פירוט

במדריך הבא נתאר את שלבי ההקמה והחיבור של לקוח חדש לממשק ניהול מאוחד.

תוכן

הוספת רישיון הלקוח ל-ESET Business Account

יצירת משימת אקטיבציה לקבוצת הלקוח

הפצה לתחנות

הטמעת מוצרים נוספים

כעת נעבור לשלב ההפצה.
אנחנו ממליצים להיעזר בחבילת ה-ESET KISS, חבילת הסקריפטים שפותחה בארץ עבור הפצה אוטומטית ברשת, והסרה של אנטי-וירוסים מתחרים.

ה-ESET KISS יסייע בהפצה אוטומטית למחשבים, וניתן להשתמש בו גם בתחנות בהם למשתמשים אין אדמין מקומי על התחנה.

• • הפצה בעזרת ה-ESET KISS

  • כעת נעבור לשלב ההפצה.
    אנחנו ממליצים להיעזר בחבילת ה-ESET KISS (מומלץ בעיקר לרשתות Domain), חבילת הסקריפטים שפותחה בארץ עבור הפצה אוטומטית ברשת, והסרה של מוצרי הגנה מתחרים.

    1. הורידו את חבילת ה-KISS שתפיץ את המוצר Endpoint Security בקישור הבא.

    הערה: אם קיימת תיקיית ESET בכונן C, יש לשנות את שמה ל-ESET.old לפני ההרצה של ה-KISS.

    יש להפעיל את הקובץ לאחר סיום ההורדה בלחיצה ימנית ו-Run as Administrator.

    במסך הראשי לחצו על Install.

    

    2. יש להזין את מפתח הרישיון בשדה License Key - שלב זה אינו חובה אך מאוד מומלץ לצורך ביצוע אקטיבציה אוטומטית.

    הערה: יש לוודא כי אין רווחים מיותרים, אחרת האקטיבציה לא תעבוד.

    

    ה-KISS ייצור את תיקיית ESET הכוללת את כל הסקריפטים וקבצי התקנה לרשת וישתף אותה.

    3. לאחר סיום התקנת ה-KISS יש ליצור סקריפט להפצת ה-Agents מתוך ממשק הניהול החדש.

    יש להיכנס לממשק הניהול, וללחוץ על לשונית Installers.

    

    כעת צריך ליצור קובץ הגדרות בשם install_config.ini.

    4. לחצו על Create Installer.

    

    5. לחצו על Use GPO or SCCM for Deployment.

    חשוב - אם אתם מעוניינים שלאחר ההתקנה העמדה תיכנס באופן אוטומטי לתיקייה מסויימת, עליכם לבחור את התיקייה תחת Parent Group.

    לדוגמא - משווקים או לקוחות שמנהלים מספר חברות תחת ממשק אחד, מומלץ לבחור בתיקייה של החברה עבורה אתם מבצעים את ההתקנה.

    חשוב - וודאו שבשורת Server Hostname מופיעה כתובת מולה תחנות יוכלו לתקשר.

    לדוגמא - משווקים או לקוחות שמנהלים מספר חברות תחת ממשק אחד, וודאו שמופיעה הכתובת החיצונית של השרת שלכם.

    לדוגמא - אם אתם יוצרים את קובץ ההתקנה עבור מחשב שנמצא ב-Workgroup, מומלץ לרשום כתובת IP במקום שם.

    לסיום לחצו על Finish.

    

    6. לחצו על קובץ הקונפיגורציה משמאל.

    

    7. לחצו OK לשמירת קובץ ההגדרה install_config.ini.

    

    8. יש להעתיק את הקובץ install_config.ini שהורדנו בסעיף הקודם, ולשמור אותו בתוך תיקיית C:\ESET\Installers
    

    

    9. כעת ניתן לעבור להפצה עצמה.

    • • דגשים במקרה ועוברים ממוצר מתחרה
      • 1. יש לוודא שלא מוגדרת סיסמת הגנה להסרת ההתקנה, אם כן, יש להסירה דרך הניהול של המוצר.
        2. יש לוודא שהסקריפט מצליח להסיר את המוצר המתחרה ולהתקין במקומו את ה-ESET על ידי הפעלה לוקאלית של הסקריפט בתחנה ברשת.
        3. במקרה והסקריפט לא מצליח להסיר את המוצר המתחרה, יש ליצור קשר עם התמיכה הטכנית.

    מומלץ לפני ההפצה לכולם להריץ ידנית בתחנה אחת כדי לראות שהכל תקין והתחנה מתקשרת מול הניהול.

    • • הפצה דרך GPO

      • 1. יש להיכנס לשרת Domain Controller, ללחוץ על התחל ו-Run, להקליד gpmc.msc וללחוץ OK.

        

        2. יש ללחוץ לחיצה ימנית על הדומיין ולבחור באפשרות Create a GPO in this domain, and Link it here...

        

        3. יש לתת שם לפוליסי שאנחנו יוצרים, וללחוץ על OK.

        

        4. יש ללחוץ לחיצה ימנית על הפוליסי שיצרנו, ולבחור באפשרות Edit.

        

        5. כעת יש שתי אפשרויות להגדרת הסקריפט.
        ניתן להגדיר אותו תחת Computer Configuration - בצורה זו הסקריפט ירוץ עם ההפעלה מחדש של המחשב, וההתקנה תרוץ עם הרשאות אדמין - ללא צורך של התערבות המשתמש. דרך זו מומלצת, אך ייתכן והיא תגרום לאיטיות קלה בהפעלה מחדש של המחשב רק בפעם הראשונה - לצורך ההתקנה הראשונית.
        כדי לעשות זאת, תחת Computer Configuration הרחיבו את Windows Settings, לאחר מכן את Scripts Startup/Shutdown, ולחצו לחיצה כפולה על Startup.

      • 

        6. יש ללחוץ על הכפתור Add.

        

        7. לחצו על Browse.

        

        8. כעת עליכם לעבור לתיקיית ESET המשותפת דרך נתיב הרשת, בחרו בסקריפט ההתקנה, ולחצו על Open.

        

        9. שימו לב שהנתיב לסקריפט חייב להופיע בתור נתיב רשת לתיקייה המשותפת. לחצו על OK.

        

        10. לסיום לחצו על OK.

        

        11. אם אתם מעוניינים להגדיר את ההפצה ב-User Login ולא ב-Computer Startup, הרחיבו את User Configuration, לאחר מכן את Policies, את Windows Settings ו-Scripts Logon/Logoff, ולחצו לחיצה כפולה על Logon.
        בצעו את אותן הפעולות שמתוארות בסעיפים 6-10.

        

     

    • • התקנה על שרתי Exchange

      • אם יש ברשותכם רישיון של ESET ל-Mail Security עבור שרתי Exchange יש להיכנס לתיקיית ESET\Tools ולהריץ את הקובץ epi_win_live_installer.bat על השרת Exchange כדי להתקין את ה-Agent, ולאחר מכן להוריד ולהריץ את קובץ ההתקנה:

        32 ביט

        64 ביט

    מעבר לשימוש ב-KISS, ניתן להפיץ מרחוק את מוצר ההגנה במספר דרכים נוספות. 

    • • הפצה מרחוק בעזרת ESET Deployment Tool

      • אם אתם מעוניינים לבצע הפצה יזומה (לא להמתין להפעלה מחדש של המחשבים) תוכלו להשתמש בכלי ה-Deployment Tool של ESET.

        יש לעשות זאת לפי ההסבר הבא.

     

    • • הפצת התקנה למערכות הפעלה Mac ו-Linux

      • ה-ESET KISS מסייע בהפצה למחשבי Windows בלבד, הפצה למחשבי Mac / Linux מתבצעת בצורה שונה.

        יש לעשות זאת לפי ההסבר הבא

• • הגדרות ראשוניות לחומת האש - תחנות קצה - חשוב!

  • 1. יש להיכנס לממשק הניהול, ללחוץ על Policies, ולאחר מכן על New Policy.

    

    2. יש לתת שם לפוליסי Firewall Configuration (Endpoint).

    חשוב: משווקים שמשתמשים בממשק ניהול מאוחד ומנהלים מספר לקוחות, יש לתת לפוליסי שם לפי שם החברה של הלקוח.
    לדוגמא,"Customer 1 Firewall Configuration (Endpoint)"

    לאחר מכן, יש ללחוץ על Settings.

    

    3. בתפריט יש לבחור במוצר ESET Endpoint for Windows, ללחוץ על Protections.

    יש להרחיב את Network Access Protection, ובשורת Network Connection Profiles ללחוץ על Edit.

    

    4. בחלון שנפתח יש ללחוץ על כפתור Add.

    

    5. יש לתת שם לרשת,
    
    בשורת Always trusted addresses יש להזין את טווחי כתובות ה-IP של הרשת. אם יש כמה, ניתן להפריד בפסיק.

    חשוב - אם משתמשים בארגון ב-VPN, יש להכניס את טווח הכתובות שה-VPN מחלק לאחר החיבור.

    יש להפעיל את Trusted connection וללחוץ על Add בשורת Activators.

    

    6. Activators הם מזהים ייחודיים של הרשת שלנו.

    אנחנו ממליצים על הוספה של DNS Suffix + Default Gateway.

    לזיהויים נוספים תוכלו להוסיף DHCP לדוגמה.

    אם יש כמה (לדוגמא רשתות שונות), ניתן להפריד את הכתובות בפסיק.

    אם מדובר ברשת מסוג Workgroup, ניתן להגדיר רק את ה-Gateway.

    בסיום יש ללחוץ על OK.

    

    הערה: שימו לב שהתחנות מושכות את הגדרות DNS ו-Default Gateway, אחרת ההגדרה לא תעבוד.

    7. יש ללחוץ על OK.

    

    8. יש ללחוץ על Save.

    

    9. יש ללחוץ על Assign ואז על Assign.

    

     10. יש לבחור את קבוצת All וללחוץ על OK.

    הערה: משווקים בניהול מאוחד, יש לבחור את הקבוצה הסטטית של הלקוח הספציפי.

    

    11. לסיום יש ללחוץ על Finish.

    

• • הגדרות ראשוניות לחומת האש - שרתים - חשוב!

  • 1. יש להיכנס לממשק הניהול, ללחוץ על Policies, ולאחר מכן על New Policy.

    

    2. יש לתת שם לפוליסי Firewall Policy (Servers).

    חשוב: משווקים שמשתמשים בממשק ניהול מאוחד ומנהלים מספר לקוחות, יש לתת לפוליסי שם לפי שם החברה של הלקוח.
    לדוגמא,"Customer 1 Firewall policy (Servers)"

    לאחר מכן, יש ללחוץ על Settings.

    

    3. בתפריט יש לבחור במוצר ESET Server/File Security for Microsoft Windows Server (V6+), ללחוץ על Network Access Protection.

    בשורת Network Connection Profiles ללחוץ על Edit.

    

    4. בחלון שנפתח יש ללחוץ על כפתור Add.

    

    5. יש לתת שם לרשת.
    
    בשורת Always trusted addresses יש להזין את טווחי כתובות ה-IP של הרשת. אם יש כמה, ניתן להפריד בפסיק.

    חשוב - אם משתמשים בארגון ב-VPN, יש להכניס את טווח הכתובות שה-VPN מחלק לאחר החיבור.

    יש להפעיל את Trusted connection וללחוץ על Add בשורת Activators.

    

    6. Activators הם מזהים ייחודיים של הרשת שלנו.

    אנחנו ממליצים על הזנה של DNS Suffix + Default Gateway.

    לזיהויים נוספים תוכלו להוסיף DHCP לדוגמה.

    במקרים שיש כמה (לדוגמא רשתות שונות), ניתן להפריד את הכתובות בפסיק.

    אם מדובר ברשת מסוג Workgroup, ניתן להגדיר רק את ה-Gateway.

    בסיום יש ללחוץ על OK.

    

    הערה: שימו לב שהשרתים מושכים את הגדרות DNS ו-Default Gateway, אחרת ההגדרה לא תעבוד.

    7. יש ללחוץ על OK.

    

    8. יש ללחוץ על Save.

    

    9. יש ללחוץ על Assign ואז על Assign.

    

     10. יש לבחור את קבוצת All וללחוץ על OK.

    הערה: משווקים בניהול מאוחד, יש לבחור את הקבוצה הסטטית של הלקוח הספציפי.

    

    11. לסיום יש ללחוץ על Finish.

    

מומלץ להתקין את רכיב ה-Rogue Detection Sensor על שרת או מחשב אחד בכל רשת של לקוח שאתם מתקינים.
רכיב זה מבצע סריקה פסיבית לרשת, ויציג לכם בממשק הניהול תחנות לא מוגנות.
התקנת רכיב ה-Rogue Detection Sensor מתוארת בקישור הבא

בשלב זה הסתיימה ההטמעה של מוצר האבטחה ברשת הלקוח.

בחלק זה במדריך נסביר כיצד להטמיע את שאר המוצרים הכלולים בחבילה.

הטמעת ESET Zero-Day Protection - Cloud Sandbox

 מוצר ה-Sandbox של ESET מבצע ניתוח של קבצים בענן של ESET ומספק את ההגנה המיטבית עבור איומי Zero-Day.

• • שלב 1: יצירת משימת אקטיבציה

  • כעת ניצור משימת אקטיבציה לרישיון החדש, וניעזר בקבוצה דינמית - אליה ייכנסו באופן אוטומטי עמדות ללא רישיון LiveGuard Advanced פעיל.

    תחילה הורידו וחלצו את הטמפלט לקבוצה מהקישור הבא.

    1. לחצו על More, לאחר מכן על Dynamic Group Templates ולחצו על Import.
    

    2. לחצו על Choose file to upload.

    

    3. בחרו בקובץ שחילצתם מתוך ה-ZIP שהורדתם בתחילת ההסבר - Not Activated ESET LiveGuard Product.dg.

    

    4. לחצו על Import.

    

    5. לחצו על תפריט Computers.

    לחצו על גלגל השיניים ליד הקבוצה עבורה תרצו להפעיל את הרישיון.

    לדוגמא, כדי להפעיל על כל הארגון, לחצו על הקבוצה All, ובחרו באפשרות New Dynamic Group.

    חשוב - במידה ואתם מנהלים כמה חברות או רישיונות או לקוחות עם רישיונות LiveGuard Advanced שונים (לדוגמא משווקים בניהול מאוחד),
    צרו את הקבוצה הדינמית תחת הקבוצה של הלקוח הרלוונטי, ולא תחת קבוצת All.

    

    6. תנו שם לקבוצה Not Activated LiveGuard Product ולחצו על Template.

    

    7. לחצו על Choose Existing.

    

    8. בחרו בטמפלט Not Activated ESET LiveGuard Product ולחצו על OK.

    

    9. לחצו על Finish.

    

    10. כעת לחצו על גלגל השיניים לצד הקבוצה הדינמית החדשה שיצרתם (קבוצת Not Activated LiveGuard Product), סמנו את Tasks, ובחרו ב-New Task.

    

    11. תנו שם למשימה ESET LiveGuard Advanced Activation, בתפריט Task בחרו ב-Product Activation ולחצו על Settings.

    

    12. לחצו על שורת הרישיון כדי לבחור ברישיון המתאים.

    

    13. בחרו ברישיון ESET LiveGuard Advanced for Endpoint, ולחצו על OK.

    

    14. לחצו על Trigger, בחרו ב-Joined Dynamic Group Trigger ולחצו על Finish.

    

    15. כעת נריץ את אותה המשימה באופן חד פעמי על מנת לוודא כי המשימה תרוץ על כל המחשבים הנמצאים בקבוצה (במידה וקיימים).

    יש ללחוץ על גלגל השיניים המופיע ליד הקבוצה שיצרתם (Not Activated LiveGuard Product), לחצו על Tasks ובחרו ב-Last used tasks, שם יש לבחור במשימה שיצרתם ולאחר מכן בחלון שקופץ ללחוץ על RUN.

    

• • שלב 2: הגדרות פוליסי

  • כעת לאחר שהוספנו את הרישיון לממשק והגדרנו משימת אקטיבציה, ניצור פוליסי מתאימים אשר יפעילו את יכולות ההגנה.

    1. לחצו על Policies ועל ESET Endpoint for Windows.

    לחצו על 3 הנקודות של פוליסי ESET LiveGuard - Optimal protection - Enable ואז Assign Groups.

    

    2. בחרו בקבוצת All ולחצו על OK.

    

    אחת היכולות החשובות של ה-LiveGuard היא יכולת ההגנה הפרו-אקטיבית, הגנה זו מופעלת בברירת מחדל יחד עם הפוליסי. 
    הגנה זו מאפשרת לחסום את אפשרות הרצה של קבצים עד לסיום הניתוח - כדי למזער פוטנציאל נזק. הגנה זו יכולה לפעול על:

    • קבצים שמורידים מהדפדפן
    • קבצים שמורידים מה-Outlook
    • קבצים שמחלצים מארכיונים
    • קבצים שמריצים מהתקני USB

     
    3. חשוב - הפוליסי שהשתמשנו בו מעלה, הוא עבור תחנות קצה ווינדוס.
    כדי להפעיל את ההגנה עבור מוצרים נוספים, עליכם לבצע את אתה הפעולה עבור שאר המוצרים הרלוונטיים:

    ESET Server/File Security for Windows Server - עבור שרתי ווינדוס רגילים.
    ESET Mail Security for Microsoft Exchange - עבור שרתי Exchange - רישיון מיוחד נדרש!
    ESET Endpoint for Linux - עבור תחנות קצה לינוקס.
    ESET Server/File Security for Linux - עבור שרתי לינוקס.

    

• • שלב 3: בדיקת תקינות

  • כדי לבדוק שהמערכת מתפקדת בצורה תקינה ניתן ליזום שליחה של קבצים למערכת ה-Sandbox של LiveGuard Advanced.

    1. בתחנה בה הפוליסי חל והרישיון כבר פעיל יש ללחוץ לחיצה ימנית על קובץ כלשהו (לא משנה איזה - זוהי רק בדיקת תקינות), לסמן את Advanced options ולבחור ב-submit files for analysis.

     

    2.לחצו על Next.

    

    3. לחצו על Send.

    

    4. תוכלו לבדוק מקומית לאן נשלחה הדגימה - לחצו על Log Files, ובחרו בלוג Sent Files.

    וודאו שבעמודת Sent To רשום LiveGuard.

    שימו לב - במוצר Endpoint בתחנות קצה, כפתור ה-Log Files יהיה תחת Tools במסך הראשי.

    

    5. גם בממשק הניהול תוכלו לצפות בכל הקבצים שנשלחו תחת More ולחיצה על Submitted Files.

    

הטמעת ESET Full Disk Encryption

מוצר ה-Full Disk Encryption מאפשר להצפין את הדיסק במחשבים כדי להגביר את רמת האבטחה וההגנה על המידע הרגיש בארגון.

• • הטמעת ESET Full Disk Encryption

  • שימו לב! בתוכנת ההצפנה ניתן להשתמש רק עם מחשבים שמשתמשים בתצורת UEFI, המוצר לא נתמך על תצורת Legacy BIOS!

    1. כדי לבחור את המחשב עליו תרצו להתקין ולהפעיל את ההצפנה, עברו אל לשונית Computers, לחצו על המחשב הרצוי ובחרו באפשרות Enable Encryption.

    

    2. החלון הבא אחראי להטמעת כל תהליך ההצפנה.

    בברירת מחדל הפוליסי הנבחר תחת Configuration Policy מצפין את כל הדיסק, אם תרצו תוכלו לבחור בפוליסי אחר שיצפין רק את ה-Boot Disk.

    אשרו את הסכם המשתמש ולחצו על Start Encryption.

    

    3. בסיום ההתקנה ייפתח חלון ה-GUI של מוצר ההצפנה, ומבקש הפעלה מחדש לעמדה.

    

    4. לאחר הפעלה מחדש, המוצר התממשק בהצלחה וייפתח באופן אוטומטי החלון הבא הדורש הפעלה מחדש נוספת.

    

    5. לאחר הפעלה מחדש נוספת ייפתח באופן אוטומטי חלון בו המשתמש יכול להגדיר את הסיסמה עבור ה-Preboot.

    את הסיסמה הזו המשתמשים יצטרכו להקליד בכל עליה מחדש של המערכת.

    

    6. כעת יתחיל באופן אוטומטי תהליך ההצפנה.