McAfee - Návod k upgrade modulů 2012

Z HelpDesk
Verze k tisku již není podporovaná a může obsahovat chyby s vykreslováním. Aktualizujte si prosím záložky ve svém prohlížeči a použijte prosím zabudovanou funkci prohlížeče pro tisknutí.

McAfee ePO může obsahovat různé moduly (např. VSE, HIPS, apod.), které jsou v průběhu času vydávány v různých verzích. Při vydání nové řady modulů je jejich upgrade prováděn formou - odinstaluj starý modul a nainstaluj nový. Dále se pak obvykle vyskytnou drobné změny v konfiguraci jednotlivých modulů. Obě tyto vlastnosti vyžadují specielní postup při upgradu, narozdíl od běžně instalovaných patchů. Tento dokument popisuje, jak co nejbezbolestněji uskutečnit přechod k novým balíčkům.

Důležité odkazy
VSE8.8 - možnosti konfigurace
HIPS8.0 - možnosti konfigurace
HIPS8.0 - pravidla firewallu

Co zásadního přinášejí nové verze?

VSE 8.8

  • Zavedení cache managera (již jednou oskenované soubory nejsou do změny nebo aktulizace virové báze opakovaně scanovány)
  • Možnost neduplikovat práci MS Trusted Installers
  • Vylepšená heuristická analýza (systém Artemis)
  • Access Protection umí hlídat zápisy do registru
  • Sloučení antiviru a antispywaru do jedné komponenty (tj. již není nutné přidávat modul antispywaru)

HIPS 8.0

  • Odstraněno aplikační blokování (tato funkcionalita se neosvědčila)
  • Možnost blokovat odchozí spojení na základě DNS jména (vhodné např. proti phishingu)
  • Firewall zvládá více protokolů
  • Firewall je možné nakonfigurovat mnohem variabilněji
  • Firewall může používat pravidla z McAfee TrustedSource (blokování závadných spojení na základě celosvětové databáze)
  • Svižnější modul IPS

Časový harmonogram

V této chvíli už proces překlopení nějakou dobu běží, protože jsme na CIVu vše důkladně prozkoumali, otestovali ve vlastních řadách, otestovali v učebnách a teprve nyní přichází řada i na stanice ve správě lokálních správců. Důležité plánované okamžiky přechodu jsou:

  • 28.5.2012 - Informován lokálních správců o chystané změně
  • 11.6.2012 - Možnost využít CIVem připravené politiky (odzkoušené v praxi)
  • 11.6.2012 - Možnost začít s přechodem
  • 27.8.2012 - Plánované dokončení přechodu všech PC (včetně těch ve správě lokálních správců)
  • 14.9.2012 - Násilné překlopení dosud nepřevedených stanic do nových modulů

Poslední krok se může zdát jako příliš brutální, ale starší moduly už nejsou podporovány a udržovány, takže je stejně nutné přejít na novější verzi. Navíc pak budou mít všechni stejnou verzi, takže bude jednodušší dohledat nebo nasimulovat případné problémy.

Přechod krok za krokem

Pro přechod na nové moduly je potřeba provést několik základních kroků

  1. Nakonfigurovat moduly - definovat chování nových komponent
  2. Upravit Deployment Task - nastavit požadavek na instalaci
  3. Nechat počítače provést instalaci a konfiguraci nových modulů - buď počkat nebo použít funkci WakeUp
  4. Zkontrolovat si stav - pomocí připravených reportů

Detailnější postup, v podstatě jednotivé kroky jsou popsány dále. V případě problému, kontaktujte HelpDesk a pokusíme se jej operativně vyřešit.

Konfigurace modulů

Prvním krokem je nastavení konfigurace nových komponent. Popis, co vše lze nastavit, si můžete přečíst v dokumentech McAfee - Možnosti konfigurace VSE8.8 a McAfee - Možnosti konfigurace HIPS8.0. Nezapomeňte, že je potřeba nastavit konfiguraci pro všechny části stromu, tj. pokud máte vypnuto dědění, musíte stejný postup zopakovat pro všechny úrovně stromu.

TODO - obrázek system tree a zvýraznění položek s popisem

Při zpřístupnění nových modulů na ePo serveru došlo ke zkopírování konfigurace komponent VSE8.7 a HIPS7.0, takže nějaká konfigurace už bude nastavena. Nicméně, kopírování není dokonalé a zejména nové možnosti konfigurace jsou v McAfee default stavu, proto doporučujeme si všechna nastavení projít. Respektive nejjednodušší postup je všude nastavit politiky Global a teprve pokud některá z nich nevyhovuje, udělejte si její duplikát a změňte si problémové nastavení. Také nemá cenu dělat si duplikát úplně ze všeho, protože část nastavení je pro ZČU smysluplná jen v jedné konfiguraci (politika Global) nebo existuje konečné množství stavů (on/off). V následující tabulce je přehled politik, u kterých má smysl uvažovat o změně.

TODO tabulka s měnivými politikami.

Veškeré hrátky s nastavením nebudou mít zatím žádný vliv na cílové systémy, protože nové komponenty ještě nejsou nainstalovány. Takže si můžete vše v klidu projít a nastavit.

Přiřazení Deployment Tasku

Obdobně jako u specifikace konfigurace modulů je potřeba nastavit instalační úlohu (Deployment Task) pro všechny úrovně stromu, tj. pokud máte přerušené dědění, je nutné projít všechny součásti.

TODO obrázek - změna DT a dědění

Přiřaďte skupině jednu z následujících úloh, podle toho, co chcete mít nainstalováno:

  • Deploy 2012a: Agent 4.6, VSE8.8, HIPS 8.0 (Default)
  • Deploy 2012b: Agent 4.6, VSE8.8
  • Deploy 2012c: Agent 4.6, HIPS8.0

Nemá smysl vytvářet si vlastní Deployment Task, protože zde jsou pokryty všechny tři smysluplné možnosti (jen VSE, jen HIPS, oba moduly). Navíc, pokud se v budoucnu objeví např. nová verze agenta nebo patch, do těchto úloh je doplní pracovníci CIV a nemusíte se o nic starat.

Po přiřazení nového Deployment Tasku se začnou nové moduly postupně instalovat na koncové stanice - při jejich následujícím spojení s ePO serverem se agent dozví o změnách a začne je realizovat.

Promítnutí změn na koncové stanice

TODO == Kontrola stavu pomocí dashboardu TODO

Často kladené dotazy

TODO

Citováno z „https://helpdesk.zcu.cz/index.php?title=McAfee_-_Návod_k_upgrade_modulů_2012&oldid=34082