Mcafee
企
业
版
配置手册(for EPO4.5)
目录
1. 软件部署 .....................................................................................................................................................................2 1.1
安装后任务 ..........................................................................................................................................................2
2. 软件配置 .....................................................................................................................................................................2 2.1 2.2 2.3
登录控制台 ..........................................................................................................................................................2 界面定制 ..............................................................................................................................................................4 配置ePO4.5 .........................................................................................................................................................5
过程概述 ......................................................................................................................................................6 用户管理 ......................................................................................................................................................7 服务器及相关参数配置 ..............................................................................................................................8 创建存储库 ............................................................................................................................................... 12 添加系统到系统树 ................................................................................................................................... 23 部署管理代理 ........................................................................................................................................... 33 策略配置 ................................................................................................................................................... 39 部署产品和软件 ....................................................................................................................................... 47
2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 2.3.8
承接《Mcafee企业版部署手册》
1. 软件部署
1.1 安装后任务
✓ 计划ePolicy Orchestrator 系统树和更新方案。 ✓ 创建ePolicy Orchestrator 系统树。
✓ 将 McAfee Agent 分发到要通过ePolicy Orchestrator 管理的系统。 ✓ 创建更新存储库。
✓ 将那些要由ePolicy Orchestrator 管理的产品签入存储库。然后配置这些产品的策略设置。
✓ 将产品部署到托管计算机。
✓ 配置ePolicy Orchestrator 的高级功能。
2. 软件配置
2.1 登录控制台
➢ 可选择在服务端点击桌面的图标登录
➢ 通过远程登录:在浏览器(IE或之上的版本、Firefox3.0以上版本)中输入:
https://xxx.xxx.xxx.xxx:8443(IP为可访问IP,端口为安装时配置的端口)
输入用户名和密码后:
2.2 界面定制
➢ 菜单栏
“菜单”是4.5 版ePolicy Orchestrator 软件中的新增功能。“菜单”使用类别来对各种ePO特性和功能进行比较。每个类别都包含与一个唯一图标相关联的主要功能页列表。可通过菜单选项选择自己需要的功能区域进行配置。
➢ 导航栏
在ePolicy Orchestrator 4.5 中,可以自定义导航栏。可以通过将任何菜单项拖入或拖出导航栏来确定导航栏上显示的图标。在导航到菜单中的某个页面或者单击导航栏中的某个图标时,该页的名称将显示在“菜单”旁的蓝框中。在屏幕分辨率为1024x768 的系统上,导航栏可以显示六个图标。如果将六个以上的图标放在导航栏上,则会在导航栏的右侧创建一个溢出菜单。单击“>”可访问未显示在导航栏中的菜单项。而在4.0 版的界面中,导航栏由一组固定的区段图标组成,这些图标按类别对功能进行组织。
导航栏中显示的图标将作为用户首选项进行存储,因此,无论每个用户登录到哪个控制台,都会显示该用户的自定义导航栏。
2.3 配置ePO4.5
2.3.1 过程概述
A. 配置ePO服务器
✓ 设置用户帐户(“菜单”|“用户管理”|“用户”)
✓ 分配权限集(“菜单”|“用户管理”|“权限集”)
✓ 配置ePO服务器设置(“菜单”|“配置”|“服务器设置”)
B. 创建存储库
✓ 主存储库(“菜单”|“软件”|“主存储库”)
✓ 分布式存储库(“菜单”|“软件”|“分布式存储库”)
C. 将系统添加到系统树(“菜单”|“系统”|“系统树”)
D. 将代理分发给系统(“菜单”|“系统”|“系统树”)
E. 配置策略和客户端任务
✓ 策略(“菜单”|“策略”|“策略目录”→“产品”→“操作”|“新建策略”)
✓ 客户端任务(“菜单”|“系统”|“系统树”|“客户端任务”→“操作”|“新建任务”)
F. 部署产品和软件(菜单”|“系统”|“系统树”|“客户端任务”)
2.3.2 用户管理
***一般可省略此步骤,在需要进行权限细分或用户密码修改才需要配置*** 用户帐户是向用户提供访问和使用软件的方法。用户帐户与权限集关联,权限集定义允许用户对软件执行的操作。
用户管理通过(“菜单”|“用户管理”|“**”)进行访问,这一组里面包有用户、权限集、审核日志、联系人四项。
✓ 第一项用户可对用户的删减和编辑;
✓ 第二项权限集是自定义和编辑不同的权限分组,可在用户里面进行相应的应用;
✓ 第三项审核日志记录了对用户操作的一些日志;
✓ 第四项联系人用于联系人管理,主要用于添加含有电子邮件地址的联系人,为发送系统警报之类的邮件提供准备;
您必须创建用户帐户和权限集才能满足登录到ePO服务器的每个用户的要求。可以为各个用户创建帐户,也可以创建一个映射到Active Directory/NT 服务器中用户或组的权限集。
用户有两种类型:全局管理员和具有有限权限的用户。
此单元的功能相对简单,在此文中不做累述,上手较为容易;
2.3.3 服务器及相关参数配置
在对用户进行基本配置后,就需要对服务器及一些基本的参数进行配置,界面如:
配置在菜单的最后一项,里面包含有服务器设置、个人设置、已注册的服务器、代理处理程序、已注册的可执行文件五项内容。在此需要对几处进行简单的设置,如下:
2.3.3.1 服务器设置
选择“菜单”|“配置”|“服务器设置”,可进行对服务器的相关设置,其中
➢ 打印和导出为从ePO中对各种报告进行打印或者导出相关文档的页面设置,此处可以设定为本公司的相关LOGO;
➢ 电子邮件服务器配置用来发送电子邮件的电子邮件服务器,当需要将日常报告通过电子邮件的形式发送的,可进行配置;
➢ 许可密钥,如在安装时选择的是评估版本,可在此处将获得的正版密钥输入即可;
➢ 事件过滤可配置哪些事件转发到服务器。此选择会影响环境中使用的带宽,以及基于事件的查询的结果(当在查询报告中发现很多不需要的内容,可点开威胁事件日志的详细信息,记录下事件ID,在此选项中,把勾去掉即可);
★★★★★
建议取消ID为1059的扫描超时事件(此事件多半为加密文档内容,会定期产生大量的重复威胁事件,影响用户对病毒数量的判断)
2.3.3.2 其它配置项介绍 详情请点击下面的图标
配置项介绍
2.3.4 创建存储库
将需要用的软件以及相应的更新统一到ePO系统,便于分发到各客户端。
2.3.4.1 安装代理扩展
在此处需要代理扩展包EPOAGENTMETA.zip、MA450P1Win.zip两个最新的包,方法如下:
➢ 从官网下载这两个补丁到服务器ePO上;
➢ 安装代理扩展:
✓ 单击“菜单”|“软件”|“扩展”。此时会打开“扩展”页。
✓ 单击“安装扩展”
✓ 浏览到包含ePOAgentMeta.zip 的位置,选择该位置,然后单击“确定”。此时会出现“安装扩展摘要”页。
✓ 单击“确定”完成该扩展的安装。
➢ 将代理包签入ePolicy Orchestrator 存储库。
附注:如果是在运行Common Management Agent 3.6 的计算机上安装,则必须将该包签入“当前”存储库分支。 ✓ 在ePolicy Orchestrator 中,单击“菜单”| “软件”|“主资料库”。
✓ 单击“签入包”,选择产品或更新
✓ 浏览到“MA450Win.zip”,选择它,然后单击“下一步”。
✓ 如果“允许将包签入任何存储库分支”已被启用,请将该包放在任何分支中。要启用此功能,请单击“菜单”|“配置”|“服务器设置”,然后从“设置类别”列表中选择“存储库包”。单击“编辑”从“否”切换到“是”。
✓ 单击“保存”。
2.3.4.2 部署VSE8.7及其补丁
方法同上面的签入包,至今有3个补丁,分别为如下,请从官网下载,按顺序签入
安装结束以后,在主资料库界面会出现如下内容:
**包的顺序和依赖性**
如果一个产品更新依赖于另一个产品更新,则必须按照所要求的顺序将更新包签入主存储库中。例如,如果修补程序2 需要修补程序1,则必须先签入修补程序1,再签入修补程序2。包在签入后无法重新排序。您必须先删除它们,然后按正确的顺序再次签入。如果签入的包会替代现有包,则现有包会被自动删除。 2.3.4.3 更新ePO的病毒库及相关软件 首次部署产品时:
✓ 配置纳入和复制任务。
✓ 将产品和更新包签入主存储库。
✓ 配置部署和更新任务。
在此部分,有两种方式从Mcafee的官网进行更新,一种是计划纳入,一种是立即纳入。
➢ 立即纳入:
在第一次部署系统时,应选择“立即纳入“,将最新的病毒库和引擎及相关软件纳入主资料库。
✓ 单击“菜单”|“软件”|“主资料库”。
✓ 点击“立即纳入”
✓ 如果客户端都是windows的系统,在包选项中选择“选定的包”,选择项如下:
✓ 点击“开始纳入”,在过一阵之后,所有的包均纳入到主资料库
➢ 计划纳入:
DAT 和引擎文件都必须经常更新。McAfee 每天都会发布最新的DAT 文件,而引擎
文件的发布频率较低。这些包应尽快部署到托管系统,以便为它们提供最新威胁防护。
计划的存储库纳入服务器任务将在您指定的时间和日期定期自动运行。例如,您可以计划在每个星期四上午5:00 运行“存储库纳入”任务。
✓ 单击“菜单”|“软件”|“主资料库”;
✓ 点击“计划纳入”,输入计划的名称;
✓ 选择资料库纳入,在包类型中选择“选定的包”
✓ 选择需要计划纳入的包(本例选择DAT)
✓ 定义计划的时间
✓ 单击保存,服务器将在设定的时间从Mcafee官网下载相应的更新包
**计划纳入任务时的注意事项**
带宽和网络使用率- 如果您使用的是全局更新,则建议将纳入任务安排在其他资源
的带宽使
用率很低的情况下运行。利用全局更新,更新文件会在纳入任务完成之后自动分发。
任务的频率- 虽然每天都发布DAT 文件,但是您可能不想每天都使用资源进行更新。
复制和更新任务- 计划复制任务和客户端更新任务,以确保在整个环境中分发更新文件。
2.3.5 添加系统到系统树
在对ePO进行基本的配置后,需要将ePO和我们需要部署的终端进行联动,首先,我需要需要将我们的网络环境添加到ePO中,以便后续的客户端部署,策略分发等应用的开展。
在系统这一组里包含有系统树、检测到的系统、标记目录3大项:
第一项系统树是以单元的形式组织托管系统,以便完成监控、分配策略、计划任务和采取操作,配置项较多;
第二项检测到的系统是显示已经匹配的系统统计信息;
第三项标记目录可设定用于ePO系统自动标记检测到的系统斌进行分组,可新建和修改,主要是依据检测到的系统基本信息进行分类;
**在这里主要操作第一项**
2.3.5.1 手动创建组
点击“菜单”|“系统”|“系统树”|,在系统树里,选择需要建立子组的地方,点击“系统树操作”|“新建子组”,键入所需的名称,然后单击“确定”。新建组会出现在系统树中。
***规划系统树时的考虑事项***
构建一个有效而完备的系统树可以简化维护。在每个环境中,有关管理、网络和职责的许多实际情况都会影响系统树的组织结构方式。在建立和填充系统树的组织结构之前,请先对其进行规划。特别是大型网络,您想一次完成系统树的构建时,就更应进行规划。
因为每个网络都是不同的,并且要求使用不同的策略(以及可能采用不同的管理),所以建议您在实现ePO软件之前,首先规划系统树。
无论您选择哪些方法创建和填充系统树,在规划系统树时您都需要考虑所处的环境。
2.3.5.2 AD域同步
使用此任务可以通过将AD来源容器映射到系统树组,将系统从网络的AD容器直接导入系统树。与以前的版本不同,您现在可以:
同步系统树结构与AD结构,这样在AD中添加或删除容器时,也会在系统树中添加或删除相应的组。
在从AD中删除系统后,也从系统树中删除系统。
在系统存在于其他组中时,防止系统树中出现重复的系统条目。
➢ 单击“菜单”|“系统”|“系统树”|“组详细信息”,然后在系统树中选择所需的组。该组应为要将AD 容器映射到的组。
附注:您不能同步系统树的“不明来源”组。
➢ 在“同步类型”旁,单击“编辑”。此时会出现选定组的“同步设置”页。
➢ 在“同步类型”旁,选择“Active Directory”。此时会显示Active Directory 同步选项。
➢ 选择要在此组和所需Active Directory 容器(及其子容器)之间进行的Active Directory 同步的类型。
✓ 系统和容器结构- 如果希望此组完全反映AD结构,请选择此选项。同步后,会修改此组下的系统树结构,以反映它所映射到的AD容器的结构。在AD中添加或删除容器时,也会在系统树中添加或删除容器。从AD中添加、移动或删除系统时,也会在系统树中添加、移动或删除系统。
✓ 仅限系统- 如果您只希望用Active Directory 容器(和非排除的子容器)中的系统
填充此组本身,则选择此选项。在镜像AD时不会创建子组。
➢ 选择是否为已存在于系统树中其他组的系统创建重复的系统条目。
提示:建议不要选择此选项,特别是如果您仅将Active Directory 同步作为安全管理的起始点,并使用系统 树管理功能(如标记分类)在映射点下进一步进行组织细分时,就更是如此。
➢ 在“Active Directory 域”中,可以:
✓ 键入Active Directory 域的完全限定域名。
✓ 从已注册LDAP 服务器的列表中选择所需的服务器。
➢ 在“容器”旁,单击“浏览”,并在“选择Active Directory 容器”对话框中选择来源容器,然后单击“确定”。
➢ 要排除特定的子容器,请单击“排除项”旁的“添加”,选择要排除的子容器,然后单击“确定”。
➢ 选择是否将代理自动部署到新系统。如果部署,请务必配置部署设置。
提示:如果容器很大,建议您在初始导入过程中不要部署代理。将3.62 MB 的代理包同时部署到多个系统 时可能会产生网络通讯问题。因而,应先导入容器,然后逐次将代理部署到几个系统组中,而不是同时进 行部署。在最初的代理部署后,请考虑重新访问此页并选择此选项,以便代理会自动安装到已添加到
Active Directory 的新系统上。
➢ 选择是否在从Active Directory 域中删除系统时,还从系统树中删除系统。(可选)选择是否删除已删除系统中的代理。
➢ 若要立即将组与Active Directory 同步,请单击“立即同步”。
单击“立即同步”会在同步组前将任何更改保存到同步设置。如果已启用Active Directory
同步通知规则,则会为所添加或删除的每个系统生成一个事件(这些事件出
现在审核日志 中,而且是可查询的)。如果将代理部署到已添加的系统,则会开始对每个添加的系统进行 部署。同步完成后,系统会更新“上次同步”时间,显示同步完成的时间和日期,但不显
示完成任何代理部署的时间。
附注:或者,您可以为首次同步计划一个NT 域/Active Directory 同步服务器任务。如果您要在首次同步时将代理部署到新系统,而带宽是主要考虑因素时,此方法很有用。
➢ 同步完成后,查看系统树的结果。
导入系统后,将代理分发到这些系统(如果您没有选择自动分发代理)。同时,请考虑设置一个可重复执行的NT 域/Active Directory 同步服务器任务,以确保系统树保持为最新,始终具有Active Directory 容器中的所有新系统或组织更改。
2.3.5.3 NT域同步
➢ 单击“菜单”|“系统”|“系统树”|“组详细信息”,然后在系统树中选择或创建一个组。
➢ 在“同步类型”旁,单击“编辑”。此时会出现选定组的“同步设置”页。
➢ 在“同步类型”旁,选择“NT 域”。此时会显示域同步设置。
➢ 在“位于系统树中其他位置的系统”旁,选择如何处理在同步过程中要添加,但已存在于系统树中其他组中的系统。
附注:建议不要选择“将系统添加到同步组并将其放置在当前的系统树位置”,特
别是如果您仅将NT 域同步作为安全管理的开始点,并使用其他系统树管理功能(如
标记分 类)在映射点下进一步进行组织细分时,就更是如此。
➢ 在“域”旁,单击“浏览”,然后选择要将映射到此组的NT 域,然后单击“确定”。或者,您可以直接在文本框中键入域的名称。
附注:键入域名时,请不要使用完全限定域名。
➢ 选择是否将代理自动部署到新系统。如果部署,请务必配置部署设置。
提示:如果域很大,建议您在最初导入NT 域时不要部署代理。将3.62 MB 的代理包同时部署到多个系统时可能会产生网络通讯问题。因而,应先导入域,然后逐次将代理部署到几个较小的系统组中,而不是同时进行部署。但是,在代理部署完成后,请在最初部署代理后考虑重新访问此页并选择此选项,以便代理会自动安装到通过域同步添加到组(或其子组)的任何新系统。
➢ 选择是否在NT 域中删除系统时,还从系统树中删除系统。可以选择删除已删除系统中的代理。
➢ 若要立即同步组与域,请单击“立即同步”,然后等待直到域中的系统添加到组中。
附注:单击“立即同步”会在同步组前保存同步设置的更改。如果已启用NT 域同步通知规则,则会为添加或删除的每个系统生成事件。(这些事件出现在审核日志中,而且是可查询的。)如果选择将代理部署到已添加的系统,则会开始对每个添加的系统进行部署。同步完成后,会更新“上次同步”时间。此时间和日期是同步完成的时间和日期,而不是完成代理部署的时间和日期。
➢ 如果要手动同步组与域,请单击“比较和更新”。此时会出现“手动比较和更新”页。
附注:单击“比较和更新”会将所有更改保存到同步设置。
✓ 如果要通过此页从组中删除任何系统,请选择是否在删除系统时还删除代理。
✓ 根据需要,选择要添加到该组或从该组中删除的系统,然后单击“更新组”以添加选定的系统。此时会出现“同步设置”页。
➢ 单击“保存”,然后查看系统树中的结果(如果已单击“立即同步”或“更新组”)。
在将系统添加到系统树后,将代理分发到这些系统(如果在同步时没有选择部署代理)。同时,请考虑设置一个可重复执行的NT 域/Active Directory 同步服务器任务,以确保此组保持为最新,始终具有NT 域中的所有新系统。
2.3.5.4 同步系统树 ➢ 自动同步
✓ 单击“菜单”|“自动”|“服务器任务”,然后单击“操作”|“新建任务”。此时会打开“服务器任务生成器”;
✓ 在“描述”页上,对任务命名,选择在创建任务后是否启用该任务,然后单击“下一步”。此时会出现“操作”页;
✓ 从下拉列表中,选择“Active Directory 同步/NT 域”;
✓ 选择是同步所有组还是同步选定的组。如果您只同步某些已同步的组,则单击“选择同步组”,然后选择特定的组;
✓ 单击“下一步”。此时会出现“计划”页;
✓ 安排该任务,然后单击“下一步”。此时会出现“摘要”页;
✓ 查看任务详细信息,然后单击“保存”;
附注:除在计划的时间运行的任务外,您还可以通过单击“服务器任务”页上任务旁的“运行”来立即运行此任务。
➢ 手动同步
✓ 单击“菜单”|“系统”|“系统树”|“组详细信息”,然后选择映射到NT 域的组;
✓ 在“同步类型”旁,单击“编辑”。此时会出现“同步设置”页;
✓ 在接近页的底部,单击“比较和更新”。此时会出现“手动比较和更新”页;
✓ 如果从组中删除系统,则选择是否从已删除的系统中删除代理;
✓ 单击“全部添加”或“添加”,以将系统从网络域导入选定的组;
单击“全部删除”或“删除”,从选定的组中删除系统;
✓ 完成后,单击“更新组”;
2.3.6 部署管理代理
2.3.6.1 AD域环境
➢ 单击“菜单”|“系统”|“系统树”。
➢ 选择目标系统或组。
➢ 单击“操作”,从弹出菜单中选择“代理”,然后从子菜单中选择“部署代理”。此时会出现“部署McAfee Agent”页。
➢ 选择要部署的代理的版本。
➢ 根据需要,选择以下安装选项:
✓ 仅限在尚未安装由此ePO服务器管理的代理的系统上安装
✓ 强制在现有版本上安装(不推荐)
➢ 定义代理的安装路径:从下拉菜单中选择一个前缀,然后接受所出现的文件夹名称或者键入一个新名称。
➢ 在“域”、“用户名”和“密码”字段中键入有效的凭据。
➢ 单击“确定”。
2.3.6.2 工作组(非域环境)
附注:在非域的工作组环境下,是无法通过ePO来推送客户端代理的安装,必需通过手动的方式进行代理安装
➢ 打开Mcafee服务器的文件夹,找到代理安装包:
“C:\\ProgramFiles\\McAfee\\ePolicyOrchestrator\\DB\\Software\\Current\\EPOAGENT3000\\Install\\0409\\FramePkg.exe”
➢ 将代理安装包分发到目标系统(此项有多种实现方式,可拷贝,可用第三方部署,可提供网页下载然后自行安装……);
➢ 双击FramePkg.exe,稍等片刻,等待代理安装完毕。在十分钟内,代理会首次连接到ePO服务器。
➢ 如有必要,请使用以下命令强制代理连接,不必再等待十分钟:
CMDAGENT /p(注:此命令默认在C:\\Program Files\\McAfee\\Common Framework里)
附注:
✓ 在安装代理后,它会在十分钟内以随机时间间隔连接到服务器。在此之后,代理会以每个代理与服务器通信时间间隔(ASCI) 连接到服务器。默认情况下,代理与服务器每60 分钟进行一次通信。
✓ 如果系统任务栏图标尚未启用,则可以在命令提示符处访问状态监视器。在工作目录McAfee Common Framework 文件夹(C:\\Program Files\\McAfee\\Common Framework)下键入以下命令:
CmdAgent.exe /s
✓ 强制代理连接,不必再等待十分钟CMDAGENT /p
2.3.6.3 唤醒代理
在客户端安装了代理包之后,如果在系统树里,所在的组里的系统的托管状态为非托管,可使用唤醒代理来完成操作。
➢ 单击“菜单”|“系统”|“系统树”。
➢ 单击“组详细信息”,然后从“系统树”中选择目标组。
➢ 从“操作”下拉菜单中,选择“唤醒代理”。此时会出现“唤醒McAfee Agent”页。
➢ 确认该组显示在“目标组”旁。
➢ 选择是将代理唤醒呼叫发送到“此组中的所有系统”还是“此组和子组中的所有系统”。
➢ 在“类型”旁,选择是发送“代理唤醒呼叫”还是“SuperAgent唤醒呼叫”。
➢ 接受默认的“随机选择”值(0 - 60 分钟),或者键入另一个值。如果输入0,则代理会立即唤醒。
➢ 在常规通信过程,代理仅发送由单点产品指定为重要属性的属性。默认情况下,此任务设置为“获取完整的产品属性”。要在此唤醒呼叫后发送全部属性,必须选择此选项。
➢ 单击“确定”以发送代理唤醒呼叫或SuperAgent唤醒呼叫。
2.3.6.4 系统任务栏图标
➢ 单击“菜单”|“系统”|“系统树”|“分配的策略”|“<产品= McAfee Agent>”。
➢ 单击一个策略,例如“McAfee Default”。此时会在McAfee Agent 中打开选定策略的“常规”选项卡。
➢ 选择“显示McAfee 系统任务栏图标(仅限Windows)”。
还可以选择“允许最终用户从McAfee 系统任务栏菜单运行更新安全”。如果该选项处于选中状态,则运行McAfee Agent 4.5 的用户可以从McAfee 系统任务栏图标中选择“更新安全”来更新在存储库中具有更新包的所有产品。
➢ 在完成对默认配置的更改之后,单击“保存”。
2.3.7 策略配置
在完成一系列的服务器设置之后,接下来就需要进行相关的策略设定,之所以将策略设定提前到产品部署之前,因为在产品部署之后,产品即会继承策略,此方法会节省时间,并可以尽快保护系统。
2.3.7.1 策略的编辑与维护
➢ 通过“菜单”|“策略”|“策略目录”,此处是集中策略的显示,可选择相应产品和类别,进行批量的策略设定;
➢ 通过“菜单”|“系统”|“系统树”|“系统”,对某个系统组或某个单一的系统分配策略;
2.3.7.2 创建新策略
➢ “菜单”|“策略”|“策略目录”
➢ 选择“产品”,点击“操作”|“新建策略”,选择类别和基于的策略,输入策略名称,确定;
➢ 在列表中,在操作栏,点击新建这条策略的编辑设置,进行相应的策略编辑;
2.3.7.3 应用策略 ➢ 将策略分配到系统树的组
使用此任务可以将策略分配到系统树的特定组。您可以在部署产品前后分配策略。
✓ 单击“菜单”|“系统”|“系统树”|“分配的策略”,然后选择所需的“产品”。此时会在详细信息窗格中显示每个按类别分类的已分配策略。
✓ 找到所需的策略类别,然后单击“编辑分配”。此时会出现“策略分配”页。
✓ 如果策略被继承,请选择“继承自”旁的“中断继承并在下面分配策略和指定设置”。
✓ 从“分配的策略”下拉列表中选择所需的策略。
附注:您还可以在此位置编辑选定策略的设置,或创建新策略。
✓ 选择是否锁定策略继承。锁定策略继承会防止继承此策略的所有系统在其位置分配其他策略。
✓ 单击“保存”。
➢ 将策略分配到托管系统
使用此任务可以将策略分配到特定托管系统。您可以在部署产品前后分配策略。
✓ 单击“菜单”|“系统”|“系统树”|“系统”,然后在系统树下选择所需的组。此组内的所有系统(不包括子组)都会显示在详细信息窗格中。
✓ 选择所需的系统,然后单击“操作”|“代理”|“修改单个系统上的策略”。此时会出现该系统的“策略分配”页。
✓ 选择所需的“产品”。此时会列出选定产品的类别以及为该系统分配的策略。
✓ 找到所需的策略类别,然后单击“编辑分配”。
✓ 如果策略被继承,请选择“继承自”旁的“中断继承并在下面分配策略和指定设置”。
✓ 从“分配的策略”下拉列表中选择所需的策略。
附注:您还可以在此位置编辑选定策略的设置,或创建新策略。
✓ 选择是否锁定策略继承。锁定策略继承会防止继承此策略的所有系统在其位置分配
其他策略。
✓ 单击“保存”。
➢ 将策略分配到组内的多个托管系统
使用此任务可以将策略分配到组内的多个托管系统。您可以在部署产品前后分配策略。
✓ 单击“菜单”|“系统”|“系统树”|“系统”,然后在系统树中选择所需的组。此组内的所有系统(不包括子组)都会显示在详细信息窗格中。
✓ 选择所需的系统,然后单击“操作”|“代理”|“设置策略和继承”。此时会出现“分配策略”页。
✓ 从下拉列表中选择“产品”、“类别”和“策略”,然后单击“保存”。
***策略设置个人建议***
杀毒软件的设置有很多讲究,也有很多思路去做。比如我们可以通过删除winpacp的某个文件来实现防arp病毒攻击。或者禁止135-139,445 端口的通讯还有autorun.inf 的文件创建与执行,这样可以阻止下面的客户端通过共享方式来传播病毒和利用u 盘双击中毒的可能;
2.3.7.4 策略分配规则(未测试)
使用策略分配规则,可以创建特定于用户的策略分配。这些分配会在用户登录时在目
标系统上实施。代理会在托管系统上记录那些登录到网络的用户。您为每个用户创建的策略分配会被推送到该用户登录到的系统,而且会在每次代理与服务器通信时对其进行缓存。代理会应用已分配给每个用户的策略。
开始之前
要完成此任务,您必须满足以下条件:
•拥有一台已注册的LDAP 服务器(此设置在“菜单”|“配置”|“已注册的服务器”里);
•为已注册的LDAP 服务器设置Windows 授权(此设置在“菜单”|“配置”|“服务器设置”|“windows授权”里)
任务
➢ 单击“菜单”|“策略”|“策略分配规则”,然后单击“操作”|“新建分配规则”。此时会打开“策略分配生成器”向导的“详细信息”页。
➢ 为该策略分配规则指定一个唯一的“名称”和“描述”,然后单击“下一步”。此时会打开“选择标准”页。
附注:默认情况下,会根据现有规则的数量按顺序为新的策略分配规则分配优先级。可以通过单击“策略分配规则”页上的“编辑优先级”来编辑此规则和任何其他规则的优先级。
➢ 指定此规则的“系统属性”详细信息。可以将其他“可用属性”应用到此策略分配规则。可用属性包括:
✓ 组成员身份- 指定用户所分配到的组。
✓ 组织单元- 指定用户所属的组织单元(OU)。
✓ 用户- 指定此策略将分配到的唯一用户名。
➢ 单击“下一步”。此时会打开“分配的策略”页。单击“添加”选择要由该策略分配规则实施的策略。还可以在该页中“编辑”或“删除”所分配的策略。
➢ 查看摘要,然后单击“保存”。
2.3.8 部署产品和软件
2.3.8.1 创建客户端任务
使用此任务可以创建和计划客户端任务。所有客户端任务的过程都类似。此示例是将系统所用的产品部署到已安装好代理的系统中,windows下重点是部署VirusScan Enterprise到各终端,用于进行日常病毒检测与防御;
➢ 单击“菜单”|“系统”|“系统树”|“客户端任务”,在系统树中选择所需的组,然后单击“操作”|“新建任务”。此时会打开“客户端任务生成器”向导。
➢ 键入要创建任务的名称,添加注释,然后从下拉列表中选择产品任务类型,例如“产品部署”。
➢ 指定用于此任务的任何标记,然后单击“下一步”。
➢ 配置设置,然后单击“下一步”。
➢ 此时会出现“计划”页。
➢ 根据需要配置计划详细信息,然后单击“下一步”。
➢ 查看任务设置,然后单击“保存”。此任务会添加到选定组以及继承此任务的任何组
的客户端任务列表中;
***创建更新客户端任务时的注意事项***
在由所有系统继承的最高系统树层级上,创建一个每日客户端更新任务。如果您的组织是个大型组织,则可以使用随机时间间隔来化解带宽影响。另外,对于那些在不同时区均设有办事处的大型网络,按照托管系统的本地系统时间运行任务(而不是所有系统在相同时间运行)有助于平衡网络负载;
如果使用计划复制任务,请将该任务安排在计划复制任务至少一个小时后执行;
至少每天运行一次DAT 和引擎文件更新任务。托管系统有时会由于不在网络上而错过计划任务。经常运行该任务可以确保这些系统收到更新;
最大限度地提高带宽利用率,并计划多个客户端更新任务,在不同时段更新不同的
组件。例如,可以创建一个任务只更新DAT 文件,然后创建另一个更新任务每周或每月更新一次DAT和引擎文件(通常引擎包的发布频率较低);
对于不使用Windows 代理的产品,应该额外创建和计划一些更新任务;
创建任务来更新主工作站应用程序(如VirusScan Enterprise),以确保它们都能接收更新文件。安排该任务每天运行一次或运行多次;
2.3.8.2 全局更新
启用服务器上的全局更新,全局更新会自动将用户指定的更新包部署到托管系统上。
➢ 单击“菜单”|“配置”|“服务器设置”,选择“全局更新”,然后单击页面底部的“编辑”。
➢ 在“编辑全局更新”页上,选择“状态”旁的“启用”。
➢ 如果需要,请编辑“随机时间间隔”。默认值为“20 分钟”。
每个客户端的更新将在随机时间间隔的某个随机选定时间内执行,这有助于分散网络负载。例如,如果您使用20 分钟的默认随机时间间隔更新1000 台客户端,在此时间间隔每分钟大约更新50 台客户端,这样就可以降低网络和服务器上的负载。如果不使用随机时间,全部1000 台客户端将尝试同时更新。
➢ 在“包类型”旁,选择开始更新的包。
只有此处指定组件的新包签入主存储库或移到其他分支时,全局更新才会启动更新。所以要慎重选择这些组件。
附注:选择包类型将确定用来启动全局更新的内容(而不是在全局更新过程中更新的内容)。在全局更新过程中,代理会收到已更新包的列表。代理使用此列表仅安装所需的更新。例如,代理只更新自上次更新以来发生变化的包,而不更新任何尚未更改的包。
➢ 完成后,请单击“保存”。
启用全局更新之后,它会在您下次签入任何选定包或将其移到其他分支时启动更新。
附注:在准备开始自动更新时,请务必运行“立即纳入”任务,并计划重复的“存储库纳入”服务器任务。
2.3.8.3 定期更新托管系统
使用此任务可以创建和配置更新任务。如果不使用全局更新,McAfee 建议使用每日
更新客户端任务,确保系统具有最新的DAT 和引擎文件。
配置方法及步骤基本和软件部署一样,在此不做累述,从“菜单”|“系统”|“系统树”|“客户端任务”中新建任务,在类型一栏选择“更新“即可;
附注:任务会添加到应用到组和系统的客户端任务的列表中。代理将在下次与服务器通信时接收新的更新任务信息。如果启用了此任务,更新任务将在下一个计划的日期和时间运行。根据为该客户端代理配置策略的方式,每个系统将从相应的存储库进行更新。
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- yrrf.cn 版权所有 赣ICP备2024042794号-2
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务