ESET 提示版本过时概述及解决方案 2
一、ESET 提示客户端过时,需要升级的原因: 2
二、升级给客户带来的益处 2
三、客户终端解决方案 3
1.提示您的产品已过时。 3
2.提示ESET Managenment Agent已过期 4
3.提示您的产品已过时(即将在Windows10上失去支持) 5
4.提示您的产品已过时(交叉证书问题) 6
四、服务器版产品升级解决方案 6
升级ESMC 7
一、 备份三个证书 7
二、 备份数据库 7
三、 升级ESMC ,可以选择本地升级,或者在线升级.推荐使用在线更新的方法. 8
- 本地安装包升级ESMC 8
- 在线更新 10
升级客户端程序 11
一、 创建动态组 11
二、 针对不同动态组创建对应任务 14 - 杀毒客户端升级任务。 14
- 升级agent 17
- Windows打SHA-2补丁 18
- 卸载杀毒软件 19
ESET 提示版本过时概述及解决方案
一、ESET 提示客户端过时,需要升级的原因:
恶意程序和互联网威胁正在不断进化 – 作为防御工具,ESET安全技术也是如此。继我司更新产品生命周期终止政策(简称:EOL)后,贵司正在使用的一部分ESET产品,不久之后将不再享受技术支持。故而,强烈建议您将ESET安全产品升级至最新版本,以便继续享受全面保护,抵御现在及未来形形色色的威胁。
EOL政策出台,ESET的老旧产品将会受到影响,客户端已经出现了几种报警提示,提醒客户早日更新,以消除现有的问题。文档中将着重介绍每个问题的发生原因以及对应的解决办法。
二、升级给客户带来的益处
升级主要包括三个部分:ESMC管理控制台、ESET产品、Widows 系统补丁。升级之后会让客户享有最全面的数字保护。
ESMC管理控制台升级之后您能够:
- 享受最新一代ESET安全产品所具备的全面远程管理功能
- 检测和管理所有设备上的ESET全盘加密功能。
- 管理云端沙盘技术,运用多重机器学习模式检测和分析威胁。
- ESET安全管理中心提供170多种内置报告,还允许用户利用多达1000个以上的数据点来生成自定义报告。
将贵司在用的产品升级至最新版本,即可享受几大收益并为贵司获取最高水平的安全防护:
- Windows 10更新首日同步兼容性. 我司坚持不懈地改进自主产品,确保我司最新款资安软件统一采用最高端安全技术,设计优异,与明年推出的最新Windows 10 系统更新程序相兼容
- 新版本更加注重检测率、高性能和易用性,产品运行更高效、更迅速并尽可能少打扰用户。
- 对于许可证仍处于有效期的用户而言,升级至最新版安全产品是完全免费的。
- 最新版终端产品能帮助贵司防范勒索病毒,抵御零日威胁。作为主机入侵防御系统(HIPS)的插件,该模块能在后台自动分析正在运行的进程和文件系统类操作。
- 通过将我司安全专家的专业知识和机器学习算法合二为一,强化恶意攻击防御成效。大量实测数据已证明,采用改良的机学算法后,检测敏感度得以大幅度提高。
补充 SHA2 的必要性
三、客户终端解决方案
为确保您能够及时的升级,免受政策的影响,ESET已经通过产品更新模块下发了更新提醒。我们将客户端警告提示分为四种,大家可以按照警报提示进行对应的操作。
1.提示您的产品已过时。
图 1-1
引起此警告的原因是该windows7系统上未安装SHA-2补丁。由于微软宣布SHA-1 散列算法中存在缺陷,为了与行业标准的对应将弃用SHA-1算法,替换成安全级别更高的SHA-2算法。在ESET最新版本中将会更换成SHA-2算法。故而需要升级。
影响范围:Windows Server 2003/2008/2008 R2/vista/ Windows 7
解决办法:
1.Windows 7操作系统用户必须安装SP1和SHA2补丁
2.Server 2008/2008 R2 安装SHA2 补丁
3.微软没有为Windows 2003/Vista 提供SHA-2 补丁,所以这些系统只能使用 6.5.2132.6 版本
2.提示ESET Managenment Agent已过期
图1-2
引起此警告的原因是Agent代理版本过低,需要及时升级代理为7.2及以上版本以及保证ESMC管理控制台为7.2及以上版本。
影响范围:agent版本低于7.2版本的产品
解决办法:将agent代理以及ESMC管理控制台升级至7.2及以上版本。
3.提示您的产品已过时(即将在Windows10上失去支持)
图1-3
引起该警报的原因是微软已经宣布明年的Windows10架构会进行改变,即将弃用ALPC功能,由于操作系统Windows10架构的改变,ESET最新版本(7.3版本)能够更好的兼容新架构的Windows10。为不影响客户的后续使用,需将ESET产品进行升级。
影响范围:Windows10操作系统
解决办法:升级ESET产品
4.提示您的产品已过时(交叉证书问题)
图1-4
引起该警报的原因是证书颁发机构之间合作即将到期,影响到ESET产品使用的证书, 新签名的病毒库将无法被验证。
影响范围:
- Windows的ESET端点产品(版本6.6、7.0、7.1)
- Windows Server的ESET产品(版本7.1)
解决方案:将ESET产品更新至7.3以及以上版本。
四、服务器版产品升级解决方案
在公司内服务器可能承担着重要的角色,运行着重要的任务。对于服务器版,客户可根据自己的需求进行操作。出现警告的有两种情况,一种是因为交叉认证问题导致的警报,另一种是由于未安装SHA-2补丁导致的警报。
如是因为交叉认证导致的,请将ESET产品升级到最新。可在云盘获得最新版本安装包:https://www.jianguoyun.com/p/DZSTLTkQsdabCBj1_bYD
如是SHA-2补丁没安装,请安装SHA-2补丁。可在云盘中获取需要的补丁:https://www.jianguoyun.com/p/DTPZPWAQsdabCBjwyqsD
ESET产品的最新版本中融入了我们最新的防御技术,将人类专家与机器学习很好的融合,具备更高的性能以及更有效的防护,为保证您能够及时的享受到最新的防御技术,请您尽快升级您的ESET产品。我们将为您提供技术支持,协助您完美的无缝切换到最新版本。您可访问EOL子网站获得更多有关EOL政策的信息:https://support-eol.eset.com/cn/
升级ESMC
步骤:
- 备份证书
- 备份数据库
- 升级ESMC
- 更新本地软件库
- 编辑一键安装脚本文件
- 导出服务器证书、agent证书、证书颁发机构。
图表 1备份证书
- 停止Sql服务
图表 2停止SQL服务
- 拷贝数据文件
图表 3备份数据库
一定要备份证书和数据库,以备不时之需
- 运行一体式安装包
图表 4一体式安装包升级
图表 5升级组件
图表 6升级组件
图表 7等待完成
- 登陆控制台更新产控制台
图表 8在线更新
图表 9在线更新
- 若没有备份证书和数据库,则建议导出备份;若已备份,则直接更新;
- 在线升级时,控制台的服务会停止,控制台web 界面登录时提示未连接, 这是正常现象.取决于数据库的大小,该过程可能需要数个小时, 请耐心等待升级完成.
可查看日志文件观察升级情况
C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
升级客户端程序
一、 创建动态组
为了使ESMC可以方便自动推送安装agent 7.2,Endpoint antivirus/security 7.3/6.5版本。首先划分动态组,再将任务指定给对应的动态组。
动态组关系图以及对应指令总览如下:
图1
首先操作者需要考虑动态组的逻辑关系,如:在Windows桌面层级下创建Endpoint非7.3版的动态组,这样将会在所有Windows桌面中筛出不是7.3版本的操作系统。其他层级关系请看上图。
明白了动态组的创建逻辑后,开始创建动态组,动态组的模板在云盘中,请下载到本地:https://www.jianguoyun.com/p/DZ4wD8MQsdabCBiAl8UD
将下载的动态组模板都导入到 …>动态组模板中,点击导入,将下载的动态组模板一一导入进去。
模板导入后,根据思维导图创建动态组,请注意层级关系。如Windows桌面组下创建: “Endpoint非7.3版”,接着在Endpoint非7.3版这个组下建立三个动态组分别为:
- win7 sp1/8/10
- winxp/vista/7
- win7 SP1更新SHA2补丁
创建动态组是为了更好的为不同的系统下发不同的策略,所以请大家根据思维导图的层级关系准确的创建。
例子:在Windows(桌面)组下按照上面的关系图创建新的动态组(如Endpoint非7.3版)并导入对应的动态组模板。
- 新建动态组。
选择需要创建动态组的组别(如:Windows桌面)à点击右边小齿轮à选择“新动态组”
- 在基本中为动态组命名, 命名方式尽量参照思维导图, 以免后续操作中混淆。
- 在模板中选择导入的模板。
点击“选择现有”à将会出现很多动态组的模板,这是请选择您要创建的动态组对应的模板进行导入(如:正在创建Endpoint非7.3版,则选择模板:Endpoint+非7.3)à选择好模板后点击“导入”
4,按照关系图创建所有动态组。
虽然动态组有多个,但是方法都是一样的,请大家按照首页的思维导图完成所有的动态组的创建。
二、 针对不同动态组创建对应任务
准备工作:
1.将网盘中的安装程序(包含:7.3的杀毒安装包,7.2 Agent安装包,6.5的杀毒安装包,SHA-2补丁)请全部下载
2.将下载的程序放在此目录下:C:\Program Files\Apache HTTP Proxy\htdocs
创建任务:
对于我们刚刚建立的动态组”Endpoint 非7.3版” 的子组”Win7 SP1/8/10” 都可以把客户端升级到最新的7.3版
点击任务-客户端任务。
在【基本】,说明一栏请标明该任务的名称, 命名方式尽量清晰明了, 以防后面执行任务时混淆. 名称推荐示例(EEA 32位更新到7.3版),任务列表选择“ESET安全产品”,任务选择“软件安装”。选择“继续”。
无需选择许可证,选择 “按照直接程序包URL进行安装”在输入框中输入命令:
示例:
http://192.168.1.201:3128 /eea_nt32.msi
(安装区分32位和64位)也就是说要分别制作64位、32位系统的升级任务
如: 创建64位安装任务时候命令行为:
http://192.168.1.201:3128 /eea_nt64.msi
PS:服务器ip地址请自己查看使用的服务器。
如想验证此命令行是否正确,请复制正确的命令行,粘贴在浏览器中,能下载程序包则该命令行无误。
例如:
创建触发器
设置完成之后请创建触发器,首先选择所要执行该任务的组别,如现在需要给64位的组别下发更新任务,请选择之前创建好的64位系统的动态组。勾选后选择确定。
触发器类型选择【每天】,设定任务结束时间,建议设置一个月。计划选择每天。随机时间延迟选择3个小时,这样可以避免大量客户端集中升级造成网络拥塞。这样设置该任务便会每天给目标动态组进行任务下发。
对于我们刚刚建立的动态组”Agent 非7.2版” , 我们可以把组员的 Agent升级到最新的7.2版
创建 “新客户端任务”,任务类别请选择“所有任务”选择“运行命令”。命名为:更新agent 32位到7.2
选择继续à将以下命令行输入进去(注意区分32位操作系统和64位操作系统)
64位的操作系统:
msiexec /qn /i “http://192.168.88.132:3128/Agent_x64.msi”
32位的操作系统:
msiexec /qn /i “http://192.168.88.132:3128/Agent_x32.msi”
设置完成后同样需要创建触发器。触发器部分参考客户端升级任务建立的触发器。注意64位/32位要分别建立任务。
- 打SHA-2补丁
因为微软的最新数字签名政策, 所有 win 7 都需要有 SHA2 补丁,否则日后很多软件的数字签名讲无法被识别,包括 ESET 病毒库的数字签名. 如果开启了 windows 的自动更新, SHA2 补丁是自动打好的. 考虑到内网等没有自动更新条件的, 我们需要手动推送 SHA2 补丁.
可以针对我们刚刚建好的”Win 7 SP1 更新 SHA-2 补丁”动态组推送补丁任务,
由于条件限制,动态组只能筛选出 Win 7 SP1, 无法再细化 SP1 中哪些没有打 SHA2 补丁.如果这个组中没有”黄色”显示的组员,表明贵司内部不缺SHA2补丁,可跳过此步骤
推送Windows 补丁,同样使用软件安装任务推送。参考推送杀毒客户端的方法。
将命令行更改为:
补丁中 Win7 代表 Win7系统, 32 代表32位系统, reboot代表补丁执行完后自动重启电脑, 无 reboot 字样的不会自动重启, 二者选其一即可. SHA2补丁要重启电脑才能生效, 请自行评估是否要自动重启.
由于微软没有未 XP/Vista 已经win7 SP0 系统提供 SHA2 补丁, 这些系统只能降级 ESET 产品到6.5 来使用.
动态组” WinXP/Vista/7” 中有2个子组:
“Endpoint 在6.5以下”组,请执行软件安装任务,把软件升级到6.5版.
“Endpoint 在6.6以上”组,请执行软件卸载任务, 重启客户端电脑, 然后再推送6.5版.
创建新【客户端任务】,任务类别选择【操作系统】-任务栏选择【软件卸载】。
在【设置】中,程序包名称中选择要卸载的版本,因为xp/vista/win7sp0需要安装6.5所以要卸载的版本有6.6.*,7.0.*,7.1.*,7.2.*
触发器部分参考客户端升级任务建立的触发器。注意分配的动态组。