Automatische und manuelle Erkennung

Stellen Sie vor dem Start der Erkennung sicher, dass die Voraussetzungen erfüllt sind.

So können Sie Maschinen erkennen

  1. Gehen Sie in der Service-Konsole zu Geräte –> Alle Geräte.
  2. Klicken Sie auf Hinzufügen.
  3. Klicken Sie bei Mehrere Geräte auf Nur Windows. Der Erkennungsassistent wird geöffnet.
  4. [Wenn es Einheiten/Abteilungen in Ihrer Organisation gibt] Wählen Sie eine Organisationseinheit. Anschließend können Sie im Discovery Agenten diejenigen Agenten auswählen, die mit der ausgewählten Einheit und deren Untereinheiten assoziiert sind.
  5. Wählen Sie den Discovery Agenten aus, der den Scan zum Erkennen der Maschinen durchführen soll.

  6. Bestimmen Sie die Erkennungsmethode:

    • Active Directory durchsuchen. Stellen Sie sicher, dass die Maschine mit dem Discovery Agenten ein Mitglied der Active Directory-Domain ist.
    • Lokales Netzwerk scannen. Wenn der ausgewählte Discovery Agent keine Maschinen finden konnte, wählen Sie einen anderen Discovery Agenten aus.
    • Manuell spezifizieren oder aus Datei importieren. Definieren Sie die hinzuzufügenden Maschinen manuell oder importieren Sie diese aus einer Textdatei.

  7. [Wenn die Erkennungsmethode 'Active Directory' ausgewählt wurde] Bestimmen Sie, wie nach den Maschinen gesucht werden soll:

    • In der Liste der Organisationseinheiten. Wählen Sie die Gruppe der Maschinen aus, die hinzugefügt werden sollen.
    • Per LDAP-Dialekt-Abfrage. Verwenden Sie die LDAP-Dialekt-Abfrage, um die Maschinen auszuwählen. Die Such-Basis definiert, wo gesucht werden soll, während Sie über Filter die Kriterien zur Auswahl der Maschinen spezifizieren können.

  8. [Wenn die Erkennungsmethode 'Active Directory' oder 'Lokales Netzwerk' ausgewählt wurde] Verwenden Sie eine Liste, um die Maschinen auszuwählen, die Sie hinzufügen wollen.

    [Wenn die manuelle Erkennungsmethode ausgewählt wurde] Spezifizieren Sie die IP-Adressen oder Host-Namen der Maschinen – oder importieren Sie eine Liste der Maschinen aus einer Textdatei. Die Datei muss je eine IP-Adresse bzw. einen Host-Namen pro Zeile enthalten. Hier ist ein Beispiel für eine entsprechende Datei:

    156.85.34.10
    156.85.53.32
    156.85.53.12
    EN-L00000100
    EN-L00000101

    Nachdem die Adressen der Maschinen manuell hinzugefügt oder über eine Datei importiert wurden, versucht der Agent, die hinzugefügten Maschinen anzupingen und deren Verfügbarkeit zu ermitteln.

  9. Bestimmen Sie, welche Aktionen nach der Erkennung durchgeführt werden sollen:

    • Agenten installieren und Maschinen registrieren. Wenn Sie auf den Befehl Komponenten auswählen klicken, können Sie festlegen, welche Komponenten auf den Maschinen installiert werden sollen. Weitere Informationen dazu finden Sie hier: Zu installierende Komponenten auswählen.

      Definieren Sie über die Anzeige Komponenten auswählen das Konto, unter dem die Dienste ausgeführt werden sollen, indem Sie die Option Anmeldekonto für den Agenten-Dienst konfigurieren. Sie können eine der folgenden Optionen wählen:

      • Service User-Konten verwenden (Standard für den Agenten-Dienst)

        Service User-Konten sind Windows-System-Konten, die verwendet werden, um Dienste auszuführen. Der Vorteil dieser Einstellung ist, dass die Domänen-Sicherheitsrichtlinien keinen Einfluss auf die Benutzerrechte dieser Konten haben. Standardmäßig wird der Agent unter dem Konto Lokales System ausgeführt.

      • Neues Konto erstellen

        Der Kontoname für den Agenten lautet 'Agent User'.

      • Folgendes Konto verwenden

        Wenn Sie den Agenten auf einem Domain Controller installieren, wird Sie das System auffordern, für den Agenten vorhandene Konten (oder dasselbe Konto) zu spezifizieren. Das System erstellt aus Sicherheitsgründen nicht automatisch neue Konten auf einem Domain Controller.

      Wenn Sie die Option Neues Konto erstellen oder Folgendes Konto verwenden wählen, sollten Sie sicherstellen, dass die Domänen-Sicherheitsrichtlinien die Rechte der entsprechenden Konten nicht beeinträchtigen. Wenn einem Konto Benutzerrechte wieder entzogen werden, die diesem bei der Installation zugewiesen wurden, wird die Komponente möglicherweise fehlerhaft oder gar nicht funktioniert.

    • Maschinen mit installierten Agenten registrieren. Diese Option wird verwendet, wenn der Agent bereits auf den Maschinen installiert ist und Sie diese nur in Cyber Protection registrieren müssen. Wenn auf den Maschinen kein Agent gefunden wird, werden die Maschinen mit der Kennzeichnung Nicht verwaltet hinzugefügt.
    • Als nicht verwaltete Maschinen hinzufügen. Der Agent wird nicht auf den Maschinen installiert. Sie können sich die Maschinen in der Konsole anzeigen lassen und den Agenten später installieren oder registrieren.

    [Wenn als 'Aktion nach Erkennung' die Option Agenten installieren und Maschinen registrieren ausgewählt wurde] Maschine bei Bedarf neu starten – wenn diese Option aktiviert ist, wird die Maschine (so oft wie notwendig) neu gestartet, um die Installation abzuschließen.

    Ein Neustart der Maschine kann in einem der folgenden Fälle erforderlich sein:

    • Die Installation der Vorgaben ist abgeschlossen. Es ist ein Neustart erforderlich, um mit der Installation fortfahren zu können.
    • Die Installation ist abgeschlossen. Es ist jedoch ein Neustart erforderlich, weil einige Dateien während der Installation gesperrt wurden.
    • Die Installation ist abgeschlossen. Für andere, zuvor installierte Software ist jedoch ein Neustart erforderlich.

    [Wenn die Option Maschine bei Bedarf neu starten ausgewählt wurde] Nicht neu starten, wenn Benutzer angemeldet ist – wenn diese Option aktiviert ist, wird die Maschine nicht automatisch neu gestartet, wenn der Benutzer am System angemeldet ist. Wenn ein Benutzer auf der Maschine arbeitet, während die Installation einen Neustart einfordert, wird das System nicht neu gestartet.

    Wenn die Vorgaben installiert wurden und kein Neustart durchgeführt wurde, weil ein Benutzer angemeldet war, müssen Sie die Maschine manuell neu starten und die Installation erneut starten, damit die Installation des Agenten fertiggestellt werden kann.

    Wenn der Agent installiert wurde, aber anschließend kein Neustart erfolgte, müssen Sie die Maschine manuell neu starten.

    [Wenn es Einheiten/Abteilungen in Ihrer Organisation gibt] Benutzer, für den die Maschinen registriert werden sollen – wählen Sie den Benutzer Ihrer Einheit oder Untereinheit aus, für den die Maschinen registriert werden sollen.

    Wenn Sie eine der ersten beiden 'Aktionen nach der Entdeckung' ausgewählt haben, gibt es außerdem die Möglichkeit, einen Schutzplan auf die Maschinen anzuwenden. Wenn Sie mehrere Schutzpläne haben, können Sie auswählen, welchen Sie verwenden wollen.

  10. Spezifizieren Sie die Anmeldedaten eines Benutzers mit administrativen Berechtigungen für all diese Maschinen.

    Beachten Sie, dass die Remote-Installation eines Agenten nur dann ohne Vorbereitungen funktioniert, wenn Sie die Anmeldedaten des integrierten Administratorkontos (das erste Konto, das bei der Installation des Betriebssystems erstellt wird) spezifizieren. Wenn Sie die Anmeldedaten eines benutzerdefinierten Administrators spezifizieren wollen, müssen Sie zusätzliche manuelle Vorbereitungen durchführen (wie im unteren Abschnitt 'Remote-Installation eines Agenten für einen benutzerdefinierten Administrator ermöglichen' beschrieben).

  11. Das System überprüft, ob eine Verbindung mit all diesen Maschinen möglich ist. Wenn mit einigen Maschinen keine Verbindung aufgebaut werden kann, können Sie die Anmeldedaten für diese Maschinen ändern.

Wenn die Erkennung für diese Maschinen initiiert ist, können Sie den entsprechenden Task in der Aktivität Dashboard –> Aktivitäten –> Maschinen erkennen finden.

Eine Maschine für die Remote-Installation vorbereiten

  1. Damit die Installation auf einer Remote-Maschine mit Windows Vista (oder höher) erfolgreich ist, muss die Option Systemsteuerung –> Ordneroptionen –> Ansicht –> Freigabe-Assistent verwenden (empfohlen) auf dieser Maschine deaktiviert sein.
  2. Zur erfolgreichen Installation auf einer Remote-Maschine, die kein Mitglied einer Active Directory-Domain ist, muss auf dieser Maschine die Benutzerkontensteuerung (UAC) deaktiviert sein. Weitere Informationen darüber, wie Sie diese Funktion deaktivieren können, finden im Abschnitt 'Anforderungen an die Benutzerkontensteuerung (UAC))' –> 'So können Sie die UAC deaktivieren'.
  3. Um die Remote-Installation auf einer Windows-Maschine durchführen zu können, werden standardmäßig die Anmeldedaten des integrierten Administratorkontos benötigt. Um eine Remote-Installation mit den Anmeldedaten eines anderen Administratorkontos durchführen zu können, müssen die Remote-Beschränkungen der Benutzerkontensteuerung (UAC) deaktiviert sein. Weitere Informationen darüber, wie Sie diese deaktivieren können, finden im Abschnitt 'Anforderungen an die Benutzerkontensteuerung (UAC))' –> 'So können Sie die UAC-Remote-Beschränkungen deaktivieren'.

  4. Auf der Remote-Maschine muss die Datei- und Druckerfreigabe aktiviert sein. So erhalten Sie Zugriff auf diese Option:

    • Auf einer Maschine, die unter Windows 2003 Server läuft: gehen Sie zu Systemsteuerung –> Windows-Firewall –> Ausnahmen –> Datei- und Druckerfreigabe.
    • Auf einer Maschine, die unter Windows Vista, Windows Server 2008, Windows 7 oder neuer läuft: gehen Sie zu Systemsteuerung –> Windows-Firewall –> Netzwerk- und Freigabecenter –> Erweiterte Freigabeeinstellungen ändern.

  5. Cyber Protection verwendet zur Remote-Installation die TCP-Ports 445, 25001 und 43234.

    Port 445 wird automatisch geöffnet, wenn Sie die Datei- und Drucker-Freigabe aktivieren. Ports 43234 und 25001 werden automatisch durch die Windows-Firewall geöffnet. Stellen Sie bei Verwendung einer anderen Firewall sicher, dass diese drei Ports für ein- und ausgehende Anfragen geöffnet sind (indem Sie den 'Ausnahmen' hinzugefügt werden).

    Nach Abschluss der Remote-Installation wird der Port 25001 automatisch von der Windows-Firewall geschlossen. Die Ports 445 und 43234 müssen offen bleiben, wenn Sie zukünftig irgendwann ein Remote-Update des Agenten durchführen wollen. Der Port 25001 wird von der Windows Firewall bei jedem Update automatisch geöffnet und wieder geschlossen. Wenn Sie eine andere Firewall verwenden, sollten Sie alle drei Ports geöffnet lassen.