Gestión del antivirus institucional ESET

ESET Antivirus es una solución que se utiliza principalmente en equipos Windows, protegiendo el sistema operativo de virus, aplicaciones maliciosas, ataques informáticos e incluso de aplicaciones potencialmente peligrosas que aún no se encuentran en las definiciones de virus. Esta es la solución que la UCR está utilizando en la actualidad.

La versión utilizada es la 7.x, la cuál permite una administración centralizada por medio de una consola web. Cada RID ^[1] del Centro de Informática monitorea los equipos a su cargo y, si así lo considera, puede aplicar políticas determinadas a ciertas computadoras; el personal asignado del Centro de Informática se encarga de la administración de usuarios, licencias, tareas y creación de políticas de seguridad, entre otras.

En la UCR utilizamos los siguientes productos:

• ESET Endpoint Security (EES): Para equipos de escritorio.
• ESET Endpoint Antivirus (EEA): Para equipos de escritorio, sin muro de fuego.
• ESET File Security (EFS): Para servidores.
• ESET Security Management Center (ESMC): Servidor central desde donde se administran los productos. Se accede a través de una consola web.
• Agent: Agente de comunicación entre el producto y el servidor central. Este permite que se active el producto o que se actualice.

Archivos de instalación y utilidades

Para facilidad del equipo técnico, los instaladores de las diferentes herramientas se encuentran disponibles en el sitio del Centro de Informática:

https://ci.ucr.ac.cr/descarga-software

Los GTI's tienen permisos para descargar dichos instaladores.

Las versiones que se encuentran en este servidor son las que han sido probadas por el Centro de Informática y no necesariamente las últimas disponibles. Los productos se actualizan solo cuando ofrecen nuevas características de interés y cuando se puede garantizar la estabilidad de los equipos migrados.

Instalación

Asegúrese de elegir el producto adecuado para su sistema operativo:

• Equipos de escritorio y computadoras portátiles, Windows y MacOS:
  • ESET Endpoint Security
  • ESET Endpoint Antivirus (alternativa sin muro de fuego)
• Servidores Windows: ESET File Security

También debe instalar el agente de comunicación con el servidor central.

Requerimientos

Para un funcionamiento adecuado, el sistema debería cumplir con los siguientes requerimientos de software y hardware.

ESET Endpoint Security (EES) y ESET Endpoint Antivirus (EEA) para Windows

• Microsoft Windows 10/8.1/8/7/Vista.
• CPU: 32-bits(x86) o 64-bits(x64), 1GHz o más.
• Memoria RAM: al menos 300MB libre.
• Disco duro: 1GB de espacio libre.
• Conexión a Internet.

ESET Endpoint Security (EES) y ESET Endpoint Antivirus (EEA) para MacOS

• MacOS 10.9 o superior
• CPU: 32-bits(x86) o 64-bits(x64).
• Memoria RAM: al menos 300MB libre.
• Disco duro: 200MB de espacio libre.
• Conexión a Internet.

ESET File Security (EFS) para Windows Server

• Microsoft Windows Server 2016/2012 R2/2012/2008 R2/2008 (x86 y x64)/
• Microsoft Windows Storage Server 2016/2012 R2/2012/2008 R2 Essentials SP1/
• Microsoft Windows Server 2016 Essentials/2012 R2 Essentials/2012 Essentials/2012 Foundation/
• Microsoft Windows Small Business Server 2011 (x64)/2008 (x64)/
• Microsoft Windows MultiPoint Server 2012/2011/2010/
• Microsoft Windows Server con rol Hyper-V 2016/2012 R2/2012/2008 R2 (escaneo solo con VM offline)/
• CPU: Intel o AMD single core, 32-bits(x86) o 64-bits(x64).
• Memoria RAM: al menos 256 MB libre.
• Disco duro: 700MB de espacio libre.

ESET Endpoint Security (EES) y ESET Endpoint Antivirus (EEA) para Linux

• Red Hat Enterprise Linux 7/8
• Ubuntu Desktop 18.04 LTS/20.04 LTS
• SUSE Linux Enterprise Desktop 15
• CPU: Intel o AMD 64-bits
• Memoria RAM: al menos 256 MB libre
• Disco: 700MB de espacio libre
• Escritorio: GNOME 3.28.2, KDE, MATE, XFCE

ESET File Security (EFS) para servidores Linux

• RedHat Enterprise Linux (RHEL) 6/7/8
• CentOS 6/7/8
• Ubuntu Server 16.04 LTS/18.04 LTS/20.04 LTS
• Debian 9/10
• SUSE Linux Enterprise Server (SLES) 12/15
• CPU: Intel o AMD 64-bits
• Memoria RAM: al menos 256 MB libre
• Disco: 700MB de espacio libre
• Kernel: Superior a la versión 2.6.32
• glibc: Igual o superior a la versión 2.12

Todo en uno en Windows

La forma más sencilla de hacer la instalación es con los instaladores que incluyen el producto y el agente y además configuran el agente para que se comunique con el servidor central. Note que no todos los productos tienen un instalador todo en uno.

Instrucciones:

1. Descargue el instalador Producto+Agent+Certificados en el disco duro del equipo, por ejemplo en el Escritorio.
2. Ejecute el instalador y siga los pasos. No se preocupe por las opciones que marque, el agente aplicará la política respectiva una vez que se conecte al servidor central.
3. Cuándo solicite activación ignore la ventana y ciérrela, el agente se encargará de este proceso.

El agente se conecta a la consola periódicamente, es posible que se demore un tiempo en activar el producto y descargar las primeras actualizaciones.

En equipos de escritorio el instalador eliminará versiones anteriores del antivirus. Si tiene problemas para desinstalar un producto refiérase a la sección de Problemas y soluciones.

En el caso de servidores Windows, si existe una versión anterior de ESET File Security(EFS), debe desinstalarla, reiniciar el servidor y luego instalar la nueva versión.

Instalación manual en Windows

En el caso de que la instalación todo en uno falle, o requiera reinstalar solo uno de los componentes puede recurrir a la instalación manual.

Agente

1. Descargue del sitio de descargas:
   1. El instalador del agente, de acuerdo al sistema operativo y arquitectura.
   2. Los certificados.
2. Ejecute el instalador
3. En la configuración del agente, ingrese:
   1. Servidor: antivirus.ucr.ac.cr
   2. Puerto: 2222
   3. y marque la opción Offline instalation
4. En la configuración de certificados:
   1. Peer certificate: cargue el archivo Certificate Export CN=Agent ... .pfx (deje en blanco el campo para contraseña).
   2. Certification authority: cargue el archivo Certification Authority ... .der.
5. Siga el asistente hasta finalizar la instalación.

Producto antivirus

1. Descargue el instalador del producto en el disco duro del equipo, por ejemplo en el Escritorio.
2. Ejecute el instalador y siga los pasos. No se preocupe por las opciones que marque, el agente aplicará la política respectiva una vez que se conecte al servidor central.

En el caso de servidores Windows, si existe una versión anterior de ESET File Security(EFS), debe desinstalarla, reiniciar el servidor y luego instalar la nueva versión.

Desinstalación en Windows

Para desinstalar el agente y producto:

1. Ejecute "Agregar y quitar programas" de Windows.
2. Seleccione cada programa y presione "Modificar".
3. En el asistente seleccione la opción para desinstalar.
4. Cuando se le solicite contraseña:
   1. En el caso del producto, ingrese la misma contraseña que usa para desactivarlo o entrar a opciones avanzadas.
   2. En el caso del agente ingrese la contraseña que escribió durante la instalación manual. En el caso de utilizar el instalador todo en uno no se usa contraseña, así que deje el campo en blanco.

En el caso de servidores Windows debe reiniciar el servidor después de desinstalar.

Instalación en MacOS

Agente

1. Descargue y descomprima los instaladores
2. Ejecutar el instalador del Agente (Agente XXX.dmg)
3. Configuración del agente:
   1. Servidor: antivirus.ucr.ac.cr (o 172.16.48.22)
   2. Puerto: 2222
4. Configuración de certificados:
   1. Peer Certificate: Exportación de significado...pfx
   2. Certificate Authority: Clave pública...der
5. Finalice la instalación

Producto Antivirus

1. Descargue y descomprima los instaladores
2. Ejecutar el instalador (ESET Endpoint Security XXX.dmg) y siga los pasos (el agente aplicará las políticas respectivas al finalizar la instalación)
3. Permitir la carga de extensiones en 'Seguridad y Privacidad'
   1. Permitir aplicaciones de ESET, spol. s.r.o.
4. Reiniciar
5. Habilitar permisos de 'Acceso total al disco' para los aplicativos de ESET en 'Seguridad y Privacidad'
   1. ESET Endpoint Security
   2. ESET Real-time file system protection
   3. Otro aplicativo de ESET que se encuentre listado
6. Actualizar los módulos

Instalación en servidores Linux

En servidores Linux existen dos instaladores, uno para el agente que se instala de manera desatendida y uno para el producto, que corresponde al ESET File Security(EFS).

1. Ingrese al sitio del Centro de Informática.
2. Descargue ESET Server Security para Linux con sus respectivos agentes y súbalos a su servidor.
3. Ejecute el instalador del agente:

   sh Agente...sh

4. Ejecute el instalador del agente EDR:

   sh Agente-EDR...sh

5. Ejecute el instalador del producto:

   sh ESETServerSecurity...bin

   1. Se le mostrará la licencia de uso. Presione Enter para avanzar en el texto. Presione q para salir del visor.
   2. Presione y y luego Enter para aceptar la licencia y continuar.
   3. El script le indicará que instalará algunas dependencias, presione Enter para continuar.

Puede referirse a la sección de Problemas y soluciones en caso de recibir algún error.

Análisis en línea

En caso de que tenga problemas para instalar o ejecutar el antivirus y desea confirmar o descartar una amenaza activa, es posible ejecutar una versión en línea del antivirus. Para ello ingrese en la siguiente dirección:

https://www.eset.com/int/home/online-scanner/

y presione "Scan now"

Consola web

Para monitorear sus equipos y realizar algunas tareas, ingrese a la consola web del ESET Security Management Center(ESMC)

https://antivirus.ucr.ac.cr/era/webconsole/

Las credenciales fueron suministradas al encargado técnico en cada unidad.

ESET Security Management Center consta de tres secciones principales:

Dashboard

Brinda una visión general de la red y permite explorar un problema o equipo en particular.

Equipos

Muestra los equipos, la información y las acciones que se pueden realizar.

Los equipos se organizan en grupos:

• El grupo Lost & found donde irán mostrándose todos los equipos que se comuniquen con el servidor. Este grupo puede ser accedido por todos los usuarios.
• El grupo correspondiente a su unidad, que los demás usuarios no pueden acceder. Usted deberá mover los equipos a este lugar. Si encuentra un equipo que ha sido movido por error, simplemente regréselo a Lost & found.

El grupo Lost & found contiene a su vez grupos dinámicos que ayudan a identificar los equipos de cada unidad, para ello hace la clasificación por IP. Si cree que este filtro omite alguno de los rangos IP asignados a su unidad, comuníquese con el Centro de Informática para actualizarlo. También puede encontrar equipos utilizando el campo de búsqueda ubicado en el panel superior.

El grupo asignado a su unidad, le permitirá agrupar y monitorear el estado del antivirus en cada computadora, donde se destacan:

• Nombre del equipo: Además del nombre se mostrarán los íconos que ayudan a identificar rápidamente el software ESET instalado. Debería mostrarse el ícono del producto y del agente.
• Estado: indica si existen advertencias o si se han presentado errores en una computadora en particular. Haga clic con el botón primario del ratón para mostrar un menú contextual donde podrá ver más detalles, como las alertas generadas.
• Módulos: indica si estos han sido actualizados.
• Última conexión: muestra la última vez que el agente se comunicó con el servidor. Las fechas marcadas en amarillo alertan que ha pasado un tiempo prolongado desde la última conexión.
• Amenazas: la cantidad de problemas de seguridad identificados. Este número debería estar en cero.
• Nombre y versión del producto de seguridad. Permite confirmar que esté instalado el producto y que esté en la versión que se utiliza en la UCR, que no necesariamente es la última publicada por ESET.

Es posible crear subgrupos donde se apliquen políticas específicas, como el bloqueo de redes sociales, actualización desde Internet para computadoras que suelen sacarse del campus o una política que obligue el escaneo completo de un dispositivo recién conectado a un puerto USB. Toda computadora que se mueva a un subgrupo de estos recibirá la respectiva política. Si necesita un subgrupo con una política específica, solicítelo al Centro de Informática.

Amenazas

Esta sección debería consultarse periódicamente. Muestra una lista de amenazas detectadas en cualquier equipo en la red. Seleccione el grupo correspondiente a su unidad para listar los principales problemas encontrados. Visualice las amenazas más críticas marcando el ícono triangular, correspondiente a "Errores", en los filtros ubicados al inicio de la lista

En caso de encontrar una amenaza persistente deberá tomar las acciones correspondientes, como desinstalar algún programa con software malicioso, actualizar el antivirus o hacer un escaneo completo del sistema. Si tiene alguna duda, contacte el soporte técnico.

Problemas y soluciones

A continuación se describen los problemas más comunes.

El antivirus no se activa o no se actualiza

Es posible que el agente no esté trabajando adecuadamente. Errores comunes:

• El agente no alcanza el servidor
• No se está ejecutando
• No está instalado

Para confirmar que se puede alcanzar el servidor utilice la herramienta ping desde el intérprete de comandos:

ping antivirus.ucr.ac.cr

También puede usar la herramienta telnet ^[2] para verificar que alcanza el servidor y que puede accederlo a través del puerto que utiliza el agente:

telnet antivirus.ucr.ac.cr 2222

Para saber si el agente está instalado diríjase al "Panel de control" de Windows, en "Agregar o quitar programas". Debería poder observarse el agente además del antivirus. Confirme también que la siguiente ruta existe:

C:\ProgramData\ESET\RemoteAdministrator\Agent\

En ese directorio debería existir una bitácora (log), con lo que confirmará que el agente esté replicando. No debería haber puntos en color rojo:

C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentAplicationData\Logs\status.html

Si el agente está ausente o no está funcionando puede intentar instalarlo. No es necesario que reinstale el antivirus.

Note que la hora de la consola administrativa es UTC-0, es decir, 6 horas adelante de la hora local

Al desinstalar el producto me pide una contraseña

Para desinstalar el agente, se le pedirá la contraseña que usted escribió durante la instalación. Si no puso ninguna contraseña entonces deje en blanco el campo y continúe con la desinstalación. El instalador todo en uno no introduce ninguna contraseña para el agente.

La desinstalación del producto antivirus está protegida por una contraseña, la cuál se asigna a través de una política en el servidor central. Esta contraseña la maneja el RID de la unidad y es la misma para deshabilitar temporalmente la protección. Note que esta contraseña existe a partir del momento en que el agente se conecta a la Administración Remota ESET y descarga las respectivas políticas.

Falla la desinstalación del producto

Si tiene problemas para desinstalar el producto, puede utilizar la utilidad ESETUninstaller.exe, disponible en nuestro servidor FTP.

Para utilizarla reinicie su sistema Windows e ingrese en modo seguro ^[3].

Una vez en modo seguro, ejecute la utilidad ESETUninstaller.exe y siga las instrucciones en pantalla.

El antivirus está bloqueando el acceso a mi servidor Windows

El error más común es causado por usar un tipo incorrecto de producto. Para servidores Windows debe utilizar ESET File Security, que no instala un firewall. En este caso se utiliza el Firewall de Windows o la solución que escoja el administrador del sistema.

Si está utilizando una versión de Windows de escritorio para ejecutar algún servicio, utilice el producto ESET Endpoint Antivirus, que es una versión del antivirus sin firewall.

El antivirus bloquea un sitio que mi escuela o unidad necesita acceder

En las políticas generales se bloquean ciertas categorías de sitios, con el fin de evitar un uso abusivo de la RedUCR. Por ejemplo juegos, material para adultos o sitios inseguros.

Es posible que dentro de estas categorías se incluyan sitios de interés institucional, por ejemplo algunas páginas de juegos educativos. Si este es el caso, la jefatura de su unidad puede solicitar la exclusión del mismo, creando un ticket en el sistema de Averías y Solicitudes (CRM) en:

https://ci.ucr.ac.cr

ESET Server Security Error: en_US.UTF-8 locale is not present (Linux)

El producto para Linux requiere de los paquetes locale, para configuración regional, en_US.UTF-8. Esto no modifica el locale predeterminado de su servidor.

Para añadir el respectivo locale ejecute, en Debian y derivados:

dpkg-reconfigure locale

En el asistente seleccione el locale en_US.UTF-8. Cuando se le pregunte por el locale predeterminado, seleccione el que utiliza en ese servidor.

Intente correr el script de instalación nuevamente.

En el caso de CentOS 7 modifique el archivo /etc/environment con el siguiente contenido:

LANG=en_US.UTF-8
LC_ALL=en_US.UTF-8

En el caso de Rocky Linux 8 instale el paquete de idiomas y habilite el locale:

yum install glibc-langpack-en.x86_64
localectl set-locale en_US.utf8

Reinicie sesión y ejecute nuevamente el script de instalación del agente.

ESET File Security Error: SELinux module policy no activo (Linux)

El producto para Linux cuenta con soporte para SELinux por medio del paquete selinux-policy-devel. En caso de que muestre en la consola web que el soporte para SELinux no esté activo es necesario instalar este paquete de forma manual.

Para instalar el paquete en RHEL y derivados ejecute el siguiente comando:

sudo yum install selinux-policy-devel

Después de instalar el paquete reinicie el servicio de ESET Server Security.

ESET File Security Error: Cannot open file /lib/modules/.../eset/efs/eset_rtp.ko: No such file or directory (Linux)

El producto para Linux necesita instalar módulos a nivel del kernel activo para su correcto funcionamiento. En algunos casos el instalador no descarga la dependencia correcta para instalar estos módulos, mostrando en la consola web que la protección en tiempo real no está disponible. Para solucionar esto es necesario instalar esta dependencia de forma manual.

Para instalar la dependencia en Debian y derivados ejecute el siguiente comando:

sudo apt install linux-headers-`uname -r`

Para instalar la dependencia en RHEL y derivados ejecute el siguiente comando:

sudo yum install kernel-devel-`uname -r`

Después de instalar la dependencia vuelva a instalar el producto.

ESET Server Security Error: no lee el script agent_linux_x86_64.sh (Linux)

En CentOS 7 al ejecutar el script Agente.sh este no lee el script agent_linux_x86_64.sh a pesar de que se haya descargado previamente. Esto se debe a que el script usa el binario shasum para verificar que el archivo sea el correcto, y dicho binario no se encuentra disponible en CentOS 7, por lo que se debe modificar el script Agente.sh para que use el binario correcto:

sed -i 's/shasum/sha1sum/g' Agente.sh

Ejecute nuevamente el script de instalación del agente.

Soporte técnico

Si tiene alguna consulta puede utilizar alguna de las siguientes opciones de soporte técnico.

Centro de Informática

El Centro de Informática, UCR brinda soporte a través de su sistema de Averías y Solicitudes (CRM) en:

https://ci.ucr.ac.cr

O por la línea 5000 llamando al número:

2511-5000

ESET Centroamérica

ESET Centroamérica, como proveedor de la solución antivirus, brinda soporte vía chat:

https://www.esetca.com/soporte/logon.php

Referencias

1. ↑ https://ci.ucr.ac.cr/rids
2. ↑ Habilitar comando Telnet en Windows 10: https://www.solvetic.com/tutoriales/article/2050-habilitar-comando-telnet-en-windows-10/
3. ↑ Si no sabe iniciar Windows en modo seguro, puede buscar alguna guía en Internet: https://www.google.com/search?q=safe+mode+on+windows