說明書 NOD32 ESET ANTIVIRUS FOR KERIO CONTROL

[. . . ] 6 環境概要 (網路結構) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2. 2. 1 安裝之前 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2. 2. 2 安裝. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2. 2. 3 安裝 ERA 伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2. 2. 3. 1 安裝 ERA 主控台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2. 2. 3. 2 如何啟用和配置映像 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 65 8. 2 工作類型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 停止 ERA 伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 8. 2. 1 啟動 ERA 伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 8. 2. 2 資料庫移轉 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 8. 2. 3 資料庫備份 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 8. 2. 4 資料庫還原 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 8. 2. 5 刪除表格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 8. 2. 6 安裝新的授權金鑰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 8. 2. 7 修改伺服器配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 8. 2. 8 5. 管理用戶端電腦 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 工作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 配置工作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 5. 1. 1 指定掃描工作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 5. 1. 2 立即更新工作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 9. 2 常見的錯誤代碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 使用 ESET Remote Administrator 以遠端安裝 9. 2. 1 ESET Smart Security 或 ESET NOD32 Antivirus 時所顯示的錯誤訊息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 9. 2. 2 era. log 中常見的錯誤代碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 9. 3 如何診斷 ERAS 發生的問題？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 提示及秘訣 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 10. 1 10. 2 10. 3 10. 4 10. 5 排程器. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 移除現有設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 用戶端 XML 配置的匯出及其他功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 筆記型電腦的組合更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 使用 ERA 安裝第三方產品. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 7. 7. 1 7. 2 7. 3 ESET Remote Administrator 伺服器 (ERAS) 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 安全性標籤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 [伺服器維護] 標籤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 映像伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 新增個別用戶端工作站至清單中。輸入 IP 位址或用戶端的名稱。可同時新增其他用戶端。 4. 2. 4 登入/電子郵件遠端安裝 登入和電子郵件遠端安裝方法非常類似。這兩者之間唯一的差異只在於將 einstaller. exe 代理程式傳遞至用戶端工作站的 方式。ERA 允許代理程式透過登入腳本或電子郵件來執行。einstaller. exe 代理程式也可以單獨使用，並透過其他方法來執行 (如需相關資料，請參閱第 4. 2. 5 節＜自訂遠端安裝＞)。 相較於在使用者登入時自動執行登入腳本，電子郵件方法需要使用者方面的介入，使用者必須從電子郵件附檔中啟動 einstaller. exe 代理程式。如果重複啟動，則 einstaller. exe 並不會觸發另一個 ESET 用戶端解決方案的安裝。如需相關資料， 請參閱第 4. 2. 6 節＜避免重複安裝＞。 您可以使用文字編輯器或其他專屬工具，從登入腳本插入呼叫 einstaller. exe 代理程式的文字行。同樣地，您也可以利用任 何電子郵件用戶端，以電子郵件附檔的方式傳送 einstaller. exe。無論使用何種方法，請確定您使用正確的 einstaller. exe 檔案。 若要啟動 einstaller. exe，目前登入的使用者不一定需要具備系統管理員的身分。代理程式會從 ERAS 採用所需的系統管理 員使用者名稱/密碼/網域。如需相關資料，請參閱本章結尾。 在登入腳本中輸入 einstaller. exe 的路徑： • • • • • • • 從 [遠端安裝] 標籤中，按一下 [匯出…]，然後選取要安裝的類型及套件名稱。 按一下 [資料夾] 旁的 … 按鈕，然後選取將儲存 einstaller. exe 檔案的網路目錄。 在 [共用] 欄位中，確定路徑正確無誤，必要時也可進行編輯。 按一下 [腳本資料夾] 旁的 … 按鈕，然後選取腳本所在的資料夾，並且在必要時修改遮罩 ([檔案])。 在 [檔案] 區段中，選取將插入文字行 (呼叫 einstaller. exe) 的檔案。 按一下 [匯出至登入腳本]，以插入文字行。 按一下 [編輯 >>] 可修改文字行的位置，按一下 [儲存] 按鈕可儲存文字行的位置。 32 圖 4-6：匯出安裝程式至資料夾/登入腳本對話視窗 將代理程式 (einstaller. exe) 附加到電子郵件中： • • • • • • 按一下 [遠端安裝] 標籤的 [電子郵件…]，然後選取要安裝的類型及套件名稱。 按一下 [收件人…]，從通訊錄選取位址 (或插入個別位址)。 在對應的欄位中輸入主旨。 將訊息輸入於 [內容]。 如果您想要傳送 . zip 壓縮檔形式的代理程式，請勾選 [以 . zip 檔案傳送壓縮檔] 選項。 按一下 [傳送] 即可傳送訊息4。 圖 4-7：透過電子郵件傳送 ESET 安裝程式對話視窗 進行遠端安裝程序期間，會進行 ERAS 的反向連線，而且代理程式 (einstaller. exe) 會採用 [遠端安裝] 標籤中 [設定電子郵 件和登入腳本的預設登入] 設定的設定值。 4 此功能使用在 ERAS 中定義的 SMTP 參數。 33 圖 4. 8 按一下 [登入. . . ] 可指定要執行套件安裝之帳戶的使用者名稱和密碼。這必須是具有系統管理員權限的帳戶或網域系統管理 員帳戶。 各個服務 (ERAS) 重新啟動後，便會捨棄在 [登入. . . ] 對話視窗中插入的值。 4. 2. 5 自訂遠端安裝 遠端安裝 ESET 用戶端解決方案並不需要使用 ERA 工具。最後，最重要的一環是將 einstaller. exe 檔案傳遞到用戶端工作站 並加以執行。 若要啟動 einstaller. exe，目前登入的使用者需要具備系統管理員的身分。代理程式會從 ERAS 採用所需的系統管理員使用 者名稱/密碼/網域。如需相關資料，請參閱本章結尾。 取得 einstaller. exe 檔案的方式如下： • • • • 從 [遠端安裝] 標籤中，按一下 [匯出…]，然後選取要安裝的類型及套件名稱。 按一下 [資料夾] 旁的 […] 按鈕，並選取將匯出 einstaller. exe 的目錄。 按一下 [匯出至資料] 按鈕。 使用解壓縮的 einstaller. exe 檔案。 附註： 如果有可能提供安裝所需的系統管理員權限，您便可以使用「使用預先定義的 XML 配置直接安裝」。此時系統會使 用 /qn 參數 (3. x 版) 或 /silentmode 參數 (2. x 版) 來啟動 . msi 套件。這些參數將會執行安裝，而不會顯示使用者介面。 進行遠端安裝程序期間，會進行 ERAS 的反向連線，而且代理程式 (einstaller. exe) 會採用 [遠端安裝] 標籤中 [設定電子郵 件和登入腳本的預設登入] 設定的設定值。 圖 4-9 按一下 [登入. . . ] 可指定要執行套件安裝之帳戶的使用者名稱和密碼。這必須是具有系統管理員權限的帳戶或網域系統管理 員帳戶。 如果您在目標工作站上手動啟動 einstaller. exe 代理程式，則將以下列方式來處理遠端安裝： • einstaller. exe 代理程式會傳送要求給 ERAS (TCP 連接埠 2224) • ERAS (利用新的代理程式) 啟動新的推送安裝來安裝對應套件 (透過共用 admin$ 來傳送)5。接著，新的代理程式會透過 TCP/IP 通訊協定開始從 ERAS 下載套件。 系統將會啟動安裝套件，並套用 ERAS 中所定義帳戶下的相關 . xml 參數 ([登入…] 按鈕) 4. 2. 6 避免重複安裝 代理程式成功完成遠端安裝程序之後，便會立即以旗標標記遠端用戶端，以防止重複安裝相同的安裝套件。該旗標會寫入 至下列登錄機碼： HKEY_LOCAL_MACHINE\Software\ESET\ESET Remote Installer 如果 einstaller. exe 代理程式中所定義套件的「類型」與「名稱」符合登錄檔中的資料，程式便不會執行安裝。如果重複啟動 . exe agent 代理程式，此程序能防止在目標工作站上重複安裝。 附註：遠端推送安裝方法會忽略這個登錄機碼。 5 代理程式會等待 ERAS 傳出的回應 (透過共用 admin$ 傳送套件)。如果沒有傳回任何回應，則代理程式將嘗試下載安裝套件 (透過 TCP/IP 連接埠 2224)。 在此情況下，在 ERAS 的 [遠端安裝] > [登入. . . ] 中所指定的系統管理員使用者名稱和密碼不會傳送出來，而代理程式會嘗試在目前的使用者帳號中安 裝套件。在 Microsoft Windows 9x/Me 作業系統上無法使用系統管理共用，因此代理程式會自動將 TCP/IP 直接連線到伺服器。 34 ERAS 提供其他等級的防護功能來防止重複安裝，當安裝程式建立 ERAS (TCP 2224) 的反向連線時，系統便會執行此功能。 如果出現與工作站相關的錯誤訊息，或安裝已經成功完成，則系統便會拒絕任何其他的安裝嘗試。 代理程式會將下列錯誤記錄到安裝程式防護記錄中，此檔案位於 %TEMP %\einstaller. log： 狀態 20 001：伺服器 'X:2224' 要求結束 ESET 安裝程式。 圖 4-10 圖 4. 11 若要避免 ERAS 拒絕重複安裝，您必須移除 [遠端安裝] 標籤上的相關輸入項。為刪除這類項目，請按一下滑鼠右鍵，並選 取內容功能表中的 [清除] 選項。 4. 3 在企業環境中安裝 在大型網路中部署程式時，務必使用能在網路中每台電腦上執行遠端程式安裝的工具。 透過群組原則進行安裝 在 Active Directory 環境中，您可藉由「群組原則」安裝完美解決此工作。安裝所使用的是 MSI 安裝程式，此程式會透過 「群組原則」直接發送給連接至該網域的所有用戶端。 若要配置網域控制器以在登入之後自動於每個工作站上安裝 ESET Smart Security 或 ESET NOD32 Antivirus，處理程序如下： 1) 在您的網域控制器上建立一個共用資料夾。所有工作站都應該具備此資料夾的「讀取」權限。 2) 將 ESET Smart Security 或 ESET NOD32 Antivirus 安裝套件 (. msi) 複製到這個資料夾。 3) 將要套用到程式的 xml 配置檔案插入到相同的資料夾。該檔案應命名為 cfg. xml。若要建立配置檔案，您可以使用 ESET 配置編輯器。如需相關資料，請參閱第 3. 7 節＜ESET 配置編輯器＞。 4) 按一下 [開始] > [程式集] > [系統管理工具] > [Active Directory 使用者和電腦]。 5) 以滑鼠右鍵按一下網域名稱，並選取 [內容] > [群組原則] > [編輯] > [使用者配置]。 6) 以滑鼠右鍵按一下 [軟體設定]，並選取 [新增] > [套件]。 35 7) 在 [開啟] 視窗中，指定共用安裝套件的 UNC 路徑，亦即 \\computer_name\path\installation_package. msi，並按一 下 [開啟]。請勿使用 [瀏覽] 選項來尋找安裝套件，因為其會顯示為區域網路路徑，而不是 UNC 網路路徑。 8) 在下一個對話視窗中，選取 [已指派] 選項。然後按一下 [確定] 以關閉視窗。 遵循上述步驟之後，安裝程式套件將會安裝在進入該網域的每台電腦上。若要將套件安裝至目前已經開機並在執行中的電腦， 使用者應該先登出然後再次登入。 如果您要讓使用者能夠接受或拒絕安裝套件，請在步驟 8 中選取 [發行] 而不要選取 [已指派]。則下次使用者登入時，套件 將會新增至 [控制台] > [新增或移除程式] > [新增程式] > [從您的網路新增程式。接著，使用者將可以使用此套件從該位置 中執行進一步的安裝作業。 36 5. 管理用戶端電腦 5. 1 工作 您可以使用各種類型的工作來配置與管理正確連接至 ERAS 並顯示在 ERAC 中的用戶端工作站。工作可套用於多個用戶端， 也可套用於一個或多個用戶端群組。若要將工作套用於一個或多個用戶端工作站，請在 [用戶端] 窗格中以滑鼠右鍵按一下 用戶端。然後按一下 [新工作]，並選取要執行的工作類型。此外，按一下 [處理方法] > [新工作]，即可從 ERAC 主功能表開 啟工作精靈。 接下來的四個小節將概述用戶端工作站的個別工作類型，並針對每個工作類型附上範例情境。 5. 1. 1 配置工作 配置工作可用來修改用戶端工作站的防護設定。這些工作可透過配置套件傳遞給用戶端工作站，其中包含修改參數。 在 ESET 配置編輯器中建立或從用戶端匯出的 . xml 檔案也與配置工作相容。以下範例顯示如何建立變更目標電腦使用者名 稱及密碼的配置工作。此範例未使用的參數和選項將接續在本章之後。 首先，指定要將工作傳送至的工作站。在 ERAC 的 [用戶端] 窗格中標記這些工作站。 1) 在任何選取的工作站上按一下滑鼠右鍵，然後從內容功能表選取 [新工作] > [配置工作]。 2) [用戶端配置] 視窗將開啟，這是一個配置工作精靈。您可以按一下 [建立. . . ]、[選取. . . ] 或 [自範本建立. . . ]，以指定配置檔 案的來源。 3) 按一下 [建立] 按鈕，以開啟 ESET 配置編輯器，然後指定要套用的配置。瀏覽至 ESET Smart Security 的 [ESET NOD32 Antivirus] > [更新模組] > [設定檔] > [設定] > [使用者名稱] 及 [密碼]。 4) 插入 ESET 提供的使用者名稱及密碼，然後按一下右側的 [主控台]，以返回工作精靈。套件的路徑會顯示在 [建立/選取 配置] 欄位中。 5) 如果您已經有包含所需修改的配置檔案，則按一下 [選取]，並找出該檔案，然後將它指派給配置工作。 6) 外，您可以按一下 [自範本建立]，並選取 . xml 檔案，然後進行必要的變更。 7) 若要檢視或編輯您已建立或編輯的配置檔案，請按一下 [檢視] 或 [編輯] 按鈕。 8) 按一下 [下一步]，以移至 [選取的用戶端] 視窗，其中顯示工作將傳遞至的工作站。在這個步驟中，您可以新增其他用戶 端 (用戶端群組或所有用戶端)。按一下 [新增特別項目]，可新增所選取伺服器或群組的用戶端。按一下 [下一步] 繼續進 行下一個步驟。 9) 最後一個對話視窗 [工作報告] 會顯示配置工作的預覽。輸入工作的名稱或說明 (選用)。[以下時機後套用工作] 選項可用 於將工作設定為在指定日期/時間後執行。[若成功完成，由清除自動刪除工作] 選項會刪除已成功傳遞給目標工作站的所 有工作。 • 按一下 [完成] 即可登錄工作執行。 5. 1. 2 指定掃描工作 [新工作] 內容功能表選項包含兩種指定掃描。第一個選項是 [指定掃描 (已停用清除)] – 這個掃描只會建立防護記錄，而不 會針對感染的檔案採取任何動作。第二個選項是 [指定掃描 (已啟用清除)]。 除了 [掃描但不清除] 選項之外，[指定掃描] 視窗包含這兩種的預設設定。這個選項會決定掃描器是否應該清除感染的檔案。 以下範例顯示如何建立指定掃描工作。 • [配置區段] 下拉式功能表可供您選取 ESET 產品的類型，以供定義指定掃描工作之用。選取安裝在目標工作站的產品。 • [從指定掃描中排除此區段] 選項會針對選取的產品類型停用視窗中所有的設定 – 這些設定不會套用於 [配置區段] 中所定 義產品類型的工作站。因此，具有指定產品的所有用戶端都會排除在收件者清單之外。如果系統管理員將用戶端標記為 收件者，並使用上述參數排除產品，則工作將失敗，而且會顯示無法套用工作的通知。若要避免這種情況，系統管理員 應該永遠指定將指派工作的用戶端。 • 在 [設定檔名稱] 中，您可以選取將針對工作套用的掃描設定檔。 37 • 在 [要掃描的磁碟] 區段中，選取將掃描的用戶端電腦磁碟類型。如果選取項目過於籠統，可以新增要掃描的物件確切路 徑。使用 [路徑] 欄位或 [新增路徑] 按鈕都可以這麼做。選取 [清除歷程] 可還原要掃描的磁碟原始清單。 • 按一下[下一步] 即可繼續進行標示為 [選取用戶端] 及 [工作報告] 的對話視窗，這兩個對話視窗與配置工作精靈中的對話 視窗相同 (請參閱第 5. 1. 1 節＜配置工作＞)。 在用戶端工作站上完成工作執行後，結果便會傳回 ERAS，而且在 [掃描防護記錄] 窗格中即可檢視這些結果。 5. 1. 3 立即更新工作 此工作的目的是強制更新目標工作站 (病毒資料庫更新及程式元件更新)。以滑鼠右鍵按一下 [用戶端] 窗格中任何的工作站， 然後選取 [新工作] > [立即更新]。如果您要將某些類型的 ESET 安全性產品排除在工作之外，請在 [配置區段] 下拉式功能表 中選取這些類型，然後選取 [從更新工作中排除此區段] 選項。若要使用特定的更新設定檔進行「立即更新」工作，請啟用 [選取設定檔名稱] 選項，然後選取所需的設定檔。您也可以選取 [使用者定義的設定檔名稱] 並輸入設定檔名稱；如果按一下 [清除歷程]，欄位的值便會回復為預設值。然後按一下 [下一步] 即可繼續進行 [選取用戶端] 及 [工作報告] 對話視窗。如需 這些對話視窗的說明，請參閱第 5. 1. 1 節＜配置工作＞。 5. 1. 4 SysInspector 腳本工作 SysInspector 腳本工作可讓您在目標電腦上執行腳本。按一下 [選取] 以選擇要在目標工作站上執行的腳本。按一下 [檢視 及編輯] 以調整腳本。按一下 [下一步] 即可繼續進行 [選取用戶端] 及 [工作報告] 對話視窗，這兩個對話視窗與配置工作精 靈中的對話視窗相同。在用戶端工作站上完成工作後，資訊便會顯示在 [工作] 窗格的 [狀態] 直欄。 5. 2 群組 ERAC 提供多項工具和功能，讓使用者能輕鬆管理用戶端和事件。其中的功能之一就是「群組編輯器」；這在套用過濾器或 建立工作時相當有用，因為這些活動可同時套用至用戶端的整個群組中。 個別的用戶端也可使用 ERA 中的「群組編輯器」區分成群組。按一下 [工具] > [群組編輯器]，或按 CTRL + G，便可從 ERAC 主功能表中存取「群組編輯器」。 [群組編輯器] 視窗分為兩個部分。左方是現有群組的清單，右方則是用戶端清單。右方的窗格會顯示指派至左方已選取群 組的用戶端。同樣的，所有由此視窗底部按鈕代表的作業，會在目前選取的群組或用戶端上執行。 若要建立新群組，請按一下 [建立]，並選取群組名稱。我們建議您使用表示電腦所在位置的名稱 (例如業務部、支援部等)。 [說明] 欄位可用來進一步說明群組 (如，「辦公室 C 中的電腦」，以及「總部工作站」等)。新建立和新配置的群組也可於 稍後加以編輯。 按一下 [確定] 以建立群組。其名稱和說明將出現在左方，且 [新增/移除] 按鈕將變為作用中。按一下此按鈕以新增您要包括 在群組中的用戶端 (可透過按兩下或將其自左方拖放至右方)。若要尋找並新增用戶端，請在 [快速搜尋] 欄位中輸入完整或 部份的用戶端名稱，系統接著便會顯示包括輸入字串的所有用戶端。若要標記所有用戶端，請按一下 [全選]。按一下 [重新 整理] 按鈕，以檢查最近連接至伺服器的任何新用戶端。 若手動選取用戶端對您來說並不方便，您可按一下 [新增特別項目. . . ] 以獲得更多選項。 選取 [新增已載入用戶端窗格的用戶端] 選項，以新增所有顯示在用戶端區段的用戶端，或選取 [僅限已選取項目] 選項。若要 新增已屬於另一個伺服器或群組的用戶端，請從左方和右方的清單中加以選取，然後按一下 [新增]。 按一下 [新增/移除] 對話視窗中的 [確定]，以返回至主要的 [群組編輯器] 視窗。新群組應會與其對應的用戶端一同顯示。 按一下 [新增/移除] 按鈕以自群組中新增或移除用戶端，或按一下 [刪除] 按鈕以刪除整個群組。按一下 [複製到剪貼簿] 按鈕， 以複製用戶端和群組清單。 「群組編輯器」中的最後一個選項會根據 Active Directory 所定義的結構，來使用自動群組建立 (含對應的用戶端)。請注 意，僅在具備 Active Directory 的系統上安裝 ERAS 時，您才可以使用此選項。若要採用 Active Directory 結構，請按一下 [與 Active Directory 同步處理]。您也可以在 [用戶端] 標籤上按一下滑鼠右鍵，並選取 [新增至群組. . . ]，以將用戶端新增 至群組。 警告：如果您使用 [完整同步化] 選項，系統將刪除現有的所有群組！否則將加入新群組和群組中的用戶端，同時保留現有 的群組。 38 您可以使用配置編輯器來完成 Active Directory 同步化的詳細配置 ([ESET Remote Administrator] > [ERA 伺服器] > [設 定] > [作用中目錄] > [由群組/作用中目錄同步化建立])。依預設，系統只會同步化電腦安全性群組和電腦組織單位，但是， 您可以勾選所需的選項以新增其他 Active Directory 物件。 5. 2. 1 過濾 如果 [用戶端] 窗格中出現太多用戶端，您可以使用過濾選項。如需相關資料，請參閱第 3. 3 節＜資料過濾＞。 5. 3 原則 原則在許多方面都與配置工作類似，不同之處在於原則不是傳送到一或多個工作站的單次工作。相反地，原則可持續維護 ESET 安全性產品的特定配置設定。換句話說，「原則」就是強迫用戶端使用的配置。 5. 3. 1 基本原則和作業 選取 [工具] > [原則管理程式. . . ] 即可存取原則管理程式。左側的「原則樹狀結構」會列出位於個別伺服器的原則。右側則分 為四個區段，分別是 [原則設定]、[原則配置]、[原則處理方法] 和 [全域原則設定]，這些區段中的選項可供系統管理員管理 和設定原則。 「原則管理程式」的主要功能包括建立、編輯和移除原則。用戶端會接收來自 ERAS 的原則。ERAS 能夠使用可繼承相互設 定或上層伺服器原則設定的多個原則。 採用上層伺服器原則的系統稱為 「繼承」；由於繼承而建立的原則稱為「合併原則」。繼承是根據上層/下層原則進行，這 表示下層原則會繼承上層原則的設定。 5. 3. 2 如何建立原則 預設安裝只會實作標示為「伺服器原則」的原則。在 [原則設定] > [原則名稱] 欄位中可變更這個名稱。從 ESET 配置編輯器 即可設定原則：按一下 [編輯]，然後定義所選取 ESET 安全性產品 (或用戶端) 的參數。所有的參數都會以完整的結構加以區 分，而且編輯器中所有的項目都會有指派的圖示。用戶端只會採用作用中參數 (以藍色圖示標記)。所有非作用中 (呈現灰色) 的參數會在目標電腦上保持不變。相同的道理會套用於繼承和合併的原則，下層原則只會採用上層原則的作用中參數。 ERA 伺服器允許多重原則 ([新增下層原則])。下列選項可用於新原則：原則名稱、上層原則 的連結以及配置 (配置可以空 白、從現有原則複製或從 xml 配置檔案複製)。只有在您目前透過 ERAC 連接的伺服器上，才能建立原則。若要在下層伺服 器建立原則，必須直接連接至該伺服器。 各個原則都有兩個基本屬性 – 「覆寫任何下層原則」和「向下複製原則」。這些屬性會定義下層原則如何採用作用中配置 參數。 覆寫任何下層原則 – 將所有作用中參數強制套用於繼承的原則。如果下層原則不同，則合併的原則將包含來自上層原則的 所有作用中參數 (即使已針對下層原則啟用 [覆寫. . . ] 也是如此)。來自上層原則的所有非作用中參數都將針對下層原則做調 整。如果未啟用 [覆寫任何下層原則] 屬性，下層原則設定的優先順序會高於產生合併原則的上層原則設定。Such merged policies will be applied to other policies, if they are linked to it as their parent policy. 向下複製原則 – 啟用下層原則的複製 – 也就是能夠做為下層伺服器的預設原則，並且可指派給連接至下層伺服器的用戶端。 39 圖 5-1：原則繼承的範例 5. 3. 3 虛擬原則 除了已建立的原則以及從其他伺服器複製而來的原則之外 (請參閱第 7. 4 節〈複製〉)，「原則樹狀結構」也包含「預設的上 層原則」和「預設的主要用戶端原則」，也就是所謂的虛擬原則。 預設的「上層原則」位在「全域原則設定」的上層伺服器中，並且已選取成為 [下層伺服器的預設原則]。如果未複製伺服 器，則這個原則會空白 (後文將詳細說明)。 預設的「主要用戶端原則」位在「全域原則設定」的指定伺服器 (而非上層伺服器) 中，並且在「預設」原則中已選取為主 要用戶端的。這會自動強制套用於指定 ERAS 的新連接用戶端 (主要用戶端)，除非這些用戶端已採用「原則規則」的其他某 些原則，才不會強制套用。(如需詳細資訊，請參閱第 5. 3. 6 節〈將原則指派至用戶端〉)。虛擬原則是相同伺服器上其他原 則的連結。 5. 3. 4 原則與 ESET 配置編輯器 圖 5-2 40 「原則樹狀結構」中的每一項原則的左側都有一個指派的圖示。圖示的意義如下： 1) 藍色圖示的原則表示目前在指定伺服器中出現的原則。藍色圖示有三個子群組： 白色標記的圖示 – 在該伺服器建立的原則。此外，白色標記圖示不能向下複製，這表示他不是從下層伺服器指派給用 戶端，也不做為下層伺服器的上層原則。這些原則只能在該伺服器的範圍內套用 - 即套用至與該伺服器連線的用戶端。他也 可以做為同一伺服器的另一個原則的上層原則。 藍色標記的圖示 – 原則也是在該伺服器上建立，但 [覆寫任何下層原則] 選項為選取 (如需更多資訊，請參閱第 5. 3. 2 節 〈如何建立原則〉)。 、 向下箭頭的圖示 – 這些是複製的原則 – [向下複製原則] 已啟用。您可以在指定的伺服器和其下層伺服器套用這些原則。 2) 灰色圖示的原則發源自其他伺服器。 向上箭頭的圖示 – 這些原則是從下層伺服器複製而來。這些圖示僅可供檢視，或者使用 [刪除原則子目錄] 選項刪除。此選 項不會刪除原則本身，而是將原則從「原則樹狀結構」中移除。因此在複製後可以重新出現。若您不想從下層伺服器顯示 原則，可使用 [隱藏未在原則樹狀結構中使用的外來伺服器原則] 選項。 向下箭頭的圖示 – 這些原則是從上層伺服器複製而來。他們可以做為其他原則的「上層」原則、指派到用戶端 ([新增用 戶端]) 或者移除 ([刪除原則])。請注意，刪除的動作只會刪除原則 - 當從上層伺服器複製完成後，原則會再次出現 (除非已 在上層伺服器啟用 [向下複製原則])。 附註：若要在結構中移動和指派原則，您可以選取或以滑鼠拖放上層原則。 5. 3. 5 檢視原則 「原則樹狀結構」中的原則可以透過按一下 [檢視. . . ] 或 [檢視已合併項目. . . ]，直接在配置編輯器中檢視。 檢視已合併項目 – 顯示因繼承的結果而產生的合併原則 (繼承的過程會將上層原則的設定套用進來)。此選項按預設為顯示， 因為目前的原則已經是合併的原則。 檢視 – 在原始的原則與上層原則合併之前，顯示原始原則。 在下層伺服器，從上層伺服器繼承而來的原則有以下選項： 檢視已合併項目 – 如上所述 檢視覆寫部分 – 此按鈕適用有 [覆寫任何下層原則] 屬性的原則。此選項僅顯示原則的強制部分 - 即在下層原則中優先順序 高於其他設定的部分。 檢視非強制部分 – 其效果與「檢視覆寫部分」相反 – 僅顯示未套用 [覆寫…] 的作用中項目。 5. 3. 6 指派原則至用戶端 有兩種主要規則可用於將原則指派至用戶端： 1) 可指派任何本機原則或任何從上層伺服器複製的原則至本機 (主要) 用戶端。 2) 可指派任何具有「向下複製」屬性的本機原則或任何從上層伺服器複製的原則至從下層伺服器複製的用戶端。您不能強 迫這些原則採用其主要伺服器的原則 (若要這麼做，您必須以 ERAC 連接該伺服器)。 其重要的功能就是可指派每一個用戶端的原則 (不包含原則的用戶端並不存在)。同時，您不可移除用戶端的原則。您也不 可使用其他原則來取代。如果您不想將任何原則的配置套用至用戶端，則需建立空白的原則。 41 5. 3. 6. 1 預設的主要用戶端原則 其中一種指派原則的方法是自動應用「預設的主要用戶端原則」，這是可在「全域原則設定」中設定的虛擬原則。這個原 則會套用於主要用戶端，也就是直接連接至該 ERAS 的用戶端。如需更多資訊，請參閱第 5. 3. 3 節〈虛擬原則〉。 5. 3. 6. 2 手動指派 有兩種方法可手動指派原則：以滑鼠右鍵按一下 [用戶端] 窗格中的用戶端，然後從內容功能表中選取 [新增原則]，或者在 「原則管理程式」中按一下 [新增用戶端] > [新增/移除]。 在「原則管理程式」中按一下 [新增用戶端]，即可開啟 [新增/移除] 對話視窗。用戶端會以伺服器/用戶端的格式列在左側。 如果選取 [向下複製原則]，則視窗也會列出從下層伺服器複製的用戶端。使用拖放方法選取要接收原則的用戶端，或按一下 [>>] 將用戶端移至 [已選取項目]。新選取的用戶端會標示黃色星號，而且按一下 [<<] 或 [C] 按鈕即可從 [已選取項目] 移除。 按一下 [確定] 以確認選取項目。 附註： 進行確認後，如果您重新開啟 [新增/移除] 對話視窗，則無法從 [已選取項目] 移除用戶端，而只能取代原則。 您也可以使用「新增特別項目」功能新增用戶端，這可以一次新增所有的用戶端、新增選取的用戶端，或新增已選取伺服 器或群組的用戶端。 5. 3. 6. 3 原則規則 「原則規則」 工具允許管理員以更完整的方式自動將原則指派給工作站。用戶端連接到伺服器後，會立即套用規則；規則的 優先順序高於「預設的主要用戶端原則」和手動指派。只有在用戶端不屬於任何目前的規則時，「預設的主要用戶端原則」 才適用。同樣地，如果套用的手動指派原則與原則規則相衝突，原則規則強制進行的配置將優先適用。 「原則管理程式」有原則規則的標籤，從其中可建立和管理原則規則。建立和應用的程序與電子郵件用戶端之中原則建立和 管理的程序相當類似：各個原則都有一個或多個條件，規則在清單中的排列位置愈高，重要性就愈高 (規則可上下移動位置)。 若要建立新規則，請按一下 [新增. . . ] 按鈕。然後輸入 「名稱」、「說明」、「用戶端過濾參數」 和 「原則」 (原則將套用 於符合指定條件的任何用戶端)。 若要設定過濾條件，請按一下 [編輯] 按鈕。 可用的條件包括： (不是) 「來自」主要伺服器 – 若 (不是) 位於主要伺服器 (不) 是新用戶端 – 若 (不) 是新用戶端 (沒) 有新旗標 – 適用於有/沒有 [新用戶] 旗標的用戶端。 主要伺服器 (不) 在內 (指定) – 如果主要伺服器名稱包括/不包括 ERA 群組在內 (指定) – 若用戶端隸屬於該群組. . . ERA 群組不在內 (指定) – 若用戶端隸屬於該群組. . . [. . . ]