McAfee - Návod k webovému rozhraní ePolicy Orchestratoru

Z HelpDesk
Verze k tisku již není podporovaná a může obsahovat chyby s vykreslováním. Aktualizujte si prosím záložky ve svém prohlížeči a použijte prosím zabudovanou funkci prohlížeče pro tisknutí.

McAfee ePolicy Orchestrator je nástroj umožňující vzdálenou správu zabezpečení koncových stanic. Přičemž jednotlivé skupiny stanic mohou být delegovány mezi více správců. Následující návod je určen zejména pro tyto správce.

Přihlášení do systému

Za předpokladu, že již máte zřízen přístup a přidělena přístupová práva a znáte tedy své přístupové údaje. Příslušné webové rozhraní je na adrese https://epo.zcu.cz a přístup je omezen pouze pro rozsah sítě WEBnet (147.228.0.0/16). Chcete-li přistupovat i z jiných sítí, použijte VPN (budete v síti WEBnet).

Podporovaným prohlížečem je oficiálně pouze Internet Explorer, nicméně drtivá většina funkcí je použitelná také v Mozille Firefox. Doporučujeme používat - alespoň do seznámení se se systémem - Internet Explorer.

Komunikace je zabezpečená, přičemž certifikát je podepsán certifikační autoritou Cybertrust.

Vlastní přihlášení je prováděno přes následující formulář:

Přihlašovací formulář

Po určité době nečinnosti (u standardních kont cca 10 minut) je uživatel automatický odhlášen.

Popis webového rozhraní

Po přihlášení je zobrazen stavový řádek a hlavní menu v horní části obrazovky:

Stavový řádek a hlavní menu

Stavový řádek obsahuje

  • název ePO serveru (pro ZČU vždy apollon),
  • aktuální datum a čas,
  • jméno přihlášeného uživatele,
  • tlačítko pro odhlášení Log off,
  • tlačítko zpět (černý trojúhelník v kruhu),
  • tlačítko aktualizovat (ciferník hodin v kruhu) a
  • tlačítko nápověda (otazník v kruhu).

Všechny položky hlavního menu jsou přístupné tlačítkem "Menu", přičemž pomocí technologie Drag & Drop je možné do pruhu hlavního menu přetáhnout často používané položky. Každý uživatel si tak může menu přizpůsobit svým potřebám.

Obsah zbývající části stránky závisí na zvolené základní oblasti. Dále jsou popsány často používané oblasti.

Reporting

Tato oblast umožňuje přístup k údajům soustředěným v databázi. Typicky jde o problémy a případně další informace zasílané ze spravovaných stanic prostřednictvím agentů).

Dashboard

Dashboard lze přirovnat ke kontrolnímu panelu či přístrojové desce. Slouží k rychlému přehledu o spravovaných stanicich - kolik má aktuální databázi virů, kolik zajímavých událostí bylo zachyceno, apod. Každý uživatel si může základní nastavení upravit podle svých představ - zvolit si množství a typ zobrazovaných senzorů.

Změny v nastavení dashboardu jsou prováděny přes tlačítko Options v modrém pruhu pod hlavní nabídkou, které zpřístupňuje možnosti

  • New Dashboard
    • Vytvoření nového nastavení
  • Manage Dashboard
    • Přehled a správa dostupných dashboardů
    • Možnost vytvořit nový dashboard
    • Možnost editace uživatelem vytvořených dashboardů
  • Select Active Dashboard
    • Výběr aktuálně používaných dashboardů, mezi vybranými pak lze přepínat v modrém pruhu pod hlavní nabídkou, např.
Seznam dashboardů
  • Edit Dashboard Preferences
    • Nastavení časového intervalu pro obnovení obsahu (doporučeno ponechat 5 minut).

Na výběr je několik připravených kategorií senzorů

  • McAfee Links - odkazy na různé stránky společnosti McAfee (pro běžné uživatele zbytečné)
  • MyAvert Web Services - informace o hrozbách (MyAvert) a obsah lokálního úložiště aktualizací
  • Quick Find - užitečný pomocník při vyhledávání určitého stroje
  • Queries - graf či tabulka shrnující výsledky nějakého dotazu
    • Lze použít předdefinované veřejné (public) dotazy, nebo si vytvořit vlastní (popsáno v sekci Reporting).
    • Kliknutím na část grafu lze přejít k tabulce obsahující vizualizovaná data.

Queries

    • Práci s dotazy
    • V levé části je seznam aktuálně dostupných dotazů. Jednak lze pozorovat předdefinované veřejné dotazy (Public Queries) a jednak je možné vytvářet vlastní (My Queries).
    • Kliknutím na dotaz je tento označen a dají se s ním dělat následující věci (pokud k tomu vlastníte příslušná práva)
      • Tlačítko Delete - smazání dotazu
      • Tlačítko Edit - změna dotazu
      • Tlačítko Run - spuštění dotazu a zobrazení výsledku
      • Tlačítko Duplicate - vytvoří kopii (vhodné pokud vytváříte podobný dotaz)
      • Tlačítko Export - definici dotazu exportuje jako xml soubor (v prostředí ZČU prakticky není důvod k používání)
    • Některé akce vyžadují potvrzení - je zobrazováno v pravé dolní části stránky.
    • Přidání nového dotazu je možné následovně
      • Tlačítko Import Query - import definice dotazu z xml souboru
      • Tlačítko New Query - vytvoření nového pravidle pomocí průvodce, v krocích
        1. Result Type - výběr typu informací, které mají být hledány
        2. Chart - výběr grafu či tabulky a upřesnění jejich vlastností
        3. Columns - definice sloupců tabulky, která je výsledkem nebo která je podkladem pro graf
        4. Filter - upřesnění, na jaké koncové stanice je dotaz uplatněn
        5. Tlačítko Run zobrazí výsledek dotazu
        6. Tlačítko Edit Query umožní modifikovat dotaz
        7. Tlačítko Save uloží dotaz (poté je třeba vyplnit název dotazu a případně i jeho popisek)

Host IPS

    • Seznam hlášení modulu HIPS
      • V levé části obrazovky je zobrazena hierarchická struktura skupin (System Tree)- veškeré výpisy se pak vztahují k označené skupině
      • Skupina Events
        • Seznam zaznamenaných událostí modulu HIPS
        • Výběr lze filtrovat pomocí
          • Event type - druh události
          • Read/Unread - nastavení tagu přečten/nepřečten
          • Hidden/Unhidden - nastavení tagu skrytý/standardní
          • Creation time - doba události
          • Severity - závažnost události
          • Tlačítko Agregate - sloučení záznamů podle specifikovaných kritérií
          • Tlačítko Clear - zruší filtr
        • Po označení události nebo událostí (zaškrtávací políčko před událostí, případně tlačítka Select all in this page a Select all in all pages) jsou zpřístupněny další možnosti
          • Create Exceptions - umožní vytvořit výjimku pro označené události (je třeba mít vytvořenou vlastní politiku)
          • Create Trusted application - nastaví aplikaci z označené události jako důvěryhodnou
          • Mark Hidden - označí vybrané události jako skryté (lze použít jako kritérium při hledání)
          • Mark Unhidden - zruší označení skryté pro vybrané události
          • Mark Read - označí vybrané události jako přečtené (lze použít jako kritérium při hledání)
          • Mark Unread - označí vybrané události jako nepřečtené
          • Show Related Systems - vygeneruje seznam stanic, které se podílely na označených událostech
      • Skupina IPS Client Rules
        • Pravidla IPS vytvořená uživateli systému (musí být na stanici nastaveno)
      • Skupina Firewall Client Rules
        • Pravidla Firewallu vytvořená uživateli systému (musí být na stanici nastaveno)
      • Skupina Application Blocking Client Rules
        • Pravidla pro blokování aplikací vytvořená uživateli systému (musí být na stanici nastaveno)

Systems

Tato sekce je nejpoužívanější části, protože zde jsou prováděny vlastní operace s koncovými stanicemi, jejich zařazování do skupin a přidělování politik.

System Tree

  • Hierarchická struktura obsahující všechny koncové stanice
  • Veškeré akce se vždy vztahují ke žlutě označené skupině nebo koncové stanici ve stromu
  • Skupiny do kterých nemáte přístup mají šedivý popisek, takové skupiny nelze označit
  • Systems
    • Obsahuje seznam všech strojů
    • Tlačítko Options
      • Volbou Choose Columns lze definovat, které budou ve výpisu figurovat
      • Volbou Export Tables může být tabulka exportována ve zvoleném formátu
    • Nastavení Level Filter zobrazuje implicitně pouze stanice nacházející se v označené skupině (This Group Only), chcete-li vidět také stanice z jednotlivých podskupin, je nutné přepnout na This Group and All Subgroups
    • Stanice se do seznamu dostanou
      • automaticky při první komunikaci od klienta (podle informací při zřizování přístupu zařídí CIV)
      • ručně - tlačítkem New systema (běžní uživatelé tuto možnost nevyužijí)
    • Po označení jednoho čí více systémů, s nimi lze podniknout následující akce
      • Tlačítko Assign Policy - přiřazení politik (detaily viz odrážka Policies)
      • Tlačítko Change Sorting Status - nastavení, zda se má systém automaticky řadit do správné skupiny
      • Tlačítko Delete - odstranění ze skupiny
        • V pravém dolním rohu se ještě objeví možnost Remove Agent - potvrzením se vyšle agentovi signál, aby se z daného stroje odinstaloval
        • Není-li agent odstraněn, pak se systém znovu ve skupině objeví (až Agent kontaktuje server)
      • Tlačítko Deploy Agents - poslání agentů na systém (pokud byl systém přidán ručně)
      • Tlačítko Edit Description - možnost vlastního popisku
      • Tlačítko Export Systems - export seznamu označených stanic
      • Tlačítko Modify Policies on a Single System- úprava politik pro označený systém (detaily viz odrážka Policies)
      • Tlačítko Modify Tasks on a Single System - úprava úloh pro označený systém (detaily viz odrážka Tasks)
      • Tlačítko More Actions / Move Systems - přesun do jiné skupiny
        • Ponechte volbu Disable System Tree sorting on these systems , jinak se stanice při příštím sutomatickém řazení přesune do své počáteční skupiny
      • Tlačítko More Actions / Show Agent Log - pohled do logu Agenta (musí být na stanici povoleno)
      • Tlačítko More Actions / Sort Now - spuštění automatické zařazení do skupiny
      • Tlačítko More Actions / Test Sort - zjistí kam by se systém zařadil, kdyby se spustilo More Actions / Sort Now
      • Tlačítko More Actions / Wake Up Agents - aktivuje Agenta na stanici (bez čekání na standardní komunikační interval)
    • Kliknutím na řádku s názvem stanice se otevře okno s detaily dané stanice
      • Výše uvedená tlačítka jsou opět k dispozici
  • Policies
    • Vytváření politik pro vybranou skupinu
    • Product - výběr modulu, který chcete konfigurovat
    • Pro vybraný modul existuje řada kategorií a každá má přiřazenou nějakou sadu pravidel (politik)
    • Kliknutím na název politiky se lze podívat jaká nastavení skrývá
    • Změny lze provádět kliknutím na odkaz Edit assignment
      • Implicitně jsou politiky děděny z nadřazené skupiny, chcete-li je změnit je potřeba nastavit Break inheritance and assign the policy and settings below
      • Z rozbalovacího menu vyberte politiku, která má být nastavena
      • Edit Policy - umožní změnit vlastnosti označené politiky (máte-li k tomu práva)
      • New Policy - spustí průvodce novou politikou (tímto se pouze vytvoří, ale nepřiřadí)
      • Lock policy inheritance - při nastavení "Lock" nejde u podskupin změnit politiku
    • Enforcement status - způsob vynucování politik (změna kliknutím)
      • Enforcing - v pravidelných intervalech je politika vynucována (změny uživatele jsou zrušeny)
      • Not enforcing - politika je stažena pouze 1x (při první komunikaci agenta se serverem)
    • Návod jak nejlépe nastavit konkrétní politiky zatím neexistuje
  • Client Tasks
    • Definice úloh, které klienti s McAfee agentem na palubě provádějí.
    • V zobrazeném seznamu jsou vidět naplánované úlohy (dědí se z nadřazených skupin)
      • Implicitně je naplánováno
        • Deployment Task - instalace jednotlivých modulů
        • Daily Update - aktualizace virové báze každý den
        • Update at Startup - aktualizace virové báze při startu PC
        • Monthly Scans - pravidelný scan stanice (vypnuto, ale připraveno k použití)
        • Uvedené úlohy je možné modifikovat kliknutím na odkaz Edit
          • Je nutné zrušit zaškrtnutí Inheritance: Task and schedule settings
    • Tlačítko New Task - vytvoření nové úlohy (pro běžné uživatele nemá příliš smysl)
  • Group
    • Slouží ke správě skupin
    • Name - název skupiny
    • Notes - popis skupiny
    • Sorting Criteria - automatické zařazení do skupiny na základě IP adresy
    • Synchronization type - možnost synchronizovat obsah skupiny podle domény nebo AD (pro běžné uživatele nepotřebné)
    • New Subgroup - vytvoření podskupiny v označené skupině
    • More Actions / Delete Group - zrušení skupiny
    • More Actions / Move Group - přesun skupiny

Policy

Policy Catalog

  • Správa šablon pro jednotlivé politiky, zejména odstranění nepoužívaných, protože prakticky je práce s politikami prováděna při nastavování politik pro skupiny

Configuration

Personal Settings

Běžný uživatel má v této sekci pouze dvě nastavení, které může měnit.

  • Password
    • Zadání nového přístupového hesla.
  • Tables
    • Interval pro aktualizaci rozhraní (doporučujeme ponechat stávajích 5 minut).

Změna je prováděna tlačítkem Edit v pravém dolním rohu stránky.

Politiky a jejich členění

Skupinám stanic nebo i jednotlivým stanicím je pomocí McAfee ePolicy Orchestratoru přiřazováno určité nastavení. Pro snažší orientaci jsou tato nastavení sdružována do tzv. politik, takže lze přiřazením určité politiky najednou nastavit chování celého modulu nebo jeho podstatné části. Tato kapitola si klade za cíl představit základní předdefinované politiky a vnést trochu světla do jejich organizace.

Každý z produktů (McAfee Agent, VirusScan Enterprise, HIPS) má několik kategorií politik, které vždy obsahují nastavení prvků z určité oblasti (např. GUI, chování karantény, vlastnosti karantény apod.). Prakticky jde o kategorie z následující tabulky.

Produkt Kategorie Stručný popis
McAfee Agent General Obecné chování agenta, intervaly pro stahování a vynucování politik, logování a definice událostí zasílaných na server, definice update-serveru, politika aktualizací
VirusScan Enterprise 8.5.0 Access Protection
Alert Policies
Buffer Overflow
On-Access Default Processes Policies
On-Access General Policies
On-Access High-Risk Processes Policies
On-Access Low-Risk Processes Policies
On Delivery Email Scan Policies
Quarantine Manager Policies
Unwanted Programs Policies
User Interface Policies
Host Intrusion Prevention 7.0.0 : General Client UI (Windows)
Trusted Applications (All Platforms)
Trusted Networks (Windows)
Host Intrusion Prevention 7.0.0 : IPS IPS Options (All Platforms)
IPS Protection (All Platforms)
IPS Rules (All Platforms)
Host Intrusion Prevention 7.0.0 : Application blocking Application Blocking Options (Windows)
Application Blocking Rules (Windows)
Host Intrusion Prevention 7.0.0 : Firewall Firewall Options (Windows)
Firewall Rules (Windows)
Quarantine Options (Windows)
Quarantine Rules (Windows)

Všechny skupiny a stanice jsou zařazeny v hiearchické stromové struktuře a jednotlivé politiky jsou implicitně děděny z nejbližšího nadřazeného uzlu. Není-li toto dědění přerušeno je každá změna politik z kořenové skupiny My Organization propagována do všech jejích podskupin. Tento řetězec lze kdykoliv přerušit přiřazením jiné politiky dané skupině, všechny její podskupiny pak implicitně zdědí tuto novou politiku. Přičemž každá kategorie je děděna nazávisle na ostatních, takže lze například nechat stejné nastavení GUI všem skupinám a přitom vytvořit různá nastavení firewallu.

Pro každou z výše uvedených kategorií existují předdefinované politiky, které můžete přiřadit Vašim skupinám či jednotlivým stanicím. K dispozici jsou defaultní politiky McAfee a politiky vytvořené CIV. Jednotliví lokální správci si mohou také vytvářet svoje politiky, ale tyto nejsou veřejně dostupné ostatním uživatelům.

Ještě před vlastním výčtem dostupných politik pro jednotlivé kategorie je vhodné zmínit, že existují dvě "sady" politik, které existují pro všechny skupiny a jedna "sada politik" připravená pro většinu kategorií.

  • Politiky s názvem McAFee Default - úplně základní nastavení připravené specialisty z firmy McAfee. Po prozkoumání této sady jistě dojdete k závěru, že jde o velmi paranoidní nastavení (smazat, zablokovat, nenechat nic změnit, uživatele k ničemu nepustit). Zejména nastavení modulu VirusScan Enterprise je dost agresivní.
  • Politiky s názvem My Default - základní nastavení vycházející z předchozí sady, ale drobně upravené na základě praktických zkušeností technika z distributorské firmy. Nastavení z této sady plně nereflektuje akademické prostředí, nicméně je možné je použít pro uživatele, kteří nepoužívají žádné nestandardní aplikace a nemají touhu si sami něco nastavovat (typicky sekretářky).
  • Politiky s názvem Global - tyto politiky byly připraveny pracovníky CIV a neexistují pro všechny kategorie - jen pro takové, kde bylo potřeba změnit politiku sady McAfee Default nebo My Default. Primárně byly navrženy pro "samostatné uživatele", kteří si pouze stáhnout prvotní konfiguraci a poté si ji upraví k obrazu svému.

Kromě výše uvedených názvů lze potkat i další předdefinované politiky, detailnější informace naleznete v následujícím přehledu. Popis politik ze sad McAFee Default a My Default je uveden pouze v případech, kdy existuje pádný důvod je použít, i když existují pro všechny kategorie. Ve výčtu také figurují pouze politiky, u kterých je předpoklad širšího využití. Použití dalších politik je již na jednotlivých správcích.

McAfee Agent / General
Název politiky Stručný popis
Global Agent kontaktuje server po 60 minutách, vynucuje politiky po 20 minutách, smí

akceptovat "Wake Up Call", ePO serveru posílá pouze "Major" události a vše si lokálně loguje. Pro běžný provoz.

Uninstall Agent kontaktuje server i vynucuje politiky v 5 minutových intervalech. Pro potřeby rychlé propagace změn (např. při testování konfigurace)
CIV-Labs Agent kontaktuje server po 20 minutách, politiky vynucuje po 10 minutách. Pro agresivnější prostředí učeven
VirusScan Enterprise 8.5.0 / Access Protection Policies
Název politiky Stručný popis
Global Chrání McAfee služby před vypnutím, zapnuty pouze prověřené moduly.
Uninstall McAfee služby lze vypnout (v některých speciálních případech by mohlo vadit při odinstalování)
VirusScan Enterprise 8.5.0 / Alert Policies
Název politiky Stručný popis
Global Zapnutí pro všechny služby (pro budoucí využití).
VirusScan Enterprise 8.5.0 / Buffer Overflow Protection
Název politiky Stručný popis
Global Zapnuto v "Protection" módu (zabrání přetečení). Informace je uživateli zobrazena.
VirusScan Enterprise 8.5.0 / On-Access Default Processes Policies
Název politiky Stručný popis
Global Jednotná scanovací politika, v případě detekce je odmítnut přístup k souboru. Scanují se pouze typy souborů vybrané McAfee
CIV-Labs Oproti Global je nastavena výjimka pro soubory na disku I: (síťový disk, ale Windows jej detekují jako normální)
VirusScan Enterprise 8.5.0 / On-Access General Policies
Název politiky Stručný popis
Global Nastavení pro koncového uživatele. Zapnuto co se dá.
CIV-Labs Oproti Global není On-Access Scan zapnut během bootování (kolize se skripty)
VirusScan Enterprise 8.5.0 / On-Access High-Risk Processes Policies
Název politiky Stručný popis
My Default Specifikace "Co je High-Risk Process" i všeho ostatního dle McAfee.
VirusScan Enterprise 8.5.0 / On-Access Low-Risk Processes Policies
Název politiky Stručný popis
My Default Specifikace "Co je Low-Risk Process" i všeho ostatního dle McAfee.
VirusScan Enterprise 8.5.0 / On Delivery Email Scan Policies
Název politiky Stručný popis
Global Scan příloh e-mailu i vlastního textu zapnut, uživatel dotázán na akci.
CIV-Labs Scan e-mailů vypnut.
VirusScan Enterprise 8.5.0 / Quarantine Manager Policies
Název politiky Stručný popis
Global Soubory v karanténě jsou mazány po 28 dnech.
VirusScan Enterprise 8.5.0 / Unwanted Program Policies
Název politiky Stručný popis
Global Zapnuty všechny kategorie nežádoucích programů, kromě "Remote Administration Tools", dále výjimka pro nástroje cmdow.exe a wget.exe
VirusScan Enterprise 8.5.0 / User Interface Policies
Název politiky Stručný popis
Global V tray ikoně McAfee je do kontextového menu přidána položka VirusScan Enterprise, uživatel může měnit nastavení bez znalosti hesla. Vhodné pro koncové uživatele - správce stanice.
CIV-Labs VirusScan Enterprise v kontextovém menu tray ikony McAfee má jen omezené možnosti, uživatel nemůže měnit nastavení bez znalosti hesla. Vhodné pro uživatele, kteří nemají mít možnost cokoliv měnit.
Host Intrusion Prevention 7.0.0 : General / Client UI (Windows)
Název politiky Stručný popis
Global HIPS je přidán do kontextového menu tray ikony McAfee, uživatel smí přidávat svá pravidla (IPS, FW, AB), heslo pro odemčení konzole je "mcafee-zcu", jednotlivé moduly jde vypnout/zapnout z kontextového menu. Vhodné pro koncové uživatele - správce stanice.
CIV-Labs HIPS je přidán do kontextového menu tray ikony McAfee, uživatel nemá přístup k editaci a nesmí přidávat pravidla. Nemůže ani vypínat/zapínat moduly. Vhodné pro uživatele, kteří nemají mít možnost cokoliv měnit.
Host Intrusion Prevention 7.0.0 : General / Trusted Applications (All Platforms)
Název politiky Stručný popis
McAfee Default Implicitní seznam důvěryhodných aplikací od McAfee
Host Intrusion Prevention 7.0.0 : General / Trusted Networks (Windows)
Název politiky Stručný popis
My Default Lokální síť je považována za důvěryhodnou.
Host Intrusion Prevention 7.0.0 : Application Blocking / Application Blocking Options (Windows)
Název politiky Stručný popis
Adaptive Adaptivní režim pro spouštění aplikací i spouštění aplikací danou aplikací, stávající pravidla zůstávají.
Learn Učící se režim pro spouštění aplikací i spouštění aplikací danou aplikací, stávající pravidla zůstávají.
Off (McAfee Default) Vypnuto, stávající pravidla zůstávají (ale nejsou využívána).
On Zapnuto ve standardním módu (na co není pravidlo je zakázáno), stávající pravidla zůstávají.
CIV-Labs Zapnuto ve standardním módu (na co není pravidlo je zakázáno), vždy použita pouze centrálně zadaná pravidla (pokud si uživatel nějaká přidá, při vynucení politiky o ně zase přijde).
Host Intrusion Prevention 7.0.0 : Application Blocking / Application Blocking Rules (Windows)
Název politiky Stručný popis
My Default Seznam aplikací, které jsou povážovány za bezpečné, od firmy McAfee.
Host Intrusion Prevention 7.0.0 : IPS / IPS Options (All Platforms)
Název politiky Stručný popis
Adaptive IPS zapnuto, automatické vytváření pravidel (seznam aplikací, které jsou IPS chráněny).
Off IPS vypnuto, stávající nastavení ponecháno.
On (McAfee Default) IPS zapnuto, stávající pravidla ponechána.
CIV-Labs Vypnuto (nutno řádně otestovat), smaže lokálně nastavená pravidla.
Host Intrusion Prevention 7.0.0 : IPS / IPS Protection (All Platforms)
Název politiky Stručný popis
Basic Protection (McAfee Default) Brání pouze průnikům ohodnoceným "High", ostatní ignoruje.
Enhanced Protection Brání průnikům ohodnoceným "High" nebo "Medium", ostatní ignoruje.
Maximum Protection Brání průnikům ohodnoceným "High", "Medium" a "Low", "Informational" ignoruje.
Prepare for Enhanced Protection Příprava na přechod Basic -> Enhanced ("High" blokuje, "Medium" loguje)
Prepare for Maximum Protection Příprava na přechod Enhanced -> Maximum ("High" a "Medium" blokuje, "Low" loguje)
Warning Loguje pouze průniky ohodnocené "High", ostatní ignoruje.
Host Intrusion Prevention 7.0.0 : IPS / IPS Rules (All Platforms)
Název politiky Stručný popis
Global Seznam sledovaných zranitelností pro běžné používání.
Host Intrusion Prevention 7.0.0 : Firewall / Firewall Options (Windows)
Název politiky Stručný popis
Adaptive Firewall v adaptivním módu, stávající pravidla jsou zachována.
Learn Firewall v učícím se módu, stávající pravidla jsou zachována.
Off (McAfee) Firewall vypnut, stávající pravidla jsou zachována.
On Firewall zapnut v "regular" módu (na co není pravidlo je automaticky zablokováno), stávající pravidla jsou zachována.
Global Firewall zapnut v učícím se režimu, stávající pravidla jsou zachována, FTP inspekce povolena. Vhodné pro běžné uživatele - správce svojí stanice.
Basic WinXP settings Firewall zapnut v "regular" módu, použita jsou pouze centrálně definovaná pravidla. Vhodné pro uživatele, kteří nemají do konfigurace zasahovat.
Host Intrusion Prevention 7.0.0 : Firewall / Firewall Rules (Windows)
Název politiky Stručný popis
Client High Sada pravidel pro koncovou stanici připravená McAfee.
Client Medium Sada pravidel pro koncovou stanici připravená McAfee.
Learning starter Sada pravidel pro koncovou stanici připravená McAfee.
Minimal (McAfee Default) Sada pravidel pro koncovou stanici připravená McAfee.
Server High Sada pravidel pro server připravená McAfee.
Server Medium Sada pravidel pro server připravená McAfee.
Global Základní sada pravidel vhodná jako počáteční nastavení pro učící se režim - přidána pravidla pro systémové služby a základní programové vybavení v síti WEBnet.
Basic WinXP Settings Základní nastavení pro WinXP - odchozí spojení povolena všechna, z příchozích pouze vybrané. Použitelné v "regular" módu.
Host Intrusion Prevention 7.0.0 : Firewall / Quarantine Options (Windows)
Název politiky Stručný popis
My default Karanténní režim je vypnutý
Host Intrusion Prevention 7.0.0 : Firewall / Quarantine Rules (Windows)
Název politiky Stručný popis
My default Základní pravidla karanténního režimu (komunikace s ePO serverem, VPN, DNS, DHCP)

Budete-li používat výše uvedené politiky, mějte na paměti, že pokud je někdo změní, tak tato změna zasáhne i Vaše stanice. Pro sadu politik Global to může být přínosem (CIV udělá změny, které by měli ocenit koncoví uživatelé - správci), ale bezpečnější je udělat si duplikát politiky, která je Vám nejblíž a pak ji používejte. Název nových politik vybírejte, prosím, s rozvahou - jsou vidět v seznamu. Ideálně použít jako prefix Vaše uživatelské jméno nebo název katedry následované názvem popisujícím vlastní politiku.

Často kladené dotazy

V této sekci naleznete často kladené dotazy týkající se webového rozhraní ePolicy Orchestratoru. Dotazy týkající se dalších aktivit lokálních správců spjatých s McAfee jsou zodpovězeny na samostatné stránce. Stejně tak odpovědi na dotazy často kladené běžnými uživateli


Otázka: Při přesouvání skupin nebo stanic se v seznamu neobjeví mnou spravované skupiny (viz následující screenshot), co je špatně?

Spravované skupiny - před rozkliknutím


Odpověď: Vaše skupina je schována v hierachickém členění ve skupině Local Admins. Po kliknutí na trojúhelník vedle popisu skupiny (na předchozím screenshotu v zeleném kolečku) se zobrazí obsah této skupiny. U skupin, jejichž obsah je vidět, směřuje vrchol trojúhelníku dolů. Ve finále lze vidět např. následující

Spravované skupiny - po rozkliknutím

Otázka: Nainstaloval jsem si McAfee na notebook, ale není v mnou spravované skupině. Jak to?
Odpověď: Z pravidel, která řadí stanice do patřičných skupin, jsou vyjmuty rozsahy dynamických adres pro notebooky. Pokud notebook neinstalujete-li na svém domovském segmentu, pak se zařadí do skupiny Lost&Founds, ve které už zůstane dokud jej uživatelé s příslušnými přístupovými právy (pověření pracovníci CIV) nepřesunou.


Otázka: Co se stane s notebookem při přechodu na jinou podsíť? Nedostane se do skupiny k jinému lokálnímu správci?
Odpověď: Každé zařízení je zařazeno do příslušné skupiny pouze při první komunikaci s ePO serverem. Při dalším připojení - z libovolného umístění - už k zařazování nedochází, stanice se tedy nedostane k nikomu jinému.


Otázka: V mojí skupině jsou stanice s IP adresami, o kterých si myslím, že mi nepatří. Není to chyba?
Odpověď: V seznamu stanic je uvedena vždy poslední (!) použitá IP adresa, se kterou naposledy proběhla komunikovace s ePO serverem. Změny v IP adresách jsou typické pro mobilní zařízení - zejména pokud se připojí na jiný segment, přes bezdrátovou síť nebo pomocí NAT. Položka IP adresa u není u mobilních zařízení příliš vypovídající informace.


Otázka: Je možné třídit stanice podle jejich hostname?
Odpověď: McAfee žije Microsoftím světem, takže pod pojmem hostname si představuje řetězec "Úplný název počítače.doména". Dáváte-li stanicím ve své správě specifická jména (např. UIxxxPyy-LPS) pak je možné třídit stanice i podle specifických charakteristik tohoto "hostname".


Otázka: Jak zajistím, aby byl HIPS vypnutý?
Odpověď: HIPS se skládá ze tří komponent (IPS, FW a aplikační blokování), pokud nechcete používat ani jednu z nich, pak v Systems -> SystemTree -> Client Tasks změňte Deployment Task tak, aby bylo zrušeno dědění (v záložce 1 Description) a akce pro Host Intrusion Prevention 7.0.0 byla nastaveno na "Remove" (v záložce 2 Configuration). Pokud některou z komponent chcete používat, je nutné naistalovat celý modul HIPS a nepotřebné komponenty vypnout změnou politik pro příslušnou skupinu stanic.


Otázka: Vytvoření výjimky přes webové rozhraní ePO se nedaří, proč?
Odpověď: Při zobrazení detailu události je v dolní části tlačítko Create Exception, které však funguje pouze pro události hlašené modulem IPS - v následně vybrané politice lze tímto tlačítkem nastavit, že tento soubor nemá být hlídán IPS. Pro ostatní události (např. od On-Access Scanu) se po kliknutí na tlačítko napíše důvod, proč to nejde.


Otázka: Jak zařídit, aby se mi při prohledávání logu nezobrazovaly hlášky s nízkou informační hodnotou (např. soubor nelze proskenovat)?
Odpověď: Při vytváření dotazu (Query) lze v záložce filter nastavit co se (ne)má zobrazovat, tj. lze např. zadat 'Event ID is not equal to 1059'. Neexistuje bohužel žádný seznam ID události, ale tato informace je napsaná u každé události. Lze také specifikovat názvy souborů, jejichž události si nepřejete vidět.