PANDA CLOUD SYSTEMS MANAGEMENT - Foren …pandadownload.de/files/anleitungen/PCSM/PANDA CLOUD SYSTEMS... · panda cloudsystems management _____ 4 7. die ersten 8 schritte zur benutzung

PANDA

CLOUDSYSTEMS MANAGEMENT

_____________________________________________________________________

1

PANDA CLOUD SYSTEMS MANAGEMENT

Handbuch für Partner und Administratoren

+Copyright-Vermerk

© Panda Security 2013. Alle Rechte vorbehalten.

Weder die Dokumente noch die Programme, auf die Sie zugreifen können, dürfen ohne vorherige schriftliche Genehmigung von Panda Security, C/ Gran Vía Don Diego López de Haro 4, 48001 Bilbao (Bizkaia), SPANIEN, kopiert, reproduziert, übersetzt

oder auf elektronische oder lesbare Medien überspielt werden.

Eingetragene Warenzeichen.

Windows Vista und das Windows Logo sind Warenzeichen oder eingetragene Waren-zeichen der Microsoft Corporation in den Vereinigten Staaten und anderen Ländern. Alle anderen Produktnamen könnten eingetragene Warenzeichen ihrer jeweiligen

Unternehmen sein.

© Panda Security 2013. Alle Rechte vorbehalten.

PANDA


_____________________________________________________________________

2

Inhaltsverzeichnis

1. VORWORT ……………………………………………………………………………9 Zielgruppe ………………………………………………………………………………………………….9

Symbole …………………………………………………………………………………………………..…9

2. EINFÜHRUNG ………………………………………………………………………10

Hauptfunktionen von Panda Cloud Systems Management ………………………………10

Panda Cloud Systems Management Benutzerprofil ……………………………………..…12 Hauptakteure von Panda Cloud Systems Management ……………………………….…14

3. HIERARCHIE DER LEVEL INNERHALB DER PCSM-KONSOLE :…….15

Systemlevel ……………………………………………………..………………………………16 Was ist das? ……………………………………………………………………………………………..16 Anwendungsbereich …………………………………………………………………………………..17

Zugriff ……………………………………………………………………………………………………...17

Funktionsweise ………………………………………………………………………………………….17

Profillevel …………………………………………………………………………………….….17 Was ist das? ……………………………………………………………………………………………..17

Anwendungsbereich …………………………………………………………………………………..19

Zugehörigkeit …………………………………………………………………………………………...19 Funktionsweise ………………………………………………………………………………………...20

Gerätelevel ……………………………………………………………………………………...20

Was ist das? ……………………………………………………………………………………………..20

Anwendungsbereich ………………………………………………………………………………..…20 Funktionsweise ………………………………………………………………………………………….20

PANDA


_____________________________________________________________________

3

4. BASISKOMPONENTEN DER PCSM-KONSOLE ………………………….21

Allgemeines Menü …………………………………………………………………………….21

Tableiste/Listenleiste ………………………….…………………………………………….22

Symbolleiste/Aktionsleiste …………………………………………………………………23 Filter und Gruppenpanel ……………………………………………………………..…….24

Dashboards ……………………………………………………………………………………..25

Sicherheitsstatus ……………………………………………………………………………………….25

Systemdashboard ……………………………………………………………………………………..26 Zusammenfassung (Profil) ………………………………………………………………………....28

Zusammenfassung (Gerät) ………………………………………………………………………...28

5. FILTER UND GRUPPEN ………………………………………………………….29 Was sind Gruppen und Filter? …………………………………………………….....….29 Arten von Gruppen und Filtern ……………………..……………………………………29

Gruppen ………………………………………………………………………………………….29

Filter ……………………………………………………………………………………………….29

6. WIE MAN VERWALTETE GERÄTE EFFIZIENT GRUPPIERT …………33 Unterschiede zwischen Profilen, Gruppen und Filtern …………………………..33

Profile ……………………………………………………………………………………………………...33

Filter und Gruppen ……………………………………………………………………………….……33

Allgemeine Herangehensweise und Geräteverwaltungsstruktur …………….34

PANDA


_____________________________________________________________________

4

7. DIE ERSTEN 8 SCHRITTE ZUR BENUTZUNG VON PCSM ……….…36

Das erste Profil erstellen und konfigurieren ………………………………………...36

Den PCSM-Agenten installieren ………………………………………………………….37 Überprüfung der Geräteliste im Profil und Basisfilterung ……..………….……39

Hardware-, Software- und Lizenzprüfung ……………………………..…………….39

Patch-Management …………………………………………………………………………..40

Überwachungsprogramme erstellen …………………………..……………………….41 ComStore …………………………………………………………………………………………42

Zugriff auf fernverwaltete Geräteressourcen …………………………………….…43

8. RICHTLINIEN ……………………………………………………………………….46 Was sind Richtlinien? ………………………………………………………..………………46 Wie man eine Systemrichtlinie festlegt …………………………………………….…46

Wie man eine Profilrichtlinie festlegt …………………………………………………..48

Wie man eine Geräterichtlinie festlegt ………………………………………………..48

Arten von Richtlinien …………………………………………………………………………49

Wie man eine Richtlinie anwendet …………………………………………………..…52

9. ÜBERWACHUNG ……………………………………………..……………………53

Was ist das? …………………………………………………………………………………….53

Struktur eines Überwachungsprogramms ……………………………………………53

Überwachungsprogramme erstellen …………………………………………………...53 Schritt 1: Arten von Überwachungsprogrammen …………………………………………..55

Schritt 2: Einzelheiten zu Überwachungsprogrammen …………………………………..56

PANDA


_____________________________________________________________________

5

Schritt 3: Einzelheiten zu Rückmeldungen …………………………………………………...56

Schritt 4: Einzelheiten zu Tickets …………………………………………………………………57

10. KOMPONENTENENTWICKLUNG …………………………………………...58 Warum Komponenten entwickeln? ……………….…………………………………….58

Was sind die Voraussetzungen für das Entwickeln von Komponenten? …..58

Allgemeine Architektur von PCSM-Komponenten …………………………….…..59 Übersichtstabelle ……………………………………………………………………………………….60

Eine Überwachungsprogrammkomponente erstellen……………………………..60

Komponentendarstellung und Zweck …………………………………………………….…….60

Allgemeines Funktionsschema …………………………………………………………………….63

Schritt 1: Laden der Komponente „Überwachungsprogramm“ auf die PCSM-Plattform …………………………………………………………………………………………………..63

Schritt 2: Installieren des Überwachungsprogramms durch System- oder Profil-richtlinien …………………………………………………………………………………………….…..65

Schritt 3: Umgebungsvariablen erstellen und die Komponenten alle 60 Sekunden ausführen………………………………………………………………………………………………….67

Schritt 4: Standardoutput alle 10 Minuten senden und in der PCSM-Plattform ver-arbeiten …………………………………………………………………………………………..……….69

Wie man globale Variablen nutzt …………………………………………………………………69

Wie man den Status eines Gerätes in der PCSM-Konsole anzeigt ……………………70

Eine Skripttyp-Komponente erstellen ………………………………………………….71

11. Zentralisierte Softwarebereitstellung und Installation ………….….73 Ziel der zentralisierten Softwareinstallation ………………………………………...73

Voraussetzungen für die zentralisierte Softwareinstallation …………………..73

PANDA


_____________________________________________________________________

6

Paketbereitstellung und Installationsvorgang ………………………………………74

Installationsbeispiele ……..………………………..……………………………………….75 Dokumente mittels Skriptsprache installieren ……………………………………………….75

Dokumente ohne Skriptsprache installieren ………………………………………………….79 Installation von selbstinstallierender Software ……….….………………………………….83

Software ohne Installationsprogramm installieren …………………………..…………….86

Bandbreite bei der Softwareinstallation sparen ……………..…………………….90

12. Ticketing …………………………………………………………………………….92

Was ist das Ticketsystem? ……………………………………………………………..….92

Beschreibung eines Tickets ……………………………………………………………....92

Ein Ticket erstellen ……………………………………………………………………………94 Manuell vom Anwender über den PCSM-Agenten ………………………………………….94

Automatisch von einem Überwachungsprogramm, das einen Zustand auf dem Ge-

rät des Anwenders entdeckt, der als Störung definiert ist..………………………..……95 Manuell von der IT-Abteilung von der PCSM-Konsole aus: Hierbei handelt es sich

gewöhnlich um Erinnerungen oder Aufgaben, die sich offiziell in die Warteschlan-ge der Abteilung einordnen…………..…………………………………………………………….95

Ticketmanagement …………………………………………………………………………..96

13. Patch-Management .…………….………………………………………..……97

Was ist Patch-Management? ……………………………..………………………………97

Welche Patches kann ich installieren/anwenden? ………………………………..97

Patcheinsatz und –installation …………………………………………………………...98 Methode 1: Manuelles Patch-Management ……….………………….………………………98 Methode 2: Windows Update-Richtlinien……………………………………………………102

PANDA


_____________________________________________________________________

7

Methode 3: Patch-Management-Richtlinien ………………………………………………..105

Methodenvergleichstabelle ………………………………………………………………….……108

Audits ……………………………………………………………………………………………108 Auswahlkriterien ……………………………………………………………………………………...109

Tortendiagramm ……………………………………………………………………………….…….109

Liste der gefährdeten Geräte …………………………………………………………………….109

14. Benutzerkonten und Rollen …………………………………………………110 Was ist ein Benutzerkonto? ………………………………………………………..……110

Was ist eine Rolle? ………………………………………………………………………….110

Warum sind Rollen notwendig? …………………………………………………..……111

Die Rolle des Accountadmin …………………………………………………………….111 Zugriff auf das Benutzerkonto und Rollenkonfiguration ………..…………….112

Benutzerkonten anlegen und konfigurieren ………………………………….……109

Rollen erstellen und konfigurieren ……………………………………………………114

Rollen konfigurieren ………………………………………………………………………..114 Gerätesichtbarkeit …………………………………………………………………………………..115

Berechtigungen ……………………………………………………..………………………..………116

Agent-Browser-Tools ………….………………………………………………………..………….117

Zugehörigkeit ……………………………………………………………………………………….…117

Wie viele verschiedene Rollen werden benötigt? …………………………..……118

Horizontale Rollen …………………………………………………………………………………...118

Vertikale Rollen ……………………………………………………………………………………….118

PANDA


_____________________________________________________________________

8

Ressourcenzugriffsrollen …………….………………………………………………………..…119

15. Verwaltung mobiler Geräte …………………………………………………120

ANHANG A …………………………………………………………………………..…129

ANHANG B ……………………………………………………………………………..131

PANDA


_____________________________________________________________________

9

1. Vorwort

Dieses Handbuch enthält grundlegende Informationen und Verfahren, um das Produkt Panda Cloud Systems Management (im Folgenden PCSM genannt)

optimal zu nutzen.

Zielgruppe Diese Dokumentation ist für technisches Personal geschrieben, das Anwender oh-ne IT-Kenntnisse in zwei möglichen Umgebungen unterstützt:

- Die IT-Abteilung, die den internen Support im Unternehmen professionalisie-ren will.

- Der Managed Service Provider (MSP), der seinen Kunden jederzeit Dienstleis-

tungen vor Ort, aus der Ferne, reaktiv oder proaktiv anbietet.

Symbole

Dieses Handbuch enthält die folgenden Symbole:

Zusätzliche Informationen, z. B. eine alternative Methode für die

Ausführung einer speziellen Aufgabe.

Vorschläge und Empfehlungen.

Wichtige und/oder nützliche Tipps für den Gebrauch von Panda Cloud

Systems Management.

PANDA


_____________________________________________________________________

10

2. Einführung

Panda Cloud Systems Management ist eine cloud-basierte Gerätefern-überwachungs- und Verwaltungslösung. Sie ermöglicht einen professionel-

len Service, ohne die Anwender bei ihrer Arbeit zu stören. Panda Cloud Sys-tems Management erhöht die Produktivität durch eine zentralisierte und un-komplizierte Verwaltung von Geräten und fördert die Aufgabenautomatisierung.

Die Betriebskosten werden erheblich reduziert, da PCSM:

keine zusätzliche Infrastruktur erfordert, weil die Lösung in der Cloud geh-ostet wird.

eine sehr flache Lernkurve hat. Dadurch können Sie von Anfang an einen

erstklassigen Technischen Support liefern. einen Fernsupport ermöglicht. Auf die Tools kann jederzeit und von überall

aus zugegriffen werden. Da die Techniker nicht zu den einzelnen Standor-

ten fahren müssen, können Sie Geld und Zeit sparen. durch konfigurierbare Alarmmeldungen automatisierte Aufgaben und Reak-

tionen auslöst. Störungen können dadurch verhindert werden.

Panda Cloud Systems Management ist ein Produkt, das die Zusammenarbeit der Supporttechniker fördert und die Ermittlung der Problemursachen erleichtert.

Hauptfunktionen von Panda Cloud Systems Management In der folgenden Tabelle finden Sie die wichtigsten Funktionen des Pro-

duktes: Funktion Beschreibung

Cloud-basierte Lösung Keine zusätzliche Infrastruktur am Standort der Kunden oder MSP/IT-Abteilungen erfor-derlich. Verwalten Sie all Ihre Geräte jeder-

zeit und von überall aus.

Agenten-basiert Ein sehr „schlanker“ Agent, der eine NAT-Firewall und VPN unterstützt, verbindet je-

des Gerät mit dem PCSM-Server.

Automatische Geräteerkennung Ein PCSM-Agent, der auf einem einzigen Gerät installiert ist, kann andere Geräte im

selben Netzwerk erkennen und eine automa-tische Installation auslösen.

Geplante und benutzerdefinierte Audits Verfolgen Sie alle Veränderungen am Gerät (Hardware, Software und System).

Verwaltung der Softwarelizenzen Behalten Sie den Überblick über die gesamte

installierte Software.

Warnmeldungen und Kontrolle Kontrollieren Sie die CPU-Auslastung, den Speicherplatz und die Exchange Server, Leis-

tungskurven, Warnmeldungen … alles in

PANDA


_____________________________________________________________________

11

Echtzeit.

Erstellen Sie Skripte und Quick Jobs Erstellen Sie Ihre eigenen Skripte, laden Sie

unsere vorkonfigurierten Skripte aus dem ComStore herunter und installieren Sie diese entweder planmäßig oder als automatische

Reaktion auf einen Alarm. Alles mit einem Klick.

Patch-Management Automatisieren Sie die Installation von Up-

dates und Patches für Ihre Software.

Softwareinstallation Zentralisierte Installation von Updates und Software.

Richtlinien Definieren Sie eine Reihe von allgemeinen Einstellungen, um Ihre IT-Umgebung flexibel

zu verwalten.

Fernzugriff Task-Manager, Dateitransfer, Registry-Editor, Eingabeaufforderung, Ereignisproto-

koll, etc. Mit all diesen integrierten Tools können Sie mehrere Geräte reparieren, ohne die Anwender zu stören.

Fernsteuerung Gemeinsamer Zugriff auf den Desktop des Anwenders oder totale Kontrolle. Unterstützt Firewalls und NAT.

Sichere Kommunikationen Alle Kommunikationen zwischen den Agen-ten und dem PCSM-Server werden ver-schlüsselt (SSL).

Berichte Senden Sie geplante oder spezielle Berichte per E-Mail. Finden Sie heraus, wer was und wann tut und wer die meisten Ressourcen

nutzt.

Kollaborative Umgebung Verwalten Sie die Störfallzuordnung, den Status und die Dokumentation mit dem Ti-cketsystem. Vereinfachen Sie die Erstellung einer Chronik über die Eingriffe mit Device Notes. Kommunizieren Sie live mit dem End-

anwender über den IM Messaging-Dienst.

ComStore Erweitern Sie die Fähigkeiten der Plattform. Wählen Sie die benötigten Komponenten aus

und laden Sie diese herunter.

PANDA


_____________________________________________________________________

12

Panda Cloud Systems Management Benutzerprofil

Die meisten Nutzer von Panda Cloud Systems Management werden mittlere bis hohe Fachkenntnisse haben, da dieses Tool die tägliche Wartung von Compu-

tergeräten aufgrund ständiger Nutzung und Veränderungen vorsieht. Trotzdem gibt es zwei spezielle Zielgruppen von Panda Cloud Systems Management:

IT-Techniker auf Unternehmensebene

Techniker, die im gesamten Unternehmen Supportdienste für Geräte und Endan-wender leisten. Häufig gibt es Büros mit beschränktem Zugang an entfernten Or-ten und Anwender, die außerhalb ihrer Büros arbeiten. Deshalb müssen die Tech-

niker mit Überwachungstools und Fernzugriff arbeiten.

Managed Service Provider (MSP) Techniker Technisches Personal für Unternehmen, die beschlossen haben, ihre IT-

Abteilungen auszugliedern oder die Wartung ihrer Geräte als Unterauftrag zu vergeben.

Hauptkomponenten von Panda Cloud Systems Management

PCSM-Konsole Ein Webportal, auf das über kompatible Browser jederzeit und von überall aus mit

jedem webfähigen Gerät zugegriffen werden kann. Die meisten der täglichen Verfolgungs- und Überwachungsaufgaben werden von

dieser Konsole aus über einen Browser ausgeführt. Diese Ressource steht nur dem technischen Support zur Verfügung.

PCSM-Agent

Ein kleines Programm (kleiner als 5 Megabyte), das auf jedem zu verwaltenden Gerät installiert wird. Nach der Installation des PCSM-Agenten kann man direkt

auf alle Informationen des Gerätes über die PCSM-Konsole zugreifen.

PANDA


_____________________________________________________________________

13

Der PCSM-Agent unterstützt zwei Ausführungsmodi:

- Anwender- und Überwachungsmodus

In diesem gängigen Modus ist der Agent für den Endanwender kaum wahrnehm-bar und der Zugriff auf einige spezielle Einstellungen kann vom Administrator de-legiert werden.

- Administrationsmodus

Nach der Eingabe gültiger Anmeldedaten kann der Netzwerkadministrator den PCSM-Agenten für den Zugriff auf entfernte Geräte nutzen.

Für die Fernverwaltung installieren Sie den PCSM-Agenten sowohl auf den Kundengeräten als auch auf den Geräten der Techniker.

PCSM-Server

Die PCSM-Konsole, die notwendigen Prozesse und die unterstützenden Daten-banken werden auf einem cloud-basierten PCSM-Server gehostet und sind rund um die Uhr verfügbar.

Die von jedem Gerät zum PCSM-Server übertragenen Statusinformationen sind so optimiert, dass die Auswirkungen auf das Netzwerk des Kunden minimal sind.

Diese Informationen werden auf dem PCSM-Server gesammelt, sortiert, zu-sammengefasst und als Abfolge von Ereignissen dargestellt. So kann man Diag-nosen vornehmen und Probleme auf den verwalteten Geräten erfolgreich vorher-

sehen.

PANDA


_____________________________________________________________________

14

Hauptakteure von Panda Cloud Systems Management

IT-Administrator/Administrator/Managed Service Provider/

MSP/IT-Abteilung/Supporttechniker/Technisches Team

Diese Begriffe schließen all diejenigen ein, die Zugriff auf die PCSM-Konsole ha-ben, ungeachtet der Berechtigungsstufe, die mit den gelieferten Anmeldedaten

einhergeht.

Dies ist zum einen das technische Personal der IT-Abteilung des Unternehmens, das mit Panda Cloud Systems Management die Systeme verwaltet und überwacht, und zum anderen das MSP-Personal, das für die Geräte der Kunden

zuständig ist.

PCSM-Administrationsaccount/Hauptadministrationsaccount

Jeder Kunde bzw. jedes Unternehmen, das Panda Cloud Systems Manage-ment benutzt, erhält einen Hauptadministrationsaccount. Ein Account mit der

höchsten Berechtigungsstufe, der alle Ressourcen des Produktes verwalten kann.

Kapitel 14 beschreibt, wie man neue Anwender und Rollen erstellt, um den Zugriff der Systemtechniker auf die Schlüsselressourcen von Pan-da Cloud Systems Management zu beschränken.

Jeder Hauptadministrationsaccount gehört zu einer sicheren und separaten Pro-duktinstanz. Deshalb sind alle Einstellungen eines PCSM-Kunden und alle verwal-

teten Geräte für andere Administrationsaccounts nicht zugänglich oder sichtbar.

Kundenaccount/Kunde

Ein Kundenaccount ist ein Vertrag zwischen dem Managed Service Provider und einem Unternehmen, das die Absicht hat, seinen täglich notwendigen IT-Support

auszulagern. Außer in Kapitel 14, das beschreibt, wie man Anwender und Rollen erstellt, hat

Account in diesem Handbuch eine organisatorische Bedeutung: Für den MSP ist es gleichbedeutend mit einer Reihe von Geräten, die zum selben Kundennetzwerk gehören, welches gewartet werden soll.

PANDA


_____________________________________________________________________

15

Anwender

Der Anwender ist der Nutzer des Gerätes, das direkten Support vom MSP oder der IT-Abteilung benötigt.

Gerät

Ein Gerät ist ein für die tägliche Arbeit genutzter Computer, auf dem ein PCSM-Agent installiert ist.

PANDA


_____________________________________________________________________

16

3. Hierarchie der Level innerhalb der PCSM-Konsole

Um die Verwaltung der Geräte verschiedener Kundenaccounts zu trennen und die vom technischen Personal definierten Prozeduren wiederzunutzen und zu be-

schränken, und um die Verwaltung zu beschleunigen und weiterzuentwickeln, bie-tet Panda Cloud Systems Management drei Instanzen/Gruppenlevel/Betriebslevel: Vom ganz allgemeinen zum speziellsten sind es die folgenden:

1. Systemlevel

2. Profillevel 3. Gerätelevel

Systemlevel Was ist das? Das Systemlevel, auch Account oder Account Level Entity Cluster genannt, ist das allgemeinste und höchste Level. Es ist außerdem einzigartig für jeden MSP/jede

IT-Abteilung. Das Systemlevel gruppiert automatisch alle mit einem PCSM-Agenten versehenen Geräte der Kunden und Anwender, die vom MSP/der IT-Abteilung verwaltet werden.

PANDA


_____________________________________________________________________

17

Anwendungsbereich Die auf diesem Level ausgeführten Aktionen betreffen alle im System registrierten Geräte, obwohl sie durch Nutzung von Filtern und Gruppen auf eine Untergruppe

von Geräten beschränkt werden können. Näheres dazu finden Sie in Kapitel 5.

Zugriff Auf die Systemlevel-Ressourcen wird über das Allgemeine Menü, System, zuge-

griffen.

Funktionsweise Das Systemlevel kann globale Aktionen ausführen. Deshalb können Sie den Sta-tus aller verwalteten Geräte, konsolidierte Reports zu Ihrer Umgebung und den

Aktionen auf allen oder einem Teil der registrierten Geräte erhalten.

Profillevel

Was ist das? Das Profillevel ist eine Gruppierungseinheit direkt unter System. Es ist eine logi-

sche Gruppierung, welche die zum selben Kundenaccount oder Büro gehörenden Geräte enthält.

Auf die Liste Profile kann über das Allgemeine Menü, Profile, zugegriffen werden. Jedem Profil ist eine Reihe von Konfigurationen zugeordnet, auf die über die

Tableiste, Einstellungen, in der PCSM-Konsole zugegriffen werden kann. Diese Einstellungen werden dann auf die entsprechenden PCSM-Agenten angewen-det.

PANDA


_____________________________________________________________________

18

Konfigurationsoptionen können in verschiedene Gruppen eingeteilt werden.

Profilerkennung

Informationen, die benutzt werden, um ein Profil von den anderen erstellten Pro-filen zu unterscheiden, und die in Filtern oder Suchen genutzt werden können. Die konfigurierbaren Felder sind:

- Allgemein: Profilname und Beschreibung - Variablen: Umgebungsvariablen, welche die zum Profil gehörenden Geräte

übernehmen, und die später von Skripten oder Komponenten, die vom Admi-nistrator entwickelt wurden, aufgerufen werden können.

- Benutzerdefinierte Label: fünf Felder mit vom Administrator definierten In-

formationen

Kontaktinformationen Dies sind die E-Mail-Accounts, die von Panda Cloud Systems Management

benutzt werden, um den Serviceadministrator zu kontaktieren. Sie werden im All-gemeinen genutzt, um Reports oder Warnmeldungen zu senden.

- Mailempfänger

Lokaler Cache

Dieses Feld wird zur Erkennung des Caches im LAN eines Kunden benutzt, um Software-, Patch- oder Skriptdownloads zu beschleunigen, welche dann auf den

benachbarten Geräten installiert werden. Diese Methode reduziert den Bandbrei-tenverbrauch, indem sie verhindert, dass mehrere Geräte desselben Netzwerks auf das Internet zugreifen müssen, um die Downloads individuell durchzuführen.

PANDA


_____________________________________________________________________

19

Login-Daten

Skripte werden auf dem Gerät des Anwenders mit der Berechtigung Lokales

System ausgeführt, aber wenn das Profil Skripte mit dem Befehl Run As aus-

führen muss (z. B. für Administratorberechtigungen), kann man die Login-Daten und das Passwort hier eingeben.

Informationen zum Verbrauch

Informationen zum Energieverbrauch können jedem Gerät zugeordnet werden, sodass der PCSM-Server den Gesamtverbrauch berechnen kann. Auf Grundlage

dieser Informationen können dann bei Bedarf System- oder Profilrichtlinien defi-niert werden. Diese Richtlinien werden später erklärt.

Zusätzlich zu den oben genannten Informationen werden dem Profil entspre-chende Informationen generiert und im PCSM-Agenten eingebettet.

Die Kundengeräte werden nach der Installation des PCSM-Agenten automatisch dem richtigen Profil in der PCSM-Konsole hinzugefügt.

Anwendungsbereich

Die Arbeitsabläufe, die auf dem Profillevel ausgelöst werden, können alle zu die-

sem Profil gehörenden Geräte betreffen, während einige Aktionen durch die Nut-zung von Filtern und Gruppen (in Kapitel 5 beschrieben) auf eine Untergruppe von Geräten beschränkt werden können.

Im Gegensatz zum Systemlevel, das einzigartig ist, kann der Administrator so vie-le Profilgruppen erstellen wie nötig.

Zugehörigkeit

Die Zugehörigkeit eines bestimmten Gerätes zu einem Profil wird beim Installieren des PCSM-Agenten festgelegt.

PANDA


_____________________________________________________________________

20

Laden Sie den PCSM-Agenten von der ausgewählten Profilseite herun-

ter, sodass er nach der Installation auf dem Gerät des Anwenders au-tomatisch dem betreffenden Profil in der PCSM-Konsole hinzugefügt wird.

Nachdem Sie den PCSM-Agenten auf dem Gerät des Anwenders in-

stalliert haben, können Sie von der PCSM-Konsole aus Geräte von ei-

nem Profil zum anderen verschieben.

Um die Aufgaben während der Installationsphase zu minimieren, ist es empfehlenswert, zuerst ein Profil zu erstellen und anschließend den PCSM-Agenten darüber herunterzuladen. Dann gehören die verwalte-

ten Geräte automatisch zum erstellten Profil.

Funktionsweise Im Profillevel können Aktionen auf allen Geräten ausgeführt werden. Auf diese

Weise können Sie den Status der Geräte, konsolidierte Reports und Aufgaben, die auf allen oder einigen Geräten ausgeführt werden sollen, erhalten.

Gerätelevel

Was ist das? Dies stellt einzelne Knotenpunkte, Endpoints bzw. Geräte mit installiertem

PCSM-Agenten dar, der die Verbindung zum PCSM-Server etabliert und auf-rechterhält. Geräte werden automatisch in der PCSM-Konsole angelegt, da sie beim Installieren der Agenten auf den Geräten des Kunden dem Account/Profil

hinzugefügt werden.

Anwendungsbereich Alle auf diesem Level ausgeführten Aktionen betreffen nur das ausgewählte Ge-

rät.

Funktionsweise Im Gerätelevel können Aktionen auf einem bestimmten Gerät ausgeführt werden. Dies ermöglicht, dass man Listen mit ausführlichen Informationen über das Gerät,

Berichte und Aktionen erhält.

PANDA


_____________________________________________________________________

21

4. Basiskomponenten der PCSM-Konsole Die PCSM-Konsole ist auf intuitive und visuelle Art und Weise strukturiert, so-dass die meisten Verwaltungsressourcen nur einen Klick entfernt sind und ein

Durcheinander an unnötigen Kontrollkästchen und Einstellungen vermieden wird. Das Ziel ist eine PCSM-Konsole, die einfach, schnell und bequem zu nutzen ist,

während das Neuladen der gesamten Seite möglichst vermieden wird. Der Um-gang mit der PCSM-Konsole kann schnell erlernt werden.

Die Basiskomponenten der PCSM-Konsole, auf die wir uns in diesem Handbuch beziehen werden, sind:

Allgemeines Menü

Auf dieses Menü kann von überall in der PCSM-Konsole zugegriffen werden. Es besteht aus 6 Einträgen:

Elemente:

Menü Beschreibung

System Zugriff auf das Systemlevel Profile Zugriff auf das Profillevel Komponenten Zugriff auf Komponenten, die der Administrator herunterge-

laden hat

ComStore Sammlung von Komponenten, die von Panda Security kre-iert wurden, um die Funktionalität von PCSM zu erweitern

Geplante Aufgaben Liste der aktiven und fertiggestellten Aufgaben

Geplante Reports Liste der konfigurierten und voreingestellten Reports Hilfecenter Hilfecenter mit Links zu Panda Security Ressourcen

Konto Zugriff auf die Details des Hauptadministrationsaccounts und auf die Ressourcen zum Erstellen neuer Rollen und

User. Weitere Informationen finden Sie in Kapitel 14.

PANDA


_____________________________________________________________________

22

Tableiste/Listenleiste Die Tableiste und auch die Listenleiste bieten Zugriff auf die in der PCSM-Konsole verfügbaren Tools. Mit diesen Tools kann man Übersichten mit ausführlichen In-

formationen über den Status der Geräte des jeweiligen Levels erstellen. So ist es möglich, Konfigurationen festzulegen und anzusehen.

Diese Leiste sieht etwas anders aus, wenn man auf sie über das Profillevel, Sys-temlevel oder Gerätelevel zugreift, da jeder Verwaltungsbereich anders ist.

Komponenten:

Tab Zugreifbar von Beschreibung

Übersicht Profil, Gerät Statusinformationen

Dashboard System Allgemeine Systemsteuerung

Geräte Profil Liste der zugänglichen Geräte mit dazugehörigen Informationen

Audit System, Profil,

Gerät

Audit-Liste für Hardware, Software und

Lizenzen

Verwalten System, Profil, Gerät

Liste der Patches – ausstehende und angewandte

Überwachungs-programm

System, Profil, Gerät

Liste der Warnmeldungen – von den Überwachungsprogrammen erstellt –

oder erledigte Aufgaben

Support System, Profil, Gerät

Liste der erstellten Tickets

Report System, Profil, Gerät

Liste und Erstellung von Reports nach Bedarf

Richtlinien System, Profil, Gerät

Liste und Erstellung von Richtlinien (später beschrieben)

Einstellungen Profil Konfiguration - zum Profil zugehörig

Gesperrte Geräte

System Liste der nicht installierten Geräte

PANDA


_____________________________________________________________________

23

Der Anwendungsbereich der Tableiste bezieht sich auf das jeweilige Le-

vel. Folglich wird sie Ihnen Informationen über alle Geräte anzeigen, wenn Sie im Systemlevel auf die Tableiste zugreifen. Wenn Sie im Pro-fillevel zugreifen, zeigt sie Informationen zu den Geräten im Profil. Wenn Sie im Gerätelevel zugreifen, werden nur Informationen für das jeweilige Gerät gezeigt.

Symbolleiste/Aktionsleiste

Die Symbolleiste oder Aktionsleiste greift auf Aktionen zu, um den Status der Geräte zu ändern. Diese Leiste gibt es nicht im Allgemeinen Menü, System und variiert

leicht, wenn auf sie vom Allgemeinen Menü, Profil oder einem bestimmten Gerät aus zugegriffen wird, da der Verwaltungsbereich unterschiedlich ist.

Der Anwendungsbereich der Symbolleiste wird gebildet, indem man manuell die Ge-räte auswählt, die einem Profil zugeordnet wurden.

Elemente:

Symbol Zugreifbar von Beschreibung

Gerät verschieben zu Profil, Gerät Verschieben eines oder der ausgewählten Geräte zu einem anderen Profil

Gerät hinzufügen zu Profil, Gerät Verschieben eines oder der ausgewählten Geräte zu einer

Gruppe

Bearbeiten Profil Hinzufügen von Notizen und benutzerdefinierten Feldern zu den

ausgewählten Geräten, die von Fil-tern benutzt werden können

Hin- und Herschalten Profil Geräte als Favoriten markieren für Schnellzugriff von Zusammenfas-sung/Dashboard

Löschen Profil, Gerät Ein Gerät aus einem Profil lö-schen. Das Gerät wird nicht länger verwaltet, der PCSM-Agent wird

PANDA


_____________________________________________________________________

24

deinstalliert und das Gerät wird dem Tab Gesperrte Geräte im All-gemeinen Menü, System hinzuge-fügt.

Audit anfordern Profil, Gerät Erzwingt die Ausführung eines

Audits (Das Audit ist ein automati-scher Job, der alle 24 h ausgeführt

wird)

Geplanter Job Profil, Gerät Einen Job für einen späteren Zeit-punkt planen

Einen Sofort-Job aus-führen

Profil, Gerät Erstellen und Ausführen eines Sofort-Jobs

Download Profil Download der Geräteliste im Profil

Hinzufügen/Entfernen

des Cache

Profil, Gerät Das Gerät als Netzwerkcache

markieren.

Privatsphäre einschal-ten

Profil, Gerät Verhindert Fernzugriff des Ad-ministrators auf die Geräte, es sei

denn, der Anwender genehmigt es

Eine Nachricht senden Profil, Gerät Senden einer Nachricht an ein

ausgewähltes Gerät

Reports planen Profil Reports für einen späteren Zeit-punkt planen

Aktualisieren Profil, Gerät Daten auf dem Bildschirm aktuali-sieren

Auslösen Gerät Installation des Agenten von einem ausgewählten Gerät auf an-dere Geräte im selben Netzwerk

auslösen

QR-Code Gerät QR-Code zum Ausdrucken und Auf-kleben auf ein Gerät für Inventari-

sierungszwecke

Wenn Sie Aktionen auf dem Systemlevel ausführen wollen, müssen Sie

einen Filter oder eine Gruppe erstellen, da das Systemlevel die Symbol-leiste standardmäßig nicht anzeigt.

Filter und Gruppenpanel Die linke Seite der PCSM-Konsole enthält drei Panels mit verschiedenen Gruppen:

Standardfilter: vom System automatisch erzeugte Filter

PANDA


_____________________________________________________________________

25

Profilfilter/Systemfilter: Gerätefilter, die vom Administrator entweder im

Profillevel oder Systemlevel erzeugt werden Profilgerätegruppen/Systemgerätegruppen: Gerätegruppen, die vom

Administrator entweder im Profillevel oder Systemlevel erstellt werden

Systemprofilgruppen: nur im Systemlevel verfügbar, dies sind Gruppen verschiedener Profile

Dashboards

Die Dashboards spiegeln den Status einer Reihe von Geräten wider. Es gibt vier Ar-ten von Dashboards:

Sicherheitsstatus Darauf kann vom Allgemeinen Menü, System aus zugegriffen werden. Zeigt den Si-cherheitsstatus aller verwalteten Geräte.

PANDA


_____________________________________________________________________

26

Systemdashboard Zugriff über Allgemeines Menü, System, indem man auf Systemdashboard klickt.

Es sammelt allgemeine Informationen über den Status aller Geräte: Benachrichti-gungen, Jobs, Warnmeldungen, etc.

PANDA


_____________________________________________________________________

27

PANDA


_____________________________________________________________________

28

Zusammenfassung (Profil) Zugriff über Allgemeines Menü, Profil. Es zeigt den Status aller Geräte, die zum aus-gewählten Profil gehören. Es gibt ein Dashboard Zusammenfassung für jedes erstell-

te Profil.

Zusammenfassung (Gerät) Zugriff über ein Gerät. Es zeigt den Status eines bestimmten Gerätes. Es gibt eine

Zusammenfassung für jedes verwaltete Gerät.

PANDA


_____________________________________________________________________

29

5. Filter und Gruppen

Was sind Gruppen und Filter? Gruppen und Filter sind Ressourcen für das Erstellen von Geräteclustern ähnlich wie beim Profil, aber einfacher und dynamischer. Während das Erstellen eines

Profils als statischer Aspekt des Markierens von Geräten eines bestimmten Kun-denkontos angesehen wird, sind Gruppen und Filter entwickelt worden, um sie leicht als Reaktion auf temporäre Besonderheiten oder Kriterien modifizieren zu

können.

Arten von Gruppen und Filtern Es gibt verschiedene Arten von Gruppen/Filtern:

- Profilgerätegruppen/Profilfilter: innerhalb eines speziellen Profils erstellt, können sie nur Geräte enthalten, die zum ausgewählten Profil gehören.

- Systemgerätegruppen/Systemfilter: im Systemlevel erstellt, können sie

Geräte enthalten, die zu einem, verschiedenen oder allen Profilen gehören. - Systemprofilgruppen: im Systemlevel erstellt, sind sie Gruppen von Profi-

len.

Filter und Gruppen können profilübergreifende Gerätegruppen sein; je

nachdem, wo sie erstellt wurden, können sie Geräte aus einem oder verschiedenen Profilen enthalten.

Gruppen

Gruppen sind Gruppen statischer Geräte. Ein Gerät wird durch direkte Zuordnung manuell einer Gruppe zugewiesen.

Filter Filter sind dynamische Gruppen von Geräten. Ein Gerät wird automatisch und in-

direkt einem Filter zugewiesen, je nach den Bedingungen für die Zugehörigkeits-einstellungen. Es kann eine oder verschiedenen Bedingungen für die Zugehörig-

keit zu einem Filter geben. Die Bedingungen sind durch logische Operatoren ver-knüpft (UND/ODER).

PANDA


_____________________________________________________________________

30

Im Folgenden finden Sie die Schritte zum Einrichten eines Filters.

Geben Sie dem Filter einen Namen. Der Name sollte beschreibend sein

und die gemeinsamen Eigenschaften der gruppierten Geräte nennen (z. B. „Microsoft Exchange Server“, „Workstations mit wenig Speicherplatz“)

Wenn es mehrere Bedingungen gibt, bestimmen Sie die logische Ver-knüpfung, die angewandt werden soll:

o Beliebig: jedes Gerät, das mindestens eine Bedingung erfüllt wird in den Filter miteinbezogen

o Alle: nur Geräte, die alle Bedingungen erfüllen, werden in den Filter miteinbezogen

Kriterien: jede Bedingungszeile besteht aus mehreren Feldern, die sie je

nach Typ beschreiben: o Feld: das Hauptfeld bestimmt, welche Gerätefunktion für die Einbe-

ziehung in den Filter genutzt wird. Die wichtigsten Kriterienfelder

sind unten aufgelistet und klassifiziert. o Bedingung: definiert die Bedingungen, zu denen die gewählten Kri-

terien ins Verhältnis gesetzt werden.

o Suchbegriff: beschreibt den Inhalt des Feldes. Je nach Art der Be-dingung, zeigt das Feld Suchbegriff die Veränderungen, die an den Datumsbereichen, Abschnitten, etc. vorgenommen wurden.

PANDA


_____________________________________________________________________

31

Im Folgenden finden Sie die verfügbaren Werte für jede Kriteriumsbedingungszeile:

Feld Bedingung Suchbegriff

String Leer – Nicht leer

Enthält – Enthält nicht

Beginnt mit – Beginnt nicht mit

Endet mit – Endet nicht mit

String. Benutze % als Platzhalter.

Ganzzahl Größer – Größer als oder gleich

Kleiner – Kleiner als oder gleich

Schließt ein

Schließt aus

Numerisch.

Binär Wahr/Falsch

Datum Vor – Nach

Älter als 30/60/90 Tage

Datumsintervall

Fügen Sie weitere Kriterienartenzeilen mit den Symbolen „+“ und „-„ auf der

rechten Seite hinzu.

Wählen Sie den Anwendungsbereich des Filters: o Alle Geräte in allen Profilen

o Nur Geräte in den ausgewählten Profilen Wählen Sie die Nutzer der PCSM-Konsole aus, die auf den Filter zugreifen

können Die Eigenschaften, die im Feld beschrieben sind, können wie folgt gruppiert werden,

gemäß der Gerätefunktionsbeschreibung:

Gerätestatus

Status – Online/Offline Gerät an oder aus

Status – gesperrt Geräte gesperrt

Antivirus An/Aus

Firewall An/Aus

Freie Festplattenkapazität Erkennt Geräte mit wenig Speicherplatz

Windows-Updates An/Aus

Geräterolle Unterscheidet Geräte nach ihrer Hauptfunktion

PANDA


_____________________________________________________________________

32

Gerätetyp: Server, Work-station, Smartphone, Lap-

top

Betriebssystem Unterscheidet zwischen Server- oder Client-

Betriebssystem

Architektur 32-bit oder 64-bit

Softwareversion

Service Pack Service Pack Version

Softwarepaket Installierte Software

Softwareversion

Hardware Informationen zu Hersteller, Modell, Version, etc.

CPU

BIOS

Name/Release/Version

Grafikkarte

Hersteller

Speicher

Modell

Monitor

Motherboard

Netzwerkkarte

Geräte ID Informationen, die das Gerät identifizieren und be-schreiben

Beschreibung Kurzbeschreibung

Profilbeschreibung

Profilname

Domain

IP-Adresse

MAC-Adresse

Seriennummer Die Seriennummer des Gerätes

Hostname Vom Betriebssystem zu-

gewiesener Name

Anderer Status

Favorit Verknüpfung vom Dash-board

Zuletzt gesehen

Letztes Audit

Letzter Benutzer

PANDA


_____________________________________________________________________

33

6. WIE MAN VERWALTETE GERÄTE EFFIZIENT GRUPPIERT

Die Verteilung in der PCSM-Konsole der verwalteten Geräte in einer MSP mit mehreren Kundenaccounts oder in einer IT-Abteilung mit verschiedenen Büros

beeinträchtigt die Effizienz drastisch, da viele Prozeduren und Aktionen konfigu-riert werden können, damit sie auf vielen Geräten laufen. Dies kann durch die richtige Kombination von Profilen, Gruppen und Filtern entschärft werden.

Unterschiede zwischen Profilen, Gruppen und Filtern

Es folgt eine Beschreibung der Vorteile und Einschränkungen der drei unterstütz-ten Gruppierungsmethoden.

Profile

Vorteile: - Sie ordnen allen Geräten dieselben Einstellungen für die Internetverbindung

zu: Das verhindert, dass jedes Gerät lokal von Hand konfiguriert werden

muss. - Sie verknüpfen E-Mail-Kontaktinformationen zum Senden von Berichten,

Warnmeldungen, Tickets, etc.

- Sie können auf die Tableiste und die Symbolleiste zugreifen und die Ausfüh-rung von Aktionen erlauben sowie Listen und konsolidierte Berichte zu allen

Geräten im Profil zweckmäßig und schnell anzeigen.

Einschränkungen:

- Ein Gerät kann nur zu einem Profil gehören. - Es ist nicht möglich ein Profil in einem (anderen) Profil zu verschachteln.

Filter und Gruppen

Vorteile:

- Gruppen/Filter ermöglichen es Ihnen, Untergruppen von Geräten innerhalb ei-nes oder mehrerer Profile zu erstellen.

- Ein Gerät kann zu verschiedenen Gruppen/Filtern gehören.

Einschränkungen:

- Gruppen/Filter haben eine begrenzte Funktionalität, da nicht auf die Tableiste

zugegriffen werden kann und deshalb keine konsolidierten Listen erzeugt wer-den können.

- Der Zugriff auf Reports ist eingeschränkt; die erstellten Reports werden nur

Informationen über ein Gerät enthalten.

PANDA


_____________________________________________________________________

34

Gruppen/Filter sind Profile innerhalb von Profilen (so viele wie Sie wollen),

aber sie haben beschränkten Zugriff auf konsolidierte Reports und die Tableis-te.

Allgemeine Herangehensweise und Geräteverwaltungsstruktur Die folgenden allgemeinen Regeln werden angewandt:

Gruppieren Sie Geräte in Profilen, um die Geräte von verschiede-

nen Kundenkonten zu trennen Profile beschränken die Erstellung von Konsolidierten Reports oder Listen nicht und

erlauben, dass die Einstellungen für alle zu einem Profil gehörenden Geräte gelten.

Erstellen Sie Profilgerätegruppen, um Geräte nach Hardware/ Software/Konfiguration/Gebrauch zu gruppieren

Konfigurieren Sie z. B. Profilgerätegruppen, um Geräte nach Abteilungen innerhalb eines Kundenkontos mit ähnlichen Eigenschaften (installierte Software, allgemeine Anforderungen, Druckerzugriff, etc.) oder nach Rollen (Server/Workstations) zu tren-

nen.

Erstellen Sie Profilfilter, um Computer mit einem gemeinsamen

Status innerhalb eines Profils zu finden Benutzen Sie Filter, um schnell, automatisch und proaktiv ungewöhnliche Umstände

zu finden, die nicht in festgelegte Grenzbereiche fallen (zu geringer Speicherplatz, zu wenig physikalischer Speicher installiert, unerlaubte Software, etc.) oder um Geräte mit speziellen Eigenschaften zu finden.

Es ist nicht ratsam, Filter für Gruppen mit statischem Charakter zu nut-

zen.

Erstellen Sie Systemprofilgruppen, um Profile zu gruppieren Wenn es Kundenkonten oder Büros mit sehr ähnlichen Eigenschaften und einer Viel-

zahl von Geräten gibt, können Sie diese in derselben Systemprofilgruppe zusammen-fassen, um die Verwaltung zu erleichtern.

PANDA


_____________________________________________________________________

35

Verknüpfen Sie Kontogruppen und Filter mit technischen Profilen

Wenn ein MSP oder ein Unternehmen mittelgroß bis groß ist, werden sich die Tech-niker auf bestimmte Aufgaben spezialisieren. So wird es Techniker geben, die nur

bestimmte Gerätetypen verwalten, wie z. B. Exchange Server oder Windows XP Workstations. Eine Systemgruppe oder ein Filter helfen, diese Geräte zu lokalisieren und zu gruppieren, ohne dafür Profil für Profil durchgehen zu müssen. Um das Sze-

nario zu vervollständigen, ist es empfehlenswert, Rollen und neue Benutzerkonten zu erstellen und zu konfigurieren, wie in Kapitel 14 beschrieben.

PANDA


_____________________________________________________________________

36

7. Die ersten 8 Schritte zur Benutzung von PCSM

Das erste Profil erstellen und konfigurieren Zuerst müssen Sie festlegen, ob Sie ein neues Profil erstellen wollen oder eins wiederverwenden möchten, das bereits genutzt wird. Das hängt von den Verwal-

tungskriterien ab, die Sie verwenden. Ein neues Kundenkonto wird im Allgemei-nen einem neuen Profil gleichkommen.

Tragen Sie die Informationen entsprechend ein. Beachten Sie, dass das Textfeld

von den Filtern, die Sie hinzufügen, benutzt werden kann, und dass sie sich auf den Inhalt dieses Feldes beziehen.

Wenn das Gerät im Profil für den Internetzugriff zusätzliche Informationen über

den HTTP-Proxy benötigt, können diese Informationen hier bereitgestellt oder später hinzugefügt werden.

PANDA


_____________________________________________________________________

37

Es ist ratsam, das Profil nach der Erstellung über den Tab Einstellungen zu konfi-

gurieren. Diese Konfiguration wird in den auf jedem verwalteten Gerät installier-ten PCSM-Agenten integriert.

Den PCSM-Agenten installieren

Der auf den Kundengeräten installierte PCSM-Agent benötigt bestimmte Basisin-formationen, um zu funktionieren:

- Das Profil, zu dem er gehören wird - Die Mindestinformation, die er benötigt, um auf das Internet zuzugreifen und

eine Verbindung zum PCSM-Server herzustellen Das Profil, zu dem der PCSM-Agent gehört, wird automatisch festgelegt, wenn Sie

beginnen, vom Profil herunterzuladen oder zu senden.

PANDA


_____________________________________________________________________

38

Die Internetverbindungsdaten wurden im vorherigen Schritt beim Erstellen des Profils

oder in der Tableiste, Einstellungen eingegeben, sodass der heruntergeladene PCSM-Agent diese Informationen bereits enthält.

Der PCSM-Agent kann auf zwei Arten heruntergeladen werden.

- Senden des heruntergeladenen PCSM-Agenten (E-Mail, installieren mit

Active Directory, etc.) - Einen direkten Link per E-Mail an den Agenten schicken

Den PCSM-Agenten in großen Netzwerken zu installieren und bereitzustellen, kann zeitaufwändig und mühsam sein, wenn Sie ihn jedem einzelnen Gerät separat schi-cken müssen. Die einfachste Art für eine Masseninstallation ist:

- Senden Sie den PCSM-Agenten an das erste Gerät im Netzwerk

Um den PCSM-Agenten zu installieren, müssen Sie normalerweise nur auf das her-untergeladene Package doppelklicken. Die Installation wird ohne Bestätigungen „still“

abgeschlossen. Wenn der PCSM-Agent installiert ist, wird er sich mit dem PCSM-Server verbinden und in der Liste der verwalteten Geräte im ausgewählten Profil erscheinen.

- Autoinstallation auf anderen Netzwerkgeräten

Durch Auswählen des Gerätes, auf dem der PCSM-Agent zuerst installiert wurde, können Sie die Masseninstallation im restlichen Netzwerksegment starten.

PANDA


_____________________________________________________________________

39

Überprüfung der Geräteliste im Profil und Basisfilterung Sie können die Geräte für einen schnelleren Zugriff favorisieren, Listen aufstellen, diese schnell je nach Rolle des Gerätes filtern und ihre Größe verändern, um mehr

oder weniger Positionen anzuzeigen.

Hardware-, Software- und Lizenzprüfung Die Tableiste, Audit, enthält alle Auditdetails der zum Profil gehörenden Geräte.

Wenn auf sie im Gerätelevel zugegriffen wird, werden ausführliche Informationen über das Gerät angezeigt.

PANDA


_____________________________________________________________________

40

Patch-Management In der Tableiste, Verwalten können Sie noch nicht installierte Patches genehmigen.

Erstellen Sie im Profil über die Tableiste, Richtlinien, eine Richtlinie für Windows Up-dates oder das Patch-Management. Mit diesen Richtlinien können Sie die Anwendung von Patches und andere Parameter konfigurieren. Weitere Informationen zum Patch-

Management finden Sie in Kapitel 13. In Kapitel 8 finden Sie weitere Angaben zum Erstellen von Richtlinien.

PANDA


_____________________________________________________________________

41

Überwachungsprogramme erstellen Installieren Sie Überwachungsmechanismen auf Netzwerkgeräten. Im Allgemeinen Menü, System, oder in einem bestimmten Profil in der Tableiste,

Richtlinien, klicken Sie auf System/Profilrichtlinie hinzufügen.

In Typ wählen Sie Überwachen.

Fügen Sie ein Ziel (eine oder verschiedene Gruppen oder Filter) und ein Überwa-chungsprogramm hinzu. Beim Hinzufügen eines Überwachungsprogramms erscheint ein Assistent mit 4 Schritten, mit dem Sie die notwendigen Einstellungen konfigurie-

ren können.

PANDA


_____________________________________________________________________

42

Weitere Informationen zu Überwachungsprogrammen finden Sie in Kapitel 9.

ComStore Erweitern Sie die Funktionalität von PCSM und installieren Sie zentral Software von

Drittanbietern mit den im ComStore veröffentlichten Komponenten.

Die Komponenten, die direkt vom Partner/IT-Manager genutzt werden, müssen aus

dem ComStore heruntergeladen werden. „Meine Komponenten“ zeigt die Komponenten, die bereits heruntergeladen wurden

und zur Nutzung bereitstehen.

PANDA


_____________________________________________________________________

43

„ComStore“ zeigt die Komponenten, die aus dem ComStore heruntergeladen werden

können. Um eine Komponente herunterzuladen, wählen Sie eine aus und klicken Sie auf „Kau-fen“. Sie wird sofort zu „Meine Komponenten“ hinzugefügt.

Alle Komponenten im ComStore sind kostenfrei.

Je nach Typ kann die Komponente als Job ausgeführt werden oder als Reaktion auf einen vom Überwachungsprogramm erzeugten Warnhinweis.

In der Tableiste, Geräte im Profil, wählen Sie die Geräte aus, für welche die Kompo-nenten übernommen werden sollen und wählen Sie zwischen Einen Job planen oder

Einen Sofort-Job ausführen.

Zugriff auf fernverwaltete Geräteressourcen

Obwohl viele tägliche Arbeiten direkt von der PCSM-Konsole aus durchgeführt wer-den können, kann es erforderlich sein, direkt auf ein Gerät mittels des PCSM-

Agenten zuzugreifen. Dazu muss der Agent auf den Geräten der Techniker installiert sein, sodass sie Fernsupport bieten und sich mit ihrem Benutzernamen und Passwort einloggen können.

PANDA


_____________________________________________________________________

44

Wenn Sie eingeloggt sind, lokalisieren Sie das zu verwaltende Gerät, indem Sie sei-nen Namen benutzen. Erweitern Sie dazu die Profile, auf die der Techniker zugreifen

kann, entweder mit den gelieferten Anmeldedaten oder durch Auflisten der als Favo-riten markierten Geräte.

Nach dem Lokalisieren des Gerätes kann auf alle Fernzugriffs- und Fernsteue-

rungsoptionen sowohl über die Symbole als auch über die Menüs zugegriffen wer-den.

PANDA


_____________________________________________________________________

45

Die Optionen, die den Anwender nicht an der Arbeit im System hindern sind:

- Remote Screen Capture: schneller Überblick über Fehlermeldungen

- Windows Services Tab: Fernzugriff zum Stoppen, Starten und Neustarten von Services, ohne auf den entfernten Desktop zugreifen zu müssen

- Sitzung mit Bildschirmfreigabe: Bildschirmfreigabe. Der Anwender sieht,

was der Techniker auf dem Gerät macht. - Command Shell: entfernte DOS-Befehlszeile - Agenteninstallation: den PCSM-Agenten im gesamten LAN installieren

- Taskmanager: Fernzugriff auf den Taskmanager, ohne auf den entfernten Desktop zugreifen zu müssen

- Dateitransfer: Dateien senden und empfangen

- Registry-Editor: Fernzugriff auf das Regedit-Tool, ohne auf den entfernten Desktop zugreifen zu müssen

- Sofort-Jobs: Jobs starten

- Ereignisanzeige: Fernzugriff auf die Ereignisanzeige, ohne auf den entfern-ten Desktop zugreifen zu müssen

- Aufwecken: erlaubt einem eingeschalteten Gerät, den restlichen Geräten im

selben LAN-Segment ein „magisches Paket“ zu schicken, um sie aus der Ferne einzuschalten.

Die Optionen, die den Anwender an der Nutzung des Gerätes hindern, sind:

- Windows RDP: Fernzugriff auf den Desktop via RDP, was die Sitzung des Anwenders beenden wird

- Herunterfahren/Neustart: Herunterfahren oder Neustart des Zielgerätes

PANDA


_____________________________________________________________________

46

8. Richtlinien

Was sind Richtlinien?

Jede spezielle Konfiguration oder Aktion, die im Laufe der Zeit in regelmäßigen Abständen auf einem oder verschiedenen durch PCSM verwalteten Geräten wie-

derholt wird. Die Anwendung erfolgt durch das Ausgeben einer Richtlinie an jeden installierten PCSM-Agenten. Richtlinien sind Konfigurationscontainer, bestehend aus:

Zielen: Gerätegruppen, für welche die Richtlinie gelten soll

Services: je nach Art der Richtlinie wird der PCSM-Agent eine bestimmte

Reihe von Aktionen auf jedem Gerät ausführen

Richtlinien können auf drei verfügbaren Levels erstellt werden, je nach der Anzahl

der Geräte und davon abhängig, ob sie zum selben oder zu verschiedenen Kun-den gehören:

Systemrichtlinie: Definieren einer Aktion für die Systemprofilgruppen, Sys-temfilter oder Systemgerätegruppen

Profilrichtlinie: Definieren einer Aktion für die Profilgruppen oder Profilfilter Geräterichtlinie: Definieren einer Aktion für ein bestimmtes Gerät

Wie man eine Systemrichtlinie festlegt

Im Allgemeinen Menü, System, durch Klicken auf die Tableiste, Richtlinien.

Ein Fenster erscheint, in dem Sie den Namen der Richtlinie eintragen können und ob der Typ auf einer bereits erstellten Richtlinie basiert, um das Erstellen zu erleichtern.

PANDA


_____________________________________________________________________

47

Das nächste Fenster fragt die Daten ab, die benötigt werden, um die Richtlinie zu

konfigurieren. Je nach der Art der Richtlinie, die Sie in diesem Fenster auswählen, wird nach dem einen oder anderen Datentyp gefragt.

In diesem Fall haben wir eine Agentenrichtlinie erstellt und deshalb werden im Ab-

schnitt „Agent Richtlinienoptionen“ die Konfigurationsdaten abgefragt, die Einfluss darauf haben werden, wie der PCSM-Server und der Anwender mit dem auf den Netzwerkgeräten installierten PCSM-Agenten interagieren werden.

Alle Arten von Richtlinien erfordern die Konfiguration des Ziels, das eine definierte Gruppe oder ein definierter Filter sein wird. Da dies eine im Systemlevel erstellte

Richtlinie ist, werden nur vorher erstellte Systemgerätegruppen, Systemfilter und Systemprofilgruppen angezeigt.

PANDA


_____________________________________________________________________

48

Wie man eine Profilrichtlinie festlegt Im Allgemeinen Menü, Profile, wählen Sie ein bestimmtes Profil, dann klicken Sie in der Tableiste auf Richtlinien.

Die restlichen Schritte sind dieselben wie beim Erstellen einer Systemrichtlinie.

Da dies eine im Profillevel erstellte Richtlinie ist, werden nur vorher erstellte Profilge-rätegruppen und Profilfilter angezeigt.

Um eine Richtlinie im zugehörigen Profil zu deaktivieren, klicken Sie auf Ein/Aus un-

ter „Für dieses Profil aktiviert“.

Wie man eine Geräterichtlinie festlegt Im Profilmenü wählen Sie erst ein bestimmtes Profil aus und dann ein Gerät in der Tableiste, Überwachung, und dann wählen Sie Überwachungsprogramme.

PANDA


_____________________________________________________________________

49

Die restlichen Schritte sind dieselben wie beim Erstellen einer System- oder Profil-richtlinie.

Da es eine Geräterichtlinie ist, erscheint die Option „Ziel wählen“ nicht: Die Richtlinie gilt nur für das ausgewählte Gerät.

Die Schaltfläche Überwachung sperren deaktiviert alle aktiven Überwachungspro-gramme auf diesem Gerät; das Gerät erscheint in der PCSM-Konsole als Gesperrt.

Systemrichtlinien und Profilrichtlinien werden in der Tableiste, Richtli-nien, definiert, aber Geräterichtlinien werden in der Tableiste, Überwa-chung, festgelegt.

Arten von Richtlinien Es gibt 5 Arten von Richtlinien:

Agent

Diese Art der Richtlinien bestimmt das Erscheinungsbild des PCSM-Agenten und die Funktionalität, die dem Anwender und dem PCSM-Server gezeigt werden.

PANDA


_____________________________________________________________________

50

- Nur Installieren: Versteckt das Tray-Symbol, sodass der Anwender nicht auf

die Konfigurationsfenster zugreifen kann. - Aktiver Modus Privatsphäre: Eine Fernverbindung zum Desktop des An-

wenders erfordert dessen ausdrückliche Zustimmung.

- Einstellungen deaktiviert: Der Anwender kann nicht auf das Kontextmenü des PCSM-Agenten zugreifen.

- Audits deaktiviert: Die ausgewählten Geräte senden keine Hardware-/

Software-Auditdaten. - Eingehende Jobs deaktiviert: Jobs werden nicht an den PCSM-Agenten

gesendet.

- Ankommender Support deaktiviert: Zugriff des Administrators auf den PCSM-Agenten nicht möglich.

- Agent-Browser-Modus: Der Ausführungsmodus des PCSM-Agenten kann

bestimmt werden. o Deaktiviert

o Anwender: Der PCSM-Agent zeigt das Support-Fenster nicht an und dadurch ist der Zugriff im Administrator-Modus nicht möglich.

o Administrator: vollständige Ausführung des PCSM-Agenten

Überwachung Mit dieser Richtlinie können Sie Überwachungsprozesse für Geräteressourcen hinzu-

fügen.

Patch-Management

Patch-Management ist eine der in Panda Cloud Systems Management ver-fügbaren Methoden zum Herunterladen und Installieren von Softwarepatches.

PANDA


_____________________________________________________________________

51

Energie

Diese Richtlinie ermöglicht die Konfiguration der Energiespareinstellungen auf den Geräten.

Windows Update

Windows Update ist eine Umsetzung der verfügbaren Optionen auf einem WSUS-Server und ermöglicht die Konfiguration der gebräuchlichsten Patch-Management-Optionen für Microsoftsystems.

PANDA


_____________________________________________________________________

52

Wie man eine Richtlinie anwendet Nach dem Erstellen einer Richtlinie wird auf dem Bildschirm Richtlinien eine Zeile hinzugefügt.

Um die Richtlinie anzuwenden, klicken Sie auf „Änderungen ausführen“. Die An-wendung der Richtlinie erfolgt auf allen betroffenen Geräten.

PANDA


_____________________________________________________________________

53

9. Überwachung

Was ist das?

Überwachungen sind Richtlinien, die Störungen unbeaufsichtigt auf Anwenderge-räten erkennen. So kann der IT-Administrator Überwachungen für die Geräte der

Anwender konfigurieren, die bei ungewöhnlichen Vorfällen automatisch Warnmel-dungen oder Skripte ausführen, damit diese gelöst werden – und all das ohne manuelles Eingreifen.

Struktur eines Überwachungsprogramms

Ein Überwachungsprogramm besteht aus drei Konfigurationsgruppen:

Überwachungstyp: bestimmt die Funktion

Bedingungen: Überwachungsparameter, welche die Bedingungen be-

schreiben, unter denen eine Reaktion ausgelöst wird Reaktion: automatische Aktionen, die das Überwachungsprogramm aus-

lösen kann. Es gibt drei Arten von Reaktionen:

o Komponenten ausführen o E-Mails senden

o Tickets erstellen (Kapitel 12)

Überwachungsprogramme erstellen Klicken Sie auf System/Profilrichtlinie hinzufügen im Allgemeinen Menü, System, oder in einem bestimmten Profil in der Tableiste, Richtlinien.

PANDA


_____________________________________________________________________

54

Unter Typ wählen Sie Überwachen.

Fügen Sie ein Ziel und ein Überwachungsprogramm hinzu.

Eine Richtlinie kann mehr als ein dazugehöriges Überwachungspro-gramm haben.

Beim Hinzufügen eines Überwachungsprogramms erscheint ein Assistent mit 4 Schritten, mit dem Sie die notwendigen Einstellungen konfigurieren können.

PANDA


_____________________________________________________________________

55

Schritt 1: Arten von Überwachungsprogrammen

In diesem Schritt bestimmen Sie das Überwachungsprogramm, das gemäß den auf dem Gerät des Anwenders zu überwachenden Ressourcen zur Richtlinie hin-

zugefügt wird.

Name des Überwa-chungsprogramms

Funktion Verfügbar in

Onlinestatusüberwachung Überprüfen, ob das Gerät online ist Windows, Mac

CPU-Überwachung Kontrolle der CPU-Nutzung Windows, Mac

Speicherüberwachung Kontrolle der Speichernutzung Windows, Mac

Komponentenüberwachung Starten einer Komponente, die aus

dem ComStore heruntergeladen oder vom Administrator entwickelt wurde

Windows, Mac

Prozessüberwachung Kontrolle des Status eines bestimm-ten Prozesses

Windows, Mac

Dienstüberwachung Kontrolle des Status eines bestimm-

ten Dienstes

Windows

Ereignisprotokollüberwachung Überwachen der Ereignisanzeige Windows

Softwareüberwachung Überwachen der auf dem Gerät installierten oder deinstallierten Software

Windows

Überwachung des Security Centers

Kontrolle des Windows Security Center Status

Windows

Überwachung der Festplat-tennutzung

Kontrolle der Festplattenauslastung Windows

Überwachung der Dateien-/

Ordnergröße

Kontrolle der Größe von Dateien

und Ordnern

Windows

PANDA


_____________________________________________________________________

56

Schritt 2: Einzelheiten zu Überwachungsprogrammen

Je nach seiner Funktion benötigt jedes Überwachungsprogramm leicht unter-schiedliche Einstellungen. Also wird dieser Schritt je nach Art des vorher ausge-

wählten Überwachungsprogramms variieren.

Im Allgemeinen erfordert dieser Schritt die folgenden Daten:

Auslösedetails: ergänzende Überwachungseinstellungen und Bedingun-gen, die zum Auslösen einer Reaktion erfüllt sein müssen

Warndetails: Sie können die Priorität des Warnhinweises festlegen (Kri-tisch, Hoch, Mittelschwer, Niedrig, Information).

Details zur Auto-Auflösung: Sie können festlegen, wann ein Warnhin-weis als automatisch aufgelöst gilt.

Schritt 3: Einzelheiten zu Rückmeldungen

In diesem Schritt können Sie die Reaktion auswählen, die ausgelöst wird, wenn die in Schritt 2 definierten Grenzwerte erreicht werden.

PANDA


_____________________________________________________________________

57

Folgende Komponente ausführen: die Drop-Down-Liste zeigt Ihnen die

Komponenten, die aus dem ComStore importiert oder vom Administrator ent-wickelt wurden.

Folgenden Empfängern eine E-Mail schicken: Sie können die Empfänger, den Betreff und das Format der E-Mails festlegen. Über das Kontrollkästchen Standardempfänger werden E-Mails an die in der Tableiste, Einstellungen, im

jeweiligen Profil festgelegten Konten gesendet.

Schritt 4: Einzelheiten zu Tickets

In diesem Schritt können Sie die automatische Erstellung von Tickets aktivieren. Wenn die im Schritt 2 definierten Grenzwerte erreicht werden, generiert das Überwa-chungsprogramm als Reaktion ein Ticket.

Bevollmächtigter: Ordnen Sie die vom Überwachungsprogramm erstellten Tickets einem Techniker zu.

Ticket E-Mail-Benachrichtigung: Senden Sie eine E-Mail mit den vom Überwachungsprogramm erzeugten Daten an die Adresse des Technikers.

PANDA


_____________________________________________________________________

58

10. Komponentenentwicklung

Warum Komponenten entwickeln? Das Entwickeln von Komponenten ermöglicht dem Administrator, neue Prozesse zu kreieren, die auf den Geräten der Anwender laufen und die Funktionalität der

PCSM-Plattform erweitern. Obwohl Panda Cloud Systems Management eine Sammlung an Standard-

komponenten (ComStore) bietet, kann es notwendig sein, besondere Komponen-ten für die Ausführung spezieller Aufgaben zu entwickeln.

Panda Cloud Systems Management wird deshalb als eine erweiterbare Platt-form für die Fernverwaltung und Überwachung angeboten, die sich leicht an die speziellen Bedürfnisse jedes Kunden anpasst.

Was sind die Voraussetzungen für das Entwickeln von Komponen-ten? Zunächst einmal grundlegende Programmierkenntnisse in einer der unterstützten

Skriptsprachen:

Sprache Als Standard enthalten in Anbieter

Batch Alle Windowsversionen Microsoft

Visual Basic Script Windows 98 und später

Windows NT 4.0 Option Pack und später

Microsoft

JavaScript (Jscript) Windows 98 und später

Windows NT 4.0 Option Pack und später

Microsoft

Powershell Windows 7 Microsoft

Python Mac OS X 10.3 (Panther) Python Software Foundation

Ruby - Yukihiro Matsumoto

Groovy - Pivotal & Groovy Community

Darüber hinaus muss der zur ausgewählten Skriptsprache dazugehörige Parser

installiert sein und auf dem Gerät des Anwenders laufen.

Einige Parser wie Python oder Groove müssen installiert werden und

deshalb ist es nicht garantiert, dass die in diesen Sprachen program-mierten Komponenten auf kürzlich installierten Windows-Computern

funktionieren.

PANDA


_____________________________________________________________________

59

Vor dem Starten einer Komponente, die in einer nicht direkt vom An-

wendergerät unterstützten Sprache entwickelt wurde, ist es empfeh-

lenswert einen automatischen Job auszuführen, der den Parser verteilt. Softwareverteilung wird in Kapitel 11 beschrieben.

Allgemeine Architektur von PCSM-Komponenten

Die für Panda Cloud Systems Management entwickelten Komponenten sind in drei Arten eingeteilt, je nach ihrem Zweck, ihrem Verhalten und ihrer Ausfüh-rungsmethode.

Anwendungen:

Diese Komponenten erleichtern die Softwareinstallation im Netzwerk des Kunden. Sie werden in Kapitel 11 beschrieben.

Komponenten sind Skripte, die im Allgemeinen nur einmal ausgeführt werden und mit mindestens einer externen Datei (zu installierende Software) verbunden sind.

Überwachungsprogramme:

Die Überwachungsprofilrichtlinien oder Systemrichtlinien sind mit einer Kompo-nente verbunden, welche die Überwachungsaufgaben ausführt. Im Allgemeinen gibt es drei Arten von Überwachungsprogrammen:

- Intern: direkt zugreifbar von der PCSM-Konsole aus, wenn eine Richtlinie

erstellt wird

- Extern: Komponenten, die von Panda Security im ComStore veröffentlicht werden

- Benutzerdefiniert: Komponenten, die vom IT-Administrator entwickelt wur-

den Externe und benutzerdefinierte Komponenten werden alle 60 Sekunden auf dem Ge-

rät ausgeführt.

Das Ausführungsinterval einer externen oder benutzerdefinierten Komponente kann nicht verändert werden. Das Verlängern der Laufzeit einer externen oder benutzerdefinierten Komponente muss in der Komponente erfolgen, z. B. durch Speichern von Zeitstempeln mit dem letzten Ausführungsdatum und

durch Überprüfen dieses Wertes bei jeder Ausführung der Komponente.

PANDA


_____________________________________________________________________

60

Skripte: Dies sind kleine in Skriptsprache entwickelte Programme, die auf dem Gerät des Kunden laufen. Sie können einmal durch einen Job ausgeführt werden oder re-

gelmäßig nach dem im Terminplaner festgelegten Kalender. In allen Fällen gilt, wenn die Komponenten auf die PCSM-Server-Plattform gela-

den wurden, werden sie auf alle nötigen Geräte kopiert und dort ausgeführt.

Übersichtstabelle

Komponententyp Ausgeführt von Läuft (alle) Zweck

Anwendungen Sofort-Job oder Geplanter Job

Bei Bedarf oder wenn im Kalender festgelegt

Zentralisierte Soft-warebereitstellung und –installation (Be-

schreibung in Kapitel 11)

Überwachungs-programme

Profilrichtlinie oder Systemrichtlinie

60 Sekunden (fest)

Geräteüberwachung

Skripte Sofort-Job oder

Geplanter Job

Bei Bedarf oder

wenn im Kalender festgelegt

Anwendungen aus-

führen, die vom Ad-ministrator entwickelt wurden

Überwachungsprogramme, Anwendungen und Skripte haben fast die-

selbe innere Struktur. Der Komponententyp bestimmt nur, wie die Ver-bindung zur PCSM-Konsole erfolgt. Deshalb werden beim Erstellen ei-

nes Jobs nur Skript- oder Anwendungskomponenten aufgelistet und beim Erstellen eines Überwachungsprogrammes erscheinen nur Über-wachungsprogrammkomponenten, die kreiert oder aus dem ComStore

importiert wurden.

Eine Überwachungsprogrammkomponente erstellen Komponentendarstellung und Zweck

Es folgen die Einzelheiten zu den Schritten beim Erstellen und Verteilen eines Überwachungsprogramms auf die Geräte in einem bestimmten Profil. Der Zweck der Komponente ist es, die Quarantäne des Sicherheitsproduktes Panda Cloud Office Protection leicht und einfach zu verwalten. Quarantäne

speichert verdächtige Dateien, die Malware enthalten könnten und auch Dateien, die als Virus erkannt wurden. Deshalb muss der Administrator immer wissen, wie viele Dateien sich in Quarantäne befinden.

PANDA


_____________________________________________________________________

61

Das Beispiel zeigt außerdem, wie einfach es ist, neue Überwachungsprogramme

für andere Softwarelösungen anzupassen und zu integrieren. Nachstehend finden Sie eine Zusammenfassung der Komponentenfunktionen.

Betroffene Geräte Alle Windows 7 Geräte im Home Profil

Skriptsprache Visual Basic Script

Häufigkeit der gesen-deten Informationen

Alle 10 Minuten wird eine Benachrichtigung gesendet, ob sich die Anzahl der Dateien in Quarantäne erhöht hat

PCSM-Aktionen Eine E-Mail mit den Überwachungsergebnissen wird an den Administrator gesendet Automatische Erstellung von Warnhinweisen

Eines der zu lösenden Probleme ist, dass der PCSM-Agent das Skript automa-

tisch alle 60 Sekunden ausführt, aber die Informationen nur alle 10 Minuten wei-tergibt.

Notwendige Komponenten Um diesem Beispiel zu folgen, wird eine Panda Cloud Office Protection Lizenz

benötigt und der PCSM-Agent muss auf dem Gerät installiert sein. Da die Dinge, die von Panda Cloud Office Protection in Quarantäne geschickt werden, Da-teien in einem speziellen Ordner auf dem Gerät sind, kann dieses Bei-

spiel auch für jeden anderen Ordner im System genutzt werden. Panda Cloud Office Protection ist eine vollständige, cloud-basierte Sicher-

heitslösung, die leicht zu benutzen ist und das Leistungsvermögen der Collective Intelligence nutzt, um maximalen Schutz vor Spam und bekannten Bedrohungen

für Desktops, Server, Laptops und Exchange Server in Echtzeit zu bieten. Die Komponente wird in Visual Basic Script entwickelt und deshalb müssen der

Wscript.exe oder der Cscript.exe Parser auf dem Gerät des Anwenders installiert sein. Dieser Parser kommt als Standard auf allen Windows-Betriebssystemen.

Kommunikationsprotokoll zwischen der Komponente und dem PCSM-Server Fast alle Komponenten benötigen Informationen vom PCSM-Server und senden

die Ergebnisse ihrer Ausführung zurück. Alle zwischen dem PCSM-Server und der Komponente ausgetauschten Informationen werden durch die auf dem Gerät erstellten Umgebungsvariablen ausgeführt.

Diese Umgebungswerte werden automatisch durch den PCSM-Agenten erstellt, wenn eine Komponente gestartet wird. Es ist jedoch normal, dass das Skript ma-

nuell Umgebungsvariablen erstellt, um Rückmeldungen an den PCSM-Server zu senden, welche dieser sammelt und der PCSM-Konsole hinzufügt.

PANDA


_____________________________________________________________________

62

In diesem Fall werden drei Umgebungsvariablen benötigt.

Name der Variable Aktion Zweck

PCOP_PATH Lesen Das Skript liest auf dem Gerät den Pfad

aus, in dem PCOP die Quarantäne-Elemente speichert.

Ergebnis Schreiben Sendet durch die Standardausgabe alle 10 Minuten Daten an den PCSM-Server

Errorlevel Schreiben Skript-Errorcode. Wenn er 0 ist, schließt

der PCSM-Server daraus, dass die Überwachung korrekt ist und sammelt keine Standardausgabedaten. Wenn er 1

ist, schließt der PCSM-Server daraus, dass die Überwachung nicht korrekt ist,

sammelt Standardausgabedaten (Ergeb-nisvariable) und verarbeitet sie.

Für die Ausführung der Komponente auf dem Gerät des Kunden wird der Pfad zu dem Ordner benötigt, der überwacht werden soll. Dieser Pfad könnte im Skript-quellcode fest eingebaut sein, aber in diesem Beispiel werden die vom Adminis-

trator in die PCSM-Konsole eingegebenen Werte genutzt, um der Komponente mehr Flexibilität zu geben.

Das Errorlevel informiert den PCSM-Server darüber, ob er die Skriptrückmel-dung (Ergebnisvariable) verarbeiten muss oder nicht: Wenn die Anzahl der in Quarantäne befindlichen Dateien dieselbe oder niedriger ist (Leeren der Quaran-

täne), wird ein Fehlerlevel 0 gesendet. Wenn sich die Anzahl der Dateien jedoch erhöht hat, dann wird 1 gesendet und bestimmte Informationen werden in die

Standardausgabe (Ergebnisvariable) geschrieben. Damit der PCSM-Server die Standardausgabe richtig interpretieren und den Inhalt aus der Ergebnisvariable der Komponente entnehmen kann, muss das folgende Format verwendet werden:

Zeile 1: <-Start Result->

Zeile 2: Result=data to send)

Zeile 3: <-End Result->

Wenn die gewählte Skriptsprache Batch ist, muss das Symbol ^ vor je-dem „<“ oder „>“ Zeichen eingefügt werden. Zum Beispiel

^<-Start Result-^>

PANDA


_____________________________________________________________________

63

Ergebnis wird die Variable sein, aus welcher der PCSM-Server die Daten ent-nimmt, um die Ausführung der Komponente zu beenden. Der String rechts von

„=“ ist der Inhalt, den der PCSM-Server speichert und verarbeitet.

Allgemeines Funktionsschema - Schritt 1: die Komponente Überwachungsprogramm auf die PCSM-Plattform

laden - Schritt 2: das Überwachungsprogramm über die Systemrichtlinien oder die

Profilrichtlinien installieren

- Schritt 3: die Komponente alle 60 Sekunden ausführen - Schritt 4: Informationen alle 10 Minuten senden und in der PCSM-Plattform

verarbeiten

Schritt 1: Laden der Komponente „Überwachungsprogramm“ auf die PCSM-

Plattform Im Allgemeinen Menü, Komponenten, Komponente hinzufügen.

PANDA


_____________________________________________________________________

64

Wählen Sie den Skripttyp Überwachungsprogramme.

Wählen Sie die zu benutzende Skriptsprache aus, in diesem Beispiel VBScript.

Stellen Sie die maximale Ausführungszeit der Komponente ein. Nach Ablauf der Zeit wird der PCSM-Agent die Ausführung unterbrechen.

Es ist empfehlenswert, sehr schlanke Komponenten zu entwickeln, die

sehr schnell ausgeführt werden. Legen Sie die Eingabe- und Ausgabevariablen fest. In diesem Beispiel enthält

PCOP_PATH den Pfad zum Panda Cloud Office Protection Quarantäne-Ordner. Ergebnis wird den Skriptoutput enthalten.

PANDA


_____________________________________________________________________

65

Durch das Klicken auf Speichern wird die Komponente dem Konto-Repository hin-zugefügt.

Schritt 2: Installieren des Überwachungsprogramms durch System- oder Profilrichtlinien

Wenn Sie ein Überwachungsprogramm entwickeln, müssen Sie eine Überwa-chungsprofilrichtlinie oder eine Systemrichtlinie erstellen.

Fügen Sie das Ziel Windows 7 und ein Komponentenüberwachungsprogramm hin-zu.

PANDA


_____________________________________________________________________

66

Wählen Sie die gerade erstellte Komponente aus und speichern Sie diese.

Sie können den Schweregrad des Warnhinweises, den PCSM bei einem gemelde-ten Fehlerzustand erstellen muss, bestimmen und ob der Warnhinweis automa-

tisch nach einer bestimmten Zeit oder manuell vom Administrator (N/A) aufgeho-ben werden soll.

Damit der PCSM-Server eine E-Mail generieren kann, wenn neue Dateien in der Quarantäne entdeckt werden, definieren Sie eine E-Mail-Antwort (Respond) mit der Adresse des Empfängers. Der Inhalt der Ergebnis-Antwort-Variable wird in die

E-Mail kopiert und dem Administrator geschickt.

PANDA


_____________________________________________________________________

67

Nachdem ein Überwachungsprogramm erstellt worden ist, wird eine Zeile auf

dem Bildschirm Richtlinien hinzugefügt.

Klicken Sie auf Push Changes, um das Überwachungsprogramm zu installieren. Die Richtlinie wird angewendet und das Überwachungsprogramm wird auf alle betroffenen Geräte installiert und ausgeführt.

Schritt 3: Umgebungsvariablen erstellen und die Komponenten alle 60 Se-

kunden ausführen Wenn das Überwachungsprogramm auf den Geräten installiert worden ist, läuft

es alle 60 Sekunden. Dazu ruft es den dazugehörigen Skript-Parser auf, liest die notwendigen Umgebungsvariablen und schreibt die entsprechende Antwort.

Den vollständigen Quellcode des Skripts finden Sie im Anhang A.

In Zeile 24 liest es die PCOP_PATH Umgebungsvariable und erhält ein FileSystem Object, das auf den Quarantäneordner hinweist.

Zeilen 25 bis 30 kontrollieren, ob die Umgebungsvariablen festgelegt sind. Wenn die Variablen nicht in der PCSM-Konsole festgelegt wurden, wird ein Fehler in

der Ergebnisvariable gemeldet und die Ausführung endet mit Fehlerlevel 1 (Zeile 34).

PANDA


_____________________________________________________________________

68

In den Zeilen 44 – 51 wird die Anzahl der Elemente im überwachten Ordner in die

Registry des Gerätes geschrieben. Da das Skript alle 60 Sekunden ausgeführt wird und wir alle 10 Minuten einen Abgleich machen wollen, werden 10 Einträge mit dem Wert, der alle 60 Sekunden aufgezeichnet wird, in die Registry geschrie-

ben.

Die Komponente wird auf dem Gerät des Anwenders „automatisch“ aus-geführt: Der Status zwischen zwei erfolgreichen Ausführungen des-selben Skripts wird nicht gespeichert. Wenn dasselbe Skript mehrere

Male ausgeführt werden muss, um ein gültiges Ergebnis zu erhalten, muss der Zwischenstatus auf dem Gerät gespeichert und bei jeder Aus-führung gelesen werden.

Es ist empfehlenswert die Registry zu nutzen, um den Status zwischen

zwei oder mehreren Ausführungen der Komponente auf einem Gerät zu speichern, obwohl auch die temporären Dateien genutzt werden kön-

nen.

Wenn der Zähler gleich 9 ist (10 Einträge in der Registry, 10 Minuten), wird der Ausgangswert mit dem Endwert (Zeile 57) verglichen. Wenn er in den Zeilen 59, 60 und 61 höher ist, wird die Differenz gesendet und das Skript wird mit Errorr-level 1 beendet. Wenn der letzte Zyklus geendet hat, werden alle Einträge aus der Registry (Zeilen

64 – 66) gelöscht und der letzte Eintrag wird als der erste kopiert, um den Pro-zess fortzusetzen.

PANDA


_____________________________________________________________________

69

Schritt 4: Standardoutput alle 10 Minuten senden und in der PCSM-

Plattform verarbeiten Wenn das Skript die Ausführung mit Errorlevel 0 beendet, wird die Rückmeldung

vom PCSM-Server nicht berücksichtigt. Wenn es mit Errorlevel 1 endet, liest der PCSM-Server die Standardeingabe auf der Suche nach der Ergebnisvariable zwi-schen den Strings „<-Start Result->“ und „<-End Result->“. Mit diesen Informati-

onen werden die in der Überwachungsprogrammbeschreibung konfigurierten Ak-tionen ausgeführt.

Wie man globale Variablen nutzt Wenn häufig neue Skripts entwickelt werden, ist es sehr wahrscheinlich, dass Sie in allen einheitliche Daten haben wollen, wie z. B. Pfade zu bestimmten Ordnern

auf der Festplatte des Anwenders, die Bezeichnungen von gemeinsam genutzten Laufwerken auf Servern oder sogar allgemeine Zugangsdaten für höhere System-berechtigungen.

Eine mögliche Lösung ist es, jedem Skript alle benötigten Daten hinzuzufügen. Wenn sich dann die Daten ändern, muss jedes Skript manuell aktualisiert und neu

auf die Geräte verteilt werden. Die bequemste Lösung ist jedoch, globale Variablen im Profil- oder Systemlevel zu

definieren, die direkt von den Skripts genutzt werden können. Im Allgemeinen Menü, System, Einstellungen oder im Profilmenü, Einstellungen

können Sie Variablen und ihren Inhalt definieren. Wenn sie auf den Geräten der Anwender ausgeführt werden, kann man direkt über die von Ihnen entwickelten

Skripte auf die Variablen zugreifen. Falls Sie sensible Daten wie Benutzernamen und Passwörter speichern, können

Sie das Kontrollkästchen „Verbergen“ auswählen, um den Inhalt der Variable in der PCSM-Konsole durch Sternchen zu ersetzen.

Beim Verteilen des Skripts sendet der PCSM-Server den Inhalt der Variable an den PCSM-Agenten. Dieser erstellt Umgebungsvariablen auf dem Gerät des

Anwenders, auf welche die von Ihnen entwickelten Skripte leicht zugreifen kön-nen.

PANDA


_____________________________________________________________________

70

Wie man den Status eines Gerätes in der PCSM-Konsole anzeigt Schritt 2 im Beispiel bestimmte, welche Aufgaben der PCSM-Server auslösen muss, wenn das Komponentenergebnis „Error“ ist; in diesem Fall wurde eine

E-Mail mit dem geänderten Status des Gerätes an den Administrator gesendet. Diese Herangehensweise ist richtig, wenn ein Gerät einen Fehler hat oder eine

Ausnahmesituation besteht und der Administrator darüber informiert werden möchte, ohne jedes Mal die PCSM-Konsole überprüfen zu müssen. Es könnte jedoch notwendig sein, den Status des Gerätes einfach ohne Berücksichtigung der

Fehlerbedingungen anzuzeigen. Dazu müssen die Daten von Interesse in der PCSM-Konsole veröffentlicht werden.

Für dieses Szenario nutzt die Komponente die Custom Fields der PCSM-Konsole, die in der Tableiste, Zusammenfassung im Gerätelevel auf jedem Gerät erschei-

nen.

Das Tag „Custom Field 1“ und die folgenden (bis zu 5) können global für alle vom

Partner verwalteten Geräte umbenannt werden, ungeachtet des Profils, zu dem sie gehören. Das Tag kann auch auf einem bestimmten Profillevel definiert wer-

den:

Im Systemlevel im Allgemeinen Menü, Konto, Einstellungen

Im Profillevel in der Tableiste, Einstellungen

Der Inhalt der Custom Fields übernimmt die Zweige der Registry jedes Gerätes wie folgt:

PANDA


_____________________________________________________________________

71

HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom1 HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom2 HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom3 HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom4

HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom5 Jeder spezifizierte Zweig kann einen String von bis zu 255 Zeichen enthalten.

Eine Komponente kann frei in die spezifizierten Zweige schreiben, sodass der PCSM-Agent sie beim Start eines automatischen Audits (alle 24 Stunden) oder eines ma-

nuellen Audits (nach Bedarf) lesen und die Informationen an den PCSM-Server schicken wird, der sie in der PCSM-Konsole anzeigt. Des Weiteren wird der PCSM-Agent diese Informationen aus der Registry des Gerätes löschen, wenn er sie gele-

sen und an den PCSM-Server gesendet hat.

Eine Skripttyp-Komponente erstellen

Eine Skriptkomponente wird auf genau dieselbe Weise erstellt wie eine Überwa-chungsprogrammkomponente. Zuerst wählen Sie Skripte beim Erstellen der Kompo-nente.

Der Konfigurationsbildschirm unterscheidet sich von dem in Überwachungsprogram-me nur im Hinblick auf den Informationssammelbereich: Sie können keine Ausgabe-variablen definieren, aber stattdessen können Sie nach Strings im Standardoutput (stdout) oder Erroroutput (stderr) suchen, um Warnbedingungen in der PCSM-Konsole zu aktivieren.

PANDA


_____________________________________________________________________

72

Um eine Skriptkomponente zu benutzen, markieren Sie diese zuerst als Favoriten in

der Komponentenliste.

Sie wird dann in den Listen Sofort-Jobs und Jobs erscheinen.

Klicken Sie auf OK und die Komponente wird sofort ausgeführt.

PANDA


_____________________________________________________________________

73

11. Zentralisierte Softwarebereitstellung und Installation

Ziel der zentralisierten Softwareinstallation

Der PCSM-Server kann automatisch Softwaredateien und -pakete auf allen verwal-teten Geräten im Netzwerk installieren. Dadurch kann der Administrator sicherstellen,

dass sich die vom Anwender benötigten Programme oder Dokumente auf allen ver-walteten Geräten befinden, ohne dass er zu jedem einzelnen Gerät gehen oder über

den Fernzugriff eine Verbindung herstellen muss. Durch die automatische Softwareinstallation kann der Administrator die Software

schwachstellenfrei halten (Java, Adobe, etc.), wodurch das Risiko von Infektionen und der Verlust vertraulicher Daten gesenkt werden.

Voraussetzungen für die zentralisierte Softwareinstallation

Softwarebereitstellung und -installation ist ein Prozess, der durch die Anwendungs-komponenten ausgeführt wird.

Wie die Überwachungsprogramm- und Skriptkomponenten (in Kapitel 10 beschrie-ben) bestehen die Anwendungskomponenten aus einem kleinen Skript, das in diesem Fall einfach den Installationsprozess steuert und eine Reihe von Dateien und/oder

Programmen installiert.

Für jede Gruppe von Dateien oder Programmen, die auf dem Gerät des Anwenders installiert werden soll, muss eine separate Komponente erstellt werden.

PANDA


_____________________________________________________________________

74

Paketbereitstellung und Installationsvorgang

Die allgemeine Vorgehensweise besteht aus 4 Schritten:

1. Identifizieren der Geräte, auf denen die Software installiert werden soll

Die Vorgehensweise zum Finden der Geräte, auf denen die Dateien oder Programme

nicht installiert sind, variiert je nachdem, ob der PCSM-Server die auf dem Gerät installierten Programme prüfen kann oder nicht.

Wenn die zu installierende Software auf der vom Betriebssystem geführten Liste der installierten Programme erscheint, wird sie auch in den PCSM-Softwareaudits er-

scheinen und deshalb kann ein Filter erstellt werden, um die Geräte herauszufiltern, auf denen die Software bereits installiert ist.

Wenn die Software kein Installationsprogramm hat und deshalb nicht auf der Liste der installierten Programme erscheint oder wenn es einmalige Dokumente, Konfigu-rationsdateien, etc. sind, dann kann der PCSM-Server die Geräte mit bereits instal-

lierten Dateien nicht filtern und das Installationsskript muss die entsprechenden Kon-trollen manuell ausführen.

2. Erstellen einer Softwareinstallationskomponente Die Schritte sind dieselben wie die zum Erstellen von Skript- oder Überwachungspro-grammkomponenten (in Kapitel 10 beschrieben).

3. Starten eines Jobs, um die Installationskomponente zu den Agenten auf den

betroffenen Geräten zu senden.

Sie können einen geplanten Job an einem Tag starten, an dem der Anwender nicht mit dem Gerät arbeitet, um die Auswirkungen auf die Leistung zu minimieren.

4. Sammeln der Installationsergebnisse, um mögliche Fehler zu erkennen. Wenn der Prozess abgeschlossen ist, können ein Errorcode und/oder eine Nachricht

erfasst werden, welche das Installationsergebnis in der PCSM-Konsole anzeigen. Es gibt vier Endstatus:

- Erfolg: Die Installation wurde ohne Fehler ausgeführt. Das Skript gibt den Code Errorlevel 0 aus.

- Erfolg – Warnung: Die Installation wurde mit einigen unerheblichen Fehlern ausgeführt. Das Skript gibt den Code Errorlevel 0 und einen String durch den Standard Output oder Standard Error aus, welche von der PCSM-Konsole in-

terpretiert werden.

PANDA


_____________________________________________________________________

75

- Error: Die Installation wurde nicht abgeschlossen. Das Skript gibt den Code Errorlevel 1 aus.

- Fehler-Warnung: Die Installation wurde nicht abgeschlossen. Das Skript gibt den Code Errorlevel 1 und einen String durch den Standard Output oder Stan-dard Error aus, welche von der PCSM-Konsole interpretiert werden.

Installationsbeispiele Zur Veranschaulichung der Softwareverteilung gibt es vier Beispiele:

1. Dokumente mittels Skriptsprache installieren 2. Dokumente ohne Skriptsprache installieren

3. Sich selbst installierende Software installieren 4. Software ohne Installationsprogramm installieren

Die hier beschriebenen Abläufe, die Tools von Drittanbietern und die benutz-ten Skriptsprachen sind Beispiele und könnten variieren. Panda Cloud Sys-tems Management wurde entwickelt, um sich flexibel an die Tools anzupas-sen, die der Administrator bevorzugt.

Dokumente mittels Skriptsprache installieren

Das Ziel dieses Beispiels ist es, drei Worddokumente in einem Ordner im Hauptver-zeichnis des Anwendergerätes zu installieren. Dazu befolgen Sie die folgenden Schrit-te:

1. Die Geräte ausfindig machen, auf denen die Software installiert werden soll

Da in diesem Fall der PCSM-Server keinen Überblick über den Status der Festplatte des Anwendergerätes auf dem Systemdateilevel hat, wird das Installationsskript auf

allen Geräten in dem Profil installiert und das Skript (Zeilen 19 – 24) überprüft, ob der die Dokumente enthaltende Ordner existiert oder nicht.

Wenn der Ordner nicht existiert, wird er erstellt (Zeile 28), die Dokumente werden in

ihn verschoben (Zeilen 30 -32) und die Nachricht wird durch den Standard Output (Zeile 37) gesendet.

PANDA


_____________________________________________________________________

76

2. Eine Software-Installationskomponente erzeugen

Eine Anwendungskomponente wird ergänzt, zu welcher die zu installierenden Doku-

mente und das Skript, das den Ordner erstellt und die drei Dokumente auf jedes Ge-rät verschiebt, hinzugefügt werden:

PANDA


_____________________________________________________________________

77

Auf dem Bildschirm Komponente: Anwendung ist es wichtig, Folgendes festzulegen:

- Die Komponente ist Favorit, sodass sie auf der Komponentenliste erscheint

(Sternsymbol oben links)

- Die Komponentenkategorie (Anwendungen) und der Name - Die benutzte Skriptsprache (Installationsbefehl) - Die zu installierenden Dokumente im Abschnitt Dateien hinzufügen

In Post-Conditions können Sie Textstrings festlegen, welche die PCSM-Konsole als Warnungen interpretieren wird.

Das Beispiel legt fest, dass wenn der Standard Output (Resource:stdout) den String „Installation nicht erfolgreich“ enthält (Qualifier:is found in), das Ergebnis der Aus-führung des Skriptes als Warnung angesehen wird.

3. Einen Job starten, um die Software an die Agenten auf den betroffenen Gerä-ten zu senden

Klicken Sie auf Sorfort-Job oder Job nachdem Sie die Geräte in Profile ausgewählt haben, auf denen die Dokumente installiert werden sollen.

PANDA


_____________________________________________________________________

78

Auf dem Systemlevel können Sie ganze Profile auswählen, für welche die

Softwareinstallation angewendet werden soll.

4. Sammeln der Installationsergebnisse, um mögliche Fehler zu erkennen

Die Ausgabebedingungen, die im Skript im Beispiel 3 definiert wurden, sind:

- Erfolg: Die Dateien werden in den Zielordner ohne Fehler kopiert (Zeilen 30 -

32). Endet mit Errorlevel 0 (Zeile 38).

- Error: Ein Fehler tritt beim Kopieren der Dateien auf. Endet mit Errorlevel 1 (Zeile 35)

- Erfolg – Warnung: Der Ordner existiert bereits, also werden die Dateien nicht kopiert. Endet mit Errorlevel 0 (Zeile 23) und der String „Installation nicht er-

folgreich“ wird generiert, welchen der PCSM-Server als Warnung interpre-tiert wie im Post-Conditions Bereich in Schritt 3 konfiguriert.

Nachdem der Job gestartet worden ist, wird er im Allgemeinen Menü, Geplante

Jobs, Aktive Jobs, erscheinen.

PANDA


_____________________________________________________________________

79

In der Tableiste, Abgeschlossene Jobs, können Sie das Installationsergebnis se-

hen, in Rot, wenn es mit einem Fehler endete, in Orange, wenn es eine Warnung gab oder in Grün, wenn die Installation Erfolgreich war.

Die Symbole Stdout und Stderr zeigen eine vom Skript erzeugte Kopie des Stan-dard Output und des Standard Error.

Des Weiteren enthält dieser Tab eine Symbolleiste, die das Auslösen verschiede-ner Aktionen ermöglicht:

- Der Bereich Aktionen gruppiert die Symbole, die Ihnen ermöglichen, den Job erneut zu starten, die Seite neu zu laden, um den Jobstatus zu aktualisieren oder den Standard Output und Error in eine Datei herunterzuladen.

- Mit dem Views-Filter können Sie die Jobs nach Status filtern.

Dokumente ohne Skriptsprache installieren Das Installationsskript kann stark vereinfacht werden, wenn vorhergehende Kontrol-

len nicht erforderlich sind oder wenn keine Warnungen in der PCSM-Konsole er-zeugt werden müssen.

Dieses Beispiel installiert die 3 Dokumente aus dem vorigen Beispiel, aber in diesem Fall wird ein selbstentpackendes .EXE Paket erzeugt, welches die komprimierten Do-

kumente und die als notwendig erachtete Ordnerstruktur enthält, anstatt die Ord-nerstruktur vom Skript zu erstellen. Das .EXE Paket kann durch Benutzung verschie-dener Tools erzeugt werden. Dieses Beispiel nutzt WinRar.

Eine kostenfreie Version von WinRar können Sie hier herunterladen:

http://www.winrar.com

Dieses Beispiel erzeugt eine selbstentpackende .EXE Datei mit den folgenden Eigen-schaften:

- Funktionsweise im Hintergrundmodus - Der Ordner mit dem Inhalt wird automatisch in C:\ erzeugt - Wenn der Ordner bereits existiert, wird sein Inhalt ohne Warnung überschrie-

ben

http://www.winrar.com/

PANDA


_____________________________________________________________________

80

Es ist notwendig, eine selbstentpackende Datei zu erzeugen, die im Hin-

tergrundmodus funktioniert, d. h., sie zeigt keine Dialogfenster an und erfordert kein Eingreifen des Benutzers.

Schritte für das Erzeugen einer selbstentpackenden Installationsdatei zur stillen, un-beaufsichtigten Installation:

- Schritt 1: Bereiten Sie den Ordner mit den zu installierenden Dokumenten vor. Erstellen Sie das Hauptverzeichnis „ACME Documents“ in dem Beispiel

und fügen Sie alle zu installierenden Dateien, Ordner und Unterordner ein. - Schritt 2: Erstellen Sie eine ausführbare Datei. Bei geöffnetem WinRar-

Programm wählen Sie den gerade erstellten Ordner „ACME Documents“ sowie

die Optionen „Create SFX archive“ und „Create solid archive“.

- Schritt 3: Konfigurieren Sie die ausführbare Datei als „Still“. Dazu aktivieren Sie Alle verstecken in Advanced -> SFX Optionen -> Modi -> Silent Mode.

PANDA


_____________________________________________________________________

81

PANDA


_____________________________________________________________________

82

- Schritt 4: Im Tab Allgemein bestimmen Sie den zu extrahierenden Pfad, wo

der Ordner erstellt wird.

- Schritt 5: Legen Sie fest, dass alle Dateien ohne Nachfrage überschrieben

werden, wenn sie bereits existieren.

PANDA


_____________________________________________________________________

83

Wenn das „ACME Documtents.exe“ Paket erzeugt worden ist, erstellen Sie die An-wendungskomponente, um es zu installieren.


- Die Komponente ist Favorit, sodass sie auf der Komponentenliste erscheint

(Sternsymbol oben links) - Die Komponentenkategorie (Anwendungen) und der Name - Die benutzte Skriptsprache (Installationsbefehl), in diesem Fall Batch

- Hinzufügen des zu installierenden Paketes „ACME Documents.exe“ Das Skript wird einfach das selbstentpackende Paket ausführen, was den Ordner in

Laufwerk C:\ zusammen mit der internen Struktur erstellen wird und dabei den bis-herigen Inhalt überschreibt.

Installation von selbstinstallierender Software In diesem Beispiel wird das Paket Microsoft Framework .NET 4.0 dotNetFx40_ Full_x86_x64.exe auf Geräten installiert, auf denen es noch nicht installiert ist.

Da Microsoft Framework .NET 4.0 in der Programmliste erscheint, können wir einen Filter benutzen, um diese Geräte zu finden.

Das Installationspaket ist eine selbstentpackende .EXE, welche die Ausführung der Parameter /q/norestart im Hintergrund ermöglicht und das Gerät am Neustart hin-

dert. Deshalb ist keine zusätzliche spezielle Vorbereitung nötig.

PANDA


_____________________________________________________________________

84

1. Erkennen der Geräte, auf denen die Software installiert werden soll

Um die Geräte herauszufiltern, auf denen die Software bereits installiert ist, müssen Sie wissen, welcher Identifikationsstring dem bereits installierten Paket entspricht.

Diese Daten können von der Tableiste, Audit, Software eines Gerätes, auf dem das Paket bereits installiert ist, abgerufen werden.

Diese Daten werden benutzt, um einen Profilfilter oder einen Systemfilter mit den folgenden Einstellungen zu erstellen:

- Feld: Softwarepaket zum Prüfen der auf dem Gerät installierten Software - Suchbegriff: Hier können Sie den String eingeben, der die zu installierende

Software identifiziert

- Bedingung: Does not contain um die Geräte auszuwählen, die den im Such-begriff festgelegten Inhalt im Feld Softwarepaket nicht enthalten

2. Erzeugen einer Softwareinstallationskomponente Es ist äußerst einfach, eine Installationskomponente zu erstellen.

PANDA


_____________________________________________________________________

85


- Die Komponente ist Favorit, sodass sie auf der Komponentenliste erscheint (Sternsymbol oben links)

- Die Komponentenkategorie (Anwendungen) und der Name

- Die benutzte Skriptsprache (Installationsbefehl), in diesem Falle Batch - Das zu installierende Paket „dotNetFx40_Full_x86_x64.exe“ hinzufügen

Das Skript hat nur eine relevante Zeile, und zwar die, welche das Installationspaket mit den für eine Installation im Hintergrund erforderlichen Parametern ausführt.

3. Starten eines Jobs, um die Software an die Agenten auf den betroffenen Ge-räten zu senden

Wählen Sie zuerst den bereits vorbereiteten Filter aus und führen Sie dann einen Job mit der erstellten Anwendung aus.

4. Sammeln der Ergebnisse zum Identifizieren möglicher Fehler Eine gute Möglichkeit zum Überprüfen des Installationsergebnisses ist die Kontrolle

des vorbereiteten Gerätefilters. Sie können sehen, ob die Anzahl der Geräte, auf de-nen die Software nicht installiert ist, niedriger ist. Alle weiterhin im Filter erscheinen-

den Geräte werden irgendeine Art Fehler gemeldet haben.

PANDA


_____________________________________________________________________

86

Die Daten des Geräteaudits, welche die installierte Hardware und Software enthalten, werden vom PCSM-Agenten alle 24 Stunden an den PCSM-

Server geschickt. Folglich wird die kürzlich installierte Softwareliste nicht vor Ablauf dieser Zeit aktualisiert werden. Sie können jedoch ein manuelles Up-date herbeiführen, indem Sie die Aktion Request device audit in der Action Bar nutzen.

Software ohne Installationsprogramm installieren

Viele Programme bestehen aus einer einzigen ausführbaren Datei ohne ein dazuge-höriges Installationsprogramm, das die notwendige Struktur im Startmenü, die Desk-topverknüpfung oder die entsprechenden Einträge in Programme Hinzufügen oder

Entfernen erzeugt. Diese Arten von Programmen können installiert werden, indem man dem Beispiel des Dokumentes oder des selbstentpackenden Paketes folgt. Wenn man es auf diese Weise tut, wird jedoch verhindert, dass der PCSM-Server ein zu-

verlässiges Audit der installierten Programme durchführt, da sie nicht in der Liste der installierten Programme erscheinen werden.

Aus diesem Grund werden oft Tools von Drittanbietern genutzt, die zur leichteren Ausführung ein einzelnes MSI-Paket mit allen hinzuzufügenden Programmen erzeu-gen und die notwendigen Gruppen im Startmenü sowie die Verknüpfung zum Desk-

top des Anwenders erstellen.

Dazu wird in diesem Beispiel das Programm Advanced Installer benutzt, eine kosten-freie Version, mit der Sie ganz einfach MSI-Installer generieren können.

Eine kostenfreie Version von Advanced Installer können Sie hier herunterla-den: http://www.advancedinstaller.com/download.html

Befolgen Sie diese Schritte, um das Installationsprogramm zu erstellen:

- Wählen Sie die Vorlage Simple (frei)

PANDA


_____________________________________________________________________

87

- In Product Details geben Sie die grundlegenden Informationen des Installa-

tionsprogramms ein: Produktname, Produktversion und Firmenname.

- Fügen Sie die zu installierenden Dateien und Programme sowie die zu erstel-lenden Verknüpfungen hinzu. Dies tun Sie im Tab Files and Folders.

PANDA


_____________________________________________________________________

88

- Zum Schluss führen Sie Build aus und das MSI-Paket wird im ausgewählten Ordner erstellt.

PANDA


_____________________________________________________________________

89

Wenn das Installationspaket erstellt worden ist, sind die Schritte für das Generie-

ren einer Installationskomponente und ihrer Installation dieselben wie in den vor-herigen Beispielen, abgesehen vom Skript in Batch, dessen Installationsbefehl leicht abweicht.

PANDA


_____________________________________________________________________

90

Das MSIEXEC-Dienstprogramm wird aufgerufen, indem man den /qn Parameter zum

Starten einer stillen Installation nutzt.

- Die Komponente wird als Favorit gekennzeichnet, sodass sie auf der Kompo-

nentenliste erscheint (Sternsymbol oben links) - Die Komponentenkategorie (Anwendungen) und der Name - Die benutzte Skriptsprache (Installationsbefehl), in diesem Fall Batch

- Hinzufügen des zu installierenden Paketes „My Software.msi“

Bandbreite bei der Softwareinstallation sparen Der auf jedem Gerät installierte PCSM-Agent überprüft alle 60 Sekunden, ob Down-

loads auf dem PCSM-Server zur Verfügung stehen. Wenn ein Download verfügbar ist, wird er für jeden PCSM-Agenten einzeln ausgeführt. Auf diese Weise wird das Downloadvolumen für ein 50 Megabyte großes Installationspaket und ein Netzwerk

mit 50 Geräten 2,4 Gigabyte betragen.

Um das Gesamtdownloadvolumen zu minimieren, kann einem der Netzwerkgeräte die Rolle des Repositoriums/Cache zugewiesen werden. Tut man dies, lädt nur dieses

Gerät vom PCSM-Server herunter und installiert dann das Paket auf allen betroffe-nen Netzwerkgeräten.

PANDA


_____________________________________________________________________

91

Um einem Gerät die Rolle des Repositoriums/Cache zu geben, greifen Sie auf dem

Gerätelevel in der PCSM-Konsole auf das Gerät zu und klicken auf das Symbol Add/Remove as local cache in der Action Bar.

Das vorgesehene Gerät wird dann die Komponenten und das Installationspaket her-

unterladen und auf die Geräte im lokalen Netzwerk installieren. Dadurch wird die In-stallationsgeschwindigkeit erhöht und die Bandbreitennutzung minimiert.

PANDA


_____________________________________________________________________

92

12. Ticketing

Was ist das Ticketsystem? Die steigende Anzahl der zu verwaltenden Geräte und die wachsende Zahl der Techniker, die auftretende Probleme lösen, erfordern früher oder später die Ein-

führung eines Systems, mit dem jeder von der IT-Abteilung bearbeitete Fall do-kumentiert und koordiniert werden kann.

Ticketsysteme werden benutzt, um jeden Störfall von der Entstehung bis zur Klä-rung zu verfolgen und dabei alle Zwischenstatus aufzuzeichnen.

Daher ist es möglich, einen Fall einem bestimmten Techniker zuzuordnen. Sollte dieser Techniker nicht verfügbar sein oder die Aufgabe ein sehr spezielles Wissen erfordern, kann der Auftrag einem anderen Techniker zugewiesen werden. Alle

Dokumentationen und die bis dahin gemachten Fortschritte werden gespeichert, um die Störungen des Anwenders durch wiederholte Anfragen zum selben Prob-lem zu minimieren.

Zum Zweiten ermöglicht das zwingende Dokumentieren der Störfälle, dass die Prozedur in Zukunft wiederverwendet und verbessert werden kann, wodurch die

Reaktionszeit für offene Fälle minimiert wird.

Und schließlich können Sie mit einem Ticketsystem die Arbeitsbelastung der IT-Abteilung ermitteln, die zu einer bestimmten Zeit noch offenen Tickets filtern und wenn nötig weitere Ressourcen zuordnen.

Beschreibung eines Tickets

Jedes Ticket enthält eine Reihe von Feldern, die es beschreiben:

PANDA


_____________________________________________________________________

93

Ersteller: Ticketersteller kann ein Gerät sein (wenn das Ticket von einem

Überwachungsprogramm erzeugt wurde), ein Anwender oder ein Systemkonto (wenn es von einem Techniker erzeugt/zugewiesen wurde).

Profil: Gruppen von Geräten, zu denen das Ticket gehört

Erstellungsdatum: Erstellungsdatum des Tickets Status: Es gibt vier Status:

Neu: Kürzlich erstelltes Ticket mit der Beschreibung des Problems und

dem zugeordneten Techniker. Es ist noch kein Job erledigt worden. In Bearbeitung: Der von der IT-Abteilung zugeordnete Techniker be-

arbeitet den Störfall. Warten: Die Lösung des Störfalls ist von äußeren Ursachen beeinflusst

worden (Mangel an Informationen, Änderungen von Anwendern oder anderen bestätigen).

Abgeschlossen: Der Störfall wurde geklärt und abgeschlossen.

Schweregrad: Schweregrad des Tickets. Wenn es von einem Überwa-chungsprogramm erzeugt wurde, wird der ihm zugeordnete Schweregrad ko-piert.

Zugeordnet: Techniker, der zugeordnet wurde, um den Störfall zu klären Zusammenfassung: Zusammenfassung des Störfalls

PANDA


_____________________________________________________________________

94

Inhalt: Beschreibung des Störfalls Kommentare: In diesem Feld können sowohl der Techniker als auch der

Anwender Einträge vornehmen, welche die Informationen zum Störfall vervoll-ständigen und aktualisieren.

Es ist empfehlenswert, das Feld Kommentare häufig zum Dokumentieren der

vorgenommenen Änderungen am Störfall und der ausgeführten Handlungen zu nutzen. Dies sollten sowohl die Techniker der IT-Abteilung als auch die An-wender mithilfe der durchgeführten Tests und anderer Daten von Interesse

tun. Ziel ist es, diese Informationen wiederzuverwenden, um ähnliche Störfälle in Zukunft leichter zu lösen.

Ein Ticket erstellen Tickets werden auf 3 Arten erstellt:

Manuell vom Anwender über den PCSM-Agenten: Wenn der Anwender feststellt, dass das Gerät nicht richtig funktioniert und einen

schriftlichen Bericht der Symptome hinterlassen möchte. Um ein Ticket manuell zu einzutragen, muss der Anwender den PCSM-Agenten

durch Rechtsklick auf sein Symbol öffnen, Öffnen wählen und auf den Tab Tickets, Ein Neues Ticket Öffnen, klicken.

Nach dem Erstellen des Tickets können neue Kommentare hinzugefügt werden und

es kann geschlossen werden.

PANDA


_____________________________________________________________________

95

Automatisch von einem Überwachungsprogramm, das einen Zustand auf dem Gerät

des Anwenders entdeckt, der als Störung definiert ist, wenn eine Überwachungsrichtlinie im Tab Ticket Details definiert wird.

In diesem Fall können Sie den zugewiesenen Techniker auswählen und es wird eine E-Mail erstellt, die über die Ausstellung eines Tickets informiert.

Manuell von der IT-Abteilung von der PCSM-Konsole aus: Hierbei handelt es sich ge-wöhnlich um Erinnerungen oder Aufgaben, die sich offiziell in die Warteschlange der

Abteilung einordnen über Profillevel oder Systemlevel in der Tableiste, Support, durch Klicken auf Create Support Ticket

Tickets, die auf dem Systemlevel erstellt wurden, haben kein zugeordnetes Profil und werden in keinem Profil angezeigt, das im PCSM-Konto erstellt

wurde.

PANDA


_____________________________________________________________________

96

In diesem Fall können Sie den Schweregrad und den Inhalt des Tickets festlegen und es einem Techniker zuweisen, der den Störfall klären soll, oder es neu zuweisen.

Ticketmanagement

Tickets, die bereits erstellt wurden, werden über die Tableiste, Support auf dem Pro-fil-, System- oder Gerätelevel verwaltet.

Tickets, die auf niedrigeren Leveln erstellt wurden, werden auf höheren Leveln

angezeigt. Wenn z. B. Tickets auf dem Gerätelevel erstellt wurden, erscheinen

sie auf dem Profillevel, zu dem dieses Gerät gehört.

Mit den Symbolen in der Aktionsleiste können Sie die Ticketliste filtern (Offene Ti-ckets, Meine Tickets, Alle Tickets) oder ihren Status mit dem Stiftsymbol bearbeiten. Um den Schweregrad, den Status und den zugewiesenen Techniker zu ändern, kli-

cken Sie auf Ticketnummer.

PANDA


_____________________________________________________________________

97

13. Patch-Management

Was ist Patch-Management? Patch-Management ist eine Reihe von Ressourcen für die zentralisierte Bereitstellung und Installation von Patches und Softwareupdates.

Patch-Management erleichtert nicht nur das tägliche Aktualisieren der Software auf Ihren Geräten. Außerdem können Sie sowohl Audits durchführen als auch schnell und

einfach Geräte anzeigen, die nicht aktualisiert sind oder bekannte Schwachstellen haben.

Mit Patch-Management kann der Administrator die Netzwerksicherheit stärken und Softwarefehler minimieren. Dadurch wird gewährleistet, dass alle Geräte mit den neuesten Patches aktualisiert sind.

Patch-Management benutzt den Windows Update API auf allen Micro-

soft Windows Geräten, die von Panda Cloud Systems Management unterstützt werden.

Patch-Management unterstützt Microsoft Windows Systeme.

Welche Patches kann ich installieren/anwenden? Alle Patches und Updates, die von Microsoft über das Windows Update veröffentlicht

werden, können zentral mit Panda Cloud Systems Management verwaltet wer-den.

Microsoft veröffentlicht Updates für alle derzeit unterstützten Windows Betriebssys-teme und für die von ihnen entwickelte Software:

Microsoft Office Exchange 2003

SQL Server

Windows Live Windows Defender

Visual Studio Zune Software

Virtual PC Virtual Server

CAPICOM

Microsoft Lync

PANDA


_____________________________________________________________________

98

Silverlight

Windows Media Player Andere …

Patcheinsatz und -installation Panda Cloud Systems Management umfasst drei ergänzende Patch-Management-Methoden. Jede von ihnen hat verschiedene Funktionen, um sich an

alle möglichen Bedürfnisse und/oder Szenarien anzupassen.

Obwohl die drei Methoden ergänzend sind, werden einige Funktionen von al-len geteilt. Wenn Sie verschiedene Patch-Management-Methoden gleichzeitig nutzen wollen, achten Sie besonders darauf, dass Sie keine sich überlappen-den Prozesse definieren. Denn das Endergebnis kann je nach der festgelegten

Reihenfolge variieren und dadurch kann es zu unvorhersehbaren Ergebnissen kommen.

Die hier beschriebenen Prozeduren können mit anderen Prozessen kolli-

dieren, die durch Software von Drittanbietern definiert wurden (z. B. Windows Update Richtlinien, die in einem GPO definiert sind). Es ist

empfehlenswert, die Richtlinien von Drittanbietern zu deaktivieren, wenn diese die von Panda Cloud Systems Management festgeleg-ten beeinträchtigen.

Methode 1: Manuelles Patch-Management

Allgemeine Beschreibung

Mit der manuellen Patch-Veröffentlichung können Sie die zu installierenden Patches einzeln auszuwählen, je nach den vom Administrator angewandten Kriterien.

Diese Methode ermöglicht eine sehr gute Übersicht, da alle bereits auf den einzelnen Geräten installierten Patches und die noch zu installierenden Patches jederzeit ange-

zeigt werden. Die gruppierenden Level, die von dieser Methode unterstützt werden, sind: System-level, Profillevel und Gerätelevel. Daher können Sie die Patches für ein bestimmtes Gerät (Gerätelevel), für eine bestimmte Gruppe (Profillevel) oder für alle auf PCSM registrierten Geräte (Systemlevel) auswählen.

PANDA


_____________________________________________________________________

99

Zugriff auf die manuelle Patch-Management-Methode

Auf sie wird über die Tableiste, Manage, in den drei verfügbaren Leveln zugegriffen.

Die verfügbaren Aktionen sind:

- Patch genehmigen: durch Auswählen der Patches und Klicken auf das grü-ne Kreissymbol

Nach dem Genehmigen einer Reihe von Patches warten diese auf die Installation. Genehmigte Patches werden manuell zu der in der Tableiste, Manage im Systemlevel festgelegten Zeit installiert.

PANDA


_____________________________________________________________________

100

Nur die Zeit, zu der genehmigte Patches manuell installiert werden, kann im Systemlevel festgelegt werden. Alle durch PCSM verwalteten Geräte werden

die genehmigten, aber noch ausstehenden Patches zur festgelegten Zeit aktu-alisieren.

- Patch verstecken: durch Auswählen der Patches und Klicken auf das blaue Kreissymbol

- Sofort-Patch: durch Auswählen der Patches und Klicken auf das grüne Kreis-symbol mit einem Pfeil. Die Patches werden sofort installiert, ohne auf die in Manage (Systemlevel) Einstellungen festgelegte Zeit zu warten.

- Reset-Patch: durch Klicken auf das weiße Kreissymbol. Die ausgewählten

Patches werden gelöscht.

Patches anzeigen Alle von Microsoft im Laufe der Zeit veröffentlichten Patches werden in drei Drop-

down-Listen gruppiert, je nach ihrem Status hinsichtlich des verwalteten Gerätes.

Die drei Status sind:

- Fehlende Patches: Patches, die noch nicht auf den zum ausgewählten Level gehörenden Geräten installiert wurden. Auf den höheren Leveln wird die An-zahl der Geräte, auf denen ein bestimmtes Patch nicht installiert ist, ebenfalls

angezeigt. - Installierte Patches: Patches, die bereits auf dem ausgewählten Level in-

stalliert worden sind. Auf den höheren Leveln wird die Anzahl der Geräte, auf denen ein bestimmtes Patch installiert wurde, ebenfalls angezeigt.

- Versteckte Patches: Patches, die der Administrator verstecken will, weil sie nicht angewendet werden müssen und eine Erinnerung somit nicht notwendig ist.

Um die Suchen zu vereinfachen, sind ausführliche Informationen bei der Erweiterung jeder Kategorie verfügbar sowie eine Symbolleiste für das Filtern der Patchlisten.

PANDA


_____________________________________________________________________

101

Mit der Suchleiste können Sie die angezeigten Patches nach den folgenden Kriterien auswählen:

- Schweregrad: der von Microsoft festgelegte Schweregrad: Kritisch, Wichtig,

Mittelschwer, Niedrig, Nicht spezifiziert

Microsoft spezifiziert nur den Schweregrad der Sicherheitspatches (Sicherheit-

supdates). Die restlichen Patches haben im Allgemeinen einen nicht spezifi-zierten Schweregrad.

- Neustart erforderlich? Wenn das Gerät nach Übernahme des Patches neu

gestartet werden muss

- Anwendereingabe erforderlich? Wenn Anwendereingaben erforderlich

sind, um das Patch zu übernehmen

- Kategorie: Sie können nach Patches suchen, die für ein spezielles Software-

programm gelten

PCSM liefert die folgenden Informationen für jeden Eintrag:

- Überprüfen: um das Patch auszuwählen

- Aktionssymbol: Patches mit ausstehenden Aktionen erscheinen mit dem Kreissymbol in Grün

- Titel: vollständiger Name des von Windows Update bereitgestellten Patches

- Schweregrad: Wichtigkeit des von Windows Update bereitgestellten Patches

(nur für Sicherheitsupdates)

PANDA


_____________________________________________________________________

102

- Größe: Größe des herunterzuladenden Patches, das von Windows Update be-

reitgestellt wird

- Neustart: wenn der Neustart nach der Installation des Patches erforderlich

ist

- Anwendereingabe: ob eine Anwendereingabe zum Installieren des Patches

erforderlich ist oder nicht (Dialogfenster, um EULAs und andere zu akzeptie-ren)

Manuelle Patch-Management-Methode unter Benutzung von Szenarios

Wenn der Administrator eine sehr genaue Überwachung der auf den verwalte-ten Geräten installierten Patches wünscht

Methode 2: Windows-Update-Richtlinien

Allgemeine Beschreibung

Windows-Update-Richtlinien erlauben die zentralisierte Konfiguration der Windows- Update-Eigenschaften, die in den Windows-Geräten im Netzwerk integriert sind.

Da es eine Richtlinie ist, sind die von dieser Methode unterstützten Gruppierungslevel das Systemlevel und das Profillevel. Zugriff auf die Windows-Update-Richtlinien-Methode

Für den Zugriff auf diese Methode erstellen Sie eine Windows-Update-Richtlinie auf dem Profil- oder Systemlevel.

PANDA


_____________________________________________________________________

103

Eine Eingabemaske erscheint, in der Sie zentral das Verhalten von Windows Update auf allen von der Richtlinie betroffenen Geräten konfigurieren können.

Windows-Update-Richtlinien werden auf die gleiche Art und Weise auf jedem einzel-nen Windows-Gerät konfiguriert wie Windows-Update-Ressourcen.

Windows Update unterteilt die Patches, die es erhält, in drei Kategorien:

- Wichtig

- Empfohlen

- Optional Nur Wichtige und Empfohlene Patches können automatisch installiert werden. Die

restlichen Patches werden manuell vom Gerät des Anwenders oder von PCSM aus unter Benutzung anderer Patch-Management-Methoden installiert.

Alle Einstellungen in dieser Richtlinie sind eine Umsetzung der Funktionen von

Windows Update auf Windows-Geräten. Alle festgelegten Aktionen beziehen sich deshalb auf die Geräte und nicht auf den PCSM-Agenten oder die PCSM-Konsole.

PANDA


_____________________________________________________________________

104

Obwohl die Richtlinieneinstellungen für alle Geräte dieselben sind, kann das

Verhalten von Windows Update auf jedem Gerät leicht zwischen den verschie-denen Betriebssystemversionen variieren.

Es folgen einige Richtlinienoptionen:

- Ziel hinzufügen: Lässt Sie Filter oder Gruppen hinzufügen, die den Gel-tungsbereich der Anwendung der Richtlinie abgrenzen.

- Patch-Richtlinie: bestimmt das allgemeine Verhalten von Windows Update

auf jedem Gerät bezüglich der Patches, die von Microsoft als „Wichtig“ einge-

stuft wurden:

o Automatisch herunterladen und installieren

o Manueller Download und Auswahl durch den Anwender

o Benachrichtigung ohne Download

o Windows Update deaktivieren

- Neue Updates installieren: bestimmt, wann die Patches installiert werden

- Gib mir empfohlene Updates genauso wie ich wichtige Updates er-halte: Wenden Sie die ausgewählte Richtlinie in der Patch-Richtlinie sowohl

für Wichtige als auch für Empfohlene Patches an.

- Erlaube allen Anwendern Updates auf dem Computer zu installieren:

der Anwender kann die Patches manuell installieren

- Gib mir Updates für Microsoftprodukte und suche beim Aktualisieren

von Windows nach neuer optionaler Software von Microsoft: sucht nach optionalen Patches (meist Patches für andere Microsoftprodukte)

- Zeige mir ausführliche Informationen, wenn neue Software von Microsoft verfügbar ist: dem Anwender werden ausführliche Informationen gezeigt, wenn neue Software von Microsoft verfügbar ist

- Kein automatischer Neustart für geplante automatische Updatein-

stallationen bei eingeloggten Anwendern: Wenn diese Option gewählt

wird, werden die Patches installiert und der Anwender wird über einen not-wendigen Neustart informiert. Wenn diese Option nicht aktiviert ist, wird das Patch installiert und der Anwender wird darüber informiert, dass das Gerät in

5 Minuten neu starten wird.

PANDA


_____________________________________________________________________

105

- Erneute Aufforderung zum Neustart bei geplanten Installationen: Legen Sie fest, wann Windows Update den Anwender auffordert, das Gerät

neu zu starten, wenn installierte Patches dies erfordern

- Verzögerter Neustart für geplante Installationen: Legen Sie fest, wie

lange das System nach der Installation der Patches bis zum Neustart wartet. Wenn nichts festgelegt ist, wird der Standardwert genutzt: 15 Minuten

- WSUS: Sie können festlegen, ob ein lokaler oder entfernter Server für die Windows-Server-Update-Services genutzt werden soll, um das Herunterladen von einzelnen Patches von jedem Netzwerkgerät zu minimieren.

- Client-side Targeting aktivieren: Wenn ein WSUS-Server mit aktiviertem

Client-side Targeting benutzt wird, werden die Gruppen und Geräte, die er

enthält, für die Zuordnung benutzt/ausgelesen. Mit diesem Parameter der Richtlinie können Sie durch Trennen mit einem Semikolon Gruppen bestim-

men, zu denen das Gerät, für das die Richtlinie gilt, gehört.

Wenn einige oder alle Geräte, die von der Windows-Update-Richtilinie

betroffen sind, nicht mit den in den WSUS-Gruppen definierten Geräten übereinstimmen, gilt die Richtlinie für diese Geräte nicht.

Szenarios für die Anwendung der Windows-Update-Richtlinie

Wenn der Administrator eine Garantie dafür benötigt, dass alle wich-

tigen Patches automatisch auf allen Netzwerkgeräten installiert werden, ohne dass der Anwender den Prozess behindert

Wenn der Administrator keine Kontrolle über jedes installierte Patch

benötigt und Microsoft je nach der Einteilung der Patches in Wichtig oder Empfohlen mit der Installationsentscheidung beauftragen kann

Wenn Patches als Optional eingestuft sind und nicht automatisch in-

stalliert werden müssen

Methode 3: Patch-Management-Richtlinien Allgemeine Beschreibung

Patch-Management-Richtlinien erlauben die automatische Installation von Patches auf ähnliche Art und Weise wie die Windows-Update-Richtlinien.

Der Hauptunterschied liegt darin, wie die zu installierenden Patches klassifiziert sind. Während Sie mit der manuellen Methode jedes zu installierende Patch auswählen und mit der Windows-Update-Richtlinie die Patches je nach Level (Wichtig, Empfoh-

PANDA


_____________________________________________________________________

106

len oder Optional) installieren können, ermöglicht Ihnen die Patch-Management-Richtlinie, die zu installierenden Patches auf eine flexiblere Art einzuteilen: nach Na-

me, Beschreibung, Größe, Art und anderen. Da es eine Richtlinie ist, sind die von dieser Methode unterstützten Einteilungslevel

das Systemlevel und das Profillevel.

Access-Patch-Management-Richtlinien-Methode Um auf diese Methode zuzugreifen, erstellen Sie eine Patch-Management-Richtlinie

im Profillevel oder Systemlevel.

Eine Eingabemaske erscheint, in der Sie das Verhalten des Patch-Managements zent-ral für alle von der erstellten Richtlinie betroffenen Geräte konfigurieren können.

PANDA


_____________________________________________________________________

107

Es folgen einige weniger offensichtliche Richtlinienoptionen:

- Ziel hinzufügen: Sie können Filter oder Gruppen hinzufügen, die den An-

wendungsbereich für die Richtlinie abgrenzt.

- Zeitfenster: Sie können ein Patch-Installationszeitfenster definieren. Mittels

des Installationszeitfensters können die Patch-Downloads installiert werden,

damit die Datenleitung des Kunden nicht übermäßig beansprucht wird, indem man das Kontrollkästchen „Zufällige Startzeit, um die Netzlast zu reduzieren“ auswählt.

- Installationskriterien: Sie können alle veröffentlichten Patches, die das Ge-

rät ohne Unterscheidung betreffen (Installiere alle Patches), installieren

oder einen Filter definieren, der eines oder mehrere Kriterien erfüllt. Um ein Kriterium zu definieren:

o Wählen Sie ein Feld in den veröffentlichten Informationen, die mit jedem

zu filternden Patch verbunden sind (Field)

o Wählen Sie eine Bedingung (Condition). Sie wird je nach Datentyp des

ausgewählten Feldes variieren.

o Wählen Sie den Suchbegriff (Search term). Er wird je nach Datentyp des

ausgewählten Feldes variieren.

Patch-Management-Richtlinien-Methode unter Benutzung von Szenarien

Wenn der Administrator eine höhere Vielschichtigkeit benötigt, als die von der Windows-Update-Richtlinien-Methode angebotene

Wenn der Administrator ausnahmslos alle Patches automatisch und zentral in-

stallieren muss

PANDA


_____________________________________________________________________

108

Methodenvergleichende Tabelle

Methode Patchauswahl Automatisierung Konfigurationszeit

Manuelle Ver-waltung

Hoch Patch für Patch auswählen

Niedrig Erfordert manuelle und ständige Frei-

gabe der Patches

Hoch Manuelle Überprü-fung aller veröffent-

lichten Patches und Auswahl

Windows-

Update-Richtlinie

Niedrig

Patchauswahl nach „Wichtig“ und „Empfohlen“

Hoch

Die zu installieren-den Patchgruppen werden auf einmal

konfiguriert

Niedrig

Auswählen, ob „wichtige“ und „op-tionale“ Patches in-

stalliert werden

Patch-

Management

Moderat

Patchauswahl über mehrfach konfigu-rierbare Kriterien

Hoch

Nach dem Erstellen von Filtern werden die Patches auto-

matisch installiert, wenn Microsoft sie veröffentlicht

Moderat

Die Filter zum Aus-wählen der zu instal-lierenden Patches

definieren

Audits Der Manage-Tab im Profillevel oder Systemlevel zeigt auf einen Blick den Status des gesamten verwalteten Netzwerkes bezüglich der Patchanwendung.

PANDA


_____________________________________________________________________

109

Auswahlkriterien Die Auswahlkriterien (Alle Geräte, Server, Workstations) definieren einen Filter für alle Geräte in dem Profil (Manage im Profillevel) oder alle verwalteten Geräte (Mana-ge im Systemlevel).

Tortendiagramm Nachdem die Filterkriterien festgelegt wurden, wird das Tortendiagramm Folgendes

zeigen:

- Die Anzahl der Geräte mit unkritischen Updates, die nicht installiert sind (blau) - Die Anzahl der Geräte mit kritischen Updates, die nicht installiert sind (orange)

- Die Anzahl der vollständig aktualisierten Geräte (grün)

Liste der gefährdeten Geräte

Durch Klicken auf einen der beiden Abschnitte im Tortendiagramm wird die Liste der gefährdeten Geräte aktualisiert.

Die Liste der gefährdeten Geräte zeigt Informationen über die am meisten gefährde-ten Geräte (kritische Updates oder unkritische Updates nicht installiert). Sie bietet auch verschiedene Verknüpfungen, um diese Situation aufzulösen:

o Hostname: Geben Sie Gerätelevel für dieses spezielle Gerät ein, um genau

zu sehen, welche Patches nicht installiert wurden und um die notwendigen zu genehmigen

o Sofort-Patch: Installieren Sie sofort die durch die ausgewählten Kriterien be-

stimmten Patches: kritisch oder unkritisch, je nachdem, ob Sie den blauen oder orangefarbenen Abschnitt des Tortendiagramms angeklickt haben.

PANDA


_____________________________________________________________________

110

14. Benutzerkonten und Rollen Was ist ein Benutzerkonto? Ein Benutzerkonto ist eine Sammlung von Informationen, einschließlich der Anmel-dedaten für den Zugriff auf die PCSM-Konsole und den PCSM-Agenten, die für

die Verwaltung von Netzwerkgeräten benötigt werden. Benutzerkonten werden nur von IT-Administratoren benutzt, welche die von Panda

Cloud Systems Management angebotenen Services nutzen wollen. Im Allgemeinen hat jeder IT-Administrator ein einziges Benutzerkonto.

Die Anwender der Geräte benötigen kein Benutzerkonto, da sie keinen Zugriff

auf die PCSM-Konsole haben. Der auf ihren Geräten installierte PCSM-

Agent wird im Überwachungsmodus automatisch konfiguriert.

Im Gegensatz zum restlichen Handbuch, wo der „Anwender“ die Person

ist, die das mit Hilfe von Panda Cloud Systems Management ver-waltete Gerät benutzt, kann sich „Anwender“ in diesem Kapitel auf ein

Benutzerkonto oder Zugriffskonto für die PCSM-Konsole beziehen.

Was ist eine Rolle? Eine Rolle ist eine spezielle Berechtigungskonfiguration für den Zugriff auf die

PCSM-Konsole, die für ein oder mehrere Benutzerkonten gilt. Dies autorisiert einen bestimmten Administrator, gewisse Ressourcen anzusehen oder zu modifizieren, je nachdem zu welcher Rolle das verwendete Benutzerkonto gehört.

Ein oder mehrere Benutzerkonten können zu einer oder zu mehreren Rollen gehören.

Rollen können nur das Zugriffslevel der IT-Administratoren auf PCSM-

Konsolen-Ressourden zum Verwalten der Netzwerkgeräte beeinflussen. Andere Gerätenutzer werden nicht beeinflusst.

PANDA


_____________________________________________________________________

111

Warum sind Rollen notwendig? In einer kleinen IT-Abteilung greifen alle Techniker als Administratoren ohne Ein-schränkungen auf die PCSM-Konsole zu. In einer mittelgroßen oder großen IT-

Abteilung oder bei Partnern mit vielen Kunden, könnte der Zugriff auf die Geräte je-doch aufgeteilt werden müssen, und zwar nach den drei folgenden Kriterien:

Die Anzahl der zu verwaltenden Geräte

In mittelgroßen/großen Netzwerken oder Netzwerken, die zu Büros desselben Unter-nehmens oder zu verschiedenen Kunden desselben Partners gehören, könnte es notwendig sein, Geräte zu installieren und diese Technikern zuzuweisen. Dadurch

wären die von einem bestimmten Techniker verwalteten Geräte eines Büros für die anderen Techniker nicht sichtbar.

Es könnte auch beschränkten Zugriff auf sensible Daten bestimmter Kunden geben, was eine genaue Kontrolle der Techniker erfordert, welche die Geräte mit diesen Da-

ten betreuen.

Der Zweck der zu verwaltenden Geräte

Je nach der Funktion eines Gerätes kann ein auf diesem Gebiet sachkundiger Techni-

ker zugeordnet werden. Eine Gruppe spezialisierter Techniker könnte z. B. dem Da-tenbankserver eines oder aller vom Partner verwalteten Kunden zugeordnet werden. Auf die gleiche Weise wären andere Dienste wie z. B. die Mailserver für diese Gruppe

nicht sichtbar.

Technisches Wissen

Abhängig vom Wissen der Techniker und ihrer Rolle in der IT-Abteilung benötigen sie

eventuell nur Zugriff auf Überwachung/Überprüfung (nur lesen) oder erweiterte Zu-griffsrechte, wie z. B. die Modifikation von Gerätekonfigurationen.

Die drei Kriterien können sich überschneiden und so eine sehr leistungsstarke Konfi-gurationsmatrix schaffen, die leicht zu definieren und zu pflegen ist. Sie können so-mit die für jeden Techniker zugänglichen Funktionen der PCSM-Konsole je nach

seinem Profil und seiner Verantwortung begrenzen.

Die Rolle des Accountadmin Eine Panda Cloud Office Protection Lizenz hat eine Standardkontrollrolle, genannt accountadmin. Der Standard-Administrationsaccount gehört zu dieser Rolle und er

erlaubt die Ausführung absolut jeder auf der PCSM-Konsole verfügbaren Aktion. Accountadmin ist außerdem die einzige Rolle, die neue Rollen und Anwender erstel-

len und bestehende Rollen modifizieren kann.

PANDA


_____________________________________________________________________

112

Die Rolle Accountadmin kann nicht vom PCSM-Server gelöscht werden. Jedes Be-nutzerkonto kann zu dieser Rolle gehören, nachdem es durch die PCSM-Konsole

zugeordnet wurde.

Alle in diesem Kapitel beschriebenen Prozeduren erfordern ein Konto,

das zur Rolle Accountadmin gehört.

Zugriff auf das Benutzerkonto und Rollenkonfiguration Im Allgemeinen Menü, Konto, gibt es zwei Einträge in Verbindung mit der Verwaltung von Rollen und Benutzerkonten:

Benutzer: neue Benutzerkonten erstellen und festlegen, ob sie zu einer oder

verschiedenen Rollen gehören Rollen: neue Einstellungen für den Zugriff auf die Ressourcen von Panda

Cloud Systems Management erstellen und modifizieren

Auf die Tabs Benutzer und Rollen kann nur zugegriffen werden, wenn der Be-

nutzer zu der speziellen Rolle Accountadmin gehört.

Benutzerkonten erstellen und konfigurieren

Im Allgemeinen Menü Konto, Benutzer können Sie alle notwendigen Aktionen, die mit der Erstellung und Modifizierung von Benutzerkonten verbunden sind, ausführen.

PANDA


_____________________________________________________________________

113

Neues Benutzerkonto hinzufügen: Klicken Sie auf Benutzer hinzufügen,

um einen neuen Benutzer hinzuzufügen. Legen Sie ein Passwort fest, bestim-men Sie die Rolle/Rollen, zu der/denen es gehört und definieren Sie das dazu-gehörige Sicherheitslevel (von 1 bis 5).

Durch das zu einem Benutzer gehörende Sicherheitslevel können Sie den Zu-

griff auf die Komponenten beschränken, die mit einem höheren Sicherheitsle-

vel entwickelt oder aus dem ComStore heruntergeladen wurden.

Ein Benutzerkonto bearbeiten: Wenn Sie auf den Benutzernamen klicken,

erscheint ein Formular mit allen Kontoinformationen. Benutzerkonten löschen oder sperren: Wählen Sie die Benutzer aus, in-

dem Sie die dazugehörigen Kontrollkästchen markieren und klicken Sie in der

Aktionsleiste auf die Icons „Verboten“ und „Streichen“ Erlaubnis für totale Kontrolle zuweisen: Klicken Sie AN/AUS im Account

Admin Ein Benutzerkonto kann zu einer oder mehreren Rollen gehören. In letzterem Fall

zeigt die PCSM-Konsole eine Dropdown-Liste an, über die Sie die Rolle wählen können, mit der das Benutzerkonto arbeiten soll.

PANDA


_____________________________________________________________________

114

Rollen erstellen und konfigurieren Im Allgemeinen Menü Konto, Benutzer können Sie alle notwendigen Aktionen ausfüh-ren, die mit der Erstellung und Modifizierung von Rollen verbunden sind.

Neue Rolle hinzufügen: Klicken Sie auf Rolle hinzufügen, um eine neue

Rolle hinzuzufügen. Sie werden aufgefordert, den Namen einzugeben und ob Sie als Grundlage eine leere/Muster-Konfiguration benutzen wollen oder ob die

neue Rolle auf einer vorherigen Rolle basieren soll. Eine Rolle bearbeiten: Wenn Sie auf einen Rollennamen oder das Bleistift-

symbol klicken, erscheint ein Formular mit allen Einstellungen. Eine Rolle löschen: Mit dem X-Symbol löschen Sie die ausgewählte Rolle.

Falls Benutzerkonten beim Löschvorgang einer Rolle zugeordnet sind, werden

Sie aufgefordert, diesen Konten eine neue Rolle zuzuweisen.

Rollen konfigurieren

Die Konfiguration einer Rolle ist in 4 Abschnitte eingeteilt:

Gerätesichtbarkeit: ermöglicht oder beschränkt den Zugriff auf Gerätegrup-

pen Berechtigungen: ermöglicht oder beschränkt den Zugriff auf die Funktionen

der PCSM-Konsole Agent-Browser-Tools: ermöglichen oder beschränken den Zugriff auf die

Funktionen des PCSM-Agenten Zugehörigkeit: bestimmt die Benutzerkonten, die zu der konfigurierten Rolle

gehören

PANDA


_____________________________________________________________________

115

Gerätesichtbarkeit

Mit dieser Konfigurationsgruppe können Sie die zu einer bestimmten Rolle gehören-den Netzwerkgeräte bestimmen, die für die Nutzer der PCSM-Konsole sichtbar sein

werden. Sie können den Zugriff auf die vier statischen Gruppen, die in PCSM verfügbar sind,

erlauben:

Profile

Profilgerätegruppen

Systemgerätegruppen

Systemprofilgruppen

Sie können den Zugriff auf dynamische Gruppen, wie z. B. Filter, erlauben.

Mit jeder von ihnen können Sie bestimmen, ob die Gerätegruppen (von einem Admi-nistrator erstellt und Typ festgelegt) in einer bestimmten Rolle zugänglich sein wer-

den oder nicht. Wenn Sie auf ON klicken, erscheint ein Konfigurationspanel.

Eine Gruppe, die im Textfeld Include aufgeführt ist, wird für alle zu dieser Rolle ge-

hörenden Benutzerkonten sichtbar sein. Wenn die Gruppe im Textfeld Exclude aufge-führt ist, wird diese Gerätegruppe in der PCSM-Konsole nicht sichtbar sein.

PANDA


_____________________________________________________________________

116

Berechtigungen

Berechtigungen bestimmen das Zugangslevel für jeden der Haupttabs in der PCSM-Konsole:

System

Profile

Komponenten

ComStore

Jobs

Reports

Konto

Es gibt drei Zugangslevel:

Deaktiviert

Zeigen

Verwalten

Wenn Sie auf ON klicken, können Sie jede Kategorie einzeln definieren. Der Inhalt

jeder Kategorie im Abschnitt Berechtigungen ist eine Umsetzung der in der PCSM-Konsole angezeigten Optionen und des Zugangslevels, das für jede Option einge-stellt werden kann.

Wenn Sie im Allgemeinen Menü beispielsweise auf Profile klicken, können Sie die entsprechenden Tabs in der PCSM-Konsole überprüfen.

PANDA


_____________________________________________________________________

117

Agent-Browser-Tools

Mit dieser Konfigurationsgruppe können Sie den Zugriff auf die Fernverwaltungstools im PCSM-Agenten bestimmen.

Jede Veränderung, die in Agent Browser Tools vorgenommen wurde,

erfordert einen Neustart des PCSM-Agenten.

Diese Beschränkungen gelten für die lokale PCSM-Konsole des

PCSM-Agenten, wenn man sich zum Verwalten entfernter Geräte ein-loggt (Administratormodus).

Zugehörigkeit

Erlaubt Ihnen, die Benutzerkonten anzupassen, die zu der konfigurierten Rolle gehö-ren.

PANDA


_____________________________________________________________________

118

Wie viele verschiedene Rollen werden benötigt? Sie können so viele Rollen erstellen wie nötig. Dabei sollten Sie berücksichtigen, dass das Ziel einer Rolle darin besteht, den Zugriff des Administrators auf die Geräte oder

die Ressourcen der PCSM-Konsole zu beschränken, um höhere Sicherheit und bes-seren Schutz gegen menschliches Versagen zu bieten. Diese höhere Sicherheit be-deutet allerdings auch eine geringere Flexibilität, wenn man technisches Personal für

verschiedene Kunden oder Aufgaben einsetzt. Die genaue Anzahl der Rollen in einem System ergibt sich aus dem Abwägen zweier Variablen: Flexibilität kontra Sicherheit.

Horizontale Rollen

Im Allgemeinen wird ein Unternehmen mit verschiedenen Büros und einem unab-hängigen IT-Team in jedem Büro die totale Kontrollrolle auf die Geräte in den einzel-nen Büros beschränken wollen.

Auf diese Weise werden die Geräte, die von Büro A verwaltet werden, für Büro B nicht sichtbar sein und umgekehrt.

In einem Unternehmen mit verschiedenen Büros wird die folgende Konfiguration für jedes einzelne Büro benötigt:

1 Profil- oder Systemgruppe, welche die Geräte des Büros zu einer Gruppe zu-

sammenfasst 1 Rolle, die den Zugriff auf die Geräte in dem Profil erlaubt und den Zugriff auf

die restlichen verweigert 1 Konto für jeden Techniker, welcher der Rolle, die das vorgesehene Büro ab-

deckt, zugeordnet ist Dasselbe Schema kann von einem Partner benutzt werden, der seine Kunden tren-

nen und ihnen bestimmte Techniker zuweisen will. Vertikale Rollen

Für Geräte, die weitestgehend für spezielle Aufgaben gedacht sind, wie z. B. Dru-cken, Datenbanken, E-Mail-Server, etc., können Sie Rollen erstellen, die den Zugriff

auf diese Art von Geräten beschränken. Dadurch können Unternehmen oder Partner mit vielen Büros/Kunden mit E-Mail-

Servern diese in Gruppen zusammenzufassen und ihnen eine Gruppe von Technikern zuweisen. Die restlichen Techniker mit einem allgemeinen Profil verwalten dann die Geräte der Anwender.

PANDA


_____________________________________________________________________

119

Die folgende allgemeine Konfiguration wird benötigt:

Eine Systemgruppe, die alle E-Mail-Server in einer Gruppe zusammenfasst,

unabhängig vom Profil/Kunden/Büro, zu dem sie gehören Eine Rolle A, die den Zugriff auf die Geräte in der Systemgruppe erlaubt und

den Zugriff auf die restlichen Geräte verweigert

Eine Rolle B, die den Zugriff auf die Geräte in der Systemgruppe verweigert und den Zugriff auf die restlichen Geräte erlaubt

Ein Rolle-A-Benutzerkonto für jeden Techniker, der die Mailserver der Firma

oder des Partners wartet

Ein Rolle-B-Benutzerkonto für jeden Techniker, der die Geräte der Anwender

in der Firma oder beim Partner wartet

Ressourcenzugriffsrollen

Je nach Profil oder Erfahrungslevel der Techniker kann der Leiter der IT-Abteilung die Arbeit unter den Mitarbeitern der Abteilung aufteilen. So können Sie Techniker-gruppen mit sich ergänzenden Verantwortlichkeiten bilden:

Techniker für das Überwachen und Erstellen von Reports: mit vollem Zugriff

auf die Tableiste, Reports und Nur-Lese-Zugriff auf die anderen Funktionen der PCSM-Console

Techniker für Skript-Entwicklung und Software-Installation: mit Zugriff auf das

Allgemeine Menü, Komponenten und ComStore Support-Techniker: mit Zugriff auf die Tableiste, Support und die Ressourcen

auf dem Gerät des Anwenders über den PCSM-Agenten Sie können auch den Zugriff auf bestimmte Komponenten im ComStore oder von der

IT-Abteilung entwickelte Komponenten, die sensible Operationen auf den Geräten des Anwenders ausführen, beschränken. Dazu weisen Sie Sicherheitslevel zu, die

höher sind als die im Benutzerkonto.

PANDA


_____________________________________________________________________

120

15. Verwaltung mobiler Geräte

Panda Cloud Systems Management enthält MDM-Tools (Mobile Device Ma-nagement), mit denen Sie mobile Geräte in Ihrem IT-Firmennetzwerk leicht und

zentral verwalten können. Mit PCSM können Sie auf die Herausforderungen reagie-ren, die sich durch die wachsende Nutzung mobiler Geräte am Arbeitsplatz ergeben, und zwar mit derselben Konsole, die Sie für die generelle Verwaltung Ihrer IT-

Infrastruktur nutzen.

Welche Plattformen werden unterstützt? Panda Cloud Systems Management unterstützt sowohl iOS- als auch Android-

Tablets und Smartphones. Genauer gesagt, unterstützt die Lösung iPhones und iPads, die iOS 6 oder später

nutzen. Hier ist eine Liste, der unterstützten Modelle: Modell

iPhone 3G (*) iPhone 4 (*) iPhone 4S (*) iPhone 5 iPhone 5C iPhone 5S iPad 2 (*) iPad (3° generation) (*) iPad (4° generation)

iPad Mini (*) Benötigt ein Upgrade auf iOS 6 oder später, um mit PCSM kompatibel zu sein.

PCSM unterstützt Android-Geräte mit der Version 2.3.3 (Gingerbread) und später.

Dies ist die große Mehrheit der derzeitig genutzten Android-Geräte, abgesehen von einem unbedeutenden Prozentsatz an Terminals, die immer noch Froyo (2.2.x) ver-wenden.

PANDA


_____________________________________________________________________

121

Mobile Geräte in PCSM integrieren Führen Sie die untenstehenden Schritte aus, um Ihre mobilen Geräte über die zent-rale Konsole zu verwalten.

Aktivieren der MDM-Funktion der Konsole

Um über die Konsole mit Ihren mobilen Geräten zu interagieren, müssen Sie die MDM-Funktion aktivieren. Dazu importieren Sie die kostenfreie Komponente „Mobile Device Management“ direkt aus dem ComStore.

Auch wenn die Komponente „Mobile Device Management“ kostenfrei ist, wird

jedes mobile Gerät mit einem darauf installierten PCSM-Agenten als eine re-

guläre Lizenz gezählt und bei der Ermittlung der Gesamtzahl erworbener Li-zenzen berücksichtigt.

Den Agenten installieren Wie bei anderen Arten von Geräten müssen Sie einen PCSM-Agenten auf den

Smartphones oder Tablets installieren, um eine sichere Kommunikation mit dem PCSM-Server herstellen und die unterstützen Geräte verwalten zu können.

Um den PCSM-Agenten auf dem Gerät eines Anwenders zu installieren, wird PCSM eine E-Mail mit allen notwendigen Informationen generieren. Dazu wählen Sie das

PANDA


_____________________________________________________________________

122

Profil aus, zu dem das Gerät gehören soll, entscheiden sich für Android oder iOS und geben die E-Mail-Adresse des Benutzers ein.

Der Kunde erhält dann eine E-Mail mit einem Download-Link vom Apple Store oder

von Google Play und eine .MDM-Datei mit Informationen über das Profil, mit dem das Gerät verbunden wird.

Das Gerät mit einem Profil verbinden

Nachdem der PCSM-Agent für iOS oder Android auf dem Gerät des Kunden instal-

liert worden ist, muss der Anwender die folgenden Schritte ausführen, um das Gerät mit dem ausgewählten Profil zu verbinden. Es gibt zwei Möglichkeiten, um ein Gerät mit einem Profil zu verbinden:

Option 1: Den QR-Code mit der Kamera des Gerätes erfassen.

Auf einem PC mit der Webkonsole, die das Profil anzeigt, mit dem das mobile Gerät des Kunden verbunden werden soll, klicken Sie auf den QR-Code, um diesen zu ver-

größern.

PANDA


_____________________________________________________________________

123

Dann muss der Anwender das Zahnradsymbol auf seinem Gerät berühren, um die Kamerafunktion zu starten und den QR-Code auf dem Bildschirm zu erfassen.

Nach dem Lesen des Codes zeigt der PCSM-Agent die Nachricht „Verbunden“ auf

dem Gerät des Anwenders an und das Gerät erscheint auf der PCSM-Konsole. Option 2: Die .MDM-Datei aus der E-Mail in den Agenten importieren.

Auf Mobiltelefonen ohne Kamera ist es möglich, die .MDM-Datei aus der E-Mail zu

öffnen, indem man einfach auf die Datei tippt.

PANDA


_____________________________________________________________________

124

Nach dem Laden der .MDM-Datei wird der PCSM-Agent die Nachricht „Verbunden“ auf dem Gerät des Anwenders anzeigen und das Gerät erscheint auf der PCSM-

Konsole.

Der Import der .MDM-Datei wird nur vom ursprünglichen E-Mail-Client

des Gerätes unterstützt.

Das Zertifikat in die PCSM-Konsole importieren (für iOS-basierte Geräte)

Zusätzlich zu den vorherigen Schritten ist es auch erforderlich, das von Apple gene-rierte Zertifikat in die PCSM-Konsole zu integrieren, damit sich iOS-Geräte mit dem

PSCM-Server verbinden können.

Das Importieren des Apple-Zertifikates ist einmaliger obligatorischer Vorgang

für jeden Kunden/Partner, der ein oder mehrere iOS-basierte Geräte verwalten

möchte.

Die Installation des Zertifikates ist eine Forderung von Apple, um die Integri-

tät, Authentizität und Diskretion der gesamten Kommunikation zwischen dem PCSM-Server und dem Gerät des Anwenders sicherzustellen.

Dazu führen Sie die folgenden Schritte aus: Gehen Sie auf Konto, Einstellungen, um auf die Einstellungen des Apple-

Zertifikates zuzugreifen (Apple Push Certificate section).

PANDA


_____________________________________________________________________

125

Laden Sie die Anforderung für die Zertifikatssignatur (CSR) herunter, von Panda

Security signiert (*_Apple_CSR.csr).

Laden Sie die CSR-Datei auf das Apple Push Certificate Portal hoch.

Für den Zugriff auf das Apple Push Certificate Portal benötigen Sie ein Apple-Konto. Jedes iTunes-Konto ist dafür ausreichend. Wenn Sie jedoch neue Apple-Anmelde-

daten erstellen wollen, gehen Sie zu https://appleid.apple.com, klicken Sie auf „Eine Apple-ID erstellen“ und befolgen Sie die Anweisungen auf dem Bildschirm.

Gehen Sie zu https://identity.apple.com/pushcert und melden Sie sich mit Ihren App-le-Zugangsdaten an. Klicken Sie auf „Zertifikat erstellen“ und befolgen Sie die Anwei-

sungen auf dem Bildschirm. Laden Sie die CSR-Datei, die Sie im vorherigen Schritt heruntergeladen haben.

Downloaden Sie die neue Apple-Zertifikatssignatur (.PEM) auf Ihren Computer.

Gehen Sie zurück zur PCSM-Konsole. Suchen Sie die aus dem Apple Push Certifi-

cate Portal heruntergeladene Apple-Zertifikatssignatur (.PEM) und laden Sie sie hoch. Nach dem Upload erscheint die folgende Nachricht in der Konsole:

https://appleid.apple.com/

https://identity.apple.com/pushcert

PANDA


_____________________________________________________________________

126

Tools für die Fernverwaltung mobiler Geräte Dieser Abschnitt beschreibt die über die PCSM-Konsole nutzbaren Tools, ihre Funk-tionsweise und die Vorteile, die sie bieten.

Die Funktionen der PCSM-Konsole bezüglich mobiler Geräte sind nur auf dem Ge-rätelevel für das entsprechende Gerät nutzbar.

Nachdem Sie das Gerät in der Konsole ausgewählt haben, werden sich die Aktions-leiste und die Tableiste automatisch ändern und die neuen verfügbaren Aktionen an-

zeigen.

Gerät zurücksetzen Die Werkseinstellungen des Gerätes werden aus der Ferne wiederhergestellt. Diese

Funktion verhindert Datendiebstahl für den Fall, dass ein Gerät verlorengeht, gestoh-len wird oder eine Fehlfunktion hat.

Seien Sie sich im Klaren darüber, dass dies alle Nutzerdaten (Program-

me, spezielle Konfigurationen und Modifikationen), die auf dem Gerät gespeichert sind, löschen wird. Das Gerät wird auf die Werksein- stellungen zurückgesetzt.

Geräteortung

Der Standort des Gerätes wird auf einer Karte angezeigt. Die Koordinaten des Gerä-tes können auf verschiedene Arten abgerufen werden, je nach den verfügbaren Res-sourcen auf dem Gerät. Die Genauigkeit kann von System zu System stark abwei-

chen. Die genutzten Technologien sind (nach Genauigkeit): GPS (Global Positioning System) WPS (Wifi Position System) GeoIP

PANDA


_____________________________________________________________________

127

GeoIP könnte einen Ort angeben, der völlig vom tatsächlichen Gerätestandort abweicht.

Gerät sperren Schaltet den Bildschirm des Gerätes ab, bis eine Sicherheits-PIN (wenn es eine gibt)

eingegeben wird. Dies ist besonders nützlich, wenn das Gerät gestohlen wurde. Gerät entsperren

Entsperrt ein gesperrtes Gerät (setzt die Sicherheits-PIN zurück, sollte der Anwender diese vergessen haben).

Passwort-Richtlinien

Diese Funktion arbeitet in Verbindung mit der Funktion „Gerät sperren“, da sie den Benutzer des Gerätes zwingt, ein Passwort (PIN) festzulegen. Wenn diese Funktion

aktiviert ist, kann der Administrator das Gerät sperren, wenn es gestohlen wurde, und den Dieb auffordern diese PIN einzugeben, wenn das Gerät eingeschaltet wird.

Diese Funktion sendet eine Fernaufforderung an den Benutzer, die PIN festzu-legen. Sie erlaubt dem Administrator nicht, diese über die Konsole festzulegen.

Audits Audits funktionieren genauso wie auf Windows-Geräten und sind vollständig in die

PCSM-Konsole integriert. Mit dieser Funktion können Filter erstellt werden, mit de-nen man sich z. B. die auf dem mobilen Gerät installierten Programme anzeigen las-

sen kann. Der PCSM-Agent sammelt alle Hardware- und Software-Informationen von dem

Gerät, auf dem er installiert ist. Alle Änderungen werden dem PCSM-Server mitge-teilt, der sie im Audit-Tab anzeigt.

Der Hardwarebereich zeigt die folgenden Informationen über mobile Geräte an: Betriebssystem und Version

Modell

ICCID (Integrated Circuit Card ID, eine einzigartige Nummer, die SIM-Karten identifiziert) SIM-Karten-Operator

SIM-Karten-Telefonnummer Speicher (interner Speicher und SD-Karten-Speicher)

installierte Netzwerkkarten (üblicherweise Wi-Fi)

PANDA


_____________________________________________________________________

128

Der Softwarebereich zeigt alle auf dem Gerät installierten Pakete an. Der Bereich

Changelog meldet alle Hardware- und Softwareänderungen, die an dem Gerät vor-genommen werden.

Reports Die Reports passen sich dem Gerätetyp an. Der Reports-Tab verhält sich genauso

wie bei Windows- und Mac-Geräten.

PANDA


_____________________________________________________________________

129

Appendix A

Source code of the component in chapter 10 Option Explicit

'**********************************************************************

*

'Quarantine_Monitor v0.99b

'06/03/2013

'By Oscar Lopez / Panda Security

'Target: It monitors changes on PCOP quarantine folder

'Input: PCOP_PATH environment variable

'Output: stdout "Result=n new items detected in PCOP quarantine",

'n is the added file number in the monitored folder

'**********************************************************************

*

dim WshShell,WshSysEnv

dim objFSO,objFolder,colFiles

dim iCountPast,iCountNow

dim bHit

Dim n

Set WshShell = WScript.CreateObject("WScript.Shell")

Set objFSO = CreateObject("Scripting.FileSystemObject")

'access to environment variable and quarantine path

On error resume Next

Set WshSysEnv = WshShell.Environment("PROCESS")

Set objFolder = objFSO.GetFolder(WshSysEnv("PCOP_PATH"))

if err.number 0 then

'PCSM didn't send the environment variable

err.clear

WScript.Echo "<-Start Result->"

WScript.Echo "Result=PCOP_PATH variable not defined on PCSM

console or path not found"

WScript.Echo "<-End Result->"

Set WshShell = nothing

Set WshSysEnv = nothing

Set objFolder = nothing

WScript.Quit(1)

end if

On error goto 0

'it gets the collection that contains the folter files

set colFiles = objFolder.files

On error resume Next

'access to the registry. 10 incremental entries will be created,

one per minute.

n=0

While Err.Number=0 And n < 10

iCountPast= cint(WshShell.RegRead("HKLM\Software\Panda

Security\Monitor" n

If err.number<>0 then

WshShell.RegWrite "HKLM\Software\Panda Security\Monitor" n

PANDA


_____________________________________________________________________

130

colFilescount "REG_SZ"

Else

n=n+1

End If

Wend

Err.Clear

If n=9 Then

iCountPast= cint(WshShell.RegRead("HKLM\Software\Panda

Security\Monitor0"))

iCountNow= cint(WshShell.RegRead("HKLM\Software\Panda

Security\Monitor9"))

if iCountPast iCountNow then

'there is more items in the folder, it updates the registriy

and sends an alert

WScript.Echo "<-Start Result->"

WScript.Echo "Result=" iCountNow iCountPast " new items

in PCOP quarantine"

WScript.Echo "<-End Result->"

bHit=true

end if

For n=0 To 9

WshShell.RegDelete("HKLM\Software\Panda Security\Monitor" n

Next

WshShell.RegWrite "HKLM\Software\Panda Security\Monitor0",

colFiles.count, "REG_SZ"

end if

On error goto 0

'finale

Set colFiles = nothing

set objFolder = nothing

set WshShell = nothing

set WshSysEnv = nothing

set objFSO = nothing

if bHit then

WScript.Quit (1)

else

WScript.Quit (0)

end if

PANDA


_____________________________________________________________________

131

Appendix B Source code of the component in chapter 11 Option Explicit

'***********************************************************************

'Deploy_documents v0.99b

'12/03/2013

'By Oscar Lopez / Panda Security

'Target: It creates a folder int the user's desktop and copy on it the

'documents to deploy

'Entrada: files to copy

'Salida: error code or OK

'***********************************************************************

Dim CONST_PATH

Dim objFSO,objFolder,colFiles

'Maybe you want to use a global variable for this constant?

CONST_PATH="C:\ACME Documents"

On Error Resume Next

Set objFSO=CreateObject("Scripting.FileSystemObject")

Set objFolder = objFSO.Getfolder(CONST_PATH)

If Err.Number=0 Then

'the folder already exists, the files won't be copied

WScript.Echo "Deploy unsuccessful: The folder already exists"

WScript.Quit (0)

End If

'the folder will be created in the user's desktop

Err.Clear

Set objFolder = objFSO.CreateFolder(CONST_PATH)

'the documents will be moved to the folder

objFSO.MoveFile "doc1.docx", objFolder.Path "\doc1.docx"



If Err.Number<>0 Then

WScript.Echo "Deploy unsuccessful: " ErrDescription

WScript.Quit (1)

Else

WScript.Echo "Deploy successful: All files were copied"

WScript.Quit (0)

End If

On Error Goto 0

WScript.Quit (0)