך 5: יצירת משימת אקטיבציה
כעת נגדיר משימת אקטיבציה שתרוץ באופן אוטומטי על קבוצה דינמית, שאליה ייכנסו באופן אוטומטי מחשבים ללא רישיון פעיל.
עליכם תחילה להקים חשבון (EPH) ESET PROTECT Hub. דרך חשבון זה ניתן לנהל את הרישיון ולהשתמש במוצרי הענן וה-Sandbox של ESET.
-
- הקמת חשבון ESET PROTECT Hub עבור ממשק On-Premise
-
1. יש להיכנס לכתובת https://protecthub.eset.com.
2. יש ללחוץ על Register for free.
3. יש לכתוב כתובת מייל, שם חברה ולבחור מדינה, להשלים CAPTCHA וללחוץ על Create Account.
4. כעת יישלח מייל אישור לכתובת שעבורה יצרנו את החשבון.
יש ללחוץ על Verify Account.
שימו לב! הקישור נשאר פעיל למשך שעה. אם לא לוחצים על הקישור במשך שעה שלמה, החשבון יימחק ותצטרכו ליצור את החשבון מחדש.
5. כעת יש להקליד שם, שם משפחה וסיסמה, לאחר מכן יש ללחוץ על Continue.
6. יש לבחור מדינה, לאשר את התנאים וללחוץ על Activate Your Account.
7. יש לפתוח את חשבון ה-Hub שלכם בקישור הבא ולהוסיף רישיון חדש מתוך לשונית Dashboard על ידי לחיצה על כפתור Add your purchased license.
8. יש להזין את מפתח הרישיון וללחוץ על Add License.
9. אם הרישיון כבר מופעל על מכשירים, יופיע המסך הבא:
אם תבחרו ב-Deactivate, הרישיון ינותק מכל המכשירים עליהם הוא מופעל.
יש לבחור ב-Keep.
10. כעת יש לקשר את חשבון ה-Hub לממשק הניהול המקומי שלכם.
יש ללחוץ על More, על License Management, לחצו על כפתור Actions ו-Add Licenses.
11. יש להזין את פרטי חשבון ה-Hub שלכם וללחוץ על Add Licenses.
-
- יצירת משימת אקטיבציה
-
1. יש ללחוץ על לשונית Computers, וללחוץ על גלגל השיניים ליד קבוצת Unactivated Security Product.
סמנו את Tasks, ובחרו ב-New Task.
2. יש לתת שם למשימה-Product Activation, ולאחר מכן בתפריט Task יש לבחור ב-Product Activation.
לאחר מכן יש ללחוץ על Settings.
3. יש לבחור את הרישיון מסוג ESET Endpoint Security + ESET Server Security וללחוץ על Trigger.
הערה: משווקים בניהול מאוחד, יש לבחור את הרישיון של הלקוח הספציפי.
4. יש לשנות את ה-Trigger Type ל-Joined Dynamic Group Trigger. לסיום יש ללחוץ על Finish.
שלב 3 מתוך 5: יבוא פוליסי
1. יש להוריד את קובץ הפוליסי, ולחלץ אותו לשולחן העבודה, דרך הקישור הבא.
מצד שמאל יש ללחוץ על Policies, בתחתית המסך יש ללחוץ על Actions, ולאחר מכן על Import.
2. יש ללחוץ על Choose file to upload.
3. בחלון שנפתח יש לבחור בקובץ KISS Policies for Endpoint Security and File Security.dat שהורדתם בסעיף 1.
4. יש ללחוץ על כפתור Import.
5. בחלון הפוליסי הראשי, סמנו את Custom Policies, לחצו לחיצה שמאלית על Antivirus KISS Clients, ובחרו ב-Assign Groups.
סמנו את תיקיית All ולחצו על OK.
6. כעת נפעיל את הפוליסי גם על שרתים. לחצו לחיצה שמאלית על Antivirus - KISS Servers ובחרו ב-Assign Groups.
סמנו את תיקיית All ולחצו על OK.
לאחר ייבוא הפוליסי יש מספר הגדרות שמומלץ להגדיר לתחנות ולשרתים (ללא תלות בסוג הרישיון).
-
- הגדרת סיסמה נגד הסרה
-
1. בחלון הפוליסי הראשי, לחצו לחיצה שמאלית על הפוליסי הראשי של התחנות, בדרך כלל Antivirus - KISS Clients ובחרו ב-Edit.
2. יש ללחוץ על Settings, לעבור ל-User Interface, ללחוץ על הפלוס הכחול ליד Access Setup, ואז בשורת Password settings for version 7 and above לחצו על Set.
3. בחלון שנפתח יש להגדיר את הסיסמא להגנה על ההגדרות וללחוץ על OK.
4. יש לסמן את Override Mode, לאחר מכן להפעיל את Allow Override by local admin, יש לשנות ל-Password ליד Authentication Type ולהגדיר את הסיסמא שהגדרנו בסעיף הקודם.
5. לסיום יש ללחוץ על Finish.
6. כעת יש לבצע את אותה הפעולה לפוליסי של השרתים.
יש ללחוץ על גלגל השיניים ליד הפוליסי הראשי של השרתים, בדרך כלל Antivirus - KISS Servers וללחוץ על Edit, לאחר מכן יש לחזור על שלבים 2-5.
-
- הגדרות רשת לתחנות קצה - חשוב!
-
1. יש להיכנס לממשק הניהול, ללחוץ על Policies, ולאחר מכן על New Policy.
2. יש לתת שם לפוליסי Firewall Configuration (Endpoint).
חשוב: משווקים שמשתמשים בממשק ניהול מאוחד ומנהלים מספר לקוחות, יש לתת לפוליסי שם לפי שם החברה של הלקוח.
לדוגמא,"Customer 1 Firewall Configuration (Endpoint)"לאחר מכן, יש ללחוץ על Settings.
3. בתפריט יש לבחור במוצר ESET Endpoint for Windows, ללחוץ על Protections.
יש להרחיב את Network Access Protection, ובשורת Network Connection Profiles ללחוץ על Edit.
4. בחלון שנפתח יש ללחוץ על כפתור Add.
5. יש לתת שם לרשת,
בשורת Always trusted addresses יש להזין את טווחי כתובות ה-IP של הרשת. במידה ויש כמה, ניתן להפריד בפסיק.חשוב - במידה ומשתמשים בארגון ב-VPN, יש להכניס את טווח הכתובות שה-VPN מחלק לאחר החיבור.
יש להפעיל את Trusted connection וללחוץ על Add בשורת Activators.
6. Activators הם מזהים ייחודיים של הרשת שלנו.
אנחנו ממליצים על הוספה של DNS Suffix + Default Gateway.
לזיהויים נוספים תוכלו להוסיף DHCP לדוגמה.
אם יש כמה (לדוגמא רשתות שונות), ניתן להפריד את הכתובות בפסיק.
אם מדובר ברשת מסוג Workgroup, ניתן להגדיר רק את ה-Gateway.
בסיום יש ללחוץ על OK.
הערה: שימו לב שהתחנות מושכות את הגדרות DNS ו-Default Gateway, אחרת ההגדרה לא תעבוד.
7. יש ללחוץ על OK.
8. יש ללחוץ על Save.
9. יש ללחוץ על Assign ואז על Assign.
10. יש לבחור את קבוצת All וללחוץ על OK.
הערה: משווקים בניהול מאוחד, יש לבחור את הקבוצה הסטטית של הלקוח הספציפי.
11. לסיום יש ללחוץ על Finish.
-
- הגדרות רשת לשרתים - חשוב!
-
1. יש להיכנס לממשק הניהול, ללחוץ על Policies, ולאחר מכן על New Policy.
2. יש לתת שם לפוליסי Firewall Policy (Servers).
חשוב: משווקים שמשתמשים בממשק ניהול מאוחד ומנהלים מספר לקוחות, יש לתת לפוליסי שם לפי שם החברה של הלקוח.
לדוגמא,"Customer 1 Firewall policy (Servers)"לאחר מכן, יש ללחוץ על Settings.
3. בתפריט יש לבחור במוצר ESET Server/File Security for Microsoft Windows Server (V6+), ללחוץ על Network Access Protection.
בשורת Network Connection Profiles ללחוץ על Edit.
4. בחלון שנפתח יש ללחוץ על כפתור Add.
5. יש לתת שם לרשת.
בשורת Always trusted addresses יש להזין את טווחי כתובות ה-IP של הרשת. במידה ויש כמה, ניתן להפריד בפסיק.חשוב - במידה ומשתמשים בארגון ב-VPN, יש להכניס את טווח הכתובות שה-VPN מחלק לאחר החיבור.
יש להפעיל את Trusted connection וללחוץ על Add בשורת Activators.
6. Activators הם מזהים ייחודיים של הרשת שלנו.
אנחנו ממליצים על הזנה של DNS Suffix + Default Gateway.
לזיהויים נוספים תוכלו להוסיף DHCP לדוגמה.
במידה ויש כמה (לדוגמא רשתות שונות), ניתן להפריד את הכתובות בפסיק.
אם מדובר ברשת מסוג Workgroup, ניתן להגדיר רק את ה-Gateway.
בסיום יש ללחוץ על OK.
הערה: שימו לב שהשרתים מושכים את הגדרות DNS ו-Default Gateway, אחרת ההגדרה לא תעבוד.
7. יש ללחוץ על OK.
8. יש ללחוץ על Save.
9. יש ללחוץ על Assign ואז על Assign.
10. יש לבחור את קבוצת All וללחוץ על OK.
הערה: משווקים בניהול מאוחד, יש לבחור את הקבוצה הסטטית של הלקוח הספציפי.
11. לסיום יש ללחוץ על Finish.
-
- הגדרות Best practice עבור שרתי Android ,MacOS ,Linux ,Exchange
- כדי לייבא הגדרות Best Practice עבור מוצרים נוספים, היעזרו במדריך הבא.
שלב 4 מתוך 5: הפצה לתחנות
כעת נעבור לשלב ההפצה.
אנחנו ממליצים להיעזר בחבילת ה-ESET KISS (מומלץ בעיקר לרשתות Domain), חבילת הסקריפטים שפותחה בארץ עבור הפצה אוטומטית ברשת, והסרה של אנטי-וירוסים מתחרים.
ה-ESET KISS יסייע בהפצה אוטומטית למחשבים, וניתן להשתמש בו גם בתחנות בהם למשתמשים אין אדמין מקומי על התחנה.
1. הורידו את ה-KISS בהתאם לסוג הרישיון שלכם.
במקרה וקיימת תיקיית ESET בכונן C יש לשנות את שמה ל-ESET.old לפני ההרצה של ה-KISS.
יש להפעיל את הקובץ לאחר סיום ההורדה בלחיצה ימנית ו-Run as Administrator.
במסך הראשי לחצו על Install.
יש להזין את מפתח הרישיון בשדה License Key - שלב זה אינו חובה אך מאוד מומלץ לצורך ביצוע אקטיבציה אוטומטית.
ה-KISS ייצור את תיקיית ESET הכוללת את כל הסקריפטים וקבצי התקנה לרשת וישתף אותה.
2. לאחר סיום התקנת ה-KISS יש ליצור סקריפט להפצת ה-Agents מתוך ממשק הניהול החדש.
יש להיכנס לממשק הניהול המקומי, וללחוץ על לשונית Installers.
כעת צרו קובץ בהתאם למיקום השרת - On Premise או בענן של ESET.
-
- השרת מותקן מקומית - ESET Protect On-Prem
-
1. לחצו על Create Installer.
הערה: במידה ויש קבצי התקנה, כפתור Create Installer יהיה למטה. 
-
2. לחצו על Use GPO or SCCM for Deployment.
חשוב - במידה ואתם מעוניינים שלאחר ההתקנה העמדה תיכנס באופן אוטומטי לתיקייה מסויימת, עליכם לבחור את התיקייה תחת Parent Group.
לדוגמא - משווקים או לקוחות שמנהלים מספר חברות תחת ממשק אחד, מומלץ לבחור בתיקייה של החברה עבורה אתם מבצעים את ההתקנה.
חשוב - וודאו שבשורת Server Hostname מופיעה כתובת מולה תחנות יוכלו לתקשר.
לדוגמא - משווקים או לקוחות שמנהלים מספר חברות תחת ממשק אחד, וודאו שמופיעה הכתובת החיצונית של השרת שלכם.
לדוגמא - במידה ואתם יוצרים את קובץ ההתקנה עבור מחשב שנמצא ב-Workgroup, מומלץ לרשום כתובת IP במקום שם.
לסיום לחצו על Finish. 
-
3. לחצו על קובץ הקונפיגורציה משמאל.
-
- השרת נמצא בענן - ESET Protect
-
1) בממשק ניהול בענן ESET PROTECT, לחצו על Installers ואז Create Installer, לאחר מכן על Customise Installer.
- 2) לחצו על Use GPO or SCCM for deployment.
- חשוב - במידה ואתם מעוניינים שלאחר ההתקנה העמדה תיכנס באופן אוטומטי לקבוצה מסויימת, עליכם לבחור את הקבוצה תחת Parent Group.
לדוגמא - משווקים או לקוחות שמנהלים מספר חברות תחת ממשק אחד, מומלץ לבחור בקבוצה של החברה עבורה אתם מבצעים את ההתקנה. - לסיום לחצו על Finish.
- 3) לצורך הורדת הקובץ לחצו על האייקון השמאלי עם הגלגל שיניים.
-
4. לחצו OK לשמירת קובץ ההגדרה install_config.ini.
5. יש להעתיק את הקובץ install_config.ini שהורדנו בסעיף הקודם, ולשמור אותו בתוך תיקיית C:\ESET\Installers
6. כעת ניתן לעבור להפצה עצמה.
-
- דגשים במידה ועוברים מאנטי-וירוס מתחרה
- 1. יש לוודא שלא מוגדרת סיסמת הגנה להסרת ההתקנה, במידה וכן יש להסירה דרך הניהול של המוצר.
2. יש לוודא שהסקריפט מצליח להסיר את גרסת האנטי וירוס מסוג אחר ולהתקין במקומו את ה-ESET על ידי הפעלה לוקאלית של הסקריפט בתחנה ברשת.
3. במקרה והסקריפט לא מצליח להסיר את גרסת האנטי וירוס האחר יש ליצור קשר עם התמיכה הטכנית.
מומלץ לפני ההפצה לכולם להריץ ידנית בתחנה אחת כדי לראות שהכל תקין והתחנה מתקשרת מול הניהול.
-
- הפצה דרך GPO
-
1. יש להיכנס לשרת Domain Controller, ללחוץ על התחל ו-Run, להקליד gpmc.msc וללחוץ OK.
2. יש ללחוץ לחיצה ימנית על הדומיין ולבחור באפשרות Create a GPO in this domain, and Link it here...
3. יש לתת שם לפוליסי שאנחנו יוצרים, וללחוץ על OK.
4. יש ללחוץ לחיצה ימנית על הפוליסי שיצרנו, ולבחור באפשרות Edit.
5. כעת יש שתי אפשרויות להגדרת הסקריפט.
ניתן להגדיר אותו תחת Computer Configuration - בצורה זו הסקריפט ירוץ עם ההפעלה מחדש של המחשב, וההתקנה תרוץ עם הרשאות אדמין - ללא צורך של התערבות המשתמש. דרך זו מומלצת, אך ייתכן והיא תגרום לאיטיות קלה בהפעלה מחדש של המחשב רק בפעם הראשונה - לצורך ההתקנה הראשונית.
כדי לעשות זאת, תחת Computer Configuration הרחיבו את Windows Settings, לאחר מכן את Scripts Startup/Shutdown, ולחצו לחיצה כפולה על Startup. -
6. יש ללחוץ על הכפתור Add.
7. לחצו על Browse.
8. כעת עליכם לעבור לתיקיית ESET המשותפת דרך נתיב הרשת, בחרו בסקריפט ההתקנה, ולחצו על Open.
9. שימו לב שהנתיב לסקריפט חייב להופיע בתור נתיב רשת לתיקייה המשותפת. לחצו על OK.
10. לסיום לחצו על OK.
11. במידה ואתם מעוניינים להגדיר את ההפצה ב-User Login ולא ב-Computer Startup, הרחיבו את User Configuration, לאחר מכן את Policies, את Windows Settings ו-Scripts Logon/Logoff, ולחצו לחיצה כפולה על Logon.
בצעו את אותן הפעולות שמתוארות בסעיפים 6-10.
עבור הגנה על שרת Exchange:
-
- התקנה על שרתי Exchange
-
במידה וברשותכם רישיון של ESET ל-Mail Security עבור שרתי Exchange, כדי להתקין את ה-Agent יש להיכנס לתיקיית ESET\Tools ולהריץ את הקובץ epi_win_live_installer.bat על השרת Exchange.
-
לאחר מכן יש להתקין את Mail Security ע"פ המדריך הבא.
מעבר לשימוש ב-KISS, ניתן להפיץ מרחוק את האנטי-וירוס במספר דרכים נוספות.
-
- הפצה מרחוק בעזרת ESET Deployment Tool
-
במידה ואתם מעוניינים לבצע הפצה יזומה (לא להמתין להפעלה מחדש של המחשבים) תוכלו להשתמש בכלי ה-Deployment Tool של ESET.
יש לעשות זאת לפי ההסבר הבא
-
- הפצת התקנה למערכות הפעלה Mac ו-Linux
-
ה-ESET KISS מסייע בהפצה למחשבי Windows בלבד, הפצה למחשבי Mac / Linux מתבצעת בצורה שונה.
יש לעשות זאת לפי ההסבר הבא
שלב 5 מתוך 5: הגדרת דו"חות והתראות מומלצות
שלב זה הוא שלב אופציונלי אך מומלץ מאוד.
על מנת שממשק הניהול יוכל לשלוח התראות למייל יש להגדיר תחילה שימוש בשירות SMTP.
1. יש להיכנס לממשק הניהול, וללחוץ על More, ללחוץ על Server Settings, ולהרחיב את Advanced Settings.
2. תחת SMTP Server הגדירו את שירות ה-SMTP בו אתם משתמשים (בדוגמא למטה הגדרות של 365).
לחצו על Send test email כדי לוודא שההגדרות תקינות.
3. הזינו כתובת אליה תשלח הודעת בדיקה ולחצו על Send.
4. יש לוודא שההודעה נשלחה בהצלחה.
לאחר שהגדרתם שירות SMTP, תוכלו להגדיר התראות שיישלחו בזמן אמת (לדוגמא במידה ומתגלה איום) או דוחות עם נתונים על הארגון.
-
- התראה על איום שלא נוקה בסריקה
-
התראה זו תשלח במידה ורצה סריקה על המחשב שלא הצליחה מסיבה כלשהי לנקות את האיום.
1. לחצו על Notifications, לאחר מכן לחצו לחיצה שמאלית על ההתראה המסומנת, ובחרו באפשרות Edit.
2. הדליקו את המתג של Enabled ולחצו על Distribution.
3. סמנו את Send Email, הזינו כתובת מייל אליה תרצו שההתראה תישלח, ולחצו על Finish.
-
- התראה על קובץ זדוני שהתגלה
-
התראה זו תישלח במידה והתגלה קובץ זדוני מסוג Trojan / Worm/ Virus / Application.
1. לחצו על Notifications, לאחר מכן לחצו לחיצה שמאלית על ההתראה המסומנת, ובחרו באפשרות Edit.
2. הדליקו את המתג של Enabled ולחצו על Distribution.
3. סמנו את Send Email, הזינו כתובת מייל אליה תרצו שההתראה תישלח, ולחצו על Finish.
-
- התראה על מודולים לא עדכניים
-
התראה זו תישלח במידה ובארגון יש יותר מ-5% קליינטים עם מודולים לא עדכניים.
1. לחצו על Notifications, לאחר מכן לחצו לחיצה שמאלית על ההתראה המסומנת, ובחרו באפשרות Edit.
2. הדליקו את המתג של Enabled ולחצו על Distribution.
3. סמנו את Send Email, הזינו כתובת מייל אליה תרצו שההתראה תישלח, ולחצו על Finish.
