McAfee - Návod k upgrade modulů 2012
McAfee ePO může obsahovat různé moduly (např. VSE, HIPS, apod.), které jsou v průběhu času vydávány v různých verzích. Při vydání nové řady modulů je jejich upgrade prováděn formou - odinstaluj starý modul a nainstaluj nový. Dále se pak obvykle vyskytnou drobné změny v konfiguraci jednotlivých modulů. Obě tyto vlastnosti vyžadují specielní postup při upgradu, narozdíl od běžně instalovaných patchů. Tento dokument popisuje, jak co nejbezbolestněji uskutečnit přechod k novým balíčkům.
Důležité odkazy | |
---|---|
VSE8.8 - možnosti konfigurace | |
HIPS8.0 - možnosti konfigurace | |
HIPS8.0 - pravidla firewallu |
Co zásadního přinášejí nové verze?
VSE 8.8
- Zavedení cache managera (již jednou oskenované soubory nejsou do změny nebo aktulizace virové báze opakovaně scanovány)
- Možnost neduplikovat práci MS Trusted Installers
- Vylepšená heuristická analýza (systém Artemis)
- Access Protection umí hlídat zápisy do registru
- Sloučení antiviru a antispywaru do jedné komponenty (tj. již není nutné přidávat modul antispywaru)
HIPS 8.0
- Odstraněno aplikační blokování (tato funkcionalita se neosvědčila)
- Možnost blokovat odchozí spojení na základě DNS jména (vhodné např. proti phishingu)
- Firewall zvládá více protokolů
- Firewall je možné nakonfigurovat mnohem variabilněji
- Firewall může používat pravidla z McAfee TrustedSource (blokování závadných spojení na základě celosvětové databáze)
- Svižnější modul IPS
Časový harmonogram
V této chvíli už proces překlopení nějakou dobu běží, protože jsme na CIVu vše důkladně prozkoumali, otestovali ve vlastních řadách, otestovali v učebnách a teprve nyní přichází řada i na stanice ve správě lokálních správců. Důležité plánované okamžiky přechodu jsou:
- 28.5.2012 - Informován lokálních správců o chystané změně
- 11.6.2012 - Možnost využít CIVem připravené politiky (odzkoušené v praxi)
- 11.6.2012 - Možnost začít s přechodem
- 27.8.2012 - Plánované dokončení přechodu všech PC (včetně těch ve správě lokálních správců)
- 14.9.2012 - Násilné překlopení dosud nepřevedených stanic do nových modulů
Poslední krok se může zdát jako příliš brutální, ale starší moduly už nejsou podporovány a udržovány, takže je stejně nutné přejít na novější verzi. Navíc pak budou mít všechni stejnou verzi, takže bude jednodušší dohledat nebo nasimulovat případné problémy.
Přechod krok za krokem
Pro přechod na nové moduly je potřeba provést několik základních kroků
- Nakonfigurovat moduly - definovat chování nových komponent
- Upravit Deployment Task - nastavit požadavek na instalaci
- Nechat počítače provést instalaci a konfiguraci nových modulů - buď počkat nebo použít funkci WakeUp
- Zkontrolovat si stav - pomocí připravených reportů
Detailnější postup, v podstatě jednotivé kroky jsou popsány dále. V případě problému, kontaktujte HelpDesk a pokusíme se jej operativně vyřešit.
Konfigurace modulů
Prvním krokem je nastavení konfigurace nových komponent. Popis, co vše lze nastavit, si můžete přečíst v dokumentech McAfee - Možnosti konfigurace VSE8.8 a McAfee - Možnosti konfigurace HIPS8.0. Nezapomeňte, že je potřeba nastavit konfiguraci pro všechny části stromu, tj. pokud máte vypnuto dědění, musíte stejný postup zopakovat pro všechny úrovně stromu.
Postup je ukázán na následujícím obrázku
- Vybrat z menu System Tree
- Označit skupinu
- Vybrat z vnořeného menu Assigned Policies
- Z rozbalovacího menu Products postupně vyberte
- VirusScan Enterprise 8.8.0
- Host Intrusion Prevention 8.0: General
- Host Intrusion Prevention 8.0: Firewall
- Host Intrusion Prevention 8.0: IPS
- Ve sloupci Broken Inheritance je pro každou politiku napsáno, kolik podskupin má prerušené dědění nastavení (po prokliknutí se zobrazí jejích seznam), ty je pak potřeba také projít
- Přiřazení politiky je pak prováděno odkazem Edit Assignment
Implicitně je přednastavena politika, která byla automaticky zkopírovaná z předchozích verzí komponent (VSE8.7 a HIPS7.0). Nicméně, doporučujeme si všechna nastavení projít. Nejjednodušší postup je všude nastavit politiky Global (které jsou nastaveny pro celý strom) a teprve pokud některá z nich nevyhovuje, udělejte si její duplikát a změňte si problémové nastavení. Také nemá cenu dělat si duplikát úplně ze všeho, protože část nastavení je pro ZČU smysluplná jen v jedné konfiguraci (politika Global) nebo existuje konečné množství stavů (on/off). V následující tabulce je přehled politik, u kterých má smysl uvažovat o změně.
Product | Category | Proč a co měnit |
---|---|---|
VirusScan Enterprise 8.8.0 | Display Options | Možnosti zásahu uživatele do fungování komponenty |
VirusScan Enterprise 8.8.0 | Password Options | Možnosti zásahu uživatele do fungování komponenty |
VirusScan Enterprise 8.8.0 | On-Access Default Processes Policies | Výjimky, co nekontrolovat (např. speciální problematický SW) |
VirusScan Enterprise 8.8.0 | Unwanted Programs Policies | Výjimky, co nekontrolovat (např. speciální problematický SW) |
Host Intrusion Prevention 8.0: General | Client UI (Windows) | Možnosti zásahu uživatele do fungování komponenty |
Host Intrusion Prevention 8.0: Firewall | Firewall Options (Windows) | Režim fungování firewallu (adaptive/learn/active) |
Host Intrusion Prevention 8.0: Firewall | Firewall Rules (Windows) | Pravidla firewallu |
Host Intrusion Prevention 8.0: IPS | IPS Options (All Platforms) | Režim fungování IPS (vypnuto, zapnuto) |
Veškeré hrátky s nastavením nebudou mít zatím žádný vliv na cílové systémy, protože nové komponenty ještě nejsou nainstalovány. Takže si můžete vše v klidu projít a nastavit.
Přiřazení Deployment Tasku
Obdobně jako u specifikace konfigurace modulů je potřeba nastavit instalační úlohu (Deployment Task) pro všechny úrovně stromu, tj. pokud máte přerušené dědění, je nutné projít všechny součásti. V následujícím obrázku je naznačen postup
- Vybrat z menu System Tree
- Označit skupinu
- Vybrat z vnořeného menu Assigned Client Task
- Zaměřit pozornost na řádek s úlohou typu Product Deployment Task
- Ve sloupci Broken Inheritance je napsáno, kolik podskupin má prerušené dědění nastavení (po prokliknutí se zobrazí jejích seznam)
Kliknutím na Edit assigment vyvoláte dialog pro přiřazení Deployment Tasku, který ukazuje následující obrázek.
- Úkol provádí McAfee Agent
- Typ úkolu je Product Deployment
- Vybrání předdefinované úlohy, podle toho, co chcete mít nainstalováno
- Deploy 2012a: Agent 4.6, VSE8.8, HIPS 8.0 (Default)
- Deploy 2012b: Agent 4.6, VSE8.8
- Deploy 2012c: Agent 4.6, HIPS8.0
- Nemá smysl vytvářet si vlastní Deployment Task, protože zde jsou pokryty všechny tři smysluplné možnosti (jen VSE, jen HIPS, oba moduly). Navíc, pokud se v budoucnu objeví např. nová verze agenta nebo patch, do těchto úloh je doplní pracovníci CIV a nemusíte se o nic starat.
- Uložení tlačítlem Save
Po přiřazení nového Deployment Tasku se začnou nové moduly postupně instalovat na koncové stanice - při jejich následujícím spojení s ePO serverem se agent dozví o změnách a začne je realizovat.
Promítnutí změn na koncové stanice
TODO pockat, wake up, lokalne check new policies
Kontrola stavu pomocí dashboardu
TODO kde je, co tam je za cidla a co se z toho pozna
Často kladené dotazy
TODO