Produktvejledning Udgave B Softwaren McAfee ePolicy Orchestrator 5.1.0 COPYRIGHT Copyright © 2014 McAfee, Inc. Må ikke kopieres uden tilladelse. VAREMÆRKER McAfee, McAfee-logoet, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure er varemærker eller registrerede varemærker tilhørende McAfee, Inc. eller McAfees datterselskaber i USA og andre lande. Andre navne og varemærker kan tilhøre andre ejere. Navne på produkter og funktioner kan ændres uden varsel. Du kan finde de nyeste produkter og funktioner på mcafee.com. LICENSOPLYSNINGER Licensaftale MEDDELELSE TIL ALLE BRUGERE: LÆS OMHYGGELIGT DEN JURIDISKE AFTALE, DER SVARER TIL DEN LICENS, DU HAR KØBT, DA DEN ANGIVER DE GENERELLE VILKÅR OG BETINGELSER FOR BRUGEN AF DEN SOFTWARE, DER ER GIVET LICENS TIL. HVIS DU IKKE ER BEKENDT MED, HVILKEN TYPE LICENS DU HAR ANSKAFFET, BEDES DU GENNEMGÅ SALGSDOKUMENTATIONEN OG DOKUMENTATION MED RELATION TIL LICENSTILLADELSEN ELLER INDKØBSORDREN, DER FULGTE MED SOFTWAREPAKKEN, ELLER SOM DU MODTOG SÆRSKILT SOM EN DEL AF KØBET (I FORM AF ET HÆFTE, EN FIL PÅ PRODUKT-CD'EN ELLER EN FIL, DER ER TILGÆNGELIG PÅ DET WEBSTED, HVORFRA DU HENTEDE SOFTWAREPAKKEN). UNDLAD AT INSTALLERE SOFTWAREN, HVIS DU IKKE ER INDFORSTÅET MED ALLE VILKÅRENE I AFTALEN. HVIS DET ER RELEVANT, KAN DU RETURNERE PRODUKTET TIL MCAFEE ELLER KØBSSTEDET TIL FULD REFUNDERING. 2 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Indhold Forord Om denne vejledning . . . Målgruppe . . . . Konventioner . . . Find produktdokumentation 11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 11 11 12 Introduktion til McAfee ePolicy Orchestrator-softwaren 1 Beskyttelse af netværk med ePolicy Orchestrator-software 15 Fordele ved ePolicy Orchestrator-software . . . . . . . . . . . . . . . . . . . . . . . . 15 Komponenter og deres funktioner . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Sådan fungerer softwaren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2 Brug af ePolicy Orchestrator-grænsefladen 19 Pålogning og aflogning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Navigation i grænsefladen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anvendelse af navigationsmenuen i ePolicy Orchestrator . . . . . . . . . . . . . . . Tilpasning af navigationslinjen . . . . . . . . . . . . . . . . . . . . . . . . . Kategorier for serverindstillinger . . . . . . . . . . . . . . . . . . . . . . . . Arbejde med lister og tabeller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtrering af en liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Søgning efter specifikke listeelementer . . . . . . . . . . . . . . . . . . . . . . Valg af afkrydsningsfelter i tabelrækker . . . . . . . . . . . . . . . . . . . . . . 19 19 20 20 20 22 22 22 23 Konfiguration af ePolicy Orchestrator-serveren 3 Planlægning af ePolicy Orchestrator-konfigurationen Overvejelser i forbindelse med skalerbarhed . . . . . . . . Hvornår skal der benyttes flere McAfee ePO-servere? . . Hvornår skal der benyttes flere eksterne agenthandlere? Internetprotokoller i et administreret miljø . . . . . . . . . 4 . . . . . . . . 27 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af McAfee ePO-serveren 27 27 28 28 31 Oversigt over serverkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Brug af produktinstallation under automatisk konfiguration . . . . . . . . . . . . . . . . . 33 Vigtige funktioner til manuel eller Vejledt konfiguration . . . . . . . . . . . . . . . . . . Automatisk produktkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af vigtige funktioner . . . . . . . . . . . . . . . . . . . . . . . . . . Brug af en proxyserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Angivelse af licensnøgle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Brugerkonti og tilladelsessæt 34 34 35 38 38 39 Brugerkonti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Administration af brugerkonti . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 3 Indhold Oprettelse af en brugerdefineret logonmeddelelse . . . . . . . . . . . . . . . . . Konfiguration af Active Directory-brugerlogon . . . . . . . . . . . . . . . . . . . Understøttede formater for brugernavne og adgangskoder . . . . . . . . . . . . . . Siden Inputfil (Importprogram for politiktildeling) . . . . . . . . . . . . . . . . . Godkendelse af klientcertifikat . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hvornår bruges godkendelse af klientcertifikat? . . . . . . . . . . . . . . . . . . Konfiguration af godkendelse af klientcertifikat for ePolicy Orchestrator . . . . . . . . . Rediger godkendelse af en certifikatbaseret McAfee ePO-server . . . . . . . . . . . . Deaktiver godkendelse af klientcertifikat for McAfee ePO-server . . . . . . . . . . . . Konfiguration af brugere til certifikatgodkendelse . . . . . . . . . . . . . . . . . . Opdatering af fil med oversigt over tilbagetrukne certifikater . . . . . . . . . . . . . Problemer med godkendelse af klientcertifikat . . . . . . . . . . . . . . . . . . . SSL-certifikater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oprettelse af et selvsigneret certifikat med OpenSSL . . . . . . . . . . . . . . . . Andre nyttige OpenSSL-kommandoer . . . . . . . . . . . . . . . . . . . . . . Konvertering af en eksisterende PVK-fil til en PEM-fil . . . . . . . . . . . . . . . . Tilladelsessæt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sådan hænger brugere, grupper og tilladelsessæt sammen . . . . . . . . . . . . . . Arbejde med tilladelsessæt . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Lagre 61 Lagertyper og deres funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Typer af distribuerede lagre . . . . . . . . . . . . . . . . . . . . . . . . . . Lagerforgreninger og deres formål . . . . . . . . . . . . . . . . . . . . . . . . Lagerlistefil og dens anvendelsesområder . . . . . . . . . . . . . . . . . . . . . Sådan foregår samarbejdet mellem lagre . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af lagre første gang . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af kilde- og reservewebsteder . . . . . . . . . . . . . . . . . . . . . . . Oprettelse af kildewebsteder . . . . . . . . . . . . . . . . . . . . . . . . . . Ændring af kilde- og reservewebsteder . . . . . . . . . . . . . . . . . . . . . . Redigering af kilde- og reservewebsteder . . . . . . . . . . . . . . . . . . . . . Sletning af kildewebsteder eller deaktivering af reservewebsteder . . . . . . . . . . . Bekræftelse af adgang til kildewebstedet . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af proxyindstillinger . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af proxyindstillinger for McAfee Agent . . . . . . . . . . . . . . . . . Konfiguration af indstillinger for globale opdateringer . . . . . . . . . . . . . . . . . . . Konfiguration af agentpolitikker til at bruge et distribueret lager . . . . . . . . . . . . . . . Brug af SuperAgenter som distribuerede lagre . . . . . . . . . . . . . . . . . . . . . . Oprettelse af distribuerede SuperAgent-lagre . . . . . . . . . . . . . . . . . . . Replikering af pakker til SuperAgent-lagre . . . . . . . . . . . . . . . . . . . . . Sletning af distribuerede SuperAgent-lagre . . . . . . . . . . . . . . . . . . . . Oprettelse og konfiguration af lagre på FTP- eller HTTP-servere og UNC-shares . . . . . . . . . Oprettelse af en mappeplacering . . . . . . . . . . . . . . . . . . . . . . . . Tilføjelse af det distribuerede lager til ePolicy Orchestrator . . . . . . . . . . . . . . Undgåelse af replikering af valgte pakker . . . . . . . . . . . . . . . . . . . . . Deaktivering af replikering af valgte pakker . . . . . . . . . . . . . . . . . . . . Aktivering af mappedeling for UNC- og HTTP-lagre . . . . . . . . . . . . . . . . . Redigering af distribuerede lagre . . . . . . . . . . . . . . . . . . . . . . . . Sletning af distribuerede lagre . . . . . . . . . . . . . . . . . . . . . . . . . Brug af UNC-shares som distribuerede lagre . . . . . . . . . . . . . . . . . . . . . . . Brug af lokalt distribuerede lagre, der ikke er administrerede . . . . . . . . . . . . . . . . Arbejde med lagerlistefiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eksport af lagerlistefilen SiteList.xml . . . . . . . . . . . . . . . . . . . . . . . Eksport af lagerlisten til sikkerhedskopiering eller brug på andre servere . . . . . . . . Import af distribuerede lagre fra lagerlisten . . . . . . . . . . . . . . . . . . . . Import af kildewebsteder fra filen SiteMgr.xml . . . . . . . . . . . . . . . . . . . 4 Softwaren McAfee ePolicy Orchestrator 5.1.0 40 41 45 45 45 46 46 47 47 48 48 49 49 52 54 55 56 56 57 61 63 64 65 65 66 66 66 67 68 68 68 68 69 70 70 71 71 72 72 73 74 74 76 76 76 76 77 77 78 79 79 80 80 81 Produktvejledning Indhold 7 Registrerede servere 83 Registrering af McAfee ePO-servere . . . . . . . . . . . . . . . . . . . . . . . . . . Registrering af LDAP-servere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Registrering af SNMP-servere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Registrering af en databaseserver . . . . . . . . . . . . . . . . . . . . . . . . . . . Deling af objekter mellem servere . . . . . . . . . . . . . . . . . . . . . . . . . . . Eksport af objekter fra ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . Import af elementer i ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . Eksportér objekter og data fra McAfee ePO-serveren . . . . . . . . . . . . . . . . Eksport og import af ASSC-nøgler mellem McAfee ePO-servere . . . . . . . . . . . . 8 83 85 86 87 87 88 88 89 89 Agenthandlere 91 Sådan fungerer agenthandlere . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oprettelse af forbindelse mellem en agenthandler i DMZ og McAfee ePO-server på et domæne . . Handlergrupper og -prioritet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administration af agenthandlere . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tildeling af McAfee Agents til agenthandlere . . . . . . . . . . . . . . . . . . . . Administration af agenthandleropgaver . . . . . . . . . . . . . . . . . . . . . . Oprettelse af agenthandlergrupper . . . . . . . . . . . . . . . . . . . . . . . . Administration af agenthandlergrupper . . . . . . . . . . . . . . . . . . . . . . Flytning af agenter mellem handlere . . . . . . . . . . . . . . . . . . . . . . . 91 92 93 93 94 94 95 96 96 Administration af netværkssikkerhed 9 Systemtræet 101 Systemtræstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppen Min organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppen Hittegods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grupper i systemtræet . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nedarvning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Overvejelser i forbindelse med planlægning af systemtræet . . . . . . . . . . . . . . . . Administratoradgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grænser i miljøet og deres betydning for systemorganisationen . . . . . . . . . . . Undernetværk og IP-adresseområder . . . . . . . . . . . . . . . . . . . . . . Operativsystemer og software . . . . . . . . . . . . . . . . . . . . . . . . . Koder og systemer med ens karakteristika . . . . . . . . . . . . . . . . . . . . Active Directory-synkronisering . . . . . . . . . . . . . . . . . . . . . . . . . . . Typer af Active Directory-synkronisering . . . . . . . . . . . . . . . . . . . . . . . . Systemer og struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kun systemer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Synkronisering af NT-domæne . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kriteriebaseret sortering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sådan påvirker indstillinger sortering . . . . . . . . . . . . . . . . . . . . . . Sorteringskriterier for IP-adresser . . . . . . . . . . . . . . . . . . . . . . . Kodebaserede sorteringskriterier . . . . . . . . . . . . . . . . . . . . . . . . Grupperækkefølge og -sortering . . . . . . . . . . . . . . . . . . . . . . . . Opsamlingsgrupper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sådan føjer du et system til Systemtræ ved sortering . . . . . . . . . . . . . . . Oprettelse og udfyldning af grupper i systemtræet . . . . . . . . . . . . . . . . . . . . Manuel oprettelse af grupper . . . . . . . . . . . . . . . . . . . . . . . . . Manuel tilføjelse af systemer i en eksisterende gruppe . . . . . . . . . . . . . . . Eksport af systemer fra systemtræet . . . . . . . . . . . . . . . . . . . . . . Import af systemer fra en tekstfil . . . . . . . . . . . . . . . . . . . . . . . . Sortering af systemer i kriteriebaserede grupper . . . . . . . . . . . . . . . . . Import af Active Directory-objektbeholdere . . . . . . . . . . . . . . . . . . . . Import af NT-domæner i en eksisterende gruppe . . . . . . . . . . . . . . . . . Softwaren McAfee ePolicy Orchestrator 5.1.0 101 101 102 102 103 103 103 104 104 104 105 105 106 106 107 107 107 108 109 109 109 109 110 111 112 113 114 114 115 117 119 Produktvejledning 5 Indhold Planlægning af synkronisering af systemtræ . . . . . . . . . . . . . . . . . . . Manuel opdatering af en synkroniseret gruppe med et NT-domæne . . . . . . . . . . Flytning af systemer i systemtræet . . . . . . . . . . . . . . . . . . . . . . . . . . Sådan fungerer Overfør systemer . . . . . . . . . . . . . . . . . . . . . . . . . . Overførsel af systemer mellem McAfee ePO-servere . . . . . . . . . . . . . . . . 10 Koder 127 Oprettelse af koder ved hjælp af Generator af nye koder . . . . . . . . . . . . . . . . . Administration af koder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oprettelse, sletning og ændring af kodeundergrupper . . . . . . . . . . . . . . . . . . Udeladelse af systemer fra automatisk markering . . . . . . . . . . . . . . . . . . . . Anvendelse af koder til valgte systemer . . . . . . . . . . . . . . . . . . . . . . . . Ryd koder fra systemer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anvendelse af kriteriebaserede koder på alle systemer, der stemmer overens . . . . . . . . . Anvendelse af kriteriebaserede koder efter en plan . . . . . . . . . . . . . . . . . . . . 11 Agent til server-kommunikation Sikkerhedsnøgler Softwarestyring Produktinstallation Softwaren McAfee ePolicy Orchestrator 5.1.0 157 158 159 160 163 Valg af produktinstallationsmetode . . . . . . . . . . . . . . . . . . . . . . . . . . Fordele ved produktinstallationsprojekter . . . . . . . . . . . . . . . . . . . . . . . Beskrivelse af siden Produktinstallation . . . . . . . . . . . . . . . . . . . . . . . . Visning af overvågningslogge for produktinstallationer . . . . . . . . . . . . . . . . . . Installation af produkter ved hjælp af et installationsprojekt . . . . . . . . . . . . . . . . 6 149 150 150 150 151 151 152 152 154 154 155 155 157 Hvad er Softwarestyring? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tjek ind, opdater og fjern software med Softwarestyring . . . . . . . . . . . . . . . . . Tjek af produktkompatibilitet . . . . . . . . . . . . . . . . . . . . . . . . . . . . Omkonfiguration af hentning af produktkompatibilitetsliste . . . . . . . . . . . . . 14 133 133 137 141 143 144 145 145 147 148 148 148 149 Sikkerhedsnøgler og deres funktion . . . . . . . . . . . . . . . . . . . . . . . . . . Hovedlagernøglepar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Andre offentlige nøgler til lager . . . . . . . . . . . . . . . . . . . . . . . . . . . Administration af lagernøgler . . . . . . . . . . . . . . . . . . . . . . . . . . . . Brug af et hovedlagernøglepar for alle servere . . . . . . . . . . . . . . . . . . Brug af hovedlagernøgler i miljøer med flere servere . . . . . . . . . . . . . . . . Nøgler til sikker agent til server-kommunikation (ASSC) . . . . . . . . . . . . . . . . . Administration af ASSC-nøgler . . . . . . . . . . . . . . . . . . . . . . . . . Visning af systemer, der bruger et ASSC-nøglepar . . . . . . . . . . . . . . . . . Brug af det samme ASSC-nøglepar for alle servere og agenter . . . . . . . . . . . . Brug af et andet ASSC-nøglepar for hver McAfee ePO-server . . . . . . . . . . . . . Sikkerhedskopiering og gendannelse af nøgler . . . . . . . . . . . . . . . . . . . . . 13 127 128 129 130 130 131 131 132 133 Arbejde med agenten fra McAfee ePO-serveren . . . . . . . . . . . . . . . . . . . . . Sådan fungerer agent til server-kommunikation . . . . . . . . . . . . . . . . . . SuperAgenter og deres funktion . . . . . . . . . . . . . . . . . . . . . . . . Agentrelæfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reaktion på politikhændelser . . . . . . . . . . . . . . . . . . . . . . . . . Kørsel af klientopgaver med det samme . . . . . . . . . . . . . . . . . . . . . Søgning efter inaktive agenter . . . . . . . . . . . . . . . . . . . . . . . . . Windows-system og produktegenskaber, der rapporteres af agenten . . . . . . . . . Forespørgsler leveret af McAfee Agent . . . . . . . . . . . . . . . . . . . . . . Administrer agent til server-kommunikation . . . . . . . . . . . . . . . . . . . . . . Tilladelse af cachelagring af legitimationsoplysninger til installation af agent . . . . . . Ændring af porte til agentkommunikation . . . . . . . . . . . . . . . . . . . . 12 121 122 122 123 124 163 163 166 167 167 Produktvejledning Indhold Overvågning og redigering af installationsprojekter . . . . . . . . . . . . . . . . . . . Eksempel på installation af ny McAfee Agent . . . . . . . . . . . . . . . . . . . . . . 15 Administration af politik 173 Politikker og håndhævelse af politikker . . . . . . . . . . . . . . . . . . . . . . . . Anvendelse af politikker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oprettelse og vedligeholdelse af politikker . . . . . . . . . . . . . . . . . . . . . . . Oprettelse af en politik på siden Politikkatalog . . . . . . . . . . . . . . . . . . Administration af en eksisterende politik på siden Politikkatalog . . . . . . . . . . . Konfiguration af politikker første gang . . . . . . . . . . . . . . . . . . . . . . . . . Administration af politikker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ændring af ejerne af en politik . . . . . . . . . . . . . . . . . . . . . . . . . Flytning af politikker mellem McAfee ePO-servere . . . . . . . . . . . . . . . . . Tildel en politik til en gruppe i systemtræet . . . . . . . . . . . . . . . . . . . . Tildeling af en politik til et administreret system . . . . . . . . . . . . . . . . . . Tildel en politik til systemer i en gruppe i systemtræet . . . . . . . . . . . . . . . Håndhæv politikker for et produkt i en gruppe i systemtræet . . . . . . . . . . . . Håndhævelse af politikker for et produkt på et system . . . . . . . . . . . . . . . Kopiering af politiktildelinger . . . . . . . . . . . . . . . . . . . . . . . . . Siden Rediger opbevaring af politikker og opgaver . . . . . . . . . . . . . . . . . . . . Regler for politiktildeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prioritering af regler for politiktildeling . . . . . . . . . . . . . . . . . . . . . . Om brugerbaserede politiktildelinger . . . . . . . . . . . . . . . . . . . . . . Om systembaserede politiktildelinger . . . . . . . . . . . . . . . . . . . . . . Brug af koder til at tildele systembaserede politikker . . . . . . . . . . . . . . . . Oprettelse af regler for politiktildeling . . . . . . . . . . . . . . . . . . . . . . Administration af regler for politiktildeling . . . . . . . . . . . . . . . . . . . . Oprettelse af forespørgsler om administration af politikker . . . . . . . . . . . . . . . . . Visning af politikoplysninger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visning af grupper og systemer, hvor en politik er tildelt . . . . . . . . . . . . . . Visning af politikindstillinger . . . . . . . . . . . . . . . . . . . . . . . . . . Visning af politikejerskab . . . . . . . . . . . . . . . . . . . . . . . . . . . Visning af tildelinger, hvor håndhævelse af politik er deaktiveret . . . . . . . . . . . Visning af politikker, der er tildelt en gruppe . . . . . . . . . . . . . . . . . . . Visning af politikker, der er tildelt et bestemt system . . . . . . . . . . . . . . . . Visning af politiknedarvning for en gruppe . . . . . . . . . . . . . . . . . . . . Visning og nulstilling af brudt nedarvning . . . . . . . . . . . . . . . . . . . . Sammenligning af politikker . . . . . . . . . . . . . . . . . . . . . . . . . . Deling af politikker mellem McAfee ePO-servere . . . . . . . . . . . . . . . . . . . . . Distribution af politikker til flere McAfee ePO-servere . . . . . . . . . . . . . . . . . . . Registrering af servere til politikdeling . . . . . . . . . . . . . . . . . . . . . . Angivelse af politikker for deling . . . . . . . . . . . . . . . . . . . . . . . . Planlægning af serveropgaver til deling af politikker . . . . . . . . . . . . . . . . 16 Klientopgaver 173 175 176 176 176 177 177 178 178 180 180 181 181 181 182 184 184 184 185 186 186 186 187 188 189 190 190 191 191 191 191 192 192 192 193 193 193 194 194 195 Sådan fungerer kataloget over klientopgaver . . . . . . . . . . . . . . . . . . . . . . Installationsopgaver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installationspakker til produkter og opdateringer . . . . . . . . . . . . . . . . . Installation af produkter og opdateringer . . . . . . . . . . . . . . . . . . . . Konfiguration af installation af produkter og opdateringer første gang . . . . . . . . . Installationskoder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Brug af opgaven Produktinstallation til installation af produkter på administrerede systemer . . . Konfiguration af installationsopgaven for grupper af administrerede systemer . . . . . . Konfiguration af en installationsopgave for at installere produkter i et administreret system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Opdatering af opgaver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Softwaren McAfee ePolicy Orchestrator 5.1.0 168 170 195 196 196 198 198 199 199 199 200 202 Produktvejledning 7 Indhold Regelmæssig opdatering af administrerede systemer med en planlagt opdateringsopgave Bekræftelse af, at klienter bruger de nyeste DAT-filer . . . . . . . . . . . . . . . . Evaluering af nye DAT- og programfiler før distribution . . . . . . . . . . . . . . . Administration af klientopgaver . . . . . . . . . . . . . . . . . . . . . . . . . . . Oprettelse af klientopgaver . . . . . . . . . . . . . . . . . . . . . . . . . . Redigering af klientopgaver . . . . . . . . . . . . . . . . . . . . . . . . . . Sletning af klientopgaver . . . . . . . . . . . . . . . . . . . . . . . . . . . Sammenligning af klientopgaver . . . . . . . . . . . . . . . . . . . . . . . . 17 Serveropgaver 207 Global opdatering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Automatisk installation af opdateringspakker med global opdatering . . . . . . . . . . . . . Trækkeopgaver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Replikeringsopgaver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lagervalg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Accepteret Cron-syntaks ved planlægning af en serveropgave . . . . . . . . . . . . . . . Visning af oplysninger om serveropgave i log over serveropgave . . . . . . . . . . . . . . Konfigurer Product Improvement Program . . . . . . . . . . . . . . . . . . . . . . . Afinstaller McAfee Product Improvement Program . . . . . . . . . . . . . . . . . . . . 18 Manuel administration af pakker og opdateringer 207 208 209 210 210 211 212 212 213 215 Administration af produkter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Manuel indtjekning af pakker . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sletning af DAT- eller programpakker fra hovedlageret . . . . . . . . . . . . . . . . . . Manuel flytning af DAT- og programpakker mellem forgreninger . . . . . . . . . . . . . . Manuel indtjekning af program-, DAT- og ExtraDAT-opdateringspakker . . . . . . . . . . . . 19 202 203 204 204 205 205 205 206 Hændelser og reaktioner 215 216 216 216 217 219 Brug af automatiske reaktioner . . . . . . . . . . . . . . . . . . . . . . . . . . . Sådan fungerer funktionen Automatiske reaktioner med systemtræet . . . . . . . . . . . . Begrænsning, sammenlægning og gruppering . . . . . . . . . . . . . . . . . . . Standardregler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reaktionsplanlægning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af reaktioner første gang . . . . . . . . . . . . . . . . . . . . . . . . Angivelse af, hvordan hændelser videresendes . . . . . . . . . . . . . . . . . . . . . Angivelse af, hvilke hændelser der videresendes med det samme . . . . . . . . . . . Angivelse af, hvilke hændelser der videresendes . . . . . . . . . . . . . . . . . . Konfiguration af Automatiske reaktioner . . . . . . . . . . . . . . . . . . . . . . . . Tildeling af tilladelser til meddelelser . . . . . . . . . . . . . . . . . . . . . . Tildeling af tilladelser til automatiske reaktioner . . . . . . . . . . . . . . . . . . Administration af SNMP-servere . . . . . . . . . . . . . . . . . . . . . . . . Angivelse af, hvilke hændelser der videresendes til serveren . . . . . . . . . . . . . . . . Valg af et meddelelsesinterval for hændelser . . . . . . . . . . . . . . . . . . . . . . Opret og rediger regler for Automatisk reaktion . . . . . . . . . . . . . . . . . . . . . Beskrivelse af en regel . . . . . . . . . . . . . . . . . . . . . . . . . . . . Angivelse af filtre for reglen . . . . . . . . . . . . . . . . . . . . . . . . . . Angivelse af tærskler for reglen . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af handlinger for regler for automatisk reaktion . . . . . . . . . . . . 219 220 220 221 221 222 222 223 223 223 224 224 225 226 227 227 227 228 228 229 Overvågning og rapportering af dit netværks sikkerhedsstatus 20 Dashboards 233 Konfiguration af dashboards første gang . . . . . . . . . . . . . . . . . . . . . . . . 233 Arbejde med dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Administration af dashboards . . . . . . . . . . . . . . . . . . . . . . . . . 234 8 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Indhold Eksport og import af dashboards . . . . . . . . . . . . . . . . . . . . . . . . Arbejde med dashboardskærme . . . . . . . . . . . . . . . . . . . . . . . . . . . Administration af dashboardskærme . . . . . . . . . . . . . . . . . . . . . . Flytning og ændring af størrelsen på dashboardskærme . . . . . . . . . . . . . . Standarddashboards og deres skærme . . . . . . . . . . . . . . . . . . . . . . . . Angivelse af standarddashboards og intervaller for dashboardopdateringer . . . . . . . . . . 21 Forespørgsler og rapporter 241 Tilladelser til forespørgsler og rapporter . . . . . . . . . . . . . . . . . . . . . . . . Om forespørgsler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Forespørgselsgenerator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af forespørgsler og rapporter første gang . . . . . . . . . . . . . . . . . . Arbejde med forespørgsler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administration af brugerdefinerede forespørgsler . . . . . . . . . . . . . . . . . Kørsel af en eksisterende forespørgsel . . . . . . . . . . . . . . . . . . . . . . Kørsel af en forespørgsel efter en plan . . . . . . . . . . . . . . . . . . . . . . Oprettelse af en forespørgsel, så systemerne kan angives på baggrund af koder . . . . . Oprettelse af en forespørgselsgruppe . . . . . . . . . . . . . . . . . . . . . . Flytning af en forespørgsel til en anden gruppe . . . . . . . . . . . . . . . . . . Eksport og import af forespørgsler . . . . . . . . . . . . . . . . . . . . . . . Eksport af forespørgselsresultater til andre formater . . . . . . . . . . . . . . . . Samlede forespørgsler om flere servere . . . . . . . . . . . . . . . . . . . . . . . . Oprettelse af en serveropgave til samlingsdata . . . . . . . . . . . . . . . . . . Oprettelse af en forespørgsel til definition af overholdelse . . . . . . . . . . . . . . Oprettelse af hændelser for overholdelse . . . . . . . . . . . . . . . . . . . . . Om rapporter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Struktur for en rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbejde med rapporter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oprettelse af en ny rapport . . . . . . . . . . . . . . . . . . . . . . . . . . Redigering af en eksisterende rapport . . . . . . . . . . . . . . . . . . . . . . Visning af rapportoutput . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppering af rapporter . . . . . . . . . . . . . . . . . . . . . . . . . . . Kørsel af rapporter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kørsel af en rapport med en serveropgave . . . . . . . . . . . . . . . . . . . . Eksport og import af rapporter . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af skabelonen og placeringen for eksporterede rapporter . . . . . . . . Sletning af rapporter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration af Internet Explorer 8 til automatisk accept af McAfee ePO-overførsler . . . Brug af databaseservere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbejde med databaseservere . . . . . . . . . . . . . . . . . . . . . . . . . . . . Redigering af en databaseregistrering . . . . . . . . . . . . . . . . . . . . . . Fjernelse af en registreret database . . . . . . . . . . . . . . . . . . . . . . . 22 Problemer ePolicy Orchestrator-logfiler 241 242 243 244 244 245 247 247 251 252 252 252 253 254 255 256 256 257 257 258 259 259 264 264 265 265 266 266 267 267 268 268 269 269 273 Problemer, og hvordan de fungerer . . . . . . . . . . . . . . . . . . . . . . . . . . Arbejde med problemer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Manuel oprettelse af grundlæggende problemer . . . . . . . . . . . . . . . . . . Konfiguration af reaktioner til automatisk oprettelse af problemer . . . . . . . . . . . Administration af problemer . . . . . . . . . . . . . . . . . . . . . . . . . . Tømning for lukkede problemer . . . . . . . . . . . . . . . . . . . . . . . . . . . Manuel tømning for lukkede problemer . . . . . . . . . . . . . . . . . . . . . Tømning for lukkede problemer efter en plan . . . . . . . . . . . . . . . . . . . Billetter med McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 235 236 236 237 238 240 273 273 273 274 275 276 276 276 277 279 Overvågningsloggen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Indhold Visning og tømning af overvågningsloggen . . . . . . . . . . . . . . . . . . . . Planlægning af tømning af overvågningsloggen . . . . . . . . . . . . . . . . . . Log over serveropgaver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administrer Log over serveropgave . . . . . . . . . . . . . . . . . . . . . . . Trusselshændelseslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visning og tømning af log over trusselshændelse . . . . . . . . . . . . . . . . . Planlægning af tømning af loggen over trusselshændelser . . . . . . . . . . . . . . 24 Genoprettelse efter nedbrud 285 Hvad er genoprettelse efter nedbrud? . . . . . . . . . . . . . . . . . . . . . . . . . Komponenter i Genoprettelse efter nedbrud . . . . . . . . . . . . . . . . . . . . . . Brug af en ekstern kommando til at bestemme Microsoft SQL-databaseserveren og databasenavnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Brug af Microsoft SQL Server Management Studio til at finde oplysninger om McAfee ePOserveren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sådan fungerer genoprettelse efter nedbrud . . . . . . . . . . . . . . . . . . . . . . Oversigt over øjebliksbillede til genoprettelse efter nedbrud og sikkerhedskopiering . . . Oversigt over en installation til genoprettelse af McAfee ePO-serveren . . . . . . . . Konfiguration af et øjebliksbillede og gendannelse af SQL-databasen . . . . . . . . . . . . Konfiguration af serveropgaven Genoprettelse efter nedbrud . . . . . . . . . . . . . Oprettelse af et øjebliksbillede . . . . . . . . . . . . . . . . . . . . . . . . . Brug af Microsoft SQL til sikkerhedskopiering og gendannelse af databaser . . . . . . . Konfigurer serverindstillinger til genoprettelse efter nedbrud . . . . . . . . . . . . . . . A Oversigt over porte Vedligeholdelse af ePolicy Orchestrator-databaser 289 290 290 291 292 294 294 295 298 299 301 302 305 307 309 SQL-tilladelser, der er nødvendige til installation af McAfee ePO . . . . . . . . . . . . . . . Konfiguration af databaseroller for brugere . . . . . . . . . . . . . . . . . . . . . . . Overvejelser i forbindelse med en vedligeholdelsesplan for SQL . . . . . . . . . . . . . . Valg af genoprettelsesmodel for SQL-databasen . . . . . . . . . . . . . . . . . . . . . Defragmentering af tabeldata . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oprettelse af en vedligeholdelsesplan for SQL . . . . . . . . . . . . . . . . . . . . . Ændring af oplysningerne om SQL Server-forbindelsen . . . . . . . . . . . . . . . . . . 310 310 312 313 313 314 316 C Åbning af forbindelse til en fjernkonsol 319 D Ofte stillede spørgsmål 321 Spørgsmål om administration af politik . . . . . . . . . . . . . . . . . . . . . . . . Spørgsmål om hændelser og reaktioner . . . . . . . . . . . . . . . . . . . . . . . . Indeks 10 285 286 301 Ændring af port til konsol til programserver-kommunikation . . . . . . . . . . . . . . . . Ændring af port til agent til server-kommunikation . . . . . . . . . . . . . . . . . . . . Porte, der kræves til kommunikation gennem en firewall . . . . . . . . . . . . . . . . . Trafikoversigt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B 279 280 280 281 282 283 284 Softwaren McAfee ePolicy Orchestrator 5.1.0 321 322 323 Produktvejledning Forord Denne vejledning indeholder alle de oplysninger, du har brug for, for at bruge dit McAfee-produkt. Indhold Om denne vejledning Find produktdokumentation Om denne vejledning Disse oplysninger beskriver målgruppen for vejledningen, de typografiske konventioner og ikoner, som er brugt, og hvordan vejledningen er organiseret. Målgruppe McAfee-dokumentation er nøje efterforsket og skrevet til målgruppen. Oplysningerne i denne vejledning er primært rettet mod: • Administratorer - Personer, der implementerer og håndhæver virksomhedens sikkerhedsprogram. • Brugere - Folk, der bruger den computer, hvor softwaren kører, og som kan opnå adgang til nogle eller alle dens funktioner. • Sikkerhedsmedarbejdere - Personer, der identificerer følsomme og fortrolige data og definerer den virksomhedspolitik, der beskytter virksomhedens immaterielle rettigheder. • Kontrollanter - Personer, der evaluerer produktet. Konventioner Denne vejledning anvender disse typografiske konventioner og ikoner. Bogtitel, term, fremhævelse Titel på en bog, kapitel eller emne; en ny term; fremhævelse. Fed Tekst, der er stærkt fremhævet. Bruger-input, kode, meddelelse Kommandoer og anden tekst, som brugeren indtaster; et eksempel på en kode; en vist meddelelse. Tekst på grænseflade Ord fra produktgrænsefladen, f.eks. indstillinger, menuer, knapper og dialogbokse. Hypertekst blå Et link til et emne eller til et eksternt websted. Bemærk: Yderligere information, f.eks. en alternativ metode til at opnå adgang til en indstilling på. Tip: Forslag og anbefalinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 11 Forord Find produktdokumentation Vigtigt/Forsigtig: Vigtige råd til hvordan du beskytter dit computersystem, softwareinstallation, netværk, forretning eller data. Advarsel: Kritiske råd til hvordan man undgår fysiske skader ved anvendelse af et hardwareprodukt. Find produktdokumentation Oplysninger om produktet indtastes online i McAfee Knowledge Center (Vidensbase), når det er blevet udgivet. Opgave 12 1 Gå til McAfee ServicePortal på http://support.mcafee.com, og klik på Knowledge Center (Vidensbase). 2 Indtast et produktnavn, vælg en version, og klik derefter på Search (Søg) for at se en liste over dokumenter. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Introduktion til McAfee ePolicy Orchestrator-softwaren Få mere at vide om ePolicy Orchestrator-komponenterne, og hvordan de arbejder sammen for at forbedre sikkerheden for systemerne på dit netværk. Kapitel 1 Kapitel 2 Beskyttelse af netværk med ePolicy Orchestrator-software Brug af ePolicy Orchestrator-grænsefladen Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 13 Introduktion til McAfee ePolicy Orchestrator-softwaren 14 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 1 Beskyttelse af netværk med ePolicy Orchestrator-software ePolicy Orchestrator-softwaren er en vigtig komponent i McAfee Security Management Platform, som sikrer samlet administration af slutpunkt, netværk og datasikkerhed. Forkort reaktionstiderne for hændelserne, optimer beskyttelsen, og reducer risiko- og sikkerhedsadministration med de automatiserede funktioner i ePolicy Orchestrator og fuld synlighed i netværket. Indhold Fordele ved ePolicy Orchestrator-software Komponenter og deres funktioner Sådan fungerer softwaren Fordele ved ePolicy Orchestrator-software ePolicy Orchestrator-softwaren er en skalerbar administrationsplatform, som kan udvides, og som muliggør central politikadministration og -håndhævelse af de sikkerhedsprodukter og systemer, de er installeret på. Softwaren indeholder også funktioner til omfattende rapportering og produktinstallation – alt sammen fra et enkelt sted. Du kan bruge ePolicy Orchestrator-softwaren til at udføre disse sikkerhedsopgaver for netværket: • Installér sikkerhedsprodukter, programrettelser og servicepakker på systemerne i netværket. • Administrere de værts- og netværkssikkerhedsprodukter, der er installeret på systemerne, via håndhævelsen af sikkerhedspolitikker og oprettelsen af opgaver. • Opdatere definitionsfilerne til registrering (DAT), antivirusprogrammerne og andet sikkerhedsindhold, der er påkrævet af sikkerhedssoftwaren for at sørge for, at de administrerede systemer er sikre. • Opret rapporter ved hjælp af det indbyggede forespørgselsguidesystem, som viser informative brugerkonfigurerede diagrammer og tabeller med netværkets sikkerhedsdata. Komponenter og deres funktioner Disse komponenter udgør ePolicy Orchestrator-softwaren. • McAfee ePO-server – Kernen i dit administrerede miljø. Serveren leverer sikkerhedspolitikker og opgaver, styrer opdateringer og behandler hændelser for alle administrerede systemer. • Database – Den centrale lagringskomponent for alle data, der oprettes og anvendes i ePolicy Orchestrator. Du kan vælge, om databasen skal placeres på din McAfee ePO-server eller på et separat system, afhængigt af din organisations specifikke behov. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 15 1 Beskyttelse af netværk med ePolicy Orchestrator-software Sådan fungerer softwaren • McAfee Agent – Et redskab til oplysninger og håndhævelse mellem McAfee ePO-serveren og det enkelte administrerede system. Agenten henter opdateringer og kontrollerer, at opgaver bliver implementeret samt gennemtvinger politikker og videresender hændelser til hvert enkelt administreret system. Der bruges en separat, sikker datakanal til overførsel af data til serveren. Det er desuden muligt at konfigurere en McAfee Agent som en SuperAgent. • Hovedlager – Den centrale placering for alle McAfee-opdateringer og -signaturer på McAfee ePO-serveren. Hovedlageret henter de brugerangivne opdateringer og signaturer fra McAfee eller fra brugerdefinerede kildesteder. • Distribuerede lagre – Lokale adgangspunkter strategisk placeret i hele dit miljø, hvor agenter kan hente signaturer, produktopdateringer og produktinstallationer med minimal påvirkning af båndbredden. Afhængigt af hvordan netværket er konfigureret, kan du konfigurere distribuerede lagre via en SuperAgent eller et HTTP-, FTP- eller UNC-share. • Eksterne agenthandlere – En server, du kan installere på forskellige netværksplaceringer for at lette administrationen af agentkommunikation, justering af belastning og produktopdateringer. Eksterne agenthandlere består af en Apache-server og en hændelsesparser. De kan hjælpe dig med at opfylde kravene i store eller komplekse netværksinfrastrukturer ved at give dig større kontrol over agent til server-kommunikationen. • Registrerede servere – Bruges til at registrere andre servere med på din McAfee ePO-server. Der findes følgende typer registrerede servere: • LDAP-server – Bruges til regler for politiktildeling og til at muliggøre automatisk oprettelse af brugerkonti. • SNMP-server – Bruges til at modtage en SNMP-fælde. Tilføj SNMP-serverens oplysninger, så ePolicy Orchestrator ved, hvor trap'en skal sendes hen. • Databaseserver – Bruges til at udvide de avancerede rapporteringsværktøjer, der findes i ePolicy Orchestrator-softwaren. Afhængigt af din organisations behov og netværkets kompleksitet er det muligvis kun nødvendigt at bruge nogle af disse komponenter. Sådan fungerer softwaren ePolicy Orchestrator-software er udviklet til at være meget fleksibel. Den kan konfigureres på mange forskellige måder, så den opfylder dine særlige behov. Softwaren følger den klassiske klient/server-model, hvor et klientsystem (system) kalder serveren for at få instruktioner. McAfee Agent installeres på alle systemer i netværket for at gøre dette kald til serveren nemmere. Når der er installeret en agent i et system, kan systemet administreres af McAfee ePO-serveren. Sikker kommunikation mellem serveren og et administreret system er det bånd, der 16 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Beskyttelse af netværk med ePolicy Orchestrator-software Sådan fungerer softwaren 1 knytter alle komponenterne i ePolicy Orchestrator-softwaren sammen. I figuren nedenfor vises et eksempel på, hvordan McAfee ePO-serveren og komponenterne er relateret til hinanden i det sikre netværksmiljø. 1 Der oprettes forbindelse fra McAfee ePO-serveren til McAfee-opdateringsserveren, så det seneste sikkerhedsindhold kan trækkes ned. 2 Alle data om registrerede systemer i netværket gemmes i ePolicy Orchestrator-databasen, herunder: 3 • Systemegenskaber • Politikoplysninger • Mappestruktur • Alle andre relevante, som serveren har brug for for at holde systemerne opdateret. McAfee Agent-produkter installeres i systemerne for at lette følgende: • Håndhævelse af politik • Produktinstallationer og -opdateringer • Rapportering om de administrerede systemer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 17 1 18 Beskyttelse af netværk med ePolicy Orchestrator-software Sådan fungerer softwaren 4 Sikker agent til server-kommunikation (ASSC) forekommer med regelmæssige intervaller mellem systemerne og serveren. Hvis der er installeret eksterne agenthandlere i netværket, kommunikerer agenter med serveren gennem de tildelte agenthandlere. 5 Brugerne logger på ePolicy Orchestrator-konsollen for at udføre sikkerhedsadministrationsopgaver, f.eks. kørsel af forespørgsler for at rapportere om sikkerhedsstatus eller arbejde med politikkerne for administreret softwaresikkerhed. 6 McAfee-opdateringsserveren er vært for det nyeste sikkerhedsindhold, så indholdet kan trækkes ved hjælp af ePolicy Orchestrator i planlagte intervaller. 7 Distribuerede lagre, der er placeret flere steder i hele netværket, fungerer som lokal vært for sikkerhedsindholdet, så agenter hurtigere kan modtage opdateringer. 8 Eksterne agenthandlere hjælper med at skalere netværket, så det kan håndtere flere agenter med en enkelt McAfee ePO-server. 9 Der sendes meddelelser om automatiske reaktioner til sikkerhedsadministratorer for at give dem besked om, at der er opstået en hændelse. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 2 Brug af ePolicy Orchestratorgrænsefladen Log på ePolicy Orchestrator-grænsefladen for at konfigurere McAfee ePO-serveren og administrere og overvåge netværkssikkerheden. Indhold Pålogning og aflogning Navigation i grænsefladen Arbejde med lister og tabeller Pålogning og aflogning Du får adgang til ePolicy Orchestrator-softwaren ved at angive dit brugernavn og din adgangskode på logonskærmen. Før du starter Du skal have tildelt et brugernavn og en adgangskode, før du kan logge på ePolicy Orchestrator. Uanset om du opretter forbindelse til McAfee ePO-serveren via en fjernforbindelse eller via ikonet for McAfee ePO-serveren, er den første skærm, du ser, ePolicy Orchestrator-logonskærmen. Opgave 1 Angiv dit brugernavn og din adgangskode, og klik på Log på. ePolicy Orchestrator-softwaren viser standarddashboardet. 2 Du afslutter ePolicy Orchestrator-sessionen ved at klikke på Log af. Når du logger af, afsluttes sessionen, og den kan ikke åbnes af andre brugere. Navigation i grænsefladen I ePolicy Orchestrator-grænsefladen anvendes en menubaseret navigationsmodel med et panel med foretrukne, der kan tilpasses, så du hurtigt kan gå til det sted, du ønsker. Menuafsnit repræsenterer funktionerne på øverste niveau på McAfee ePO-serveren. Efterhånden som du føjer nye administrerede produkter til serveren, føjes de tilknyttede grænsefladesider enten til en eksisterende kategori, eller der oprettes en ny kategori i menuen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 19 2 Brug af ePolicy Orchestrator-grænsefladen Navigation i grænsefladen Anvendelse af navigationsmenuen i ePolicy Orchestrator Åbn ePolicy Orchestrator Menu for at navigere i ePolicy Orchestrator-grænsefladen. I menuen bruges kategorier, der indeholder de forskellige funktioner i McAfee ePO-serveren. Hver kategori indeholder en liste over sider med de primære funktioner, der er tilknyttet et entydigt ikon. Vælg en kategori under Menu for at få vist og navigere til de primære sider, der udgør den pågældende funktion. Tilpasning af navigationslinjen Tilpas navigationslinjen for at få hurtig adgang til de funktioner, du bruger mest. Du kan beslutte, hvilke ikoner der vises på navigationslinjen ved at trække et vilkårligt menupunkt til eller fra navigationslinjen. I systemer med en skærmopløsning på 1024 x 768 kan navigationslinjen indeholde seks ikoner. Når du placerer mere end seks ikoner på navigationslinjen, oprettes en overløbsmenu i højre side af linjen. Klik på den nedadvendte pil for at få adgang til de menupunkter, der ikke vises på navigationslinjen. De ikoner, der vises på navigationslinjen, gemmes som brugerindstillinger, så brugerens tilpassede navigationslinje vises, uanset hvilken konsol brugeren benytter til at logge på serveren. Kategorier for serverindstillinger Her er de tilgængelige standardkategorier for serverindstillinger i ePolicy Orchestrator-softwaren. Når du tjekker yderligere software ind på McAfee ePO-serveren, føjes der produktspecifikke serverindstillinger til kategorilisten med serverindstillinger. Oplysninger om produktspecifikke serverindstillinger findes i dokumentationen til det pågældende produkt. Du kan ændre serverindstillingerne fra grænsefladen ved at gå til siden Serverindstillinger i afsnittet Konfiguration i ePolicy Orchestrator. 20 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 2 Brug af ePolicy Orchestrator-grænsefladen Navigation i grænsefladen Tabel 2-1 Standardkategorier for serverindstillinger og beskrivelse af dem Serverindstillingskategori Beskrivelse Active Directory-grupper Angiver den LDAP-server, der skal bruges for hvert domæne. Active Directory-brugerlogon Angiver, om medlemmer af de tilknyttede Active Directory-grupper (AD-grupper) kan logge på serveren ved hjælp af deres AD-legitimationsoplysninger, når funktionen Active Directory-brugerlogon er fuldt konfigureret. Legitimationsoplysninger til installation af agent Angiver, om brugerne har tilladelse til at gemme legitimationsoplysninger til installation af agent i cachen. Certifikatbaseret godkendelse Angiver, om certifikatbaseret godkendelse er aktiveret, samt de indstillinger og konfigurationer, der kræves for den anvendte certifikatmyndighed. Dashboards Angiver det aktive standarddashboard, der knyttes til nye brugerkonti ved oprettelse, samt standardopdateringshastigheden (5 minutter) for dashboardskærme. Genoprettelse efter nedbrud Aktiverer og angiver adgangsudtrykket for keystorekryptering i forbindelse med genoprettelse efter nedbrud. Mailserver Angiver den mailserver, der skal bruges til afsendelse af mails fra ePolicy Orchestrator. Filtrering af hændelser Angiver, hvilke hændelser agenten videresender. Meddelelser om hændelser Angiver intervallet for afsendelse af meddelelseshændelser i ePolicy Orchestrator til automatiske reaktioner. Global opdatering Angiver, om global opdatering er aktiveret, og hvordan. Licensnøgle Angiver den licensnøgle, der bruges til registrering af ePolicy Orchestrator-softwaren. Logonmeddelelse Angiver den eventuelle brugerdefinerede logonmeddelelse, der skal vises for brugere i miljøet, når de går til logonskærmbilledet for ePolicy Orchestrator-konsollen. Opbevaring af politikker og opgaver Angiver, om opgavedata om politikker og klienter skal fjernes, når du sletter administrationsudvidelsen for et produkt. Vedligeholdelse af politik Angiver, om politikkerne for ikke-understøttede produkter er synlige eller skjulte. Denne indstilling er kun nødvendig, når ePolicy Orchestrator er blevet opgraderet fra en tidligere version. Porte Angiver de porte, serveren bruger til kommunikation med agenter og databasen. Udskrivning og eksport Angiver, hvordan oplysninger eksporteres til andre formater, samt skabelonen til PDF-eksport. Angiver også standardplaceringen til lagring af eksporterede filer. Produktkompatibilitetsliste Angiver, om produktkompatibilitetslisten hentes automatisk, og viser oplysninger om eventuelle inkompatible produktudvidelser. Product Improvement Program Angiver, om der kan indsamles data proaktivt og regelmæssigt fra de klientsystemer, der administreres af McAfee ePO-serveren, i McAfee ePO. Proxyindstillinger Angiver den type proxyindstillinger, der er konfigureret for McAfee ePO-serveren. Sikkerhedsnøgler Angiver og administrerer nøgler til sikker agent til server-kommunikation samt lagernøgler. Servercertifikat Angiver det servercertifikat, McAfee ePO-serveren bruger til HTTPS-kommunikation med browsere. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 21 2 Brug af ePolicy Orchestrator-grænsefladen Arbejde med lister og tabeller Tabel 2-1 Standardkategorier for serverindstillinger og beskrivelse af dem (fortsat) Serverindstillingskategori Beskrivelse Softwareevaluering Angiver de oplysninger, der skal angives for at muliggøre indtjekning og installation af evalueringssoftware fra Softwarestyring. Kildewebsteder Angiver de kildesteder, serveren opretter forbindelse til for at hente opdateringer, samt de websteder, der skal bruges som reserve. Indstillinger for systemoplysninger Angiver, hvilke forespørgsler og systemegenskaber der vises på siden Systemoplysninger for de administrerede systemer. Sortering af systemtræ Angiver, om sortering af Systemtræ er aktiveret i miljøet, og hvordan. Brugersession Angiver den tid, en bruger kan være inaktiv, før brugeren logges af systemet. Arbejde med lister og tabeller Brug søge- og filterfunktionen i ePolicy Orchestrator til at sortere tabeldata. Listen med data i ePolicy Orchestrator kan indeholde hundredvis eller tusindvis af forekomster. Det kan være vanskeligt at søge manuelt efter bestemte forekomster i disse ePolicy Orchestrator-lister uden søgefilteret Hurtig søgning. Filtrering af en liste Du kan bruge foruddefinerede eller brugerdefinerede filtre til at vælge bestemte rækker på listen over data i ePolicy Orchestrator-grænsefladen. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 1 Vælg det foruddefinerede eller brugerdefinerede filter, du vil bruge til filtrering af listen, på linjen øverst på listen. Der vises kun elementer, som opfylder filterkriterierne. 2 Markér afkrydsningsfelterne ud for de elementer på listen, du vil fokusere på, og markér derefter Vis valgte rækker. Kun de valgte rækker vises. Søgning efter specifikke listeelementer Brug filteret Hurtig søgning til at finde elementer på en lang liste. Standardforespørgselsnavne kan oversættes til dit sprog. Når der kommunikeres med brugere fra andre lande, skal du være opmærksom på, at forespørgselsnavne kan være forskellige. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 22 1 Angiv søgeordene i feltet Hurtig søgning. 2 Klik på Anvend. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 2 Brug af ePolicy Orchestrator-grænsefladen Arbejde med lister og tabeller Det er kun elementer, der indeholder de ord, du angav i feltet Hurtig søgning, der vises. Klik på Ryd for at fjerne filteret og få vist alle listeelementerne. Dette er et eksempel på en gyldig søgning efter en bestemt forespørgselsliste. 1 Klik på Menu | Forespørgsler og rapporter. Klik på Forespørgsel, og alle tilgængelige forespørgsler i ePolicy Orchestrator vises på listen. 2 For at begrænse listen til bestemte forespørgsler, f.eks. "registrereinger," skal du under Hurtig søgning skrive, detect og klikke på Anvend. Disse og andre forespørgsler vises på listen: • Historik over registrering af malware • Registreringer pr. produkt fra i dag Valg af afkrydsningsfelter i tabelrækker ePolicy Orchestrator-brugergrænsefladen har specielle handlinger og genveje til valg af tabelrækker, som du kan bruge til at vælge afkrydsningsfelter i tabelrækken med klik eller Shift og klik. Nogle outputsider i ePolicy Orchestrator-brugergrænsefladen har et afkrydsningsfelt ud for hvert listeelement i tabellen. Du kan bruge disse afkrydsningsfelter til at vælge rækker enkeltvis, i grupper eller vælge alle rækkerne i tabellen. Denne tabel viser de tastetryk, der anvendes til at vælge afkrydsningsfelter ud for tabelrækker. For at vælge Handling Reaktion Enkeltvise rækker Klik på rækkerne enkeltvist Vælger hver række enkeltvist En gruppe af rækker Klik på et afkrydsningsfelt, hold Shift nede og klik på det sidste afkrydsningsfelt i gruppen Ved at vælge den første og den sidste række oprettes en gruppe af valgte rækker. Ved at bruge Shift og klik til at vælge mere end 1.500 rækker i en tabel på én gang kan medføre en spidsbelastning i CPU-udnyttelse og udløse en fejlmeddelelse med en scriptfejl. Alle rækker Klik på det øverste afkrydsningsfelt i tabeloverskrifter Softwaren McAfee ePolicy Orchestrator 5.1.0 Vælger alle rækker i tabellen Produktvejledning 23 2 Brug af ePolicy Orchestrator-grænsefladen Arbejde med lister og tabeller 24 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Konfiguration af ePolicy Orchestrator-serveren Konfiguration af ePolicy Orchestrator-serveren er det første trin i administrationen af netværkssikkerheden. Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel 3 4 5 6 7 8 Planlægning af ePolicy Orchestrator-konfigurationen Konfiguration af McAfee ePO-serveren Brugerkonti og tilladelsessæt Lagre Registrerede servere Agenthandlere Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 25 Konfiguration af ePolicy Orchestrator-serveren 26 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 3 Planlægning af ePolicy Orchestratorkonfigurationen Du skal oprette en omfattende plan, der er specifik for dit miljø, før du kan bruge din McAfee ePO-server på en effektiv måde. Hvordan du konfigurerer din serverinfrastruktur, og hvor meget konfiguration du skal udføre, afhænger af de unikke behov i dit netværksmiljø. Ved at overveje disse områder på forhånd kan du reducere den tid, det tager at komme op at køre. Indhold Overvejelser i forbindelse med skalerbarhed Internetprotokoller i et administreret miljø Overvejelser i forbindelse med skalerbarhed Administration af skalerbarheden afhænger af, om du bruger flere McAfee ePO-servere, flere eksterne agenthandlere eller begge dele. Med ePolicy Orchestrator-software kan du skalere dit netværk lodret eller vandret. • Lodret skalerbarhed – Tilføjelse og opgradering til større og hurtigere hardware til styring af større og større installationer. Lodret skalering af McAfee ePO-serverens infrastruktur opnås ved at opgradere serverens hardware og brug af flere McAfee ePO-servere i netværket, hver med deres egen database. • Vandret skalerbarhed – Opnås ved at øge den installationsstørrelse, som en enkelt McAfee ePO-server kan håndtere. Vandret skalering af serveren opnås ved at installere flere eksterne agenthandlere, som hver rapporterer til en enkelt database. Hvornår skal der benyttes flere McAfee ePO-servere? Afhængigt af organisationens størrelse og struktur kan det være nødvendigt at benytte flere McAfee ePO-servere. Scenarier, hvor det kan være en god ide at bruge flere servere: • Hvis du vil vedligeholde separate databaser for bestemte enheder i organisationen. • Hvis du har brug for separate it-infrastrukturer, administrative grupper eller testmiljøer. • Hvis organisationen er spredt over et stort geografisk område og bruger en netværksforbindelse med en relativt lille båndbredde, f.eks. Wide Area Network, VPN eller andre langsomme forbindelser, der typisk findes mellem eksterne steder. Du kan finde flere oplysninger om krav til båndbredde i McAfee ePolicy Orchestrator Hardware Usage and Bandwidth Sizing Guide (Vejledning i brug af hardware og båndbreddetilpasning). Brug af flere servere på netværket kræver, at du har en separat database for hver server. Du kan samle oplysninger fra hver server til hovedserveren og -databasen i McAfee ePO. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 27 3 Planlægning af ePolicy Orchestrator-konfigurationen Internetprotokoller i et administreret miljø Hvornår skal der benyttes flere eksterne agenthandlere? Flere eksterne agenthandlere kan hjælpe dig med at administrere store installationer uden ekstra McAfee ePO-servere i miljøet. Agenthandleren er en komponent i serveren, der er ansvarlig for administration af agentforespørgsler. Hver McAfee ePO-serverinstallation omfatter som standard en agenthandler. Scenarier, hvor det kan være en god ide at benytte flere eksterne agenthandlere: • Hvis du vil tillade, at agenter kan vælge mellem flere fysiske enheder, så de kan kalde ind og modtage politik-, opgave- og produktopdateringer – også selvom programserveren ikke er tilgængelig, og du ikke vil bruge McAfee ePO-serveren i en klynge. • Hvis den eksisterende ePolicy Orchestrator-infrastruktur skal udvides til at håndtere flere agenter, flere produkter eller en højere belastning, som skyldes hyppigere agent til server-kommunikationsintervaller (ASCI). • Hvis du bruger McAfee ePO>-serveren til at administrere netværkssegmenter, der ikke er forbundne, f.eks. systemer der bruger NAT (oversættelse af netværksadresser) eller i et eksternt netværk. Dette fungerer, hvis agenthandleren har en forbindelse med stor båndbredde til ePolicy Orchestrator-databasen. Flere agenthandlere kan give øget skalerbarhed og lavere kompleksitet i administrationen af store installationer. Eftersom agenthandlere kræver en meget hurtig netværksforbindelse, er der dog visse scenarier, hvor du ikke bør bruge dem, herunder: • Til erstatning af distribuerede lagre. Distribuerede lagre er lokale filshares, der har til formål at holde agentkommunikationstrafikken lokal. Eftersom agenthandlere ikke har indbygget lagerfunktion, kræver de konstant kommunikation med ePolicy Orchestrator-databasen, og de kræver derfor meget båndbredde. • For at forbedre replikeringen af lager på tværs af en WAN-forbindelse (Wide Area Network). Den konstante kommunikation tilbage til databasen, der kræves ved replikering af lager, kan optage hele WAN-forbindelsen. • Til at afbryde forbindelsen til et netværkssegment, hvor der er begrænset eller uregelmæssig forbindelse til ePolicy Orchestrator-databasen. Internetprotokoller i et administreret miljø ePolicy Orchestrator-software understøtter både Internet Protocol-version IPv4 og IPv6. McAfee ePO-servere fungerer i tre forskellige tilstande: • Kun IPv4 – Understøtter kun IPv4-adresseformatet • Kun IPv6 – Understøtter kun IPv6-adresseformatet • Blandet tilstand – Understøtter både IPv4- og IPv6-adresseformaterne Hvilken tilstand, din McAfee ePO-server fungerer i, afhænger af netværkskonfigurationen. Hvis netværket f.eks. er konfigureret til kun at bruge IPv4-adresser, fungerer din server kun i IPv4-tilstand. På samme måde fungerer din server i blandet tilstand, hvis netværket er konfigureret til at bruge både IPv4- og IPv6-adresser. Indtil IPv6 installeres og aktiveres, lytter McAfee ePO-serveren kun på IPv4-adresser. Når IPv6 er aktiveret, fungerer den i den tilstand, som den er konfigureret til. 28 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Planlægning af ePolicy Orchestrator-konfigurationen Internetprotokoller i et administreret miljø 3 Når McAfee ePO-serveren kommunikerer med en agenthandler på IPv6, rapporteres adresserelaterede egenskaber, f.eks. IP-adresse, undernetværksadresse og undernetværksmaske, i IPv6-format. IPv6-relaterede egenskaber vises i udvidet format og i firkantede parenteser, når de sendes mellem klienter og McAfee ePO-serveren, eller når de vises i brugergrænsefladen eller logfilen. F.eks. vises 3FFE:85B:1F1F::A9:1234 som [3FFE:085B:1F1F:0000:0000:0000:00A9:1234]. Når en IPv6-adresse indstilles til FTP- eller HTTP-kilder, er det ikke nødvendigt at ændre adressen. Men når en konstant IPv6-adresse anvendes til en UNC-kilde, er det nødvendigt at bruge Microsofts konstante IPv6-format. Se Microsoft-dokumentationen for at få flere oplysninger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 29 3 Planlægning af ePolicy Orchestrator-konfigurationen Internetprotokoller i et administreret miljø 30 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 4 Konfiguration af McAfee ePO-serveren Kom hurtigt i gang ved at konfigurere de vigtige funktioner på McAfee ePO-serveren. Indhold Oversigt over serverkonfiguration Brug af produktinstallation under automatisk konfiguration Vigtige funktioner til manuel eller Vejledt konfiguration Automatisk produktkonfiguration Konfiguration af vigtige funktioner Brug af en proxyserver Angivelse af licensnøgle Oversigt over serverkonfiguration Konfigurer McAfee ePO-serveren, så den opfylder de særlige behov i dit miljø, ved hjælp af flere metoder. De vigtigste funktioner på McAfee ePO-serveren, som du skal konfigurere, er: • Softwarestyring – Giver dig mulighed for at tjekke ny og opdateret sikkerhedssoftware ind på McAfee ePO-serveren og i hovedlageret fra konsollen. • Systemtræ – Indeholder alle de systemer, der administreres af McAfee ePO-serveren og tillader, at du udfører handlinger på disse systemer. • Politikkatalog – Her konfigurerer du de politikker, der styrer den sikkerhedssoftware, som er installeret på dine administrerede systemer. • Katalog over klientopgaver – Her opretter, tildeler og planlægger du klientopgaver samt angiver, hvis de skal køre automatisk på de administrerede systemer. • McAfee Agent – Giver dig mulighed for at administrere et system på netværket. Efter installation kommunikerer agenten status og alle tilknyttede data til og fra serveren og det administrerede system. Den bruges til at installere sikkerhedssoftware, håndhæve politikker og tildele opgaver. McAfee Agent er et uafhængigt softwareprodukt, der kræves til McAfee ePO-serveren, for at administrere systemer på netværket. McAfee Agent tjekkes automatisk ind i hovedlageret, første gang du installerer ePolicy Orchestrator-softwaren. Du kan konfigurere disse vigtige funktioner ved hjælp af: • Første produktinstallation – Konfigurerer alle vigtige funktioner automatisk. Se diasshowet Velkommen til ePolicy Orchestrator for at blive bekendt med softwaren, og hvordan den fungerer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 31 4 Konfiguration af McAfee ePO-serveren Oversigt over serverkonfiguration • Vejledt konfiguration – Fører dig igennem konfigurationen af hver enkelt af de vigtige funktioner. • Manuel konfiguration – Processerne for hver enkelt af de vigtige funktioner er beskrevet i denne vejledning. De fleste brugere konfigurerer McAfee ePO-serveren automatisk. Men manuel konfiguration kan være bedre for brugere med bestemte begrænsninger, f.eks.: • Ingen internetadgang • Begrænsninger for direkte overførsel til kritisk infrastruktur • Faseopdelt installation, der kræver, at produkterne frigives trinvist til kritisk miljøer • Store organisationer med bestemte krav i deres miljø Denne tabel indeholder en oversigt over de trin, der skal udføres for at konfigurere ePolicy Orchestrator-softwaren ved hjælp af den vejledte konfiguration. Tabel 4-1 Oversigt over de forskellige konfigurationstrin Trin til første produktinstallation Trin til Vejledt konfiguration 1 Installationen af ePolicy Orchestrator fuldføres, 1 Installationen af ePolicy Orchestrator fuldføres, og du starter softwaren. og du starter softwaren. 2 Log på brugergrænsefladen i ePolicy Orchestrator via logonskærmen. Siden med dashboardet Kom godt i gang med ePolicy Orchestrator vises. Under en normal første produktinstallation skal siden Automatisk produktkonfiguration ikke vises. Hvis siden vises, blev et produkt ikke hentet eller installeret. 3 Se diasshowet Velkommen til ePolicy Orchestrator for at blive bekendt med softwaren, og hvordan den fungerer. 4 På dashboardet Produktinstallation skal du bekræfte, at alle de automatisk installerede produkter og versioner er korrekte og klikke på Start installation. 5 Brug Installér min software, acceptér standardindstillingerne, eller konfigurer indstillingerne enkeltvist, og installér derefter softwaren. 6 Fuldfør disse trin efter behov for dit miljø: 2 Log på brugergrænsefladen i ePolicy Orchestrator via logonskærmen. 3 Kør Vejledt konfiguration af ePolicy Orchestrator for at udføre disse processer: • Føj McAfee-sikkerhedssoftwaren til dit hovedlager • Føj systemer til systemtræet • Opret og tildel mindst én sikkerhedspolitik til dine administrerede systemer • Planlæg en klientopdateringsopgave • Installér dine sikkerhedsprodukter på dine administrerede systemer Brug af Vejledt konfiguration er ikke obligatorisk. Alle disse trin kan udføres manuelt. 4 Fuldfør disse trin efter behov for dit miljø: • Konfigurer generelle serverindstillinger. • Opret brugerkonti. • Konfigurer generelle serverindstillinger. • Konfigurer tilladelsessæt. • Opret brugerkonti. • Konfigurer avancerede serverindstillinger og -funktioner. • Konfigurer tilladelsessæt. • Konfigurer avancerede serverindstillinger og -funktioner. • Konfigurer yderligere komponenter. • Konfigurer yderligere komponenter. Din ePolicy Orchestrator-software er konfigureret og klar til at beskytte dine systemer. Din ePolicy Orchestrator-software er konfigureret og klar til at beskytte dine systemer. 32 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Konfiguration af McAfee ePO-serveren Brug af produktinstallation under automatisk konfiguration 4 Brug af produktinstallation under automatisk konfiguration Du kan bruge Første produktinstallation til at installere produkter på ePolicy Orchestrator og dine administrerede systemer hurtigt. Før du starter Når du har installeret ePolicy Orchestrator-softwaren, starter Automatisk produktkonfiguration med at hente og installere de produkter, du er berettiget til i henhold til din webstedslicens. Du ser sandsynligvis aldrig Automatisk produktkonfiguration, medmindre der opstår en fejl. Disse større trin er nødvendige for at konfigurere ePolicy Orchestrator automatisk efter den første installation. Opgave 1 Klik på ikonet Start ePolicy Orchestrator på skrivebordet for McAfee ePO-serveren for at få vist skærmen Log på. 2 Skriv dine legitimationsoplysninger, og vælg et sprog i dialogboksen Log på. I dashboardet Kom godt i gang med ePolicy Orchestrator vises diasshowet Velkommen til ePolicy Orchestrator og dashboardet Produktinstallation. 3 Gennemgå diasshowet Velkommen til ePolicy Orchestrator for at blive bekendt med brugergrænsefladen og konfigurationsprocessen. I dashboardet Produktinstallation vises alle de produkter, der hentes og installeres automatisk af Automatisk produktkonfiguration. 4 Bekræft, at de installerede produkter og versioner er korrekte, og klik på Start installation. 5 Fuldfør konfigurationen af ePolicy Orchestrator ved at udføre disse opgaver efter behov: • Konfigurer generelle serverindstillinger – Serverindstillingerne i denne gruppe påvirker funktionalitet, som du ikke skal redigere, for at serveren fungerer korrekt, men du kan tilpasse nogle aspekter af serverens funktionsmåde. • Opret brugerkonti, og konfigurer tilladelsessæt – Med brugerkonti kan brugerne få adgang til serveren, og med tilladelsessæt tildeles rettigheder og adgang til funktionerne i ePolicy Orchestrator. • Konfigurer avancerede serverindstillinger og -funktioner – McAfee ePO-serveren indeholder avancerede funktioner og funktionalitet, som hjælper dig med at automatisere administrationen af netværkssikkerheden. • Konfigurer yderligere komponenter – Der kræves yderligere komponenter, f.eks. distribuerede lagre, registrerede servere og agenthandlere, før du kan bruge de mange avancerede funktioner på ePolicy Orchestrator-softwaren. McAfee ePO-serveren beskytter nu dine administrerede systemer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 33 4 Konfiguration af McAfee ePO-serveren Vigtige funktioner til manuel eller Vejledt konfiguration Vigtige funktioner til manuel eller Vejledt konfiguration Mange funktioner på McAfee ePO-serveren er vigtige for brugen af serveren, og de skal konfigureres under manuel eller Vejledt konfiguration. Disse funktioner er påkrævede, før du kan installere og administrere sikkerhedssoftware på systemerne på dit netværk. ePolicy Orchestrator-softwaren leveres med værktøjet Vejledt konfiguration. Dette værktøj er beregnet til at hjælpe dig med at konfigurere vigtige funktioner og blive bekendt med ePolicy Orchestrator-grænsefladen. Vejledt konfiguration hjælper dig med at udføre de nødvendige trin for at gøre følgende: 1 Få McAfee-sikkerhedssoftware tjekket ind i hovedlageret, så det kan installeres på systemer i dit netværk. 2 Føje dine systemer til ePolicy Orchestrator-systemtræet, så du kan administrere dem. 3 Oprette og tildele mindst én sikkerhedspolitik, der skal gennemtvinges i dine administrerede systemer. 4 Planlæg en klientopdateringsopgave for at holde sikkerhedssoftwaren opdateret. 5 Installere sikkerhedssoftwaren på de administrerede systemer. Vejledt konfiguration er ikke obligatorisk. Hvis du udfører disse trin manuelt, anbefales det, at du bruger en tilsvarende arbejdsgang under konfigurationen. Uanset hvilken metode du vælger til konfiguration af disse funktioner, kan du redigere og indstille serverens konfiguration ved hjælp af værktøjet Vejledt konfiguration eller ved at navigere direkte til hver side fra McAfee ePO-menuen. Automatisk produktkonfiguration Under en automatisk konfiguration McAfee ePO henter og installerer serveren alle de McAfee produkter, du er berettiget til, i henhold til din webstedslicens. I de fleste tilfælde ser du aldrig processen Automatisk produktkonfiguration køre under den automatiske konfiguration. Den starter med at køre, så snart du fuldfører installationen af ePolicy Orchestrator-softwaren, og den er som regel fuldført, før du logger på. Hvis siden Automatisk produktkonfiguration vises, første gang du logger på ePolicy Orchestrator, opstod der en fejl under hentning eller installation af produkterne. Det kan f.eks. ske, hvis internetforbindelsen blev afbrudt. Notér det produkt, der ikke blev installeret, og klik på Prøv igen for at forsøge at installere produktet igen. Klik på Stop for at stoppe den automatiske produktinstallation. I en bekræftelsesdialogboks bliver du spurgt, om du vil bruge Softwarestyring til at installere produkterne. Når du klikker på OK i bekræftelsesdialogboksen Stop Automatisk produktkonfiguration, skal du bruge Softwarestyring til at installere produkterne. Automatisk produktkonfiguration er kun tilgængelig under den første konfiguration. Hvis der fortsat opstår fejl for et produkt under Automatisk produktkonfiguration, skal du kontakte McAfees tekniske support. Du kan også klikke på OK for at lukke siden Automatisk produktkonfiguration og begynde at konfigurere McAfee ePO-serveren. Du kan finde oplysninger om status for fremtidige produktinstallationer ved at åbne Softwarestyring: Menu | Software | Softwarestyring. 34 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 4 Konfiguration af McAfee ePO-serveren Konfiguration af vigtige funktioner Konfiguration af vigtige funktioner Brug værktøjet Vejledt konfiguration til at konfigurere vigtige funktioner. Eller du kan bruge disse opgaver som en hjælp, når du konfigurerer din McAfee ePO-server manuelt. Før du starter Hvis du vil konfigurere ePolicy Orchestrator-software manuelt eller bruge Vejledt konfiguration, skal du sørge for, at Automatisk produktkonfiguration ikke kører. Denne opgave antager, at du har kørt Setup.exe for ePolicy Orchestrator ved kommandolinjen med parameteren SKIPAUTOPRODINST=1 for at deaktivere Automatisk produktkonfiguration. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på ikonet Start ePolicy Orchestrator på skrivebordet for McAfee ePO-serveren for at få vist skærmen Log på. 2 Skriv dit brugernavn og din adgangskode, vælg eventuelt et sprog, og klik på Log på. ePolicy Orchestrator startes, og dialogboksen Dashboard vises. 3 Klik på Menu | Rapportering | Dashboards, vælg Vejledt konfiguration på rullelisten Dashboard, og klik derefter på Start. 4 Gennemgå oversigten over og instruktionerne til Vejledt konfiguration, og klik derefter på Start. 5 På siden Valg af software: 6 a Klik på Med licens eller Evaluering under produktkategorien Software, der ikke er tjekket ind for at få vist tilgængelige produkter. b Vælg det produkt, du vil tjekke ind, i tabellen Software. Produktbeskrivelsen og alle tilgængelige komponenter vises i tabellen nedenfor. c Klik på Tjek alle ind for at tjekke produktudvidelser ind på McAfee ePO-serveren og produktpakker ind i hovedlageret. d Klik på Næste øverst på skærmen, når du er færdig med at tjekke softwaren ind og er klar til at begynde med det næste trin. På siden Valg af system: a Vælg den gruppe i systemtræet, som systemerne skal tilføjes. Hvis du ikke har defineret nogen brugerdefinerede grupper, skal du vælge Min organisation og derefter klikke på Næste. Dialogboksen Tilføjelse af dine systemer åbnes. b Vælg den metode, du vil bruge til at føje systemer til systemtræet. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 35 4 Konfiguration af McAfee ePO-serveren Konfiguration af vigtige funktioner Tilføj systemer Hvis du vil ... ved hjælp af... AD-synkronisering Manuel Derefter skal du benytte følgende fremgangsmåde... Synkroniser McAfee ePO-serveren med AD-serveren (Active Directory) eller domænecontrolleren (DC). Hvis du bruger et af disse i dit miljø, er AD-synkronisering den hurtigste måde at føje systemer til systemtræet på. 1 Vælg den synkroniseringstype, du vil bruge, i dialogboksen AD-synkronisering, og angiv de relevante indstillinger. Føj manuelt systemer til systemtræet ved at angive navne eller gennemse listen med systemer efter domæne. 1 På siden Nye systemer skal du klikke på Gennemse for at tilføje individuelle systemer fra et domæne. Klik derefter på OK, eller skriv systemnavnene i feltet Destinationssystemer. 2 Klik på Synkroniser og Gem for at gå til det næste trin. 2 Klik på Tilføj systemer for at gå til det næste trin. 7 På siden Konfiguration af politik: Vælg... Hvis du vil ... Derefter skal du benytte følgende fremgangsmåde... Acceptér standarder Benytte politikindstillingen Min standard for den software, du vil installere, og fortsæt med konfigurationen. Dette trin er nu fuldført. Konfigurer politik Angive brugerdefinerede politikindstillinger for hvert softwareprodukt, du har tjekket ind. 1 I dialogboksen Konfiguration af politik skal du klikke på OK. 2 Vælg et produkt på Produktliste, og klik på Min standard for at redigere indstillingerne for standardpolitikken. 3 Klik på Næste for at gå til det næste trin. 8 36 På siden Opdatering af software: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Konfiguration af McAfee ePO-serveren Konfiguration af vigtige funktioner Vælg... Hvis du vil ... Opret standard Oprette en Dette trin er nu fuldført. standardklientopgave for opdatering af produktet, som kører dagligt kl. 12.00. Angiv opgaveplan Konfigurere planen for klientopgaven for opdatering af produkt manuelt. 4 Derefter skal du benytte følgende fremgangsmåde... 1 Angiv et Produkt og et Opgavenavn ved hjælp af Generator af tildeling af klientopgave for produktopdateringsopgaven. Du må ikke ændre indstillingen for Opgavetype. Opgavetype skal være angivet til Produktopdatering. 2 Konfigurer indstillingerne Lås opgavenedarvning og Koder, og klik derefter på Næste. 3 Angiv planen for opdateringsopgaven, og klik derefter på Næste. 4 Gennemgå oversigten, og klik på Gem. 9 På siden Softwareinstallation: a Vælg den placering i systemtræet, som indeholder de systemer, hvor softwaren skal installeres, og klik derefter på Næste. Klik på OK for at fortsætte. b Angiv indstillingerne for installationen af McAfee Agent, og klik derefter på Installér. Klik på Spring installationen af agenten over, hvis du vil vente med at udføre denne handling til senere. Du skal dog installere agenterne, før du kan installere anden sikkerhedssoftware. c Vælg de softwarepakker, du vil installere på de administrerede systemer, og klik derefter på Installér. 10 På siden Konfigurationsoversigt skal du klikke på Udfør for at lukke Vejledt konfiguration. 11 Fuldfør konfigurationen af ePolicy Orchestrator ved at udføre disse opgaver efter behov: • Konfigurer generelle serverindstillinger – Serverindstillingerne i denne gruppe påvirker funktionalitet, som du ikke behøver at redigere, for at serveren fungerer korrekt, men du kan tilpasse nogle aspekter af serverens funktionsmåde. • Opret brugerkonti, og konfigurer tilladelsessæt – Med brugerkonti kan brugerne få adgang til serveren, og med tilladelsessæt tildeles rettigheder og adgang til funktionerne i ePolicy Orchestrator. • Konfigurer avancerede serverindstillinger og -funktioner – McAfee ePO-serveren indeholder avancerede funktioner og funktionalitet, som hjælper dig med at automatisere administrationen af netværkssikkerheden. • Konfigurer yderligere komponenter – Der kræves yderligere komponenter, f.eks. distribuerede lagre, registrerede servere og agenthandlere, før du kan bruge de mange avancerede funktioner i ePolicy Orchestrator-softwaren. McAfee ePO-serveren beskytter nu dine administrerede systemer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 37 4 Konfiguration af McAfee ePO-serveren Brug af en proxyserver Brug af en proxyserver Hvis du bruger en proxyserver i netværksmiljøet, skal du angive proxyindstillingerne på siden Serverindstillinger. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Proxyindstillinger under Indstillingskategorier, og klik derefter på Rediger. 2 Vælg Konfigurer proxyindstillingerne manuelt, angiv de bestemte konfigurationsoplysninger, som proxyserveren benytter til hvert sæt indstillinger, og klik derefter på Gem. Angivelse af licensnøgle Licensnøglen giver dig ret til en fuld installation af softwaren, og den licenserede ePolicy Orchestrator-software, som virksomheden ejer, føjes til Softwarestyring til McAfee. Uden en licensnøgle kører softwaren i evalueringstilstand. Når evalueringsperioden er udløbet, holder softwaren op med at fungere. Du kan tilføje en licensnøgle når som helst i eller efter evalueringsperioden. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 38 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Licensnøgle fra Indstillingskategorier, og klik på Rediger. 2 Skriv din Licensnøgle, og klik på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 5 Brugerkonti og tilladelsessæt Hver brugerkonto er tilknyttet et eller flere tilladelsessæt, som definerer, hvad brugeren har tilladelse til at gøre med softwaren. Indhold Brugerkonti Godkendelse af klientcertifikat Tilladelsessæt Brugerkonti Ved hjælp af brugerkonti kan du styre, hvordan brugere får adgang til og bruger softwaren. Selv i små netværksinstallationer skal du angive og kontrollere den adgang, brugerne har til de forskellige dele af systemet. Brugerkonti kan oprettes og administreres på flere måder. Du kan: • Opret brugerkonti manuelt, og tildel derefter et relevant tilladelsessæt til hver konto. • Konfigurer din McAfee ePO-server, så brugere kan logge på med Windows-godkendelse. Tilladelse til at brugere kan logge på med deres Windows-legitimationsoplysninger er en avanceret funktion, der kræver konfiguration af flere indstillinger og komponenter. Brugerkonti og tilladelsessæt er tæt forbundet, men de oprettes og konfigureres ved hjælp af separate trin. Indhold Administration af brugerkonti Oprettelse af en brugerdefineret logonmeddelelse Konfiguration af Active Directory-brugerlogon Understøttede formater for brugernavne og adgangskoder Siden Inputfil (Importprogram for politiktildeling) Administration af brugerkonti Du kan oprette, redigere og slette brugerkonti manuelt på siden Brugeradministration. McAfee anbefaler, at du deaktiverer logonstatus for en konto i stedet for at slette den, indtil du er sikker på, at alle de nyttige oplysninger, der er knyttet til kontoen, er flyttet til andre brugere. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 39 5 Brugerkonti og tilladelsessæt Brugerkonti Opgave 1 Åbn siden Brugeradministration ved at klikke på Menu | Brugeradministration | Brugere. 2 Vælg en af disse handlinger. Handling Trin Oprettelse af en bruger 1 Klik på Ny bruger. 2 Skriv et brugernavn. 3 Vælg, om logonstatus for denne konto skal aktiveres eller deaktiveres. Hvis denne konto er til en person, der endnu ikke er en del af organisationen, kan det være en fordel at deaktivere den. 4 Vælg, om den nye konto bruger McAfee ePO-godkendelse,Windows-godkendelse eller Certifikatbaseret godkendelse, og angiv de nødvendige legitimationsoplysninger, eller find certifikatet, og vælg det. 5 Du kan også angive brugerens fulde navn, e-mailadresse, telefonnummer og en beskrivelse i tekstfeltet Noter. 6 Vælg, om brugeren skal gøres til administrator, eller vælg de relevante tilladelsessæt for brugeren. 7 Klik på Gem for at vende tilbage til fanen Brugere. Den nye bruger vises på listen Brugere på siden Brugeradministration. Redigering af en bruger 1 Markér den bruger, du vil redigere, på listen Brugere, og klik derefter på Handling | Rediger. 2 Rediger kontoen efter behov. 3 Klik på Gem. Ændringerne af brugeren vises på listen Brugere på siden Brugeradministration. Sletning af en 1 Markér den bruger, du vil slette, på listen Brugere, og klik derefter på Handling | bruger Slet. 2 Klik på OK, når du bliver bedt om det. Ændringerne af brugeren forsvinder fra listen Brugere på siden Brugeradministration. Oprettelse af en brugerdefineret logonmeddelelse Opret og vis en brugerdefineret logonmeddelelse til visning på siden Log på. Meddelelsen kan skrives som klartekst eller kan formatteres vha. HTML. Hvis du opretter en HTML-formatteret meddelelse, er du ansvarlig for al formattering og all koder. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 40 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Logonmeddelelse i Indstillingskategorier, og klik derefter på Rediger. 2 Vælg Vis brugerdefineret logonmeddelelse, og skriv derefter meddelelsen, og klik på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Brugerkonti og tilladelsessæt Brugerkonti 5 Konfiguration af Active Directory-brugerlogon Du kan spare tid og forenkle administrationen af brugerkonti og -adgang ved at konfigurere Active Directory-brugerlogon. Indhold Administration af ePolicy Orchestrator-brugere med Active Directory Strategier for godkendelse og autorisation i Windows Aktivering af Windows-godkendelse på McAfee ePO-serveren Konfiguration af Windows-godkendelse Konfiguration af Windows-autorisation Administration af ePolicy Orchestrator-brugere med Active Directory Du kan bruge eksisterende Windows-godkendte legitimationsoplysninger til automatisk oprettelse af ePolicy Orchestrator-brugere og tildele tilladelser til dem. Processen gennemføres ved at knytte ePolicy Orchestrator-tilladelsessæt til Active Directory-grupper i miljøet. Denne funktion kan reducere administrationsomkostningerne, hvis du har et stort antal ePolicy Orchestrator-brugere i organisationen. Du skal anvende følgende proces til at fuldføre konfigurationen: • Konfigurer brugergodkendelse. • Registrer LDAP-servere. • Giv tilladelsessæt til Active Directory-gruppen. Brugergodkendelse ePolicy Orchestrator-brugere kan godkendes med ePolicy Orchestrator-adgangskodegodkendelse eller Windows-godkendelse. Hvis du bruger Windows-godkendelse, kan du angive, om brugerne skal godkendes: • På baggrund af det domæne, som McAfee ePO-serveren er tilknyttet (standard). • På baggrund af en liste på en eller flere domænecontrollere. • På baggrund af en liste på en eller flere domænenavne af DNS-typen. • Ved hjælp af en WINS-server, som søger efter den relevante domænecontroller. Hvis du bruger domænecontrollere, domænenavne i DNS-stil eller en WINS-server, skal du konfigurere serverindstillingen for Windows-godkendelse. Registrerede LDAP-servere Det er nødvendigt at registrere LDAP-servere med McAfee ePO-serveren for at tillade dynamisk tildeling af tilladelsessæt til Windows-brugere. Dynamisk tildelte tilladelsessæt tildeles brugere på baggrund af deres Active Directory-gruppemedlemskaber. Brugere, der er tillid til via eksterne envejs tillidsforhold, understøttes ikke. Der skal være tillid til den brugerkonto, der anvendes til at registrere LDAP-serveren med ePolicy Orchestrator, via et transitivt tovejs tillidsforhold, eller brugerkontoen skal eksistere fysisk på det domæne, som LDAP-serveren tilhører. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 41 5 Brugerkonti og tilladelsessæt Brugerkonti Windows-godkendelse Serverindstillingen til Windows-godkendelses angiver, hvilken Active Directory-server (AD) ePolicy Orchestrator skal bruge til at indsamle bruger- og gruppeoplysninger til et bestemt domæne. Du kan angive flere domænecontrollere og AD-servere. Denne serverindstilling understøtter muligheden for dynamisk at tildele tilladelsessæt til brugere, som angiver Windows-legitimationsoplysninger ved logon. ePolicy Orchestrator kan dynamisk tildele tilladelsessæt til Windows-godkendte brugere, selv om Active Directory-brugerlogon ikke er aktiveret. Tildele tilladelser Du skal tildele mindst en tilladelse til en AD-gruppe, som ikke må være en brugers primære gruppe. Dynamisk tildeling af tilladelsessæt til en brugers primære gruppe understøttes ikke og medfører, at kun tilladelser, som er tildelt manuelt til den enkelte bruger, anvendes. Den primære gruppe er som standard "Domænebrugere". Active Directory-brugerlogon Når du har konfigureret de tidligere behandlede afsnit, kan du aktivere serverindstillingen til automatisk brugeroprettelse. Med automatisk brugeroprettelse er det muligt at oprette brugerregistreringer automatisk, når følgende betingelser er opfyldt: • Brugerne angiver gyldige legitimationsoplysninger i formatet <domain\name>. F.eks. skal en bruger med Windows-legitimationsoplysningerne jsmith1, som er medlem af Windows-domænet eng, angive følgende legitimationsoplysninger: eng\jsmith1 samt den relevante adgangskode. • En Active Directory-server, der indeholder oplysninger om denne bruger, er registreret i ePolicy Orchestrator. • Brugeren er medlem af mindst én lokal eller global domænegruppe, som er knyttet til et ePolicy Orchestrator-tilladelsessæt. Strategier for godkendelse og autorisation i Windows Du kan bruge en række tilgange, når du planlægger, hvordan LDAP-serveren skal registreres. Hvis du planlægger serverregistreringsstrategien på forhånd, er der større sandsynlighed for, at den bliver rigtig første gang, og problemer med brugergodkendelse reduceres. Ideelt set er dette en proces, du skal gennemgå én gang og kun ændre, hvis den overordnede netværkstopologi ændres. Når servere er blevet registreret, og Windows-godkendelse er blevet konfigureret, bør det ikke være nødvendigt at ændre disse indstillinger særlig tit. Godkendelse i forhold til autorisation Godkendelse involverer bekræftelse af brugerens identitet. Dette er processen til at sammenligne de legitimationsoplysninger, som brugeren angiver, med noget, som systemet har tillid til som autentisk. Det kan f.eks. være en McAfee ePO-serverkonto, Active Directory-legitimationsoplysninger eller et certifikat. Hvis du vil benytte Windows-godkendelse, skal du undersøge, hvordan de domæner (eller servere), der indeholder brugerkontiene, er organiserede. Autorisation finder sted, når du har bekræftet brugerens legitimationsoplysninger. Her anvendes tilladelsessæt, der bestemmer, hvad brugeren kan foretage sig i systemet. Når du bruger Windows-godkendelse, kan du angive, hvad brugere fra forskellige domæner har autorisation til. Dette sker ved at knytte tilladelsessæt til grupper i disse domæner. 42 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 5 Brugerkonti og tilladelsessæt Brugerkonti Netværkstopologi for brugerkonti Præcis hvor meget der kræves til at konfigurere Windows-godkendelse og -autorisation fuldt ud, afhænger af netværkstopologien samt distributionen af brugerkonti på tværs af netværket. • Hvis legitimationsoplysningerne for de potentielle brugere er indeholdt i et lille sæt domæner (eller servere) i et enkelt domænetræ, skal du blot registrere roden af det pågældende træ, og så er du færdig. • Hvis brugerkontiene er spredt mere ud, skal du registrere et antal servere eller domæner. Fastsæt det mindste antal underdomænetræer (eller servere), du har brug for, og registrer rødderne for disse træer. Forsøg at registrere dem i den rækkefølge, som de oftest bliver benyttet i. Eftersom godkendelsesprocessen går igennem listen med domæner (eller servere) i den rækkefølge, de kommer i, forbedres den gennemsnitlige godkendelsesydeevne, hvis de domæner, der bruges hyppigst, står først på listen. Tilladelsesstruktur Hvis brugerne skal kunne logge på en McAfee ePO-server vha. Windows-godkendelse, skal et tilladelsessæt knyttes til den Active Directory-gruppe, som brugernes konti tilhører på domænet. Når du fastlægger, hvordan tilladelsessæt skal tildeles, skal du tage højde for følgende funktioner: • Tilladelsessæt kan tildeles flere Active Directory-grupper. • Tilladelsessæt kan kun tildeles dynamisk til en hel Active Directory-gruppe. De kan ikke tildeles til kun nogle få brugere i en gruppe. Hvis du har brug for at tildele specielle tilladelser til en enkelt bruger, kan du gøre det ved at oprette en Active Directory-gruppe, der kun indeholder den ene bruger. Aktivering af Windows-godkendelse på McAfee ePO-serveren Serveren skal forberedes, før der kan bruges en mere avanceret Windows-godkendelse. Før du kan aktivere siden Windows-godkendelse under serverindstillingerne, skal du stoppe ePolicy Orchestrator-tjenesten. Denne opgave skal udføres direkte på McAfee ePO-serveren. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Vælg Start | Indstillinger | Kontrolpanel | Administration fra serverkonsollen 2 Vælg Tjenester. 3 Højreklik på McAfee ePolicy Orchestrator-programserver i vinduet Tjenester, og vælg Stop. 4 Omdøb Winauth.dll til Winauth.bak. I en standardinstallation findes denne fil i C:\Program Files\McAfee\ePolicy Orchestrator \Server\bin. 5 Genstart serveren. Når du åbner siden Serverindstillinger næste gang, vises indstillingen Windows-godkendelse. Konfiguration af Windows-godkendelse Der er mange metoder, du kan benytte til at bruge legitimationsoplysninger til eksisterende Windows-konti i ePolicy Orchestrator. Før du starter Du skal først have forberedt serveren til Windows-godkendelse. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 43 5 Brugerkonti og tilladelsessæt Brugerkonti Konfigurationen af disse indstillinger afhænger af flere faktorer: • Ønsker du at bruge flere domænecontrollere? • Har du brugere fordelt på flere domæner? • Ønsker du at bruge en WINS-server til at slå op og tjekke, hvilket domæne brugerne godkender ud fra? Brugeren kan uden nogen særlig konfiguration godkende ved hjælp af Windows-legitimationsoplysninger for det domæne, som McAfee ePO-serveren er tilsluttet, eller for andre domæner, der har tovejstillid til McAfee ePO-serverens domæne. Hvis du har brugere i domæner, der ikke opfylder disse kriterier, skal du konfigurere Windows-godkendelse. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, og vælg derefter Windows-godkendelse på listen Indstillingskategorier. 2 Klik på Rediger. 3 Angiv, om du ønsker at bruge et eller flere domæner, en eller flere domænecontrollere eller en WINS-server. Domæner skal angives i DNS-format. (f.eks. interntdomæne.com) Domænecontrollere og WINS-servere skal have fuldt kvalificerede domænenavne. (f.eks. dc.interntdomæne.com) Du kan angive flere domæner eller domænecontrollere, men kun én WINS-server. Klik på + for at føje flere domæner eller domænecontrollere til listen. 4 Klik på Gem, når du er færdig med at tilføje servere. Hvis du angiver domæner eller domænecontrollere, forsøger McAfee ePO-serveren at godkende brugere med servere i den rækkefølge, de er anført i. Den starter med den første server på listen og fortsætter ned på listen, indtil brugeren bliver godkendt. Konfiguration af Windows-autorisation Brugere, der forsøger at logge på en McAfee ePO-server ved hjælp af Windows-godkendelse, skal have et tilladelsessæt tildelt til en af deres Active Directory-grupper. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 44 1 Klik på Menu | Brugeradministration | Tilladelsessæt. 2 Vælg enten et eksisterende tilladelsessæt på listen Tilladelsessæt, og klik på Rediger i afsnittet Navn og brugere, eller klik på Handlinger | Ny. 3 Vælg de individuelle brugere, som tilladelsessættet skal gælde for. 4 Vælg et servernavn på listen, og klik på Tilføj. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 5 Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat 5 Naviger gennem grupperne i LDAP-browseren, og vælg de grupper, som dette tilladelsessæt skal gælde for. Når der vælges et element i ruden Gennemse, vises elementets medlemmer i ruden Grupper. Du kan vælge et vilkårligt antal af disse grupper, som skal modtage tilladelsessættet dynamisk. Der kan kun tilføjes medlemmer fra ét element ad gangen. Gentag trin 4 og 5, indtil du er færdig, hvis du vil tilføje flere. 6 Klik på Gem. Tilladelsessættet anvendes nu til alle brugere fra de grupper, du angav, da du loggede på serveren vha. Windows-godkendelse. Understøttede formater for brugernavne og adgangskoder Gennemse disse understøttede formater, når du opretter brugernavne og adgangskoder for SQL-databaser. Alle tegn, der kan udskrives, i ISO8859-1-tegnsættet understøttes med følgende undtagelser. Platform Ikke-understøttede tegn i adgangskoder og brugernavne McAfee ePO • Foranstillede mellemrum, efterstillede mellemrum og adgangskoder, som kun indeholder af mellemrum • Dobbelt anførselstegn (") • Foranstillet omvendt skråstreg (\) • Kolon i brugernavne (:) • Semikolon i brugernavne (;) Siden Inputfil (Importprogram for politiktildeling) Find den XML-fil, som indeholder de politiktildelinger, du vil importere. Tabel 5-1 Definition af indstillinger Indstilling Definition Fil, der skal importeres Angiver den XML-fil med politiktildeling, du vil importere. Vælg Gennemse for at navigere til filen. Godkendelse af klientcertifikat Klienter kan bruge et digitalt certifikat som legitimationsoplysninger til godkendelse, når de logger på en McAfee ePO-server. Indhold Hvornår bruges godkendelse af klientcertifikat? Konfiguration af godkendelse af klientcertifikat for ePolicy Orchestrator Rediger godkendelse af en certifikatbaseret McAfee ePO-server Deaktiver godkendelse af klientcertifikat for McAfee ePO-server Konfiguration af brugere til certifikatgodkendelse Opdatering af fil med oversigt over tilbagetrukne certifikater Problemer med godkendelse af klientcertifikat SSL-certifikater Oprettelse af et selvsigneret certifikat med OpenSSL Andre nyttige OpenSSL-kommandoer Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 45 5 Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat Konvertering af en eksisterende PVK-fil til en PEM-fil Hvornår bruges godkendelse af klientcertifikat? Godkendelse af klientcertifikat er den mest sikre metode, der findes. Det er dog ikke det bedste valg til alle miljøer. Godkendelse af klientcertifikat er en udvidelse af godkendelse med offentlig nøgle. Denne form for godkendelse bruger offentlige nøgler som grundlag, men adskiller sig fra godkendelse med offentlig nøgle ved, at du kun skal have tillid til en tredjepart, der er tillid til, også kaldet en certifikatmyndighed. Certifikater er digitale dokumenter, der indeholder en kombination af id-oplysninger og offentlige nøgler, og som signeres digitalt af den certifikatmyndighed, der bekræfter, at oplysningerne er korrekte. Fordele ved certifikatbaseret godkendelse Certifikatbaseret godkendelse har en række fordele fremfor adgangskodegodkendelse: • Certifikater har foruddefinerede levetider. Dette giver mulighed for en tvungen, periodisk gennemgang af en brugers tilladelser, når den pågældende persons certifikat udløber. • Hvis en brugers adgang skal deaktiveres eller afsluttes, skal certifikatet føjes til en liste over tilbagetrukne certifikater eller oversigt over tilbagetrukne certifikater, som kontrolleres mod hvert logonforsøg for at undgå uautoriseret adgang. • Certifikatgodkendelse er lettere at administrere og mere skalerbart i store institutioner end andre former for godkendelse, fordi det kun kræver tillid til et lille antal certifikatmyndigheder (ofte kun en enkelt). Ulemper ved certifikatbaseret godkendelse Ikke alle miljøer er egent til certifikatbaseret godkendelse. Af ulemper ved denne metode kan nævnes: • En infrastruktur til offentlige nøgler er påkrævet. Dette kan betyde ekstra omkostninger, der ikke nødvendigvis står mål med den øgede sikkerhed. • Der er yderligere arbejde forbundet med at vedligeholde certifikater i forhold til adgangskodebaseret godkendelse. Konfiguration af godkendelse af klientcertifikat for ePolicy Orchestrator ePolicy Orchestrator skal konfigureres korrekt, før brugere kan logge på med certifikatgodkendelse. Før du starter Du skal allerede have modtaget et underskrevet certifikat i P7B-, PKCS12-, DER- eller PEM-format. Opgave 46 1 Klik på Menu | Konfiguration | Serverindstillinger. 2 Vælg Certifikatbaseret godkendelse, og klik på Rediger. 3 Vælg Aktivér certifikatbaseret godkendelse. 4 Klik på Gennemse ud for Certifikat fra certifikatmyndigheden som klientcertifikat (P7B, PEM). 5 Gå til certifikatfilen, og vælg den, og klik derefter på OK. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat 6 Hvis du har en fil med oversigt over tilbagetrukne certifikater (CRL), skal du klikke på Gennemse ud for dette redigeringsfelt, gå til filen med oversigt over tilbagetrukne certifikater og klikke på OK. 7 Klik på Gem for at gemme alle ændringerne. 8 Genstart ePolicy Orchestrator for at aktivere certifikatgodkendelse. 5 Rediger godkendelse af en certifikatbaseret McAfee ePO-server Servere kræver certifikater til SSL-forbindelser, hvilket giver øget sikkerhed i forhold til standard-HTTP-sessioner. Før du starter Hvis du vil overføre et signeret certifikat, skal du allerede have modtaget et servercertifikat fra en certifikatmyndighed. Det er muligt at oprette selvsignerede certifikater i stedet for at bruge certifikatet, der er signeret eksternt, selvom det indebærer en let forhøjet risiko. Denne opgave kan benyttes indledningsvist til at konfigurere certifikatbaseret godkendelse eller redigere en eksisterende konfiguration med et opdateret certifikat. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger. 2 Vælg Certifikatbaseret godkendelse, og klik på Rediger. 3 Vælg Aktivér certifikatbaseret godkendelse. 4 Klik på Gennemse ud for Certifikat fra certifikatmyndigheden som klientcertifikat. Gå til og vælg certifikatfilen, og klik på OK. Når en fil er blevet anvendt, ændres meddelelsen til Erstat nuværende certifikat fra certifikatmyndighed. 5 Hvis du har angivet en PKCS12-certifikatfil, skal du angive en adgangskode. 6 Hvis du vil angive en fil med oversigt over tilbagetrukne certifikater (Certificate Revoked List), skal du klikke på Gennemse ud for Fil med oversigt over tilbagetrukne certifikater (PEM). Gå til og vælg filen med oversigt over tilbagetrukne certifikater, og klik derefter på OK. Filen med oversigt over tilbagetrukne certifikater skal være i PEM-format. 7 Vælg evt. avancerede indstillinger. 8 Klik på Gem for at gemme alle ændringerne. 9 Genstart serveren for at aktivere ændringerne af indstillingerne for certifikatbaseret godkendelse. Deaktiver godkendelse af klientcertifikat for McAfee ePO-server Servercertifikater kan og skal deaktiveres, hvis de ikke længere bruges. Før du starter Serveren skal være konfigureret til godkendelse af klientcertifikatet på forhånd, før du kan deaktivere servercertifikater. Så snart et servercertifikat er overført, er det kun muligt at deaktivere det, ikke fjerne det. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 47 5 Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Åbn siden Serverindstillinger ved at vælge Menu | Konfiguration | Serverindstillinger. 2 Vælg Certifikatbaseret godkendelse, og klik på Rediger. 3 Fjern markeringen af Aktivér certifikatbaseret godkendelse, og klik derefter på Gem. Serverindstillingerne er ændret, men du skal genstarte serveren for at fuldføre ændringen af konfigurationen. Konfiguration af brugere til certifikatgodkendelse Brugere skal have certifikatgodkendelse konfigureret, før de kan godkende med deres certifikatgodkendelse. Certifikater, der bruges til brugergodkendelse, anskaffes typisk vha. et chipkort eller lignende enhed. Software, der følger med chipkorthardwaren, kan pakke certifikatfilen ud. Denne udpakkede certifikatfil er normalt den fil, der overføres i denne procedure. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Brugeradministration | Brugere. 2 Vælg en bruger, og klik på Handlinger | Rediger. 3 Vælg Skift godkendelse eller legitimationsoplysninger, og vælg derefter Certifikatbaseret godkendelse. 4 Brug en af disse metoder til at angive legitimationsoplysninger. • Kopiér DN-feltet fra certifikatfilen, og indsæt det i redigeringsfeltet Felt med entydigt navn for emnet i det personlige certifikat. • Overfør den certifikatfil, der blev signeret ved hjælp af certifikatet for den certifikatmyndighed, som blev overført i afsnittet Konfiguration af godkendelse af certifikat for ePolicy Orchestrator. Klik på Gennemse, gå til certifikatfilen på computeren, og vælg den, og klik derefter på OK. Brugercertifikater kan være PEM- eller DER-kodet. Certifikatets format har ingen betydning, så længe formatet er kompatibelt med X.509 eller PKCS12. 5 Klik på Gem for at gemme ændringer af brugerens konfiguration. De angivne certifikatoplysninger kontrolleres, og der udløses en advarsel, hvis de ikke er gyldige. Når brugeren fremover forsøger at logge på ePolicy Orchestrator fra en browser, hvor brugerens certifikat er installeret, er logonformularen nedtonet, og brugeren godkendes straks. Opdatering af fil med oversigt over tilbagetrukne certifikater Du kan opdatere filen med oversigt over tilbagetrukne certifikater, der er installeret på McAfee ePO-serveren, for at forhindre adgang til ePolicy Orchestrator for bestemte brugere. Før du starter Du skal have en fil med oversigt over tilbagetrukne certifikater i ZIP- eller PEM-format. Filen med oversigt over tilbagetrukne certifikater indeholder en liste over tilbagekaldte ePolicy Orchestrator-brugere og deres status for deres digitale certifikater. Listen indeholder tilbagekaldte certifikater, årsager til tilbagekaldelse, problemer med udstedelsesdato for certifikatet samt den 48 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 5 Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat udstedende enhed. Når en bruger forsøger at få adgang til McAfee ePO-serveren, kontrolleres filen med oversigt over tilbagetrukne certifikater, og adgang for den pågældende bruger tillades eller afvises. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger. 2 Vælg Certifikatbaseret godkendelse, og klik på Rediger. 3 Hvis du har en fil med oversigt over tilbagetrukne certifikater, skal du klikke på Gennemse ud for dette redigeringsfelt, gå til filen med oversigt over tilbagetrukne certifikater og klikke på OK. 4 Klik på Gem for at gemme alle ændringerne. 5 Genstart ePolicy Orchestrator for at aktivere certifikatgodkendelse. Du kan også bruge cURL-kommandolinjen til at opdatere filen med oversigt over tilbagetrukne certifikater. I cURL-kommandolinjen kan du f.eks. skrive: Hvis du vil køre cURL-kommandoer fra kommandolinjen, skal cURL være installeret på McAfee ePO-serveren, og der skal være fjernadgang. Du kan finde oplysninger om hentning af cURL og tilhørende eksempler i Scriptvejledning til ePolicy Orchestrator 5.0.0. curl -k --cert <admin_cert>.pem --key <admin_key>.pem https://<localhost>:<port>/ remote/console.cert.updatecrl.do -F crlFile=@<crls>.zip I denne kommando: • <admin_cert> – .PEM-filnavn for administratorklientens certifikat • <admin_key> – .PEM-filnavn for administratorklientens private nøgle • <localhost>:<port> – McAfee ePO-servernavn og kommunikationsportnummer • <crls> – .PEM- eller .zip-filnavnet på filen med oversigt over tilbagetrukne certifikater Nu kontrolleres den nye fil med oversigt over tilbagetrukne certifikater, hver gang en bruger forsøger at få adgang til McAfee ePO-serveren for at bekræfte, om certifikatgodkendelsen er tilbagekaldt. Problemer med godkendelse af klientcertifikat De fleste problemer med certifikatgodkendelse skyldes ét af et mindre antal problemer. Hvis en bruger ikke kan logge på ePolicy Orchestrator med sit certifikat, kan du prøve en af følgende muligheder for at løse problemet: • Kontrollér, at brugeren ikke er deaktiveret. • Kontrollér, at certifikatet ikke er udløbet eller tilbagekaldt. • Kontrollér, at certifikatet er underskrevet af den korrekte certifikatmyndighed. • Kontrollér, at DN-feltet er korrekt på brugerkonfigurationssiden. • Kontrollér, at browseren angiver det korrekte certifikat. • Kontrollér overvågningsloggen for godkendelsesmeddelelser. SSL-certifikater I de browsere, der understøttes af McAfee ePO, vises en advarsel om en servers SSL-certifikat, hvis den ikke kan bekræfte, at certifikatet er gyldigt eller signeret af en kilde, browseren har tillid til. McAfee ePO-serveren benytter som standard et selvsigneret certifikat til SSL-kommunikation med Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 49 5 Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat webbrowseren, eftersom webbrowseren som standard ikke har tillid til serveren. Det medfører, at der vises en advarsel, hver gang du går til McAfee ePO-konsollen. Benyt en af følgende fremgangsmåder for at forhindre, at denne advarsel vises: • Føj McAfee ePO-servercertifikatet til samlingen af certifikater, som browseren har tillid til. Dette skal gøres for hver browser, der interagerer med McAfee ePO. Hvis browsercertifikatet ændres, skal du tilføje McAfee ePO-servercertifikatet igen, eftersom det certifikat, der sendes af serveren, ikke længere stemmer overens med det certifikat, browseren er konfigureret til at bruge. • Erstat McAfee ePO-standardservercertifikatet med et gyldigt certifikat, der er signeret af et nøglecenter, som browseren har tillid til. Dette er den bedste indstilling. Eftersom certifikatet signeres af et nøglecenter, der er tillid til, er det ikke nødvendigt at føje certifikatet til alle organisationens webbrowsere. Hvis værtsnavnet på serveren ændres, kan du erstatte servercertifikatet med et andet certifikat signeret af et nøglecenter, der er tillid til. Hvis du vil erstatte McAfee ePO-servercertifikatet, skal du først indhente certifikatet. Det anbefales, at du indhenter et certifikat fra et nøglecenter, der er tillid til. Du skal også bruge certifikatets private nøgle og eventuelle adgangskode. Du kan herefter bruge alle disse filer til at erstatte serverens certifikat. Der er flere oplysninger om erstatning af servercertifikater i afsnittet Sikkerhedsnøgler og deres funktion. McAfee ePO-browseren forventer, at de tilknyttede filer bruger følgende format: • Servercertifikat – P7B eller PEM • Privat nøgle – PEM Hvis servercertifikatet eller den private nøgle ikke er i et af disse formater, skal de konverteres til et af de formater, der understøttes, før de kan bruges til at erstatte servercertifikatet. Udskiftning af servercertifikatet Du kan angive servercertifikatet og den private nøgle, der bruges af ePolicy Orchestrator fra serverindstillingerne. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, og klik derefter på Servercertifikat på listen Indstillingskategorier. 2 Klik på Rediger. Siden Rediger servercertifikat vises. 3 Find servercertifikatfilen, og klik på Åbn. 4 Find filen med den private nøgle, og klik på Åbn. 5 Skriv om nødvendigt adgangskoden til den private nøgle. 6 Klik på Gem. Når du har anvendt det nye certifikat og den nye private nøgle, skal du genstarte ePolicy Orchestrator, før ændringen træder i kraft. 50 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat 5 Installation af sikkerhedscertifikatet, når du bruger Internet Explorer Forhindring af visning af certifikatmeddelelsen, hver gang du logger på, ved installation af sikkerhedscertifikatet. Opgave 1 Start ePolicy Orchestrator fra din browser. Siden Certifikatfejl: Siden Navigationen blev blokeret vises. 2 Klik på Fortsæt til dette websted (anbefales ikke) for at åbne logonsiden. Adresselinjen er rød, hvilket betyder, at browseren ikke kan verificere sikkerhedscertifikatet. 3 Klik på Certifikatfejl til højre for adresselinjen for at få vist advarslen Certifikatet er ugyldigt. 4 Klik på Vis certifikater nederst i advarslen for at åbne dialogboksen Certifikat. Klik ikke på Installér certifikat under fanen Generelt. Hvis du gør dette, mislykkes processen. 5 Vælg fanen Certifikatsti, vælg derefter Orion_CA_<servername>, og klik på Vis certifikat. Der åbnes en anden dialogboks under fanen Generelt, som viser certifikatoplysningerne. 6 Klik på Installér certifikat for at åbne Guiden Certifikatimport. 7 Klik på Næste for at angive, hvor certifikatet er gemt. 8 Vælg Placer alle certifikater i følgende certifikatlager, og klik derefter på Gennemse for at vælge en placering. 9 Vælg mappen Rodcertifikatcentre, der er tillid til fra listen, klik på OK, og klik derefter på Næste. 10 Klik på Udfør. Klik på Ja i den Sikkerhedsadvarsel, der vises. 11 Luk browseren. 12 Skift destinationen for ePolicy Orchestrator-skrivebordsgenvejen for at bruge NetBIOS-navnet på McAfee ePO-serveren i stedet for "lokalvært". 13 Genstart ePolicy Orchestrator. Når du logger på ePolicy Orchestrator, bliver du ikke længere bedt om at acceptere certifikatet. Installation af sikkerhedscertifikatet, når du bruger Firefox 3.5 eller nyere Du kan installere sikkerhedscertifikatet, hvis du bruger Firefox 3.5 eller nyere, så advarselsdialogboksen ikke vises, hver gang du logger på. Opgave 1 Start ePolicy Orchestrator i browseren. Siden Sikker forbindelse mislykkedes vises. 2 Klik på Eller du kan tilføje en undtagelse nederst på siden. Knappen Tilføj undtagelse vises nu på siden. 3 Klik på Tilføj undtagelse. Dialogboksen Tilføj sikkerhedsundtagelse vises. 4 Klik på Hent certifikat. Oplysningerne om certificeringsstatus udfyldes, og knappen Bekræft sikkerhedsundtagelse aktiveres. 5 Sørg for, at Gem denne undtagelse permanent er valgt, og klik derefter på Bekræft sikkerhedsundtagelse. Når du logger på ePolicy Orchestrator fremover, bliver du ikke længere bedt om at acceptere certifikatet. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 51 5 Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat Oprettelse af et selvsigneret certifikat med OpenSSL Der kan være situationer, hvor du ikke kan eller ikke ønsker at vente på, at et certifikat bliver godkendt af en certifikatmyndighed. Et selvsigneret certifikat kan give den nødvendige grundlæggende sikkerhed og funktionalitet i forbindelse med indledende test eller for systemer, som bruges på interne netværk. Før du starter Hvis du vil oprette et selvsigneret certifikat, skal du installere OpenSSL til Windows-softwaren. Du kan hente OpenSSL her: http://www.slproweb.com/products/Win32OpenSSL.html Hvis du vil oprette og selvsignere et certifikat, som skal bruges sammen med McAfee ePO-serveren, skal du bruge OpenSSL til Windows-softwaren. Der findes mange værktøjer, som du kan bruge til at oprette et selvsigneret certifikat. I denne opgave beskrives processen ved hjælp af OpenSSL. Følgende filstruktur bruges i opgaven: Mapperne oprettes ikke i OpenSSL som standard. De bruges i disse eksempler og kan oprettes for at hjælpe dig med at finde outputfilerne. • C:\ssl\ – Installationsmappen for OpenSSL • C:\ssl\certs\ – Bruges til lagring af de oprettede certifikater • C:\ssl\keys\ – Bruges til lagring af de oprettede nøgler • C:\ssl\requests\ – Bruges til lagring af de oprettede certifikatanmodninger. Opgave 1 Skriv følgende kommando på kommandolinjen for at oprette den første certifikatnøgle: C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 1024 Følgende skærmbillede side vises. 52 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 5 Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat 2 Angiv et adgangsudtryk ved den første kommandoprompt, og bekræft adgangsudtrykket ved den anden kommandoprompt. Notér det adgangsudtryk, du angiver. Du skal bruge det senere i processen. Filnavnet ca.key oprettes og gemmes på stien C:\ssl\keys\. Nøglen ligner den nøgle, der er vist i det følgende eksempel. 3 Skriv følgende kommando på kommandolinjen for at selvsignere den certifikatnøgle, du har oprettet: openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer Følgende skærmbillede side vises. Angiv de nødvendige oplysninger efter følgende kommandoprompter: • Country Name (2 letter code) [AU] (Landekode på to bogstaver, f.eks. AU): • State or Province Name (full name) [Some-State] (Stat eller provins – skal være det fulde navn): • Locality Name (eg, city) [] (Navn på sted, f.eks. by): • Organization Name (eg, company) [Internet Widgits Pty Ltd] (Navn på organisation, f.eks. virksomhed): Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 53 5 Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat • Organizational Unit Name (eg, section) [] (Navn på organisationsenhed, f.eks. afdeling): • Common Name (f.eks. DIT navn) []: Angiv servernavnet, f.eks. navnet på McAfee ePO-serveren, ved denne kommandoprompt. • Email Address [] (E-mailadresse): Filen med navnet ca.cer oprettes og gemmes under stien C:\ssl\certs\. Det selvsignerede certifikat ligner det certifikat, der er vist i det følgende eksempel. Hvis du ønsker, at en tredjepart, f.eks. VeriSign eller Microsoft Windows Enterprise Certificate Authority, skal oprette et signeret certifikat for ePolicy Orchestrator, kan du finde flere oplysninger i KnowledgeBase-artiklen KB72477. 4 Overfør og administrer certifikatet på McAfee ePO-serveren. Andre nyttige OpenSSL-kommandoer Du kan bruge andre OpenSSL-kommandoer til at udpakke og kombinere nøglerne i de genererede PKCS12-certifikater og til at konvertere en PEM-fil for en privat nøgle, der er beskyttet med en adgangskode, til en fil, der ikke er beskyttet med en adgangskode. Kommandoer, der kan bruges sammen med PKCS12-certifikater Brug følgende kommandoer til at oprette et PKCS12-certifikat, hvor både certifikatet og nøglen er i én fil. Beskrivelse Format af OpenSSL-kommando Opret et certifikat og en nøgle i én fil openssl req -x509 -nodes -days 365 -newkey rsa: 1024 -config path \openssl.cnf -keyout path \pkcs12Example.pem -out path \pkcs12Example.pem Eksportér PKCS12-versionen af certifikatet openssl pkcs12 -export -out path \pkcs12Example.pfx -in path \pkcs12Example.pem -name " user_name_string " Brug følgende kommandoer til at adskille certifikatet og nøglen fra et PKCS12-certifikat, hvor de er kombineret. 54 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Brugerkonti og tilladelsessæt Godkendelse af klientcertifikat Beskrivelse Format af OpenSSL-kommando Pakker .pem-nøglen ud af .pfx openssl pkcs12 -in pkcs12ExampleKey.pfx -out pkcs12ExampleKey.pem 5 Fjerner adgangskoden for nøglen openssl rsa -in pkcs12ExampleKey.pem -out pkcs12ExampleKeyNoPW.pem ePolicy Orchestrator-serveren kan derefter bruge pkcs12ExampleCert.pem som certifikat og pkcs12ExampleKey.pem som nøgle (eller pkcs12ExampleKeyNoPW.pem som nøgle uden en adgangskode). Kommando, der kan bruges til at konvertere en PEM-fil for en privat nøgle, der er beskyttet af en adgangskode Skriv følgende for at konvertere en PEM-fil for en privat nøgle, der er beskyttet med en adgangskode, til en fil, der ikke er beskyttet med en adgangskode: openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem I det forrige eksempel er "C:\ssl\keys" input- og outputstierne for filnavnene "key.pem" og "keyNoPassword.pem". Konvertering af en eksisterende PVK-fil til en PEM-fil ePolicy Orchestrator-browseren understøtter PEM-kodede private nøgler. Dette omfatter både private nøgler, som er beskyttet med en adgangskode, og private nøgler uden adgangskode. Du kan konvertere en PVK-formateret nøgle til PEM-format ved hjælp af OpenSSL. Før du starter Hvis du vil konvertere en PVK-formateret fil, skal du installere OpenSSL til Windows-softwaren. Du kan hente softwaren her: http://www.slproweb.com/products/Win32OpenSSL.html Konverter certifikatet i PVK-format til PEM-format ved hjælp af OpenSSL til Windows-softwaren. Opgave 1 Konverter en tidligere PVK-fil, du har oprettet, til en PEM-fil ved at skrive følgende på kommandolinjen: openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl \keys\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd I det foregående eksempel er argumenterne "-passin" og "-passout" valgfrie. 2 Hvis du bliver bedt om det, skal du angive den adgangskode, du brugte, da du oprettede den oprindelige PVK-fil. Hvis argumentet "-passout" ikke bruges i det foregående eksempel, beskyttes den nye PEM-formaterede nøgle ikke med en adgangskode. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 55 5 Brugerkonti og tilladelsessæt Tilladelsessæt Tilladelsessæt Tilladelsessæt kontrollerer det adgangsniveau, brugere har til funktionerne i softwaren. Selv i små installationer af ePolicy Orchestrator skal du angive og kontrollere den adgang, brugerne har til de forskellige dele af systemet. Indhold Sådan hænger brugere, grupper og tilladelsessæt sammen Arbejde med tilladelsessæt Sådan hænger brugere, grupper og tilladelsessæt sammen Adgang til elementer i ePolicy Orchestrator styres af interaktionen mellem brugere, grupper og tilladelsessæt. Brugere Brugere kan opdeles i to generelle kategorier. Enten er de administratorer og har alle rettigheder i hele systemet, eller også er de almindelige brugere. Almindelige brugere kan få tildelt et antal tilladelsessæt, der definerer deres adgangsniveau i ePolicy Orchestrator. Brugerkonti kan oprettes og administreres på flere måder. Du kan: • Oprette brugerkonti manuelt, og derefter tildele et egnet tilladelsessæt til hver konto • Konfigurer din McAfee ePO-server, så brugere kan logge på med Windows-godkendelse. Tilladelse til, at brugere kan logge på med deres Windows-legitimationsoplysninger, er en avanceret funktion, der kræver konfiguration af flere indstillinger og komponenter. Du kan finde flere oplysninger om denne indstilling i Administration af ePolicy Orchestrator-brugere med Active Directory. Brugerkonti og tilladelsessæt er tæt forbundet, men de oprettes og konfigureres ved hjælp af separate trin. Du kan finde flere oplysninger om tilladelsessæt i Administration af tilladelsessæt. Administratorer Administratorer har læse- og skrivetilladelser og -rettigheder til alle funktioner. Når du installerer serveren, oprettes der automatisk en administratorkonto. Brugernavnet for denne konto er som standard administrator. Hvis standardværdien ændres under installation, ændres denne konto i henhold hertil. Du kan oprette ekstra administratorkonti for personer, der skal have administratorrettigheder. Følgende tilladelser er kun tilgængelige for administratorer: • Oprettelse, redigering og sletning af kilde- og reservewebsteder • Skift af serverindstillinger • Tilføjelse og sletning af brugerkonti • Tilføjelse, sletning og tildeling af tilladelsessæt • Import af hændelser til ePolicy Orchestrator-databaser og begrænsning af hændelser, der er gemt der. Grupper Forespørgsler og rapporter tildeles til grupper. En gruppe kan være privat (kun for den pågældende bruger), offentlig på globalt plan (eller "delt"), eller den kan deles med et eller flere tilladelsessæt. 56 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 5 Brugerkonti og tilladelsessæt Tilladelsessæt Tilladelsessæt Der er defineret en bestemt adgangsprofil i et tilladelsessæt. Det betyder normalt, at der er en kombination af adgangsniveauer for forskellige dele af ePolicy Orchestrator. Et enkelt tilladelsessæt kan f.eks. give adgang til at læse overvågningsloggen, bruge offentlige og delte dashboards og oprette og redigere offentlige rapporter eller forespørgsler. Tilladelsessæt kan tildeles til individuelle brugere eller, hvis du bruger Active Directory, til alle brugere fra bestemte Active Directory-servere. Arbejde med tilladelsessæt Du kan styre brugeradgang samt oprette og ændre tilladelsessæt fra siden Tilladelsessæt. Opgaver • Administrer tilladelsessæt på side 57 Du kan kontrollere brugeradgang, oprette, redigere, eksportere og importere tilladelsessæt fra siden Tilladelsessæt. • Eksport og import af tilladelsessæt på side 59 Når du er færdig med at definere tilladelsessættene, er det hurtigst at overføre dem til andre McAfee ePO-servere ved at eksportere dem til disse servere. Administrer tilladelsessæt Du kan kontrollere brugeradgang, oprette, redigere, eksportere og importere tilladelsessæt fra siden Tilladelsessæt. Når du er færdig med at definere tilladelsessættene, er det hurtigst at overføre dem til andre McAfee ePO-servere ved at eksportere dem og importere dem på andre servere. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åbn siden Tilladelsessæt ved at klikke på Menu | Brugeradministration | Tilladelsessæt. 2 Vælg en af disse handlinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 57 5 Brugerkonti og tilladelsessæt Tilladelsessæt Handling Trin Opret et nyt tilladelsessæt 1 Klik på Handlinger | Ny. 2 Skriv et navn på det nye tilladelsessæt. Du har ikke mulighed for at bruge et eksisterende navn i ePolicy Orchestrator. Alle navne på tilladelsessæt skal være entydige. 3 Hvis du vil tildele bestemte brugere til dette tilladelsessæt med det samme, skal du vælge deres brugernavne i afsnittet Brugere. 4 Hvis der er Active Directory-grupper, hvor du ønsker, at alle brugere i en gruppe skal knyttes til dette tilladelsessæt, skal du vælge serveren på rullelisten Servernavn og klikke på Tilføj. 5 Hvis du vil fjerne Active Directory-servere, skal du vælge dem på listen Active Directory og klikke på Fjern. 6 Klik på Gem for at oprette tilladelsessættet. Du har nu oprettet tilladelsessættet, men du har endnu ikke tildelt tilladelser til det. Rediger et eksisterende tilladelsessæt 1 Vælg et tilladelsessæt, som du vil redigere. Oplysningerne vises til højre. Hvis du lige har oprettet et nyt tilladelsessæt, er det nyoprettede tilladelsessæt allerede valgt for dig. 2 Vælg en kategori af tilladelser, som du vil redigere, ved at klikke på Rediger i kategoriens række. De valgmuligheder, som gælder for den valgte kategori af tilladelser, vises. 3 Rediger tilladelserne efter behov, og klik på Gem. Ændringerne udføres på tilladelsessættet i databasen. Det er ikke nødvendigt at klikke på Gem, når du er færdig med at redigere tilladelsessættet. Ændringerne gemmes automatisk, når du redigerer hver enkelt kategori. De ændringer, du foretager, afspejles øjeblikkeligt i systemet og overføres til den resterende del af netværket baseret på din politikkonfiguration. Dupliker et tilladelsessæt 1 Vælg et tilladelsessæt, der skal duplikeres, på listen Tilladelsessæt, og klik på Handlinger | Dupliker. 2 Skriv et nyt navn på dobbeltforekomsten af tilladelsessættet. I ePolicy Orchestrator føjes (kopi) som standard til det eksisterende navn. Du har ikke mulighed for at bruge et eksisterende navn i ePolicy Orchestrator. Alle navne på tilladelsessæt skal være entydige. 3 Klik på OK. Tilladelsessættet duplikeres, men det oprindelige er stadig valgt på listen Tilladelsessæt. Slet et tilladelsessæt 1 Vælg det tilladelsessæt, der skal slettes, på listen Tilladelsessæt. Oplysningerne vises til højre. 2 Klik på Handlinger | Slet, og klik på OK i ruden Handlinger. Tilladelsessættet vises ikke længere på listen Tilladelsessæt. 58 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 5 Brugerkonti og tilladelsessæt Tilladelsessæt Handling Trin Eksportér et tilladelsessæt 1 Vælg det eller de tilladelsessæt, du vil eksportere. 2 Klik på Handlinger for tilladelsessæt | Eksportér alle McAfee ePO-serveren sender en XML-fil til browseren. Hvad der derefter sker, afhænger af browserindstillingerne. I de fleste browsere bliver du spurgt, om du vil gemme filen. XML-filen indeholder kun roller, hvor der er defineret et vist tilladelsesniveau. Hvis et bestemt tilladelsessæt f.eks. ikke har nogen tilladelser til forespørgsler og rapporter, vises der ingen post i filen. Importér et tilladelsessæt 1 Vælg det eller de tilladelsessæt, du vil importere. 2 Klik på Gennemse for at navigere til og vælge den XML-fil, der indeholder det tilladelsessæt, som du vil importere. 3 Vælg, om du vil beholde tilladelsessæt med det samme navn som et importeret tilladelsessæt ved at vælge den relevante indstilling. Klik på OK. Hvis ePolicy Orchestrator ikke kan finde et gyldigt tilladelsessæt i den anførte fil, vises der en fejlmeddelelse, og importen afbrydes. Tilladelsessættene føjes til serveren og vises på listen Tilladelsessæt. Eksport og import af tilladelsessæt Når du er færdig med at definere tilladelsessættene, er det hurtigst at overføre dem til andre McAfee ePO-servere ved at eksportere dem til disse servere. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Åbn siden med tilladelsessæt ved at klikke på Menu | Brugeradministration | Tilladelsessæt. 2 Vælg en af disse handlinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 59 5 Brugerkonti og tilladelsessæt Tilladelsessæt Handling Trin Eksportér tilladelsessæt. 1 Vælg det eller de tilladelsessæt, du vil eksportere. 2 Klik på Handlinger for tilladelsessæt | Eksportér alle McAfee ePO-serveren sender en XML-fil til browseren. Hvad der derefter sker, afhænger af browserindstillingerne. I de fleste browsere bliver du spurgt, om du vil gemme filen. XML-filen indeholder kun roller, hvor der er defineret et vist tilladelsesniveau. Hvis et bestemt tilladelsessæt f.eks. ikke har nogen tilladelser til forespørgsler og rapporter, vises der ingen post i filen. Importér tilladelsessæt. 1 Vælg det eller de tilladelsessæt, du vil importere. 2 Klik på Gennemse for at navigere til og vælge den XML-fil, der indeholder det tilladelsessæt, som du vil importere. 3 Vælg, om du vil beholde tilladelsessæt med det samme navn som et importeret tilladelsessæt ved at vælge den relevante indstilling. Klik på OK. Hvis ePolicy Orchestrator ikke kan finde et gyldigt tilladelsessæt i den angivne fil, vises en fejlmeddelelse, og importen afbrydes. Tilladelsessættene føjes til serveren og vises på listen Tilladelsessæt. 60 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 6 Lagre Lagre indeholder sikkerhedssoftwarepakker og tilhørende opdateringer til distribution til dine administrerede systemer. Sikkerhedssoftwares effektivitet afhænger af, om de nyeste opdateringer er installeret. Hvis for eksempel DAT-filerne er forældede, kan selv den bedste antivirussoftware ikke registrere nye trusler. Det er afgørende, at du udvikler en solid opdateringsstrategi, så sikkerhedssoftwaren holdes så opdateret som muligt. ePolicy Orchestrator-lagerarkitekturen giver fleksibilitet, så installation og opdatering af software er lige så nem og automatisk, som miljøet tillader. Når lagerinfrastrukturen er på plads, skal du oprette opdateringsopgaver, der bestemmer, hvordan, hvor og hvornår softwaren opdateres. Indhold Lagertyper og deres funktion Sådan foregår samarbejdet mellem lagre Konfiguration af lagre første gang Konfiguration af kilde- og reservewebsteder Bekræftelse af adgang til kildewebstedet Konfiguration af indstillinger for globale opdateringer Konfiguration af agentpolitikker til at bruge et distribueret lager Brug af SuperAgenter som distribuerede lagre Oprettelse og konfiguration af lagre på FTP- eller HTTP-servere og UNC-shares Brug af UNC-shares som distribuerede lagre Brug af lokalt distribuerede lagre, der ikke er administrerede Arbejde med lagerlistefiler Lagertyper og deres funktion Softwaren ePolicy Orchestrator tilbyder adskillige typer lagre, der skaber en solid opdateringsinfrastruktur til levering af produkter og opdateringer på tværs af hele netværket. Disse lagre giver dig fleksibilitet til at udvikle en opdateringsstrategi for at sikre, at systemerne altid er opdateret. Hovedlager Hovedlageret vedligeholder de sidste nye versioner af sikkerhedssoftwaren og opdateringerne for miljøet. Lageret er kilden for resten af miljøet. ePolicy Orchestrator benytter som standard proxyindstillingerne i Microsoft Internet Explorer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 61 6 Lagre Lagertyper og deres funktion Distribuerede lagre Distribuerede lagre er vært for kopier af indholdet i hovedlageret. Det er en god ide at benytte distribuerede lagre og placere dem strategisk på netværket for at sikre, at administrerede systemer opdateres, mens netværkstrafikken minimeres, især hvis forbindelserne er langsomme. Når du opdaterer hovedlageret, replikerer ePolicy Orchestrator indholdet til de distribuerede lagre. Replikering kan forekomme: • Automatisk, når angivne pakketyper tjekkes ind i hovedlageret, så længe global opdatering er aktiveret. • Som en regelmæssig plan med replikeringsopgaver. • Manuelt ved at køre en opgave af typen Repliker nu. En stor organisation kan have flere placeringer med forbindelser med begrænset båndbredde. Distribuerede lagre er med til at reducere opdateringstrafik på tværs af forbindelser med lav båndbredde eller på eksterne steder med et stort antal klientsystemer. Hvis du opretter et distribueret lager på det eksterne sted og konfigurerer systemerne inden for den pågældende placering til at opdatere fra dette distribuerede lager, kopieres opdateringerne kun over den langsomme forbindelse en enkelt gang – til det distribuerede lager – i stedet for én gang for hvert system på det eksterne sted. Hvis en global opdatering aktiveres, opdaterer distribuerede lagre de administrerede systemer automatisk, når valgte opdateringer og pakker tjekkes ind i hovedlageret. Opdateringsopgaver er ikke nødvendige. Du skal dog køre SuperAgenter i miljøet, hvis du vil have automatisk opdatering. Du skal også oprette og konfigurere lagre samt opdateringsopgaverne. Hvis de distribuerede lagre er konfigureret til kun at replikere de valgte pakker, replikeres den pakke, der er tjekket ind for nylig, som standard. Hvis du vil undgå at replikere en pakke, der er tjekket ind for nylig, skal du fravælge den i hvert distribueret lager eller deaktivere replikeringsopgaven, inden du tjekker pakken ind. Der er flere oplysninger i afsnittet Undgå replikering af valgte pakker og Deaktivering af replikering af valgte pakker. Konfigurer ikke distribuerede lagre til at henvise til samme mappe som hovedlageret. Det kan forårsage, at filerne i hovedlageret bliver låst af brugere af det distribuerede lager, hvilket kan medføre, at trække- og pakkeindtjekning mislykkes, så hovedlageret er i en tilstand, hvor det ikke kan bruges. Kildewebsted Kildewebstedet indeholder alle opdateringer til hovedlageret. Standardkildewebstedet er McAfeeHttp-opdateringswebstedet, men du kan ændre kildewebstedet eller oprette flere kildewebsteder efter behov. McAfee anbefaler, at du bruger opdateringswebstederne McAfeeHttp eller McAfeeFtp som kildewebsted. Kildewebsteder er ikke påkrævede. Du kan hente opdateringer manuelt og tjekke dem ind i hovedlageret. Brug af et kildewebsted automatiserer dog denne proces. McAfee sender jævnligt softwareopdateringer til disse websteder. DAT-filer sendes f.eks. dagligt. Opdater hovedlageret med opdateringer, når de er tilgængelige. Brug trækkeopgaver til at kopiere indhold på kildewebstedet til hovedlageret. McAfees opdateringswebsteder indeholder opdateringer til registreringsdefinitionsfiler (DAT-filer) og scanningsprogramfiler samt visse sprogpakker. Du skal tjekke alle andre pakker og opdateringer ind, herunder servicepakker og programrettelser, i hovedlageret manuelt. 62 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Lagre Lagertyper og deres funktion 6 Reservewebsted Reservewebstedet er et kildewebsted, der er blevet aktiveret som sikkerhedskopieringswebsted, hvorfra administrerede systemer kan hente opdateringer, når der ikke kan opnås adgang til de sædvanlige lagre. Det kan f.eks. være svært at få adgang til den etablerede placering under netværksafbrydelser eller virusudbrud. Administrerede systemer kan på den måde forblive opdaterede i sådanne situationer. Standardreservewebstedet er opdateringswebstedet McAfeeHttp. Du kan kun aktivere ét reservewebsted. Hvis administrerede systemer benytter en proxyserver til at få adgang til internettet, skal du konfigurere indstillinger for agentpolitik for de systemer, der benytter proxyservere til at få adgang til dette reservewebsted. Typer af distribuerede lagre Softwaren ePolicy Orchestrator understøtter fire typer distribuerede lagre. Du skal tage højde for dit miljø og dine behov, når du bestemmer, hvilken type distribueret lager du vil bruge. Du er ikke begrænset af at skulle bruge én bestemt type, og du har eventuelt brug for flere afhængigt af dit netværk. SuperAgent-lagre Brug systemer, der er vært for SuperAgenter, som distribuerede lagre. SuperAgent-lagre indeholder flere fordele i forhold til andre typer af distribuerede lagre: • Mappeplaceringer oprettes automatisk på værtssystemet, før lageret føjes til lagerlisten. • SuperAgent-lagre kræver ikke yderligere legitimationsoplysninger til replikering eller opdatering – kontotilladelser oprettes, når agenten konverteres til en SuperAgent. Selvom funktionen for broadcast af SuperAgent-aktivering kræver en SuperAgent i hvert broadcastsegment, er dette ikke et krav i forbindelse med funktionen for SuperAgent-lageret. Administrerede systemer kræver kun adgang til det system, der er vært for lageret. FTP-lagre Du kan bruge en FTP-server som vært for et distribueret lager. Brug FTP-serversoftware, f.eks. Microsoft Internet Information Services (IIS), til at oprette en ny mappe og webstedsplacering for det distribuerede lager. Du kan finde flere oplysninger i dokumentationen for webserveren. HTTP-lagre Du kan bruge en HTTP-server som vært for et distribueret lager. Brug HTTP-serversoftware, f.eks. Microsoft IIS, til at oprette en ny mappe og webstedsplacering for det distribuerede lager. Du kan finde flere oplysninger i dokumentationen for webserveren. UNC-share-lagre Du kan oprette en UNC-delt mappe som vært for et distribueret lager på en eksisterende server. Kontrollér, at deling er aktiveret på tværs af netværket for mappen, så McAfee ePO-serveren kan kopiere filer til den, og agenter kan få adgang til den i forbindelse med opdateringer. De rigtige tilladelser skal konfigureres for at få adgang til mappen. Ikke-administrerede lagre Hvis du ikke kan bruge administrerede, distribuerede lagre, kan administratorer afePolicy Orchestrator oprette og vedligeholde distribuerede lagre, som ikke er administreret af ePolicy Orchestrator. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 63 6 Lagre Lagertyper og deres funktion Hvis et distribueret lager ikke administreres af ePolicy Orchestrator, skal en lokal administrator opdatere de distribuerede filer manuelt. Når det distribuerede lager er oprettet, skal du bruge ePolicy Orchestrator til at konfigurere administrerede systemer for en bestemt gruppe i systemtræet for at opdatere lageret. Du kan finde flere oplysninger om konfiguration af ikke-administrerede systemer i Aktivering af agenten i ikke-administrerede McAfee-produkter, så de fungerer sammen med ePolicy Orchestrator. McAfee anbefaler, at du administrerer alle distribuerede lagre via ePolicy Orchestrator. Når du følger denne anbefaling og bruger global opdatering eller planlægger regelmæssige replikeringsopgaver, sikrer du, at dit administrerede miljø er opdateret. Brug kun ikke-administrerede, distribuerede lagre, hvis din netværks- eller virksomhedspolitik ikke tillader administrerede, distribuerede lagre. Lagerforgreninger og deres formål Du kan bruge de tre ePolicy Orchestrator-lagerforgreninger til at vedligeholde op til tre versioner af pakkerne i dit hovedlager og de distribuerede lagre. Lagerforgreningerne er Nuværende, Forrige og Evaluering. ePolicy Orchestrator bruger som standard kun forgreningen Nuværende. Du kan angive forgreninger, når du føjer pakker til hovedlageret. Du kan også angive forgreninger, når du kører eller planlægger opdaterings- og installationsopgaver, for at distribuere forskellige versioner til forskellige dele af netværket. Opdateringsopgaver kan hente opdateringer fra alle forgreninger af lageret, men du skal vælge en anden forgrening end forgreningen Nuværende, når du tjekker pakker ind i hovedlageret. Hvis forgreningen Nuværende ikke konfigureres, vises muligheden for at vælge en anden forgrening end Nuværende ikke. Hvis du vil bruge forgreningerne Evaluering og Forrige til andre pakker end opdateringer, skal du konfigurere dette under serverindstillingerne for lagerpakker. Agentversion 3.6 og ældre kan kun hente opdateringspakker fra forgreningerne Evaluering og Forrige. Forgreningen Nuværende Forgreningen Nuværende er den primære lagerforgrening for de nyeste pakker og opdateringer. Produktinstallationspakker kan kun føjes til forgreningen Nuværende, medmindre understøttelse af de øvrige forgreninger er aktiveret. Forgreningen Evaluering Det er en god ide at teste nye DAT-filer og programopdateringer på udvalgte netværkssegmenter eller systemer, før de installeres i hele organisationen. Angiv forgreningen Evaluering, når du tjekker nye DAT-filer og programmer ind i hovedlageret, og installér dem derefter på et begrænset antal testsystemer. Når du har overvåget testsystemerne i nogle timer, kan du føje nye DAT-filer til forgreningen Nuværende og installere dem i hele organisationen. Forgreningen Forrige Brug forgreningen Forrige til at gemme tidligere DAT-filer og programfiler, før du føjer nye filer til forgreningen Nuværende. Hvis du har problemer med nye DAT-filer eller programfiler i miljøet, har du en kopi af en tidligere version, som du kan installere på systemerne igen efter behov. Det er kun den nyeste version af hver filtype, der gemmes i ePolicy Orchestrator. Du kan udfylde forgreningen Forrige ved at vælge Flyt eksisterende pakke til forgreningen Forrige, når du føjer nye pakker til hovedlageret. Indstillingen er tilgængelig, når du trækker opdateringer fra et kildested, og når du tjekker pakker ind manuelt i forgreningen Nuværende. 64 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Lagre Sådan foregår samarbejdet mellem lagre 6 Lagerlistefil og dens anvendelsesområder Lagerlistefilen (SiteList.xml og SiteMgr.xml) indeholder navnene på alle de lagre, du administrerer. Lagerlisten omfatter den placering og de krypterede legitimationsoplysninger for netværk, som administrerede systemer benytter til at vælge lageret og hente opdateringer. Serveren sender lagerlisten til agenten under agent til server-kommunikationen. Du kan om nødvendigt eksportere lagerlisten til eksterne filer (SiteList.xml eller SiteMgr.xml). Du kan bruge en SiteList.xml-fil, du har eksporteret, til at: • Importere til en agent under installation. Du kan bruge en SiteMgr.xml-fil, du har eksporteret, til at: • Sikkerhedskopiere og gendanne dine distribuerede lagre og kildewebsteder, hvis du skal installere serveren igen. • Importere de distribuerede lagre og kildewebsteder fra en tidligere installation af softwaren ePolicy Orchestrator. Sådan foregår samarbejdet mellem lagre Det er nødvendigt, at der er et samarbejde mellem lagrene i dit miljø, for at der kan leveres opdateringer og software til administrerede systemer. Du har muligvis behov for distribuerede lagre, afhængigt af netværkets størrelse og geografiske fordeling. Figur 6-1 Levering af pakker til systemer via websteder og lagre 1 Hovedlageret trækker regelmæssigt DAT-filer og programopdateringer fra kildestedet. 2 Hovedlageret replikerer pakkerne til distribuerede lagre på netværket. 3 Opdateringerne fra et distribueret lager overføres til de administrerede systemer i netværket. Hvis de distribuerede lagre ikke er tilgængelige for administrerede systemer eller hovedlageret, overføres opdateringerne fra reservewebstedet. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 65 6 Lagre Konfiguration af lagre første gang Konfiguration af lagre første gang Følg disse overordnede trin, første gang du konfigurerer lagre. 1 Bestem, hvilke lagertyper der skal bruges og deres placering. 2 Opret og fyld lagrene. Konfiguration af kilde- og reservewebsteder Du kan ændre det kildested og reservested, der bruges som standard, under Serverindstillinger. Du kan f.eks. redigere indstillinger, slette eksisterende kildesteder og reservesteder eller skifte mellem dem. Du skal være administrator eller have de rette tilladelser for at definere, ændre eller slette kilde- eller reservewebsteder. McAfee anbefaler brug af kilde- og reservestandardwebsteder. Hvis du har brug for forskellige websteder til dette formål, kan du oprette nye websteder. Opgaver • Oprettelse af kildewebsteder på side 66 Opret et nyt kildested under Serverindstillinger. • Ændring af kilde- og reservewebsteder på side 67 Brug Serverindstillinger til at ændre kildested og reservewebsted. • Redigering af kilde- og reservewebsteder på side 68 Brug Serverindstillinger til at redigere indstillinger for kildesteder eller reservewebsteder, f.eks. URL-adresse og portnummer samt legitimationsoplysninger til godkendelse af overførsel. • Sletning af kildewebsteder eller deaktivering af reservewebsteder på side 68 Hvis et kildewebsted eller reservewebsted ikke længere bruges, skal du slette eller deaktivere webstedet. Oprettelse af kildewebsteder Opret et nyt kildested under Serverindstillinger. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 66 1 Klik på Menu | Konfiguration | Serverindstillinger, og vælg derefter Kildewebsteder. 2 Klik på Tilføj kildested. Guiden Generator af kildesteder vises. 3 Skriv et entydigt lagernavn på siden Beskrivelse, og vælg HTTP, UNC eller FTP, og klik derefter på Næste. 4 Angiv webadresse og portoplysninger for webstedet på siden Server, og klik derefter på Næste. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Lagre Konfiguration af kilde- og reservewebsteder 6 HTTP- eller FTP-servertype: • • På rullelisten URL-adresse skal du vælge DNS-navn, IPv4 eller IPv6 som serveradressens type og derefter angive adressen. Indstilling Definition DNS-navn Angiver serverens DNS-navn. IPv4 Angiver serverens IPv4-adresse. IPv6 Angiver serverens IPv6-adresse. Angiv serverens portnummer: FTP-standardindstillingen er 21; og HTTP-standardindstillingen er 80. UNC-servertype: • 5 Angiv stien til den netværksmappe, hvor lageret befinder sig. Brug dette format: \\<COMPUTER> \<MAPPE>. På siden Legitimationsoplysninger skal du angive Legitimationsoplysninger til overførsel, som bruges af administrerede systemer til at oprette forbindelse til dette lager. Brug legitimationsoplysninger med skrivebeskyttede tilladelser til HTTP-serveren, FTP-serveren eller UNC-sharet, som er værter for lageret. HTTP- eller FTP-servertype: • Vælg Anonym for at bruge en ukendt brugerkonto. • Vælg FTP- eller HTTP-godkendelse, hvis serveren kræver godkendelse, og angiv derefter brugerkontooplysningerne. UNC-servertype: • 6 Angiv oplysninger om domæne og brugerkonto. Klik på Test legitimationsoplysninger. Efter et par sekunder vises en bekræftelsesmeddelelse, som angiver, at webstedet er tilgængeligt for systemer, der bruger godkendelsesoplysningerne. Kontrollér følgende, hvis legitimationsoplysningerne er forkerte: • Brugernavn og adgangskode • URL-adresse eller sti for guidens tidligere panel • HTTP-, FTP- eller UNC-websted i systemet. 7 Klik på Næste. 8 Gennemgå siden Oversigt, og klik derefter på Gem for at føje webstedet til listen. Ændring af kilde- og reservewebsteder Brug Serverindstillinger til at ændre kildested og reservewebsted. Afhængigt af netværkskonfigurationen kan det være en god ide at ændre kilde- og reservewebstederne, hvis det medfører, at HTTP- eller FTP-opdateringer fungerer bedre. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger. 2 Vælg Kildesteder, og klik derefter på Rediger. Siden Rediger kildesteder vises. 3 Find det websted på listen, du vil angive som reserve, og klik derefter på Aktivér reserve. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 67 6 Lagre Bekræftelse af adgang til kildewebstedet Redigering af kilde- og reservewebsteder Brug Serverindstillinger til at redigere indstillinger for kildesteder eller reservewebsteder, f.eks. URL-adresse og portnummer samt legitimationsoplysninger til godkendelse af overførsel. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger. 2 Vælg Kildesteder, og klik derefter på Rediger. Siden Rediger kildesteder vises. 3 Find webstedet på listen, og klik derefter på webstedets navn. Guiden Generator af kildewebsted åbnes. 4 Rediger indstillingerne på guidesiderne efter behov, og klik derefter på Gem. Sletning af kildewebsteder eller deaktivering af reservewebsteder Hvis et kildewebsted eller reservewebsted ikke længere bruges, skal du slette eller deaktivere webstedet. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger. 2 Vælg Kildesteder, og klik derefter på Rediger. Siden Rediger kildesteder vises. 3 Klik på Slet ud for det påkrævede kildewebsted. Dialogboksen Slet kildewebsted vises. 4 Klik på OK. Webstedet fjernes fra siden Kildewebsteder. Bekræftelse af adgang til kildewebstedet Du skal sikre, at ePolicy Orchestrator-hovedlageret og administrerede systemer har adgang til internettet ved brug af McAfeeHttp- og McAfeeFtp-webstedet som kilde- og reservewebsteder. I dette afsnit beskrives opgaverne i forbindelse med konfiguration af forbindelsen, som ePolicy Orchestrator-hovedlageret og McAfee Agent bruger til at oprette forbindelse til overførselswebstedet direkte eller via en proxy. Standardvalget er Brug ikke en proxy. Opgaver • Konfiguration af proxyindstillinger på side 68 Hvis du vil opdatere dine lagre, skal du konfigurere proxyindstillinger for at trække DAT’er. • Konfiguration af proxyindstillinger for McAfee Agent på side 69 Konfigurer de proxyindstillinger, som McAfee Agent bruger til at oprette forbindelse til overførselswebstedet. Konfiguration af proxyindstillinger Hvis du vil opdatere dine lagre, skal du konfigurere proxyindstillinger for at trække DAT’er. 68 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Lagre Bekræftelse af adgang til kildewebstedet 6 Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger. 2 Vælg Proxyindstillinger på listen over indstillingskategorier, og klik derefter på Rediger. 3 Vælg Konfigurer proxyindstillingerne manuelt. a Vælg ud for Proxyserverindstillinger, om der skal bruges én proxyserver til al kommunikation, eller om der skal bruges forskellige proxyservere til HTTP- og FTP-proxyservere. Skriv derefter IP-adressen eller et fuldt kvalificeret domænenavn og proxyserverens portnummer. Hvis du bruger standardkilde- og reservewebstederne, eller hvis du konfigurerer et andet HTTP-kildewebsted og et FTP-reservewebsted, skal du konfigurere oplysningerne om både HTTPog FTP-proxygodkendelse her. 4 b Konfigurer indstillingerne efter behov ud for Proxygodkendelse, afhængigt af om du trækker opdateringer fra HTTP-lagre, FTP-lagre eller begge steder. c Ud for Udeladelser skal du vælge Slip udenom lokale adresser og derefter angive de distribuerede lagre, som serveren kan oprette direkte forbindelse til, ved at skrive IP-adresserne eller et fuldt kvalificeret domænenavn for systemerne adskilt af semikolon. d Ud for Udeladelser skal du vælge Omgå lokale adresser og derefter angive de distribuerede lagre, som serveren kan oprette direkte forbindelse til, ved at skrive IP-adresserne eller et fuldt kvalificeret domænenavn for systemerne adskilt af semikolon. Klik på Gem. Konfiguration af proxyindstillinger for McAfee Agent Konfigurer de proxyindstillinger, som McAfee Agent bruger til at oprette forbindelse til overførselswebstedet. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Politik | Politikkatalog, gå til listen Produkt, og klik på McAfee Agent, og gå derefter til listen Kategori, og vælg Lager. Der vises en liste over de agenter, der er konfigureret for McAfee ePO-serveren. 2 Klik på Rediger indstillinger på agenten Min standard. Siden Rediger indstillinger for agenten Min standard vises. 3 Klik på fanen Proxy. Siden Proxyindstillinger vises. 4 Vælg Brug indstillinger for Internet Explorer (kun Windows) for Windows-systemer, og vælg eventuelt Giv brugeren tilladelse til at konfigurere proxyindstillingerne. Der er flere metoder til at konfigurere Internet Explorer til brug med proxyer. McAfee har udarbejdet en vejledning til konfiguration og brug af McAfee-produkter, men har ingen vejledning til produkter fra andre leverandører end McAfee. Du kan finde oplysninger om konfiguration af proxyindstillingerne i Hjælp til Internet Explorer og http://support.microsoft.com/kb/226473. 5 Vælg Konfigurer proxyindstillingerne manuelt for at konfigurere agentens proxyindstillinger manuelt. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 69 6 Lagre Konfiguration af indstillinger for globale opdateringer 6 Skriv IP-adressen eller et fuldt kvalificeret domænenavn og portnummeret for HTTP- eller FTP-kilden, hvor agenten trækker opdateringer fra. Vælg Brug disse indstillinger til alle proxytyper for at angive disse indstillinger som standardindstillinger for alle proxytyper. 7 Vælg Angiv undtagelser for at angive systemer, der ikke kræver adgang til proxy'en. Brug et semikolon til at adskille undtagelserne. 8 Vælg Brug HTTP-proxygodkendelse eller Brug FTP-proxygodkendelse, og angiv derefter et brugernavn og legitimationsoplysninger. 9 Klik på Gem. Konfiguration af indstillinger for globale opdateringer Med globale opdateringer automatiseres replikering af lager på netværket. Du kan bruge serverindstillingen Global opdatering til at konfigurere det indhold, der distribueres til lagre under en global opdatering. Globale opdateringer er deaktiveret som standard. McAfee anbefaler dog, at du aktiverer og bruger dem som del af din opdateringsstrategi. Du kan angive et tilfældighedsinterval og pakketyper, som skal distribueres under opdateringer. Tilfældighedsintervallet angiver den tidsperiode, hvor alle systemer opdateres. Systemer opdateres tilfældigt inden for det angivne interval. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Global opdatering i Indstillingskategorier, og klik derefter på Rediger. 2 Angiv status til Aktiveret, og angiv et Tilfældighedsinterval på mellem 0 og 32.767 minutter. 3 Angiv de Pakketyper, der skal medtages i de globale opdateringer: • Alle pakker – Vælg denne indstilling for at inkludere alle signaturer og programmer samt alle programrettelser og servicepakker. • Valgte pakker – Vælg denne indstilling for at begrænse signaturer og programmer samt programrettelser og servicepakker, der inkluderes i den globale opdatering. Ved brug af global opdatering anbefaler McAfee, at du planlægger en fast trækkeopgave (til opdatering af hovedlageret) på et tidspunkt, hvor netværkstrafikken er minimal. Selvom global opdatering er meget hurtigere end andre metoder, øger det netværkstrafikken under opdateringen. Du kan finde flere oplysninger om udførelse af globale opdateringer i Global opdatering under Installation af produkt og opdatering. Konfiguration af agentpolitikker til at bruge et distribueret lager Tilpas, hvordan agenter vælger distribuerede lagre, for at minimere brugen af båndbredde. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 70 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter Produkt som McAfee Agent og Kategori som Lager. 2 Klik på den påkrævede eksisterende agentpolitik. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 6 Lagre Brug af SuperAgenter som distribuerede lagre 3 Vælg fanen Lagre. 4 I Valg af lagerliste vælges enten Brug denne lagerliste eller Brug en anden lagerliste. 5 Under Vælg lager efter skal du angive metoden til sortering af lagre: • Ping-tid – Sender et ICMP-ping til de nærmeste fem lagre (baseret på undernetværksværdi) og sorterer dem efter svartid. • Afstand til undernetværk – Sammenligner IP-adresserne for klientsystemer alle lagre og sorterer lagrene ud fra, hvor nøje bittene stemmer overens. Jo mere IP-adresserne ligner hinanden, jo højere på listen placeres lageret. Du kan om nødvendigt indstille Maksimalt antal spring. • Brug rækkefølge i lagerliste – Vælger lagre ud fra deres rækkefølge på listen. 6 Under Lagerliste kan du deaktivere lagre ved at klikke på Deaktiver i feltet Handlinger, som er knyttet til det lager, der skal deaktiveres. 7 På Lagerliste skal du klikke på Flyt til toppen eller Flyt til bunden for at angive den rækkefølge, klientsystemerne skal vælge distribuerede lagre i. 8 Klik på Gem, når du er færdig. Brug af SuperAgenter som distribuerede lagre Opret og konfigurer distribuerede lagre på systemer, der er vært for SuperAgenter. SuperAgenter kan reducere netværkstrafik. Hvis en agent skal konverteres til en SuperAgent, skal agenten være en del af et Windows-domæne. Opgaver • Oprettelse af distribuerede SuperAgent-lagre på side 71 Hvis du vil oprette et SuperAgent-lager, skal SuperAgent-systemet have en McAfee Agent installeret og kørende. Vi anbefaler, at der bruges SuperAgent-lagre med global opdatering. • Replikering af pakker til SuperAgent-lagre på side 72 Vælg, hvilke lagerspecifikke pakker der skal replikeres til distribuerede lagre. • Sletning af distribuerede SuperAgent-lagre på side 72 Fjern distribuerede SuperAgent-lagre fra værtssystemet og lagerlisten (SiteList.xml). Nye konfigurationer træder i kraft under den næste agent til server-kommunikation. Oprettelse af distribuerede SuperAgent-lagre Hvis du vil oprette et SuperAgent-lager, skal SuperAgent-systemet have en McAfee Agent installeret og kørende. Vi anbefaler, at der bruges SuperAgent-lagre med global opdatering. Denne opgave forudsætter, at du ved, hvor SuperAgent-systemerne befinder sig i systemtræet. Vi anbefaler, at du opretter koden SuperAgent, så du nemt kan finde systemerne ved hjælp af siden Katalog over koder eller ved at køre en forespørgsel. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 71 6 Lagre Brug af SuperAgenter som distribuerede lagre Opgave 1 I ePolicy Orchestrator-konsollen skal du klikke på Menu | Politik | Politikkatalog, og derefter skal du på listen Produkt klikke på McAfee Agent, og på listen Kategori skal du vælge Generelt. Der vises en liste med tilgængelige generelle kategoripolitikker, der kan bruges på McAfee ePO-serveren. 2 Opret en ny politik, dupliker en eksisterende politik, eller åbn en politik, der allerede anvendes på systemer, som er vært for en SuperAgent, hvor du vil oprette SuperAgent-lagre. 3 Vælg fanen Generelt, og kontrollér derefter, at Konvertér agenter til SuperAgents (kun Windows) er valgt. 4 Vælg Brug systemer, der kører SuperAgenter, som distribuerede lagre, og skriv derefter en sti til placering af mappen for lageret. Det er denne placering, hovedlageret kopierer opdateringer til ved replikering. Du kan bruge en Windows-standardsti, f.eks. C:\SuperAgent\Repo. Alle de filer, der anmodes om fra agentsystemet, vises fra denne placering ved hjælp af agentens indbyggede HTTP-webserver. 5 Klik på Gem. 6 Tildel denne politik til de systemer, der skal være vært for et SuperAgent-lager. Den nye politik hentes, næste gang agenten opretter forbindelse til serveren. Hvis du ikke ønsker at vente på det næste agent til server-kommunikationsinterval, kan du sende en agentaktivering til systemerne. Når det distribuerede lager oprettes, oprettes den angivne mappe i systemet, hvis den ikke allerede findes. Netværksplaceringen tilføjes endvidere på lagerlisten i filen SiteList.xml. Det betyder, at webstedet er tilgængeligt til opdatering af systemer i hele det administrerede miljø. Replikering af pakker til SuperAgent-lagre Vælg, hvilke lagerspecifikke pakker der skal replikeres til distribuerede lagre. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Software | Distribuerede lagre. En liste med alle distribuerede lagre vises. 2 Find og klik på det ønskede SuperAgent-lager. Guiden Generator af distribueret lager åbnes. 3 Vælg de påkrævede pakketyper på siden Pakketyper. Kontrollér, at alle de pakker, der kræves af et administreret system, der bruger dette lager, vælges. Administrerede systemer går til et lager for alle pakker – opgaven mislykkes for systemer, der forventer at finde en pakketype, der ikke er tilstede. Denne funktion sikrer, at pakker, der kun benyttes af nogle få systemer, ikke replikeres til hele miljøet. 4 Klik på Gem. Sletning af distribuerede SuperAgent-lagre Fjern distribuerede SuperAgent-lagre fra værtssystemet og lagerlisten (SiteList.xml). Nye konfigurationer træder i kraft under den næste agent til server-kommunikation. 72 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Lagre Oprettelse og konfiguration af lagre på FTP- eller HTTP-servere og UNC-shares 6 Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Fra ePolicy Orchestrator-konsollen skal du klikke på Menu | Politik | Politikkatalog og derefter klikke på navnet på den SuperAgent-politik, du vil redigere. 2 På fanen Generelt skal du fjerne markeringen af Brug systemer, der kører SuperAgenter, som distribuerede lagre og derefter klikke på Gem. Hvis du vil slette et begrænset antal af de eksisterende distribuerede SuperAgent-lagre, skal du duplikere den McAfee Agent-politik, der er tildelt til disse systemer, og fjerne markeringen af Brug systemer, der kører SuperAgenter, som distribuerede lagre, før du gemmer den. Tildel den nye politik efter behov. SuperAgent-lageret slettes og fjernes fra lagerlisten. Agenten fungerer imidlertid stadig som SuperAgent, så længe indstillingen Konvertér agenter til SuperAgenter er valgt. Agenter, som ikke har modtaget en ny liste med websteder efter politikændringen, opdateres fortsat fra den SuperAgent, der er blevet fjernet. Oprettelse og konfiguration af lagre på FTP- eller HTTP-servere og UNC-shares Eksisterende FTP- og HTTP-servere eller UNC-shares kan fungere som værter for distribuerede lagre. Selvom der ikke er behov for en dedikeret server, skal systemet være tilstrækkelig robust til, at det kan håndtere belastningen, når de administrerede systemer opretter forbindelse for at hente opdateringer. Opgaver • Oprettelse af en mappeplacering på side 74 Opret den mappe, der er vært for lagerindhold på det distribuerede lagersystem. Der bruges forskellige processer for UNC-share-lagre og FTP- eller HTTP-lagre. • Tilføjelse af det distribuerede lager til ePolicy Orchestrator på side 74 Føj en post til lagerlisten, og angiv den mappe, som det nye distribuerede lager bruger. • Undgåelse af replikering af valgte pakker på side 76 Hvis de distribuerede lagre er konfigureret til kun at replikere de valgte pakker, replikeres den pakke, der er tjekket ind for nylig, som standard. Afhængigt af kravene til test og validering kan det være ønskværdigt at undgå replikering af visse pakker i de distribuerede lagre. • Deaktivering af replikering af valgte pakker på side 76 Hvis de distribuerede lagre er konfigureret til kun at replikere de valgte pakker, replikeres den pakke, der er tjekket ind for nylig, som standard. Hvis du vil deaktivere den forestående replikering af en pakke, skal du deaktivere replikeringsopgaven, før du tjekker pakken ind. • Aktivering af mappedeling for UNC- og HTTP-lagre på side 76 På et distribueret HTTP- eller UNC-lager skal du aktivere mappen til deling på hele netværket, så der kan kopieres til mappen af McAfee ePO-serveren. • Redigering af distribuerede lagre på side 76 Rediger konfiguration, godkendelse og pakkevalg for et distribueret lager efter behov. • Sletning af distribuerede lagre på side 77 Slet distribuerede HTTP-, FTP- eller UNC-lagre. Når du gør det, sletter du også indholdet i de distribuerede lagre. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 73 6 Lagre Oprettelse og konfiguration af lagre på FTP- eller HTTP-servere og UNC-shares Oprettelse af en mappeplacering Opret den mappe, der er vært for lagerindhold på det distribuerede lagersystem. Der bruges forskellige processer for UNC-share-lagre og FTP- eller HTTP-lagre. • Ved UNC-share-lagre skal du oprette mappen i systemet og aktivere deling. • Ved FTP- eller HTTP-lagre skal du bruge den eksisterende FTP- eller HTTP-serversoftware, f.eks. Microsoft Internet Information Services (IIS), til at oprette en ny mappe og webstedsplacering. Du kan finde flere oplysninger i dokumentationen for webserveren. Tilføjelse af det distribuerede lager til ePolicy Orchestrator Føj en post til lagerlisten, og angiv den mappe, som det nye distribuerede lager bruger. Konfigurer ikke distribuerede lagre til at henvise til samme mappe som hovedlageret. Det kan forårsage, at filerne i hovedlageret bliver låst af brugere af det distribuerede lager, hvilket kan medføre, at trække- og pakkeindtjekning mislykkes, så hovedlageret er i en tilstand, hvor det ikke kan bruges. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Software | Distribuerede lagre, og klik derefter på Handlinger | Nyt lager. Guiden Generator af distribueret lager åbnes. 2 Skriv et entydigt navn på siden Beskrivelse, og vælg HTTP, UNC eller FTP, og klik derefter på Næste. Navnet på lageret behøver ikke være navnet på det system, der er vært for lageret. 3 Konfigurer en af følgende servertyper på serversiden. HTTP-servertype • På rullelisten URL-adresse skal du vælge DNS-navn, IPv4 eller IPv6 som serveradressens type og derefter angive adressen. Indstilling Definition DNS-navn Angiver serverens DNS-navn. IPv4 Angiver serverens IPv4-adresse. IPv6 Angiver serverens IPv6-adresse. • Angiv serverens portnummer: HTTP-standardindstillingen er 80. • Angiv stien for replikerings-UNC for din HTTP-mappe. UNC-servertype • Angiv stien til den netværksmappe, hvor lageret befinder sig. Brug dette format: \\<COMPUTER> \<MAPPE>. FTP-servertype • • 4 74 På rullelisten URL-adresse skal du vælge DNS-navn, IPv4 eller IPv6 som serveradressens type og derefter angive adressen. Indstilling Definition DNS-navn Angiver serverens DNS-navn. IPv4 Angiver serverens IPv4-adresse. IPv6 Angiver serverens IPv6-adresse. Angiv serverens portnummer: FTP-standardindstillingen er 21. Klik på Næste. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 6 Lagre Oprettelse og konfiguration af lagre på FTP- eller HTTP-servere og UNC-shares 5 På siden Legitimationsoplysninger: a Angiv dine legitimationsoplysninger til overførsel. Brug legitimationsoplysninger med skrivebeskyttede tilladelser til HTTP-serveren, FTP-serveren eller UNC-sharet, som er værter for lageret. HTTP- eller FTP-servertype: • Vælg Anonym for at bruge en ukendt brugerkonto. • Vælg FTP- eller HTTP-godkendelse, hvis serveren kræver godkendelse, og angiv derefter brugerkontooplysningerne. UNC-servertype: b 6 • Vælg Brug legitimationsoplysninger for den konto, der er logget på med for at bruge legitimationsoplysningerne for den bruger, der aktuelt er logget på. • Vælg Angiv legitimationsoplysninger til overførsel, og angiv derefter oplysninger om domæne og brugerkonto. Klik på Test legitimationsoplysninger. Efter et par sekunder vises en bekræftelsesmeddelelse, som angiver, at webstedet er tilgængeligt for systemer, der bruger godkendelsesoplysningerne. Kontrollér følgende, hvis legitimationsoplysningerne er forkerte: • Brugernavn og adgangskode • URL-adresse eller sti for guidens tidligere panel • HTTP-, FTP- eller UNC-websted i systemet Angiv dine legitimationsoplysninger til replikering. Serveren bruger disse legitimationsoplysninger, når den replikerer DAT-filer, programfiler eller andre produktopdateringer fra hovedlageret til det distribuerede lager. Disse legitimationsoplysninger skal have både læse- og skrivetilladelser for det distribuerede lager: • Angiv oplysninger om brugerkonto for FTP. • Angiv oplysninger om domæne og brugerkonto for HTTP eller UNC. • Klik på Test legitimationsoplysninger. Efter et par sekunder vises en bekræftelsesmeddelelse, som angiver, at webstedet er tilgængeligt for systemer, der bruger godkendelsesoplysningerne. Kontrollér følgende, hvis legitimationsoplysningerne er forkerte: • Brugernavn og adgangskode • URL-adresse eller sti for guidens tidligere panel • HTTP-, FTP- eller UNC-websted i systemet 7 Klik på Næste. Siden Pakketyper vises. 8 Vælg, om alle pakker eller kun udvalgte pakker skal replikeres til dette distribuerede lager, og klik derefter på Næste. • Hvis du vælger indstillingen Valgte pakker, skal du manuelt vælge de Signaturer og programmer og Produkter, programrettelser, servicepakker osv., som du vil replikere. • Du kan også vælge Nedarvede DAT-filer til replikering. Kontrollér, at alle de pakker, der skal bruges af administrerede systemer ved hjælp af dette lager, er markeret. Administrerede systemer bruges ét lager til alle pakker – opgaven mislykkes, hvis en påkrævet pakketype ikke findes på lageret. Denne funktion sikrer, at pakker, der kun bruges af nogle få systemer, ikke replikeres i hele miljøet. 9 Gennemgå siden Oversigt, og klik derefter på Gem for at tilføje lageret. ePolicy Orchestrator-softwaren føjer det nye distribuerede lager til databasen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 75 6 Lagre Oprettelse og konfiguration af lagre på FTP- eller HTTP-servere og UNC-shares Undgåelse af replikering af valgte pakker Hvis de distribuerede lagre er konfigureret til kun at replikere de valgte pakker, replikeres den pakke, der er tjekket ind for nylig, som standard. Afhængigt af kravene til test og validering kan det være ønskværdigt at undgå replikering af visse pakker i de distribuerede lagre. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Software | Distribuerede lagre, og klik derefter på et lager. Guiden Generator af distribueret lager åbnes. 2 På siden Pakketyper skal du fravælge den pakke, du ønsker at undgå at replikere. 3 Klik på Gem. Deaktivering af replikering af valgte pakker Hvis de distribuerede lagre er konfigureret til kun at replikere de valgte pakker, replikeres den pakke, der er tjekket ind for nylig, som standard. Hvis du vil deaktivere den forestående replikering af en pakke, skal du deaktivere replikeringsopgaven, før du tjekker pakken ind. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Automatisering | Serveropgaver, og vælg derefter Rediger ud for en replikeringsserveropgave. Guiden Generator af serveropgave åbnes. 2 Vælg Status på plan som Deaktiveret på siden Beskrivelse, og klik derefter på Gem. Aktivering af mappedeling for UNC- og HTTP-lagre På et distribueret HTTP- eller UNC-lager skal du aktivere mappen til deling på hele netværket, så der kan kopieres til mappen af McAfee ePO-serveren. Dette er kun til replikeringsformål. Administrerede systemer, der er konfigureret til at bruge det distribuerede lager, bruger den relevante protokol (HTTP-, FTP- eller Windows-fildeling), og der kræves ikke mappedeling. Opgave 1 Find den mappe, du oprettede i det administrerede system, ved hjælp af Windows Stifinder. 2 Højreklik på mappen, og vælg derefter Deler. 3 Vælg Del denne mappe under fanen Deler. 4 Konfigurer delingstilladelser efter behov. Til systemer, der opdateres fra lageret, kræves der kun læseadgang, men til administratorkonti, herunder den konto, der bruges af McAfee ePO-servertjenesten, kræves der skriveadgang. Se dokumentationen til Microsoft Windows for at konfigurere de relevante sikkerhedsindstillinger for delte mapper. 5 Klik på OK. Redigering af distribuerede lagre Rediger konfiguration, godkendelse og pakkevalg for et distribueret lager efter behov. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 76 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Lagre Brug af UNC-shares som distribuerede lagre 6 Opgave 1 Klik på Menu | Software | Distribuerede lagre, og klik derefter på et lager. Guiden Generator af distribueret lager åbnes med oplysningerne om det distribuerede lager. 2 Rediger indstillingerne for konfiguration, godkendelse og pakkevalg efter behov. 3 Klik på Gem. Sletning af distribuerede lagre Slet distribuerede HTTP-, FTP- eller UNC-lagre. Når du gør det, sletter du også indholdet i de distribuerede lagre. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Software | Distribuerede lagre, tog klik derefter på Slet ud for det ønskede lager. 2 Klik på OK i dialogboksen Slet lager. Sletning af lageret sletter ikke pakkerne i det system, der er vært for lageret. Slettede lagre fjernes fra lagerlisten. Brug af UNC-shares som distribuerede lagre Følg disse retningslinjer, når du bruger UNC-shares som distribuerede lagre. UNC-shares anvender SMB-protokollen (Microsoft Server Message Block) til at oprette et delt drev. Opret et brugernavn og en adgangskode for at få adgang til dette share. Konfigurer sharet korrekt Kontrollér, at UNC-sharet er konfigureret korrekt. • Anvend en alternativ metode til at skrive til lageret – Log på serveren ved hjælp af en anden metode (et andet share, RDP, lokalt) for at skrive til lageret. Bland ikke det lager, du læser fra, med det lager, du skriver til. Læserettigheder deles med slutpunkter, og skriverettigheder bruges udelukkende af McAfee ePO-serveren til at opdatere indholdet af dit distribuerede lager. • Anvend ikke et share på din domænecontroller – Opret et skare et andet sted end på din domænecontroller. En lokal bruger på domænecontrolleren er domænebruger. Sørg for, at den konto, du bruger til at læse fra UNC-sharet, er sikker Følg disse retningslinjer for at sikre dig, at den konto, der bruges til at få adgang til UNC-sharet, er sikker. • Tildel skrivebeskyttede rettigheder til din UNC-sharekonto for alle med undtagelse af McAfee ePO-serverens hovedlager – Når du konfigurerer dit share, skal du kontrollere, at den konto, du har oprettet, har skrivebeskyttede rettigheder til mappen og til sharetilladelserne. Tildel ikke fjernskrivningsrettigheder til sharet (selv ikke til administratorer eller andre konti). Den eneste konto, der har adgang, er den konto, du har oprettet for nylig. McAfee ePO-serverens hovedlager skal kunne skrive filer til UNC-sharekontoen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 77 6 Lagre Brug af lokalt distribuerede lagre, der ikke er administrerede • Opret kontoen lokalt – Opret kontoen på filsharet, ikke på domænet. Konti, der oprettes lokalt, tildeler ikke rettigheder til systemer på domænet. • Anvend en bestemt konto – Opret en konto specifikt til delig af lagerdata. Del ikke denne konto med flere funktioner. • Giv kontoen få rettigheder – Føj ikke denne konto til grupper, den ikke behøver, herunder grupperne "Administratorer" og "Brugere". • Deaktiver irrelevante rettigheder – Denne konto har ikke brug for at kunne logge på en server. Det er en pladsholder, der bruges til at komme til filerne. Undersøg kontoens rettigheder, og deaktiver eventuelle unødvendige rettigheder. • Anvend en stærk adgangskode – Anvend en adgangskode med 8-12 tegn, og anvend flere former for tegn (små og store bogstaver, symboler og tal). Vi anbefaler, at du anvender en generator af tilfældige adgangskoder, så din adgangskode er kompleks. Beskyt og vedligehold dit UNC-share • Angiv en firewall for dit share – Bloker altid uønsket trafik. Vi anbefaler, at du blokerer ud- og indgående trafik. Du kan bruge en softwarefirewall på serveren eller en hardwarefirewall på netværket. • Aktivér filovervågning – Sørg for altid at aktivere overvågningslogge af sikkerhedsmæssige hensyn, og spor adgangen til dine netværksshares. Disse logge viser, hvem der opretter forbindelse til sharet hvornår, og hvad vedkommende foretager sig. • Skift dine adgangskoder – Skift din adgangskode ofte. Sørg for, at den nye adgangskode er stærk, og husk at opdatere din McAfee ePO-konfiguration med den nye adgangskode. • Deaktiver kontoen og sharet, hvis det ikke længere bruges – Hvis du skifter til en anden form for lagertype end UNC, skal du huske at deaktivere eller slette kontoen og lukke og fjerne sharet. Brug af lokalt distribuerede lagre, der ikke er administrerede Kopiér indhold fra hovedlageret til et distribueret lager, der ikke er administreret. Når du har oprettet et lager, der ikke er administreret, skal du manuelt konfigurere de administrerede systemer, så de går til de lagre, der ikke administreres, for at få adgang til filer. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Kopiér alle filer og undermapper i hovedlagermappen fra serveren. Hvis du f.eks. bruger en Windows 2008 R2 Server, er dette standardstien på din server: C: \Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Software 2 Indsæt de kopierede filer og undermapper i lagermappen på systemet med det distribuerede lager. 3 Konfigurer en agentpolitik for administrerede systemer til brug af det nye ikke-administrerede distribuerede lager: a Klik på Menu | Politik | Politikkatalog, og vælg derefter Produkt som McAfee Agent og Kategori som Lager. b Klik på en eksisterende agentpolitik, eller opret en ny agentpolitik. Nedarvning af politik kan ikke brydes på niveauet for indstillingsfaner, som udgør en politik. Når du anvender denne politik på systemer, skal du derfor sikre, at det kun er de korrekte systemer, der modtager og nedarver politikken til brug af det ikke-administrerede distribuerede lager. 78 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Lagre Arbejde med lagerlistefiler c På fanen Lagre, skal du klikke på Tilføj. d Skriv et navn i tekstfeltet Navn på lager. 6 Navnet behøver ikke at være navnet på det system, der er vært for lageret. e Vælg typen af lager under Hent filer fra. f Skriv placeringen af lageret med den korrekte syntaks for lagertypen under Konfiguration. g Skriv et portnummer, eller behold standardporten. h Konfigurer legitimationsoplysning til godkendelse efter behov. i Klik på OK for at føje det nye distribuerede lager til listen. j Markér det nye lager på listen. Typen Lokal angiver, at det ikke administreres af ePolicy Orchestrator-softwaren. Når et ikke-administreret lager vælges under Lagerliste, aktiveres knapperne Rediger og Slet. k Klik på Gem. De systemer, hvor denne politik anvendes, modtager den nye politik ved den næste agent til server-kommunikation. Arbejde med lagerlistefiler Du kan eksportere lagerlistefilerne SiteList.xml og SiteMgr.xml. Disse filer: • SiteList.xml – Bruges af agenten og produkter, der understøttes. • SiteMgr.xml – Bruges under geninstallation af McAfee ePO-serveren eller til import til andre McAfee ePO-servere, der bruger de samme distribuerede lagre eller kildewebsteder. Opgaver • Eksport af lagerlistefilen SiteList.xml på side 79 Eksportér lagerlistefilen (SiteList.xml) med henblik på manuel levering til systemer eller import under installationen af understøttede produkter. • Eksport af lagerlisten til sikkerhedskopiering eller brug på andre servere på side 80 Brug den eksporterede SiteMgr.xml-fil til at gendanne de distribuerede lagre og kildesteder, når du geninstallerer McAfee ePO-serveren, eller når du vil dele distribuerede lagre eller kildesteder med en anden McAfee ePO-server. • Import af distribuerede lagre fra lagerlisten på side 80 Importér distribuerede lagre fra filen SiteMgr.xml, når du har geninstalleret en server, eller når du ønsker, at en server skal bruge de samme distribuerede lagre som en anden server. • Import af kildewebsteder fra filen SiteMgr.xml på side 81 Importér kildewebsteder fra en lagerlistefil, når du har geninstalleret en server, og når du ønsker, at to servere skal bruge de samme distribuerede lagre. Eksport af lagerlistefilen SiteList.xml Eksportér lagerlistefilen (SiteList.xml) med henblik på manuel levering til systemer eller import under installationen af understøttede produkter. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 79 6 Lagre Arbejde med lagerlistefiler Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Software | Hovedlager, og klik derefter på Handlinger | Eksportér Sitelist. Dialogboksen Filoverførsel vises. 2 Klik på Gem, find det sted, hvor filen SiteList.xml skal gemmes, og klik derefter på Gem. Når du har eksporteret denne fil, kan du importere den under installationen af understøttede produkter. Du kan finde en vejledning i installationsvejledningen til det pågældende produkt. Du kan også distribuere lagerlisten til administrerede systemer og derefter anvende lagerlisten på agenten. Eksport af lagerlisten til sikkerhedskopiering eller brug på andre servere Brug den eksporterede SiteMgr.xml-fil til at gendanne de distribuerede lagre og kildesteder, når du geninstallerer McAfee ePO-serveren, eller når du vil dele distribuerede lagre eller kildesteder med en anden McAfee ePO-server. Du kan eksportere denne fil fra siden Distribuerede lagre eller Kildewebsteder. Når du importerer denne fil til en af disse sider, importeres imidlertid kun de elementer fra filen, som vises på den pågældende side. Hvis denne fil f.eks. importeres til siden Distribuerede lagre, importeres kun de distribuerede lagre i filen. Du skal derfor importere filen to gange, en gang fra hver side, hvis du vil importere både distribuerede lagre og kildewebsteder. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Software | Distribuerede lagre (eller Kildewebsteder), og klik derefter på Handlinger | Eksportér lagre (eller Eksportér kildewebsteder). Dialogboksen Filoverførsel vises. 2 Klik på Gem, find den placering, hvor filen skal gemmes, og klik derefter på Gem. Import af distribuerede lagre fra lagerlisten Importér distribuerede lagre fra filen SiteMgr.xml, når du har geninstalleret en server, eller når du ønsker, at en server skal bruge de samme distribuerede lagre som en anden server. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Software | Distribuerede lagre, og klik derefter på Handlinger | Importér lagre. Siden Importér lagre vises. 2 Find og vælg den eksporterede fil SiteMgr.xml, og klik derefter på OK. Det distribuerede lager importeres til serveren. 3 Klik på OK. De valgte lagre føjes til listen over lagre på denne server. 80 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Lagre Arbejde med lagerlistefiler 6 Import af kildewebsteder fra filen SiteMgr.xml Importér kildewebsteder fra en lagerlistefil, når du har geninstalleret en server, og når du ønsker, at to servere skal bruge de samme distribuerede lagre. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, og på listen Indstillingskategorier skal du vælge Kildewebsteder og derefter klikke på Rediger. 2 Klik på Importér. 3 Find og vælg den eksporterede fil SiteMgr.xml, og klik derefter på OK. 4 Vælg de kildewebsteder, der skal importeres til denne server, og klik på OK. De valgte kildewebsteder føjes til listen over lagre på denne server. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 81 6 Lagre Arbejde med lagerlistefiler 82 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 7 Registrerede servere Du kan få adgang til flere servere ved at registrere dem på McAfee ePO-serveren. Registrerede servere gør det muligt at integrere softwaren med andre eksterne servere. Du kan f.eks. registrere en LDAP-server for at oprette forbindelse til Active Directory-serveren. McAfee ePolicy Orchestrator kan kommunikere med: • Andre McAfee ePO-servere • Ekstra eksterne databaseservere • LDAP-servere • HTTP-servere Hver registreret servertype understøtter eller supplerer funktionerne i ePolicy Orchestrator og andre udvidelser og produkter fra McAfee og tredjepart. Indhold Registrering af McAfee ePO-servere Registrering af LDAP-servere Registrering af SNMP-servere Registrering af en databaseserver Deling af objekter mellem servere Registrering af McAfee ePO-servere Du kan registrere flere McAfee ePO-servere, der skal bruges sammen med den primære McAfee ePO-server til at indsamle eller samle data eller til at overføre administrerede systemer mellem de registrerede servere. Før du starter Hvis du vil registrere én McAfee ePO-server på en anden server, skal du kende detaljerede oplysninger om McAfee ePO-serverens SQL-database for den server, du vil registrere. Du kan bruge følgende fjernkommando til at bestemme blandt andet Microsoft SQL-databasens servernavn og databasenavnet: https://<server_name>:<port>/core/config Fjernkommandoen omfatter følgende variabler: • <server_name> – DNS-serverens navn eller McAfee ePO-fjernserverens IP-adresse • <port> – Det portnummer, der er tildelt til McAfee ePO-serveren, typisk ”8443”, medmindre serveren er konfigureret til at bruge et andet portnummer Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 83 7 Registrerede servere Registrering af McAfee ePO-servere Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Vælg Menu | Konfiguration | Registrerede servere, og klik på Ny server. 2 Vælg ePO fra menuen Servertype på siden Beskrivelse, angiv et entydigt navn og eventuelle bemærkninger, og klik derefter på Næste. 3 Angiv følgende indstillinger for at konfigurere serveren: Indstilling Definition Godkendelsestype Angiver den type godkendelse, der skal bruges for denne database, herunder: • Windows-godkendelse • SQL-godkendelse Deling af klientopgave Angiver, om klientopgaver skal aktiveres eller deaktiveres for denne server. Databasenavn Angiver navnet på databasen. Databaseport Angiver porten for databasen. Databaseserver Angiver navnet på databasen for denne server. Du kan angive en database ved hjælp af et DNS-navn eller en IP-adresse (IPv4 eller IPv6). ePO-version Angiver den version af McAfee ePO-serveren, der registreres. Adgangskode Angiver adgangskoden til serveren. Politikdeling Angiver, om politikdeling er aktiveret eller deaktiveret for serveren. SQL Server-forekomst Giver dig mulighed for at angive, om dette er standardserveren eller en bestemt forekomst, ved at angive navnet på forekomsten. Kontrollér, at SQL-browsertjenesten kører, inden du opretter forbindelse til en bestemt SQL-forekomst ved hjælp af navnet på forekomsten. Angiv portnummeret, hvis SQL-browsertjenesten ikke kører. Vælg SQL-standardserverforekomsten, og angiv portnummeret for at oprette forbindelse til SQL-serverforekomsten. SSL-kommunikation med Angiver, om ePolicy Orchestrator bruger SSL-kommunikation (Secure Socket databaseserver Layer) med denne databaseserver, herunder: • Forsøg at bruge SSL • Brug altid SSL • Brug aldrig SSL Test forbindelse Kontrollerer forbindelsen for den pågældende server. Hvis du registrerer en server med en anden McAfee ePO-version, vises følgende advarsel: Advarsel om versioner, der ikke stemmer overens! 84 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Registrerede servere Registrering af LDAP-servere 7 Indstilling Definition Overfør systemer Angiver, om muligheden for at overføre systemer skal aktiveres eller deaktiveres for denne server. Vælg Automatisk import af Sitelist eller Manuel import af Sitelist, hvis muligheden er aktiveret. Hvis du vælger Manuel import af Sitelist, kan det medføre, at ældre versioner af McAfee Agent (version 4.0 og ældre) ikke kan kontakte den tilhørende agenthandler. Dette kan ske i forbindelse med • overførsel af systemer fra denne McAfee ePO-server til den registrerede McAfee ePO-server • og hvis navnet på en agenthandler er vist før McAfee ePO-servernavnet på den angivne Sitelist • og de ældre agenter bruger denne agenthandler. 4 Brug NTLMv2 Du kan også vælge at bruge NT LAN Manager-godkendelsesprotokollen. Vælg denne indstilling, når den server, du vil registrere, bruger denne protokol. Brugernavn Angiver brugernavnet for serveren. Klik på Gem. Se også Sådan fungerer Overfør systemer på side 123 Eksport og import af ASSC-nøgler mellem McAfee ePO-servere på side 89 Overførsel af systemer mellem McAfee ePO-servere på side 124 Registrering af LDAP-servere Du skal have en registeret LDAP-server (Lightweight Directory Access Protocol) for at bruge regler for politiktildeling, for at aktivere dynamisk tildelte tilladelsessæt og for at aktivere Active Directory-brugerlogon. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Vælg Menu | Konfiguration | Registrerede servere, og klik derefter på Ny server. 2 Vælg LDAP-server fra menuen Servertype på siden Beskrivelse, angiv et entydigt navn og eventuelle oplysninger, og klik derefter på Næste. 3 Vælg, om du registrerer en OpenLDAP- eller Active Directory-server på listen LDAP-servertype. I resten af disse instruktioner formodes det, at en Active Directory-server konfigureres. OpenLDAP-specifikke oplysninger er inkluderet, hvis det er nødvendigt. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 85 7 Registrerede servere Registrering af SNMP-servere 4 Vælg, om du vil angive et domænenavn eller et bestemt servernavn i afsnittet Servernavn. Brug domænenavne af DNS-typen (f.eks. internaldomain.com) og fuldt kvalificerede domænenavne eller IP-adresser til servere. (f.eks. server1.internaldomain.com eller 192.168.75.101) Brug af domænenavne sikrer failover-understøttelse og gør det muligt kun at vælge servere fra et bestemt websted, hvis du vil. Der kan kun bruges servernavne til OpenLDAP-servere. De kan ikke angives efter domæne. 5 Vælg, om du vil aktivere Brug globalt katalog. Denne indstilling er ikke valgt som standard. Hvis du vælger den, kan det give betydelige ydeevnemæssige fordele. Den bør kun vælges, hvis det registrerede domæne udelukkende er overordnet for lokale domæner. Hvis ikke-lokale domæner er inkluderet, kan søgning efter henvisninger medføre betydelig ikke-lokal netværkstrafik og muligvis påvirke ydeevnen alvorligt. Brug globalt katalog er ikke tilgængeligt for OpenLDAP-servere. 6 Hvis du har valgt ikke at bruge det globale katalog, skal du vælge, om du vil anvende Søg efter henvisninger eller ej. Søgning efter henvisninger kan forårsage problemer for ydeevnen, hvis det medfører ikke-lokal netværkstrafik, uanset om der anvendes et globalt katalog. 7 Vælg, om Brug SSL skal anvendes ved kommunikation med denne server. 8 Hvis du konfigurerer en OpenLDAP-server, skal du angive en Port. 9 Indtast et Brugernavn og en Adgangskode som angivet. Disse legitimationsoplysninger skal tilhøre en administratorkonto på serveren. Brug formatet domain\username på Active Directory-servere og formatet cn=User,dc=realm,dc=com på OpenLDAP-servere. 10 Indtast et Navn på websted til serveren, eller vælg det ved at klikke på Gennemse og navigere til det. 11 Klik på Test forbindelse for at kontrollere, at kommunikationen med serveren er som angivet. Rediger oplysningerne efter behov. 12 Klik på Gem for at registrere serveren. Registrering af SNMP-servere Hvis du vil modtage en SNMP-fælde, skal du tilføje oplysninger om SNMP-serveren, så ePolicy Orchestrator ved, hvor fælden skal sendes hen. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 86 1 Klik på Menu | Konfiguration | Registrerede servere, og klik derefter på Ny server. 2 Fra menuen Servertype på siden Beskrivelse vælger du SNMP-server, angiver navnet samt yderligere oplysninger om serveren og klikker på Næste. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Registrerede servere Registrering af en databaseserver 3 4 7 Fra rullelisten URL-adresse vælger du en af disse serveradressetyper og angiver derefter adressen: • DNS-navn – Angiver DNS-navnet på den registrerede server. • IPv4 – Angiver IPv4-adressen på den registrerede server. • IPv6 – Angiver DNS-navnet på den registrerede server, som har en IPv6-adresse. Vælg den SNMP-version, som serveren anvender: • Hvis du vælger SNMPv1 eller SNMPv2c som SNMP-serverversion, skal du indtaste serverens gruppestreng under Sikkerhed. • Hvis du vælger SNMPv3, skal du angive oplysningerne for SNMPv3-sikkerhed. 5 Klik på Send testfælde for at teste konfigurationen. 6 Klik på Gem. Den tilføjede SNMP-server vises på siden Registrerede servere. Registrering af en databaseserver Før du kan hente data fra en databaseserver, skal du registrere den i ePolicy Orchestrator. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Åbn siden Registrerede servere: vælg Menu | Konfiguration | Registrerede servere, og klik derefter på Ny server. 2 Vælg Databaseserver i rullelisten Servertype, angiv et servernavn og en valgfri beskrivelse, og klik derefter på Næste. 3 Vælg en Databasetype fra rullelisten med registrerede typer. Angiv, om denne databasetype skal være standard. Hvis der allerede er tildelt en standarddatabase for denne databasetype, vises det i rækken Nuværende standarddatabase for databasetypen. 4 Angiv Databaseleverandør. I øjeblikket understøttes kun Microsoft SQL Server og MySQL. 5 Angiv forbindelsesindstillingerne og legitimationsoplysningerne for databaseserveren. 6 Klik på Test forbindelse for at kontrollere, at alle tilslutningsindstillinger og legitimationsoplysninger til logon er angivet korrekt. En statusmeddelelse angiver, om det er lykkedes. 7 Klik på Gem. Deling af objekter mellem servere Det er ofte nemmest og hurtigst at replikere funktionsmåden fra én McAfee ePO-server til en anden ved at eksportere det element, der beskriver funktionsmåden, og importere det på den anden server. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 87 7 Registrerede servere Deling af objekter mellem servere Eksport af objekter fra ePolicy Orchestrator Det er ofte nemmest og hurtigst at replikere funktionsmåden fra én McAfee ePO-server til en anden ved at eksportere det element, der beskriver funktionsmåden, og importere det på den anden server. Elementer, der eksporteres fra ePolicy Orchestrator, gemmes i XML-filer, der indeholder en detaljeret beskrivelse af de eksporterede elementer. Objekter, der eksporteres fra en McAfee ePO-server, vises i browseren som XML. Browserindstillingerne er bestemmende for, hvordan XML-filen vises og gemmes. Indhold af eksporterede filer En eksporteret fil indeholder normalt et ydre containerelement med navnet <list>, i tilfælde af, at der eksporteres flere elementer. Hvis der kun eksporteres et enkelt objekt, kan det ydre containerelement navngives efter objektet. (f.eks. <query>). Eventuelt yderligere indhold varierer, afhængigt af den eksporterede elementtype. Elementer, der kan eksporteres Følgende elementer kan eksporteres. Installerede udvidelser kan bevirke, at der føjes elementer til denne liste. Du kan finde flere oplysninger i dokumentationen til udvidelsen. • Dashboards • Serveropgaver • Tilladelsessæt • Brugere • Forespørgsler • Automatiske reaktioner • Rapporter I forbindelse med følgende elementer kan der eksporteres tabeller med det aktuelle indhold. • Overvågningslog • Problemer Import af elementer i ePolicy Orchestrator Elementer, der eksporteres fra en McAfee ePO-server, kan importeres til en anden server. ePolicy Orchestrator eksporterer elementer i XML. Disse XML-filer indeholder præcise beskrivelser af de eksporterede elementer. Import af elementer Ved import af elementer i ePolicy Orchestrator følges bestemte regler: • Alle elementer undtagen brugere importeres som standard med privat synlighed. Du kan anvende andre tilladelser enten under eller efter import. • Hvis der allerede findes et element med det samme navn, føjes "(imported)" eller "(copy)" til navnet på det importerede element. • Importerede elementer, der kræver en udvidelse eller et produkt, som ikke findes på den nye server, markeres som ugyldige. ePolicy Orchestrator importerer kun XML-filer, der er eksporteret af ePolicy Orchestrator. Specifikke oplysninger om, hvordan forskellige typer af elementer importeres, kan findes i dokumentationen til de enkelte elementer. 88 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Registrerede servere Deling af objekter mellem servere 7 Eksportér objekter og data fra McAfee ePO-serveren Eksporterede objekter og data kan bruges til sikkerhedskopiering af vigtige data og gendannelse eller konfiguration af McAfee ePO-serverne i dit miljø. De fleste objekter og data, der bruges på serveren, kan eksporteres eller hentes og derefter vises, omdannes eller importeres på en anden server eller i andre programmer. I følgende tabel vises de forskellige elementer, du kan behandle. Hvis du vil se data, skal du eksportere tabellerne som HTMLeller PDF-filer. Hvis du vil bruge dataene i andre programmer, skal du eksportere tabellerne som CSVeller XML-filer. Opgave 1 Klik på Handlinger på den side, hvor objekterne eller dataene vises, og vælg en indstilling. Vælg f.eks. Eksportér tabel, når du vil eksportere en tabel, og klik derefter på Næste. 2 Når du eksporterer indhold, der kan hentes i flere formater, f.eks. forespørgselsdata, vises siden Eksportér med konfigurationsindstillinger. Angiv dine indstillinger, og klik derefter på Eksportér. 3 Når du eksporterer objekter eller definitioner, f.eks. klientopgaveobjekter eller -definitioner, sker der et af følgende: • Der åbnes et browservindue, hvor du kan vælge Åbn eller Gem. • Siden Eksportér åbnes med et link til filen. Venstreklik på linket for at få vist filen i din browser, eller højreklik på linket for at gemme filen. Eksport og import af ASSC-nøgler mellem McAfee ePO-servere Inden du kan overføre systemer mellem McAfee ePO-servere, skal du eksportere og importere nøgler til sikker agent til server-kommunikation (ASSC) mellem McAfee ePO-serverne. Nøgler til sikker agent til server-kommunikation bruges af agenterne til sikker kommunikation med McAfee ePOserveren. Hvis du overfører et administreret system med en krypteret McAfee Agent til en anden McAfee ePO-server uden at importere de tilknyttede klientnøgler, kan det overførte system ikke oprette forbindelse til den nye McAfee ePO-server. Hvis du vil overføre administrerede systemer i begge retninger, skal du registrere begge servere på hinanden og eksportere og importere begge sæt ASSC-nøgler. Hvis du forsøger at registrere en McAfee ePO-server, og du aktiverer indstillingen Overfør systemer med automatisk import af Sitelist, inden du eksporterer og importerer ASSC-nøglerne mellem McAfee ePO-serverne, vises følgende fejlmeddelelse: Fejl: Agent til server-hovednøgle(r) skal importeres på fjernserveren, før Sitelist importeres. Gå til Serverindstillinger for at eksportere sikkerhedsnøgler fra denne server. Bemærk, at når du klikker på dette link, mister du eventuelle ændringer, du har foretaget på denne registrerede server, som ikke er gemt. Du skal importere både 1024-bit og 2048-bit ASSC-nøglerne fra McAfee ePO-serveren for at kunne registrere og importere den automatiske Sitelist. Brug disse trin til at eksportere og importere ASSC-nøglerne fra en McAfee ePO-server til en anden. I disse trin beskrives, hvordan du eksporterer ASSC-nøglerne fra en gammel McAfee ePO-server til en ny McAfee ePO-server. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 1 På den gamle McAfee ePO-server skal du klikke på Menu | Konfiguration | Serverindstillinger, klikke på Sikkerhedsnøgler i kolonnen Indstillingskategorier og derefter klikke på Rediger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 89 7 Registrerede servere Deling af objekter mellem servere Brug disse trin til at eksportere de to ASSC-nøgler: a Hvis du vil eksportere 2.048-bit ASSC-nøglen, skal du på siden Rediger sikkerhedsnøgler vælge 2.048-bit nøglen på listen Nøgler til sikker agent til server-kommunikation, klikke på Eksportér og derefter i dialogboksen Eksportér nøgle til sikker agent til server-kommunikation klikke på OK. b Gem ZIP-filen i en midlertidig mappe på den lokale computer. Standardnavnet på 2.048-bit ASSC-nøglefilen er sr2048<servernavn>.zip, hvor <servernavn> er navnet på din McAfee ePO-server. I filnavnet sr2048ePO50_server.zip er "ePO50_server" f.eks. servernavnet. c 2 Hvis du vil eksportere 1.024-bit ASSC-nøglen, skal du på siden Rediger sikkerhedsnøgler vælge 1.024-bit nøglen på listen Nøgler til sikker agent til server-kommunikation, klikke på Eksportér i dialogboksen Eksportér nøgle til sikker agent til server-kommunikation, klikke på OK og derefter gemme ZIP-filen i samme midlertidige mappe på den lokale computer. På den nye McAfee ePO-server skal du klikke på Menu | Konfiguration | Serverindstillinger, klikke på Sikkerhedsnøgler i kolonnen Indstillingskategorier og derefter klikke på Rediger. Brug disse trin til at importere de to ASSC-nøgler: 3 a På siden Rediger sikkerhedsnøgler skal du klikke på Importér ud for gruppen Importér og sikkerhedskopiér nøgler. b På siden Importér nøgler skal du gå til den placering, hvor du gemte ZIP-filerne med de 2.048og 1.024-bit ASSC-nøgler, du eksporterede under trin 1. c I dialogboksen Vælg fil til overførsel skal du vælge ZIP-filen med 2.048-bit ASSC-nøglen. Herefter vender du tilbage til siden Importér nøgler, hvor du skal klikke på Næste. d Kontrollér, at du har valgt den korrekte nøgle, på siden Oversigt, og klik på Gem. e Gentag trin a til d for at importere 1.024-bit ASSC-nøglen. På den nye McAfee ePO-server skal du kontrollere, at både 1.024-bit og 2.048-bit ASSC-nøglerne vises på listen Nøgler til sikker agent til server-kommunikation, og derefter klikke på Gem. Nu hvor begge ASSC-nøgler er gemt på din nye McAfee ePO-server, kan du registrere den nye McAfee ePO-server på din gamle server og derefter bruge Overfør systemer til at flytte dine administrerede systemer. Se også Sådan fungerer Overfør systemer på side 123 Registrering af McAfee ePO-servere på side 83 Overførsel af systemer mellem McAfee ePO-servere på side 124 90 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 8 Agenthandlere Agenthandlere sender kommunikation mellem agenter og McAfee ePO-serveren. Hver McAfee ePO-server indeholder en hovedagenthandler. Der kan installeres ekstra agenthandlere på systemer på netværket. Konfiguration af flere agenthandlere har følgende fordele: • Hjælper med at administrere et øget antal produkter og systemer, som administreres af en enkelt, logisk McAfee ePO-server i situationer, hvor databaseserverens CPU ikke er overbelastet. • Giver fejltolerant kommunikation, hvor belastningen er justeret, med mange agenter, herunder geografisk distribuerede agenter. Indhold Sådan fungerer agenthandlere Oprettelse af forbindelse mellem en agenthandler i DMZ og McAfee ePO-server på et domæne Handlergrupper og -prioritet Administration af agenthandlere Sådan fungerer agenthandlere Agenthandlere distribuerer netværkstrafik i forbindelse med en agent til server-kommunikation ved at dirigere administrerede systemer eller grupper af systemer, så de rapporterer til en bestemt agenthandler. Når et administreret system har fået tildelt en agenthandler, kommunikerer det med den tildelte agenthandler i stedet for med den overordnede McAfee ePO-server. Handleren leverer ligesom McAfee ePO-serveren opdaterede sitelister, politikker og regler for politiktildeling. Handleren cachelagrer også indholdet i hovedlageret, så agenter kan trække pakker med produktopdateringer, DAT-filer og andre nødvendige oplysninger. Hvis handleren ikke indeholder de nødvendige opdateringer, når en agent tjekkes ind med den tilhørende handler, hentes de i det tildelte lager og cachelagres, og opdateringen videresendes til agenten. Agenthandleren skal kunne godkende domænelegitimationsoplysninger. Ellers skal den konto, som agenthandleren bruger til godkendelse til databasen, bruge SQL-godkendelse. Der er flere oplysninger om Windows-godkendelse og SQL-godkendelse i dokumentationen til Microsoft SQL Server. Der er flere oplysninger, hvordan du ændrer godkendelsestilstande, i dokumentationen til Microsoft SQL Server. Hvis du ændrer godkendelsestilstand, skal du også opdatere forbindelsesoplysningerne for SQL Server. Diagrammet Systemer pr. agenthandler viser alle de installerede agenthandlere og det antal agenter, der administreres af den enkelte agenthandler. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 91 8 Agenthandlere Oprettelse af forbindelse mellem en agenthandler i DMZ og McAfee ePO-server på et domæne Hvis en agenthandler er afinstalleret, vises den ikke i dette diagram. Hvis en regel for agenthandleropgaver udelukkende tildeler agenter til en bestemt agenthandler, og den pågældende agenthandler afinstalleres, vises den i diagrammet som Afinstalleret Agenthandler sammen med det antal agenter, der stadig forsøger at oprette forbindelse til den. Hvis agenthandlerne ikke er installeret korrekt, vises meddelelsen Afinstalleret Agenthandler for at angive, at handleren ikke kan kommunikere med bestemte agenter. Klik på listen for at få vist de agenter, der ikke kan kommunikere med handleren. Flere agenthandlere Du kan have mere end én agenthandler på dit netværk. Du kan f.eks. have mange administrerede systemer spredt over store geografiske områder eller på tværs af politiske grænser. Uanset hvor mange agenthandlere du har, kan du til enhver tid føje en organisation til de administrerede systemer ved at tildele forskellige grupper til forskellige handlere. Oprettelse af forbindelse mellem en agenthandler i DMZ og McAfee ePO-server på et domæne Når McAfee ePO-serveren er på et domæne, kan en agenthandler, der er installeret i DMZ, ikke oprette forbindelse til McAfee ePO SQL-databasen, da agenthandleren ikke kan bruge legitimationsoplysninger til domæner. Du kan omgå denne begrænsning ved at konfigurere agenthandleren til at bruge systemadministratorens (sa) legitimationsoplysninger til kontoen i SQL-databasen. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 1 Aktivér systemadministratorens konto. a Åbn SQL Management Studio, udvid Sikkerhedslogon, og dobbeltklik på systemadministratorens konto. b Skriv og bekræft adgangskoden på fanen Generelt. c På fanen Status skal du angive Logon til aktiveret og derefter klikke på OK. d Højreklik på navnet på forekomsten af databasen, og klik på Egenskaber. Systemadministratorens konto er aktiveret. 2 Ret systemadministratorens konto, så den opretter forbindelse til McAfee ePO-databasen. a Åbn en webbrowser, og gå til https://localhost:8443/core/config-auth 8443 er konsollens kommunikationsport. Hvis du bruger en anden port til at få adgang til McAfee ePO-konsollen, skal du i stedet inkludere dette portnummer i adressen. b Log på med din legitimationsoplysninger til McAfee ePO. c Slet posten i feltet Brugerdomæne, og skriv derefter sa. d Angiv en adgangskode til systemadministratorens konto, og klik derefter på Test forbindelse. e Hvis testen lykkes, skal du klikke på Anvend. Hvis testen ikke lykkes, skal du angive adgangskoden igen, og derefter klikke på Test forbindelse igen 92 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Agenthandlere Handlergrupper og -prioritet 8 Agenthandleren bruger systemadministratorens legitimationsoplysninger til at kommunikere med McAfee ePO-databasen. Handlergrupper og -prioritet Hvis du bruger flere agenthandlere på netværket, kan du gruppere og prioritere dem for at sikre en tilgængelig netværksforbindelse. Handlergrupper Hvis der er flere agenthandlere i netværket, kan du oprette handlergrupper. Du kan også prioritere handlerne i en gruppe. Handlerprioriteten fortæller agenterne, hvilken handler de skal kommunikere med først. Hvis den højest prioriterede handler ikke er tilgængelig, bruger agenten den næste handler på listen som reserve. Disse prioritetsoplysninger findes på lagerlisten (filen sitelist.xml) for hver enkelt agent. Når handlertildelingen ændres, opdateres denne fil som et led i processen for agent til server-kommunikationen. Når tildelingerne er modtaget, venter agenten med at implementere dem til den næste planlagte kommunikation. Du kan gennemføre en agentaktivering for at opdatere agenten straks. Handlergrupperinger og prioritetstildelinger kan tilpasses, så du kan opfylde de specifikke krav i dit miljø. Følgende to scenarier for handlergruppering forekommer ofte: • Brug af flere handlere til justering af belastning Hvis du har et stort antal administrerede systemer i netværket, kan du fordele arbejdsbelastningen jævnt i forbindelse med agent til server-kommunikation og håndhævelse af politik. Du kan konfigurere handlerlisten, så agenterne vælger en tilfældig handler at kommunikere med. • Konfiguration af en reserveplan til sikring af agent til server-kommunikation Ofte er systemer spredt over et stort geografisk område. Ved at give hver enkelt handler i dette område en prioritet kan du angive, hvilken handler agenterne skal kommunikere med, og i hvilken rækkefølge. Herved kan du bidrage til at sikre, at de administrerede systemer i netværket altid er opdaterede, ved at oprette en reservekommunikation til agenterne – på samme måde som reservelagrene sikrer, at nye opdateringer er tilgængelige for agenterne. Hvis den højest prioriterede handler ikke er tilgængelig, bruger agenten handleren med den næsthøjeste prioritet som reserve. Ud over at tildele handlerprioritet i en gruppe handlere kan du også indstille prioriteten for handlertildeling på tværs af flere grupper handlere. Dette giver et ekstra redundanslag i miljøet, som giver endnu større sikkerhed for, at agenterne altid kan modtage de oplysninger, de skal bruge. Sitelist-filer Agenten bruger filerne sitelist.xml og sitelist.info til at afgøre, hvilken handler der skal kommunikeres med. Hver gang handlertildelingerne og prioriteterne opdateres, opdateres disse filer i det administrerede system. Når filerne er opdateret, implementerer agenten den nye tildeling eller prioritet i forbindelse med den næste agent til server-kommunikation. Administration af agenthandlere Konfigurer agenthandlere i dit netværk, og tildel McAfee Agents til dem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 93 8 Agenthandlere Administration af agenthandlere Opgaver • Tildeling af McAfee Agents til agenthandlere på side 94 Tildel agenter til specifikke handlere. Du kan tildele systemer individuelt, efter gruppe og efter undernetværk. • Administration af agenthandleropgaver på side 94 Udfør almindelige administrationsopgaver for agenthandleropgaver. • Oprettelse af agenthandlergrupper på side 95 Handlergrupper gør det lettere at administrere flere handlere på tværs af netværket og kan spille en rolle i din reservestrategi. • Administration af agenthandlergrupper på side 96 Udfør almindelige administrationsopgaver for agenthandlergrupper. • Flytning af agenter mellem handlere på side 96 Tildel agenter til specifikke handlere. Du kan tildele systemer ved hjælp af reglerne for agenthandleropgaver, prioriteten af agenthandleropgaver eller individuelt ved hjælp af systemtræet. Tildeling af McAfee Agents til agenthandlere Tildel agenter til specifikke handlere. Du kan tildele systemer individuelt, efter gruppe og efter undernetværk. I handleropgaver kan der angives en enkelt handler eller en liste over handlere, der skal bruges. Den liste, du angiver, kan bestå af individuelle handlere eller handlergrupper. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Agenthandlere, og klik derefter på Handlinger | Ny opgave. 2 Angiv et entydigt navn for denne tildeling. 3 Angiv agenterne for denne tildeling vha. en af eller begge disse indstillinger for Agentkriterier: 4 • Find en placering i systemtræet. • Skriv IP-adresse, IP-interval eller undernetmaske for administrerede systemer i feltet Undernetværk for agent. Angiv Handlerprioritet ved at vælge en af følgende indstillinger: • Brug alle agenthandlere – Agenter vælger vilkårligt, hvilken handler de skal kommunikere med. • Brug brugerdefineret handlerliste – Ved brug af en brugerdefineret handlerliste vælges handleren eller handlergruppen i rullemenuen. Når du bruger en brugerdefineret handlerliste, kan du tilføje eller fjerne flere agenthandlere fra listen ved hjælp af + og - . En agenthandler kan inkluderes i mere end én gruppe. Brug træk og slip-handlen til at ændre prioriteten af handlerne. Prioriteten bestemmer, hvilken handler agenterne først forsøger at kommunikere med. Administration af agenthandleropgaver Udfør almindelige administrationsopgaver for agenthandleropgaver. Du udfører disse handlinger ved at klikke på Menu | Konfiguration | Agenthandlere og derefter klikke på Handlinger i Regler for handleropgave. 94 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 8 Agenthandlere Administration af agenthandlere Hvis du vil ... Skal du ... slette en handleropgave klikke på Slet i den valgte opgaverække. redigere en handleropgave klikke på Rediger for den valgte opgave. Siden Agenthandleropgave åbnes, hvor du kan angive: • Opgavenavn – det unikke navn, der identificerer denne handleropgave. • Agentkriterier – de systemer, som er inkluderet i denne opgave. Du kan tilføje og fjerne grupper i systemtræet eller ændre listen over systemer i tekstfeltet. • Handlerprioritet – vælg, om alle agenthandlere eller en brugerdefineret handlerliste skal bruges. Hvis Brug alle agenthandlere vælges, vælger agenterne tilfældigt, hvilken handler der skal kommunikeres med. Brug træk og slip-håndtaget for hurtigt at ændre prioriteten af handlere på din brugerdefinerede handlerliste. eksportere handleropgaver klikke på Eksportér. Siden Hent agenthandleropgaver åbnes, og du kan se eller hente filen AgentHandlerAssignments.xml. importere handleropgaver klikke på Importér. Dialogboksen Importér agenthandleropgaver åbnes, og du kan søge efter tidligere hentet udgave af filen AgentHandlerAssignments.xml. redigere prioriteten af handleropgaver klikke på Rediger prioritet. Siden Agenthandleropgave | Rediger prioritet åbnes, og du kan ændre prioriteten af handleropgaver med træk og slip-håndtaget. se oversigten over oplysningerne for en handleropgaver klikke på > i den valgte opgaverække. Oprettelse af agenthandlergrupper Handlergrupper gør det lettere at administrere flere handlere på tværs af netværket og kan spille en rolle i din reservestrategi. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Agenthandlere, og under Handlergrupper skal du klikke på Ny gruppe. Siden Tilføj/rediger gruppe vises. 2 Angiv gruppenavnet og oplysningerne om Inkluderede handlere, herunder: • Klik på Brug justering af belastning for at benytte en justering af belastning fra tredjepart, og udfyld derefter felterne Virtuelt DNS-navn og Virtuel IP-adresse (begge er obligatoriske). • Klik på Brug brugerdefineret handlerliste for at angive, hvilke agenthandlere der medtages i denne gruppe. Når du benytter en brugerdefineret handlerliste, skal du vælge handlerne på rullelisten Inkluderede handlere. Brug + og - for at tilføje og fjerne ekstra agenthandlere på listen (en agenthandler kan medtages i mere end én gruppe). Brug træk og slip-handlen til at ændre prioriteten af handlerne. Prioriteten bestemmer, hvilken handler agenterne først forsøger at kommunikere med. 3 Klik på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 95 8 Agenthandlere Administration af agenthandlere Administration af agenthandlergrupper Udfør almindelige administrationsopgaver for agenthandlergrupper. Klik på Menu | Konfiguration | Agenthandlere, og klik derefter på skærmen Handlergrupper for at udføre disse handlinger. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Handling Trin slette en handlergruppe klikke på Slet i den valgte grupperække. Rediger en handlergruppe Klik på handlergruppen. Siden med indstillinger for agenthandlergruppen åbnes, hvor du kan angive: • Virtuelt DNS-navn – det unikke navn, der identificerer denne handlergruppe. • Virtuel IP-adresse – den IP-adresse, der er tilknyttet denne gruppe. • Inkluderede handlere – vælg, om du vil bruge en justering af belastning fra tredjepart eller en brugerdefineret handlerliste. Brug en brugerdefineret handlerliste til at angive, hvilke handlere agenter, som er tildelt denne gruppe, kommunikerer med og i hvilken rækkefølge. aktivere eller deaktivere en handlergruppe klikke på Aktivér eller Deaktiver i den valgte grupperække. Flytning af agenter mellem handlere Tildel agenter til specifikke handlere. Du kan tildele systemer ved hjælp af reglerne for agenthandleropgaver, prioriteten af agenthandleropgaver eller individuelt ved hjælp af systemtræet. I handleropgaver kan der angives en enkelt handler eller en liste over handlere, der skal bruges. Den liste, du angiver, kan bestå af individuelle handlere eller handlergrupper. Opgaver • Gruppering af agenter ved hjælp af agenthandleropgaver på side 96 Opret agenthandleropgaver for at gruppere McAfee Agents sammen. • Gruppering af agenter efter opgaveprioritet på side 97 Gruppér agenter, og tildel dem til en agenthandler, der bruger opgaveprioritet. • Gruppering af agenter ved hjælp af systemtræet på side 98 Gruppér agenter, og tildel dem til en agenthandler ved hjælp af systemtræet. Gruppering af agenter ved hjælp af agenthandleropgaver Opret agenthandleropgaver for at gruppere McAfee Agents sammen. I handleropgaver kan der angives en enkelt handler eller en liste over handlere, der skal bruges. Den liste, du angiver, kan bestå af individuelle handlere eller handlergrupper. Ved tildeling af agenter til agenthandlere bør du have den geografiske beliggenhed i tankerne, da en stor afstand skaber unødvendig netværkstrafik. 96 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 8 Agenthandlere Administration af agenthandlere Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Agenthandlere, og klik derefter på den påkrævede regel for handleropgaven. Siden Agenthandleropgave vises. Hvis standardreglerne for opgaver er den eneste opgave på listen, skal du oprette en ny opgave. 2 Skriv et navn i Opgavenavn. 3 Du kan konfigurere agentkriterier under Agentkriterier efter placeringer i systemtræet, efter undernetværk for agenter eller enkeltvis på følgende måde: • Placeringer i systemtræ – Vælg gruppen i Placering i systemtræ. Du kan vælge andre grupper i Vælg gruppe i systemtræ ved hjælp af browsing og fjerne grupper, der vises i systemtræet, ved hjælp af + og -. 4 • Undernetværk for agent – Indtast IP-adresser, IP-intervaller eller undernetværksmasker i tekstfeltet. • Enkeltvis – Indtast IPv4/IPv6-adressen for et bestemt system i tekstfeltet. Du kan konfigurere handlerprioriteten til Brug alle agenthandlere eller Brug brugerdefineret handlerliste. Klik på Brug brugerdefineret handlerliste, og rediger derefter handleren på en af følgende måder: • Rediger den tilknyttede handler ved at føje en anden handler til listen og slette den tidligere tilknyttede handler. • Føj yderligere handlere til listen, og angiv den prioritet, der skal bruges i agenten ved kommunikation med handlere. Når du bruger en brugerdefineret handlerliste, skal du tilføje og fjerne yderligere agenthandlere fra listen ved hjælp af + og - . En agenthandler kan medtages i mere end én gruppe. Brug træk og slip-handlen til at ændre prioriteten af handlerne. Prioriteten bestemmer, hvilken handler agenterne først forsøger at kommunikere med. 5 Klik på Gem. Gruppering af agenter efter opgaveprioritet Gruppér agenter, og tildel dem til en agenthandler, der bruger opgaveprioritet. Handleropgaver kan angive en enkelt handler eller en liste over handlere, der skal bruges. Den liste, du angiver, kan bestå af individuelle handlere eller grupper af handlere. På denne liste defineres den rækkefølge, som bruges i agenter, når der gøres forsøg på at kommunikere ved hjælp af en bestemt agenthandler. Ved tildeling af systemer til agenthandlere bør du have den geografiske beliggenhed i tankerne, da en stor afstand skaber unødvendig netværkstrafik. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Agenthandlere. Siden Agenthandler vises. Hvis standardreglerne for opgaver er den eneste opgave på listen, skal du oprette en ny opgave. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 97 8 Agenthandlere Administration af agenthandlere 2 Rediger opgaverne ved at benytte fremgangsmåden i opgaven Gruppering af agenter efter opgaveregler. 3 Rediger prioriteten eller opgavehierarkiet efter behov ved at klikke på Handlinger | Rediger prioritet. Ved flytning af en opgave til en prioritet, der er lavere end en anden opgave, oprettes der et hierarki, hvor opgaven med den laveste prioritet bliver en del af opgaven med en højere prioritet. 4 5 Hvis du vil ændre prioriteten for en opgave, der vises i kolonnen Prioritet til venstre, skal du benytte en af følgende fremgangsmåder: • Brug træk og slip – Brug træk og slip-håndtaget til at trække opgaverækken op eller ned til en anden placering i kolonnen Prioritet. • Klik på Flyt til toppen – Klik på Flyt til toppen i Hurtige handlinger for automatisk at flytte den valgte opgave til den øverste prioritet. Klik på Gem, når opgavernes prioriteter er konfigureret korrekt. Gruppering af agenter ved hjælp af systemtræet Gruppér agenter, og tildel dem til en agenthandler ved hjælp af systemtræet. Handleropgaver kan angive en enkelt handler eller en liste over handlere, der skal bruges. Den liste, du angiver, kan bestå af individuelle handlere eller grupper af handlere. Ved tildeling af systemer til agenthandlere bør du have den geografiske beliggenhed i tankerne, da en stor afstand skaber unødvendig netværkstrafik. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 98 1 Klik på Menu | Systemer | Systemtræ | Systemer. 2 Naviger til det system eller den gruppe, du vil flytte, i Systemtræ. 3 Brug træk og slip-håndtaget til at flytte systemer fra den aktuelt konfigurerede systemgruppe til målsystemgruppen. 4 Klik på OK. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af netværkssikkerhed Hvis du vil beskytte din organisation effektivt mod trusler, er det vigtigt, at du holder dine McAfee-produkter opdateret med det nyeste sikkerhedsindhold. McAfee ePO-serveren hjælper dig med at gøre dette for alle systemerne på netværket. Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel 9 10 11 12 13 14 15 16 17 18 19 Systemtræet Koder Agent til server-kommunikation Sikkerhedsnøgler Softwarestyring Produktinstallation Administration af politik Klientopgaver Serveropgaver Manuel administration af pakker og opdateringer Hændelser og reaktioner Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 99 Administration af netværkssikkerhed 100 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Systemtræet er en grafisk gengivelse af, hvordan dit administrerede netværk er organiseret. Brug ePolicy Orchestrator-softwaren til at automatisere og tilpasse organiseringen af systemet. Den anvendte organisationsstruktur har indvirkning på, hvordan sikkerhedspolitikkerne nedarves og håndhæves i miljøet. Du kan organisere systemtræet på følgende måder: • Automatisk synkronisering med din Active Directory- eller NT-domæneserver • Kriteribaseret sortering med kriterier, der anvendes på systemerne manuelt eller automatisk • Manuel organisering fra konsollen (træk og slip). Indhold Systemtræstrukturen Overvejelser i forbindelse med planlægning af systemtræet Active Directory-synkronisering Typer af Active Directory-synkronisering Synkronisering af NT-domæne Kriteriebaseret sortering Oprettelse og udfyldning af grupper i systemtræet Flytning af systemer i systemtræet Sådan fungerer Overfør systemer Systemtræstrukturen Systemtræet er en hierarkisk struktur, som organiserer systemerne på netværket i grupper og undergrupper. Systemtræets standardstruktur indeholder to grupper: • Min organisation – roden i systemtræet. • Hittegods – opsamlingsgruppe for ethvert system, der ikke tilhører eller ikke har kunnet føjes til andre grupper i systemtræet. Gruppen Min organisation Gruppen Min organisation, som udgør roden i systemtræet, indeholder alle systemer, der er føjet til eller registreret på dit netværk (manuelt eller automatisk). Indtil du opretter din egen struktur, føjes alle systemer til gruppen Hittegods. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 101 9 Systemtræet Systemtræstrukturen Gruppen Min organisation har følgende kendetegn: • Den kan ikke slettes. • Den kan ikke omdøbes. Gruppen Hittegods Gruppen Hittegods er en undergruppe i gruppen Min organisation. Afhængigt af, hvordan du angiver oprettelse og vedligeholdelse af systemtræet, bruger serveren forskellige kendetegn til at bestemme, hvor systemer skal placeres. I gruppen Hittegods gemmes systemer, hvis placering ikke kunne bestemmes. Gruppen Hittegods har følgende kendetegn: • Den kan ikke slettes. • Den kan ikke omdøbes. • Sorteringskriterierne kan ikke ændres fra at være en opsamlingsgruppe, men du kan angive sorteringskriterier for de undergrupper, du har oprettet i den. • Den vises altid sidst på systemtrælisten, og den er ikke ordnet alfabetisk i forhold til sine peers. • Brugere skal have tilladelse til gruppen Hittegods for at kunne se indholdet. • Når et system er sorteret som Hittegods, placeres det i en undergruppe med navnet for systemets domæne. Hvis der ikke findes en gruppe, oprettes der en. Hvis du sletter systemer i systemtræet, skal du kontrollere, at du vælger indstillingen for fjernelse af deres agenter. Hvis agenten ikke fjernes, vises slettede systemer igen i gruppen Hittegods, fordi agenten bliver ved med at kommunikere med serveren. Grupper i systemtræet Systemtrægrupper repræsenterer en samling af systemer, og det er de krav, som dit netværk og din virksomhed stiller, der bestemmer, hvilke systemer der skal grupperes. Du kan gruppere systemer på baggrund af type (f.eks. bærbar computer, server eller stationær computer), geografi (f.eks. Nordamerika eller Europa), politiske områder (f.eks. Finans eller Udvikling) eller et hvilket som helst andet kriterie, som opfylder dine behov. Grupper har følgende kendetegn: • De oprettes af administratorer eller brugere med relevante tilladelser. • De kan omfatte både systemer og andre grupper (undergrupper). • De administreres af en administrator eller en bruger med relevante tilladelser. Ved at gruppere systemer med lignende egenskaber eller krav i disse enheder kan du administrere politikker for systemer på ét sted i stedet for at angive en politik for hvert individuelt system. I planlægningsprocessen bør du overveje, hvordan du bedst organiserer systemer i grupper, før du bygger systemtræet. 102 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Overvejelser i forbindelse med planlægning af systemtræet Nedarvning Nedarvning er en vigtig egenskab, som forenkler administration af politikker og opgaver. På grund af nedarvning nedarves politikker, der er angivet for de overordnede grupper, til underordnede grupper i systemtræet. F.eks: • Politikker, der angives på niveauet Min organisation i systemtræet, nedarves til grupper under denne gruppe. • Gruppepolitikker nedarves af undergrupper eller individuelle systemer i den pågældende gruppe. Nedarvning aktiveres som standard for alle grupper og individuelle systemer, som du føjer til systemtræet. Dermed skal du ikke angive politikker og planlægge klientopgaver så mange steder. Men for at gøre det muligt at tilpasse nedarvning kan en bruger bryde den ved at anvende en ny politik på et vilkårligt sted i systemtræet, hvis vedkommende har de relevante tilladelser. Du kan låse politiktildelinger for at bevare nedarvning. Overvejelser i forbindelse med planlægning af systemtræet Et effektivt og velorganiseret systemtræ kan lette vedligeholdelse. Mange administrative enheder, netværksenheder og politiske enheder i hvert miljø kan påvirke, hvordan systemtræet er struktureret. Planlæg systemtræets organisation, før du bygger og fylder det. Især ved et stort netværk er det ønskværdigt kun at bygge systemtræet én gang. Fordi alle netværk er forskellige og kræver forskellige politikker – og muligvis forskellig administration – anbefaler McAfee at planlægge systemtræet før implementering af McAfee ePO-softwaren. Uanset hvilke metoder du vælger til at oprette og fylde systemtræet, skal du tage højde for miljøet ved planlægning af systemtræet. Administratoradgang Når du planlægger systemtræets organisation, skal du tage højde for adgangskravene for de brugere, der skal administrere systemerne. Du kan f.eks. have en decentraliseret netværksadministration i organisationen, hvor forskellige administratorer har ansvar for forskellige dele af netværket. Af sikkerhedsmæssige årsager har du muligvis ikke en administratorkonto, der har adgang til hele netværket. I så fald er det måske ikke muligt at indstille politikker og installere agenter ved hjælp af en enkelt administratorkonto. Det kan i stedet være nødvendigt at organisere systemtræet i grupper baseret på disse inddelinger og oprette konti og tilladelsessæt. Overvej disse spørgsmål: • Hvem er ansvarlig for administration af hvilke systemer? • Hvem har brug for adgang til at få vist oplysninger om systemerne? • Hvem skal ikke have adgang til systemerne og oplysningerne om dem? Disse spørgsmål påvirker både systemtræorganisationen og de tilladelsessæt, du opretter og anvender til brugerkonti. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 103 9 Systemtræet Overvejelser i forbindelse med planlægning af systemtræet Grænser i miljøet og deres betydning for systemorganisationen Hvordan du organiserer dine administrationssystemer, afhænger af de grænser, der findes i dit netværk. Disse grænser påvirker organisationen af systemtræet på en anden måde, end netværkstopologiens opbygning gør. Det anbefales, at du evaluerer disse grænser i dit netværk og din organisation og beslutter, om der skal tages hensyn til dem, når du definerer organiseringen af systemtræet. Topologiske grænser NT-domæner eller Active Directory-objektbeholdere definerer netværket. Jo bedre dit netværksmiljø er organiseret, jo lettere er det at oprette og vedligeholde systemtræet med synkroniseringsfunktionerne. Geografiske grænser Administration af sikkerhed er en konstant balancegang mellem beskyttelse og ydeevne. Organiser systemtræet, så den begrænsede netværksbåndbredde udnyttes bedst muligt. Overvej, hvordan serveren opretter forbindelse til alle dele af netværket, især eksterne placeringer, der bruger WANeller VPN-forbindelser, i stedet for de hurtigere LAN-forbindelser. Det kan være hensigtsmæssigt at konfigurere politikkerne for opdatering og agent til server-kommunikation anderledes for eksterne websteder for at minimere netværkstrafikken via langsomme forbindelser. Politikgrænser Mange store netværk er opdelt, så enkeltpersoner eller grupper har ansvaret for at administrere forskellige dele af netværket. Nogle gange falder disse grænser ikke sammen med de topologiske eller geografiske grænser. Du skal strukturere systemtræet, afhængigt af hvem der har adgang til og administrerer segmenterne. Funktionelle grænser Nogle netværk er opdelt efter rollerne for de personer, der bruger netværket, f.eks. Salg eller Udvikling. Selv hvis netværket ikke er opdelt efter funktionelle grænser, kan du få brug for at organisere segmenterne i systemtræet efter funktion, hvis forskellige grupper kræver forskellige politikker. En bestemt virksomhedsgruppe kører måske særlig software, der kræver særlige sikkerhedspolitikker. Det er f.eks. tilfældet, hvis du organiserer dine Exchange-servere til mail i en gruppe og angiver særlige udeladelser for scanning ved filåbning. Undernetværk og IP-adresseområder Organisationsenheder i et netværk benytter i mange tilfælde bestemte undernetværk eller IP-intervaller, så du kan oprette en gruppe for en geografisk placering og angive IP-filtre for gruppen. Selvom netværket ikke er spredt geografisk, kan du bruge netværksplacering, f.eks. IP-adresse, som det primære grupperingskriterie. Hvis det er muligt, kan du overveje at bruge sorteringskriterier, der er baseret på IP-adresseoplysninger, til automatisering af oprettelse og vedligeholdelse af systemtræ. Angiv IP-undernetmasker eller kriterier for IP-adresseomfang for relevante grupper inden for systemtræet. Disse filtre udfylder automatisk placeringerne med de korrekte systemer. Operativsystemer og software Overvej af gruppere systemer med tilsvarende operativsystemer for at gøre det lettere at administrere produkter og politikker, som er specifikke for operativsystemet. Hvis du har ældre systemer, kan du oprette en gruppe til dem og installere og administrere sikkerhedsprodukter separat på disse 104 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Systemtræet Active Directory-synkronisering 9 systemer. Desuden kan du sortere systemerne automatisk i en gruppe ved at give dem en tilhørende kode. Koder og systemer med ens karakteristika Du kan bruge koder og kodegrupper til at automatisere sortering i grupper. Koder identificerer systemer med ens karakteristika. Hvis du kan organisere grupperne efter karakteristika, kan du oprette og tildele koder, der er baseret på de pågældende kriterier, og derefter benytte disse koder som gruppesorteringskriterier for at sikre, at systemer automatisk placeres i de korrekte grupper. Hvis det er muligt, skal du bruge kodebaserede sorteringskriterier for automatisk at udfylde grupper med de korrekte systemer. Og for at hjælpe med at sortere dine systemer kan du oprette kodegrupper, der er indlejret på ned til fire niveauer, hvor der kan være op til 1.000 undergrupper af kode på hvert niveau. Hvis dine systemer f.eks. er organiseret efter geografisk placering, chassistype (server, arbejdsstation eller bærbar computer), systemfunktion (webserver, SQL eller programserver) og bruger, har du måske disse kodegrupper: Placering Chassistype Platform Brugere Los Angeles Desktop Windows Generelt Bærbar computer Macintosh Salg Undervisning Windows Regnskab Administration Servere San Francisco Linux Virksomhed Windows Virksomhed SQL Virksomhed Desktop Windows Generelt Bærbar computer Macintosh Salg Undervisning Windows Regnskab Administration Servere Linux Virksomhed Windows Virksomhed SQL Virksomhed Active Directory-synkronisering Hvis Active Directory køres på dit netværk, kan du bruge Active Directory-synkronisering til at oprette, udfylde og vedligeholde dele af systemtræet. Når det er defineret, opdateres systemtræet med nye systemer (og underobjektholdere) i Active Directory. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 105 9 Systemtræet Typer af Active Directory-synkronisering Brug Active Directory-integration til at udføre disse systemadministrationsopgaver: • Synkronisering med Active Directory-strukturen ved at importere systemer og Active Directory-underobjektbeholdere (som grupper i systemtræet) og holde dem opdateret med Active Directory. Ved hver synkronisering opdateres både systemer og strukturen i systemtræet, så det afspejler systemer og struktur for Active Directory. • Import af systemer som en simpel liste fra Active Directory-objektbeholderen (og dens underobjektbeholdere) til den synkroniserede gruppe. • Styring af, hvad der skal ske med potentielle dobbeltforekomster af systemer. • Brug af systembeskrivelsen, som importeres fra Active Directory sammen med systemerne. Du kan bruge denne proces til at integrere systemtræet i Active Directory-systemstrukturen: 1 Konfigurer synkroniseringsindstillingerne for alle grupper, der er et tilknytningspunkt i systemtræet. På samme placering kan du konfigurere, om du vil: • Installere agenter til registrerede systemer • Slette systemer fra systemtræet, når de slettes fra Active Directory • Tillade eller nægte dobbeltforekomster af systemer, der findes et andet sted i systemtræet 2 Brug handlingen Synkroniser nu til atimportere Active Directory-systemer (og muligvis struktur) til systemtræet i henhold til synkroniseringsindstillingerne. 3 Brug en NT-domæne-/Active Directory-synkroniseringsserveropgave til regelmæssigt at synkronisere systemerne (og muligvis Active Directory-strukturen) med systemtræet i henhold til synkroniseringsindstillingerne. Typer af Active Directory-synkronisering Der er to typer Active Directory-synkronisering (kun systemer og systemer og struktur). Den type, du vælger, afhænger af det niveau for integration med Active Directory, du ønsker. Ved hver type styrer du synkroniseringen ved at vælge, om du vil: • Installere agenter automatisk på systemer, der er nye for ePolicy Orchestrator. Det kan være en god ide at angive dette under den første synkronisering, hvis du importerer et stort antal systemer og har begrænset båndbredde. Agent-MSI'en fylder ca. 6 MB. Du kan også installere agenter automatisk på nye systemer, der registreres i Active Directory under en efterfølgende synkronisering. • Slette systemer fra ePolicy Orchestrator (og fjerne de tilhørende agenter), når de slettes fra Active Directory. • Undgå at føje systemer til gruppen, hvis de findes et andet sted i systemtræet. Herved sikrer du, at du ikke har dobbelte forekomster af systemer, hvis du manuelt flytter systemerne til en anden placering eller sorterer dem. • Udelukke bestemte Active Directory-objektbeholder fra synkroniseringen. Disse objektbeholdere og de tilhørende systemer ignoreres under synkroniseringen. Systemer og struktur Når du bruger denne synkroniseringstype, overføres ændringer i Active Directory-strukturen til systemtræstrukturen ved den næste synkronisering. Når der tilføjes, flyttes eller fjernes systemer eller 106 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Synkronisering af NT-domæne objektbeholdere i Active Directory, tilføjes, flyttes eller fjernes de i systemtræet på de tilsvarende placeringer i systemtræet. Hvornår benyttes denne synkroniseringstype? Du kan bruge denne type for at sikre, at systemtræet (eller dele af det) ser ud præcis som Active Directory-strukturen. Hvis organiseringen af Active Directory opfylder kravene til sikkerhedsadministration, og du gerne vil have, at systemtræet fortsat ser ud som strukturen af det tilknyttede Active Directory, skal du bruge denne synkroniseringstype ved den efterfølgende synkronisering. Kun systemer Brug denne synkroniseringstype til at importere systemer fra en Active Directory-objektbeholder, herunder systemerne i objektunderbeholdere, der ikke udelades, som en flad liste til en tilknyttet systemtrægruppe. Du kan derefter flytte dem til relevante placeringer i systemtræet ved at tildele sorteringskriterier til grupper. Hvis du vælger denne synkroniseringstype, skal du sørge for at vælge, at systemer ikke tilføjes igen, hvis de findes et andet sted i systemtræet. Herved forhindrer du dobbeltforekomster af systemer i systemtræet. Hvornår benyttes denne synkroniseringstype? Du kan bruge denne synkroniseringstype, når du bruger Active Directory som en almindelig kilde til systemer for ePolicy Orchestrator, men hvor de organisatoriske behov for sikkerhedsadministration ikke passer sammen med organiseringen af objektbeholdere og systemer i Active Directory. Synkronisering af NT-domæne Brug dine NT-domæner som kilde til udfyldning af systemtræet. Når du synkroniserer en gruppe eller et NT-domæne, indsættes alle systemer fra domænet i gruppen som en simpel liste. Du kan administrere disse systemer i den samlede gruppe, eller du kan oprette undergrupper til mere fintmaskede organisationsbehov. Brug en metode som automatisk sortering til at udfylde disse undergrupper automatisk. Hvis du flytter systemer til andre grupper eller undergrupper i systemtræet, skal du sørge for at vælge, at systemerne ikke skal tilføjes, hvis de allerede findes andre steder i systemtræet. Herved forhindrer du dobbeltforekomster af systemer i systemtræet. I modsætning til Active Directory-synkronisering synkroniseres kun systemnavnene ved synkronisering af NT-domæner. Systembeskrivelsen synkroniseres ikke. Kriteriebaseret sortering Som i tidligere versioner af ePolicy Orchestrator kan du bruge IP-adresseoplysningerne til automatisk at sortere administrerede systemer i specifikke grupper. Du kan også oprette sorteringskriterier baseret på koder, hvilket svarer til at tildele systemerne etiketter. Du kan benytte en af disse kriterietyper eller begge for at sikre, at systemerne er, hvor de skal være i Systemtræet. Systemerne behøver kun at leve op til ét sorteringskriterie for en gruppe for at blive anbragt i den pågældende gruppe. Når du har oprettet grupper og angivet sorteringskriterier, bør du køre handlingen Testsortering for at kontrollere, at kriterierne og sorteringsrækkefølgen giver de ønskede resultater. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 107 9 Systemtræet Kriteriebaseret sortering Når du har føjet sorteringskriterier til dine grupper, kan du køre handlingen Sortér nu. Med denne handling sorteres de valgte systemer automatisk i de korrekte grupper. Systemer, der ikke opfylder sorteringskriterierne for nogen gruppe, flyttes til Hittegods. Nye systemer, der opretter forbindelse til serveren for første gang, føjes automatisk til den korrekte gruppe. Hvis du definerer sorteringskriterier efter den første agent til server-kommunikation, skal du dog køre handlingen Sortér nu på de pågældende systemer, hvis du vil flytte dem til den korrekte gruppe med det samme, eller vente til den næste agent til server-kommunikation. Sorteringsstatus for systemer Du kan aktivere eller deaktivere sortering af Systemtræet på alle systemer eller alle samlinger af systemer. Hvis du deaktiverer sortering af Systemtræ for et system, udelades det fra alle sorteringshandlinger undtagen Testsortering. Når der udføres en testsortering, tages der højde for systemets eller samlingens sorteringsstatus, og det er muligt at flytte eller sortere systemet eller samlingen fra siden Testsortering. Indstillinger for sortering af systemtræ på McAfee ePO-serveren Før der kan udføres sorteringer, skal sortering være aktiveret på serveren og systemerne. Standardindstillingen er, at systemer sorteres én gang. Systemerne sorteres derfor i forbindelse med den første agent til server-kommunikation (eller den næste, hvis der udføres ændringer af eksisterende systemer) og sorteres derefter ikke igen. Testsortering af systemer Brug denne funktion til at se, hvor systemerne ville blive placeret under en sorteringshandling. På siden Testsortering vises systemerne samt stier til de placeringer, de ville blive sorteret til. Siden viser ikke sorteringsstatus for systemer, men hvis du markerer et eller flere systemer på siden (også systemer, hvor sortering er deaktiveret) og klikker på Flyt systemer, anbringes de pågældende systemer på de angivne placeringer. Sådan påvirker indstillinger sortering Du kan vælge tre serverindstillinger, der bestemmer om, og hvornår systemer sorteres. Du kan også vælge, om et system kan sorteres, ved at aktivere eller deaktivere sortering af systemtræ i valgte systemer i systemtræet. Serverindstillinger Serveren har tre indstillinger: 108 • Deaktiver sortering af systemtræ – Hvis kriteriebaseret sortering ikke opfylder behovene for sikkerhedsadministration, og du vil bruge andre funktioner i systemtræet (f.eks. synkronisering af Active Directory) til at organisere dine systemer, skal du vælge denne indstilling for at forhindre andre McAfee ePO-brugere i ved en fejltagelse at konfigurere sorteringskriterier for grupper og flytte systemer til uønskede steder. • Sortér systemer ved hver agent til server-kommunikation – Systemer sorteres igen ved hver agent til server-kommunikation. Når du ændrer sorteringskriterier for grupper, flyttes systemerne til den nye gruppe ved den næste agent til server-kommunikation. • Sortér systemer én gang – Systemer sorteres ved den næste agent til server-kommunikation og markeres til aldrig at blive sorteret igen ved agent til server-kommunikation, så længe denne indstilling er valgt. Du kan dog stadig sortere et af disse systemer ved at vælge det og klikke på Sortér nu. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Systemtræet Kriteriebaseret sortering 9 Systemindstillinger Du kan deaktivere eller aktivere sortering af systemtræ i et hvilket som helst system. Hvis sortering er deaktiveret i et system, sorteres det pågældende system ikke, uanset hvordan sorteringshandlingen udføres. Ved udførelse af handlingen Testsortering sorteres systemet imidlertid. Hvis sortering er aktiveret i et system, sorteres det pågældende system altid ved den manuelle handling Sortér nu og kan sorteres ved agent til server-kommunikation, afhængigt af serverindstillingerne for sortering af systemtræ. Sorteringskriterier for IP-adresser På mange netværk, undernetværk og IP-adresser afspejler oplysningerne organisatoriske forskelle, f.eks. geografisk placering eller jobfunktion. Hvis en IP-adresseorganisation falder sammen med dine behov, skal du overveje at bruge disse oplysninger til at oprette og vedligeholde dele af eller hele systemtræstrukturen ved at angive sorteringskriterier for sådanne gruppers IP-adresser. I denne version af ePolicy Orchestrator er denne funktionalitet ændret, og det er nu muligt at indstille IP-sorteringskriterier tilfældigt i hele træet. Det er ikke længere nødvendigt at kontrollere, at sorteringskriterierne for den underordnede gruppes IP-adresse er en undergruppe af den overordnedes, så længe den overordnede gruppe ikke har noget tildelte kriterier. Når konfigurationen er klar, kan du sortere systemer ved agent til server-kommunikationen eller kun når en sorteringshandling startes manuelt. IP-adressens sorteringskriterier må ikke overlappe mellem forskellige grupper. Hvert IP-interval eller undernetværksmaske i en gruppes sorteringskriterier skal dække et unik sæt af IP-adresser. Hvis kriterierne overlapper hinanden, afhænger den gruppe, hvor disse systemer havner, af undergruppernes rækkefølge under fanen Systemtræ | Gruppeoplysninger. Du kan kontrollere, om der er IP-overlap, ved hjælp af handlingen Kontrollér IP-integritet under fanen Gruppeoplysninger Kodebaserede sorteringskriterier Du kan også – ud over brug af IP-adresseoplysninger til sortering af systemer i de korrekte grupper – definere sorteringskriterier, der er baseret på de koder, der er tildelt systemer. Kodebaserede kriterier kan bruges sammen med IP-adressebaserede kriterier til sortering. Grupperækkefølge og -sortering Du kan gøre administrationen af systemtræet mere fleksibelt ved at konfigurere rækkefølgen af en gruppes undergrupper og den rækkefølge, de medtages i ved placeringen af systemet under sortering. Når flere undergrupper har kriterier, der stemmer overens, kan en ændring af denne rækkefølge ændre, hvor et system placeres i systemtræet. Derudover gælder det, at hvis du bruger opsamlingsgrupper, skal de være den sidste undergruppe på listen. Opsamlingsgrupper Opsamlingsgrupper er grupper, hvis sorteringskriterier er indstillet til Alle andre på siden Sorteringskriterier for gruppen. Kun undergrupper på sidste position i sorteringsrækkefølgen kan være opsamlingsgrupper. Disse grupper modtager alle systemer, der blev sorteret i den overordnede gruppe, men ikke blev sorteret i nogen af opsamlingsgruppens peers. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 109 9 Systemtræet Kriteriebaseret sortering Sådan føjer du et system til Systemtræ ved sortering Første gang agenten kommunikerer med serveren, bruger serveren en algoritme til at placere systemet i Systemtræ. Hvis den ikke kan finde en korrekt placering til et system, anbringes dette i gruppen Hittegods. Ved hver agent til server-kommunikation forsøger serveren at finde systemet i Systemtræ ud fra GUID til agenten. (Kun systemer, hvis agenter allerede har kaldt databasen én gang, har et GUID til agenten i databasen). Hvis der findes et system, der stemmer overens, forbliver det på den eksisterende placering. Hvis der ikke findes et tilsvarende system, bruger serveren en algoritme til at sortere systemerne i de korrekte grupper. Systemer kan sorteres i alle kriteriebaserede grupper i Systemtræ, uanset hvor dyb strukturen er, så længe hver overordnet gruppe på stien ikke har kriterier, der ikke stemmer overens. De overordnede grupper for en kriteriebaseret undergruppe skal enten ikke have kriterier eller have tilsvarende kriterier. Den sorteringsrækkefølge, der er tildelt hver enkelt undergruppe (defineret under fanen Gruppeoplysninger), fastlægger den rækkefølge, som serveren gennemgår undergrupperne i, når der søges efter en gruppe med tilsvarende kriterier. 1 Serveren søger efter et system uden et GUID til agenten (agenten har aldrig kaldt serveren før), men med et tilsvarende navn i en gruppe med samme navn som domænet. Hvis det lykkes, placeres systemet i denne gruppe. Dette kan forekomme efter den første synkronisering med Active Directory eller et NT-domæne, eller når du manuelt har føjet systemer til Systemtræ. 2 Hvis der stadig ikke findes et tilsvarende system, søger serveren efter en gruppe med samme navn som det domæne, systemet kommer fra. Hvis der ikke findes en sådan gruppe, oprettes der en i gruppen Hittegods, og systemet placeres her. 3 Egenskaberne opdateres for systemet. 4 Serveren anvender alle kriteriebaserede koder på systemet, hvis serveren er konfigureret til at køre sorteringskriterier ved hver agent til server-kommunikation. 5 Hvad der herefter sker, afhænger af, om sortering af Systemtræ er aktiveret på både serveren og systemet. • Hvis sortering af Systemtræ er deaktiveret på enten serveren eller systemet, efterlades systemet, hvor det er. • Hvis sortering af Systemtræ er aktiveret på serveren og systemet, flyttes systemet baseret på sorteringskriterierne i grupperne i Systemtræ. Sortering af Systemtræ er som standard deaktiveret for systemer, der er tilføjet ved hjælp af synkronisering med Active Directory eller NT-domæne, og disse sorteres derfor ikke ved den første agent til server-kommunikation 6 7 110 Serveren evaluerer sorteringskriterierne for alle grupper på øverste niveau i henhold til sorteringsrækkefølgen under fanen Gruppeoplysninger for gruppen Min organisation. Systemet placeres i den første gruppe med tilsvarende kriterier, den evaluerer, eller den første opsamlingsgruppe. • Når det er sorteret i en gruppe, evalueres hver enkelt undergruppe for at finde tilsvarende kriterier i henhold til deres sorteringsrækkefølge under fanen Gruppeoplysninger. • Denne proces fortsætter, indtil der ikke er flere undergrupper med tilsvarende kriterier for systemet, og det placeres således i den sidst fundne gruppe med tilsvarende kriterier. Hvis der ikke findes en sådan gruppe på højeste niveau, evalueres undergrupperne for grupperne på højeste niveau (uden sorteringskriterier) ud fra deres sortering. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet 8 Hvis der ikke findes en sådan kriteriebaseret gruppe på andet niveau, evalueres de kriteriebaserede grupper på tredje niveau under de ubegrænsede grupper på andet niveau. Undergrupper under grupper med kriterier, der ikke stemmer overens, evalueres ikke. En gruppe skal enten have tilsvarende kriterier eller ikke have nogen kriterier, før dens undergrupper bliver evalueret for et system. 9 Denne proces fortsætter ned gennem Systemtræ, indtil systemet er sorteret i en gruppe. Hvis serverindstillingen for sortering af Systemtræ er konfigureret til kun at sortere ved den første agent til server-kommunikation, markeres systemet. Markeringen betyder, at systemet aldrig igen kan blive sorteret i forbindelse med agent til server-kommunikation, medmindre serverindstillingen ændres, så sortering ved hver agent til server-kommunikation tillades. 10 Hvis serveren ikke kan sortere systemet i nogen gruppe, placeres det i gruppen Hittegods i en undergruppe opkaldt efter gruppens domæne. Oprettelse og udfyldning af grupper i systemtræet Opret grupper i systemtræet, og udfyld grupperne med systemer enten ved at skrive NetBIOS-navnene for de enkelte systemer eller ved at importere systemer direkte fra netværket. Du kan også udfylde grupper ved at trække markerede systemer til en gruppe i systemtræet. Træk og slip gør det muligt at flytte grupper og undergrupper i systemtræet. Der er ikke én fast metode til organisering af et systemtræ, og fordi alle netværk er forskellige, kan systemtræets organisation være lige så unik som netværkslayoutet. Selvom du ikke kommer til at bruge alle de tilgængelige metoder, kan du bruge mere end én metode. Hvis du f.eks. bruger Active Directory i netværket, bør du overveje at importere Active Directory-objektbeholderne i stedet for NT-domænerne. Hvis Active Directory- eller NT-domæneorganisationen ikke giver mening for sikkerhedsadministration, kan du oprette systemtræet i en tekstfil og importere den i systemtræet. Hvis du har et mindre netværk, kan du oprette systemtræet manuelt og tilføje hvert enkelt system manuelt. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 111 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet Opgaver • Manuel oprettelse af grupper på side 112 Opret undergrupper i systemtræet. Udfyld disse undergrupper med systemer enten ved at skrive NetBIOS-navnene for de enkelte systemer eller ved at importere systemer direkte fra netværket. • Manuel tilføjelse af systemer i en eksisterende gruppe på side 113 Importér systemer fra Andre computere i grupper. Du kan også importere et netværksdomæne eller en Active Directory-objektbeholder. • Eksport af systemer fra systemtræet på side 114 Eksportér en liste med systemer fra systemtræet til en .txt-fil til senere brug. Eksportér på gruppe- eller undergruppeniveau, mens du bevarer systemtræets organisation. • Import af systemer fra en tekstfil på side 114 Opret en tekstfil med systemer og grupper, som skal importeres i systemtræet. • Sortering af systemer i kriteriebaserede grupper på side 115 Konfigurer og implementer sortering i gruppesystemer. Hvis systemer skal sorteres i grupper, skal sortering være aktiveret på serveren og systemerne, sorteringskriterier og sorteringsrækkefølgen for grupper skal være konfigureret. • Import af Active Directory-objektbeholdere på side 117 Importér systemer fra Active Directory-objektbeholdere direkte i systemtræet ved at knytte Active Directory-kildeobjektbeholdere til grupper i systemtræet. • Import af NT-domæner i en eksisterende gruppe på side 119 Importér systemer fra et NT-domæne i en gruppe, som du har oprettet manuelt. • Planlægning af synkronisering af systemtræ på side 121 Planlæg en serveropgave, der opdaterer systemtræet med ændringer i det tilknyttede domæne eller den tilknyttede Active Directory-objektbeholder. • Manuel opdatering af en synkroniseret gruppe med et NT-domæne på side 122 Opdater en synkroniseret gruppe med ændringer til det tilknyttede NT-domæne. Manuel oprettelse af grupper Opret undergrupper i systemtræet. Udfyld disse undergrupper med systemer enten ved at skrive NetBIOS-navnene for de enkelte systemer eller ved at importere systemer direkte fra netværket. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åben dialogboksen Nye undergrupper. a Klik på Menu | Systemer | Systemtræ. b Vælg en gruppe. c Klik på Nye undergrupper. Opret mere end én undergruppe ad gangen. 2 112 Skriv et navn, og klik derefter på OK. Den nye gruppe vises i systemtræet. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet 3 Gentag dette efter behov, indtil du er klar til at indsætte systemer i grupperne. Føj systemer til grupper i systemtræet vha. følgende: • Skriv systemnavnene manuelt. • Importér dem fra NT-domæner eller Active Directory-objektbeholdere. Du kan regelmæssigt synkronisere et domæne eller en objektbeholder med en gruppe, så vedligeholdelse er nemmere. • Konfigurer IP-adressebaserede eller kodebaserede sorteringskriterier for grupperne. Når agenter tjekker ind fra systemer med oplysninger om IP-adresse eller koder, der stemmer overens, anbringes de automatisk i den relevante gruppe. Manuel tilføjelse af systemer i en eksisterende gruppe Importér systemer fra Andre computere i grupper. Du kan også importere et netværksdomæne eller en Active Directory-objektbeholder. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åben siden Nye systemer. a Klik på Menu | Systemer | Systemtræ. b Klik på Nye systemer. 2 Vælg, om McAfee Agent skal installeres i de nye systemer, og om systemerne føjes til den valgte gruppe eller til en gruppe i henhold til sorteringskriterier. 3 Skriv NetBIOS-navnet for hvert system i tekstfeltet ud for Destinationssystemer adskilt af kommaer, mellemrum eller linjeskift. Du kan også klikke på Gennemse for at vælge systemerne. 4 Hvis du har valgt Udfør en pushinstallation af agenter, og føj systemer til den aktuelle gruppe, kan du aktivere automatisk sortering af systemtræet. Gør dette for at anvende sorteringskriterierne på disse systemer. Angiv følgende indstillinger: 5 Indstilling Handling Agentversion Vælg den agentversion, der skal installeres. Installationssti Konfigurer stien til installation af agenten, eller acceptér standardindstillingen. Legitimationsoplysninger for agentinstallation Skriv gyldige legitimationsoplysninger for at installere agenten. Antal forsøg Skriv et heltal, og brug nul for kontinuerlige forsøg. Forsøgsinterval Skriv antal sekunder mellem forsøgene. Afbryd efter Skriv antal minutter, før forbindelsen afbrydes. Udfør en pushinstallation af agent ved hjælp af Vælg enten en bestemt agenthandler eller alle agenthandlere. Klik på OK. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 113 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet Eksport af systemer fra systemtræet Eksportér en liste med systemer fra systemtræet til en .txt-fil til senere brug. Eksportér på gruppeeller undergruppeniveau, mens du bevarer systemtræets organisation. Det kan være nyttigt at have en liste over systemerne i systemtræet. Du kan importere denne liste på McAfee ePO-serveren for hurtigt at gendanne den tidligere struktur og organisation. Denne opgave fjerner ikke systemer fra systemtræet. Den opretter en .txt-fil, der indeholder navnene på og strukturen for systemerne i systemtræet. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Systemer | Systemtræ. Siden Systemtræ åbnes. 2 Vælg den gruppe eller undergruppe, der indeholder de systemer, du vil eksportere, og klik derefter på Handlinger i systemtræ | Eksportér systemer. Siden Eksportér systemer åbnes. 3 Vælg det, der skal eksporteres: 4 • Alle systemer i denne gruppe – Systemerne i den angivne Kildegruppe eksporteres, men systemer, der vises i indlejrede undergrupper under dette niveau, eksporteres ikke. • Alle systemer i denne gruppe og tilhørende undergrupper – Alle systemer på og under dette niveau eksporteres. Klik på OK. Siden Eksportér åbnes. Du kan klikke på linket Systemer for at få vist systemlisten eller højreklikke på linket for at gemme en kopi af filen ExportSystems.txt. Import af systemer fra en tekstfil Opret en tekstfil med systemer og grupper, som skal importeres i systemtræet. Opgaver • Oprettelse af en tekstfil med grupper og systemer på side 114 Opret en tekstfil med NetBIOS-navnene for de netværkssystemer, du vil importere i en gruppe. Du kan importere en simpel liste over systemer, eller du kan organisere systemerne i grupper. • Import af systemer og grupper fra en tekstfil på side 115 Importér systemer eller grupper af systemer til systemtræet fra en tekstfil, du har oprettet og gemt. Oprettelse af en tekstfil med grupper og systemer Opret en tekstfil med NetBIOS-navnene for de netværkssystemer, du vil importere i en gruppe. Du kan importere en simpel liste over systemer, eller du kan organisere systemerne i grupper. Definer grupperne og deres systemer ved at skrive gruppe- og systemnavnene i en tekstfil. Importér derefter disse oplysninger til ePolicy Orchestrator. Til store netværk skal du bruge netværkshjælpeprogrammer, f.eks. hjælpeprogrammet NETDOM.EXE, som er tilgængeligt med Microsoft Windows Resource Kit, til at oprette tekstfiler med komplette lister over systemerne på netværket. Når du har tekstfilen, skal den redigeres manuelt for at oprette grupper af systemer, hvorefter hele strukturen importeres i Systemtræet. Uanset hvordan du genererer tekstfilen, skal du bruge den korrekte syntaks for at kunne importere den. 114 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Systemtræet Oprettelse og udfyldning af grupper i systemtræet 9 Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Angiv hvert enkelt system separat på sin egen linje. Systemerne organiseres i grupper ved at skrive gruppenavnet efterfulgt af en omvendt skråstreg (\), og angiv derefter de systemer, der tilhører gruppen, under gruppenavnet på hver sin linje. GruppeA\system1 GruppeA\system2 GruppeA\GruppeB\system3 GruppeC\GruppeD 2 Kontrollér gruppernes og systemernes navne samt tekstfilens syntaks, og gem derefter tekstfilen i en midlertidig mappe på serveren. Import af systemer og grupper fra en tekstfil Importér systemer eller grupper af systemer til systemtræet fra en tekstfil, du har oprettet og gemt. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åben siden Nye systemer. a Klik på Menu | Systemer | Systemtræ. b Klik på Nye systemer. 2 Vælg Importér systemer fra en tekstfil i den aktuelle gruppe, men udfør ikke pushinstallation af agenter. 3 Vælg, om importfilen skal indeholde: • Systemer og systemtræstrukturen • Kun systemer (som en simpel liste) 4 Klik på Gennemse, og vælg derefter tekstfilen. 5 Vælg, hvad du vil gøre med systemer, som allerede findes andre steder i systemtræet. 6 Klik på OK. Systemerne importeres til den valgte gruppe i systemtræet. Hvis tekstfilen organiserede systemerne i grupper, opretter serveren grupperne og importerer systemerne. Sortering af systemer i kriteriebaserede grupper Konfigurer og implementer sortering i gruppesystemer. Hvis systemer skal sorteres i grupper, skal sortering være aktiveret på serveren og systemerne, sorteringskriterier og sorteringsrækkefølgen for grupper skal være konfigureret. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 115 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet Opgaver • Tilføjelse af sorteringskriterier til grupper på side 116 Sorteringskriterier for grupper i systemtræet kan baseres på oplysninger om IP-adresse eller koder. • Aktivér sortering af systemtræ på serveren på side 116 Hvis systemer skal sorteres, skal sortering af systemtræ være aktiveret både på serveren og systemerne. • Aktivering eller deaktivering af sortering af Systemtræ på systemer på side 117 Et systems sorteringsstatus bestemmer, om det kan sorteres i en kriteriebaseret gruppe. • Manuel sortering af systemer på side 117 Sortér valgte systemer i grupper ud fra kriteriebaseret sortering. Tilføjelse af sorteringskriterier til grupper Sorteringskriterier for grupper i systemtræet kan baseres på oplysninger om IP-adresse eller koder. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Systemer | Systemtræ | Gruppeoplysninger, og vælg derefter gruppen i systemtræet. 2 Klik på Rediger ud for Sorteringskriterier. Siden Sorteringskriterier vises for den valgte gruppe. 3 Vælg Systemer, som opfylder et eller flere af nedenstående kriterier. Derefter vises kriterievalgene. Selvom du kan konfigurere flere sorteringskriterier for gruppen, behøver et system kun at leve op til ét sorteringskriterie for at blive anbragt i denne gruppe. 4 5 Konfigurer kriteriet. Indstillingerne omfatter: • IP-adresser – Brug dette tekstfelt til at definere et IP-adresseområde eller en undernetværksmaske som sorteringskriterier. Alle systemer, hvis adresse ligger inden for dette, sorteres i denne gruppe. • Koder – Tilføj bestemte koder for at sikre, at systemer med disse koder, der placeres i den overordnede gruppe, sorteres i denne gruppe. Gentag efter behov, indtil sorteringskriterierne er blevet omkonfigureret for gruppen, og klik derefter på Gem. Aktivér sortering af systemtræ på serveren Hvis systemer skal sorteres, skal sortering af systemtræ være aktiveret både på serveren og systemerne. Hvis du har valgt kun at sortere ved den første agent til server-kommunikation i forbindelse med den følgende opgave, sorteres alle aktiverede systemer ved deres næste agent til server-kommunikation og aldrig igen, så længe denne indstilling er valgt. Disse systemer kan imidlertid sorteres igen manuelt ved hjælp af handlingen Sortér nu eller ved at ændre denne indstilling, så der sorteres ved hver agent til server-kommunikation. Hvis du sorterer ved hver agent til server-kommunikation, sorteres alle aktiverede systemer ved hver agent til server-kommunikation, så længe denne indstilling er valgt. 116 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, og vælg derefter Sortering af systemtræ på listen Indstillingskategorier, og klik på Rediger. 2 Vælg, om systemer kun skal sorteres ved den første agent til server-kommunikation eller ved hver agent til server-kommunikation. Aktivering eller deaktivering af sortering af Systemtræ på systemer Et systems sorteringsstatus bestemmer, om det kan sorteres i en kriteriebaseret gruppe. Du kan ændre systemers sorteringsstatus i enhver tabel over systemer (f.eks. forespørgselsresultater) og også automatisk i resultaterne af en planlagt forespørgsel. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter de systemer, du ønsker. 2 Klik på Handlinger | Mappeadministration | Skift sorteringsstatus, og vælg derefter om sortering af Systemtræet skal aktiveres eller deaktiveres i de valgte systemer. 3 Vælg i dialogboksen Skift sorteringsstatus, om sortering af Systemtræet skal deaktiveres eller aktiveres i det valgte system. Afhængigt af serverindstillingen for sortering af Systemtræet, sorteres disse systemer ved den næste agent til server-kommunikation. I modsat fald kan de kun sorteres ved hjælp af handlingen Sortér nu. Manuel sortering af systemer Sortér valgte systemer i grupper ud fra kriteriebaseret sortering. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter den gruppe, der indeholder systemet. 2 Markér systemerne, og klik derefter på Handlinger | Mappeadministration | Sortér nu. Dialogboksen Sortér nu vises. Hvis du vil have vist resultaterne af sorteringen som et eksempel, før du sorterer, skal du klikke på Testsortering i stedet for. (Hvis du flytter systemer fra siden Testsortering, sorteres alle de valgte systemer dog, også selvom sortering af systemtræ er deaktiveret). 3 Klik på OK for at sortere systemerne. Import af Active Directory-objektbeholdere Importér systemer fra Active Directory-objektbeholdere direkte i systemtræet ved at knytte Active Directory-kildeobjektbeholdere til grupper i systemtræet. Når du knytter Active Directory-objektbeholdere til grupper, kan du gøre følgende: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 117 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet • Synkronisere systemtræets struktur med Active Directory-strukturen, så den tilsvarende gruppe i systemtræet tilføjes eller fjernes, når en objektbeholder tilføjes eller fjernes i Active Directory • Slette systemer fra systemtræet, når de slettes fra Active Directory • Forhindre, at systemer i systemtræet registreres to gange, når de findes i andre grupper. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Gruppeoplysninger, og vælg derefter en gruppe i systemtræet, du vil knytte en Active Directory-objektbeholder til. Gruppen Hittegods i systemtræet kan ikke synkroniseres. 2 Ud for Synkroniseringstype skal du klikke på Rediger. Siden Synkroniseringsindstillinger vises for den valgte gruppe. 3 Vælg Active Directory ud for Synkroniseringstype. Synkroniseringsindstillingerne for Active Directory vises. 4 Vælg den type Active Directory-synkronisering, du vil have udført mellem denne gruppe og Active Directory-objektbeholderen (og underobjektbeholderne): 5 • Systemer og objektbeholderstruktur – Vælg denne indstilling, hvis gruppen skal afspejle Active Directory-strukturen nøjagtigt. Under synkronisering ændres systemtræets struktur under denne gruppe, så den afspejler strukturen for den Active Directory-objektbeholder, den er knyttet til. Når der tilføjes eller fjernes objektbeholdere i Active Directory, tilføjes eller fjernes de i systemtræet. Når der tilføjes, flyttes eller fjernes systemer i Active Directory, tilføjes, flyttes eller fjernes de i systemtræet. • Kun systemer – Vælg denne indstilling, hvis det kun er systemerne fra Active Directory-objektbeholderen (og underobjektbeholdere, der ikke er udeladt), som skal indsættes i denne gruppe, og kun i denne gruppe. Der oprettes ingen undergrupper under spejling af Active Directory. Vælg, om der skal oprettes en dobbeltforekomst af posten for systemer, der findes i en anden gruppe i systemtræet. Hvis du bruger Active Directory-synkronisering som udgangspunkt for sikkerhedsadministrationen og planlægger at bruge administrationsfunktioner til systemtræet efter at have tilknyttet dine systemer, skal du ikke vælge denne indstilling. 6 118 I afsnittet Active Directory-domæne kan du gøre følgende: • Skrive det fuldt kvalificerede domænenavn på Active Directory-domænet. • Vælge på en liste over allerede registrerede LDAP-servere. 7 Klik på Tilføj ud for Objektbeholder, vælg en kildeobjektbeholder i dialogboksen Vælg Active Directory-objektbeholder, og klik derefter på OK. 8 Hvis du vil udelade bestemte underobjektbeholdere, skal du klikke på Tilføj ud for Undtagelser og vælge den underobjektbeholder, som skal undtages. Klik derefter på OK. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet 9 Vælg, om McAfee Agent skal installeres på nye systemer automatisk. Hvis du vælger det, skal du konfigurere installationsindstillingerne. McAfee anbefaler, at du ikke installerer McAfee Agent under den første import, hvis objektbeholderen er stor. Hvis McAfee Agent-pakken på 3,62 MB installeres på mange systemer på én gang, kan det give problemer med netværkstrafikken. I stedet kan du importere objektbeholderen og derefter installere McAfee Agent på grupper af systemer i stedet for overalt på én gang. Du kan eventuelt vende tilbage til denne side og vælge denne indstilling, når McAfee Agent installeres første gang, så McAfee Agent automatisk installeres på nye systemer, der føjes til Active Directory. 10 Vælg, om systemer skal slettes fra systemtræet, når de slettes fra Active Directory-domænet. Du kan eventuelt vælge, om agenter skal fjernes fra de slettede systemer. 11 Klik på Synkroniser nu for at synkronisere gruppen med Active Directory med det samme. Når du klikker på Synkroniser nu, gemmes eventuelle ændringer af synkroniseringsindstillingerne, inden gruppen synkroniseres. Hvis en meddelelsesregel vedrørende synkronisering af Active Directory er aktiveret, oprettes der en hændelse for hvert system, som tilføjes eller fjernes. Disse hændelser vises i overvågningsloggen, og du kan oprette forespørgsler om dem. Hvis du har installeret agenter på tilføjede systemer, startes installationen på hvert enkelt tilføjet system. Når synkroniseringen er fuldført, opdateres tidspunktet for Seneste synkronisering, så det viser klokkeslættet og datoen for afslutningen af synkroniseringen, ikke for fuldførelsen af eventuelle installationer af agenter. Du kan planlægge en serveropgave for NT-domæne-/Active Directory-synkronisering for den første synkronisering. Denne serveropgave er nyttig, hvis du installerer agenter på nye systemer ved første synkronisering, og båndbredde er et væsentligt problem. 12 Når synkroniseringen er fuldført, kan resultaterne ses ved hjælp af systemtræet. Når systemerne er importeret, kan du distribuere agenter til dem, hvis du ikke valgte at gøre dette automatisk. Overvej at konfigurere en tilbagevendende serveropgave for NT-domæne-/Active Directory-synkronisering for at holde systemtræet opdateret med eventuelle ændringer af dine Active Directory-objektbeholdere. Import af NT-domæner i en eksisterende gruppe Importér systemer fra et NT-domæne i en gruppe, som du har oprettet manuelt. Du kan udfylde grupper automatisk ved at synkronisere hele NT-domæner med angivne grupper. Med denne fremgangsmåde kan du nemt føje alle systemerne i netværket til systemtræet på én gang som en flad liste uden nogen systembeskrivelse. Hvis domænet er stort, kan du oprette undergrupper, der kan være en hjælp ved administration eller organisering af politikker. Det gør du ved først at importere domænet til en gruppe i systemtræet og derefter manuelt oprette logiske undergrupper. Hvis du vil administrere de samme politikker på tværs af flere domæner, skal du importere de enkelte domæner til en undergruppe under samme gruppe. Undergrupperne nedarver de politikker, der er oprettet for gruppen på øverste niveau. Ved brug af denne metode: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 119 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet • Konfigurer IP-adresser eller kriterier for kodesortering for undergrupper, så de importerede systemer automatisk sorteres. • Planlæg en tilbagevendende serveropgave for NT-domæne-/Active Directory-synkronisering for at gøre vedligeholdelsen nem. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Gruppeoplysninger, og vælg eller opret derefter en gruppe i systemtræet. 2 Ud for Synkroniseringstype skal du klikke på Rediger. Siden Synkroniseringsindstillinger vises for den valgte gruppe. 3 Vælg NT-domæne ud for Synkroniseringstype. Indstillingerne for domænesynkronisering vises. 4 Ud for Systemer, som findes andre steder i systemtræet skal du vælge, hvad du vil gøre med systemer, som findes i en anden gruppe i systemtræet. McAfee anbefaler ikke, at indstillingen Føj systemer til den synkroniserede gruppe, og efterlad dem på den nuværende placering i systemtræet vælges, især hvis du kun bruger synkronisering af NT-domænet som udgangspunkt for sikkerhedsadministrationen. 5 Klik på Gennemse ud for Domæne, vælg det NT-domæne, der skal knyttes til denne gruppe, og klik derefter på OK. Du kan også skrive domænets navn direkte i tekstfeltet. Brug ikke det fuldt kvalificerede domænenavn, når du indtaster domænenavnet. 6 Vælg, om McAfee Agent skal installeres på nye systemer automatisk. Hvis du vælger det, skal du konfigurere installationsindstillingerne. McAfee anbefaler, at du ikke installerer McAfee Agent under den første import, hvis domænet er stort. Hvis McAfee Agent-pakken på 3,62 MB installeres på mange systemer på én gang, kan det give problemer med netværkstrafikken. I stedet kan du importere domænet og derefter installere agenten samtidig i mindre grupper af systemer i stedet for overalt på én gang. Når du er færdig med at installere McAfee Agent, skal du overveje at gå til denne side igen og vælge denne indstilling efter første installation af agent. På denne måde installeres McAfee Agent automatisk på alle nye systemer, der føjes til gruppen (eller undergrupperne) ved domænesynkronisering. 7 Vælg, om systemer skal slettes fra systemtræet, når de slettes fra NT-domænet. Du kan også vælge at fjerne agenter fra slettede systemer. 8 Hvis du straks vil synkronisere gruppen med domænet, skal du klikke på Synkroniser nu og derefter vente, mens systemerne i domænet føjes til gruppen. Når du klikker på Synkroniser nu, gemmes ændringer af synkroniseringsindstillingerne, inden gruppen synkroniseres. Hvis en meddelelsesregel vedrørende synkronisering af NT-domænet er aktiveret, oprettes der en hændelse for hvert system, som tilføjes eller fjernes. Disse hændelser vises i overvågningsloggen, og du kan oprette forespørgsler om dem. Hvis du har valgt at installere agenter i tilføjede systemer, startes installationen i alle tilføjede systemer. Når synkroniseringen er fuldført, opdateres tidspunktet under Seneste synkronisering. Klokkeslættet og datoen er det tidspunkt, hvor synkroniseringen blev afsluttet, ikke det tidspunkt, hvor en installation af agenten blev fuldført. 120 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Oprettelse og udfyldning af grupper i systemtræet 9 Hvis du vil synkronisere gruppen med domænet manuelt, skal du klikke på Sammenlign og opdater. Hvis du klikker på Sammenlign og opdater, gemmes eventuelle ændringer af synkroniseringsindstillingerne. a Hvis du skal fjerne systemer fra gruppen via denne side, skal du vælge, om systemernes agenter også skal fjernes. b Vælg de systemer, der skal føjes til og fjernes fra gruppen, og klik derefter på Opdater gruppe for at tilføje de valgte systemer. Siden Synkroniseringsindstillinger vises. 10 Klik på Gem, og se derefter resultaterne i systemtræet, hvis du har klikket på Synkroniser nu eller Opdater gruppe. Når systemerne er føjet til systemtræet, skal du distribuere agenter til dem, hvis du ikke har valgt at installere agenter som en del af synkroniseringen. Overvej at konfigurere en tilbagevendende serveropgave for NT-domæne-/Active Directory-synkronisering for at holde denne gruppe opdateret med nye systemer i NT-domænet. Planlægning af synkronisering af systemtræ Planlæg en serveropgave, der opdaterer systemtræet med ændringer i det tilknyttede domæne eller den tilknyttede Active Directory-objektbeholder. Denne opgave udfører følgende, afhængigt af synkroniseringsindstillinger for gruppen: • Føje nye systemer på netværket til den angivne gruppe. • Tilføje nye tilsvarende grupper, når nye Active Directory- objektbeholdere oprettes. • Slette tilsvarende grupper, når Active Directory-objektbeholdere fjernes. • Installere agenter i nye systemer. • Fjerne systemer, der ikke længere er i domænet eller objektbeholderen. • Anvende politikker og opgaver for webstedet eller gruppen i nye systemer. • forhindrer eller tillader dobbeltforekomster i systemet, der stadigvæk findes i det systemtræ, du har flyttet til andre placeringer. Agenten kan ikke installeres på alle operativsystemer på denne måde. Det kan være nødvendigt at distribuere agenten manuelt til nogle systemer. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åbner guiden Generator af serveropgave. a Klik på Menu | Automatisering | Serveropgaver. b Klik på Handlinger | Ny opgave. 2 Navngiv opgaven, vælg om den skal aktiveres, når den oprettes, på siden Beskrivelse, og klik derefter på Næste. Siden Handlinger vises. 3 Vælg Synkronisering af Active Directory/NT-domæne på rullelisten. 4 Vælg, om du vil synkronisere alle grupper eller udvalgte grupper. Hvis du kun vil synkronisere nogle af de synkroniserede grupper, skal du klikke på Vælg synkroniserede grupper, og markere de relevante grupper. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 121 9 Systemtræet Flytning af systemer i systemtræet 5 Klik på Næste for at åbne siden Planlæg. 6 Planlæg opgaven, og klik derefter på Næste. 7 Gennemgå opgaveoplysningerne, og klik derefter på Gem. Ud over at køre opgaven på det planlagte tidspunkt kan du også køre den med det samme ved at klikke på Kør ud for opgaven på siden Serveropgaver. Manuel opdatering af en synkroniseret gruppe med et NTdomæne Opdater en synkroniseret gruppe med ændringer til det tilknyttede NT-domæne. Denne opdtering indeholder følgende ændringer: • Tilføjelse af systemer, der er i domænet i øjeblikket • Fjernelse af systemer fra systemtræet, der ikke længere er i domænet • Fjernelse af agenter fra alle systemer, der ikke længere hører til det angivne domæne. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Systemer | Systemtræ | Gruppeoplysninger, og vælg derefter den gruppe, der er tilknyttet NT-domænet. 2 Klik på Rediger ud for Synkroniseringstype. Siden Synkroniseringsindstillinger vises. 3 Vælg NT-domæne, og klik derefter på Sammenlign og opdater nederst på siden. Siden Sammenlign og opdater manuelt vises. 4 Hvis du fjerner systemer fra gruppen, skal du vælge, om du vil fjerne agenterne fra de systemer, der fjernes. 5 Klik på Tilføj alle eller Tilføj for at importere systemer fra netværksdomænet til den valgte gruppe. Klik på Fjern alle eller Fjern for at slette systemer fra den valgte gruppe. 6 Klik på Opdater gruppe, når opgaven er fuldført. Flytning af systemer i systemtræet Flyt systemer fra én gruppe til en anden i systemtræet. Du kan flytte systemer fra en hvilken som helst side, hvor der vises en tabel med systemer, herunder resultaterne af en forespørgsel. Ud over nedenstående fremgangsmåde kan du også trække og slippe systemer fra tabellen med systemer til en hvilken som helst gruppe i systemtræet. Selv om du har et perfekt organiseret systemtræ, der afspejler netværkshierarkiet, og bruger automatiske opgaver og værktøjer til regelmæssigt at synkronisere systemtræet, kan det være nødvendigt at flytte systemer manuelt mellem grupper. Det kan f.eks. være nødvendigt jævnligt at flytte systemer fra gruppen Hittegods. 122 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 9 Systemtræet Sådan fungerer Overfør systemer Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Systemer | Systemtræ | Systemer, og find og vælg derefter systemerne. 2 Klik på Handlinger | Mappeadministration | Flyt systemer. Siden Vælg ny gruppe vises. 3 Vælg, om du vil aktivere eller deaktivere sortering af systemtræ for de valgte systemer, når de flyttes. 4 Vælg den gruppe, hvor systemerne skal placeres, og klik derefter på OK. Sådan fungerer Overfør systemer Du kan bruge kommandoen Overfør systemer til at flytte administrerede systemer mellem registrerede McAfee ePO-servere. Du har muligvis brug for at overføre administrerede systemer, når du opgraderer serverhardwaren og operativsystemet, eller hvis du opgraderer serverhardwaren og McAfee ePO-softwareversionen. Denne grafik viser de primære processer, der bruges til at overføre systemer fra én McAfee ePO-server til en anden. Figur 9-1 Processer for Overfør systemer Overførsel af administrerede systemer fra én McAfee ePO-server til en anden involverer de seks processer, der er vist i den forrige figur. 1 Eksportér nøgler til sikker agent til server-kommunikation (ASSC) – Brug følgende på den gamle McAfee ePO-server:Menu | Serverindstillinger | Sikkerhedsnøgler. 2 Importér ASSC-nøglerne – Brug følgende på den nye McAfee ePO-server:Menu | Serverindstillinger | Sikkerhedsnøgler. 3 Registrer den sekundære McAfee ePO-server – Brug følgende på den gamle McAfee ePO-server:Menu | Konfiguration | Registrerede servere. 4 Flyt systemer til den sekundære McAfee ePO-server – Brug følgende på den gamle McAfee ePO-server:Menu | Systemtræ fanen Systemer og Handlinger | Agent | Overfør systemer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 123 9 Systemtræet Sådan fungerer Overfør systemer 5 Bekræft de systemer, der er modtaget – Brug følgende på den nye McAfee ePO-server:Menu | Systemtræ fanen Systemer. 6 Bekræft de systemer, der er blevet flyttet – Brug følgende på den gamle McAfee ePO-server:Menu | Systemtræ fanen Systemer. Se også Eksport og import af ASSC-nøgler mellem McAfee ePO-servere på side 89 Registrering af McAfee ePO-servere på side 83 Overførsel af systemer mellem McAfee ePO-servere på side 124 Overførsel af systemer mellem McAfee ePO-servere Du kan bruge Overfør systemer til at flytte administrerede systemer mellem registrerede McAfee ePO-servere. Før du starter Følgende ændringer er påkrævet for begge McAfee ePO-konfigurationer, før du kan flytte administrerede systemer mellem to McAfee ePO-servere, f.eks. mellem en gammel McAfee ePO-server og en ny: Disse trin understøtter tovejsoverførsel. Hvis du foretrækker kun at aktivere envejsoverførsel, er det ikke nødvendigt at importere nøgler for agent til server-kommunikation (ASSC) fra den nye McAfee ePO-server på den gamle McAfee ePO-server. • • Knyt nøglerne til sikker agent til server-kommunikation mellem de to McAfee ePO-servere sammen. 1 Eksportér ASSC-nøglerne fra begge serverne. 2 Importér ASSC-nøglerne fra den gamle server på den nye server. 3 Importér ASSC-nøglerne fra den nye server på den gamle server. Registrer den nye og den gamle McAfee ePO-server, så du kan overføre systemerne frem og tilbage. Kontrollér, at du har aktiveret Overfør systemer og valgt Automatisk import af Sitelist på siden Oplysninger for siden Generator af registrerede servere. Trinnene i denne opgave beskriver, hvordan du overfører systemer fra en gammel McAfee ePO-server til en ny server. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ på den gamle McAfee ePO-server, og vælg derefter de systemer, du vil overføre. 2 Klik på Handlinger | Agent | Overfør systemer. 3 Vælg den nye McAfee ePO-server i rullemenuen i dialogboksen Overfør systemer, og klik på OK. Når et administreret system er blevet markeret til overførsel, skal der indtræffe to agent til server-kommunikationsintervaller, før systemet vises i Systemtræ for destinationsserveren. Den tid, det tager at fuldføre begge agent til server-kommunikationsintervaller, afhænger af konfigurationen. Standardintervallet for agent til server-kommunikation er en time. 124 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Systemtræet Sådan fungerer Overfør systemer 9 Se også Sådan fungerer Overfør systemer på side 123 Eksport og import af ASSC-nøgler mellem McAfee ePO-servere på side 89 Registrering af McAfee ePO-servere på side 83 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 125 9 Systemtræet Sådan fungerer Overfør systemer 126 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 10 Koder Brug koder til at identificere og sortere systemer. Ved hjælp af koder og kodegrupper er det nemmere at vælge systemgrupper og oprette opgaver og forespørgsler. Indhold Oprettelse af koder ved hjælp af Generator af nye koder Administration af koder Oprettelse, sletning og ændring af kodeundergrupper Udeladelse af systemer fra automatisk markering Anvendelse af koder til valgte systemer Ryd koder fra systemer Anvendelse af kriteriebaserede koder på alle systemer, der stemmer overens Anvendelse af kriteriebaserede koder efter en plan Oprettelse af koder ved hjælp af Generator af nye koder Brug Generator af nye koder til hurtigt at oprette koder. Koder kan bruge kriterier, der er evalueret i henhold til alle systemer: • Automatisk ved agent til server-kommunikation. • Når handlingen Kør kriterier for kode udføres. • Manuelt på valgte systemer uanset kriterier ved hjælp af handlingen Anvend kode. Koder uden kriterier kan kun anvendes manuelt til valgte systemer. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åbn Generator af nye koder ved at klikke på Menu | Systemer | Katalog over koder | Ny kode. 2 Skriv et navn og en forklarende beskrivelse på siden Beskrivelse, og klik derefter på Næste. Siden Kriterier vises. 3 Vælg og konfigurer kriterierne, og klik derefter på Næste. Siden Evaluering vises. Hvis du vil anvende koden automatisk, skal du konfigurere kriterier for koden. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 127 10 Koder Administration af koder 4 Vælg, om systemerne kun skal evalueres i henhold til kodens kriterier, når handlingen Kør kriterier for kode udføres, eller også ved hver agent til server-kommunikation, og klik derefter på Næste. Siden Eksempelvisning vises. Disse indstillinger er ikke tilgængelige, hvis der ikke er konfigureret kriterier. Hvis systemerne evalueres i henhold til en kodes kriterier, anvendes koden på de systemer, der opfylder kriterierne og ikke er blevet udeladt fra koden. 5 Kontrollér oplysningerne på denne side, og klik derefter på Gem. Hvis koden har kriterier, viser siden det antal systemer, der modtager denne kode ved evaluering i henhold til kriterierne. Koden tilføjes under den valgte kodegruppe i kodetræet på siden Katalog over koder. Administration af koder Når der er oprettet koder ved hjælp af Generator af nye koder, kan du redigere, slette og flytte koden, eller koderne, mellem kodegrupper ved hjælp af listen Handlinger. Udfør disse trin for at redigere, slette, eksportere eller flytte en eller flere koder. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Katalog over koder. 2 Vælg en eller flere koder på listen Koder, og klik på Handlinger og en af følgende handlinger på listen. Handling Trin Rediger en kode Fra Generator til redigering af koder: 1 Skriv et navn og en forklarende beskrivelse på siden Beskrivelse, og klik derefter på Næste. Siden Kriterier vises. 2 Vælg og konfigurer kriterierne, og klik derefter på Næste. Siden Evaluering vises. Hvis du vil anvende koden automatisk, skal du konfigurere kriterier for koden. 3 Vælg, om systemerne kun skal evalueres i henhold til kodens kriterier, når handlingen Kør kriterier for kode udføres, eller også ved hver agent til server-kommunikation, og klik derefter på Næste. Siden Eksempelvisning vises. Disse indstillinger er ikke tilgængelige, hvis der ikke er konfigureret kriterier. Hvis systemerne evalueres i henhold til en kodes kriterier, anvendes koden på de systemer, der opfylder kriterierne og ikke er blevet udeladt fra koden. 4 Kontrollér oplysningerne på denne side, og klik derefter på Gem. Hvis koden har kriterier, vises det antal systemer, der modtager denne kode, når den evalueres i henhold til kriterierne, på siden. Koden opdateres under den valgte kodegruppe i kodetræet på siden Katalog over koder. Slet en kode 128 Klik på Slet for at åbne bekræftelsesdialogboksen. Klik på OK for at slette koden. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Koder Oprettelse, sletning og ændring af kodeundergrupper Handling Trin Eksportér en kode Når du klikker på Eksportér tabel, vises siden Eksportér data. Flyt koder Fra dialogboksen Flyt koder: 10 1 Vælg den kodegruppe, hvor koderne skal vises. 2 Klik på OK for at flytte koden. Du kan også trække og slippe koderne til kodegrupperne i kodetræet. Oprettelse, sletning og ændring af kodeundergrupper Du kan bruge kodeundergrupper til at indlejre kodegrupper på op til fire niveauer med op til 1.000 kodeundergrupper under en enkelt overordnet gruppe. Med disse kodegrupper kan du bruge kriteriebaseret sortering for automatisk at føje systemer til de rette grupper. Brug disse trin til at oprette, slette eller ændre en kodeundergruppe. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Katalog over koder. 2 Vælg en af følgende handlinger på siden Katalog over koder. Handling Trin Oprettelse af en kodeundergruppe 1 På den hierarkiske liste Kodetræ skal du vælge den kodegruppe (eller overordnede kodegruppe), hvor du vil oprette den nye kodeundergruppe. Mine koder er den standardkodegruppe på øverste niveau, der tilføjes under installation af ePolicy Orchestrator. 2 Klik på Ny undergruppe for at få vist dialogboksen Ny undergruppe. 3 I feltet Navn skal du angive et beskrivende navn til den nye kodeundergruppe. 4 Når du er færdig, skal du klikke på OK for at oprette den nye kodeundergruppe. Omdøbning af navnet 1 På den hierarkiske liste Kodetræ skal du vælge den kodeundergruppe, du på en vil omdøbe. kodeundergruppe 2 Klik på Handlinger for kodetræ | Omdøb gruppe for at få vist dialogboksen Omdøb undergruppe. 3 I feltet Navn skal du skrive det nye navn til kodeundergruppen. 4 Når du er færdig, skal du klikke på OK for at omdøbe kodeundergruppen. Sletning af en kodeundergruppe 1 På den hierarkiske liste Kodetræ skal du vælge den kodeundergruppe, du vil slette. 2 Klik på Handlinger | Slet. Bekræftelsesdialogboksen Handling: Slet vises. 3 Hvis du er sikker på, at du vil slette kodeundergruppen, skal du klikke på OK for at fjerne kodeundergruppen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 129 10 Koder Udeladelse af systemer fra automatisk markering Udeladelse af systemer fra automatisk markering Forebyg, at der anvendes bestemte koder på systemer. Du kan også bruge en forespørgsel til at indsamle systemer og derefter udelade koderne fra de pågældende systemer fra forespørgselsresultaterne. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter den gruppe, der indeholder systemerne, i systemtræet. 2 Vælg et eller flere systemer i tabellen Systemer, og klik derefter på Handlinger | Kode | Udelad kode. 3 Vælg kodegruppen i dialogboksen Udelad kode, vælg den kode, der skal udelades, og klik derefter på OK. Hvis listen kun skal omfatte bestemte koder, skal du indtaste kodenavnet i tekstfeltet under Koder. 4 Kontrollér, at koderne er udeladt i systemerne: a Åbn siden Oplysninger om kode, klik på Menu | Systemer | Katalog over koder, og vælg derefter koden eller kodegruppen på listen over koder. b Klik på linket for det antal systemer, hvor der ikke anvendes kriteriebaseret kode, ud for Systemer med kode. Siden Systemer, som er udeladt fra koden vises. c Kontrollér, at systemerne er på listen. Anvendelse af koder til valgte systemer Anvend manuelt en kode på valgte systemer i systemtræet. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter den gruppe, der indeholder det ønskede system. 2 Vælg systemerne, og klik derefter på Handlinger | Kode | Anvend kode. 3 Vælg kodegruppen i dialogboksen Anvend kode, vælg den kode, der skal anvendes, og klik derefter på OK. Hvis listen kun skal omfatte bestemte koder, skal du indtaste kodenavnet i tekstfeltet under Koder. 4 130 Kontrollér, at koderne er blevet anvendt: a Klik på Menu | Systemer | Katalog over koder, og vælg derefter en kode eller kodegruppe på listen over koder. b Klik på linket for det antal systemer, der er kodet manuelt, ud for Systemer med kode i detaljeruden. Siden Systemer med kode, som anvendes manuelt vises. c Kontrollér, at systemerne er på listen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Koder Ryd koder fra systemer 10 Ryd koder fra systemer Fjern koder fra valgte systemer. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter den gruppe, der indeholder det ønskede system. 2 Vælg systemerne, og klik derefter på Handlinger | Kode | Ryd kode. 3 Udfør en af disse trin i dialogboksen Ryd kode, og klik derefter på OK. • Fjern en bestemt kode – Vælg kodegruppen, og vælg derefter koden. Hvis listen kun skal omfatte bestemte koder, skal du indtaste kodenavnet i tekstfeltet under Koder. • 4 Fjern alle tags – Vælg Ryd alle. Kontrollér, at koderne er blevet anvendt: a Klik på Menu | Systemer | Katalog over koder, og vælg derefter en kode eller kodegruppe på listen over koder. b Klik på linket for det antal systemer, der er kodet manuelt, ud for Systemer med kode i detaljeruden. Siden Systemer med kode, som anvendes manuelt vises. c Kontrollér, at systemerne er på listen. Anvendelse af kriteriebaserede koder på alle systemer, der stemmer overens Anvend en kriteriebaseret kode på alle systemer, der ikke er udeladte, og som stemmer overens med de angivne kriterier. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Katalog over koder, og vælg derefter en kode eller kodegruppe på listen Koder. 2 Klik på Handlinger | Kør kriterier for kode. 3 Vælg, om manuelt kodede og udeladte systemer skal nulstilles, i ruden Handlinger. Hvis du nulstiller manuelt kodede og udeladte systemer, fjernes koden fra systemer, der ikke opfylder kriterierne, og koden anvendes på systemer, der opfylder kriterierne, men ikke fik tildelt koden. 4 Klik på OK. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 131 10 Koder Anvendelse af kriteriebaserede koder efter en plan 5 Kontrollér, at koden anvendes på systemerne: a Klik på Menu | Systemer | Katalog over koder, og vælg derefter en kode eller kodegruppe på listen over koder. b Klik på linket for det antal systemer, hvor koden anvendes efter kriterier, ud for Systemer med kode i detaljeruden. Siden Systemer med kode, som anvendes efter kriterier vises. c Kontrollér, at systemerne er på listen. Koden anvendes til alle systemer, der stemmer overens med kriterierne. Anvendelse af kriteriebaserede koder efter en plan Planlæg en regelmæssig opgave, som anvender en kode på alle systemer, der stemmer overens med kriterierne for koden. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. Siden Generator af serveropgave vises. 2 Navngiv og beskriv opgaven på siden Beskrivelse, og vælg, om opgaven er aktiveret, når den er oprettet, og klik derefter på Næste. Siden Handlinger vises. 3 Vælg Kør kriterier for kode på rullelisten, og vælg derefter en kode på rullelisten Kode. 4 Vælg, om manuelt kodede og udeladte systemer skal nulstilles manuelt. Hvis du nulstiller manuelt kodede og udeladte systemer, fjernes koden fra systemer, der ikke stemmer overens med kriterierne, og koden anvendes på systemer, der stemmer overens med kriterierne, men ikke fik tildelt koden. 5 Klik på Næste for at åbne siden Planlæg. 6 Planlæg opgaven til de ønskede klokkeslæt, og klik derefter på Næste. 7 Gennemgå opgaveindstillingerne, og klik derefter på Gem. Serveropgaven føjes til listen på siden Serveropgaver. Hvis du valgte at aktivere opgaven i guiden Generator af serveropgave, kører den på det næste planlagte tidspunkt. 132 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 11 Agent til server-kommunikation Klientsystemer bruger McAfee Agent til at kommunikere med McAfee ePO-serveren. Overvåg og administrer agenter fra ePolicy Orchestrator-kontollen. Indhold Arbejde med agenten fra McAfee ePO-serveren Administrer agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren Grænsefladen i McAfee ePO omfatter sider, hvor agentopgaver og -politikker kan konfigureres, og hvor systemegenskaber, agentegenskaber og andre McAfee-produktoplysninger kan ses. Indhold Sådan fungerer agent til server-kommunikation SuperAgenter og deres funktion Agentrelæfunktion Reaktion på politikhændelser Kørsel af klientopgaver med det samme Søgning efter inaktive agenter Windows-system og produktegenskaber, der rapporteres af agenten Forespørgsler leveret af McAfee Agent Sådan fungerer agent til server-kommunikation McAfee Agent skal jævnligt tale med en McAfee ePO-server for at sikre, at alle indstillinger er opdaterede, at der kan sendes hændelser osv. Denne kommunikation kaldes agent til server-kommunikation. Under al agent til server-kommunikation indsamler McAfee Agent de aktuelle systemegenskaber samt hændelser, der endnu ikke er blevet sendt, og sender dem til serveren. Serveren sender nye eller ændrede politikker og opgaver til McAfee Agent samt lagerlisten, hvis den er blevet ændret siden sidste agent til server-kommunikation. McAfee Agent gennemtvinger de nye politikker lokalt i det administrerede system og anvender alle opgave- eller lagerændringer. McAfee ePO-serveren bruger en TLS-standardnetværksprotokol (Transport Layer Security) til sikre netværkstransmissioner. Når McAfee Agent først er installeret, opretter den forbindelse til serveren på et vilkårligt tidspunkt inden for seks sekunder. Derefter opretter McAfee Agent forbindelse i følgende situationer: • Intervallet for agent til server-kommunikation (ASCI) forløber. • Der sendes McAfee Agentaktiveringer fra McAfee ePO eller agenthandlere. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 133 11 Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren • Der køres en planlagt aktivering på klientsystemerne. • Kommunikation startes manuelt fra det administrerede system. • Der sendes McAfee Agentaktiveringer fra McAfee ePO-serveren. Agent til server-kommunikationsinterval Agent til server-kommunikationsintervallet (ASCI) bestemmer, hvor ofte McAfee Agent opretter forbindelse til McAfee ePO-serveren. Intervallet for agent til server-kommunikation indstilles under fanen Generelt på siden McAfee Agent Politik. Standardindstillingen på 60 minutter betyder, at agenten kontakter McAfee ePO-serveren én gang i timen. Når du beslutter, om intervallet skal ændres, skal du tage højde for, at agenten udfører hver af følgende handlinger for hvert ASCI: • Indsamler og sender egenskaberne. • Sender ikke-prioriterede hændelser, der er opstået, siden den sidste agent til server-kommunikation. • Håndhæver politikker. • Modtager nye politikker og opgaver. Denne handling starter muligvis andre ressourcekrævende handlinger. Selvom disse aktiviteter ikke belaster en enkelt computer, kan en række faktorer forårsage en væsentlig samlet efterspørgsel på netværket, på McAfee ePO-serverne eller for agenthandlerne, herunder: • Antallet af systemer, der administreres af ePolicy Orchestrator • Hvis organisationen har strenge krav til reaktioner på trusler. • Hvs klienternes netværksplacering eller fysiske placering i relation til servere eller agenthandlere er højt distribueret. • Hvis båndbredden er utilstrækkelig Generelt gælder det, at hvis miljøet indeholder disse variabler, skal agent til server-kommunikation udføres mindre hyppigt. Ved individuelle klienter med kritiske funktioner kan det være en fordel at angive et hyppigere interval. Håndtering af afbrydelse i agent til server-kommunikation Med håndtering af afbrydelse løses problemer, der forhindrer et system i at oprette forbindelse til en McAfee ePO-server. Afbrydelser i kommunikation kan opstå af mange årsager, og algoritmen for agent til server-forbindelse er udviklet til at forsøge at oprette forbindelse igen, hvis det første forsøg mislykkes. McAfee Agent gennemløber følgende forbindelsesmetoder seks gange, eller indtil et af svarsættene returneres. 1 IP-adresse 2 Fuldt kvalificeret domænenavn 3 NetBIOS Agenten gentager disse tre forbindelsesmetoder i den rækkefølge op til seks gange, i alt 18 forbindelsesforsøg. Der er ingen forsinkelse mellem forsøgene på at oprette forbindelse. Agenten stopper denne cyklus, hvis et forsøg på at oprette forbindelse resulterer i et af følgende: 134 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren • Ingen fejl • Hentning mislykkedes • Overførsel mislykkes • Agenten lukker ned • Overførsel afbrydes • Server optaget (statuskode fra McAfee ePO-server). • Overførsel lykkes (statuskode fra McAfee ePO-server). • Agent skal bruge nye nøgler • Der er ingen pakke til modtagelse (statuskode fra McAfee ePO-server). • Agenten skal regenerere GUID (statuskode fra McAfee ePO-server). 11 Andre resultater, f.eks. forbindelse afvist, mislykket forbindelse, timeout for forbindelse eller andre fejl, bevirker, at agenten med det samme prøver at bruge den næste forbindelsesmetode på listen, indtil det næste ASCI. Aktivering og opgaver En McAfee Agent-aktivering udløser en øjeblikkelig agent til server-kommunikation i stedet for at vente til det aktuelle interval for agent til server-kommunikation (ASCI) optræder. Klientopgaver med agentaktivering understøttes kun på Windows-platforme. Brug handlinger i systemtræet til at aktivere agenter på Unix-baserede systemer og Macintosh OS. En aktivering kan startes på to måder: • Manuelt fra serveren – Dette er den mest almindelige metode og kræver, at kommunikationsporten til agentaktivering er åben. • Efter en tidsplan, som administratoren har angivet – Denne metode er nyttig, når manuel agent til server-kommunikation er deaktiveret i henhold til en politik. Administratoren kan oprette og installere en aktiverings opgave, som aktiverer agenten og starter agent til server-kommunikationen. Nogle årsager til at starte agentaktivering er: • Du opretter en politik, som du vil håndhæve øjeblikkeligt, uden at vente på, at det planlagte ASCI udløber. • Du oprettede en ny opgave, som du vil køre med det samme. Der oprettes en opgave i forbindelse med Kør opgave nu, som derefter tildeles bestemte klientsystemer, og der sendes aktiveringer. • Der blev genereret en rapport i forbindelse med en forespørgsel, som angiver, at en klient ikke er kompatibel, og du vil teste statussen for den som en del af proceduren for fejlfinding. Hvis du har konverteret en bestemt agent på et Windows-system til brug af en SuperAgent, kan den udstede aktiveringer til angivne netværksbroadcastsegmenter. SuperAgenter distribuerer belastningen af båndbredden for agentaktiveringen. Afsendelse af manuelle aktiveringer til individuelle systemer Det er nyttigt at sende en agent- eller SuperAgent-aktivering manuelt til systemer i systemtræet, når du ændrer politikken og ønsker, at agenterne skal oprette forbindelse for at sende eller modtage opdaterede oplysninger inden den næste agent til server-kommunikation. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 135 11 Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Systemer | Systemtræ, og vælg derefter den gruppe, der indeholder destinationssystemerne. 2 Vælg systemerne på listen, og klik derefter på Handlinger | Agent | Aktivér agenter. 3 Kontrollér, at de valgte systemer vises i afsnittet Destinationssystemer. 4 Ved siden af Aktiveringstype skal du vælge, om du vil sende en Agentaktivering eller SuperAgent-aktivering, alt efter hvad der relevant. 5 Godkend standardværdien Tilfældighed (0 minutter), eller angiv en anden værdi (0-60 minutter). Tag højde for antallet af systemer, der modtager aktiveringen, når den sendes øjeblikkeligt, og hvor meget tilgængelig båndbredde der findes. Hvis du skriver 0, svarer agenterne øjeblikkeligt. 6 Hvis du vil sende trinvise produktegenskaber som resultat af denne aktivering, skal du fravælge Hent komplette produktegenskaber... De komplette produktegenskaber sendes som standard. 7 Hvis du vil opdatere alle politikker og opgaver under denne aktivering, skal du vælge Håndhæv komplet politik- og opgaveopdatering. 8 Angiv indstillingerne for Antal forsøg, Forsøgsinterval og Afbryd efter for denne aktivering, hvis du ikke ønsker standardværdierne. 9 Vælg, om du vil aktivere agenten med Alle agenthandlere eller Sidst oprettede agenthandlere. 10 Klik på OK for at sende agent- eller SuperAgent-aktiveringen. Afsendelse af manuelle aktiveringer til en gruppe En agent- eller SuperAgent-aktivering kan sendes til en hel gruppe i systemtræet i en enkelt opgave. Dette er nyttigt, hvis du har ændret politikker og ønsker, at agenterne skal oprette forbindelse for at sende eller modtage opdaterede oplysninger inden den næste agent til server-kommunikation. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 136 1 Klik på Menu | Systemer | Systemtræ. 2 Vælg destinationsgruppen fra Systemtræ, og klik på fanen Gruppeoplysninger. 3 Klik på Handlinger | Aktivér agenter. 4 Kontrollér, at den valgte gruppe vises ud for Destinationsgruppe. 5 Vælg, om du vil sende agentaktiveringen til Alle systemer i denne gruppe eller til Alle systemer i denne gruppe og tilhørende undergrupper. 6 Ud for Type skal du vælge, om du vil sende en Agentaktivering eller en SuperAgent-aktivering. 7 Godkend standardværdien Tilfældighed (0 minutter), eller angiv en anden værdi (0-60 minutter). Hvis du skriver 0, aktiveres agenterne øjeblikkeligt. 8 Hvis du vil sende minimale produktegenskaber som resultat af denne aktivering, skal du fravælge Hent komplette produktegenskaber... De komplette produktegenskaber sendes som standard. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren 9 11 Hvis du vil opdatere alle politikker og opgaver under denne aktivering, skal du vælge Håndhæv komplet politik- og opgaveopdatering. 10 Klik på OK for at sende agent- eller SuperAgent-aktiveringen. SuperAgenter og deres funktion En SuperAgent er en agent, der fungerer som et mellemled mellem McAfee ePO-serveren og andre agenter i det samme netværksbroadcastsegment. Du kan kun konvertere en Windows-agent til SuperAgent. SuperAgenten cachelagrer oplysninger, der er modtaget fra en McAfee ePO-server, hovedlageret eller et distribueret lager med spejlingskopier, og den distribuerer disse oplysninger til agenterne i undernetværket. Funktionen LazyCaching giver kun SuperAgenter mulighed for at hente data fra McAfee ePO-servere, når en lokal agentnode anmoder om det. Når der oprettes et SuperAgent-hierarki sammen med LazyCaching, spares der båndbredde, samtidig med at WAN-trafikken minimeres. En SuperAgent udsender også aktiveringer til andre agenter, der findes på det samme undernetværk. SuperAgenten modtager en aktivering fra McAfee ePO-serveren og aktiverer dernæst agenten i undernettet. Dette er et alternativ til at sende almindelige agentaktiveringer til hver enkelt agent på netværket eller agentaktiveringsopgaver til hver enkelt computer. SuperAgenter og broadcastaktiveringer Brug agentaktiveringer til at påbegynde agent til server-kommunikation, og overvej at konvertere en agent på hvert netværksbroadcastsegment til en SuperAgent. SuperAgenter distribuerer belastningen af båndbredden for samtidige aktiveringer. I stedet for at sende agentaktiveringer fra serveren til alle agenter, sender serveren SuperAgent-aktiveringer til SuperAgenter i det valgte systemtræsegment. Processen er som følger: 1 Server sender en aktivering til alle SuperAgenter. 2 SuperAgenter udsender en aktivering til alle agenter i det samme broadcastsegment. 3 Alle agenter, der underrettes (almindelige agenter, der underrettes af en SuperAgent, og alle SuperAgenter) udveksler data med McAfee ePO-serveren eller agenthandleren. Når du sender en SuperAgent-aktivering, promptes agenter uden en fungerende SuperAgent i det tilhørende broadcastsegment ikke til at kommunikere med serveren. Tip til installation af SuperAgenter Hvis du vil installere nok SuperAgenter på de korrekte placeringer, skal du først vælge broadcastsegmenterne i miljøet og et system (helst en server) i hvert segment til at være vært for en SuperAgent. Hvis du bruger SuperAgenter, skal du sørge for, at alle agenter er tildelt en SuperAgent. Agent- og SuperAgentaktiveringer benytter de samme sikre kanaler. Kontrollér, at følgende porte ikke er blokeret af en firewall på klienten: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 137 11 Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren • Kommunikationsporten til agentaktiveringer (som standard 8081). • Kommunikationsporten til agentbroadcast (som standard 8082). Konvertering af agenter til SuperAgenter Når SuperAgenten modtager en opdatering fra McAfee ePO-serveren under den globale opdateringsproces, sender den aktiveringer til alle agenter på netværket. Konfigurer politikindstillinger for SuperAgenten for at konvertere en agent til en SuperAgent. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg en gruppe i systemtræet. Alle systemerne i gruppen vises i detaljeruden. 2 Vælg et system, og klik derefter på Handlinger | Agent | Rediger politikker på et enkelt system. Siden Politiktildeling for det pågældende system vises. 3 Vælg McAfee Agent på rullelisten med produkter. Politikkategorierne under McAfee Agent vises sammen med systemets tildelte politik. 4 Hvis politikken er nedarvet, skal du vælge Bryd nedarvning, og tildel nedenstående politik og indstillinger. 5 På rullelisten Tildelt politik skal du vælge en politik af typen Generelt. Fra denne placering kan du også redigere den valgte politik eller oprette en ny politik. 6 Angiv, om politikkens nedarvning skal låses for at forhindre, at systemer, der nedarver denne politik, får tildelt en anden i stedet. 7 På fanen SuperAgent skal du vælge Konverter agenter til SuperAgenter for at aktivere broadcast af aktiveringer. 8 Klik på Gem. 9 Send en agentaktivering. SuperAgent-cachelagring og kommunikationsforstyrrelser SuperAgenten cachelagrer indholdet i lageret på en bestemt måde, der er designet til at minimere WAN-forbrug (Wide Area Network). Hvis en agent er konverteret til en SuperAgent, kan den cachelagre indhold fra McAfee ePO-serveren, det distribuerede lager eller andre SuperAgenter til lokal distribution til andre agenter. Derved reduceres brugen af WAN-båndbredde (Wide Area Network). Du aktiverer dette ved at slå LazyCaching til på siden McAfee Agent | SuperAgent med politikindstillinger, som du får adgang til fra Menu | Politik | Politikkatalog. SuperAgenter kan ikke cachelagre indhold fra HTTP- eller FTP-lagre i McAfee. Sådan fungerer cachen Når et klientsystem anmoder om indhold, cachelagrer den SuperAgent, der er tildelt systemet, det pågældende indhold. Herefter opdateres cachen, når en nyere version af den anmodede pakke er tilgængelig i hovedlageret. Når der oprettes en hierarkisk SuperAgent-struktur, modtager den underordnede SuperAgent den anmodede opdatering af indhold fra den overordnede cache. 138 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren 11 SuperAgenten lagrer kun indhold, der kræves af de agenter, der er tildelt den, fordi den ikke trækker indhold fra lagrene, indtil der anmodes om dette fra en klient. Derved minimeres trafikken mellem SuperAgenten og lagrene. Mens SuperAgenten henter indhold fra lageret, stoppes klientsystemanmodninger om dette indhold midlertidigt. SuperAgenten skal have adgang til lageret. Uden denne adgang modtager de agenter, der får opdateringer fra SuperAgenten, aldrig nyt indhold. Kontrollér, at SuperAgent-politikken omfatter adgang til lageret. Agenter, der er konfigureret til at bruge SuperAgenten som lager, modtager det indhold, der er cachelagret i SuperAgenten, i stedet for direkte fra McAfee ePO-serveren. Dette forbedrer ydeevnen af agentsystemet ved at holde størstedelen af netværkstrafikken lokal for SuperAgenten og de tilhørende klienter. Hvis SuperAgenten omkonfigureres til at benytte et nyt lager, opdateres cachen for at afspejle det nye lager. Hvornår tømmes cachen? SuperAgenter rydder indholdet af deres cache i to tilfælde. • Hvis intervallet for kontrol af nyt lagerindhold er udløbet, siden der sidst blev anmodet om opdateringer, henter SuperAgenten opdateringer fra hovedlageret, behandler dem og rydder fuldstændigt cachen, hvis der er nyt tilgængeligt indhold. • Når en global opdatering forekommer, modtager SuperAgenter en aktivering, der rydder alt indhold i cachen. • SuperAgenter ryddes som standard hver halve time. Når SuperAgenten rydder cachen, slettes alle de filer i lageret, som ikke er anført i Replica.log. Dette omfatter private filer, som du måske har gemt i den pågældende mappe. • Det anbefales ikke at udføre SuperAgent-cachelagring sammen med replikering af lager. Sådan håndteres kommunikationsafbrydelser Når en SuperAgent modtager en anmodning om indhold, der kan være forældet, forsøger SuperAgenten at oprette forbindelse til McAfee ePO-serveren for at se, om der er nyt tilgængeligt indhold. Hvis der opstår timeout for forbindelsen, distribuerer SuperAgenten indhold fra sit eget lager i stedet. Dette sker for at sikre, at anmoderen modtager indhold, også selvom indholdet er forældet. SuperAgent-cachelaring skal ikke bruges sammen med en global opdatering. Begge disse funktioner har samme formål i dit administrerede miljø, nemlig at holde dine distribuerede lagre opdateret. Funktionerne supplerer dog ikke hinanden. Brug SuperAgent-cachelagring, når du primært ønsker at begrænse forbrug af båndbredde. Brug global opdatering, når du primært ønsker at udføre en hurtig opdatering i virksomheden. SuperAgent-hierarki Et SuperAgent-hierarki kan hjælpe agenter i det samme netværk med minimal udnyttelse af netværkstrafik. En SuperAgent cachelagrer opdateringer af indhold fra McAfee ePO-serveren eller et distribueret lager og distribuerer det til agenterne på netværket. Derved reduceres WAN-trafikken. Det er altid ideelt at have mere end én SuperAgent for at justere netværksbelastningen. Sørg for, at du har aktiveret LazyCaching, inden du angiver SuperAgent-hierarkiet. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 139 11 Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren Oprettelse af et hierarki over SuperAgenter Brug politikken Lager til at oprette hierarkiet. McAfee anbefaler, at du opretter et hierarki på tre niveauer med SuperAgenter i dit netværk. Med et SuperAgent-hierarki kan du undgå at hente opdateringer af indhold gentagne gange fra McAfee ePO-serveren eller det distribuerede lager. I et klientnetværk med to SuperAgenter (SuperAgent 1 og SuperAgent 2) og et distribueret lager kan du f.eks. konfigurere hierarkiet, så klientsystemerne modtager opdateringerne af indhold fra SuperAgent 1. SuperAgent 1 modtager og cachelagrer opdateringer fra SuperAgent 2, og derefter modtager og cachelagrer SuperAgent 2 opdateringer fra det distribuerede lager. SuperAgenter kan ikke cachelagre indhold fra HTTP- eller FTP-lagre i McAfee. Når du opretter et hierarki, skal du sikre, at hierarkiet ikke danner en SuperAgent-cyklus, hvor SuperAgent 1 f.eks. er konfigureret til at trække opdateringer fra SuperAgent 2, SuperAgent 2 er konfigureret til at trække opdateringer fra SuperAgent 3, og SuperAgent 3 er konfigureret til at trække opdateringer fra SuperAgent 1. Hvis du vil sikre, at den overordnede SuperAgent er opdateret med den seneste opdatering af indhold, skal broadcast af SuperAgent-aktivering være aktiveret. Hvis SuperAgenterne ikke viser den seneste opdatering af indhold for en agent, afviser agenten den opdatering af indhold, den modtager fra SuperAgent, og bruger det næste lager, der er konfigureret i politikken. Arrangering af SuperAgenter i et hierarki Politikker af typen Generelt og Lager kan ændres for at aktivere og angive et SuperAgent-hierarki. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog. På rullelisten Produkt skal du vælge McAfee Agent, og på rullelisten Kategori skal du vælge Generelt. 2 Klik på politikken Min standard for at redigere politikken. Klik på Handlinger | Ny politik for at oprette en politik. McAfee Default-politikken kan ikke ændres. 3 På fanen SuperAgent skal du vælge Konverter agenter til SuperAgenter for at konvertere agenten til en SuperAgent og opdatere dens lager med det nyeste indhold. 4 Vælg Brug systemer, der kører SuperAgenter, som distribuerede lagre for at bruge de systemer, der er værter for SuperAgenter, som opdateringslagre for systemerne i broadcastsegmentet, og angiv derefter Lagersti. 5 Vælg Aktivér LazyCaching for at tillade, at SuperAgenter cachelagrer indhold, når det modtages fra McAfee ePO-serveren. 6 Klik på Gem. På siden Politikkatalog findes en liste over politikkerne af typen Generelt. 140 7 Skift Kategori til Lager, og klik derefter på politikken Min standard for at redigere politikken. Hvis du vil oprette en politik, skal du klikke på Handlinger | Ny politik. 8 På fanen Lagre skal du vælge Brug rækkefølge i lagerliste. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren 9 11 Klik på Giv automatisk klienter adgang til lagre, der er tilføjet for nylig for at føje nye SuperAgent-lagre til listen, og klik derefter på Flyt til toppen for at arrangere SuperAgenter i et hierarki. Arranger hierarkiet af lagrene på en sådan måde, at den overordnede SuperAgent altid er øverst på lagerlisten. 10 Klik på Gem. Efter konfiguration af SuperAgent-hierarkiet kan du oprette og køre opgaven Statistik for McAfee Agent for at få en rapport over, hvordan du sparer netværksbåndbredde. Agentrelæfunktion Hvis netværkskonfigurationen blokerer for kommunkation mellem McAfee Agent- og McAfee ePO-serveren, kan agenten ikke modtage opdateringer af indhold og politikker eller sende hændelser. Relæfunktionen kan aktiveres på agenter, som har direkte forbindelse til McAfee ePO-serveren, eller agenthandlere for at samle kommunikationen mellem klientsystemerne og McAfee ePO-serveren. Du kan konfigurere mere end én agent som en RelayServer for at styre justeringen af belastningen på netværket. • Du kan aktivere relæfunktionen på McAfee Agent 4.8 eller nyere. • McAfee ePO-serveren kan kun indlede kommunikation (f.eks. Vis agentlog) med en direkte forbundet agent. • Relæfunktionen understøttes ikke på AIX-systemer. Kommunikation via RelayServere Når du aktiverer relæfunktionen på netværket, konverteres en McAfee Agent til en RelayServer. En McAfee Agent med relæfunktion kan få adgang til McAfee ePO-serveren. Når en McAfee Agent ikke kan oprette forbindelse til McAfee ePO-serveren, sender den en meddelelse for at registrere en McAfee Agent med relæfunktion på netværket. RelayServerne reagerer på meddelelsen, og McAfee Agent opretter forbindelse til den første RelayServer, der reagerer. Hvis en McAfee Agent ikke kan oprette forbindelse til McAfee ePO-serveren, prøver den derefter at oprette forbindelse til den RelayServer, der først reagerede på registreringsmeddelelsen. McAfee Agent registrerer RelayServere på netværket ved hver agent til server-kommunikation og cachelagrer oplysningerne for de første fem entydige RelayServere, som reagerede på registreringsmeddelelsen. Hvis den nuværende RelayServer ikke kan oprette forbindelse til McAfee ePO-serveren eller ikke har den krævede opdatering af indhold, opretter McAfee Agent forbindelse til den næste RelayServer, der er tilgængelig i cachen. På et Windows-klientsystem installeres en ny tjeneste af typen MfeServiceMgr.exe, når relæfunktionen aktiveres via politikken. Start eller stop denne tjeneste for at kontrollere relæfunktionen på klientsystemet. Når McAfee Agent er færdig med at overføre eller hente indhold fra McAfee ePO-serveren, afbryder RelayServeren forbindelsen til McAfee Agent og McAfee ePO-serveren. Vigtige overvejelser • McAfee Agent kræver UDP (User Datagram Protocol) for at registrere RelayServere på netværket. • En RelayServer opretter kun forbindelse til de servere, der er angivet i filen SiteList.xml. Det anbefales, at du inkluderer sitelist.xml for RelayServeren som et oversæt af sitelisterne for alle McAfee Agenter, der er konfigureret til at oprette forbindelse via denne RelayServer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 141 11 Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren Aktivering af relæfunktionen Konfigurer og tildel politikker for at aktivere relæfunktionen på en agent. Hvis du aktiverer et system, der ikke er et Windows-system, som RelayServer, skal du manuelt tilføje en undtagelse for processen cmamesh og porten til tjenestestyring for iptables og ip6tables. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter en gruppe i systemtræet. Alle systemerne i gruppen vises i detaljeruden. 2 Vælg et system, og klik derefter på Handlinger | Agent | Rediger politikker på et enkelt system. Siden Politiktildeling for det pågældende system vises. 3 Vælg McAfee Agent på rullelisten med produkter. Politikkategorierne under McAfee Agent vises sammen med systemets tildelte politik. 4 Hvis politikken er nedarvet, skal du vælge Bryd nedarvning, og tildel nedenstående politik og indstillinger. 5 På rullelisten Tildelt politik skal du vælge en politik af typen Generelt. Fra denne placering kan du også redigere den valgte politik eller oprette en ny politik. 6 Angiv, om politikkens nedarvning skal låses for at forhindre, at systemer, der nedarver denne politik, får tildelt en anden i stedet. 7 På fanen SuperAgent skal du vælge Aktivér RelayServer for at aktivere relæfunktionen. • Kontrollér, at Port til tjenestestyring er konfigureret til 8083. • McAfee anbefaler, at du aktiverer relæfunktionen på virksomhedens netværk. • RelayServere kan ikke oprette forbindelse til McAfee ePO-serverne ved hjælp af proxyindstillinger. 8 Klik på Gem. 9 Send en agentaktivering. • Efter første ASCI opdateres status for RelayServer på siden McAfee Agent-egenskaber eller i McTray-brugergrænsefladen på klientsystemet. • På et Windows-klientsystem gemmes logfilen SvcMgr_<systemnavn>.log under C: \ProgramData\McAfee\Common Framework\DB. Indsamling af statistik for McAfee Agent Kør klientopgaven Statistik for McAfee Agent på administrerede noder for at indsamle statistik for McAfee Agent-hierarkiet. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 142 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren 11 Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter en gruppe i systemtræet. Alle systemerne i gruppen vises i detaljeruden. 2 Vælg et system, og klik derefter på Handlinger | Agent | Rediger opgaver på et enkelt system. De klientopgaver, der er tildelt til det pågældende system, vises. 3 Klik på Handlinger | Ny tildeling af klientopgave. 4 Vælg McAfee Agent på produktlisten, og vælg derefter Statistik for McAfee Agent som Opgavetype. 5 Klik på Opret ny opgave. Siden med den nye klientopgave vises. 6 Vælg den ønskede indstilling, og klik derefter på Gem. Når opgaven er installeret på klientsystemet, og statussen er rapporteret til ePolicy Orchestrator, nulstilles statistikken til 0. Deaktivering af relæfunktion Du kan bruge politikken Generelt til at deaktivere relæfunktionen i McAfee Agent. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter en gruppe i systemtræet. Alle systemerne i gruppen vises i detaljeruden. 2 Vælg det system, som relæfunktionen er aktiveret på, og klik derefter på Handlinger | Agent | Rediger politikker på et enkelt system. Siden Politiktildeling for det pågældende system vises. 3 Vælg McAfee Agent på rullelisten med produkter. Politikkategorierne under McAfee Agent vises sammen med systemets tildelte politik. 4 Vælg den politik af typen Generelt, som håndhæves på klientsystemet, på rullelisten Tildelt politik. 5 På fanen SuperAgent skal du fjerne markeringen ud for Aktivér RelayServer for at deaktivere relæfunktionen på klientsystemet. 6 Klik på Gem. 7 Send en agentaktivering. Reaktion på politikhændelser Konfigurer en automatisk reaktion i ePolicy Orchestrator, der er filtreret, så du kun får vist politikhændelser. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Automatiske reaktioner for at åbne siden Automatiske reaktioner. 2 Klik på Handlinger | Ny reaktion. 3 Angiv et Navn til reaktionen og eventuelt en Beskrivelse. 4 Vælg Meddelelse om ePO-hændelser for Hændelsesgruppe og Klient, Trussel eller Server for Hændelsestype. 5 Klik på Aktiveret for at aktivere reaktionen, og klik på Næste. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 143 11 Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren 6 Vælg Beskrivelse af hændelse under Tilgængelige egenskaber. 7 Klik på ... i rækken Beskrivelse af hændelse, og vælg en af følgende indstillinger: • Agenten kunne ikke indsamle egenskaber fra mindst et punktprodukt – Denne hændelse oprettes og videresendes, når der opstår en fejl ved indsamling af egenskaber første gang. Der oprettes ikke en efterfølgende hændelse. Hvert punktprodukt, der mislykkes, genererer en separat hændelse. • Agenten kunne ikke håndhæve politikken på mindst et punktprodukt – Denne hændelse oprettes og videresendes, når der opstår en fejl ved håndhævelse af politikken første gang. Der oprettes ikke en efterfølgende hændelse. Hvert punktprodukt, der mislykkes, genererer en separat hændelse. 8 Angiv de resterende oplysninger i filteret efter behov, og klik på Næste. 9 Vælg indstillingerne Sammenlægning, Gruppering og Begrænsning efter behov. 10 Vælg en handlingstype, og angiv en funktionsmåde, afhængigt af handlingstypen, og klik derefter på Næste. 11 Gennemse den sammenfattede funktionsmåde for reaktionen. Klik på Gem, hvis den er korrekt. Den automatiske reaktion udfører den beskrevne handling, når der indtræffer en politikhændelse. Kørsel af klientopgaver med det samme Når ePolicy Orchestrator kommunikerer med McAfee Agent, kan du køre klientopgaver straks ved hjælp af handlingen Kør klientopgave nu. I McAfee Agent sættes opgaver i kø, når de planlægges til kørsel, i stedet for at blive kørt med det samme. Selvom en opgave sættes i kø med det samme, bliver den kun kørt, hvis der ikke er andre opgaver foran i køen. Opgaver, der oprettes i proceduren Kør klientopgave nu, køres, og derefter slettes opgaven fra klienten, når den er fuldført. Kør klientopgave nu understøttes kun af Windows-klientsystemer. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ. 2 Vælg et eller flere systemer, som en opgave skal køres på. 3 Klik på Handlinger | Agent | Kør klientopgave nu. 4 Vælg Produkt som McAfee Agent og Opgavetype. 5 Hvis du vil køre en eksisterende opgave, skal du klikke på Opgavenavn og derefter klikke på Kør opgave nu. 6 Hvis du vil definere en ny opgave, skal du klikke på Opret ny opgave. a Angiv de oplysninger, der er relevante for den opgave, du opretter. Hvis du opretter en opgave af typen McAfee Agent Produktinstallation eller Produktopdatering under denne procedure, er en af de tilgængelige indstillinger Kør ved hver håndhævelse af politik. Denne indstilling har ingen effekt, da opgaven slettes, når den er fuldført. Siden Status på kørsel af klientopgave vises og angiver tilstanden for alle opgaver, der kører. Når opgaverne er fuldført, vises resultaterne i overvågningsloggen og loggen over serveropgaver. 144 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren 11 Søgning efter inaktive agenter En inaktiv agent er en agent, som ikke har kommunikeret med McAfee ePO-serveren i en brugerdefineret tidsperiode. Nogle agenter kan være deaktiveret eller afinstalleret af brugere. I andre tilfælde kan det system, der er vært for agenten, være blevet fjernet fra netværket. McAfee anbefaler regelmæssige ugentlige søgninger efter systemer med disse inaktive agenter. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter. 2 Vælg den delte gruppe McAfee Agent på listen Grupper. 3 Klik på Kør i rækken Inaktive agenter for at køre forespørgslen. Standardkonfigurationen af denne forespørgsel finder systemer, der ikke har kommunikeret med McAfee ePO-serveren i den seneste måned. Du kan angive timer, dage, uger, kvartaler eller år. Når du finder inaktive agenter, skal du gennemgå deres aktivitetslogfiler for problemer, som kan hindre agent til server-kommunikationen. Forespørgselsresultaterne giver mulighed for en lang række handlinger med henblik på de identificerede systemer, herunder at pinge, slette, aktivere og geninstallere en agent. Windows-system og produktegenskaber, der rapporteres af agenten McAfee Agent rapporterer systemegenskaber til ePolicy Orchestrator fra de administrerede systemer. Egenskaberne varierer efter operativsystem. Egenskaberne på listen rapporteres af Windows. Systemegenskaber Listen indeholder de systemdata, der rapporteres til ePolicy Orchestrator af operativsystemerne for noderne. Gennemse oplysningerne på systemet, inden du konkluderer, at systemegenskaberne er rapporteret forkert. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 145 11 Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren GUID til agent Er et 64-bit OS Version af operativsystem CPU-serienummer Seneste sekvensfejl Sekvensfejl CPU-hastighed (MHz) Er en bærbar computer Servernøgle CPU-type Seneste kommunikation Undernetværksadresse Brugerdef. egenskaber 1-4 MAC-adresse Undernetværksmaske Kommunikationstype Administreret tilstand Systembeskrivelse Standardsprog Administrationstype Systemplacering Beskrivelse Antal CPU'er Systemnavn DNS-navn Operativsystem Sortering af systemtræ Domænenavn OS-buildnummer Koder Udeladte koder Identifikator for OEM-operativsystemet Tidszone Ledig diskplads OS-platform Skal overføres Ledig hukommelse OS-servicepakkeversion Samlet diskplads Ledig plads på systemdrevet OS-type Samlet fysisk hukommelse Installerede produkter Forbrugt diskplads IP-adresse Brugernavn IPX-adresse VDI Agentegenskaber Hvert McAfee-produkt angiver de egenskaber, der rapporteres til ePolicy Orchestrator, og hvilke af disse egenskaber der er omfattet af et sæt minimumegenskaber. På listen vises de typer produktdata, der rapporteres til ePolicy Orchestrator af den McAfee-software, der er installeret på systemet. Hvis du finder fejl i de rapporterede værdier, skal du gennemgå oplysningerne for produkterne, før du konkluderer, at de er forkert rapporteret. GUID til agent Installeret sti Hashnøgle til sikker agent til server-kommunikation Sprog Interval for agent til server-kommunikation Status for seneste håndhævelse af politik Agentaktivering Status for seneste egenskabssamling Kommunikationsport til agentaktivering Licensstatus Klyngenode Spørg brugeren, når der kræves en genstart Tilstand af klyngetjeneste Interval for håndhævelse af politik Klyngenavn Produktversion Klyngevært Plug-in-version Klyngemedlemsnoder Kør nu understøttes Sti til klyngens quorum-ressource Servicepakke Klyngens IP-adresse Vis McAfee-proceslinjeikon DAT-version RelayServer Programversion SuperAgent-funktionalitet Håndhæv automatisk genstart efter SuperAgent-lager Version af hotfix/programrettelse SuperAgent-lagermappe Kommunikationsport for SuperAgentaktivering 146 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Agent til server-kommunikation Arbejde med agenten fra McAfee ePO-serveren 11 Visning af McAfee Agent- og produktegenskaber En almindelig fejlfindingsopgave går ud på at bekræfte, at de ændringer af politikkerne, du foretog, stemmer overens med de egenskaber, der hentes fra et system. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ. 2 Klik på den pil, der svarer til det system, du vil undersøge, på fanen Systemer. Der vises oplysninger om systemets egenskaber, installerede produkter og agent. Øverst på siden Systemoplysninger finder du vinduerne Oversigt, Egenskaber og Trusselshændelser. Her finder du også fanerne Systemegenskaber, Produkter, Trusselshændelser, McAfee Agent og Relaterede elementer. Forespørgsler leveret af McAfee Agent McAfee Agent føjer et antal standardforespørgsler til dit ePolicy Orchestrator-miljø. Følgende forespørgsler installeres i den delte gruppe for McAfee Agent. Tabel 11-1 Forespørgsler leveret af McAfee Agent Forespørgsel Beskrivelse Oversigt over agentkommunikation Et cirkeldiagram over administrerede systemer, som angiver, om agenterne har kommunikeret med McAfee ePO-serveren inden for den seneste dag. Status for agenthandler Et cirkeldiagram med status for agenthandlerkommunikation inden for den seneste time. Oplysninger om agentstatistik Et søjlediagram, hvor følgende agentstatistik vises: • Antal mislykkede forbindelser til RelayServer • Antal forsøg på at oprette forbindelse til RelayServer efter det maksimalt antal tilladte forbindelser • Den netværksbåndbredde, der spares ved brug af SuperAgent-hierarkiet Oversigt over agentversion Et cirkeldiagram over installerede agenter efter versionsnummer på administrerede systemer. Inaktive agenter En tabel, som viser alle administrerede systemer, hvis agenter ikke har kommunikeret inden for den seneste måned. Administrerede noder med fejl i Et søjlediagram over enkelt gruppe, der viser det maksimalt antal håndhævelse af politikker for administrerede noder, som er angivet i guiden punktprodukter Forespørgselsgenerator, med mindst én fejl i forbindelse med håndhævelse af politik. Du kan sende forespørgsler om fejl i forbindelse med håndhævelse af politikker for administrerede produkter på McAfee ePO-serveren 5.0 eller nyere. Administrerede noder med fejl i Et søjlediagram over enkelt gruppe, der viser det maksimalt antal forbindelse med administrerede noder, som er angivet i guiden Forespørgselsgenerator, egenskabssamling for med mindst én fejl i forbindelse med egenskabssamling. punktprodukter Du kan sende forespørgsler om fejl i forbindelse med egenskabssamling for administrerede produkter på McAfee ePO-serveren 5.0 eller nyere. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 147 11 Agent til server-kommunikation Administrer agent til server-kommunikation Tabel 11-1 Forespørgsler leveret af McAfee Agent (fortsat) Forespørgsel Beskrivelse Lagre og udnyttelse i procent Et cirkeldiagram, der viser individuel lagerudnyttelse som en procentdel af alle lagre. Lagerudnyttelse baseret på DAT- og programforbrug Et stablet søjlediagram, som viser DAT- og programforbruget pr. lager. Systemer pr. agenthandler Et cirkeldiagram, som viser antallet af administrerede systemer pr. agenthandler. Administrer agent til server-kommunikation Rediger ePolicy Orchestrator-indstillinger for at tilpasse agent til server-kommunikation til dit miljø. Tilladelse af cachelagring af legitimationsoplysninger til installation af agent Administratorer skal angive legitimationsoplysninger for at kunne installere agenter fra McAfee ePO-serveren på systemer på netværket. Du kan vælge, om legitimationsoplysninger til installation af agent skal cachelagres for hver bruger. Når en brugers legitimationsoplysninger cachelagres, kan brugeren installere agenter uden at skulle angive dem igen. Legitimationsoplysninger cachelagres pr. bruger, så en brugere, der ikke tidligere har angivet legitimationsoplysninger, kan ikke installere agenter uden først at angive sine legitimationsoplysninger. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Legitimationsoplysninger til installation af agent i Indstillingskategorier, og klik derefter på Rediger. 2 Markér afkrydsningsfeltet for at tillade cachelagring af legitimationsoplysningerne til installation af agent. Ændring af porte til agentkommunikation Dette er den port, som agenten bruger til at kommunikere med McAfee ePO-serveren. Du kan ændre indstillingerne for disse porte til agentkommunikation: • Sikker port til agent til server-kommunikation • Kommunikationsport til agentaktivering • Kommunikationsport til agentbroadcast Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 148 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Porte i Indstillingskategorier, og klik derefter på Rediger. 2 Vælg, om port 443 skal aktiveres som sikker port for agent til server-kommunikation, skriv de porte, der skal bruges til agentaktivering og agentbroadcasts, og klik derefter på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 12 Sikkerhedsnøgler Sikkerhedsnøgler anvendes til at kontrollere og godkende kommunikation og indhold i det ePolicy Orchestrator-administrerede miljø. Indhold Sikkerhedsnøgler og deres funktion Hovedlagernøglepar Andre offentlige nøgler til lager Administration af lagernøgler Nøgler til sikker agent til server-kommunikation (ASSC) Sikkerhedskopiering og gendannelse af nøgler Sikkerhedsnøgler og deres funktion McAfee ePO-serveren anvender tre sikkerhedsnøglepar. De tre sikkerhedspar bruges til: • Godkendelse af agent til server-kommunikation • Bekræftelse af indholdet i lokale lagre • Bekræftelse af indholdet i eksterne lagre. Den hemmelige nøgle for hvert par signerer meddelelser eller pakker ved deres kilde, mens parrets offentlige nøgle bekræfter meddelelserne eller pakkerne ved deres destination. Nøgler til sikker agent til server-kommunikation (ASSC) • Første gang agenten kommunikerer med serveren, sender agenten sin offentlige nøgle til serveren. • Herefter bruger serveren den offentlige agentnøgle til at bekræfte meddelelser, der er signeret med agentens hemmelige nøgle. • Serveren bruger sin egen hemmelige nøgle til at signere meddelelser til agenten. • Agenten bruger serverens offentlige nøgle til at bekræfte serverens meddelelse. • Du kan have flere sikre nøglepar for kommunikation, men kun én nøgle kan angives som hovednøgle. • Når opdateringsopgaven for klientagentnøgler køres (McAfee ePO Agent Key Updater), modtager agenter, der bruger forskellige offentlige nøgler, den nuværende offentlige nøgle. • Når du opgraderer, overføres eksisterende nøgler til McAfee ePO-serveren. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 149 12 Sikkerhedsnøgler Hovedlagernøglepar Lokale hovedlagernøglepar • Den hemmelige lagernøgle signerer pakken, før den tjekkes ind i lageret. • Den offentlige nøgle til lageret bekræfter indholdet i lagerpakkerne. • Agenten henter det tilgængelige nye indhold, hver gang klienten opdaterer opgavekørsler. • Dette nøglepar er entydigt for hver server. • Når du eksporterer og importerer nøgler mellem servere, kan du bruge det samme nøglepar i et miljø med flere servere. Andre lagernøglepar • Den hemmelige nøgle for en kilde, der er tillid til, signerer indholdet, når det sendes til det eksterne lager. Kilder, der er tillid til, omfatter McAfee-overførselswebstedet og McAfee Security Innovation Alliance-lageret (SIA). Hvis denne nøgle slettes, kan du ikke foretage et træk, selvom du importerer en nøgle fra en anden server. Før du overskriver eller sletter denne nøgle, skal du sikkerhedskopiere den til en sikker placering. • Den offentlige McAfee Agent-nøgle bekræfter det indhold, der hentes fra det eksterne lager. Hovedlagernøglepar Den private nøgle til hovedlageret signerer alt usigneret indhold i hovedlageret. Denne nøgle er en funktion i agenter i version 4.0 og nyere. Agenter med version 4.0 og senere bruger den offentlige nøgle til at kontrollere det lagerindhold, der stammer fra hovedlageret på denne McAfee ePO-server. Hvis indholdet er usigneret eller signeret med en ukendt privat nøgle til hovedlageret, anses det hentede indhold for at være ugyldigt og slettes. Dette nøglepar er entydigt for hver serverinstallation. Men ved at eksportere og importere nøgler kan du bruge det samme nøglepar i et miljø med flere servere. Når du gør det, sikrer du, at agenter altid kan oprette forbindelse til en af dine hovedlagre, selv når et anden lager er nede. Andre offentlige nøgler til lager Alle nøgler bortset fra hovednøgleparret er offentlige nøgler, som agenterne bruger til at kontrollere indhold fra andre hovedlagre i miljøet eller fra McAfee-kildewebsteder. Hver agent, der rapporterer til denne server, bruger nøglerne på listen Andre offentlige nøgler til lager til at kontrollere indhold, der stammer fra andre McAfee ePO-servere i organisationen eller fra McAfee-ejede kilder. Hvis en agent henter indhold, der stammer fra en kilde, som agenten ikke har den relevante offentlige nøgle til, sletter agenten indholdet. Disse nøgler er en ny funktion, og de nye protokoller kan kun anvendes af agenter med version 4.0 eller senere. Administration af lagernøgler Du kan administrere lagernøgler ved hjælp af disse opgaver. 150 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Sikkerhedsnøgler Administration af lagernøgler 12 Opgaver • Brug af et hovedlagernøglepar for alle servere på side 151 Du kan sikre, at alle McAfee ePO-servere og -agenter bruger det samme hovedlagernøglepar i et miljø med mange servere. • Brug af hovedlagernøgler i miljøer med flere servere på side 151 Sørg for, at agenterne kan bruge indhold, der stammer fra en hvilken som helst McAfee ePO-server i dit miljø, ved hjælp af Serverindstillinger. Brug af et hovedlagernøglepar for alle servere Du kan sikre, at alle McAfee ePO-servere og -agenter bruger det samme hovedlagernøglepar i et miljø med mange servere. Du skal først eksportere det relevante nøglepar, som alle servere skal benytte, og derefter importere nøgleparret til alle servere i miljøet. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Sikkerhedsnøgler på listen Indstillingskategorier, og klik derefter på Rediger. Siden Rediger sikkerhedsnøgler vises. 2 Ud for Lokale hovedlagernøglepar skal du klikke på Eksportér nøglepar. 3 Klik på OK. Dialogboksen Filoverførsel vises. 4 Klik på Gem, gå til en placering, der er tilgængelig for de andre servere, hvor ZIP-filen, der indeholder nøglefilerne til sikker kommunikation, skal gemmes. Klik derefter på Gem. 5 Ud for Importér og sikkerhedskopiér nøgler skal du klikke på Importér. 6 Gå til den zip-fil, der indeholder de eksporterede hovedlagernøglefiler, og klik derefter på Næste. 7 Bekræft, at det er disse nøgler, du vil importere, og klik derefter på Gem. Det importerede hovedlagernøglepar erstatter det eksisterende nøglepar på denne server. Agenter begynder at bruge det nye nøglepar efter kørsel af den næste agentopdateringsopgave. Når hovedlagernøgleparret er blevet ændret, skal ASSC udføres, før agenten kan bruge den nye nøgle. Brug af hovedlagernøgler i miljøer med flere servere Sørg for, at agenterne kan bruge indhold, der stammer fra en hvilken som helst McAfee ePO-server i dit miljø, ved hjælp af Serverindstillinger. Serveren signerer alt usigneret indhold, der tjekkes ind i lageret, med den private nøgle til hovedlageret. Agenter bruger offentlige nøgler til lager til at godkende indhold, der hentes fra lagre i organisationen eller fra McAfees kildewebsteder. Hovedlagernøgleparret er entydigt for hver installation af ePolicy Orchestrator. Hvis du bruger flere servere, bruger serverne forskellige nøgler. Hvis agenterne kan hente indhold, der stammer fra forskellige hovedlagre, skal du sikre, at agenterne genkender indholdet som gyldigt. Det kan du gøre på to måder: • Brug det samme hovedlagernøglepar til alle servere og agenter. • Sørg for, at agenterne er konfigureret til at genkende enhver offentlig nøgle til lager, der benyttes i miljøet. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 151 12 Sikkerhedsnøgler Nøgler til sikker agent til server-kommunikation (ASSC) Med denne opgave eksporteres nøgleparret fra én McAfee ePO-server til en McAfee ePO-destinationsserver, og derefter importeres og overskrives det eksisterende nøglepar på McAfee ePO-destinationsserveren. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 På McAfee ePO-serveren med hovedlagernøgleparret skal du klikke på Menu | Konfiguration | Serverindstillinger, vælge Sikkerhedsnøgler på listen Indstillingskategorier og derefter klikke på Rediger. 2 Ud for Lokalt hovedlagernøglepar skal du klikke på Eksportér nøglepar og derefter klikke på OK. 3 I dialogboksen Filoverførsel skal du klikke på Gem. 4 Find en placering på McAfee ePO-destinationsserveren for at gemme .zip-filen. Ret eventuelt navnet, og klik på Gem. 5 På den McAfee ePO-destinationsserver, du vil indlæse hovedlagernøgleparret på, skal du klikke på Menu | Konfiguration | Serverindstillinger, vælge Sikkerhedsnøgler på listen Indstillingskategorier og derefter klikke på Rediger. 6 På siden Rediger sikkerhedsnøgler: a Ud for Importér og sikkerhedskopiér nøgler skal du klikke på Importér. b Find og vælg den gemte fil med hovednøgleparret ud for Vælg fil, og klik derefter på Næste. c Hvis oversigtsoplysningerne er korrekte, skal du klikke på Gem. Det nye hovednøglepar vises på listen ud for Nøgler til sikker agent til server-kommunikation. 7 Vælg den fil, du importerede i de forrige trin, på listen, og klik derefter på Brug som hovednøgle. Dette ændrer det eksisterende hovednøglepar til det nye nøglepar, du lige importerede. 8 Klik på Gem for at fuldføre processen. Nøgler til sikker agent til server-kommunikation (ASSC) Agenter bruger ASSC-nøgler til sikker kommunikation med serveren. Du kan gøre alle ASSC-nøglepar til hovednøglepar, som er det nøglepar, der aktuelt er tildelt til alle installerede agenter. Eksisterende agenter, der bruger andre nøgler på listen Nøgler til sikker agent til server-kommunikation, skifter ikke til den nye hovednøgle, medmindre der er planlagt og kørt en nøgleopdateringsopgave for klientagenten. Vent, indtil alle agenter er opdateret til den nye hovednøgle, før ældre nøgler slettes. Windows-agenter, som er ældre end version 4.0, understøttes ikke. Administration af ASSC-nøgler Generér, eksportér, importér eller slet nøgler til sikker agent til server-kommunikation (ASSC) fra siden Serverindstillinger. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 152 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Sikkerhedsnøgler Nøgler til sikker agent til server-kommunikation (ASSC) 12 Opgave 1 2 Åbn siden Rediger sikkerhedsnøgler. a Klik på Menu | Konfiguration | Serverindstillinger. b På listen Indstillingskategorier skal du vælge Sikkerhedsnøgler. Vælg en af disse handlinger. Handling Trin Generér og brug nye ASSC-nøglepar Generér nye ASSC-nøglepar. 1 Ud for listen Nøgler til sikker agent til server-kommunikation skal du klikke på Ny nøgle. Skriv navnet på sikkerhedsnøglen i dialogboksen. 2 Hvis de eksisterende agenter skal bruge den nye nøgle, skal du vælge nøglen på listen og derefter klikke på Brug som hovednøgle. Agenter begynder at bruge den nye nøgle, når den næste opdateringsopgave for McAfee Agent er fuldført. Kontrollér, at der er en opdateringspakke for agentnøglen for hver version af McAfee Agent, som McAfee ePO-serveren administrerer. Hvis McAfee ePO-serveren f.eks. administrerer 4.6-agenter, skal du kontrollere, at opdateringspakken for 4.6-agentnøglen er blevet tjekket ind i hovedlageret. I forbindelse med store installationer bør du kun generere og bruge nye hovednøglepar, hvis der er en bestemt årsag til det. Det anbefales, at du udfører denne procedure i faser, så du kan overvåge processen nøje. 3 Slet den gamle nøgle, når den ikke længere bruges af nogen af agenterne. Det antal agenter, der bruger en nøgle, vises til højre for hver nøgle på listen over nøgler. 4 Sikkerhedskopiér alle nøgler. Eksportér ASSC-nøgler Eksportér ASSC-nøgler fra én McAfee ePO-server til en anden McAfee ePO-server, så agenterne kan få adgang til den nye McAfee ePO-server. 1 På listen Nøgler til sikker agent til server-kommunikation skal du vælge en nøgle og derefter klikke på Eksportér. 2 Klik på OK. I browseren bliver du bedt om at udføre handlingen til overførsel af filen sr<ServerName>.zip til den angivne placering. Hvis du har angivet en standardplacering for alle browseroverførsler, gemmes denne fil muligvis automatisk på denne placering. Importér ASSC-nøgler Importér ASSC-nøgler, der blev eksporteret fra en anden McAfee ePO-server. Denne procedure giver agenterne fra den pågældende server adgang til denne McAfee ePO-server. 1 Klik på Importér. 2 Find og vælg nøglen på den placering, hvor du har gemt den (som standard på skrivebordet), og klik derefter på Åbn. 3 Klik på Næste, og gennemse oplysningerne på siden Importér nøgler. 4 Klik på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 153 12 Sikkerhedsnøgler Nøgler til sikker agent til server-kommunikation (ASSC) Handling Trin Angiv et ASSC-nøglepar som hovednøglepar Skift det nøglepar fra listen Nøgler til sikker agent til server-kommunikation, der er angivet som hovednøglepar. Angiv et hovednøglepar, når du har importeret eller genereret et nyt nøglepar. 1 Vælg en nøgle på listen Nøgler til sikker agent til server-kommunikation, og klik derefter på Brug som hovednøgle. 2 Opret en opdateringsopgave, som agenterne kan køre med det samme, så agenterne opdateres efter den næste agent til server-kommunikation. Kontrollér, at opdateringspakken for agentnøglen er tjekket ind i ePolicy Orchestrator-hovedlageret. Agenterne begynder at bruge det nye nøglepar, når den næste opdateringsopgave for McAfee Agent er fuldført. Du kan når som helst se, hvilke agenter der bruger hvilke ASSC-nøglepar på listen. 3 Sikkerhedskopiér alle nøgler. Slet ASSC-nøgler Slet ikke nøgler, der bruges af agenter i øjeblikket. Hvis du gør det, kan disse agenter ikke kommunikere med McAfee ePO-serveren. 1 På listen Nøgler til sikker agent til server-kommunikation skal du vælge den nøgle, du vil fjerne, og derefter klikke på Slet. 2 Klik på OK for at slette nøgleparret fra denne server. Visning af systemer, der bruger et ASSC-nøglepar Du kan få vist de systemer, hvis agenter bruger et bestemt nøglepar til sikker agent til server-kommunikation på listen Nøgler til sikker agent til server-kommunikation. Når du har oprettet et bestemt hovednøglepar, vil du måske have vist de systemer, der stadigvæk benytter det tidligere nøglepar. Du må ikke slette et nøglepar, før du ved, at der ikke er nogen agenter, der stadigvæk bruger det. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Sikkerhedsnøgler fra listen Indstillingskategorier, og klik derefter på Rediger. 2 Vælg en nøgle på listen Nøgler til sikker agent til server-kommunikation, og klik derefter på Vis agenter. Siden Systemer, som bruger denne nøgle viser alle systemer, hvis agenter bruger den valgte nøgle. Brug af det samme ASSC-nøglepar for alle servere og agenter Kontrollér, at alle McAfee ePO-servere og -agenter bruger det samme nøglepar til sikker agent til server-kommunikation (ASSC). Hvis du har et stort antal administrerede systemer i miljøet, anbefaler McAfee, at du udfører denne proces i faser, så du kan overvåge agentopdateringerne. Opgave 154 1 Opret en agentopdateringsopgave. 2 Eksportér de valgte nøgler fra den valgte McAfee ePO-server. 3 Importér de eksporterede nøgler til alle andre servere. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Sikkerhedsnøgler Sikkerhedskopiering og gendannelse af nøgler 4 Angiv den importerede nøgle som hovednøglen på alle servere. 5 Udfør to agentaktiveringer. 6 Når alle agenter bruger de nye nøgler, skal du slette de nøgler, der ikke benyttes. 7 Sikkerhedskopiér alle nøgler. 12 Brug af et andet ASSC-nøglepar for hver McAfee ePO-server Du kan bruge et andet ASSC-nøglepar for hver McAfee ePO-server for at sikre, at alle agenter kan kommunikere med de nødvendige McAfee ePO-servere i et miljø, hvor hver server skal have et unikt nøglepar til sikker agent til server-kommunikation. Agenter kan kun kommunikere med én server ad gangen. McAfee ePO-serveren kan have flere nøgler til kommunikation med forskellige agenter, men det modsatte er ikke tilfældet. Agenter kan ikke have flere nøgler til kommunikation med flere McAfee ePO-servere. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Eksportér hovednøgleparret til sikker agent til server-kommunikation til en midlertidig placering fra hver McAfee ePO-server. 2 Importér hvert af disse nøglepar til alle McAfee ePO-servere. Sikkerhedskopiering og gendannelse af nøgler Sikkerhedskopiér regelmæssigt alle sikkerhedsnøgler, og opret altid en sikkerhedskopi, før du ændrer indstillingerne for administration af nøglen. Gem sikkerhedskopien på en sikker netværksplacering, så nøglerne nemt kan gendannes, hvis nogle af dem mod forventning skulle gå tabt på McAfee ePO-serveren. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Sikkerhedsnøgler på listen Indstillingskategorier, og klik derefter på Rediger. Siden Rediger sikkerhedsnøgler vises. 2 Vælg en af disse handlinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 155 12 Sikkerhedsnøgler Sikkerhedskopiering og gendannelse af nøgler Handling Trin Sikkerhedskopiér alle sikkerhedsnøgler. 1 Klik på Sikkerhedskopiér alle nederst på siden. Dialogboksen Sikkerhedskopiér nøglebutik vises. 2 Du kan vælge at angive en adgangskode til kryptering af nøglebutikkens ZIP-fil, eller du kan klikke på OK for at gemme filerne som ukrypteret tekst. 3 Klik på Gem i dialogboksen Filoverførsel for at oprette en ZIP-fil med alle sikkerhedsnøgler. Dialogboksen Gem som vises. 4 Find en sikker netværksplacering, hvor du kan gemme ZIP-filen, og klik derefter på Gem. Gendan sikkerhedsnøgler. 1 Klik på Gendan alle nederst på siden. Siden Gendan sikkerhedsnøgler vises. 2 Find ZIP-filen med sikkerhedsnøglerne, markér den, og klik på Næste. Guiden Gendan sikkerhedsnøgler åbnes på siden Oversigt. 3 Find de nøgler, du vil erstatte de eksisterende nøgler med, og klik derefter på Næste. 4 Klik på Gendan. Siden Rediger sikkerhedsnøgler vises igen. 5 Find en sikker netværksplacering, hvor du kan gemme ZIP-filen, og klik derefter på Gem. Gendan sikkerhedsnøgler fra en sikkerhedskopi 1 Klik på Gendan alle nederst på siden. Siden Gendan sikkerhedsnøgler vises. 2 Find ZIP-filen med sikkerhedsnøglerne, markér den, og klik på Næste. Guiden Gendan sikkerhedsnøgler åbnes på siden Oversigt. 3 Find og markér ZIP-filen med sikkerhedskopien, og klik derefter på Næste. 4 Klik på Gendan alle nederst på siden. Guiden Gendan sikkerhedsnøgler åbnes. 5 Find og markér ZIP-filen med sikkerhedskopien, og klik derefter på Næste. 6 Kontrollér, at nøglerne i denne fil er de nøgler, der skal overskrive de eksisterende nøgler, og klik derefter på Gendan alle. 156 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 13 Softwarestyring Brug Softwarestyring til at gennemse og hente McAfee-software og -softwarekomponenter. Indhold Hvad er Softwarestyring? Tjek ind, opdater og fjern software med Softwarestyring Tjek af produktkompatibilitet Hvad er Softwarestyring? Softwarestyring fjerner behovet for at få adgang til overførselsstedet for McAfee-produkter for at hente ny McAfee-software og nye softwareopdateringer. Du kan bruge Softwarestyring til at hente: • Software, der er givet i licens • Evalueringssoftware • Softwareopdateringer • Produktdokumentation DAT-filer og programmer er ikke tilgængelige fra Softwarestyring. Software, der er givet i licens Software, der er givet i licens, er software, som din organisation har købt hos McAfee. Når du får vist Softwarestyring i konsollen ePolicy Orchestrator, vises al software, der er givet i licens til virksomheden, og som ikke allerede er blevet installeret på serveren, i produktkategorien Software, der ikke er tjekket ind. Det tal, der vises ud for hver underkategori på listen Produktkategorier, angiver, hvor mange produkter der er tilgængelige. Evalueringssoftware Evalueringssoftware er software, som organisationen endnu ikke har en licens til. Du kan installere evalueringssoftware på serveren, men der kan være begrænset funktionalitet, indtil du køber en produktlicens. Softwareopdateringer Når en ny opdatering til den software, du bruger, udgives, kan du bruge Softwarestyring til at tjekke nye pakker og udvidelser ind. Tilgængelige softwareopdateringer vises i kategorien Der er tilgængelige opdateringer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 157 13 Softwarestyring Tjek ind, opdater og fjern software med Softwarestyring Produktdokumentation Du kan få adgang til ny og opdateret produktdokumentation fra Softwarestyring. Udvidelser af hjælp kan installeres automatisk. PDF- og HTML-dokumentation som f.eks. produktvejledninger og produktbemærkninger kan også hentes fra Softwarestyring. Om afhængigheder i softwarekomponenter Mange af de softwareprodukter, du kan installere til brug sammen med McAfee ePO-serveren, har foruddefinerede afhængigheder af andre komponenter. Afhængigheder for produktudvidelser installeres automatisk. For alle andre produktkomponenter skal du gennemse listen med afhængigheder på siden med komponentoplysninger og installere dem først. Tjek ind, opdater og fjern software med Softwarestyring Med Softwarestyring er det muligt at indtjekke, opdatere og fjerne administrerede produktkomponenter fra serveren. Softwarestyring understøtter både software med licens og evalueringssoftware. Softwarens tilgængelighed – og hvor vidt den tilhører kategorien Med licens eller Evaluering – afhænger af din licensnøgle. Du kan få flere oplysninger ved at kontakte administratoren. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Software | Softwarestyring. 2 På siden Softwarestyring skal du vælge en af følgende kategorier på listen Produktkategorier eller bruge søgefeltet til at finde din software: • Tilgængelige opdateringer – Viser eventuelle tilgængelige opdateringer til softwarekomponenter, der er givet i licens, og som allerede er installeret eller tjekket ind på McAfee ePO-servereren. • Indtjekket software – Viser al software (både Med licens og Evaluering), som er installeret eller tjekket ind på denne server. Hvis du for nylig har tilføjet licensen for et produkt, og den vises som Evaluering, skal du klikke på Opdater for at opdatere antallet af licenser og få vist produktet som Med licens under Indtjekket software. 3 4 158 • Software, der ikke er tjekket ind – viser eventuel software, som er tilgængelig, men ikke installeret på denne server. • Software (efter mærke) – viser software efter funktion som beskrevet af McAfee-produktsuites. Når du har fundet den korrekte software, skal du klikke på: • Hent for at hente produktdokumentation til en placering på netværket. • Tjek ind for at indtjekke en produktudvidelse eller -pakke på denne server. • Opdater for at opdatere en pakke eller udvidelse, som er installeret eller tjekket ind på denne server. • Fjern for at afinstallere en pakke eller udvidelse, som er installeret eller tjekket ind på denne server. Læs og accepter produktoplysningerne og slutbrugerlicensaftalen (EULA) på siden Oversigt over indtjekket software, og klik derefter på OK for at gennemføre handlingen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Softwarestyring Tjek af produktkompatibilitet 13 Tjek af produktkompatibilitet Du kan konfigurere et produktkompatibilitetstjek til automatisk at hente en produktkompatibilitetsliste fra McAfee. På denne liste findes produkter, der ikke længere er kompatible i dit ePolicy Orchestrator-miljø. ePolicy Orchestrator udfører dette tjek, hver gang installationen og start af en udvidelse kan medføre, at serveren er i en uønsket tilstand. Tjekket udføres i følgende situationer: • Under en opgradering fra en tidligere version af ePolicy Orchestrator til 5.1 eller nyere. • Når der installeres en udvidelse via menuen Udvidelser. • Før der hentes en ny udvidelse fra Softwarestyring. • Når der modtages en ny kompatibilitetsliste fra McAfee. • Når værktøjet til dataoverførsel kører. Se flere oplysninger i McAfee ePolicy Orchestrator Installationsvejledningen til 5.1.0-softwaren. Produktkompatibilitetstjek Dette produktkompatibilitetstjek bruger en XML-fil, der kaldes for produktkompatibilitetsliste, til at bestemme, hvilke produktudvidelser der er kendt for ikke at være kompatible med en version af ePolicy Orchestrator. Der medfølger en foreløbig liste i den ePolicy Orchestrator-softwarepakke, der hentes fra McAfee-webstedet. Når du kører installationen af ePolicy Orchestrator under en installation eller opgradering, henter ePolicy Orchestrator automatisk den nyeste liste over kompatible udvidelser via internettet fra en McAfee-kilde, der er tillid til. Hvis internetkilden ikke er tilgængelig, eller hvis listen ikke kan bekræftes, bruger ePolicy Orchestrator den nyeste tilgængelige version. McAfee ePO-serveren opdaterer produktkompatibilitetslisten, som er en lille fil, i baggrunden én gang om dagen. Afhjælpning Når du får vist listen over inkompatible udvidelser via installationsprogrammet eller ePolicy Orchestrator hjælpeprogrammet til undersøgelse af opgraderingskompatibilitet, får du besked, hvis der findes en kendt erstatningsudvidelse. I nogle tilfælde under en opgradering: • Blokerer en udvidelse opgraderingen og skal fjernes eller erstattes, før opgraderingen kan fortsættes. • Er en udvidelse deaktiveret, men du skal opdatere udvidelsen, når opgraderingen af ePolicy Orchestrator er fuldført. Du kan finde flere oplysninger under Blokerede eller deaktiverede udvidelser. Deaktivering af automatiske opdateringer Det kan være en god idé at deaktivere de automatiske opdateringer af produktkompatibilitetslisten for at undgå, at nye lister hentes. Denne hentning sker som en del af en baggrundsopgave, eller når indhold i Softwarestyring opdateres. Indstillingen er specielt nyttig, når McAfee ePO-serveren ikke har indgående internetadgang. Du kan finde flere oplysninger i Ændring af overførsel af produktkompatibilitetsliste. Hvis indstillingen for overførsel af produktkompatibilitetslisten genaktiveres, vil du se under Softwarestyring, at automatiske opdateringer af produktkompatibilitetslisten også genaktiveres. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 159 13 Softwarestyring Tjek af produktkompatibilitet Brug af en manuelt hentet produktkompatibilitetsliste Det kan være en god idé at bruge en manuelt hentet produktkompatibilitetsliste, hvis McAfee ePO-serveren f.eks. ikke har internetadgang. Du kan hente listen manuelt: • Når du installerer ePolicy Orchestrator. Du kan finde oplysninger under Blokerede eller deaktiverede udvidelser. • Når du bruger Serverindstillinger , Produktkompatibilitetslisten til manuel at overføre en produktkompatibilitetsliste. Listen træder i kraft øjeblikkeligt, efter den er blevet overført. Deaktiver automatiske opdateringer af listen for at undgå, at den manuelt hentede produktkompatibilitetsliste overskrives. Se Ændring af overførsel af produktkompatibilitetsliste for at få flere oplysninger. • Klik på ProductCompatibilityList.xml for at hente listen manuelt. Blokerede eller deaktiverede udvidelser Hvis en udvidelse er blokeret på produktkompatibilitetslisten, forhindrer den opgraderingen af ePolicy Orchestrator-softwaren. Hvis en udvidelse er deaktiveret, blokerer den ikke for opgraderingen, men udvidelsen initialiseres ikke efter opgraderingen, før en kendt erstatningsudvidelse er blevet installeret. Indstillinger for kommandolinjer til installation af produktkompatibilitetslisten Du kan bruge disse indstillinger for kommandolinjer med kommandoen setup.exe til at konfigurere overførsler af produktkompatibilitetslisten. Indstilling Definition setup.exe DISABLEPRODCOMPATUPDATE=1 Deaktiverer automatisk hentning af produktkompatibilitetslisten fra McAfee-webstedet. setup.exe PRODCOMPATXML=<full_filename_including_path> Angiver en alternativ fil med en produktkompatibilitetsliste. Begge indstillinger for kommandolinjer kan bruges sammen med en kommandostreng. Omkonfiguration af hentning af produktkompatibilitetsliste Du kan hente produktkompatibilitetslisten fra internettet eller bruge en manuelt hentet liste på identiske produkter, som ikke længere er kompatible i ePolicy Orchestrator-miljøet. Før du starter Alle manuelt hentede produktkompatibilitetslister skal være en gyldig XML-fil fra McAfee. Hvis du foretager ændringer af XML-filen for produktkompatibilitetslisten, er filen ugyldig. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Produktkompatibilitetsliste under Indstillingskategorier, og klik derefter på Rediger. Der vises en liste over deaktiverede inkompatible udvidelser i tabellen på åbningssiden. 160 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Softwarestyring Tjek af produktkompatibilitet 2 Klik på Deaktiveret for at stoppe automatiske og regelmæssige hentninger af produktkompatibilitetslisten fra McAfee. 3 Klik på Gennemse, gå til Overfør produktkompatibilitetsliste, og klik derefter på Gem. 13 Nu hvor du har deaktiveret automatisk hentning af produktkompatibilitetslisten, bruger McAfee ePO-serveren den samme liste, indtil du overfører en ny liste eller opretter forbindelse til internettet fra serveren og aktiverer automatisk hentning. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 161 13 Softwarestyring Tjek af produktkompatibilitet 162 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 14 Produktinstallation ePolicy Orchestrator har en brugergrænseflade til konfiguration og planlægning af installationer, som gør det nemmere at installere sikkerhedsprodukter på administrerede systemer på netværket. Der findes to processer, som du kan bruge til at installere produkter ved hjælp af ePolicy Orchestrator: • Projekter af typen Produktinstallation, som strømliner installationsprocessen og tilbyder flere funktioner. • Individuelt oprettede og administrerede klientopgaveobjekter og opgaver. Indhold Valg af produktinstallationsmetode Fordele ved produktinstallationsprojekter Beskrivelse af siden Produktinstallation Visning af overvågningslogge for produktinstallationer Installation af produkter ved hjælp af et installationsprojekt Overvågning og redigering af installationsprojekter Eksempel på installation af ny McAfee Agent Valg af produktinstallationsmetode Dit valg af produktinstallationsmetode afhænger af, hvad du allerede har konfigureret. Projekter af typen Produktinstallation giver en forenklet arbejdsproces og forbedret funktionalitet i forbindelse med installation af produkter på dine ePolicy Orchestrator-administrerede systemer. Du kan dog ikke bruge et projekt af typen Produktinstallation til at reagere på eller administrere klientopgaveobjekter og opgaver, som er oprettet i en version af softwaren, der er ældre end 5.0. Hvis du ønsker at bevare og fortsætte med at bruge klientopgaver og -objekter, som er oprettet uden for et projekt af typen Produktinstallation, skal du bruge biblioteket for klientopgaveobjekter og tildelingsgrænsefladerne. Du kan bevare disse eksisterende opgaver og objekter og samtidig bruge grænsefladen for projekter af typen Produktinstallation til at oprette nye installationer. Fordele ved produktinstallationsprojekter Produktinstallationsprojekter forenkler processen med at installere sikkerhedsprodukter på det administrerede system ved at reducere omkostningerne og det tidsforbrug, der er nødvendigt for at planlægge og vedligeholde installationer på hele netværket. Produktinstallationsprojekter strømliner installationsprocessen ved at samle mange af de trin, der er nødvendige for at oprette og styre produktinstallationsopgaver enkeltvist. De giver også mulighed for at: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 163 14 Produktinstallation Fordele ved produktinstallationsprojekter • Kør en installation løbende – Dette giver dig mulighed for at konfigurere installationsprojektet på en sådan måde, at produkterne installeres automatisk, når nye systemer, der stemmer overens med dine kriterier, tilføjes. • Stop en kørende installation – Hvis du af en eller anden årsag har brug for at stoppe en igangværende installation, kan du gøre det. Du kan derefter genoptage installationen, når du er klar. • Afinstaller et tidligere installeret produkt – Hvis et installationsprojekt er fuldført, og du vil afinstallere det pågældende produkt fra de systemer, der er tildelt dit projekt, skal du vælge Afinstaller på listen Handling. I nedenstående tabel sammenlignes de to processer for produktinstallation – individuelle klientopgaveobjekter og produktinstallationsprojekter. Tabel 14-1 Sammenligning af produktinstallationsmetoder Klientopgaveobjekter Sammenligning af funktioner Produktinstallationsprojekt Navn og beskrivelse Det samme Navn og beskrivelse Samling af produktsoftware til installation Det samme Samling af produktsoftware til installation Brug koder til at vælge destinationssystemer Forbedret i produktinstallationsprojekt Vælg i forbindelse med installationen: • Kontinuerlig – Ved installationer af typen Kontinuerlig bruges grupper eller koder i systemtræet, hvilket giver dig mulighed for at flytte systemer til disse grupper eller tildele systemkoder, så installationen anvendes på disse systemer. • Fast – Ved installationer af typen Fast anvendes et fast eller defineret systemsæt. Valg af system foretages ved hjælp af tabeloutput om dine forespørgsler om systemtræ eller administrerede systemer. Installationsplan Tilsvarende Med en forenklet installationsplan kan du enten køre installationen med det samme eller køre den én gang på et planlagt tidspunkt. Ikke tilgængelig Nyt i produktinstallationsprojekt Overvåg den aktuelle installationsstatus, f.eks. planlagte installationer, som endnu ikke er startet, eller installationer, der er i gang, standset, midlertidigt afbrudt eller fuldført. Ikke tilgængelig Nyt i produktinstallationsprojekt Få vist et historisk øjebliksbillede af data om antallet af systemer, der modtager installationen. Kun ved faste installationer. 164 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Produktinstallation Fordele ved produktinstallationsprojekter 14 Tabel 14-1 Sammenligning af produktinstallationsmetoder (fortsat) Klientopgaveobjekter Sammenligning af funktioner Produktinstallationsprojekt Ikke tilgængelig Nyt i produktinstallationsprojekt Få vist status for de enkelte systeminstallationer, f.eks. systemer, hvor installationen er fuldført, venter eller er mislykket. Ikke tilgængelig Nyt i produktinstallationsprojekt Rediger en eksisterende installationstildeling ved at bruge: • Opret ny til at redigere en eksisterende installation • Rediger • Kopiér • Slet • Stop installationen midlertidigt • Fortsæt og genoptag installation • Afinstaller Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 165 14 Produktinstallation Beskrivelse af siden Produktinstallation Beskrivelse af siden Produktinstallation Siden Produktinstallation er det eneste sted, hvor du kan oprette, overvåge og administrere produktinstallationsprojekter. Siden er inddelt i to hovedområder (område 1 og 2 på billedet nedenfor), hvoraf det andet område er yderligere inddelt i fem mindre områder. Figur 14-1 Siden Produktinstallation Disse hovedområder er: 1 Installationsoversigt – Viser produktinstallationerne og giver dig mulighed for at filtrere dem efter type og status og hurtigt få vist deres aktuelle status. Hvis du klikker på en installation, vises der oplysninger om installationen i området med installationsoplysninger. Et ikon med et udråbstegn angiver enten, at installationen er i gang med at blive afinstalleret, eller at den pakke, som installationen bruger, er blevet flyttet eller slettet. 2 166 Installationsoplysninger – Viser oplysninger om den valgte installation og omfatter følgende områder: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Produktinstallation Visning af overvågningslogge for produktinstallationer 14 2a Statusovervågning – Statusvisningen varierer afhængigt af installationstypen og status på installationen: • I forbindelse med kontinuerlige installationer vises der en kalender, hvis installationen afventer, eller et søjlediagram, hvis installationen er i gang. • I forbindelse med faste installationer vises der en kalender, hvis installationen afventer, eller enten et søjlediagram, hvis Nuværende er valgt, eller et histogram, hvis Varighed er valgt. 2b Oplysninger – I området med oplysninger kan du se oplysninger om installationens konfiguration. Du kan også klikke på Vis opgaveoplysninger for at åbne siden Rediger installation. 2c Systemnavn – Viser en filtrerbar liste med destinationssystemer, som modtager installationen. De viste systemer varierer afhængigt af installationstypen, og om systemerne er blevet valgt individuelt, som koder, som grupper i systemtræet eller som tabeloutput for forespørgsler. Hvis du klikker på Systemhandlinger vises den filtrerede liste med systemer i en dialogboks med flere oplysninger, hvor du kan udføre handlinger på systemerne, f.eks. opdatering og aktivering. 2d Status – Viser en statuslinje med tre afsnit, som angiver den aktuelle status på installationen. 2e Koder – Viser de koder, der er knyttet til rækken med systemer. Visning af overvågningslogge for produktinstallationer Overvågningslogge fra installationsprojekter indeholder oplysninger om alle produktinstallationer, der er foretaget fra konsollen ved hjælp af funktionen Produktinstallation. Posterne i overvågningsloggen vises i en tabel, der kan sorteres, i området med installationsoplysninger på siden Produktinstallation og på siden Overvågningslog, der indeholder logposter fra alle reviderbare brugerhandlinger. Du kan bruge disse logge til at spore, oprette, redigere, kopiere, slette og afinstallere produktinstallationer. Klik på en logpost for at få vist oplysninger om posten. Installation af produkter ved hjælp af et installationsprojekt Når du installerer sikkerhedsprodukter på administrerede systemer ved hjælp af et installationsprojekt, kan du nemt vælge de produkter, der skal installeres, og destinationssystemerne samt planlægge installationen. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Software | Produktinstallation. 2 Klik på Ny installation for at åbne siden Ny installation og starte et nyt projekt. 3 Angiv et navn på og en beskrivelse af denne installation. Dette navn vises på siden Produktinstallation, når installationen er blevet gemt. 4 Vælg installationstypen: • Kontinuerlig – Bruger grupper eller koder i systemtræet til at konfigurere de systemer, som skal modtage installationen. Dette gør det muligt at ændre systemerne løbende, efterhånden som de føjes til eller fjernes fra grupperne eller koderne. • Fast – Bruger et fast eller defineret sæt systemer, som skal modtage installationen. Du vælger systemer ved hjælp af systemtræet eller output fra tabellen Forespørgsler om administrerede systemer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 167 14 Produktinstallation Overvågning og redigering af installationsprojekter 5 Du kan angive, hvilken software der skal installeres, ved at vælge et produkt på listen Pakke. Klik på + eller - for at tilføje eller fjerne pakker. Du skal tjekke softwaren ind i hovedlageret, før du kan installere den. Felterne Sprog og Forgrening udfyldes automatisk på baggrund af den placering og det sprog, der er angivet i hovedlageret. 6 Angiv eventuelle installationsindstillinger for kommandolinjer i tekstfeltet Kommandolinje. Du kan finde flere oplysninger om indstillinger for kommandolinjerne i produktdokumentationen til den software, du installerer. 7 I afsnittet Vælg systemerne skal du klikke på Vælg systemer for at åbne dialogboksen Valg af system. Dialogboksen Valg af system er et filter, som du kan bruge til at vælge grupper i systemtræet, koder eller et undersæt af gruppeinddelte eller kodede systemer. De valg, du foretager under de enkelte faner i dialogboksen, sammenkædes for at filtrere hele sættet af destinationssystemer for installationen. Hvis systemtræet f.eks. indeholder gruppen A, som omfatter både servere og arbejdsstationer, kan du målrette mod hele gruppen eller blot mod serverne eller arbejdsstationerne, hvis de er kodet på denne måde. Du kan også målrette mod et undersæt af begge systemtyper i gruppe A. I forbindelse med faste installationer kan højst 500 systemer modtage installationen. Konfigurer eventuelt følgende: 8 9 • Kør ved hver håndhævelse af politik (kun Windows) • Giv slutbrugere tilladelse til at udskyde denne installation (kun Windows) • Maksimalt antal tilladte udskydelser • Indstilling for at udskyde udløber efter • Vis denne tekst Vælg et starttidspunkt eller en plan for installationen: • Kør øjeblikkeligt – Starter installationsopgaven under det næste ASCI. • Én gang – Åbner opgavestyring, så du kan konfigurere startdato, klokkeslæt og tilfældighed. Klik på Gem øverst på siden, når du er færdig. Siden Produktinstallation åbnes med dit nye projekt tilføjet på listen med installationer. Når du har oprettet et installationsprojekt, oprettes der automatisk en klientopgave med installationsindstillingerne. Overvågning og redigering af installationsprojekter Brug siden Produktinstallation til at oprette, spore og redigere installationsprojekter. I opgaven nedenfor beskrives, hvordan du bruger grænsefladen til at vælge og overvåge et eksisterende installationsprojekt, på de første trin, og hvordan du vælger Handlinger for at redigere det pågældende installationsprojekt, på de sidste trin. 168 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Produktinstallation Overvågning og redigering af installationsprojekter 14 Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Software | Produktinstallation. Siden Produktinstallation vises. 2 Filtrer listen med installationsprojekter ved hjælp af en eller begge følgende indstillinger: • Type – Filtrerer de installationer, der vises, efter Alle, Kontinuerlig eller Fast. • Status – Filtrerer de installationer, der vises, efter Alle, Afsluttet, I gang, Afventer, Kører eller Stoppet. 3 Klik på en installation på listen til venstre på siden for at få vist oplysninger om den til højre på siden. 4 Brug statusafsnittet i visningen med oplysninger til at få vist følgende: 5 • En kalender med startdatoen for ventende kontinuerlige og faste installationer. • Et histogram med systemer og færdiggørelsestiden for faste installationer. • En statuslinje med status på installation og afinstallation af systemer. Klik på Handlinger og en af følgende valgmuligheder for at redigere en installation: • Rediger • Genoptag • Slet • Stop • Kopiér • Afinstaller • Markér som afsluttet 6 Klik på Vis opgaveoplysninger i afsnittet med oplysninger for at åbne siden Rediger installation, hvor du kan få vist og redigere indstillingerne for installationen. 7 Klik på en af følgende valgmuligheder på listen Filter i tabellen Systemer for at ændre, hvilke systemer der vises: Valgmulighederne på listen afhænger af installationens aktuelle status. 8 • I forbindelse med en afinstallation omfatter filtrene Alle, Fjernede pakker, Afventer og Mislykkedes • I forbindelse med alle andre handlinger omfatter filtrene Alle, Installationen er fuldført, Afventer og Mislykkedes I tabellen Systemer kan du gøre følgende: • Kontrollere status på hver række med destinationssystemer i kolonnen Status. Installationens status vises på en statuslinje, som er opdelt i tre afsnit. • Kontrollere de koder, der er knyttet til destinationssystemerne, i kolonnen Koder. • Klikke på Systemhandlinger for at få vist listen med systemer på en ny side, hvor du kan udføre systemspecifikke handlinger på de systemer, du vælger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 169 14 Produktinstallation Eksempel på installation af ny McAfee Agent Eksempel på installation af ny McAfee Agent Efter din første installation af ePolicy Orchestrator og implementering af McAfee Agent skal eventuelle yderligere installationer af McAfee Agent oprettes enten ved hjælp af et projekt af typen Produktinstallation eller manuelt ved hjælp af et objekt af typen Klientopgave. Før du starter Før du starter denne eksempelopgave for at installere McAfee Agent for Linux, skal du føje Linux-platformene til ePolicy Orchestrator systemtræet. Installation af agenten er første trin, når du første gang installerer og går i gang med at bruge ePolicy Orchestrator, og den første McAfee Agent, du installerer, opdateres automatisk, hver gang en ny version er tilgængelig. Men hvis dine administrerede netværkssystemer omfatter mere end én type operativsystem til platformen, skal disse systemer have hver sin McAfee Agent. De fleste ePolicy Orchestrator-administrerede netværk bruger Windows-platformen til operativsystemer, men dit netværk omfatter f.eks. også Linux-platforme, og derfor skal McAfee Agent for Linux være installeret. Du kan finde flere oplysninger om funktionen, brugergrænsefladen og indstillinger i Produktinstallation og Hjælp. I denne opgave beskrives: • Oprettelse af projektet af typen Produktinstallation for McAfee Agent for Linux. • Bekræftelse af det projekt, der er installeret for agenten • Bekræftelse af Linux-platformene sker under ePolicy Orchestrator-administration Opgave 1 Hvis du vil oprette et nyt projekt af typen Produktinstallation, skal du klikke på Menu | Software | Produktinstallation | Ny installation. 2 Konfigurer følgende indstillinger på siden Ny installation. Indstilling Beskrivelse Navn og Beskrivelse Skriv et Navn på og en Beskrivelse af installationen. Skriv f.eks. Linux McAfee Agent-installation. Dette navn vises på installationssiden, når installationen er blevet gemt. Type Vælg Kontinuerlig på listen. Denne type bruger grupper i systemtræet eller koder til at konfigurere de systemer, som skal modtage installationen. Dette gør det muligt at ændre systemerne løbende, efterhånden som de føjes til eller fjernes fra grupperne eller koderne. 170 Pakke Vælg McAfee Agent for Linux på listen. Sprog og Forgrening Vælg eventuelt Sprog og Forgrening, hvis du ikke vil bruge standardindstillingerne. Kommandolinje Angiv eventuelle installationsindstillinger for kommandolinjer i tekstfeltet. Du kan finde flere oplysninger om indstillinger for kommandolinjer i produktvejledningen til McAfee Agent. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 14 Produktinstallation Eksempel på installation af ny McAfee Agent Indstilling Beskrivelse Vælg systemerne Klik på Vælg systemer for at åbne dialogboksen Valg af system. Dialogboksen Valg af system er et filter, som du kan bruge til at vælge grupper i systemtræet, koder eller et undersæt af gruppeinddelte eller kodede systemer. De valg, du foretager under de enkelte faner i dialogboksen, sammenkædes for at filtrere hele sættet af destinationssystemer for installationen. Hvis systemtræet f.eks. indeholder "Linux-systemer", som omfatter både servere og arbejdsstationer, kan du målrette mod hele gruppen eller blot mod serverne eller arbejdsstationerne, hvis de er kodet på denne måde. Du kan også målrette mod et undersæt af begge systemtyper i Linux-systemer. Konfigurer eventuelt følgende: • Kør ved hver håndhævelse af politik (kun Windows) • Giv slutbrugere tilladelse til at udskyde denne installation (kun Windows) • Maksimalt antal tilladte udskydelser • Indstilling for at udskyde udløber efter • Vis denne tekst Vælg et starttidspunkt Vælg et starttidspunkt eller en plan for installationen: • Kør øjeblikkeligt – Starter installationsopgaven under det næste ASCI. • Én gang – Åbner opgavestyring, hvor du kan konfigurere startdato, klokkeslæt og tilfældighed. Gem Klik på Gem øverst på siden, når du er færdig. Siden Produktinstallation åbnes med dit nye projekt tilføjet på listen med installationer. Når du har oprettet et installationsprojekt, oprettes der automatisk en klientopgave med installationsindstillingerne. 3 Åbn siden Produktinstallation, og kontrollér, at projektet af typen Produktinstallation for McAfee Agent for Linux fungerer korrekt, ved at undersøge disse oplysninger. Indstilling Beskrivelse Installationsoversigt Klik på det projekt af typen Produktinstallation for McAfee Agent for Linux, du oprettede under forrige trin, for at få vist oplysningerne til højre på siden. Da det er en kontinuerlig installation, vises uendelighedssymbolet gang. under I Installationsoplysninger Giver dig mulighed for følgende: • Klik på Handlinger for at redigere den valgte installation. • Få vist Forløb, Status og Oplysninger for den valgte installation. • Få vist Systemer, Systemhandlinger, Status og Koder, der er knyttet til den valgte installation. Når du har fuldført dette eksempel, er McAfee Agent for Linux installeret på de Linux-platforme, du har føjet til dit systemtræ, og de administreres nu af ePolicy Orchestrator. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 171 14 Produktinstallation Eksempel på installation af ny McAfee Agent 172 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 15 Administration af politik Politikker sikrer, at et produkts funktioner konfigureres korrekt på dine administrerede systemer. Administration af produkter fra en enkel placering er en vigtig funktion i ePolicy Orchestrator. Det kan du gøre ved at anvende og håndhæve produktpolitikker. Politikker sikrer, at et produkts funktioner konfigureres korrekt. Klientopgaver er planlagte handlinger, der kører på administrerede systemer med klientsoftware. Indhold Politikker og håndhævelse af politikker Anvendelse af politikker Oprettelse og vedligeholdelse af politikker Konfiguration af politikker første gang Administration af politikker Siden Rediger opbevaring af politikker og opgaver Regler for politiktildeling Oprettelse af forespørgsler om administration af politikker Visning af politikoplysninger Deling af politikker mellem McAfee ePO-servere Distribution af politikker til flere McAfee ePO-servere Politikker og håndhævelse af politikker En politik er en samling indstillinger, som du kan oprette og konfigurere og derefter håndhæve. Politikker sikrer, at de administrerede sikkerhedssoftwareprodukter er konfigureret og fungerer i henhold hertil. Nogle politikindstillinger er de samme som de indstillinger, du konfigurerer i grænsefladen for det produkt, der er installeret på det administrerede system. Andre politikindstillinger er den primære grænseflade til konfiguration af produktet eller komponenten. ePolicy Orchestrator-konsollen gør det muligt at konfigurere politikindstillinger for alle produkter og systemer fra en central placering. Politikkategorier Politikindstillinger for de fleste produkter er grupperet efter kategori. Hver politikkategori henviser til en bestemt undergruppe af politikindstillinger. Politikker oprettes efter kategori. På siden Politikkatalog er politikkerne sorteret efter produkt og kategori. Når du åbner en eksisterende politik eller opretter en politik, er politikindstillingerne organiseret på tværs af faner. Visning af politikker Hvis du vil se alle de politikker, der er oprettet i hver politikkategori, skal du klikke på Menu | Politik | Politikkatalog og derefter vælge et produkt og en kategori på rullelisterne. På siden Politikkatalog kan brugerne kun se politikker for produkter, som de har tilladelse til. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 173 15 Administration af politik Politikker og håndhævelse af politikker Hvis du vil se, hvilke politikker der anvendes for hvert produkt for en bestemt gruppe i systemtræet, skal du klikke på Menu | Systemer | Systemtræ | Tildelte politikker, vælge en gruppe og derefter vælge et produkt på rullelisten. Der findes en McAfee Default-politik for hver kategori. Du kan ikke slette, redigere, eksportere eller omdøbe disse politikker, men du kan kopiere dem og redigere kopien. Sådan konfigureres håndhævelse af politik Vælg for de enkelte administrerede produkter eller komponenter, om agenten skal håndhæve alle eller ingen af de valgte politikker for produktet eller komponenten. På siden Tildelte politikker kan du vælge, om politikker for produkter eller komponenter skal håndhæves for den valgte gruppe. På siden Politikkatalog kan du se tildelte politikker, hvor de anvendes, og om de håndhæves. Du kan også låse håndhævelse af politik for at forhindre ændringer af håndhævelse under den låste node. Hvis håndhævelse af politikker deaktiveres, modtager systemerne i den angivne gruppe ikke opdaterede Sitelists ved agent til server-kommunikation. Dette medfører, at administrerede systemer i gruppen muligvis ikke fungerer, som de skal. Du kan f.eks. konfigurere administrerede systemer til at kommunikere med agenthandler A, men hvis håndhævelse af politikker er deaktiveret, modtager de administrerede systemer ikke den nye Sitelist med disse oplysninger og rapporterer derfor til en anden agenthandler i en udløbet Sitelist. Når politikker håndhæves Når du konfigurerer politikindstillinger igen, leveres de nye indstillinger til og håndhæves på de administrerede systemer ved næste agent til server-kommunikation. Hyppigheden af denne kommunikation bestemmes af indstillingerne for Interval for agent til server-kommunikation (ASCI) p? fanen Generelt på siderne for McAfee Agent-politik eller klientopgaveplanen for McAfee Agent-aktivering, afhængigt af hvordan du implementerer agent til server-kommunikation. Dette interval er som standard indstillet til at forekomme hvert 60. minut. Når politikindstillingerne er trådt i kraft på det administrerede system, fortsætter agenten med at håndhæve politikindstillinger lokalt med jævne mellemrum. Dette interval for håndhævelse bestemmes af indstillingen Interval for håndhævelse af politik p? fanen Generelt på siderne for McAfee Agent-politik. Dette interval er som standard indstillet til at forekomme hvert femte minut. Politikindstillingerne for McAfee-produkter håndhæves øjeblikkeligt ved intervallet for håndhævelse af politik og ved hver agent til server-kommunikation, hvis politikindstillingerne er ændret. Eksport og import af politikker Hvis du har flere servere, kan du eksportere og importere politikker mellem disse ved hjælp af XML-filer. I et sådant miljø skal du kun oprette en politik én gang. Du kan eksportere og importere individuelle politikker eller alle politikker for et givent produkt. Denne funktion kan også bruges til at oprette sikkerhedskopier af politikker, hvis du geninstallerer serveren. Politikdeling Du kan også bruge politikdeling til at overføre politikker mellem servere på. Politikdeling gør det muligt at administrere politikker på én server og bruge dem på mange andre servere via McAfee ePO-konsollen. 174 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Anvendelse af politikker 15 Anvendelse af politikker Politikker anvendes på alle systemer på en af to måder: nedarvning eller tildeling. Nedarvning Nedarvning bestemmer, om politikindstillingerne og klientopgaverne for en gruppe eller et system skal hentes fra det overordnede led. Nedarvning er som standard aktiveret for hele systemtræet. Hvis du bryder denne nedarvning ved at tildele en ny politik et vilkårligt sted i systemtræet, gælder dette for alle underordnede grupper og systemer, der er indstillet til at nedarve politikken fra dette tildelingspunkt. Tildeling Du kan tildele enhver politik i politikkataloget til enhver gruppe eller ethvert system, hvis du har de relevante tilladelser. Tildeling giver dig mulighed for at definere politikindstillinger for et specifikt behov én gang og herefter anvende politikken på flere forskellige placeringer. Hvis du tildeler en ny politik til en bestemt gruppe i systemtræet, gælder dette for alle underordnede grupper og systemer, der er indstillet til at nedarve politikken fra dette tildelingspunkt. Låsning af tildeling Du kan låse tildelingen af en politik i enhver gruppe eller på ethvert system, hvis du har de relevante tilladelser. Låsning af tildeling forhindrer, at andre brugere: • Med de relevante tilladelser på samme niveau i systemtræet erstattes en politik ved et uheld. • Med færre tilladelser, eller de samme tilladelser, men på et lavere niveau i systemtræet, erstattes politikken. Låsning af tildeling nedarves med politikindstillingerne. Låsning af tildeling er nyttigt, hvis du vil tildele en bestemt politik til toppen af systemtræet og sikre dig, at ingen andre brugere erstatter den et andet sted i systemtræet. Låsning af tildeling låser kun tildelingen af politikken, men forhindrer ikke, at ejeren af politikken foretager ændringer i dens indstillinger. Derfor skal du sikre dig, at du er ejer af politikken, hvis du ønsker at låse en politiktildeling. Politikejerskab Alle politikker for produkter og funktioner, som du har tilladelse til, er tilgængelige på siden Politikkatalog. Hver politik er tildelt en ejer for at forhindre, at andre brugere redigerer andre brugeres politikker. Ejeren er den bruger, der oprettede politikken. Ejerskabet betyder, at ingen kan ændre eller slette en politik bortset fra forfatteren eller en administrator. Alle brugere med de relevante tilladelser kan tildele en politik på siden Politikkatalog, men det er kun ejeren eller en administrator, der kan redigere den. Hvis du tildeler en politik, som du ikke ejer, til administrerede systemer, skal du være opmærksom på, at hvis ejeren af den pågældende politik ændrer den, så gælder disse ændringer for alle systemer, som er tildelt denne politik. Hvis du ønsker at anvende en politik, som ejes af en anden bruger, anbefaler McAfee derfor, at du først kopierer politikken og derefter tildeler kopien til en placering. Dette giver dig ejerskab over den tildelte politik. Du kan angive flere brugere som ejere af en enkelt politik. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 175 15 Administration af politik Oprettelse og vedligeholdelse af politikker Oprettelse og vedligeholdelse af politikker Opret og vedligehold politikker fra siden Politikkatalog. Opgaver • Oprettelse af en politik på siden Politikkatalog på side 176 Brugerdefinerede politikker, der oprettes ved hjælp af politikkataloget, tildeles ikke til nogen grupper eller systemer. Du kan oprette politikker, før eller efter et produkt installeres. • Administration af en eksisterende politik på siden Politikkatalog på side 176 Rediger, dupliker, omdøb eller slet en politik. Oprettelse af en politik på siden Politikkatalog Brugerdefinerede politikker, der oprettes ved hjælp af politikkataloget, tildeles ikke til nogen grupper eller systemer. Du kan oprette politikker, før eller efter et produkt installeres. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åbn dialogboksen Ny politik. a Klik på Menu | Politik | Politikkatalog. b Vælg produktet og kategorien på rullelisterne. Alle oprettede politikker for den valgte kategori vises i ruden Detaljer. c Klik på Ny politik. 2 Vælg den politik, du vil duplikere, på rullelisten Opret en politik baseret på denne eksisterende politik. 3 Skriv et navn på den nye politik, og klik på OK. Guiden Politikindstillinger åbnes. 4 Rediger indstillingerne på hver fane efter behov. 5 Klik på Gem. Administration af en eksisterende politik på siden Politikkatalog Rediger, dupliker, omdøb eller slet en politik. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Vælg en eksisterende politik ved at klikke på Menu | Politik | Politikkatalog, og vælg derefter Produkt og Kategori på rullelisterne. Alle oprettede politikker for den valgte kategori vises i detaljeruden. 2 Vælg produktet og kategorien på listerne for den politik, der skal redigeres. Alle oprettede politikker for den valgte kategori vises i detaljeruden. 3 176 Vælg en af disse handlinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Konfiguration af politikker første gang 15 Handling Trin Rediger politikindstillinger 1 Find den politik, der skal redigeres, og klik derefter på politiknavnet. Dupliker en politik 1 Find den politik, der skal duplikeres, og klik derefter på Dupliker i rækken med politikken. 2 Rediger indstillingerne efter behov, og klik derefter på Gem. Dialogboksen Dupliker eksisterende politik vises. 2 Skriv navnet på den nye politik i feltet, og klik derefter på OK. Den nye politik vises på siden Politikkatalog. 3 Klik på den nye politik på listen. 4 Rediger indstillingerne efter behov, og klik derefter på Gem. Dobbeltforekomsten af politikken vises i detaljeruden med det nye navn og de nye indstillinger. Omdøb en politik 1 Find den politik, der skal omdøbes, og klik på Omdøb i en politikrække. Dialogboksen Omdøb politik vises. 2 Skriv et navn på den eksisterende politik, og klik derefter på OK. Den omdøbte politik vises i detaljeruden. Slet en politik 1 Find en politik, og klik derefter på Slet i rækken med politikken. 2 Klik på OK, når du bliver bedt om det. Den slettede politik fjernes fra detaljeruden. Konfiguration af politikker første gang Følg disse overordnede trin, første gang du konfigurerer politikker. 1 Planlæg produktpolitikker for segmenterne i systemtræet. 2 Opret og tildel politikker til grupper og systemer. Administration af politikker Tildel og vedligehold politikkerne i miljøet. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 177 15 Administration af politik Administration af politikker Opgaver • Ændring af ejerne af en politik på side 178 Ejerskab tildeles som standard til den bruger, der opretter politikken. Hvis du har de nødvendige tilladelser, kan du ændre ejerskab af en politik. • Flytning af politikker mellem McAfee ePO-servere på side 178 Du skal eksportere politikken til en XML-fil fra siden Politikkatalog på kildeserveren og derefter importere den på siden Politikkatalog på destinationsserveren for at kunne flytte politikker mellem McAfee ePO-servere. • Tildel en politik til en gruppe i systemtræet på side 180 Tildel en politik til en specifik gruppe i systemtræet. Du kan tildele politikker, før eller efter et produkt installeres. • Tildeling af en politik til et administreret system på side 180 Tildel en politik til et specifikt administreret system Du kan tildele politikker, før eller efter et produkt installeres. • Tildel en politik til systemer i en gruppe i systemtræet på side 181 Tildel en politik til flere administrerede systemer i en gruppe. Du kan tildele politikker, før eller efter et produkt installeres. • Håndhæv politikker for et produkt i en gruppe i systemtræet på side 181 Aktivér eller deaktiver håndhævelse af politik for et produkt i en gruppe. Håndhævelse af politik er som standard aktiveret og nedarvet i systemtræet. • Håndhævelse af politikker for et produkt på et system på side 181 Aktivér eller deaktiver håndhævelse af politik for et produkt på et administreret system. Håndhævelse af politik er som standard aktiveret og nedarvet i systemtræet. • Kopiering af politiktildelinger på side 182 Kopiér politiktildelinger fra én gruppe til en anden eller fra ét system til et andet. Dette er en nem metode til at dele flere opgaver mellem grupper og systemer fra forskellige dele af systemtræet. Ændring af ejerne af en politik Ejerskab tildeles som standard til den bruger, der opretter politikken. Hvis du har de nødvendige tilladelser, kan du ændre ejerskab af en politik. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter Produkt og Kategori. Alle oprettede politikker for den valgte kategori vises i detaljeruden. 2 Find den ønskede politik, og klik derefter på ejeren af politikken. Siden Politikejerskab vises. 3 Vælg ejerene af politikken på listen, og klik derefter på OK. Flytning af politikker mellem McAfee ePO-servere Du skal eksportere politikken til en XML-fil fra siden Politikkatalog på kildeserveren og derefter importere den på siden Politikkatalog på destinationsserveren for at kunne flytte politikker mellem McAfee ePO-servere. 178 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Administration af politikker 15 Opgaver • Eksport af en enkelt politik på side 179 Eksportér en enkelt politik til en XML-fil, og brug derefter filen til at importere politikken på en anden McAfee ePO-server eller til at gemme som en sikkerhedskopi af politikken. • Eksport af alle politikker for et produkt på side 179 Eksportér alle politikker for et produkt til en XML-fil. Brug denne fil til at importere politikken på en anden McAfee ePO-server, eller behold den som en sikkerhedskopi af politikkerne. • Import af politikker på side 179 Du kan importere en XML-politikfil. Importproceduren er den samme, uanset om du har eksporteret en enkelt politik eller alle eksisterende politikker. Eksport af en enkelt politik Eksportér en enkelt politik til en XML-fil, og brug derefter filen til at importere politikken på en anden McAfee ePO-server eller til at gemme som en sikkerhedskopi af politikken. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter Produkt og Kategori på rullelisterne. Alle oprettede politikker for den valgte kategori vises i ruden Detaljer. 2 Find politikken, og klik på Eksportér ved siden af politikken. Siden Eksportér vises. 3 Højreklik på linket for at hente og gemme filen. 4 Navngiv XML-filen med politikken, og gem den. Hvis du planlægger at importere denne fil på en anden McAfee ePO-server, skal du kontrollere, at denne placering er tilgængelig for McAfee ePO-målserveren. Eksport af alle politikker for et produkt Eksportér alle politikker for et produkt til en XML-fil. Brug denne fil til at importere politikken på en anden McAfee ePO-server, eller behold den som en sikkerhedskopi af politikkerne. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter Produkt og Kategori. Alle oprettede politikker for den valgte kategori vises i detaljeruden. 2 Klik på Eksportér ud for Politikker for produkt. Siden Eksportér vises. 3 Højreklik på linket for at hente og gemme filen. Hvis du planlægger at importere denne fil på en anden McAfee ePO-server, skal du kontrollere, at denne placering er tilgængelig for McAfee ePO-målserveren. Import af politikker Du kan importere en XML-politikfil. Importproceduren er den samme, uanset om du har eksporteret en enkelt politik eller alle eksisterende politikker. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 179 15 Administration af politik Administration af politikker Opgave 1 Klik på Menu | Politik | Politikkatalog, og klik derefter på Importér ud for Politikker for produkt. 2 Find og vælg XML-politikfilen, og klik derefter på OK. 3 Vælg de politikker, som du vil importere, og klik på OK. Politikkerne føjes til politikkataloget. Tildel en politik til en gruppe i systemtræet Tildel en politik til en specifik gruppe i systemtræet. Du kan tildele politikker, før eller efter et produkt installeres. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Tildelte politikker, og vælg derefter et produkt. Hver tildelt politik pr. kategori vises i detaljeruden. 2 Find den ønskede politikkategori, og klik derefter på Rediger tildeling. 3 Hvis politikken er nedarvet, skal du vælge Bryd nedarvning, og tildel nedenstående politik og indstillinger ud for Nedarvet fra. 4 Vælg politikken på rullelisten Tildelt politik. Fra denne placering kan du også redigere indstillingerne for den valgte politik eller oprette en politik. 5 Vælg, om politikkens nedarvning skal låses. Låsning af politikkens nedarvning forhindrer, at systemer, der nedarver denne politik, får tildelt en anden i stedet. 6 Klik på Gem. Tildeling af en politik til et administreret system Tildel en politik til et specifikt administreret system Du kan tildele politikker, før eller efter et produkt installeres. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter en gruppe i systemtræet. Alle systemer i denne gruppe, men ikke i undergrupperne, vises i detaljeruden. 2 Vælg et system, og klik derefter på Handlinger | Agent | Rediger politikker på et enkelt system. Siden Politiktildeling for det pågældende system vises. 3 Vælg et produkt. Kategorierne for valgte produkter vises sammen med systemets tildelte politik. 180 4 Find den ønskede politikkategori, og klik derefter på Rediger tildelinger. 5 Hvis politikken er nedarvet, skal du vælge Bryd nedarvning, og tildel nedenstående politik og indstillinger ud for Nedarvet fra. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Administration af politikker 6 15 Vælg politikken på rullelisten Tildelt politik. Fra denne placering kan du også redigere indstillingerne for den valgte politik eller oprette en politik. 7 Vælg, om politikkens nedarvning skal låses. Låsning af politikkens nedarvning forhindrer, at systemer, der nedarver denne politik, får tildelt en anden i stedet. 8 Klik på Gem. Tildel en politik til systemer i en gruppe i systemtræet Tildel en politik til flere administrerede systemer i en gruppe. Du kan tildele politikker, før eller efter et produkt installeres. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter en gruppe i systemtræet. Alle systemer i denne gruppe, men ikke i undergrupperne, vises i detaljeruden. 2 Vælg de ønskede systemer, og klik derefter på Handlinger | Agent | Angiv politik og nedarvning. Siden Tildel politik vises. 3 Vælg Produkt, Kategori og Politik på rullelisterne. 4 Vælg enten Nulstil nedarvning eller Bryd nedarvning, og klik derefter på Gem. Håndhæv politikker for et produkt i en gruppe i systemtræet Aktivér eller deaktiver håndhævelse af politik for et produkt i en gruppe. Håndhævelse af politik er som standard aktiveret og nedarvet i systemtræet. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Tildelte politikker, og vælg derefter en gruppe i systemtræet. 2 Vælg det ønskede produkt, og klik derefter på linket ved siden af Status for håndhævelse. Siden Håndhævelse vises. 3 Hvis du vil ændre status for håndhævelsen, skal du vælge Bryd nedarvning, og tildel nedenstående politik og indstillinger. 4 Vælg Gennemtvinger eller Gennemtvinger ikke ud for Status for håndhævelse. 5 Vælg, om politikkens nedarvning skal låses. Låsning af nedarvning for håndhævelse af politik forhindrer, at håndhævelsen brydes for grupper og systemer, der nedarver denne politik. 6 Klik på Gem. Håndhævelse af politikker for et produkt på et system Aktivér eller deaktiver håndhævelse af politik for et produkt på et administreret system. Håndhævelse af politik er som standard aktiveret og nedarvet i systemtræet. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 181 15 Administration af politik Administration af politikker Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter gruppen for det systemtræ, systemet tilhører, under Systemtræ. Den liste over systemer, der tilhører denne gruppe, vises i detaljeruden. 2 Vælg et system, og klik derefter på Handlinger | Rediger politikker på et enkelt system. Siden Politiktildeling vises. 3 Vælg et Produkt, og klik derefter på Håndhæve ved siden af Status for håndhævelse. Siden Håndhævelse vises. 4 Hvis du vil ændre status for håndhævelsen, skal du først vælge Bryd nedarvning, og tildel nedenstående politik og indstillinger. 5 Vælg Gennemtvinger eller Gennemtvinger ikke ud for Status for håndhævelse. 6 Klik på Gem. Kopiering af politiktildelinger Kopiér politiktildelinger fra én gruppe til en anden eller fra ét system til et andet. Dette er en nem metode til at dele flere opgaver mellem grupper og systemer fra forskellige dele af systemtræet. Opgaver • Kopiering af politiktildelinger fra en gruppe på side 182 Du kan kopiere politiktildelinger fra én gruppe i systemtræet til en anden. • Kopiering af politiktildelinger fra et system på side 182 Kopiér politiktildelinger fra et bestemt system. • Indsætning af politiktildelinger i en gruppe på side 183 Du kan indsætte politiktildelinger i en gruppe, efter du har kopieret dem fra en gruppe eller et system. • Indsætning af politiktildelinger i et bestemt system på side 183 Indsæt politiktildelinger i et bestemt system, efter du har kopieret politiktildelingerne fra en gruppe eller et system. Kopiering af politiktildelinger fra en gruppe Du kan kopiere politiktildelinger fra én gruppe i systemtræet til en anden. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Tildelte politikker, og vælg derefter en gruppe i systemtræet. 2 Klik på Handlinger | Kopiér tildelinger. 3 Vælg de produkter eller funktioner, du vil kopiere politiktildelinger for, og klik derefter på OK. Kopiering af politiktildelinger fra et system Kopiér politiktildelinger fra et bestemt system. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter en gruppe i systemtræet. De systemer, der hører til den valgte gruppe, vises i detaljeruden. 182 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Administration af politikker 15 2 Vælg et system, og klik derefter på Handlinger | Agent | Rediger politikker på et enkelt system. 3 Klik på Handlinger | Kopiér tildelinger, vælg de ønskede produkter eller funktioner, du ønsker at kopiere politiktildelinger fra, og klik derefter på OK. Indsætning af politiktildelinger i en gruppe Du kan indsætte politiktildelinger i en gruppe, efter du har kopieret dem fra en gruppe eller et system. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Tildelte politikker, og vælg derefter den ønskede gruppe i systemtræet. 2 Klik på Handlinger, og vælg Indsæt tildelinger i detaljeruden. Hvis der allerede er tildelt politikker til nogle kategorier i gruppen, vises siden Tilsidesæt politiktildelinger. Når politiktildelingerne indsættes, vises politikken Håndhæv politikker og opgaver på listen. Denne politik styrer status for håndhævelse for andre politikker. 3 Vælg de kategorier, der skal erstattes med de kopierede politikker, og klik på OK. Indsætning af politiktildelinger i et bestemt system Indsæt politiktildelinger i et bestemt system, efter du har kopieret politiktildelingerne fra en gruppe eller et system. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter en gruppe i systemtræet. De systemer, der hører til den valgte gruppe, vises i detaljeruden. 2 Vælg det system, hvor du vil indsætte politiktildelinger, og klik derefter på Handlinger | Agent | Rediger politikker på et enkelt system. 3 Klik på Handlinger | Indsæt tildelinger i detaljeruden. Hvis der allerede er tildelt politikker til nogle kategorier i systemet, vises siden Tilsidesæt politiktildelinger. Når politiktildelingerne indsættes, vises politikken Håndhæv politikker og opgaver på listen. Denne politik styrer status for håndhævelse for andre politikker. 4 Bekræft erstatningen af tildelinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 183 15 Administration af politik Siden Rediger opbevaring af politikker og opgaver Siden Rediger opbevaring af politikker og opgaver Brug denne side til at angive, om opgavedata om politikker og klienter skal fjernes, når du sletter en administrationsudvidelse for et produkt. Tabel 15-1 Definition af indstillinger Indstilling Definition Opbevaring af politikker og opgaver Angiver, om opgavedata om politikker og klienter skal fjernes, når du sletter en administrationsudvidelse for et produkt. Indstillingerne omfatter: • Behold opgavedata om politikker og klienter • Fjern opgavedata om politikker og klienter – Denne standardindstilling fjerner opgavedata om politikker og klienter. Regler for politiktildeling Regler for politiktildeling reducerer den øgede behandlingstid, det giver at skulle administrere flere politikker for individuelle brugere eller systemer, der opfylder bestemte kriterier, mens mere generiske politikker skal vedligeholdes på tværs af systemtræet. Denne detaljeringsgrad i politiktildeling begrænser forekomsterne af brudt nedarvning i systemtræet, der er nødvendig for at give plads til de politikindstillinger, som bestemte brugere eller systemer kræver. Politiktildelinger kan være baseret på brugerspecifikke eller systemspecifikke kriterier: • Brugerbaserede politikker – Politikker, der omfatter mindst ét brugerspecifikt kriterie. Du kan f.eks. oprette en regel for politiktildeling, der håndhæves for alle brugere i ingeniørgruppen. Du kan derefter oprette en anden regel for politiktildeling for medlemmer af it-afdelingen, så de kan logge på en hvilken som helst computer i ingeniørnetværket med de adgangsrettigheder, de skal bruge for at foretage fejlfinding af problemer i et bestemt system i det pågældende netværk. Brugerbaserede politikker kan også omfatte systembaserede kriterier. • Systembaserede politikker – Politikker, der kun omfatter systembaserede kriterier. Du kan f.eks. oprette en regel for politiktildeling, der håndhæves for alle servere i netværket og er baseret på de koder, du har anvendt, eller for alle systemer på en bestemt placering i systemtræet. Systembaserede politikker kan ikke omfatte brugerbaserede kriterier. Prioritering af regler for politiktildeling Reglerne for politiktildeling kan prioriteres for at gøre det enklere at vedligeholde administration af politiktildeling. Når du prioriterer en regel, håndhæves den før andre tildelinger med lavere prioritet. I visse tilfælde kan det medføre, at nogle regelindstillinger tilsidesættes. Det kan f.eks. være en bruger eller et system, som er omfattet af to regler for politiktildeling, regel A og B. Regel A har prioritetsniveau 1 og giver omfattede brugere ubegrænset adgang til internetindhold. Regel B har prioritetsniveau 2 og sætter store begrænsninger for den samme brugers adgang til internetindhold. I dette scenarie håndhæves regel A, fordi den har højere prioritet. Dette resulterer i, at brugeren har ubegrænset adgang til internetindhold. Sådan fungerer politikker med flere placeringer med prioritering af regler for politiktildeling Prioritering af regler anvendes ikke til politikker med flere placeringer. Når en enkelt regel, der indeholder politikker med flere placeringer fra den samme produktkategori, anvendes, kombineres alle indstillinger for politikkerne med flere placeringer. På samme måde kombineres alle indstillinger fra hver politik med flere placeringer, hvis der anvendes flere regler, som indeholder indstillinger for politikker med flere placeringer. Resultatet er, at den anvendte politik er en kombination af indstillingerne for hver individuel regel. 184 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Regler for politiktildeling 15 Når politikker med flere placeringer sammenlægges, sammenlægges de kun med politikker med flere placeringer af den samme type – brugerbaserede eller systembaserede. Men politikker med flere placeringer, som tildeles via regler for politiktildeling, sammenlægges ikke med politikker med flere placeringer, som er tildelt i systemtræet. Politikker med flere placeringer, som er tildelt via regler for politiktildeling, tilsidesætter politikker, der er tildelt i systemtræet. Desuden har brugerbaserede politikker forrang over systembaserede politikker. Forestil dig følgende scenarie: Politiktype Tildelingstype Politiknavn Politikindstillinger Generisk politik Politik tildelt i systemtræet A Forhindrer internetadgang fra alle systemer, som politikken er tildelt. Systembaseret Regel for politiktildeling B Tillader internetadgang fra systemer med koden "IsLaptop". Brugerbaseret C Tillader ubegrænset internetadgang for alle brugere i brugergruppen Administrator fra alle systemer. Regel for politiktildeling Scenarie: Brug af politikker med flere placeringer til kontrol af internetadgang I dit systemtræ findes der en gruppe kaldet "Engineering" bestående af systemer, som er mærket enten "IsServer" eller "IsLaptop". I systemtræet er politik A tildelt til alle systemer i denne gruppe. Hvis politik B tildeles en placering i systemtræet over gruppen Engineering ved hjælp af en regel for politiktildeling, tilsidesættes indstillingerne for politik A, og systemer, som er mærket med "IsLaptop", får tilladelse til at oprette forbindelse til internettet. Hvis politik C tildeles en gruppe i systemtræet over gruppen Engineering, er det muligt for brugere i brugergruppen Administrator at oprette forbindelse til internettet fra alle systemer, herunder systemer i gruppen Engineering mærket "IsServer". Sådan udelader du Active Directory-objekter fra sammenlagte politikker. Da regler bestående af politikker med flere placeringer anvendes på tildelte systemer uden hensyn til prioritering, kan det i nogle tilfælde være nødvendigt at forhindre sammenlægning af politikindstillinger. Du kan forhindre sammenlægning af indstillingerne for brugerbaserede politikker med flere placeringer på tværs af flere regler for politiktildeling ved at udelade en bruger (eller andre Active Directory-objekter som en gruppe eller en OU-struktur), når du opretter reglen. Du kan finde flere oplysninger om de politikker med flere placeringer, der kan bruges til regler for politiktildeling, i produktdokumentationen til det administrerede produkt, som du bruger. Om brugerbaserede politiktildelinger Brugerbaserede regler for politiktildeling gør det muligt at oprette brugerspecifikke politiktildelinger. Disse tildelinger håndhæves i målsystemet, når en bruger logger på. I et administreret system registrerer agenten de brugere, der logger på netværket. De politiktildelinger, du opretter for hver bruger, anvendes til det system, de logger på, og cachelagres under hver agent til server-kommunikation. McAfee ePO anvender de politikker, du har tildelt til hver bruger. Når en bruger logger på et administreret system første gang, kan der være en mindre forsinkelse, mens McAfee Agent kontakter sin tildelte server for de politiktildelinger, der gælder for denne bruger. I løbet af dette tidsrum har brugeren kun adgang til de funktioner, maskinens standardpolitik tillader, hvilket typisk er den mest sikre politik. Hvis du vil bruger brugerbaserede politiktildelinger, skal du registrere og konfigurere en registreret LDAP-server til brug med McAfee ePO-serveren. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 185 15 Administration af politik Regler for politiktildeling Om overførsel af nedarvede regler for politiktildeling Regler for politiktildeling, der blev oprettet vha. en version 4.5 McAfee ePO-server, var som standard brugerbaserede. Ved overførsel af nedarvede regler for politiktildeling uden angivne brugerbaserede kriterier bliver reglerne evalueret som brugerbaserede. Hvis du opretter en ny brugerbaseret regel for politiktildeling, skal du angive mindst ét brugerbaseret kriterie. Anvendelse af dine overførte nedarvede, brugerbaserede regler for politiktildeling medfører, McAfee ePO-serveren udfører et opslag på LDAP-serveren for hvert administrerede system i netværket ved hvert agent til server-kommunikationsinterval. Om systembaserede politiktildelinger Systembaserede politikker gør det muligt at tildele politikker til systemer ved hjælp af systembaserede kriterier. Du kan tildele en systembaseret politik vha. to typer systembaserede kriterier: • Placering i systemtræ – Alle regler for politiktildeling kræver, at placeringen i systemtræ er angivet. • Koder – Tildel politikker til systemer baseret på de koder, du har anvendt. Når du har defineret og anvendt en kode til dine systemer, kan du oprette en regel for politiktildeling til at tildele politikker til systemer med den pågældende kode. Denne funktion er nyttig, hvis du ønsker, at alle systemer af en bestemt type skal have samme sikkerhedspolitik uanset deres placering i Systemtræ. Brug af koder til at tildele systembaserede politikker Brug af koder gør automatisering af politiktildelinger nemmere. Systembaserede politikker, som angiver koder som kriterier, fungerer på samme måde som brugerbaserede politikker. De tildeles på baggrund af nogle udvælgelseskriterier, som du definerer ved hjælp af Generator af politiktildeling. Du kan anvende en bestemt politik på alle de systemer, hvor der er angivet koder, baseret på den pågældende kode. Scenarie: Oprettelse af nye SuperAgenter vha. koder Du har besluttet at oprette et nyt sæt SuperAgenter i miljøet, men du har ikke tid til manuelt at identificere de systemer i systemtræet, der skal være vært for disse SuperAgenter. Du kan i stedet benytte Generator af koder til at anvende en ny kode, "isSuperAgent", på alle de systemer, der opfylder et bestemt sæt kriterier. Når du har bygget koden, kan du oprette en regel for politiktildeling, der anvender SuperAgent-politikindstillingerne på alle de systemer, hvor koden "isSuperAgent" er anvendt. Når koden er oprettet, kan du bruge handlingen Kør kriterier for kode på siden Katalog over koder, og når de enkelte systemer med den nye kode kalder ind jævnligt, tildeles de en ny politik, der er baseret på reglen for politiktildeling "isSuperAgent". Oprettelse af regler for politiktildeling Oprettelse af regler for politiktildeling gør det muligt at håndhæve politikker for brugere eller systemer ud fra konfigurerede kriterier for regel. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 186 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Regler for politiktildeling 15 Opgave 1 2 Åbn Generator af politiktildeling. a Klik på Menu | Politik | Regler for politiktildeling. b Klik på Ny tildelingsregel. Angiv oplysningerne for denne regel for politiktildeling, herunder: • Et entydigt Navn og Beskrivelse. • Regeltype. Den regeltype, du angiver, bestemmer, hvilke kriterier der er tilgængelige på siden Udvælgelseskriterier. Prioriteten for nye regler for politiktildeling tildeles som standard fortløbende på baggrund af antallet eksisterende regler. Når du har oprettet reglen, kan du redigere prioriteten ved at klikke på Rediger prioritet på siden Regler for politiktildeling. 3 Klik på Næste. 4 Klik på Tilføj politik for at vælge de politikker, du ønsker at få gennemtvunget af denne regel for politiktildeling. 5 Klik på Næste. 6 Angiv de kriterier, du ønsker at bruge til denne regel. De valgte kriterier bestemmer, hvilke systemer eller brugere der tildeles denne politik. 7 Gennemgå oversigten, og klik på Gem. Administration af regler for politiktildeling Brug denne tabel til at udføre almindelige administrationsopgaver, når du arbejder med regler for politiktildeling. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 187 15 Administration af politik Oprettelse af forespørgsler om administration af politikker Opgave 1 Klik på Menu | Politik | Regler for politiktildeling. Vælg den handling, som du vil udføre, fra menuen Handlinger eller kolonnen Handlinger. 2 Vælg en af disse handlinger: Handling Trin slette en regel for politiktildeling klikke på Slet i den valgte opgaverække. Rediger en regel for politiktildeling Klik på den valgte opgave. Guiden Generator af politiktildeling åbnes. Arbejd dig gennem hver side i denne guide for at redigere denne regel for politikdeling. Eksportér regler for politiktildeling Klik på Eksportér. Siden Hent regler for politiktildeling åbnes, og du kan se eller hente filen PolicyAssignmentRules.xml. Importér regler for politiktildeling Klik på Importér. Dialogboksen Importér regler for politiktildeling, hvor du kan søge efter en tidligere hentet udgave af filen PolicyAssignmentRules.xml, åbnes. Du bliver bedt om at vælge, hvilke regler i filen du vil importere. Du kan vælge, hvilke regler du vil importere, og hvis nogen regler i filen har det samme navn som reglerne, der allerede findes på listen Regler for politiktildeling, kan du vælge, hvilke du vil bevare. Redigere prioriteten af en regel for politiktildeling Klik på Rediger prioritet. Siden Rediger prioritet åbnes, og du kan ændre prioriteten af handleropgaver med træk og slip-håndtaget. se oversigten over en regel for politiktildeling klikke på > i den valgte opgaverække. Oprettelse af forespørgsler om administration af politikker Hent de politikker, der er tildelt til et administreret system, eller brudte politikker i systemhierarkiet. Du kan oprette en hvilken som helst af følgende forespørgsler om administration af politikker: • Anvendte politikker – Henter politikker, der er tildelt til et angivet administreret system. • Brudt nedarvning – Henter oplysninger om politikker, der er brudt i systemhierarkiet. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og klik derefter på Handlinger | Ny. Guiden Forespørgselsgenerator åbnes. 188 2 Vælg Administration af politikker på listen Funktionslisten på siden Resultattype. 3 Vælg en af disse resultattyper, og klik derefter på Næste for at få vist siden Diagram: • Anvendte klientopgaver • Anvendte politikker • Brudt nedarvning for tildeling af klientopgave • Brudt nedarvning for politiktildeling Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Visning af politikoplysninger 4 15 Vælg diagram- eller tabeltypen til visning af forespørgslens primære resultater, og klik derefter på Næste. Siden Kolonne vises. Hvis du vælger Boolesk cirkeldiagram, skal du konfigurere de kriterier, der skal medtages i forespørgslen. 5 Vælg de kolonner, der skal medtages i forespørgslen, og klik derefter på Næste. Siden Filter vises. 6 Vælg egenskaber for at begrænse søgeresultaterne, og klik derefter på Kør. Siden Forespørgsel, som ikke er gemt viser resultaterne af forespørgslen, som kan behandles. De valgte egenskaber vises i indholdsruden med operatorer, der kan angive kriterier, som begrænser de data, der findes for den pågældende egenskab. 7 8 På siden Ikke gemt forespørgsel skal du foretage de tilgængelige handlinger for elementer i tabeller eller detailsudledningstabeller. • Hvis forespørgslen ikke giver de ønskede resultater, skal du klikke på Rediger forespørgsel for at gå tilbage til forespørgselsgeneratoren og redigere forespørgslens oplysninger. • Klik på Luk, hvis du ikke vil gemme forespørgslen. • Hvis du ønsker at bruge forespørgslen igen, skal du klikke på Gem og fortsætte til næste trin. Skriv et navn for forespørgslen på siden Gem forespørgsel, tilføj eventuelle noter, og vælg et af følgende: • • 9 Ny gruppe – Skriv navnet på den nye gruppe, og vælg en af følgende indstillinger: • Privat gruppe (Mine grupper) • Offentlig gruppe (Delte grupper) Eksisterende gruppe – Vælg gruppen på listen Delte grupper. Klik på Gem. Visning af politikoplysninger Få vist detaljerede oplysninger om politikker, herunder ejere af politikker, tildelinger og nedarvning. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 189 15 Administration af politik Visning af politikoplysninger Opgaver • Visning af grupper og systemer, hvor en politik er tildelt på side 190 Få vist de grupper og systemer, hvor en politik er tildelt. På listen vises kun tildelingspunkter, ikke hver gruppe eller system, der nedarver politikken. • Visning af politikindstillinger på side 190 Få vist oplysninger for en politik, der er tildelt en produktkategori eller et system. • Visning af politikejerskab på side 191 Få vist ejerne af en politik. • Visning af tildelinger, hvor håndhævelse af politik er deaktiveret på side 191 Få vist tildelinger, hvor håndhævelse af politik er deaktiveret • Visning af politikker, der er tildelt en gruppe på side 191 Få vist de politikker, der er tildelt til en systemtrægruppe sorteret efter produkt. • Visning af politikker, der er tildelt et bestemt system på side 191 Få vist de produktpolitikker, der er tildelt til et system i et systemtræ. • Visning af politiknedarvning for en gruppe på side 192 Få vist politiknedarvningen for en bestemt gruppe. • Visning og nulstilling af brudt nedarvning på side 192 Identificer de grupper og systemer, hvor en politiknedarvning er brudt. • Sammenligning af politikker på side 192 Du kan sammenligne ens politikker ved hjælp af Politiksammenligning. Det giver dig mulighed for at bestemme, hvilke indstillinger der er forskellige, og hvilke der er de samme. Visning af grupper og systemer, hvor en politik er tildelt Få vist de grupper og systemer, hvor en politik er tildelt. På listen vises kun tildelingspunkter, ikke hver gruppe eller system, der nedarver politikken. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter et produkt eller en kategori. Alle oprettede politikker for den valgte kategori vises i detaljeruden. 2 Under Tildelinger skal du klikke på det link, der angiver det antal grupper eller systemer, politikken er tildelt (f.eks. 6 tildelinger). På siden Tildelinger vises hver gruppe eller hvert system, hvor politikken er tildelt med nodenavn og nodetype. Visning af politikindstillinger Få vist oplysninger for en politik, der er tildelt en produktkategori eller et system. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter et produkt eller en kategori. Alle oprettede politikker for den valgte kategori vises i detaljeruden. 190 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Visning af politikoplysninger 2 15 Klik ud for en politik. Politiksiderne og de tilhørende indstillinger vises. Du kan også få vist disse oplysninger, når du får adgang til de tildelte politikker for en bestemt gruppe. Hvis du vil se disse oplysninger, skal du klikke på Menu | Systemer | Systemtræ | Tildelte politikker, og derefter klikke på linket for den valgte politik i kolonnen Politik. Visning af politikejerskab Få vist ejerne af en politik. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter et produkt eller en kategori. Alle oprettede politikker for den valgte kategori vises i detaljeruden. 2 Ejerne af politikken vises under Ejer. Visning af tildelinger, hvor håndhævelse af politik er deaktiveret Få vist tildelinger, hvor håndhævelse af politik er deaktiveret Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter et produkt eller en kategori. Alle oprettede politikker for den valgte kategori vises i detaljeruden. 2 Klik på linket ud for Status for håndhævelse for produkt, som angiver antallet af opgaver, om nogen, hvor håndhævelse er deaktiveret. Siden Håndhævelse for <navn på politik> vises. 3 Klik på et element på listen for at gå til siden Tildelte politikker. Visning af politikker, der er tildelt en gruppe Få vist de politikker, der er tildelt til en systemtrægruppe sorteret efter produkt. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Tildelte politikker, og vælg derefter en gruppe i systemtræet. Alle tildelte politikker, der er organiseret efter produkt, vises i detaljeruden. 2 Klik på en politik for at få vist indstillinger for politikken. Visning af politikker, der er tildelt et bestemt system Få vist de produktpolitikker, der er tildelt til et system i et systemtræ. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Systemer, og vælg derefter en gruppe i systemtræet. Alle de systemer, der tilhører gruppen, vises i detaljeruden. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 191 15 Administration af politik Visning af politikoplysninger 2 Markér systemet, og klik derefter på Handlinger | Agent | Rediger politikker på et enkelt system. 3 Vælg produktet. Produktets politikker, der er tildelt dette system, vises. 4 Klik på en politik for at få vist indstillinger for politikken. Visning af politiknedarvning for en gruppe Få vist politiknedarvningen for en bestemt gruppe. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Tildelte politikker. Alle tildelte politikker, der er organiseret efter produkt, vises i detaljeruden. 2 I rækken med politikken under Nedarv fra vises navnet på den gruppe, som politikken er nedarvet fra. Visning og nulstilling af brudt nedarvning Identificer de grupper og systemer, hvor en politiknedarvning er brudt. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Systemer | Systemtræ | Tildelte politikker. Alle tildelte politikker, der er organiseret efter produkt, vises i detaljeruden. I politikrækken under Brudt nedarvning vises antallet af grupper og systemer, hvor nedarvningen for denne politik er brudt. Dette er antallet af grupper eller systemer, hvor politiknedarvningen er brudt, ikke antallet af systemer, som ikke nedarver politikken. Hvis en enkelt gruppe f.eks. ikke nedarver politikken, angives dette med 1 nedarver ikke, uanset antallet af systemer i gruppen. 2 Klik på linket, der angiver antallet af underordnede grupper eller systemer, der har brudt nedarvning. På siden Visning af brudt nedarvning vises en liste med navnene på disse grupper og systemer. 3 Hvis du vil nulstille nedarvning for nogle af disse, skal du markere afkrydsningsfeltet ud for navnet, klikke på Handlinger og derefter vælge Nulstil nedarvning. Sammenligning af politikker Du kan sammenligne ens politikker ved hjælp af Politiksammenligning. Det giver dig mulighed for at bestemme, hvilke indstillinger der er forskellige, og hvilke der er de samme. Mange af de værdier og variabler, som fremgår af siden Politiksammenligning, er specifikke for det bestemte produkt. Se dokumentationen til det produkt, som indeholder den politik, du vil sammenligne, for at få en definition af indstillinger, som ikke er angivet i tabellen. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politiksammenligning. Vælg derefter de ønskede indstillinger for Produkt, Kategori og Vis. Disse indstillinger udfylder de politikker, der skal sammenlignes på listerne Politik 1 og Politik 2. 192 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Administration af politik Deling af politikker mellem McAfee ePO-servere 2 15 Vælg de politikker, der skal sammenlignes, i rækken Sammenligning på politikker på kolonnelisterne Politik 1 og Politik 2. I de to øverste rækker i tabellen vises antallet af indstillinger, der er forskellige og identiske. Du kan også ændre indstillingen Vis, så de viste data reduceres, fra Alle politikindstillinger til Forskelle i politikker og Overensstemmende politikker. 3 Klik på Udskriv for at åbne sammenligningen i en visning, der kan udskrives. Deling af politikker mellem McAfee ePO-servere Administratorer anvender politikdeling til at angive, at politikker, der er udviklet på en server, overføres til og implementeres på andre servere. Administratorer skal kun udføre tre trin for at dele politikker mellem servere. 1 Angive politikken til deling. 2 Registrere de servere, der skal dele politikken. 3 Planlægge en serveropgave til distribution af den delte politik. Distribution af politikker til flere McAfee ePO-servere Konfigurer politikdeling til brug sammen med flere McAfee ePO-servere. McAfee anbefaler, at du fuldfører disse opgaver i den rækkefølge, de nævnes her. Hvis politikken skal ændres, efter at den er blevet delt, skal du redigere politikken og køre opgaven til delte politikker igen. Det er en god ide at informere lokale administratorer om ændringen. Opgaver • Registrering af servere til politikdeling på side 193 Registrer de servere, der skal dele en politik. • Angivelse af politikker for deling på side 194 Du kan angive en politik for deling for flere McAfee ePO-servere. • Planlægning af serveropgaver til deling af politikker på side 194 Du kan planlægge en serveropgave, så politikker deles mellem flere McAfee ePO-servere. Registrering af servere til politikdeling Registrer de servere, der skal dele en politik. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Registrerede servere, og klik derefter på Ny server. Guiden Generator for registrerede servere åbnes på siden Beskrivelse. 2 Vælg menuen Servertype, og vælg ePO, angiv et navn og noter, og klik på Næste. Siden Oplysninger vises. 3 Angiv eventuelle oplysninger om serveren, klik på Aktivér i feltet Politikdeling, og klik derefter på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 193 15 Administration af politik Distribution af politikker til flere McAfee ePO-servere Angivelse af politikker for deling Du kan angive en politik for deling for flere McAfee ePO-servere. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, klik derefter på menuen Produkt, og vælg det produkt, hvis politik du vil dele. 2 Klik på Del i kolonnen Handlinger for den politik, der skal deles. Der udføres automatisk en pushinstallation for politikker på McAfee ePO-servere med aktiveret politikdeling. Når du klikker på Del i trin 2, udføres der straks en pushinstallation på alle registrerede McAfee ePO-servere, der har politikdeling aktiveret. På samme måde udføres der en pushinstallation af ændringer af delte politikker. Planlægning af serveropgaver til deling af politikker Du kan planlægge en serveropgave, så politikker deles mellem flere McAfee ePO-servere. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. Guiden Generator af serveropgave åbnes. 2 Angiv navnet på opgaven og eventuelt noter på siden Beskrivelse, og klik derefter på Næste. Siden Handlinger vises. Nye serveropgaver aktiveres som standard. Hvis du ikke vil aktivere denne opgave, skal du vælge Deaktiveret i feltet Status for plan. 194 3 Vælg Del politikker i rullemenuen Handlinger, og klik derefter på Næste. Siden Plan vises. 4 Angiv planen for denne opgave, og klik derefter på Næste. Siden Oversigt vises. 5 Gennemgå oversigtsoplysningerne, og klik derefter på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 16 Klientopgaver Opret og planlæg klientopgaver for at automatisere administrationen af systemer på dit netværk. De udvidelsesfiler, der er installeret på McAfee ePO-serveren, bestemmer, hvilke klientopgaver der er tilgængelige. Klientopgaver bruges normalt til følgende aktiviteter. • Produktinstallation • Produktfunktioner (for eksempel VirusScan Enterprise-scanningsopgaven på bestilling) • Opgraderinger og opdateringer Du kan finde oplysninger om de tilgængelige klientopgaver, og hvad du kan bruge dem til, i produktdokumentationen til dine administrerede produkter. Indhold Sådan fungerer kataloget over klientopgaver Installationsopgaver Brug af opgaven Produktinstallation til installation af produkter på administrerede systemer Opdatering af opgaver Administration af klientopgaver Sådan fungerer kataloget over klientopgaver Brug kataloget over klientopgaver til at oprette klientopgaveobjekter, som du kan genbruge til at hjælpe med at administrere systemer på netværket. I kataloget over klientopgaver anvendes konceptet logiske objekter på ePolicy Orchestrator-klientopgaver. Du kan oprette klientopgaveobjekter til flere forskellige formål, uden at du behøver at tildele dem med det samme. Det betyder, at du kan behandle disse objekter som genbrugskomponenter, når du tildeler og planlægger klientopgaver. Klientopgaver kan tildeles på et hvilket som helst niveau i systemtræet og nedarves af grupper og systemer længere nede i træet. Som det er tilfældet for politikker og politiktildelinger, kan du bryde nedarvningen for en tildelt klientopgave. Klientopgaveobjekter kan deles på tværs af flere registrerede McAfee ePO-servere i dit miljø. Når klientopgaveobjekter er indstillet til at blive delt, modtager hver registreret server en kopi, når serveropgaven Del klientopgave er kørt. Eventuelle ændringer af opgaven opdateres, hver gang den kører. Når et klientopgaveobjekt er delt, er det kun ejeren af objekter, der kan ændre indstillingerne for det. Administratorer, som modtager en delt opgave på destinationsserveren, er ikke ejere af den delte opgave. Ingen af brugerne på destinationsserveren er ejere af de delte opgaveobjekter, som destinationsserveren modtager. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 195 16 Klientopgaver Installationsopgaver Installationsopgaver Installationsopgaver er klientopgaver, som bruges til at installere administrerede sikkerhedsprodukter på administrerede systemer fra hovedlageret. Du kan oprette og administrere individuelle installationsopgaveobjekter ved hjælp af kataloget over klientopgaver og derefter tildele dem til at køre på grupper eller individuelle systemer. Du kan også oprette projekter af typen Produktinstallation for at installere produkter på dine systemer. Projekter af typen Produktinstallation automatiserer processen til oprettelse og planlægning af de enkelte klientopgaveobjekter. De indeholder samtidig yderligere funktioner til automatisk administration. Vigtige overvejelser Når du beslutter, hvordan du vil faseinddele din produktinstallation, skal du overveje følgende: • Pakkestørrelse og tilgængelig båndbredde mellem hovedlageret og de administrerede systemer. Ud over at der er risiko for at overbelaste McAfee ePO-serveren eller netværket, kan installation af produkter på mange systemer gøre det mere kompliceret at foretage fejlfinding af problemer. • En faseopdelt udrulning med samtidig installation af produkter på systemgrupper. Hvis dine netværksforbindelser er hurtige, kan du prøve at installere på flere hundrede klienter på én gang. Hvis du har langsommere eller mindre pålidelige netværksforbindelser, skal du prøve med mindre grupper. Mens du installerer i de enkelte grupper, skal du overvåge installationen, køre rapporter for at kontrollere, at installationen udføres korrekt, og foretage fejlfinding af eventuelle problemer i de enkelte systemer. Installation af produkter på udvalgte systemer Hvis du installerer McAfee-produkter eller –komponenter, der er installeret på undersæt af dine administrerede systemer: 1 Brug en kode til at identificere disse systemer. 2 Flyt de markerede systemer til en gruppe. 3 Konfigurer en klientopgave til produktinstallation for gruppen. Installationspakker til produkter og opdateringer ePolicy Orchestrator-infrastrukturen til softwareinstallation understøtter installation af produkter og komponenter samt opdatering af begge dele. Alle de McAfee-produkter, der kan installeres med ePolicy Orchestrator, omfatter en ZIP-fil med en produktinstallationspakke. ZIP-filen indeholder produktinstallationsfiler, der er komprimeret i et sikkert format. MedePolicy Orchestrator kan du installere disse pakker i et hvilket som helst administreret system, når de første er tjekket ind i hovedlageret. Disse ZIP-filer bruges til både registreringsdefinitionspakker (DAT) og programopdateringspakker. Du kan konfigurere politikindstillinger for produktet før eller efter installationen. McAfee anbefaler, at du konfigurerer politikindstillinger, før du installerer produktet i netværkssystemer. Det sparer tid og sikrer, at systemerne er beskyttet så hurtigt som muligt. Disse pakketyper kan tjekkes ind i hovedlageret med trækkeopgaver eller manuelt. 196 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Klientopgaver Installationsopgaver 16 Understøttede pakketyper Pakketype Beskrivelse Oprindelse SuperDAT-filer (SDAT.exe) SuperDAT-filerne indeholder både DAT- og programfiler i én opdateringspakke. Hvis båndbredde er et problem, anbefaler McAfee, at du opdaterer DAT- og programfiler hver for sig. McAfees websted. Hent og tjek SuperDAT-filer ind i hovedlageret manuelt. ExtraDAT-filerne er rettet mod en eller flere bestemte trusler, der er fremkommet, siden den sidste DAT-fil blev udsendt. Hvis truslen har en høj alvorlighed, skal du straks distribuere ExtraDAT-filen i stedet for at vente, til den pågældende signatur føjes til den næste DAT-fil. ExtraDAT-filer kommer fra McAfees websted. Du kan distribuere dem via ePolicy Orchestrator. ExtraDAT-filer hentes ikke med trækkeopgaver. McAfees websted. Hent og tjek ExtraDAT-filer ind i hovedlageret manuelt. En produktinstallationspakke indeholder installationssoftwaren til et McAfee-produkt. Produkt-cd eller hentet ZIP-fil med produkt. Tjek produktinstallationspakker ind i hovedlageret manuelt. Se særlige placeringer i dokumentationen til det pågældende produkt. En sprogpakke til agent indeholder de filer, der skal bruges til at vise agentoplysninger på et lokalt sprog. Hovedlager – tjekket ind ved installation. Ved fremtidige versioner af agenten, skal du tjekke sprogpakkerne til agent ind i hovedlageret manuelt. Filtype: SDAT.exe Supplerende registreringsdefinitionsfiler (ExtraDAT) Filtype: ExtraDAT Produktinstallations- og opdateringspakker Filtype: zip Sprogpakker til agent Filtype: zip Signering af og sikkerhed for pakke Alle pakker, der er oprettet og distribueret af McAfee, er signeret med et nøglepar ved hjælp af DSA-systemet (Digital Signature Algorithm) til signaturgodkendelse og er krypteret med 168-bit 3DES-kryptering. En nøgle bruges til at kryptere eller dekryptere følsomme data. Du får besked, når du tjekker sider ind, der ikke er signeret af McAfee. Hvis du har tillid til pakkens indhold og gyldighed, kan du fortsætte med indtjekningen. Disse pakker er sikret på samme måde som beskrevet ovenfor, men signeres af ePolicy Orchestrator, når de tjekkes ind. Digitale signaturer garanterer, at pakkerne stammer fra McAfee eller er tjekket ind af dig, og at de ikke er ændret på ulovlig vis eller beskadiget. I agenten er der kun tillid til pakkefiler, der er signeret af ePolicy Orchestrator eller McAfee. Dette beskytter netværket mod pakker fra usignerede kilder eller kilder, der ikke er tillid til. Pakkerækkefølge og afhængigheder Hvis en produktopdatering er afhængig af en anden opdatering, skal du tjekke opdateringspakkerne ind i hovedlageret i den påkrævede rækkefølge. Hvis programrettelse 2 f.eks. kræver programrettelse 1, skal du tjekke programrettelse 1 ind før programrettelse 2. Pakkernes rækkefølge kan ikke ændres, når de først er tjekket ind. Du skal fjerne dem og tjekke dem ind igen i den rigtige rækkefølge. Hvis du tjekker en pakke ind, der afløser en eksisterende pakke, fjernes den eksisterende pakke automatisk. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 197 16 Klientopgaver Installationsopgaver Installation af produkter og opdateringer Med infrastrukturen af McAfee ePO-lageret har du mulighed for at installere produkter og opdateringspakker på administrerede systemer fra en central placering. Selv om det samme lager anvendes, er der forskelle. Produktinstallation i forhold til opdateringspakker Produktinstallationspakker Opdateringspakker Skal tjekkes ind i hovedlageret manuelt. DAT- og programopdateringspakker kan kopieres automatisk fra kildewebstedet med en trækkeopgave. Alle andre opdateringspakker skal tjekkes ind i hovedlageret manuelt. Kan replikeres til hovedlageret og installeres automatisk på administrerede systemer ved hjælp af en installationsopgave. Kan replikeres til hovedlageret og installeres automatisk på administrerede systemer med global opdatering. Hvis en installationsopgave ikke implementerer global opdatering for produktinstallation, skal den konfigureres og planlægges, så administrerede systemer kan hente pakken. Hvis en klientopgave for opdatering ikke implementerer global opdatering for produktopdatering, skal den konfigureres og planlægges, så administrerede systemer kan hente pakken. Produktinstallations- og opdateringsproces Følg denne proces på højt niveau for distribution af DAT- og programopdateringspakker. 1 Tjek opdateringspakken ind i hovedlageret med en trækkeopgave eller manuelt. 2 Foretag dig et af følgende: • Hvis du bruger global opdatering, skal du oprette og planlægge en opdateringsopgave for bærbare computere, der forlader netværket. • Hvis du ikke bruger global opdatering, skal du udføre følgende opgaver. 1 Brug en replikeringsopgave til at kopiere indholdet fra hovedlageret. 2 Opret og planlæg en opdateringsopgave for agenter for at hente og installere opdateringen på administrerede systemer. Konfiguration af installation af produkter og opdateringer første gang Benyt denne fremgangsmåde for at sikre, at installationen af produkter og opdateringer fuldføres på den korrekte måde. Når du installerer produkter første gang: 198 1 Konfigurer serveropgaver til lagertræk og replikering af lager. 2 Tjek produkt- og opdateringspakkerne ind i hovedlageret ved hjælp af Softwarestyring. 3 Konfigurer klientopgaver for produktinstallation og opdatering. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Klientopgaver Brug af opgaven Produktinstallation til installation af produkter på administrerede systemer 16 Installationskoder Når der oprettes en installationsopgave, oprettes der automatisk en kode med opgavenavnet, som bruges på de systemer, hvor opgaven håndhæves. Disse koder føjes til gruppen Installationskoder på siden Katalog over koder, hver gang en installationsopgave oprettes og håndhæves på systemerne. Denne gruppe er skrivebeskyttet, og koder i denne gruppe kan ikke manuelt anvendes, ændres eller slettes i en kriteriekonfiguration med henblik på at filtrere systemer. Brug af opgaven Produktinstallation til installation af produkter på administrerede systemer Installér produkter til administrerede systemer med klientopgaven til produktinstallation. Du kan oprette denne opgave for et enkelt system eller for grupper af systemtræet. Opgaver • Konfiguration af installationsopgaven for grupper af administrerede systemer på side 199 Konfigurer en produktinstallationsopgave for at installere produkter i grupper af administrerede systemer i systemtræet. • Konfiguration af en installationsopgave for at installere produkter i et administreret system på side 200 Installér produkter på et enkelt system ved hjælp af en produktinstallationsopgave. Konfiguration af installationsopgaven for grupper af administrerede systemer Konfigurer en produktinstallationsopgave for at installere produkter i grupper af administrerede systemer i systemtræet. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åbn dialogboksen Ny opgave. a Klik på Menu | Politik | Katalog over klientopgaver. b Under Klientopgavetyper skal du vælge McAfee Agent | Produktinstallation. c Klik på Ny opgave. 2 Kontrollér, at Produktinstallation er valgt, og klik derefter på OK. 3 Skriv et navn på den opgave, du opretter, og tilføj eventuelle bemærkninger. 4 Vælg den type platform, der skal bruge installationen, ud for Destinationsplatforme. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 199 16 Klientopgaver Brug af opgaven Produktinstallation til installation af produkter på administrerede systemer 5 Angiv følgende ud for Produkter og komponenter: • Vælg et produkt på den første rulleliste. De anførte produkter er dem, du allerede har tjekket ind i hovedlageret. Hvis det produkt, du vil installere, ikke vises her, skal du først tjekke produktpakken ind. • Angiv Handling til Installér, og vælg derefter sprog for pakken samt dens forgrening. • Du kan angive installationsindstillinger for kommandolinjer ved at skrive indstillingerne i tekstfeltet Kommandolinje. Du kan finde flere oplysninger om indstillinger for kommandolinjerne for det produkt, du installerer, i produktdokumentationen. Du kan klikke på + eller – for at tilføje eller fjerne produkter og komponenter fra den viste liste. 6 Ud for Indstillinger skal du vælge, om du vil køre denne opgave for alle politikprocesser (kun Windows) og derefter klikke på Gem. 7 Klik på Menu | Systemer | Systemtræ | Tildelte klientopgaver, og vælg derefter den påkrævede gruppe i systemtræet. 8 Vælg filteret Forudindstillet som Produktinstallation (McAfee Agent). Hver tildelt klientopgave pr. valgt kategori vises i detaljeruden. 9 Klik på Handlinger | Ny tildeling af klientopgave. 10 Gå til siden Vælg opgave, vælg Produkt som McAfee Agent og Opgavetype som Produktinstallation, og vælg derefter den opgave, du har oprettet til produktinstallation. 11 Ud for Koder skal du vælge de platforme, du vil installere pakkerne på, og derefter klikke på Næste: • Send denne opgave til alle computere • Send kun denne opgave til computere, som opfylder følgende kriterier – Klik på Rediger ved siden af det kriterie, du vil konfigurere, vælg kodegruppen, vælg de koder, kriteriet skal indeholde, og klik derefter på OK. Hvis listen kun skal omfatte bestemte koder, skal du indtaste kodenavnet i tekstfeltet under Koder. 12 Vælg, om planen er aktiveret, på siden Plan, og angiv oplysningerne om planen. Klik derefter på Næste. 13 Gennemgå oversigten, og klik derefter på Gem. Konfiguration af en installationsopgave for at installere produkter i et administreret system Installér produkter på et enkelt system ved hjælp af en produktinstallationsopgave. Opret en klientopgave til produktinstallation for et enkelt system, hvis det pågældende system kræver følgende: • Installation af et produkt, som andre systemer i samme gruppe ikke kræver. • En anden plan end andre systemer i gruppen. Det kan f.eks. være aktuelt, hvis et system befinder sig i en anden tidszoner end de andre systemer. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 200 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Klientopgaver Brug af opgaven Produktinstallation til installation af produkter på administrerede systemer 16 Opgave 1 Åbn dialogboksen Ny opgave. a Klik på Menu | Politik | Katalog over klientopgaver. b Under Klientopgavetyper skal du vælge McAfee Agent | Produktinstallation. c Klik på Ny opgave. 2 Kontrollér, at Produktinstallation er valgt, og klik derefter på OK. 3 Skriv et navn på den opgave, du opretter, og tilføj eventuelle bemærkninger. 4 Vælg den type platform, der skal bruge installationen, ud for Destinationsplatforme. 5 Angiv følgende ud for Produkter og komponenter: • Vælg et produkt på den første rulleliste. De viste produkter er de produkter, hvor du allerede har tjekket en pakke ind i hovedlageret. Hvis det produkt, du vil installere, ikke vises her, skal du først tjekke produktpakken ind. • Angiv Handling til Installér, og vælg derefter sprog for pakken samt dens forgrening. • Du kan angive installationsindstillinger for kommandolinjer ved at skrive indstillinger for kommandolinjer i tekstfeltet Kommandolinje. Du kan finde flere oplysninger om indstillinger for kommandolinjerne for det produkt, du installerer, i produktdokumentationen. Du kan klikke på + eller – for at tilføje eller fjerne produkter og komponenter fra den viste liste. 6 Ud for Indstillinger skal du vælge, om du vil køre denne opgave for alle processer til håndhævelse af politikker (kun Windows), og derefter klikke på Gem. 7 Klik på Menu | Systemer | Systemtræ | Systemer. Vælg derefter det system, du vil installere produktet på, og klik derefter på Handlinger | Agent | Rediger opgaver på et enkelt system. 8 Klik på Handlinger | Ny tildeling af klientopgave. 9 Gå til siden Vælg opgave, vælg Produkt som McAfee Agent og Opgavetype som Produktinstallation, og vælg derefter den opgave, du har oprettet til produktinstallation. 10 Ud for Koder skal du vælge de platforme, du vil installere pakkerne på, og derefter klikke på Næste: • Send denne opgave til alle computere • Send kun denne opgave til computere, som opfylder følgende kriterier – Klik på Rediger ved siden af det kriterie, du vil konfigurere, vælg kodegruppen, vælg de koder, kriteriet skal indeholde, og klik derefter på OK. Hvis listen kun skal omfatte bestemte koder, skal du indtaste kodenavnet i tekstfeltet under Koder. 11 Vælg, om planen er aktiveret, på siden Plan, og angiv oplysningerne om planen. Klik derefter på Næste. 12 Gennemgå oversigten, og klik derefter på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 201 16 Klientopgaver Opdatering af opgaver Opdatering af opgaver Hvis du ikke bruger global opdatering, skal du bestemme, hvornår agenter på administrerede systemer skal søge efter opdateringer. Du kan oprette og konfigurere opdateringsklientopgaver for at styre, hvornår og hvordan administrerede systemer modtager opdateringspakker. Hvis du ikke bruger global opdatering, er oprettelse af disse opgaver den eneste måde, du kan kontrollere klientopdateringer med softwaren ePolicy Orchestrator. Hvis du bruger global opdatering, er denne opgave ikke nødvendig, selvom du kan oprette en daglig opgave af hensyn til redundans. Overvejelser i forbindelse med oprettelse af opdateringsklientopgaver Overvej følgende, når du planlægger klientopdateringsopgaver: • Opret en daglig klientopdateringsopgave på det højeste niveau i systemtræet, så alle systemer nedarver opgaven. Hvis organisationen er stor, kan du benytte tilfældighedsintervaller for at reducere påvirkningen af båndbredden. I forbindelse med netværk i forskellige tidszoner kan du justere belastningen af netværket ved at køre opgaven i den lokale systemtid for det administrerede system i stedet for på samme tidspunkt for alle systemer. • Hvis du bruger planlagte replikeringsopgaver, skal du planlægge opgaven til mindst én time efter den planlagte replikeringsopgave. • Kør opdateringsopgaver for DAT- og programfiler mindst én gang om dagen. Administrerede systemer kan være logget af netværket, hvilket medfører, at de ikke omfattes af den planlagte opgave. Hvis du kører opgaven regelmæssigt, sikrer du, at disse systemer modtager opdateringen. • Maksimer båndbreddeeffektiviteten, og opret adskillige planlagte klientopgaver, der opdaterer separate komponenter og kører på forskellige tidspunkter. Du kan f.eks. oprette en opgave til opdatering af DAT-filer alene og derefter oprette en anden opgave til opdatering af både DAT- og programfiler ugentligt eller månedligt (programpakker frigives mindre ofte). • Opret og planlæg flere opgaver til opdatering af produkter, der ikke benytter agenten til Windows. • Opret en opgave til opdatering af programmer på hovedarbejdsstationen for at sikre, at de alle modtager opdateringsfilerne. Planlæg opgaven til at køre dagligt eller flere gange om dagen. Regelmæssig opdatering af administrerede systemer med en planlagt opdateringsopgave Opret og konfigurer opdateringsopgaver. Hvis du bruger global opdatering, anbefales det, at du bruger en daglig klientopdateringsopgave for at sikre, at systemerne er opdateret med de nyeste DAT- og programfiler. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 202 Åbn dialogboksen Ny opgave. a Klik på Menu | Politik | Katalog over klientopgaver. b Under Klientopgavetyper skal du vælge McAfee Agent | Produktinstallation. c Klik på Ny opgave. 2 Kontrollér, at Produktopdatering er valgt, og klik derefter på OK. 3 Skriv et navn på den opgave, du opretter, og tilføj eventuelle bemærkninger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Klientopgaver Opdatering af opgaver 16 4 Vælg, om du vil gøre brugerne opmærksomme på, at en opdatering er i gang, og om du vil gøre det muligt for dem at udskyde processen, ud for dialogboksen Opdatering i gang. 5 Vælg en af disse ud for Pakketyper, og klik derefter på Gem: • Alle pakker • Valgte pakker – Hvis denne indstilling er valgt, skal du konfigurere, hvilke af følgende der skal inkluderes: • Signaturer og programmer Hvis du under konfigurationen af individuelle signaturer og programmer vælger Program og fravælger DAT, når det nye program opdateres, opdateres en ny DAT-fil automatisk for at sikre fuldstændig beskyttelse. • Programrettelser og servicepakker 6 Klik på Menu | Systemer | Systemtræ | Systemer, vælg det system, som produktopdateringen skal installeres på, og klik derefter på Handlinger | Agent | Rediger opgaver på et enkelt system. 7 Klik på Handlinger | Ny tildeling af klientopgave. 8 Foretag følgende valg på siden Vælg opgave: Indstilling Valg Produkt McAfee Agent Opgavetype Produktinstallation Vælg derefter den opgave, du oprettede, for installation af produktopdateringen. 9 Ud for Koder skal du vælge de platforme, du vil installere pakkerne på, og derefter klikke på Næste: • Send denne opgave til alle computere • Send kun denne opgave til computere, som opfylder følgende kriterier – Klik på Rediger ved siden af det kriterie, du vil konfigurere, vælg kodegruppen, vælg de koder, kriteriet skal indeholde, og klik derefter på OK. Hvis listen kun skal omfatte bestemte koder, skal du indtaste kodenavnet i tekstfeltet under Koder. 10 Vælg, om planen er aktiveret, på siden Plan, og angiv oplysningerne om planen. Klik derefter på Næste. 11 Gennemgå oversigten, og klik derefter på Gem. Opgaven føjes til listen over klientopgaver for de grupper og systemer, den anvendes på. Agenterne modtager oplysningerne om den nye opdateringsopgave, næste gang de kommunikerer med serveren. Hvis opgaven aktiveres, kører opdateringsopgaven ved den næste forekomst af den planlagte dag og tidspunkt. Hvert system opdateres fra det relevante lager, afhængigt af hvordan politikkerne for den pågældende klients agent er konfigureret. Bekræftelse af, at klienter bruger de nyeste DAT-filer Kontrollér DAT-filernes version på administrerede systemer ved hjælp af forespørgsler. • Klik på Menu | Rapportering | Forespørgsler, og vælg VSE: DAT-installation på listen forespørgsler, og klik derefter på Handlinger | Kør. Du kan finde flere oplysninger om denne forespørgsel i dokumentationen til VirusScan Enterprise. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 203 16 Klientopgaver Administration af klientopgaver Evaluering af nye DAT- og programfiler før distribution Du kan eventuelt teste DAT- og programfiler i nogle få systemer, før du installerer dem i hele organisationen. Du kan teste opdateringspakker ved hjælp af forgreningen Evaluering i hovedlageret. ePolicy Orchestrator-softwaren omfatter tre lagerforgreninger til dette formål. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Opret en planlagt lagertrækopgave, der kopierer opdateringspakker i evalueringsforgreningen i hovedlageret. Planlæg den, så den kører, når McAfee har udsendt opdaterede DAT-filer. 2 Opret eller vælg en gruppe i systemtræet, der skal fungere som evalueringsgruppe, og opret en McAfee Agent-politik, så kun evalueringsforgreningen bruges i systemerne (i afsnittet Valg af opdatering for lagerforgrening under fanen Opdateringer). Politikkerne træder i kraft, næste gang McAfee Agent kommunikerer med serveren. Næste gang agenten opdateres, hentes opdateringerne i evalueringsforgreningen. 3 Opret en planlagt klientopgave til opdatering for de evalueringssystemer, der bruges til opdatering af DAT- og programfiler fra evalueringsforgreningen i lageret. Planlæg den, så den kører en eller to timer, efter at lagertrækopgaven er planlagt til at starte. Den opgave til evalueringsopdatering, der er oprettet på evalueringsgruppeniveau, bevirker, at den kun kører for den pågældende gruppe. 4 Overvåg systemerne i evalueringsgruppen, indtil du er tilfreds. 5 Flyt pakkerne fra evalueringsforgreningen til den nuværende forgrening i hovedlageret. Klik på Menu | Software | Hovedlager for at åbne siden Hovedlager. Når de føjes til den nuværende forgrening, bliver de tilgængelige for produktionsmiljøet. Næste gang der køres en klientopgave til opdatering, der henter pakker i den nuværende forgrening, distribueres de nye DAT- og programfiler til systemer, der bruger opgaven. Administration af klientopgaver Opret og vedligehold klientopgaver. Opgaver 204 • Oprettelse af klientopgaver på side 205 Brug klientopgaver til eksempelvis automatisk installation af produktsoftware og udførelse af produktopdateringer. Processen er den samme for alle klientopgaver. • Redigering af klientopgaver på side 205 Du kan redigere indstillinger for klientopgaver eller planoplysninger, som du tidligere har konfigureret. • Sletning af klientopgaver på side 205 Du kan slette klientopgaver, som du tidligere har konfigureret. • Sammenligning af klientopgaver på side 206 Sammenlign ens klientopgaver ved hjælp af værktøjet Sammenligning af klientopgaver. Det giver dig mulighed for at se, hvilke indstillinger der er forskellige, og hvilke der er de samme. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Klientopgaver Administration af klientopgaver 16 Oprettelse af klientopgaver Brug klientopgaver til eksempelvis automatisk installation af produktsoftware og udførelse af produktopdateringer. Processen er den samme for alle klientopgaver. I nogle tilfælde skal du oprette en ny tildeling af klientopgave for at knytte en klientopgave til en gruppe i et Systemtræ. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 2 Åbn dialogboksen Ny opgave. a Klik på Menu | Politik | Katalog over klientopgaver. b Under Klientopgavetyper skal du vælge McAfee Agent | Produktinstallation. c Klik på Ny opgave. Vælg en opgavetype på listen, og klik på OK, hvorefter guiden Generator af klientopgave åbnes. Vælg for eksempel Produktopdateringer. 3 Angiv et navn på den opgave, du opretter. Tilføj en beskrivelse, og konfigurer derefter indstillingerne for den bestemte opgavetype, du opretter. De tilgængelige konfigurationsindstillinger afhænger af den valgte opgavetype. 4 Gennemgå opgaveindstillingerne, og klik derefter på Gem. Opgaven føjes til listen med klientopgaver for den valgte klientopgavetype. Redigering af klientopgaver Du kan redigere indstillinger for klientopgaver eller planoplysninger, som du tidligere har konfigureret. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Politik | Katalog over klientopgaver, hvorefter dialogboksen Katalog over klientopgaver vises. 2 Vælg klientopgavetypen i navigationstræet til venstre, hvorefter de tilgængelige klientopgaver vises i vinduet til højre. 3 Dobbeltklik på navnet på klientopgaven, så den vises i dialogboksen Katalog over klientopgaver. 4 Rediger opgaveindstillingerne efter behov, og klik derefter på Gem. De administrerede systemer modtager disse ændringer, næste gang agenten kommunikerer med serveren. Sletning af klientopgaver Du kan slette klientopgaver, som du tidligere har konfigureret. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 205 16 Klientopgaver Administration af klientopgaver Opgave 1 Klik på Menu | Politik | Katalog over klientopgaver og dialogboksen Katalog over klientopgaver åbnes. 2 Vælg Klientopgavetype i navigationstræet til venstre, hvorefter de tilgængelige klientopgaver vises i vinduet til højre. 3 I kolonnen Handlinger skal du klikke på Slet ud for klientopgaven. 4 Klik på OK. Sammenligning af klientopgaver Sammenlign ens klientopgaver ved hjælp af værktøjet Sammenligning af klientopgaver. Det giver dig mulighed for at se, hvilke indstillinger der er forskellige, og hvilke der er de samme. Mange af de værdier og variabler, som fremgår af denne side, er specifikke for det bestemte produkt. Se dokumentationen til det produkt, som indeholder den klientopgave, du vil sammenligne, for at få en definition af indstillinger, som ikke er angivet i tabellen. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Sammenligning af klientopgaver, vælg derefter et Produkt, Klientopgavetype og indstillingerne Vis på listerne. Disse indstillinger udfylder de klientopgaver, der skal sammenlignes på listerne Klientopgave 1 og Klientopgave 2. 2 Vælg de klientopgaver, der skal sammenlignes, i rækken Sammenlign klientopgaver på kolonnelisterne Klientopgave 1 og Klientopgave 2. I de to øverste rækker i tabellen vises antallet af indstillinger, der er forskellige og identiske. Du kan reducere mængden af viste data ved også at ændre indstillingen Vis fra Alle indstillinger for klientopgaver til Forskelle i klientopgaver og Overensstemmende klientopgaver. 3 206 Klik på Udskriv for at åbne en udskriftsvenlig visning af denne sammenligning. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 17 Serveropgaver Serveropgaver er konfigurerbare handlinger, der kører på McAfee ePO-serveren efter en tidsplan. Benyt serveropgaver til at automatisere gentagne serveropgaver, der skal udføres på serveren. Softwaren ePolicy Orchestrator indeholder som standard forudkonfigurerede serveropgaver og handlinger. De fleste af de ekstra softwareprodukter, som du administrerer med McAfee ePO-serveren, tilføjer også forudkonfigurerede serveropgaver. Indhold Global opdatering Automatisk installation af opdateringspakker med global opdatering Trækkeopgaver Replikeringsopgaver Lagervalg Accepteret Cron-syntaks ved planlægning af en serveropgave Visning af oplysninger om serveropgave i log over serveropgave Konfigurer Product Improvement Program Afinstaller McAfee Product Improvement Program Global opdatering Med global opdatering automatiseres replikering til de distribuerede lagre, og de administrerede systemer holdes opdateret. Replikerings- og opdateringsopgaver er ikke påkrævede. Når du tjekker indhold ind i hovedlageret, startes en global opdatering. Hele processen tager ca. en time at fuldføre i de fleste miljøer. Du kan desuden angive, hvilke pakker og opdateringer der starter en global opdatering. Når du kun angiver, at bestemt indhold starter en global opdatering, skal du imidlertid sørge for at oprette en replikeringsopgave til at distribuere indhold, der ikke er valgt til at starte en opdatering. Når der bruges global opdatering, anbefaler McAfee, at du planlægger en fast trækkeopgave (til opdatering af hovedlageret) på et tidspunkt, hvor netværkstrafikken er minimal. Selvom global opdatering er meget hurtigere end andre metoder, øger det netværkstrafikken under opdateringen. Processen til global opdatering 1 Indhold tjekkes ind i hovedlageret. 2 Serveren udfører en trinvis replikering til alle distribuerede lagre. 3 Fra serveren sendes der en SuperAgent-aktivering til alle SuperAgenter i miljøet. 4 Fra SuperAgent sendes der en meddelelse om global opdatering til alle agenter i SuperAgent-undernetværket. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 207 17 Serveropgaver Automatisk installation af opdateringspakker med global opdatering 5 Efter modtagelse af broadcastmeddelelsen modtager agenten den minimumkatalogversion, der skal bruges til opdateringen. 6 Agenten søger i de distribuerede lagre efter et websted, der har denne minimumkatalogversion. 7 Når der er fundet et passende lager, køres opdateringsopgaven i agenten. Hvis agenten af en eller anden grund ikke modtager broadcastmeddelelsen, f.eks. hvis klientcomputeren er slukket, eller hvis der ikke er nogen SuperAgenter, sendes minimumkatalogversionen ved det næste interval for agent til server-kommunikation (ASCI), og derved starter processen. Hvis agenten modtager meddelelsen fra en SuperAgent, modtager agenten også listen over opdaterede pakker. Hvis agenten finder den nye katalogversion i det næste interval for agent til server-kommunikation (ASCI), modtager den ikke listen over pakker, der skal opdateres, og alle tilgængelige pakker opdateres derfor. Krav Disse krav skal opfyldes, for at global opdatering kan implementeres: • En SuperAgent skal bruge den samme nøgle til sikker agent til server-kommunikation (ASSC) som de agenter, aktiveringen sendes til. • Der installeres en SuperAgent i hvert broadcastsegment. Administrerede systemer kan ikke modtage en SuperAgent-aktivering, hvis der ikke findes en SuperAgent i samme broadcastsegment. Ved global opdatering bruges SuperAgent-aktiveringen til at alarmere agenter om, at nye opdateringer er tilgængelige. • Distribuerede lagre sættes op og konfigureres i hele miljøet. McAfee anbefaler SuperAgent-lagre, men det er ikke et krav. Global opdatering kan bruges sammen med alle typer distribuerede lagre. • Hvis du bruger SuperAgent-lagre, skal de administrerede systemer have adgang til det lager, der opdateres fra. Selvom en SuperAgent er påkrævet i alle broadcastsegmenter, før systemerne kan modtage aktiveringen, er det ikke nødvendigt med et SuperAgent-lager i alle broadcastsegmenter. Automatisk installation af opdateringspakker med global opdatering Du kan aktivere global opdatering på serveren, så brugerdefinerede opdateringspakker installeres automatisk på administrerede systemer. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 208 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Global opdatering, og klik derefter på Rediger nederst på siden. 2 Vælg Aktiveret på siden Rediger global opdatering ud for Status. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Serveropgaver Trækkeopgaver 3 17 Rediger Tilfældighedsinterval efter behov. De enkelte klientopdateringer forekommer på et vilkårligt valgt tidspunkt inden for tilfældighedsintervallet, hvilket hjælper med at fordele netværksbelastningen. Standardindstillingen er 20 minutter. Hvis du f.eks. opdaterer 1000 klienter ved hjælp af standardtilfældighedsintervallet på 20 minutter, opdateres der ca. 50 klienter i minutter i dette interval, hvilket reducerer netværks- og serverbelastningen. Uden tilfældighedsintervallet gøres der forsøg på at opdatere alle 1000 klienter samtidig. 4 Vælg, hvilke pakker der skal påbegynde en opdatering, ud for Pakketyper. Med global opdatering påbegyndes en opdatering kun, hvis der tjekkes nye pakker ind i hovedlageret for de komponenter, der er angivet her, eller hvis de flyttes til en anden forgrening. Vær omhyggelig, når du vælger disse komponenter. • Signaturer og programmer – Vælg om nødvendigt Indhold af Host Intrusion Prevention. Valg af en pakketype afgør, hvad der påbegynder en global opdatering, og ikke hvad der opdateres under den globale opdatering. Agenter modtager en liste over opdaterede pakker under den globale opdatering. Ved hjælp af denne liste installeres kun de nødvendige opdateringer. Der opdateres f.eks. kun pakker, som er ændret siden sidste opdatering, i stedet for at alle pakker opdateres, selvom der ikke har været ændringer. 5 Klik på Gem, når du er færdig. Når global opdatering er aktiveret, påbegyndes der en opdatering, næste gang du tjekker en af de valgte pakker ind eller flytter den til en anden forgrening. Sørg for at køre en Træk nu-opgave og planlægge en tilbagevendende Lagertræk-serveropgave, når du er klar til, at den automatiske opdatering begynder. Trækkeopgaver Brug trækkeopgaver til at opdatere hovedlageret med DAT- og programopdateringspakker fra kildewebstedet. DAT- og programfiler skal opdateres ofte. McAfee udgiver nye DAT-filer dagligt og programfiler mindre ofte. Installér disse pakker på administrerede systemer så hurtigt som muligt for at beskytte dem mod de seneste trusler. Du kan angive, hvilke pakker der skal kopieres fra kildewebstedet til hovedlageret. ExtraDAT-filer skal tjekkes ind i hovedlageret manuelt. De er tilgængelige fra McAfees websted. En planlagt serveropgave for lagertræk kører automatisk og regelmæssigt på de dage og tidspunkter, du angiver. Du kan f.eks. planlægge en ugentlig lagertrækopgave kl. 05:00 hver torsdag. Du kan også bruge opgaven Træk nu til at tjekke opdateringer ind i hovedlageret straks. Det kan f.eks. være, når McAfee advarer dig om en virus, der breder sig hurtigt, og udgiver en ny DAT-fil for at beskytte mod den. Hvis en trækkeopgave mislykkes, skal du indtjekke pakkerne i hovedlageret manuelt. Når du har opdateret hovedlageret, kan du distribuere disse opdateringer til dine systemer automatisk med global opdatering eller med replikeringsopgaver. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 209 17 Serveropgaver Replikeringsopgaver Overvejelser i forbindelse med planlægning af en trækkeopgave Overvej følgende, når du planlægger trækkeopgaver: • Båndbredde- og netværksforbrug – Hvis du bruger global opdatering som anbefalet, skal du planlægge kørslen af en trækkeopgave, når andre ressourcers båndbreddeforbrug er lavt. Ved global opdatering distribueres opdateringsfilerne automatisk, når trækkeopgaven er gennemført. • Opgavens hyppighed – DAT-filer udgives dagligt, men det er måske ikke en god idé at bruge ressourcerne til opdatering hver dag. • Replikerings- og opdateringsopgaver – Planlæg replikerings- og klientopdateringsopgaverne for at sikre, at opdateringsfilerne distribueres til hele miljøet. Replikeringsopgaver Brug replikeringsopgaver til at kopiere indholdet af hovedlagerets indhold til distribuerede lagre. Medmindre du har replikeret indholdet i hovedlageret til alle de distribuerede lagre, kan du risikere, at nogle systemer ikke modtager indholdet. Sørg for, at alle de distribuerede lagre er opdaterede. Hvis du benytter global opdatering til alle dine opdateringer, er replikeringsopgaver muligvis ikke nødvendige for miljøet, selvom de anbefales af redundansmæssige årsager. Hvis du derimod ikke benytter global opdatering for nogen af dine opdateringer, skal du planlægge en serveropgave med replikering af lager eller køre en opgave af typen Repliker nu. Planlægning af regelmæssige serveropgaver med replikering af lagre er den bedste måde at sikre, at de distribuerede lagre er opdaterede. Planlægning af daglige replikeringsopgaver sikrer, at administrerede systemer forbliver opdaterede. Brug af opgaver til replikering af lagre automatiserer replikering til de distribuerede lagre. Nogle gange tjekker du måske filer ind i hovedlageret, som du vil replikere til distribuerede lagre øjeblikkeligt frem for at vente til den næste planlagte replikering. Kør en opgave af typen Repliker nu for at opdatere de distribuerede lagre manuelt. Komplet i forhold til trinvis replikering Når du opretter en replikeringsopgave, kan du vælge Trinvis replikering eller Komplet replikering. Ved trinvis replikering bruges mindre båndbredde, og kun de nye opdateringer i hovedlageret, der endnu ikke er i det distribuerede lager, kopieres. Ved en komplet replikering kopieres alt indholdet i hovedlageret. McAfee anbefaler, at du planlægger en daglig trinvis replikeringsopgave. Planlæg om muligt en ugentlig komplet replikeringsopgave, hvis det er muligt, at filer slettes fra det distribuerede lager uden for replikeringsfunktionen i softwaren ePolicy Orchestrator. Lagervalg Nye distribuerede lagre føjes til den lagerlistefil, der indeholder alle tilgængelige distribuerede lagre. Agenten for et administreret system opdaterer denne fil, hver gang den kommunikerer med McAfee 210 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Serveropgaver Accepteret Cron-syntaks ved planlægning af en serveropgave 17 ePO-serveren. Agenten udfører lagervalg, hver gang agenttjenesten (McAfee Framework Service) starter, og når lagerlisten ændres. Udvalgt replikering giver mere kontrol over opdateringen af enkelte lagre. Når du planlægger replikeringsopgaver, kan du vælge: • Bestemte distribuerede lagre, som opgaven gælder for. Replikering til forskellige distribuerede lagre på forskellige tidspunkter mindsker påvirkningen af båndbredderessourcerne. Disse lagre kan angives, når du opretter eller redigerer replikeringsopgaven. • Bestemte filer og signaturer, der replikeres til de distribuerede lagre. Hvis du kun vælger den type filer, der er nødvendige for hvert system, der tjekkes ind på det distribuerede lager, mindskes påvirkningen af båndbredderessourcerne. Når du definerer eller redigerer dine distribuerede lagre, kan du vælge, hvilke pakker du vil replikere til det distribuerede lager. Denne funktion er kun beregnet til opdatering af produkter, der installeres på flere systemer i miljøet, f.eks. Virus Scan Enterprise. Denne funktion giver dig mulighed for kun at distribuere disse opdateringer til de distribuerede lagre, som disse systemer benytter. Sådan vælger agenter lagre Agenter vil som standard forsøge at opdatere fra et vilkårligt lager i lagerlistefilen. Agenten kan bruge en netværks-ICMP-ping eller en sammenligningsalgoritme for en undernetværksadresse til at finde det distribuerede lager med den hurtigste svartid. Det er typisk det distribuerede lager, der er tættest på systemet på netværket. Du kan også kontrollere nøje, hvilke distribuerede lagre agenter bruger til opdatering, ved at aktivere eller deaktivere distribuerede lagre under indstillingerne for agentpolitik. McAfee anbefaler, at du ikke deaktiverer lagre under politikindstillingerne. Du sikrer, at agenterne modtager opdateringer, hvis de kan opdatere fra et vilkårligt distribueret lager. Accepteret Cron-syntaks ved planlægning af en serveropgave Cron-syntaksen består af seks eller syv felter adskilt af mellemrum. Den tilladte Cron-syntaks fremgår af nedenstående tabel og vises efter felt i faldende rækkefølge. Det meste af Cron-syntaksen kan bruges, men enkelte tilfælde understøttes ikke. Det er f.eks. ikke muligt at angive værdier for både Ugedag og Dag i måneden. Feltnavn Tilladte værdier Tilladte specialtegn Sekunder 0–59 ,-*/ Minutter 0–59 ,-*/ Timer 0–23 ,-*/ Dag i måneden 1–31 ,-*?/LWC Måned 1–12 eller JAN - DEC ,-*/ Ugedag 1–7 eller SUN - SAT ,-*?/LC# År (valgfrit) Tom eller 1970–2099 ,-*/ Tilladte specialtegn • Kommaer (,) tillades for at angive flere værdier. Eksempel: "5,10,30" eller "MON,WED,FRI". • Stjerner (*) bruges til at indikere "hver" eller "hvert". "*" i minutfeltet betyder således "hvert minut". Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 211 17 Serveropgaver Visning af oplysninger om serveropgave i log over serveropgave • Spørgsmålstegn (?) er tilladt for at undlade at angive en bestemt værdi i felterne Ugedag eller Dag i måneden. Spørgsmålstegn kan kun bruges i et af disse felter, men kan ikke bruges i begge på én gang. • Skråstreger (/) bruges til at angive, hvor meget en bestemt værdi skal øges. "5/15" i minutfeltet betyder f.eks., at opgaven køres ved minuttallene 5, 20, 35 og 50. • Bogstavet "L" står for "last" (sidste) i felterne Ugedag eller Dag i måneden. "0 15 10 ? * 6L" betyder f.eks. den sidste fredag i hver måned kl. 10:15. • Bogstavet "W" står for "weekday" (ugedag). Hvis du har angivet Dag i måneden som "15W", betyder det således den ugedag, der ligger tættest på den 15. i måneden. Du kan også angive "LW", hvilket betyder den sidste ugedag i måneden. • Hashtegnet "#" bruges til at angive den n. dag i måneden. Hvis du f.eks. skriver "6#3" i feltet Ugedag, betyder det den tredje fredag i hver måned, mens "2#1" er den første mandag, og "4#5" er den femte onsdag. Hvis der ikke er en femte onsdag i den pågældende måned, køres opgaven ikke. Visning af oplysninger om serveropgave i log over serveropgave I loggen over serveropgave kan du finde oplysninger om dine serveropgaver. Loggen over serveropgave indeholder status for opgaven og eventuelle fejl, der er forekommet. • Se oplysninger om serveropgaver: Klik på Menu | Automatisering | Log over serveropgave. Følgende oplysninger om opgaven vises: • Startdato og opgavens varighed • Eventuelle fejl eller advarsler og deres koder • Status for hver pakke, der er tjekket ind i hovedlageret • Oplysninger om nye pakker, der tjekkes ind på hovedlageret • Status for opgaver på alle websteder (ved udvidelse) • Eventuelle fejl eller advarsler, deres koder og det websted, de tilhører. Konfigurer Product Improvement Program McAfee Product Improvement Program hjælper med at forbedre McAfee-produkter. Der indsamles data proaktivt og regelmæssigt fra de klientsystemer, der administreres af McAfee ePO-serveren. McAfee Product Improvement Program indsamler følgende typer data: • Systemmiljø (oplysninger om software og hardware) • Effektiviteten af funktionerne i installerede McAfee-produkter • Fejl i McAfee-produkter og relaterede Windows-hændelser Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 212 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Serveropgaver Afinstaller McAfee Product Improvement Program 17 Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Product Improvement Program under Indstillingskategorier, og klik derefter på Rediger. 2 Vælg Ja for at give McAfee tilladelse til at indsamle anonyme diagnosticerings- og brugsdata, og klik derefter på Gem. Klik her for at få flere oplysninger om McAfee Product Improvement Program. Afinstaller McAfee Product Improvement Program McAfee Product Improvement Program kan afinstalleres når som helst. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Log på McAfee ePO-serveren som administrator. 2 Klik på Menu | Politik | Katalog over klientopgaver, vælg McAfee Agent | Produktinstallation som Klientopgavetype, og klik derefter på Handlinger | Ny opgave. 3 Opret en ny opgave for at afinstallere McAfee Product Improvement Program fra de påkrævede klientsystemer. 4 Tildel opgaven til klientsystemerne, og send en agentaktivering. 5 Klik på Menu | Software | Hovedlager, klik på Slet ud for pakken McAfee Product Improvement Program, og klik derefter påOK. 6 Klik på Menu | Software | Udvidelser, og vælg derefter McAfee Product Improvement Program. 7 Klik på Fjern, og klik derefter på OK. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 213 17 Serveropgaver Afinstaller McAfee Product Improvement Program 214 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 18 Manuel administration af pakker og opdateringer Når du har brug for at udrulle nye produkter uden for de normale planlagte opgaver, kan du tjekke dem ind manuelt. Indhold Administration af produkter Manuel indtjekning af pakker Sletning af DAT- eller programpakker fra hovedlageret Manuel flytning af DAT- og programpakker mellem forgreninger Manuel indtjekning af program-, DAT- og ExtraDAT-opdateringspakker Administration af produkter Et produkts udvidelsesfil skal installeres, før ePolicy Orchestrator kan administrere produktet. Før du starter Kontrollér, at udvidelsesfilen er placeret på et tilgængeligt sted på netværket. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 I ePolicy Orchestrator-konsollen skal du klikke på Menu | Software | Udvidelser | Installér udvidelse. Hovedlageret kan kun opdateres af én opgave ad gangen. Hvis du forsøger at installere en udvidelse på samme tid, som opdateringen af hovedlageret kører, vises følgende fejl: Udvidelsen com.mcafee.core.cdm.CommandException blev ikke installeret: Den valgte pakke kan ikke tjekkes ind, mens der kører en trækkeopgave. Vent, indtil opdateringen af hovedlageret er fuldført, og prøv derefter at installere udvidelsen igen. 2 Find og vælg udvidelsesfilen, og klik derefter på OK. 3 Kontrollér, at produktnavnet vises på listen Udvidelser. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 215 18 Manuel administration af pakker og opdateringer Manuel indtjekning af pakker Manuel indtjekning af pakker Tjek installationspakkerne ind i hovedlageret, så ePolicy Orchestrator-softwaren kan installere dem. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åben guiden Tjek pakke ind. a Klik på Menu | Software | Hovedlager. b Klik på Tjek pakke ind. 2 Vælg pakketypen, søg derefter efter pakkefilen, og vælg den. 3 Klik på Næste. 4 Bekræft eller konfigurer følgende: • Pakkeoplysninger – Bekræft, at dette er den korrekte pakke. • Forgrening – Vælg forgreningen. Hvis der i dit miljø stilles krav om test af nye pakker, før de installeres i produktionsmiljøet, anbefaler McAfee brug af forgreningen Evaluering, når der tjekkes pakker ind. Når du har testet pakkerne, kan du flytte dem til forgreningen Nuværende ved at klikke på Menu | Software | Hovedlager. • Indstillinger – Vælg en af følgende indstillinger: • • 5 Flyt de eksisterende pakker til forgreningen Forrige – Når denne indstilling er valgt, flyttes pakker i hovedlageret fra forgreningen Nuværende til forgreningen Forrige, når en nyere pakke af den samme type tjekkes ind. Indstillingen er kun tilgængelig, når du vælger Nuværende under Forgrening. Signering af pakke – Angiver, om pakken er fra McAfee eller fra en tredjepart. Klik på Gem for at begynde at tjekke pakken ind, og vent derefter, mens pakken tjekkes ind. Den nye pakke vises på listen Pakker i hovedlageret på fanen Hovedlager. Sletning af DAT- eller programpakker fra hovedlageret Slet DAT- eller programpakker fra hovedlageret. Efterhånden som du tjekker nye opdateringspakker ind jævnligt, erstattes de ældre versioner eller flyttes til forgreningen Forrige, hvis du bruger forgreningen Forrige. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Software | Hovedlager. 2 Klik på Slet i rækken for pakken. 3 Klik på OK. Manuel flytning af DAT- og programpakker mellem forgreninger Flyt pakker manuelt mellem forgreningerne Evaluering, Nuværende og Forrige, når de er tjekket ind i hovedlageret. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 216 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Manuel administration af pakker og opdateringer Manuel indtjekning af program-, DAT- og ExtraDAT-opdateringspakker 18 Opgave 1 Klik på Menu | Software | Hovedlager. 2 Klik på Skift forgrening i rækken med pakken. 3 Vælg, om du vil flytte eller kopiere pakken til en anden forgrening. 4 Vælg, hvilken forgrening der skal modtage pakken. ® Hvis du har McAfee® NetShield for NetWare på netværket, skal du vælge Understøt NetShield for NetWare. 5 Klik på OK. Manuel indtjekning af program-, DAT- og ExtraDATopdateringspakker Tjek opdateringspakkerne ind i hovedlageret, så de kan installeres ved hjælp af ePolicy Orchestrator-softwaren. Nogle pakker kan kun tjekkes ind manuelt. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åben guiden Tjek pakke ind. a Klik på Menu | Software | Hovedlager. b Klik på Tjek pakke ind. 2 Vælg pakketypen, søg efter og vælg en pakkefil, og klik derefter på Næste. 3 Vælg en forgrening: • Nuværende – Brug pakkerne uden at teste dem først. • Evaluering – Bruges til først at teste pakkerne i et laboratoriemiljø. Når du har testet pakkerne, kan du flytte dem til forgreningen Nuværende ved at klikke på Menu | Software | Hovedlager. • Forrige – Brug den forrige version til at modtage pakken. 4 Ud for Indstillinger skal du vælge Flyt de eksisterende pakker til forgreningen Forrige for at flytte den eksisterende pakke (af samme type som den, du tjekker ind) til forgreningen Forrige. 5 Klik på Gem for at begynde at tjekke pakken ind. Vent, mens pakken tjekkes ind. Den nye pakke vises på listen Pakker i hovedlageret på siden Hovedlager. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 217 18 Manuel administration af pakker og opdateringer Manuel indtjekning af program-, DAT- og ExtraDAT-opdateringspakker 218 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 19 Hændelser og reaktioner Konfigurer McAfee ePO-serveren til at udløse en handling som reaktion på en trussels-, klient- eller serverhændelse. Indhold Brug af automatiske reaktioner Sådan fungerer funktionen Automatiske reaktioner med systemtræet Reaktionsplanlægning Konfiguration af reaktioner første gang Angivelse af, hvordan hændelser videresendes Konfiguration af Automatiske reaktioner Angivelse af, hvilke hændelser der videresendes til serveren Valg af et meddelelsesinterval for hændelser Opret og rediger regler for Automatisk reaktion Brug af automatiske reaktioner Det nøjagtige sæt hændelsestyper, du kan konfigurere en automatisk reaktion for, afhænger af de softwareprodukter, du administrerer med McAfee ePO-serveren. Din reaktion kan som standard omfatte disse handlinger: • Oprettelse af problemer • Kørsels af systemkommandoer • Udførelse af serveropgaver • Afsendelse af e-mails • Kørsel af eksterne kommandoer • Afsendelse af SNMP-fælder. Muligheden for at angive de hændelseskategorier, der genererer en meddelelse, og den hyppighed, meddelelserne sendes med, kan konfigureres. Denne funktion er designet til oprettelse af brugerkonfigurerede meddelelser og handlinger, når betingelserne for en regel overholdes. Disse forhold omfatter, men er ikke begrænset til: • Registrering af trusler i antivirussoftwareproduktet. Selvom mange antivirussoftwareprodukter understøttes, omfatter hændelser fra VirusScan Enterprise kildeangrebets IP-adresse, så du kan isolere det system, der inficerer resten af miljøet. • Udbrudssituationer. For eksempel modtagelse af 1000 virusregistrerede hændelser inden for fem minutter. • Overholdelse på højt niveau af McAfee ePO-serverhændelser. F.eks. en mislykket lageropdatering eller replikeringsopgave. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 219 19 Hændelser og reaktioner Sådan fungerer funktionen Automatiske reaktioner med systemtræet Sådan fungerer funktionen Automatiske reaktioner med systemtræet Før du planlægger implementering af automatiske reaktioner, skal du forstå, hvordan denne funktion fungerer i forhold til systemtræet. Denne funktion følger ikke den nedarvningsmodel, der bruges til at håndhæve politikker. Automatiske reaktioner bruger hændelser, der forekommer i systemer i dit miljø, som leveres til serveren, og konfigurerede reaktionsregler, som er knyttet til den gruppe, der indeholder de berørte systemer, og de overordnede grupper over den. Hvis betingelserne for en sådan regel opfyldes, finder de angivne handlinger sted i henhold til reglens konfigurationer. Dette design gør det muligt at konfigurere uafhængige regler på forskellige niveauer i systemtræet. Disse regler kan have forskellige indstillinger for følgende: • Tærskler for afsendelse af en meddelelse. En administrator af en bestemt gruppe ønsker for eksempel at blive underrettet, hvis der registreres virus på 100 systemer inden for 10 minutter i gruppen, men en administrator ønsker ikke at få besked, medmindre der registreres virus på 1.000 systemer i hele netværket inden for samme tidsrum. • Modtagere af meddelelsen. En administrator af en bestemt gruppe ønsker for eksempel kun at få besked, hvis der forekommer et bestemt antal virusregistreringshændelser i gruppen. Alternativt ønsker en administrator, at alle gruppeadministratorer får besked, hvis der forekommer et bestemt antal virusregistreringshændelser i hele systemtræet. Serverhændelser filtreres ikke efter placeringen i systemtræet. Begrænsning, sammenlægning og gruppering Du kan konfigurere, hvornår meddelelser sendes ved at angive tærskler, der er baseret på sammenlægning, begrænsning eller gruppering. Sammenlægning Du kan bruge sammenlægning til at fastsætte tærsklerne for hændelser, når reglen sender en meddelelse. Du kan f.eks. konfigurere, at den samme regel sender en meddelelse, når serveren modtager 1.000 virusregistreringshændelser fra forskellige systemer inden for en time, eller når den har modtaget 100 virusregistreringshændelser fra et system. Begrænsning Når du har konfigureret reglen for meddelelse om mulige udbrud, kan du bruge begrænsning til at sikre, at du ikke modtager for mange meddelelser. Hvis du administrerer et stort netværk, modtager du måske titusindvis af hændelser på en time, hvilket resulterer i tusindvis af meddelelser, der er baseret på en sådan regel. Reaktioner giver dig mulighed for at begrænse det antal meddelelser, du modtager, baseret på en enkelt regel. Du kan f.eks. angive i den samme regel, at du ikke vil modtage mere end én meddelelse pr. time. Gruppering Du kan bruge gruppering til at kombinere flere sammenlagte hændelser. Hændelser med den samme alvorlighedsgrad kan f.eks. kombineres i en enkelt gruppe. Gruppering giver administratorer mulighed for at træffe foranstaltninger for alle hændelser med den samme eller højere alvorlighedsgrad øjeblikkeligt. Funktionen giver dig også mulighed for at prioritere de hændelser, der genereres i administrerede systemer eller på servere. 220 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Hændelser og reaktioner Reaktionsplanlægning 19 Standardregler Aktivér standardreglerne for ePolicy Orchestrator, så de er klar til brug øjeblikkeligt, mens du får mere at vide om funktionen. Følgende gælder før aktivering af nogen af standardreglerne: • Angiv den mailserver, meddelelserne er sendt fra ved at klikke på Menu | Konfiguration | Serverindstillinger). • Kontrollér, at den angivne e-mailadresse for modtageren er den, du ønsker, der skal modtage e-mailmeddelelser. Denne adresse konfigureres på siden Handlinger i guiden. Tabel 19-1 Standardmeddelelsesregler Navn på regel Tilknyttede hændelser Konfigurationer Opdatering eller Opdatering eller replikering af distribueret replikering af distribueret lager mislykkedes. lager mislykkedes. Der sendes en meddelelse, når en opdatering eller replikering mislykkes. Der er registreret malware Der sendes en meddelelse: Alle hændelser fra alle ukendte produkter • Hvis antal hændelser er mindst 1.000 i timen. • Højst hver anden time. • Med kildesystemets IP-adresse, navne på aktuelle trusler og aktuelle produktoplysninger, hvis de er tilgængelige, samt mange andre parametre. • Hvis antal valgte separate værdier er 500. Opdatering eller Opdatering eller replikering af hovedlager replikering af hovedlager mislykkedes. mislykkedes. Der er registreret en ikke-kompatibel computer Der sendes en meddelelse, når en opdatering eller replikering mislykkes. Hændelser af typen Der er Sender en meddelelse, når der modtages registreret en hændelser fra serveropgaven Opret hændelse ikke-kompatibel computer for overholdelse. Reaktionsplanlægning Før du opretter regler, som sender meddelelser, kan du spare tid ved planlægning. Sørg for, at du har en plan for følgende elementer. • Den hændelsestype og -gruppe (produkt og server), der udløser meddelelser i miljøet. • Hvem skal modtage hvilke meddelelser. Det er muligvis ikke nødvendigt f.eks. at sende en meddelelse til administratoren af gruppe B om en mislykket replikering i gruppe A, men det kan være en fordel at informere alle administratorer om, at der er registreret en inficeret fil i gruppe A. • Hvilke typer og niveauer af tærskler, du vil angive for hver regel. Måske ønsker du ikke at modtage en e-mail, hver gang der f.eks. registreres en inficeret fil under et udbrud. I stedet kan du vælge, at en sådan meddelelse højst skal sendes hvert femte minut, uanset hvor ofte denne server modtager hændelsen. • Hvilke kommandoer eller registrerede eksekverbare filer du vil køre, når betingelserne for en regel er opfyldt. • Hvilken serveropgave du vil køre, når betingelserne for en regel er opfyldt. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 221 19 Hændelser og reaktioner Konfiguration af reaktioner første gang Konfiguration af reaktioner første gang Følg disse overordnede trin, første gang du konfigurerer hændelser og automatiske reaktioner. Når du opretter en ny regel for automatisk reaktion første gang: 1 Få mere at vide om automatiske reaktioner, og hvordan de fungerer sammen med systemtræet og netværket. 2 Planlæg implementeringen. Hvilke brugere skal have kendskab til hvilke hændelser? 3 Forbered de komponenter og tilladelser, der bruges sammen med automatiske reaktioner, herunder: • Tilladelser for automatiske reaktioner – Opret eller rediger tilladelsessæt, og sørg for, at de tildeles til de korrekte McAfee ePO-brugere. • E-mailserver – Konfigurer e-mailserveren (SMTP) under Serverindstillinger. • E-mailkontaktliste – Angiv den liste, som du bruger til at vælge modtagere af meddelelser, under Kontakter. • Registrerede eksekverbare filer – Angiv en liste med registrerede eksekverbare filer, der skal køres, når betingelserne for en regel opfyldes. • Serveropgaver – Opret serveropgaver til brug som handlinger, der skal udføres som et resultat af en reaktionsregel. • SNMP-servere – Angiv en liste med SNMP-servere til brug under oprettelse af regler. Du kan konfigurere regler for at sende SNMP-fælder til SNMP-servere, når betingelserne opfyldes, for at igangsætte en meddelelse. Angivelse af, hvordan hændelser videresendes Bestem, hvornår hændelser videresendes, og hvilke hændelser der videresendes med det samme. Serveren modtager meddelelser om hændelser fra agenter. Du kan konfigurere McAfee Agent-politikker til at videresende hændelser enten til serveren med det samme eller med intervaller, der følger agent til server-kommunikationen. Hvis du vælger at sende hændelser med det samme (standardindstillingen), videresender McAfee Agent alle hændelser, så snart de modtages. Standardintervallet for behandling af meddelelser om hændelser er ét minut. Det betyder, at der kan gå et stykke tid, før hændelser behandles. Du kan ændre standardintervallet under serverindstillingerne Meddelelse om hændelse (Menu | Konfiguration | Server). Hvis du vælger ikke at sende alle hændelser med det samme, videresender McAfee Agent kun øjeblikkeligt de hændelser, der har fået angivelsen høj prioritet af det udstedende produkt. Andre hændelser sendes kun under agent til server-kommunikationen. Opgaver 222 • Angivelse af, hvilke hændelser der videresendes med det samme på side 223 Angiv, om hændelser skal videresendes med det samme eller kun under agent til server-kommunikation. • Angivelse af, hvilke hændelser der videresendes på side 223 Brug siden Serverindstillinger til at angive, hvilke hændelser der videresendes til serveren. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Hændelser og reaktioner Konfiguration af Automatiske reaktioner 19 Angivelse af, hvilke hændelser der videresendes med det samme Angiv, om hændelser skal videresendes med det samme eller kun under agent til server-kommunikation. Hvis den aktuelle politik, der anvendes, ikke er indstillet til at overføre hændelser øjeblikkeligt, skal du enten redigere den aktuelle politik eller oprette en ny McAfee Agent-politik. Denne indstilling konfigureres på siden Log over trusselshændelse. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Politik | Politikkatalog, og vælg derefter Produkt som McAfee Agent og Kategori som Generelt. 2 Klik på en eksisterende agentpolitik. 3 På fanen Hændelser skal du vælge Aktivér videresendelse af prioriteret hændelse. 4 Vælg alvorlighed for hændelsen. Hændelser med det valgte alvorlighedsniveau (og højere) videresendes til serveren med det samme. 5 Angiv et interval (i minutter) Interval mellem overførsler for at regulere trafikken. 6 Angiv antallet af hændelser under Maksimalt antal hændelser pr. overførsel for at regulere trafikstørrelsen. 7 Klik på Gem. Angivelse af, hvilke hændelser der videresendes Brug siden Serverindstillinger til at angive, hvilke hændelser der videresendes til serveren. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Filtrering af hændelser, og klik derefter på Rediger. 2 Vælg hændelserne, og klik derefter på Gem. Disse indstillinger træder i kraft, når der har været kommunikation fra alle agenter. Konfiguration af Automatiske reaktioner Konfigurer de nødvendige ressourcer, så Automatiske reaktioner kan udnyttes optimnalt. Opgaver • Tildeling af tilladelser til meddelelser på side 224 Med tilladelser for meddelelser kan brugerne se, oprette og redigere registrerede eksekverbare filer. • Tildeling af tilladelser til automatiske reaktioner på side 224 Med tilladelser for reaktioner kan brugerne oprette reaktionsregler for forskellige hændelsestyper og grupper. • Administration af SNMP-servere på side 225 Konfigurer reaktioner til brug sammen med SNMP-serveren (Simple Network Management Protocol). Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 223 19 Hændelser og reaktioner Konfiguration af Automatiske reaktioner Tildeling af tilladelser til meddelelser Med tilladelser for meddelelser kan brugerne se, oprette og redigere registrerede eksekverbare filer. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Brugeradministration | Tilladelsessæt, og opret derefter enten et tilladelsessæt, eller vælg et eksisterende. 2 Klik på Rediger ud for Meddelelser om hændelser. 3 Vælg den ønskede tilladelse for meddelelse: • Ingen tilladelser • Vis registrerede eksekverbare filer • Opret og rediger registrerede eksekverbare filer • Vis regler og meddelelser for hele systemtræet. Gruppeadgangstilladelser for systemtræet tilsidesættes. 4 Klik på Gem. 5 Klik på Menu | Brugeradministration | Brugere, hvis du oprettede et tilladelsessæt. 6 Vælg en bruger, som det nye tilladelsessæt skal tildeles til, og klik derefter på Rediger. 7 Markér ud for Tilladelsessæt afkrydsningsfeltet for tilladelsessættet med de ønskede tilladelser for meddelelser, og klik derefter på Gem. Tildeling af tilladelser til automatiske reaktioner Med tilladelser for reaktioner kan brugerne oprette reaktionsregler for forskellige hændelsestyper og grupper. Brugere har brug for tilladelser til følgende funktioner for at kunne oprette en reaktionsregel. • Log over trusselshændelse • Systemtræ • Serveropgaver • Registrerede systemer Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Brugeradministration | Tilladelsessæt, og opret derefter et tilladelsessæt, eller vælg et eksisterende. 2 Klik på Rediger ud for Automatisk reaktion. 3 Vælg en tilladelse for automatisk reaktion: 4 224 • Ingen tilladelser • Vis reaktioner. Vis reaktionsresultater i log over serveropgave • Opret, rediger, vis og annuller reaktioner. Vis reaktionsresultater i log over serveropgave Klik på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Hændelser og reaktioner Konfiguration af Automatiske reaktioner 5 Klik på Menu | Brugeradministration | Brugere, hvis du oprettede et tilladelsessæt. 6 Vælg en bruger, som det nye tilladelsessæt skal tildeles til, og klik derefter på Rediger. 7 Markér ud for Tilladelsessæt afkrydsningsfeltet for tilladelsessættet med de ønskede til tilladelser automatisk reaktion, og klik derefter på Gem. 19 Administration af SNMP-servere Konfigurer reaktioner til brug sammen med SNMP-serveren (Simple Network Management Protocol). Du kan konfigurere reaktioner, så der sendes SNMP-fælder til SNMP-serveren, så du kan modtage SNMP-fælder på den samme placering, hvor du kan bruge netværksadministrationsprogrammet til at få vist detaljerede oplysninger om systemerne i miljøet. Du behøver ikke foretage andre konfigurationer eller starte nogen tjenester for at konfigurere denne funktion. Opgaver • Redigering af SNMP-servere på side 225 Rediger eksisterende SNMP-serverposter. • Sletning af en SNMP-server på side 225 Slet en SNMP-server fra listen med registrerede servere. Redigering af SNMP-servere Rediger eksisterende SNMP-serverposter. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Registrerede servere. 2 Vælg den ønskede SNMP-server på listen over registrerede servere, og klik derefter på Handlinger | Rediger. 3 Rediger serveroplysningerne efter behov, og klik derefter på Gem. Sletning af en SNMP-server Slet en SNMP-server fra listen med registrerede servere. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Registrerede servere. 2 Vælg en SNMP-server på listen over registrerede servere, og klik derefter på Handlinger | Slet. 3 Klik på Ja, når du bliver bedt om det. SNMP-serveren fjernes fra listen over registrerede servere. Import af .MIB-filer Importér .mib-filer, får du konfigurerer regler for afsendelse af meddelelser til en SNMP-server via en SNMP-fælde. Du skal importere tre .mib-filer fra \Programmer\McAfee\ePolicy Orchestrator\MIB. Filerne skal importeres i følgende rækkefølge: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 225 19 Hændelser og reaktioner Angivelse af, hvilke hændelser der videresendes til serveren 1 NAI-MIB.mib 2 TVD-MIB.mib 3 EPO-MIB.mib Disse filer gør det muligt at afkode dataene i SNMP-fælder i programmet til netværksadministration, så de bliver til meningsfyldt tekst. Filen EPO-MIB.mib er afhængig af de andre to filer, når følgende fælder skal defineres: • epoThreatEvent – Denne fælde sendes, når der udløses en automatisk reaktion for en McAfee ePO-trusselshændelse. Den indeholder variabler, der svarer til egenskaberne for trusselshændelsen. • epoStatusEvent – Denne fælde sendes, når der udløses en automatisk reaktion for en McAfee ePO-statushændelse. Den indeholder variabler, der svarer til egenskaberne for en (server)statushændelse. • epoClientStatusEvent – Denne fælde sendes, når der udløses en automatisk reaktion for en McAfee ePO-klientstatushændelse. Den indeholder variabler, der svarer til egenskaberne for en klientstatushændelse. • epoTestEvent – Dette er en testfælde, der sendes, når du klikker på Send testfælde på siden Ny SNMP-server eller Rediger SNMP-server. Du kan finde en vejledning i import og implementering af .mib-filer i produktdokumentationen til programmet til netværksadministration. Angivelse af, hvilke hændelser der videresendes til serveren Du kan angive, hvilke hændelser der videresendes til serveren, ved hjælp af serverindstillinger eller filtrering af hændelser. Før du starter Disse indstillinger påvirker forbruget af båndbredde i miljøet samt resultaterne af hændelsesbaserede forespørgsler. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Filtrering af hændelser, og klik derefter på Rediger nederst på siden. Siden Rediger filtrering af hændelser vises. 2 Vælg de hændelser, agenten skal videresende til serveren, og klik derefter på Gem. Ændringer af disse indstillinger træder i kraft, når alle agenter har kommunikeret med McAfee ePO-serveren. 226 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Hændelser og reaktioner Valg af et meddelelsesinterval for hændelser 19 Valg af et meddelelsesinterval for hændelser Denne indstilling bestemmer, hvor ofte der sendes meddelelser om ePO-hændelser til systemet til automatisk reaktion. Der er tre typer meddelelser om hændelser: • Klienthændelser – Hændelser, der forekommer i administrerede systemer. F.eks. Produktopdateringen er fuldført. • Trusselshændelser – Hændelser, der angiver, at der er registreret en mulig trussel. F.eks. Der er fundet virus. • Serverhændelser – Hændelser, der forekommer på serveren. F.eks. Lagertrækket mislykkedes. Der kan kun udløses en automatisk reaktion, når systemet til automatisk reaktion modtager en meddelelse. McAfee anbefaler, at du angiver et relativt kort interval for afsendelse af disse meddelelseshændelser. McAfee anbefaler, at du vælger et evalueringsinterval, der er tilstrækkeligt hyppigt til at sikre, at systemet til automatisk reaktion kan svare rettidigt på en hændelse, men samtidig ikke så hyppigt, at det bruger for meget af båndbredden. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Meddelelser om hændelser i Indstillingskategorier, og klik derefter på Rediger. 2 Angiv en værdi mellem 1 og 9.999 minutter for Evalueringsinterval (1 minut som standard), og klik derefter på Gem. Opret og rediger regler for Automatisk reaktion Definer, hvornår og hvordan der kan komme en reaktion på hændelsen, der forekommer enten på serveren eller i et administreret system. Regler for Automatisk reaktion har ikke nogen afhængighedsrækkefølge. Opgaver • Beskrivelse af en regel på side 227 Når du opretter en ny regel, kan du tilføje en beskrivelse, angive sproget, angive hvilken hændelsestype og gruppe, der udløser reaktionen, samt aktivere eller deaktivere reglen. • Angivelse af filtre for reglen på side 228 Angiv filtre for reaktionsreglen på siden Filtre i guiden Reaktionsgenerator. • Angivelse af tærskler for reglen på side 228 Definer, hvornår hændelsen udløser reglen på siden Sammenlægning i guiden Reaktionsgenerator. • Konfiguration af handlinger for regler for automatisk reaktion på side 229 Konfigurer de reaktioner, der skal udløses af reglen, på siden Reaktioner i guiden Reaktionsgenerator. Beskrivelse af en regel Når du opretter en ny regel, kan du tilføje en beskrivelse, angive sproget, angive hvilken hændelsestype og gruppe, der udløser reaktionen, samt aktivere eller deaktivere reglen. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 227 19 Hændelser og reaktioner Opret og rediger regler for Automatisk reaktion Opgave 1 Klik på Menu | Automatisering | Automatiske reaktioner, og klik derefter på Handlinger | Ny reaktion eller Rediger ud for en eksisterende regel. 2 Skriv et entydigt navn til og eventuelle noter om reglen på siden Beskrivelse. Regelnavne på de enkelte servere skal være entydige. Hvis en bruger f.eks. opretter en regel med navnet Katastrofealarm, kan ingen anden bruger oprette en regel med det samme navn. 3 Vælg det sprog, reglen bruger, i menuen Sprog. 4 Vælg den Hændelsesgruppe og Hændelsestype, der udløser denne reaktion. 5 Vælg, om reglen er Aktiveret eller Deaktiveret ud for Status. 6 Klik på Næste. Angivelse af filtre for reglen Angiv filtre for reaktionsreglen på siden Filtre i guiden Reaktionsgenerator. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Vælg en egenskab på listen Tilgængelige egenskaber, og angiv den værdi, der skal filtrere reaktionsresultatet. Tilgængelige egenskaber afhænger af, hvilken hændelsestype og hændelsesgruppe der er valgt på siden Beskrivelse i guiden. 2 Klik på Næste. Angivelse af tærskler for reglen Definer, hvornår hændelsen udløser reglen på siden Sammenlægning i guiden Reaktionsgenerator. Tærskler for en regel er en kombination af sammenlægning, begrænsning og gruppering. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Ud for Sammenlægning skal du vælge indstillingen Udløs denne reaktion i forbindelse med alle hændelser eller Udløs denne reaktion, hvis flere hændelser opstår inden for en defineret tidsperiode. Hvis du vælger den sidstnævnte, skal du angive tidsperioden i minutter, timer eller dage. 2 Hvis du valgte Udløs denne reaktion, hvis flere hændelser opstår inden for, kan du vælge at udløse en reaktion, når de angivne betingelser er opfyldt. Disse betingelser er en kombination af: • Når antallet af entydige værdier for en hændelsesegenskab er mindst en bestemt værdi. Denne betingelse benyttes, når en bestemt værdi for egenskaben for hændelsesforekomsten vælges. • Når antallet af hændelser er mindst. Skriv et defineret antal hændelser. Du kan vælge en eller begge indstillinger. Du kan f.eks. angive, at reglen udløser denne reaktion, hvis den bestemte værdi for egenskaben for hændelsesforekomsten overstiger 300, eller når antallet af hændelser overstiger 3.000, afhængigt af hvilken tærskel der først nås. 3 228 Vælg, om du vil gruppere de samlede hændelser, ud for Gruppering. Hvis du vælger at gruppere de samlede hændelser, skal du angive den hændelsesegenskab, de grupperes på basis af. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Hændelser og reaktioner Opret og rediger regler for Automatisk reaktion 4 19 Ud for Begrænsning, skal du vælge indstillingen Denne reaktion skal højst udløses én gang hver ud for Begrænsning efter behov, og angive den tid, der skal gå, før denne regel sender meddelelser igen. Tidsperioden kan defineres i minutter, timer eller dage. 5 Klik på Næste. Konfiguration af handlinger for regler for automatisk reaktion Konfigurer de reaktioner, der skal udløses af reglen, på siden Reaktioner i guiden Reaktionsgenerator. Du kan konfigurere en regel, som udløser flere handlinger, ved hjælp af knapperne + og -, som er placeret ved siden af rullelisten for den pågældende type meddelelse. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 2 Hvis meddelelsen skal sendes som mail eller som tekst til en personsøger, skal du vælge Send mail på rullelisten. a Ud for Modtagere skal du klikke på ... og vælge modtagerne af meddelelsen. Listen over tilgængelige modtagere er hentet fra Kontakter (Menu | Brugeradministration | Kontakter). Du kan også angive e-mailadresserne manuelt og adskille dem med kommaer. b Vælg, hvor vigtig meddelelses-e-mailen er. c Skriv et Emne for meddelelsen. Du kan også vælge at indsætte en eller flere af de tilgængelige variabler direkte i emnefeltet. d Skriv den ønskede tekst i meddelelsens Tekst. Du kan også vælge at indsætte en eller flere af de tilgængelige variabler direkte i tekstfeltet. e Klik på Næste, hvis du er færdig, eller klik på + for at tilføje en anden meddelelse. Hvis meddelelsen skal sendes som en SNMP-fælde, skal du vælge Send SNMP-fælde på rullelisten. a Vælg en SNMP-server på rullelisten. b Vælg den type værdi, du vil sende i SNMP-fælden. • Værdi • Antal separate værdier • Liste over separate værdier • Liste over alle værdier I visse hændelser er disse oplysninger ikke inkluderet. Hvis en oplysning, du har valgt, ikke bliver vist, fandtes den pågældende oplysning ikke i hændelsesfilen. c 3 Klik på Næste, hvis du er færdig, eller klik på + for at tilføje en anden meddelelse. Hvis meddelelsen skal køre en ekstern kommando, skal du vælge Kør ekstern kommando på rullelisten. a Vælg Registrerede eksekverbare filer, og skriv eventuelle Argumenter for kommandoen. b Klik på Næste, hvis du er færdig, eller klik på + for at tilføje en anden meddelelse. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 229 19 Hændelser og reaktioner Opret og rediger regler for Automatisk reaktion 4 5 6 Hvis meddelelsen skal oprette et problem, skal du vælge Opret problem på rullelisten. a Vælg den type problem, du vil oprette. b Skriv et entydigt navn og eventuelle bemærkninger vedrørende problemet. Du kan også vælge at indsætte en eller flere af de tilgængelige variabler direkte i navnet og beskrivelsen. c Vælg Tilstand, Prioritet, Alvorlighed og Løsning for problemet på de respektive rullelister. d Skriv navnet på modtageren i tekstfeltet. e Klik på Næste, hvis du er færdig, eller klik på + for at tilføje en anden meddelelse. Hvis meddelelsen skal udføre en planlagt opgave, skal du vælge Udfør serveropgave på rullelisten. a Vælg den opgave, der skal køres, på rullelisten Opgave, der skal udføres. b Klik på Næste, hvis du er færdig, eller klik på + for at tilføje en anden meddelelse. Kontrollér oplysningerne på siden Resume, og klik derefter på Gem. Den nye reaktionsregel vises på listen Reaktioner. 230 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Overvågning og rapportering af dit netværks sikkerhedsstatus Brug dashboards, som kan tilpasses, til at få et hurtigt overblik over den vigtige sikkerhedsstatus, og rapporter denne status til interessenter og beslutningstagere ved hjælp af forudkonfigurerede forespørgsler og rapporter, som kan tilpasses. Kapitel Kapitel Kapitel Kapitel Kapitel 20 21 22 23 24 Dashboards Forespørgsler og rapporter Problemer ePolicy Orchestrator-logfiler Genoprettelse efter nedbrud Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 231 Overvågning og rapportering af dit netværks sikkerhedsstatus 232 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 20 Dashboards Det er en vanskelig opgave at holde øje med miljøet konstant. Dashboards kan hjælpe dig med dette. Dashboards er samlinger af skærme og kan f.eks. være en diagrambaseret forespørgsel. En skærms adfærd og udseende er konfigureret individuelt. Brugerne skal have de relevante tilladelse for at bruge, oprette, redigere og slette dashboards. Indhold Konfiguration af dashboards første gang Arbejde med dashboards Arbejde med dashboardskærme Standarddashboards og deres skærme Angivelse af standarddashboards og intervaller for dashboardopdateringer Konfiguration af dashboards første gang Det følgende er en overordnet beskrivelse af processen med at konfigurere dine dashboards første gang. 1 McAfee ePO-serveren har et standarddashboard, som vises, hvis du aldrig har indlæst et dashboard før. 2 Opret eventuelle nødvendige dashboards og deres skærme. 3 Næste gang ePolicy Orchestrator startes, indlæses det seneste dashboard, du brugte. Arbejde med dashboards Dashboards kan oprettes, ændres, duplikeres, eksporteres m.m., så du kan få en hurtig oversigt over miljøet. Du kan bruge disse opgaver, når du arbejder med dashboards. Standarddashboards og foruddefinerede forespørgsler, der følger med ePolicy Orchestrator, kan ikke ændres eller slettes. Du kan ændre dem ved at kopiere, omdøbe og ændre det omdøbte dashboard eller den omdøbte forespørgsel. Opgaver • Administration af dashboards på side 234 Opret, rediger, dupliker, slet og tildel tilladelser til dashboards. • Eksport og import af dashboards på side 235 Når du er færdig med at definere dashboards og skærme, er det hurtigst at overføre dem til andre McAfee ePO-servere ved at eksportere dem og importere dem på andre servere. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 233 20 Dashboards Arbejde med dashboards Administration af dashboards Opret, rediger, dupliker, slet og tildel tilladelser til dashboards. Før du starter Du skal have skrivetilladelse til et dashboard for at redigere det. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Rapportering | Dashboards for at navigere til siden Dashboards. 2 Vælg en af disse handlinger. Handling Trin Opret et dashboard Opret et nyt dashboard for at skabe en anden visning af miljøet. 1 Klik på Dashboardhandlinger | Ny. 2 Skriv et navn, vælg en indstilling for dashboardets synlighed, og klik på OK. Der vises et nyt tomt dashboard. Du kan føje skærme til det nye dashboard efter behov. Rediger og Dashboards er kun synlige for brugere med den relevante tilladelse. Dashboards tildel tildeles tilladelser på samme måde som forespørgsler eller rapporter. De kan enten tilladelser til være private, fuldt offentlige eller delt med et eller flere tilladelsessæt. et dashboard 1 Klik på Dashboardhandlinger | Rediger. 2 Vælg en tilladelse: • Del ikke dette dashboard • Del dette dashboard med alle • Del dette dashboard med følgende tilladelsessæt Ved denne indstilling skal du også vælge et eller flere tilladelsessæt. 3 Klik på OK for at redigere dashboardet. Det er muligt at oprette et dashboard med mere omfattende tilladelser end en eller flere forespørgsler på dashboardet. Hvis du gør dette, ser brugere, der har adgang til de underliggende data, forespørgslen, når de åbner dashboardet. Brugere, der ikke har adgang til de underliggende data, får en meddelelse om, at de ikke har tilladelse til den pågældende forespørgsel. Hvis forespørgslen er privat for den person, der oprettede dashboardet, er det kun den person, der oprettede dashboardet, der kan ændre forespørgslen eller fjerne den fra dashboardet. 234 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Dashboards Arbejde med dashboards Handling Trin Dupliker dashboard Sommetider er det nemmest at oprette et nyt dashboard ved at kopiere et dashboard, der ligner det, du skal bruge. 20 1 Klik på Dashboardhandlinger | Dupliker. 2 Dobbeltforekomsten af dashboardet navngives i ePolicy Orchestrator, ved at "(kopi)" føjes til det eksisterende navn. Hvis du vil ændre dette navn, skal du gøre det nu og derefter klikke på OK. Dobbeltforekomsten af dashboardet åbnes. Dobbeltforekomsten er en nøjagtig kopi af det oprindelige dashboard med alle tilladelser. Kun navnet er ændret. Slet et dashboard 1 Klik på Dashboardhandlinger | Slet. 2 Klik på OK for at slette dashboardet. Dashboardet slettes, og du får vist systemets standarddashboard. Brugere, der havde dette dashboard som det sidst viste dashboard, får vist systemets standarddashboard, når de logger på næste gang. Eksport og import af dashboards Når du er færdig med at definere dashboards og skærme, er det hurtigst at overføre dem til andre McAfee ePO-servere ved at eksportere dem og importere dem på andre servere. Før du starter Hvis du vil importere et dashboard, skal du have adgang til et tidligere eksporteret dashboard i en XML-fil. Et dashboard, der eksporteres som en XML-fil, kan importeres til det samme eller et andet system. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Dashboards. 2 Vælg en af disse handlinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 235 20 Dashboards Arbejde med dashboardskærme Handling Trin Eksportér dashboard 1 Klik på Dashboardhandlinger | Eksportér. Der gøres forsøg på at hente en XML-fil i henhold til browserindstillingerne. 2 Gem den eksporterede XML-fil på en relevant placering. Importér dashboard 1 Klik på Dashboardhandlinger | Importér. Dialogboksen Importér dashboard vises. 2 Klik på Gennemse, og vælg den XML-fil, der indeholder et eksporteret dashboard. Klik på Åbn. 3 Klik på Gem. Bekræftelsesdialogboksen Importér dashboard vises. Navnet på dashboardet i filen vises, samt hvad det kaldes i systemet. Det er som standard navnet på det eksporterede dashboard med (importeret) tilføjet. 4 Klik på OK. Hvis du ikke ønsker at importere dashboardet, skal du klikke på Luk. Det importerede dashboard vises. Uanset hvilke tilladelser de importerede dashboards havde, da de blev eksporteret, får de tildelt private tilladelser. Du skal angive deres tilladelser efter importen. Arbejde med dashboardskærme Du kan tilpasse og manipulere dashboardskærme. Du kan bruge disse opgaver, når du arbejder med dashboardskærme. Opgaver • Administration af dashboardskærme på side 236 Du kan oprette, tilføje og fjerne skærme fra dashboards. • Flytning og ændring af størrelsen på dashboardskærme på side 237 Skærme kan nemt flyttes og tilpasses i størrelse for at udnytte skærmpladsen effektivt. Administration af dashboardskærme Du kan oprette, tilføje og fjerne skærme fra dashboards. Før du starter Du skal have skrivetilladelser til det dashboard, du vil ændre. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 236 1 Klik på Menu | Rapportering | Dashboards. Vælg et dashboard på rullelisten Dashboard. 2 Vælg en af disse handlinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Dashboards Arbejde med dashboardskærme Handling Trin Tilføj skærm. 1 Klik på Tilføj skærm. 20 Skærmgalleriet vises øverst på skærmen. 2 Vælg en skærmkategori på rullelisten Vis. De tilgængelige skærme i den pågældende kategori vises i galleriet. 3 Træk en skærm til dashboardet. Når du flytter markøren rundt på dashboardet, fremhæves den nærmeste tilgængelige placering, hvor du kan slippe skærmen. Slip skærmen på den ønskede placering. Dialogboksen Ny skærm vises. 4 Konfigurer skærmen efter behov. Hver skærm har sit eget sæt konfigurationsindstillinger. Klik derefter på OK. 5 Klik på Gem ændringer for at gemme det konfigurerede dashboard, når du har føjet skærme til dashboardet. 6 Klik på Luk, når du har foretaget ændringerne. Hvis du føjer en skærm med Læser af brugerdefineret URL-adresse, der indeholder Adobe Flash-indhold eller ActiveX-objekter, til et dashboard, kan indholdet muligvis skjule ePolicy Orchestrator-menuerne, så dele af menuerne bliver utilgængelige. Rediger skærm. De forskellige skærmtyper understøtter forskellige konfigurationsindstillinger. En forespørgselsskærm tillader for eksempel, at forespørgslen, databasen og opdateringsintervallet ændres. 1 Vælg en skærm, der skal administreres, klik på pilen i øverste venstre hjørne af skærmen, og vælg Rediger skærm. Skærmens konfigurationsdialogboks vises. 2 Klik på OK, når du er færdig med at ændre skærmens indstillinger. Klik på Annuller, hvis du beslutter dig for ikke at foretage ændringer. 3 Klik på Gem, hvis du bestemmer dig for at gemme de foretagne ændringer af dashboardet. Klik på Slet, hvis du ikke vil gemme dem. Fjern skærm. 1 Vælg en skærm, der skal fjernes, klik på pilen i øverste venstre hjørne af skærmen, og vælg Fjern skærm. Skærmens konfigurationsdialogboks vises. 2 Når du er færdig med at ændre dashboardet, skal du klikke på Gem ændringer. Du kan gendanne dashboardet til dets tidligere tilstand ved at klikke på Slet ændringer. Flytning og ændring af størrelsen på dashboardskærme Skærme kan nemt flyttes og tilpasses i størrelse for at udnytte skærmpladsen effektivt. Før du starter Du skal have skrivetilladelser til det dashboard, du vil ændre. Du kan ændre størrelsen af mange forskellige dashboardskærme. Størrelsen kan ændres, hvis skærmen har små diagonale linjer i nederste højre hjørne. Skærme flyttes og tilpasses i størrelse ved trække og slippe det aktuelle dashboard. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 237 20 Dashboards Standarddashboards og deres skærme Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Flyt eller tilpas størrelsen af en skærm: • Sådan flytter du en dashboardskærm: 1 Træk skærmen i titellinjen til den ønskede placering. Når du flytter markøren, skifter skærmens baggrund til den nærmeste tilgængelige placering af skærmen. 2 Slip skærmen, når baggrunden er skiftet til den ønskede placering. Hvis du forsøger at slippe skærmen på en ugyldig placering, vender den tilbage til sin tidligere placering. • Sådan ændrer du størrelsen af en dashboardskærm: 1 Træk tilpasningsikonet i nederste højre hjørne af skærmen til en passende placering. Når du flytter markøren, skifter skærmens baggrund form for at afspejle den understøttede størrelse, der er tættest på den aktuelle markørplacering. Skærme kan håndhæve en minimum- eller maksimumstørrelse. 2 Slip skærmen, når baggrunden er skiftet til den ønskede størrelse. Hvis du forsøger at ændre skærmen til en form, som ikke understøttes af skærmens aktuelle placering, vender den tilbage til sin forrige størrelse. 2 Klik på Gem ændringer. Klik på Slet ændringer for at vende tilbage til den forrige konfiguration. Standarddashboards og deres skærme ePolicy Orchestrator leveres med flere standarddashboards, der hver har sine egne standardskærme. Alle dashboards med undtagelse af standarddashboardet (som regel McAfee ePO-oversigt) ejes af den administrator, der har installeret ePolicy Orchestrator. Den administrator, der har udført installationen, skal ændre tilladelserne for alle øvrige dashboards, før andre McAfee ePO-brugere kan få dem vist. Dashboardet Overvågning Dashboardet Overvågning giver et overblik over adgangsrelaterede aktiviteter, der foregår på McAfee ePO-serveren. Følgende skærme er inkluderet i dette dashboard: 238 • Mislykkede logonforsøg inden for de seneste 30 dage – Viser en liste over alle mislykkede logonforsøg inden for de seneste 30 dage grupperet efter bruger. • Fuldførte logonforsøg inden for de seneste 30 dage – Viser en liste over alle fuldførte logonforsøg inden for de seneste 30 dage grupperet efter bruger. • Historik for ændring af politiktildeling efter bruger – Viser en rapport over alle politiktildelinger grupperet efter bruger inden for de seneste 30 dage, som de er registreret i overvågningsloggen. • Konfigurationsændringer efter bruger – Viser en rapport over alle handlinger, der betragtes som følsomme, grupperet efter bruger inden for de seneste 30 dage, som de er registreret i overvågningsloggen. • Serverkonfigurationer efter bruger – Viser en rapport over alle serverkonfigurationshandlinger grupperet efter bruger inden for de seneste 30 dage, som de er registreret i overvågningsloggen. • Hurtig søgning efter system – Du kan søge efter systemer efter systemnavn, IP-adresse, MAC-adresse, brugernavn eller GUID til agent. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Dashboards Standarddashboards og deres skærme 20 Dashboardet McAfee ePO-oversigt Dashboardet McAfee ePO-oversigt er et sæt skærme, der giver oplysninger på højt niveau samt links til flere oplysninger fra McAfee. Følgende skærme er inkluderet i dette dashboard: • Systemer pr. gruppe på højeste niveau – Viser et søjlediagram over dine administrerede systemer organiseret efter gruppe på højeste niveau i systemtræet. • Hurtig søgning efter system – Du kan søge efter systemer efter systemnavn, IP-adresse, MAC-adresse, brugernavn eller GUID til agent. • McAfee-links – Viser links til McAfees tekniske support, eskaleringsværktøjer, Virus Information Library og meget mere. • Oversigt over overholdelse for McAfee Agent og VirusScan Enterprise (til Windows) – Viser et boolesk cirkeldiagram over de administrerede systemer i dit miljø, der er kompatible eller ikke-kompatible, efter version af VirusScan Enterprise (til Windows), McAfee Agent og DAT-filer. • Historik over registrering af malware – Viser et kurvediagram med antallet af interne virusregistreringer i det sidste kvartal. Overordnet dashboard Dashboardet Overordnet omfatter et sæt skærme, der giver rapporter på højt niveau om sikkerhedstrusler og links til mere specifikke McAfee-produktoplysninger. Følgende skærme er inkluderet i dette dashboard: • Historik over registrering af malware – Viser et kurvediagram med antallet af interne virusregistreringer i det sidste kvartal. • Produktinstallation inden for de sidste 24 timer – Viser et boolesk cirkeldiagram over alle produktinstallationer inden for de sidste 24 timer. Fuldførte installationer vises med grønt. • Produktopdateringer inden for de sidste 24 timer – Viser et boolesk cirkeldiagram over alle produktopdateringer inden for de sidste 24 timer. Fuldførte opdateringer vises med grønt. Dashboardet Produktinstallation Dashboardet Produktinstallation giver et overblik over produktinstallationer og opdateringsaktiviteter i netværket. Følgende skærme er inkluderet i dette dashboard: • Produktinstallation inden for de sidste 24 timer – Viser et boolesk cirkeldiagram over alle produktinstallationer inden for de sidste 24 timer. Fuldførte installationer vises med grønt. • Produktopdateringer inden for de sidste 24 timer – Viser et boolesk cirkeldiagram over alle produktopdateringer inden for de sidste 24 timer. Fuldførte opdateringer vises med grønt. • Mislykket produktinstallation inden for de sidste 24 timer – Viser et søjlediagram over enkelt gruppe grupperet efter produktkode med alle mislykkede produktinstallationer inden for de sidste 24 timer. • Hurtig søgning efter system – Du kan søge efter systemer efter systemnavn, IP-adresse, MAC-adresse, brugernavn eller GUID til agent. • Mislykkede produktopdateringer inden for de sidste 24 timer – Viser et søjlediagram over enkelt gruppe grupperet efter produktkode med alle mislykkede produktopdateringer inden for de sidste 24 timer. • Forsøg på at afinstallere agenten inden for de sidste 7 dage – Viser et enkelt søjlediagram grupperet efter dag over alle hændelser for afinstallation af agent på klient inden for de sidste syv dage. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 239 20 Dashboards Angivelse af standarddashboards og intervaller for dashboardopdateringer Angivelse af standarddashboards og intervaller for dashboardopdateringer Serverindstillingerne for Dashboards angiver det standarddashboard, en bruger får vist, når der logges på serveren, samt hvor ofte alle dashboards bliver opdateret. Du kan angive, hvilket dashboard en bruger får vist, når der logges på McAfee ePO-serveren for første gang ved at knytte det til brugerens tilladelsessæt. Tilknytning af dashboards til tilladelsessæt sikrer, at de brugere, der er tildelt en bestemt rolle, automatisk præsenteres for de oplysninger, de har brug for. Brugere med tilladelse til at få vist andre dashboards end standarddashboardet, får vist det sidste nye dashboard, hver gang de går til siden Dashboards. Når du bruger serverindstillingerne for dashboards, kan du også udføre følgende handlinger: • Konfigurere, hvilke dashboards der vises for de brugere, der tilhører et tilladelsessæt, som ikke har en tildeling af et standarddashboard. • Kontrollere den automatiske opdateringshastighed for dashboards. Dashboards opdateres automatisk. Hver gang en opdatering forekommer, køres den underliggende forespørgsel, og resultaterne vises i dashboardet. Når forespørgselsresultater indeholder store mængder data, kan et kort opdateringsinterval påvirke den tilgængelige båndbredde. McAfee anbefaler, at du vælger en opdateringshastighed (som standard fem minutter), der er hyppig nok til at sikre, at nøjagtige og præcise oplysninger vises uden at bruge unødige netværksressourcer. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Dashboards under Indstillingskategorier, og klik derefter på Rediger. 2 Vælg et tilladelsessæt og et standarddashboard i menuerne. Brug og til at tilføje eller fjerne flere dashboards for hvert tilladelsessæt eller til tildelinger til flere tilladelsessæt. 3 240 Angiv en værdi mellem 1 minut og 60 timer for opdateringshastigheden for dashboardskærmen (som standard fem minutter), og klik derefter på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 21 Forespørgsler og rapporter ePolicy Orchestrator leveres med sine egne forespørgsels- og rapporteringsfunktioner. Disse er lette at tilpasse, fleksible og brugervenlige. Inkluderet er Forespørgselsgenerator og Rapportgenerator, der opretter og kører forespørgsler og rapporter, som resulterer i brugerkonfigurerede data i brugerkonfigurerede diagrammer og tabeller. Dataene til disse forespørgsler og rapporter kan hentes fra enhver registreret intern eller ekstern database i ePolicy Orchestrator-systemet. Ud over forespørgsels- og rapporteringssystemerne kan du bruge følgende logfiler til at indsamle oplysninger om de aktiviteter, der foregår på din McAfee ePO-server og på netværket: • overvågningslog • log over serveropgaver • trusselshændelseslog For at give en god start indeholder ePolicy Orchestrator et sæt standardforespørgsler, der indeholder de samme oplysninger som standardrapporterne i tidligere versioner. Indhold Tilladelser til forespørgsler og rapporter Om forespørgsler Forespørgselsgenerator Konfiguration af forespørgsler og rapporter første gang Arbejde med forespørgsler Samlede forespørgsler om flere servere Om rapporter Struktur for en rapport Arbejde med rapporter Brug af databaseservere Arbejde med databaseservere Siden Rediger forespørgselsgruppe Siden Ny forespørgselsgruppe Siden Gem forespørgsel (guiden Forespørgsel) Tilladelser til forespørgsler og rapporter Begræns adgangen til forespørgsler og rapporter på flere måder. Hvis du vil køre en forespørgsel eller rapport, skal du ikke kun have tilladelse til den forespørgsel eller rapport, men de funktioner, der er tilknyttet deres resultattyper. En forespørgsels resultatsider giver kun adgang til tilladte handlinger på baggrund af dine tilladelsessæt. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 241 21 Forespørgsler og rapporter Om forespørgsler Grupper og tilladelsessæt styrer adgangen til forespørgsler og rapporter. Alle forespørgsler og rapporter skal tilhøre en gruppe, og adgangen til denne forespørgsel eller rapport styres af gruppens tilladelsesniveau. Forespørgsels- og rapportgrupperne har et af følgende tilladelsesniveauer: • Privat – Gruppen er kun tilgængelig for den bruger, der oprettede den. • Offentlig – Gruppen deles globalt. • Efter tilladelsessæt – Gruppen er kun tilgængelig for brugere, som er tildelt de valgte tilladelsessæt. Tilladelsessæt har fire niveauer af adgang til forespørgsler og rapporter. Disse tilladelser omfatter: • Ingen tilladelser – fanen Forespørgsel eller Rapport er ikke tilgængelig for brugere uden tilladelser. • Brug offentlige forespørgsler – giver tilladelse til at bruge forespørgsler eller rapporter, som er placeret i en Offentlig gruppe. • Brug offentlige forespørgsler, Opret og rediger personlige forespørgsler – giver tilladelse til at bruge alle forespørgsler eller rapporter, som er placeret i en Offentlig gruppe, samt mulighed for at bruge Forespørgselsgenerator til at oprette og redigere forespørgsler eller rapporter i Private grupper. • Rediger offentlige forespørgsler, Opret og rediger personlige forespørgsler, Gør personlige forespørgsler offentlige – giver tilladelse til at bruge og redigere forespørgsler og rapporter, som er placeret i Offentlige grupper, oprette og redigere forespørgsler eller rapporter i Private grupper og mulighed for at flytte forespørgsler eller rapporter fra Private grupper til Offentlige eller Delte grupper. Om forespørgsler Forespørgsler er i bund og grund spørgsmål, du stiller til ePolicy Orchestrator, og der kommer svar retur i form af forskellige diagrammer og tabeller. En forespørgsel kan bruges individuelt til at få et svar her og nu. Resultater fra en forespørgsel kan eksporteres til forskellige formater, som alle kan hentes eller sendes som en vedhæftet fil i en e-mail. De fleste forespørgsler kan også bruges som dashboardskærme, så systemovervågning i næsten realtid er muligt. Forespørgsler kan også kombineres i rapporter, så der opnås et mere overskueligt og systematisk overblik over ePolicy Orchestrator-softwaresystemet. Standarddashboards og foruddefinerede forespørgsler, der følger med ePolicy Orchestrator, kan ikke ændres eller slettes. Du kan ændre dem ved at kopiere, omdøbe og ændre det omdøbte dashboard eller den omdøbte forespørgsel. Forespørgselsresultater kan behandles Forespørgselsresultater kan nu behandles Der findes forskellige handlinger for valgte elementer i tabellen i forbindelse med forespørgselsresultater, som vises i tabeller (og detailudledningstabeller). Du kan for eksempel installere agenter på systemer i en tabel med forespørgselsresultater. Handlingerne findes nederst på resultatsiden. Forespørgsler som dashboardskærme De fleste forespørgsler kan bruges som dashboardskærm (med undtagelse af dem, der bruger en tabel til at vise de oprindelige resultater). Dashboard-skærme opdateres automatisk ud fra et brugerkonfigureret interval (fem minutter som standard). 242 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Forespørgselsgenerator 21 Eksporterede resultater Forespørgselsresultater kan eksporteres til fire forskellige formater. Eksporterede resultater er historiske data og opdateres ikke som andre skærme ved brug som dashboard-skærme. På samme måde som ved forespørgselsresultater og forespørgselsbaserede skærme, der vises i konsollen, kan du få vist mere detaljerede oplysninger i HTML-eksporterne. I modsætning til forespørgselsresultater i konsollen kan data i eksporterede rapporter ikke behandles. Rapporter fås i flere formater: • CSV – Brug dataene i et regnearksprogram (for eksempel Microsoft Excel). • XML – Omdan dataene til andre formål. • HTML – Vis de eksporterede resultater som en webside. • PDF – Udskriv resultaterne. Kombination af forespørgsler i rapporter Rapporter kan indeholde et vilkårlig antal forespørgsler, billeder, statisk tekst og andre elementer. De kan køres på bestilling eller ud fra en regelmæssig plan og fås i PDF-format, så de kan vises uden for ePolicy Orchestrator. Deling af forespørgsler mellem servere Alle forespørgsler kan importeres og eksporteres, så det er muligt at dele forespørgsler mellem servere. I et miljø med flere servere er det kun nødvendigt at oprette forespørgsler én gang. Hentning af data fra forskellige kilder Forespørgsler kan hente data fra alle registrerede servere, herunder databaser, der er eksterne for ePolicy Orchestrator. Forespørgselsgenerator ePolicy Orchestrator indeholder en let guide på fire trin, der bruges til at oprette og redigere brugerdefinerede forespørgsler. Med guiden kan du konfigurere, hvilke data der skal hentes og vises, og hvordan de skal vises. Resultattyper De første valg, du foretager i guiden Forespørgselsgenerator, er skemaet og resultattypen fra en funktionsgruppe. Dette valg angiver, hvorfra og hvilken type data forespørgslen henter, og bestemmer de tilgængelige valgmuligheder i resten af guiden. Diagramtyper ePolicy Orchestrator indeholder en række diagrammer og tabeller, som viser de data, der hentes. Disse og deres detailudledningstabeller er lette at konfigurere. Tabellerne omfatter ikke detailudledningstabeller. Diagramtyperne omfatter: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 243 21 Forespørgsler og rapporter Konfiguration af forespørgsler og rapporter første gang Tabel 21-1 Diagramtypegrupper Type Diagram eller tabel Søjle • Søjlediagram • Grupperet søjlediagram • Stablet søjlediagram Cirkel • Boolesk cirkeldiagram • Cirkeldiagram Boble • Boblediagram Oversigt • Oversigtstabel for flere grupper • Oversigtstabel over enkelt gruppe Linje • Diagram med flere linjer • Diagram med enkelt linje Listevisning • Tabel Tabelkolonner Angiv kolonner til tabellen. Hvis du vælger Tabel som den primære visning af data, konfigurerer dette tabellen. Hvis du vælger en diagramtype som den primære visning af data, konfigurerer dette detailudledningstabellen. De forespørgselsresultater, der vises i tabellen, giver mulighed for handling. Hvis tabellen f.eks. er fyldt med systemer, du kan installere eller aktivere agenter på disse systemer direkte fra tabellen. Filtre Angiv kriterier ved at vælge egenskaber og operatorer for at begrænse de data, der hentes af forespørgslen. Konfiguration af forespørgsler og rapporter første gang Følg disse overordnede trin, første gang du konfigurerer forespørgsler og rapporter. 1 Få mere at vide om, hvordan forespørgsler, rapporter og Forespørgselsgenerator fungerer. 2 Gennemgå standardforespøgsler og -rapporter, og rediger dem eventuelt til dine behov. 3 Opret forespørgsler og rapporter til ethvert behov, som ikke opfyldes af standardforespørgslerne. Arbejde med forespørgsler Forespørgsler kan oprettes, køres, eksporteres, duplikeres m.m., afhængigt af jeres behov. 244 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med forespørgsler 21 Opgaver • Administration af brugerdefinerede forespørgsler på side 245 Du kan oprette, duplikere, redigere og slette forespørgsler efter behov. • Kørsel af en eksisterende forespørgsel på side 247 Du kan køre forespørgsler, der er gemt, på bestilling. • Kørsel af en forespørgsel efter en plan på side 247 En serveropgave bruges til at køre en forespørgsel med jævne mellemrum. Forespørgsler kan indeholde underhandlinger, som betyder, at du kan udføre en række opgaver, f.eks. sende en mail med forespørgselsresultaterne eller arbejde med koder. • Oprettelse af en forespørgsel, så systemerne kan angives på baggrund af koder på side 251 Du kan køre en forespørgsel efter en plan for at oprette en liste, hvor koder for systemer vises, anvendes eller ryddes på baggrund af valgte koder. • Oprettelse af en forespørgselsgruppe på side 252 Forespørgselsgrupper gør det muligt at gemme forespørgsler eller rapporter uden at tillade, at andre brugere får adgang til dem. • Flytning af en forespørgsel til en anden gruppe på side 252 Rediger tilladelserne på en forespørgsel ved at flytte den til en anden gruppe. • Eksport og import af forespørgsler på side 252 Du kan eksportere og importere forespørgsler for at sikre, at forskellige McAfee ePO-servere henter data på den samme måde. • Eksport af forespørgselsresultater til andre formater på side 253 Forespørgselsresultater kan eksporteres til forskellige formater, herunder HTML, PDF, CSV og XML. Administration af brugerdefinerede forespørgsler Du kan oprette, duplikere, redigere og slette forespørgsler efter behov. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg siden Forespørgsler og rapporter, der vises. 2 Vælg en af disse handlinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 245 21 Forespørgsler og rapporter Arbejde med forespørgsler Handling Trin Opret brugerdefineret forespørgsel. 1 Klik på Handlinger | Ny, hvorefter siden Forespørgselsgenerator vises. 2 Gå til siden Resultattype, og vælg Funktionsgruppe og Resultattype for denne forespørgsel, og klik derefter på Næste. 3 Vælg diagram- eller tabeltypen til visning af forespørgslens primære resultater, og klik derefter på Næste. Hvis du vælger Boolesk cirkeldiagram, skal du konfigurere de kriterier, der skal medtages i forespørgslen, før du fortsætter. 4 Vælg de kolonner, der skal medtages i forespørgslen, og klik derefter på Næste. Hvis du valgte Tabel på siden Diagram, er de kolonner, du vælger her, kolonnerne i den pågældende tabel. Ellers er det disse kolonner, der medtages i forespørgslens tabeloplysninger. 5 Vælg egenskaber for at begrænse søgeresultaterne, og klik derefter på Kør. På siden Forespørgsel, som ikke er gemt vises resultaterne af forespørgslen, som kan behandles, så du kan udføre tilgængelige handlinger for elementer i tabeller eller detailudledningstabeller. De valgte egenskaber vises i indholdsruden med operatorer, der kan angive kriterier, som bruges til at begrænse de data, der findes for den pågældende egenskab. • Hvis forespørgslen ikke giver de ønskede resultater, skal du klikke på Rediger forespørgsel for at gå tilbage til Forespørgselsgenerator og redigere oplysningerne for forespørgslen. • Klik på Luk, hvis du ikke vil gemme forespørgslen. • Hvis du ønsker at bruge forespørgslen igen, skal du klikke på Gem og fortsætte til næste trin. 6 Siden Gem forespørgsel vises. Skriv et navn på forespørgslen, tilføj eventuelle noter, og vælg en af følgende: • Ny gruppe – Skriv navnet på den nye gruppe, og vælg en af følgende indstillinger: • Privat gruppe (Mine grupper) • Offentlig gruppe (Delte grupper) • Eksisterende gruppe – Vælg gruppen på listen Delte grupper. 7 Klik på Gem. Den nye forespørgsel vises på listen Forespørgsler. Dupliker forespørgsel. 1 Vælg en forespørgsel, der skal duplikeres, på listen, og klik på Handlinger | Dupliker. 2 Skriv et navn på dobbeltforekomsten af forespørgslen i dialogboksen Dupliker, og vælg en gruppe, der skal modtage en kopi af forespørgslen. Klik derefter på OK. Dobbeltforekomsten af forespørgslen vises på listen Forespørgsler. 246 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med forespørgsler Handling Trin Rediger forespørgsel. 1 Vælg en forespørgsel, der skal redigeres, på listen, og klik på Handlinger | Rediger. 21 Siden Forespørgselsgenerator vises fra siden Diagramtype. 2 Rediger indstillingerne for forespørgslen, og klik på Gem, når du er færdig. Den redigerede forespørgsel vises på listen Forespørgsler. Slet forespørgsel. 1 Vælg en forespørgsel, der skal slettes, på listen, og klik på Handlinger | Slet. 2 Klik på Ja, når bekræftelsesdialogboksen vises. Forespørgslen vises ikke længere på listen Forespørgsler. Hvis forespørgslen bruges af rapporter eller serveropgaver, vises de nu som ugyldige, indtil du fjerner referencen til den slettede forespørgsel. Kørsel af en eksisterende forespørgsel Du kan køre forespørgsler, der er gemt, på bestilling. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter en forespørgsel på listen Forespørgsler. 2 Klik på Handlinger | Kør. Forespørgselsresultatet vises. Foretag en detailudledning af rapporten, og træf de nødvendige foranstaltninger for elementerne. De handlinger, der er tilgængelige, afhænger af brugerens tilladelser. 3 Klik på Luk, når opgaven er fuldført. Kørsel af en forespørgsel efter en plan En serveropgave bruges til at køre en forespørgsel med jævne mellemrum. Forespørgsler kan indeholde underhandlinger, som betyder, at du kan udføre en række opgaver, f.eks. sende en mail med forespørgselsresultaterne eller arbejde med koder. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. 2 Navngiv og beskriv opgaven på siden Beskrivelse, og klik derefter på Næste. 3 Vælg Kør forespørgsel i rullemenuen Handlinger. 4 Find den forespørgsel, du vil køre, i feltet Forespørgsel. 5 Vælg det sprog, resultaterne skal vises på. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 247 21 Forespørgsler og rapporter Arbejde med forespørgsler 6 Vælg en underhandling på baggrund af resultaterne på listen Underhandlinger. De tilgængelige underhandlinger afhænger af brugerens tilladelser og de produkter, der administreres af McAfee ePO-serveren. Følgende indbyggede forespørgsler og underhandlinger er tilgængelige under Grupper. Kategori Forespørgsel Underhandlinger Agentadministration Forespørgsel til agentkommunikation Send fil via mail Oversigt over agentversion Send fil via mail Inaktive agenter Anvend kode Tildel politik Skift sorteringsstatus Ryd antal sekvensfejl for GUID til agent Ryd kode Slet systemer Send fil via mail Udelad kode DC-kommando for afsendelse af fil Flyt GUID til agent til Liste over dobbeltforekomster og Slet systemer Flyt systemer Sortér systemer igen Eksempel på DC-kommando Angiv brugeregenskaber Administrerede noder med fejl i håndhævelse Send fil via mail af politikker for produkter med én funktion Administrerede noder med fejl i politiksamling Send fil via mail for produkter med én funktion Registreringer Politiktildeling Produktinstallation 248 Lagre og udnyttelse i procent Send fil via mail Lagerudnyttelse baseret på DAT- og programforbrug Send fil via mail Historik over registrering af malware Send fil via mail Registreringer pr. produkt fra i dag Send fil via mail Anvendte klientopgaver Send fil via mail Anvendte politikker efter produktknavnet Send fil via mail Anvendte politikker for McAfee Agent Send fil via mail Brudt nedarvning for tildeling af klientopgave Send fil via mail Historik for ændring af politiktildeling efter bruger (30 dage) Send fil via mail Forsøg på at afinstallere agenten inden for de Send fil via mail sidste 7 dage Mislykket produktinstallation inden for de sidste 24 timer Send fil via mail Mislykkede produktopdateringer inden for de sidste 24 timer Send fil via mail Tilføjelse af nye agenter til ePO pr. uge Send fil via mail Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med forespørgsler Kategori Forespørgsel Underhandlinger Tendens for fuldførte (2401) og mislykkede (2402) produktinstallationer i de sidste 2 måneder Send fil via mail Produktopdateringer inden for de sidste 24 timer Send fil via mail Systemadministration Dobbeltforekomst af systemnavne 21 Anvend kode Tildel politik Skift sorteringsstatus Ryd antal sekvensfejl for GUID til agent Ryd kode Slet systemer Send fil via mail Udelad kode DC-kommando for afsendelse af fil Flyt GUID til agent til Liste over dobbeltforekomster og Slet systemer Flyt systemer Sortér systemer igen Eksempel på DC-kommando Angiv brugeregenskaber Systemer pr. gruppe på højeste niveau Send fil via mail Systemer med et stort antal sekvensfejl Anvend kode Tildel politik Skift sorteringsstatus Ryd antal sekvensfejl for GUID til agent Ryd kode Slet systemer Send fil via mail Udelad kode DC-kommando for afsendelse af fil Flyt GUID til agent til Liste over dobbeltforekomster og Slet systemer Flyt systemer Sortér systemer igen Eksempel på DC-kommando Angiv brugeregenskaber Systemer med ingen nyere sekvensfejl Anvend kode Tildel politik Skift sorteringsstatus Ryd antal sekvensfejl for GUID til agent Ryd kode Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 249 21 Forespørgsler og rapporter Arbejde med forespørgsler Kategori Forespørgsel Underhandlinger Slet systemer Send fil via mail Udelad kode DC-kommando for afsendelse af fil Flyt GUID til agent til Liste over dobbeltforekomster og Slet systemer Flyt systemer Sortér systemer igen Eksempel på DC-kommando Angiv brugeregenskaber Ikke-administrerede systemer Anvend kode Tildel politik Skift sorteringsstatus Ryd antal sekvensfejl for GUID til agent Ryd kode Slet systemer Send fil via mail Udelad kode DC-kommando for afsendelse af fil Flyt GUID til agent til Liste over dobbeltforekomster og Slet systemer Flyt systemer Sortér systemer igen Eksempel på DC-kommando Angiv brugeregenskaber Trusselshændelser Brugerovervågning Alle trusselshændelser efter gruppe i Systemtræ Send fil via mail Beskrivelse af de mest talrige trusselshændelser inden for de sidste 24 timer Send fil via mail Trusselshændelser inden for de sidste 2 uger Send fil via mail Konfigurationsændringer efter bruger (30 dage) Send fil via mail Mislykkede logonforsøg inden for de seneste 30 dage Send fil via mail Mislykkede brugerhandlinger i ePO-konsollen Send fil via mail inden for de seneste 30 dage Serverkonfigurationer efter bruger (30 dage) Send fil via mail Fuldførte logonforsøg inden for de seneste 30 Send fil via mail dage Du kan vælge flere end én handling for forespørgselsresultaterne. Klik på knappen + for at tilføje de ekstra handlinger for forespørgselsresultaterne. Vær omhyggelig med at sætte handlingerne i den rækkefølge, de skal forekomme i for forespørgselsresultaterne. 250 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med forespørgsler 7 Klik på Næste. 8 Planlæg opgaven som ønsket, og klik derefter på Næste. 9 Bekræft konfigurationen af opgaven, og klik derefter på Gem. 21 Opgaven føjes til listen på siden Serveropgaver. Hvis opgaven er aktiveret (hvilket den er som standard), kører den på det næste planlagte tidspunkt. Hvis opgaven er deaktiveret, kører den kun ved at klikke på Kør ud for opgaven på siden Serveropgaver. Oprettelse af en forespørgsel, så systemerne kan angives på baggrund af koder Du kan køre en forespørgsel efter en plan for at oprette en liste, hvor koder for systemer vises, anvendes eller ryddes på baggrund af valgte koder. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Automatisering | Serveropgaver, og derefter klikke på Handlinger | Ny opgave. 2 Navngiv og beskriv opgaven på siden Beskrivelse, og klik derefter på Næste. 3 I rullemenuen Handlinger skal du vælge Kør forespørgsel. 4 I feltet Forespørgsel skal du vælge en af disse forespørgsler på fanen McAfee-grupper og derefter klikke på OK. • Inaktive agenter • Dobbeltforekomst af systemnavne • Systemer med et stort antal sekvensfejl • Systemer med ingen nyere sekvensfejl • Ikke-administrerede systemer 5 Vælg det sprog, resultaterne skal vises på. 6 Vælg en af disse underhandlinger på baggrund af resultaterne på listen Underhandlinger. 7 • Anvend kode – Anvender en valgt kode på de systemer, som forespørgslen returnerer. • Ryd kode – Rydder en valgt kode på de systemer, som forespørgslen returnerer. Vælg Ryd kode for at fjerne alle koder alle systemer i forespørgselsresultaterne. • Udelad kode — Udelukker systemer fra forespørgselsresultaterne, hvor den valgte kode er anvendt sammen med dem. I vinduet Vælg kode skal du vælge en kodegruppe fra Kodegruppetræ og derefter kan du vælge, om du vil filtrere listen over koder ved hjælp af tekstfeltet Koder. Du kan vælge flere end én handling for forespørgselsresultaterne. Klik på knappen + for at tilføje de ekstra handlinger for forespørgselsresultaterne. Vær omhyggelig med at sætte handlingerne i den rækkefølge, de skal forekomme i for forespørgselsresultaterne. Du kan f.eks. anvende koden Server og derefter fjerne koden arbejdsstation. Du kan også tilføje andre underhandlinger, f.eks. tildeling af en politik til systemerne. 8 Klik på Næste. 9 Planlæg opgaven som ønsket, og klik derefter på Næste. 10 Bekræft konfigurationen af opgaven, og klik derefter på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 251 21 Forespørgsler og rapporter Arbejde med forespørgsler Opgaven føjes til listen på siden Serveropgaver. Hvis opgaven er aktiveret (hvilket den er som standard), kører den på det næste planlagte tidspunkt. Hvis opgaven er deaktiveret, kører den kun, hvis du klikker på Kør ud for opgaven på siden Serveropgaver. Oprettelse af en forespørgselsgruppe Forespørgselsgrupper gør det muligt at gemme forespørgsler eller rapporter uden at tillade, at andre brugere får adgang til dem. Oprettelse af en gruppe gør det muligt at kategorisere forespørgsler og rapporter ud fra deres funktion og styre adgangen. Den liste over grupper, du ser i ePolicy Orchestrator-softwaren, er den kombination af grupper, du har oprettet, og grupper, du har tilladelse til at se. Du kan også oprette private forespørgselsgrupper, mens du gemmer en brugerdefineret forespørgsel. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og klik derefter på Gruppehandlinger | Ny gruppe. 2 Skriv et gruppenavn på siden Ny gruppe. 3 Vælg en af følgende valgmuligheder under Gruppesynlighed: • Privat gruppe – Tilføjer den nye gruppe under Mine grupper. • Offentlig gruppe – Tilføjer den nye gruppe under Delte grupper. Forespørgsler og rapporter i gruppen kan ses af alle brugere med adgang til offentlige forespørgsler og rapporter. • Delt via tilladelsessæt – Tilføjer den nye gruppe under Delte grupper. Kun brugere, der er blevet tildelt de valgte tilladelsessæt, har adgang til rapporter og forespørgsler i denne gruppe. Administratorer har fuld adgang til alle forespørgsler for Via tilladelsessæt og Offentlig. 4 Klik på Gem. Flytning af en forespørgsel til en anden gruppe Rediger tilladelserne på en forespørgsel ved at flytte den til en anden gruppe. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Rapportering | Forespørgsler og rapporter. Vælg den forespørgsel, du vil flytte, på listen Forespørgsler. 2 Klik på Handlinger, og benyt en af følgende fremgangsmåder: 3 • Flyt til en anden gruppe – Flytter gruppen fra menuen Vælg destinationsgruppe. • Dupliker – Angiv et nyt navn, og vælg gruppen fra menuen Gruppe, der skal modtage kopien. Klik på OK. Eksport og import af forespørgsler Du kan eksportere og importere forespørgsler for at sikre, at forskellige McAfee ePO-servere henter data på den samme måde. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 252 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med forespørgsler 21 Opgave 1 Åbn siden Forespørgsler ved at vælge Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Forespørgsel. 2 Vælg en af disse handlinger. Handling Trin Eksportér en forespørgsel 1 Markér den gruppe, der indeholder den forespørgsel, du vil eksportere, på listen Grupper, og markér derefter den forespørgsel, du vil eksportere. 2 Klik på Handlinger | Eksportér definitioner. McAfee ePO-serveren sender en XML-fil til browseren. Hvad der derefter sker, afhænger af browserindstillingerne. I de fleste browsere bliver du spurgt, om du vil gemme filen. Den eksporterede XML-fil indeholder en komplet beskrivelse af alle de indstillinger, der kræves for at replikere den eksporterede forespørgsel. Importér en forespørgsel 1 Klik på Handlinger | Importér definitioner. 2 Klik på Gennemse for at navigere til og vælge den XML-fil, der indeholder det dashboard, som du vil importere. 3 Vælg en ny eller eksisterende gruppe til forespørgslen. Hvis det er en ny gruppe, skal du skrive navnet på gruppen og vælge, om den er privat eller offentlig. Hvis det er en eksisterende gruppe, skal du vælge den gruppe, den importerede forespørgsel skal føjes til. 4 Klik på Gem. Der vises en bekræftelsesskærm med oplysninger om den forespørgsel, der findes i XML-filen, og hvilket navn den skal have efter importen. Hvis der ikke er nogen gyldig forespørgsel i den valgte fil, vises der en fejlmeddelelse. 5 Klik på OK for at færdiggøre importen. Den forespørgsel, der blev importeret for nylig, henter tilladelserne i den gruppe, hvor den blev importeret. Eksport af forespørgselsresultater til andre formater Forespørgselsresultater kan eksporteres til forskellige formater, herunder HTML, PDF, CSV og XML. Eksport af forespørgselsresultater adskiller sig fra oprettelse af en rapport på flere måder. For det første føjes der ikke flere oplysninger til outputtet, som det kan være tilfældet i en rapport, kun resultatdataene medtages. For det andet understøttes flere formater. Eksporterede forespørgselsresultater forventes at kunne bruges ved yderligere behandling, så maskinvenlige formater, f.eks. XML og CSV, understøttes. Rapporter er designet til at kunne læses af mennesker, og oprettes derfor kun som PDF-filer. I modsætning til forespørgselsresultater i konsollen omfatter eksporterede data ingen handlingsforslag. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter en eller flere forespørgsler. Du kan også køre forespørgslen fra siden Forespørgsler og klikke på Indstillinger | Eksportér data fra siden med forespørgselsresultater for at åbne siden Eksportér. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 253 21 Forespørgsler og rapporter Samlede forespørgsler om flere servere 2 Klik på Handlinger | Eksportér data. Siden Eksportér vises. 3 Vælg det, der skal eksporteres. Ved diagrambaserede forespørgsler skal du vælge enten Kun diagramdata eller Diagramdata og detailudledningstabeller. 4 Vælg, om datafilerne skal eksporteres hver for sig eller i en enkelt arkivfil (ZIP). 5 Vælg formatet for den eksporterede fil. 6 7 • CSV – Brug dette format, hvis dataene skal anvendes i et regnearksprogram (f.eks. Microsoft Excel). • XML – Brug dette format til at omdanne dataene til andre formål. • HTML – Brug dette rapportformat til at få vist de eksporterede resultater som en webside. • PDF – Brug dette rapportformat, når du skal udskrive resultaterne. Hvis du eksporterer til en PDF-fil, skal du konfigurere følgende: • Vælg Sidestørrelse og Sideretning. • (Valgfrit) Vis filterkriterier. • (Valgfrit) Inkluder en forside med denne tekst, og medtag den nødvendige tekst. Vælg, om filerne skal sendes som vedhæftede filer via e-mail til valgte modtagere, eller om de skal gemmes på en placering på serveren, der angives et link til. Du kan åbne eller gemme filen på en anden placering ved at højreklikke på den. Når du skriver flere e-mailadresser på modtagere, skal du adskille posterne med komma eller semikolon. 8 Klik på Eksportér. Filerne oprettes og sendes som vedhæftede filer via e-mail til modtagerne, eller du føres til en side, hvor du kan få adgang til filerne fra links. Samlede forespørgsler om flere servere ePolicy Orchestrator gør det muligt at køre forespørgsler, som rapporterer om oversigtsdata fra flere databaser. Brug disse resultattyper i guiden Forespørgselsgenerator til denne type forespørgsler: • Samlede trusselshændelser • Samlede administrerede systemer • Samlede klienthændelser • Samlede anvendte politikker • Samlet historik for overholdelse Handlingskommandoer kan ikke genereres fra samlede resultattyper. Sådan virker det For at samle data til brug for samlede forespørgsler skal du registrere hver server (herunder den lokale server), som du vil medtage i forespørgslen. 254 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Samlede forespørgsler om flere servere 21 Når serverne er registreret, skal du konfigurere Saml data-serveropgaver på rapporteringsserveren (den server, der rapporterer for flere servere). Saml data-serveropgaver henter oplysningerne fra alle databaser, der er involveret i rapporteringen, og udfylder EPORollup_tabellerne på rapporteringsserveren. De samlede forespørgsler er målrettet mod disse databasetabeller på rapporteringsserveren. En forudsætning for at køre en forespørgsel om Samlet historik for overholdelse skal du foretage to forberedende handlinger på hver server, hvis data du vil inkludere: • Opret en forespørgsel til definition af overholdelse • Opret en hændelse for overholdelse Oprettelse af en serveropgave til samlingsdata Serveropgaver til samlingsdata trækker data fra flere servere samtidig. Før du starter Du skal først registrere alle de ePolicy Orchestrator-rapporteringsservere, du vil medtage i samlingsrapporteringen. Registrering af alle servere er nødvendigt for at samle oversigtsdata fra disse servere til at fylde tabellerne EPORollup_ på rapporteringsserveren for samlingen. Rapporteringsserveren skal også registreres, hvis dens oversigtsdata skal medtages i samlerapportering. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. 2 Skriv på siden Beskrivelse et navn og en beskrivelse for opgaven, vælg om den skal aktiveres, og klik derefter på Næste. 3 Klik på Handlinger, og vælg Saml data. 4 I rullemenuen Saml data fra: skal du vælge Alle registrerede servere eller Vælg registrerede servere. 5 Hvis du valgte Vælg registrerede servere i forrige trin, skal du klikke på Vælg og vælge de servere, du ønsker data fra, i dialogboksen Vælg registrerede servere. Klik på OK. 6 Vælg den datatype, der skal samles. Du kan vælge flere datatyper ved at klikke på + efter tabeloverskriften. Datatyperne Trusselshændelser, Klienthændelser og Anvendte politikker kan konfigureres yderligere, så de medtager de ekstra egenskaber Tøm, Filter og samlingsmetode. Det gør du ved at klikke på Konfigurer i den række, der beskriver de ekstra tilgængelige egenskaber. 7 Klik på Næste. Siden Plan vises. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 255 21 Forespørgsler og rapporter Samlede forespørgsler om flere servere 8 Planlæg opgaven, og klik derefter på Næste. Siden Oversigt vises. Hvis du rapporterer om data for samlet historik for overholdelse, skal du kontrollere, at tidsenheden for forespørgslen om samlet historik for overholdelse stemmer overens med plantypen for serveropgaverne til oprettelse af hændelse for overholdelse på de registrerede servere. 9 Gennemgå indstillingerne, og klik derefter på Gem. Oprettelse af en forespørgsel til definition af overholdelse Overholdelsesforespørgsler er påkrævet på McAfee ePO-servere, hvis data bruges til samleforespørgsler. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og klik derefter på Handlinger | Ny. 2 Gå til siden Resultattype, vælg Systemadministration som Funktionsgruppe, og vælg Administrerede systemer som Resultattyper, og klik derefter på Næste. 3 Vælg Boolesk cirkeldiagram på listen Vis resultater som, og klik derefter på Konfigurer kriterier. 4 Vælg de egenskaber, der skal medtages i forespørgslen, og indstil derefter operatorer og værdier for hver egenskab. Klik på OK. Klik på Næste, når siden Diagram vises. Disse egenskaber definerer, hvad der er kompatibelt for systemer, der administreres af denne McAfee ePO-server. 5 Vælg de kolonner, der skal medtages i forespørgslen, og klik derefter på Næste. 6 Vælg eventuelle filtre, der skal anvendes til forespørgslen, klik på Kør, og klik derefter på Gem. Oprettelse af hændelser for overholdelse Hændelser for overholdelse bruges i samlingsforespørgsler til at samle data i en enkelt rapport. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. 2 Skriv et navn til den nye opgave på siden Beskrivelse, og klik derefter på Næste. 3 Vælg Kør forespørgsel i rullemenuen Handlinger. 4 Klik på gennemse (...) ud for feltet Forespørgsel, og vælg en forespørgsel. Dialogboksen Vælg en forespørgsel på listen vises med fanen Mine grupper aktiveret. 5 Vælg den forespørgsel, der definerer overholdelsen. Det kan være en standardforespørgsel, f.eks. Oversigt over overholdelse for McAfee Agent i afsnittet McAfee-grupper eller en brugeroprettet forespørgsel, f.eks. en, der er beskrevet under Oprettelse af en forespørgsel til definition af overholdelse. 6 Vælg Opret hændelse for overholdelse i rullemenuen Underhandlinger, angiv procentdelen eller antallet af målsystemet, og klik derefter på Næste. Hændelser kan oprettes af opgaven Opret hændelse for overholdelse, hvis antallet af uoverensstemmelse er højere end en angivet procentdel af eller et angivet antal systemer. 256 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Om rapporter 21 7 Planlæg opgaven til det tidsinterval, der skal bruges til rapportering af historik for overholdelse. Hvis oplysninger om overholdelse f.eks. skal indsamles ugentligt, skal du planlægge opgaven til at køre ugentligt. Klik på Næste. 8 Gennemse oplysningerne, og klik derefter på Gem. Om rapporter Rapporter kombinerer forespørgsler og andre elementer i PDF-dokumenter, så der er detaljerede oplysninger til analyse. Du kører rapporter for at undersøge miljøets tilstand – f.eks. sikkerhedsrisici, brug, hændelser – så du kan foretage de nødvendige ændringer for at holde miljøet sikkert. Forespørgsler giver lignende oplysninger, men kan kun bruges ved direkte interaktion med en McAfee ePO-server. Rapporter gør det muligt at samle en eller flere forespørgsler i et enkelt PDF-dokument, så der opnås fokuserede offline-analyser. Rapporter er konfigurerbare dokumenter, der viser data fra en eller flere forespørgsler og trækker data fra en eller flere databaser. Det sidst kørte resultat for hver rapport gemmes i systemet og er umiddelbart klar til visning. Du kan begrænse adgangen til rapporter ved at bruge grupper og tilladelsessæt på samme måde, som du begrænser adgang til forespørgsler. Rapporter og forespørgsler kan bruge de samme grupper, og fordi rapporter primært består af forespørgsler, er det muligt at opnå konsekvent adgangskontrol. Struktur for en rapport Rapporter indeholder en række elementer i et grundlæggende format. Selvom rapporter i høj grad kan tilpasses, har de en grundlæggende struktur, der indeholder alle de varierende elementer. Sidestørrelse og papirretning ePolicy Orchestrator understøtter i øjeblikket seks kombinationer af sidestørrelse og papirretning. Disse omfatter: Sidestørrelser: • US Letter (8,5" x 11") • US Legal (8,5" x 14") • A4 (210 mm x 297 mm) Sideretning: • Liggende • Stående Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 257 21 Forespørgsler og rapporter Arbejde med rapporter Sidehoveder og sidefødder Det er også muligt at benytte en systemstandard for sidehoveder og sidefødder. De kan også tilpasses på en række forskellige måder, bl.a. med logoer. De elementer, der i øjeblikket understøttes for sidehoveder og sidefødder, er: • Logo • Brugernavn • Dato/klokkeslæt • Brugertilpasset tekst • Sidetal Sideelementer Sideelementerne indeholder rapportens indhold. De kan kombineres på en hvilken som helst måde og kan duplikeres efter behov. Følgende sideelementer er tilgængelige i ePolicy Orchestrator: • Billeder • Forespørgselstabeller • Statisk tekst • Forespørgselsdiagrammer • Sideskift Arbejde med rapporter Du kan oprette, redigere og administrere rapporter, som kombinerer forespørgsler og andre elementer i detaljerede pdf-dokumenter. Disse dokumenter indeholder en masse nyttige data, men der er mange opgaver, der skal fuldføres for at oprette en samling nyttige rapporter. 258 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med rapporter 21 Opgaver • Oprettelse af en ny rapport på side 259 Du kan oprette nye rapporter og gemme dem i ePolicy Orchestrator. • Redigering af en eksisterende rapport på side 259 Du kan ændre indholdet af eller præsentationsrækkefølgen for en eksisterende rapport. • Visning af rapportoutput på side 264 Få vist den version af hver rapport, der sidst blev kørt. • Gruppering af rapporter på side 264 Alle rapporter skal tildeles til en gruppe. • Kørsel af rapporter på side 265 Rapporter skal køres, før resultaterne kan undersøges. • Kørsel af en rapport med en serveropgave på side 265 Rapporter kan køres automatisk vha. serveropgaver. • Eksport og import af rapporter på side 266 Rapporter kan indeholde meget strukturerede oplysninger, så ved at eksportere dem fra én server og importere dem på en anden kan du gøre datahentning og -rapportering ensartet på tværs af alle McAfee ePO-servere. • Konfiguration af skabelonen og placeringen for eksporterede rapporter på side 266 Du kan definere udseendet af og lagringsplaceringen for tabeller og dashboards, du eksporterer som dokumenter. • Sletning af rapporter på side 267 Du kan slette rapporter, der ikke længere bruges. • Konfiguration af Internet Explorer 8 til automatisk accept af McAfee ePO-overførsler på side 267 Som sikkerhedsforanstaltning kan Microsoft Internet Explorer ske at blokere ePolicy Orchestrator-overførsler, så de ikke sker automatisk. Denne adfærd kan ændres med en konfigurationsændring af Internet Explorer. Oprettelse af en ny rapport Du kan oprette nye rapporter og gemme dem i ePolicy Orchestrator. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 Klik på Handlinger | Ny. Der vises en tom side for Rapportlayout. 3 Klik på Navn, beskrivelse og gruppe. Navngiv rapporten som ønsket, giv den eventuelt en beskrivelse, og vælg en relevant gruppe for den. Klik på OK. 4 Du kan nu tilføje, fjerne og flytte elementer, brugerdefinere sidehovedet og sidefoden samt ændre sidens layout. Du kan hele tiden få vist status ved at klikke på Kør for at køre rapporten. 5 Klik på Gem, når du er færdig. Redigering af en eksisterende rapport Du kan ændre indholdet af eller præsentationsrækkefølgen for en eksisterende rapport. Hvis du opretter en ny rapport, får du vist dette skærmbillede, når du klikker på Ny rapport. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 259 21 Forespørgsler og rapporter Arbejde med rapporter Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 Vælg en rapport på listen ved at markere afkrydsningsfeltet ud for rapportens navn. 3 Klik på Rediger. Siden Rapportlayout vises. En af følgende opgaver kan nu udføres på rapporten. Opgaver • Tilføjelse af elementer til en rapport på side 260 Det er muligt at føje nye elementer til en eksisterende rapport. • Konfiguration af billedrapportelementer på side 260 Overfør nye billeder, og rediger de billeder, der bruges i en rapport. • Konfiguration af tekstrapportelementer på side 261 Du kan indsætte statisk tekst i en rapport, som forklarer dens indhold. • Konfiguration af rapportelementer for en forespørgselstabel på side 261 Nogle forespørgsler vises bedre som en tabel, når de indgår i en rapport. • Konfiguration af rapportelementer for et forespørgselsdiagram på side 262 Nogle forespørgsler vises bedre som et diagram. • Tilpasning af sidehoveder og sidefødder i rapporter på side 262 Sidehoveder og sidefødder indeholder oplysninger om rapporten. • Fjernelse af elementer fra en rapport på side 263 Du kan fjerne elementer fra en rapport, hvis der ikke længere er behov for dem. • Omrokering af elementer i en rapport på side 264 Du kan ændre den rækkefølge, som elementerne vises i, i en rapport. Tilføjelse af elementer til en rapport Det er muligt at føje nye elementer til en eksisterende rapport. Før du starter Du skal have en rapport åben på siden Rapportlayout for at kunne udføre denne opgave. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Vælg et element fra værktøjskassen, og træk det hen over rapportlayoutet. 2 Slip elementet, når det befinder sig over den ønskede placering. Andre rapportelementer end Sideskift kræver konfiguration. Konfigurationssiden for elementet vises. 3 Klik på OK efter konfiguration af elementet. Konfiguration af billedrapportelementer Overfør nye billeder, og rediger de billeder, der bruges i en rapport. Før du starter Du skal have en rapport åben på siden Rapportlayout. 260 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med rapporter 21 Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Hvis du vil konfigurere et billede, der allerede findes i en rapport, skal du klikke på pilen i billedets øverste venstre hjørne. Klik på Konfigurer. Siden Konfigurer billede vises. Hvis du føjer et billede til rapporten, vises siden Konfigurer billede øjeblikkeligt, når du slipper elementet Billede i rapporten. 2 Vælg et eksisterende billede i galleriet, hvis du vil bruge det. 3 Vælg et nyt billede ved at klikke på Gennemse og vælge billedet på din computer. Klik på OK. 4 Hvis du vil angive en bestemt billedbredde, skal du gøre det i feltet Billedbredde. Billedet vises som standard i den eksisterende bredde uden at ændre størrelsen, medmindre bredden er større end den tilgængelige bredde på siden. I så fald ændres størrelsen til den tilgængelige bredde, mens højde-bredde-forholdet bevares. 5 Vælg, om du ønsker at få venstrejusteret, centreret eller højrejusteret billedet. 6 Klik på OK. Konfiguration af tekstrapportelementer Du kan indsætte statisk tekst i en rapport, som forklarer dens indhold. Før du starter Du skal have en rapport åben på siden Rapportlayout. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Hvis du vil konfigurere tekst, der allerede findes i en rapport, skal du klikke på pilen i tekstelementets øverste venstre hjørne. Klik på Konfigurer. Siden Konfigurer tekst vises. Hvis du føjer ny tekst til rapporten, vises siden Konfigurer tekst straks, når du slipper tekstelementet på rapporten. 2 Rediger den eksisterende tekst i redigeringsfeltet Tekst, eller tilføj ny tekst. 3 Vælg en passende skrifttypestørrelse. Standardindstillingen er 12 pt. 4 Vælg tekstjusteringen: venstrejusteret, centreret eller højrejusteret. 5 Klik på OK. Den tekst, du skrev, vises i tekstelementet i rapportlayoutet. Konfiguration af rapportelementer for en forespørgselstabel Nogle forespørgsler vises bedre som en tabel, når de indgår i en rapport. Før du starter Du skal have en rapport åben på siden Rapportlayout. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 261 21 Forespørgsler og rapporter Arbejde med rapporter Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Hvis du vil konfigurere en tabel, der allerede findes i en rapport, skal du klikke på pilen i tabellens øverste venstre hjørne. Klik på Konfigurer. Siden Konfigurer forespørgselstabel vises. Hvis du føjer en forespørgselstabel til rapporten, vises siden Konfigurer forespørgselstabel øjeblikkeligt, når du slipper elementet Forespørgselstabel i rapporten. 2 Vælg en forespørgsel på rullelisten Forespørgsel. 3 Vælg den database på rullelisten Database, som forespørgslen skal køres mod. 4 Vælg den skrifttypestørrelse, der bruges til at vise tabeldataene. Standardindstillingen er 8 pt. 5 Klik på OK. Konfiguration af rapportelementer for et forespørgselsdiagram Nogle forespørgsler vises bedre som et diagram. Før du starter Du skal have en rapport åben på siden Rapportlayout. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Hvis du vil konfigurere et diagram, der allerede findes i en rapport, skal du klikke på pilen i diagrammets øverste venstre hjørne. Klik på Konfigurer. Siden Konfigurer forespørgselsdiagram vises. Hvis du føjer et forespørgselsdiagram til rapporten, vises siden Konfigurer forespørgselsdiagram øjeblikkeligt, når du slipper elementet Forespørgselstabel i rapporten. 2 Vælg en forespørgsel på rullelisten Forespørgsel. 3 Vælg, om der kun skal vises diagrammet, kun forklaringen eller en kombination af de to. 4 Hvis du har valgt at vise både diagrammet og forklaringen, skal du vælge, hvordan diagrammet og forklaringen placeres i forhold til hinanden. 5 Vælg den skrifttypestørrelse, der bruges til at vise forklaringen. Standardindstillingen er 8 pt. 6 Vælg diagrammets billedhøjde i pixel. Standardindstillingen er en tredjedel af sidehøjden. 7 Klik på OK. Tilpasning af sidehoveder og sidefødder i rapporter Sidehoveder og sidefødder indeholder oplysninger om rapporten. Der er seks faste placeringer i sidehovedet og sidefoden, som kan indeholde forskellige datafelter. Der er tre i sidehovedet og tre i sidefoden. 262 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med rapporter 21 Sidehovedet indeholder et venstrejusteret logo og to højrejusterede felter, der er placeret over hinanden. Disse felter kan indeholde fire forskellige værdier: • Intet • Dato/klokkeslæt • Sidetal • Brugernavnet for den bruger, der kører rapporten. Sidefoden indeholder tre felter: et venstrejusteret felt, et centreret felt og et højrejusteret felt. Disse tre felter kan også indeholde de samme værdier, der er anført ovenfor, samt brugerdefineret tekst. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler. Vælg fanen Rapport. 2 Vælg en rapport, og klik på Handlinger | Rediger. 3 Klik på Sidehoved og sidefod. 4 Rapporter bruger som standard systemindstillingen for sidehoveder og sidefødder. Hvis du ikke ønsker dette, skal du fjerne markeringen af Brug standardserverindstillingen. Du kan ændre systemindstillingerne for sidehoveder og sidefødder ved at klikke på Menu | Konfiguration | Serverindstillinger og derefter vælge Udskrivning og eksport, og klik på Rediger. 5 Skift logo ved at klikke på Rediger logo. a Hvis du ønsker, at logoet skal være tekst, skal du vælge Tekst og skrive teksten i redigeringsfeltet. b Du kan overføre et nyt logo ved at vælge Billede og derefter gennemse og vælge billedet på computeren og klikke på OK. c Vælg et tidligere overført logo, hvis du vil bruge det. d Klik på Gem. 6 Skift felterne for sidehoved og sidefod, så de stemmer overens med de ønskede data, og klik derefter på OK. 7 Klik på Gem for at gemme rapporten. Fjernelse af elementer fra en rapport Du kan fjerne elementer fra en rapport, hvis der ikke længere er behov for dem. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 Vælg en rapport, og klik på Handlinger | Rediger. 3 Klik på pilen i det øverste venstre hjørne af det element, du vil slette, og klik derefter på Fjern. Elementet fjernes fra rapporten. 4 Klik på Gem for at gemme ændringerne af rapporten. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 263 21 Forespørgsler og rapporter Arbejde med rapporter Omrokering af elementer i en rapport Du kan ændre den rækkefølge, som elementerne vises i, i en rapport. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 Vælg en rapport på listen, og klik derefter på Handlinger | Rediger. 3 Du flytter et element ved at klikke på titellinjen for elementet og trække det til en ny placering. Elementets placering skifter, når du flytter markøren rundt i rapporten. Røde linjer vises på hver side af rapporten, hvis markørens placering er ugyldig. 4 Når elementet er placeret korrekt, skal du slippe det. 5 Klik på Gem for at gemme ændringerne af rapporten. Visning af rapportoutput Få vist den version af hver rapport, der sidst blev kørt. Hver gang en rapport køres, gemmes resultaterne på serveren og vises på rapportlisten. Når en rapport køres, slettes de forrige resultater, og de kan ikke hentes. Hvis du er interesseret i at sammenligne forskellige kørsler af den samme rapport, anbefales det, at du arkiverer outputtet et andet sted. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 På rapportlisten vises kolonnen Resultat for seneste kørsel. Hver post i denne kolonne er et link til hentning af den PDF-fil, der er et resultat af den seneste kørsel af rapporten. Klik på et link i denne kolonne for at hente en rapport. Herefter åbnes en PDF-fil i browseren, og browseren reagerer ud fra de indstillinger, du har konfigureret for den pågældende filtype. Gruppering af rapporter Alle rapporter skal tildeles til en gruppe. Rapporter tildeles til en gruppe, når de oprettes, men denne tildeling kan ændres senere. De mest almindelige årsager til gruppering af rapporter er et ønske om at samle lignende rapporter eller lette administrationen af tilladelser til bestemte rapporter. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 264 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 Vælg en rapport, og klik på Handlinger | Rediger. 3 Klik på Navn, beskrivelse og gruppe. 4 Vælg en gruppe på rullelisten Rapportgruppe, og klik på OK. 5 Klik på Gem for at gemme eventuelle ændringer af rapporten. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med rapporter 21 Når du vælger den angivne gruppe på listen Grupper i ruden til venstre i rapportvinduet, vises rapporten nu på listen over rapporter. Kørsel af rapporter Rapporter skal køres, før resultaterne kan undersøges. Rapporter kan køres på tre forskellige placeringer i ePolicy Orchestrator: • Rapportlisten • Inden for en serveropgave • På siden Rapportlayout under oprettelse af en ny eller redigering af en eksisterende rapport I dette emne beskrives kørsel af rapporter fra rapportlisten. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 Vælg en rapport på rapportlisten, og klik derefter på Handlinger | Kør. Når rapporten er fuldført, sendes PDF-filen med resultatet til din browser. Den vises eller overføres, afhængigt af dine browserindstillinger. Nogle rapporter tager lang tid at fuldføre. Det er muligt at køre flere rapporter samtidig, men du kan ikke igangsætte mere end én rapport ad gangen via grænsefladen. Når rapporten er fuldført, opdateres kolonnen Resultat for seneste kørsel på rapportlisten med et link til PDF-filen med resultaterne. Kørsel af en rapport med en serveropgave Rapporter kan køres automatisk vha. serveropgaver. Hvis du vil køre en rapport uden manuel indgriben, er en serveropgave den bedste løsning. Via denne opgave oprettes en ny serveropgave, der muliggør automatiske, planlagte kørsler af en given rapport. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. 2 Giv opgaven et passende Navn, skriv Noter, hvis det er relevant, og angiv, om opgaven har en Status for plan. Klik på Næste. Hvis opgaven skal køres automatisk, skal du angive Status for plan til Aktiveret. 3 Vælg Kør forespørgsel på rullelisten Handlinger. Vælg den rapport, der skal køres, og destinationssproget. Klik på Næste. 4 Vælg Plantype (hyppigheden), Startdato, Slutdato og tidspunkt for Plan for at køre rapporten. Klik på Næste. Planoplysningerne bruges kun, hvis du aktiverer Status for plan. 5 Klik på Gem for at gemme serveropgaven. Den nye opgave vises nu på listen Serveropgaver. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 265 21 Forespørgsler og rapporter Arbejde med rapporter Eksport og import af rapporter Rapporter kan indeholde meget strukturerede oplysninger, så ved at eksportere dem fra én server og importere dem på en anden kan du gøre datahentning og -rapportering ensartet på tværs af alle McAfee ePO-servere. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Åbn siden Forespørgsler ved at vælge Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 Vælg en af disse handlinger. Handling Trin Eksportér en rapport. 1 Vælg den gruppe, der indeholder den eller de rapporter, du vil eksportere, på listen Grupper. 2 Vælg den eller de rapporter, du vil eksportere, og klik derefter på Handlinger | Eksportér. McAfee ePO-serveren sender en XML-fil til browseren. Hvad der derefter sker, afhænger af browserindstillingerne. I de fleste browsere bliver du spurgt, om du vil gemme filen. Den eksporterede rapport indeholder definitionerne af alle de elementer, der findes i rapporten. Dette omfatter eksterne databasedefinitioner, forespørgsler, grafik og andet. Importér en 1 Klik på Handlinger | Importér på siden Rapport. rapport. 2 Klik på Gennemse for at navigere til og vælge den XML-fil, der indeholder den rapport, som du vil importere. 3 Vælg en ny eller eksisterende gruppe til rapporten. Hvis det er en ny gruppe, skal du skrive navnet på gruppen og vælge, om den er privat eller offentlig. Hvis det er en eksisterende gruppe, skal du vælge den gruppe, den importerede rapport skal føjes til. 4 Klik på OK. 5 Klik på Importér for at færdiggøre importen. Rapporter, der er importeret for nylig, henter tilladelser fra den gruppe, de blev importeret i. Konfiguration af skabelonen og placeringen for eksporterede rapporter Du kan definere udseendet af og lagringsplaceringen for tabeller og dashboards, du eksporterer som dokumenter. Med serverindstillingen Udskrivning og eksport kan du konfigurere følgende: 266 • Sidehoveder og sidefødder, herunder brugerdefineret logo, navn, sidetal osv. • Sidestørrelse og retning ved udskrivning. • Mappen, hvor eksporterede tabeller og dashboards gemmes. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med rapporter 21 Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Konfiguration | Serverindstillinger, og vælg derefter Udskrivning og eksport på listen Indstillinger. 2 Klik på Rediger. Siden Rediger udskrivning og eksport vises. 3 Klik i afsnittet Sidehoveder og sidefødder til eksporterede dokumenter på Rediger logo for at åbne siden Rediger logo. a b Vælg Tekst, og skriv den tekst, du vil medtage i dokumentsidehovedet, eller gør et af følgende: • Vælg Billede, og gennemse for at finde billedfilen, f.eks. firmalogoet. • Vælg McAfee-standardlogoet. Klik på OK for at vende tilbage til siden Rediger udskrivning og eksport. 4 Vælg de metadata på rullelisterne, som du ønsker at få vist i sidehovedet og sidefoden. 5 Vælg Sidestørrelse og Sideretning. 6 Skriv en ny placering, eller udelad den standardplacering, hvor eksporterede dokumenter gemmes. 7 Klik på Gem. Sletning af rapporter Du kan slette rapporter, der ikke længere bruges. Før du starter Hvis du vil slette en rapport, skal du have redigeringstilladelser til den pågældende rapport. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Forespørgsler og rapporter, og vælg derefter fanen Rapport. 2 Vælg en eller flere rapporter, der skal slettes, på listen over rapporter. 3 Klik på Handlinger | Slet. Klik på Ja, hvis du er sikker på, at du vil udføre handlingerne. Rapporterne slettes. Eventuelle serveropgaver, der refererer til slettede rapporter, er ikke længere gyldige. Konfiguration af Internet Explorer 8 til automatisk accept af McAfee ePO-overførsler Som sikkerhedsforanstaltning kan Microsoft Internet Explorer ske at blokere ePolicy Orchestrator-overførsler, så de ikke sker automatisk. Denne adfærd kan ændres med en konfigurationsændring af Internet Explorer. Visse handlinger i ePolicy Orchestrator, for eksempel kørsel af en rapport eller eksport af oplysningerne til en XML-fil, kan forårsage, at Internet Explorer 8 meddeler dig, at en hentning er blevet blokeret. I Internet Explorer vises denne meddelelse på en gul linje umiddelbart under fanelinjen med ordlyden Internet Explorer har blokeret dette websted i at sende filer til din computer for at hjælpe med at beskytte din sikkerhed. Klik her for indstillinger.... Hvis du klikker på Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 267 21 Forespørgsler og rapporter Brug af databaseservere meddelelsen, er det muligt at hente den blokerede fil denne gang. Meddelelsen vises dog igen, næste gang ePolicy Orchestrator forsøger at sende dig en fil. Du kan fjerne meddelelsen permanent ved at gøre følgende: Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Vælg Funktioner | Internet-indstillinger i Internet Explorer 8. 2 Vælg fanen Sikkerhed, og klik på Lokalt intranet. Hvis du har gjort McAfee ePO-serveren til et websted, du har tillid til, skal du klikke på Websteder, du har tillid til i stedet for Lokalt intranet. 3 Klik på Brugerdefineret niveau.... 4 Rul ned til indstillingen Automatisk forespørgsel om filhentning, og indstil den til Aktivér. Klik på OK, og klik derefter på Ja for at bekræfte valget. 5 Klik på OK for at lukke dialogboksen Internetindstillinger. Hvis du forsøger den oprindelige handling igen, hentes den fil, du anmoder om, uden at den gule advarselslinje vises. Brug af databaseservere ePolicy Orchestrator kan ud over de tilhørende databaser hente data fra nogle udvidelser. Det kan være nødvendigt at registrere flere forskellige servertyper for at fuldføre opgaverne i ePolicy Orchestrator. Dette kan f.eks. være godkendelsesservere, Active Directory-kataloger, McAfee ePO-servere og databaseservere, der fungerer sammen med bestemte udvidelser, som du har installeret. Databasetyper En udvidelse kan registrere en databasetype, der også kaldes et skema eller en struktur, i ePolicy Orchestrator. Hvis det sker, kan den pågældende udvidelse levere data til forespørgsler, rapporter, dashboardskærme og serveropgaver. Hvis du vil bruge disse data, skal du først registrere serveren i ePolicy Orchestrator. Databaseserver En databaseserver er en kombination af en server og en databasetype, der installeres på den pågældende server. En server kan være vært for mere end én databasetype, og en databasetype kan installeres på flere servere. Den enkelte kombination af disse to skal registreres separat og henvises til som en databaseserver. Når du har registreret en databaseserver, kan du hente data fra databasen i forespørgsler, rapporter, dashboardskærme og serveropgaver. Hvis der registreres mere end én database, der benytter den samme databasetype, skal du vælge en af dem som standard for den pågældende databasetype. Arbejde med databaseservere Du kan registrere, ændre, få vist og slette databaseservere. 268 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Arbejde med databaseservere 21 Opgaver • Redigering af en databaseregistrering på side 269 Hvis en databaseservers forbindelsesindstillinger eller legitimationsoplysninger til logon ændres, skal du redigere registreringen, så den afspejler den aktuelle tilstand. • Fjernelse af en registreret database på side 269 Du kan fjerne databaser fra systemet, når der ikke længere er brug for dem. Redigering af en databaseregistrering Hvis en databaseservers forbindelsesindstillinger eller legitimationsoplysninger til logon ændres, skal du redigere registreringen, så den afspejler den aktuelle tilstand. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Åbn siden Registrerede servere ved at vælge Menu | Konfiguration | Registrerede servere. 2 Vælg en database, der skal redigeres, og klik derefter på Handlinger | Rediger. 3 Skift serverens navn eller noter, og klik derefter på Næste. 4 Rediger oplysningerne efter behov. Klik på Test forbindelse, hvis det er nødvendigt at kontrollere databaseforbindelsen. 5 Klik på Gem for at gemme ændringerne. Fjernelse af en registreret database Du kan fjerne databaser fra systemet, når der ikke længere er brug for dem. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Åbn siden Registrerede servere: Vælg Menu | Konfiguration | Registrerede servere. 2 Vælg en database, der skal slettes, og klik derefter på Handlinger | Slet. 3 Når dialogboksen til bekræftelse vises, skal du klikke på Ja for at slette databasen. Databasen er blevet slettet. Forespørgsler, rapporter eller andre elementer inden for ePolicy Orchestrator, der benyttede den slettede database, markeres som ugyldige, indtil de opdateres til brug af en anden database. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 269 21 Forespørgsler og rapporter Siden Rediger forespørgselsgruppe Siden Rediger forespørgselsgruppe Brug denne side til at redigere indstillingerne for forespørgselsgruppe. Tabel 21-2 Definition af indstillinger Indstilling Definition Gruppenavn Angiver navnet på forespørgselsgruppen. Gruppesynlighed Angiver forespørgselsgruppens synlighed for en bruger, herunder: • Privat (Mine forespørgsler) – Forespørgselsgruppen er kun synlig for den bruger, der er logget på. • Offentlig gruppe (Delte forespørgsler) – Forespørgselsgruppen er synlig for alle brugere. • Via tilladelsessæt (Delte forespørgsler) – Forespørgselsgruppen er synlig for brugere med bestemte tilladelser. Se også Om rapporter på side 257 Struktur for en rapport på side 257 Arbejde med rapporter på side 258 Siden Ny forespørgselsgruppe Brug denne side til at oprette en ny forespørgselsgruppe. Tabel 21-3 Definition af indstillinger Indstilling Definition Gruppenavn Angiver navnet på forespørgselsgruppen. Gruppesynlighed Angiver forespørgselsgruppens synlighed for en bruger, herunder: • Privat (Mine forespørgsler) – Forespørgselsgruppen er kun synlig for den bruger, der er logget på. • Offentlig gruppe (Delte forespørgsler) – Forespørgselsgruppen er synlig for alle brugere. • Via tilladelsessæt (Delte forespørgsler) – Forespørgselsgruppen er synlig for brugere med bestemte tilladelser. Se også Konfiguration af forespørgsler og rapporter første gang på side 244 Administration af brugerdefinerede forespørgsler på side 245 Arbejde med rapporter på side 258 270 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Forespørgsler og rapporter Siden Gem forespørgsel (guiden Forespørgsel) 21 Siden Gem forespørgsel (guiden Forespørgsel) Brug denne side til at gemme en ny eller redigeret forespørgsel. Tabel 21-4 Definition af indstillinger Indstilling Definition Navn Angiver navnet på forespørgslen. Noter Angiv en beskrivelse eller oplysninger om forespørgslen. Gruppe Angiver gruppekonfigurationen, herunder: • Ny gruppe – Angiv navnet på den nye gruppe. • Privat gruppe (Mine grupper) – Forespørgselsgruppen er kun synlig for den bruger, der er logget på. • Offentlig gruppe (delte grupper) – Forespørgselsgruppen er synlig for alle brugere. • Eksisterende gruppe – Vælg en af de eksisterende delte grupper på listen. Se også Konfiguration af forespørgsler og rapporter første gang på side 244 Administration af brugerdefinerede forespørgsler på side 245 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 271 21 Forespørgsler og rapporter Siden Gem forespørgsel (guiden Forespørgsel) 272 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 22 Problemer Problemer er handlingselementer, som kan prioriteres, tildeles og spores. Indhold Problemer, og hvordan de fungerer Arbejde med problemer Tømning for lukkede problemer Billetter med McAfee ePO Problemer, og hvordan de fungerer Den måde, problemer administreres på, defineres af brugere med relevante tilladelser og de installerede administrerede produktudvidelser. Et problems tilstand, prioritet, alvorlighed, løsning, modtager og forfaldsdato er alle brugerdefinerede og kan ændres når som helst. Du kan også angive standardreaktioner på problemer fra siden Automatiske reaktioner. Disse standarder anvendes automatisk, når der oprettes et problem, på baggrund af den brugerkonfigurerede reaktion. Reaktionerne gør det også muligt at samle flere hændelser i et enkelt problem, så McAfee ePO-server ikke overbebyrdes med et stort antal problemer. Problemer kan slettes manuelt, og lukkede problemer kan tømmes manuelt baseret på deres alder og tømmes automatisk ved hjælp af en brugerkonfigureret serveropgave. Arbejde med problemer Du kan oprette, tildele, få vist oplysninger om, redigere, slette og tømme problemer. Opgaver • Manuel oprettelse af grundlæggende problemer på side 273 Grundlæggende problemer kan oprettes manuelt. Ikke-grundlæggende problemer skal oprettes automatisk. • Konfiguration af reaktioner til automatisk oprettelse af problemer på side 274 Brug reaktioner til automatisk at oprette problemer, når bestemte hændelser forekommer. • Administration af problemer på side 275 Du kan tilføje kommentarer samt tildele, slette, redigere og se oplysninger om problemer. Manuel oprettelse af grundlæggende problemer Grundlæggende problemer kan oprettes manuelt. Ikke-grundlæggende problemer skal oprettes automatisk. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 273 22 Problemer Arbejde med problemer Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Problemer, og klik derefter på Handlinger | Nyt problem. 2 Gå til dialogboksen Nyt problem, vælg Grundlæggende på rullelisten Opret problemtype, og klik derefter på OK. 3 Konfigurer det nye problem. Brug dette ... Hvis du vil ... Navn skrive et relevant navn for problemet. Beskrivelse skrive en relevant beskrivelse af problemet. Tilstand tildele en tilstand til problemet: • Ukendt • Løst • Ny • Lukket • Tildel Prioritet Alvorlighed Løsning tildele en prioritet til problemet: • Ukendt • Mellem • Lavest • Høj • Lav • Højest tildele en alvorlighed til problemet: • Ukendt • Mellem • Lavest • Høj • Lav • Højest tildele en løsning til problemet. Problemløsningen kan tildeles, når problemet er behandlet: • Ingen • Løst • Fraskrevet • Vil ikke løse 4 Modtager skrive brugernavnet på den person, der er tildelt til problemet, eller vælg personen ved at klikke på .... Forfaldsdato vælge, om problemet har en forfaldsdato, og tildel i bekræftende fald en dato og et klokkeslæt, hvor problemet forfalder. Forfaldsdatoer på en overskredet dato er ikke tilladt. Klik på Gem. Konfiguration af reaktioner til automatisk oprettelse af problemer Brug reaktioner til automatisk at oprette problemer, når bestemte hændelser forekommer. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 274 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Problemer Arbejde med problemer 22 Opgave 1 Klik på Menu | Automatisering | Automatiske reaktioner, og klik derefter på Handlinger Ny reaktion. Siden Beskrivelse i Reaktionsgenerator vises. 2 Udfyld felterne, og klik derefter på Næste. 3 Vælg egenskaber for at begrænse de hændelser, der udløser reaktionen, og klik derefter på Næste. 4 Vælg hyppigheden for de hændelser, der kræves for at generere en reaktion, en metode til at gruppere hændelser samt det maksimale tidsrum, hvor du ønsker, at denne reaktion skal forekomme, og klik derefter på Næste. 5 Vælg Opret problem på rullelisten, og vælg derefter den type problem, der skal oprettes. Dette valg bestemmer de indstillinger, der vises på denne side. 6 Skriv et navn og en beskrivelse for problemet. Du kan også vælge en eller flere variabler for navnet og beskrivelsen. Denne funktion giver adgang til en række variabler, som indeholder oplysninger, der kan hjælpe med at løse problemet. 7 Skriv eller vælg yderligere indstillinger for reaktionen, og klik derefter på Næste. 8 Gennemgå oplysningerne for reaktionen, og klik derefter på Gem. Administration af problemer Du kan tilføje kommentarer samt tildele, slette, redigere og se oplysninger om problemer. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Problemer. 2 Udfør de ønskede opgaver. Opgave Skal du ... Tilføjelse af kommentarer til problemer 1 markere afkrydsningsfeltet ud for hvert problem, som du vil kommentere, og derefter klikke på Handling | Tilføj kommentar. 2 skrive den kommentar, du vil tilføje til de valgte problemer, i panelet Tilføj kommentar. 3 klikke på OK for at tilføje kommentaren. Tildeling af problemer markere afkrydsningsfeltet ud for hvert problem, som du vil tildele, og derefter klikke på Tildel til bruger. Visning af de nødvendige kolonner på siden Problemer klikke på Handlinger | Vælg kolonner. vælge kolonner med data, som skal vises på siden Problemer. Sletning af problemer 1 markere afkrydsningsfeltet ud for hvert problem, som du vil slette, og derefter klikke på Slet. 2 klikke på OK i Handling for at slette de valgte problemer. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 275 22 Problemer Tømning for lukkede problemer Opgave Skal du ... Redigering af problemer 1 markere afkrydsningsfeltet ud for et problem og derefter klikke på Rediger. 2 redigere problemet efter behov. 3 klikke på Gem. Eksport af listen over problemer klikke på Handlinger | Eksportér tabel. Siden Eksportér åbnes. På siden Eksportér kan du angive formatet af filer, der skal eksporteres, samt hvordan de pakkes, f.eks. i en ZIP-fil, og hvad der skal ske med filerne (f.eks. sende dem som en vedhæftet fil i en e-mail). Visning af problemoplysninger klikke på et problem. Siden Problemoplysninger vises. På denne side vises alle indstillingerne for problemet samt problemets aktivitetslog. Tømning for lukkede problemer Du kan tømme databasen for lukkede problemer for at slette dem permanent. Opgaver • Manuel tømning for lukkede problemer på side 276 Periodisk tømning af databasen for lukkede problemer forhindrer, at den bliver fyldt op. • Tømning for lukkede problemer efter en plan på side 276 Du kan planlægge en opgave, som jævnligt tømmer databasen for lukkede problemer. Dette gør databasen mindre. Manuel tømning for lukkede problemer Periodisk tømning af databasen for lukkede problemer forhindrer, at den bliver fyldt op. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Problemer, og klik derefter på Handlinger | Tøm. 2 Indtast et antal, og vælg derefter en tidsenhed i dialogboksen Tøm. 3 Klik på OK for at tømme for lukkede problemer, der er ældre end den angivne dato. Denne funktion påvirker alle lukkede problemer og ikke kun problemerne i den aktuelle visning. Tømning for lukkede problemer efter en plan Du kan planlægge en opgave, som jævnligt tømmer databasen for lukkede problemer. Dette gør databasen mindre. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 276 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. 2 Skriv et navn og en beskrivelse af serveropgaven. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Problemer Billetter med McAfee ePO 3 22 Aktivér eller deaktiver planen for serveropgaven. Serveropgaven kører ikke, før den aktiveres. 4 Klik på Næste. Siden Handlinger vises. 5 Vælg Tøm for lukkede problemer på rullelisten. 6 Indtast et antal, og vælg derefter en tidsenhed. 7 Klik på Næste. 8 Planlæg serveropgaven, og klik derefter på Næste. 9 Gennemse oplysningerne om serveropgaven, og klik derefter på Gem. De lukkede problemer tømmes, når den planlagte opgave gennemføres. Billetter med McAfee ePO Hvis du vil integrere automatiske billetter med McAfee ePO, kan du eller professionelle tjenester fra McAfee bruge problem-API'er til at konfigurere en fjernserver. Du kan finde en detaljeret beskrivelse af brugen af web-API'et og tilhørende eksempler i Scriptvejledning til McAfee ePolicy Orchestrator 5.1.0. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 277 22 Problemer Billetter med McAfee ePO 278 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 23 ePolicy Orchestrator-logfiler McAfee ePO-serveren vedligeholder logfiler, hvor der registreres forskellige typer hændelser og handlinger, der finder sted i systemet. Indhold Overvågningsloggen Log over serveropgaver Trusselshændelseslog Overvågningsloggen Du kan bruge overvågningsloggen til at vedligeholde og få adgang til en fortegnelse over alle brugerhandlinger i McAfee ePO. Posterne i overvågningsloggen vises i en tabel, der kan sorteres. Du har også mulighed for at filtrere loggen, så du kun får vist de handlinger, der mislykkedes, eller poster, der har en bestemt alder. I overvågningsloggen vises syv kolonner: • Handling – navnet på den handling, McAfee ePO-brugeren forsøgte at udføre. • Fuldførelsestidspunkt – det tidspunkt, hvor handlingen blev fuldført. • Oplysninger – flere oplysninger om handlingen. • Prioritet – vigtigheden af handlingen. • Starttidspunkt – det tidspunkt, hvor handlingen blev igangsat. • Fuldført – om handlingen blev fuldført. • Brugernavn – brugernavnet for den brugerkonto, der var logget på, og som blev benyttet til at udføre handlingen. Der kan oprettes forespørgsler om poster i overvågningsloggen. Du kan oprette forespørgsler med guiden Forespørgselsgenerator, der er målrettet disse data, eller du kan bruge standardforespørgsler, der er målrettet disse data. Via forespørgslen Mislykkede logonforsøg får du f.eks. en tabel over alle de logonforsøg, der mislykkedes. Visning og tømning af overvågningsloggen Du kan få vist og tømme en historik over administratorhandlinger. I overvågningsloggen afhænger de data, der er tilgængelige, af hvor ofte overvågningsloggen tømmes, og hvor gammel den er, når den tømmes. Når du tømmer overvågningsloggen, slettes posterne permanent. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 279 23 ePolicy Orchestrator-logfiler Log over serveropgaver Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Brugeradministration | Overvågningslog, og overvågningslogfilerne vises. 2 Vælg en af disse handlinger. Handling Trin Vis overvågningsloggen. 1 Klik på en kolonnetitel for at sortere tabellen efter den pågældende kolonne (alfabetisk). 2 Vælg en indstilling på rullelisten Filter for at mindske mængden af synlige data. Du kan fjerne alle handlinger, undtagen dem der mislykkes, eller nøjes med at få vist de handlinger, der opstod inden for et bestemt tidsrum. 3 Klik på en post for at få vist tilhørende oplysninger. Tøm overvågningsloggen. 1 Klik på Handlinger | Tøm. 2 Skriv et tal, og vælg en tidsenhed i dialogboksen Tøm ud for Tøm registreringer, der er ældre end. 3 Klik på OK. Alle overvågningslogposterne slettes permanent. Planlægning af tømning af overvågningsloggen Du kan automatisk tømme overvågningsloggen med en planlagt serveropgave. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. Guiden Generator af serveropgave åbnes på siden Beskrivelse. 2 Navngiv og beskriv opgaven, og klik derefter på Aktiveret ud for Status for plan. 3 Klik på Næste. Siden Handlinger vises. 4 Vælg Tøm overvågningslog på rullelisten. 5 Skriv et tal efter Tøm registreringer, der er ældre end, og vælg den tidsenhed, du vil benytte, før tømning af posterne i overvågningsloggen. 6 Klik på Næste. Siden Plan vises. 7 Planlæg opgaven efter behov, og klik derefter på Næste. Siden Oversigt vises. 8 Gennemgå oplysningerne om opgaven, og klik derefter på Gem. Log over serveropgaver I loggen over serveropgaver rapporteres der om hændelser, der finder sted på McAfee ePO-serveren. I loggen over serveropgaver kan du få vist detaljerede oplysninger om resultatet af planlagte serveropgaver, der kører eller er blevet kørt på serveren. 280 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning ePolicy Orchestrator-logfiler Log over serveropgaver 23 Poster i loggen indeholder oplysninger om: • Status for opgaven – om den lykkedes eller mislykkedes. • Underopgaver, der kører, mens den planlagte opgave udføres. Du kan også afslutte en igangværende opgave. Administrer Log over serveropgave Åbn loggen over serveropgave for at få vist, filtrere og tømme opgaveloggene efter behov. Status for hver serveropgave vises i kolonnen Status: • Venter – Opgaven venter på, at en anden opgave fuldføres. • I gang – Opgaven er igangsat, men endnu ikke fuldført. • Midlertidigt afbrudt – Opgaven blev midlertidigt afbrudt af en handling for serveropgave. • Stoppet – Opgaven blev stoppet af en handling for serveropgave. • Mislykkedes – Opgaven blev igangsat, men mislykkedes. • Fuldført – Opgaven blev fuldført. • Afventer afslutning – Der er blevet sendt en anmodning om afslutning. • Afsluttet – Opgaven blev afsluttet manuelt, før den var færdig. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Automatisering | Log over serveropgaver. Skærmen Log over serveropgaver vises. 2 Vælg en af disse handlinger. Handling Trin Vis log over serveropgave. 1 Klik på en af kolonnetitlerne for at sortere hændelserne. 2 Vælg en af opgaveloggene, klik på Handlinger, og vælg derefter en af følgende indstillinger for at manipulere loggen over serveropgaver: • Vælg kolonner – Siden Vælg de kolonner, der skal vises, åbnes. • Eksportér tabel – Siden Eksportér vises. • Tøm – Dialogboksen Tøm vises. Skriv et antal og en tidsenhed for at angive det antal opgavelogposter, der skal slettes, og klik derefter på OK. • Afslut opgave – Stop en igangværende opgave. Filtrer log over serveropgave. Vælg et filter på rullelisten Filter. Tøm log over serveropgave. 1 Klik på Handlinger | Tøm. 2 Angiv et antal dage, uger, måneder eller år i dialogboksen Tøm. Alle elementer med denne alder og ældre slettes. 3 Klik på OK. 3 Klik på en af kolonnetitlerne for at sortere hændelserne. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 281 23 ePolicy Orchestrator-logfiler Trusselshændelseslog 4 Vælg en af opgaveloggene, klik på Handlinger, og vælg derefter en af følgende indstillinger for at manipulere loggen over serveropgaver: • Vælg kolonner – Siden Vælg de kolonner, der skal vises, åbnes. • Eksportér tabel – Siden Eksportér vises. • Tøm – Dialogboksen Tøm vises. Skriv et antal og en tidsenhed for at angive det antal opgavelogposter, der skal slettes, og klik derefter på OK. • Afslut opgave – Stop en igangværende opgave. Trusselshændelseslog Du kan bruge Trusselshændelsesloggen til hurtigt at få vist og sortere hændelserne i databasen. Loggen kan kun tømmes efter alder. Du kan vælge, hvilke kolonner der vises i tabellen, som kan sorteres. Du kan vælge mellem en række hændelsesdata til brug som kolonner. Du kan også træffe forskellige foranstaltninger i forbindelse med hændelser, afhængigt af hvilke produkter du administrerer. Handlingerne ses i menuen Handlinger nederst på siden. Almindeligt hændelsesformat I de fleste administrerede produkter benyttes der nu et almindeligt hændelsesformat. Felterne i dette format kan benyttes om kolonner i Trusselshændelseslog. Disse omfatter: 282 • Udført handling – handling, der blev udført af produktet som en reaktion på truslen. • GUID til agent – et entydigt id for den agent, der videresendte hændelsen. • DAT-version – DAT-version på det system, der sendte hændelsen. • Registreringsproduktets værtsnavn – navn på det system, der er vært for registreringsproduktet. • Registreringsproduktets id – id for registreringsproduktet. • Registreringsproduktets IPv4-adresse – IPv4-adressen for det system, der er vært for registreringsproduktet (hvis det er relevant). • Registreringsproduktets IPv6-adresse – IPv6-adressen for det system, der er vært for registreringsproduktet (hvis det er relevant). • Registreringsproduktets MAC-adresse – MAC-adresse for det system, der er vært for registreringsproduktet. • Registreringsproduktets navn – navn på det administrerede registreringsprodukt. • Registreringsproduktets version – versionsnummer for registreringsproduktet. • Programversion – versionsnummer for registreringsproduktets program (hvis det er relevant). • Hændelseskategori – kategori for hændelsen. De tilgængelige kategorier afhænger af produktet. • Tidspunkt for opstået hændelse (UTC) – det tidspunkt i Coordinated Universal Time, hvor hændelsen blev registreret. • Hændelses-id – entydigt id for hændelsen. • Tidspunkt for modtaget hændelse (UTC) – det tidspunkt i Coordinated Universal Time, hvor hændelsen blev modtaget af McAfee ePO-serveren. • Filsti – filsti for det system, der sendte hændelsen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning ePolicy Orchestrator-logfiler Trusselshændelseslog 23 • Værtsnavn – navn på det system, der sendte hændelsen. • IPv4-adresse – IPv4-adressen for det system, der sendte hændelsen. • IPv6-adresse – IPv6-adressen for det system, der sendte hændelsen. • MAC-adresse – MAC-adressen for det system, der sendte hændelsen. • Netværksprotokol – protokol for trusselsmål i forbindelse med trusselsklasser, der hører hjemme i netværket. • Portnummer – port for trusselsmål i forbindelse med trusselsklasser, der hører hjemme i netværket. • Procesnavn – procesnavn for mål (hvis det er relevant). • Server-id – det server-id, der sendte hændelsen. • Navn på trussel – navn på truslen. • Værtsnavn for trusselskilde – det systemnavn, hvor truslen kom fra. • IPv4-adresse for trusselskilde – IPv4-adresse for det system, som truslen kom fra. • IPv6-adresse for trusselskilde – IPv6-adresse for det system, som truslen kom fra. • MAC-adresse for trusselskilde – MAC-adresse for det system, som truslen kom fra. • URL-adresse for trusselskilde – den URL-adresse, som truslen kom fra. • Brugernavn for trusselskilde – det brugernavn, hvor truslen kom fra. • Trusselstype – trusselsklassen. • Brugernavn – brugernavn eller e-mailadresse for trusselskilde. Visning og tømning af log over trusselshændelse Du bør regelmæssigt få vist og tømme trusselshændelserne. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Log over trusselshændelse. 2 Vælg en af disse handlinger. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 283 23 ePolicy Orchestrator-logfiler Trusselshændelseslog Handling Trin Vis log over trusselshændelse. 1 Klik på en af kolonnetitlerne for at sortere hændelserne. Du kan også klikke på Handlinger | Vælg kolonner, hvorefter siden til valg af kolonner, der skal vises, åbnes. 2 Vælg forskellige tabelkolonner, der opfylder dine behov, på listen Tilgængelige kolonner, og klik derefter på Gem. 3 Vælg hændelser i tabellen, klik på Handlinger, og vælg derefter Vis relaterede systemer for at få vist oplysninger om de systemer, der sender de valgte hændelser. Tøm for trusselshændelser. 1 Klik på Handlinger | Tøm. 2 Skriv et tal, og vælg en tidsenhed i dialogboksen Tøm ud for Tøm registreringer, der er ældre end. 3 Klik på OK. Poster, der er ældre end den angivne alder, slettes permanent. Planlægning af tømning af loggen over trusselshændelser Du kan oprette en serveropgave, så loggen over trusselshændelser automatisk tømmes. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 284 1 Klik på Menu | Automatisering | Serveropgaver, og klik derefter på Handlinger | Ny opgave. Guiden Generator af serveropgave åbnes på siden Beskrivelse. 2 Navngiv og beskriv opgaven, og klik derefter på Aktiveret ud for Status for plan. 3 Klik på Næste. Siden Handlinger vises. 4 Vælg Tøm trusselshændelseslog på rullelisten. 5 Vælg, om du vil tømme efter alder eller efter et forespørgselsresultat. Hvis du tømmer efter forespørgsel, skal du vælge en forespørgsel, der resulterer i en tabel over hændelser. 6 Klik på Næste. Siden Plan vises. 7 Planlæg opgaven efter behov, og klik derefter på Næste. Siden Oversigt vises. 8 Gennemgå oplysningerne om opgaven, og klik derefter på Gem. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 24 Genoprettelse efter nedbrud Med funktionen Genoprettelse efter nedbrud kan du hurtigt genoprette dit system eller geninstallere ePolicy Orchestrator-softwaren. Ved Genoprettelse efter nedbrud bruges funktionen Øjebliksbillede, hvor ePolicy Orchestrator-konfigurationen, -udvidelser, -nøgler og meget mere gemmes jævnligt i poster af typen Øjebliksbillede i ePolicy Orchestrator-databasen. Indhold Hvad er genoprettelse efter nedbrud? Komponenter i Genoprettelse efter nedbrud Sådan fungerer genoprettelse efter nedbrud Konfiguration af et øjebliksbillede og gendannelse af SQL-databasen Konfigurer serverindstillinger til genoprettelse efter nedbrud Hvad er genoprettelse efter nedbrud? Funktionen Genoprettelse efter nedbrud i ePolicy Orchestrator bruger øjebliksbilleder til at gemme bestemte McAfee ePO-serverdatabaseposter i Microsoft SQL-databasen i ePolicy Orchestrator. De poster, som gemmes i øjebliksbilledet, indeholder hele ePolicy Orchestrator-konfigurationen på det bestemte klokkeslæt, hvor øjebliksbilledet blev taget. Når øjebliksbilledet er gemt i databasen, kan du bruge sikkerhedskopieringsfunktionen i Microsoft SQL til at gemme hele ePolicy Orchestrator-databasen og gendanne den på en anden SQL-server med henblik på gendannelse af ePolicy Orchestrator. Eksempler på SQL-databaseforbindelser, der bruges til gendannelse Ved hjælp af den gendannede SQL-databaseserver i ePolicy Orchestrator, som omfatter øjebliksbilledet til genoprettelse efter nedbrud, kan du forbinde den til: • Gendannet McAfee ePO-serverhardware med det oprindelige servernavn og den oprindelige IP-adresse – Dermed kan du f.eks. gendanne fra en mislykket opgradering af ePolicy Orchestrator-software. • Ny McAfee ePO-serverhardware med det oprindelige servernavn og den oprindelige IP-adresse – Dermed kan du opgradere eller gendanne severhardwaren og hurtigt genoptage administration af dine netværkssystemer. • Ny McAfee ePO-serverhardware med et ny servernavn og en ny IP-adresse – Dermed kan du f.eks. flytte din server fra et domæne til et andet. Dette eksempel kan skabe en midlertidig løsning til netværksadministration, mens du genopbygger og geninstallerer din McAfee ePO-serverhardware og software på det oprindelige domæne. • Gendannet eller ny McAfee ePO-serverhardware med flere netværkskort (NIC – Netowrk Interface Card) – Du skal bekræfte, at den korrekte IP-adresse er konfigureret for McAfee ePO-serverens netværkskort. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 285 24 Genoprettelse efter nedbrud Komponenter i Genoprettelse efter nedbrud Øjebliksbilledet er konfigureret til automatisk af køre hver dag afhængigt af din SQL-databaseversion. Hvis du konfigurerer et script til automatisk at køre SQL-sikkerhedskopien og kopiere SQL-sikkerhedskopifilen til den SQL-databaseserver, der bruges til gendannelse, kan du nemmere gendanne din McAfee ePO-server. Derudover kan du manuelt tage et øjebliksbillede eller køre dine scripts for hurtigt at gemme og sikkerhedskopiere bestemte komplekse eller vigtige ændringer i ePolicy Orchestrator. Fra skærmen Øjebliksbillede til genoprettelse efter nedbrud i ePolicy Orchestrator-dashboardet har du mulighed for at administrere og overvåge dine øjebliksbilleder fra et samlet sted. Se også Brug af en ekstern kommando til at bestemme Microsoft SQL-databaseserveren og databasenavnet på side 289 Brug af Microsoft SQL Server Management Studio til at finde oplysninger om McAfee ePOserveren på side 290 Oversigt over øjebliksbillede til genoprettelse efter nedbrud og sikkerhedskopiering på side 291 Oversigt over en installation til genoprettelse af McAfee ePO-serveren på side 292 Konfiguration af serveropgaven Genoprettelse efter nedbrud på side 294 Komponenter i Genoprettelse efter nedbrud Der kræves bestemt hardware, software, bestemte adgangsrettigheder og oplysninger for at bruge Genoprettelse efter nedbrud til at gendanne ePolicy Orchestrator-softwaren. Du skal bruge to hardwareserverplatforme: 286 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Genoprettelse efter nedbrud Komponenter i Genoprettelse efter nedbrud 24 • Den eksisterende McAfee ePO-serverhardware, som kaldes den "primære" McAfee ePO-server. • Dobbeltforekomst af SQL-serverhardware, som kaldes "gendannelsesserver", der kører Microsoft SQL, og som stemmer overens med den primære McAfee ePO-serverdatabase. Denne gendannelsesserver skal holdes opdateret med den nyeste konfiguration for den primære McAfee ePO SQL-databaseserver ved hjælp af et Øjebliksbillede og sikkerhedskopieringsprocesserne for Microsoft SQL. Hvis du vil undgå problemer under sikkerhedskopieringen og gendannelsen, er det vigtigt, at hardwaren og SQL-versionen for den primære server og gendannelsesserveren stemmer helt overens. Skærm til Dashboard for øjebliksbillede Fra skærmen Øjebliksbillede af server i ePolicy Orchestrator-dashboardet har du mulighed for at administrere og overvåge dine øjebliksbilleder fra et samlet sted. Hvis skærmen Øjebliksbillede ikke vises i dashboardet, skal du oprette et nyt dashboard og tilføje skærmen Genoprettelse efter nedbrud. Figur 24-1 Dashboardet genoprettelse efter nedbrud med skærmen Øjebliksbillede Fra skærmen Øjebliksbillede af server kan du gøre følgende: • Klik på Tag et øjebliksbillede for at starte med at gemme McAfee ePO-serverkonfigurationens Øjebliksbillede. • Klik på Se oplysningerne for den seneste kørsel for at åbne siden Oplysninger om log over serveropgave. På denne side vises oplysninger og logmeddelelser om det seneste Øjebliksbillede, der er blevet gemt. • Bekræft datoen og klokkeslættet for det seneste Øjebliksbillede, der er blevet gemt i SQL-databasen, ud for Seneste kørsel. • Klik på linket Genoprettelse efter nedbrud for at åbne siden Hjælp med oplysninger om Genoprettelse efter nedbrud. Farven og titlen på skærmen Øjebliksbillede viser statussen for det seneste Øjebliksbillede. Eksempel: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 287 24 Genoprettelse efter nedbrud Komponenter i Genoprettelse efter nedbrud • Blå – Gemmer Øjebliksbillede på database – Processen med at oprette Øjebliksbilledet er i gang. • Grøn – Øjebliksbilledet blev gemt på databasen – Øjebliksbilledet blev oprettet og er opdateret. • Rød – Der blev ikke taget et Øjebliksbillede – Der opstod en fejl under oprettelsen af Øjebliksbilledet. • Grå – Der er ingen tilgængelige Øjebliksbilleder – Der er ikke blevet gemt noget Genoprettelse efter nedbrud-øjebliksbillede. • Orange – Øjebliksbilledet er forældet – Konfigurationen er blevet ændret, men der er ikke blevet gemt et nyt Øjebliksbillede. Ændringer, som udløser statussen Forældet for et Øjebliksbillede, omfatter: • Ændringer af en udvidelse. Hvis udvidelsen f.eks. er blevet opdateret, fjernet, slettet, opgraderet eller nedgraderet. • Ændringer af mappen "Nøglebutik". • Ændringer af mappen "conf". • Ændringer af adgangsudtrykket for Genoprettelse efter nedbrud under Serverindstillinger. Serveropgave for Genoprettelse efter nedbrud-øjebliksbillede Du kan bruge serveropgaven for Genoprettelse efter nedbrud-øjebliksbillede til at deaktivere og aktivere planlægning af serveropgaven Øjebliksbillede. Planlægning af serveropgaven Øjebliksbillede er som standard aktiveret for Microsoft SQL Server-databasen og som standard deaktiveret for Microsoft SQL Server Express Edition-databasen. Krav til Genoprettelse efter nedbrud Hvis du vil bruge Genoprettelse efter nedbrud, skal du bruge den hardware og software samt de oplysninger, der er angivet i følgende tabel. Krav Beskrivelse Hardwarekrav Primær McAfee ePO-serverhardware Kravene til serverhardwaren bestemmes på baggrund af antallet af administrerede systemer. McAfee ePO-serveren og SQL Server-databasen skal være installeret på den samme eller på separat serverhardware. Du kan finde flere oplysninger om hardwarekrav i ePolicy Orchestrator 5.1.0-softwarens installationsvejledning. Gendannelse af McAfee ePO-serverhardware Denne serverhardware skal være en nøjagtig spejling af den primære McAfee ePO-serverhardware. Primær McAfee ePO-server Denne primære server skal køre korrekt med et nyere Øjebliksbillede, der er gemt i SQL databasen. Primær SQL-database Den primære SQL-database indeholder McAfee ePO-serverkonfigurationen, klientoplysninger og poster i Genoprettelse efter nedbrud-øjebliksbillede. Softwarekrav 288 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Genoprettelse efter nedbrud Komponenter i Genoprettelse efter nedbrud 24 Krav Beskrivelse Fil med en sikkerhedskopi af den primære SQL-database Du kan oprette en fil med en sikkerhedskopi af den primære database inklusive poster i øjebliksbilledet ved hjælp af enten Microsoft SQL Server Management Studio eller kommandolinjen BACKUP (Transact-SQL). SQL-databasesoftware, der bruges til gendannelse Du kan duplikere den primære SQL-databases konfiguration ved at gendanne den primære database inklusive poster i øjebliksbilledet på SQL-databaseserveren, der bruges til gendannelse, ved hjælp af enten Microsoft SQL Server Management Studio eller kommandolinjen RESTORE (Transact-SQL). ePolicy Orchestrator-software Denne software, som du kan hente fra McAfee-webstedet, bruges til installation og konfiguration af denMcAfee ePO-server, der bruges til gendannelse. Påkrævede oplysninger Adgangsudtryk for kryptering af nøglebutik for Genoprettelse efter nedbrud Dette adgangsudtryk blev tilføjet i forbindelse med den første installation af ePolicy Orchestrator-softwaren og bruges til dekryptering af følsomme oplysninger, som er gemt i Genoprettelse efter nedbrud-øjebliksbillede. Administratorrettigheder Du skal have adgang til både den primære server og gendannelsesserveren samt SQL-databasen, f.eks. som DBOwner eller DBCreator. Den seneste kendte IP-adresse og det seneste kendte DNS-navn eller NetBIOS-navn for den primære McAfee ePO-server Hvis du ændrer et eller flere af disse elementer under gendannelsen af McAfee ePO-serveren, skal du sørge for, at McAfee Agenterne er i stand til at finde serveren. Den nemmeste metode til at gøre det er ved at oprette en post med et vedtaget navn (CNAME) i DNS, som henviser anmodninger fra den primære McAfee ePO-servers gamle IP-adresse, gamle DNS-navn eller NetBIOS-navn til de nye oplysninger for den gendannede McAfee ePO-server. Se også Brug af en ekstern kommando til at bestemme Microsoft SQL-databaseserveren og databasenavnet på side 289 Brug af Microsoft SQL Server Management Studio til at finde oplysninger om McAfee ePOserveren på side 290 Oversigt over øjebliksbillede til genoprettelse efter nedbrud og sikkerhedskopiering på side 291 Oversigt over en installation til genoprettelse af McAfee ePO-serveren på side 292 Konfiguration af serveropgaven Genoprettelse efter nedbrud på side 294 Brug af en ekstern kommando til at bestemme Microsoft SQLdatabaseserveren og databasenavnet Følgende eksterne kommando i ePolicy Orchestrator bruges til at bestemme Microsoft SQL-databaseservernavnet og databasenavnet. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 1 Skriv denne eksterne kommando i adresselinjen i browseren: https://localhost:8443/core/config Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 289 24 Genoprettelse efter nedbrud Sådan fungerer genoprettelse efter nedbrud I denne kommando: 2 • localhost – Navnet på McAfee ePO-serveren. • :8443 – Standardportnummeret for McAfee ePO-serveren. Serveren er muligvis konfigureret til at bruge et andet portnummer. Gem følgende oplysninger, som vises på siden Konfiguration af databaseindstillinger: • Værtsnavn eller IP-adresse • Databasenavn Brug af Microsoft SQL Server Management Studio til at finde oplysninger om McAfee ePO-serveren Brug følgende proces fra Microsoft SQL Server Management Studio til at bestemme oplysningerne om den eksisterende McAfee ePO-server. Opgave 1 Brug en Forbindelse til Fjernskrivebord til at logge på værtsnavnet eller IP-adressen for Microsoft SQL-databaseserveren. 2 Åbn Microsoft SQL Server Management Studio, og opret forbindelse til SQL Server. 3 Åbn listen Object Explorer, klik på <Database Server Name> | Databaser | <Database name> | Tabeller. 4 Rul ned for at finde tabellen EPOServerInfo, højreklik på tabelnavnet, og vælg Edit top 200 Rows på listen. 5 Find oplysningerne i følgende poster i databasen, og gem dem: • ePOVersion – f.eks.: 5.1.0 • LastKnownTCPIP – F.eks.: 172.10.10.10 • DNSName – F.eks.: epo-2k8-epo51.server.com • RmdSecureHttpPort – F.eks.: 8443 • ComputerName – f.eks: EPO-2K8-EPO51 Kontrollér, at du har oplysningerne, hvis du på et tidspunkt skal gendanne ePolicy Orchestrator-softwaren. Sådan fungerer genoprettelse efter nedbrud Hvis du vil kunne geninstallere ePolicy Orchestrator-softwaren hurtigt, skal du tage øjebliksbilleder af ePolicy Orchestrator-konfigurationen jævnligt. Du skal derefter sikkerhedskopiere og gendanne databasen på en gendannelsesserver og geninstallere ePolicy Orchestrator-softwaren ved hjælp af indstillingen Gendan. Se også Konfiguration af serveropgaven Genoprettelse efter nedbrud på side 294 Oprettelse af et øjebliksbillede fra dashboardet på side 295 Oprettelse af et øjebliksbillede fra web-API'et på side 296 Brug af Microsoft SQL til sikkerhedskopiering og gendannelse af databaser på side 298 290 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Genoprettelse efter nedbrud Sådan fungerer genoprettelse efter nedbrud 24 Oversigt over øjebliksbillede til genoprettelse efter nedbrud og sikkerhedskopiering I processen for øjebliksbillede til genoprettelse efter nedbrud, sikkerhedskopieringen af SQL-databasen og kopiering oprettes en dobbeltforekomst af ePolicy Orchestrator-databasen på en SQL-databaseserver, der bruges til gendannelse. Dette er en oversigt over processerne for øjebliksbillede til genoprettelse efter nedbrud, sikkerhedskopiering af SQL-databasen og kopiering. Du kan finde flere oplysninger under: • Oprettelse af et øjebliksbillede • Brug af Microsoft SQL til sikkerhedskopiering og gendannelse af databaser Følgende figur er en oversigt over processen til genoprettelse efter nedbrud af ePolicy Orchestrator-softwaren og den involverede hardware. I denne figur er SQL-databasen installeret på den samme serverhardware som McAfee ePO-serveren. McAfee ePO-serveren og SQL-databasen kan også være installeret på forskellig serverhardware. Figur 24-2 Øjebliksbillede til genoprettelse efter nedbrud og sikkerhedskopiering af McAfee ePO-serveren Konfigurationen til genoprettelse efter nedbrud af ePolicy Orchestrator-softwaren omfatter følgende generelle trin, som skal udføres på den primære McAfee ePO-server: 1 Tag et øjebliksbillede af McAfee ePO-serveren, og gem det på den primære SQL-database. Dette kan gøres manuelt eller via en standardserveropgave til formålet. Følgende databasefiler gemmes, når øjebliksbilledet tages: • C:\Program Files\McAfee\ePolicy Orchestrator\Server\extensions – Standardstien til oplysninger om udvidelser til ePolicy Orchestrator-softwaren. • C:\Program Files\McAfee\ePolicy Orchestrator\Server\conf – Standardstien til de påkrævede filer, som bruges af udvidelserne til ePolicy Orchestrator-softwaren. • C:\Program Files\McAfee\ePolicy Orchestrator\Server\keystore – Disse nøgler er særlige nøgler for agent til server-kommunikationen og lagrene i ePolicy Orchestrator. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 291 24 Genoprettelse efter nedbrud Sådan fungerer genoprettelse efter nedbrud • C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Keystore – Standardstien til servercertifikaterne for McAfee-produktinstallationen. • C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Software – Standardstien til installationsfilerne til McAfee-produktet. Posterne i det gemte øjebliksbillede til genoprettelse efter nedbrud indeholder de stier, som du har konfigureret for dine registrerede eksekverbare filer. De registrerede eksekverbare filer sikkerhedskopieres ikke, og du skal erstatte disse eksekverbare filer, når du gendanner McAfee ePO-serveren. Når du har gendannet McAfee ePO-serveren, vises eventuelle registrerede eksekverbare filer med brudte stier med rødt på siden Registrerede eksekverbare filer. Du bør teste stierne til de registrerede eksekverbare filer, når du har gendannet McAfee ePO-serveren. Nogle stier til registrerede eksekverbare filer vises muligvis ikke med rødt, men udløser alligevel en fejl på grund af afhængighedsproblemer i relation til de registrerede eksekverbare filer. 2 Sikkerhedskopiér SQL-databasen ved hjælp af Microsoft SQL Server Management Studio eller kommandolinjen BACKUP (Transact-SQL). 3 Kopiér filen med sikkerhedskopien af SQL-databasen, som du oprettede under trin 2, til den dobbeltforekomst af SQL-serveren, der bruges til gendannelse. Det er vigtigt, at du fuldfører trin 2 og 3 for at kopiere øjebliksbillederne fra den primære SQL-server til den SQL-server, der bruges til gendannelse, så de kan bruges i forbindelse med funktionen til genoprettelse efter nedbrud. Dermed er øjebliksbilledet til genoprettelse efter nedbrud og sikkerhedskopieringen af McAfee ePO-serveren fuldført. Det er ikke nødvendigt at fortsætte med den efterfølgende genoprettelsesinstallation af McAfee ePO-serveren, medmindre du geninstallerer ePolicy Orchestrator-softwaren. Oversigt over en installation til genoprettelse af McAfee ePOserveren Geninstallation af ePolicy Orchestrator-softwaren er det sidste trin i en hurtig gendannelse af McAfee ePO-serveren. Dette er en oversigt over geninstallation af ePolicy Orchestrator-softwaren på McAfee ePO-serveren til gendannelse. Se installationsvejledningen for at få flere oplysninger. 292 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Genoprettelse efter nedbrud Sådan fungerer genoprettelse efter nedbrud 24 Figuren nedenfor viser en oversigt over geninstallationsprocessen for McAfee ePO-serveren. I denne figur er SQL-databasen installeret på den samme serverhardware som McAfee ePO-serveren. McAfee ePO-serveren og SQL-databasen kan også være installeret på forskellig serverhardware. Figur 24-3 Installation til genoprettelse af McAfee ePO-serveren Installation af ePolicy Orchestrator-softwaren ved hjælp af filen med øjebliksbilledet til genoprettelse efter nedbrud omfatter følgende generelle trin, som skal udføres på McAfee ePO-gendannelsesserveren: 1 Find sikkerhedskopifilen med den SQL-database, som du kopierede under trin 3 i det forrige afsnit, og gendan den primære SQL-serverkonfiguration på den SQL-server, der bruges til gendannelse, enten ved hjælp af Microsoft SQL Server Management Studio eller kommandolinjeprocessen RESTORE (Transact-SQL). 2 Under installationen af ePolicy Orchestrator-databasesoftwaren: a Klik på Gendan ePO fra et øjebliksbillede af en eksisterende database til genoprettelse efter nedbrud i velkomstdialogboksen til softwaren. b Vælg Microsoft SQL Server for at knytte ePolicy Orchestrator-softwaren til den SQL-database, der bruges til gendannelse, hvor den primære McAfee ePO-serverkonfiguration blev gendannet under trin 1. Når installationen af ePolicy Orchestrator-softwaren startes, bruges de databaseposter, der blev gemt i forbindelse med oprettelsen af øjebliksbilledet, i softwarekonfigurationen i stedet for at oprette nye poster i databasen. 3 Hvis du har ændret den seneste kendte IP-adresse, DNS-navnet eller NetBIOS-navnet for den primære McAfee ePO-server, da du oprettede McAfee ePO-serveren, der bruges til gendannelse, kan McAfee Agents ikke oprette forbindelse til den gendannede McAfee ePO-server. Den nemmeste metode til at løse problemet er ved at oprette en CNAME-post i DNS, som henviser anmodninger fra den primære McAfee ePO-servers gamle IP-adresse, eller gamle DNS-navn eller NetBIOS-navn til de nye oplysninger for den gendannede McAfee ePO-server. I Hvad er genoprettelse efter nedbrud? kan du finde forskellige eksempler på, hvordan du kan gendanne SQL-databasens forbindelse til McAfee ePO-serveren. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 293 24 Genoprettelse efter nedbrud Konfiguration af et øjebliksbillede og gendannelse af SQL-databasen Den gendannede McAfee ePO-server kører nu med nøjagtig den samme konfiguration som den primære server. Klienterne kan oprette forbindelse til den gendannede server, og du kan administrere dem på helt samme måde, som før den primære McAfee ePO-server blev fjernet. Konfiguration af et øjebliksbillede og gendannelse af SQLdatabasen Hvis du hurtigt vil geninstallere en McAfee ePO-server, skal du konfigurere et øjebliksbillede til genoprettelse efter nedbrud og gemme det eller bekræfte, at der gemmes et øjebliksbillede i SQL-databasen. Sikkerhedskopiér derefter den SQL-database, hvor øjebliksbilledet er gemt, og kopiér sikkerhedskopifilen af databasen til SQL Server, der bruges til gendannelse. En hurtig geninstallation af McAfee ePO-serveren kræver følgende opgaver. Opgaver • Konfiguration af serveropgaven Genoprettelse efter nedbrud på side 294 Brug opgaven Øjebliksbillede af server til genoprettelse efter nedbrud til at redigere de planlagte automatiske øjebliksbilleder af McAfee ePO-serverkonfigurationen, der gemmes i SQL-databasen. • Oprettelse af et øjebliksbillede på side 295 Hyppig oprettelse af øjebliksbilleder til genoprettelse efter nedbrud af den primære McAfee ePO-server er det første skridt til hurtig gendannelse af en McAfee ePO-server. • Brug af Microsoft SQL til sikkerhedskopiering og gendannelse af databaser på side 298 Brug procedurerne i forbindelse med Microsoft SQL Server til at gemme øjebliksbilledet til genoprettelse efter nedbrud sammen med oplysningerne om McAfee ePO-serverkonfiguration. Se også Konfiguration af serveropgaven Genoprettelse efter nedbrud på side 294 Oprettelse af et øjebliksbillede fra dashboardet på side 295 Oprettelse af et øjebliksbillede fra web-API'et på side 296 Brug af Microsoft SQL til sikkerhedskopiering og gendannelse af databaser på side 298 Konfiguration af serveropgaven Genoprettelse efter nedbrud Brug opgaven Øjebliksbillede af server til genoprettelse efter nedbrud til at redigere de planlagte automatiske øjebliksbilleder af McAfee ePO-serverkonfigurationen, der gemmes i SQL-databasen. Den forudkonfigurerede status for opgaven Øjebliksbillede af server til genoprettelse efter nedbrud afhænger af den SQL-database, som McAfee ePO-serveren bruger. Øjebliksbilledet til genoprettelse efter nedbrud er aktiveret som standard på alle versioner af Microsoft SQL Server undtagen Express Edition. McAfee anbefaler ikke, at du aktiverer planlægning af øjebliksbilleder til genoprettelse efter nedbrud i Microsoft SQL Server Express Edition-versioner pga. den begrænsede datafilstørrelse. Den maksimale datafilstørrelse for Microsoft SQL Server 2005 Express Edition er kun 4 GB og 10 GB for Microsoft SQL Server 2008 og 2012 Express Edition. Du kan kun køre ét øjebliksbillede til genoprettelse efter nedbrud ad gangen. Hvis du kører flere øjebliksbilleder, er det kun det sidste øjebliksbillede, der genererer noget output, og de tidligere øjebliksbilleder overskrives. Du kan ændre standardserveropgaven Genoprettelse efter nedbrud efter behov. 294 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Genoprettelse efter nedbrud Konfiguration af et øjebliksbillede og gendannelse af SQL-databasen 24 Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Serveropgaver, vælg Øjebliksbillede af server for genoprettelse efter nedbrud på listen med serveropgaver, og klik på Rediger. Guiden Serveropgaven Genoprettelse efter nedbrud vises. 2 Under fanen Beskrivelser Status for plan skal du klikke på Aktiveret eller Deaktiveret efter behov. 3 Rediger følgende indstillinger under fanen Plan efter behov: • Plantype – Angiv, hvor ofte øjebliksbilledet skal gemmes. • Startdato og Slutdato – Angiv startdatoen og slutdatoen for, hvornår øjebliksbillederne skal gemmes, eller klik på Ingen slutdato, hvis opgaven skal køre kontinuerligt. • Plan – Angiv klokkeslættet for, hvornår øjebliksbilledet skal gemmes. Opgaven Øjebliksbillede køres hver dag kl. 01:59 som standard. McAfee anbefaler, at du kører serveropgaven Genoprettelse efter nedbrud på tidspunkter, hvor belastningen på netværket er begrænset for at minimere ændringerne i databasen under oprettelsen af øjebliksbilledet. 4 Bekræft, at serveropgaven er konfigureret korrekt under fanen Oversigt, og klik på Gem. Oprettelse af et øjebliksbillede Hyppig oprettelse af øjebliksbilleder til genoprettelse efter nedbrud af den primære McAfee ePO-server er det første skridt til hurtig gendannelse af en McAfee ePO-server. Når du har foretaget mange konfigurationsændringer i McAfee-softwaren, bør du oprette et øjebliksbillede til genoprettelse efter nedbrud manuelt ved hjælp af en af følgende opgaver. Opret en opgave for øjebliksbillede af server for genoprettelse efter nedbrud for at automatisere øjebliksbilleder af servere. Opgaver • Oprettelse af et øjebliksbillede fra dashboardet på side 295 Brug ePolicy Orchestrator-dashboardet til at oprette øjebliksbilleder til genoprettelse efter nedbrud af den primære McAfee ePO-server og til at overvåge oprettelsen af øjebliksbilledet ved at følge den ændrede status i dashboardet. • Oprettelse af et øjebliksbillede fra web-API'et på side 296 Brug ePolicy Orchestrator-web-API'et til at oprette øjebliksbilleder til genoprettelse efter nedbrud af den primære McAfee ePO-server. Det giver dig mulighed for at fuldføre processen ved hjælp af en enkelt kommandostreng. Oprettelse af et øjebliksbillede fra dashboardet Brug ePolicy Orchestrator-dashboardet til at oprette øjebliksbilleder til genoprettelse efter nedbrud af den primære McAfee ePO-server og til at overvåge oprettelsen af øjebliksbilledet ved at følge den ændrede status i dashboardet. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 295 24 Genoprettelse efter nedbrud Konfiguration af et øjebliksbillede og gendannelse af SQL-databasen Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i brugergrænsefladen. 1 Klik på Menu | Rapportering | Dashboards for at få vist skærmen Øjebliksbillede af ePO-server. Klik eventuelt på Tilføj skærm, og vælg Øjebliksbillede af ePO-server på listen, og træk det til dashboardet. 2 Klik på Tag et øjebliksbillede for at starte med at gemme McAfee ePO-serverkonfigurationen. Under oprettelsen af øjebliksbilledet, ændres titellinjen på skærmen med øjebliksbilledet, så status på oprettelsen vises. Du kan finde flere oplysninger om statusindikatorer på skærmen med øjebliksbilledet i See Dashboardskærm for øjebliksbillede. Det kan tage fra ti minutter til mere end en time at oprette øjebliksbilledet, afhængigt af det ePolicy Orchestrator-administrerede netværks kompleksitet og størrelse. Processen bør ikke påvirke McAfee ePO-serverens ydeevne. 3 Klik eventuelt på Se oplysningerne om aktuel kørsel for at åbne Oplysninger om log over serveropgave for det seneste øjebliksbillede, der er blevet gemt. Når øjebliksbilledet er blevet oprettet, skal du klikke på Se oplysningerne om aktuel kørsel for at åbne Oplysninger om log over serveropgave for det seneste øjebliksbillede, der er blevet gemt. Det seneste øjebliksbillede til genoprettelse efter nedbrud gemmes i McAfee ePO-serverens primære SQL-database. Databasen er nu klar til at sikkerhedskopiere og kopiere til den SQL-databaseserver, der bruges til gendannelse. Oprettelse af et øjebliksbillede fra web-API'et Brug ePolicy Orchestrator-web-API'et til at oprette øjebliksbilleder til genoprettelse efter nedbrud af den primære McAfee ePO-server. Det giver dig mulighed for at fuldføre processen ved hjælp af en enkelt kommandostreng. Alle de kommandoer, der beskrives i denne opgave, angives på adresselinjen i webbrowseren for at oprette adgang til McAfee ePO-serveren via en fjernforbindelse. Du bliver bedt om at angive administratorbrugernavnet og -adgangskoden, før outputtet vises. Du kan finde en detaljeret beskrivelse af brugen af web-API'et og tilhørende eksempler i McAfee ePolicy Orchestrator Scriptvejledningen til 5.1.0. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Brug følgende kommando i Hjælp i ePolicy Orchestrator-web-API'et til at bestemme, hvilke parametre der er nødvendige for at køre øjebliksbilledet: https://localhost:8443/remote/core.help?command=scheduler.runServerTask I den forrige kommando: 296 • localhost: – Navnet på McAfee ePO-serveren. • 8443 – Destinationsporten, angivet som "8443" (standardporten) i dette eksempel. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Genoprettelse efter nedbrud Konfiguration af et øjebliksbillede og gendannelse af SQL-databasen • /remote/core.help?command= – Opretter forbindelse til Hjælp i web-API'et • scheduler.runServerTask – Opretter forbindelse til Hjælp for den specifikke serveropgave 24 Der skelnes mellem små og store bogstaver i kommandoen runServerTask. Kommandoen i det forrige eksempel returnerer følgende hjælp: OK: scheduler.runServerTask taskName Kører en serveropgave og returnerer opgavens log-id. Brug opgavens log-id sammen med kommandoen "tasklog.listTaskHistory" for at få vist status for den kørende opgave. Returnerer opgavens log-id eller melder fejl. Kræver tilladelse til at køre serveropgaver. Parametre: [taskName (param 1) | taskId] – Det entydige id eller navn på opgaven 2 Brug følgende kommando til at få vist alle serveropgaverne og bestemme den påkrævede taskName-parameter til kørsel af serveropgaven Øjebliksbillede: https://localhost:8443/remote/scheduler.listAllServerTasks?:output=terse Kommandoen i det forrige eksempel returnerer en liste, der minder om nedenstående. Den nøjagtige liste, der vises, afhænger af dine tilladelser, og hvilke udvidelser der er installeret. 3 Brug opgavenavnet Disaster Recovery Snapshot Server fra det forrige trin til at køre serveropgaven Øjebliksbillede med følgende kommando: https://localhost:8443/remote/scheduler.runServerTask?taskName=Disaster%20Recovery %20Snapshot%20Server Hvis opgaven fuldføres, vises output, som minder om følgende: OK: 102 Det kan tage fra ti minutter til mere end en time at oprette øjebliksbilledet, afhængigt af det ePolicy Orchestrator-administrerede netværks kompleksitet og størrelse. Processen bør ikke påvirke McAfee ePO-serverens ydeevne. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 297 24 Genoprettelse efter nedbrud Konfiguration af et øjebliksbillede og gendannelse af SQL-databasen 4 Bekræft, at serveropgaven Øjebliksbillede er blevet fuldført i web-API'et. a Brug følgende kommando til at finde log-id'et for opgaven Øjebliksbillede af server for genoprettelse efter nedbrud: https://localhost:8443/remote/tasklog.listTaskHistory?taskName=Disaster %20Recovery%20Snapshot%20Server Denne kommando viser alle opgaver af typen Øjebliksbillede af server for genoprettelse efter nedbrud. Find den nyeste opgave, og notér id-nummeret. Eksempelvis id: 102 i det følgende: Id: 102 Name: Øjebliksbillede af server for genoprettelse efter nedbrud Startdato: 8/7/12 11:00:34 AM Slutdato: 8/7/12 11:01:18 AM Brugernavn: admin Status: Fuldført Kilde: opgavestyring Varighed: Under et minut b Brug følgende kommando og opgave-id-nummeret 102 til at få vist alle logmeddelelser for opgaven. https://localhost:8443/remote/tasklog.listMessages?taskLogId=102 Rul til bunden af meddelelserne, og find følgende: OK: Dato: 8/7/12 11:00:34 AM Meddelelse: Øjebliksbillede af server i databasen Dato: 8/7/12 11:00:34 AM Meddelelse: Gemmer øjebliksbilledet af serveren i databasen ... . . . Dato: 8/7/12 11:01:18 AM Meddelelse: Øjebliksbilledet af serveren blev gemt i databasen. Dato: 8/7/12 11:01:18 AM Meddelelse: Øjebliksbillede af server i databasen Brug af Microsoft SQL til sikkerhedskopiering og gendannelse af databaser Brug procedurerne i forbindelse med Microsoft SQL Server til at gemme øjebliksbilledet til genoprettelse efter nedbrud sammen med oplysningerne om McAfee ePO-serverkonfiguration. Før du starter Du skal have forbindelse og autorisation til at kopiere filer mellem din primære og den gendannede McAfee ePO SQL-server for at afslutte denne opgave. Se Appendiks A: Vedligeholdelse af ePolicy Orchestratordatabaser for at få flere oplysninger. Når du har oprettet et øjebliksbillede af McAfee ePO-serverkonfigurationen, skal du: Opgave 1 Opret en Microsoft SQL Server-sikkerhedskopi af den database, der bruger: • Microsoft SQL Server Management Studio • Microsoft Transact-SQL Du kan finde flere oplysninger, om hvordan du gennemfører disse processer, i dokumentationen til Microsoft SQL Server. 298 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Genoprettelse efter nedbrud Konfigurer serverindstillinger til genoprettelse efter nedbrud 2 Kopier den oprettede sikkerhedskopifil til den SQL-server, der bruges til gendannelse. 3 Gendan sikkerhedskopien af den primære SQL-database, som indeholder øjebliksbilledet til genoprettelse efter nedbrud ved hjælp af: • Microsoft SQL Server Management Studio • Microsoft Transact-SQL 24 Du kan finde flere oplysninger, om hvordan du gennemfører disse processer, i dokumentationen til Microsoft SQL Server. Hermed oprettes en dobbeltforekomst af SQL-serveren, som er klar til gendannelse, hvis det er nødvendigt, ved at oprette forbindelse til en ny ePolicy Orchestrator-softwareinstallation ved hjælp af indstillingen Gendan. Konfigurer serverindstillinger til genoprettelse efter nedbrud Du kan ændre det adgangsudtryk for kryptering af nøglebutik, du brugte, da du installerede ePolicy Orchestrator-softwaren, og knytte det til en SQL-database, som er gendannet med poster i et øjebliksbillede til genoprettelse efter nedbrud. Før du starter Du skal have administratorrettigheder for at ændre adgangsudtrykket for kryptering af nøglebutik. Du kan bruge genoprettelse efter nedbrud til at oprette et øjebliksbillede af McAfee ePO-serveren, så du hurtigt kan genoprette McAfee ePO-serveren. Som administrator er denne indstilling meget nyttig, hvis du har mistet eller glemt det adgangsudtryk for kryptering af nøglebutik, du konfigurerede under installationen af ePolicy Orchestrator-softwaren. Du kan ændre det eksisterende adgangsudtryk uden at kende det tidligere konfigurerede adgangsudtryk. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Klik på Menu | Konfiguration | Serverindstillinger, vælg Genoprettelse efter nedbrud under Indstillingskategorier, og klik derefter på Rediger. 2 Under Adgangsudtryk for kryptering af nøglebutik skal du klikke på Rediger adgangsudtryk og angive det nye adgangsudtryk og bekræfte det. Adgangsudtrykket for kryptering af nøglebutik bruges til at kryptere og dekryptere følsomme oplysninger, der er gemt i øjebliksbilledet af serveren. Adgangsudtrykket er påkrævet under gendannelsen af McAfee ePO-serveren. Notér dette adgangsudtryk. ePolicy Orchestrator-databasen skal kopieres til en Microsoft SQL Database-gendannelsesserver med jævne mellemrum for at oprette en opdateret sikkerhedskopi af databasen. Du kan finde flere oplysninger om sikkerhedskopierings- og gendannelsesprocesser for databaseservere i Konfiguration af øjebliksbillede og SQL-database, der bruges til gendannelse. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 299 24 Genoprettelse efter nedbrud Konfigurer serverindstillinger til genoprettelse efter nedbrud 300 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning A Oversigt over porte Følg disse retningslinjer, når du skal tilpasse de porte, McAfee ePO-serveren bruger. Indhold Ændring af port til konsol til programserver-kommunikation Ændring af port til agent til server-kommunikation Porte, der kræves til kommunikation gennem en firewall Trafikoversigt Ændring af port til konsol til programserver-kommunikation Hvis porten til konsol til programserver-kommunikation i McAfee ePO bruges af et andet program, skal du følge disse trin for at angive en anden port. Før du starter Dette emne indeholder oplysninger om, hvordan du åbner eller redigerer registreringsdatabasen. Disse oplysninger er kun beregnet til netværks- eller systemadministratorer. • Ændringer af registreringsdatabasen er uigenkaldelige og kan medføre systemfejl, hvis ændringen ikke udføres korrekt. • Vi anbefaler, at du sikkerhedskopierer registreringsdatabasen og forstår gendannelsesprocessen. Du kan finde flere oplysninger i Microsoft-dokumentationen. • Sørg for, at du kun kører .REG-filer, der er bekræftet som værende ægte registreringsdatabasefiler til import. Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 1 Stop McAfee ePO-tjenesterne: a Luk alle McAfee ePO-konsoller. b Klik på Start | Kør, skriv services.msc, og klik derefter på OK. c Højreklik på hver tjeneste, og vælg Stop: • McAfee ePolicy Orchestrator-programserver • McAfee ePolicy Orchestrator-hændelsesparser • McAfee ePolicy Orchestrator-server Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 301 A Oversigt over porte Ændring af port til agent til server-kommunikation 2 Vælg denne nøgle i registreringsdatabaseeditoren: McAfee ePO 5.1.0 (64-bit) – [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft \Windows\CurrentVersion\Uninstall\{806ACE6E-C694-43FE-A470-160A332D7AF9}] 3 Dobbeltklik på TomcatSecurePort.SQL i ruden til højre, og ret værdidata, så det påkrævede portnummer afspejles (standard er 8443). 4 Klik på Start | Kør, skriv Notesblok, og klik derefter på OK. 5 Indsæt disse linjer i et tomt Notesblok-dokument, og ret 8443 til det nye portnummer: UPDATE EPOServerInfo SET rmdSecureHttpPort =8443 6 Giv filen navnet TomcatSecurePort.sql, og gem den på en midlertidig placering på SQL Server. 7 Brug Microsoft SQL Server Management Studio til at installere filen TomcatSecurePort.SQL, som du oprettede. a Klik på Start | Alle programmer | Microsoft SQL Server Management Studio. b I dialogboksen Opret forbindelse til server skal du klikke på Opret forbindelse. c Udvid Databaser, og vælg derefter ePO-database. d Vælg Ny forespørgsel i værktøjslinjen. e Klik på Fil | Åbn | Fil..., og find derefter filen TomcatSecurePort.sql. f Vælg filen, og klik på Åbn | Udfør. 8 Klik på Start | Kør, skriv stifinder, og klik derefter på OK. 9 Find denne mappe i Windows Stifinder: \Programmer (x86)\McAfee\ePolicy Orchestrator\Server\conf\ 10 Åbn Server.XML i Notesblok, og erstat alle poster for port 8443 med det nye portnummer. 11 Klik på Start | Kør, skriv services.msc, og klik derefter på OK. 12 Højreklik på hver tjeneste, og vælg Start: • McAfee ePolicy Orchestrator-programserver • McAfee ePolicy Orchestrator-hændelsesparser • McAfee ePolicy Orchestrator-server Ændring af port til agent til server-kommunikation Følg disse trin for at ændre porten til agent til server-kommunikation. Før du starter Dette emne indeholder oplysninger om, hvordan du åbner eller redigerer registreringsdatabasen. Disse oplysninger er kun beregnet til netværks- eller systemadministratorer. 302 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Oversigt over porte Ændring af port til agent til server-kommunikation • Ændringer af registreringsdatabasen er uigenkaldelige og kan medføre systemfejl, hvis ændringen ikke udføres korrekt. • Vi anbefaler, at du sikkerhedskopierer registreringsdatabasen og forstår gendannelsesprocessen. Du kan finde flere oplysninger i Microsoft-dokumentationen. • Sørg for, at du kun kører .REG-filer, der er bekræftet som værende en ægte registreringsdatabasefil til import. A Opgave Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. 1 2 Stop McAfee ePO-tjenesterne: a Luk alle McAfee ePO-konsoller. b Klik på Start | Kør, skriv services.msc, og klik derefter på OK. c Højreklik på hver tjeneste, og vælg Stop: • McAfee ePolicy Orchestrator-programserver • McAfee ePolicy Orchestrator-hændelsesparser • McAfee ePolicy Orchestrator-server Rediger portværdien i registreringsdatabasen: a Klik på Start | Kør, skriv regedit, og klik derefter på OK. b Naviger til den nøgle, der svarer til din version af McAfee ePO: McAfee ePO 5.1 – [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows \CurrentVersion\Uninstall\{806ACE6E-C694-43FE-A470-160A332D7AF9}] 3 Rediger strengværdien AgentPort, så den afspejler den relevante port. Standardværdien for porten er 80. Luk derefter registreringsdatabaseeditoren. 4 Rediger værdien i McAfee ePO-databasen: a Klik på Start | Kør, skriv notesblok, og klik derefter på OK. b Føj disse linjer til et tomt Notesblok-dokument. UPDATE EPOServerInfo SET ServerHTTPPort=80 c Gem filen som DefaultAgentPort.SQL på en midlertidig placering på SQL Server. d Hvis du vil bruge Microsoft SQL Server Management Studio til at installere filen DefaultAgentPort.sql, skal du klikke på Start | Alle programmer | Microsoft SQL Server Management Studio. e I dialogboksen Opret forbindelse til server skal du klikke på Opret forbindelse. f Udvid Databaser, og vælg derefter ePO-database. g Vælg Ny forespørgsel i værktøjslinjen. h Klik på Fil | Åbn | Fil..., og find derefter filen DefaultAgent.SQL. i Vælg filen, og klik på Åbn | Udfør. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 303 A Oversigt over porte Ændring af port til agent til server-kommunikation 5 Indsæt disse linjer i et tomt Notesblok-dokument, og ret 8443 til det nye portnummer: UPDATE EPOServerInfo SET rmdSecureHttpPort =8443 6 Giv filen navnet TomcatSecurePort.SQL, og gem den på en midlertidig placering på SQL Server. 7 Brug Microsoft SQL Server Management Studio til at installere filen TomcatSecurePort.SQL. 8 a Klik på Start | Alle programmer | Microsoft SQL Server Management Studio. b I dialogboksen Opret forbindelse til server skal du klikke på Opret forbindelse. c Udvid Databaser, og vælg derefter ePO-database. d Vælg Ny forespørgsel i værktøjslinjen. e Klik på Fil | Åbn | Fil..., og find derefter filen TomcatSecurePort.SQL. f Vælg filen, og klik på Åbn | Udfør. Rediger portværdien i McAfee ePO-konfigurationsfilerne: a Klik på Start | Kør, skriv stifinder, og klik på OK. b Naviger til C:\Programmer (x86)\McAfee\ePolicy Orchestrator\DB\.... c Åbn Server.ini ved hjælp af Notesblok, og ret værdien for HTTPPort=80, så det nye nummer afspejles. Gem derefter filen. d Åbn Siteinfo.ini ved hjælp af et tekstredigeringsprogram, og ret værdien for HTTPPort=80, så det nye nummer afspejles. Gem derefter filen. e Naviger til C:\Programmer (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\..., åbn httpd.conf, og ret disse linjer, så det nye portnummer afspejles: Listen 80 ServerName<YourServerName>: 80 9 Hvis du bruger virtuelle værter, skal du rette: NameVirtualHost *:80 <VirtualHost *:80> 10 Gem filen, og afslut tekstredigeringsprogrammet. 11 Genstart McAfee ePO-tjenesterne: 304 a Klik på Start | Kør, skriv services.msc, og klik derefter på OK. b Højreklik på hver tjeneste, og vælg Stop: • McAfee ePolicy Orchestrator-hændelsesparser • McAfee ePolicy Orchestrator-server Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Oversigt over porte Porte, der kræves til kommunikation gennem en firewall A 12 (Valgfri) Rediger indstillingerne på eksterne agenthandlere: a Kontrollér, at alle McAfee ePO-konsoller er lukkede, og klik derefter på Start | kør, skriv services.msc, og klik på OK. b Højreklik på hver tjeneste, og vælg Stop. • McAfee ePolicy Orchestrator-hændelsesparser • McAfee ePolicy Orchestrator-server Denne server er måske angivet som MCAFEEAPACHESRV, hvis serveren ikke blev genstartet, efter agenthandleren blev installeret. 13 Naviger til C:\Programmer (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\..., brug et tekstredigeringsprogram til at åbne httpd.conf, og ret disse linjer, så det nye portnummer afspejles: Listen 80 ServerName<YourServerName>: 80 Hvis du bruger virtuelle værter, skal du rette: NameVirtualHost *:80 <VirtualHost *:80> 14 Gem filen, og afslut tekstredigeringsprogrammet. 15 Klik på Start | Kør, skriv services.msc, og klik derefter på OK. 16 Højreklik på hver tjeneste, og vælg Stop. • McAfee ePolicy Orchestrator-hændelsesparser • McAfee ePolicy Orchestrator-server Denne server er måske angivet som MCAFEEAPACHESRV, hvis serveren ikke blev genstartet, efter agenthandleren blev installeret. Hvis du tidligere har installeret agenter på klienter, skal du geninstallere agenten på alle klienter ved hjælp af /forceinstall-switchen, så den eksisterende Sitelist.xml-fil overskrives. Du kan finde flere oplysninger om specifikke versioner af McAfee Agent, hvor /forceinstall-switchen fungerer korrekt, i McAfee KnowledgeBase-artiklen KB60555. Porte, der kræves til kommunikation gennem en firewall Brug disse porte til at konfigurere en firewall, der tillader trafik til og fra McAfee ePO-serveren. Relevant terminologi • Tovejs – Forbindelsen kan startes fra begge retninger. • Indgående – Forbindelsen startes af et eksternt system. • Udgående – Forbindelsen startes af et lokalt system. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 305 A Oversigt over porte Porte, der kræves til kommunikation gennem en firewall Tabel A-1 McAfee ePO-server Port Standard Beskrivelse Trafikretning Port til agent til server-kommunikation 80 TCP-port åbnet af McAfee ePO-servertjenesten for at modtage anmodninger fra agenter. Tovejs mellem agenthandleren og McAfee ePO-serveren, og indgående fra McAfee Agent til agenthandlerne og McAfee ePO-serveren. Agentkommunikation via SSL (kun 4.5 og nyere agenter) 443 Som standard skal 4.5-agenter kommunikere via SSL (443 som standard). Denne port bruges også af eksterne agenthandlere til at kommunikere med McAfee ePO-hovedlageret. Indgående forbindelse til McAfee ePO-serveren fra agenter eller agenthandlere til hovedlageret. Indgående forbindelse: • Agent til McAfee ePO • Agenthandler til hovedlager • McAfee ePO til hovedlager • Agent til agenthandler 306 Kommunikationsport til agentaktivering SuperAgent-lagerport 8081 TCP-port åbnet af agenter for at modtage anmodninger om agentaktivering fra McAfee ePO-serveren. TCP-port åbnet for at replikere lagerindhold til et SuperAgent-lager. Udgående forbindelse fra McAfee ePO-serveren og agenthandleren til McAfee Agent. Kommunikationsport til agentbroadcast 8082 UDP-port åbnet af SuperAgent for at videresende meddelelser fra McAfee ePO-serveren og agenthandleren. Udgående forbindelse fra SuperAgent til andre agenter. Port til konsol til programserver-kommunikation 8443 HTTPS-port åbnet af McAfee ePO-programservertjenesten for at tillade webbrowseren konsoladgang. Indgående forbindelse til McAfee ePO-serveren fra McAfee ePO-konsollen. Port til godkendt klient til server-kommunikation 8444 Bruges af agenthandleren til at kommunikere med McAfee ePO-serveren for at hente de nødvendige oplysninger (f.eks. LDAP-servere). Udgående forbindelse fra eksterne agenthandlere til McAfee ePO-serveren. TCP-port til SQL Server 1433 TCP-port, der bruges til at kommunikere med SQL Server. Denne port angives eller bestemmes automatisk under installationsprocessen. Udgående forbindelse fra McAfee ePO-serveren og agenthandleren til SQL Server. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning A Oversigt over porte Trafikoversigt Tabel A-1 McAfee ePO-server (fortsat) Port Standard Beskrivelse Trafikretning UDP-port til SQL Server 1434 UDP-port, der bruges til at anmode om den TCP-port, som SQL-forekomsten, der er vært for McAfee ePO-databasen, anvender. Udgående forbindelse fra McAfee ePO-serveren og agenthandleren til SQL Server. LDAP-standardserverport 389 LDAP-forbindelse til søgning efter computere, brugere, grupper og organisatoriske enheder til brugerbaserede politikker. Udgående forbindelse fra McAfee ePO-serveren og agenthandleren til en LDAP-server. SSL LDAP-standardserverport 636 Brugerbaserede politikker anvender LDAP-forbindelsen til at søge efter brugere, grupper og organisatoriske enheder. Udgående forbindelse fra McAfee ePO-serveren og agenthandleren til en LDAP-server. Trafikoversigt Brug denne port og oplysninger om trafikretning til at konfigurere en firewall for tilladt trafik til og fra McAfee ePO-serveren. Relevant terminologi • Tovejs – Forbindelsen kan startes fra begge retninger. • Indgående – Forbindelsen startes af et eksternt system. • Udgående – Forbindelsen startes af et lokalt system. Tabel A-2 Agenthandler Standardport Protokol Trafikretning på McAfee ePO-server Trafikretning for agenthandler 80 TCP Tovejsforbindelse til og fra McAfee ePO-server. Tovejsforbindelse til og fra agenthandler. 389 TCP Udgående forbindelse fra McAfee ePO-server. Udgående forbindelse fra agenthandler. 443 TCP Indgående forbindelse til McAfee ePO-server. Indgående forbindelse til agenthandler. 636 TCP Udgående forbindelse fra McAfee ePO-server. Udgående forbindelse fra agenthandler. 1433 TCP Udgående forbindelse fra McAfee ePO-server. Udgående forbindelse fra agenthandler. 1434 UDP Udgående forbindelse fra McAfee ePO-server. Udgående forbindelse fra agenthandler. 8081 TCP Udgående forbindelse fra McAfee ePO-server. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 307 A Oversigt over porte Trafikoversigt Tabel A-2 Agenthandler (fortsat) Standardport Protokol Trafikretning på McAfee ePO-server Trafikretning for agenthandler 8443 TCP Udgående forbindelse fra McAfee ePO-server. Udgående forbindelse fra agenthandler. 8444 TCP Indgående forbindelse til McAfee ePO-server. Udgående forbindelse fra agenthandler. Tabel A-3 McAfee Agent Standardport Protokol Trafikretning 80 TCP Udgående forbindelse til McAfee ePO-server og agenthandler. 443 TCP Udgående forbindelse til McAfee ePO-serveren og agenthandler. 8081 TCP Indgående forbindelse fra McAfee ePO-serveren og agenthandler. Hvis agenten er et SuperAgent-lager, er den indgående forbindelse fra andre agenter. 8082 UDP Indgående forbindelse til agenter. Indgående og udgående forbindelse er fra eller til en SuperAgent. Tabel A-4 SQL Server 308 Standardport Protokol Trafikretning 1433 TCP Indgående forbindelse fra McAfee ePO-server og agenthandler. 1434 UDP Indgående forbindelse fra McAfee ePO-server og agenthandler. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning B Vedligeholdelse af ePolicy Orchestratordatabaser ePolicy Orchestrator-databaserne kræver regelmæssig vedligeholdelse for at kunne fungere optimalt og for at kunne beskytte dataene. Brug det relevante Microsoft-administrationsværktøj til din version af SQL: SQL-version Administrationsværktøj SQL 2008 og 2012 SQL Server Management Studio SQL Express SQL Server Management Studio Express Afhængigt af installationen af ePolicy Orchestrator-softwaren skal du regne med at bruge et par timer om ugen til regelmæssig sikkerhedskopiering og vedligeholdelse af databasen. Udfør disse opgaver regelmæssigt, enten ugentligt eller dagligt. Disse opgaver er dog ikke de eneste tilgængelige vedligeholdelsesopgaver. Du kan finde flere oplysninger om, hvad du ellers kan gøre for at vedligeholde databasen, i SQL-dokumentationen. Indhold SQL-tilladelser, der er nødvendige til installation af McAfee ePO Konfiguration af databaseroller for brugere Overvejelser i forbindelse med en vedligeholdelsesplan for SQL Valg af genoprettelsesmodel for SQL-databasen Defragmentering af tabeldata Oprettelse af en vedligeholdelsesplan for SQL Ændring af oplysningerne om SQL Server-forbindelsen Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 309 B Vedligeholdelse af ePolicy Orchestrator-databaser SQL-tilladelser, der er nødvendige til installation af McAfee ePO SQL-tilladelser, der er nødvendige til installation af McAfee ePO Bestemte SQL Server-roller er påkrævet, hvis du planlægger at anvende en eksisterende SQL Server eller manuelt installere en ny SQL Server. Til en ny installation af McAfee ePO... Anvend disse serverroller Under installationen Legitimationsoplysningerne til brugerkontoen til enten Windows- eller SQL-godkendelse skal have disse serverroller tildelt på den SQL Server, der fungerer som destination: • offentlig • dbcreator Serverrollen dbcreator er påkrævet, for at installationsprogrammet kan oprette og føje de nødvendige McAfee ePO-kernedatabaseobjekter til den SQL Server, der fungerer som destination, under installationen. Denne McAfee ePO SQL-brugerkonto er tildelt databaserolletilladelsen db_owner for McAfee ePO-databasen. Når databasen er installeret Serverrollen dbcreator kan fjernes fra McAfee ePO SQL-brugeren. Hvis serverrollen dbcreator tilbagekaldes, begrænses brugerkontoen til de tilladelser, der er tildelt databaserollen db_owner i McAfee ePO-databasen. Til installation af en opgradering eller fejlrettelse... Skal du bruge disse roller Under installationen Legitimationsoplysningerne til brugerkontoen til enten Windows- eller SQL-godkendelse skal have disse serverroller tildelt på den SQL Server, der fungerer som destination: • offentlig • db_owner Konfiguration af databaseroller for brugere Hvis du ikke vil bruge databaserollen db_owner, kan du oprette en ny databaserolle ved at benytte følgende fremgangsmåde. Den brugerrolle, der bruges i stedet for db_owner, skal have fem databaserolletilladelser. 310 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning B Vedligeholdelse af ePolicy Orchestrator-databaser Konfiguration af databaseroller for brugere Til... Skal du bruge disse roller Daglig brug (anbefalet) Den konto, der bruges til daglige handlinger, skal have følgende databaseroller: • offentlig • db_owner Oprettelse af en ny databaserolle Benyt følgende fremgangsmåde, hvis du ikke vil bruge databaserollen db_owner til logon for at få adgang til McAfee ePO-databasen. 1 Opret en ny databaserolle for McAfee ePO-databasen: a Log på SQL Management Studio med en konto med administratorrettigheder. b Gå til den SQL Server, hvor McAfee ePO-databasen er installeret, udvid Databaser, find McAfee ePO-databasen, og udvid derefter Sikkerhed | Roller. c Højreklik på Databaseroller, og vælg Ny databaserolle. d I Rollenavn skal du skrive db_execute. e Klik på OK. 2 Tildel den nye rolle tilladelsen Udfør: a Klik på Ny forespørgsel i Management Studio. b Vælg McAfee ePO-databasen på rullelisten Tilgængelige databaser. c Skriv følgende kommando i forespørgselsvinduet: GRANT EXECUTE TO db_execute d Klik på Udfør for at køre kommandoen. 3 Knyt logon til de relevante databaseroller: a Udvid følgende i Management Studio under den SQL Server, hvor McAfee ePO-databasen er installeret: Sikkerhed | Logon. b Vælg det logon, der skal bruges i McAfee ePO for at få adgang til databasen. c Højreklik på det dette logon, og vælg Egenskaber. d Vælg Brugertilknytning under Vælg en side. e Under Brugere, der er knyttet til dette logon skal du vælge McAfee ePO-databasen. f Vælg de faste roller for databaseniveauer under DB-rollemedlemsskab: • db_datareader – Påkrævet til at udføre forespørgsler efter indhold i databasen. • db_datawriter – Påkrævet til at indsætte eller opdatere indhold i databasen. • db_ddladmin – Påkrævet til at køre udtryk i datadefinitionssproget. • db_execute • public g Under Brugere, der er knyttet til dette logon skal du vælge tempdb. h Vælg følgende faste roller for databaseniveauer under DB-rollemedlemsskab: Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 311 B Vedligeholdelse af ePolicy Orchestrator-databaser Overvejelser i forbindelse med en vedligeholdelsesplan for SQL Til... Skal du bruge disse roller • db_datareader • db_datawriter • public i Klik på OK. Overvejelser i forbindelse med en vedligeholdelsesplan for SQL SQL-databasen er en integreret del af ePolicy Orchestrator. Hvis du ikke vedligeholder og sikkerhedskopierer oplysningerne i databasen, og der opstår en fejl, risikerer du at miste hele ePolicy Orchestrator-konfigurationen og din netværksbeskyttelse. Vedligeholdelse af ePolicy Orchestrator SQL-databasen omfatter to vigtige komponenter: • Genoprettelse efter nedbrud for ePolicy Orchestrator • Vedligeholdelse og sikkerhedskopiering af SQL-databasen Hver af disse komponenter er beskrevet i de følgende afsnit. Genoprettelse efter nedbrud af ePolicy Orchestrator Genoprettelse efter nedbrud for ePolicy Orchestrator bruger funktionen Øjebliksbillede til genoprettelse efter nedbrud, som jævnligt gemmer bl.a. ePolicy Orchestrator-konfigurationen, udvidelser og nøgler i poster i et øjebliksbillede til genoprettelse efter nedbrud i ePolicy Orchestrator-databasen. De poster, som gemmes i øjebliksbilledet til genoprettelse efter nedbrud, indeholder hele ePolicy Orchestrator-konfigurationen på det bestemte klokkeslæt, hvor øjebliksbilledet til genoprettelse efter nedbrud blev taget. Hvis du hurtigt vil genoprette databasen i tilfælde af en databasefejl, er det vigtigt, at du jævnligt opretter et øjebliksbillede til genoprettelse efter nedbrud af ePolicy Orchestrator-databasen, sikkerhedskopierer databasefilerne og kopierer sikkerhedskopien fra den primære SQL Server til den SQL Server, der bruges til gendannelsen. Vedligeholdelse og sikkerhedskopiering af SQL-databasen SQL-databasen er den centrale lagringskomponent for alle data, der oprettes og anvendes i ePolicy Orchestrator. Her gemmes egenskaberne for dine administrerede systemer, oplysninger om deres politikker og mappestruktur samt alle andre relevante data, som serveren skal bruge til at holde systemerne opdateret. Det er vigtigt, at du sørger for at vedligeholde ePolicy Orchestrator SQL-databasen. Den regelmæssige vedligeholdelse af SQL-databasen bør omfatte følgende: • 312 Administration af data- og transaktionslogfil, herunder: • Adskillelse af data og logfiler • Konfiguration af korrekt automatisk forøgelse • Konfiguration af øjeblikkelig filinitialisering • Bekræftelse af, at automatisk formindskelse ikke er aktiveret, og at formindskelse ikke indgår i vedligeholdelsesplanen • Indeksdefragmentering – Se Tabeldata til defragmentering • Registrering af fejl – ved hjælp af opgaven Kontrollér databaseintegritet eller DBCC CHECKDB Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning B Vedligeholdelse af ePolicy Orchestrator-databaser Valg af genoprettelsesmodel for SQL-databasen • Oprettelse af sikkerhedskopiering og filstyring • Planlægning af disse opgaver til at finde sted automatisk. SQL-databasen har forskellige praktiske funktioner, f.eks. guiden Vedligeholdelsesplan og Transact-SQL-scripts, som du kan konfigurere til at udføre disse opgaver automatisk. Valg af genoprettelsesmodel for SQL-databasen I ePolicy Orchestrator er der to tilgængelige tilstande til vedligeholdelse af dine Microsoft SQL Server-databaser: Simpel genoprettelsesmodel og fuld genoprettelsesmodel. McAfee anbefaler, at du bruger den simple genoprettelsesmodel i forbindelse med ePolicy Orchestrator-databasen. Hvis den simple genoprettelsesmodel bruges, identificerer SQL Server sikkerhedskopierede poster som Inaktiv – hvilket også er kendt som afkortning af loggen. Afkortning af loggen muliggør, at alle nye handlinger, der logføres i transaktionsloggen, overskriver de inaktive poster. Herved forhindres det, at transaktionsloggen vokser i størrelse. Hvis den fulde genoprettelsesmodel bruges, fortsætter transaktionsloggen med at vokse i størrelse, indtil den fylder hele den tilgængelige plads på disken, med mindre der udføres en periodisk sikkerhedskopiering af transaktionsloggen. Hvis ePolicy Orchestrator-databasen er konfigureret til at bruge den fulde genoprettelsesmodel, skal du derfor udføre regelmæssig sikkerhedskopiering af transaktionsloggene for at begrænse databasens størrelse. Hvis du bruger den simple genoprettelsesmodel, afkorter SQL Server transaktionsloggen, når der opstår et kontrolpunkt, og posterne ryddes og flyttes til disken. Hvis transaktionsloggen afkortes, frigøres der plads i transaktionslogfilen. Transaktionsloggen sikkerhedskopieres ikke i den simple genoprettelsesmodel, og der foretages kun regelmæssig sikkerhedskopiering af ePolicy Orchestrator-databasen. Efter et nedbrud kan du kun gendanne den sidste fulde sikkerhedkopiering. Alle de ændringer, der er foretaget siden den sidste fulde sikkerhedskopiering, går tabt. Den simple genoprettelsesmodel er en acceptabel løsning for de fleste virksomhedskunder, da det hovedsageligt kun er oplysninger om hændelser, der går tabt mellem sikkerhedskopieringer. Hvis du bruger den fulde genoprettelsesmodel, skal der afsættes administrative ressourcer til regelmæssigt at udføre sikkerhedskopiering af transaktionsloggen for ePolicy Orchestrator-databasen. Dette er den væsentligste årsag til McAfees anbefaling om, at den simple genoprettelsesmodel bruges i forbindelse med ePolicy Orchestrator-databasen. Hvis du vælger at bruge den fulde genoprettelsesmodel, skal du sørge for at have en god sikkerhedskopieringsplan til både ePolicy Orchestrator-databasen og transaktionsloggen. En gennemgang af, hvordan sikkerhedskopieringen i forbindelse med SQL Server skal planlægges, ligger uden for området for denne vejledning. Du kan få flere oplysninger i dokumentationen til Microsoft SQL Server. Defragmentering af tabeldata Et af de væsentligste problemer med ydeevne, som optræder i forbindelse med databaser, er fragmentering af tabeldata. Du kan løse problemet ved at reorganisere og eventuelt genopbygge tabeldataene. Fragmentering af tabeldata i en database minder om et indeks i slutningen af en tyk bog. En enkelt post i indekset i den store bog kan henvise til flere spredte sider i bogen. Det betyder, at du skal scanne hver side for de specifikke oplysninger, du leder efter. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 313 B Vedligeholdelse af ePolicy Orchestrator-databaser Oprettelse af en vedligeholdelsesplan for SQL Dette er markant forskelligt fra indekset i en telefonbog, hvor data gemmes i sorteret rækkefølge. En typisk forespørgsel efter et almindeligt navn, f.eks. "Jensen", spænder muligvis over flere sider efter hinanden, men altid i sorteret rækkefølge. I forbindelse med en database starter du med tabeldata, som minder om en telefonbog, men dataene ender med tiden med at se mere ud som et indeks i en tyk bog. Du skal sortere dataene igen med jævne mellemrum for at genskabe den sorterede rækkefølge fra telefonbogen. Det er i den forbindelse vigtigt, at du reorganiserer eller genopbygger indekserne. Databasen bliver mere fragmenteret med tiden, særligt hvis den administrerer et stort miljø, hvor der dagligt skrives tusindvis af hændelser til den. Hvis du vil bevare McAfee ePO -serverens korrekte ydeevne, er det vigtigt, at du konfigurerer en vedligeholdelsesopgave for SQL til automatisk reorganisering og genopbygning af indekserne. Du kan medtage genindekseringen som en del af den løbende sikkerhedskopieringsplan, så det hele kombineres i en samlet opgave. Undlad at formindske databasen, når du konfigurerer opgaven. Det er en almindelig fejlagtig fremgangsmåde, som mange administratorer vælger, når de opretter vedligeholdelsesopgaven. Ulempen ved at bruge SQL-vedligeholdelsesopgaven er, at den medfører, at alle indekser skal genopbygges eller reorganiseres uafhængigt af fragmenteringsniveauet. Hvis du vil minimere den tid, der kræves til genopbygning og reorganisering af en stor produktionsdatabase, kan du overveje at konfigurere et agentjob for SQL Server, som kører et brugerdefineret SQL-script, der reorganiserer eller genopbygger indekser baseret på deres fragmenteringsniveau. Du kan bestemme fragmenteringsniveauet for et indeks ved at sende en forespørgsel til sys.dm_db_index_physical_stats Dynamic Management View (DMV). Du kan finde oplysninger om vedligeholdelse af SQL Server-databasen online med eksempler på SQL-scripts, som du kan bruge til at genopbygge eller reorganisere udvalgte indekser afhængigt af fragmenteringsniveauet. Du kan finde flere oplysninger i sys.dm_db_index_physical_stats (Transact-SQL), eksempel D, i Microsoft Library. Du kan bruge følgende tommelfingerregel for fragmenteringsniveauet til at afgøre, om det er nødvendigt at reorganisere eller genopbygge tabeldataene: • Mindre end 30 % – Reorganiser tabeldataene. • Større end 30 % – Genopbyg tabeldataene. Reorganisering af et indeks er en anbefalet handling, som udføres online, så tabellen er tilgængelig til forespørgsler under reorganiseringen. I forbindelse med tabeller, som er kraftigt fragmenteret, er det muligvis bedst at vælge genopbygning, men denne handling skal udføres offline, medmindre du bruger SQL Server Enterprise Edition. Du kan finde flere oplysninger i Reorganisering og genopbygning af indekser i det online Microsoft Library. Oprettelse af en vedligeholdelsesplan for SQL Hvis du vil sikkerhedskopiere ePolicy Orchestrator-databasen automatisk, skal du oprette en vedligeholdelsesplan for SQL-databasen ved hjælp af f.eks. SQL Server Management Studio. Du skal bruge funktionen øjebliksbillede til genoprettelse efter nedbrud i ePolicy Orchestrator til jævnligt at gemme bl.a. ePolicy Orchestrator-konfigurationen, udvidelser og nøgler i poster i et øjebliksbillede til genoprettelse efter nedbrud i SQL-databasen. Med posterne i øjebliksbilledet til genoprettelse efter nedbrud samt løbende sikkerhedskopiering af databasen kan du hurtigt udføre en gendannelse, hvis der opstår fejl på den hardware, som er vært for McAfee ePO-serveren. 314 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning B Vedligeholdelse af ePolicy Orchestrator-databaser Oprettelse af en vedligeholdelsesplan for SQL Opgave 1 Opret en ny vedligeholdelsesplan. Se følgende oplysninger fra Microsoft: • Sådan startes guiden Vedligeholdelsesplan (SQL Server Management Studio) • Oprettelse af en vedligeholdelsesplan Guiden Vedligeholdelsesplan starter. 2 Angiv et navn på vedligeholdelsesplanen, f.eks. Vedligeholdelsesplaner for ePO-database. 3 Konfigurer en plan for vedligeholdelsesopgaven. Planlæg opgaven, så den køres på tidspunkter, hvor belastningen på netværket er begrænset. Du kan f.eks. konfigurere en tilbagevendende opgave, som skal køre ugentligt hver lørdag kl. 23:00 uden nogen slutdato. 4 Definer følgende vedligeholdelsesopgaver, som skal udføres: 5 • Kontrollér databaseintegritet • Genopbyg indeks • Sikkerhedskopiér database (fuld) Angiv vedligeholdelsesopgaverne i følgende rækkefølge: • Kontrollér databaseintegritet • Sikkerhedskopiér database (fuld) • Genopbyg indeks Du kan ændre den rækkefølge, som opgaverne udføres i. McAfee anbefaler, at sikkerhedskopieringen af databasen finder sted før genopbygningen af indekset. Det sikrer, at der findes en fungerende sikkerhedskopi af databasen, hvis der opstår problemer under genopbygningsprocessen. 6 7 8 Definer opgaven Kontrollér databaseintegritet, så den omfatter følgende: • Navnet på ePolicy Orchestrator-databasen • Indekser Definer opgaven Sikkerhedskopiér database (fuld), så den omfatter følgende: • Navnet på ePolicy Orchestrator-databasen • Sti til placering af sikkerhedskopi Definer opgaven Genopbyg indeks, så den omfatter følgende: • Navnet på ePolicy Orchestrator-databasen • Objekt: Tabeller og visninger • Skift den procentvise ledige plads pr. side til 10 % Opgaven Genopbyg indeks bevirker, at statistikkerne opdateres som en del af genopbygningen (med fuld scanning), så der er ikke behov for en opgave af typen Opdater statistik efter en opgave af typen Genopbyg indeks. 9 Definer Vælg rapportindstillinger, så de omfatter følgende: • Skriv en rapport til en tekstfil • Find mappeplaceringen Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 315 B Vedligeholdelse af ePolicy Orchestrator-databaser Ændring af oplysningerne om SQL Server-forbindelsen Dette opretter en vedligeholdelsesplan til automatisk sikkerhedskopiering af ePolicy Orchestrator-databasen. Ændring af oplysningerne om SQL Server-forbindelsen Du kan redigere konfigurationsoplysningerne for SQL Server-forbindelsen ved hjælp af en særlig McAfee ePO-webside. Rediger konfigurationsoplysningerne for forbindelsen, hvis du har brug for at ændre oplysningerne om brugerkontoen i McAfee ePO, når du ændrer til SQL Server-godkendelsestilstandene i SQL Server Enterprise Manager eller SQL Server Management Studio. Gør dette, hvis du skal bruge en SQL-brugerkonto med rettigheder for at opnå øget netværkssikkerhed. Hvis databaseindstillingerne ændres, så denne McAfee ePO-server peger på en McAfee ePO-database, der ikke stemmer nøjagtigt overens, kan det medføre, at produktudvidelserne fjernes, og at alle de tilknyttede data går tabt. McAfee anbefaler, at denne opgave kun udføres for at ændre konfigurationen af din eksisterende database. Du kan bruge websiden på https://<servernavn>:<port>/core/config til at justere alle filoplysninger til databasekonfigurationen. Brug konfigurationssiden, hvis du har brug for at ændre konfigurationen af databaseforbindelsen. F.eks. alle ændringer af brugernavnet til databasen, adgangskoden, servernavnet, navnet på forekomsten, porten eller navnet på databasen. Værd at vide om denne side: • Godkendelse – Hvis databasen kører, anvender denne side normal McAfee ePO-brugergodkendelse, og kun en administrator har adgang til den. Hvis databasen er nede, kræves der en forbindelse fra det system, hvor SQL Server kører. • McAfee ePO-tjenesterne skal genstartes, før ændringerne af konfigurationen træder i kraft. • Som sidste udvej kan du redigere konfigurationsfilen (<ePO installation directory>server \conf\orion\db.properties) manuelt, angive adgangskoden som almindelig tekst, starte serveren og derefter bruge siden config til at redigere db config igen, som gemmer den krypterede version af adgangsudtrykket. Du kan få vist en definition af indstillinger ved at klikke på ? i grænsefladen. Opgave 1 Log på McAfee ePO med legitimationsoplysninger for administrator. 2 Skriv følgende URL-adresse i browserens adressefelt. https://<server navn>:<port>/core/config 3 På siden Konfigurer databaseindstillinger skal du ændre legitimationsoplysningerne eller oplysningerne for SQL Server efter behov. Andre indstillinger på denne side omfatter: 316 • Værtsnavn eller IP-adresse – Angiver værtsnavnet eller IP-adressen for den databaseserver, der bruges. • Forekomst af databaseserver – Angiver navnet på serverforekomsten, hvis serveren er i en klynge. • Port til databaseserver – Angiver den serverport, der bruges til kommunikation mellem McAfee ePO-serveren og SQL-databaseserveren. Standardporten er 8443. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Vedligeholdelse af ePolicy Orchestrator-databaser Ændring af oplysningerne om SQL Server-forbindelsen • Databasenavn – Angiver det specifikke databasenavn, der bruges på SQL Server. • SSL-kommunikation med databaseserver – Angiver om, forbindelsesporten aldrig bruger, forsøger at bruge eller altid bruger SSL. B Klik på Test forbindelse for at bekræfte forbindelsen mellem McAfee ePO-serveren og SQL-databaseserveren. 4 Klik på Anvend, når du er færdig. 5 Genstart systemet eller McAfee ePO-tjenesterne for at anvende ændringerne. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 317 B Vedligeholdelse af ePolicy Orchestrator-databaser Ændring af oplysningerne om SQL Server-forbindelsen 318 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning C Åbning af forbindelse til en fjernkonsol Du kan oprette forbindelse til og konfigurere McAfee ePO ved hjælp af dit ePolicy Orchestrator-servernavn eller din IP-adresse og portnummeret til serverkommunikation via en hvilken som helst internetbrowser. Når du opretter forbindelse til ePolicy Orchestrator ved hjælp af en fjernforbindelse, er nogle konfigurationsændringer ikke tilladt. Du kan for eksempel ikke køre registrerede eksekverbare filer via en fjernforbindelse. Hvis du vil konfigurere en fjernforbindelse, skal du finde dit McAfee ePO-servernavn eller din IP-adresse og portnummeret til serverkommunikation. Når du åbner ePolicy Orchestrator, mens du er logget på din fysiske McAfee ePO-server, skal du notere den adresse, der vises i browseren. Den burde ligne følgende: https://win-2k8-epo51:8443/core/orionSplashScreen.do I dette eksempel på en URL-adresse er: • win-2k8-epo51 – navnet på McAfee ePO-serveren • :8443 portnummeret til konsol til programserver-kommunikation, som bruges af ePolicy Orchestrator. Standardportnummeret er "8443", medmindre du har ændret det. Opgave 1 Åbn en vilkårlig internetbrowser, der understøttes af ePolicy Orchestrator. Du kan se en liste over understøttede browsere i McAfee ePolicy Orchestrator softwareinstallationsvejledningen. 2 Skriv en af følgende i browserens adresselinje, og klik på Enter: https://<servernavn>:8443 https://<serverens_IP-adresse>:8443 F.eks. https://win-2k8-epo50:8443 3 Log på ePolicy Orchestrator, og så har du oprettet en forbindelse til en fjernkonsol. Du kan se eksempler på udvidede kommandoer, som kan køres via en forbindelse til en fjernkonsol, i ePolicy Orchestrator Scriptvejledningen. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 319 C Åbning af forbindelse til en fjernkonsol 320 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning D Ofte stillede spørgsmål Svar på ofte stillede spørgsmål om ePolicy Orchestrator-softwaren samles her. Indhold Spørgsmål om administration af politik Spørgsmål om hændelser og reaktioner Spørgsmål om administration af politik Hvad er en politik? En politik er et tilpasset undersæt af produktindstillinger, der svarer til en politikkategori. Du kan oprette, ændre eller slette så mange navngivne politikker, der er brug for, for hver politikkategori. Hvad er politikkerne McAfee Default og Min standard? Efter installation indeholder hver politikkategori mindst to politikker. Disse kaldes McAfee Default og Min standard. Det er de eneste politikker, der findes for førstegangsinstallationer. De er som udgangspunkt konfigureret på samme måde. De politikker, der kaldes McAfee Default, kan ikke redigeres, omdøbes eller slettes. De politikker, der kaldes Min standard, kan redigeres, omdøbes og slettes. Hvad sker der med de underordnede grupper og systemer til den gruppe, hvor jeg har tildelt en ny politik? Alle underordnede grupper og systemer, der er indstillet til at nedarve den bestemte politikkategori, nedarver den politik, der anvendes på en overordnet gruppe. Hvordan påvirkes de grupper og systemer, hvor en politik anvendes, når politikken ændres i Politikkatalog? Alle grupper og systemer, hvor en politik anvendes, modtager eventuelle ændringer af politikken ved den næste agent til server-kommunikation. Politikken håndhæves derefter i hvert interval for håndhævelse af politik. Jeg har tildelt en ny politik, men den håndhæves ikke i de administrerede systemer. Hvad skyldes det? Nye politiktildelinger håndhæves ikke, før den næste agent til server-kommunikation. Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 321 D Ofte stillede spørgsmål Spørgsmål om hændelser og reaktioner Jeg har indsat politiktildelinger fra én gruppe eller ét system (kilde) til en anden/et andet (mål), men de politikker, der er tildelt til målplaceringen, er ikke de samme som dem på kildeplaceringen. Hvad skyldes det? Når du kopierer og indsætter politiktildelinger, indsættes kun ægte tildelinger. Hvis kildeplaceringen har nedarvet en politik, du vælger at kopiere, blev nedarvningskarakteristikaene indsat i målet, og målet nedarver derefter politikken (for den bestemte politikkategori) fra sin overordnede, hvilket kan være en anden politik end den, der blev nedarvet i kilden. Spørgsmål om hændelser og reaktioner Skal jeg modtage en meddelelse for hver modtaget hændelse under et udbrud, hvis jeg konfigurerer en reaktionsregel for virusregistreringer? Nej. Du kan konfigurere regler, så der kun sendes en meddelelse én gang for et angivet antal hændelser i et angivet tidsrum eller maksimalt én gang i et angivet tidsrum. Kan jeg oprette en regel, der opretter meddelelser til flere modtagere? Ja. Du kan indtaste flere mailadresser på modtagere i guiden Reaktionsgenerator. Kan jeg oprette en regel, der opretter flere typer meddelelser? Ja. ePolicy Orchestrator Meddelelser understøtter enhver kombination af følgende meddelelsesmål for hver regel: 322 • E-mail (herunder standard-SMTP, SMS og personsøger) • SNMP-servere (der bruger SNMP-fælder) • Et eksternt værktøj, der er installeret på McAfee ePO-serveren • Problemer • Planlagte serveropgaver Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning Indeks A Active Directory anvendelse af tilladelsessæt 42 brugerlogon 41 implementeringsstrategier 42 konfiguration af Windows-godkendelse 44 Kun systemer, synkronisering 107 objektbeholdere, tilknyting til grupper i systemtræet 117 Active Directory-synkronisering grænser og 104 handlingen Synkroniser nu 105 håndtere dobbeltforekomster 105 opgaver 105 sletning af systemer 105, 106 systemer og struktur 106 til systemtræstrukturen 117 typer 106 adgangskoder brugerkonti, ændring 39 understøttede formater 45 adgangskrav for systemtræ 103 Adgangsudtryk for kryptering af nøglebutik genoprettelse efter nedbrud 286 adgangsudtryk for kryptering af nøglebutik indstilling 299 administration af politik arbejde med klientopgaver 204 brug af grupper 102 oprette forespørgsler 188 administration i netskyen sådan fungerer softwaren 16 administratorer administration af brugerkonti 39 kildewebsteder, konfiguration 66 om 56 oprettelse af grupper 102 tilladelser 56 administratorer, globale, se administratorer administrerede systemer administration af politikker på 173 agent til server-kommunikation 133 global opdatering og 61 installation af produkter i 200 installationsopgaver for 199 Softwaren McAfee ePolicy Orchestrator 5.1.0 administrerede systemer opgaver for 199 politiktildeling 191 samlede forespørgsler 254 sortering, kriteriebaseret 107 agent aktiveringer 135 forespørgsler leveret af 147 første kald til server 110 gruppering 96 gruppering efter opgaveregler 96 GUID og placering i systemtræ 110 installation 170 konfiguration af politikker til at bruge lagre 70 konfiguration af proxyindstillinger for 69 konvertering til SuperAgent 138 McAfee Agent, ePolicy Orchestrator-komponenter 15 relæfunktion 141 relæfunktion, aktivering 143 relæfunktion, deaktivering 142 vedligeholdelse 133 videresendelse af reaktioner og hændelser 222 agent til server-kommunikation administration 148 nøgler til sikker kommunikation (ASSC) 152 om 133 Systemtræ, sortering 108 agenthandlere flere 91 flytning af agenter mellem 96 godkendelsestilstande 91 hvornår skal de benyttes 28 hvornår skal de ikke benyttes 28 konfiguration og administration 93 om 91 opgaveprioritet 97 prioritet i filen Sitelist 93 skalerbarhed 28 sådan fungerer de 91 tildele agenter 94 aktivering af agentrelæfunktion 143 aktiveringer af grupper i systemtræet 136 manuel 135 Produktvejledning 323 Indeks aktiveringer (fortsat) om 135 opgaver 135 SuperAgenter og 135, 137 Anbefalinger fra McAfee dupliker politikker inden tildeling 175 Anvendte politikker oprette forespørgsler 188 ASCI (Se agent til server-kommunikationsinterval) 134 ASSC-nøgler, se nøgler til sikker agent til server-kommunikation 123 automatisk konfiguration 33 Automatisk produktkonfiguration oversigt 34 automatiske reaktioner 143, 219 autorisation strategier 42 B bedste fremgangsmåder agent til server-kommunikationsinterval 133 duplikering af politikker inden tildeling 175 import af Active Directory-objektbeholdere 117 låsning af politiktildeling 175 oprettelse af systemtræ 111 produktinstallation 196 begrænsning, se meddelelser Billetter med McAfee ePO 277 Brudt nedarvning oprette forespørgsler 188 brugerbaserede politikker kriterier 185 om 185 brugerdefinerede logonmeddelelser 40 brugere tilladelsessæt og 56 brugerkonti adgangskoder, ændring 39 administration 39 typer 39 båndbredde distribuerede lagre og 61 overvejelser i forbindelse med trækkeopgaver 209 overvejelser ved videresendelse af hændelser 226 replikeringsopgaver og 210 C certifikatgodkendelse brug af OpenSSL-kommandoer 54 konvertering af en PVK-fil til PEM 55 opdatering af fil med oversigt over tilbagetrukne certifikater 48 oprettelse af et selvsigneret certifikat 52 servercertifikat, redigering, godkendelse 47 324 Softwaren McAfee ePolicy Orchestrator 5.1.0 certifikatgodkendelse signeret af en certifikatmyndighed fra tredjepart 52 D dashboards 89 administration 234 angivelse af standarder 240 arbejde med 233 flytning og ændring af skærmstørrelsen 237 import og eksport 235 indledning 233 konfiguration 233 konfiguration af eksporterede rapporter 266 konfiguration af skærme 236 oprettelse af et øjebliksbillede 295 standardskærme 238 tildele tilladelser til 234 dashboardskærme arbejde med 236 flytning og ændring af størrelsen 237 konfiguration 236 DAT-filer Se også definitionsfil til registrering evaluering 204 lagerforgreninger 216 sletning fra lager 216 DAT-filopdatering daglig opgave 202 fra kildewebsteder 66 i hovedlager 64 installation 198 kontrol af versioner 203 manuel indtjekning 217 overvejelser i forbindelse med oprettelse af opgaver 202 planlægning af en opgave 202 database konfiguration af brugerroller 310 SQL, gendannelse 294 databaser administrationsværktøjer 309 defragmentering af tabeldata 313 forespørgsel om flere servere 254 forespørgsler og hente data 242 gendannelse 313 genoprettelse efter nedbrud 286 oversigt over genoprettelse 292 oversigt over sikkerhedskopiering 291 planlægning af øjebliksbillede 294 porte og kommunikation 20 redigere oplysninger 316 sikkerhedskopiering og gendannelse af processer 298 vedligeholdelse 313 vedligeholdelsesplan til sikkerhedskopiering af SQLdatabase 314 Produktvejledning Indeks databaseservere arbejde med 268 brug af 268 fjernelse 269 redigering af registreringer 269 registrering 87 deaktivering af agentrelæfunktion 142 definitionsfil til registrering 15 diagrammer (Se forespørgsler) 243 distribuerede lagre aktivering af mappedeling 76 begrænset båndbredde og 61 ePolicy Orchestrator-komponenter 15 føje til ePolicy Orchestrator 74 ikke-administrerede 63 ikke-administreret, kopiering af indhold til 78 mappe, oprette 74 om 61, 63 oprettelse og konfiguration 73 redigering af eksisterende 76 replikering af pakker til SuperAgent-lagre 72 sletning 77 sletning af SuperAgent-lagre 72 SuperAgent, opgaver 71 sådan vælger agenter 210 typer 63 dobbeltforekomst af poster i systemtræet 119 dokumentation målgruppe for denne vejledning 11 produktspecifik, lokalisering 12 typografiske konventioner og ikoner 11 domænesynkronisering 104 Dynamic Management View (DMV) 313 E e-mailservere konfiguration af reaktioner 223 egenskaber bekræftelse af ændringer af politik 147 McAfee Agent, visning fra konsollen 147 produkt 145 system 145 eksport dashboards 89 forespørgsler 89 klientopgaveobjekter 89 koder 89 lagre 89 om 88 opgaver 89 politikker 89 politiktildelinger 89 rapporter 266 reaktioner 89, 225 systemer 89 Softwaren McAfee ePolicy Orchestrator 5.1.0 eksport tilladelsessæt 57, 59 eksport af systemer 114 ePolicy Orchestrator fjernkonsol, forbindelse 319 føje til websteder, du har tillid til 267 indledning 13 pålogning og aflogning 19 sådan fungerer softwaren 16 vigtige funktioner 35 ePolicy Orchestrator-software om 15 Evalueringsforgrening brug af til nye DAT- og programfiler 204 defineret 64 evalueringstilstand 38 F fejlfinding bekræftelse af egenskaber for McAfee Agent og produkter 147 klientcertifikat, godkendelse 49 produktinstallation 196 fil med oversigt over tilbagetrukne certifikater, opdatering i certifikatbaseret godkendelse 48 filtre angivelse af reaktionsregler 228 for log over serveropgaver 281 forespørgselsresultater 243 indstillinger for filtrering af hændelser 20 liste 22 fjernelse af databaseserverregistreringer 269 fjernkonsol, forbindelse 319 flere McAfee ePO-servere politikdeling 194 forespørgselsgenerator brugerdefinerede forespørgsler, oprettelse af 241, 245 om 243 resultattyper 243 forespørgsler 89 agent 147 arbejde med 244 brug af i en serveropgave 256 brug af resultater til at udelade koder i systemer 130 brugerdefinerede, administration 245 diagramtyper 243 eksport til andre formater 253 eksporteret som rapporter 242 filtre 243 handlinger ud fra resultater 242 konfiguration 244 kørsel af eksisterende 247 liste over systemer med kodegrupper 251 om 242 oprette en overholdelsesforespørgsel 256 Produktvejledning 325 Indeks forespørgsler 89 (fortsat) personlig forespørgselsgruppe 252 planlagte 247 rapportformater 242 resultater som dashboard-skærme 242 resultater som tabeller 243 resultattype 254 samling, fra flere servere 254 tilladelser 241 underhandling 247 ændring af grupper 252 forgreninger Evaluering 204 Forrige 216 manuel flytning af pakker mellem 216 Nuværende 217 Skift forgrening, handling 204 sletning af DAT og programpakker 216 typer af, og lagre 64 Forrige forgrening defineret 64 flytning af DAT- og programpakker 216 lagring af pakkeversioner 216 FTP-lagre aktivering af mappedeling 76 om 63 oprettelse og konfiguration 73 redigering 76 funktioner, ePolicy Orchestrator komponenter 15 G Genoprettelse efter nedbrud nødvendige oplysninger til 290 genoprettelse efter nedbrud Adgangsudtryk for kryptering af nøglebutik 286 hvad er 285 komponenter 286 oversigt 291 serverindstillinger 299 serveropgave 294 øjebliksbillede 285 øjebliksbillede, konfiguration 294 geografiske grænser, fordele ved 104 global opdatering aktivering 208 krav 207 procesbeskrivelse 207 Global Unique Identifier (GUID) 110 globale administratorer påkrævet tilladelse til genoprettelse efter nedbrud 286 globale opdateringer indhold 70 326 Softwaren McAfee ePolicy Orchestrator 5.1.0 godkendelse konfiguration til Windows 43 godkendelse, konfiguration til Windows 41 Gruppen Hittegods 102 Gruppen Min organisation i systemtræet 101 grupper brug af IP-adresser til at definere 104 defineret 102 flytning af systemer manuelt 122 håndhævelse af politik for et produkt 181 import af NT-domæner 119 indsætning af politiktildelinger i 183 konfiguration af kriterier for sortering 116 kontrol af adgang 56 kriteriebaserede 110 manuel opdatering sammen med NT-domæner 122 operativsystemer og 104 oprette manuelt 112 opsamling 109 politikker, nedarvning 103 sortering, automatiseret 105 sorteringskriterier 115 visning af politiktildeling 191 gruppering, se meddelelser grænseflade foretrukne, panel 19 menu 19 navigation 19 grænseflade, menu 20 grænser (se organisation af systemtræ) 104 guiden Generator af koder 127 Guiden Generator af serveropgave 132 guiden Ny gruppe oprette nye grupper 252 guiden Reaktionsgenerator 229 H handlere flytning af agenter mellem 96 gruppering af agenter 98 oprettelse af grupper 95 prioritet 93 handlergrupper om 93 oprettelse 95 redigering af indstillinger 96 sletning 96 handleropgave administration 94 redigering af prioritet 94, 97 visning af resume 94 handlingen Anvend kode 127 handlingen IP-integritetstjek 109 handlingen Kør kriterier for kode 127 Produktvejledning Indeks hjælpeprogrammer NETDOM.EXE, oprette en tekstfil 114 hovedlager ePolicy Orchestrator-komponenter 15 manuel indtjekning af pakker 217 nøglepar til usigneret indhold 150 opdatering med trækkeopgaver 209 sikkerhedsnøgler i miljøer med flere servere 151 hovedlagre brug af replikeringsopgaver 210 kommunikation med kildewebsteder 68 konfiguration af proxyindstillinger 68 om 61 HTTP-lagre aktivering af mappedeling 76 om 63 oprettelse og konfiguration 73 redigering 76 Hurtig søgning 22 Hurtig søgning efter system, standardskærm 238 hændelser angivelse af, hvilke der videresendes 226 filtrering, serverindstillinger 20 hændelser for overholdelse 256 liste over systemer med kodegrupper 251 meddelelsesinterval 227 videresendelse og meddelelser 223 håndhævelse (se håndhævelse af politik) 181 håndhævelse af politik aktivering og deaktivering 181 for et produkt 181 når politikker håndhæves 173 visning af opgaver, deaktiveret 191 I ikke-administrerede lagre 63 import dashboards 89 forespørgsler 89 grundlæggende oplysninger 88 klientopgaveobjekter 89 koder 89 lagre 89 opgaver 89 politikker 89 politiktildelinger 89 rapporter 266 reaktioner 89, 225 systemer 89 tilladelsessæt 57, 59 inaktive agenter 145 installation 25 Se også produktinstallation agent 170 Softwaren McAfee ePolicy Orchestrator 5.1.0 installation 25 Se også produktinstallation global opdatering 208 installation af produkter 199, 200 manuel indtjekning af pakker 216 opgaver 196 opgaver, til administrerede systemer 199 pakke, sikkerhed 196 planlægning 27 produkt og opdatering, første gang 198 produkter og opdateringer 198 understøttede pakker 196 Internet Explorer blokerede overførsler 267 konfiguration af proxyindstillinger 69 intervaller mellem meddelelser 227 IP-adresse IPv6 28 kontrol af IP-overlap 109 område, som sorteringskriterier 116 som grupperingskriterie 104 sortering 109 sorteringskriterier 111, 116 undernetværksmaske, som sorteringskriterier 116 K Katalog over koder 127 kildewebsteder import fra SiteMgr.xml 81 konfiguration 66 om 61 opdateringspakker og 198 oprettelse 66 produktopdateringer og 61 redigering af eksisterende 68 reserve 61 sletning 68 ændring af reserve 67 klientcertifikat, godkendelse aktivering 47 deaktivering 47 fejlfinding 49 introduktion til 45 konfiguration af brugere 48 konfiguration af ePolicy Orchestrator 46 strategier for brug 46 klientopgaver arbejde med 204 deling 195 klientopgaver, katalog 195 kørsel, øjeblikkelig 144 objekter 195 om 195 Produktvejledning 327 Indeks klientopgaver (fortsat) oprettelse 205 redigere indstillinger for 205 sammenlignet med produktinstallationsprojekter 163 sammenligning 206 sletning 205 klientopgaver, på bestilling 144 kodebaserede sorteringskriterier 105, 109 koder 89 anvendelse 131, 132 gruppersorteringskriterier 105 kriteriebaserede 107 kriteriebaseret sortering 116 manuel brug af 130 oprette med guiden Generator af koder 127 oprettelse, sletning og ændring af undergrupper 129 redigering, sletning, eksport og flytning 128 udelukkelse af systemer fra automatisk markering 130 koder, undergrupper oprettelse, sletning og ændring 129 komponenter ePolicy Orchestrator, om 15 genoprettelse efter nedbrud 286 lagre, om 61 McAfee ePO-server, om 15 konfiguration liste over systemer med kodegrupper 251 oversigt 31 vigtige funktioner 34 kontakter reaktioner og 229 konti brugertyper 39 konventioner og ikoner, som anvendes i denne vejledning 11 konvertering af agenter til SuperAgent 138 kriteriebaserede koder anvendelse 131, 132 sortering 116 L lagerlistefiler arbejde med 79 eksport 79, 80 føje distribueret lager til 74 import 80, 81 om 65 prioritet for agenthandlere 93 SiteList.xml, anvendelsesområder for 65 lagre 89 arrangering af SuperAgent-hierarki 139, 140 forgreninger 64, 204, 216 hoved, konfiguration af proxyindstillinger for 68 ikke-administreret, kopiering af indhold til 78 import fra lagerlistefiler 80 328 Softwaren McAfee ePolicy Orchestrator 5.1.0 lagre 89 kildewebsted 61 koncept 61 oprette SuperAgent-lagre 71 replikering og valg af 210 sikkerhedsnøgler 149, 151 sådan fungerer samarbejdet 65 typer 61 UNC 77 LAN-forbindelser og geografiske grænser 104 LDAP-servere godkendelsesstrategier 42 LDAP-servere, registrering 85 legitimationsoplysninger cachelagring til installation 148 redigering af databaseregistreringer 269 legitimationsoplysninger til installation af agent 148 licensnøgle 38 lister filtrering 22 søgning 22 log over serveropgaver om 212 visning, filtrering og tømning af opgaver 281 log over trusselshændelse visning og tømning 283 logfiler log over serveropgaver 280 logonmeddelelser 40 lokalt distribuerede lagre 78 M mappe (se systemtræ) 117 McAfee Agent egenskaber, visning 147 statistik 142 McAfee Agent (se agent) 15 McAfee Default-politik ofte stillede spørgsmål 321 McAfee Product Improvement Program fjernelse af programmet 213 konfiguration 212 McAfee ServicePortal, opnåelse af adgang til 12 McAfee-links, standardskærm 238 McAfees anbefalinger brug af global opdatering 207 brug af IP-adresser til sortering 104 brug af kodebaserede sorteringskriterier 105 evaluering af grænser i organisationen 104 faseopdelt udrulning af produktinstallation 196 installation af agenter ved import af store domæner 119 oprette en serveropgave til samlingsdata 255 planlægge systemtræ 103 planlægning af replikeringsopgaver 210 Produktvejledning Indeks meddelelse brugerdefineret logon 40 meddelelser begrænsning, sammenlægning og gruppering 220 modtagere 220 SNMP-servere 86, 225 sådan fungerer de 220 tildele tilladelser 224 videresendelse af hændelser 223 meddelelsesinterval for hændelser 227 meddelelsesregler import af .MIB-filer 225 standardindstillinger 221 menu navigering i grænsefladen 20 menubaseret navigation 19 Microsoft Internet Information Services (IIS) 63 Microsoft Windows Resource Kit 114 Min standard, politik ofte stillede spørgsmål 321 N navigation menubaseret 19 navigation, menu 20 menubaseret 20 navigationslinje 20 nedarvning brudt, nulstilling 192 defineret 103 og politikindstillinger 175 visning for politikker 192 NETDOM.EXE-hjælpeprogram, oprette en tekstfil 114 netværksbåndbredde (se organisation af systemtræ) 104 NT-domæner import til manuelt oprettede grupper 119 opdatering af synkroniserede grupper 122 synkronisering 107, 119 Nuværende forgrening defineret 64 indtjekning af opdateringspakker 217 nøgler, se sikkerhedsnøgler nøgler til sikker agent til server-kommunikation eksportér og importér nøgler 89 med Overfør systemer 123 O om denne vejledning 11 opdatering automatisk, med global opdatering 208 DAT- og programfiler 198 global, proces 207 installationsopgaver 196 Softwaren McAfee ePolicy Orchestrator 5.1.0 opdatering planlægning af en opdateringsopgave 202 procesbeskrivelse 198 opdateringer installationspakker 198 kildewebsteder og 61 klientopgaver 202 manuel indtjekning 216 overvejelser i forbindelse med oprettelse af opgaver 202 pakke, signering og sikkerhed 196 pakker og afhængigheder 196 planlægning af en opdateringsopgave 202 operativsystemer filtre til reaktionsregel 228 gruppering 104 ældre systemer (Windows 95 og Windows 98) 104 opgaveregler agenter og handlere 96 opsamlingsgrupper 109 organisation af systemtræ brug af undergrupper 119 dobbeltforekomst af poster 119 flytning af systemer til grupper manuelt 122 grænser i netværket 104 import af Active Directory-objektbeholdere 117 import af systemer og grupper 115 netværksbåndbredde 104 operativsystemer 104 oprettelse af grupper 111 overvejelser ved planlægning 103 systemer og grupper, import 113 tekstfiler, import af systemer og grupper 114 tilknytning af grupper til Active Directory-objektbeholdere 117 overholdelse oprette en forespørgsel for 256 oprettelse af hændelser 256 Overvågningslog automatisk tømning 280 visning og tømning af handlingshistorik 279 overvågningslog brugt med produktinstallation 167 om 279 P pakker flytning mellem forgreninger på lager 216 konfiguration af installationsopgave 200 manuel indtjekning 216 sikkerhed 196 planlægning kriteriebaserede koder, anvendelse af 132 serveropgaver med Cron-syntaks 211 øjebliksbillede til genoprettelse efter nedbrud 294 Produktvejledning 329 Indeks planlægning af serveropgave politikdeling 194 politikdeling angivelse 194 brug af registreret server 193 brug af serveropgaver 193, 194 flere McAfee ePO-servere 194 registrering af server 193 tildeling 193 politikhændelser reaktion på 143 Politikkatalog arbejde med 176 side, visning 173 politikker 89 administration, siden Politikkatalog 176 arbejde med Politikkatalog 176 automatisk reaktion 143 bekræftelse af ændringer 147 brudt nedarvning, nulstilling 192 brug af koder til tildeling 186 deling mellem McAfee ePO-servere 178 ejerskab 175, 191 gruppenedarv, visning 192 import og eksport 173, 179 indstillinger, visning 190 kategorier 173 konfiguration 177 nedarvning 175 ofte stillede spørgsmål 321 om 173 reaktion på hændelser 143 sammenligning 192 styring, siden Politikkatalog 176 sådan anvendes de på systemer 175 tildeling og administration 177 visning 173, 189 ændre ejeren 178 politiktildeling deaktiveret håndhævelse, visning 191 gruppe, tildele til 180 kopiering og indsættelse 182, 183 låsning 175 Politikkatalog 175 systemer, tildele til 180, 181 visning 190, 191 port til agentkommunikation 148 porte agentkommunikation 148 serverindstillinger 20 serverindstillinger og kommunikation 20 problem, administration 273 problemer administration 273 arbejde med 273 330 Softwaren McAfee ePolicy Orchestrator 5.1.0 problemer om 273 oprettelse 273 oprettelse af automatisk ud fra reaktioner 274 redigering 275 sletning 275 tildeling 275 tilføjelse af kommentarer 275 visning af oplysninger 275 problemer, oprettelse 273 problemer, tømning lukkede problemer 276 lukkede problemer efter en plan 276 product improvement program fjernelse af programmet 213 konfiguration 212 produktegenskaber 145 produktinstallation automatisk konfiguration, brug af 33 installere udvidelsesfiler 215 konfiguration af installationsopgaver 199, 200 metoder 163 oprettelse 167 overvågning og redigering 168 overvågning og redigering, om 166 sammenlignet med installationsmetoden for klientopgaven 163 produktinstallation, pakker opdateringer 196 pakke, sikkerhed og signering 196 understøttede pakker 196 produktinstallationspakker indtjekning 216 manuel indtjekning 217 produktinstallationsprojekter om 163 produktkompatibilitetsliste overførselskilde, konfiguration 160 oversigt 159 produktopdateringer installere 198 kildewebsteder og 61 manuel indtjekning af pakker 216 pakke, signering og sikkerhed 196 procesbeskrivelse 198 understøttede pakketyper 196 programmer lagerforgreninger 216 sletning fra lager 216 programopdatering fra kildewebsteder 66 i hovedlager 64 installationspakker 198 manuel indtjekning 217 planlægning af en opgave 202 Produktvejledning Indeks proxyindstillinger agent 69 konfiguration til hovedlager 68 serverindstillinger 38 R rapportelementer fjernelse 263 konfiguration af konfiguration af konfiguration af konfiguration af omrokering 264 billeder 260 diagrammer 262 tabeller 261 tekst 261 rapporter 231 arbejde med 258 eksport og import 266 eksporterede forespørgselsresultater 242 fjernelse af elementer 263 formater 242 konfiguration 244 konfiguration af billedelementer 260 konfiguration af diagramelementer 262 konfiguration af skabelon og placering for 266 konfiguration af tabelelementer 261 konfiguration af tekstelementer 261 kørsel 265 kørsel sammen med en serveropgave 265 om 257 omrokering af elementer 264 oprettelse 241, 259 planlægning 265 redigering af eksisterende 259 sidehoveder og sidefødder 262 sletning 267 struktur og sidestørrelse 257 tilføje elementer 260 tilføjelse til en gruppe 264 visning af output 264 Rapportgenerator oprettelse af brugerdefinerede rapporter 241 reaktioner 89, 225 konfiguration 222, 223, 229 konfiguration til automatisk oprettelse af problemer 274 kontakter til 229 ofte stillede spørgsmål 322 planlægning 221 regler, der udløser 229 SNMP-servere 225 tildele tilladelser 224 videresendelse af hændelser 222 reaktionsregler angivelse af filtre til 228 angivelse af tærskler 228 Beskrivelse, side 227 Softwaren McAfee ePolicy Orchestrator 5.1.0 reaktionsregler oprettelse, redigering 227 redigering af databaseserverregistreringer 269 redigering af problemer 275 registrerede servere aktivering af politikdeling 193 LDAP-servere, tilføjelse 85 registrering 83 tilføjelse af SNMP-servere 86 understøttet af ePolicy Orchestrator 83 registrering af databaseservere 87 regler konfiguration af kontakter til svar 229 konfigurere for meddelelser, SNMP-servere 225 standardindstillinger for meddelelser 221 regler for politiktildeling 184 brugerbaserede politikker 185 brugerbaseret 184 import og eksport 187 kriterier for regel 184 og politikker med flere placeringer 184 om 184 oprettelse 186 prioritet 184 redigering af prioritet 187 sletning og redigering 187 systembaserede politikker 186 systembaseret 184 visning af resume 187 relæfunktion 141 relæfunktion, aktivering 143 relæfunktion, deaktivering 142 replikering deaktivering af valgte pakker 76 undgå for valgte pakker 76 replikeringsopgaver komplet i forhold til trinvis 210 log over serveropgaver 212 opdatering af hovedlager 210 reservewebsteder konfiguration 66 om 61 redigering af eksisterende 68 sletning 68 ændring til kilde 67 S sammenligning af klientopgaver 206 sammenligning af politikker 192 sammenlægning, se meddelelser servercertifikat fjernelse 47 udskiftning 50 Produktvejledning 331 Indeks servere brug af flere end én server 27 database 268 deling af objekter mellem 87 deling af politikker 178 Genoprettelse efter nedbrud 290 genoprettelse efter nedbrud 286 hardwareopgradering ved hjælp af genoprettelse efter nedbrud 285 hovedlagernøglepar 150 import af politikker fra 179 import og eksport af forespørgsler 252 import og eksport af politikker 173 indstillinger og styring af funktion 20 konfigurationsoversigt 31 LDAP-servere, registrering 85 log over serveropgave, om 212 McAfee ePO-server, komponenter 15 overførsel af systemer 124 oversigt over genoprettelse 292 oversigt over sikkerhedskopiering 291 registrering af yderligere McAfee ePO-servere 83 sikkerhedskopiering og gendannelse af processer 298 SNMP og meddelelser 225 SNMP, og reaktioner 225 SQL-tilladelser 310 typer, du kan registrere 83 understøttede servertyper 83 serverindstillinger genoprettelse efter nedbrud 299 global opdatering 208 globale opdateringer 70 Internet Explorer 69 meddelelser 221 porte og kommunikation 20 proxy, og hovedlagre 61 proxyindstillinger 38 SSL-certifikater 49 standardkategorier 20 typer 20 serveropgave til samlingsdata 255 serveropgaver datasamling 255 Forespørgsel med en underhandling 247 genoprettelse efter nedbrud 294 kørsel af rapporter 265 log over serveropgaver 280 logfil, tømning 281 om 207 planlægning af en forespørgsel 247 planlægning med Cron-syntaks 211 politikdeling 193 synkronisere domæne/Active Directory 105 tilladt Cron-syntaks 211 udskiftning af servercertifikater 50 332 Softwaren McAfee ePolicy Orchestrator 5.1.0 servertyper understøttet af ePolicy Orchestrator 83 ServicePortal, lokalisering af produktdokumentation 12 sikker agent til server-kommunikation (ASSC) arbejde med nøgler 152 brug af et nøgle par 154 brug af forskellige nøglepar til servere 155 om 149 visning af systemer, der benytter et nøglepar 154 sikkerhedsadministration 99 sikkerhedscertifikat certifikatmyndighed 49 installation 51 oprettelse af et selvsigneret certifikat 52 sikkerhedskopiering og gendannelse af processer for SQL-database 298 vedligeholdelsesplan for SQL-database 314 sikkerhedsnøgler administration 150 ASSC, arbejde med 152 brug af én hovednøgle 151 generelt 149 hovednøgler i miljøer med flere servere 151 privat eller offentlig 150 serverindstillinger 20 sikker agent til server-kommunikation (ASSC) 149, 152 til indhold fra andre lagre 150 sitelist-filer 93 skalerbarhed brug af agenthandlere 28 brug af flere servere 27 lodret 27 om 27 planlægning 27 vandret 27 Skift forgrening, handling 204 skærme konfiguration 236 skærme, genoprettelse efter nedbrud status for øjebliksbillede 286 sletning af problemer 275 SNMP-servere Se også reaktioner registrering 86 Softwarestyring evalueringssoftware 158 fjernelse af pakker 158 fjernelse af udvidelser 158 indtjekning af pakker 158 indtjekning af udvidelser 158 software, der er givet i licens 158 softwarestyring 157 indhold 157 om 157 Produktvejledning Indeks softwarestyring 157 (fortsat) produktkompatibilitet 159 Sortér nu, handling 107 sorteringskriterier baseret på IP-adresse 116 for grupper 116 grupper, automatiserede 105 IP-adresse 109 kodebaseret 105, 109, 116 konfiguration 116 sortering af systemer i grupper 107 SPIPE 133 sprogpakker (se agent) 104 SQL Server-versioner redigere oplysninger 316 SQL Servere overvejelser ved vedligeholdelsesplan 312 SQL-database administrationsværktøjer 309 database, gendannelse 294 genoprettelse efter nedbrud 286 oversigt over genoprettelse 292 oversigt over sikkerhedskopiering 291 planlægning af øjebliksbillede 294 sikkerhedskopiering og gendannelse af processer 298 SQL-vedligeholdelsesopgave til defragmentering af tabeldata 313 vedligeholdelsesplan til sikkerhedskopiering af SQLdatabase 314 SQL-servere, se databaser SSL-certifikater om 49 SuperAgent-hierarki 139, 140 SuperAgent-lagre global opdatering, krav 207 om 63 opgaver 71 oprettelse 71 replikering af pakker til 72 sletning 72 SuperAgenter aktiveringer 135, 137 aktiveringer af grupper i systemtræet 136 cachelagring 138 distribuerede lagre 63 hierarki 139, 140 konvertering af agenter 138 om 137 synkronisering Active Directory og 107 automatisk installation af agenter 106 dobbeltforekomster, forebyggelse 107 handlingen Synkroniser nu 105 Kun systemer, med Active Directory 107 NT-domæner 107 planlægning 121 Softwaren McAfee ePolicy Orchestrator 5.1.0 synkronisering standardindstillinger 110 systemer og strukturer 106 udelukkelse af Active Directory-objektbeholdere 106 synkronisering af systemtræ planlægning 121 til Active Directory-struktur 117 systembaserede politikker kriterier 186 om 186 systemer 89 egenskaber 145 eksport fra systemtræet 114 håndhævelse af politik for et produkt 181 indsætning af politiktildelinger i 183 sortering i grupper 117 tildele politikker til 180, 181 visning af politiktildeling 191 Systemtræ defineret 102 Gruppen Hittegods 102 grupper og manuelle aktiveringer 136 Niveauet Min organisation 101 overordnede grupper og nedarvning 103 sletning af systemer 102 struktur 101 underordnede grupper og nedarvning 103 systemtræ adgangskrav 103 fylde grupper 111 gruppering af agenter 98 kriteriebaseret sortering 107 oprettelse, automatiseret 104 tildele politikker til en gruppe 180 tilladelsessæt 103 Systemtræ, sortering aktivering 116, 117 IP-adresse 109 kodebaserede kriterier 109 ordning af undergrupper 109 server- og systemindstillinger 20, 108 sortering af systemer én gang 108 standardindstillinger 110 ved agent til server-kommunikation 108 T tabelrække, markering af afkrydsningsfelter 23 teknisk support, sådan finder du produktoplysninger 12 Testsortering, handling 107 tilbagestilling til den oprindelige server 292 tildeling af problemer 275 tilføjelse af kommentarer til problemer 275 tilladelser administrator 56 Produktvejledning 333 Indeks tilladelser (fortsat) SQL 310 til dashboards 234 til forespørgsler 241 tildele til meddelelser 224 tildele til reaktioner 224 tilladelsessæt 89 administration 57 anvendelse på Active Directory-grupper 42 arbejde med 57 eksempel 56 eksport og import 57, 59 interaktion med brugere og grupper 56 systemtræ 103 tildeling til rapporter 264 tilknytning til Active Directory-grupper 41 Trusselshændelseslog om 282 trækkeopgaver log over serveropgaver 212 opdatering af hovedlager 209 overvejelser i forbindelse med planlægning 209 tømning for lukkede problemer 276 manuelt 276 U udvidelsesfiler installation 215 UNC-share-lagre aktivering af mappedeling 76 brug anbefalinger 77 om 63 oprettelse og konfiguration 73 redigering 76 undergrupper kriteriebaserede 110 og administration af politikker 119 valgte pakker undgå replikering af 76 vedligeholdelsesplan, SQL Servere 312 visning af problemoplysninger 275 VPN-forbindelser og geografiske grænser 104 værktøj til dataoverførsel kompatibilitetstjek, brug 159 W WAN-forbindelser og geografiske grænser 104 websteder redigering af eksisterende 68 reserve 61, 66 slette kilde eller reserve 68 ændring af kilde og reserve 67 Windows autorisation, konfiguration 44 godkendelse, konfiguration 41, 43 Windows-godkendelse aktivering 43 strategier 42 Ø Øjebliksbillede dashboardskærm 286 øjebliksbillede del af genoprettelse efter nedbrud 285 oplysninger om log over serveropgave 295 oprettelse 295 oprettelse fra dashboard 295 oprettelse fra web-API 296 oversigt 291 planlægning af standarder 294 poster gemt i databasen 291 øjebliksbilleder konfiguration 294 undernetværk, som grupperingskriterie 104 V valgte pakker deaktivering af replikering af 76 334 Softwaren McAfee ePolicy Orchestrator 5.1.0 Produktvejledning 0B26
© Copyright 2024