McAfee企业版快速配置手册EPO45.docx
《McAfee企业版快速配置手册EPO45.docx》由会员分享,可在线阅读,更多相关《McAfee企业版快速配置手册EPO45.docx(40页珍藏版)》请在冰点文库上搜索。
McAfee企业版快速配置手册EPO45
Mcafee
企
业
版
配置手册(forEPO4.5)
承接《Mcafee企业版部署手册》
1.软件部署
1.1安装后任务
✓计划ePolicyOrchestrator系统树和更新方案。
✓创建ePolicyOrchestrator系统树。
✓将McAfeeAgent分发到要通过ePolicyOrchestrator管理的系统。
✓创建更新存储库。
✓将那些要由ePolicyOrchestrator管理的产品签入存储库。
然后配置这些产品的策略设置。
✓将产品部署到托管计算机。
✓配置ePolicyOrchestrator的高级功能。
2.软件配置
2.1登录控制台
Ø可选择在服务端点击桌面的图标登录
Ø通过远程登录:
在浏览器(IE或之上的版本、Firefox3.0以上版本)中输入:
https:
//xxx.xxx.xxx.xxx:
8443(IP为可访问IP,端口为安装时配置的端口)
输入用户名和密码后:
2.2界面定制
Ø菜单栏
“菜单”是4.5版ePolicyOrchestrator软件中的新增功能。
“菜单”使用类别来对各种ePO特性和功能进行比较。
每个类别都包含与一个唯一图标相关联的主要功能页列表。
可通过菜单选项选择自己需要的功能区域进行配置。
Ø导航栏
在ePolicyOrchestrator4.5中,可以自定义导航栏。
可以通过将任何菜单项拖入或拖出导航栏来确定导航栏上显示的图标。
在导航到菜单中的某个页面或者单击导航栏中的某个图标时,该页的名称将显示在“菜单”旁的蓝框中。
在屏幕分辨率为1024x768的系统上,导航栏可以显示六个图标。
如果将六个以上的图标放在导航栏上,则会在导航栏的右侧创建一个溢出菜单。
单击“>”可访问未显示在导航栏中的菜单项。
而在4.0版的界面中,导航栏由一组固定的区段图标组成,这些图标按类别对功能进行组织。
导航栏中显示的图标将作为用户首选项进行存储,因此,无论每个用户登录到哪个控制台,都会显示该用户的自定义导航栏。
2.3配置ePO4.5
2.3.1过程概述
A.配置ePO服务器
✓设置用户帐户(“菜单”|“用户管理”|“用户”)
✓分配权限集(“菜单”|“用户管理”|“权限集”)
✓配置ePO服务器设置(“菜单”|“配置”|“服务器设置”)
B.创建存储库
✓主存储库(“菜单”|“软件”|“主存储库”)
✓分布式存储库(“菜单”|“软件”|“分布式存储库”)
C.将系统添加到系统树(“菜单”|“系统”|“系统树”)
D.将代理分发给系统(“菜单”|“系统”|“系统树”)
E.配置策略和客户端任务
✓策略(“菜单”|“策略”|“策略目录”→“产品”→“操作”|“新建策略”)
✓客户端任务(“菜单”|“系统”|“系统树”|“客户端任务”→“操作”|“新建任务”)
F.部署产品和软件(菜单”|“系统”|“系统树”|“客户端任务”)
2.3.2用户管理
***一般可省略此步骤,在需要进行权限细分或用户密码修改才需要配置***
用户帐户是向用户提供访问和使用软件的方法。
用户帐户与权限集关联,权限集定义允许用户对软件执行的操作。
用户管理通过(“菜单”|“用户管理”|“**”)进行访问,这一组里面包有用户、权限集、审核日志、联系人四项。
✓第一项用户可对用户的删减和编辑;
✓第二项权限集是自定义和编辑不同的权限分组,可在用户里面进行相应的应用;
✓第三项审核日志记录了对用户操作的一些日志;
✓第四项联系人用于联系人管理,主要用于添加含有电子邮件地址的联系人,为发送系统警报之类的邮件提供准备;
您必须创建用户帐户和权限集才能满足登录到ePO服务器的每个用户的要求。
可以为各个用户创建帐户,也可以创建一个映射到ActiveDirectory/NT服务器中用户或组的权限集。
用户有两种类型:
全局管理员和具有有限权限的用户。
此单元的功能相对简单,在此文中不做累述,上手较为容易;
2.3.3服务器及相关参数配置
在对用户进行基本配置后,就需要对服务器及一些基本的参数进行配置,界面如:
配置在菜单的最后一项,里面包含有服务器设置、个人设置、已注册的服务器、代理处理程序、已注册的可执行文件五项内容。
在此需要对几处进行简单的设置,如下:
2.3.3.1服务器设置
选择“菜单”|“配置”|“服务器设置”,可进行对服务器的相关设置,其中
Ø打印和导出为从ePO中对各种报告进行打印或者导出相关文档的页面设置,此处可以设定为本公司的相关LOGO;
Ø电子邮件服务器配置用来发送电子邮件的电子邮件服务器,当需要将日常报告通过电子邮件的形式发送的,可进行配置;
Ø许可密钥,如在安装时选择的是评估版本,可在此处将获得的正版密钥输入即可;
Ø事件过滤可配置哪些事件转发到服务器。
此选择会影响环境中使用的带宽,以及基于事件的查询的结果(当在查询报告中发现很多不需要的内容,可点开威胁事件日志的详细信息,记录下事件ID,在此选项中,把勾去掉即可);
★★★★★建议取消ID为1059的扫描超时事件(此事件多半为加密文档内容,会定期产生大量的重复威胁事件,影响用户对病毒数量的判断)
2.3.3.2其它配置项介绍
详情请点击下面的图标
2.3.4创建存储库
将需要用的软件以及相应的更新统一到ePO系统,便于分发到各客户端。
2.3.4.1安装代理扩展
在此处需要代理扩展包EPOAGENTMETA.zip、MA450P1Win.zip两个最新的包,方法如下:
Ø从官网下载这两个补丁到服务器ePO上;
Ø安装代理扩展:
✓单击“菜单”|“软件”|“扩展”。
此时会打开“扩展”页。
✓单击“安装扩展”
✓浏览到包含ePOAgentMeta.zip的位置,选择该位置,然后单击“确定”。
此时会出现“安装扩展摘要”页。
✓单击“确定”完成该扩展的安装。
Ø将代理包签入ePolicyOrchestrator存储库。
附注:
如果是在运行CommonManagementAgent3.6的计算机上安装,则必须将该包签入“当前”存储库分支。
✓在ePolicyOrchestrator中,单击“菜单”|“软件”|“主资料库”。
✓单击“签入包”,选择产品或更新
✓浏览到“MA450Win.zip”,选择它,然后单击“下一步”。
✓如果“允许将包签入任何存储库分支”已被启用,请将该包放在任何分支中。
要启用此功能,请单击“菜单”|“配置”|“服务器设置”,然后从“设置类别”列表中选择“存储库包”。
单击“编辑”从“否”切换到“是”。
✓单击“保存”。
2.3.4.2部署VSE8.7及其补丁
方法同上面的签入包,至今有3个补丁,分别为如下,请从官网下载,按顺序签入
安装结束以后,在主资料库界面会出现如下内容:
**包的顺序和依赖性**
如果一个产品更新依赖于另一个产品更新,则必须按照所要求的顺序将更新包签入主存储库中。
例如,如果修补程序2需要修补程序1,则必须先签入修补程序1,再签入修补程序2。
包在签入后无法重新排序。
您必须先删除它们,然后按正确的顺序再次签入。
如果签入的包会替代现有包,则现有包会被自动删除。
2.3.4.3更新ePO的病毒库及相关软件
首次部署产品时:
✓配置纳入和复制任务。
✓将产品和更新包签入主存储库。
✓配置部署和更新任务。
在此部分,有两种方式从Mcafee的官网进行更新,一种是计划纳入,一种是立即纳入。
Ø立即纳入:
在第一次部署系统时,应选择“立即纳入“,将最新的病毒库和引擎及相关软件纳入主资料库。
✓单击“菜单”|“软件”|“主资料库”。
✓点击“立即纳入”
✓如果客户端都是windows的系统,在包选项中选择“选定的包”,选择项如下:
✓点击“开始纳入”,在过一阵之后,所有的包均纳入到主资料库
Ø计划纳入:
DAT和引擎文件都必须经常更新。
McAfee每天都会发布最新的DAT文件,而引擎文件的发布频率较低。
这些包应尽快部署到托管系统,以便为它们提供最新威胁防护。
计划的存储库纳入服务器任务将在您指定的时间和日期定期自动运行。
例如,您可以计划在每个星期四上午5:
00运行“存储库纳入”任务。
✓单击“菜单”|“软件”|“主资料库”;
✓点击“计划纳入”,输入计划的名称;
✓选择资料库纳入,在包类型中选择“选定的包”
✓选择需要计划纳入的包(本例选择DAT)
✓定义计划的时间
✓单击保存,服务器将在设定的时间从Mcafee官网下载相应的更新包
**计划纳入任务时的注意事项**
✧带宽和网络使用率-如果您使用的是全局更新,则建议将纳入任务安排在其他资源的带宽使
✧用率很低的情况下运行。
利用全局更新,更新文件会在纳入任务完成之后自动分发。
✧任务的频率-虽然每天都发布DAT文件,但是您可能不想每天都使用资源进行更新。
✧复制和更新任务-计划复制任务和客户端更新任务,以确保在整个环境中分发更新文件。
2.3.5添加系统到系统树
在对ePO进行基本的配置后,需要将ePO和我们需要部署的终端进行联动,首先,我需要需要将我们的网络环境添加到ePO中,以便后续的客户端部署,策略分发等应用的开展。
在系统这一组里包含有系统树、检测到的系统、标记目录3大项:
✧第一项系统树是以单元的形式组织托管系统,以便完成监控、分配策略、计划任务和采取操作,配置项较多;
✧第二项检测到的系统是显示已经匹配的系统统计信息;
✧第三项标记目录可设定用于ePO系统自动标记检测到的系统斌进行分组,可新建和修改,主要是依据检测到的系统基本信息进行分类;
**在这里主要操作第一项**
2.3.5.1手动创建组
点击“菜单”|“系统”|“系统树”|,在系统树里,选择需要建立子组的地方,点击“系统树操作”|“新建子组”,键入所需的名称,然后单击“确定”。
新建组会出现在系统树中。
***规划系统树时的考虑事项***
✧构建一个有效而完备的系统树可以简化维护。
在每个环境中,有关管理、网络和职责的许多实际情况都会影响系统树的组织结构方式。
在建立和填充系统树的组织结构之前,请先对其进行规划。
特别是大型网络,您想一次完成系统树的构建时,就更应进行规划。
✧因为每个网络都是不同的,并且要求使用不同的策略(以及可能采用不同的管理),所以建议您在实现ePO软件之前,首先规划系统树。
✧无论您选择哪些方法创建和填充系统树,在规划系统树时您都需要考虑所处的环境。
2.3.5.2AD域同步
✧使用此任务可以通过将AD来源容器映射到系统树组,将系统从网络的AD容器直接导入系统树。
与以前的版本不同,您现在可以:
✧同步系统树结构与AD结构,这样在AD中添加或删除容器时,也会在系统树中添加或删除相应的组。
✧在从AD中删除系统后,也从系统树中删除系统。
✧在系统存在于其他组中时,防止系统树中出现重复的系统条目。
Ø单击“菜单”|“系统”|“系统树”|“组详细信息”,然后在系统树中选择所需的组。
该组应为要将AD容器映射到的组。
附注:
您不能同步系统树的“不明来源”组。
Ø在“同步类型”旁,单击“编辑”。
此时会出现选定组的“同步设置”页。
Ø在“同步类型”旁,选择“ActiveDirectory”。
此时会显示ActiveDirectory同步选项。
Ø选择要在此组和所需ActiveDirectory容器(及其子容器)之间进行的ActiveDirectory同步的类型。
✓系统和容器结构-如果希望此组完全反映AD结构,请选择此选项。
同步后,会修改此组下的系统树结构,以反映它所映射到的AD容器的结构。
在AD中添加或删除容器时,也会在系统树中添加或删除容器。
从AD中添加、移动或删除系统时,也会在系统树中添加、移动或删除系统。
✓仅限系统-如果您只希望用ActiveDirectory容器(和非排除的子容器)中的系统填充此组本身,则选择此选项。
在镜像AD时不会创建子组。
Ø选择是否为已存在于系统树中其他组的系统创建重复的系统条目。
提示:
建议不要选择此选项,特别是如果您仅将ActiveDirectory同步作为安全管理的起始点,并使用系统树管理功能(如标记分类)在映射点下进一步进行组织细分时,就更是如此。
Ø在“ActiveDirectory域”中,可以:
✓键入ActiveDirectory域的完全限定域名。
✓从已注册LDAP服务器的列表中选择所需的服务器。
Ø在“容器”旁,单击“浏览”,并在“选择ActiveDirectory容器”对话框中选择来源容器,然后单击“确定”。
Ø要排除特定的子容器,请单击“排除项”旁的“添加”,选择要排除的子容器,然后单击“确定”。
Ø选择是否将代理自动部署到新系统。
如果部署,请务必配置部署设置。
提示:
如果容器很大,建议您在初始导入过程中不要部署代理。
将3.62MB的代理包同时部署到多个系统时可能会产生网络通讯问题。
因而,应先导入容器,然后逐次将代理部署到几个系统组中,而不是同时进行部署。
在最初的代理部署后,请考虑重新访问此页并选择此选项,以便代理会自动安装到已添加到ActiveDirectory的新系统上。
Ø选择是否在从ActiveDirectory域中删除系统时,还从系统树中删除系统。
(可选)选择是否删除已删除系统中的代理。
Ø若要立即将组与ActiveDirectory同步,请单击“立即同步”。
单击“立即同步”会在同步组前将任何更改保存到同步设置。
如果已启用ActiveDirectory同步通知规则,则会为所添加或删除的每个系统生成一个事件(这些事件出现在审核日志中,而且是可查询的)。
如果将代理部署到已添加的系统,则会开始对每个添加的系统进行部署。
同步完成后,系统会更新“上次同步”时间,显示同步完成的时间和日期,但不显示完成任何代理部署的时间。
附注:
或者,您可以为首次同步计划一个NT域/ActiveDirectory同步服务器任务。
如果您要在首次同步时将代理部署到新系统,而带宽是主要考虑因素时,此方法很有用。
Ø同步完成后,查看系统树的结果。
导入系统后,将代理分发到这些系统(如果您没有选择自动分发代理)。
同时,请考虑设置一个可重复执行的NT域/ActiveDirectory同步服务器任务,以确保系统树保持为最新,始终具有ActiveDirectory容器中的所有新系统或组织更改。
2.3.5.3NT域同步
Ø单击“菜单”|“系统”|“系统树”|“组详细信息”,然后在系统树中选择或创建一个组。
Ø在“同步类型”旁,单击“编辑”。
此时会出现选定组的“同步设置”页。
Ø在“同步类型”旁,选择“NT域”。
此时会显示域同步设置。
Ø在“位于系统树中其他位置的系统”旁,选择如何处理在同步过程中要添加,但已存在于系统树中其他组中的系统。
附注:
建议不要选择“将系统添加到同步组并将其放置在当前的系统树位置”,特别是如果您仅将NT域同步作为安全管理的开始点,并使用其他系统树管理功能(如标记分类)在映射点下进一步进行组织细分时,就更是如此。
Ø在“域”旁,单击“浏览”,然后选择要将映射到此组的NT域,然后单击“确定”。
或者,您可以直接在文本框中键入域的名称。
附注:
键入域名时,请不要使用完全限定域名。
Ø选择是否将代理自动部署到新系统。
如果部署,请务必配置部署设置。
提示:
如果域很大,建议您在最初导入NT域时不要部署代理。
将3.62MB的代理包同时部署到多个系统时可能会产生网络通讯问题。
因而,应先导入域,然后逐次将代理部署到几个较小的系统组中,而不是同时进行部署。
但是,在代理部署完成后,请在最初部署代理后考虑重新访问此页并选择此选项,以便代理会自动安装到通过域同步添加到组(或其子组)的任何新系统。
Ø选择是否在NT域中删除系统时,还从系统树中删除系统。
可以选择删除已删除系统中的代理。
Ø若要立即同步组与域,请单击“立即同步”,然后等待直到域中的系统添加到组中。
附注:
单击“立即同步”会在同步组前保存同步设置的更改。
如果已启用NT域同步通知规则,则会为添加或删除的每个系统生成事件。
(这些事件出现在审核日志中,而且是可查询的。
)如果选择将代理部署到已添加的系统,则会开始对每个添加的系统进行部署。
同步完成后,会更新“上次同步”时间。
此时间和日期是同步完成的时间和日期,而不是完成代理部署的时间和日期。
Ø如果要手动同步组与域,请单击“比较和更新”。
此时会出现“手动比较和更新”页。
附注:
单击“比较和更新”会将所有更改保存到同步设置。
✓如果要通过此页从组中删除任何系统,请选择是否在删除系统时还删除代理。
✓根据需要,选择要添加到该组或从该组中删除的系统,然后单击“更新组”以添加选定的系统。
此时会出现“同步设置”页。
Ø单击“保存”,然后查看系统树中的结果(如果已单击“立即同步”或“更新组”)。
在将系统添加到系统树后,将代理分发到这些系统(如果在同步时没有选择部署代理)。
同时,请考虑设置一个可重复执行的NT域/ActiveDirectory同步服务器任务,以确保此组保持为最新,始终具有NT域中的所有新系统。
2.3.5.4同步系统树
Ø自动同步
✓单击“菜单”|“自动”|“服务器任务”,然后单击“操作”|“新建任务”。
此时会打开“服务器任务生成器”;
✓在“描述”页上,对任务命名,选择在创建任务后是否启用该任务,然后单击“下一步”。
此时会出现“操作”页;
✓从下拉列表中,选择“ActiveDirectory同步/NT域”;
✓选择是同步所有组还是同步选定的组。
如果您只同步某些已同步的组,则单击“选择同步组”,然后选择特定的组;
✓单击“下一步”。
此时会出现“计划”页;
✓安排该任务,然后单击“下一步”。
此时会出现“摘要”页;
✓查看任务详细信息,然后单击“保存”;
附注:
除在计划的时间运行的任务外,您还可以通过单击“服务器任务”页上任务旁的“运行”来立即运行此任务。
Ø手动同步
✓单击“菜单”|“系统”|“系统树”|“组详细信息”,然后选择映射到NT域的组;
✓在“同步类型”旁,单击“编辑”。
此时会出现“同步设置”页;
✓在接近页的底部,单击“比较和更新”。
此时会出现“手动比较和更新”页;
✓如果从组中删除系统,则选择是否从已删除的系统中删除代理;
✓单击“全部添加”或“添加”,以将系统从网络域导入选定的组;
单击“全部删除”或“删除”,从选定的组中删除系统;
✓完成后,单击“更新组”;
2.3.6部署管理代理
2.3.6.1AD域环境
Ø单击“菜单”|“系统”|“系统树”。
Ø选择目标系统或组。
Ø单击“操作”,从弹出菜单中选择“代理”,然后从子菜单中选择“部署代理”。
此时会出现“部署McAfeeAgent”页。
Ø选择要部署的代理的版本。
Ø根据需要,选择以下安装选项:
✓仅限在尚未安装由此ePO服务器管理的代理的系统上安装
✓强制在现有版本上安装(不推荐)
Ø定义代理的安装路径:
从下拉菜单中选择一个前缀,然后接受所出现的文件夹名称或者键入一个新名称。
Ø在“域”、“用户名”和“密码”字段中键入有效的凭据。
Ø单击“确定”。
2.3.6.2工作组(非域环境)
附注:
在非域的工作组环境下,是无法通过ePO来推送客户端代理的安装,必需通过手动的方式进行代理安装
Ø打开Mcafee服务器的文件夹,找到代理安装包:
“C:
\ProgramFiles\McAfee\ePolicyOrchestrator\DB\Software\Current\EPOAGENT3000\Install\0409\FramePkg.exe”
Ø将代理安装包分发到目标系统(此项有多种实现方式,可拷贝,可用第三方部署,可提供网页下载然后自行安装……);
Ø双击FramePkg.exe,稍等片刻,等待代理安装完毕。
在十分钟内,代理会首次连接到ePO服务器。
Ø如有必要,请使用以下命令强制代理连接,不必再等待十分钟:
CMDAGENT/p(注:
此命令默认在C:
\ProgramFiles\McAfee\CommonFramework里)
附注:
✓在安装代理后,它会在十分钟内以随机时间间隔连接到服务器。
在此之后,代理会以每个代理与服务器通信时间间隔(ASCI)连接到服务器。
默认情况下,代理与服务器每60分钟进行一次通信。
✓如果系统任务栏图标尚未启用,则可以在命令提示符处访问状态监视器。
在工作目录McAfeeCommonFramework文件夹(C:
\ProgramFiles\McAfee\CommonFramework)下键入以下命令:
CmdAgent.exe/s
✓强制代理连接,不必再等待十分钟CMDAGENT/p
2.3.6.3唤醒代理
在客户端安装了代理包之后,如果在系统树里,所在的组里的系统的托管状态为非托管,可使用唤醒代理来完成操作。
Ø单击“菜单”|“系统”|“系统树”。
Ø单击“组详细信息”,然后从“系统树”中选择目标组。
Ø从“操作”下拉菜单中,选择“唤醒代理”。
此时会出现“唤醒McAfeeAgent”页。
Ø确认该组显示在“目标组”旁。
Ø选择是将代理唤醒呼叫发送到“此组中的所有系统”还是“此组和子组中的所有系统”。
Ø在“类型”旁,选择是发送“代理唤醒呼叫”还是“SuperAgent唤醒呼叫”。
Ø接受默认的“随机选择”值(0-60分钟),或者键入另一个值。
如果输入0,则代理会立即唤醒。
Ø在常规通信过程,代理仅发送由单点产品指定为重要属性的属性。
默认情况下,此任务设置为“获取完整的产品属性”。
要在此唤醒呼叫后发送全部属性,必须选择此选项。
Ø单击“确定”以发送代理唤醒呼叫或SuperAgent唤醒呼叫。
2.3.6.4系统任务栏图标
Ø单击“菜单”|“系统”|“系统树”|“分配的策略”|“<产品=McAfeeAgent>”。
Ø单击一个策略,例如“McAfeeDefault”。
此时会在McAfeeAgent中打开选定策略的“常规”选项卡。
Ø选择“显示McAfee系统任务栏图标(仅限Windows)”。
还可以选择“允许最终用户从McAfee系统任务栏菜单运行更新安全”。
如果该选项处于选中状态,则运行McAfeeAgent4.5的用户可以从McAfee系统任务栏图标中选择“更新安全”来更新在存储库中具有更新包的所有产品。
Ø在完成对默认配置的更改之后,单击“保存”。
2.3.7策略配置
在完成一系列的服务器设置之后,接下来就需要进行相关的策略设定,之所以将策略设定提前到产品部署之前,因为在产品部署之后,产品即会继承策略,此方法会节省时间,并可以尽快保护系统。
2.3.7.1策略的编辑与维护
Ø通过“菜单”|“策略”|“策略目录”,此处是集中策略的显示,可选择相应产品和类别,进行批量的策略设定;
Ø通过“菜单”|“系统”|“系统树”|“系统”,对某个系统组或某个单一的系统分配策略;
2.3.7.2创建新策略
Ø“菜单”|“策略”|“策略目录”
Ø选择“产品”,点击“操作”|“新建策略”,选择类别和基于的策略,输入策略名称,确定;
Ø在列表中,在操作栏,点击新建这条策略的编辑设置,进行相应的策略编辑;
2.3.7.3应用策略
Ø将策略分配到系统树的组
升级会员 