|
|
| (Není zobrazeno 9 mezilehlých verzí od 2 uživatelů.) |
| Řádka 1: |
Řádka 1: |
| − | McAfee ePO může obsahovat různé moduly (např. VSE, HIPS, apod.), které jsou v průběhu času vydávány v různých verzích. Při vydání nové řady modulů je jejich upgrade prováděn formou - odinstaluj starý modul a nainstaluj nový. Dále se pak obvykle vyskytnou drobné změny v konfiguraci jednotlivých modulů. Obě tyto vlastnosti vyžadují specielní postup při upgradu, narozdíl od běžně instalovaných patchů. Tento dokument popisuje, jak co nejbezbolestněji uskutečnit přechod k novým balíčkům.
| + | {{archivováno|34735}} |
| − | {{Box - začátek|Důležité odkazy}} | + | |
| − | {{Box - položka|[[McAfee - Možnosti konfigurace VSE8.8|VSE8.8 - možnosti konfigurace]]|}}
| + | |
| − | {{Box - položka|[[McAfee - Možnosti konfigurace HIPS8.0|HIPS8.0 - možnosti konfigurace]]|}}
| + | |
| − | {{Box - položka|[[McAfee - Pravidla firewallu v HIPS 8.0|HIPS8.0 - pravidla firewallu]]|}}
| + | |
| − | {{Box - konec}}
| + | |
| − | = Co zásadního přinášejí nové verze? =
| + | |
| − | | + | |
| − | '''VSE 8.8'''
| + | |
| − | * Zavedení cache managera (již jednou oskenované soubory nejsou do změny nebo aktulizace virové báze opakovaně scanovány)
| + | |
| − | * Možnost neduplikovat práci MS Trusted Installers
| + | |
| − | * Vylepšená heuristická analýza (systém Artemis)
| + | |
| − | * Access Protection umí hlídat zápisy do registru
| + | |
| − | * Sloučení antiviru a antispywaru do jedné komponenty (tj. již není nutné přidávat modul antispywaru)
| + | |
| − | | + | |
| − | '''HIPS 8.0'''
| + | |
| − | * Odstraněno aplikační blokování (tato funkcionalita se neosvědčila)
| + | |
| − | * Možnost blokovat odchozí spojení na základě DNS jména (vhodné např. proti phishingu)
| + | |
| − | * Firewall zvládá více protokolů
| + | |
| − | * Firewall je možné nakonfigurovat mnohem variabilněji
| + | |
| − | * Firewall může používat pravidla z McAfee TrustedSource (blokování závadných spojení na základě celosvětové databáze)
| + | |
| − | * Svižnější modul IPS
| + | |
| − | | + | |
| − | = Časový harmonogram =
| + | |
| − | V této chvíli už proces překlopení nějakou dobu běží, protože jsme na CIVu vše důkladně prozkoumali, otestovali ve vlastních řadách, otestovali v učebnách a teprve nyní přichází řada i na stanice ve správě lokálních správců. Důležité plánované okamžiky přechodu jsou:
| + | |
| − | | + | |
| − | * 28.5.2012 - Informován lokálních správců o chystané změně
| + | |
| − | * 11.6.2012 - Možnost využít CIVem připravené politiky (odzkoušené v praxi)
| + | |
| − | * 11.6.2012 - Možnost začít s přechodem
| + | |
| − | * 27.8.2012 - Plánované dokončení přechodu všech PC (včetně těch ve správě lokálních správců)
| + | |
| − | * 14.9.2012 - Násilné překlopení dosud nepřevedených stanic do nových modulů
| + | |
| − | | + | |
| − | Poslední krok se může zdát jako příliš brutální, ale starší moduly už nejsou podporovány a udržovány, takže je stejně nutné přejít na novější verzi. Navíc pak budou mít všechni stejnou verzi, takže bude jednodušší dohledat nebo nasimulovat případné problémy.
| + | |
| − | | + | |
| − | = Přechod krok za krokem =
| + | |
| − | Pro přechod na nové moduly je potřeba provést několik základních kroků
| + | |
| − | # Nakonfigurovat moduly - definovat chování nových komponent
| + | |
| − | # Upravit Deployment Task - nastavit požadavek na instalaci
| + | |
| − | # Nechat počítače provést instalaci a konfiguraci nových modulů - buď počkat nebo použít funkci WakeUp
| + | |
| − | # Zkontrolovat si stav - pomocí připravených reportů
| + | |
| − | Detailnější postup, v podstatě jednotivé kroky jsou popsány dále. V případě problému, kontaktujte HelpDesk a pokusíme se jej operativně vyřešit.
| + | |
| − | | + | |
| − | == Konfigurace modulů ==
| + | |
| − | Prvním krokem je nastavení konfigurace nových komponent. Popis, co vše lze nastavit, si můžete přečíst v dokumentech
| + | |
| − | [[McAfee - Možnosti konfigurace VSE8.8]] a [[McAfee - Možnosti konfigurace HIPS8.0]]. Nezapomeňte, že je potřeba nastavit konfiguraci pro všechny části stromu, tj. pokud máte vypnuto dědění, musíte stejný postup zopakovat pro všechny úrovně stromu.
| + | |
| − | | + | |
| − | Postup je ukázán na následujícím obrázku
| + | |
| − | # Vybrat z menu <tt>System Tree</tt>
| + | |
| − | # Označit skupinu
| + | |
| − | # Vybrat z vnořeného menu <tt>Assigned Policies</tt>
| + | |
| − | # Z rozbalovacího menu <tt>Products</tt> postupně vyberte
| + | |
| − | #* VirusScan Enterprise 8.8.0
| + | |
| − | #* Host Intrusion Prevention 8.0: General
| + | |
| − | #* Host Intrusion Prevention 8.0: Firewall
| + | |
| − | #* Host Intrusion Prevention 8.0: IPS
| + | |
| − | # Ve sloupci <tt>Broken Inheritance</tt> je pro každou politiku napsáno, kolik podskupin má prerušené dědění nastavení (po prokliknutí se zobrazí jejích seznam), ty je pak potřeba také projít
| + | |
| − | # Přiřazení politiky je pak prováděno odkazem <tt>Edit Assignment</tt>
| + | |
| − | | + | |
| − | | + | |
| − | [[Image:McAfee-AssignPolicy.png|center|800px]]
| + | |
| − | | + | |
| − | | + | |
| − | Implicitně je přednastavena politika, která byla automaticky zkopírovaná z předchozích verzí komponent (VSE8.7 a HIPS7.0). Nicméně, doporučujeme si všechna nastavení projít. Nejjednodušší postup je všude nastavit politiky '''Global''' (které jsou nastaveny pro celý strom) a teprve pokud některá z nich nevyhovuje, udělejte si její duplikát a změňte si problémové nastavení. Také nemá cenu dělat si duplikát úplně ze všeho, protože část nastavení je pro ZČU smysluplná jen v jedné konfiguraci (politika Global) nebo existuje konečné množství stavů (on/off). V následující tabulce je přehled politik, u kterých má smysl uvažovat o změně.
| + | |
| − | | + | |
| − | | + | |
| − | {| class="tabulka" style="width:100%;align:center" border=1
| + | |
| − | ! align="center" | '''Product'''
| + | |
| − | ! align="center" | '''Category'''
| + | |
| − | ! align="center" | '''Proč a co měnit'''
| + | |
| − | |-
| + | |
| − | | VirusScan Enterprise 8.8.0
| + | |
| − | | Display Options
| + | |
| − | | Možnosti zásahu uživatele do fungování komponenty
| + | |
| − | |-
| + | |
| − | | VirusScan Enterprise 8.8.0
| + | |
| − | | Password Options
| + | |
| − | | Možnosti zásahu uživatele do fungování komponenty
| + | |
| − | |-
| + | |
| − | | VirusScan Enterprise 8.8.0
| + | |
| − | | On-Access Default Processes Policies
| + | |
| − | | Výjimky, co nekontrolovat (např. speciální problematický SW)
| + | |
| − | |-
| + | |
| − | | VirusScan Enterprise 8.8.0
| + | |
| − | | Unwanted Programs Policies
| + | |
| − | | Výjimky, co nekontrolovat (např. speciální problematický SW)
| + | |
| − | |-
| + | |
| − | | Host Intrusion Prevention 8.0: General
| + | |
| − | | Client UI (Windows)
| + | |
| − | | Možnosti zásahu uživatele do fungování komponenty
| + | |
| − | |-
| + | |
| − | | Host Intrusion Prevention 8.0: Firewall
| + | |
| − | | Firewall Options (Windows)
| + | |
| − | | Režim fungování firewallu (adaptive/learn/active)
| + | |
| − | |-
| + | |
| − | | Host Intrusion Prevention 8.0: Firewall
| + | |
| − | | Firewall Rules (Windows)
| + | |
| − | | Pravidla firewallu
| + | |
| − | |-
| + | |
| − | | Host Intrusion Prevention 8.0: IPS
| + | |
| − | | IPS Options (All Platforms)
| + | |
| − | | Režim fungování IPS (vypnuto, zapnuto)
| + | |
| − | |-
| + | |
| − | |}
| + | |
| − | | + | |
| − | | + | |
| − | '''Veškeré hrátky s nastavením nebudou mít zatím žádný vliv na cílové systémy, protože nové komponenty ještě nejsou nainstalovány. Takže si můžete vše v klidu projít a nastavit.'''
| + | |
| − | | + | |
| − | == Přiřazení Deployment Tasku ==
| + | |
| − | Obdobně jako u specifikace konfigurace modulů je potřeba nastavit instalační úlohu (Deployment Task) pro všechny úrovně stromu, tj. pokud máte přerušené dědění, je nutné projít všechny součásti. V následujícím obrázku je naznačen postup
| + | |
| − | # Vybrat z menu <tt>System Tree</tt>
| + | |
| − | # Označit skupinu
| + | |
| − | # Vybrat z vnořeného menu <tt>Assigned Client Task</tt>
| + | |
| − | # Zaměřit pozornost na řádek s úlohou typu <tt>Product Deployment Task</tt>
| + | |
| − | # Ve sloupci <tt>Broken Inheritance</tt> je napsáno, kolik podskupin má prerušené dědění nastavení (po prokliknutí se zobrazí jejích seznam)
| + | |
| − | | + | |
| − | | + | |
| − | [[Image:McAfee-AssignDeploymentTask.png|center|800px]]
| + | |
| − | | + | |
| − | | + | |
| − | Kliknutím na Edit assigment vyvoláte dialog pro přiřazení Deployment Tasku, který ukazuje následující obrázek.
| + | |
| − | # Úkol provádí <tt>McAfee Agent</tt>
| + | |
| − | # Typ úkolu je <tt>Product Deployment</tt>
| + | |
| − | # Vybrání předdefinované úlohy, podle toho, co chcete mít nainstalováno
| + | |
| − | #* Deploy 2012a: Agent 4.6, VSE8.8, HIPS 8.0 (Default)
| + | |
| − | #* Deploy 2012b: Agent 4.6, VSE8.8
| + | |
| − | #* Deploy 2012c: Agent 4.6, HIPS8.0
| + | |
| − | #* Nemá smysl vytvářet si vlastní Deployment Task, protože zde jsou pokryty všechny tři smysluplné možnosti (jen VSE, jen HIPS, oba moduly). Navíc, pokud se v budoucnu objeví např. nová verze agenta nebo patch, do těchto úloh je doplní pracovníci CIV a nemusíte se o nic starat.
| + | |
| − | # Uložení tlačítlem <tt>Save</tt>
| + | |
| − | | + | |
| − | | + | |
| − | [[Image:McAfee-AssignDeploymentTask2.png|center|800px]]
| + | |
| − | | + | |
| − | | + | |
| − | Po přiřazení nového Deployment Tasku se začnou nové moduly postupně instalovat na koncové stanice - při jejich následujícím spojení s ePO serverem se agent dozví o změnách a začne je realizovat.
| + | |
| − | | + | |
| − | == Promítnutí změn na koncové stanice ==
| + | |
| − | Změny se na koncové stanice dostanou tehdy, až se jejich agent zkontaktuje s ePO serverem a zjistí, že je třeba instalovat a konfigurovat nové moduly. V postatě jsou tři možnosti, jak tomu může dojít (mlčky předpokládáme, že stanice je zapnutá a připojená do sítě WEBnet):
| + | |
| − | * Agent každých 60 minut kontaktuje ePO server, takže stačí počkat tuto dobu.
| + | |
| − | * V rozhraní ePO lze v <tt>System Tree</tt> označit všechny stanice a kliknout na wake up, čímž dostanou pokyn reagovat okamžitě.
| + | |
| − | * Lokálně na stanici spustit <tt>McAfee Agent Status Monitor</tt> (z kontextového menu ikonky McAfee) a kliknout na <tt>Check New Policies</tt>
| + | |
| − | Po stažení instrukcí a instalačních balíčku se do pěti minut spustí instalace nových modulů. Po dokončení pak agent informuje ePo server o aktuálně instalovaných modulech a jejich verzích, což je využito k monitoringu, o kterém pojednává další kapitola.
| + | |
| − | | + | |
| − | == Kontrola stavu pomocí dashboardu ==
| + | |
| − | Abyste měli přehled o průběhu přechodu ve svém revíru, připravili jsme dva dashboardy, které monitorují aktuální stav a ukazují na potenciální problémy. Veškeré informace se týkají pouze stanic, které se nacházejí ve vaší části stromové struktury, takže každý uvidí jiná čísla.
| + | |
| − | | + | |
| − | | + | |
| − | '''Package Installation'''
| + | |
| − | | + | |
| − | | + | |
| − | [[Image:MacAfee-DashboardPackageInstalation|center|800px]]
| + | |
| − | | + | |
| − | | + | |
| − | # Do sekce s dashboardy se přepnete kliknutím na ikonku <tt>Dashboards</tt> (výchozí stránka při každém přihlášení)
| + | |
| − | # Vyberete dashboard s názvem <tt>Package installation</tt>
| + | |
| − | #* Uvidíte sadu 9 senzorů (3 jsou mimo screenshot, dostanete se na ně posuvníkem vpravo), které porovnávají jaké moduly by podle daného Deployment Tasku měly být instalovány a jaké ve skutečnosti instalovány jsou
| + | |
| − | #** Jednotlivé řádky odpovídají rokům vydání modulů (tj. 2012 je HIPS8.0 a VSE8.8, 2011 HIPS7.0 a VSE8.7, 2008 HIPS7.0 a VSE8.5).
| + | |
| − | #** Sloupce pak odpovídají typu instalace (první "a" - HIPS i VSE, druhý "b" - pouze VSE, třetí "c" - pouze HIPS).
| + | |
| − | #** Název každého deployment tasku je ještě uveden v závorce v záhlaví jednotlivých grafů.
| + | |
| − | #* Co se z toho dá zjistit?
| + | |
| − | #** Můžete tedy vidět jaký Deployment Task má kolik stanic ve vaší správe nastaveno (podle toho ve kterém grafu se nachází)
| + | |
| − | #** Můžete také vidět, zda mají nainstalováno to co mají mít (zelená část koláčového grafu) nebo ještě ne (červená část)
| + | |
| − | #** <font color="#FF0000">'''Finální stav jsou samé plně zelené grafy v prvním řádku a "Query did not return any result" v ostatních.'''</font> Kliknutím do červené části se zobrazí seznam problémových stanic.
| + | |
| − | #** Tento dashboard můžete používat i později ke kontrole aktuálního stavu.
| + | |
| − | | + | |
| − | | + | |
| − | '''Package Installation Status'''
| + | |
| − | | + | |
| − | | + | |
| − | [[Image:MacAfee-DashboardPackageInstalationStatus|center|800px]]
| + | |
| − | # Opět se do sekce s dashboardy přepnete kliknutím na ikonku <tt>Dashboards</tt> (výchozí stránka při každém přihlášení)
| + | |
| − | # Vyberete dashboard s názvem <tt>Package installation status</tt>
| + | |
| − | #* Nyní uvidíte 6 senzorů, které podrobněji popisují stav instalace.
| + | |
| − | #** '''Package Upgrade: Deployment Client Task''' (vlevo nahoře)
| + | |
| − | #*** Pro každý existující deployment task (podbarveno světle modře) jsou vypsány skupiny, které jej mají přiřazen a také počet stanic, které se v nich vyskytují
| + | |
| − | #*** Z tohoto senzoru můžete snadno zjistit, které části vašeho stromu jste ještě nepřevedli (např. kvůli přerušenému dědění).
| + | |
| − | #** '''Package Upgrade: Deployment Client Task (Overview)''' (pravo nahoře)
| + | |
| − | #*** Funguje stejně jako předchozí senzor, ale nevypisují se jednotlivé přiřazené části stromu, tj. "jsou vidět jen modře podbarvené řádky z přechozího senzoru"
| + | |
| − | #*** Na první pohled je vidět, jaké deployment tasky mají nastaveny vaše stanice
| + | |
| − | #** '''Package Upgrade: Old HIPS module version''' (vlevo dole)
| + | |
| − | #*** Tento senzor monitoruje verzi modulu HIPS, která je na stanici nainstalována.
| + | |
| − | #*** V seznamu jsou skupiny, které obsahují stanice se starší verzí modulu HIPS než je 8.0
| + | |
| − | #*** U každé skupiny je uveden i počet stanic se starým modulem HIPS.
| + | |
| − | #*** <font color="#FF0000">'''Ve finálním stavu je tento seznam prázdný.'''</font>
| + | |
| − | #** '''Package Upgrade: Old VSE module version''' (vpravo dole)
| + | |
| − | #*** Tento senzor monitoruje verzi modulu VSE, která je na stanici nainstalována.
| + | |
| − | #*** V seznamu jsou skupiny, které obsahují stanice se starší verzí modulu VSE než je 8.8.
| + | |
| − | #*** U každé skupiny je uveden i počet stanic se starým modulem VSE.
| + | |
| − | #*** <font color="#FF0000">'''Ve finálním stavu je tento seznam prázdný.'''</font>
| + | |
| − | | + | |
| − | = Často kladené dotazy =
| + | |
| − | TODO
| + | |
