McAfee - Návod k upgrade modulů 2012

Z HelpDesk

McAfee ePO může obsahovat různé moduly (např. VSE, HIPS, apod.), které jsou v průběhu času vydávány v různých verzích. Při vydání nové řady modulů je jejich upgrade prováděn formou - odinstaluj starý modul a nainstaluj nový. Dále se pak obvykle vyskytnou drobné změny v konfiguraci jednotlivých modulů. Obě tyto vlastnosti vyžadují specielní postup při upgradu, narozdíl od běžně instalovaných patchů. Tento dokument popisuje, jak co nejbezbolestněji uskutečnit přechod k novým balíčkům.

Důležité odkazy
VSE8.8 - možnosti konfigurace
HIPS8.0 - možnosti konfigurace
HIPS8.0 - pravidla firewallu

Co zásadního přinášejí nové verze?

VSE 8.8

  • Zavedení cache managera (již jednou oskenované soubory nejsou do změny nebo aktulizace virové báze opakovaně scanovány)
  • Možnost neduplikovat práci MS Trusted Installers
  • Vylepšená heuristická analýza (systém Artemis)
  • Access Protection umí hlídat zápisy do registru
  • Sloučení antiviru a antispywaru do jedné komponenty (tj. již není nutné přidávat modul antispywaru)

HIPS 8.0

  • Odstraněno aplikační blokování (tato funkcionalita se neosvědčila)
  • Možnost blokovat odchozí spojení na základě DNS jména (vhodné např. proti phishingu)
  • Firewall zvládá více protokolů
  • Firewall je možné nakonfigurovat mnohem variabilněji
  • Firewall může používat pravidla z McAfee TrustedSource (blokování závadných spojení na základě celosvětové databáze)
  • Svižnější modul IPS

Časový harmonogram

V této chvíli už proces překlopení nějakou dobu běží, protože jsme na CIVu vše důkladně prozkoumali, otestovali ve vlastních řadách, otestovali v učebnách a teprve nyní přichází řada i na stanice ve správě lokálních správců. Důležité plánované okamžiky přechodu jsou:

  • 28.5.2012 - Informován lokálních správců o chystané změně
  • 11.6.2012 - Možnost využít CIVem připravené politiky (odzkoušené v praxi)
  • 11.6.2012 - Možnost začít s přechodem
  • 27.8.2012 - Plánované dokončení přechodu všech PC (včetně těch ve správě lokálních správců)
  • 14.9.2012 - Násilné překlopení dosud nepřevedených stanic do nových modulů

Poslední krok se může zdát jako příliš brutální, ale starší moduly už nejsou podporovány a udržovány, takže je stejně nutné přejít na novější verzi. Navíc pak budou mít všechni stejnou verzi, takže bude jednodušší dohledat nebo nasimulovat případné problémy.

Přechod krok za krokem

Pro přechod na nové moduly je potřeba provést několik základních kroků

  1. Nakonfigurovat moduly - definovat chování nových komponent
  2. Upravit Deployment Task - nastavit požadavek na instalaci
  3. Nechat počítače provést instalaci a konfiguraci nových modulů - buď počkat nebo použít funkci WakeUp
  4. Zkontrolovat si stav - pomocí připravených reportů

Detailnější postup, v podstatě jednotivé kroky jsou popsány dále. V případě problému, kontaktujte HelpDesk a pokusíme se jej operativně vyřešit.

Konfigurace modulů

Prvním krokem je nastavení konfigurace nových komponent. Popis, co vše lze nastavit, si můžete přečíst v dokumentech McAfee - Možnosti konfigurace VSE8.8 a McAfee - Možnosti konfigurace HIPS8.0. Nezapomeňte, že je potřeba nastavit konfiguraci pro všechny části stromu, tj. pokud máte vypnuto dědění, musíte stejný postup zopakovat pro všechny úrovně stromu.

Postup je ukázán na následujícím obrázku

  1. Vybrat z menu System Tree
  2. Označit skupinu
  3. Vybrat z vnořeného menu Assigned Policies
  4. Z rozbalovacího menu Products postupně vyberte
    • VirusScan Enterprise 8.8.0
    • Host Intrusion Prevention 8.0: General
    • Host Intrusion Prevention 8.0: Firewall
    • Host Intrusion Prevention 8.0: IPS
  5. Ve sloupci Broken Inheritance je pro každou politiku napsáno, kolik podskupin má prerušené dědění nastavení (po prokliknutí se zobrazí jejích seznam), ty je pak potřeba také projít
  6. Přiřazení politiky je pak prováděno odkazem Edit Assignment


McAfee-AssignPolicy.png

Implicitně je přednastavena politika, která byla automaticky zkopírovaná z předchozích verzí komponent (VSE8.7 a HIPS7.0). Nicméně, doporučujeme si všechna nastavení projít. Nejjednodušší postup je všude nastavit politiky Global (které jsou nastaveny pro celý strom) a teprve pokud některá z nich nevyhovuje, udělejte si její duplikát a změňte si problémové nastavení. Také nemá cenu dělat si duplikát úplně ze všeho, protože část nastavení je pro ZČU smysluplná jen v jedné konfiguraci (politika Global) nebo existuje konečné množství stavů (on/off). V následující tabulce je přehled politik, u kterých má smysl uvažovat o změně.


Product Category Proč a co měnit
VirusScan Enterprise 8.8.0 Display Options Možnosti zásahu uživatele do fungování komponenty
VirusScan Enterprise 8.8.0 Password Options Možnosti zásahu uživatele do fungování komponenty
VirusScan Enterprise 8.8.0 On-Access Default Processes Policies Výjimky, co nekontrolovat (např. speciální problematický SW)
VirusScan Enterprise 8.8.0 Unwanted Programs Policies Výjimky, co nekontrolovat (např. speciální problematický SW)
Host Intrusion Prevention 8.0: General Client UI (Windows) Možnosti zásahu uživatele do fungování komponenty
Host Intrusion Prevention 8.0: Firewall Firewall Options (Windows) Režim fungování firewallu (adaptive/learn/active)
Host Intrusion Prevention 8.0: Firewall Firewall Rules (Windows) Pravidla firewallu
Host Intrusion Prevention 8.0: IPS IPS Options (All Platforms) Režim fungování IPS (vypnuto, zapnuto)


Veškeré hrátky s nastavením nebudou mít zatím žádný vliv na cílové systémy, protože nové komponenty ještě nejsou nainstalovány. Takže si můžete vše v klidu projít a nastavit.

Přiřazení Deployment Tasku

Obdobně jako u specifikace konfigurace modulů je potřeba nastavit instalační úlohu (Deployment Task) pro všechny úrovně stromu, tj. pokud máte přerušené dědění, je nutné projít všechny součásti. V následujícím obrázku je naznačen postup

  1. Vybrat z menu System Tree
  2. Označit skupinu
  3. Vybrat z vnořeného menu Assigned Client Task
  4. Zaměřit pozornost na řádek s úlohou typu Product Deployment Task
  5. Ve sloupci Broken Inheritance je napsáno, kolik podskupin má prerušené dědění nastavení (po prokliknutí se zobrazí jejích seznam)


McAfee-AssignDeploymentTask.png


Kliknutím na Edit assigment vyvoláte dialog pro přiřazení Deployment Tasku, který ukazuje následující obrázek.

  1. Úkol provádí McAfee Agent
  2. Typ úkolu je Product Deployment
  3. Vybrání předdefinované úlohy, podle toho, co chcete mít nainstalováno
    • Deploy 2012a: Agent 4.6, VSE8.8, HIPS 8.0 (Default)
    • Deploy 2012b: Agent 4.6, VSE8.8
    • Deploy 2012c: Agent 4.6, HIPS8.0
    • Nemá smysl vytvářet si vlastní Deployment Task, protože zde jsou pokryty všechny tři smysluplné možnosti (jen VSE, jen HIPS, oba moduly). Navíc, pokud se v budoucnu objeví např. nová verze agenta nebo patch, do těchto úloh je doplní pracovníci CIV a nemusíte se o nic starat.
  4. Uložení tlačítlem Save


McAfee-AssignDeploymentTask2.png


Po přiřazení nového Deployment Tasku se začnou nové moduly postupně instalovat na koncové stanice - při jejich následujícím spojení s ePO serverem se agent dozví o změnách a začne je realizovat.

Promítnutí změn na koncové stanice

TODO pockat, wake up, lokalne check new policies

Kontrola stavu pomocí dashboardu

TODO kde je, co tam je za cidla a co se z toho pozna

Často kladené dotazy

TODO