說明書 NOD32 ESET REMOTE ADMINISTRATOR SERVER 3

[. . . ] ESET Remote Administrator 安裝手冊 與 使用指南 目錄 1. 1. 1 簡介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 程式結構. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1. 1. 1 ERA 伺服器 (ERAS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1. 1. 2 ERA 主控台 (ERAC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2. 安裝 ERA 伺服器 和 ERA 主控台 . . . . . . . . . . . . . . . . . . 5 2. 1 需求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 硬體需求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2. 1. 1 使用的連接埠 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2. 1. 2 基本安裝指南 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 38 5. 1. 3 5. 1. 4 SysInspector 腳本工作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 5. 2 群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 過濾. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 5. 2. 1 5. 3 原則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 基本原則和作業. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 5. 3. 1 如何建立原則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 5. 3. 2 虛擬原則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 5. 3. 3 原則與 ESET 配置編輯器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 5. 3. 4 檢視原則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 5. 3. 5 指派原則至用戶端 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 5. 3. 6 預設的主要用戶端原則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 5. 3. 6. 1 手動指派 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 5. 3. 6. 2 原則規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 5. 3. 6. 3 刪除原則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 5. 3. 7 特別設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 5. 3. 8 原則佈署情況 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5. 3. 9 各個伺服器都是獨立的單位， 5. 3. 9. 1 而且原則都是在本機定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 各個伺服器都是各別管理， 5. 3. 9. 2 而且原則都是在本機管理， 但是「預設的上層原則」 都是從上層伺服器繼承而來. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 從上層伺服器繼承原則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 5. 3. 9. 3 僅指派來自上層伺服器的原則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5. 3. 9. 4 使用原則規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5. 3. 9. 5 使用本機群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5. 3. 9. 6 5. 4 通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 通知管理程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 5. 4. 1 透過 SNMP 陷阱進行通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5. 4. 1. 1 規則建立 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5. 4. 2 用戶端的詳細資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 5. 5 5. 1 9. 疑難排解. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 將 ESET Remote Administrator 安裝至 9. 1. 1 Windows Server 2000/2003 時發生問題 . . . . . . . . . . . . . . . . . 67 9. 1. 2 GLE 錯誤代碼的意義為何？. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 網域/工作群組 (不) 在內 (指定) – 若用戶端隸屬於/不隸屬於該網域. . . 電腦名稱遮罩 (指定) – 如果電腦名稱為 . . . . IP 遮罩 (指定) – 若用戶端隸屬於由 IP 位址和遮罩定義的群組… IP 範圍 (指定) – 若用戶端隸屬於由 IP 範圍定義的群組… (沒) 有定義的原則 (指定) – 若用戶端有 (或沒有) 採用該原則 … 若要移除原則規則，按一下 [原則管理程式] 視窗中的 [刪除] 按鈕。如果要立即套用所有原則，請按一下 [立即執行原則規則]。 42 5. 3. 7 刪除原則 和規則建立一樣，只有您目前連接至的伺服器上出現的原則才能夠刪除。若要刪除其他伺服器的原則，您必須透過 ERAC 直接連接至這些伺服器。 附註：原則可連結至其他伺服器或原則 (做為上層原則、做為下層伺服器的預設原則、做為主要用戶端的預設原則等)，因此， 在某些情況下必須取代原則，而非刪除原則。若要檢視刪除及取代的選項，請按一下 [刪除原則] 按鈕。下述選項可用與否， 需視指定原則在原則階層中的位置而定。 含目前已刪除原則之主要用戶端的新原則 – 允許您選取主要用戶端的新原則，以取代將刪除的原則。主要用戶端可採用主 要用戶端的「主要用戶端的預設原則」，以及來自相同伺服器的其他原則 (可由手動指派 [新增用戶端]，或由「原則規則」 強制執行)。您也可改為使用來自指定伺服器的任何原則，或使用複製原則。 目前已刪除原則之子原則的新上層原則 (若存在) – 如果要刪除的原則是其他子原則的上層原則，則也必須取代該原則。來自 該伺服器的原則、從上層伺服器複製的原則或 N/A 旗標 (標示不會將任何取代原則指派給該子原則) 都可取代該原則。強烈 建議即使沒有任何子原則，也務必指派取代原則。在刪除程序期間，如果有其他使用者將子原則指派給該原則，則會導致 衝突。 含目前已刪除原則或已修改原則之複製用戶端的新原則 – 您可在其中針對從下層伺服器複製的用戶端選取新原則，這些都 是套用於您目前所刪除的原則。As a replacement you can use any policy from the given server, or a replicated policy. 下層伺服器的新預設原則 – 如果刪除的原則做為虛擬原則使用 (請參閱〈全域原則設定〉)，則必須以其他原則取代該原則 (如需更多資訊，請參閱第 5. 3. 3 節〈虛擬原則〉)。您也可改為使用來自指定伺服器的任何原則，或使用 N/A 旗標。 下層伺服器的新預設原則 – 如果刪除的原則做為虛擬原則使用 (請參閱〈全域原則設定〉)，則必須以其他原則取代該原則 (如需更多資訊，請參閱第 5. 3. 3 節〈虛擬原則〉)。您可改為使用來自相同伺服器的原則。 如果您針對原則停用 [向下複製] 選項，並且按一下[確定] 和 [套用]，或者您從「原則樹狀結構」選取其他原則，也會開啟相 同的對話方塊。這將啟動「含目前已刪除原則或已修改原則之複製用戶端的新原則」或「下層伺服器的新預設原則」項目。 5. 3. 8 特別設定 有兩個額外的原則不位於「原則管理程式」中，而是位於[工具] > [伺服器選項] > [其他設定] > [編輯進階設定] > [ESET 配 置編輯器] > [ERA 伺服器] > [設定] > [原則]。 執行原則的間隔 (分鐘)： 此功能適用於指定的間隔中的原則。建議您使用預設設定。 停用原則使用： 啟用此選項，取消將原則套用至伺服器。當原則發生問題時，建議您使用此選項。若您想要避免將原則套用到某些用戶端， 較好的解決方法是指派空白的原則。 43 5. 3. 9 原則佈署情況 5. 3. 9. 1 各個伺服器都是獨立的單位，而且原則都是在本機定義 對於這個情況，假設某個小型網路包含一個主要伺服器及兩個下層伺服器。各個伺服器都有多個用戶端。在各個用戶端上， 都至少有一個或多個已建立的原則。下層伺服器位在公司的分處辦公室；這兩部伺服器都由本機管理員管理。各個管理員 都可決定將哪些原則指派給伺服器內的哪些用戶端。主要管理員不會干涉本機管理員所做的配置，而且不會從伺服器將任 何原則指派給用戶端。從伺服器原則的角度而言，這表示伺服器 A 沒有任何「下層伺服器的預設原則」。這也表示伺服器 B 和伺服器 C 都有 N/A 旗標或做為上層原則的其他本機原則 (除了設定為上層原則的「預設上層原則」之外)。(例如，伺服器 B 和 C 沒有任何從上層伺服器指派而來的上層原則)。 圖 5-3 44 5. 3. 9. 2 各個伺服器都是各別管理，而且原則都是在本機管理，但是「預設的上層原則」都是從上層伺服器繼承而來 先前情況中的所有配置都適用於此情況。然而，伺服器 A 已啟用「下層伺服器的預設原則」 ，而且下層伺服器的原則會從 主要伺服器繼承「預設的上層原則」配置。在此情況中，本機管理員有相當大的自主權能夠設定原則。雖然下層伺服器上的 「下層原則」可繼承 「預設的上層原則」，但是本機管理員仍可透過本身的原則修改它。 圖 5-4 45 5. 3. 9. 3 從上層伺服器繼承原則 此情況的網路模型與前兩種情況相同。此外，主要伺服器及「預設的上層原則」都包含其他原則，這些都是向下複製原 則，而且是下層伺服器上的上層原則。對於原則 1 (請參閱圖 5-5)，已啟用 [強制覆寫任何下層原則] 屬性。本機管理員仍有 相當大的自主權，但是主要管理員可定義下向複製哪些原則，並且定意其中哪些原則做為本機原則的上層原則。「強制覆 寫」屬性 … 指定在選取的原則中設定的配置覆寫在本機伺服器設定的配置。 圖 5-5 46 5. 3. 9. 4 僅指派來自上層伺服器的原則 此情況代表原則管理的集中式系統。只有在主要伺服器上，才會建立、修改和指派用戶端的原則，而且本機管理員沒有任何 權限可修改這些原則。所有下層伺服器都只有一個空白的 基本原則 (預設稱為 「伺服器原則」)。這個原則也可做為「預設的 主要用戶端上層原則」。 圖 5-6 5. 3. 9. 5 使用原則規則 下一個範例是關於根據原則規則自動指派原則。這個方法具有互補作用，應該搭配先前所述的情況使用，而不可單獨使用。 如果各個伺服器是由本機管理員進行管理，則各個管理員可針對用戶端建立個別的原則規則。在此情況下，原則規則之間 不可有任何衝突存在，例如，上層伺服器根據原則規則將原則指派給用戶端，而下層伺服器同時根據本機原則規則指派個 別的原則。 因此，集中式系統能夠大幅降低衝突的可能性，因為整個管理程序都會在主要伺服器進行。 5. 3. 9. 6 使用本機群組 在某些情況下，將原則指派給用戶端的群組可補強先前的各種情況。以手動方式或使用 [與 Active Directory 同步處理] 選項 都能夠建立群組 (請參閱第 5. 2 節〈群組〉)。若要這麼做，可以使用單次指派選項 ([新增用戶端] > [新增特別項目])，或透過 「原則規則」自動遞送原則。 47 5. 4 通知 通知系統和網路管理員重要事件，是網路安全性和完整性的一項重要元件。針對錯誤或惡意程式碼的早期警告，可避免稍 後因解決問題而損失大量時間和金錢。接下來的三個小節將概述 ESET 所提供的通知選項。 5. 4. 1 通知管理程式 若要開啟 [通知管理程式] 主視窗，按一下 [工具] > [通知管理程式]。 圖 5-7：通知管理程式視窗 主視窗分成兩個部份。視窗上半部的 [通知規則] 區段包含現有 (預先定義或使用者定義) 規則的清單。必須在此區段中選取 規則，才能產生通知訊息。依照預設，未啟用任何通知。因此，建議您檢查一下您的規則是否為作用中。 規則清單下的功能按鈕包括 [儲存] (儲存修改至規則)、 [另存新檔]. . . (以新名稱將修改儲存至規則)、[刪除]、[預設] (回復規 則的預設設定)、以及 [重新整理] (以預設規則更新清單)。 視窗下半部的 [選項] 區段提供目前選取之規則的相關資訊。第 5. 4. 2 節〈建立規則〉會使用規則範例來說明此區段的所有欄 位和選項。 您可以在每個規則中指定條件 (也稱為「觸發」)， 以啟用規則。可用觸發如下： • • • • • 用戶端狀態 – 若是部分用戶端發生問題，將執行規則 伺服器狀態 – 若是部分用戶端發生問題，將執行規則 結束的工作事件 – 規則將在指定的工作完成時執行 新用戶端事件 – 如果有新用戶端連接至伺服器 (包括複製用戶端)，規則就會執行 新防護記錄事件 – 如果某些記錄中出現指定的事件，規則就會執行 根據觸發的類型，可以啟動或停用其他規則選項，因此建議您在建立新規則時，先建立觸發項目。 [優先順序] 下拉式功能表可讓您設定規則優先順序。P1 優先順序最高，而 P5 優先順序最低。優先順序完全不會影響規則 功能。若要為通知訊息指派優先順序，可以使用 %PRIORITY % 變數。在 [優先順序] 功能表之下有個 [說明] 欄位。建議您 針對每個規則指定有意義的說明，例如「在偵測到入侵時提出警告的規則」。 48 只要系統偵測到特定用戶端的觸發事件且找到要執行的規則，就會套用用戶端過濾器。過濾器可以指派給任何與用戶端有關 的規則；若要進入用戶端過濾設定，請按一下 [用戶端過濾] 區段中的 [編輯]。在開啟的視窗中定義用戶端過濾參數。套用規 則時，只會將符合用戶端過濾條件的用戶端納入考量。過濾條件如下： • • • • • • • • • 「來自」主要伺服器 – 僅來自主要伺服器的用戶端；(也可以套用「不是來自」否定式) 主要伺服器在內 – 在輸出中包括主要伺服器 「有」新旗標 – 以「新」旗標標示的用戶端 (「沒有」的否定式也適用) ERA 群組在內 – 隸屬於特定群組的用戶端 網域/工作群組在內 – 隸屬於特定網域/工作群組的用戶端 電腦名稱遮罩 – 具備特定電腦名稱的用戶端 IP 遮罩 – 落在特定 IP 遮罩中的用戶端 IP 範圍 – 特定 IP 位址範圍內的用戶端 「有」定義的原則 – 已指派特定原則的用戶端 (也可以套用「沒有」否定式)。 指定通知規則的用戶端過濾器之後，按一下 [確定] 繼續處理規則參數。用戶端參數可定義用戶端或用戶端群組在執行通知 處理方法之前必須符合的條件。若要檢視可用的參數，請按一下 [參數] 區段的 [編輯] 按鈕。 參數的可用性須視所選取「觸發」類型而定。以下按「觸發」類型列出完整的參數清單。 下列參數可用於「用戶端狀態觸發」： • • • • 數量 – 啟動規則必須的客戶比率 任何防護狀態警告 – 在 [防護狀態] 項目值欄現的任何警告 防護狀態嚴重警告 – 在 [防護狀態] 直欄中發現的嚴重警告 病毒資料庫版本 – 病毒資料庫的問題 (3 個可能的值) – 先前 – 病毒資料庫版本是目前病毒資料庫的前一個版本 – 較舊或 N/A – 病毒資料庫版本比目前病毒資料庫的前幾個版本更舊 – 較新 – 病毒資料庫版本比伺服器上的病毒資料庫版本更新 上次連線警告 – 在指定的時段前建立上次連線 具有上次威脅事件 – [威脅] 直欄含有威脅警告 具有上次事件 – [上次事件] 直欄含有輸入項 有上次的防火牆事件 – 防火牆事件] 直欄含有防火牆事件輸入項 有新旗標 – 用戶端有「新」旗標 等待重新啟動 – 用戶端等待重新啟動 在上次掃描中發現威脅 – 上次掃描時在用戶端發現指定數量的威脅 在上次掃描中未清除的威脅 – 上次掃描時在用戶端發現指定數量的未清除威脅 • • • • • • • • 所有參數都可加以否定，但並非所有的否定都可使用。僅適合否定包含兩個邏輯值的參數：真和非真。例如，「有新旗標」 參數僅涵蓋「新」旗標的用戶端。否定參數便包含未標示該旗標的所有用戶端。 以上所有條件都可按照邏輯加以組合及反轉。[於以下時機套用規則] 的下拉式功能表提供兩種選擇： • 達到所有選項 – 只有在達到所有指定的參數時，規則才會執行 • 達到任何選項 – 至少達到一個條件，規則就會執行 下列參數可用於「伺服器狀態觸發」： • 已更新伺服器 – 伺服器為最新狀態 • 未更新伺服器 – 伺服器在超過指定的時間內一直不是最新狀態 • 伺服器防護記錄 – 伺服器防護記錄包含下列輸入項目類型： – 錯誤 – 錯誤訊息 – 錯誤 + 警告 – 錯誤訊息及警告訊息 49 – 依類型過濾防護記錄輸入項目 – 啟用此選項可指定要在伺服器防護記錄中檢視的錯誤及警告項目。請注意，為了使通 知正常運作，必須將防護記錄冗贅 ([工具] > [伺服器選項] > [記錄]) 設定為對應的層級。否則，這類通知規則永遠都無 法在伺服器防護記錄中找到觸發。下列防護記錄項目可供使用： – – – – – – – – – – – – – – – – – – – ADSI_SYNCHRONIZE – Active Directory 群組同步化 CLEANUP – 伺服器清除工作 CREATEREPORT – 指定報告產生 DEINIT – 伺服器關機 INIT – 伺服器啟動 INTERNAL – 內部伺服器訊息 LICENSE – 授權管理 MAINTENANCE – 伺服器維護工作 NOTIFICATION – 通知管理 PUSHINST – 推送安裝 RENAME – 內部結構重新命名 REPLICATION – 伺服器複製 POLICY – 原則管理 POLICYRULES – 原則規則 SCHEDREPORT – 自動產生的報告 SERVERMGR – 內部伺服器執行緒管理 SESSION – 伺服器的網路連線 THREATSENSE – ThreatSense. NET - 統計資訊提交 UPDATER – 伺服器更新及映像建立 其中一個實用的參數範例是 UPDATER，當「通知管理程式」在伺服器防護記錄中找到與更新和映像建立相關的問題時， 這可傳送通知訊息。 • 授權到期 授權將在指定的天數內到期，或者授權已經到期。選取[僅在此造成授權中用戶端數量低於伺服器資料庫中實際 用戶端數量時提出警告] 選項，可在到期將造成用戶端數量少於目前的已連接用戶端數量時傳送通知。 • Limit license – 如果可用用戶端的百分比低於指定的值 下列參數可用於「新防護記錄事件」觸發： • 防護記錄類型 選取 [事件防護記錄]、[威脅防護記錄] 或 [防火牆防護記錄] • 防護記錄層級 指定防護記錄的防護記錄項目層級 – 層級 1 – 嚴重警告 – 僅嚴重錯誤 – 層級 2 – 以上 + 警告 – 與 1 相同，加上警告通知 – 層級 3 – 以上 + 正常 – 與 2 相同，加上資訊性通知 – 層級 4 – 以上 + 診斷 – 與 3 相同，加上診斷通知 • 60 分鐘內發生 1, 000 – 輸入發生次數並選取時間長度，以指定傳送通知必須達到的事件頻率。預設頻率為 1 小時內 1, 000 次。 • 數量 – 用戶端數量 (絕對值或百分比) 其他觸發類型沒有任何特定參數。 如果符合指定的規則參數，則會自動執行系統管理員定義的處理方法。若要配置處理方法，請按一下 [處理方法] 區段的 [編輯. . . ]。處理方法編輯器提供下列選項： • • • • • 電子郵件 – 程式將規則的通知內文傳送到指定的電子郵件地址；輸入 [主旨] 並按一下 [收件人] 開啟通訊錄。 SNMP 陷阱 – 產生並傳送 SNMP 通知 (在伺服器) 執行 – 啟用此選項，並指定要在伺服器上執行的應用程式 記錄至 (伺服器的) 檔案 – 在指定的防護記錄檔案中產生防護記錄項目。此防護記錄的 [冗贅] 可加以配置。 記錄 – 將通知記錄至伺服器防護記錄；通知的「冗贅」可加以配置。 若要讓此功能正確運作，則必須在 ERA 伺服器中啟用記錄 ([工具] > [伺服器選項] > [記錄])。 50 通知格式可在 [通知管理程式] 主視窗底部的 [訊息] 方塊中編輯。您可以在文字中運用以下語法使用特殊變 數： %VARIABLE_NAME %。若要檢視可用變數的清單，請按一下 [顯示選項]。 • • • • • • • • • • • • • • • • • • • Server_Last_Updated – 上次更新伺服器的日期 Primary_Server_Name Rule_Name Rule_Description Client_Filter – 用戶端過濾器參數 Client_Filter_Short – 用戶端過濾器設定 (以簡短形式) Client_List – 用戶端的清單 已觸發 – 上次傳送通知的日期 (無重覆) Triggered Last – 上次傳送通知的日期 (含重覆) Priority – 通知規則優先順序 Log_Text_Truncated – 記錄啟用通知的文字 (縮短) Task_Result_List – 已完成工作的清單 Parameters – 規則參數 Last_Log_Date – 上次防護記錄的日期 License_Info_Merged – 授權資訊 (摘要) License_Info_Full – 授權資訊 (完整) License_Days_To_Expiry – 到期前的天數 License_Clients_Left – 讓用戶端能夠連接至伺服器的目前授權可用數量 Actual_License_Count – 目前連接至伺服器的用戶端數量 最後一個要指定的參數是時間和日期。規則可能會延遲一小時到三個月後才啟用。如果您想儘快啟用規則，請將 [以下時機 後啟用] 下拉式功能表設為 [儘快]。依預設，通知管理程式每 10 分鐘啟用一次，因此如果您選取 [儘快]，則工作應該會在 10 分鐘內執行。如果在此功能表中選取特定時段，就會在超過該時段之後自動執行處理方式 (前提是符合規則條件)。 [於以下時機每次發生後重覆] 功能表可讓您指定重覆執行處理方法的時間間隔。不過，還是必須符合啟用規則的條件。您可 以在 [伺服器] > [其他設定] > [編輯進階設定] > [ESET Remote Administrator] > [伺服器] > [設定] > [通知] > [通知處理 間隔 (分)] 中，指定伺服器檢查和執行作用中規則的時間間隔。 預設值是 10 分鐘。不建議降低此值，因為這樣可能會造成伺服器嚴重變慢。 依預設，[通知管理程式] 視窗包含預先定義的規則。若要啟用規則，請選取規則旁的核取方塊。可用的通知規則如下。如 果啟用這些規則且符合規則條件，規則就會產生防護記錄項目。 • 超過 10 % 的主要用戶端沒有連線 – 超過 10% 的用戶端未連接至伺服器的時間已經超過一週。規則會儘快執行。 • 超過 10 % 的主要用戶端屬於嚴重防護狀態 – 超過 10% 的用戶端產生「防護狀態嚴重警告」，同時這些用戶端未連接至 伺服器的時間已經超過一週。規則會儘快執行。 • 具防護狀態警告的主要用戶端 – 至少有一個具防護狀態警告的用戶端未連接至伺服器的時間已經至少超過一週 • 主要用戶端沒有連線 – 至少有一個用戶端未連接至伺服器的時間已經超過一週 • 具過期病毒資料庫的主要用戶端 – 具病毒資料庫但版本早於目前版本兩版以上的用戶端未與伺服器中斷連接的時間已經 超過一週 • 具嚴重防護狀態的主要用戶端 – 具嚴重防護狀態警告的用戶端未中斷連接的時間已經超過一週 • 病毒資料庫比伺服器新的主要用戶端 – 病毒資料庫比伺服器新的用戶端未中斷連接的時間已經超過一週 • 主要用戶端正在等待重新啟動 – 等待重新啟動的用戶端未中斷連接的時間已經超過一週 • 在電腦掃描中具有未清除入侵的主要用戶端 – 電腦掃描至少有一次無法清除用戶端入侵且該用戶端未中斷連接的時間已 經超過一週。規則會儘快執行。 • 已完成的工作 – 用戶端已經完成工作。規則會儘快執行。 • 新的主要用戶端 – 有新的用戶端連線至伺服器。規則會儘快執行。 • 新的複製用戶端 – 用戶端清單中有新的複製用戶端。規則會在一小時後執行。 • 可能的病毒爆發 – 所有用戶端中至少有 10% 的用戶端之用戶端威脅防護記錄項目在一小時內產生的嚴重警告超過 1, 000 次。 • 可能的網路攻擊 – 所有用戶端中至少有 10% 的用戶端之用戶端 ESET 個人防火牆防護記錄項目在一小時內產生的嚴重警 告超過 1, 000 次。 • 已更新伺服器 – 伺服器已經更新 • 未更新伺服器 – 伺服器超過五天未更新規則會儘快執行。 • 伺服器文字防護記錄中有錯誤 – 伺服器防護記錄包含錯誤項目。 51 • 授權到期 – 目前的授權將在 20 天內到期，而到期後的用戶端授權數量上限將低於目前的用戶端數量。規則會儘快執行。 • 授權限制 – 可用用戶端授權數量低於所有用戶端授權數量的 10%。 如果沒有另外指明，則所有規則都會執行並在 24 小時之後重複，且適用於主要伺服器和主要用戶端。 5. 4. 1. 1 透過 SNMP 陷阱進行通知 SNMP (簡易網路管理通訊協定) 是一種簡單且廣泛使用的管理通訊協定，適用於監控和識別網路問題。此通訊協定的其中 一個操作作業是傳送特定資料的「陷阱」。在 ERA 中，我們會使用「陷阱」傳送通知訊息。 若要有效執行「陷阱」工具，您必須在裝有 ERAS 的同一部電腦上正確安裝並配置 SNMP 通訊協定 ([開始] > [控制台] > [新增或移除程式] > [新增/移除 Windows 元件])。SNMP 服務應按照本文描述加以設定：http://support. microsoft. com/ kb/315154。在 ERAS 中，您必須啟動一項 SNMP 通知規則。 您可以在 SNMP 管理程式中檢視通知，且 SNMP 管理程式須連線至已匯入 eset_ras. mib 配置檔案的 SNMP 伺服器。該檔 案是 ERA 安裝中的標準元件，通常位於資料夾 C:\Program Files\ESET\ESET Remote Administrator\Server\snmp\。 5. 4. 2 規則建立 以下步驟說明當用戶端工作站的防護狀態發生問題時，如何建立可傳送電子郵件通知給系統管理員的規則。通知也可以儲 存至名為 log. txt 的檔案。 1) 將 [觸發類型] 下拉式功能表設為 [用戶端狀態] 2) 將 [優先順序]、[以下時機後啟用：]以及 [於以下時機每次發生後重覆：]選項保留為預先定義值。將自動把規則的優先順 序指派為 3，且於 24 小時後啟動。 3) 在 [說明] 欄位中，輸入「總部用戶端防護狀態通知」 4) 按一下 [用戶端過濾器] 區段中的 [編輯…]，並僅啟用 [ERA 群組在內] 區段規則條件。在此視窗的下半部按一下 [指定] 連結，並在新視窗中輸入 [總部]。按一下 [新增]，然後按一下 [確定] (兩次) 加以確認。如此便可指定規則僅套用至總部 群組的用戶端。 5) 進一步在 [參數] > [編輯…] 中指定規則參數。取消選取 [任何防護狀態警告] 以外的所有選項。 6) 繼續進行到 [處理方法] 區段，並按一下 [編輯. . . ] 按鈕。在 [處理方法] 視窗中，啟動 [電子郵件]，再指定電子郵件的收件者 ([收件人…]) 以及 [主旨]。然後選取 [記錄至檔案] 核取方塊，並輸入要建立的記錄檔案名稱和路徑。您可以選擇選取記錄 擋案的 [冗贅] 選項。按一下 [確定] 以儲存處理方法。 7) 最後，使用 [訊息] 文字區域來指定當規則啟動時將以電子郵件內文傳送的用語。範例：「用戶端 %CLIENT_LIST % 報告 防護狀態問題」。 8) 按一下 [另存新檔…] 為規則命名，例如「防護狀態問題」，並在通知規則清單中選取規則。 52 完成的規則應類似圖 5-8： 圖 5-8 通知規則範例 規則目前為作用中。如果總部群組中的用戶端保護狀態出現問題，將執行規則。系統管理員將收到含有附檔的電子郵件通 知，附檔中會包含問題用戶端的名稱。按一下 [關閉] 可結束通知管理程式。 5. 5 用戶端的詳細資訊 ERA 可讓您從用戶端工作站擷取執行程序、啟動程式等相關資訊。您可以用來擷取這些資訊的整合 ESET SysInspector 工 具會與 ERAS 直接整合。ESET SysInspector 可搭配其他實用的功能，來徹底檢查作業系統並建立系統防護記錄。若要開啟 此工具，請從 ERAC 主功能表中按一下 [工具] > [ESET SysInspector]。 如果特定用戶端發生問題，您可以向該用戶端要求 ESET SysInspector 防護記錄。若要執行這項操作，請在 [用戶端] 窗格 中以滑鼠右鍵按一下該用戶端，並選取 [要求資料 – 要求 SysInspector 資訊]。只有 4. x 版產品以及更新版本才能提供記 錄，舊版並未支援此功能。按一下 [防護記錄要求] 連結，以開啟顯示下列選項的新視窗： • 建立快照 (也在用戶端記錄結果防護記錄 – 將防護記錄副本儲存至用戶端電腦。 • 包括在指定時間前與上次快照的比較 – 顯示相較防護記錄；系統會合併目前防護記錄與先前可用的防護記錄，來建立相 較防護記錄。ERA 將選擇最接近指定日期的一份舊防護記錄。 按一下 [確定] 以取得所選防護記錄，並將其儲存至伺服器。若要開啟並檢視防護記錄，請按照下列步驟處理。 您可以在 [用戶端內容] – [SysInspector] 標籤中找到個別用戶端工作站的 ESET SysInspector 選項。此視窗分為三個部分： 頂端部分會顯示指定用戶端最新防護記錄的文字資訊。按一下 [重新整理] 以載入最新的資訊。 [要求選項] 視窗的中間部分與上述向用戶端工作站要求防護記錄程序中所顯示的視窗內容幾乎相同。使用 [要求] 按鈕可取 得用戶端的 ESET SysIspector 防護記錄。 53 底端部分包含以下按鈕： • 檢視 – 直接開啟 ESET SysInspector 中頂端部分所列出的防護記錄 • 另存新檔… – 將目前防護記錄儲存至檔案。[然後執行 ESET SysInspector Viewer 以檢視檔案] 選項會自動在防護記錄 儲存後開啟該防護記錄 (如同按一下 [檢視] 之後的動作)。 由於防護記錄檔案大小以及資料傳輸速度，本機用戶端有時候可能會減緩產生和顯示新防護記錄檔案的速度。指派給 [用戶 端內容] > [SysInspector] 中防護記錄的日期和時間即是傳送到伺服器的日期和時間。 54 6. [. . . ]