Lokální správci mají možnost centrálně spravovat konfiguraci bezpečnostního SW na jimi spravovaných stanicích pomocí McAfee ePolicy Orchestratoru. Na této stránce jsou soustředěny základní informace o této službě.

Základní princip

Všechny stanice, na kterých je nainstalován McAfee Agent (instalační balíček ke stažení), se přihlásí centrálním serveru. Implicitně jsou všechny považovány za stanice ve správě koncových uživatelů a jsou tedy zařazeny do skupiny, kde si konfigraci mohou uživatelé měnit dle svých potřeb. Server pouze ví o jejich existenci a na vyžádání agenta zasílá jednotlivé moduly, jejich aktualizace a počáteční nastavení.

Každý lokální správce (z pohledu je i CIV lokální správce) má k dispozici jednu či více skupin, jejichž konfiguraci může vzdáleně řídit. Příslušné stanice mohou být roztříděny do patřičných skupin dle definovaných pravidel.

Vzdálená správa stanic

Tato služba je určena především všem lokálním správcům pracovišť, nicméně je možné dále delegovat přístupy pro jednotlivé správce laboratoří či učeben.

Zřízení přístupu

Na základě žádosti přes systém RT bude

• vytvořeno uživatelské konto,
• vytvořena potřebná skupina pro správu a
• zařízeno automatické zařazování definovaných stanic do této skupiny.

Příklad:

McAfee - zřízení přístupu pro lokální správce

Dobrý den,
rádi bychom vzdáleně spravovali řešení McAfee.

Pracoviště/fakulta: CIV
Oddělení/katedra: LPS
 
Do naší skupiny patří následující stanice (adresy):
147.228.200.200

Uživatelé:
Méďa Béďa, medabeda@civ.zcu.cz, tel. 0000

Po nastavení systému bude uživatel kontaktován a budou mu předány přístupové údaje (webové rozhraní systému zatím není v SSO). Základní informace poskytuje zkrácený návod k webovému rozhraní ePolicy Orchestratoru a také originální manuál (v angličtině).

Automatické přiřazování stanic

Jak již bylo naznačeno výše, stanice mohou být do jednotlivých skupiny zařazeny podle jejich IP adresy. Při prvním kontaktu s ePO serverem se zařadí do některé ze skupin podle aktuální IP adresy, při dalších kontaktech se již členství ve skupině nemění. Pokud pro danou IP adresu není žádné pravidlo, pak skončí ve skupině "Ztráty a nálezy" a stáhne si obecné politiky připravené CIV.

Uvedená strategie má jeden zásadní dopad pro notebooky, které se prvně nehlásí z domovské adresy. Je-li McAfee nainstalováno a prvně spuštěno v době, kdy má notebook IP adresu bezdrátové sítě nebo "návštěvnickou IP adresu (typicky 147.288.xxx.235-239), pak skončí ve skupině "Ztráty a nálezy". Jakmile je už jednou správně zařazen do skupiny, notebook může cestovat a používat libovolné IP adresy a zůstane stále ve stejné skupině. Komunikace se ePO serverem je umožněna pouze IP adresám z rozsahu sítě WEBnet, tj. přimo připojeným nebo používajícím VPN. Aktualizace virových bází funguje i mimo síť WEBnet, protože může být použit také záložní aktualizační server firmy McAfee.

Pokud se nějaký notebook již ztratil, mohou jej pověření pracovníci CIV ručně přesunout do správné skupiny. Přes systém RT pošlete požadavek se specifikací systémového jména počítače nebo MAC adresy (podle IP adresy se špatně hledá, protože v databázi je uložena pouze poslední IP adresa, kterou stanice použila při komunikaci se serverem).

Příklad:

McAfee - přesun stanice do správné skupiny

Dobrý den,
potřeboval bych přesunout stanici do správné skupiny.

Identifikace stanice:
- HW adresa: 12:34:56:78:90:ab nebo
- Systémové jméno: NB003-ZCU

Cílová skupina: Fxx-Kyy.

Po přesunu stanice do cílové skupiny bude stanice dostupná příslušnému lokálnímu správci. Pokud v této skupině nejsou politiky vynucovány, pak si stanice ponechá politiky ze skupiny "Ztráty a nálezy".

Vzdálená instalace McAfee Agenta

Lokální správci, kteří mají na starosti větší množství koncových stanic, většinou spravují svěřené stanice pomocí vzdálené správy. McAfee ePolicy Orchestrator poskytuje řadu možností jak dostat McAfee Agenta na cílovou stanici, detailní informace jsou v manuálu k ePO severu na straně 56. Ani jedna z možnosti však neřeší vzdálené odstranění předchozího antivirového SW.

Aby lokální správci měli co nejméně práce, připravili pro ně pracovníci CIV instalační balíček, který lze použít pro vzdálené odstranění systému Avast a následnou instalaci McAfee Agenta. Z jednoho administrátorského PC tak lze provést instalaci na více cílových stanic.

Vytvořené řešení vyžaduje splnění následujících předpokladů:

• Na administrátorské stanici musí být volné písmeno disku X.
• Z administrátorské stanice je povolen ping na cílové stanice.
• Na cílových stanicích je povoleno servisní sdílení systémového disku C, tj. \\147.228.x.y\c$ je dostupné z administrátorského počítače. Mělo by jít o defaultní nastavení MS Windows XP, jinak je potřeba
  • vypnout zjednodušené sdílení složek a
  • ve vlastnostech disku C povolit jeho sdílení.

Následující postup byl vyzkoušen pro MS Windows XP Professional, ale měl by fungovat i na jiných verzích Windows XP.

1. Stáhnout instalační balíček na administrátorské PC. V balíčku je následující obsah
   • ip-list.txt - seznam IP adres cílových stanic,
   • mcafee-installer.cmd - instalační skript,
   • psexec.exe - nástroj pro instalaci, po jeho prvním spuštění je třeba potvrdit licenční ujednání, a
   • mcAfee-install - složka s instalačními soubory McAfee a likvidátorem Avastu.
2. Do textového souboru ip-list.txt napsat IP adresy cílových stanic, na které má být McAfee Agent nainstalován. Na každým řádku jedna adresa.
3. Spustit soubor mcafee-installer.cmd
4. Zadat uživatelské jméno a heslo k administrátorskému účtu (stejné pro všechny IP adresy v seznamu)
5. Počkat než proběhne instalační skript.
6. V adresáři vznikne soubor ok.txt, ve kterém jsou zapsány IP adresy cílových stanic kde instalace proběhla.
   • Porovnáním s ip-list.txt lze získat seznam stanic, kde instalace neproběhla - důvodů může být celá řada (vypnutý stroj, nesplněné předpoklady nebo případně i nestandardní nastavení MS Windows).
7. Do 30 minut po instalaci se McAfee Agent nahlásí ePO serveru.

Příklad výstupu při instalaci

Microsoft Windows XP [Verze 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

D:\Temp\mcafee>mcafee-installer.cmd
Zadejte prosim uzivatelske jmeno,pod kterym bude instalace spustena..
#: Administrator
Zadejte prosim heslo pro uzivatele Administrator
#: Hesl0Adm1n1stratora

Příkaz PING na 147.228.1.96 s délkou 32 bajtů:

Odpověď od 147.228.1.96: bajty=32 čas=4ms TTL=128

Statistika ping pro 147.228.1.96:
Pakety: Odeslané = 1, Přijaté = 1, Ztracené = 0 (ztráta 0%),
Přibližná doba do přijetí odezvy v milisekundách:
    Minimum = 4ms, Maximum = 4ms, Průměr = 4ms
Příkaz byl úspěšně dokončen.

mcafee-install\ePOPolicyMigration.exe
mcafee-install\EXAMPLE.SMS
mcafee-install\FramePkg.exe
mcafee-install\install.cmd
mcafee-install\mcafee.reg
mcafee-install\MCAVSCV.SCV
mcafee-install\MID.LOG
mcafee-install\msistrings.bin
mcafee-install\Patch4.txt
mcafee-install\PkgCatalog.z
mcafee-install\pskill.exe
mcafee-install\pslist.exe
mcafee-install\Readme_DE.txt
mcafee-install\Readme_EN.txt
mcafee-install\Readme_ES.txt
mcafee-install\Readme_FR.txt
mcafee-install\Readme_IT.txt
mcafee-install\Readme_JA.txt
mcafee-install\Readme_KO.txt
mcafee-install\Readme_NL.txt
mcafee-install\Readme_PL.txt
mcafee-install\Readme_PT_BR.txt
mcafee-install\Readme_SV.txt
mcafee-install\Readme_ZH_CN.txt
mcafee-install\Readme_ZH_TW.txt
mcafee-install\Setup.ini
mcafee-install\SetupVSE.Exe
mcafee-install\SignLic.Txt
mcafee-install\UnInst.exe
mcafee-install\UnInst.Ini
mcafee-install\UnInstX64.exe
mcafee-install\vse850.msi
mcafee-install\VSE850.Nap
mcafee-install\VSE850Det.McS
mcafee-install\VSE850Reports.Nap
mcafee-install\WindowsInstaller-KB893803-v2-x86.exe
36 zkopírovaných souborů
x: odstraněno úspěšně.


PsExec v1.92 - Execute processes remotely
Copyright (C) 2001-2007 Mark Russinovich
Sysinternals - www.sysinternals.com


Instaluje se VirusScan McAfee (10:33:02,83)
Instaluje se McAfee EPO agent (10:33:19,91)
Instalace McAfee EPO agenta byla dokoncena. (10:33:57,69)
C:\mcafee-install\install.cmd exited on 147.228.1.96 with error code 0.

Často kladené dotazy

Často kladené otázky související se vzdálenou instalací, principu celého řešení McAfee a prací lokálních správců vůbec. Dále existují stránky s často kladenými dotazy ohledně používání webového rozhraní ePO a dotazy často kladené běžnými uživateli Odpovědi na často kladené otázky související s obecnými informacemi pro lokální správce.

Otázka: Proč se ke stanicím, které jsou zařazeny v doméně, nelze přihlásit nebo to trvá velmi dlouho?
Odpověď: Stanice, které jsou řazeny do domény, musejí mít ve firewallu povolenu komunikaci s doménovým řadičem. Implicitně je povolena taková komunikace pouze s doménovými řadiči provozovanými CIV (tj. 147.228.244.10 a 147.228.244.11), používáte-li vlastní doménový řadič, je potřeba stanicím povolit komunikaci s jeho IP adresou v obou směrech a nejlépe i bez omezení portů a aplikací. Ukázka takovéhoto pravidla:

Otázka: Lze udělat image stanice s naistalovaným McAfee a rozkopírovat jej na víc strojů?
Odpověď: Ano, ale před vytvořením image je potřeba odstranit UID agenta z registru. Jinak by se pak ePO serveru více stanic hlásilo jako jedna a mohly by nastat problémy se stahováním aktualizací a politik. Pokud UID v registru chybí, agent to po restartu PC zjistí a vygeneruje si nové náhodné ID, takže každý stroj, byť instalovaný ze stejného image, bude mít jeinečné ID. Příkaz pro zrušení ID agenta je následující:

reg delete "HKLM\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent" /v "AgentGUID" /f 

Otázka: K čemu je dobré heslo pro interface (HIPS a VSE)?
Odpověď: Uživatel bez znalosti hesla nemůže měnit nastavení daného moduly. Po zadání hesla lze provést změny většiny nastavní, kromě pravidel HIPS/FW a HIPS/AP přednastavených na serveru. Je však třeba si uvědomit, že je-li stanice v režimu 'enforcing', pak se provedené změny při nejbližším vynucování pravidel přepíší.