27 апр. 2015 г.

G Data Business Solutions. Развертывание клиентов

Перед началом сетевого развертывания клиентов убедитесь, что параметры безопасности по умолчанию настроены в соответствии с потребностями и текущей политикой. Модуль настройки клиентов в G Data Administrator может задавать настройки безопасности для всех клиентов сразу, либо распределяя их по группам.

Целевые компьютеры должны быть добавлены в G Data ManagementServer до того, как клиентское программное обеспечение будет развернуто на них. Это позволяет администраторам видеть всю структуру сети и заранее задать правильные настройки безопасности. Для того, чтобы G Data ManagementServer опознал рабочие станции, они должны быть включены. Этот процесс может быть инициирован различными способами. Удобен в использовании Мастер установки сервера, обнаруживающий доступные рабочие станции. Если какие-то рабочие станции не окажутся в предложенном списке, они могут быть добавлены вручную путем ввода имени или IP-адреса. Альтернативный вариант - список клиентов в G Data Administrator. Выберите нужный сервер в списке и выберите "Активация клиента" в контекстном меню. В открывшемся окне следует ввести имена нужных рабочих станций. Третий вариант - "Поиск компьютера" в меню "Организация". Здесь можно проверить диапазон IP-адресов и добавить обнаруженные рабочие станции. Наконец, синхронизация с Active Directory автоматически добавит рабочие станции в список клиентов.

Выбор клиентов для развертывания решений G Data зависит от администраторов. Рекомендуется защитить все устройства Windows и Linux (и клиенты, и серверы), а также Android, поскольку, оставив какие-то отдельные узлы без защиты, можно обеспечить точки входа для вредоносных программ. Хотя не все модули безопасности G Data являются полезными для серверов (например, клиент-ориентированный Firewall), основные компоненты G Data, такие, как монитор файловой системы, обеспечивают превосходную защиту. Следует отметить, что, в зависимости от типа сервера, потребуется провести дополнительные испытания. Стабильность и производительность должны быть оптимизированы. Вероятно, потребуется добавить несколько исключений для монитора файловой системы и заданий сканирования, например, для регулярно используемых файлов баз данных, в том числе почтовых, или служебных файлов на контроллере домена.

Дополнительно см. документацию производителей соответствующего программного обеспечения. Например, Microsoft публикует руководство для своих продуктов Exchange Server на http://technet.microsoft.com/bb332342

В зависимости от способа добавления клиентов, установка G Data Security Client может быть выполнена немедленно. В частности, использование Мастера установки сервера позволяет запустить такую установку сразу после настройки. Это также возможно при синхронизации с Active Directory. Когда соблюдены все требования для удаленной установки, это удобный способ убедиться, что на всех целевых узлах работает G Data Security Client. Кроме того, есть несколько других способов установки для тех случаев, когда удаленное развертывание не может или не должно осуществляться. В G Data Administrator можно создать пакет установки G Data Security Client - это исполняемый файл, содержащий все установочные файлы Security Client, предварительно настроенные параметры и последние обновления сигнатур (в соответствии с их версией на G Data Management Server). Этот пакет может быть скопирован на любой клиент в сети и выполнен удаленно или локально. Также локальная установка возможна из дистрибутива G Data Business.

Удаленная установка

Удаленная установка G Data Security Client может быть инициирована Мастером настройки сервера, синхронизацией с Active Directory или выбором опции установки G Data Security Client для отдельного хоста из контекстного меню в списке клиентов. Удаленная установка - простой способ установки G Data Security Client, экономящий время, поскольку у администратора нет необходимости физического доступа к клиенту. Тем не менее, для удаленного развертывания G Data Security Client, могут быть необходимы некоторые изменения конфигурации:

  • Gdmms.exe должен иметь доступ к сети (должны быть установлены соответствующие исключения брандмауэра);
  • В рабочих группах Windows функции "Простой общий доступ к файлам" (Windows XP) и "Мастер общего доступа" (Windows 7) должны быть отключены;
  • Контроль учетных записей (UAC) должен быть отключен;
  • Должны быть заданы права доступа для ресурсов C$ и Admin$;
  • Для удаленной установки G Data Security Client учетная запись не обязательно должна иметь пароль. Тем не менее, целевая машина должна быть настроена на разрешение сетевого входа для учетных записей без пароля (для этого на целевом ПК под управлением Windows в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa создайте параметр типа DWORD с именем LimitBlankPasswordUse и значением 0);
  • Для удаленной установки подсервера учетная запись обязательно должна иметь пароль;
  • Должна быть включена служба "Удаленный реестр".

В Windows 8, Windows 8.1, и Windows Server 2012 при использовании рабочих групп Windows, доступ к ресурсу Admin$ отсутствует. Для успешной удаленной установки G Data Security Client необходимо добавить в реестр Windows, в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System параметр DWORD с именем LocalAccountTokenFilterPolicy и значением 1.

Когда все требования удовлетворены, можно инициировать удаленную установку. В зависимости от способа удаленной установки может быть предложено несколько вопросов. Язык установки G Data Security Client может быть выбран из выпадающего меню. Обратите внимание, что язык интерфейса G Data Security Client впоследствии нельзя изменить. Для установки нужного языка потребуется новая установка с удалением старой. Также будет предложено установить брандмауэр. Если этот компонент в настоящий момент устанавливать не нужно, то позже он может быть установлен удаленно.

Во время удаленной установки, если клиент отвечает всем требованиям, происходит копирование файлов и вносятся записи в реестр Windows. Если сервер может получить доступ только к жесткому диску, но не к реестру, или иные требования не будут выполнены, то файлы G Data Security Client будут скопированы и клиент будет запущен при следующем перезапуске компьютера. Если копирование файлов не удается, установка прерывается. За процессом удаленной установки можно наблюдать в окне "Сводка установки". Это окно открывается автоматически при добавлении задачи удаленной установки, либо нажатием на кнопку "Сводка установки" во вкладке "Обзор" на панели клиентов:

В этом окне перечислены все клиенты, находящиеся в ожидании выполнения задач удаленной установки, а также завершенные. Колонка "Тип" показывает тип установки, данные во время установки обновляются. В некоторых случаях , например, когда устанавливается брандмауэр, клиент необходимо перезагрузить, чтобы завершить установку, о чем в модуль будет добавлен отчет. Если удаленная установка невозможна по какой-либо причине, ошибка также будет отображена в столбце статуса. Если удаленная установка выполняется с ошибкой, G Data Security Client и G Data Firewall могут быть установлены локально или с помощью установочного пакета.

Локальная установка

G Data Security Client может быть установлен локально на любом клиенте или сервере с поддерживаемой операционной системой. Это будет полезно в ситуациях, когда целевой компьютер находится в другом домене, или требования для удаленной установки не могут быть удовлетворены, или клиент нерегулярно подключается к сети (ноутбуки и планшеты). Дистрибутив G Data Business содержит исполняемый файл, который может быть запущен с правами локального администратора на любом клиенте. Все, что требуется при установке - ввести имя сервера, к которому клиент должен подключиться. После завершения установки клиент обратится к серверу в течение нескольких минут, и будет показан в области управления клиентами.

Обратите внимание, что по умолчанию локальный мастер установки не устанавливает брандмауэр. Рекомендуется устанавливать этот компонент удаленно, через G Data Administrator. Если брандмауэр должен быть установлен локально, потребуется ввод дополнительных параметров для исполняемого файла из дистрибутива в командной строке: setup.exe /v"INSTALLFW=yes". В этом случае после завершения мастера установки потребуется перезагрузка.

Пакет установки G Data Security Client

Если удаленное развертывание невозможно, а локальная установка из дистрибутива занимает слишком много времени, Пакет установки G Data Security Client может быть практичным решением. ManagementServer может создать исполняемый файл, который включает в себя последнюю версию клиентской программы и вирусных сигнатур, а также предварительно настроенные параметры, что позволит клиенту автоматически подключиться к серверу после установки. Пакет установки не требует какого-либо взаимодействия с пользователем и является оптимальным решением для быстрого развертывания G Data Security Client во всей сети предприятия. В сетях с использованием Active Directory можно воспользоваться сценарием запуска - таким образом, чтобы клиент при входе в систему получал установочный файл и выполнял его автоматически в фоновом режиме.

Пакет установки может быть создан в G Data Administrator. Откройте меню "Организация" и выберите "Создание пакета установки G Data Security Client…" Будет предложено выбрать язык установки и расположение для сохранения файла пакета, после чего в фоновом режиме начнется создание исполняемого файла. Этот процесс занимает несколько минут. Не закрывайте G Data Administrator до появления сообщения об успешном создании пакета установки. Созданный файл включает в себя последнюю версию Security Client и последние обновления вирусных сигнатур. Это гарантирует, что клиент будет оптимально защищен немедленно, без необходимости загрузки обновлений с сервера. Если развертывание таким способом будет продолжаться длительное время, то пакет установки необходимо регулярно создавать вновь.

Как только установочный пакет будет создан, его можно скопировать на целевую рабочую станцию и запустить. Перед этим любые существующие установки G Data должны быть полностью удалены, в противном случае пакет не будет работать. Из-за большого размера файла пакета его рекомендуется запускать локально, а не с общего сетевого ресурса. Процесс установки занимает десять-пятнадцать минут. После установки пакета, для завершения этого процесса, рабочая станция должна быть перезапущена дважды. Модуль брандмауэра при этом по умолчанию не устанавливается, и может быть добавлен в дальнейшем средствами G Data Administrator. Тем не менее, пакет установки можно запустить из командной строки с параметром /FW, и брандмауэр также будет установлен. Такой вариант установки не предназначен для установки только лишь брандмауэра. Если установка G Data Security Client уже была выполнена ранее, процесс завершится с ошибкой.

Устранение неполадок

Независимо от того, устанавливается ли клиент локально, удаленно или с помощью подготовленного пакета установки, могут возникнуть осложнения. Причина ошибки часто бывает трудноопределима, особенно, когда установка выполняется удаленно. Если клиент после развертывания не может подключиться к серверу, тому может быть несколько причин. Главное, чтобы клиент имел возможность установить сетевое соединение с G Data Management Server, и наоборот. Если сетевое подключение доступно, но клиент не имеет возможности соединиться с сервером, порядок установки G Data Security Client может быть нарушен. Если это произошло, установщик записывает код ошибки в реестре Windows на клиентском ПК.

В ветке реестра "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\G DATA\AVKClient" (в 32-битных системах - "HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKClient") параметр InstallError будет содержать один из кодов ошибок установки:

0 - (успех) Успешная установка
2 - (успех) Имя сервера успешно обновлено
10 - Неверный пароль
12 - Неверный путь к файлам установки
13 - Нет соединения с Диспетчером управления службами или с Удаленным реестром
14 - Файлы не могут быть скопированы
17 - Операционная система клиента должна быть NT-based
18 - Не удалось подключиться к службе Удаленный реестр
19 - Клиент уже был установлен
22 - Не удается определить систему клиента и путь установки
27 - Компьютер клиента не имеет нужного SP
28 - Файлы установки заняты другими процессами
29 - Компьютер не будет перезапущен после удаления клиента
44 - Нет подключения к клиенту
48 - Ошибка аутентификации
49 - Ошибка установки брандмауэра
50 - Была попытка установки брандмауэра без клиента
51 - Брандмауэр уже был установлен
52 - Была попытка установки брандмауэра на серверной ОС

В большинстве случаев бывает необходимо установить необходимые разрешения и привести систему в соответствие требованиям для удаленной установки. Перед повторной попыткой установки клиента необходимо убедиться, что никаких компонентов Client Security на данной машине не осталось. Утилита AV-Cleaner поможет удалить остатки установки.

Мобильные клиенты

Установку клиента на Android можно запустить из G Data Administrator. Есть несколько предварительных условий и настроек. В настройках сервера на вкладке "Мобильный" введите пароль для аутентификации мобильных пользователей. Этот пароль нужно будет ввести в мобильном приложении для того, чтобы получить возможность обмена данными с сервером. Кроме того, убедитесь, что сервер может принимать соединения на порт TCP 7184. Мобильные клиенты подключаются к серверу на этот порт для загрузки установочного файла приложения.

Процесс развертывания осуществляется с помощью электронной почты. В G Data Administrator, в списке клиентов из контекстного меню нужной группы выберите пункт "Отправить ссылку для установки на мобильные клиенты". Откроется окно ввода e-mail адресов для отправки ссылок. При открытии ссылки на стороне клиента, пользователь сможет загрузить файл установки (.apk). Для успешной установки на устройстве должна быть разрешена установка сторонних приложений из файла. Эта опция обычно находится в меню настроек безопасности Android. После открытия файла установки и подтверждения необходимых разрешений G Data Internet Security будет установлен и может быть запущен из меню приложений Android.

В настройках мобильного приложения отметьте флажок "Разрешить удаленное управление" и введите имя или IP-адрес сервера управления. Также следует ввести имя устройства, которое будет использоваться для идентификации устройства в G Data Administrator. Пароль, который следует ввести в мобильном приложении - это тот пароль, который был введен в G Data Administrator для идентификации мобильных пользователей - он также указан в письме со ссылкой на apk-файл.

Устройство будет отображено в списке среди других клиентов в G Data Administrator и может управляться оттуда. Если устройство Android после установки G Data Internet Security не появится в списке клиентов, перезагрузите его, чтобы проверить связь с G Data Management Server.

Клиенты Linux

Как и устройства под управлением Windows, клиенты Linux могут быть связаны с инфраструктурой G Data Management Server, получать обновления сигнатур и управляться централизованно из G Data Administrator. Существует два типа клиентов Linux. Клиентская рабочая станция представляет собой монитор файловой системы с графическим пользовательским интерфейсом и функциональностью, аналогичной клиенту для Windows. Серверный модуль предназначен для серверов Linux, взаимодействующих с рабочими станциями Windows по протоколу SMB. Этот модуль выполняет сканирование файлов при каждом доступе, и таким образом вредоносное ПО не может мигрировать с сервера к клиентам Windows, и наоборот.

Для выполнения удаленной установки с помощью G Data Administrator, выберите целевой клиент Linux в списке клиентов. В контекстном меню клиента выберите опцию "Установить G Data Security клиент для Linux". Выберите тип клиента и введите его имя или IP-адрес. Для установки G Data Security нужно ввести пароль суперпользователя (root). Такой пароль должен быть установлен заранее.

Если по какой-то причине удаленная установка невозможна, модуль G Data Security клиент для Linux может быть установлен локально. В дистрибутиве, в каталоге \Setup\LinuxClient находятся файлы, необходимые для локальной установки - инсталлятор, деинсталлятор и вирусные сигнатуры. Запустите installer.bin для начала установки. Сигнатуры угрозу будут автоматически загружены с управляющего сервера после установки, их локальная установка не требуется.

Завершение развертывания

После завершения развертывания всех серверов и клиентов важно убедиться, что все процессы запущены и работают правильно, и что все требования безопасности соблюдены. Все клиенты должны иметь возможность подключиться к G Data Management Server. По умолчанию, каждый клиент сообщает серверу о своем состоянии каждые пять минут (за исключением планового осмотра). Через модуль "Клиенты" в G Data Administrator можно найти и устранить проблемы с подключением. Во-первых, проверьте, все ли клиенты отображены в G Data Administrator. Если клиент отсутствует, то возможно, имеет место ошибка установки. В зависимости от типа установки, попробуйте добавить клиента вручную и активировать его. Если клиент был добавлен в Active Directory, проверьте сеть контроллера домена. Если клиент находится в списке, то в колонке "Последний доступ" можно увидеть, когда он в последний раз был подключен к серверу. Убедитесь, что клиент включен и подключен к сети. TCP-трафик должен быть разрешен через соответствующие порты на клиенте (7167/7169) и на сервере (7161). IP-адрес сервера должен быть доступен с клиента. Чтобы проверить подключение, используйте на клиенте команду telnet<сервер IP>сервер порт>. Если подключение возможно, в командной строке будет выведен массив символов. Если связи с сервером нет, окно будет пустым.

Когда все клиенты соединятся с сервером и будут заданы базовые настройки, основное развертывание можно считать завершенным. После этого некоторые сервисы нуждаются в дополнительной настройке:

  • для быстрого изменения конфигурации вашего решения G Data настройте средства удаленного администрирования;
  • настройте параметры сканирования в реальном времени для всех клиентов;
  • для выполнения сканирования и работы с резервными копиями запланируйте разовые и повторяющиеся задачи;
  • если это необходимо, установите и настройте службу брандмауэра.

Большинство параметров можно настроить с помощью G Data Administrator. Некоторые дополнительные правки можно внести в конфигурационные файлы, а также воспользоваться специализированными инструментами настройки G Data.

Серверы подсетей

Если после развертывания решения G Data производительность сервера оказывается ниже ожидаемой, введение ограничений нагрузки и реконфигурация может помочь решить такую проблему. Однако, эффективной альтернативой является установка одного или нескольких серверов подсетей, которые поддерживаются в актуальном состоянии главным сервером. Клиенты могут быть присвоены серверу подсети и подключаться к нему для получения вирусных сигнатур, уменьшая нагрузку на главный сервер и сеть. Использование сервера подсети рекомендуется для отдельных филиалов, находящихся вне общей сети предприятия. Это позволяет сохранять скорость клиент-серверного трафика оптимальной и снять зависимость состояния клиентов от удаленного главного сервера.

Любая рабочая станция в сети, отвечающая системным требованиям, может быть настроена как сервер подсети путем локальной или удаленной установки. Такая рабочая станция должна соответствовать требованиям для удаленной установки. Рекомендуется выполнять это дистанционно через G Data Administrator. В меню Админ - Управление сервером - Добавление сервера подсети выберите подходящий компьютер. После ввода данных доступа к рабочей станции будет инициализирована установка сервера подсети. О прогрессе процесса можно наблюдать в окне сводки установки. После завершения установки присвойте серверу подсети клиентов, которыми он должен управлять.

Если удаленная установка невозможна, сервер подсети может быть установлен локально из дистрибутива G Data Business. Процедура установки идентична процедуре для главного сервера. В качестве типа установки выберите сервер подсети и укажите имя компьютера, на котором установлен главный сервер. После завершения установки сервер подсети будет подключаться к главному G Data ManagementServer. Для предотвращения неавторизованного доступа, обмен данными с каждым локальным сервером должен быть разрешен вручную. Для этого в окне "Управление сервером" выберите добавленный сервер подсети и нажмите "Авторизовать" в контекстном меню. После этого произойдет синхронизация данных между серверами.