Epo 590 PG 0b11 ZH-CN

产品手册
修订版 B
McAfee ePolicy Orchestrator 5.9.0 软件

版权
© 2017 Intel Corporation
商标特性
Intel 和 Intel 徽标是英特尔公司在美国和/或其他国家或地区的注册商标。McAfee、迈克菲、McAfee 徽标、McAfee Active Protection、McAfee DeepSAFE、ePolicy
Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、迈克菲全方位实时保护、Policy Lab、McAfee
QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource 和
VirusScan 是 McAfee, Inc. 或其子公司在美国和其他国家或地区的商标或注册商标。其他名称和商标可能已声明为其他公司的财产。
许可信息
许可协议
致全体用户：请仔细阅读与您所购买的许可相关的法律协议，以了解使用许可软件的一般条款和条件。如果您不清楚所购买的许可属于哪一类，请查看软件包装盒中或购买产品
时单独提供的销售文档以及其他相关的许可授权或订单文档，这些文档既可以是小册子、产品光盘上的文件，也可以是软件包下载网站提供的文件。如果您不接受该协议规定的
所有条款和条件，请勿安装本软件。根据情况，您可以将产品退回 McAfee, Inc. 或原购买处以获得全额退款。
2 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

目录
前言 13
关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1 产品概述 15
什么是 McAfee ePO？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
关键功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
McAfee ePO 工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2 监控网络的健康状况 21
登录和注销 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
界面导航 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
使用 McAfee ePO 导航菜单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
个人设置类别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
处理列表和表格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
对列表进行过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
创建自定义过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
搜索特定的列表项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
单击表中行的复选框 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
选择树列表中的项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
初始配置
3 计划您的 McAfee ePO 配置 29
可扩展性的注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
示例组织大小和网络组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
影响 McAfee ePO 性能的因素 . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
托管环境中的 Internet 协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4 设置 McAfee ePO 服务器 35

服务器配置概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
使用自动产品安装状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
使用引导式配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
使用代理服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
输入许可证密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
将 SSL 证书添加到受信任的集合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
替换服务器证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
为 Internet Explorer 安装安全证书 . . . . . . . . . . . . . . . . . . . . . . . . . . 43
针对 Firefox 安装安全证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
添加要管理的系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
安装 McAfee Agent 和许可软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
安装 McAfee Agent 的过程中执行的流程 . . . . . . . . . . . . . . . . . . . . . . . 46
McAfee ePolicy Orchestrator 5.9.0 软件产品手册 3

目录
McAfee Agent 工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

部署代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
系统树的功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
系统树结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
对您的系统进行动态排序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
请从系统树中确认系统管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
默认配置和常见任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
使用产品部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
使用系统树 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
使用策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
使用客户端任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
使用服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
使用信息显示板和监视器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
使用查询和报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
确认系统保护和查看威胁 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
病毒测试流程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
后续操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
高级配置
5 信息显示板和监视器 71
使用信息显示板和监视器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
管理信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
导出和导入信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
指定首次信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
管理信息显示板监视器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
移动信息显示板监视器和调整其大小 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
设置默认监视器的刷新时间间隔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
6 生成查询和报告 77
查询和报告权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
查询简介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
查询生成器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
处理查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
管理自定义查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
按计划运行查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
创建查询组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
关于报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
报告的结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
创建报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
编辑现有报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
将元素添加到报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
配置图像报告元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
配置文本报告元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
配置查询表报告元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
配置查询图表报告元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
自定义报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
按计划运行报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
查看报告输出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
配置导出报告的模板和位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
组合报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
7 灾难恢复 91
什么是灾难恢复？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
灾难恢复组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
灾难恢复工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

目录
灾难恢复快照和备份概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
McAfee ePO 服务器恢复安装概述 . . . . . . . . . . . . . . . . . . . . . . . . . . 95
创建快照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
从 McAfee ePO 中创建快照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
从 Web API 创建快照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
配置灾难恢复服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
8 使用系统树和标记 99
组织系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
规划系统树时的注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Active Directory 同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Active Directory 同步的类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
NT 域同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
基于标准的排序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
查看系统信息详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
创建和填充系统树组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
手动将系统添加到现有组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
手动创建组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
从系统树导出系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
创建组和系统的文本文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
从文本文件导入系统和组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
在基于标准的组中对系统排序 . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
导入 Active Directory 容器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
将 NT 域导入现有组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
计划系统树同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
通过 NT 域手动更新同步的组 . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
在系统树内部移动系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
传输系统的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
自动响应功能如何与系统树交互 . . . . . . . . . . . . . . . . . . . . . . . . . . 117
标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
创建标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
管理标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
创建、删除和修改标记子组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
阻止系统自动应用标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
创建查询来按照标记列出系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
将标记应用到所选系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
清除系统中的标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
将基于标准的标记应用到所有匹配的系统 . . . . . . . . . . . . . . . . . . . . . . . 122
按计划应用基于标准的标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
9 用户帐户和权限集 125
用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
管理用户帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
通过 Active Directory 管理 McAfee ePO 用户 . . . . . . . . . . . . . . . . . . . . . 126
Windows 身份验证和授权策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
在 McAfee ePO 服务器中启用 Windows 身份验证 . . . . . . . . . . . . . . . . . . . . 128
配置 Windows 身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
配置 Windows 授权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
创建自定义登录消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
将用户会话限制到单个 IP 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . 129
审核日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
用证书进行身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
为基于证书的身份验证配置 McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . 131
禁用基于证书的身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
配置用户帐户进行基于证书的身份验证 . . . . . . . . . . . . . . . . . . . . . . . . 133
更新证书吊销列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

目录
对基于证书的身份验证进行故障排除 . . . . . . . . . . . . . . . . . . . . . . . . 134
权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
用户、组和权限集如何相互合作 . . . . . . . . . . . . . . . . . . . . . . . . . . 134
管理权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
10 软件管理器 137
软件管理器中包含的项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
使用软件管理器签入、更新和删除软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
检查产品兼容性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
重新配置产品兼容性列表下载 . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
11 手动进行包和更新管理 141
管理产品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
手动签入包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
从主存储库中删除 DAT 或引擎包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
在各分支之间移动 DAT 和引擎包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
手动签入引擎、DAT 和 Extra.DAT 更新包 . . . . . . . . . . . . . . . . . . . . . . . . . 143
最佳实践：自动化 DAT 文件测试 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
从 McAfee 中提取和复制 DAT 更新 . . . . . . . . . . . . . . . . . . . . . . . . . 144
最佳实践：创建系统测试组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
最佳实践：配置测试组的代理策略 . . . . . . . . . . . . . . . . . . . . . . . . . 147
最佳实践：配置对测试组的按需扫描 . . . . . . . . . . . . . . . . . . . . . . . . 147
最佳实践：计划对测试组的按需扫描 . . . . . . . . . . . . . . . . . . . . . . . . 148
最佳实践：针对恶意软件检测配置自动响应 . . . . . . . . . . . . . . . . . . . . . . 149
12 部署产品 151
产品部署步骤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
选择产品部署方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
产品部署项目的优点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
产品部署页面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
查看产品部署审核日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
查看产品部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
使用部署项目来部署产品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
监控和编辑部署项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
部署新产品示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
全局更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
使用全局更新自动部署更新包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
13 分配策略 161
关于策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
策略应用的时间 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
策略应用方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
策略所有权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
策略分配规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
策略分配规则优先级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
基于用户的策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
基于系统的策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
创建和管理策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
从策略目录页创建策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
强制实施产品策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
对系统树组中的产品强制实施策略 . . . . . . . . . . . . . . . . . . . . . . . . . 165
对系统上的产品实施策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
管理策略历史记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
管理策略历史记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
编辑策略历史记录权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
比较策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

目录
更改策略的所有者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
在 McAfee ePO 服务器间移动和共享策略 . . . . . . . . . . . . . . . . . . . . . . . . . . 167
注册服务器以共享策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
指定共享策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
计划用来共享策略的服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . 168
创建和管理策略分配规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
创建策略分配规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
管理策略分配规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
策略管理用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
最佳实践：全局设置策略管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
创建策略管理权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
创建策略管理用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
提交策略更改以接受 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
接受策略更改 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
将策略分配到托管系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
将策略分配到系统树组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
将策略分配到托管系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
将策略分配到系统树组中的系统 . . . . . . . . . . . . . . . . . . . . . . . . . . 175
复制和粘贴策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
从组中复制策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
从系统中复制策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
将策略分配粘贴到组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
将策略分配粘贴到特定系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
查看策略信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
查看将策略分配到的组和系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
查看策略设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
查看策略所有权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
查看禁用策略强制实施的分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
查看分配给组的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
查看分配给特定系统的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
查看组的策略继承 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
查看并重置中断的继承 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
创建策略管理查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
14 服务器和客户端任务 181
服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
查看服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
服务器任务状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
创建服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
从服务器任务日志中删除过时的服务器任务：最佳实践 . . . . . . . . . . . . . . . . . . 182
自动删除过时日志项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
计划服务器任务时接受的 Cron 语法 . . . . . . . . . . . . . . . . . . . . . . . . . 183
客户端任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
客户端任务目录的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
部署任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
使用产品部署任务将产品部署到托管系统 . . . . . . . . . . . . . . . . . . . . . . . 186
更新任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
管理客户端任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
15 设置自动响应 193
使用自动响应 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
事件阈值 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
默认自动响应规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
响应计划 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
确定转发事件的方式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
确定立即转发的事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

目录
确定转发到服务器的事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
配置自动响应 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
分配通知权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
分配自动响应权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
管理 SNMP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
选择通知时间间隔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
创建和编辑自动响应规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
定义规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
为规则设置过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
针对规则设置累积和分组标准。 . . . . . . . . . . . . . . . . . . . . . . . . . . 201
为自动响应规则配置操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
16 代理与服务器之间的通信 205
代理与服务器之间的通信的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
最佳实践：估计和调整 ASCI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
估计最佳 ASCI：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
配置 ASCI 设置：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
管理代理与服务器之间的通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
允许缓存代理部署凭据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
更改代理通信端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
“立即更新”页 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
17 自动化和优化 McAfee ePO 工作流 209

最佳实践：查找 GUID 相同的系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
最佳实践：自动清除事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
创建清除事件服务器任务最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 210
根据查询清除事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
最佳实践：创建对内容的自动提取和复制操作 . . . . . . . . . . . . . . . . . . . . . . . . 211
自动提取内容：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
最佳实践：过滤 1051 和 1059 事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
最佳实践：过滤 1051 和 1059 事件 . . . . . . . . . . . . . . . . . . . . . . . . . 213
最佳实践：查找需要新代理的系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
创建代理版本摘要查询最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 213
通过产品部署项目更新 McAfee Agent 最佳实践 . . . . . . . . . . . . . . . . . . . . . 214
查找非活动系统：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
更改非活动代理查询：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 215
删除非活动系统：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
度量恶意软件事件最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
创建计算每周清除的系统数查询的最佳实践 . . . . . . . . . . . . . . . . . . . . . . 217
根据子网查找恶意软件事件：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
创建根据子网查找恶意软件事件的查询的最佳实践 . . . . . . . . . . . . . . . . . . . . 218
创建自动合规性查询和报告最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
创建运行合规性查询的服务器任务的最佳实践 . . . . . . . . . . . . . . . . . . . . . 219
创建包含查询输出的报告的最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . 219
创建用以运行和交付报告的服务器任务：最佳实践 . . . . . . . . . . . . . . . . . . . . 220
18 存储库 223
存储库的功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
存储库类型及其功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
存储库分支和用途 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
使用存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
分布式存储库类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
存储库列表文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
最佳实践：放置存储库的位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
您需要多少个存储库？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
最佳实践：全局更新限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

目录
首次设置存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
管理来源站点和备用站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
创建来源站点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
切换来源站点和备用站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 238
编辑来源站点和备用站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 238
删除来源站点或禁用备用站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . 238
验证是否有权访问来源站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
配置代理服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
为 McAfee Agent 配置代理服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . 239
配置全局更新的设置最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
配置代理策略以使用分布式存储库最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 240
将 SuperAgent 用作分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
创建 SuperAgent 分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . 241
将包复制到 SuperAgent 存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . 242
删除 SuperAgent 分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . 242
在 FTP 或 HTTP 服务器以及 UNC 共享上创建和配置存储库 . . . . . . . . . . . . . . . . . . . 243
创建文件夹位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
将分布式存储库添加到 McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . 243
避免复制选定的包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
禁止复制选定包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
启用 UNC 和 HTTP 存储库的文件夹共享功能 . . . . . . . . . . . . . . . . . . . . . 245
编辑分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
删除分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
将 UNC 共享用作分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
使用非托管的本地分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
处理存储库列表文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
导出存储库列表 Sitelist.xml 文件 . . . . . . . . . . . . . . . . . . . . . . . . . . 248
导出存储库列表用于备份或由其他服务器使用 . . . . . . . . . . . . . . . . . . . . . 248
从存储库列表中导入分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . 249
从 SiteMgr.xml 文件导入来源站点 . . . . . . . . . . . . . . . . . . . . . . . . . 249
提取任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
复制任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
存储库选择 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
19 代理处理程序 253
代理处理程序的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
代理处理程序详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
最佳实践：代理处理程序消除多个 McAfee ePO 服务器 . . . . . . . . . . . . . . . . . . 256
代理处理程序功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
提供可扩展性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
通过代理处理程序提供故障转移保护的最佳实践 . . . . . . . . . . . . . . . . . . . . 257
最佳实践：网络拓扑和部署注意事项 . . . . . . . . . . . . . . . . . . . . . . . . 259
最佳实践：代理处理程序安装和配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
部署注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
代理处理程序配置概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
配置代理处理程序列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
配置代理处理程序组和虚拟组 . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
配置代理处理程序优先级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
针对代理处理程序配置分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
最佳实践：在 DMZ 中添加代理处理程序 . . . . . . . . . . . . . . . . . . . . . . . . . . 266
配置硬件、操作系统和端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
安装软件和配置代理处理程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
将 DMZ 中的代理处理程序连接到某个域的 McAfee ePO 服务器 . . . . . . . . . . . . . . . . . . 269
处理程序组和优先级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
将 McAfee 代理分配给代理处理程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
管理代理处理程序分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

目录
创建代理处理程序组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
管理代理处理程序组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
在处理程序之间移动代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
使用代理处理程序分配对代理进行分组 . . . . . . . . . . . . . . . . . . . . . . . . 273
按分配优先级对代理进行分组 . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
使用系统树对代理进行分组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
常见问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
20 维护您的 McAfee ePO 服务器、SQL 数据库和带宽 277

维护您的 McAfee ePO 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
最佳实践：监控服务器性能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
维护 SQL 数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
最佳实践：建议的任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
管理 SQL 数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
最佳实践：维护 SQL 数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
使用远程命令来确定 Microsoft SQL 数据库服务器和名称 . . . . . . . . . . . . . . . . . 289
配置快照并还原 SQL 数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
使用 Microsoft SQL Server Management Studio 找到 McAfee ePO 服务器信息 . . . . . . . . . 291
威胁事件日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
带宽使用率 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
最佳实践：代理部署和带宽 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
最佳实践：存储库分布的带宽建议 . . . . . . . . . . . . . . . . . . . . . . . . . 295
21 通过查询报告 299
报告功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
最佳实践：如何使用自定义查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
创建自定义事件查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
事件摘要查询工作原理最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 303
创建自定义表查询：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
多服务器汇总查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
创建汇总数据服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
创建查询以定义合规性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
生成合规性事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
将查询结果导出为其他格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
最佳实践：通过 Web API 运行报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
使用 Web URL API 或 McAfee ePO 用户界面 . . . . . . . . . . . . . . . . . . . . . 310
McAfee ePO 命令框架：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 311
使用 Web URL 帮助：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 312
使用 Web URL 查询中的 S 表达式：最佳实践 . . . . . . . . . . . . . . . . . . . . . 313
解析查询导出数据，以创建 Web URL 查询最佳实践 . . . . . . . . . . . . . . . . . . . 316
通过 ID 编号运行查询：最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 318
通过 XML 数据运行查询最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 318
使用表对象、命令和参数运行查询：最佳实践 . . . . . . . . . . . . . . . . . . . . . 320
A 其他信息 323
打开远程控制台连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
计划您的灾难恢复 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
灾难恢复 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
用于灾难恢复的服务器群集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
一个物理站点上的冷备用和热备用 . . . . . . . . . . . . . . . . . . . . . . . . . 324
两个物理站点上的冷备用和热备用 . . . . . . . . . . . . . . . . . . . . . . . . . 325
已注册的服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
注册 McAfee ePO 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
使用数据库服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
注册 SNMP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
注册 Syslog 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

目录
注册 LDAP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

镜像 LDAP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
在服务器间共享对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
问题及其工作方式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
查看问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
从问题表格中删除已关闭的问题 . . . . . . . . . . . . . . . . . . . . . . . . . . 334
手动创建问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
将响应配置为自动创建问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
管理问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
将票证与 McAfee ePO 搭配使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 335
SSL 证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
使用 OpenSSL 创建自签证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
其他有用的 OpenSSL 命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
将现有 PVK 文件转换为 PEM 文件 . . . . . . . . . . . . . . . . . . . . . . . . . 339
安全密钥及其工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
主存储库密钥对 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
其他存储库公共密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
管理存储库密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
代理与服务器安全通信 (ASSC) 密钥 . . . . . . . . . . . . . . . . . . . . . . . . 342
备份和还原密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
配置 Product Improvement Program . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
卸载 McAfee Product Improvement Program . . . . . . . . . . . . . . . . . . . . . . 346
还原管理员权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
端口概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
更改控制台与应用程序服务器通信端口 . . . . . . . . . . . . . . . . . . . . . . . . 347
更改代理与服务器之间的通信端口 . . . . . . . . . . . . . . . . . . . . . . . . . 348
通过防火墙通信所需的端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
流量快速参考 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
B 添加通过 VPN 连接的系统 353

确定连接的 VPN 服务器的 OUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
使用系统树查找 VPN 服务器 MAC 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . 354
创建查找 VPN 服务器 MAC 地址的报告最佳实践 . . . . . . . . . . . . . . . . . . . . . . . 355
最佳实践：使用 SQL Server Management Studio 添加虚拟 MAC 供应商 ID 值 . . . . . . . . . . . . . 355
C 在 AWS 服务器上安装 McAfee ePO 357

通过 McAfee ePO 使用 AWS 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
创建 AWS 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
连接至 AWS 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
在 AWS 服务器上安装 McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
创建虚拟代理处理程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
索引 373

目录

前言
本手册将提供使用 McAfee 产品所需的信息。
目录
关于本手册
查找产品文档
关于本手册
下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。
读者
McAfee 的所有文档均针对目标读者进行了深入研究和精雕细琢。
本手册中的信息主要供以下读者使用：
• 管理员 — 实施公司安全计划的人员。
• 用户 — 使用运行该软件的计算机并且可以访问部分或全部功能的人员。
约定
本手册使用下列印刷约定和图标。
斜体书、章节或主题的标题；新术语；强调
粗体强调的文本
固定宽度字体用户键入的命令和其他文本；代码示例；显示的消息
“Narrow Bold” 产品界面（如选项、菜单、按钮和对话框）中的内容
蓝色超文本指向某个主题或外部网站的链接
注意：补充信息，用以强调某个要点，提醒读者某件事情或提供备选方法
提示：最佳做法信息
小心：有关保护您的计算机系统、软件安装、网络、企业或数据的重要建议
警告：有关使用硬件产品时避免人身伤害的重要建议

前言
查找产品文档
查找产品文档
在“ServicePortal”中，您可以查找有关已发布的产品的信息，包括产品文档、技术文章等。
任务
1 转至 “ServicePortal” (http://support.mcafee.com)，然后单击“知识中心”选项卡。
2 在“知识库”窗格的“内容来源”下，单击“产品文档”。
3 选择产品和版本，然后单击“搜索”以显示文档列表。

1 产品概述
® ® ® ™
McAfee ePolicy Orchestrator (McAfee ePO ) 是一款可扩展的平台，可对安全策略进行集中式策略管理与强制实施。
管理平台的类型
McAfee ePO 安装在网络环境中的服务器上。它面向已具有完备基础架构的企业，包括必要的专用服务器。它假定，
您的组织可以配置和维护这些服务器并为其安装补丁。 McAfee ePO 功能（如“自动响应”、“Active Directory” 同步和
“软件管理器”）支持内部安全管理。
McAfee ePO Cloud 是 McAfee ePO 基于云的实例。通过 McAfee ePO Cloud，您无需配置和维护运行安全管理软件

的服务器。软件管理和其他维护均由我们的管理员负责。
目录
什么是 McAfee ePO？
关键功能
McAfee ePO 工作原理
什么是 McAfee ePO？

使用 McAfee ePO 软件，您可以执行许多网络安全任务。
这些任务包括：
• 使用策略分配和客户端任务来管理和强制实施网络安全。
• 更新检测 DAT（特征码）文件、防病毒引擎，以及安全软件所需的其他安全内容，以随时保护托管系统的安全。
• 通过查询系统生成器创建报告，以显示可配置的网络安全数据图表和表。
通过 McAfee ePO 自动化功能和端到端网络可见性，您可以：

• 减少响应时间。
• 增强保护。
• 简化对风险和安全的管理。
关键功能
在 McAfee ePO 的单一视图中，可以访问许多功能，如托管客户端、网络、数据和合规性解决方案，以保护您的网
络。
无论您的网络中有 100 个客户端，还是 300,000 个客户端，McAfee ePO 都可以通过这些功能管理网络的安全。

1 产品概述
功能说明
快速部署时间搭配使用预配置的安全和风险管理解决方案时，您可以减少安全差距并降低复杂性。单个代
理部署和可自定义的策略强制实施还可以快速为您的环境提供安全保护。
拖放信息显示板这些信息显示板可以提供跨托管系统、数据中心、移动设备和网络的安全计划和安全情报的
统一视图。
降低复杂性并简化流程利用引导式配置、自动工作流和预定义的信息显示板，您可以快速开始保护您的网络客户
端。
使您的安全基础架构不保护您的组织，避免受到当前和未来威胁的攻击。实时威胁情报主动保护您的基础架构。随
会过时着新类别威胁的出现，开放平台有助于快速吸收安全创意。
高级网络配置功能您的 IT 管理员可以跨端点、网络、数据和合规性解决方案统一 Intel Security 和第三方解决
方案的安全管理。
全面的端点检测和响应 McAfee Active Response 使用预定义和可自定义的收集器跨所有系统进行深入搜索。它会
(EDR) 查找正在运行的进程中的、潜伏的或已被删除的攻击指示器 (IoA)。
针对企业部署扩展利用额外服务器，如“代理处理程序”和分布式存储库，以通过有限的带宽快速连接到远程站
点，同时为这些系统提供最新的保护软件。
增强的灾难恢复自动保护您的网络安全、历史记录和 McAfee ePO 配置，并在出现严重硬件灾难时快速进行
重新构建。
多用户您可以创建多个 McAfee ePO 用户，以简化安全管理并创建报告。您可以添加特定系统组的
用户以及具备完全控制的额外管理员，作为备份。
问题管理自动化的问题响应可以向预定义的用户发送警报和事件。
自动响应您根据您环境中安全事件的类型和重要性，定义 McAfee ePO 软件如何定向警报和安全响
应。您还可以在安全和 IT 操作系统之间创建自动化的工作流，以快速修复突出的问题。
报告定向的本机 64 位 McAfee ePO 利用最新的本机 64 位操作系统功能提高处理速度。
支持
策略比较、常见任务定针对多个 McAfee ePO 用户，您可能提供类似的策略和任务。现在，您可以将其放在一起比
向较，以进行管理。
单个页面部署产品部署是一个页面，您可以从中部署、跟踪、甚至删除托管系统上的软件。
端点产品的 URL 安装 McAfee 智能安装程序 URL 使您可以通过浏览器和 Internet 连接的 McAfee Agent 服务器安
装 McAfee ePO。
HTML5 UI 支持 McAfee ePO 现在支持最新的浏览器，包括 Internet Explorer 11、Edge、Chrome、Firefox
和 Safari。

McAfee 安全软件和 McAfee ePO 搭配使用，可以停止您系统上的恶意软件攻击并在出现攻击时向您发送通知。
McAfee 软件如何对攻击做出响应。
该图显示了用于阻止攻击、在攻击发生时通知您和记录事件的组件和流程。

产品概述
McAfee ePO 工作原理 1
恶意软件攻击您的 McAfee ePO 托管网络中的计算机。
McAfee 产品软件（例如 McAfee Endpoint Security）清除或删除恶意软件文件。

®
McAfee Agent 向 McAfee ePO 通知发生攻击。
McAfee ePO 存储攻击信息。
McAfee ePO 在威胁事件数信息显示板中显示攻击通知，并将攻击历史记录保存在威胁事件日志中。
McAfee ePO 组件
McAfee ePO 软件的体系结构及其组件旨在帮助您成功管理并保护您的各种规模的环境。
McAfee ePO 服务器提供以下主要功能：

• 管理和部署产品 • 分发 McAfee 软件，包括新产品、升级和补丁
• 在您的端点上强制实施策略 • 报告您的端点安全情况
• 从托管端点收集事件、产品属性和系统属性并将其
发送回 McAfee ePO

1 产品概述
该图显示主要的 McAfee ePO 组件。
图 1-1 主要的 McAfee ePO 组件
McAfee ePO 服务器 — 连接到 McAfee ePO 更新服务器，以下载最新的安全内容
Microsoft SQL 数据库 — 存储您的网络托管系统、McAfee ePO、代理处理程序和存储库的所有相关数据
客户端上安装的 McAfee Agent — 提供以下功能：

• 策略强制实施
• 产品部署和更新
• 用于将事件、产品和系统属性发送至 McAfee ePO 服务器的连接
代理与服务器之间的安全通信 (ASSC) 连接 — 在您的系统和服务器之间定期进行通信
Web 控制台 — 允许用户登录 McAfee ePO 控制台，以执行安全管理任务，如运行查询以报告安全状态或实施

软件安全策略
McAfee Web 服务器 — 存有最新的安全内容，这样您的 McAfee ePO 服务器可以按计划时间间隔提取内容。
分布式存储库 — 在本地托管整个网络的安全内容，因此代理可以更快地收到更新

产品概述
McAfee ePO 工作原理 1
代理处理程序 — 通过卸载事件处理和 McAfee Agent 连接性任务降低服务器的工作负载
代理处理程序在与 McAfee ePO 数据库处于同一网络区段时效率最高。
LDAP 或票证发放系统 — 将您的 McAfee ePO 服务器连接到您的 LDAP 服务器或 SNMP 票证发放服务器
自动响应 — 在发生事件时通知管理员并自动化任务
Web 控制台连接 — 通过默认端口 8443 为 McAfee ePO 服务器和 Web 浏览器之间提供 HTTPS 连接。
分布式存储库连接 — 存储库连接取决于存储库的类型。例如，HTTP、FTP 或 UDP 连接。
DMZ 中的代理处理程序 — DMZ 中安装的代理处理程序要求使用特定端口连接。
“代理处理程序”和 McAfee ePO 数据库之间往返行程延迟不得超过约 10 毫秒。

1 产品概述

2 监控网络的健康状况
登录到该控制台以配置 McAfee ePO，从而管理和监控您的网络安全。
目录
登录和注销
界面导航
处理列表和表格
登录和注销
若要访问 McAfee ePO 软件，请在登录屏幕上输入您的用户名和密码。
开始之前
您必须具备分配的用户名和密码，然后才可以登录 McAfee ePO。
连接 McAfee ePO 时，您看到的第一个屏幕是 McAfee ePO 登录屏幕。
任务
1 键入您的用户名和密码，然后单击“登录”。
您的 McAfee ePO 软件显示默认信息显示板。
2 要结束您的 McAfee ePO 会话，请单击“注销”。
注销后，会话会关闭，且其他用户无法打开。
界面导航
McAfee ePO 界面使用基于菜单的导航模式，并提供可自定义的快捷方式栏，以帮助您快速到达要访问的位置。
菜单部分表示顶级功能，如“报告”、“系统”和“策略”。将托管产品添加到 McAfee ePO 时，诸如“信息显示板”、“系统树”
和“策略目录”等主菜单选项会包含可选择的新选项。
使用 McAfee ePO 导航菜单

打开 McAfee ePO 菜单以在 McAfee ePO 界面中导航。
菜单使用的类别中包含 McAfee ePO 的特性和功能。每个类别都包含一个与独特图标相关联的主要功能页面列表。在
“菜单”中选择类别，以查看并导航至组成该功能的主要页面。

界面导航
个人设置类别
调整个人设置，以定制您的 McAfee ePO 体验。您的自定义设置仅会影响您的用户会话。
类别描述
“密码” 更改您的 McAfee ePO 登录密码。
“查询和报告警告” 确定您尝试在查询组之间拖放查询时是否显示警告信息。
“系统树警告” 确定您尝试在“系统树”组之间拖放系统或组时是否显示警告信息。
“表” 指定会话期间自动刷新的表的刷新频率。
“用户会话” 控制在您停止与用户界面交互后用户会话保持打开状态的时长。
选项定义
选项定义
“设置类别” 列出您可以查看和更改的可用设置。选择某个类别可显示其当前设置。
搜索框突出显示与搜索文本匹配的类别。输入您要查找的类别的前几个字符。
“编辑” 允许您更改当前设置。
服务器设置
调整服务器设置，以微调 McAfee ePO，从而满足您组织的需求。您的自定义会影响您的所有 McAfee ePO 用户。
以下是有关默认类别的说明。
有关托管产品所提供类别的说明，请参见托管产品文档。

监控网络的健康状况
界面导航 2
表 2-1 默认服务器设置
服务器设置类别描述
“Active Directory 组” 指定用于每个域的 LDAP 服务器。
“Active Directory 用户登录” 指定您映射的 Active Directory (AD) 组的成员能否在 Active Directory 用户登录功能完
成完全配置时使用其 AD 凭据登录到您的服务器。
“代理联系方法” 指定 McAfee ePO 尝试联系 McAfee Agent 时使用的方法优先级。
若要更改优先级，请选择“设置类别”下的“代理联系方法”，然后单击“编辑”，选择优先
级。各个联系方法必须拥有不同的优先级。联系 McAfee Agent 的方法包括：
• “完全限定域名”
• “NetBIOS 名称”
• “IP 地址”
“代理部署凭据” 指定是否允许用户缓存代理部署凭据。
“基于证书的身份验证” 指定是否启用基于证书的身份验证以及正在使用的证书颁发机构 (CA) 证书的设置和
配置。
“信息显示板” 指定在创建帐户时分配给新用户帐户的默认活动信息显示板，以及信息显示板监视器
的默认刷新率（5 分钟）。
“灾难恢复” 针对灾难恢复启用并设置密钥存储库加密密码短语。
“电子邮件服务器” 指定 McAfee ePO 用以发送电子邮件消息的电子邮件服务器。
“事件过滤” 指定代理转发哪些事件。
“事件通知” 指定 McAfee ePO 检查是否有任何通知触发自动响应的频率。
“全局更新” 指定是否以及如何启用全局更新。
“许可证密钥” 指定用于注册此 McAfee ePO 软件的许可证密钥。
“登录消息” 指定用户登录 McAfee ePO 控制台时是否显示自定义消息以及消息内容。
“策略和任务保留” 指定删除产品扩展时是否删除策略和客户端任务数据。
“端口” 指定服务器在与代理及数据库通信时使用的端口。
“打印和导出 ” 指定如何将信息导出为其他格式以及用于 PDF 导出的模板。此设置中还要指定所导出
文件的默认存储位置。
“产品兼容性列表” 指定是否自动下载产品兼容性列表以及是否显示任何不兼容的产品扩展。
“Product Improvement 指定 McAfee ePO 是否可以主动定期从托管客户端系统中收集数据。
Program ”
“代理服务器设置” 指定要为您的 McAfee ePO 服务器配置的代理服务器设置的类型。
“计划程序任务” 指定同时运行的服务器任务数量。
“安全密钥” 指定和管理代理与服务器的安全通信密钥以及存储库密钥。
“服务器证书” 指定您的 McAfee ePO 服务器在与浏览器进行 HTTPS 通信时使用的服务器证书。
“服务器信息” 指定 Java、OpenSSL 和 Apache 服务器信息，如名称、IP 地址和版本信息。
“软件评估” 指定从软件管理器签入和部署评估软件所需的信息。
“来源站点” 指定服务器进行更新所使用的来源站点，以及备用站点。
“系统详细信息” 指定托管系统的系统详细信息页面中要显示哪些查询和系统属性。
“系统树分类” 指定在环境中是否以及如何启用系统树排序。
“用户策略” 启用或禁用数据库镜像，以提高策略分配规则的性能。
“用户会话” 指定用户处于不活动状态多长时间后，系统会将其注销。

配置服务器设置
要熟悉如何配置服务器设置，请将用户会话超时时间间隔从默认的 30 分钟改为 60 分钟。
在默认情况下，您登录 McAfee ePO 后，如果在 30 分钟内没有在界面上执行操作，用户会话将关闭，您必须重新登
录。将默认设置更改为 60 分钟。
任务
有关产品功能、用途和最佳做法的详细信息，请单击“?”或“帮助”。
1 选择“菜单” | “配置” | “服务器设置”，从“设置类别”中选择“用户会话”，然后单击“编辑”。
2 配置以下设置，然后单击“保存”。
• “默认会话超时间隔(分钟)” — 键入 60，取代默认值。
• “最大会话超时间隔 (分钟)” — 键入 60 以取代默认值。
现在如果您处于不活动状态超过 30 分钟，系统不会提示您登录。
使用 McAfee ePO 搜索和过滤功能对数据列表进行分类。
McAfee ePO 中的数据列表包含数以百计或数以千计的条目。如果不使用快速查找搜索过滤器，而通过手动方式在这
些列表中搜索特定条目可能会很困难。
该快照显示针对查询的快速查找搜索过滤器。
对列表进行过滤
利用过滤器在 McAfee ePO 界面中选择数据列表中的特定行。
任务
1 从列表顶部的栏中，选择要用以过滤列表的过滤器。
仅显示符合过滤器条件的项目。
2 选择您要关注的列表项目旁边的复选框，然后选择“显示选择的行”。
此时将仅显示选定的行。

监控网络的健康状况
处理列表和表格 2
创建自定义过滤器
自定义过滤器有助于您快速对较多的表条目（如日志项目或服务器任务）进行排序，从而使您专注于相关信息。您创建
的自定义过滤器会添加到表顶端的自定义过滤器下拉列表中，以便以后重复使用。
任务
1 从表的顶端，选择“自定义” | “添加”。
2 在“可用属性”列表中，单击您要包含到过滤器中的属性。
所选属性会移至“属性”窗格。
3 针对每个属性，请选择比较方式和值。
可用选项取决于您选择的属性。利用 + 或 – 符号可添加或删除比较方式和值对。
4 针对选择的所有属性填充有效且完整的值后，单击“更新过滤器”。
新的自定义过滤器会显示在自定义下拉列表中。
搜索特定的列表项目
使用快速查找过滤器在大型列表中查找项目。
任务
1 在“快速查找”字段中输入搜索词汇。
2 单击“应用”。
仅会显示包含您在“快速查找”字段中输入的搜索词的项目。
单击“清除”可删除过滤器并显示所有列表项目。
示例：查找检测查询
下面是一个特定查询列表的有效搜索示例。
1 选择“菜单” | “报告” | “查询和报告”，然后单击“查询”。
列表中将显示 McAfee ePO 中可用的所有查询。
2 将列表限制为特定的查询，例如“检测”。在“快速查找”字段中，键入检测，然后单击“应用”。
一些列表包含的项目已针对您的位置进行了翻译。请记住，当与其他地区的用户通信时，查询名称可能会有
所不同。
单击表中行的复选框
McAfee ePO 界面提供了用于选择表中行的特殊操作和快捷键，允许您通过单击或按住 Shift 的同时单击来选中表中行
的复选框。
McAfee ePO 界面中的某些输出页会在表中的每个列表项目旁显示复选框。您可使用这些复选框来选择单个行、按组
选择行，或选择表中的所有行。
此选择表中行的操作在审核日志表中不起作用。
下表列出了用于选择表中行复选框的操作。

选择... 操作响应
个别行单击个别行的复选框。分别选择每个单独的行。
行组单击某一复选框，然后按住 Shift 的同选择您单击的第一行和最后一行（两行都包括）之间的所有行。
时单击组中的最后一个复选框。
按住 Shift 的同时单击以同时选中表中超过 1500 行，这可能会
导致 CPU 利用率骤增。此操作可能触发一条描述脚本错误的错
误消息。
所有行单击表标题中的顶部复选框。选择表中的所有行。
选择树列表中的项目
您可以按 Ctrl 并单击以选择树列表中的连续或不连续项目。
分层树列表（例如系统树（子组）和标记组树列表）使您可以选择列表项目：
• 单独 — 单击某个项目。
• 作为连续组 — 按 Ctrl 并单击以顺序选择项目。
• 作为非连续组 — 按 Ctrl 并单击以选择个别项目。

初始配置
管理网络安全首先要设置 McAfee ePO 服务器。
第3章计划您的 McAfee ePO 配置

第4章设置 McAfee ePO 服务器

初始配置

3 计划您的 McAfee ePO 配置
要有效使用您的 McAfee ePO 服务器，则必须制定一个特定于环境的全面计划。

您的 McAfee ePO 服务器基础架构和配置需求取决于您网络环境的独特需求。提前考虑这些方面可以减少入门需要的
时间。
• 您将管理多少个系统？ • 您是否对远程网络区段存在任何带宽限制？
• 您是否具备位于一个网络位置或多个地理位置的系 • 您是否将有多个具备不同权限集的 McAfee ePO

统？用户？
• 您是否有任何特定安全需求（如防火墙），或您是
否在外部网络使用网络地址转换 (NAT)？
目录
可扩展性的注意事项
托管环境中的 Internet 协议
您管理可扩展性的方式取决于您是使用多台 McAfee ePO 服务器、多个远程代理处理程序，还是同时使用两者。
通过 McAfee ePO 软件，您可以纵向或横向扩展网络。
• 纵向可扩展性 — 添加并升级到更大、速度更快的硬件，以管理规模越来越大的部署。通过升级服务器硬件并在整

个网络中使用多台 McAfee ePO 服务器（每台服务器都有专属数据库），实现纵向扩展。
• 横向可扩展性 — 增加一个 McAfee ePO 服务器可以管理的部署大小。通过安装多个远程代理处理程序（每个处理

程序都向一个数据库报告），进行横向扩展。
托管系统和服务器
您的 McAfee ePO 服务器管理的系统数表示您网络中安装的服务器数量。
该表列出托管系统的数量以及推荐管理这些系统所需的服务器硬件。
托管的系统数
< 1,500 1,500–10,000 10,000–25,000 25,000– > 75,000
75,000
虚拟 McAfee
ePO 服务器
和数据库
Windows Server
和同一服务器中
的 SQL 数据库

托管的系统数
< 1,500 1,500–10,000 10,000–25,000 25,000– > 75,000
75,000
Windows Server “分布式存储
和单独的 SQL 数库”
据库
Windows Server “分布式存储 “代理处理程序”类型：
和单独的 SQL 数库”
• 安装“代理处理程序”，以改进与 McAfee
据库
ePO 数据库位于同一网络段的 McAfee ePO
的性能。
• 在您的网络中安装远程“代理处理程序”，以
允许代理通过其分配的“代理处理程序”与服
务器进行通信。
远程“代理处理程序”要求与 McAfee ePO 数
据库建立高带宽连接。
另请参阅
示例组织大小和网络组件第 30 页
示例组织大小和网络组件
您管理的系统数量决定您通过 McAfee ePO 管理您的网络使用的服务器组件。
以下环境示例提供一些有关组织大小和服务器组件要求的指南。以下示例提供对硬件网络组件的最低要求。要提高性
能并允许发展，我们建议您尽所有可能超过这些要求。请参阅“ McAfee ePolicy Orchestrator 安装手册”，了解详细的
硬件要求。
示例 1 — 不足 10,000 个托管系统
在托管系统不足 10,000 个的组织，您可以将 McAfee ePO 服务器和 SQL 数据库安装在同一个物理服务器或虚拟机
®
(VM)，从而降低硬件成本。您还可以在该环境中部署多个 McAfee 产品，如 McAfee Endpoint Security。
®
最佳实践：如果您计划添加 McAfee Host Intrusion Prevention 产品，请将 McAfee ePO 服务器和 SQL 数据库分离到两
个物理服务器中。
该图显示托管系统不足 10,000 个的组织。
图 3-1 不足 10,000 个托管系统 McAfee ePO 网络组件

计划您的 McAfee ePO 配置
可扩展性的注意事项 3
McAfee ePO 服务器必须使用 64 位操作系统。
您可以针对小规模托管系统使用 Microsoft SQL Express 数据库。但 Microsoft 不允许 SQL Express 数据库超过
10 GB，而且 SQL Express 数据库引擎限制为 1 GB。
示例 2 — 10,000–25,000 个托管系统
您只需使用一个仅安装 VirusScan Enterprise 产品的 McAfee ePO 服务器即可管理拥有 10,000–25,000 个托管系统的
组织。
最佳实践：由于您的托管系统计数接近 10,000 个，我们建议您将 McAfee ePO 服务器和 SQL Server 分离到您自己的物

理服务器。
该图显示拥有 25,000 个托管系统且服务器位于不同硬件的组织的配置。
图 3-2 针对 10,000–25,000 个托管系统的 McAfee ePO 网络组件
McAfee ePO 服务器必须使用 64 位操作系统。
如果您有额外购买硬件资源的预算，请超过上述组件推荐，以提高性能。
单独的 SQL Server
示例 3 — 25,000-75,000 个托管系统
您可以通过一个仅安装 VirusScan Enterprise 产品并合理放置存储库（以更新内容和软件）的 McAfee ePO 服务器、
单独的 SQL Server 管理拥有 25,000–75,000 个托管系统的组织。

该图显示拥有 25,000–75,000 个托管系统、服务器位于不同硬件且具备分布式存储库的组织的配置。
图 3-3 针对 25,000-75,000 个托管系统的 McAfee ePO 网络组件
McAfee ePO 服务器
单独的分布式存储库，用以存储和分发托管系统的重要安全内容
示例 4 — 75,000–150,000+ 个托管系统
您可以通过一个 McAfee ePO 服务器、单独的 SQL Server、单独的代理处理程序和合理放置的存储库（用以向代理更
新内容和软件）管理拥有 75,000–150,000+ 个托管系统的组织。
该图显示拥有 75,000–150,000+ 个托管系统的组织的配置。
图 3-4 75,000–150,000+ 个托管系统 McAfee ePO 网络组件
McAfee ePO 服务器

计划您的 McAfee ePO 配置
托管环境中的 Internet 协议 3
单独的 McAfee ePO 代理处理程序，用以协调其自身和与 McAfee ePO 服务器的 McAfee Agent 请求。 “代理处
理程序”需要持续返回 SQL 数据库的通信。它们大约每十秒钟检查一次 McAfee ePO 服务器数据库工作队列，
以发现要执行的任务。 “代理处理程序”需要相对高速、低延迟的数据库连接。 “代理处理程序”可将 McAfee ePO
服务器的工作负载降低约 50%。我们建议每 50,000 个托管系统使用一个代理处理程序。
最佳实践：对于拥有 75,000-150,000+ 个托管系统的组织，请将代理处理程序安装在与 McAfee ePO 服务器所在

的同一网络子网中，以实现冗余。如果与代理处理程序的连接失败，这会使 McAfee ePO 服务器管理代理与服务
器之间的通信。
单独的 McAfee ePO 分布式存储库，用以存储和分发托管客户端系统的重要安全内容。
另请参阅
代理处理程序的工作原理第 253 页
影响 McAfee ePO 性能的因素

要安装和使用 McAfee ePO 服务器，务必要了解哪些因素会影响您的服务器及附加的 SQL 数据库的性能。
例如，McAfee ePO 服务器和数据库如果仅安装 VirusScan Enterprise 产品，可以管理多达 200,000 个客户端系统。
但随着您添加更多软件产品和客户端，同样的服务器硬件无法再达到您希望的性能。
以下每个因素都会影响您的 McAfee ePO 服务器性能，必须要在您的托管网络增加和安全需求变化的过程中慎重考

虑。
• McAfee ePO 服务器硬件
• SQL Server — 该服务器承担 McAfee ePO 服务器的主要负载，会影响 McAfee ePO 服务器的性能。
• 安装的软件产品数 — 您安装的每个软件产品都会增加 McAfee ePO 服务器和 SQL 数据库的处理负载。
• 托管客户端及其代理处理程序数 — 这些数量与 McAfee ePO 服务器和数据库性能成正比。每个代理处理程序会对

数据库服务器产生以下固定负载：
• 检测信号更新（每分钟）
• 工作队列检查（每 10 秒钟）
• 数据库连接池对数据库开放（每个 CPU 两个对事件解析器服务的连接和四个对 Apache 服务的连接）
McAfee ePO 软件与 Internet 协议版本 IPv4 和 IPv6 都兼容。
McAfee ePO 服务器有三种不同的工作模式：
• 仅 IPv4 — 仅支持 IPv4 地址格式
• 仅 IPv6 — 仅支持 IPv6 地址格式
• 混合模式 — 既支持 IPv4，又支持 IPv6 地址格式
McAfee ePO 服务器的工作模式取决于网络配置。例如，如果网络配置为仅使用 IPv4 地址，则您的服务器将在“仅

IPv4”模式下工作。同样，如果网络配置为既使用 IPv4 又使用 IPv6 地址，则您的服务器将在“混合”模式下工作。
安装和启用 IPv6 前，McAfee ePO 服务器仅收听 IPv4 地址。启用 IPv6 之后，它将在其配置模式下工作。
McAfee ePO 服务器与 IPv6 上的“代理处理程序”通信时，会以 IPv6 的格式报告地址相关的属性（如 IP 地址、子网地

址和子网掩码）。当在客户端和 McAfee ePO 服务器之间传输，或者在用户界面或日志文件中显示时，IPv6 相关的属
性将以扩展表格的形式显示在方括号中。
例如，3FFE:85B:1F1F::A9:1234 将显示为 [3FFE:085B:1F1F:0000:0000:0000:00A9:1234]。

在为 FTP 或 HTTP 来源设置 IPv6 地址时，无需对地址进行任何更改。但是，在为 UNC 来源设置文字 IPv6 地址时，
必须使用 Microsoft 文字 IPv6 格式。更多相关信息，请参阅 Microsoft 文档。

4 设置 McAfee ePO 服务器
通过配置 McAfee ePO 服务器的必备功能，实现快速启动和运行。
目录
服务器配置概述
使用自动产品安装状态
使用引导式配置
使用代理服务器
输入许可证密钥
将 SSL 证书添加到受信任的集合
添加要管理的系统
安装 McAfee Agent 和许可软件
系统树的功能
默认配置和常见任务
确认系统保护和查看威胁
后续操作
设置您的 McAfee ePO 服务器，以满足您的环境的独特需求。
该流程图介绍设置 McAfee ePO 服务器和开始保护系统的基础任务。

要下载许可的产品软件，请使用以下一种方法：
• 自动产品安装 — 该选项仅在您在 McAfee ePO 安装期间选择“启用自动产品安装”选项时显示
• 引导式配置
• 软件管理器 — 针对复杂网络
要将 McAfee Agent 部署到您的系统，请使用以下一种方法：

• 创建智能安装程序 URL — 创建 URL，以安装许可的产品并将客户端添加至系统树
• 引导式配置 — 之前步骤的一部分
• 添加要管理的系统
使用产品部署在您托管的系统中安装产品软件。

设置 McAfee ePO 服务器
服务器配置概述 4
使用更新主存储库服务器任务安装最新的产品软件和 DAT 文件。
创建产品部署客户端任务并将其分配到系统树中的系统组中。
要检查系统托管状态，请确认系统树中的托管系统。
要了解默认策略、客户端任务以及其他功能，请使用默认配置和常见任务。
要确认初始配置，请运行测试病毒以确认系统保护。
要配置高级功能，请使用以下方法：
• 监控和报告网络安全状态
• 详细的 McAfee ePO 配置
该表列出自动或手动安装许可的产品软件执行的配置步骤。
您只有在 McAfee ePO 安装期间选择“启用自动产品安装”选项，才会开启“产品安装状态”页。在初始登录后前 24 小时使

用“自动产品安装”。初始 24 小时后，“自动产品安装”不再可用，而且您必须使用一种其他方法。
表 4-1 配置方法概述
自动产品下载手动产品下载
1 McAfee ePO 完成安装，然后您启动软件。 1 McAfee ePO 完成安装，然后您启动软件。
2 在登录屏幕中，登录到 McAfee ePO 控制台。此时会 2 在登录屏幕中，登录到 McAfee ePO 控制台。
显示产品安装状态页，并开始在 McAfee ePO 服务器
3 运行“ePolicy Orchestrator 引导式配置”，以执行以下流
上安装许可的安全软件最新版本。
程：
该页面显示产品及其状态。
• 将 McAfee 安全软件 • 计划客户端更新任
3 如果所有产品状态都是完成，则继续执行步骤 5。如添加至主存储库。务。
果任意产品状态显示为失败，则单击该产品名称旁边
• 将系统添加至系统 • 将安全产品部署到托
的复选框并“重试”。
树。管系统。
4 如果失败的产品安装仍失败，则请：
• 至少创建一个安全策
• 尝试使用手动产品下载方法。略并将其分配至您托
管的系统。
• 联系 McAfee 支持。
• 继续进行 McAfee ePO 配置并稍后尝试安装产品。 4 根据环境需要，完成以下步骤：
5 根据环境需要，完成以下步骤： • 配置常规服务器设 • 配置策略。
置。
• 将系统添加至系统 • 配置策略。
树。 • 创建用户帐户。 • 配置高级服务器设置
和功能。
• 配置常规服务器设 • 配置高级服务器设
置。置和功能。 • 配置权限集。 • 设置其他组件。
• 创建用户帐户。 • 设置其他组件。
• 配置权限集。
配置方法概述
配置检查列表
使用该检查列表，确保您已完成配置步骤，以配置 McAfee ePO 服务器

安装 McAfee ePO 软件。
登录用户界面。
通过以下其中一种方法下载和安装 McAfee 产品软件：
在初始登录后前 24 小时使用“自动产品安装”。初始 24 小时后，“自动产品安装”不再可用，而且您必须使用

一种其他方法。
您只有在 McAfee ePO 安装期间选择“启用自动产品安装”选项，才会开启“产品安装状态”页。
使用信息显示板中的“自定义软件安装”功能。
使用信息显示板中的“ePolicy Orchestrator 引导式配置”功能。
使用“菜单” | “软件”中的“软件管理器”。
通过以下其中一种方法添加要管理的系统：
创建“智能安装程序 URL”并将其分发到系统中。
手动部署 FramePkg.exe 或使用登录脚本。
使用“系统树”并手动从其域中添加系统。
使用 “Active Directory” 添加系统。
请确认默认“产品部署”任务根据最新软件更新系统。
请确认 McAfee 产品软件的默认“策略”采用正确的配置。
请确认默认客户端任务从托管系统发送和收集正确信息。
确认默认 McAfee ePO 服务器任务经过安排并对您的服务器执行正确的任务。
请确认默认信息显示板显示可以帮助您监控托管环境的最佳信息。
请确认有些系统得到保护并通过 eicar.com 防恶意软件测试文件返回威胁信息。
如果您使用大型或复杂网络，则可能需要配置以下其他功能：
添加其他 McAfee ePO 用户。
将您的“系统树”重新组织到组中并使用标记组织系统。
将自动响应配置为在符合规则时执行。
创建自定义服务器和客户端任务。
添加自定义策略，以确保托管系统上的产品功能得到正确配置。
添加“代理处理程序”或分布式存储库，以更新远程系统上的软件。
创建自定义 SSL 证书。
从远程托管系统中监控带宽。
创建流程，以监控和维护您的 McAfee ePO 服务器和 SQL 数据库。
创建其他自动查询和报告，以监控您的托管系统。

使用自动产品安装状态 4
另请参阅
软件管理器中包含的项第 137 页
系统树的功能第 51 页
使用自动产品安装状态第 39 页
使用自动产品安装状态
初始登录到 McAfee ePO 后会自动显示产品安装状态页。产品安装状态软件允许您在 McAfee ePO 服务器上自动安装
您的安全软件。或者您也可以停止自动安装并手动签入安全软件。
开始之前
您只有在 McAfee ePO 安装期间选择“启用自动产品安装”选项，才会开启产品安装状态页。
产品安装状态页仅在您首次登录 McAfee ePO 后的前 24 小时内可用。24 小时后，所有后续用户都将登录并且默认信

息显示板页会出现。24 小时后，产品安装状态会从 “菜单” | “自动” 列表中消失。
任务
1 单击 McAfee ePO 服务器桌面上的“启动 ePolicy Orchestrator”图标，以打开登录屏幕。
2 键入您的凭据并选择语言。
产品安装状态软件会自动开始下载和安装您的组织可用的许可软件。您可以使用以下选项监控进程：
• “产品” — 显示所有许可的软件和最新可用版本。
• “状态” — 显示一个以下值：
• “正在更新” — 正在下载和安装软件。
• “已完成” — 软件成功安装。
• “已失败” — 下载或安装过程中出现错误。
• “已停止” — 您已单击页面顶端的“停止”。
您可以随时单击 “菜单” | “软件” | “软件管理器” ，查看软件安装过程的详细信息。
您也可以在软件自动安装过程运行时，使用 McAfee ePO 用户界面配置其他元素。
3 使用自动或手动方法完成软件安装过程。
自动安装手动安装
在产品安装状态页中，等待各个产品的“状态”列 1 在产品安装状态页中，单击“停止”，然后在提示您必须使用
表更改为“完成”。软件管理器完成软件安装过程的对话框中，单击“确定”。
如果任意产品安装失败，则请选择该产品名产品状态值会更改为已停止。
称旁边的复选框，重试安装过程。如果安装
2 要完成软件安装过程，请单击“菜单” | “软件” | “软件管理
过程仍失败，则请尝试使用软件管理器完成
安装过程。器”。
4 根据需要执行以下任务，以完成 McAfee ePO 配置：

• 配置常规服务器设置 — 这些设置允许您自定义服务器的工作方式。这些设置并非正确操作必需的。
• 创建用户帐户并配置权限集 — 用户帐户允许用户访问服务器，并提供权限集授予权和 McAfee ePO 功能的访问

权限。

• 配置高级服务器设置和功能 — 高级功能有助于您自动管理网络安全。
• 安装其他组件 — 许多高级功能需要分布式存储库、已注册的服务器和代理处理程序等组件。
McAfee ePO 服务器当前正在保护您的托管系统。
另请参阅
服务器设置第 22 页
用户第 125 页
权限集第 134 页
使用引导式配置工具配置必要的功能。或者可以使用这些任务引导何时手动配置 McAfee ePO 服务器。
任务
1 单击 McAfee ePO 服务器桌面上的“启动”图标，以查看登录屏幕。
2 键入您的用户名和密码，选择语言（如果需要），然后单击“登录”。 McAfee ePO 启动并显示信息显示板对话框。
3 使用自动产品安装状态或软件管理器安装产品软件。
4 选择 “菜单” | “报告” | “信息显示板”，从“信息显示板”下拉菜单中选择“引导式配置”，然后单击“开始”。
5 检查“引导式配置”概述和说明，然后单击“开始”。
6 在“选择软件”页上：
a 在“未签入的软件”产品类别下，单击“已授予许可”或“评估”以显示可用的产品。
b 在“软件”表中，选择您要签入的产品。显示的表中会显示产品说明和所有可用的组件。
c 单击“全部签入”以将产品扩展签入 McAfee ePO 服务器，将产品包签入主存储库。
d 完成软件签入后，单击屏幕顶部的“下一步”。
7 在“系统选择”页上：
a 在“系统树”中选择要向其中添加系统的组。如果尚未定义任何自定义组，请选择“我的组织”，然后单击“下一步”
以打开“添加系统”对话框。
b 选择要用于将系统添加到“系统树”的方法。
用于添加系要执行的操作… 则...

统的方法...
“AD 同步” 将 McAfee ePO 服务器与 Active Directory 1 在 AD 同步对话框中，选择同步类型并指定相应
(AD) 服务器或域控制器 (DC) 同步。 AD 同步的设置。
是将您的系统添加到“系统树”的最快捷方法。
2 单击“同步”和“保存”。
“手动” 通过指定系统名称或者按域从系统列表中选择 1 在新建系统页的“目标系统”字段中键入系统名

来手动向“系统树”中添加系统。称，或单击“浏览”添加域中的单个系统，然后单
击“确定”
2 单击“添加系统”。

使用引导式配置 4
8 在“策略配置”页上：
选择... 要执行的操作… 则...

“接受默认设针对要部署的软件使用“我的默认”策略设该步骤已完成。
置” 置，然后继续进行配置。
“配置策略” 现在针对已签入的每个软件产品指定自定义 1 在策略配置对话框中，单击“确定”。
策略设置。
2 从“产品列表”中选择所需的产品，然后单击“我的默
认”以编辑默认策略设置。
3 单击“下一步”。
9 在“更新软件”页面上：
选择... 要执行的操作… 则...

“创建默认自动创建每天夜晚 12:00 运该步骤已完成。
值” 行的默认客户端产品更新任
务。
“设置任务为客户端产品更新任务手动 1 使用“客户端任务分配生成器”，为产品更新任务指定产品和任务名
计划” 配置计划。称。
不更改“任务类型”选择。它必须设置为“产品更新”。
2 配置“锁定任务继承”和“标记”选项，然后单击“下一步”。
3 指定该更新任务的计划，然后单击“下一步”。
4 检查摘要，然后单击“保存”。
10 在“软件部署”页面上：
a 在系统树中选择要部署软件的系统所在的位置，单击“下一步”，然后单击“确定”。
b 指定 McAfee Agent 的部署设置，然后单击“部署”。
如果您希望以后执行此操作，则可以单击“跳过代理部署”。但是，您必须部署代理才能部署其他安全软件。
c 选择要部署到托管系统的软件包，然后单击“部署”。
11 在“配置摘要”页，单击“完成”以关闭“引导式配置”。
12 根据需要执行以下任务，以完成 McAfee ePO 配置：

• 配置常规服务器设置 — 该组中的服务器设置会影响功能，该功能不会影响服务器正常运行，所以无需进行更
改。如果您要执行该操作，请自定义服务器运行方式的某些方面。
• 创建用户帐户并配置权限集 — 用户帐户为用户访问服务器提供方法，而权限集则授予对 McAfee ePO 功能的访

问权限。
• 配置高级服务器设置和功能 — McAfee ePO 服务器提供高级功能，有助于您自动管理网络安全。
• 设置其他组件 — 要使用 McAfee ePO 软件的许多高级功能，需要具备其他组件（如分布式存储库、已注册的服

务器和代理处理程序）。
McAfee ePO 服务器当前正在保护您的托管系统。
另请参阅
使用自动产品安装状态第 39 页

如果在网络环境中使用代理服务器，则必须在服务器设置页中指定代理服务器设置。
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”中选择“代理服务器设置”，然后单击“编辑”。
2 选择“手动配置代理服务器设置”，提供代理服务器用于每组选项的特定配置信息，然后单击“保存”。
输入许可证密钥
许可证密钥可赋予您完全安装软件的权利，并可使用贵公司已有的 ePolicy Orchestrator 软件来填充 McAfee 软件管理
器。
如果没有许可证密钥，您的软件将以评估模式运行。一旦评估到期，该软件将停止工作。您可以在评估期间或之后随
时添加许可证密钥。
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”选择“许可证密钥”，然后单击“编辑”。
2 键入您的“许可证密钥”并单击“保存”。
如果受支持的浏览器无法验证受信任的源是否签署了服务器 SSL 证书，则会显示有关该证书的警告。
默认情况下，McAfee ePO 服务器使用自签证书与浏览器进行 SSL 通信，但浏览器并不信任此证书。每次您访问
McAfee ePO 控制台时都会显示警告消息。
为了使该警告消息不再出现，请执行下列操作之一：
• 将 McAfee ePO 服务器证书添加到浏览器的受信任证书集合中。
• 为与 McAfee ePO 交互的每个浏览器添加该证书。如果浏览器证书发生更改，则再次添加该服务器证书。
• （推荐）将默认的 McAfee ePO 服务器证书替换为已经由浏览器信任的证书颁发机构 (CA) 签名的有效证书。您只

需为您环境中的 Web 浏览器添加一次该证书。
• 如果服务器主机名发生更改，请将该服务器证书替换为新的受信任 CA 证书。
要替换 McAfee ePO 服务器证书，您首先必须获取受信任 CA 签名的证书。还必须获取证书的私钥及其密码（如果存

在）。然后您便可使用所有这些文件来替换服务器的证书。
McAfee ePO 浏览器要求链接的文件最好使用以下格式：

• 服务器证书 - P7B 或 PEM
• 专用密钥 - PEM
如果服务器证书或私钥没有采用上述格式，则必须先将它们转换为受支持的格式之一，然后再使用它们来替换默认证
书。
如果您的组织需要更高标准的加密，则需要将默认的 SHA-256 证书替换为使用 SHA-384 或更高版本的证书。

将 SSL 证书添加到受信任的集合 4
替换服务器证书
更新与浏览器进行 HTTPS 通信使用的默认服务器证书。
开始之前
您必须拥有新证书和私钥文件的访问权限。
任务
1 打开“编辑服务器证书”页面。
a 选择“菜单” | “配置” | “服务器设置”。
b 从“设置类别”列表选择“服务器证书”，然后单击“编辑”。
2 浏览至服务器证书文件，然后单击“打开”。
您可以通过 OpenSSL 创建自己的自签证书。
3 如果需要，请键入 PKCS12 证书密码和别名。
4 请浏览至私钥文件，然后单击“打开”。
5 如果需要，请键入私钥密码，然后单击“保存”。
6 重新启动 McAfee ePO，使更改生效。
为 Internet Explorer 安装安全证书

安装安全证书，以防每次登录时都出现证书提醒。
任务
1 从您的浏览器中，打开 McAfee ePO。此时会显示证书错误：导航已阻止页。
2 单击“继续浏览此网站(不推荐)”打开登录页面。地址栏为红色，指示浏览器无法验证安全证书。
3 在地址栏的右侧，单击“证书错误”以显示证书无效警告。
4 在警告的底部，单击“查看证书”以打开证书对话框。
请勿单击“常规”选项卡上的“安装证书”。否则安装过程将失败。
5 选择“证书路径”选项卡，然后选择“Orion_CA_<servername>”，并单击“查看证书”。“常规”选项卡中显示另一个对话
框，其中显示证书信息。
6 单击“安装证书”，以打开证书导入向导。
a 单击“下一步”，以指定存储证书的位置。
b 请选择“将所有证书放置在以下存储”，然后单击“浏览”选择位置。
c 请从列表中选择“受信任的根证书颁发机构”文件夹，单击“确定”，然后单击“下一步”。
d 单击“完成”。在出现的安全警告中，单击“是”。
7 关闭浏览器。

8 更改 McAfee ePO 桌面快捷方式的目标，以使用 McAfee ePO 服务器的 NetBIOS 名称，而非“localhost”。
9 重新启动 McAfee ePO。
现在当您登录 McAfee ePO 时，系统便不再提示您接受证书。
针对 Firefox 安装安全证书
您可以在使用 Firefox 3.5 或更高版本时安装安全证书，这样您每次登录时就不会显示警告对话框。
任务
1 从您的浏览器中，打开 McAfee ePO。此时会显示该连接不受信任页。
2 单击页面底部的“我了解风险”。
3 单击“添加例外”。
4 单击“获取证书”。系统会填充认证状态信息，此时确认安全例外按钮处于启用状态。
5 确保“永久存储此例外”处于选中状态，然后单击“确认安全例外”。
现在当您登录 McAfee ePO 时，系统便不再提示您接受证书。

添加要管理的系统 4
添加要管理的系统
您可以通过多种方法将系统添加到 McAfee ePO。根据网络的规模和复杂性，您可以选择任意方法或方法组合。
默认情况下会创建智能安装程序 URL。 URL 方法是安装 McAfee Agent 的最简单方法。但是，系统用户必须拥

有管理员权限才可以安装软件，而且直到用户运行智能安装程序之后，系统才会受到保护。
使用登录脚本部署 FramePkg.exe 效果很好，但是您必须了解如何创建脚本并使其在用户登录时运行。另外，
用户登录前，系统并未受到保护。
从域中手动添加系统需要使用有组织的网络和域。
通过 “Active Directory” 添加系统是最适合大型网络的方法，但需要使用组织合理的 “Active Directory” 配置。
对于大型网络，您可以选择使用其中一种方法添加初始系统组，确认配置，然后使用其他方法添加额外系统。
另请参阅
通过第三方工具部署 McAfee Agent 第 49 页
最佳实践：使用 Active Directory 同步 McAfee Agent 部署第 50 页
最佳实践：将 McAfee Agent 添加到您的镜像第 51 页
创建和安装 McAfee Agent URL 或包第 48 页
将系统手动添加至系统树第 49 页


您必须要在所有系统上安装 McAfee Agent 和产品软件，然后它们才得到保护。
安装 McAfee Agent 的过程中执行的流程

McAfee Agent 是客户端组件，可以为 McAfee ePO 和托管产品之间提供安全通信。它还作为托管和非托管 McAfee
产品的更新界面。
该图显示您安装 McAfee Agent 时执行的流程。
您在客户端上安装 McAfee Agent。
McAfee Agent 会在客户端和 McAfee ePO 之间建立安全连接。
McAfee ePO 通过安全连接将产品软件下载到客户端中。
McAfee Agent 将客户端事件和其他信息发送回 McAfee ePO。
另请参阅
添加要管理的系统第 45 页
McAfee Agent 工作原理

McAfee Agent 并非单独的安全产品，而是会与所有 McAfee 和合作伙伴安全产品通信并与 McAfee ePO 服务器往返传
递信息。
McAfee Agent 版本无需与 McAfee ePO 版本匹配。例如，您可以将 McAfee Agent 4.8 与 McAfee ePO 5.9.0 搭配使
用。有关详细信息，请参阅《“McAfee Agent 产品手册”》。
McAfee Agent 核心功能包括：

• 处理 McAfee ePO 服务器所有传入和传出的通信并将数据传递到客户端产品
• 从 McAfee ePO 服务器提取所有产品策略并将其分配到客户端上安装的相应产品
• 从 McAfee ePO 服务器提取所有客户端任务并将其传递至相应产品

安装 McAfee Agent 和许可软件 4
• 部署内容，如防病毒特征码、审核检查和引擎
• 部署产品升级、新产品、补丁和修补程序
• 发布新版本时进行静默升级
在系统上安装 McAfee Agent 后，您可借此更新客户端上的大部分产品。
图 4-1 一个 McAfee Agent 与多个产品通信
McAfee Agent 模块化

代理的模块化设计允许您根据需要的变化使用同一框架为您的环境添加新安全产品。 McAfee 构建了标准，规定要如何
向客户端产品传递策略、事件和任务。向客户端添加新产品时，您无需再担心通信或打开哪些端口的问题。 McAfee
Agent 控制所有这些项目。模块化体系结构具备以下优势：
• 一个组件提供返回服务器的通信。 • 您可以在新产品发布时添加新产品。
• 您可以选择哪些产品适合您的组织。 • 您可以针对合作伙伴产品使用同一 McAfee

Agent，以降低费用。
• 修补流程在所有产品中都是一致的。
McAfee Agent 文件的内容

如果您查看安装 McAfee Agent 可执行文件的安装目录，会发现其独特之处。
默认情况下，您可以在 McAfee ePO 服务器上的以下位置发现 McAfee Agent 可执行文件：
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Software\Current\EPOAGENT3000\Install\0409\
您的自定义 McAfee Agent 可执行文件具备特定 McAfee ePO 服务器的通信密钥和 Sitelist.xml 文件。如果没有这些密
钥，代理无法与特定 McAfee ePO 服务器通信。 Sitelist.xml 文件会通知所有代理如何通过 IP 地址和 DNS 名称查找
McAfee ePO 服务器。如果您重命名您的 McAfee ePO 服务器或为其提供新的 IP 地址，则文件会过期。
如果您有多个 McAfee ePO 服务器，则会拥有多个独特的 McAfee Agent 文件，旨在与创建 McAfee Agent 的服务器通
信。
保持 McAfee Agent 文件最新状态：最佳实践

务必要下载最新的 McAfee Agent 文件，以便相应团队具备进行新部署所需的最新 McAfee Agent 文件。请确保您了解
您的环境中哪些人具备 McAfee Agent 可执行文件并通过在每次对 McAfee Agent 做出更改时更新中央共享保持对该文
件的控制。
如果您在一年前为您的桌面团队提供自定义 McAfee Agent，则可能已经过期。如果您对您的 McAfee ePO 服务器做

出更改，如使用新 IP 地址重新构建服务器，或向服务器签入更新版本的 McAfee Agent，也会使其过期。

部署代理
McAfee Agent 是 5-MB 大小的可执行文件，您可以在每个客户端上执行该文件，或部署到更大范围的数百或数千个节
点。
您可以通过以下任意方法将 McAfee Agent 部署到您的客户端系统：
• 代理部署 URL 或 McAfee 智能安装程序 • 手动执行
• 登录脚本 • McAfee ePO 服务器
• 包含 McAfee Agent 的镜像 • 第三方工具
请参阅《“McAfee Agent 产品手册”》，了解有关部署方法的详细信息。
创建和安装 McAfee Agent URL 或包

在您要通过 McAfee ePO 管理的所有系统上安装 McAfee Agent。
开始之前
您必须要安装许可的软件，然后才可以创建 McAfee Agent URL 或包。
您可以通过多种方式在您要管理的系统上安装 McAfee Agent。以下是最常见的方法：

• McAfee Agent URL 安装程序
• McAfee Agent 包
这些步骤只是对 McAfee Agent 安装流程的概述。有关详细信息，请参阅《“McAfee Agent 产品手册”》。
任务
1 通过其中一种方法创建 McAfee Agent 安装程序。

• 创建 McAfee Agent URL 安装程序。
• 创建 McAfee Agent 包或 .zip 文件。
2 根据您创建安装的文件时使用的方法，安装 URL 安装程序或包文件。

• McAfee Agent URL 安装程序 — 通过电子邮件将 URL 发送至系统用户。当用户打开该 URL 时，系统会提示下
载或运行 McAfee Agent 安装程序。
• McAfee Agent 包文件 — 通过以下方法之一安装包文件：

• 在 Windows 上手动安装
• 登录 Windows 上的脚本
• 命令行选项
安装代理后，要经过多次代理与服务器之间的通信时间间隔，托管系统才会在系统树中显示为“托管”。
3 选择“菜单” | “系统” | “系统树”，以确认托管系统已成功安装 McAfee Agent 并报告回 McAfee ePO 服务器。
McAfee ePO 服务器当前正在保护和管理您的客户端。
最佳实践：通过 URL 部署 McAfee Agent

您可以创建客户端 McAfee Agent 下载 URL，以供用户在托管客户端上单击下载并安装 McAfee Agent。

安装 McAfee Agent 和许可软件 4
任务
1 选择“菜单” | “系统部分” | “系统树”，然后单击“代理部署”选项卡。
2 在“操作”菜单中，单击“创建代理部署 Url”。
3 指定 URL 名称、代理版本以及将 URL 应用到所有代理处理程序还是仅特定代理处理程序。
当用户打开该 URL 时，系统会提示下载或运行 McAfee Agent 安装程序。安装可执行文件还可以保存并包含到登录脚

本中。
另请参阅
创建和安装 McAfee Agent URL 或包第 48 页
通过第三方工具部署 McAfee Agent

您可以通过已用于补丁和新产品部署的第三方工具部署 McAfee Agent。
虽然并不要求一定使用第三方工具，但您的组织可能提供严格的策略，规范产品的部署方法。以下是一些常见的部署
工具：
• Microsoft SCCM（之前称作 SMS） • BMC Client Automation（之前称作 Marimba）
• IBM Tivoli • 简单的登录脚本
• Novell Zenworks
通过上述第三方工具对 McAfee Agent 进行首次部署的流程比较简单。有关详细信息，请参阅《“McAfee Agent 产品

手册”》。
McAfee Agent 文件（名称为 FramePkg.exe）提供多个安装开关。至少要配置 McAfee Agent，完成其自身安装。您

可以选择使用 /s 开关，向用户隐藏安装图形用户界面。以下是该命令的示例：
FramePkg.exe /install=agent /s
将系统手动添加至系统树
将系统手动添加至“系统树”，然后部署 McAfee Agent，这种方法很适合规模较小的有组织网络。
开始之前
McAfee ePO 服务器必须能够与目标系统通信。
请确保可以从 McAfee ePO 服务器访问客户端系统。
您必须拥有所有目标系统的本地管理员权限。
执行以下步骤，以确认可以从 McAfee ePO 服务器访问若干目标系统：

• 使用 ping 命令，测试是否能够从 McAfee ePO 服务器成功连接至托管系统。
• 为确认是否能够从 McAfee ePO 服务器访问 Windows 目标系统上的 Admin$ 共享文件夹，请单击 Windows 的“开
始” | “运行”，然后键入目标系统 Admin$ 共享的路径，同时指定系统名称或 IP 地址。例如，键入：
\\<系统名称>\Admin$
如果成功通过网络将系统连接起来，您的凭据具备足够的权限而且存在 Admin$ 共享文件夹，此时会显示 Windows

资源管理器对话框。

任务
1 选择“菜单” | “系统” | “系统树”，然后单击系统树页面上的“新建系统”。
2 在新建系统页面中，单击“推送代理并将系统添加到当前组”和“浏览”。
3 在 NT 域凭据对话框中，键入该信息并单击“确定”。
• “域”— 键入您的目标系统的域名。
• “用户名”— 键入您的域用户名。
• “密码”— 键入您的域密码。
4 在浏览系统页面上，从“域”列表中选择域服务器。
所选域中的系统表会显示在该域服务器上所安装系统的列表中。
5 选择要添加到“系统树”的系统或系统组，然后单击“确定”。
您选择的系统会显示在目标系统字段中，由逗号隔开。
6 在“代理版本”中，选择“Windows”或“非 Windows”并从列表中选择版本。
7 在代理安装的凭据中，执行以下操作：
• 键入域名。
• 键入您的域用户名。
• 键入并确认域密码。
• 单击“记住我的凭据以供将来部署时使用”。
8 使用默认的最终设置，并单击“确定”。
您选择的系统会被添加到系统树并在托管状态列中显示为非托管。经过多次代理与服务器之间的通信以安装产品软件
并更新任务和策略后，托管状态会变为托管。完成该过程需要几个小时的时间。
最佳实践：使用 Active Directory 同步 McAfee Agent 部署

您可以单独使用 McAfee ePO 服务器中的部署，也可以将其与 Active Directory(AD) 同步搭配使用。
McAfee ePO 可以从 AD 中导入您的系统，然后通过远程部署功能从 McAfee ePO 服务器部署代理软件。使用服务器
任务按照特定时间间隔（如一天一次）运行远程部署。该流程有以下要求：
• 您的 AD 树中的系统必须得到维护。许多较大型的组织都未能做好 AD 的维护工作。将系统放置到 AD 中合适的容
器中，以便 McAfee ePO 合理地镜像您的 AD 结构。
• 您必须要具备相应的凭据，启用 admin$ 共享且本地防火墙不会阻止目标客户端上的 NetBIOS 端口。
• 必须打开目标系统。仅仅是系统存在于 AD 中这一情况并不代表系统已打开且在网络中处于活动状态。
只要您拥有维护良好的 AD 结构，McAfee ePO 服务器的代理部署就可以执行。否则，您最终会面临系统树中 shell 系

统或占位符过量的情况。这些 shell 是从您的 AD 服务器导入的系统，但从未收到 McAfee Agent。 Shell 系统在托管
状态列中显示为 Unmanaged（未托管）。
请确保您的环境在代理的合理覆盖范围中，以避免出现这些 shell 系统。这些 shell 系统会造成以下问题：

• 它们会使您的系统树处于混乱无组织状态。
• 它们会扭曲报告和查询，因为它们只是系统的占位符，而非积极与 McAfee ePO 服务器通信的系统。
您可以过滤掉报告中的这些 shell 系统，但更好的方法是确保您的环境在 McAfee Agent 的合理覆盖范围内。

系统树的功能 4
通过 McAfee ePO 服务器任务定期删除这些 shell 系统。
最佳实践：将 McAfee Agent 添加到您的镜像

在镜像过程中添加 McAfee Agent 是一项很好的 McAfee ePO 合规策略。这样可以确保所有系统都安装 McAfee
Agent。
该策略要求与构建团队进行规划和交流，以实现全面的 McAfee ePO 合规性。这种交流和规划可以确保：
• McAfee Agent 是任何系统的一部分。
• 所有必需的 McAfee 产品和相关策略都是由您系统上的 McAfee Agent 从 McAfee ePO 服务器中提取的。
• 您的安全策略最大可以覆盖您的环境中的所有系统。
您可以通过两个选项使 McAfee Agent 成为构建流程的一部分并将其安装在您的托管系统中：
• 选项 1 — 在冻结或结束镜像前将 McAfee Agent 包含到您的 Windows 镜像中。确保在冻结镜像前删除 McAfee

Agent GUID
• 选项 2 — 使用可重复脚本创建镜像，然后运行 McAfee Agent 可执行文件。
您可以通过以下方法将所有客户端产品安装到您的托管系统中：
• 使 McAfee Agent 在 10 分钟内自动调用 McAfee ePO 服务器并接收 McAfee ePO 指示的任何策略和产品。
• （推荐）使端点产品成为您的构建流程的一部分并将其包含到初始镜像中。请参阅《“McAfee Agent 产品手

册”》，以在非永久虚拟镜像或在虚拟桌面基础架构 (VDI) 模式下安装 McAfee Agent。
以下指针有助于您决定使用哪个选项：
优点或缺说明
点
“缺点” 如果您让 McAfee Agent 提取多个端点产品，则它会占用太多带宽。如果存在带宽限制，请使这些产品成
为您初始镜像的一部分。
“优点” 如果端点产品是您的镜像流程的一部分，则您可以在镜像系统对 McAfee ePO 服务器没有连接的网络中
执行构建流程。
“缺点” 在客户端上安装 McAfee Agent 后，还需要通过客户端任务下载、安装和更新产品，这需要几分钟的时
间。尽管系统几乎可以立即进行代理与服务器之间的通信，但仍会出现该滞后情况。
“优点” 如果需要考虑时间问题，请使 McAfee 产品成为镜像的一部分。这样可以避免易受威胁攻击的系统出现
15-20 分钟的产品安装等待时间。
请确认您已于冻结镜像前删除 McAfee Agent GUID

使 McAfee Agent 成为您镜像的一部分时，请确保在冻结镜像前删除 McAfee Agent GUID。
如果该注册表项未被删除，则使用该镜像的所有系统都会使用同一 GUID 并在您的环境中造成问题。请参阅

《“McAfee Agent 产品手册”》，了解详细信息。
如果您未在结束镜像前从注册表项中删除 McAfee Agent GUID，则难以管理更大型环境中的镜像。您可能会用到多个

镜像团队，也可能让外包组织构建镜像。请确保您的镜像团队了解如何在 McAfee ePO 目录中未显示计算机的情况下
重置 GUID。请参阅知识库文章如何在 McAfee ePO 目录中未显示计算机的情况下重置代理 GUID KB56086，以了解
详细信息。
系统树的功能
系统树是您的托管网络在 McAfee ePO 控制台中的逻辑表示。
您可以使用以下方法将系统添加至您的系统树中：

系统树的功能
• 手动将系统添加到现有组
• 从文本文件导入系统
• Active Directory 同步
您可以使用以下方法来组织系统树：
• 在控制台中进行手动组织（拖放）。
• 自动与您的 Active Directory 或 NT 域服务器同步。
• 手动或自动使用被应用于系统的标准，进行基于标准的排序。
您的系统树决定以下项目：
• 不同产品的策略的继承方式
• 客户端任务的继承方式
• 您的系统所属的组
• 您的管理员要具备哪些权限才可以进行访问，以更改系统树中的组
如果您是初次创建系统树，以下是可供您动态组织系统使用的主要选项：
• 使用 Active Directory (AD) 同步
• 对系统进行动态排序
最佳实践：虽然您可以将 AD 同步与系统树动态排序搭配使用，但请选择其中一种，以避免出现混乱和冲突。
另请参阅
规划系统树时的注意事项第 99 页
系统树结构
系统树是一种层次结构，可以将网络中的系统整理到组和子组中。
另请参阅
规划系统树时的注意事项第 99 页
我的组织组
我的组织组（即系统树的根）包括了（手动或自动）添加到您的网络中或在您的网络上检测到的所有系统。
在您创建自己的结构之前，默认情况下会将所有系统都添加到我的组中。此组的名称可能在初始软件安装过程中已被
更改。
我的组织组具有以下特征：
• 不能删除。
• 不能重命名。
我的组子组
我的组是我的组织组的子组，是在执行开始使用初始软件安装过程中默认添加的。
此组的名称可能在初始软件安装过程中已被更改。
您的网络计算机运行安装 URL 时，默认情况下它们将分组到我的组中。
要重命名组，请选择“菜单” | “系统” | “系统树”，再在系统树组列表中单击“我的组”，然后单击“系统树操作” | “重命名

组”。

不明来源组
不明来源组是我的组织组的子组。
根据您创建和维护系统树时指定的方式，服务器会使用不同的特性来确定放置系统的位置。不明来源组存储无法确定位
置的系统。
不明来源组具有以下特征：
• 不能删除。 • 该组始终位于系统树列表的最后位置，而不按字母
顺序排序。
• 不能重命名。 • 用户必须获得不明来源组的权限才可以查看其内
容。
• 它的排序标准为捕获全部组，并且不能进行更改， • 系统排序到不明来源组后，它会放置在与系统域名
尽管您可以为在此组中创建的子组提供排序标准。称相同的子组中。如果此类组不存在，则会创建这
样一个组。
如果从系统树中删除系统，请确保选中“在下次代理与服务器通信时从所有系统中删除 McAfee Agent”。如果 McAfee

Agent 未被删除，则被删除的系统会重新出现在不明来源组中，因为 McAfee Agent 仍与 McAfee ePO 通信。
系统树组
系统树组代表一个系统集合。决定将哪些系统分为一组取决于您网络和企业的独特需求。
您可以根据满足您需求的任意标准对系统进行分组：
• 计算机类型（例如，笔记本电脑、服务器或台式机）
• 地理位置（例如，北美洲或欧洲）
• 部门界限（例如财务或市场营销）
组具有以下特征：
• 由管理员或具有相应权限的用户所创建。
• 既可以包括系统，也可以包括其他组（子组）。
• 由管理员或具有相应权限的用户使用。
通过将具有相似属性或要求的系统分组到这些单元中，您可以在一个位置管理系统的策略，而不必分别为每个系统设置
策略。
在规划的过程中，应该考虑在构建系统树之前将系统组织到组的最佳方式。
默认的系统树结构包括以下组：
• 我的组织 — 系统树的根。
• 我的组 — 开始使用初始软件安装时添加的默认子组。此组的名称可能在初始软件安装过程中已被更改。
• 不明来源 — 包括了所有尚未或无法添加到系统树中其他组的系统的子组。
继承
继承是一种可以简化策略和任务管理的属性。由于继承功能，系统树层次结构中的子组将继承其父组中设置的策略。
例如：
• 在系统树的我的组织级别设置的策略会被下面的所有组继承。
• 组策略由该组中的子组或单个系统继承。
下表为系统树层次结构的示例。

系统树的功能
系统树层次结构
我的组织顶层组
洛杉矶 “我的组织”的子组
台式机 “洛杉矶”的子组
笔记本电脑 “洛杉矶”的子组
服务器 “洛杉矶”的子组
Windows 服务器的子组
SQL 服务器的子组
Linux 服务器的子组
旧金山 “我的组织”的子组
台式机 “旧金山”的子组
笔记本电脑 “旧金山”的子组
服务器 “旧金山”的子组
不明来源 “我的组织”的子组
在此示例中，所有分配到“洛杉矶”|“服务器”组的策略均会被 Windows、SQL 和 Linux 子组继承。
默认情况下，对添加到系统树中的所有组和单个系统均启用继承功能。通过默认继承，您只需在少数几个位置设置策略
和计划客户端任务即可。
若要自定义继承，可以在系统树的任何位置通过应用新策略来中断继承。您可以锁定策略分配来保留继承。
对您的系统进行动态排序
您可以通过系统标准和其他元素的结合将您的系统动态排序到您的 McAfee ePO 系统树中。
要进行动态排序，您需要为您的树结构创建一些基础组。对于规模较小的组织，您的系统树可能并不复杂，只包含几
个组。对于规模较大的组织，我们建议您创建您创建一些类似于以下样本设计的组：
• GEO — 地理位置 • SBU — 子业务部门
• NET — 网络位置 • FUNC — 系统功能（Web、SQL、应用程序服务

器）
• BU — 业务部门 • CHS — 机架（服务器、工作站、笔记本电脑）
决定系统树中组的基础构造块后，您必须根据以下因素确定要使用的构造块及其顺序：
• 策略分配 — 您是否要根据机架或功能将大量自定义产品策略分配到组中？是否存在某些业务部门要求使用其自身
的自定义产品策略？
• 网络拓扑 — 您的组织中是否存在决不可以被内容更新占满的敏感 WAN？如果您仅拥有主要位置，则无需担心您

的环境中会出现该问题。
• 客户端任务分配 — 创建客户端任务（如按需扫描）时，您是否需要在组级别（如业务部门）或针对系统类型（如
Web 服务器）执行操作？
• 内容分发 — 您是否规定代理策略，指定某些组必须要从特定存储库获取内容？
• 操作控制 — 您是否需要向您的 McAfee ePO 管理员授予特定权限，使他们可以管理树中的特定位置？
• 查询 — 您在过滤查询时是否需要许多选项，以从系统树的特定组返回结果？
为您的树结构选择基础设置后，请创建一些样本系统树模型并了解各个设计的优点和缺点。系统树的构建没有对错之
分，只是会根据您的选择展现出一些优点和弊端。

以下是用户通常会使用的最常见的系统树设计：
• GEO -> CHS -> FUNC
• NET -> CHS -> FUNC
• GEO -> BU -> FUNC
以下是地理位置、机架和功能的示例。
GEO -> CHS -> FUNC
请从系统树中确认系统管理
部署 McAfee Agent 和产品软件后，请确保您的系统列在系统树中并显示为托管。
开始之前
您必须已部署 McAfee Agent 且已将产品软件下载到您的系统中。
任务
1 请选择“菜单” | “系统” | “系统树”，然后单击“系统”选项卡，以显示托管系统列表。
如果未显示任何系统，请单击“预设”列表中的“此组和所有子组”。
2 在各行系统的托管状态列中，请确认显示“托管”。
图 4-2 显示托管系统的系统树
如果托管状态列中显示“非托管”，则说明系统已添加到系统树中，但 McAfee Agent 和产品软件未安装到系统中。
3 要在系统信息页面中显示系统的详细信息，请双击系统行。

在 McAfee ePO 服务器上进行 McAfee 产品的初始安装时，这些产品会安装并配置许多默认功能，从而为您的托管系
统提供初始保护。
默认功能包括：
• 策略
• 查询和报告
• 服务器和客户端任务
• 信息显示板
熟悉这些功能及其配置方式，从而了解 McAfee ePO 如何为您的托管系统提供保护。
使用产品部署
您启动 McAfee ePO 时，会自动创建默认产品部署。它可以简化将安全产品部署到托管系统的流程。
默认产品部署示例
McAfee 已创建默认产品部署，以将您的产品初始部署到您的客户端。要查看默认产品部署，请选择“菜单” | “软件” |
“产品部署”。
产品部署操作
该表列出“产品部署”页面上可用的更改。
命令或操作说明
部署摘要列出产品部署，并允许您按照类型和状态对其过滤，以快速查看其进度。单击部署，以查看其详细信
息。这些详细信息会显示在部署详细信息区域。
部署详细信息列出所选部署的详细信息。例如，开始日期、类型、状态等。
“任务状态” 显示进度和状态。
“操作” 用于更改部署。
详细信息可让您查看部署配置详细信息和状态，并且您可根据需要单击“查看任务详细信息”来打开“编辑部署”页
面。
“系统名称” 显示接收部署的目标系统的可过滤列表。
“系统操作” 在对话框中更详细地显示已过滤的系统列表，并且可让您在系统上执行更新和唤醒等操作。
“状态” 显示由三个部分组成的栏，用于指示部署进度及其状态。
“标记” 显示与系统行相关联的标记。
另请参阅
产品部署项目的优点第 153 页
选择产品部署方法第 152 页

默认配置和常见任务 4
使用系统树
初始配置期间，默认系统树组被配置为组织您的托管系统。
默认系统树示例
McAfee 创建默认策略，以保护大部分 McAfee ePO 用户及其普通的环境。要查看默认策略及其配置，请选择“菜单” |
“系统” | “系统树”。
图 4-3 默认系统树组织
系统树操作
该表列出系统树提供的操作类型。
“新建系统” 打开新建系统页面，从中可以向系统树添加系统。
“新建子组” 在系统树中创建子组。
“系统树操作” • “新建子组”— 在系统树中创建子组。 • “导出系统”— 将系统树中的系统列表导出
为 .txt 文件，以备以后使用。
• “重命名组”— 重命名选定的组。 • “立即排序”— 将选定的组分类到启用基于标
准分类的组。
• “删除组”— 删除选定的组。
表“操作” • “选择列”— 打开选择列页面，从中可以选择 • “代理”— 指定可以针对选定系统上的代理执

要在系统树页面上显示的列。行的操作。
• “导出表”— 使您可以导出该表。 • “目录管理”— 指定可用来管理目录中系统的
操作。
• “标记”— 使您可以更改标记列中的标记。

另请参阅
组织系统第 99 页
使用策略
初始配置期间，会将您的所有 McAfee 许可产品安装到您的托管系统中。这些产品都提供相关的默认策略，为您的系
统提供保护。
默认策略示例
McAfee 创建默认策略，以保护大部分 McAfee ePO 用户及其普通的环境。要查看默认策略及其配置，请选择“菜单” |
“策略” | “策略目录”，然后从下拉列表中选择产品和类别。
例如，从产品列表中，选择“McAfee Agent”和类别“全部”。
图 4-4 默认 McAfee Agent 策略示例
策略操作
该表列出策略目录页面上可用的策略更改。
“删除” 删除策略。
“复制” 复制策略，以便对其进行更改。
“导出” 将策略导出为 XML 文件。
“重命名” 允许您重命名策略。
“共享”或“取消共享” 单击该选项，从而与其他 McAfee ePO 服务器共享或取消共享策略。

查看或更改双击策略名称，以查看或更改策略配置。
要记录策略修订版，请在策略目录页面页脚中复制旁边的文本字段中键入备注。
更改策略时，受影响的系统数量会列在页面顶端。
“导入”或“导出” 导入或导出针对该产品选择的所有策略和类别。
“新建策略” 打开创建新策略对话框，从中创建选定产品和类别类型的策略。
另请参阅
分配策略第 6 页
使用客户端任务
初始配置期间，会将您的所有 McAfee 许可产品安装到您的托管系统中。所有这些产品都提供相关的默认客户端任
务，为您的系统提供保护。
默认客户端任务包括：
• 收集系统的相关信息并将其发送至 McAfee ePO。
• 扫描系统，避免出现攻击。
• 在添加软件或安装新版本时自动添加和更新软件。
默认客户端任务示例
McAfee 创建默认客户端任务，以保护大部分 McAfee ePO 用户及其普通的环境。要查看默认客户端任务及其配置，
请选择“菜单” | “策略” | “客户端任务目录”，然后从“客户端任务类型”列表中展开产品和客户端任务类型。
例如，在“客户端任务类型”列表中，展开“McAfee Agent”，选择“McAfee Agent 统计信息”并单击名称列中的“全部收

集”。
图 4-5 默认 McAfee Agent 统计信息示例客户端任务

客户端任务操作
该表列出您可以在“客户端任务目录”页面对客户端任务进行的更改。
“新建任务” 打开创建新策略对话框，您可以从中为选定产品创建客户端任务。
任务目录操作 • “导入”— 打开导入页面，您可以从中导入 XML 文件的客户端任务对象。
• “全部导出”— 打开导出页面，您可以从中导出 XML 文件，其中包含任务类型窗格中列出的产品的

所有客户端任务对象。
客户端任务行 • “查看”— 双击客户端任务名称，以查看配 • “分配”— 打开“选择组”任务页面，您可以在

操作置。该页面的“系统树”中确定要被分配该任务的
组。
• “删除”— 删除该客户端任务。 • “共享”或“取消共享”— 单击该选项，与其他
McAfee ePO 服务器共享或取消共享该客户
端任务。
• “复制”— 复制客户端任务，以便对其进行更
改。
另请参阅
客户端任务第 184 页

使用服务器任务
初始配置期间，会将您的所有 McAfee 许可产品安装到您的托管系统中。所有这些产品都提供相关的默认服务器任
务，为您的系统提供保护。
默认服务器任务示例
McAfee 创建默认服务器任务，以保护大部分 McAfee ePO 用户及其普通的环境。要查看默认服务器任务及其配置，
请选择“菜单” | “自动” | “服务器任务”。
图 4-6 默认服务器任务示例
例如，要熟悉服务任务配置，请在名称列中查找“下载软件产品列表”并单击“操作”列中的“查看”。
服务器任务操作
该表列出您可以在服务器任务页面对服务器任务进行的更改。
“新建任务” 启动服务器任务生成器，从中可以创建和计划服务器任务。
“导入任务” 打开导入计划任务页面，从中可以选择要导入的文件。

您选择服务器 • “选择列”— 打开一个对话框，可从中选择要显示的列。
任务后显示表
“操作” • “删除”— 删除该服务器任务。
• “复制”— 复制服务器任务，以便对其进行更改。
• “编辑”— 打开服务器任务生成器页面，其中包含加载的选定服务器任务的设置，以便您编辑和保
存设置。
• “启用”或“禁用”— 启用或禁用选定的任务。禁用某个任务后，该任务即使在计划中也无法运行。
• “导出表”— 打开导出页面。使用此选项可以指定要导出的文件的格式和包。您可以保存或通过电
子邮件发送导出的文件。
• “导出任务”— 打开导出页面。使用此选项可以指定要导出的文件的格式和包。您可以保存或通过
电子邮件发送导出的文件。
• “运行”— 立即运行该服务器任务。
• “查看”— 使您可以查看服务器任务配置。
服务器任务行 • “查看”— 使您可以查看服务器任务配置。

“操作”
• “编辑”— 打开服务器任务生成器页面，其中包含加载的选定服务器任务的设置，以便您编辑和保
存设置。
• “运行”— 立即运行该服务器任务。
另请参阅
服务器任务第 181 页

使用信息显示板和监视器
初始配置期间，会将您的所有 McAfee 许可产品安装到您的托管系统中。所有这些产品都针对您的系统具备相关的信
息显示板和监视器。
信息显示板示例
McAfee 针对普通环境中的 McAfee ePO 系统创建了多个默认信息显示板和监视器。要查看默认信息显示板和监视器
及其配置，请选择“菜单” | “报告” | “信息显示板”。
图 4-7 信息显示板示例
显示的初始信息显示板取决于您处于初始配置的哪个阶段。在前 24 个小时中，您登录 McAfee ePO 后会显示“开始使

用 McAfee ePolicy Orchestrator”信息显示板。此后，会默认显示 ePO 摘要信息显示板。
要熟悉信息显示板配置，请在“信息显示板”列表中单击“执行信息显示板”、“引导式配置”或针对您的产品软件添加的任意
信息显示板。
信息显示板操作
该表列出信息显示板页面上提供的操作。
信息显示板操作说明
“新建” 启动“新建信息显示板”对话框，从中可以创建信息显示板。
“复制” 打开复制信息显示板对话框，以便创建当前信息显示板的可自定义副本。
“删除” 删除当前显示的复制的监视器。
“导入” 启动导入信息显示板页面，从中可以选择要导入的信息显示板 XML 文件。
“导出” 立即将当前显示的信息显示板导出到 XML 文件。
“添加监视器” 显示信息显示板类别列表，从中可以将之前保存的监视器添加到显示器中。
另请参阅
信息显示板和监视器第 4 页

使用查询和报告
初始配置期间，会将您的所有 McAfee 许可产品安装到您的托管系统中。这些产品具备可以使用的相关默认查询和报
告。
默认查询示例
McAfee 已创建默认查询和报告，可以满足大部分 McAfee ePO 用户及其普通环境的要求。要查看查询和报告及其配
置，请选择“菜单” | “报告” | “查询和报告”。
图 4-8 默认查询示例
要熟悉查询及其工作原理，请选择查询和报告页面中的“查询”选项卡。在组列表中，单击“全部”以展开列表。您现在可

以查看查询选项卡中的查询。例如，“代理通信摘要”。在“代理通信摘要”行的操作列中，单击“运行”。
饼图显示托管系统的数量以及符合默认 McAfee ePO 策略的系统数量。
查询和报告操作
该表列出查询和报告页面上提供的选项。此处的查询和报告选项与单击“查询”或“报告”选项卡时提供的选项相似。
“新建查询”或“新打开“查询生成器”页面或报告工具框，以开始创建您自己的查询或报告。
建报告”
“导入查询”或“导将之前保存的 XML 文件导入到选定的组。
入报告”

确认系统保护和查看威胁 4
“组操作” • “新建组”— 打开“编辑组”页面，从中可以编辑选定组的名称和可见性。
• “删除组”— 删除选定组中的所有查询或报告。
• “编辑组”— 打开“新建组”对话框，从中可以创建查询组。
您选择查询或报 • “删除”— 删除该查询或报告。 • “移动到不同组”— 将选定的查询移动到指

告后显示表“操作” 定的查询组。或者您可以将查询拖放到
任意查询组。
• “复制”— 复制该查询或报告，以便您对其 • “从选择中新建报告”— 启动“报告布局”，
进行更改。其中填充了所选查询的详细信息。
• “编辑”— 打开配置页面并显示所加载的副 • “运行”— 立即运行查询或报告。
本或新查询或报告的设置，以便您编辑和
保存设置。
• “导出查询”或“导出报告”— 将选定的查询 • “计划”— 打开“服务器任务生成器”，从中
或报告导出为 XML 文件。可以创建用于按计划运行查询的服务器任
务。
• “导出查询数据”— 打开“导出”页面，从中 • “查看 SQL”— 打开“查看查询 SQL”页面，
可以配置导出文件选项。从中可以查看或复制查询的 SQL 脚本。
另请参阅
生成查询和报告第 4 页
您可以在托管系统上运行防恶意软件测试文件，以了解如何删除样本威胁及其在 McAfee ePO 中的显示形式。
病毒测试流程
以下任务介绍如何在托管系统上运行防恶意软件测试文件，以了解如何删除病毒及其在 McAfee ePO 中的显示形式。
在托管系统上运行该防恶意软件测试文件时，您可以执行以下操作：
• 确认对您的系统进行管理并提供保护。
• 了解如何跟踪从托管系统到 McAfee ePO 的事件。
• 查看威胁事件在 McAfee ePO 用户界面中的显示方式和位置。
任务
• 在托管系统上运行样本威胁第 66 页
您物理登录到托管系统，或远程登录到该系统，以运行防恶意软件测试文件。
查找要通过系统树测试的系统
系统树会列出所有托管系统及其状态。选择一个您可以从中运行防恶意软件测试文件的系统。
开始之前
您必须具备托管系统的管理员权限，才可以运行防恶意软件测试文件。
选择未运行关键流程的系统。例如，请勿在服务器上运行防恶意软件测试文件。

任务
1 请选择“菜单” | “系统” | “系统树”，然后单击“系统”选项卡，以显示托管系统列表。

如果未显示任何系统，请单击“预设”列表中的“此组和所有子组”。
2 单击“系统名称”列中的系统，以打开“系统信息”页面。
3 向下滚动列表查找您需要的信息，以远程登录到测试系统。例如，您可以使用以下信息：
• “DNS 名称”
• “IP 地址”
• “系统描述”
4 单击“产品”选项卡，以查看测试系统上安装的产品和版本的列表。
5 确认已在测试系统上安装 Endpoint Security 威胁防护。
您现在已具备远程登录测试系统并运行防恶意软件测试文件所需的信息。
另请参阅
请从系统树中确认系统管理第 55 页
在托管系统上运行样本威胁
您物理登录到托管系统，或远程登录到该系统，以运行防恶意软件测试文件。
开始之前
您必须具备托管系统的管理员权限，才可以运行防恶意软件测试文件。
任务
1 要通过管理员权限登录测试系统。
您可以通过以下方法登录到测试系统：
• 访问系统并登录。
• 使用远程连接（例如 Windows 远程桌面连接）登录。
2 使用 Web 浏览器，连接到 EICAR 站点，并从以下位置下载防恶意软件测试文件：

http://www.eicar.org/86-0-Intended-use.html
3 根据说明下载并运行 68 位 eicar.com 防恶意软件测试文件。
防恶意软件测试文件可能会运行并被删除，也可能在运行前被阻止。
4 在 Windows 中，单击“开始” | “所有程序” | “McAfee” | “McAfee Endpoint Security”，然后单击“状态”。
威胁摘要会列出威胁类型以及收到的威胁数量。
5 单击“事件日志”，从而在事件表中显示威胁事件。
表的底部窗格中列出威胁事件的详细信息。

后续操作 4
确认 McAfee ePO 中的威胁响应

了解在 McAfee ePO 中何处查找威胁事件，这是为托管系统提供保护的重要部分。
开始之前
您必须要运行 EICAR 防恶意软件测试文件，以了解是否存在任何威胁事件。
任务
1 请登录 McAfee ePO 并单击“菜单” | “报告” | “信息显示板”。
2 在信息显示板列表的标题栏中，选择该表中介绍的一个信息显示板。
信息显示板威胁说明
“ePO 摘要” 以恶意软件检测历史记录折线图的形式显示最近的威胁。
“执行信息显示板” 显示恶意软件检测历史记录折线图。
“威胁事件” 通过以下信息显示板显示最近的威胁：
• 数量最多的威胁事件说明表
• 按系统树组划分的威胁事件表和饼图
• 最近 24 小时内的威胁事件说明表和饼图
• 最近 2 周内的威胁事件折线图
3 单击“菜单” | “报告” | “威胁事件日志”，以查看最近威胁的说明。

表中的信息包括：
• 事件生成时间 • 威胁目标 IPv4 地址
• 事件 ID • 采取的操作
• 事件说明 • 威胁类型
• 事件类别
4 单击表中的事件，以查看威胁的所有详细信息。
5 在威胁详细信息末尾，单击“转到相关系统”，以查看受影响系统的详细信息。
另请参阅
在托管系统上运行样本威胁第 66 页
后续操作
执行所有初始配置并确保您的托管系统得到保护后，您可能希望根据网络安全需求考虑其他配置步骤。
其他简单步骤可帮助您管理 McAfee ePO，包括：
• 添加其他 McAfee ePO 用户和权限。
• 组织系统树，以反映地理位置、政治或功能边界。
• 添加标记，以识别系统并对其排序。
• 将自动响应配置为在符合某些规则时执行。

后续操作
对于更为复杂或规模更大的托管网络：
• 创建自定义服务器或客户端任务。 • 监控带宽使用情况及其对 McAfee ePO 性能的影

响。
• 创建手动策略管理、产品软件并更新配置。 • 运行维护任务，以优化和保护您的 McAfee ePO

服务器数据。
• 添加代理处理程序和远程存储库。 • 运行自动查询和报告。
• 创建自定义 SSL 证书。

高级配置
之前的章节介绍了如何对 McAfee ePO 进行初始配置并学习成功运行查询和报告。这些
章节介绍诸如如何添加更多托管系统，进行详细的配置更改以及服务器维护等内容。
第5章信息显示板和监视器
第6章生成查询和报告
第7章灾难恢复
第8章使用系统树和标记
第9章用户帐户和权限集
第 10 章软件管理器
第 11 章手动进行包和更新管理
第 12 章部署产品
第 13 章分配策略
第 14 章服务器和客户端任务
第 15 章设置自动响应
第 16 章代理与服务器之间的通信
第 17 章自动化和优化 McAfee ePO 工作流
第 18 章存储库
第 19 章代理处理程序
第 20 章维护您的 McAfee ePO 服务器、SQL 数据库和带宽
第 21 章通过查询报告

高级配置

5 信息显示板和监视器
信息显示板有助于持续监视您的环境。
信息显示板是监视器的集合。监视器可将环境信息浓缩为易于理解的图形和图表。
通常，相关的监视器会编成一组，显示在特定的信息显示板上。例如，威胁事件信息显示板包含四个监视器，显示有
关网络所面临威胁的信息。
您必须有相应权限才能查看或修改信息显示板和监视器。
目录
管理信息显示板
导出和导入信息显示板
指定首次信息显示板
管理信息显示板监视器
移动信息显示板监视器和调整其大小
设置默认监视器的刷新时间间隔
自定义信息显示板和监视器，以获取所需的角色和环境相关信息。
信息显示板是监视器的集合。监视器可将环境信息浓缩为易于理解的图表。通常，相关的监视器会编成一组，显示在特
定的信息显示板上。例如，威胁事件信息显示板包含四个监视器，显示有关网络所面临威胁的信息。
McAfee ePO 控制台带有一个默认信息显示板，会在您首次登录时显示。下次登录时，信息显示板页面会显示您上次

使用的信息显示板。
如果您删除了所有默认信息显示板，那么在启动 McAfee ePO 时，信息显示板页面中间会显示以下文本：未配置任何

信息显示板。创建新的信息显示板或导入现有信息显示板。
若要切换信息显示板，从下拉列表中选择其他信息显示板即可。共有三种不同类型的信息显示板可供选择。
• “McAfee 信息显示板” — McAfee 信息显示板不可编辑，但所有用户均可查看。您可复制 McAfee 信息显示板，作
为您自定义信息显示板的起点。
• “公共信息显示板” — 公共信息显示板是用户创建的在用户间共享的信息显示板。
• “私人信息显示板” — 您为了供自己使用而创建的信息显示板。私人信息显示板不在用户之间共享。
创建私有或公共信息显示板时，可将您想要的监视器从监视器库拖放至新的信息显示板中。
另请参阅
管理信息显示板第 72 页
管理信息显示板监视器第 74 页
导出和导入信息显示板第 73 页

创建、编辑、复制、删除权限，并将其分配到信息显示板。
开始之前
您必须有相应权限才能修改信息显示板。
无法修改或删除 ePolicy Orchestrator 附带的默认信息显示板和预定义查询。要进行更改，请先复制并重命名，然后修

改重命名后的信息显示板或查询。
任务
1 选择 “菜单” | “报告” | “信息显示板”，导航至信息显示板页面。
2 选择以下一项操作。
操作步骤
创建信息若要在环境中创建其他视图，请创建新的信息显示板。
显示板
1 单击“信息显示板操作” | “新建”。
2 键入名称，选择“信息显示板可见性”选项，然后单击“确定”。
此时会显示一个新的空白信息显示板。可以根据需要向新信息显示板中添加监视器。
编辑权限信息显示板仅对具有适当权限的用户可见。信息显示板会分配到与查询或报告完全相同的权限。它们

并将其分可以完全专用、完全公开，或者与一个或多个权限集共享。
配到信息
1 单击“信息显示板” | “编辑”。
显示板
2 选择权限：
• “私有” — 不共享该信息显示板
• “公开” — 与所有人共享该信息显示板
• “已共享”— 与以下权限集共享该信息显示板
要使用该选项，您必须还要选择一个或多个权限集。
3 单击“确定”以更改信息显示板。
除了信息显示板中包含的一个或多个查询之外，还可以使用更广泛的权限创建信息显示板。如果执行
此操作，具有基础数据访问权限的用户在打开信息显示板时将会看到查询。没有基础数据访问权限的
用户则会收到一条消息，告知他们没有访问此查询的权限。如果查询为信息显示板创建者所专有，则
仅信息显示板创建者可以修改此查询，或将其从信息显示板中删除。
复制信息有时，创建新信息显示板的最简便方法是复制与您所需的信息显示板类似的现有信息显示板。
显示板
1 单击“信息显示板” | “复制”。
2 ePolicy Orchestrator 通过在现有名称后面附加“(copy)”来对副本进行命名。如果要修改该名称，请

立即修改并单击“确定”。
此时将打开信息显示板的副本。
此副本完全复制了原始信息显示板（包括所有权限）。只不过更改了名称而已。
删除信息 1 单击“信息显示板操作” | “删除”。

显示板
2 单击“确定”以删除信息显示板。
删除该信息显示板后，您将看到系统默认的信息显示板。如果此信息显示板是用户最后查看的信息显
示板，则当他们下次登录时，将看到系统默认的信息显示板。
另请参阅
使用信息显示板和监视器第 71 页

信息显示板和监视器
导出和导入信息显示板 5
导出和导入信息显示板
充分定义您的信息显示板和监视器后，将其迁移到其他 McAfee ePO 服务器的最快捷方式是将其导出并导入到其他服
务器。
开始之前
套导入信息显示板，您必须能够访问 XML 文件中包含的以前导出的信息显示板。
导出为 XML 文件的信息显示板可以导入到相同或不同的系统中。
任务
1 选择 “菜单” | “报告” | “信息显示板”。
2 选择以下任一操作。
操作步骤
导出信息 1 单击 “信息显示板操作” | “导出”。
显示板
根据浏览器设置，浏览器将尝试下载 XML 文件。
2 将所导出的 XML 文件保存到适当的位置。
导入信息 1 单击 “信息显示板操作” | “导入”。

显示板
此时会显示导入信息显示板对话框。
2 单击“浏览”，然后选择包含已导出信息显示板的 XML 文件。单击“打开”。
3 单击“保存”。
此时会显示导入信息显示板确认对话框。其中会显示此文件中信息显示板的名称，以及信息显示板
在系统中所显示的名称。默认情况下，该名称是信息显示板在导出时所用名称的后面附加
(imported)。
4 单击“确定”。如果您不希望导入信息显示板，则单击“关闭”。
此时将显示导入的信息显示板。无论导出时的权限如何，导入的信息显示板都被授予私人权限。如果
您希望它们具备其他权限，请在导入信息显示板后对其进行更改。
另请参阅
指定首次信息显示板
使用信息显示板服务器设置，您可以指定用户首次登录时看到的信息显示板。
您可以通过将信息显示板映射到用户的权限集，来指定用户首次登录时看到的信息显示板。将信息显示板映射到权限
集，可确保自动为已分配特定角色的用户提供其所需的信息。
任务
1 打开编辑信息显示板页面。
b 从“设置类别”列表中，选择“信息显示板”。
c 单击“编辑”。

2 在“特定权限集的默认信息显示板”旁，指定每个权限集显示的默认信息显示板。从菜单中选择权限集和默认信息显
示板。
使用和添加或删除权限集和信息显示板配对。您无需指定每个权限集的默认信息显示板。
配对顺序可确定分配超过一个以上的权限集时，用户可以看到的默认信息显示板。
用户首次登录时，会在权限集上看到您指定的信息显示板。后续登录会让用户返回到上次注销时所在的页面。
您可以从信息显示板创建、添加和删除监视器。
开始之前
您对要修改的信息显示板必须具有写入权限。
如果您没有查看监视器所需的必要权限或产品许可证，或如果监视器的基础查询不再可用，则显示一条消息而不是监视
器。
任务
1 选择 “菜单” | “报告” | “信息显示板”。从信息显示板下拉列表中选择信息显示板。

信息显示板和监视器
移动信息显示板监视器和调整其大小 5
操作步骤
添加监 1 单击“添加监视器”。
视器
此时会在屏幕顶部出现监视器库。
2 从“查看”下拉列表中选择一个监视器类别。
该类别中的可用监视器将出现在库中。
3 将监视器拖到信息显示板上。当您在信息显示板中移动光标时，适合放置的最近的位置会突出显示。
将监视器拖至所需的位置。
此时会出现新建监视器对话框。
4 根据需要配置监视器（每个监视器都有其自己的一组配置选项），然后单击“确定”。
5 在将监视器添加到此信息显示板之后，请单击“保存更改”以保存新配置的信息显示板。
6 在完成更改之后，请单击“关闭”。
如果将包含 Adobe Flash 内容或 ActiveX 控件的自定义 URL 查看器监视器添加到信息显示板中，则这些内

容可能会遮掩 McAfee ePO 菜单，导致菜单的某些部分无法访问。
编辑监每个监视器类型支持的配置选项各不相同。例如，查询监视器允许更改查询、数据库和刷新时间间隔。

视器
1 选择要管理的监视器，单击左上角的箭头，然后选择“编辑监视器”。
此时会出现监视器的配置对话框。
2 在修改完监视器设置之后，单击“确定”。如果决定不更改，请单击“取消”。
3 如果决定将发生的更改保存到信息显示板，单击“保存”，否则单击“放弃”。
删除监 1 选择要删除的监视器，单击左上角的箭头，然后选择“删除监视器”。
视器
此时会出现监视器的配置对话框。
2 修改完信息显示板之后，单击“保存更改”。要将信息显示板还原到以前的状态，请单击“放弃更改”。
另请参阅
移动信息显示板监视器和调整其大小
您可以移动监视器并调整其大小，以便高效地利用屏幕空间。
开始之前
您对要修改的信息显示板必须具有写入权限。
您可以更改多个信息显示板监视器的大小。如果监视器在其右下角显示有小对角线，则您可以调整它的大小。通过在当
前信息显示板中拖放来移动监视器并调整其大小。

任务
1 移动监视器或调整其大小：
• 要移动信息显示板监视器，请执行以下操作：
1 通过监视器的标题栏将监视器拖至您希望其出现的位置。
在您移动光标时，监视器的背景轮廓会移动到监视器的最近可用位置。
2 当背景轮廓调整到您希望的位置之后，放下监视器。
如果您尝试将监视器放在无效的位置，它会返回到先前的位置。
• 要调整信息显示板监视器的大小，请执行以下操作：
1 将监视器右下角的调整大小图标拖至适当位置。
在您移动光标时，监视器的背景轮廓会更改形状，以反映出最接近于当前光标位置的支持大小。监视器可以
实施最小或最大的大小。
2 当背景轮廓调整到您希望的大小之后，放下监视器。
如果您尝试将监视器的大小调整为监视器当前位置不支持的形状，则它会返回到原来的位置。
2 单击“保存更改”。要还原到以前的配置，请单击“放弃更改”。
使用信息显示板服务器设置指定刷新新监视器的默认率。
自动刷新监视器。每次进行刷新时，便会运行基础查询，而结果会显示在信息显示板中。对于新监视器的默认刷新时间
间隔，请选择频繁到足以确保会显示准确且及时的信息，但不会消耗过度网络资源的时间间隔。默认时间间隔为五分
钟。
任务
1 打开编辑信息显示板页面。
b 从设置类别列表中，选择“信息显示板”。
c 单击“编辑”。
2 在“新监视器的默认刷新时间间隔”旁，输入 1 分钟到 60 小时的值。
新监视器会根据您指定的时间间隔刷新。现有监视器会保留其原始刷新时间间隔。
用户可以随时在编辑监视器窗口中更改各个监视器的刷新时间间隔。

6 生成查询和报告
McAfee ePO 自带查询和报告功能。

其中包括查询生成器和报告生成器，这些生成器都可创建并运行查询和报告，在用户配置的图表和表中生成用户配置的
数据。这些查询和报告的数据可从 ePolicy Orchestrator 系统中任何已注册的内部或外部数据库中获得。
除了查询和报告系统外，还可以使用以下日志收集 McAfee ePO 服务器和网络中活动的相关信息：

• 审核日志
• 服务器任务日志
• 威胁事件日志
目录
查询和报告权限
查询简介
查询生成器
处理查询
关于报告
报告的结构
创建报告
编辑现有报告
按计划运行报告
查看报告输出
配置导出报告的模板和位置
组合报告
查询和报告权限
以多种方式限制对查询和报告的访问。
要运行查询或报告，您不仅需要查询或报告权限，还需要与结果类型相关联的功能集。通过查询结果页面，只能访问您
权限集允许的操作。
组和权限集控制对查询和报告的访问权限。所有查询和报告都必须属于某个组，对某个查询或报告的访问权限由其所在
组的权限级别控制。查询和报告组可以采用下列权限级别之一：
• “私有” — 仅创建该组的用户可以使用。
• “公用” — 该组被全局共享。
• “根据权限集” — 仅被分配选定权限集的用户可使用该组。
权限集具有四种级别的查询或报告访问权限。这些权限包括：

查询简介
• “无权限” - 无权限的用户无法使用查询或报告选项卡。
• “使用公共查询” - 授予公共组中包含的任何查询或报告的使用权限。
• “使用公共查询；创建并编辑个人查询” - 授予公共组中包含的任何查询或报告的使用权限，以及允许使用查询生成
器向导在专用组中创建并编辑查询或报告。
• “编辑公共查询；创建并编辑个人查询；公开个人查询” - 授予公共组中包含的任何查询或报告的使用和编辑权限，
允许在专用组中创建并编辑查询或报告，以及允许将专用组中的查询或报告移到公共组或共享组。
查询简介
通过查询，您可以轮询 McAfee ePO 数据。通过查询收集的信息以图表和表格形式返回。
可以使用查询来立即获取答案。查询结果可以采用多种格式导出，这些格式均可以下载或以电子邮件附件的形式发
送。大多数查询也可用作信息显示板监视器，实现接近实时的系统监视。也可将查询合并到报告中，使得报告在
McAfee ePO 软件系统中看起来更加全面和系统化。
无法修改或删除 McAfee ePO 附带的默认信息显示板和预定义查询。但您可以对其进行复制，然后根据需要对副本进

行重命名和修改。
查询结果是可操作的
表（和深入查询表）中显示的查询结果可对选定项目执行操作。结果页底部提供了可用操作。
将查询用作信息显示板监视器
可以将大部分查询（使用表显示最初结果的查询除外）用作信息显示板监视器。信息显示板监视器会以用户配置的时间
间隔（默认值为 5 分钟）自动刷新。
导出的结果
查询结果可导出为四种格式。导出的结果是历史数据，在被用作信息显示板监视器时不会像其他监视器一样进行刷
新。与控制台中显示的查询结果和基于查询的监视器相似，您可以深入查询 HTML 导出结果，了解更多详细信息。
导出报告中的数据是不可操作的，这一点与控制台中的查询结果不同。
报告的可用格式如下：
• CSV - 在电子表格应用程序（如 Microsoft Excel）中使用数据。
• XML — 转换数据以用于脚本和其他用途。
• HTML - 通过网页形式查看导出的结果。
• PDF - 打印结果。
在报告中合并查询
报告可包含任意数量的查询、图像、静态文本以及其他项目。可按需或定期运行它们，报告还可生成 PDF 文件以便在
McAfee ePO 外部查看。
在服务器间共享查询
任何查询都可导入和导出，因此您可以在服务器之间分享查询。在多服务器环境中，您一次只能创建一个查询。
从不同的源检索数据
查询可从任意已注册的服务器（包括 McAfee ePO 外部的数据库）检索数据。

生成查询和报告
查询生成器 6
查询生成器
McAfee ePO 提供一个简单的四步向导，用于创建和编辑自定义查询。通过此向导，您可以配置检索和显示的数据，
以及数据的显示方式。
结果类型
在查询生成器中，首先要从功能组中选择架构和结果类型。此选择会确定查询功能从何处检索数据及其检索的数据类
型，以及向导其余部分中的可用选项。
图表类型
McAfee ePO 提供大量图表和表，来显示它检索的数据。这些图表及其深入查询表都具有很高的可配置性。
表不包含深入查询表。
表 6-1 图表类型组
类型图表或表
柱状 • 柱状图
• 分组柱状图
• 堆叠柱状图
饼状 • 布尔饼图
• 饼图
气泡 • 气泡图
摘要 • 多组摘要表
• 单组摘要表
折线 • 多折线图
• 单折线图
列表 • 表
表列
指定表的列。如果您选择“表”作为数据的主要显示方式，则会以此配置该表。如果您选择了一种图表类型作为数据的主
要显示方式，则会以此配置深入查询表。
表中显示的查询结果是可操作的。例如，如果用系统填充了表，则可以直接从表中部署或唤醒这些系统中的代理。
过滤器
通过选择属性和运算符来指定标准，以限制查询检索的数据。

处理查询
处理查询
可以根据需要对查询执行运行和导出等操作。
任务
• 管理自定义查询第 80 页
您可以根据需要创建、复制、编辑和删除查询。
• 按计划运行查询第 81 页
服务器任务用于定期运行查询。查询可以包含允许您执行多种任务的子操作，例如，通过电子邮件发送查
询结果或者使用标记。
• 创建查询组第 82 页
查询组可让您保存查询或报告，而不让其他用户对其进行访问。
管理自定义查询
您可以根据需要创建、复制、编辑和删除查询。
任务
1 打开查询和报告页面：选择 “菜单” | “报告” | “查询和报告”。

处理查询 6
操作步骤
创建自 1 单击“新建查询”，此时将显示查询生成器。
定义查
询 2 在结果类型页上，为该查询选择“功能组”和“结果类型”，然后单击“下一步”。
3 选择用于显示主要查询结果的图表或表的类型，然后单击“下一步”。
如果选择“布尔饼图”，则要先配置要在查询中包括的标准，然后再继续。
4 选择要在查询中包括的列，然后单击“下一步”。
如果选中了图表页中的“表”，则在此处选定的列就是该表的列。否则，这些列就是构成查询详细信息
表的列。
5 选择一些属性来缩小搜索结果，然后单击“运行”。
未保存的查询页显示了查询结果，可对其中的查询结果进行操作。可以在任何表或深入查询表的项目
上执行任何可用操作。
选定的属性出现在内容窗格中，内容窗格中带有可指定标准的运算符，可缩小针对该属性返回的数据
的范围。
• 如果查询未返回预期结果，请单击“编辑查询”以返回至“查询生成器”，然后编辑该查询的详细信息。
• 如果您不希望保存查询，则单击“关闭”。
• 如果要再次使用此查询，请单击“保存”，然后继续下一步。
6 此时将显示保存查询页面。键入查询的名称，添加任何备注，然后选择下列选项之一：
• “新建组”- 键入新组的名称，然后选择下列任一选项：
• “专用组(我的组)”
• “公共组(共享组)”
• “现有组”- 从“共享组”列表中选择组。
新查询将出现在查询列表中。
复制查 1 从列表中选择要复制的查询，然后单击 “操作” | “复制”。

询
2 在“复制”对话框中，键入副本的名称，并选择接收查询副本的组，然后单击“确定”。
复制的查询将出现在查询列表中。
编辑查 1 从列表中选择要编辑的查询，然后单击 “操作” | “编辑”。

询
2 编辑查询设置，并在完成时单击“保存”。
更改的查询将显示在查询列表中。
删除查 1 从列表中选择要删除的查询，然后单击 “操作” | “删除”。

询
2 当出现确认对话框时，单击“是”。
该查询将不再出现在查询列表中。如果任何报告或服务器任务使用了该查询，则这些报告或任务现在将
显示为无效，直到您删除对该已删除查询的引用。
按计划运行查询
服务器任务用于定期运行查询。查询可以包含允许您执行多种任务的子操作，例如，通过电子邮件发送查询结果或者使
用标记。

处理查询
任务
1 打开服务器任务生成器。
a 从查询和报告页面中，选择一个查询。
b 选择 “操作” | “计划”。
2 在描述页上，提供任务的名称并描述任务，然后单击“下一步”。
3 从“操作”下拉菜单中，选择“运行查询”。
4 在“查询”字段中，浏览至要运行的查询。
5 选择结果的显示语言。
6 从“子操作”列表中，选择要根据结果采取的操作。可采取的子操作取决于用户权限，以及您的 McAfee ePO 服务器

托管的产品。
您可以对查询结果选择多项操作。单击 “+” 按钮添加要对查询结果采取的操作。请务必按照准备在查询结果上执行的

操作顺序来排列操作。
8 安排该任务，然后单击“下一步”。
9 验证任务的配置，然后单击“保存”。
任务将添加到服务器任务页面上的列表中。如果已启用此任务（这是默认设置），则它会在下个计划的时间运行。如果
任务被禁用，那么只有单击“服务器任务”页面上此任务旁边的运行才能运行此任务。
创建查询组
查询组可让您保存查询或报告，而不让其他用户对其进行访问。
创建组后，您可按功能对查询和报告进行分类，并控制访问权限。您在 ePolicy Orchestrator 软件中看到的组列表是您
已创建的组和有权限查看的组的组合。
您也可以在保存自定义查询的同时创建专用查询组。
任务
1 选择 “菜单” | “报告” | “查询和报告”，然后单击 “组操作” | “新建组”。
2 在“新建组”页面中，键入组名。
3 从“组可见性”中选择以下选项之一：
• “专用组” - 将新组添加到“我的组”下面。
• “公共组” — 将新组添加到“共享组”下面。有权访问公共查询和报告的任何用户都可以看见组中的查询和报告。
• “按权限集共享” — 将新组添加到“共享组”下面。只有分配了选定权限集的用户才能访问该组中的报告或查询。
管理员对所有按权限集共享和公共组查询具有完全访问权限。

关于报告 6
关于报告
报告可将查询结果打包成 PDF 文档，从而让您进行离线分析。
生成报告，以与安全管理员和其他利益相关方共享网络环境的相关信息。
报告是显示一个或多个查询中数据的可配置文档，这些查询可以从一个或多个数据库提取数据。每个报告的最新运行
结果会存储在系统中，以供随时查看。
您可以使用组和权限集限制对报告的访问，方法与限制对查询的访问相同。报告和查询可以使用相同的组。由于报告
主要由查询组成，该配置允许使用一致的访问控制。
报告的结构
报告包含以基本格式保存的许多元素。
当报告可高度自定义时，会构成一个基本结构，并在其中包含所有不同的元素。
页面大小和方向
McAfee ePO 目前支持六种页面大小和方向组合。这些组合包括：
页面大小:
• US Letter (8.5" x 11")
• US Legal (8.5" x 14")
• A4 (210 mm x 297 mm)
方向:
• 横向
• 纵向
页眉和页脚
页眉和页脚也可以选择使用系统默认设置，或者使用多种方式进行自定义，包括添加徽标。页眉和页脚目前支持的元素
有：
• 徽标 • 用户名
• 日期/时间 • 自定义文本
• 页码
页面元素
页面元素提供此报告的内容。页面元素可按任何顺序组合，也可以根据需要复制。McAfee ePO 提供的页面元素是：
• 图像 • 查询表
• 静态文本 • 查询图表
• 分页符

创建报告
创建报告
您可以创建报告并将其存储在 McAfee ePO 中。
任务
1 选择 “菜单” | “报告” | “查询和报告”，然后选择“报告”选项卡。
2 单击“新建报告”。
3 单击“名称、说明和组”。对报告进行命名和说明，并选择合适的组。单击“确定”。
4 现在可以添加、删除和重新安排元素，自定义页眉和页脚，以及更改页面布局。可以随时单击“运行”查看进度。
5 完成后，请单击“保存”。
编辑现有报告
您可以修改现有报告的内容或显示顺序。
如果您创建新报告，单击“新建报告”后您将到达此屏幕。
任务
2 通过选中报告名称旁边的复选框可以从列表中选择报告。
3 单击“编辑”。
此时会显示报告布局页。
现在可以在报告中执行下列任何任务。
任务
• 将元素添加到报告第 84 页
您可以将新元素添加到现有的报告中。
• 配置图像报告元素第 85 页
上载新图像并修改报告中所用的图像。
• 配置文本报告元素第 85 页
您可以在报告中插入静态文本以解释其内容。
• 配置查询表报告元素第 86 页
某些查询在报告中以表的形式显示的效果更好。
• 配置查询图表报告元素第 86 页
某些查询在报告中以图表的形式显示的效果更好。
• 自定义报告第 86 页
自定义报告布局，以添加、删除或移动您需要的对象。
将元素添加到报告
您可以将新元素添加到现有的报告中。
开始之前
您必须要在报告布局页面上打开报告。

编辑现有报告 6
任务
1 从工具箱选择一个元素并将其拖放到报告布局上。
需要配置除分页符外的报告元素。此时会显示元素配置页面。
2 配置元素后，单击“确定”
配置图像报告元素
上载新图像并修改报告中所用的图像。
开始之前
任务
1 要配置报告中已存在的图像，请单击图像左上角的箭头，然后单击“配置”。
此时将显示配置图像页面。如果要向报告中添加图像，将图像元素拖放到报告上后，会立即出现配置图像页面。
2 要使用某现有图像，请从库中选择该图像。
3 要使用新图像，请单击“浏览”并从计算机中选择图像，然后单击“确定”。
4 要指定具体的图像宽度，请在图像宽度字段中输入宽度。
默认情况下，图像会以其现有的宽度显示而不进行大小调整，除非其宽度大于页面的可用宽度。在这种情况下，图
像会调整为该可用宽度，同时保持纵横比不变。
5 选择您希望图像左对齐、居中或右对齐，然后单击“确定”。
配置文本报告元素
您可以在报告中插入静态文本以解释其内容。
开始之前
任务
1 要配置报告中已存在的文本，请单击文本元素左上角的箭头。单击“配置”。
此时会显示配置文本页。如果要向报告中添加新文本，则将文本元素拖放到报告上后，会立即出现“配置文本”页。
2 编辑“文本”编辑框中的现有文本，或添加新文本。
3 恰当地更改字体大小。
默认值是 12 pt。
4 选择文本对齐方式：左对齐、居中或右对齐。
5 单击“确定”。
您输入的文本会出现在报告布局的文本元素中。

编辑现有报告
配置查询表报告元素
某些查询在报告中以表的形式显示的效果更好。
开始之前
任务
1 要配置报告中已存在的表，请单击表左上角的箭头。单击“配置”。
此时会显示配置查询表页。如果要向报告中添加查询表，则将查询表元素拖放到报告上后，会立即出现“配置查询
表”页。
2 从“查询”下拉列表中选择一个查询。
3 从“数据库”下拉列表中选择要对其运行查询的数据库。
4 选择用于显示表数据的字体大小。
配置查询图表报告元素
某些查询在报告中以图表的形式显示的效果更好。
开始之前
任务
1 要配置报告中已存在的图表，请单击图表左上角的箭头。单击“配置”。
此时会显示配置查询图表页。如果要向报告中添加查询图表，则将查询表元素拖放到报告上后，会立即出现“配置查
询图表”页。
2 从“查询”下拉列表中选择一个查询。
3 选择是仅显示图表、仅显示图例，还是同时显示图表和图例。
4 如果已选择同时显示图表和图例，请选择图表和图例相对于彼此的放置方式。
5 选择用于显示图例的字体大小。
6 选择图表图像高度（以像素为单位）。
默认值是页高的三分之一。
自定义报告
自定义报告布局，以添加、删除或移动您需要的对象。

编辑现有报告 6
任务
1 选择“菜单” | “报告” | “查询”。选择“报告”选项卡。
2 选择报告并单击“操作” | “编辑”，然后执行所需操作。
操作步骤
自定义报告页眉和页脚提供有关报告的信息。
页眉和页脚
页眉和页脚中 6 个固定位置包含不同数据字段：
• 页眉字段：页眉包含 3 个字段。 1 个左对齐的徽标和 2 个右对齐的字段，上下排列。这些字段可
以包含以下 4 个值中的一个：
• 无
• 日期/时间
• 页码
• 运行报告的用户的用户名
• 页脚字段：页脚包含 3 个字段。一个左对齐，一个居中，一个右对齐。这 3 个字段还可包含列
出的值和自定义文本。
要自定义页眉和页脚，请执行以下步骤：
1 单击“页眉和页脚”。
2 默认情况下，报告使用页眉和页脚的系统设置。如果您不想使用默认设置，则取消选中“使用默认
服务器设置”。
要更改系统的页眉和页脚设置，请选择“菜单” | “配置” | “服务器设置”，然后选择“打印和导出”并单
击“编辑”。
3 要更改徽标，请单击“编辑徽标”。
a 如果您要设置文本徽标，请选择“文本”并在编辑框中输入文本。
b 要上传新徽标，请选择“图像”，然后浏览至计算机上的图像并选择该图像，然后单击“确定”。
c 要使用以前上传的徽标，请选择该徽标。
d 单击“保存”。
4 更改页眉和页脚字段以匹配所需数据，然后单击“确定”。
删除报告中如果不再需要，您可以删除报告中的元素。
的元素
1 单击您要删除的元素左上角的箭头，然后单击“删除”。
该元素被从报告中删除。
对报告总的您可以更改报告中元素显示的顺序。
元素重新排
1 要移动元素，请单击元素的标题栏并将其拖至新位置。
序
位于被拖动的元素下方的元素随着您在报告周围移动光标而移动。如果光标停在非法位置上方，
报告的一侧会显示红条。
2 元素处于您希望其显示的位置后，请放置元素。

创建用于自动运行报告的服务器任务。
如果您希望无需手动干涉地运行报告，则服务器任务是最好的方法。此任务将创建一个服务器任务，该任务允许按计划
自动运行给定的报告。
任务
a 在查询和报告页面中，选择一个报告。
b 选择 “操作” | “计划”。
2 对任务进行命名和说明，并指定计划状态，然后单击“下一步”。
如果您希望自动运行任务，请将“计划状态”设置为“已启用”。
3 从“操作”下拉列表中，选择“运行报告”。选择要运行的报告和目标语言，然后单击“下一步”。
4 选择运行报告的计划类型（频率）、日期和时间，然后单击“下一步”。
只有启用了“计划状态”，才能使用计划信息。
5 单击“保存”以保存服务器任务。
此时新任务将出现在“服务器任务”列表中。
查看报告输出
查看每份报告上次的运行版本。
报告每次运行时，结果将存储在服务器上，并显示在报告列表中。
报告运行时，先前的结果将被清除，且无法检索。如果您希望比较同一份报告的不同运行结果，请将输出结果存档到其
他位置。
任务
1 选择“菜单” | “报告” | “查询和报告”。
2 选择“报告”选项卡
在报告列表中，您会看到“上次运行结果”列。此列中的每一个条目都是一个链接，用于检索由上次成功运行该报告
所产生的 PDF 结果。从此列单击一个链接以检索报告。
PDF 将在浏览器中打开，且浏览器会按照已配置为该文件类型来执行操作。
配置导出报告的模板和位置
可以定义导出为文档的表和信息显示板的外观和存储位置。
使用打印和导出服务器设置，可以配置：

组合报告 6
• 页眉和页脚，包括自定义徽标、名称、页码等。
• 打印的页面大小和方向。
• 存储导出表和信息显示板的目录。
任务
有关选项定义，请单击界面中的“?”。
1 选择 “菜单” | “配置” | “服务器设置”，然后选择“设置”列表中的打印和导出。
2 单击“编辑”。此时会出现编辑打印和导出页面。
3 在“导出文档的页眉和页脚”部分中，单击“编辑徽标”以打开编辑徽标页面。
a 选择“文本”并键入您希望包括在文档页眉中的文本，或者执行下列操作之一：
• 选择“图像”并浏览到图像文件（如公司徽标）。
• 选择默认的 McAfee 徽标。
b 单击“确定”返回到编辑打印和导出页面。
4 从下拉列表中，选择要在页眉和页脚中显示的任何元数据。
5 选择“页面大小”和“页面方向”。
6 键入新位置或接受默认位置来保存导出的文档。
组合报告
必须将每一份报告分配到一个组。
在最初创建报告时会将报告分配到某个组，但是也可以在后来更改此分配。组合报告最常见的原因是为了将类似的报告
收集到一起或管理对某些报告的权限。
任务
2 选择报告，然后单击“操作” | “编辑”。
3 单击“名称、描述和组”。
4 从“报告组”下拉列表中选择一个组，然后单击“确定”。
5 单击“保存”以保存对报告的所有更改。
您从报告窗口左侧窗格中的“组”列表中选择一个选定组时，该报告会显示在报告列表中。

组合报告

7 灾难恢复
灾难恢复可帮助您迅速恢复或重新安装 McAfee ePO 软件。“灾难恢复”使用快照功能来定期将您的 McAfee ePO 配

置、扩展、密钥等保存到 McAfee ePO 数据库的快照记录中。
目录
什么是灾难恢复？
灾难恢复组件
灾难恢复工作原理
创建快照
配置灾难恢复服务器设置
什么是灾难恢复？
McAfee ePO 灾难恢复功能使用快照过程将特定 McAfee ePO 服务器数据库记录保存到 McAfee ePO Microsoft SQL
数据库。
快照所保存的记录包含了拍摄快照的特定时间点的整个 McAfee ePO 配置。在将快照记录保存到数据库之后，您可以
使用 Microsoft SQL 备份功能来保存整个 McAfee ePO 数据库，并将其还原到另一个 SQL 服务器以进行 McAfee ePO
还原。
还原 SQL 数据库连接示例
使用包括灾难恢复快照的已还原的 McAfee ePO SQL 数据库服务器，您可以将其连接到：
• 具有原始服务器名称和 IP 地址的已还原的 McAfee ePO 服务器硬件 — 例如，这可让您从失败的 McAfee ePO 软
件升级还原。
• 具有原始服务器名称和 IP 地址的新 McAfee ePO 服务器硬件 — 这样可以升级或还原服务器硬件并迅速恢复对网络

系统的管理。
• 具有新服务器名称和 IP 地址的新 McAfee ePO 服务器硬件 — 这可让您将服务器从一个域移到另一个域。
此示例可提供您重建和重装 McAfee ePO 服务器硬件和软件并将其还原到原始域时的临时网络管理解决方案。
• 具有多个网络接口卡（简称网卡）的已还原或新 McAfee ePO 服务器硬件 — 您必须确认 McAfee ePO 服务器网卡

配置了正确的 IP 地址。
根据您的 SQL 数据库版本，快照配置为每天自动运行。如果配置了脚本，以自动运行 SQL 备份并将 SQL 备份文件复

制到还原 SQL 数据库服务器，则您可以更加轻松地还原 McAfee ePO 服务器。此外，您可以手动拍摄快照或运行脚
本，以便快速保存和备份复杂或重要的 McAfee ePO 更改。
灾难恢复快照监视器（位于 McAfee ePO 信息显示板上）允许您在同一个位置管理和监视您的快照。

7 灾难恢复
灾难恢复组件
灾难恢复组件
若要使用灾难恢复来还原您的 McAfee ePO 软件，需要具备某些硬件、软件、访问权限和信息。
您需要两个硬件服务器平台：
• 您的现有 McAfee ePO 服务器硬件，被称为“主”McAfee ePO 服务器。
• SQL Server 硬件副本，被称为“还原”服务器，运行着与主 McAfee ePO 服务器数据库相匹配的 Microsoft SQL。使

用快照和 Microsoft SQL 备份过程让此还原服务器与最新的主 McAfee ePolicy Orchestrator SQL 数据库服务器的
配置保持一致。
要避免备份和还原出现问题，使主服务器和还原服务器硬件与 SQL 版本高度匹配。
快照信息显示板监视器
服务器快照监视器（位于 McAfee ePolicy Orchestrator 信息显示板）允许您在同一位置管理和监控每个快照。
如果快照监视器没有出现在信息显示板中，请创建信息显示板并添加灾难恢复监视器。
使用服务器快照监视器可以：
• 单击“拍摄快照”，以手动保存 McAfee ePO 服务器快照。
• 单击“查看上次运行情况的详细信息”以打开“服务器任务日志详细信息”页。此页显示有关最近保存的快照的信息和日
志消息。
• 在上次运行时间的旁边，确认上一个“快照”保存到 SQL 数据库的日期和时间。
• 单击“灾难恢复”链接，以访问其他灾难恢复信息。
快照监视器的颜色和标题指示最新快照的状态。例如：
• 蓝色，正在将快照保存到数据库 - 快照过程正在进行。
• 绿色，快照已保存到数据库 - 快照过程已成功完成且为最新。
• 红色，快照失败 - 快照过程中发生错误。
• 灰色，没有可用快照 — 尚未保存任何灾难恢复快照。
• 橙色，快照已过期 — 曾对配置进行更改，但并未保存最近的快照。会触发快照已过期状态的更改包括：

• 任何扩展更改。例如更新、移除、删除、升级或下载。
• Keystore 文件夹更改。
• conf 文件夹更改。
• 服务器设置中的灾难恢复密码发生更改。
灾难恢复快照服务器任务
可以使用灾难恢复快照服务器任务来禁用或启用快照服务器任务计划。
对于 Microsoft SQL Server 数据库，快照服务器任务计划在默认情况下处于启用状态；而对于 Microsoft SQL Server

Express 数据库，快照服务器任务计划在默认情况下处于禁用状态。
灾难恢复要求
要使用灾难恢复，您需要下表列出的硬件、软件和信息。

灾难恢复
灾难恢复工作原理 7
要求描述
硬件要求
主 McAfee ePO 服务器硬件服务器硬件要求确定托管系统的数量。
您可以将 McAfee ePO 服务器和 SQL Server 数据库安装在相同或者独立的服务器硬件

上。有关详细的硬件要求，请参阅《“McAfee ePolicy Orchestrator 安装手册”》。
还原 McAfee ePO 服务器硬为了获得最佳结果，请严密地镜像主 McAfee ePO 服务器硬件。

件
主 McAfee ePO 服务器使用 SQL 数据库中保存的最近快照来运行主服务器。
主 SQL 数据库主 SQL 数据库存储 McAfee ePO 服务器配置、客户端信息和灾难恢复快照记录。
软件要求
主 SQL 数据库的备份文件使用 Microsoft SQL Server Management Studio 或 BACKUP (Transact-SQL) 命令行均
可创建包含快照记录的主数据库备份文件。
还原 SQL 数据库软件使用 Microsoft SQL Server Management Studio 或 RESTORE (Transact-SQL) 命令
行，均可在还原 SQL 数据库服务器上还原包括快照记录的主 SQL 数据库。
McAfee ePO 软件该软件是从 McAfee 网站下载的，可用于安装和配置还原 McAfee ePO 服务器。
信息要求
灾难恢复密钥存储库加密密此密码短语会在首次安装 McAfee ePO 软件期间添加，并解密灾难恢复快照中存储的
码短语敏感信息。
管理员权限您必须能够访问主服务器和还原服务器，以及 SQL 数据库，如 DBOwner 和
DBCreator。
主 McAfee ePO 服务器的上如果您在 McAfee ePO 服务器还原期间更改任一项目，请确保代理可以通过某种方法
个已知 IP 地址、DNS 名称找到该服务器。执行该操作最简便的方法是在 DNS 中创建规范名称 (CNAME) 记录，
或 NetBIOS 名称该 DNS 将主 McAfee ePO 服务器的旧 IP 地址、DNS 名称或 NetBIOS 名称中的请求
指向还原 McAfee ePO 服务器信息。
要快速地重装 McAfee ePO 软件，请创建 McAfee ePO 配置的定期快照。此时您必须备份数据库并将其还原到还原服
务器，然后使用“还原”选项重装 McAfee ePO 软件。
灾难恢复快照和备份概述
灾难恢复快照、SQL 数据库备份以及进程复制会在还原 SQL 数据库服务器上创建一个 McAfee ePO 数据库的副本。
这是“灾难恢复快照”、SQL 数据库备份和进程复制的概述。

7 灾难恢复
下图是 McAfee ePO 软件灾难恢复进程和所涉及硬件的概述。
在该图中，SQL 数据库安装在与 McAfee ePO 服务器所在的同一服务器硬件中。 McAfee ePO 服务器和 SQL 数据库可
以安装在不同服务器硬件中。
图 7-1 McAfee ePO 服务器灾难恢复快照和备份
灾难恢复配置包括在主 McAfee ePO 服务器上执行的一般步骤：

拍摄 McAfee ePO 服务器配置的快照并将其保存到主 SQL 数据库中。这一步可以手动完成，也可通过默认服务
器任务来完成。
拍摄快照后，这些数据库文件保存在：
位置说明
C:\Program Files\McAfee\ePolicy McAfee ePO 软件扩展信息的默认路径。
Orchestrator\Server\extensions
C:\Program Files\McAfee\ePolicy McAfee ePO 软件扩展使用的必需文件的默认路径。
Orchestrator\Server\conf
C:\Program Files\McAfee\ePolicy 这些密钥专门用于 McAfee ePO 代理与服务器之间的通信和存
Orchestrator\Server\keystore 储库。
C:\Program Files\McAfee\ePolicy McAfee 产品安装服务器证书的默认路径。
Orchestrator\Server\DB\Keystore
C:\Program Files\McAfee\ePolicy McAfee 产品安装文件的默认路径。
Orchestrator\Server\DB\Software
保存的灾难恢复快照记录包括为已注册的可执行文件配置的路径。系统不会备份已注册的可执行文件，而且您
必须在还原 McAfee ePO 服务器时替换这些可执行文件。还原 McAfee ePO 服务器后，任何包含破坏路径的已
注册的可执行文件都会在“已注册的可执行文件”页面上显示为红色。
还原 McAfee ePO 服务器后测试已注册的可执行文件路径。一些已注册的可执行文件的路径可能未显示为红色，

但由于存在某些与已注册的可执行文件相关的依赖性问题，因此路径仍然失效。
使用 Microsoft SQL Server Management Studio 或 BACKUP (Transact-SQL) 命令行过程来备份 SQL 数据库。
将 SQL 数据库备份文件复制到还原 SQL 服务器的副本。
McAfee ePO 服务器灾难恢复快照和备份过程完成。您无需继续进行 McAfee ePO 服务器恢复安装，除非正在重新安

装 McAfee ePO 软件。

灾难恢复
创建快照 7
McAfee ePO 服务器恢复安装概述

重新安装 McAfee ePO 软件是快速还原 McAfee ePO 服务器的最后一步。
该话题是对在还原 McAfee ePO 服务器上重新安装 McAfee ePO 软件的概述。有关详细信息，请参阅安装手册。
下图是对重新安装 McAfee ePO 服务器的概述。在该图中，SQL 数据库安装在与 McAfee ePO 服务器所在的同一服

务器硬件中。 McAfee ePO 服务器和 SQL 数据库可以安装在不同服务器硬件中。
图 7-2 McAfee ePO 服务器恢复安装
使用灾难恢复快照文件安装 McAfee ePO 软件包括在 McAfee ePO 还原服务器上执行的常规步骤：
查找以前部分的 SQL 数据库备份文件。使用 Microsoft SQL Server Management Studio 或 RESTORE

(Transact-SQL) 命令行过程将主 SQL Server 配置还原到还原 SQL Server。
在 McAfee ePO 数据库软件安装过程中：
1 在“欢迎使用软件”对话框中，单击“快照”中的还原。
2 选择“Microsoft SQL Server”，将 McAfee ePO 软件链接到具备主 McAfee ePO 服务器配置的还原 SQL 数据
库。
开始安装 McAfee ePO 软件后，会使用在快照过程中保存的数据库记录来进行软件配置，而不是在数据库中创
建记录。
请确保代理可以通过在 DNS 中创建 CNAME 记录重新连接到还原 McAfee ePO 服务器。该记录可将请求从主

McAfee ePO 服务器的旧 IP 地址、DNS 名称或 NetBIOS 名称重定向至还原 McAfee ePO 服务器的新信息。
现在 McAfee ePO 还原服务器采用与主服务器完全相同的配置运行。客户端可以连接到还原服务器，而且您可以像删

除主 McAfee ePO 服务器之前一样对它们进行管理。
另请参阅
什么是灾难恢复？第 91 页
创建快照
快速还原 McAfee ePO 服务器的第一步是创建主 McAfee ePO 服务器的常见灾难恢复快照。
对 McAfee ePO 的配置进行大量更改后，使用以下任一任务手动创建灾难恢复快照。
最佳实践：创建灾难恢复快照服务器任务来自动拍摄服务器快照。

7 灾难恢复
创建快照
任务
• 从 McAfee ePO 中创建快照第 96 页
使用 ePolicy Orchestrator 信息显示板拍摄主 McAfee ePO 服务器的灾难恢复快照并随着信息显示板状态
更改监控快照过程。
• 从 Web API 创建快照第 96 页
使用 McAfee ePO Web API 拍摄主 McAfee ePO 服务器的灾难恢复快照。这样可让您使用一个命令字符
串来完成此过程。
从 McAfee ePO 中创建快照

使用 ePolicy Orchestrator 信息显示板拍摄主 McAfee ePO 服务器的灾难恢复快照并随着信息显示板状态更改监控快照
过程。
任务
1 选择“菜单” | “报告” | “信息显示板”，以查看“ePO 服务器快照”监视器。

根据需要单击“添加监视器”，从列表中选择“ePO 服务器快照”，并将其拖动到信息显示板。
2 单击“拍摄快照”开始保存 McAfee ePO 服务器配置。
在快照过程中，“快照监视器”标题栏会发生更改，以指示过程的状态。
快照过程需要 10 分钟到一小时以上才能完成，具体取决于您网络的复杂程度和规模大小。该过程不影响 McAfee
ePO 服务器性能。
3 如果需要，请单击“查看当前运行任务的详细信息”，以打开最新保存的快照的“服务器任务日志详细信息”。
完成快照过程后，请单击“查看当前运行任务的详细信息”，以打开最新保存的快照的服务器任务日志详细信息。
最新的灾难恢复快照已保存至 McAfee ePO 服务器主 SQL 数据库中。现在，数据库已准备就绪，可以备份并复制到

还原 SQL 数据库服务器中。
从 Web API 创建快照

使用 McAfee ePO Web API 拍摄主 McAfee ePO 服务器的灾难恢复快照。这样可让您使用一个命令字符串来完成此过
程。
此任务中描述的所有命令都被键入 Web 浏览器地址栏中，从而远程访问 McAfee ePO 服务器。
显示输出前，系统会提示您输入管理员用户名和密码。
有关详细的 Web API 用法和示例，请参阅《“McAfee ePolicy Orchestrator Web API 脚本编写手册”》。
任务
1 使用以下 McAfee ePO Web API 帮助命令来决定运行快照所需的参数：

https://localhost:8443/remote/core.help?command=scheduler.runServerTask
• localhost: — 您的 McAfee ePO 服务器名称。
• 8443 — 目标端口，识别为“8443”（默认设置）。
• /remote/core.help?command= — 调用 Web API 帮助。
• scheduler.runServerTask — 调用特定服务器任务帮助。
runServerTask 命令区分大小写。

灾难恢复
配置灾难恢复服务器设置 7
示例命令会返回此帮助。
OK:
scheduler.runServerTask taskName
运行一个服务器任务并返回任务日志 ID。使用任务日志 ID
通过“tasklog.listTaskHistory”命令查看正在运行的任务的状态。返回
任务日志 ID 或显示错误。
需要运行服务器任务的权限。
Parameters: [taskName (param 1) | taskId] – 任务的独特 ID 或名称
2 使用以下命令列出所有服务器任务，并决定运行快照服务器任务所需的 taskName 参数：

https://localhost:8443/remote/scheduler.listAllServerTasks?:output=terse
上述示例命令会返回类似于以下内容的列表。显示的实际列表内容取决于您的权限和已安装的扩展。
3 使用任务名“Disaster Recovery Snapshot Server”（灾难恢复快照服务器），通过以下命令来运行快照服务器任

务：
https://localhost:8443/remote/scheduler.runServerTask?taskName=Disaster%20Recovery%20Snapshot
%20Server
如果任务成功，会出现与以下内容类似的输出结果。
OK
102
快照过程可能需要 10 分钟到一小时以上才能完成，具体取决于您网络的复杂程度和规模大小。该过程一般不应该

影响 McAfee ePO 服务器性能。
4 确认 Web API 服务器任务快照运行成功。

a 使用以下命令来查找灾难恢复快照服务器任务日志 ID：
https://localhost:8443/remote/tasklog.listTaskHistory?taskName=Disaster%20Recovery%20Snapshot
%20Server
此命令可显示所有灾难恢复快照服务器任务。查找最近运行的任务并记下 ID 号。例如，以下内容中的 ID:
102：
ID：102
名称：灾难恢复快照服务器
开始日期：[日期]
结束日期：[日期]
用户名：admin
状态：已完成
来源：计划程序
时长：不到一分钟
b 使用以下命令和该任务 ID 号 102 来显示所有任务日志消息。

https://localhost:8443/remote/tasklog.listMessages?taskLogId=102
您可以更改安装 McAfee ePO 时所用的密钥存储库加密密码短语，并将其链接到通过灾难恢复快照记录恢复的 SQL 数
据库。
开始之前
您必须具有管理员权限才能更改密钥存储库加密密码。
使用灾难恢复来创建 McAfee ePO 服务器快照是一种快速恢复 McAfee ePO 服务器的方式。

7 灾难恢复
作为管理员，如果您丢失或忘记了 McAfee ePO 安装期间所配置的密钥存储库加密密码短语，此设置会很有帮助。您

无需知道以前配置的密码短语便可更改现有密码短语。
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”选择“灾难恢复”，然后单击“编辑”。
2 从“密钥存储库加密密码短语”中单击“更改密码短语”，键入新密码短语并确认。
密钥存储库加密密码短语用于加密和解密存储在服务器快照中的敏感信息。 McAfee ePO 服务器恢复过程中必须要
提供该密码短语。请将这个密码短语记下来。
必须定期将 McAfee ePO 数据库复制到还原 Microsoft SQL 数据库服务器，以创建真正的备份数据库。

8 使用系统树和标记
您可以通过“系统树”和标记功能对托管系统执行组织、分组和标记操作。
目录
组织系统
标记
组织系统
使用 McAfee ePO 可实现系统组织的自动化和自定义。
您采用的结构将影响到整个环境中继承和实施安全策略的方式。
系统树是此结构的图形表示。您可以使用以下方法来组织系统树：
• 在控制台中进行手动组织（拖放）。
• 自动与您的 Active Directory 服务器同步。
• 手动或自动使用被应用于系统的标准，进行基于标准的排序。
规划系统树时的注意事项
高效且组织良好的系统树可简化维护。每个环境所面临的许多管理、网络和策略方面的实际情况会对如何构建系统树造
成影响。
在构建和填充系统树前，先要规划系统树的组织方式。特别是对于大型网络，您肯定不想反复构建系统树。
因为每个网络都各不相同，需要不同的策略，而且管理方式也可能不同，因此请在添加系统前先计划系统树。
无论您选择何种方法来创建和填充系统树，在规划系统树时都要考虑环境。
管理员访问权限
在规划系统树组织结构时，应考虑对系统负有管理职责的用户的访问权限要求。
例如，您组织中的网络管理可能比较分散，不同的管理员负责管理网络的不同部分。出于安全原因，您可能没有能够访
问网络所有部分的管理员帐户。在这种情况下，您可能无法使用单个管理员帐户来设置策略和部署代理。相反，您可能
需要根据这些部分将系统树组织到组中并创建帐户和权限集。
请考虑以下问题：
• 哪些系统由哪些人负责管理？
• 哪些人需要查看系统相关信息的访问权限？
• 哪些人不应该具有系统及其相关信息的访问权限？
上述问题不仅影响系统树组织，还会影响您创建并应用到用户帐户的权限集。

组织系统
环境界限及其对系统组织的影响
组织系统的管理方式取决于网络中的界限划分。这些界限划分对系统树的组织结构所产生的影响与对网络拓扑的组织结
构所产生的影响不同。
我们建议您评估网络和组织中的下列界限划分，以决定在定义系统树的组织结构时是否必须考虑这些因素。
拓扑界限
网络由 NT 域或 Active Directory 容器定义。网络环境组织得越好，使用同步功能创建和维护系统树就越简单。
地理界限
安全管理就是在保护与性能之间持续取得平衡。组织您的系统树以便充分利用有限的网络带宽。考虑服务器连接网络各
部分的方式，尤其是远程位置，它们通常使用较慢的 WAN 或 VPN 连接，而非较快的 LAN 连接。您可能要为这些远
程站点分别配置不同的更新策略和代理与服务器通信策略，以最大程度降低通过较慢连接传输的网络流量。
职责界限
许多大型网络都按负责管理网络不同部分的不同人员或组进行划分。有时，这些界限划分与拓扑或地理界限划分不一
致。由谁访问和管理系统树各部分将会影响到您对系统树的结构划分。
功能界限
一些网络是根据使用网络的人员的角色（如销售员和工程师）来划分的。即使网络未按功能界限划分，如果不同的组需
要不同的策略，您也需要根据功能来组织系统树各部分。
业务组可能运行需要特殊安全策略的特定软件。例如，可以将电子邮件 Exchange Server 分到组，并设置按访问扫描

的特定排除项。
子网和 IP 地址范围
在许多情况下，网络的组织单元使用特定的子网或 IP 地址范围，因此您可以针对地理位置创建一个组并为其设置 IP
地址过滤器。
如果网络在地理位置上并不分散，您也可以将网络位置（如 IP 地址）用作主要的分组标准
最佳实践：请考虑使用基于 IP 地址信息的排序标准来自动执行系统树创建和维护。为系统树中适用的组设置 IP 地址子

网掩码或 IP 地址范围标准。这些过滤器将使用相应的系统自动填充位置。
操作系统和软件
请考虑将操作系统相似的系统归为一组，以便简化产品和策略管理。如果您有旧版系统，可以为这些系统创建一个组
并在这些系统上单独部署和管理安全产品。您还可以通过为这些系统添加相应的标记，使它们自动分类到一个组中。
标记和具有类似特征的系统
您可以使用标记和标记组以自动排序到组中。
标记标识具有类似特征的系统。如果您可以按特征来组织组，则可以基于该标准来创建和分配标记。然后使用这些标记
作为组排序标准，以确保自动将这些系统放在相应的组中。
如有可能，请使用基于标记的排序标准以自动将相应的系统填充到组。此外，为了便于对系统进行排序，可以创建套
嵌级别为 4 级的标记组，各级别中最多包含 1000 个标记子组。例如，如果您可以按照地理位置、机架类型（服务
器、工作站或笔记本电脑）、平台（Windows、Macintosh、Linux 或 SQL）和用户来组织您的系统，则此表中可能包
含标记组。
位置机架类型平台用户
洛杉矶台式机 Windows 常规
笔记本电脑 Macintosh 销售

使用系统树和标记
组织系统 8
位置机架类型平台用户
培训
Windows 账目
管理
服务器 Linux 公司
Windows 公司
SQL 公司
旧金山台式机 Windows 常规
笔记本电脑 Macintosh 销售
培训
Windows 账目
管理
服务器 Linux 公司
Windows 公司
SQL 公司
Active Directory 同步
如果网络运行 Active Directory，则可以使用 Active Directory 同步来创建、填充和维护部分系统树。
进行定义后，可以使用 Active Directory 中的任何新系统（及子容器）更新系统树。
利用 Active Directory 集成来执行这些系统管理任务：
• 导入系统和 Active Directory 子容器（作为系统树组）并保持与 Active Directory 同步更新，从而实现与 Active

Directory 结构同步。每次同步时，系统树中的系统和结构都会更新，以反映 Active Directory 的系统和结构。
• 将系统作为简单列表从 Active Directory 容器（及其子容器）导入到同步的组。
• 控制对潜在重复系统采取的措施。
• 标记新导入或更新的系统。
• 使用从 Active Directory 与系统一同导入的系统说明。
使用此过程可以将系统树与 Active Directory 系统结构相集成：
1 针对作为系统树中映射点的各个组配置同步设置。在同一个位置，可以配置是否：
• 将代理部署到发现的系统。
• 在从 Active Directory 中删除系统后，从系统树中删除这些系统。
• 是否允许在系统树的其他位置存在重复的系统条目。
2 使用“立即同步”操作，根据同步设置将 Active Directory 系统（以及可能的结构）导入系统树。
3 使用 NT 域/Active Directory 同步服务器任务，可以根据同步设置，定期同步系统（以及可能的 Active Directory 结

构）和系统树。

组织系统
Active Directory 同步的类型

Active Directory 同步有两种类型（仅限系统以及系统与结构）。您使用哪种类型取决于要与 Active Directory 集成的级
别。
使用每种类型，您可以控制同步，方法是选择是否：
• 自动将代理部署到 ePolicy Orchestrator 的新系统。如果您要导入大量系统并且带宽有限，则可能不需要在初始同

步时配置此设置。代理 MSI 的大小约为 6MB。但是，您可能希望将代理自动部署到后续同步期间在 Active
Directory 发现的任何新系统。
• 在从 Active Directory 中删除系统后，从 ePolicy Orchestrator 中删除这些系统（并删除其代理）。
• 如果系统位于系统树中的其他位置，则会防止将系统添加到组。如果您手动将系统移动到其他位置或对系统进行排
序，此设置可确保没有重复的系统。
• 从同步操作中排除某些 Active Directory 容器。同步时，会忽略这些容器及其系统。
系统和结构
使用此同步类型时，Active Directory 结构中的更改会在下次同步时传递到系统树结构。在 Active Directory 中添加、移
动或删除系统或容器时，这些系统或容器也会在系统树的对应位置得以添加、移动或删除。
何时使用此同步类型
使用此同步类型可以确保系统树（或部分系统树）与 Active Directory 结构完全相同。
如果 Active Directory 的组织结构符合您的安全管理需要，而且您希望系统树继续与已映射的 Active Directory 结构类

似，请在后续同步时使用此同步类型。
仅限系统
使用此同步类型可以从 Active Directory 容器（包括非排除子容器）中将系统以简单列表的方式导入映射的系统树组。
然后，您可以通过将排序标准分配到组，将这些系统移到系统树的相应位置。
如果选择此同步类型，则在系统树的其他位置存在系统时，务必选择不再次添加这些系统。此同步类型可防止系统树中
出现系统的重复条目。
何时使用此同步类型
在下列情况下使用此同步类型：
• 您使用 Active Directory 作为适用于 ePolicy Orchestrator 的系统的常规来源。
• 安全管理的组织需求与 Active Directory 中容器和系统的组织不一致。
NT 域同步
将 NT 域用作填充系统树的来源。
当您将组同步到 NT 域时，此域中的所有系统都会被放到该组中，作为简单列表。您可以管理单个组中的系统，也可以
创建子组以满足更细化的组织需求。使用自动排序等方法来自动填充这些子组。
如果您要将某些系统移动到系统树中的其他组或子组，而这些系统已存在于系统树中的其他位置时，请务必选择不添加
这些系统。此设置可防止系统树中出现系统的重复条目。
与 Active Directory 同步不同，只有系统名称与 NT 域同步；系统描述未同步。
基于标准的排序
您可以使用 IP 地址信息将托管系统自动分类到特定组。也可以基于标记创建排序标准，这些标记类似于分配给系统的
标签。您可以使用任一标准类型或同时使用这两个标准类型，以确保系统位于系统树中的所需位置。
系统只需匹配某个组的排序标准中的一个标准，即可放到该组中。
创建组并设置排序标准后，请执行测试排序操作以确认此标准和排序顺序。

组织系统 8
为组添加排序标准后，即可运行立即排序操作。该操作会自动将所选系统移到相应组中。与任何组的排序标准都不匹配
的系统将移到不明来源中。
第一次访问服务器的新系统将自动添加到正确的组。但是，如果您在初始代理与服务器通信之后定义了排序标准，则必
须在这些系统上运行立即排序操作，以将它们立即移到相应的组中，或者等到下一次代理与服务器通信时执行排序操
作。
系统的排序状态
在任何系统或系统集合上，都可以启用或禁用系统树排序。如果在某个系统上禁用系统树排序，则该系统将从排序操作
中排除掉，但执行测试排序操作时除外。当执行测试排序时，将考虑系统或集合的排序状态，并且可以从测试排序页上
对它们进行移动或排序。
McAfee ePO 服务器上的系统树排序设置

要进行排序，必须在此服务器和相应系统上启用排序。默认情况下，启用排序后，将在代理与服务器首次通信时对系统
进行排序（如果对现有系统进行了更改，则在下次通信时），并且不会再重新排序。
测试排序系统
使用此功能可查看在执行排序操作过程中安放系统的位置。测试排序页显示这些系统以及对其进行排序时所在位置的路
径。尽管此页不显示系统的排序状态，如果您选择此页上的系统（即使是排序为“禁用”的系统），单击移动系统也会将
这些系统放置到确定的位置中。
设置如何影响排序
您可以选择三个服务器设置来确定是否对系统排序以及何时排序。另外，可通过对系统树中的选定系统启用或禁用系统
树排序，来选择是否对系统进行排序。
服务器设置
服务器含有三个设置：
• “禁用系统树排序” — 防止其他 ePolicy Orchestrator 用户错误地配置组的排序标准并将系统移至系统树中不需要的

位置。
• “每次代理与服务器通信时对系统排序分类” — 在每次代理与服务器通信时再次对系统排序。更改组的排序标准后，
系统会在下次代理与服务通信时移到新组。
• “对系统进行一次排序” — 在下次代理与服务器进行通信时对系统进行排序，而且只要选择此设置，就不会再次排
序。但是，仍可以通过选择系统并单击“立即排序”来对系统进行排序。
系统设置
您可以禁用或启用任何系统的系统树排序。如果禁用了某个系统的系统树排序，则不论采取何种排序操作，都不会对该
系统进行排序。但是，执行“测试排序”操作时，将对该系统进行排序。如果启用了系统的系统树排序，则可以通过手动
执行“立即排序”操作对该系统排序，而且可以在代理与服务器通信时排序。
IP 地址排序标准
在许多网络中，子网和 IP 地址信息反映了组织的特点，例如地理位置或工作职能。如果 IP 地址组织方式符合您的要
求，则请考虑为组设置 IP 地址排序标准。
在此版本的 McAfee ePO 中，此功能已发生更改，现在允许在树中随机设置 IP 地址排序标准。只要没有为父组分配
标准，您就不再需要确保子组 IP 地址的排序标准为父组的子集。配置好后，您可以在代理与服务器通信时排序系统，
也可以仅在手动启动排序操作时排序系统。
IP 地址排序标准在不同的组中不能重叠。组排序标准的每个 IP 地址范围或子网掩码都必须覆盖一组独特的 IP 地址。

如果标准发生重叠，则这些系统最终所在的组取决于系统树组详细信息选项卡上子组的顺序。您可以使用组详细信息选
项卡中的检查 IP 完整性操作来检查 IP 地址是否重叠。

组织系统
基于标记的排序标准
除了使用 IP 地址信息在相应的组中对系统排序，您可以根据分配给系统的标记定义排序标准。
可以将基于标记的标准与基于 IP 地址的标准搭配使用以进行排序。
组顺序和排序
为了更灵活地管理系统树，可以配置组中子组的顺序和排序过程中放置子组的顺序。
当同时符合多个子组的标准时，更改此顺序会更改系统在系统树中的最终位置。如果您使用捕获全部组，则这些组必须
是列表中的最后一个子组。
捕获全部组
捕获全部组是指在其排序标准页面上将排序标准设为“所有其他”的组。
只有处于排序顺序最后位置的子组会成为捕获所有组。这些组接收所有排序到父组，而未排序到任意捕获所有对等组的
系统。
如何在排序时将系统添加到系统树
当 McAfee Agent 首次与服务器通信时，服务器会使用某种算法将系统放在系统树中。如果服务器找不到适合放置系统
的位置，则会将该系统放在不明来源组中。
每次代理与服务器通信时，服务器都会尝试按 McAfee Agent GUID 在系统树中查找系统。只有代理已首次呼叫服务器
的系统才会在数据库中有 McAfee Agent GUID。如果找到匹配的系统，则将此系统留在现有的位置。
如果找不到匹配的系统，则服务器会使用某种算法在相应的组中对系统分类。只要路径中的每个父组都没有不匹配的标
准，就可以在系统树中任何基于标准的组中对系统排序。基于标准的子组的父组必须没有标准或没有匹配的标准。
分配到每个子组的排序顺序（在“组详细信息”选项卡中定义）会决定服务器对子组进行排序时所考虑的顺序。
1 服务器会搜索没有 McAfee Agent GUID（从未连接 McAfee Agent）但在与域同名的组中有匹配名称的系统。如果

找到这样的系统，则会将该系统放在该组中。在 Active Directory 或 NT 域首次同步之后，或者已手动将系统添加
到系统树时会发生这种情况。
2 如果仍未找到匹配的系统，则服务器会搜索与域同名且系统所来自的组。如果找不到这样的组，则会在不明来源组
下创建一个组，然后将该系统放在此组中。
3 更新该系统的属性。
4 如果服务器配置为在每次代理与服务器通信时运行排序标准，则服务器会将所有基于标准的标记应用到系统。
5 接着发生什么情况取决于是否在服务器和系统上启用了系统树排序。
• 如果在服务器或系统上禁用了系统树排序，则系统会保持位置不变。
• 如果在服务器和系统上启用了系统树排序，则会根据排序标准将系统移到系统树组中。
默认情况下，通过 Active Directory 或 NT 域同步添加的系统会禁用系统树排序。如果禁用了系统树排序，代理

与服务器首次通信时不对这些系统进行排序
6 服务器会根据“我的组织”组的“组详细信息”选项卡中的排序顺序来考虑所有顶层组的排序标准。系统会被放到具有匹
配标准的第一个组，或放到所认为的全包式组中。
• 在将系统在组中排序后，会根据该组的子组在“组详细信息”选项卡上的排序顺序，来了解每个子组是否具有匹配
的标准。
• 排序会持续进行，直到为系统找不到具有匹配标准的子组为止，然后将系统放在找到的具有匹配标准的最后一
个组中。
7 如果找不到此类最高层级组，则会根据其排序来考虑这些组的子组（没有排序标准）。

组织系统 8
8 如果找不到这样一个基于第二层级标准的组，则会考虑第二层级无限制组的基于标准的第三层级组。
不考虑具有不匹配标准的组的子组。组必须具有匹配标准或没有标准才能考虑在其子组中放置系统。
9 这一过程会继续在系统树中向下进行，直到将系统在组中排序。
如果将服务器的系统树排序设置配置为仅在代理与服务器首次通信时排序，则会在系统上设置一个标记。此标记表
示系统不会在代理与服务器通信时再次排序，除非将服务器设置更改为在每次代理与服务器通信时启用排序。
10 如果服务器不能将该系统分类到任何组中，则会将它放到不明来源组中以其域命名的子组内。
查看系统信息详细信息
您可以查看“系统树”中系统的详细信息和状态。
任务
1 打开“系统树”页面。
1 请选择“菜单” | “系统” | “系统树”。
2 单击“系统”选项卡和任意系统行。
2 单击“自定义”，以更改三个系统信息监视器中显示的信息。
• “摘要” — 默认情况下，显示“McAfee Agent 通信摘要”的结果。
• “属性” — 默认情况下，显示有关网络中系统位置和所安装代理的信息。
• “查询监视器” — 默认情况下，显示针对“最近 2 周内的威胁事件”查询的系统特定结果。
3 单击以下选项卡之一，以查看有关选定系统的其他详细信息：
选项说明
“系统属性” 显示有关系统的详细信息。例如，安装的操作系统、内存和连接信息。
“产品” 列出以下产品状态之一：
• “安装的产品” — McAfee Agent 与安装事件通信所针对的已安装产品的状态。
• “卸载的产品” — McAfee Agent 与卸载事件通信所针对的已卸载产品的状态。
• “产品的部署任务状态” — 正在安装的更新版本现有产品部署任务的状态。
相同版本的产品或更早版本的同一产品的部署任务的状态会被忽略。
“应用的策略” 显示应用到该系统的策略的名称并按字母顺序列出。
“已应用的客户端任务” 显示分配到该系统的客户端任务的名称并按字母顺序列出。
“威胁事件” 列出威胁和其他事件，以及有关这些事件的详细信息。
“McAfee Agent” 列出系统上安装的 McAfee Agent 的相关配置信息。
单击“更多”，以显示其他 McAfee Agent 配置和状态信息。
创建和填充系统树组
为帮助您根据地理位置或计算机类型值将托管系统可视化，请创建系统树组并将系统填充到这些组中。
最佳实践：将选定的系统拖动到系统树中的任意组，以填充组。通过拖放在系统树内移动组和子组。

组织系统
系统树的组织方法并不是唯一的。由于每个网络都各不相同，因此系统树的组织方式可能跟网络布局一样各有特点。
您可以使用多种组织方法。
例如，如果在网络中使用 Active Directory，可考虑导入您的 Active Directory 容器，而不是 NT 域。如果 Active

Directory 或 NT 域组织对安全管理没有多大影响，您可以以文本文件的形式创建系统树并将其导入。如果网络规模较
小，您可手动创建系统树，然后手动添加各个系统。
手动将系统添加到现有组
将特定系统添加到选定的组。
任务
1 打开新建系统页。
a 选择 “菜单” | “系统” | “系统树”。
b 单击“新建系统”。
2 选择是否将 McAfee Agent 部署到新系统，以及是否根据排序标准，将系统添加到选定的组或某个组。
3 在“目标系统”旁的文本框中，键入每个系统的 NetBIOS 名称，名称间用逗号、空格或换行符分隔。或者，单击“浏

览”以选择系统。
4 根据需要指定其他选项。
如果选择“推送代理并将系统添加到当前组”，则可以启用“系统树”自动排序。执行此操作可将排序标准应用到这些系
统。
手动创建组
创建系统树子组。。
任务
1 打开新建子组对话框。
b 选择组，然后单击“新建子组”。
您也可以一次创建多个子组。
2 键入名称，然后单击“确定”。
新组随即显示在系统树中。
3 根据需要重复此过程，直到您准备好用系统填充这些组为止。使用以下某一流程将系统添加到系统树组：
• 手动键入系统名称。
• 从 NT 域或 Active Directory 容器导入系统名称。您可以定期将域或容器同步到组，以便于维护。
• 设置关于组的基于 IP 地址或基于标记的排序标准。当代理通过匹配的 IP 地址信息或匹配的标记从系统签入

时，它们会被自动放到相应的组中。

组织系统 8
从系统树导出系统
将系统树中的系统列表导出为 .txt 文件，以供日后使用。在保留系统树组织结构的同时，在组或子组级别进行导出。
系统树中的系统列表非常有用。您可以将此列表导入您的 McAfee ePO 服务器以快速还原之前的结构和组织。
此任务不会从系统树中删除系统。它会创建一个 .txt 文件，其中包含系统的名称和结构。
任务
1 选择 “菜单” | “系统” | “系统树”。
2 选择包含您要导出的系统的组或子组，然后单击 “系统树操作” | “导出系统”。
3 选择是否导出：
• “此组中的所有系统” — 导出指定“来源组”中的系统，但不导出此级别下嵌套的子组中列出的系统。
• “此组和子组中的所有系统” — 导出此级别和以下级别的所有系统。
此时会打开“导出”页。您可以单击“系统”链接以查看系统列表，或右键单击此链接以保存 “ExportSystems.txt” 文件
的副本。
创建组和系统的文本文件
创建一个文本文件，其中含有要导入到组中的网络系统的 NetBIOS 名称。您可以导入系统的简单列表，也可以将这些
系统整理成组。
通过在文本文件中键入组和系统名称来定义组及其系统。然后将该信息导入到 McAfee ePO。
对于大型网络，使用网络实用工具（如 Microsoft Windows Resource Kit 附带的 NETDOM.EXE 实用工具），以生成

包含网络中系统完整列表的文本文件。获得文本文件后，请手动编辑以创建系统组，并将整个结构导入到系统树。
不管如何生成文本文件，在导入该文件之前您都必须使用正确的语法。
任务
1 将每个系统列在其自身的行中。若要将系统组织到组中，则键入组名并随附反斜杠 (\)，然后列出属于该组的系

统，每个独占一行。
GroupA\system1
GroupA\system2
GroupA\GroupB\system3
GroupC\GroupD
2 验证组和系统的名称以及文本文件的语法，然后将文本文件保存到服务器上的临时文件夹中。
从文本文件导入系统和组
从您创建并保存的文本文件中，将系统或系统组导入系统树。

组织系统
任务
1 打开新建系统页。
b 单击“新建系统”。
2 选择“将系统从文本文件导入选定的组，但不推送代理”。
3 选择导入文件中包含的内容：
• “系统和系统树结构”
• “仅限系统(作为简单列表)”
4 单击“浏览”，然后选择文本文件。
5 选择如何处理已存在于系统树其他位置的系统。
系统会被导入到系统树的选定组中。如果在文本文件中已将系统分成组，则服务器会创建组，并导入系统。
在基于标准的组中对系统排序
配置和实施要在组中排序的系统。对于要在组中排序的系统，必须启用排序，并且必须配置组的排序标准和排序顺序。
任务
• 将排序标准添加到组第 108 页
系统树组的排序标准可基于 IP 地址信息或标记。
• 在服务器上启用系统树排序第 109 页
要对系统进行排序，必须同时在服务器和系统上启用系统树排序。
• 在系统上启用或禁用系统树排序第 109 页
系统的排序状态决定是否可以在基于标准的组中对其排序。
• 手动排序系统第 109 页
通过启用基于标准的排序，将选定系统分到各个组中。
将排序标准添加到组
系统树组的排序标准可基于 IP 地址信息或标记。
任务
1 选择“菜单” | “系统” | “系统树”，单击“组详细信息”选项卡，然后在系统树中选择该组。
2 在排序标准旁边，单击“编辑”。此时会显示选定组的排序标准页。
3 选择“符合下面任一标准的系统”，然后会显示标准选择。
虽然您可以针对组配置多个排序标准，但系统仅会匹配单个标准对组进行排序。

组织系统 8
4 配置该标准。选项包括：
• “IP 地址” — 使用该文本框定义 IP 地址范围或子网掩码，作为排序标准。地址处于该范围的系统均会被排序到
该组。
• “标记” — 单击“添加标记”并在“添加标记”对话框中执行以下步骤。
1 单击一个或多个标记名称，以在该父级组中添加系统并进行排序。
若要选择多个标记，请按住 “Ctl”“+”单击标记名称。
选择的标记会显示在排序标准页面上的标记中和组详细信息页面上的排序标准旁边。
5 重复上述步骤，直至重新为该组配置排序标准，然后单击“保存”。
在服务器上启用系统树排序
要对系统进行排序，必须同时在服务器和系统上启用系统树排序。
在此任务中，如果您仅在首次代理与服务器通信时排序，则会在下次代理与服务器通信时对所有启用的系统进行排序，
而且只要选择此选项，都不会再次排序。但是，手动采取“立即排序”操作，或者将此设置更改为在每次代理与服务器通
信时排序，即可再次对这些系统进行排序。
如果您在每次代理与服务器通信时排序，则只要选择了此选项，所有启用的系统都会在每次代理与服务器通信时进行排
序。
任务
1 选择 “菜单” | “配置” | “服务器设置”，然后选择“设置类别”列表中的“系统树排序”并单击“编辑”。
2 选择是仅在首次代理与服务器通信时对系统排序，还是每次代理与服务器通信时都对系统排序。
在系统上启用或禁用系统树排序
系统的排序状态决定是否可以在基于标准的组中对其排序。
您可以更改任何系统表（如查询结果）中系统的排序状态，还可以在计划查询的结果上自动更改。
任务
1 选择“菜单” | “系统” | “系统树” | “系统”，然后选择所需系统。
2 选择“操作” | “目录管理” | “更改排序状态”，然后选择启用还是禁用选定系统上的系统树排序。
3 在更改排序状态对话框中，选择是启用还是禁用选定系统的系统树排序。
根据系统树排序的设置，这些系统会在下次代理与服务器通信时进行排序。否则，这些系统只能通过“立即排序”操作
进行排序。
手动排序系统
通过启用基于标准的排序，将选定系统分到各个组中。

组织系统
任务
1 选择 “菜单” | “系统” | “系统树” | “系统”，然后选择包含系统的组。
2 选择系统，然后单击 “操作” | “目录管理” | “立即排序”。此时会出现立即排序对话框。
如果要在排序前预览排序结果，请单击“测试排序”。（但是，如果您从测试排序页中移动系统，则会对所有选定的系
统排序，即使这些系统禁用了系统树排序也是如此。）
3 单击“确定”以对系统排序。
导入 Active Directory 容器
通过将源容器映射到系统树组，将系统直接从 Active Directory 容器导入到您的系统树。
通过将 Active Directory 容器映射到组，您可以：
• 同步系统树结构与 Active Directory 结构，这样在 Active Directory 中添加或删除容器时，也会在系统树中添加或删
除相应的组。
• 从 Active Directory 中删除系统后，从系统树中删除这些系统。
• 防止系统树中出现其他组中已经存在的重复系统条目。
任务
1 选择“菜单” | “系统” | “系统树” | “组详细信息”，然后从“系统树”中选择要将 Active Directory 容器映射到的组。
您无法同步系统树的不明来源组。
2 在“同步类型”旁，单击“编辑”。此时会出现选定组的同步设置页。
3 在“同步类型”旁，选择 Active Directory。此时会显示 Active Directory 同步选项。
4 选择要在此组和 Active Directory 容器（及其子容器）之间进行的 Active Directory 同步的类型：

• “系统和容器结构” — 如果希望此组真正反映 Active Directory 结构，请选择此选项。同步后，会更改此组下的
系统树结构，以反映其映射到的 Active Directory 容器。在 Active Directory 中添加或删除容器时，也会在系统
树添加或删除这些容器。从 Active Directory 中添加、移动或删除系统时，也会在系统树中添加、移动或删除这
些系统。
• “仅限系统” — 如果您只希望用 Active Directory 容器（和非排除的子容器）中的系统填充此组本身，则选择此选

项。在镜像 Active Directory 时不会创建子组。
5 选择是否为已存在于“系统树”中其他组的系统创建重复的条目。
如果您将 Active Directory 同步作为安全管理的起始点，并计划映射系统后使用系统树管理功能，则不要选择此选
项。
6 在“Active Directory 域”部分中，您可以：

• 键入 Active Directory 域的完全限定域名。
• 从已注册 LDAP 服务器的列表中选择所需的服务器。
7 在“容器”旁，单击“添加”并在“选择 Active Directory 容器”对话框中选择来源容器，然后单击“确定”。
8 要排除特定的子容器，请单击“例外”旁边的“添加”，再选择要排除的子容器，然后单击“确定”。

组织系统 8
9 选择是否将 McAfee Agent 自动部署到新系统。如果部署，请配置部署设置。
最佳实践：由于受到大小限制，如果容器较大，请勿在初始导入时部署 McAfee Agent。而应先导入容器，然后逐次

将 McAfee Agent 部署到几个系统组中，而不是同时进行部署。
10 选择在从 Active Directory 域中删除系统时，是否还从系统树中删除这些系统。您还可以选择是否删除已删除系统

中的代理。
11 若要立即将组与 Active Directory 同步，请单击“立即同步”。

单击“立即同步”“”会在同步组之前保存对同步设置的所有更改。如果已启用 Active Directory 同步通知规则，则会为
添加或删除的每个系统生成一个事件。这些事件出现在“审核日志”中，而且是可查询的。如果将代理部署到已添加
的系统，则会开始对每个添加的系统进行部署。同步完成后，系统会更新“上次同步”时间，显示同步完成的时间和
日期，而不是完成代理部署的时间和日期。
“最佳实践：”为首次同步计划一个 NT 域/Active Directory 同步服务器任务。如果您要在首次同步时将代理部署到新

系统，而带宽是主要考虑因素时，此服务器任务很有用。
12 同步完成后，查看系统树的结果。
导入系统后，将代理分发到这些系统（如果您没有选择自动分发代理）。
“最佳实践：”请考虑设置一个可重复执行的 NT 域/Active Directory 同步服务器任务，使系统树始终与 Active Directory 容

器中的所有更改同步。
将 NT 域导入现有组
将系统从 NT 域导入到您手动创建的组。
通过将整个 NT 域与指定的组同步，可以自动填充组。通过此方法，可以轻松将网络中的所有系统以简单列表的形式一
次添加到系统树中，无需添加系统描述。
如果域很大，您可以创建子组来协助进行策略管理或组织。为此，首先将域导入系统树组，然后手动创建逻辑子组。
要跨几个域管理相同的策略，请将每个域导入同一组中的子组。子组将会继承顶层组的策略设置。
使用此方法时，请：
• 在子组上设置 IP 地址或标记分类标准，以自动对导入的系统进行分类。
• 计划一个可重复执行的 NT 域/Active Directory 同步服务器任务，以便轻松进行维护。
任务
1 选择 “菜单” | “系统” | “系统树” | “组详细信息” ，然后在“系统树”中选择或创建一个组。
2 在“同步类型”旁，单击“编辑”。此时会出现选定组的“同步设置”页。
3 在“同步类型”旁，选择 “NT 域”。此时会显示域同步设置。
4 在“位于系统树中其他位置的系统”旁边，选择如何处理存在于“系统树”其他组中的系统。
最佳实践：请勿选择“将系统添加到同步组并将其放置在当前的系统树位置”，特别是如果您仅将 NT 域同步作为安全
管理的开始点时。
5 在“域”旁边，单击“浏览”并选择要映射到此组的 NT 域，然后单击“确定”。或者，您可以直接在文本框中键入域的名

称。
键入域名时，请不要使用完全限定域名。

组织系统
6 选择是否将 McAfee Agent 自动部署到新系统。如果部署，请配置部署设置。
最佳实践：由于受到大小限制，如果容器较大，请勿在初始导入时部署 McAfee Agent。而应先导入容器，然后逐次

将 McAfee Agent 部署到几个系统组中，而不是同时进行部署。
7 选择在 NT 域中删除系统时，是否还从“系统树”中删除这些系统。可以选择删除已删除系统中的代理。
8 若要立即将组与域同步，请单击“立即同步”，然后等待直到域中的系统添加到组中。
单击“立即同步”“”会在同步组之前保存对同步设置的更改。如果已启用 NT 域同步通知规则，则会为添加或删除的
每个系统生成一个事件。这些事件出现在“审核日志”中，而且是可查询的。如果选择将代理部署到已添加的系统，
则会开始对每个添加的系统进行部署。同步完成后，会更新“上次同步”时间。此时间和日期是同步完成的时间和日
期，而不是完成代理部署的时间和日期。
9 要手动将组与域同步，请单击“比较和更新”。
a 如果要通过此页从组中删除任何系统，请选择是否在删除系统时还删除代理。
b 根据需要，选择要添加到该组或从该组中删除的系统，然后单击“更新组”以添加选定的系统。此时会出现“同步
设置”页。
10 单击“保存”，然后查看“系统树”中的结果（如果已单击“立即同步”或“更新组”）。
在将系统添加到“系统树”后，将代理分发到这些系统（如果在同步时没有选择部署代理）。
请考虑设置一个可重复执行的 NT 域/Active Directory 同步服务器任务，以确保此组保持为最新，始终具有 NT 域中的
新系统。
计划系统树同步
计划一个服务器任务，该任务用映射域或 Active Directory 容器中的更改来更新系统树。
根据组同步设置，该任务会自动执行以下操作：
• 将网络上的新系统添加到指定的组。 • 删除域或容器中不再存在的系统。
• 在创建新 Active Directory 容器后，添加相应的新 • 将站点或组策略和任务应用到新系统。

组。
• 在删除 Active Directory 容器时删除相应的组。 • 将系统树中仍存在的系统条目移至其他位置后，阻

止或允许对其进行复制。
• 将代理部署到新系统。
无法以该方式将 McAfee Agent 部署到所有操作系统中。您可能需要将 McAfee Agent 手动分发至某些系统。
任务
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 在描述页上，对任务命名，选择在创建任务后是否启用该任务，然后单击“下一步”。
3 从下拉列表中，选择 “Active Directory 同步/NT 域”。
4 选择是同步所有组还是同步选定的组。如果您仅同步某些组，则请单击“选择同步组”并选择特定组。
5 单击“下一步”打开计划页。

组织系统 8
7 查看任务详细信息，然后单击“保存”。
除了在计划的时间运行任务外，您可以立即运行该任务：在服务器任务页上，单击该任务旁边的“运行”。
通过 NT 域手动更新同步的组
使用关联 NT 域的更改来更新同步组。
更新包括以下更改：
• 添加当前在域中的系统。
• 从系统树中删除不再出现在域中的系统。
• 从不再属于指定域的所有系统中删除代理。
任务
1 选择 “菜单” | “系统” | “系统树” | “组详细信息”，然后选择映射到 NT 域的组。
2 在“同步类型”旁，单击“编辑”。
3 选择“NT 域”，然后在接近页面的底部单击“比较和更新”。
4 如果从组中删除系统，则选择是否从已删除的系统中删除代理。
5 单击“全部添加”或“添加”，将系统从网络域导入选定的组。
单击“全部删除”或“删除”，以从选定组中删除系统。
6 完成后，单击“更新组”。
在系统树内部移动系统
将系统从系统树中的一个组移动到另一个组。您可以移动显示系统表的任何页面中的系统，包括查询结果。
除了以下步骤之外，您也可以将系统从系统表拖放到系统树中的任何组。
即使是在以完美方式组织且定期进行同步的系统树中，您可能也需要在组之间手动移动系统。例如，您可能需要定期从
不明来源组中移出系统。
任务
1 选择 “菜单” | “系统” | “系统树” | “系统”，然后浏览并选择系统。
2 单击“操作” | “目录管理” | “移动系统”，以打开选择新组页面。
3 选择在移动选定系统时是启用还是禁用这些系统的系统树排序。
4 选择要存放系统的组，然后单击“确定”。
如果在两个组之间移动系统，移动的系统将继承分配到新组的策略。
传输系统的工作原理
您可以使用传输系统命令将托管系统从一个 McAfee ePO 服务器移动至另一个。例如，从旧的 McAfee ePO 服务器到
新的 McAfee ePO 5.x 服务器。
在下列情况下，您可能需要传输托管系统：

组织系统
• 您正在升级服务器硬件和操作系统。
• 您正在升级服务器硬件和 McAfee ePO 软件版本。
该图显示将系统从一个 McAfee ePO 服务器传输到另一个服务器的主要流程。
从旧的服务器中导出您的安全密钥。
将安全密钥导入到新的服务器。
将新的 McAfee ePO 服务器注册到旧服务器。
将您当前的系统传输到新的 McAfee ePO 服务器。
确认您可以在新服务器的“系统树”中查看这些系统。
确认这些系统不再显示在旧服务器的“系统树”中。
将系统从一个服务器传输到另一个服务器
使用传输系统选项，将系统从 McAfee ePO 4.x 旧服务器移动到 McAfee ePO 5.x 新服务器。
通过“自动导入站点列表”注册服务器并启用“传输系统”选项时，您可能会看到以下错误：
错误：导入站点列表前，必须将代理与服务器通信的主密钥导入远程服务器中。请转至“服务器设置”以便从此服务器导
出安全密钥。现在访问此链接会丢失对此已注册的服务器所做的所有未保存更改。
要确保注册成功，必须要导入两个密钥（1024 和 2048），从而在不出现问题的情况下保存“自动导入站点列表”。

组织系统 8
任务
• 从旧的服务器中导出安全密钥第 115 页
导出 2048 位和 1024 位安全密钥。
• 将安全密钥导入到新的服务器第 115 页
将旧服务器中的 2048 位和 1024 位安全密钥导入到新服务器。
• 将旧服务器注册到新服务器第 116 页
注册新服务器。例如，将 McAfee ePO 5.x 服务器注册到 McAfee ePO 4.x 服务器。
• 在服务器之间传输系统第 117 页
导入密钥并注册新服务器后，您可以使用旧服务器启动传输过程。
• 检查传输的计算机的状态第 117 页
验证您的系统现在是否显示在新服务器上。
从旧的服务器中导出安全密钥
导出 2048 位和 1024 位安全密钥。
任务
1 登录到控制台。
2 选择“菜单” | “配置” | “服务器设置”。
3 单击“设置类别”列下的“安全密钥”，然后单击“编辑”。
此时会打开编辑安全密钥页面。
4 保存代理与服务器安全通信密钥列表下列出的 2048 位密钥。

a 单击 2048 位密钥并单击“导出”。
b 单击“确定”，以确认导出密钥确认消息。
c 单击“保存”。
d 键入或浏览至您要将安全密钥 .zip 文件保存到的路径。
e 再次单击“保存”。
5 保存代理与服务器安全通信密钥列表下列出的 1024 位密钥。

a 单击 1024 位密钥并单击“导出”。
b 单击“确定”，以确认导出密钥确认消息。
c 单击“保存”。
d 键入或浏览至您要将安全密钥 .zip 文件保存到的路径。
e 再次单击“保存”。
将安全密钥导入到新的服务器
将旧服务器中的 2048 位和 1024 位安全密钥导入到新服务器。

组织系统
任务
1 登录到新控制台。
2 选择“菜单” | “配置” | “服务器设置”。
3 单击“设置类别”列中的“安全密钥”，然后单击“编辑”。
4 单击“导入”。
5 导入 2048 位密钥。
a 单击“浏览”，查找导出的 2048 位安全密钥 .zip 文件。
b 单击“打开”。
c 单击“下一步”。
d 确认您已在摘要选项卡上选择正确的密钥，然后单击“保存”。
6 导入 1024 位密钥。
a 单击“浏览”，查找导出的 1024 位安全密钥 .zip 文件。
b 单击“打开”。
d 确认您已在摘要选项卡上选择正确的密钥，然后单击“保存”。
将旧服务器注册到新服务器
注册新服务器。例如，将 McAfee ePO 5.x 服务器注册到 McAfee ePO 4.x 服务器。
任务
1 从旧服务器登录到控制台。
2 单击“菜单” | “配置” | “已注册的服务器”。
3 单击“新建服务器”。
4 从“服务器类型”下拉列表中选择“ePO”，在“名称”部分键入该服务器的名称，然后单击“下一步”。
5 将凭据键入到新服务器中，然后单击“测试连接”。
6 如果测试成功，请针对“传输系统”条目选择“启用”。
7 请确保已选择“自动导入站点列表”并单击“保存”。
• 此时还提供“手动导入站点列表”选项，可在您希望通过选择现有“SiteList.xml”文件进行手动导入时使用。
• 您可以获取 SiteList.xml 文件，以用于要将代理传输到的服务器上的以下文件夹中的流程：<ePO_Installation

_Directory>\DB\SiteList.xml

组织系统 8
• 在 McAfee ePO 4.6 服务器上，您仅可以根据 McAfee ePO 版本选择 4.6 版本或之前版本。测试与已注册服务器的
数据库的连接后，您会看到以下警告：
数据库连接成功！警告：版本不匹配！
您可以安全地忽略该警告。所选 McAfee ePO 版本 (4.6) 与您测试的数据库 (5.x) 不匹配。
在服务器之间传输系统
导入密钥并注册新服务器后，您可以使用旧服务器启动传输过程。
任务
1 登录到旧服务器。
2 选择“菜单” | “系统” | “系统树”。
3 选择需要传输的系统。
进行传输前，请确保选定系统正在与旧服务器通信。
4 单击 “操作” | “代理” | “传输系统”。
5 选择新服务器，并单击“确定”进行传输。
必须等待两个代理与服务器之间的通信时间间隔，然后系统才会显示在新服务器的系统树中。所需时长取决于您的
配置。代理与服务器的默认通信时间间隔为一小时。
检查传输的计算机的状态
验证您的系统现在是否显示在新服务器上。
任务
1 在新服务器中，选择“菜单” | “系统树” | “系统”。
您的系统列在“系统树”中。
2 在旧服务器中，选择“菜单” | “系统树” | “系统”。
您的系统未列在“系统树”中。
自动响应功能如何与系统树交互
计划实施自动响应前，请了解此功能是如何与系统树配合工作的。
该功能不会采用强制实施策略时使用的继承模型。
自动响应会使用您的环境中系统上发生的事件并配置响应规则。这些规则与包含受影响系统的组及各个父级相关联。
发生事件时，系统会将事件传递到服务器。如果满足规则的条件，则会执行指定的操作。

标记
该设计使您可以在不同级别的系统树配置独立的规则。这些规则可以存在以下不同：
• 发送通知消息的阈值。例如，特定组的管理员希望如果在 100 个系统上检测到病毒，他可以在 10 分钟内得到通

知。但管理员也可以设置为仅在整个环境的 1,000 个系统上检测到病毒时才在相同时间内得到通知。
• 通知消息收件人。特定组的管理员可能希望仅在组内发生指定数量的病毒检测事件时才得到通知。或者，管理员

希望在整个系统树内发生指定数量的病毒检测事件时，每个组管理员都会接收到通知。
系统树位置不会过滤服务器事件。
标记
使用标记识别系统，并对其排序。标记和标记组允许您选择系统组并可简化任务和查询的创建过程。
创建标记
使用新建标记生成器可快速创建标记。
任务
1 选择 “菜单” | “系统” | “标记目录” | “新建标记”。
2 在“描述”页上，输入名称和有意义的描述，然后单击“下一步”。此时会显示“标准”页。
3 选择并配置标准，然后单击“下一步”。此时会显示“评估”页。
要自动应用标记，请为标记配置标准。
4 选择仅在采取“运行标记标准”操作时按照标记的标准评估系统，还是在每次代理与服务器通信时也执行该评估，然
后单击“下一步”。此时会显示“预览”页。
如果没有配置标准，则这些选项不可用。当按照标记标准评估系统时，标记会应用到符合标准且尚未从标记中排除
的系统。
5 验证此页上的信息，然后单击“保存”。
如果标记有标准，则此页会显示按照其标准评估时接收此标记的系统的数量。
该标记会添加到“标记目录”页中“标记树”的选定标记组下。
管理标记
使用新建标记生成器创建标记后，使用操作列表编辑、删除和移动标记。

标记 8
任务
1 选择 “菜单” | “系统” | “标记目录”。
2 从“标记”列表，选择一个或多个标记，然后执行以下任一任务：
1 编辑标记 — 单击“操作” | “编辑”，然后从“编辑标记生成器”中：
受影响的系统数量会列在页面顶端。
a 在“描述”页上，键入名称和有意义的描述，然后单击“下一步”。
b 选择并配置标准，然后单击“下一步”。
要自动应用标记，您必须为标记配置标准。
c 选择仅在采取“运行标记标准”操作时按照标记的标准评估系统，还是在每次代理与服务器通信时也执行该评
估，然后单击“下一步”。
如果没有配置标准，则这些选项不可用。当按照标记的标准评估系统时，标记会被应用到符合标准且未从标
记中排除的系统。
d 验证此页上的信息，然后单击“保存”。
如果标记有标准，则此页会显示按照其标准评估时接收此标记的系统的数量。
该标记会在“标记树”选定标记组下的“标记目录”页更新。
2 删除标记 — 单击“操作” | “删除”，然后从“删除”对话框中单击“确定”以删除标记。
3 将标记移至另一个“标记组” — 单击“操作” | “移动标记”，再从“移动标记”对话框中选择标记的目标标记子组，然

后单击“确定”移动该标记。
您也可以将标记拖放至标记组树中的标记组中。
创建、删除和修改标记子组
标记子组可允许您将标记子组套嵌至四层深度，每个父组下可包含 1,000 个标记子组。这些标记组可允许您使用基于
标准的排序，以便自动将系统添加至正确的组中。
任务
1 选择 “菜单” | “系统” | “标记目录”。
2 从“标记目录”页面中,选择这些操作中的一个。

标记
操作步骤
创建标记子组 1 在“标记树”中，选择您希望创建标记子组的标记组（或父标记组）。
“我的标记”是 McAfee ePO 安装过程中添加的默认顶层标记组。
2 单击“新建子组”以查看“新建子组”对话框。
3 在“名称”字段中，输入新标记子组的说明性名称。
4 单击“确定”以创建标记子组。
重命名标记子组 1 在“标记树”中，选择您要重命名的标记子组。
2 单击“标记树操作” | “重命名组”，以打开“重命名子组”对话框。
3 在“名称”字段中，输入标记子组的新名称。
4 单击“确定”即可重命名标记子组。
删除标记子组 1 在“标记树”中，选择您要删除的标记子组。
2 单击“操作” | “删除”。此时将会显示“操作：删除”确认对话框。
3 确定您要删除标记子组后，单击“确定”便可删除标记子组。
阻止系统自动应用标记
防止系统应用特定的标记。
您还可以使用查询收集系统，然后从查询结果的这些系统中排除标记。
任务
1 选择 “菜单” | “系统” | “系统树” | “系统”，然后在“系统树”中选择包含该系统的组。
2 在“系统”表中选择一个或多个系统，然后单击 “操作” | “标记” | “排除标记”。
3 在“排除标记”对话框中，选择标记组，再选择要排除的标记，然后单击“确定”。
若要将列表限制到特定标记，请在“标记”下的文本框中键入标记名称。
4 验证是否已从标记中排除相关系统：
a 选择“菜单” | “系统” | “标记目录”，然后在标记列表中选择该标记或标记组。
b 在“含此标记的系统”旁，单击要从基于标准的标记应用程序中所排除系统数量的链接。此时会显示“从此标记排
除的系统”页。
c 验证系统是否在列表中。
创建查询来按照标记列出系统
安排查询以创建列表，从而根据所选标记显示、应用或删除系统上的标记。

标记 8
任务
2 在描述页上，对该任务进行命名和描述，然后单击“下一步”。
4 在“查询”字段中，从“McAfee 组”选项卡中选择一个查询，然后单击“确定”。
• “非活动代理”
• “重复的系统名称”
• “具有大量序列错误的系统”
• “最近没有序列错误的系统”
• “非托管系统”
5 选择显示结果使用的语言。
6 根据结果，从“子操作”列表中选择要采取的一项子操作。
• “应用标记” — 将选定标记应用于查询所返回的系统。
• “清除标记” — 从查询返回的系统中删除选定的标记。选择“全部清除”可以从查询结果所列的系统中删除所有标
记。
• “排除标记” — 从查询结果中排除已应用选定标记的系统。
7 在“选择标记”窗口中，从“标记组树”中选择一个标记组，并可选择使用“标记”文本框来过滤标记列表。
您可以对查询结果选择多项操作。单击“+”按钮可以添加其他操作。请小心地按您希望的操作发生顺序来排列操作。
例如，您可以先应用服务器标记，然后删除工作站标记。您还可以添加其他子操作，比如向系统分配策略。
10 检查任务的配置情况，然后单击“保存”。
任务将添加到服务器任务页面上的列表中。如果已启用此任务（默认设置），则它会在下个计划的时间运行。如果已禁
用此任务，则只有单击此任务旁的“运行”才能运行此任务。
将标记应用到所选系统
手动将标记应用到系统树中选定的系统。
任务
1 选择 “菜单” | “系统” | “系统树” | “系统”，然后选择包含所需系统的组。
2 选择系统，然后单击 “操作” | “标记” | “应用标记”。

标记
3 在“应用标记”对话框中，选择标记组，再选择要应用的标记，然后单击“确定”。
4 验证是否已应用标记：
a 选择“菜单” | “系统” | “标记目录”，然后从标记列表中选择标记或标记组。
b 在详细信息窗格的“含此标记的系统”旁，单击链接以获取手动标记的系统的数量。此时会显示“含有手动应用的
标记的系统”页。
清除系统中的标记
删除选定系统中的标记。
任务
1 选择 “菜单” | “系统” | “系统树” | “系统”，然后选择包含所需系统的组。
2 选择系统，然后单击 “操作” | “标记” | “清除标记”。
3 在“清除标记”对话框中，执行以下步骤之一，然后单击“确定”。
• 删除特定标记 – 选择标记组，然后选择标记。
• 删除所有标记 — 选择“全部清除”。
4 验证标记是否已删除：
a 选择 “菜单” | “系统” | “标记目录”，然后从标记列表中选择标记或标记组。
b 在详细信息窗格的“含此标记的系统”旁，单击链接以获取手动标记的系统的数量。此时会显示“含有手动应用的
标记的系统”页。
将基于标准的标记应用到所有匹配的系统
将基于标准的标记应用到所有符合指定标准的非排除系统。
任务
1 选择 “菜单” | “系统” | “标记目录”，然后从“标记”列表中选择标记或标记组。
2 单击 “操作” | “运行标记标准”。
3 在操作窗格中，选择是否重置手动标记和排除的系统。
重置手动标记和排除的系统会从不符合标准的系统删除标记，并将标记应用到符合标准但已排除接收标记的系统。

标记 8
5 验证系统是否已应用标记：
a 选择 “菜单” | “系统” | “标记目录”，然后从标记列表中选择标记或标记组。
b 在详细信息窗格的含此标记的系统旁，单击链接以获取含有按标准应用标记的系统的数量。此时会显示含有按
标准应用的标记的系统页。
该标记被应用到所有符合其标准的系统。
按计划应用基于标准的标记
计划一个定期执行的任务，以将标记应用到符合标记标准的所有系统。
任务
2 在说明页面上，对任务进行命名和说明，并选择任务是否在创建完成后即启用，然后单击“下一步”。此时会显示操
作页。
3 从下拉列表中选择“运行标记标准”，然后从“标记”下拉列表中选择标记。
4 选择是否重置手动标记和排除的系统。
重置手动标记和排除的系统会实现以下两种效果：
• 删除不符合标准的系统中的标记
• 将标记应用到符合标准但因被排除而无法接收标记的系统
5 单击“下一步”打开计划页。
6 根据所需次数计划任务，然后单击“下一步”。
7 查看任务设置，然后单击“保存”。
该服务器任务被添加至服务器任务页面的列表中。如果您选择启用服务器任务生成器中的任务，则该任务会在下个计划
时间运行。

标记

9 用户帐户和权限集
每个用户帐户都与一个或多个权限集相关联，权限集定义了允许用户对软件执行的操作。
目录
用户
用证书进行身份验证
权限集
用户
用户帐户可以用于控制用户访问和使用 McAfee ePO 的方式。
您可以手动创建用户帐户，然后为每个帐户分配相应的权限集。您还可以配置 McAfee ePO 服务器，使用户能够通过
Windows 身份验证登录，但该过程需要进行配置以及安装多个设置和组件。
如果用户帐户和权限集密切相关，则它们将通过不同的步骤进行创建和配置。
管理用户帐户
您可以从用户页面中手动创建、编辑和删除用户帐户。
最佳实践：禁用帐户的登录状态，而不是将其删除。当您确认将与此帐户关联的所有重要信息都已移动到其他用户时，
可以删除登录状态。
任务
1 打开用户页面：选择 “菜单” | “用户管理” | “用户”。
2 选择以下一项任务。

用户
任务步骤
创建用 1 单击“新建用户”。 5 [可选] 提供用户的全名、电子邮件地址、电
户话号码和说明。
2 键入用户名。 6 将用户设置为管理员，或为此用户选择适当
的权限集。
3 选择是启用还是禁用此帐户的登录状态。如 7 单击“保存”返回到用户选项卡。
果此帐户是供非组织成员使用的帐户，则建
议您将其禁用。
4 选择新帐户要使用的身份验证类型，然后提
供所需凭证，或者浏览并选择证书。
新用户将出现在用户列表中。
编辑用 1 从“用户”列表中选择要编辑的用户，然后单击“操作” | “编辑”。

户
2 根据需要编辑帐户。
用户更改将出现在用户列表中。
删除用 1 从“用户”列表中选择要删除的用户，然后单击“操作” | “删除”。

户
2 出现提示时，请单击“确定”。
该用户将从用户列表中消失。
通过 Active Directory 管理 McAfee ePO 用户

使用预先存在的经过 Windows 身份验证的用户凭据，自动创建 McAfee ePO 用户并为其分配权限。
通过将 McAfee ePO 权限集映射到您环境中的 Active Dirctory 组对凭据进行身份验证。此功能可减少组织因存在大量
McAfee ePO 用户而产生的管理费用。要完成该配置，请使用此流程：
• 配置用户身份验证。
• 注册 LDAP 服务器。
• 为 Active Directory 组分配权限集。
用户身份验证
McAfee ePO 用户可通过 McAfee ePO 密码身份验证或 Windows 身份验证进行身份验证。如果使用 Windows 身份验
证，则可以指定用户是否使用以下身份验证方法：
• 针对您的 McAfee ePO 服务器联接到的域（默认）。
• 向一个或一系列域控制器验证身份。
• 向一个或一系列 DNS 风格的域名验证身份。
• 使用 WINS 服务器查找适当的域控制器。
如果您使用域控制器、DNS 风格的域名或 WINS 服务器，请配置 Windows 身份验证服务器设置。
已注册的 LDAP 服务器

您必须使用 McAfee ePO 服务器注册 LDAP 服务器，以允许为 Windows 用户动态分配的权限集。动态分配的权限集
是根据 Active Directory 组成员关系分配给用户的权限集。
不支持通过单向外部信任机制信任的用户。

用户帐户和权限集
用户 9
用于通过 McAfee ePO 注册 LDAP 服务器的用户帐户通过可双向传递的信任机制获取信任。否则，它必须物理存在于

LDAP 服务器所属的域中。
Windows 授权
用于 Windows 授权的服务器设置指定 McAfee ePO 使用哪种 Active Directory (AD) 服务器为特定域收集用户和组信
息。您可以指定多个域控制器和 AD 服务器。此服务器设置支持为那些在登录时提供 Windows 凭据的用户动态分配
权限集。
即使 Active Directory 用户登录未启用，McAfee ePO 仍可以向经 Windows 身份验证的用户动态分配权限集。
分配权限
为用户主组以外的 AD 组至少分配一个权限集。不支持为用户的主组动态分配权限集，因为这会导致仅应用手动分配给
单个用户的权限。默认的主要组是域用户。
Active Directory 用户登录

您可以启用“Active Directory 用户登录”服务器设置，从而在满足以下条件时允许自动创建用户记录：
• 用户提供采用 <domain\name> 格式的有效凭据。例如，具有 Windows 凭据 jsmith1 且属于名为 eng 的 Windows
域的用户将提供凭据 eng\jsmith1 以及相应的密码。
• 包含此用户信息的 Active Directory 服务器已通过 McAfee ePO 注册。
• 用户是映射到 McAfee ePO 权限集的至少一个本地域或全局域组的成员。
支持通用组
McAfee ePO 部分支持 Active Directory 通用组。
在检索组信息时会限制其与一个域的通信。
在针对通用组检索组成员时支持以下功能：
• 在通用组中直接查找成员
• 通过嵌套通用组间接查找成员
• 如果该组与用于执行查找的全局目录处于同一个域，则通过全局或本地域组间接查找成员
最后，如果该组与用于执行查找的全局目录处于不同的域，则不支持间接成员。
Windows 身份验证和授权策略
当计划如何注册 LDAP 服务器时，您可以采取多种方式。提前花点时间计划您的服务器注册策略，将有助于您首次设
置正确，从而减少有关用户身份验证的问题。
理想情况下，您只需完成一次身份验证和授权过程，并且仅当整个网络拓扑发生变化时才进行更改。在注册了服务器和
配置了 Windows 身份验证之后，您应该不需要经常修改这些设置。
身份验证与授权
身份验证就是将用户提供的凭据与系统信任的某样东西相匹配，从而验证用户身份的真实性。该信任可能是 McAfee
ePO 服务器帐户、Active Directory 凭据或证书。如果要使用 Windows 身份验证，请检查包含您用户帐户的域（或服
务器）的组织方式。
该软件在您验证用户凭据之后完成授权。您可以应用权限集并确定用户在系统内可执行的操作。Windows 身份验证允
许您为不同域中的用户设置权限。将权限集附加到这些域内所包含的组中。
用户帐户网络拓扑
完全配置 Windows 身份验证和授权所需的精力取决于您的网络拓扑，以及整个网络中用户帐户的分布情况。

用户
• 如果用户凭据包含在单个域树中的一小组域或服务器中，则注册该树的根。
• 如果您的用户帐户更加分散，则注册若干服务器或域。确定您所需的域（或服务器）子树的最小数量，然后注册这
些树的根。尝试按使用情况的顺序来注册它们。将最常用的域放在列表顶部，这样可以提高平均的身份验证性能。
权限结构
为了使用户通过 Windows 身份验证登录到 McAfee ePO 服务器，必须将权限集附加到用户帐户所属域中的 Active
Directory 组。在确定权限集的分配方式时，请考虑以下功能：
• 可以为多个 Active Directory 组分配权限集。
• 只能为整个 Active Directory 组动态分配权限集，而不能只是为组中的部分用户动态分配权限集。
如果您需要为个别用户分配特殊权限，则可以通过创建一个仅包含该用户的 Active Directory 组来实现。
在 McAfee ePO 服务器中启用 Windows 身份验证

在能够使用更高级的 Windows 身份验证之前，必须先准备服务器。
要激活服务器设置中的 Windows 身份验证页面，请停止 ePolicy Orchestrator 服务。在 McAfee ePO 服务器上执行此
任务。
任务
1 从服务器控制台中，选择“开始” | “设置” | “控制面板” | “管理工具”。
2 选择“服务”。
3 在“服务”窗口中，右键单击 “McAfee ePolicy Orchestrator Applications Server” 并选择“停止”。
4 将 Winauth.dll 重命名为 Winauth.bak。

在默认安装中，此文件可在 C:\Program Files\McAfee\ePolicy Orchestrator\Server\bin 中找到。
5 重新启动该服务器。
在下次打开服务器设置页时，会出现一个“Windows 身份验证”选项。
配置 Windows 身份验证
可通过很多方式来使用 ePolicy Orchestrator 中的现有 Windows 帐户凭据。
开始之前
您必须首先准备好服务器以用于 Windows 身份验证。
这些设置的配置方式取决于多个问题：
• 是否要使用多个域控制器？
• 您是否将用户分布在多个域中？
• 是否要使用 WINS 服务器查找用户正向哪个域验证身份？
用户可以使用 McAfee ePO 服务器所连接域的 Windows 凭据进行身份验证，还可以对与 McAfee ePO 服务器域之间

具有双向信任关系的任何域进行身份验证。如果您的用户所在的域不符合该标准，请配置 Windows 身份验证。

用户 9
任务
1 选择 “菜单” | “配置” | “服务器设置”，然后从“设置类别”列表选择 “Windows 身份验证”。
2 单击“编辑”。
3 指定您想要使用一个或多个域、一个或多个域控制器、还是 WINS 服务器。

域必须采用 DNS 格式。（例如，internaldomain.com）域控制器和 WINS 服务器必须具有完全限定域名。（例
如，dc.internaldomain.com）
您可以指定多个域或域控制器，但只能指定一个 WINS 服务器。单击“+”可以向列表中添加更多域或域控制器。
4 在添加完服务器之后，请单击“保存”。
如果您指定域或域控制器，McAfee ePO 服务器尝试按服务器排列顺序对用户进行身份验证。从列表中的第一个服务器

开始往下进行，直到用户成功完成身份验证。
配置 Windows 授权
使用 Windows 身份验证尝试登录 McAfee ePO 服务器的用户需要为其中一个 Active Directory 组分配的权限集。
任务
1 选择 “菜单” | “用户管理” | “权限集”。
2 从“权限集”列表中选择现有权限集并在“名称和用户”部分中单击“编辑”，或者单击“新建权限集”。
3 选择权限集适用于的任何个人用户。
4 从列表中选择“服务器名称”，然后单击“添加”。
5 在 LDAP 浏览器中，浏览至各个组，并选择此权限集适用于的组。
在“浏览”窗格中选择项目会在“组”窗格中显示该项目的成员。可以选择任意数量的组来动态接收权限集。一次只能添
加一个项目中的成员。要添加多个成员，请重复步骤 4 和 5，直至完成添加。
该权限集适用于通过 Windows 身份验证登录服务器所指定的组内的所有用户。
创建自定义登录消息
创建并显示将要在登录页面上显示的自定义登录消息。
消息可以是纯文本形式，也可以使用 HTML 格式。如果您创建的是 HTML 格式的消息，则需要负责所有的格式和转
义。
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”选择“登录消息”，然后单击“编辑”。
2 选择“显示自定义登录消息”，然后键入您的消息并单击“保存”。
将用户会话限制到单个 IP 地址
将登录限制到单个 IP 地址，可避免受到利用持续性会话信息所发出的攻击。
默认情况下，系统会在多个 IP 地址保持用户会话。保持用户会话可让用户在更改位置时无需重复登录。

用户
如果需要提升网络安全性，则可以将用户会话限制到单个 IP 地址。此举可强制用户在每次 IP 地址更改时重新提交凭

据，例如将笔记本电脑带到其他位置使用时。
任务
1 选择“菜单” | “配置” | “服务器设置”，从“设置类别”中选择“用户会话”，然后单击“编辑”。
2 选择“将会话限制到单个 IP 地址”。
用户更改 IP 地址时，都必须重新输入凭据才能访问 McAfee ePO 控制台。
审核日志
使用审核日志，以维护和访问所有 McAfee ePO 用户操作的记录。审核日志条目显示在可排序的表中。为了增强灵活
性，还可以筛选日志以仅显示失败的操作或仅显示特定期限内的条目。
审核日志显示以下列：
• “操作”— McAfee ePO 用户所尝试操作的名称。 • “开始时间” - 启动操作的时间。
• “完成时间” - 完成操作的时间。 • “成功” - 操作是否成功完成。
• “详细信息” - 有关操作的更多信息。 • “用户名” - 采取操作所使用的登录用户帐户的用户

名。
• “优先级” - 操作的重要性。
审核日志信息以企业管理员所在地区的语言显示。
审核日志条目可作为查询的对象。您可以通过查询生成器创建以此数据作为目标的查询，也可以使用以此数据作为目标
的默认查询。例如，失败的登录尝试查询会检索所有失败登录尝试的表。
查看用户操作
审核日志会显示过去的用户操作。使用审核日志跟踪 McAfee ePO 服务器的访问以及用户所做的更改。
任务
1 打开审核日志：选择“菜单” | “报告” | “审核日志”。
2 排序和过滤表格，以注重相关条目。
• 要更改显示的栏，请单击“选择栏”。
• 要排序表格项目，请单击栏标题。
• 要隐藏不相关的条目，请从下拉列表中选择过滤器。
3 要查看其他详细信息，请单击条目。
从审核日志删除过时操作
从审核日志表格定期删除过时操作，以改善数据库性能。
从“审核日志”删除的项目将永久删除。

用证书进行身份验证 9
任务
1 打开审核日志：选择“菜单” | “报告” | “审核日志”。
2 单击“清除”。
3 在清除对话框中，输入一个数字，然后选择时间单位。
早于或位于指定时间的任何项目都会被删除，包括当前视图中未显示的项目。删除的项目数量会显示在页面的右下角。
创建服务器任务以自动删除过时的项目。
启用基于证书的身份验证，从而使用户能够通过有效的客户端证书（而非用户名和密码）访问 McAfee ePO。
客户端证书身份验证是一种公共密钥身份验证。它与公共密钥身份验证有所不同，因为公共密钥身份验证只需要您信
任一个受信的第三方，称为证书颁发机构（或 CA）。证书是将身份信息和公共密钥结合在一起的数字文档。 CA 对证
书进行数字签名，并验证信息的准确性。
用户尝试使用基于证书的身份验证访问 McAfee ePO 时，McAfee ePO 会对客户端证书进行检查，以确保证书经过签
名。客户端证书通过验证后，会授予用户访问权限。
证书已预先定义到期日期，证书到期时，系统会强制要求审阅用户权限。
对于已配置有效证书的用户，基于证书的身份验证可以替代密码身份验证。而其他所有用户仍需要提供密码才能够访问
McAfee ePO。
您的组织使用基于证书的身份验证前，请在 McAfee ePO 上安装 CA 证书并在您的端点上安装签名的客户端证书。
为基于证书的身份验证配置 McAfee ePO

在用户使用基于证书的身份验证访问 McAfee ePO 之前，启用身份验证方法并上传经过签名的 CA 证书。
开始之前
您必须拥有 P7B、PKCS12、DER 或 PEM 格式的签名证书。
任务
1 打开编辑基于证书的身份验证页面。
b 从“设置类别”列表选择“基于证书的身份验证”，并单击“编辑”。
2 选择“启用基于证书的身份验证”。
3 单击“客户端证书的 CA 证书”旁的“浏览”，查找并选择证书文件，然后单击“确定”。
应用某个文件之后，提示会更改为“替换当前 CA 证书”。
证书到期时，或贵组织的安全要求改变时，请替换证书。例如，贵组织可能需要 SHA-256 证书进行身份验证。

4 （可选）如果您已经提供了 PKCS12 证书文件，请输入密码。
5 根据需要配置任何高级设置或可选设置。
• 如果您拥有证书吊销列表 (CRL) 文件，请单击“浏览”，查找并选择 CRL 文件，然后单击“确定”。
CRL 文件必须采用 PEM 格式。
• （可选）配置在线证书状态协议 (OCSP)，作为检查证书真实性的备用方法或额外方法。
1 单击“启用 OCSP 检查”。
2 键入 OCSP 服务器的 URL。
3 （可选）选择在 McAfee ePO“ 服务器无法获得 OCSP 的响应时”，“启用 CRL 分发点检查”。

如果连接到默认 OCSP URL 失败，McAfee ePO 改为尝试连接至证书中的 CRL 分发点检查下提到的证书颁
发机构 CRL。
4 （可选）选择“将默认 OCSP URL 作为主要 OCSP URL”。

如果该连接失败，McAfee ePO 会求助于其他 OCSP 响应程序（前提是已在颁发机构信息访问权限下的证
书中提及）。
• 如果需要所有远程用户使用基于证书的身份验证，请单击“远程用户使用证书登录”。
• 要使用户名与证书中指定的使用者识别名 (DN) 一致，请单击“默认证书用户名为使用者 DN”。
• 配置“Active Directory 集成”。
您必须启用 Active Directory 用户登录，并且将用户组添加至权限集，这些设置才能生效。
• 要将 Active Directory 用户自动分配到权限集，请选择“自动为使用 Active Directory 证书登录的用户分配权

限”。
• 要为使用有效 AD 证书访问 McAfee ePO 的人员自动创建 McAfee ePO 用户帐户，请选择“自动为 Active

Directory 证书所有者创建用户”。
7 重新启动 ePolicy Orchestrator 以激活证书身份验证。
禁用基于证书的身份验证
如果您的网络环境中不再使用证书，则请将基于证书的身份验证选项删除。
任务
1 打开编辑基于证书的身份验证页面。
b 从“设置类别”列表选择“基于证书的身份验证”，并单击“编辑”。
2 取消选中“基于证书的身份验证”，然后单击“保存”。
您禁用基于证书的身份验证后，您的用户无法再使用证书访问 McAfee ePO，并且必须改为使用其用户名和密码登录。

您之前的配置设置会被重置。
重新启动服务器，完成对配置的更改。

用证书进行身份验证 9
配置用户帐户进行基于证书的身份验证
用户必须先配置基于证书的身份验证，才能使用客户端证书进行身份验证。
用于基于证书的身份验证的客户端证书通常通过智能卡或类似设备获得。与智能卡硬件捆绑的软件可以提取证书文件。
该提取的证书文件通常就是该过程中上传的文件。
任务
1 打开“编辑用户”页面。
a 选择“菜单” | “用户管理” | “用户”。
b 从“用户”列表中，选择一个用户，然后单击“操作” | “编辑”。
2 在“身份验证类型”旁边，选择“更改身份验证或凭据” | “基于证书的身份验证”。
3 使用以下任一方法提供凭据。
• 复制证书文件中的识别名字段并将其粘贴到“个人证书使用者识别名字段”编辑框中。
• 上传经过签名的证书文件：单击“浏览”查找并选择证书文件，然后单击“确定”。
此证书文件是在“配置 MFS 基于证书的身份验证”过程中上传的。
用户证书可以采用 PEM 或 DER 格式。实际证书格式并不重要，只要格式符合 X.509 或 PKCS12 即可。
4 单击“保存”将更改保存到用户的配置。
将验证证书信息。如果证书无效，则会显示一个警告。如果证书有效，则会显示 McAfee ePO 登录页面。用户可以

选择一种语言并单击“登录”，但无需输入用户名和密码。
更新证书吊销列表
为防止为基于证书的身份验证配置的特定用户访问 McAfee ePO，请将用户的客户端证书添加至您的 McAfee ePO 服
务器上安装的证书吊销列表 (CRL) 中。
开始之前
您必须已经具有 ZIP 或 PEM 格式的 CRL 文件。
CRL 文件是已被吊销证书的 McAfee ePO 用户及其数字证书状态的列表。该列表包括已吊销的证书、吊销原因、证书

颁发日期和颁发机构。当某个用户尝试访问 McAfee ePO 服务器时，系统会检查 CRL 文件并允许或拒绝该用户的访
问。
任务
1 选择 “菜单” | “配置” | “服务器设置”。
2 选择“基于证书的身份验证”，然后单击“编辑”。
3 若要更新 CRL 文件，请单击“证书吊销列表文件”旁的“浏览”，查找 CRL 文件，然后单击“确定”。
4 单击“保存”可以保存所有更改。
5 重新启动 McAfee ePO，以激活证书身份验证。
McAfee ePO 会检查更新后的 CRL 文件，确认每次用户尝试访问 McAfee ePO 时客户端证书未被吊销。

权限集
您也可以使用 cURL 命令行来更新 CRL 文件。
要从此命令行运行 cURL 命令，请安装 cURL 并授予对 McAfee ePO 服务器的远程访问权限。有关 cURL 下载详细信息
和其他示例，请参阅《“McAfee ePolicy Orchestrator Web API 脚本编写手册”》。
在 cURL 命令行中键入：
curl -k --cert <管理员证书>.pem --key <管理员密钥>.pem https://<本地主机>:<端口>/remote/

console.cert.updatecrl.do -F crlFile=@<CRL>.zip
在此命令中：
• <管理员证书> - 管理员客户端证书 .PEM 文件名
• <admin_key> — 管理员客户端私钥 .PEM 文件
• <localhost>:<端口> — McAfee ePO 服务器名称和通信端口号
• <CRL> - CRL .PEM 或 .zip 文件名
对基于证书的身份验证进行故障排除
有关使用证书的大多数身份验证问题是由一些问题引起的。
如果用户无法使用其证书登录，请尝试以下选项之一来解决问题：
• 验证用户是否被禁用。 • 验证用户配置页面上的 DN 字段是否正确。
• 验证证书是否已过期或被撤消。 • 验证浏览器是否提供正确的证书。
• 验证证书是否由正确的证书颁发机构签署。 • 检查审核日志有无身份验证消息。
权限集
权限集用于控制用户对于软件中提供的功能必须具有的访问级别。
要创建更安全的环境，即使是最小的安装，也请指定和控制用户对系统不同部分的访问权限。
目录
用户、组和权限集如何相互合作
管理权限集
用户、组和权限集如何相互合作
McAfee ePO 通过用户、组和权限集之间的交互控制对项目的访问权限。
用户帐户向 McAfee ePO 控制台授权登录访问权限，而且映射了权限集时，它会定义允许用户访问的内容。管理员可

以创建个人用户帐户并分配权限，也可以创建与 Active Directory/NT 服务器中的用户或组映射的权限集。
McAfee ePO 用户一般分为两种类别：对整个系统具有所有权限的管理员，或普通用户。普通用户可被分配任意数量

的权限集，以定义他们在 McAfee ePO 内的访问权限级别。
管理员
管理员具有读写权限以及执行所有操作的权限。在安装服务器时，系统会自动创建一个管理员帐户。默认情况下，此帐
户的用户名为“admin”。如果在安装期间更改了此默认值，则该帐户也会进行相应的命名。
您可以为需要管理权限的用户创建其他管理员帐户。

权限集 9
管理员独有的权限包括：
• 创建、编辑和删除来源站点和备用站点。 • 添加、删除和分配权限集。
• 更改服务器设置。 • 将事件导入 McAfee ePO 数据库并限制存储在其

中的事件数。
• 添加和删除用户帐户。
用户
用户可被分配任意数量的权限集，以定义他们在 McAfee ePO 内的访问权限级别。
可以通过多种方式创建和管理用户帐户。您可以执行以下操作：
• 手动创建用户帐户，然后为每个帐户分配相应的权限集。
• 配置 McAfee ePO 服务器以允许用户通过 Windows 身份验证登录。
允许用户使用他们的 Windows 凭据登录是一个高级功能，需要配置和设定多个设置和组件。
组
将查询和报告分配到各组。每个组可以被设置为（仅对该用户）专有、全局公开（或“共享”）、或由一个或多个权限集
共享。
权限集
具体访问配置文件在权限集中定义。此配置文件通常包含对 McAfee ePO 不同部分的访问权限级别的组合。例如，一
个权限集可能授予读取审核日志、使用公共和共享信息显示板、创建和编辑公共报告或查询的功能。
可以将权限集分配到个人用户，或者，如果您使用的是 Active Directory，则还可以将权限集分配到来自特定 Active

Directory 服务器的所有用户。
默认权限集
McAfee ePO 提供以下四种默认权限集，从而提供使其正常运行的权限：
• 执行审阅者 — 提供对信息显示板、事件和联系人的查看权限并可以查看与整个系统树相关的信息。
• 全局审阅者 — 提供所有功能、产品和系统树（除扩展、多服务器汇总数据、注册的服务器和软件外）的全局查看
访问权限。
• 全局管理员 — 提供全部 McAfee ePO 功能的查看和更改权限。被分配该权限集的每位用户都至少还需要一个权限

集，才有权访问系统树的产品和组。
• 组审阅者 — 提供全部 McAfee ePO 功能的查看权限。被分配该权限集的每位用户都至少还需要一个权限集，才有

权访问系统树的产品和组。
用户组管理员或全局管理员可以根据需要编辑封装的权限集。
升级产品扩展时：
• 产品经过编辑的封装权限集会保留默认的封装权限集。
• 产品被删除的权限集会重新添加。
管理权限集
从权限集页面可以控制用户访问、创建、更改、导出和导入权限集。
全面定义您的权限集后，迁移这些权限集的最快捷方式是将其导出并导入到其他服务器。

权限集
任务
1 打开权限集页面：选择“菜单” | “用户管理” | “权限集”。
操作步骤
添加权 1 单击“新建权限集”。
限集
2 为新权限集键入一个独特的名称。
3 要立即将特定用户分配到该权限集，请在用户部分中选择其用户名。
4 要将任意 Active Directory 组映射到该权限集，请从“服务器名称”列表中选择服务器，然后单击“添

加”。
5 如果添加的 Active Directory 服务器中存在您希望删除的任何服务器，请在“Active Directory”列表框中
选择这些服务器，然后单击“删除”。
6 单击“保存”以创建权限集。
编辑权 1 选择要更改的权限集。该权限集的详细信息将显示在右侧。

限集
如果您创建了权限集，那么系统会自动为您选中该权限集。
2 单击类别行中的“编辑”，以选择要更改的权限类别。
3 更改权限，然后单击“保存”。
复制权 1 从“权限集”列表中，选择要复制的权限集，然后单击“操作” | “复制”。

限集
2 为重复的权限集键入一个新名称。默认情况下，软件会在现有名称上附加 (copy)。
删除权 1 选择您要从“权限集”列表中删除的权限集，然后选择您要删除的权限集。该权限集的详细信息将显示

限集在右侧。
2 单击 “操作” | “删除”，然后单击“确定”。
导出权单击“全部导出”。
限集 McAfee ePO 服务器将 XML 文件发送至您的浏览器。接下来出现的情况取决于您的浏览器设置。大多
数浏览器会要求您保存文件。
XML 文件仅包含具有已定义的权限级别的角色。例如，如果权限集没有查询和报告权限，则该文件中不
会显示任何条目。
导入权 1 单击“导入”。
限集
2 单击“浏览”导航到具备您要导入的权限集的 XML 文件，并选择该文件。
3 选择相应的选项，以决定是否要使权限集名称与导入的权限集相同。单击“确定”。
如果 McAfee ePO 无法在指定文件内找到有效的权限集，则会显示一条错误消息并停止导入过程。
权限集已经添加到服务器中，并且显示在权限集列表中。

10 软件管理器
使用软件管理器来查看和获取 McAfee 软件和软件组件。
目录
软件管理器中包含的项
使用软件管理器签入、更新和删除软件
检查产品兼容性
软件管理器中包含的项
使用软件管理器，不需要访问 McAfee 产品下载网站即可获取新的 McAfee 软件和软件更新。
您可以使用软件管理器下载：
• “许可软件”是指您的组织已经从 McAfee 购买的任何软件。未签入的软件产品类别提供您的服务器上目前尚未安装
的许可软件列表。 “产品类别”列表中的每个子类别旁显示的数字表示可用的产品数。
• “评估软件”是指您的组织目前尚未购买许可证的软件。您可以在服务器上安装评估软件，但是其功能可能会受到限
制，除非您获得了产品许可证。
• “软件更新”是您正在使用的已发行软件的新更新。您可以使用软件管理器签入新的包和扩展。可用的软件更新在

“有可用的更新”类别中列出。
• “产品文档”是新的和更新的产品文档，可以从软件管理器处获得。可以自动安装帮助扩展。 PDF 和 HTML 文档

（例如产品手册和发行说明）也可以从软件管理器中下载。
DAT 和引擎无法通过软件管理器获得。
关于软件组件依赖项
您可以安装用于 McAfee ePO 服务器的许多软件产品具有针对其他组件的预定义依赖项。产品扩展的依赖项会自动安
装。对于其他所有产品组件，您必须检查组件详细信息页中的依赖项列表，然后首先安装这些依赖项。
软件管理器用户界面
“软件管理器”用户界面有以下主要功能，可以帮助您查看和操纵您的新软件和现有软件。
选项定义
“产品类别” 您可在此处搜索或选择要在选定的产品表中查看或操纵的产品。
“选定的产品表，分为三个部分:”
列出产品及其状态选择该列表中的产品，然后详细信息和操纵功能会显示在详细信息和组件行中。
产品详细信息行列出产品说明及其状态，允许过滤语言并提供以下操作：
“全部签入” 签入选定产品的所有新版本和组件。
“全部更新” 将选定产品的所有现有版本和组件更新为最新版本。

10 软件管理器
选项定义
“全部删除” 删除选定产品的所有版本和组件。
组件行显示选定产品的所有组件，并根据组件允许您签入、更新、删除或下载单个组件。
使用软件管理器，可以在服务器中签入、更新和删除托管的产品组件。
许可软件和评估软件均可以在软件管理器中访问。
软件的可用性以及它属于“已授权”还是“评估”类别取决于许可证密钥。有关详细信息，请与管理员联系。
任务
1 单击 “菜单” | “软件” | “软件管理器”。
2 在“软件管理器”页的“产品类别”列表中，请选择以下类别之一，或使用搜索框查找您的软件：
• “有可用的更新” — 列出了已安装或已签入到 McAfee ePO 服务器中的许可软件组件的所有可用更新。
• “已签入的软件” — 显示已安装或已签入此服务器的所有软件（包括“许可”软件和“评估”软件）。
如果您最近已为某个产品添加了许可证，而它却显示为“评估”，请单击“刷新”以更新许可计数，并在“已签入的软
件”下将该产品显示为“许可”。
• “未签入的软件” — 显示此服务器上未安装的任何可用软件。
• “软件(按标签)” — 按照 McAfee 产品套件所描述的功能来显示软件。
3 找到正确的软件后，请选择适用于软件中所有组件或单个组件的操作。
• 针对软件中所有组件，请单击：
• “全部签入”，以签入该服务器上新产品的所有组件。
• “全部更新”，以更新该服务器上现有产品的所有组件。
• “全部删除”，以删除该服务器上现有产品的所有组件。
• 针对软件中的单个组件，请单击：
• “下载”，以将软件或产品文档下载到您网络上 • “更新”，以更新安装或签入到此服务器中的现
的某个位置。有包或扩展。
• “签入 (分支)”，以在该服务器上签入新产品 • “删除”，以卸载安装或签入到此服务器中的包

包。或扩展。
• “签入”，以在该服务器上签入新产品扩展。
4 在“签入软件摘要”页中，查看产品详细信息并接受最终用户许可协议 (EULA)，然后单击“确定”完成该操作。
您可以配置产品兼容性检查，从 McAfee 自动下载产品兼容性列表。
此列表标识了 McAfee ePO 环境中不再兼容的产品。

软件管理器
检查产品兼容性 10
只要安装和启动扩展会使您的服务器处于不良状态，McAfee ePO 便会随时执行该检查。该检查会在以下情况下进

行：
• 从之前版本 McAfee ePO 进行升级的过程中 • 当接收来自 McAfee 的新兼容性列表时
• 从扩展菜单中安装扩展时 • 运行数据迁移工具时
• 从软件管理器中检索新扩展之前
请参阅《“McAfee ePolicy Orchestrator 安装手册”》，了解详细信息。
产品兼容性检查
产品兼容性检查使用 XML 文件（即产品兼容性列表）确定哪些产品扩展与 McAfee ePO 版本不兼容。
初始列表包含在 McAfee 网站的 McAfee ePO 软件包中。如果在安装或升级过程中运行设置，McAfee ePO 会自动从

受信任的 McAfee 来源检索最新兼容扩展列表。如果 Internet 来源不可用或无法验证此列表，则 McAfee ePO 会使用
最新的可用版本。
McAfee ePO 服务器每天在后台更新一次产品兼容性列表。
补救
通过安装程序或升级兼容性实用工具查看不兼容扩展列表时，系统会通知您是否存在已知的替代扩展。
某些情况下，进行升级时:
• 扩展会阻止升级，必须将其删除或替代才可以继续升级。
• 扩展被禁用，但您必须在完成 McAfee ePO 升级后更新扩展。
禁用自动更新
您可能需要禁用产品兼容性列表的自动更新功能。该下载会：
• 作为后台任务的一部分进行。
• 在刷新软件管理器内容时进行（McAfee ePO 不具备入站 Internet 访问权限时有帮助）。
• 在您重新启用产品兼容性列表的下载设置（也重新启用产品兼容性列表的软件管理器自动更新功能）时运行。
使用手动下载的产品兼容性列表
如果您的 McAfee ePO 服务器无法访问 Internet，您可以使用手动下载的产品兼容性列表。
在以下情况，您可以手动下载该列表：
• 安装 McAfee ePO 时。
• 使用“服务器设置” | “产品兼容性列表”手动上传产品兼容性列表时。此列表会在上传后立即生效。
最佳实践：禁用列表的自动更新功能，以防止覆盖手动下载的产品兼容性列表。
打开 https://epo.mcafee.com/ProductCompatibilityList.xml，以手动下载该列表。
被阻止或被禁用的扩展
如果扩展在产品兼容性列表中被阻止，则它会阻止 McAfee ePO 软件更新。如果扩展被禁用，则不会阻止升级，但扩
展不会在升级完成后初始化，除非安装已知的替代扩展。
安装产品兼容性列表时使用的命令行选项
您可以将这些命令行选项与 setup.exe 命令配合使用，来配置产品兼容性列表下载。

10 软件管理器
命令说明
setup.exe DISABLEPRODCOMPATUPDATE=1 禁用从 McAfee 网站自动下载产
品兼容性列表的功能。
{0>setup.exe 指定备用的产品兼容性列表文
PRODCOMPATXML=<full_filename_including_path><}0{>setup.exe 件。
PRODCOMPATXML=<包含路径的完整文件名><0}
可在命令字符串中同时使用这两个命令行选项。
重新配置产品兼容性列表下载
您可以从 Internet 下载产品兼容性列表，或使用手动下载的列表来识别您的 McAfee ePO 环境中不再兼容的产品。
任何手动下载的产品兼容性列表都必须是 McAfee 提供的有效 XML 文件。如果您对产品兼容性列表 XML 文件做出任
何更改，则文件不再有效。
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”中选择“产品兼容性列表”，然后单击“编辑”。

此时会出现已禁用的不兼容扩展列表。
2 单击“禁用”以停止从 McAfee 自动定期地下载产品兼容性列表。
3 单击“浏览”并导航至“上载产品兼容性列表”，然后单击“保存”。
禁用产品兼容性列表的自动下载。在您上载新列表或将服务器连接到 Internet 并启用自动下载之前，McAfee 服务器都

使用同一列表。

11 手动进行包和更新管理
当您需要在常规计划的任务之外发布新产品时，您可以手动将其签入。
目录
管理产品
手动签入包
从主存储库中删除 DAT 或引擎包
在各分支之间移动 DAT 和引擎包
手动签入引擎、DAT 和 Extra.DAT 更新包
最佳实践：自动化 DAT 文件测试
管理产品
必须先安装产品扩展，然后 McAfee ePO 才可以管理产品。
开始之前
确保扩展文件位于网络上的可访问位置。
任务
1 在 McAfee ePO 控制台中，选择“菜单” | “软件” | “扩展” | “安装扩展”。

您一次仅可以运行一个主存储库更新任务。如果您在安装扩展的同时运行主存储库更新，则会出现以下错误：
无法安装扩展 com.mcafee.core.cdm.CommandException：无法在运行提取任务的同时签入选定的包。
请等待主存储库更新完成，然后重新尝试安装扩展。
2 浏览至扩展文件并选择该文件，然后单击“确定”。
3 验证产品名称是否显示在“扩展”列表中。
手动签入包
将部署包签入主存储库以使用 ePolicy Orchestrator 软件进行部署。

任务
1 打开签入包向导。
a 选择“菜单” | “软件” | “主存储库”。
b 单击“签入包”。
2 选择包类型，然后浏览到包文件并选择此文件。
4 确认或配置以下选项：
• “包信息” — 确认此为正确包。
• “分支” — 选择分支。如果您的环境要求在整个生产环境中部署新包之前对新包进行测试，请无论何时签入包时

都使用“评估”分支。完成包测试后，您可以通过选择“菜单” | “软件” | “主存储库”将其移动到“当前”分支。
• “选项” — 选择是否要：
• “将现有包移到‘早期’分支” — 选择该选项后，如果有同类型的新包签入，则会将主存储库“当前”分支中的包
移到“早期”分支中。仅当您在“分支”中选择“当前”后，此选项才可用。
• “包签名” — 指定包是 McAfee 还是第三方包。
5 单击“保存”开始签入包，然后等待完成包签入。
此时新包显示在“主存储库中的包”列表中。

从主存储库中删除 DAT 或引擎包。定期签入新的更新包时，新更新包会取代旧版更新包，或将其移动到早期分支（如
果您使用的是早期分支）。
任务
1 单击 “菜单” | “软件” | “主存储库”。
2 在包行中，单击“删除”。
在各分支之间移动 DAT 和引擎包

将包嵌入到主存储库，然后手动将包在评估、当前和早期分支之间进行移动。
任务
1 选择 “菜单” | “软件” | “主存储库”。
2 在包的行中，单击“更改分支”。
3 选择是否将包移到或复制到其他分支。

手动进行包和更新管理
手动签入引擎、DAT 和 Extra.DAT 更新包 11
4 选择接收包的分支。
®
如果网络中装有 McAfee® NetShield for NetWare，请选择“支持 NetShield for NetWare”。
手动签入引擎、DAT 和 Extra.DAT 更新包

将更新包签入到主存储库，以便使用 McAfee ePO 软件进行部署。有些包只能手动签入。
任务
1 打开签入包向导。
a 选择“菜单” | “软件” | “主存储库”。
b 单击“签入包”。
2 选择包类型，然后浏览到包文件并选择此文件，然后单击“下一步”。
3 选择分支：
• “当前” — 未经测试即使用包。
• “评估” — 先在实验室环境中使用包。
完成包测试后，您可以通过选择以下选项将其移至“当前”分支 “菜单” | “软件” | “主存储库”。
• “早期” — 使用早期版本接收包。
4 在“选项”旁边，选择“将现有包移到‘早期’分支”，对现有包进行存档。
5 单击“保存”，开始签入包。请等待完成包签入。
此时新包显示在“主存储库中的包”列表中。

使用 McAfee ePO 的内置功能，以自动验证 DAT 文件的兼容性以及从 McAfee 公共站点下载的内容文件。
McAfee Labs 会严格地测试内容，如 DAT 和引擎文件，然后再将其发布到公共更新服务器上。由于每个组织都是独特
的，您可以执行自己的兼容性验证，以确保您的独特环境中 DAT 和内容的兼容性。
各个组织的兼容性验证流程各有不同。该部分的流程旨在将许多兼容性验证流程自动化并降低对管理员干预的要求。
“最佳实践：”要确认仅将兼容的 DAT 文件分布到您的环境，您可以选择将存储库评估分支中的内容手动移动到当前分

支。

DAT 文件验证概述
图 11-1 自动 DAT 文件测试步骤
服务器任务将 DAT 更新从 McAfee 公共站点提取至主存储库的“评估”分支。
McAfee Agent 策略将“评估”存储库分支中的 DAT 文件限制到测试组的一组系统。
McAfee Agent 更新客户端任务会将 DAT 安装到测试组系统中。
按需扫描任务会在测试组上频繁运行。
根据按需扫描输出，会出现以下一种情况：
如果 DAT 与测试组不兼容，系统会将自动响应电子邮件发送给相应的管理员。该电子邮件会告知管理员停止从
“当前”存储库发布 DAT 文件。
否则，待指定时间后，服务器任务会将存储库评估分支中的文件复制到当前分支。然后这些文件会被自动发送
至其余托管系统中。
从 McAfee 中提取和复制 DAT 更新

要创建自动化的 DAT 文件测试流程，需要将任务配置为从 McAfee 中提取 DAT 文件，然后将其复制到存储库的当前
分支。
McAfee ePO 平台在您的主存储库和分布式存储库中提供三种存储库分支：

最佳实践：自动化 DAT 文件测试 11
• 当前分支 — 默认情况下是最新包和更新的主要存储库分支。
• 评估分支 — 在将新 DAT 和引擎更新部署到整个组织前用于对其进行测试。
• 早期分支 — 在将新 DAT 和引擎文件添加到当前分支之前，用于保存和存储之前的 DAT 和引擎文件。
您必须要创建两个服务器任务，以自动进行 DAT 文件测试。

• 一项任务是每小时将 DAT 文件提取到“评估”分支一次，以确保评估分支在第一时间获得 McAfee 发布的最新
DAT。
“最佳实践：”每小时运行一次该任务，这样如果当天上午 11:00 发布的初始文件随后被替代，您能够获得额外的

DAT 文件。
• 另一项服务器任务在对系统的测试组进行扫描后数小时执行。到时候，除非管理员停止该服务器任务，否则它会自
动将评估分支中的 DAT 文件复制到当前分支。
任务
• 最佳实践：配置任务，以将 DAT 提取到评估分支第 145 页
若要将 DAT 文件测试流程自动化，必须要创建任务，以自动将 DAT 文件从 McAfee 公共站点提取到评估
存储库分支。
• 最佳实践：配置服务器任务，以将文件从评估分支复制到当前分支第 146 页
若要将 DAT 文件测试流程自动化，请创建任务，以自动将 DAT 文件从存储库的“评估”分支复制到“当前”
分支。
最佳实践：配置任务，以将 DAT 提取到评估分支

若要将 DAT 文件测试流程自动化，必须要创建任务，以自动将 DAT 文件从 McAfee 公共站点提取到评估存储库分
支。
如果您的组织对引擎进行更长时间（与该示例中几小时相比）的测试，或限制其自动发布，您可能要将该任务配置为仅
分发 DAT 文件。
任务
1 请选择“菜单” | “自动化” | “服务器任务”，然后单击“操作” | “新建任务”，以显示“服务器任务生成器”向导。
2 在“说明”选项卡中，键入服务器任务名称，例如 DAT pull hourly to Evaluation repository，以及要显示在服务器任

务页面中的说明。
3 在计划状态中，单击“启用”，然后单击“下一步”。
4 在操作选项卡中，配置以下设置：
• 从“操作”列表中，选择“存储库提取”。
• 在来源站点列表中，选择您要使用的 McAfee 公共站点、“McAfeeFtp”或“McAfeeHttp”。
• 从分支列表中，选择“评估”。
• 如果需要，取消选择“将现有包移到‘早期’分支”。
• 从包类型中，单击“选择包”。
5 在可用的来源站点包对话框中，选择“DAT”和“引擎”，然后单击“确定”。
我们建议您至少从 McAfee 公共网站提取 DAT 和引擎文件。
如果您有多个分布式存储库，可以将复制任务安排到同一个提取任务中，从而将评估分支复制到您的分布式存储
库。

6 在计划选项卡中，配置以下设置：
• 针对计划类型，单击“每小时”。
• 针对开始日期，选择今天的日期。
• 针对结束日期，单击“无结束日期”。
• 从计划中，配置任务，从而在每个小时整点后 10 分钟运行。
7 单击“下一步”，确定摘要选项卡中的所有设置都是正确的，然后单击“保存”。
若要确定自动 DAT 文件提取工作正常运行，请转至“菜单” | “软件” | “主存储库”并使用签入日期信息确定最近两个小时

内已更新“评估”分支 DAT 文件。
最佳实践：配置服务器任务，以将文件从评估分支复制到当前分支
若要将 DAT 文件测试流程自动化，请创建任务，以自动将 DAT 文件从存储库的“评估”分支复制到“当前”分支。
开始之前
您必须已创建服务器任务，以自动将 DAT 和内容文件复制到存储库的“评估”分支。
任务
1 选择“菜单” | “自动” | “服务器任务”，然后单击“操作” | “新建任务”。
2 在服务器任务生成器说明选项卡中，键入任务名称和注释，然后在“计划状态”中，单击“已启用”，然后单击“下一
步”。
3 在操作选项卡中，配置以下设置，然后单击“下一步”：
• 针对操作列表，请选择“更改包的分支”，选择“分支‘评估’中属于类型‘DAT’的所有包”作为要更改的包，选择“复
制”作为要执行的操作，然后单击“当前”作为目标分支。
• 单击“+”创建另一个操作，并从第二个操作列表中选择“更改包的分支”，选择“分支‘评估’中属于类型‘引擎’的所有
包”作为要更改的包，选择“复制”作为要执行的操作并选择“当前”作为目标分支。
4 在计划选项卡中，更改以下设置：
• 针对计划类型，单击“每日”。
• 针对开始日期，选择今天的日期。
• 针对结束日期，单击“无结束日期”。
• 更改计划设置，将任务配置为在下午 4:00 或 5:00 运行。
在历史上，McAfee 每天仅发行一次 DAT 文件，时间大约是东部时间下午 3:00 （19:00 UTC 或 GMT）。很少

出现一天发行两次 DAT 文件的情况，如果出现，则要求管理员禁用复制到您的当前分支的任务。
• 单击“下一步”，确定摘要选项卡中的所有设置都是正确的，然后单击“保存”。
若要确定从“评估”分支复制到“当前”分支的 DAT 文件复件正常运行，请转至“菜单” | “软件” | “主存储库”并使用签入日期

信息确定已于计划中配置的时间将评估分支 DAT 文件复制到当前分支。
另请参阅
最佳实践：配置任务，以将 DAT 提取到评估分支第 145 页
最佳实践：创建系统测试组
为安全测试 DAT 和内容文件，请创建系统的测试组，以用于运行您的评估存储库中的文件。
请确保您所使用系统的测试组符合以下标准：

• 抽取您的环境中有代表性的系统服务器版本、工作站版本以及操作系统和服务包，进行验证。
• 针对节点数不足 10,000 个的组织，使用 20–30 个系统进行验证。对于更大的组织，则要使用至少 50 个系统类

型。
您可以使用 VMware 镜像复制您的操作系统版本。请确保这些系统处于“干净”状态，避免引入恶意软件。
• 使用标记将策略和任务应用到分散在您的系统树中的单个系统。标记这些系统可以与创建独立的测试组达到同样的
效果，但可以使您的系统保留在其当前组中。
任务
1 若要创建系统树组，请选择“菜单” | “系统部分” | “系统树”。
2 在系统树组列表中，选择要将新组添加到的位置，然后单击“系统树操作” | “新建子组”并在新建子组对话框中键入名
称，例如 DAT Validation，然后单击“确定”。
3 若要将系统添加至您的测试组，可以将其他组中的系统拖放到新创建的子组，添加新系统或添加虚拟机系统。
您创建测试组，作为独立的系统组。该测试组使您可以测试新 DAT 和引擎更新，然后再将更新部署到您的组织中的所

有其他系统。
最佳实践：配置测试组的代理策略
创建具备更新任务的 McAfee Agent 策略，从而自动将 DAT 和内容文件复制到测试组中的系统。
任务
1 在“系统树”中，请选择“菜单” | “系统部分” | “系统树”，然后单击您创建的测试组。
2 若要复制现有策略，请单击“分配的策略”选项卡，选择“产品”列表中的“McAfee Agent”，然后在“常规”策略行的“类
别”列表中，单击“My Default”。
3 在“My Default”页面上，单击“复制”，并在“复制现有策略”对话框中键入名称，例如 Update from Evaluation，添加

任意注释，然后单击“确定”。
该步骤会将策略 Update from Evaluation 添加到策略目录中。
4 单击“更新”选项卡，以更改该策略使用的存储库。
5 在用于各个更新类型的存储库分支中，单击“DAT”和“引擎”列表下拉箭头，然后将列出的存储库更改为“评估”。
现在您已经创建与更新任务搭配使用的 McAfee Agent 策略，可以自动将 DAT 和内容文件从评估存储库复制到测试组

中的系统。
最佳实践：配置对测试组的按需扫描
创建按需扫描任务，该任务在将 DAT 文件更新到测试组后启动，以扫描测试组中发生的任何问题。
开始之前
您必须已经在系统树中创建测试组。
该配置假设您未将用户系统作为您的测试系统。如果您在使用真正的用户系统，可能需要修改某些扫描配置。

任务
1 若要创建新的按需扫描任务，请选择“菜单” | “策略” | “客户端任务目录”，然后从“客户端任务目录”页面的“客户端任

务类型”列表中展开“VirusScan Enterprise”并单击“按需扫描”。
2 在客户端任务目录页面中，单击“新建任务”，然后在“新建任务”对话框中确认已选择“按需扫描”并单击“确定”。
3 在“客户端任务目录: 新建任务”页面中，键入名称，例如 Evaluation test group ODS task，并添加详细的说明。
4 单击“扫描位置”选项卡，然后配置以下设置：
a 针对“要扫描的位置”，配置以下选项：
• “Rootkit 的内存”
• “正在运行的进程”
• “所有本地磁盘”
• “Windows 文件夹”
b 针对“扫描选项”，请选择“包含子文件夹”和“扫描引导扇区”。
5 单击“扫描项”选项卡，然后配置以下设置：
a 针对“要扫描的文件类型”，请选择“所有文件”。
b 针对“选项”，请选择“检测有害程序”。
c 针对“启发式”，请选择“查找未知程序威胁”和“查找未知宏威胁”。
6 在“操作”选项卡中：
a 针对“发现威胁时”，配置“清理文件”，然后单击“删除文件”。
b 针对“发现有害程序时”，配置“清理文件”，然后单击“删除文件”。
7 单击“性能”选项卡并将“系统利用率”配置为“低”，将“Artemis”配置为“非常低”。
切勿更改“报告”选项卡上的任何设置。
8 在“任务”选项卡中：
a 针对“运行此任务的平台”，请选择“在服务器上运行此任务”和“在工作站上运行此任务”。
b 针对“运行任务时使用的用户帐户”，设置您的凭据并选择测试组域。
现在按需扫描任务配置为扫描测试组中可能发生的任何问题。接下来配置客户端任务，以计划何时启动该任务。
另请参阅
最佳实践：创建系统测试组第 146 页
最佳实践：计划对测试组的按需扫描
计划您的按需扫描任务，使其在每次 McAfee Agent 策略从评估存储库更新到测试组后运行五分钟。
开始之前
您必须要创建系统的测试组和对测试组的按需扫描。

任务
1 选择“菜单” | “策略” | “客户端任务目录”。
2 在客户端任务目录页面上，选择“客户端任务类型”中的“VirusScan Enterprise”和按需扫描。
3 查找您创建的按需扫描，单击操作列中的“分配”，选择您创建的系统的测试组以分配任务，然后单击“确定”。
4 在客户端任务分配生成器中，配置以下设置，然后单击“下一步”：
a 针对“产品”列表，选择“VirusScan Enterprise”。
b 针对“任务类型”列表，选择“按需扫描”。
c 针对“任务名称”列表，选择您创建的 ODS 任务。
5 在“计划”选项卡中，配置以下设置：
a 针对“计划状态”，选择“已启用”。
b 针对“计划类型”，从列表中选择“每日”。
c 针对“有效期”，选择今天的日期作为“开始日期”，然后选择“无结束日期”。
d 针对“开始时间”，配置以下设置：
• 从时间列表中选择“9:05 AM”。
• 单击“在该时间运行并一直重复至”，然后从时间列表中选择“2:00”。
• 针对在重复期间启动任务的时间间隔为，从列表中选择“5”“分钟”。
e 针对按此时间运行任务，单击“托管系统上的本地时间”。
f 针对选项，取消选择所有内容。
6 单击“下一步”，查看摘要页面，然后单击“保存”。
从时间列表中选择 9:05 AM。在此时间点单击“运行”并一直重复，然后从时间列表中选择 2:00 PM。针对在重复期间启

动任务的时间间隔为，请从列表中选择“5 分钟”。
另请参阅
最佳实践：创建系统测试组第 146 页
最佳实践：配置对测试组的按需扫描第 147 页
最佳实践：针对恶意软件检测配置自动响应
如果测试组中的按需扫描发现恶意软件，您要阻止文件被自动复制到当前存储库。设置发送至管理员的自动通知。
开始之前
您必须要先创建按需扫描任务，然后才可以扫描您的测试组中可能发生的任何问题。

任务
1 若要显示响应生成器，请选择“菜单” | “自动” | “自动响应”，单击“新建响应”，然后在说明选项卡中配置以下设置，然

后单击“下一步”。
a 键入名称（例如 Malware found in test group）和详细说明
b 针对语言，请从列表中选择语言。
c 针对事件组，请从列表中选择“ePO 通知事件”。
d 在“事件类型”中，请从列表中选择“威胁”。
e 针对状态，请选择“已启用”。
2 在过滤器选项卡中配置以下设置，然后单击“下一步”。
a 针对可用属性列表，请选择“威胁类别”。
您可以选择添加其他类别，如触发的访问保护规则。
b 在必需条件列和“定义于”行中，单击“...”，以选择您在“选择系统树组”对话框中创建的系统测试组，然后单击“确
定”。
c 在威胁类别行中，从“比较”列表中选择属于，从“值”列表中选择恶意软件。单击“+”，以添加其他类别。
d 从“比较”列表中选择属于并从“值”列表中选择访问权限保护。
3 在累积选项卡中配置以下设置，然后单击“下一步”。
a 针对“累积”，请单击“针对每个事件触发该响应”。
b 切勿配置任何“分组”或“调节”设置。
4 在“操作”选项卡中配置以下设置：
a 从“操作”列表中选择“发送电子邮件”。
b 针对收件人，键入要通知的管理员的电子邮件地址。
c 针对重要性，请从列表中选择“高”。
d 针对主题，键入电子邮件标题，例如 Malware found in the Test Group!
e 针对正文，请键入邮件，例如 Research this NOW and stop the server task that pulls content into the Current
branch!
f 在邮件正文后面，插入以下变量，以将其添加到邮件中，并单击“插入”：
• “操作系统平台”
• “针对威胁采取的操作”
• “威胁严重性”
• “威胁类型”
5 单击“下一步”，确定摘要选项卡中的配置是正确的，然后单击“保存”。
现在您已配置自动响应，可以在运行评估 DAT 文件的测试组中检测到恶意软件后随时向管理员发送电子邮件。

12 部署产品
McAfee ePO 通过提供用于配置和计划部署的用户界面，简化了将安全产品部署到网络中托管系统的流程。

使用 McAfee ePO 部署产品有两个流程可供您选择：
• 产品部署项目可简化部署过程并提供更多功能。
• 单独创建和管理的客户端任务对象和任务。
目录
产品部署步骤
选择产品部署方法
产品部署项目的优点
产品部署页面
查看产品部署审核日志
查看产品部署
使用部署项目来部署产品
监控和编辑部署项目
部署新产品示例
全局更新
使用全局更新自动部署更新包
产品部署步骤
您可以通过自动或手动配置方法将产品软件部署到您的托管系统。您选择的方法取决于您为完成该流程要配置的详细
信息的级别。
下表显示用以添加和更新主存储库上软件，然后将该软件部署到您的托管系统的流程。

12 部署产品
使用软件管理器，以自动检查和更新 McAfee 软件和软件组件。
在“主存储库”中，您可以手动签入部署包，然后使用“产品部署”或客户端任务将其部署到您的托管系统中。
产品部署功能提供了简化的工作流和改进的功能，以将产品部署到您的 McAfee ePO 托管系统中。
创建客户端任务，以将产品部署手动分配到组或单个托管系统并进行计划。
产品部署是一种输出流程，可以使您的安全软件保持最新，以保护您的托管系统。
另请参阅
使用软件管理器签入、更新和删除软件第 138 页
手动签入包第 141 页
创建客户端任务第 191 页
使用部署项目来部署产品第 155 页
确定应该使用哪种产品部署方法取决于您的配置。
产品部署项目提供了简化的工作流和改进的功能，以将产品部署到您的 McAfee ePO 托管系统中。但是，您无法使用
产品部署项目来操作或管理用 5.0 版以前的软件创建的客户端任务对象和任务。
若要维护和使用在产品部署项目外部创建的客户端任务和对象，请使用客户端任务对象库和分配界面。在使用产品部署
项目界面创建新部署的同时，您可以维护这些现有的任务和对象。

部署产品
产品部署项目的优点 12
产品部署项目的优点
通过降低在整个网络上计划和维护部署所所需的时间和费用，产品部署项目可简化将安全产品部署到托管系统的相关流
程。
通过整合逐个创建并管理产品部署任务所需的多个步骤，产品部署项目可简化部署流程。这些项目还添加了以下功能：
• 持续运行部署 — 您可以配置部署项目，以便在添加与您的标准匹配的新系统时自动部署产品。
• 停止运行部署 — 如果您必须在部署开始后将其停止，那么您可以这么做。然后，您可以在准备就绪后继续进行部

署。
• 卸载以前部署的产品 - 如果完成部署项目后，您希望从分配到项目的系统中卸载关联产品，只需从“操作”列表中选
择卸载即可。
下表比较了两个产品部署流程 - 单个客户端任务对象和产品部署项目。
表 12-1 比较的产品部署方法
客户端任务对象功能比较产品部署项目
名称和说明相同名称和说明
要部署的产品软相同要部署的产品软件集合
件集合
使用标记来选择产品部署项目中的增选择实施部署的时间：
目标系统强功能
• “不间断” - 不间断部署使用系统树组或标记，可让您将系统移动到这些
组，或分配系统标记并将部署应用到这些系统。
• “固定” - 固定部署使用固定或已定义的一组系统。可使用系统树或托管系
统查询输出表来选择系统。
部署计划相似简化的部署计划允许您立即运行部署或在每次计划时间运行。
未指定产品部署项目中的新监控当前的部署状态，例如已计划但尚未开始、进行中、已停止、已暂停
增功能或已完成的部署。
未指定产品部署项目中的新（仅限固定的部署）查看有关接收部署的系统数量的数据的历史快照。
增功能
未指定产品部署项目中的新查看单个系统部署的状态，例如已安装、挂起和失败的系统。
增功能
未指定产品部署项目中的新使用以下操作来修改现有部署分配：
增功能
• 新建以修改现有部署 • 停止和暂停部署
• 编辑 • 继续和恢复部署
• 复制 • 卸载
• 删除

12 部署产品
产品部署页面
产品部署页面
产品部署页是一个位置，您可以在该页中创建、监控和管理自己的产品部署项目。
该页面被分离为两个主要区域。第二个区域被分离为五个更小的区域。
图 12-1 “产品部署”页
主要区域包括：
部署摘要 — 列出产品部署，并允许您按照类型和状态对其过滤并快速查看进度。如果单击部署，则部署详细信

息会显示在“部署详细信息”区域。
感叹号图标指示正在卸载部署或部署所使用的包已移动、删除或过期。
部署详细信息 — 列出所选部署的详细信息，包括以下区域。
状态监视器 — 根据部署类型及其状态显示进度和状态：
• 不间断部署会在部署被挂起时显示日历，或在部署期间显示柱状图。
• 固定部署会在部署被挂起时显示日历，或在选择“当前”时显示柱状图，或在选择“持续时间”时显示直方图。
您可以使用操作来更改部署。

部署产品
查看产品部署审核日志 12
详细信息 — 可让您查看部署配置详细信息和状态，并且您可根据需要单击“查看任务详细信息”来打开编辑部署
页。
“系统名称” — 显示接收部署的目标系统的可过滤列表。会根据部署类型和选择系统的方式（单独选择、作为标
记、作为系统树组，或查询输出表选择）显示系统。
单击“系统操作”可在对话框中更详细地显示已过滤的系统列表，并且可让您在系统上执行更新和唤醒等操作。
“状态” — 显示由三个部分组成的栏，用于指示部署进度及其状态。
“标记” — 显示与系统行相关联的标记。
查看产品部署审核日志
部署项目的审核日志包含使用产品部署功能从控制台进行的所有产品部署的记录。
审核日志条目显示在产品部署页的部署详细信息区域内的一个可排序表格中。审核日志条目还显示在“菜单” | “报告” |
“审核日志”页上，其中包含来自所有可审核用户操作的日志条目。您可以使用这些日志来跟踪、创建、编辑、复制、删
除和卸载产品部署。单击日志条目可显示条目详细信息。
查看产品部署
在初始产品部署过程中，McAfee ePO 会自动创建产品部署流程。您可以在此产品部署流程的基础上创建其他产品部
署。
开始之前
您必须运行开始使用信息显示板流程以创建产品部署，或手动创建产品部署。
任务
1 查找初始创建的产品部署：选择“菜单” | “产品部署”。
初始创建的产品部署使用您在开始使用信息显示板流程中配置的“系统树”组的名称，并且在“部署摘要”列表中显示为
Initial Deployment My Group（初始部署我的组）。
2 要查看产品部署详细信息，请选择分配到您创建的初始产品部署 URL 的产品部署名称。该页面会改为显示产品部

署配置的详细信息。
切勿更改该默认产品部署。该部署会每天运行，以便在任何产品或 McAfee Agent 得到更新时更新您的托管系统。
现在您已了解初始创建的产品部署的位置和配置。您可以通过复制此产品部署实现一些功能，例如：将 McAfee Agent

部署到使用不同操作系统的平台。
您还可以更改初始创建的客户端任务，例如：Initial Deployment My Group（初始部署我的组）。要查找客户端任务，
请选择“菜单” | “客户端任务目录”；该任务会列在产品部署下的客户端任务类型中。
通过使用部署项目轻松选择要部署到目标系统中的产品，并计划部署。
到期产品显示在包列表中。您可以通过“操作”从目标系统中卸载这些产品。

12 部署产品
任务
1 选择“菜单” | “软件” | “产品部署”。
2 选择“新部署”，以启动新项目。
3 键入此部署的名称和说明。在保存部署后，该名称会出现在产品部署页面中。
4 选择部署类型：
• “不间断” — 使用系统树组或标记来配置接收部署的系统。此功能允许系统在添加到或移除自组或标记时，随时
间而变化。
• “固定” — 使用固定（已定义）的一组系统来接收部署。可使用系统树或托管系统查询输出来选择系统。
5 要自动更新您的产品，请确保已选中“自动更新”复选框。
如果未选中该复选框，仍会使用最新补丁、修补程序和内容包更新产品，但会忽略主要版本和次要版本。
在进行新部署期间，McAfee Agent 会检查客户端上安装的所有产品，看看是否有新的更新、修补程序和内容包。请

参阅 McAfee Agent 文档，了解详细信息。
6 若要指定要部署或卸载的软件，请从“包”列表中选择产品。单击“+”或“-”可添加或删除包。
必须将软件签入主存储库才能进行部署。“语言”和“分支”字段由主存储库中指定的位置和语言决定，可自动填充。
7 从“操作”列表中，选择“安装”或“卸载”。
8 在“命令行”文本字段中，指定任意命令行安装选项。有关命令行选项的信息，请参阅所部署软件的产品文档。
9 在“选择系统”下，单击“选择系统”。
系统选择对话框是一个过滤器，使您可通过以下选项卡从您的系统树中选择组：
• “系统树” — 选择系统树组或子组及其相关系统。
• “标记” — 选择标记组或标记子组及其相关系统。
• “所选的系统” — 显示您在每个选项卡中选择的全部系统，从而创建要进行部署的目标系统。
例如，如果系统树中包含“A 组”，其中包括服务器和工作站，您可以将目标定为整个组。您还可以将目标定为仅限
服务器或工作站（如果它们具有正确的标记）或 A 组中任一系统类型的子集。
对于固定部署，可以接收部署的最大系统数量为 500。
可以根据需要配置以下设置：
• “在每次实施策略时运行(仅限 Windows)” • “推迟选项过期时间”
• “允许最终用户推迟此部署(仅限 Windows)” • “显示该文本”
• “允许的最大推迟次数”
10 在“选择开始时间”下，选择您的部署计划：
• “立即运行” — 在下次 ASCI 期间开始部署任务。
• “一次”或“每日” — 打开计划程序，以配置开始日期、时间和随机选择。
11 单击页面顶端的“保存”。此时将打开产品部署页，而新项目将被添加到部署列表中。
在创建部署项目后，会根据部署设置自动创建客户端任务。

部署产品
监控和编辑部署项目 12
监控和编辑部署项目
使用产品部署页可以创建、跟踪和更改部署项目。
任务
1 选择 “菜单” | “软件” | “产品部署”。
2 通过以下标准过滤部署项目列表：
• “类型” — 按照全部、不间断或固定来过滤出现的部署。
• “状态” — 按照全部、已完成、正在进行、待处理、正在运行或已停止来过滤出现的部署。
3 在页面左侧的列表上，单击部署，从而在页面右侧显示其详细信息。
如果该部署中存在过期的包，则部署无效。如果将鼠标悬停在部署上方，会看到该消息：“该部署中的包已移动、删
除或过期”。
4 通过详细信息显示的进度部分查看：
• 日历，用于显示待处理、不间断和固定部署的开始日期。
• 直方图，用于显示固定部署的系统和完成时间。
• 状态栏，用于显示系统部署和卸载进度。
在状态栏下，“任务状态”会列出“成功”、“已失败”和“待处理”，数量与括号中目标系统数量对应。
5 单击“操作”和以下任一选项来修改部署：
• “编辑” • “继续”
• “删除” • “停止”
• “复制” • “卸载”
• “标记为已完成”
6 在详细信息部分中，单击“查看任务详细信息”以查看和修改部署的设置。
7 在系统表中，选择“过滤器”列表中的选项来更改显示的系统：
列表中的选项取决于部署状态。
• 对于卸载操作，过滤器包括“全部”、“删除的包”、“待处理”和“已失败”。
• 对于所有其他操作，过滤器包括“全部”、“安装成功”、“待处理”和“已失败”。
8 在“系统”表中，您可以：
• 在状态列中查看各行目标系统的状态。由三个部分组成的状态栏可指示部署进度。
• 在标记列中查看与目标系统关联的标记。
• 单击“系统操作”，对所选系统执行特定于系统的操作。

12 部署产品
进行 McAfee ePO 安装和初始产品部署后，若要创建任何其他产品部署，则必须要使用产品部署项目或手动使用客户
端任务对象。
该示例会向您展示为 McAfee Endpoint Security 创建产品部署项目的过程。
任务
1 选择 “菜单” | “软件” | “产品部署”，然后单击“新建部署”。
2 在新建部署页面上，配置以下设置。
选项说明
“名称”和键入此部署的名称和说明。
“说明”
在保存部署后，该名称会出现在部署页中。
“类型” 从列表中选择“不间断”。
该类型使用系统树组或标记来配置接收部署的系统。选择该类型将允许系统在被添加至或移除出组或
标记的过程中，随时间而变化。
要自动更新安全产品，请选择“自动更新”（该选项还可为您的产品自动部署修补程序和补丁）。
如果选择“自动更新”，则无法卸载产品。
“包” 从列表中选择“VirusScan Enterprise”。

“语言”和如果不使用默认设置，则请选择语言和分支。
“分支”
“命令行” 在文本字段中，指定任意命令行安装选项。请参阅《“McAfee Endpoint Security 安装手册”》，了解
详细信息。
“选择系统” 单击“选择系统”，以打开系统选择对话框。
系统选择对话框是一个过滤器，使您可以选择系统树、标记或已分组或已标记系统的子集中的组。您
在此对话框的各个选项卡中所做的选择将联系到一起，以便为您的部署过滤出所有目标系统。
可以根据需要配置以下设置：
• “在每次实施策略时运行(仅限 Windows)” • “推迟选项过期时间”
• “允许最终用户推迟此部署(仅限 Windows)” • “显示该文本”
• “允许的最大推迟次数”
“选择开始为您的部署选择一个开始时间或计划：
时间”
• “立即运行” — 在下次 ASCI 后开始部署任务。
• “一次” — 打开计划程序，以配置开始日期、时间和随即选择。
“保存” 完成后，单击页面顶端的“保存”。此时将打开产品部署页，而新项目将被添加到部署列表中。
创建部署项目后，会根据部署设置自动创建客户端任务。
3 在产品部署页上，通过检查该信息确认产品部署项目是否正常运行。

部署产品
全局更新 12
选项说明
“部署摘要” 单击您在之前步骤中创建的产品部署项目。详细信息会显示在页面右侧。
由于此为不间断部署，所以正在进行下方会显示无穷符号。
“部署详细信息” 您可以：
• 单击“操作”修改所选的部署。
• 查看所选部署的“进度”、“状态”和“详细信息”。
• 查看与所选部署相关联的“系统”、“系统操作”、“状态”和“标记”。
全局更新
全局更新自动完成向分布式存储库执行复制操作和更新托管系统操作。
复制和更新任务不是必需的。将内容签入到主存储库会启动全局更新。在大多数环境中，整个过程会在一小时之内完
成。
您还可以指定哪些包和更新会启动全局更新。当您指定某些内容启动全局更新时，请确保创建一个复制任务来分发未选
定的内容。
最佳实践：在使用全局更新时，将定期提取任务（用于更新主存储库）安排在网络流量最低时进行。尽管全局更新比其
他方法更为快速，但在更新时仍会增加网络流量。
全局更新过程
1 内容签入到主存储库中。 5 在收到广播时，会向代理提供更新所需的最低目录
版本。
2 服务器执行到所有分布式存储库的增量复制。 6 代理在分布式存储库中搜索具有此最低目录版本的
站点。
3 服务器向环境中的所有 SuperAgent 发出 7 在找到合适的存储库之后，代理会运行更新任务。

SuperAgent 唤醒呼叫。
4 SuperAgent 将全局更新消息广播到 SuperAgent

子网中的所有代理。
如果代理未收到广播，则在下次代理与服务器通信时会提供最低版本的目录。
如果代理从 SuperAgent 接收到通知，则代理将获得已更新包的列表。如果代理在下次代理与服务器通信时发现新的目

录版本，由于没有为代理提供要更新的包的列表，因此代理将更新所有可用的包。
要求
实现全局更新的要求如下：
• SuperAgent 必须与接收其唤醒呼叫的代理使用相同的代理与服务器安全通信 (ASSC) 密钥。
• 将 SuperAgent 安装在每个广播网段上。如果在同一广播网段上没有 SuperAgent，则托管系统无法接收

SuperAgent 唤醒呼叫。全局更新会使用 SuperAgent 唤醒呼叫通知代理目前可以获取新的更新。

12 部署产品
• 在整个环境中设置并配置分布式存储库。我们建议使用 SuperAgent 存储库，但这并不是必需的。因为全局更新功

能适用于所有类型的分布式存储库。
• 如果使用 SuperAgent 存储库，则托管的系统必须能够访问提供更新的存储库。虽然必须在系统的每个广播网段上

安装 SuperAgent 才能接收唤醒呼叫，但不要求在每个广播网段上具备 SuperAgent 存储库。
可以在服务器上启用全局更新，以便自动将用户指定的更新包部署到托管系统。
任务
1 单击 “菜单” | “配置” | “服务器设置”，选择“全局更新”，然后单击页面底部的“编辑”。
2 在编辑全局更新页上，选择状态旁的“启用”。
3 根据需要编辑“随机选择时间间隔”。
每个客户端的更新将在随机选择时间间隔的某个随机选定时间内执行，这有助于分散网络负载。默认值为“20 分
钟”。
例如，如果您使用 20 分钟的默认随机选择时间间隔更新 1000 台客户端，则在此时间间隔每分钟大约更新 50 台客
户端。此时间间隔降低了网络和服务器上的负载。如果不使用随机时间，所有 1000 台客户端将同时尝试更新。
4 在“包类型”旁，选择要开始更新的包。
只有此处指定组件的新包签入主存储库或移到其他分支时，全局更新才会启动更新。因此要慎重选择这些组件。
• “特征码和引擎” — 选择“Host Intrusion Prevention 内容”（如果需要）。
选择包类型将确定用来启动全局更新的内容（而不是在全局更新过程中更新的内容）。在全局更新过程中，代理会
收到已更新包的列表。代理使用此列表仅安装所需的更新。例如，代理只更新自上次更新以来发生变化的包，而不
更新任何尚未更改的包。
5 完成后，请单击“保存”。
启用全局更新之后，它会在您下次签入任何选定包或将其移到其他分支时启动更新。
在您准备开始自动更新时，请务必运行立即提取任务，并计划重复的存储库提取服务器任务。

13 分配策略
策略可确保在托管系统上正确配置了产品功能。
目录
关于策略
策略分配规则
创建和管理策略
在 McAfee ePO 服务器间移动和共享策略
创建和管理策略分配规则
策略管理用户
将策略分配到托管系统
复制和粘贴策略分配
查看策略信息
关于策略
策略是您创建、配置并强制实施的设置的集合。
策略按照产品组织，然后在各个产品中根据类别组织。例如，McAfee Agent 产品包括常规、存储库和故障排除类别。
若要查看特定策略类别中的策略，请选择“菜单” | “策略” | “策略目录”，然后从下拉列表中选择产品和类别。在策略目录

页上，用户仅可以查看其具备权限的产品的类别。
每种类别均包括两种默认策略，“McAfee Default”和 My Default。您无法删除、编辑、导出或重命名这些策略，但是可

以复制这些策略并编辑其副本。
策略应用的时间
根据代理与服务器通信和策略强制实施间隔，将策略应用至系统。
配置策略设置后，下次代理与服务器通信时会将新设置应用到指定的托管系统。默认情况下，代理与服务器通信的时间
间隔为 60 分钟。您可以在 McAfee Agent 策略页面的常规选项卡上调整此时间间隔。或者，根据您实施代理与服务器
通信的方法，您可以使用 McAfee Agent 唤醒客户端任务修改 ASCI。
策略设置在托管系统上生效之后，McAfee Agent 会继续根策略强制实施间隔强制实施策略设置。默认情况下，策略强

制实施的时间间隔为 60 分钟。您还可以在常规选项卡上调整此时间间隔。
策略应用方法
将策略应用到任何系统的方法有两种：继承或分配。
您可将策略目录中的任何策略分配给任何组或系统。分配操作允许您针对具体需求定义一次策略设置，然后将策略应用
到多个位置。
继承决定是否从组或系统的父级获取其策略设置和客户端任务。默认情况下，继承通过整个系统树得以启用。

13 分配策略
策略分配规则
在您复制并粘贴策略分配时，只会粘贴真正的分配。如果来源位置继承了您选择复制的策略，则继承特征会粘贴到目
标。然后，目标从其父级继承该策略（对应特定的策略类别）。
继承的策略可能与来源策略不同。
分配锁定
您可在任何组或系统中锁定策略分配。锁定分配可防止其他用户因疏忽而替换策略。分配锁定是通过此策略设置继承
的。
如果要在系统树的顶层分配特定策略，并且确保其他用户不会移动此策略，则分配锁定很有用。
分配锁定并不阻止策略所有者更改策略设置。因此，如果您计划锁定某个策略分配，请确保您是此策略的所有者。
策略所有权
为每个策略分配所有者 — 创建策略的用户。您必须具有正确的权限，才能编辑您未拥有的策略。
如果您要使用其他用户拥有的策略，建议您先复制该策略，然后使用副本。复制策略可防止意外的策略更改影响您的
网络。如果您分配了一个不为您所有的策略并且所有者对其进行了修改，则分配了此策略的所有系统都会收到所做的
修改。
您可以指定多个用户作为单个策略的所有者。
策略分配规则
使用策略分配规则，可以降低针对各个用户或满足特定标准的系统管理大量策略带来的开销，并同时在系统树中维护更
多通用策略。
策略分配的这一粒度级别对系统树内中断继承实例的数量进行限制，使其适应特定用户或系统所需的策略设置。策略分
配可基于特定于用户的标准或特定于系统的标准：
• 基于用户的策略 — 至少包含一个基于用户的标准的策略。例如，您可以创建针对您所在工程组中所有用户强制实
施的一个策略分配规则。然后可以创建针对 IT 部门成员的另一个策略分配规则。此规则允许这些成员登录到工程
网络中的任何计算机；他们具有访问权限，可以对此网络中特定系统的问题进行故障排除。基于用户的策略还可以
包含基于系统的标准。
• 基于系统的策略 — 仅包含基于系统的标准的策略。例如，您可根据应用的标记，创建针对在网络中所有服务器强
制实施的策略分配规则，或创建针对系统树中特定位置的所有系统强制实施的策略分配规则。基于系统的策略不得
包含基于用户的标准。
策略分配规则优先级
可以为策略分配规则设置优先级，从而简化策略分配管理的维护。为规则设置优先级后，此规则将在具有较低优先级的
其他分配之前得以强制实施。
某些情况下，可能出现某些规则设置被覆盖的结果。例如，假设规则 A 和规则 B 两种策略分配规则中都包含一个系
统。规则 A 的优先级为 1，并允许所含的系统不受限制地访问 Internet 内容。规则 B 的优先级为 2，并严格限制同一
系统访问 Internet 内容。在此案例中，将强制执行规则 A，因为它的优先级更高。因此，该系统可以不受限制地访问
Internet 内容。
多插槽策略如何处理策略分配规则优先级
对于多插槽策略，不考虑规则的优先级。如果应用了包含相同产品类别的多插槽策略的单个规则，则多插槽策略的所有
设置都会组合在一起。同样，如果应用了包含多插槽策略设置的多个规则，则每个多插槽策略的所有设置都会组合在一
起。因此，应用的策略是每个单一规则的设置的组合。

分配策略
策略分配规则 13
聚合多插槽策略时，仅相同类型的多插槽策略会聚合到一起。但是，使用策略分配规则分配的多插槽策略不会与系统树
中分配的多插槽策略聚合在一起。使用策略分配规则分配的多插槽策略会替代系统树中分配的策略。此外，基于用户的
策略在优先级上高于基于系统的策略。
场景：使用多插槽策略来控制 Internet 访问
在系统树中，存在一个名为“工程”的组，由标记为“IsServer”或“IsLaptop”的系统组成。在系统树中，策略 A 会分配给该
组中的所有系统。如果使用策略分配规则将策略 B 分配至“工程组”上方系统树中的任意位置，则可替代策略 A 的设
置，并允许标记为“IsLaptop”的系统访问 Internet。如果将策略 C 分配至“工程”组上方系统树中的任何组中，则可允许
“管理员”用户组中的用户从所有系统访问 Internet，其中包括“工程”组中标记为“IsServer”的系统。
策略类型分配类型策略名称策略设置

通用策略系统树中分配的策略 A 防止所有分配了此策略的系统访问 Internet。
基于系统策略分配规则 B 允许标记为“IsLaptop”的系统访问 Internet。
基于系统策略分配规则 C 允许“管理员”用户组中的所有用户从所有系统不受限制地访问 Internet。
基于用户策略分配规则 C 允许“管理员”用户组中的所有用户从所有系统不受限制地访问 Internet。
从聚合的策略中排除 Active Directory 对象。

由于由多插槽策略组成的规则被应用到分配的系统（与优先级无关），您可能需要在某些实例中阻止策略设置聚合。在
创建规则时，您可以通过排除用户（或组、组织单元等其他 Active Directory 对象）来阻止多个策略分配规则中基于用
户的多插槽策略设置聚合。有关可在策略分配规则中使用的多插槽策略的更多信息，请参阅您使用的托管产品的产品文
档。
基于用户的策略分配
使用基于用户的策略分配规则，可以创建特定于用户的策略分配。
用户登录时，会在目标系统强制实施这些分配。
当用户第一次登录托管系统时，会出现短暂的延迟，因为 McAfee Agent 需要联系分配的服务器，以获得特定于该用户

的策略分配。在此期间，用户只能使用默认计算机策略（通常是最安全的策略）所允许的功能。
在托管系统上，代理会记录登录网络的用户。为每个用户创建的策略分配被下推到他们登录的系统，并在每次代理与服
务器通信期间进行缓存。McAfee ePO 服务器会应用您分配给每个用户的策略。
要使用基于用户的策略分配，请注册并配置已注册的 LDAP 服务器，以与 McAfee ePO 服务器搭配使用。
基于系统的策略分配
通过基于系统的分配可以根据系统树位置或标记分配策略。
基于系统的策略根据您使用策略分配生成器定义的选择标准进行分配。
所有策略分配规则都要求指定系统树位置。如果您要所有特定类型的系统使用相同的安全策略（无论其系统树位置为
何），则基于标记的策略分配会很有帮助。
情景：使用标记创建新的 SuperAgent
您已经决定在环境中创建一组 SuperAgent，但没有时间在系统树中手动标识要托管这些 SuperAgent 的系统。您可以
改为通过标记生成器，将所有符合特定标准集的系统标记为“isSuperAgent”。在生成了标记之后，可以创建一个策略分
配规则，该规则将 SuperAgent 策略设置应用于每个标有“isSuperAgent”的系统。
创建标记后，您可以使用标记目录页中的“运行标记标准”操作来分配新策略。当每个具有新标记的系统定期呼入时，会
根据 isSuperAgent 策略分配规则为该系统分配一个新策略。

13 分配策略
McAfee ePO 可提供大量用于管理策略的工具，包括策略目录、策略历史记录和策略比较。
任务
• 从策略目录页创建策略第 164 页
使用策略目录创建的自定义策略不会分配给任何组或系统。您可以在部署产品前后创建策略。
• 强制实施产品策略第 164 页
默认情况下策略强制实施已启用，并且在系统树中得到继承，但您可以在指定系统上手动启用或禁用强制
实施。
• 对系统树组中的产品强制实施策略第 165 页
启用或禁用组中的策略强制实施。
• 对系统上的产品实施策略第 165 页
启用或禁用托管系统上的策略强制实施。
• 管理策略历史记录第 166 页
您可以查看和比较策略历史记录条目，或恢复到之前的策略版本。
• 编辑策略历史记录权限集第 166 页
为您的产品配置权限集，这样用户可以使用策略历史记录页面将策略恢复至之前的版本。
• 比较策略第 167 页
策略比较可帮助您找出类似策略之间的差异。
• 更改策略的所有者第 167 页
默认情况下，所有权会分配给创建策略的用户。如果您拥有所需的权限，便可更改策略的所有权。
从策略目录页创建策略
使用策略目录创建的自定义策略不会分配给任何组或系统。您可以在部署产品前后创建策略。
任务
1 打开“新建策略”对话框。
a 选择 “菜单” | “策略” | “策略目录”。
b 从下拉列表中选择产品和类别。
选定类别的所有已创建策略都将显示在“详细信息”窗格中。
c 单击“新建策略”。
2 从“基于此现有策略来创建策略”下拉列表中选择要复制的策略。
3 键入新策略的名称，然后单击“确定”。
该策略将出现在策略目录中。
4 单击新策略的名称。
此时会打开策略设置生成器。
5 根据需要编辑策略设置。
强制实施产品策略
默认情况下策略强制实施已启用，并且在系统树中得到继承，但您可以在指定系统上手动启用或禁用强制实施。
您可以从以下位置管理策略强制实施：

分配策略
创建和管理策略 13
• 系统树的分配的策略选项卡 — 选择是否对选定组中的产品或组件强制实施策略。
• 策略目录页面 — 查看策略分配和强制实施。您也可以锁定策略强制实施，以防止锁定节点下发生更改。
如果关闭了策略强制实施功能，则在代理与服务器通信期间，指定组中的系统将收不到更新的站点列表。因此，该组中
的托管系统可能无法按预期运行。
例如，您可能配置托管系统与代理处理程序 A 通信。如果关闭了策略强制实施功能，托管系统将收不到包含此信息的

新站点列表并且系统将向过期站点列表中列出的其他代理处理程序报告。
对系统树组中的产品强制实施策略
启用或禁用组中的策略强制实施。
任务
1 选择“菜单” | “系统” | “系统树”，单击“分配的策略”选项卡，然后在“系统树”中选择一个组。
2 选择想要的产品，然后单击“强制实施状态”旁边的链接。
3 要更改强制实施状态，则选择“中断继承并在下面分配策略和指定设置”。
4 选择“强制实施状态”旁边的“强制实施”或“不强制实施”。
5 选择是否锁定策略继承。
对于继承此策略的组和系统来说，锁定继承策略强制实施可以防止实施中断。
对系统上的产品实施策略
启用或禁用托管系统上的策略强制实施。
任务
1 选择“菜单” | “系统” | “系统树”，单击“系统”选项卡，然后在系统所属的“系统树”下选择该组。

此时会在详细信息窗格中显示属于此组的系统的列表。
2 选择系统，然后单击 “操作” | “修改单个系统上的策略”。

此时会出现“策略分配”页。
3 选择“产品”，然后单击“强制实施状态”旁边的“强制实施”。
此时会显示“强制实施”页。
4 如果要更改强制实施状态，您必须首先选择“中断继承并在下面分配策略和指定设置”。
5 选择“强制实施状态”旁边的“强制实施”或“不强制实施”。
管理策略历史记录
更改策略目录中的策略时，会创建策略历史记录条目，您可以从中说明更改情况，以便以后参考。
策略历史记录条目会出现在三个位置：策略历史记录、服务器任务日志详细信息和审核日志详细信息。
只有您在策略目录中创建的策略才具有策略历史记录条目。确保无论何时修订策略时均留下备注。留下一致的备注可

为您的变更创建强大的历史记录。

13 分配策略
要记录策略修订版，请在“策略目录”页面页脚中“复制”旁边的文本字段中键入备注。
如果您已配置策略用户以创建和编辑策略，则“状态”列选项会因您的权限而异。例如：
• McAfee ePO 管理员可以完全掌控所有策略的历史记录功能。
• 策略管理员可以批准或拒绝策略用户提交的更改。
• 策略用户可以监控其策略的状态。状态包括待审阅、“已批准”或已拒绝。
管理策略历史记录
您可以查看和比较策略历史记录条目，或恢复到之前的策略版本。
开始之前
您必须具有相应的权限才能恢复至先前的策略历史记录条目。您仅需查看权限，便可查看策略历史记录条
目。
任务
1 要查看策略历史记录，请选择“菜单” | “策略” | “策略历史记录”。
对于 McAfee Default 策略，不会显示任何策略历史记录条目。您可能需要使用页面过滤器选择创建或复制的

McAfee Default 策略。
2 使用“产品”、“类别”和“名称”过滤器选择策略历史记录条目。
3 要管理策略或策略历史记录条目，请单击“操作”，然后选择操作。
• “选择列” — 打开对话框，从而选择要显示的列。
• “比较策略”— 打开策略比较页面，您可以在该页面比较两个选定策略。
策略的当前版本为最新版本。要比较当前策略版本与先前策略版本，请选择最新版本和要比较的先前版本。
• “导出表”— 打开导出页面，从中指定要导出的策略历史记录条目文件的包和格式，然后通过电子邮件发送该文
件。
• “恢复策略”— 将策略恢复为选定策略版本。
您仅可选择一个目标策略。
恢复策略后，系统会提示您向策略历史记录条目中添加注释。
编辑策略历史记录权限集
为您的产品配置权限集，这样用户可以使用策略历史记录页面将策略恢复至之前的版本。
开始之前
您必须具有相应的权限，才能更改权限集。

分配策略
在 McAfee ePO 服务器间移动和共享策略 13
任务
1 选择“菜单” | “用户管理” | “权限集”。

®
2 在右侧窗格中，单击策略相关产品的权限行中的“编辑”。例如，选择“EEFF 策略权限”，以更改 McAfee Endpoint
Encryption for Files and Folders 策略权限。
3 单击“查看并更改策略和任务设置”，然后单击“保存”。
现在，您可以从策略历史记录页面，将现有策略恢复至策略历史记录条目。
比较策略
策略比较可帮助您找出类似策略之间的差异。
策略比较页面包含的许多值和变量均特定于各个产品。对于下表中未包含的选项定义，请参阅提供您要比较策略的产品
所相应的文档。
任务
1 选择“菜单” | “策略比较”，然后从列表中选择产品、类别和“显示”设置。
最佳实践：将“显示”设置从“所有策略设置”更改为“策略差异项”或“策略匹配项”，以减少显示的数据。
这些设置会填充“策略 1”和“策略 2”列表中要比较的策略。
2 从“策略 1”和“策略 2”列表中的“比较策略”行中选择要比较的策略。
表的前两行会显示不同和相同设置的数量。
3 单击“打印”，打开该项比较的打印机友好视图。
更改策略的所有者
默认情况下，所有权会分配给创建策略的用户。如果您拥有所需的权限，便可更改策略的所有权。
任务
1 选择 “菜单” | “策略” | “策略目录”，然后选择“产品”和“类别”。

选定类别的所有已创建策略都将显示在详细信息窗格中。
2 找到所需的策略，然后单击该策略的所有者。
此时会显示策略所有权页。
3 从列表中选择策略的所有者，然后单击“确定”。

在具有多个 McAfee ePO 服务器的环境中，您可以移动和共享策略，以避免在每个服务器上重新创建策略。
您仅可以通过当前版本或以前主要版本的 McAfee ePO 移动和共享策略。例如，您可以与 5.1 版本服务器共享在 5.3
版本服务器上创建的策略，但无法从 5.1 版本服务器到 5.3 版本服务器共享策略。

13 分配策略
任务
• 注册服务器以共享策略第 168 页
注册服务器来共享策略。
• 指定共享策略第 168 页
您可以指定在多个 McAfee ePO 服务器之间共享的策略。
• 计划用来共享策略的服务器任务第 168 页
“共享策略”服务器任务可确保您对共享策略所做的所有更改都推送至启用共享的 McAfee ePO 服务器。
另请参阅
使用策略第 58 页
注册服务器以共享策略
注册服务器来共享策略。
任务
1 选择 “菜单” | “配置” | “已注册的服务器”，然后单击“新建服务器”。“已注册的服务器生成器”会打开“描述”页。
2 从“服务器类型”菜单，选择“ePO”，指定名称和任何备注，然后单击“下一步”。此时会显示“详细信息”页。
3 指定服务器的任何详细信息并单击“策略共享”字段中的“启用”，然后单击“保存”。
指定共享策略
您可以指定在多个 McAfee ePO 服务器之间共享的策略。
任务
1 选择 “菜单” | “策略” | “策略目录”，然后单击“产品”菜单并选择您希望共享其策略的产品。
2 在要共享的策略的“操作”列中，单击“共享”。
共享策略将自动推送至启用了策略共享的 McAfee ePO 服务器。如果在第 2 步中单击了“共享”，策略将立即推送至所

有启用了策略共享的已注册的 McAfee ePO 服务器。对共享策略的更改也会同样推送。
计划用来共享策略的服务器任务
“共享策略”服务器任务可确保您对共享策略所做的所有更改都推送至启用共享的 McAfee ePO 服务器。
如果您设置的服务器任务间隔较长，或者禁用“共享策略”服务器任务，我们建议无论何时编辑共享策略时均手动运行任
务。
任务
2 在说明页上，请指定任务名称以及任意注释，然后单击“下一步”。
默认情况下，新服务器任务处于启用状态。如果您不要启用该任务，请在计划状态字段中选择“已禁用”。

分配策略
创建和管理策略分配规则 13
3 从操作下拉菜单中，选择“共享策略”，然后单击“下一步”。
4 指定该任务的计划，然后单击“下一步”。
5 检查摘要详细信息，然后单击“保存”。
创建和管理策略分配规则
配置策略分配规则，以简化策略管理。
任务
• 创建策略分配规则第 169 页
通过创建策略分配规则，可以基于所配置的规则标准来为用户或系统实施策略。
• 管理策略分配规则第 169 页
处理策略分配规则时，执行常见管理任务。
创建策略分配规则
通过创建策略分配规则，可以基于所配置的规则标准来为用户或系统实施策略。
任务
1 打开“策略分配生成器”。
a 选择 “菜单” | “策略” | “策略分配规则”。
b 单击“新建分配规则”。
2 指定此策略分配规则的详细信息，其中包括：
• 唯一的名称和说明。
• 所指定的规则类型确定“选择标准”页中提供的标准。
默认情况下，会根据现有规则的数量按顺序为新的策略分配规则分配优先级。创建规则之后，可以通过单击“策略分
配规则”页上的“编辑优先级”来编辑优先级。
4 单击“添加策略”以选择您希望使用此策略分配规则强制实施的策略。
6 指定您希望在此规则中使用的标准。您的标准选择将决定将此策略分配给哪些系统或用户。
7 检查摘要并单击“保存”。
管理策略分配规则
处理策略分配规则时，执行常见管理任务。

13 分配策略
策略管理用户
任务
1 选择 “菜单” | “策略” | “策略分配规则”。
2 执行以下任一操作：
• 编辑策略分配规则 — 执行以下步骤：
1 单击选定的分配。此时会打开策略分配生成器。
2 浏览每个页面以更改此策略分配规则，然后单击“保存”。
• 删除策略分配规则 — 在选定的分配行中单击“删除”。
• 编辑策略分配规则的优先级 — 执行以下步骤：
1 选择“操作” | “编辑优先级”，此时将打开编辑优先级。
2 抓住控制柄并在列表中向上或向下拖动以更改优先级，然后单击“保存”。
• 查看策略分配规则的摘要 — 在选定的分配行中单击“>”。该行会展开以显示摘要信息。
策略管理用户
作为 McAfee ePO 管理员，您可以为不同的策略用户分配不同的权限集，以便他们可以创建并修改特定的产品策略。
有些用户可以批准或拒绝来自其他用户提交的策略的策略更改。
策略可以由具有不同权限的三个用户进行管理。其中，
McAfee ePO 管理员会创建另外两个用户级别和权限。
作为 McAfee ePO 管理员，您可以创建具有分层级别策略权限的用户。例如，您可以创建以下策略用户：

• 策略管理员 — 他们可以审批其他用户创建和修改的策略。
• 策略用户 — 他们可以复制和创建策略，这些策略先提交给策略管理员进行审批后才可使用。
有关创建不同策略用户的概述
作为 McAfee ePO 管理员，创建策略管理员和策略用户需要执行以下常规步骤：
1 在服务器设置中，启用策略管理。
2 在权限集中，为策略管理员和策略用户创建不同的权限集。
3 在用户管理，创建策略管理员和策略用户，然后为他们手动分配不同的权限集。
有关策略用户和策略管理员流程的概述
创建策略用户和策略管理员后，他们可以执行以下策略任务：
• 策略用户：
1 在策略目录中，可以复制、修改或创建与他们所分配的类型对应的策略，然后提交给策略管理员进行审批。
2 在策略历史记录中，可以监视策略管理员的审批状态。
• 策略管理员可以执行策略用户有权执行的任何操作，而且在策略历史记录页中，可以批准或拒绝策略用户提交的策
略更改。

分配策略
策略管理用户 13
最佳实践：全局设置策略管理
作为管理员，您可以使用服务器设置来全局配置策略管理，从而允许用户在经过或不经过管理员批准的情况下更改或创
建策略。
开始之前
您必须具有管理员权限才能更改策略管理。
任务
1 要更改策略管理设置，请选择“菜单” | “配置” | “服务器设置”，然后选择“策略管理”并单击“编辑”。
2 从编辑策略管理中，选择以下选项之一，然后单击“保存”：
表 13-1 选项定义
选项定义
“需要管理员审批” 强制用户请求得到管理员的批准，然后保存新的或更改的策略。
管理员可以授予用户权限，以批准或拒绝策略管理下权限集中的策略更改。
“无需管理员审批” 允许用户保存新的或更改的策略，无需管理员审批。
3 （可选）创建策略管理权限集，以更改各个用户的策略管理。
另请参阅
创建策略管理权限集第 171 页
创建策略管理权限集
作为管理员，您可以为不同的策略用户级别创建权限集。权限集允许一些策略用户创建和修改策略，而且允许一些策
略用户批准或拒绝其他用户创建的策略。
开始之前
您必须具有管理员权限才能更改权限集。
为帮助您管理策略创建情况，您可以为用户创建权限集，指定哪些用户可以创建和修改特定的产品策略。例如，您可
以创建权限集来允许一个用户更改策略，并且允许另一个用户批准或拒绝这些更改。
以下步骤介绍了如何创建两个不同的权限集：
• 策略用户 (policyUserPS) 权限集 — 允许策略用户创建和修改特定产品策略，但是策略更改必须经过批准才能保
存。
• 策略管理员 (policyAdminPS) 权限集 — 允许策略管理员创建和修改特定产品策略，而且可批准或拒绝策略用户创

建的更改。
任务
1 要创建两个权限集，请选择“菜单” | “用户管理” | “权限集”，然后单击“新建权限集”。
2 要从“新建权限集”页面创建策略管理员权限集，请键入名称（如 policyAdminPS）并单击“保存”。
3 选择 policyAdminPS 权限集后，向下滚动到策略管理行，然后单击“编辑”。

13 分配策略
策略管理用户
4 从编辑权限集 policyAdminPS: 策略管理页，选择“可以直接保存策略更改并批准或拒绝其他用户提交的策略更改”，

然后单击“保存”。
这允许策略管理员用户批准或拒绝其他用户的策略更改，无需经过管理员审批。
5 在 policyAdminPS 权限集仍处于选中状态的情况下，向下滚动到某个设置（例如 Endpoint Security Common

行），然后单击“编辑”。
6 从编辑权限集 policyAdminPS: Endpoint Security Common 页，选择“查看并更改策略和任务设置”，然后单击“保

存”。
这允许策略管理员用户对 Endpoint Security Common 策略进行策略更改。
根据需要，继续选择设置和配置编辑权限。
7 要复制策略管理员权限集并创建策略用户权限集，请单击“操作” | “复制”。
8 在操作: 复制弹出窗口中，键入策略用户权限集名称（例如 policyUserPS），然后单击“确定”。
这两个步骤可创建策略管理员权限集的副本。接下来是更改创建的策略用户 (policyUserPS) 权限集。
9 从权限集列表中，单击在第 7 步中创建的 policyUserPS 权限集。
10 向下滚动到策略管理行，然后单击“编辑”。
11 从编辑权限集 policyUserPS: 策略管理页，选择策略审批设置“无权限”，然后单击“保存”：

该设置强制分配给此权限集的用户先请求管理员的批准，然后才可保存新的或更改的策略。
现在，您已创建了要在创建两个策略用户和策略管理员用户时使用的两个权限集。
另请参阅
创建策略管理用户第 172 页
创建策略管理用户
作为管理员，您可以创建具有不同权限集的不同策略用户级别，允许一个用户创建和修改策略，并允许管理员用户批准
或拒绝策略更改。
开始之前
您必须具有管理员权限才能在用户管理中创建用户。
以下步骤介绍了如何创建两个不同用户：
• 策略用户 (policyUser) — policyUser 可以创建和修改特定产品策略，但是策略更改必须先经过策略管理员批准才能
保存。
• 策略管理员 (policyAdmin) — policyAdmin 可以创建并修改特定产品策略，还可以批准或拒绝策略用户创建的更

改。
任务
1 打开“用户管理”页：单击“菜单” | “用户管理” | “用户”。
2 要创建策略用户 (policyUser)，请执行以下步骤。
a 单击“新建用户”。
b 键入用户名。例如，policyUser。
c 针对该帐户的登录状态，选择“启用”。

分配策略
策略管理用户 13
d 选择新帐户是使用 McAfee “ePO 身份验证”、“Windows 身份验证”还是“基于证书的身份验证”，然后提供所需的

凭据或浏览并选择证书。
e （可选）在“注释”文本框中，提供用户的全名、电子邮件地址、电话号码和说明。
f 选择您在“管理员创建策略管理权限集”中创建的策略用户权限集。例如，选择“policyUserPS”。
g 单击“保存”返回到用户选项卡。
新的策略用户会显示在用户管理页的用户列表中。
3 要创建策略管理员 (policyAdmin)，请执行以下步骤。
a 单击“新建用户”。
b 键入用户名。例如，policyAdmin。
c 针对该帐户的登录状态，选择“启用”。
d 选择新帐户是使用 McAfee “ePO 身份验证”、“Windows 身份验证”还是“基于证书的身份验证”，然后提供所需的

凭据或浏览并选择证书。
e （可选）在“注释”文本框中，提供用户的全名、电子邮件地址、电话号码和说明。
f 选择您在“创建策略管理权限集”中创建的策略用户权限集。例如，选择“policyAdminPS”。
g 单击“保存”返回到用户选项卡。
新的策略管理员会显示在用户管理页的用户列表中。
现在，您有两个策略用户。一个策略用户可以更改策略，而某个策略管理员用户则可以批准或拒绝这些更改。
提交策略更改以接受
非管理员策略用户可以创建和更改策略，但是如果由管理员配置，他们可能需要提交策略以供管理员或策略管理员进行
审查。
开始之前
您必须已经配置服务器设置和用户权限集，以允许用户提交策略进行审批。
任务
1 创建和维护策略。
策略用户仅可访问管理员为其分配的权限集中配置的策略和设置。
2 当您在策略过程中进行到保存策略步骤时，单击“提交以便进行审阅”。
这会将策略发送给管理员以进行批准或拒绝。
3 要检查策略接受状态，请选择“菜单” | “策略” | “策略历史记录”。
4 使用“产品”、“类别”和“名称”过滤器来选择要检查的策略历史记录条目。
5 在状态列中，会显示以下条目之一来介绍管理员的操作：
• “待审阅” — 尚未审阅。
• “已拒绝” — 已经拒绝且未保存。
• “已批准” — 已批准并且已保存。

13 分配策略
另请参阅
创建和管理策略第 164 页
创建策略管理权限集第 171 页
接受策略更改
作为策略管理员，您需要定期批准或拒绝策略用户提交的请求。
开始之前
您必须已经配置服务器设置和用户权限集，以允许用户提交策略进行审批。
任务
1 要更改提交进行审阅的策略的状态，请选择“菜单” | “策略” | “策略历史记录”。
2 使用“产品”、“类别”和“名称”过滤器来选择要检查的策略历史记录条目。
3 在策略状态列中，选择与提交的策略相关的以下链接之一：
• “已接受” — 策略已保存，并且现已可供使用。
• “已拒绝” — 策略已被拒绝且未保存。
将策略分配到组或“系统树”中的特定系统。您可以在部署产品前后分配策略。
我们建议尽可能在最高层级分配策略，以便下面的组和子组可以继承该策略。
任务
• 将策略分配到系统树组第 174 页
将策略分配到特定的系统树组。
• 将策略分配到托管系统第 175 页
将策略分配到特定的托管系统。
• 将策略分配到系统树组中的系统第 175 页
将策略分配到组内的多个托管系统。
将策略分配到系统树组
将策略分配到特定的系统树组。
任务
1 选择“菜单” | “系统” | “系统树”，单击“分配的策略”选项卡，然后选择一个产品。

每个根据类别分配的策略都会显示在详细信息窗格中。
2 找到您需要的策略类别，然后单击“编辑分配”。
3 如果策略被继承，则在“继承自”旁边选择“中断继承并在下面分配策略和指定设置”。

分配策略
将策略分配到托管系统 13
4 从“已分配的策略”下拉列表中选择策略。
您还可以在此位置编辑选定策略的设置，或创建策略。
锁定策略继承可避免任意继承该策略的系统被分配其他策略。
将策略分配到特定的托管系统。
任务
1 选择“菜单” | “系统” | “系统树”，单击“系统”选项卡，然后在系统树下选择一个组。

此组（而不是其子组）内的所有系统都会显示在详细信息窗格中。
2 选择系统，然后单击 “操作” | “代理” | “修改单个系统上的策略”。

此时将显示该系统的策略分配页。
3 选择产品。
所选产品的类别会与系统分配的策略共同列出。
4 找到您需要的策略类别，然后单击“编辑分配”。
5 如果策略被继承，则在“继承自”旁边选择“中断继承并在下面分配策略和指定设置”。
6 从“已分配的策略”下拉列表中选择策略。
您还可以在此位置编辑选定策略的设置，或创建策略。
锁定策略继承可避免任意继承该策略的系统被分配其他策略。
将策略分配到系统树组中的系统
将策略分配到组内的多个托管系统。
任务
1 选择“菜单” | “系统” | “系统树”，单击“系统”选项卡，然后在系统树中选择一个组。

此组（而不是其子组）内的所有系统都会显示在详细信息窗格中。
2 选择所需系统，然后单击 “操作” | “代理” | “设置策略和继承”。

此时会出现分配策略页。
3 从下拉列表中选择“产品”、“类别”和“策略”。
4 选择是“重置继承”，还是“中断继承”，然后单击“保存”。

13 分配策略
复制和粘贴策略分配，从而在系统树不同部分中的组和系统之间轻松共享多个分配。
任务
• 从组中复制策略分配第 176 页
您可以使用复制分配从系统树中的组复制策略分配。
• 从系统中复制策略分配第 176 页
您可以使用复制分配复制特定系统中的策略分配。
• 将策略分配粘贴到组第 176 页
从组或系统复制策略分配后，可以将其粘贴到组。
• 将策略分配粘贴到特定系统第 177 页
从组或系统中复制策略分配，然后将策略分配粘贴到特定系统。
从组中复制策略分配
您可以使用复制分配从系统树中的组复制策略分配。
任务
1 选择“菜单” | “系统” | “系统树”，单击“分配的策略”选项卡，然后在系统树中选择一个组。
2 单击 “操作” | “复制分配”。
3 选择要复制其策略分配的产品或功能，然后单击“确定”。
从系统中复制策略分配
您可以使用复制分配复制特定系统中的策略分配。
任务

属于选定组的系统都会显示在详细信息窗格中。
2 选择系统，然后单击 “操作” | “代理” | “修改单个系统上的策略”。
3 单击“操作” | “复制分配”，选择要复制其策略分配的产品或功能，然后单击“确定”。
将策略分配粘贴到组
从组或系统复制策略分配后，可以将其粘贴到组。
任务
1 选择“菜单” | “系统” | “系统树”，单击“分配的策略”选项卡，然后在系统树中选择所需组。
2 在详细信息窗格中，单击“操作”并选择“粘贴分配”。
如果组中已分配某些类别的策略，则会显示替换策略分配页。
粘贴策略分配时，列表中会显示强制实施策略和任务策略。该策略控制其他策略的强制实施状态。
3 选择您想要用复制的策略替换的策略类别，然后单击“确定”。

分配策略
查看策略信息 13
将策略分配粘贴到特定系统
从组或系统中复制策略分配，然后将策略分配粘贴到特定系统。
任务

属于选定组的所有系统都会出现在详细信息窗格中。
2 选择要在其中粘贴策略分配的系统，然后单击 “操作” | “代理” | “修改单个系统上的策略”。
3 在详细信息窗格中，单击 “操作” | “粘贴分配”。

如果系统中已分配某些类别的策略，则会显示“覆盖策略分配”页。
粘贴策略分配时，列表中会显示“强制实施策略和任务”策略。该策略控制其他策略的强制实施状态。
4 确认分配的替换。
查看策略信息
查看策略（包括策略所有者、分配和继承）的详细信息。
任务
• 查看将策略分配到的组和系统第 177 页
查看策略目录分配页面可查看继承该策略的组或系统。
• 查看策略设置第 178 页
查看分配给产品类别或系统的策略的详细信息。
• 查看策略所有权第 178 页
查看策略的所有者。
• 查看禁用策略强制实施的分配第 178 页
查看按策略类别禁用策略强制实施的分配。
• 查看分配给组的策略第 178 页
查看分配给系统树组的策略，按产品排序。
• 查看分配给特定系统的策略第 179 页
从系统树中的一个中央位置查看分配到系统的所有策略的列表。
• 查看组的策略继承第 179 页
查看特定组的策略继承。
• 查看并重置中断的继承第 179 页
识别策略继承中断的组和系统。
• 创建策略管理查询第 179 页
检索分配到托管系统的策略，或系统层次结构中已中断继承的策略。
查看将策略分配到的组和系统
查看策略目录分配页面可查看继承该策略的组或系统。
父策略目录页面仅列出策略分配数，而未列出继承该策略的组或系统。
例如，默认情况下“产品目录”的 McAfee Agent 产品中 McAfee Default 策略的“常规”类别，该策略会分配给“全局根”节

点和“组”节点类型。

13 分配策略
查看策略信息
任务
1 选择 “菜单” | “策略” | “策略目录”，然后选择产品和类别。
2 在策略行上的“分配”下，单击表示分配有策略的组或系统数量的链接，（例如，“6 个分配”）。
“分配”页上将会显示分配有策略的每个组或系统及其节点名称和节点类型。
查看策略设置
查看分配给产品类别或系统的策略的详细信息。
例如，分配给“系统树”组或系统的策略会告知您策略强制实施间隔、优先事件转发间隔或是否启用了对等通信。
任务
2 单击策略名称链接。
此时会显示策略页及其设置。
您还可以在访问为特定组分配的策略时查看此信息。要访问此信息，请选择“菜单” | “系统” | “系统树”，单击“分配的

策略”选项卡，然后单击“策略”列中所选策略的链接。
查看策略所有权
查看策略的所有者。
任务

2 策略的所有者显示在“所有者”下。
查看禁用策略强制实施的分配
查看按策略类别禁用策略强制实施的分配。
通常，您希望启用策略强制实施。使用该任务可以查找正在强制实施的任何策略，并更改其配置。
任务
2 单击“产品强制实施状态”旁的链接，该链接指示禁用了强制实施的分配的数量（如有）。
此时会显示 “<policy name> 的强制实施”页。
3 转至“系统树” | “分配的策略”页面，以更改所列策略的强制实施策略。
查看分配给组的策略
查看分配给系统树组的策略，按产品排序。
例如，如果您将不同的策略分配给服务器和工作站组，请使用此任务确认已正确设置策略。

分配策略
查看策略信息 13
任务
1 选择“菜单” | “系统” | “系统树”，单击“分配的策略”选项卡，然后在系统树中选择一个组。
按产品组织的所有已分配策略都会出现在详细信息窗格中。
2 单击任一策略链接可以查看其设置。
查看分配给特定系统的策略
从系统树中的一个中央位置查看分配到系统的所有策略的列表。
例如，如果您将不同的策略分配给特定系统，请使用此任务确认已正确设置策略。
任务
1 选择“菜单” | “系统” | “系统树”，单击“系统”选项卡，然后从系统树中选择组。
属于此组的所有系统都会出现在详细信息窗格中。
2 单击某个系统的名称以转至系统信息页面，然后单击“应用的策略”选项卡。
查看组的策略继承
查看特定组的策略继承。
例如，如果您为不同的组配置了策略继承，请使用此任务确认已正确设置策略继承。
任务
1 选择“菜单” | “系统” | “系统树”。
2 单击“分配的策略”选项卡。
按产品组织的所有已分配策略都会出现在详细信息窗格中。
“继承自”下的策略行会显示该策略来源组的名称。
查看并重置中断的继承
识别策略继承中断的组和系统。
例如，如果您的策略为一些组配置了中断的继承，请使用此任务确认已正确设置策略。
任务
1 选择“菜单” | “系统” | “系统树”，然后单击“分配的策略”选项卡。
按产品组织的所有已分配策略都会出现在详细信息窗格中。 “中断的继承”下的策略行将显示发生此策略继承中断的
组和系统数量。
这是策略继承中断的组或系统的数量，而不是未继承策略的系统数量。例如，如果只有一个组不继承该策略，则无
论该组内有多少个系统，都会以“1 个未继承”来表示。
2 单击指示已中断继承的子组或系统数量的链接。
此时会出现“查看中断的继承”页，该页会显示这些组和系统的名称的列表。
3 要重置其中任何组或系统的继承，请选中其名称旁的复选框，然后单击“操作”并选择“重置继承”。
创建策略管理查询
检索分配到托管系统的策略，或系统层次结构中已中断继承的策略。
您可创建下列两个策略管理查询中的任何一个：

13 分配策略
查看策略信息
• “应用的策略” — 检索分配给指定托管系统的策略。
• “中断的继承” — 检索系统层次结构中已中断的策略的信息。
任务
1 选择 “菜单” | “报告” | “查询和报告”，然后单击“新建查询”。

此时会打开查询生成器。
2 在结果类型页中，选择“功能组”列表中的“策略管理”。
3 选择结果类型，然后单击“下一步”以显示图表页：
• “已应用的客户端任务”
• “应用的策略”
• “客户端任务分配的中断继承”
• “策略分配的中断继承”
4 选择用于显示主要查询结果的图表或表的类型，然后单击“下一步”。
此时会出现列页。
如果选择“布尔饼图”，则配置您希望包括在查询中的标准。
此时会出现过滤器页。
6 选择一些属性来缩小搜索结果，然后单击“运行”。
未保存的查询页显示了查询结果，可对其中的查询结果进行操作。
选定的属性出现在内容窗格中，内容窗格中带有可指定标准的运算符，可缩小返回至该属性的数据的范围。
7 在未保存的查询页中，在任意表或深入查询表的项目上执行任意可用操作。
• 如果查询未返回预期结果，单击“编辑查询”以返回至查询生成器，然后编辑该查询的详细信息。
• 如果您不希望保存该查询，则单击“关闭”。
• 若要再次使用该查询，请单击“保存”并继续到下一步。
8 在保存查询页，输入查询名称，添加任意备注并选择以下选项之一：
• “新建组” — 输入新组的名称并选择以下任一项：
• “专用组(我的组)”
• “公用组(共享组)”
• “现有组” — 从共享组列表中选择组。

14 服务器和客户端任务
使用服务器和客户端任务将 McAfee ePO 和托管系统流程自动化。

McAfee ePO 包括预配置的服务器任务和操作。通过 McAfee ePO 托管的大多数其他软件产品同样添加了预配置的服
务器和客户端任务。
目录
服务器任务
客户端任务
服务器任务
服务器任务为可配置的操作，可按计划时间或间隔在 McAfee ePO 服务器上运行。利用服务器任务自动执行重复性任
务。
McAfee ePO 包括预配置的服务器任务和操作。通过 McAfee ePO 托管的大多数其他软件产品同样添加了预配置的服
务器任务。
查看服务器任务
服务器任务日志可提供服务器任务的状态并显示可能发生的任何错误。
任务
1 打开服务器任务日志：选择“菜单” | “自动” | “服务器任务日志”。
服务器任务状态
服务器任务日志的状态栏中会出现每个服务器任务的状态。
状态定义
“正在等待” 服务器任务正在等待另一个任务完成。
“正在进行” 服务器任务已开始，但尚未完成。
“已暂停” 用户暂停了服务器任务。
“已停止” 用户停止了服务器任务。

服务器任务
状态定义
“失败” 服务器任务已开始，但未成功完成。
“已完成” 服务器任务已成功完成。
“待终止” 用户请求结束服务器任务。
“已结束” 用户在服务器任务完成前手动关闭了该任务。
创建服务器任务
创建服务器任务，以便计划要根据指定计划运行的各种操作。
如果您希望 McAfee ePO 无需手动干涉运行某些操作，则最好的方法是使用服务器任务。
任务
2 给任务指定一个合适的名称，并确定任务是否具有计划状态，然后单击“下一步”。
如果您希望自动运行该任务，请将“计划状态”设置为“已启用”。
3 选择并配置任务的操作，然后单击“下一步”。
4 选择运行任务的计划类型（频率）、开始日期、结束日期和计划时间，然后单击“下一步”。
只有启用了“计划状态”，才能使用计划信息。
5 单击“保存”以保存服务器任务。
该新任务将出现在服务器任务列表中。
从服务器任务日志中删除过时的服务器任务：最佳实践
从服务器任务日志中定期删除旧的服务器任务条目，以改善数据库性能。
从服务器任务日志删除的项目将永久删除。
任务
1 打开服务器任务日志：选择“菜单” | “自动” | “服务器任务日志”。

服务器和客户端任务
服务器任务 14
自动删除过时日志项目
使用服务器任务自动删除表格或日志中的旧条目，如已关闭的问题或过时的用户操作条目。
从日志中删除的条目将被永久删除。
任务
2 键入服务器任务的名称和描述。
3 对服务器任务启用或禁用计划，然后单击“下一步”。
服务器任务在启用后才会运行。
4 从下拉清单中，选择清除操作，如“清除服务器任务日志”。
5 在“清除早于此时间的记录”旁，输入一个数字并选择时间单位，然后单击“下一步”。
6 安排服务器任务，然后单击“下一步”。
7 查看此服务器任务的详细信息。
• 要进行更改，请单击“上一步”。
• 如果全部正确，请单击“保存”。
该新任务将出现在服务器任务页面上。运行计划的任务时，过时项目将从指定的表或日志中删除。
计划服务器任务时接受的 Cron 语法
在计划服务器任务时，如果选择“计划类型” | “高级”选项，则可以使用 Cron 语法指定计划。
Cron 语法包含六个或七个字段，各字段之间用空格隔开。下表详细介绍了接受的 Cron 语法，按字段降序排列。大多
数 Cron 语法均是可接受的，但少数情况下不予支持。例如，无法同时指定“星期”和“日期”值。
字段名称允许使用的值允许使用的特殊字符

秒 0-59 ,-*/
分钟 0-59 ,-*/
小时 0-23 ,-*/
日期 1-31 ,-*?/LWC
月份 1-12 或 JAN - DEC ,-*/
星期 1-7 或 SUN - SAT ,-*?/LC#
年（可选）留空，或 1970-2099 ,-*/
允许使用特殊字符
• 允许使用逗号 (,) 以指定多个值。例如，“5,10,30”或“MON,WED,FRI”。
• 星号 (*) 用来表示“每个”。例如，“分钟”字段中的“*”表示“每分钟”。
• 可使用问号 (?) 指定“星期”或“日期”字段中无特定的值。
问号必须在这些字段中的其中一个使用，不能在两个字段中同时使用。

客户端任务
• 斜杠 (/) 表示增量。例如，“分钟”字段中的“5/15”表示任务在 5、20、35 和 50 分钟运行。
• 字母“L”在“星期”字段或“日期”字段中表示最后一个。例如，“0 15 10 ? * 6L”表示每月最后一个星期五上午 10:15。
• 字母“W”表示“工作日”。因此，如果您创建的日期为“15W”，这表示离该月 15 日最近的工作日。另外，您可以指定
“LW”，表示该月的最后一个工作日。
• 英镑字符“#”表示该月的第 N 天。例如，在“星期”字段中使用“6#3”表示每月的第三个星期五，“2#1”表示第一个星期
一，“4#5”表示第五个星期三。
如果该月没有第五个星期三，则任务不会运行。
客户端任务
创建并计划客户端任务，以便自动设置网络中系统的管理方式。
客户端任务一般用于以下活动。
• 产品部署
• 产品功能
• 升级和更新
有关可用的客户端任务及其功能的信息，请参阅托管产品的文档。
客户端任务目录的工作原理
使用客户端任务目录来创建客户端任务对象，您可以重复使用这些对象帮助管理网络中的系统。
客户端任务目录会将逻辑对象的概念应用到 McAfee ePO 客户端任务。您可以出于各种目的创建客户端任务对象，而
无需立即分配这些任务。因此，在分配和计划客户端任务时，可以将这些对象视为可重复使用的组件。
客户端任务可以在系统树的任何级别分配。树中较低级别的组和系统会继承客户端任务。与策略和策略分配一样，您可
以中断已分配客户端任务的继承。
您可以在环境中多个已注册的 McAfee ePO 服务器上共享客户端任务对象。将客户端任务对象设置为共享时，每个已

注册的服务器都会在您的共享客户端任务服务器任务运行后收到副本。对此任务的任何更改将于服务器任务每次运行
时得到更新。对于共享的客户端任务对象，只有其所有者可以修改其设置。
接收共享任务的目标服务器上的管理员不是该共享任务的所有者。目标服务器上的所有用户都不是该目标服务器收到的
任何共享任务对象的所有者。
部署任务
部署任务即客户端任务，可用于将托管安全产品从主存储库部署到托管系统中。
您可以使用客户端任务目录来创建和管理单个部署任务对象，并随后分配它们在组或单个系统上运行。或者也可以创建
产品部署项目，以将产品部署到系统中。产品部署项目可自动进行个别客户端任务对象的创建和计划过程。此外也提供
了额外的自动化管理功能。
重要事项
决定如何分阶段进行产品部署时，需要考虑以下事项：

客户端任务 14
• 包大小以及主存储库和托管系统之间的可用带宽。将产品部署到多个系统除可能会使 McAfee ePO 服务器或网络

崩溃之外，还会使故障排除变得更为复杂。
• 分阶段部署可一次将产品安装到系统组中。如果网络连接速度很快，则可尝试同时部署到几百个客户端。如果您的
网络连接较慢或不那么可靠，则可尝试减少目标群组。部署到各个组时，要监控部署，运行报告以确认是否成功安
装，并解决各个系统的全部问题。
将产品部署到所选的系统中
如果正在部署安装在托管系统子集上的 McAfee 产品或组件：
1 使用标记识别这些系统。
2 将已标记的系统移至组。
3 针对组配置产品部署客户端任务。
产品和更新的部署包
McAfee ePO 软件部署基础设施既支持部署产品和组件，也支持对其进行更新。
McAfee ePO 可部署的每种产品均提供产品部署包 .zip 文件。此 .zip 文件包含以安全格式压缩的产品安装文件。
McAfee ePO 可以将这些包部署到您托管的任何系统。
此软件针对检测定义 (DAT) 包和引擎更新包都使用这些 .zip 文件。
您可以在部署前后配置产品策略设置。建议在向网络系统部署产品之前配置策略设置。配置策略设置可节省时间，并确
保您的系统尽快受到保护。
这些包类型可通过提取任务或手动签入主存储库。
支持的包类型
包类型说明来源
SuperDAT 文件 SuperDAT 文件在单个更新包中包含 DAT 和引擎 McAfee 网站。手动下载 SuperDAT
(SDAT.exe) 文件文件。如果存在带宽顾虑，建议您分开更新 DAT 文件并将其签入主存储库。
和引擎文件。
文件类型：SDAT.exe
补充检测定义 Extra.DAT 文件解决了自上一版 DAT 文件发布以 McAfee 网站。手动下载补充 DAT 文

(Extra.DAT) 文件来出现的一个或多个威胁。如果威胁严重级别高，件并将其签入主存储库。
请立即分发该 Extra.DAT 文件，而不要等到向下一
文件类型：Extra.DAT 个 DAT 文件中添加签名。
Extra.DAT 文件来自于 McAfee 网站。您可以通过
McAfee ePO 分发这类文件。提取任务不会检索
Extra.DAT 文件。
产品部署和更新包产品部署包包含安装软件。产品 CD 或下载的产品 .zip 文件。手

动将产品部署包签入主存储库。有关
文件类型：zip 具体位置，请参见该产品的文档。
McAfee Agent 语言包 McAfee Agent 语言包包含以本地语言显示主存储库 — 安装时签入。对于将来版
McAfee Agent 信息所需的各个文件。本的 McAfee Agent，必须手动将
文件类型：zip McAfee Agent 语言包签入主存储库。
包签名和安全
McAfee 创建和分发的所有包均通过使用 DSA（数字签名算法）签名验证系统的密钥对签名。这些包使用 168 位
3DES 加密方法进行加密。使用密钥加密或解密敏感数据。
签入 McAfee 未签名的包时，系统将会向您发出通知。如果信任该包的内容和有效性，可继续签入过程。这些包的保护
方式与上述相同，但在签入时由 McAfee ePO 签名。

客户端任务
McAfee Agent 仅信任由 McAfee ePO 或 McAfee 签名的包文件。此功能可确保您的网络不会收到未签名或不信任来源

的包。
包排序和依赖项
如果一个产品更新依赖于另一个产品更新，则按要求的顺序向主存储库中签入更新包。例如，如果补丁 2 需要补丁 1，
则必须在补丁 2 前签入补丁 1。签入后，无法对包重新排序。您必须先删除它们，然后按正确的顺序重新签入。如果签
入的包用于替代现有包，则会自动删除现有的包。
产品和更新部署
可以通过 McAfee ePO 存储库基础设施将产品和更新包从中心位置部署到托管系统。尽管使用的存储库不变，其中仍
有所不同。
产品部署和更新包
产品部署包更新包
必须手动签入到主存储库。可以利用提取任务从来源站点自动复制 DAT 和引擎更新包。所有
其他更新包必须手动签入到主存储库。
可以通过部署任务复制到主存储库并自动安装在可以通过全局更新复制到主存储库并自动安装在托管系统上。
托管系统上。
如果不对产品部署执行全局更新，则必须针对托如果不对产品更新执行全局更新，则必须针对托管系统配置和计划
管系统配置和计划用于检索包的部署任务。用于检索包的更新客户端任务。
产品部署和更新进程
根据该高水平流程分发 DAT 和引擎更新包。
1 通过提取任务或手动将更新包签入到主存储库。
2 执行以下任一操作：
• 如果使用全局更新，请为断开网络的便携式计算机系统创建和计划更新任务。
• 如果不使用全局更新，请执行以下任务。
1 利用复制任务复制主存储库的内容。
2 为代理创建和计划更新任务，以便在托管系统上检索和安装更新。
部署标记
创建部署任务时，会自动创建与任务同名的标记并将其应用到强制实施任务的系统中。这些标记仅针对固定部署创
建。请勿应用到不间断部署。
每次创建部署任务并将其强制实施到系统时，都会将这些标记添加到标记目录页上的部署标记组。该组为只读组，且
该组中的标记无法在标准配置中手动应用、更改、删除或使用，以过滤系统。
使用产品部署任务将产品部署到托管系统
使用产品部署客户端任务将产品部署到托管系统。
您可以为单个系统或系统树中的多个组创建此任务。
任务
• 为托管系统的组配置部署任务第 187 页
配置产品部署任务，以将产品部署到系统树中的托管系统组。
• 配置部署任务以将产品安装在托管系统上第 188 页
使用产品部署任务，将产品部署到单个系统中。

客户端任务 14
为托管系统的组配置部署任务
配置产品部署任务，以将产品部署到系统树中的托管系统组。
任务
1 打开新建任务对话框。
a 选择 “菜单” | “策略” | “客户端任务目录”。
b 在客户端任务类型下，选择一个产品，然后单击“新建任务”。
2 选择“产品部署”，然后单击“确定”。
3 键入要创建的任务的名称，然后添加任意注释。
4 在目标平台旁，选择要使用该部署的平台的类型。
5 在产品和组件旁边，进行如下设置：
• 从第一个下拉列表中选择产品。列出的产品是那些已签入主存储库的产品。如果看到此处未列出您要部署的产
品，则签入产品包。
• 将“操作”设置为“安装”，然后选择包的“语言”和“分支”。
• 要指定命令行安装选项，请在“命令行”文本字段中键入选项。有关要安装的产品的命令行选项信息，请参阅产品
文档。
可以通过单击“+”或“-”，在显示的列表中添加或删除产品和组件。
6 若要让系统自动更新安全产品，请选择“自动更新”。
这还可以自动部署产品的修补程序和补丁。
如果将安全产品设置为自动更新，则无法将“操作”设置为“删除”。
7 （仅限 Windows）在选项旁边，选择是否要针对各个策略进程运行此任务，然后单击“保存”。
8 选择 “菜单” | “系统部分” | “系统树” | “分配的客户端任务”，然后在系统树中选择所需组。
9 选择“产品部署 (McAfee Agent)”作为“预设”过滤器。
此时会在详细信息窗格中显示根据所选类别分类的各个已分配客户端任务。
10 单击 “操作” | “新建客户端任务分配”。
11 在选择任务页上，选择“McAfee Agent”作为“产品”并选择“产品部署”作为“任务类型”，然后选择您创建的任务，以部
署产品。
12 在标记旁，选择要将包部署到的平台，然后单击“下一步”：
• “ 将此任务发送到所有计算机”
• “将此任务仅发送给具有以下标准的计算机” — 单击标准旁边的“编辑”以进行配置，选择标记组，再选择要在标
准中使用的标记，然后单击“确定”。
13 在计划页上，选择是否启用计划，指定该计划的详细信息，然后单击“下一步”。
每次运行计划的部署任务时，该任务会将最新传感器包安装到系统中，以满足指定标准。

客户端任务
配置部署任务以将产品安装在托管系统上
使用产品部署任务，将产品部署到单个系统中。
在该系统需要以下各项时，为该系统创建产品部署客户端任务：
• 同一组中其他系统不需要的已安装产品。
• 与组中的其他系统不同的计划。例如，系统所在的时区与对等系统所在的时区不同。
任务
2 确保已选择“产品部署”，然后单击“确定”。
4 在“目标平台”旁，选择要使用该部署的平台的类型。
5 在“产品和组件”旁，进行如下设置：
• 从第一个下拉列表中选择产品。列出的产品是那些已经将包签入主存储库的产品。如果未在此处看到要部署的
产品，请首先签入该产品的包。
• 将“操作”设置为“安装”，然后选择包的“语言”和“分支”。
• 要指定命令行安装选项，请在“命令行”文本字段中键入命令行选项。有关要安装的产品的命令行选项信息，请参
阅产品文档。
可以通过单击“+”或“-”，在显示的列表中添加或删除产品和组件。
6 若要让系统自动更新已部署的安全产品（包括修补程序和补丁），请选择“自动更新”。
如果将安全产品设置为自动更新，则无法将“操作”设置为“删除”。
7 在“选项”旁，选择是否希望针对各个策略强制实施进程（仅限 Windows）执行此任务，然后单击“保存”。
8 选择 “菜单” | “系统” | “系统树” | “系统”，选择要在其上部署产品的系统，然后单击 “操作” | “代理” | “修改单个系统上

的任务”。
10 在“选择任务”页上，将“产品”选择为“McAfee Agent”并将“任务类型”选择为“产品部署”，然后选择您已针对部署产品
创建的任务。
11 在“标记”旁，选择要将包部署到的平台，然后单击“下一步”：
• “ 将此任务发送到所有计算机”
• “将此任务仅发送给具有以下标准的计算机” — 单击“编辑”，选择标记组和要在标准中使用的标记，然后单击“确
定”。
12 在计划页上，选择是否启用计划，指定该计划的详细信息，然后单击“下一步”。

客户端任务 14
更新任务
如果不使用全局更新，请确定托管系统上代理的更新时间。
您可以通过创建和更新客户端任务来控制托管系统接收更新包的时间和方式。
如果您使用全局更新，虽然可以另外创建一个每日任务作为备用，但也不必执行此任务。
创建或更新客户端任务时的注意事项
计划客户端更新任务时应该考虑以下事项：
• 在系统树的最高级别创建一个每日更新客户端任务，以便所有系统都继承该任务。如果您的组织是个大型组织，则
可以使用随机选择时间间隔来缓解带宽影响。对于那些在不同时区均设有办事处的网络，则应按照托管系统的本地
系统时间运行任务（而不是所有系统在相同时间运行），以便平衡网络负载。
• 如果使用计划复制任务，请将该任务安排在计划复制任务至少一个小时后执行。
• 至少每天运行一次 DAT 和引擎文件更新任务。托管系统有时会由于不在网络上而错过计划任务。经常运行该任务

可以确保这些系统收到更新。
• 最大限度地提高带宽利用率，并创建多个计划客户端更新任务，在不同时段更新不同的组件。例如，可以创建一个
只更新 DAT 文件的任务，然后创建另一个更新任务，每周或每月更新一次 DAT 和引擎文件（引擎包的发布频率较
低）。
• 对于不使用 Windows McAfee Agent 的产品，应该创建和计划更多更新任务。
• 创建任务来更新主工作站应用程序，以确保它们都能接收更新文件。安排该任务每天运行一次或运行多次。
查看分配的客户端任务
初始产品部署过程中，McAfee ePO 会自动创建产品部署客户端任务。您可以在这个分配的客户端任务基础上，创建
其他产品部署客户端任务。
开始之前
必须要运行初始产品部署才可以创建初始产品部署客户端任务。
任务
1 要查看初始产品部署客户端任务，请选择 “菜单” | “客户端任务目录”。
2 查找初始产品部署客户端任务：从“客户端任务类型”列表中选择 “McAfee Agent” | “产品部署”。
初始创建的产品部署客户端任务使用您在“代理部署 URL” 中配置的“系统树”组的名称，即

initialDeployment_<groupName>。例如，"InitialDeployment_AllWindowsSystems"。该任务显示在 “McAfee
Agent” | “产品部署”表的“名称”列中。
3 要打开客户端任务并查看详细信息，请单击“代理部署 URL”中配置的任务名称。
4 若需关闭页面，请单击“取消”。
以上内容介绍默认产品部署客户端任务的位置和配置。您可以通过复制此客户端任务实现一些功能，例如：将 McAfee
Agent 部署到使用不同操作系统的平台。
使用计划更新任务定期更新托管系统
创建并配置更新任务。如果使用全局更新，建议使用每日更新客户端任务，以确保系统具有最新的 DAT 和引擎文件。

客户端任务
任务
2 验证已选择“产品更新”，然后单击“是”。
4 在正在更新对话框旁，选择是否希望用户知道正在进行更新，以及是否希望允许用户推迟更新过程。
5 选择包类型，然后单击“保存”。
在配置各个特征码和引擎时，如果选择“引擎”并取消选择 “DAT”，那么，在新引擎进行更新后，新的 DAT 会自动更

新以确保完成保护。
6 选择“菜单” | “系统” | “系统树”，单击“系统”选项卡，然后选择要部署产品更新的系统，接着单击“操作” | “代理” | “修

改单个系统上的任务”。
8 在选择任务页中，进行以下选择：
• “产品” — 选择 “McAfee Agent”。
• “任务类型” — 选择“产品更新”。
然后选择为部署产品更新创建的任务。
9 在标记旁，选择要将包部署到的平台，然后单击“下一步”：
• “ 将此任务发送到所有计算机。”
• “将此任务仅发送给具有以下标准的计算机” — 单击标准旁边的“编辑”以进行配置，选择标记组，再选择要在标
准中使用的标记，然后单击“确定”。
若要将列表限制到特定标记，请在标记下的文本框中键入标记名称。
10 在“计划”页上，选择是否启用计划，指定该计划的详细信息，然后单击“下一步”。
任务会添加到应用到组和系统的客户端任务的列表中。代理将在下次与服务器通信时接收新的更新任务信息。如果启

用了此任务，更新任务将在下一个计划的日期和时间运行。
根据为该客户端代理配置策略的方式，每个系统将从相应的存储库进行更新。
在分发之前评估新的 DAT 和引擎

在将 DAT 和引擎文件部署到整个组织之前，建议您先在一些系统上对其进行测试。您可以使用主存储库的评估分支来
测试更新包。
McAfee ePO 软件提供三种存储库分支用于此用途。

客户端任务 14
任务
1 创建一个计划“存储库提取”任务，用以复制主存储库的评估分支中的更新包。安排该任务在 McAfee 发布更新的

DAT 文件之后运行。
2 在系统树中创建或选择评估组，然后为系统创建仅使用评估分支的 McAfee Agent 策略。

a 在“存储库分支更新选择”部分的“更新”选项卡中选择评估分支。
这些策略将在下次 McAfee Agent 呼叫服务器时生效。下次更新代理时，将从评估分支检索更新。
3 为评估系统创建计划更新客户端任务，此任务可更新存储库评估分支中的 DAT 和引擎文件。安排该任务在存储库

提取任务计划开始 1 或 2 个小时后运行。
在评估组层级创建的评估更新任务会使该任务仅对该组运行。
4 监控评估组中的系统，直到满意为止。
5 将包从主存储库的评估分支移到当前分支。选择 “菜单” | “软件” | “主存储库” 以打开“主存储库”页。

将这些包添加到当前分支后，就可以在生产环境中使用这些包。下次运行从当前分支检索包的任何客户端任务时，
新 DAT 和引擎文件就会分发到使用此任务的系统。
管理客户端任务
创建并维护客户端任务。
任务
• 创建客户端任务第 191 页
使用客户端任务可以自动执行产品更新。对于所有客户端任务，该过程都是类似的。
• 编辑客户端任务第 192 页
您可以编辑以前配置的任何客户端任务设置或计划信息。
• 比较客户端任务第 192 页
客户端任务比较工具确定哪些客户端任务设置不同以及哪些相同。
• 查看分配给特定系统的客户端任务第 192 页
从系统树的一个中央位置查看分配到系统的所有策略的列表。
创建客户端任务
使用客户端任务可以自动执行产品更新。对于所有客户端任务，该过程都是类似的。
在某些情况下，您必须创建新的客户端任务分配，以便将客户端任务关联到系统树组。
任务
2 从列表中选择一个任务类型，然后单击“确定”，以打开客户端任务生成器。
3 输入任务的名称，添加描述，然后配置特定于所创建任务类型的设置。
配置选项取决于所选的任务类型。
4 查看任务设置，然后单击“保存”。

客户端任务
该任务会添加到所选客户端任务类型的客户端任务列表。
编辑客户端任务
您可以编辑以前配置的任何客户端任务设置或计划信息。
任务
1 选择 “菜单” | “策略” | “客户端任务目录”。
2 从左侧导航树中选择“客户端任务类型”。
可用的客户端任务此时会显示在窗口右侧。
3 单击客户端任务名称，以打开客户端任务目录对话框。
4 根据需要编辑任务设置，然后单击“保存”。
托管系统接收下次代理与服务器通信时您配置的更改。
比较客户端任务
客户端任务比较工具确定哪些客户端任务设置不同以及哪些相同。
该页面包含的许多值和变量特定于各个产品。对于表格中未包含的选项定义，请找到提供您要比较的客户端任务的产
品并参阅该产品的文档。
任务
1 选择“菜单” | “客户端任务比较”，然后从列表中选择产品、客户端任务类型和显示设置。
这些设置会填充客户端任务 1 和客户端任务 2 列表中要比较的客户端任务。
2 从“客户端任务 1”和“客户端任务 2”列表的“比较客户端任务”行中选择要比较的客户端任务。
表的前两行会显示不同和相同设置的数量。为降低数据的数量，可以将“所有客户端任务设置”中的“显示”设置更改为
“客户端任务差异”或“客户端任务匹配”。
3 单击“打印”，打开该比较的打印机友好视图。
查看分配给特定系统的客户端任务
从系统树的一个中央位置查看分配到系统的所有策略的列表。
任务
1 选择“菜单” | “系统” | “系统树”，单击“系统”选项卡，然后从系统树中选择组。

属于此组的所有系统都会出现在详细信息窗格中。
2 单击某个系统的名称以转至系统信息页，然后单击“已应用的客户端任务”选项卡。

15 设置自动响应
通过在事件发生时自动启动 McAfee ePO 进程，立即对威胁和病毒爆发采取操作。

当符合自动响应规则的条件时，McAfee ePO 会做出响应。您指定组成响应的操作，以及必须满足触发响应条件的事
件类型和数量。
默认情况下，自动响应规则可包括以下操作：
• 创建问题。 • 运行系统命令。
• 执行服务器任务。 • 发送电子邮件消息。
• 运行外部命令。 • 发送 SNMP 陷阱。
您还可以配置 McAfee ePO 服务器上安装的外部工具以运行外部命令。
托管产品会增加供您选择的操作数量。
您使用 McAfee ePO 管理的产品决定了可以为其创建自动响应规则的事件的类型。
以下为可能触发自动响应的一些典型条件：
• 防病毒软件进行的威胁检测。
• 爆发情况。例如，五分钟内收到 1,000 个检测到病毒的事件。
• McAfee ePO 服务器事件的高级别合规性。例如，存储库更新或复制任务失败。
目录
使用自动响应
事件阈值
默认自动响应规则
响应计划
确定转发事件的方式
配置自动响应
选择通知时间间隔
创建和编辑自动响应规则
使用自动响应
可以指定触发响应的事件以及响应的内容。
可以配置自动响应的一整套事件类型取决于您使用 McAfee ePO 所管理的软件产品。
默认情况下，您的响应可包括以下操作：

事件阈值
• 创建问题。 • 运行系统命令。
• 执行服务器任务。 • 将电子邮件消息发送至多名收件人。
• 运行外部命令。 • 发送 SNMP 陷阱。
您还可以配置在 McAfee ePO 服务器上安装的外部工具，以运行外部命令。
此功能用于在满足规则条件时创建用户配置的通知和操作。这些条件包括（但不限于）：
• 防病毒软件产品进行的威胁检测。
• 爆发情况。例如，五分钟接收 1000 个检测到病毒的事件。
• 高级别的 McAfee ePO 服务器事件合规性。例如，存储库更新或复制任务失败。
事件阈值
设置事件阈值使您可以调整自动响应的频率，以满足环境的需要和实际情况。
累积
使用累积设置触发自动响应之前发生的事件数量。例如，您可以配置自动响应规则，从而在达到以下其中一个阈值时
发送电子邮件消息：
• 该服务器一小时内从不同系统中接收到 1,000 或更多病毒检测事件。
• 该服务器一小时内从一个系统中接收到 100 或更多病毒检测事件。
限制
在将规则配置为将可能的病毒发作情况通知给您后，使用调节可以确保不会收到过多的通知消息。如果您确保大型网络
的安全，您可能会在一小时内收到上万个事件，生成数千条电子邮件消息。调节功能允许您限制基于一个规则所接收的
通知消息的数目。例如，您可以在响应规则中指定希望在 1 小时内仅接收一条通知消息。
分组
使用分组功能可以组合多个累积事件。例如，可以将具有相同严重性的事件组合到一个组中。分组具有以下益处：
• 一次性响应具有相同或更高严重性的所有事件。
• 区分所产生事件的优先级。
默认自动响应规则
启用默认 McAfee ePO 响应规则，以便在详细了解该功能的同时立即使用。
在启用任何默认规则之前，请执行以下操作：
• 指定发送通知消息的电子邮件服务器（选择“菜单” | “配置” | “服务器设置”）。
• 确保收件人电子邮件地址正确无误。该地址在自动响应生成器的“操作”页面配置。

设置自动响应
响应计划 15
规则名称关联事件在以下情况下发送电子邮件...

分布式存储库更新或复分布式存储库更新或复制任何更新或复制失败。
制失败失败
检测到恶意软件来自任何未知产品的所有满足以下标准：
事件
• 事件数量至少为每小时 1,000 次。
• 选定非重复值的数量为 500。
• 最多 2 小时一次。
电子邮件包括来源系统 IP 地址、威胁名称、产品信息和其他参
数。
主存储库更新或复制失主存储库更新或复制失败任何更新或复制失败。

败
检测到不合规的计算机检测到不合规的计算机事收到来自生成合规性事件服务器任务的任何事件。
件
响应计划
在创建自动响应规则之前，请考虑您希望 McAfee ePO 服务器执行的操作。
针对以下项目的计划：
• 在您环境中触发消息的事件类型。
• 哪些人接收哪些消息。例如，您可能不需要向所有管理员通知产品升级失败，但您可能需要管理员知道发现了被感
染的文件。
• 您希望为每个规则设置的阈值的类型和级别。例如，您可能不希望在病毒爆发期间每次检测到被感染的文件都收到
一则电子邮件消息。您可以选择为每 1,000 个事件发送一封邮件。
• 在满足规则条件时，您希望运行的命令或已注册的可执行文件。
• 在满足规则条件时，您希望运行的服务器任务。
确定转发事件的时间以及立即转发哪些事件。
服务器从代理接收事件通知。您可以配置 McAfee Agent 策略，以立即将事件转发至服务器或仅在代理与服务器通信时
间间隔后转发。
如果您选择立即发送事件（默认设置），则 McAfee Agent 接收到所有事件后便进行转发。
如果您选择不立即发送所有事件，则 McAfee Agent 只立即转发由发布产品指定为具有高优先级的事件。其他事件在代

理与服务器之间的通信时发送。
任务
• 确定立即转发的事件第 196 页
确定是立即转发事件，还是仅按代理与服务器之间的通信间隔转发。
• 确定转发到服务器的事件第 196 页
使用服务器设置和事件过滤，可以确定将哪些事件转发到服务器。

确定立即转发的事件
确定是立即转发事件，还是仅按代理与服务器之间的通信间隔转发。
如果当前应用的策略未设置为立即上传事件，则可以编辑当前应用的策略或创建 McAfee Agent 策略。在威胁事件日志
页面上配置此设置。
任务
1 选择 “菜单” | “策略” | “策略目录”，然后将“产品”选为 McAfee Agent，“类别”选为“常规”。
2 单击现有代理策略。
3 在“事件”选项卡上，选择“启用事件转发优先级”。
4 选择事件严重性。
所选严重性（以及更高严重性）的事件会立即转发到服务器。
5 要控制流量，请键入“上载间隔时间”（以分钟为单位）。
6 要控制流量大小，请键入“每次上载的最大事件数”。
确定转发到服务器的事件
使用服务器设置和事件过滤，可以确定将哪些事件转发到服务器。
这些设置会影响环境中使用的带宽，以及基于事件的查询结果。
任务
1 选择“菜单” | “配置” | “服务器设置”，选择“事件过滤”，然后单击页面底部的“编辑”。
2 选择要转发的全部或单个事件。
• 要转发所有可用事件，请选择“所有事件到服务器”。
如果选择“所有事件到服务器”，那么将禁用“全选”和“取消全选”。
• 要只转发指定的事件，请选择“仅限选定的事件到服务器”。

设置自动响应
配置自动响应 15
3 选择您要存储选定事件的位置。
• 将所有选定的事件存储到服务器中：
• 单击“将所选项存储在 ePO 中”— 将所有选定事件存储在 McAfee ePO 数据库中。
• 单击“将所选项存储在 SIEM 中” — 将所有选定事件存储在安全信息与事件管理 (SIEM) 数据库中。
• 单击“将所选项存储在以上两者中”— 将所有选定事件存储在 McAfee ePO 和 SIEM 数据库中。这是默认设

置。
• 将选定事件存储在各个选定服务器中：
• 单击“存储在 ePO 中”— 将事件存储在 McAfee ePO 数据库中。
• 单击“存储在 SIEM 中” — 将事件存储在 SIEM 数据库中。
• 单击“存储在两者中”— 将事件存储在 McAfee ePO 和 SIEM 数据库中。
如果在注册期间产品扩展为事件类型提供事件存储选项，则将保存该事件存储选项。如果在注册期间产品扩展未为
事件类型提供事件存储选项，则默认将事件存储在 McAfee ePO 和 SIEM 数据库中。
4 选择事件来源。
• “任何来源的事件”— 任何来源包括 McAfee Agent、McAfee ePO 等。
• “发送代理生成的事件” — 仅限 McAfee Agent 生成的事件。
所有代理与 McAfee ePO 服务器通信后，对这些设置的更改才会生效。
配置自动响应
配置必需的资源，以全面地利用自动响应。
任务
• 分配通知权限第 197 页
通知权限使用户可以查看、创建和编辑已注册的可执行文件。
• 分配自动响应权限第 198 页
当您需要限制用户可以创建的响应类型时，为响应分配权限。
• 管理 SNMP 服务器第 198 页
配置响应，以使用您的 SNMP (Simple Network Management Protocol) 服务器。
• 管理已注册的可执行文件和外部命令第 199 页
当满足规则条件时，系统就会运行您所配置的已注册的可执行文件。自动响应会触发已注册的可执行命令
的运行。
分配通知权限
通知权限使用户可以查看、创建和编辑已注册的可执行文件。
任务
1 选择 “菜单” | “用户管理” | “权限集”，然后创建一个权限集或者选择一个现有的权限集。
2 在“事件通知”旁，单击“编辑”。

配置自动响应
3 选择所需通知权限：
• “无权限”
• “查看已注册的可执行文件”
• “创建和编辑已注册的可执行文件”
• “查看整个系统树的规则和通知(覆盖系统树组访问权限)”
5 如果您创建了权限集，则选择 “菜单” | “用户管理” | “用户”。
6 选择要将新权限集分配到的用户，然后单击“编辑”。
7 在“权限集”旁边，选中与所需通知的权限集相对应的复选框，然后单击“保存”。
分配自动响应权限
当您需要限制用户可以创建的响应类型时，为响应分配权限。
开始之前
要创建响应规则，用户需要具备威胁事件日志、系统树、服务器任务和检测的系统功能的权限。
任务
1 选择 “菜单” | “用户管理” | “权限集”，然后创建一个权限集或者选择一个现有的权限集。
2 在“自动响应”旁，单击“编辑”。
3 选择“自动响应”权限：
• “无权限”
• “查看响应；查看服务器任务日志中的响应结果”
• “创建、编辑、查看和取消响应；查看服务器任务日志中的响应结果”
5 如果您创建了权限集，则选择 “菜单” | “用户管理” | “用户”。
6 选择要将新权限集分配到的用户，然后单击“编辑”。
7 在“权限集”旁边，选中与包含所需“自动响应”权限的权限集相对应的复选框，然后单击“保存”。
管理 SNMP 服务器
配置响应，以使用您的 SNMP (Simple Network Management Protocol) 服务器。
您可以将响应配置为向 SNMP 服务器发送 SNMP 陷阱。您可以接收 SNMP 陷阱，并在同一位置使用网络管理应用程

序查看有关环境中系统的详细信息。
您无需进行其他配置或启动任何服务，就可以配置此功能。

设置自动响应
配置自动响应 15
SNMP 服务器操作
1 选择“菜单” | “配置” | “已注册的服务器”。
2 从已注册服务器的列表中，选择 SNMP 服务器，然后单击“操作”和“已注册的服务器”页面中可用的更改。
操作说明
“编辑” 根据需要编辑服务器信息，然后单击“保存”。
“删除” 删除选定的 SNMP 服务器。出现提示时，请单击“是”。
导入 .MIB 文件
导入 .mib 文件，然后设置规则，以通过 SNMP 陷阱向 SNMP 服务器发送通知消息。
必须从 \Program Files\McAfee\ePolicy Orchestrator\MIB 导入三个 .mib 文件。这些文件必须按如下顺序导入：
1 NAI-MIB.mib
2 TVD-MIB.mib
3 EPO-MIB.mib
网络管理程序使用这些文件可以对 SNMP 陷阱中的数据进行解码，使其变为可理解的文本。EPO-MIB.mib 文件依赖另

外两个文件来定义以下陷阱：
• epoThreatEvent — 如果触发 McAfee ePO 威胁事件的自动响应，则会发送该陷阱。此陷阱中包含与威胁事件的属
性相匹配的变量。
• epoStatusEvent — 如果触发 McAfee ePO 状态事件的自动响应，则会发送该陷阱。此陷阱中包含与（服务器）状

态事件的属性相匹配的变量。
• epoClientStatusEvent — 如果触发 McAfee ePO 客户端状态的自动响应，则会发动该陷阱。此陷阱中包含与客户端

状态事件的属性相匹配的变量。
• epoTestEvent — 如果单击“新建 SNMP 服务器”或编辑 SNMP 服务器页面中的发送测试陷阱，则会发送该测试陷

阱。
有关导入和实施 .mib 文件的说明，请参阅网络管理程序的产品文档。
管理已注册的可执行文件和外部命令
当满足规则条件时，系统就会运行您所配置的已注册的可执行文件。自动响应会触发已注册的可执行命令的运行。
您只能在控制台应用程序上运行已注册的可执行命令。
任务
1 选择 “菜单” | “配置” | “已注册的可执行文件”。

操作步骤
添加已注册的 1 单击“操作” | “已注册的可执行文件”。 4 根据需要修改用户凭据。
可执行文件
2 键入已注册的可执行文件的名称。 5 测试该可执行文件，并使用“审核日志”确
认其是否可以正常工作。
3 键入路径并选择您希望在触发规则时执行 6 单击“保存”。
的已注册可执行文件。
新的已注册的可执行文件会出现在“已注册的可执行文件”列表中。
编辑已注册的 1 查找要在“已注册的可执行文件”页编辑的已注册的可执行文件，然后单击“编辑”。
可执行文件
2 根据需要更改信息，然后单击“保存”。
复制已注册的 1 查找要在“已注册的可执行文件”页复制的已注册的可执行文件，然后单击“复制”。
可执行文件
2 键入已注册的可执行文件的名称，然后单击“确定”。
复制的已注册的可执行文件会出现在“已注册的可执行文件”列表中。
删除已注册的 1 查找要在“已注册的可执行文件”页删除的已注册的可执行文件，然后单击“删除”。
可执行文件
2 出现提示时，请单击“确定”。
被删除的已注册的可执行文件将不再出现在“已注册的可执行文件”列表中。
该设置决定事件发生后向自动响应系统发出通知的频率。
以下事件会生成通知：
• 客户端事件 – 在托管系统上发生的事件。例如，成功更新产品。
• 威胁事件 — 表示检测到潜在威胁的事件。例如，检测到病毒。
• 服务器事件 – 在服务器上发生的事件。例如，存储库提取失败。
只有在自动响应系统收到通知之后，才会触发自动响应。指定较短的通知发送时间间隔并选择足够频繁的评估时间间
隔，确保自动响应系统可以及时地响应事件，但是也不能过于频繁，避免过高的带宽消耗。
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”选择事件通知，然后单击“编辑”。
2 指定 1 到 9,999 分钟之间的值作为评估时间间隔（默认情况下为 1 分钟），然后单击“保存”。
定义响应事件的时间和方式。 “自动响应”规则不具有从属顺序。

设置自动响应
创建和编辑自动响应规则 15
任务
• 定义规则第 201 页
创建规则时，请包括其他用户可能需要的信息，以便其了解该规则的目的或效果。
• 为规则设置过滤器第 201 页
要限制可以触发响应的事件，请在响应生成器的过滤器页面上为响应规则设置过滤器。
• 针对规则设置累积和分组标准。第 201 页
您可以在响应生成器的累积页上定义事件触发规则的时间。
• 为自动响应规则配置操作第 202 页
在响应生成器的操作页面上配置由规则触发的响应。
定义规则
创建规则时，请包括其他用户可能需要的信息，以便其了解该规则的目的或效果。
任务
1 选择 “菜单” | “自动” | “自动响应”，然后单击“新建响应”，或单击现有规则旁边的“编辑”。
2 在“说明”页上，键入该规则的唯一名称和任何注释。合适的名称能够让用户大概了解规则的作用。通过注释提供更

为详细的说明。
3 从“语言”菜单中，选择该规则所使用的语言。
4 选择触发此响应的“事件组”和“事件类型”。
5 在“状态”旁边，选择“已启用”或“已禁用”。默认为“已启用”。
为规则设置过滤器
要限制可以触发响应的事件，请在响应生成器的过滤器页面上为响应规则设置过滤器。
任务
1 从“可用属性”列表中选择属性，并指定用来过滤响应结果的值。
可用属性取决于在说明页面上选择的事件类型和事件组。
针对规则设置累积和分组标准。
您可以在响应生成器的累积页上定义事件触发规则的时间。
规则的阈值是累积、限制和分组的组合。

任务
1 在“累积”旁，选择一个累积级别。
• 要为每个事件触发响应，请选择“针对每个事件触发此响应”。
• 要在发生多个事件后触发此响应，请执行以下步骤。
1 选择“如果此时间内发生多个事件，则触发此响应”，然后以秒、分钟、小时或天为单位定义时长。
2 选择累积条件。
• “当事件属性的非重复值的数量至少为某个值时” — 如果选择了事件属性实例的非重复值，则会使用该条
件。
• “当事件数量至少为” — 键入定义的事件数量。
例如，您可以设置当选中的事件属性实例超过 300 或事件数量超过 3,000（先达到任一阈值即可）时作出响

应。
2 在“分组”旁，选择是否对累积事件进行分组。如果分组，请指定按照其进行分组的事件属性。
3 根据需要，在“调节”旁边，选择“触发此响应的最大间隔时间”并定义该规则可以发送其他通知消息前必须要经历的时
间量。
时间量可以以分钟、小时或天为单位进行定义。
为自动响应规则配置操作
在响应生成器的操作页面上配置由规则触发的响应。
使用通知类型下拉列表旁的“+”和“-”按钮配置多项操作。
任务
1 配置作为响应的组成部分发生的每项操作。
配置操作的选项后，在完成时单击“下一步”，或者单击“+”添加其他操作。
• 要作为响应的组成部分发送电子邮件，从下拉列表中选择“发送电子邮件”。
1 在“收件人”旁边，单击“...”并选择邮件的收件人。该可用收件人列表取自“联系人”（“菜单” | “用户管理” | “联
系人”）。您也可以手动键入电子邮件地址，使用逗号隔开。
2 选择电子邮件的重要性。
3 键入邮件的“主题”，或者将任何可用变量直接插入到主题中。
4 键入您想要在邮件正文中显示的任何文本，或直接将任何可用变量直接插入到正文中。
• 要发送 SNMP 陷阱，请从下拉列表中选择“发送 SNMP 陷阱”。

1 从下拉列表中选择一个 SNMP 服务器。
2 选择要在 SNMP 陷阱中发送的值类型。一些事件不包括指定的所有信息。如果未显示您做出的选择，则信

息在事件文件中不可用。
• 要运行外部命令，请从下拉列表中选择“运行外部命令”。
1 选择已注册的可执行文件，然后键入该命令的任何参数。

设置自动响应
创建和编辑自动响应规则 15
• 要创建问题，请从下拉列表中选择“创建问题”。
1 选择要创建的问题类型。 4 在文本框中键入受理人的名称。
2 键入问题的唯一名称和任何注释，或将任何可 5 完成后，请单击“下一步”，或单击“+”再添加一
用变量直接插入到名称和说明中。个通知。
3 从相应的下拉列表中选择问题的“状态”、“优先
级”、“严重性”和“解决状态”。
• 要运行某个计划任务，请从下拉列表中选择“执行服务器任务”。
1 从“要执行的任务”下拉列表中选择要运行的任务。
2 完成后，请单击“下一步”，或单击“+”再添加一个通知。
2 验证摘要页面上的信息，然后单击“保存”。
新规则显示在响应列表中。
自动响应规则不具有从属顺序。


16 代理与服务器之间的通信
客户端系统使用 McAfee Agent 和代理与服务器之间的通信与您的 McAfee ePO 服务器通信。

有关您的代理版本的具体信息，请参阅“McAfee Agent 产品手册”。
目录
代理与服务器之间的通信的工作原理
最佳实践：估计和调整 ASCI
管理代理与服务器之间的通信
“立即更新”页
代理与服务器之间的通信的工作原理
McAfee Agent 会定期通过代理与服务器之间的通信与 McAfee ePO 服务器通信，以发送事件并确保所有设置都是最新
的。
代理与服务器每次通信时，McAfee Agent 都会收集当前的系统属性以及所有尚未发送的事件，并将它们发送到服务
器。服务器将新的或更改后的策略和任务发送到 McAfee Agent；如果自上次代理与服务器通信之后，存储库列表发生
了更改，则还会发送存储库列表。
请参阅《“McAfee Agent 产品手册”》，了解以下内容的详细信息：

• 代理与服务器之间的通信的工作原理
• SuperAgent 如何使用带宽以及 McAfee ePO 性能
• 收集 McAfee Agent 统计信息
• McAfee Agent 提供的查询
最佳实践：估计和调整 ASCI
您可能需要根据托管环境中系统的数量，估计和调整您的网络中代理与服务器之间的通信时间间隔 (ASCI)。
估计最佳 ASCI：最佳实践
若要改善 McAfee ePO 服务器性能，您可能需要调整托管网络的 ASCI 设置。
若要确定是否更改您的 ASCI，请了解您的 McAfee ePO 服务器上端点策略发生更改的频率。对大部分组织来说，一
旦策略到位，就不会频繁进行更改。有些组织几个月也更改不了一次端点策略。这意味着为查看策略更改而每 60 分
钟调用一次系统（正常工作日一天要进行 8 次）可能有些过度频繁。如果代理未发现任何可下载的新策略，则会等待
至下一次代理与服务器之间的通信，然后在下一次计划的签入时间再次检查。

若要估计 ASCI，您要考虑的不是它会浪费带宽，因为代理与服务器之间每次通信只会占用若干 KB。您要考虑的是在

较大环境中每个代理每次进行通信给 McAfee ePO 服务器造成的负担。您的所有代理每天都至少要与 McAfee ePO 服
务器进行两次通信。在大部分组织，这需要 180–240 分钟的 ASCI。
对于节点数不足 10,000 的组织，60 分钟的默认 ASCI 设置还可以接受。但对于节点数超过 10,000 的组织，会将 60

分钟的默认设置更改为约 3-4 小时。
对于节点数超过 60,000 的组织，ASCI 设置则更为重要。如果您的 McAfee ePO 服务器没有出现性能问题，您可以使

用 4 小时 ASCI 时间间隔。如果出现任何性能问题，则需考虑将 ASCI 设置增加为 6 小时，可能甚至要更长。该更改
可以显著减少同时连接到 McAfee ePO 服务器的代理数量，从而改善服务器性能。
您可以通过 McAfee ePO 性能计数器确定对 McAfee ePO 服务器的连接数。
该表列出基本 ASCI 指南。
节点计数推荐的 ASCI

100–10,000 60–120 分钟
10,000–50,000 120-240 分钟
50,000 或更多 240-360 分钟
配置 ASCI 设置：最佳实践
估计最佳 ASCI 设置后，重新配置 McAfee ePO 服务器中的设置。
默认情况下 ASCI 被设置为 60 分钟。如果该时间间隔对您的组织来说频率太高，请作出更改。
任务
1 选择“菜单” | “策略” | “策略目录”，然后从“产品”列表中选择“McAfee Agent”，从“类别”列表中选择“常规”。
2 单击要更改的策略的名称和“常规”选项卡。
3 在“代理与服务器通信时间间隔”旁边，键入更新之间的分钟数。
该示例显示时间间隔设置为 60 分钟。
如果您要立即发送策略更改或添加客户端任务，可以执行代理唤醒呼叫。
根据您对代理和服务器之间的通信的要求修改 McAfee ePO 设置。
允许缓存代理部署凭据
管理员必须提供凭据，才能将代理从 McAfee ePO 服务器成功部署到网络中的系统。您可以选择是否允许为每个用户
缓存代理部署凭据。
对用户的凭据缓存后，该用户无需再次进行身份验证即可部署代理。凭据缓存根据用户进行，因此之前未提供过凭据的
用户首先必须提供自己的凭据，然后才可以部署代理。

代理与服务器之间的通信
“立即更新”页 16
任务
1 选择 “菜单” | “配置” | “服务器设置”，选择“设置类别”中的“代理部署凭据”，然后单击“编辑”。
2 选中该复选框以允许缓存代理部署凭据。
更改代理通信端口
您可以更改 McAfee ePO 服务器上用于代理通信的端口。
您可以修改这些代理通信端口的设置：
• “代理与服务器通信安全端口”
• “代理唤醒通信端口”
• “代理广播通信端口”
任务
1 选择 “菜单” | “配置” | “服务器设置”，选择“设置类别”中的“端口”，然后单击“编辑”。
2 选择是否启用端口 443 作为代理与服务器通信的端口，输入用于代理唤醒呼叫和广播的端口，然后单击“保存”。
利用该页面选择更新到该系统的包类型。
表 16-1 选项定义
选项定义
“更新系统” 显示正更新的系统的名称。
“包类型” • “全部包” - 选择此选项可以从主存储库更新此页上列出的所有包类型。
• “选定的包”— 允许您选择要从主存储库更新的特定包类型，包括：
• “特征码和引擎” - 选择要更新的特征码和引擎。
• “修补程序和 Service Pack” - 选择要更新的项目。


17 自动化和优化 McAfee ePO 工作流
您可以创建自动运行的查询和任务，以提高服务器性能，简化维护并监控威胁。
更改策略、配置、客户端或服务器任务、自动响应或报告时，导出更改前后的设置。
目录
最佳实践：查找 GUID 相同的系统
最佳实践：自动清除事件
最佳实践：创建对内容的自动提取和复制操作
最佳实践：过滤 1051 和 1059 事件
最佳实践：查找需要新代理的系统
查找非活动系统：最佳实践
度量恶意软件事件最佳实践
根据子网查找恶意软件事件：最佳实践
创建自动合规性查询和报告最佳实践
最佳实践：查找 GUID 相同的系统

您可以使用预配置的服务器任务，以运行查询并将 GUID 可能相同的系统作为目标。
该任务会告知代理重新生成 GUID 并修复该问题。
任务
1 选择“菜单” | “自动” | “服务器任务”，以打开服务器任务生成器。
2 单击以下一项预配置服务器任务的操作列中的“编辑”。
• “代理 GUID 重复 – 清除错误计数”
• “代理 GUID 重复 – 删除可能使用相同 GUID 的系统”
3 在说明页面上，选择“已启用”，然后单击：
• “保存” — 启用服务器任务并在服务器任务页面运行该任务。
• “下一步” — 计划在特定时间运行服务器任务并执行该任务。
这会清除错误计数，删除 GUID 相同的所有系统并向系统分配新的 GUID。

定期清除每天发送至您的 McAfee ePO 服务器的事件。这些事件最终会降低 McAfee ePO 服务器和 SQL Server 的性
能。
事件无所不包，可以是检测到的威胁，也可以是成功完成的更新。在拥有几百个节点的环境中，您可以在夜间清除这
些事件。但如果环境中拥有数千个报告到您的 McAfee ePO 服务器的节点，则必须要在事件过期时将其删除。在这些
大型环境中，您的数据库大小直接影响到 McAfee ePO 服务器的性能，因此您必须要定期清理数据库。
您必须要确定事件数据的保留率。您可以保留一个月的事件，也可以保留一整年的事件。大部分组织都会选择保留约

6 个月的事件。例如，在时间表中，如果事件已发生六个月，则会被从数据库中删除。
McAfee ePO 不提供清除任务事件的预配置服务器任务。这就表示对于许多从不创建事件清除任务的用户，随着时间增

长，他们的 McAfee ePO 服务器 SQL 数据库中的事件开始迅速增长但从不会被清理。
另请参阅
报告功能第 299 页
创建清除事件服务器任务最佳实践
创建自动服务器任务，以删除数据库中早期和不再需要的所有事件。
有些组织采用特定事件保留策略或报告要求。确保您的清除事件设置符合这些策略。
任务
1 若要打开服务器任务生成器对话框，请选择“菜单” | “自动” | “服务器任务”，然后单击“操作” | “新建任务”。
2 键入任务名称，例如 Delete client events，添加说明，然后单击“下一步”。
3 在操作选项卡中，从列表中配置以下操作：
• “清除审核日志” — 6 个月后清除。
• “清除客户端事件” — 6 个月后清除。
• “清除服务器任务日志” — 6 个月后清除。
• “清除威胁事件日志” — 每天清除。
• “清除 SiteAdvisor Enterprise 事件”— 10 天后清除。
您可以将所有操作安排到一个任务中，这样就不需要创建多个任务。
该示例清除 SiteAdvisor Enterprise 事件，因为这些事件未包含在正常事件表中，需要自身的清除任务。

SiteAdvisor Enterprise 事件仅保留 10 天，因为其中收集了托管系统访问的所有 URL。这些事件可以保存包含
10,000 多个系统的环境中的大量数据。因此与其他事件类型相比，该数据保存的时间要短一些。
4 单击“下一步”并计划任务，从而在每天的非营业时间运行。
5 单击“摘要”选项卡，确认服务器任务设置是正确的，然后单击“保存”。
根据查询清除事件
您可以将自定义配置的查询为基础，以删除客户端事件。
开始之前
您必须创建查询，以查找要清除的事件，然后才可以启动该任务。

自动化和优化 McAfee ePO 工作流
最佳实践：创建对内容的自动提取和复制操作 17
您可能需要根据查询清除数据或事件，这是有原因的。例如，可能有许多特定事件造成数据库负担太大。在该示例

中，如果您要将事件保留六个月，则可能不希望等待事件到期。相反，您希望立即或在夜间删除该特定事件。
清除这些事件可以显著改善 McAfee ePO 服务器和数据库的性能。
根据查询的结果配置清除数据。
任务
1 请选择“菜单” | “自动化” | “服务器任务”，然后单击“操作” | “新建任务”，以打开服务器任务生成器。
2 键入任务名称，例如 Delete 1059 client events，然后在操作选项卡上，单击“操作”列表中的“清除客户端事件”。
3 单击“按查询清除”，然后选择您创建的自定义查询。
针对客户端事件创建表查询后，该菜单会被自动填充。
4 将任务计划为每天的非营业时间运行，然后单击“保存”。
另请参阅
创建自定义表查询：最佳实践第 306 页
最佳实践：创建对内容的自动提取和复制操作
McAfee ePO 服务器的主要功能是每天从 McAfee 公共服务器提取内容。定期提取内容可保持 McAfee 产品的保护签
名处于最新状态。
提取最新的 DAT 和内容文件可保持您的 McAfee 产品（如 VirusScan Enterprise 和 Host Intrusion Prevention）的保护
签名处于最新状态。
主要步骤有：
1 将内容从 McAfee（通常是 McAfee ePO 服务器）提取到您的主存储库。
2 将该内容复制到您的分布式存储库。这样可以确保内容的多个副本可用，且保持同步。这样还可以允许客户端从

最近的存储库更新其内容。
最重要的内容是 VirusScan Enterprise 的 DAT 文件，发布时间为东部时间每天下午 3：00 （19:00 UTC 或 GMT）左

右。
许多使用更大环境的用户可以选择测试其环境中的 DAT 文件，然后再将其部署到其所有系统。
自动提取内容：最佳实践
从公共 McAfee 服务器中提取 McAfee 内容。该提取任务可确保您的保护签名处于最新状态。
您必须要将提取任务计划为东部时间每天下午 3 点（19:00 UTC 或 GMT）后至少运行一次。在以下示例中，提取任
务被计划为每天运行两次，如果下午 5:00 出现网络问题，则会在下午 6:00 运行该任务。有些用户希望更加频繁地提
取更新，频率高达每 15 分钟一次。如此频繁的提取 DAT 会造成沉重的负担而且没有必要，因为通常情况下 DAT 文
件每天发布一次。每天提取 2-3 次就足够了。
在部署前测试 DAT 文件要求制定可预测的提取计划。

任务
2 在服务器任务生成器对话框中，键入任务名称并单击“下一步”。
3 指定要在提取任务中包含的特征码。
a 在操作对话框中，从操作列表中选择“存储库提取”，然后单击“选定的包”。
b 选择适用于您的环境的特征码。
最佳实践：针对内容创建提取任务后，请仅选择适用于您的环境的包，而不是选择“全部包”。这样可以将您的主存储
库的大小控制在可管理的范围。这还可以降低从 McAfee 网站进行提取操作和复制到您的分布式存储库时占用的带
宽。
5 将提取任务计划为东部时间每天下午 3 点后至少运行一次，然后单击“下一步”。
6 单击“摘要”选项卡，确认服务器任务设置是正确的，然后单击“保存”。
现在您已创建能够自动从公共 McAfee 服务器提取 McAfee DAT 文件和内容的服务器任务。

1051 和 1059 事件占您数据库中存储的事件的 80%。如果被启用，请确保您要定期清除这些事件。
如果您长时间未查看 McAfee ePO 服务器上的事件过滤，请运行自定义“事件摘要查询”并检查输出。
在客户环境中最常见的两种事件是：
• 1051 — 无法扫描有密码保护的文件
• 1059 — 扫描超时
这两种事件可在 McAfee ePO 服务器上启用。如果您从不禁用这两种事件，那么您在运行“事件摘要查询”时会发现大

量的此类事件。对某些用户来说，这两种事件能占数据库中事件的 80%，会占用大量空间并影响数据库的性能。
1059 事件表示虽然用户已被赋予文件的访问权限，但未扫描该文件。禁用 1059 事件意味着您失去安全风险的可见性。
那么这些事件为什么会出现在这里？这些事件具有历史意义，可以追溯几年的记录，旨在告知您文件未经 VirusScan

Enterprise 扫描。扫描该文件时出现故障可能是以下两个原因之一造成的：
• 扫描超时是由于文件大小所致，这是 1059 事件。
• 由于对文件提供密码保护或加密而无法访问，这是 1051 事件。
在事件过滤下禁用这两种事件，以避免大量此类事件进入数据库。通过禁用这两种事件，您可以有效告知代理停止将
这些事件发送至 McAfee ePO。
VirusScan Enterprise 仍会在按访问扫描程序日志文件中记录这些事件，以便在本地客户端上参考。
您可以选择性地禁用其他事件，但由于大部分其他事件都很重要且生成数量可以管理，所以通常无需将其禁用。只要
您对您的事件摘要查询进行监控，以确保您启用的新事件不会占满数据库，您也可以启用其他事件。

最佳实践：查找需要新代理的系统 17

如果您在运行事件摘要查询时发现存在大量 1051 和 1059 事件，则可以将其禁用。
任务
1 请选择“菜单” | “配置” | “服务器设置”，在设置类别列表中选择“事件过滤”，然后单击“编辑”。
2 在 “编辑事件过滤” 页面的代理转发列表中，向下滚动，直至您看到这些事件，然后取消对其选择：
• “1051：无法扫描有密码保护的文件（中）”
• “1059: 扫描超时 (中)”

该图显示已在“服务器设置”页面中取消选择 1051 和 1059 事件。
图 17-1 已取消选择 1051 和 1059 事件
现在从代理转发这两种事件后，它们不会再保存到 McAfee ePO 服务器数据库中。
如果您怀疑某些托管系统可能未安装相同的 McAfee Agent，请执行以下任务，以查找使用更早版本代理的系统，然后
选择这些系统，以进行 McAfee Agent 升级。
创建代理版本摘要查询最佳实践
通过查询查找使用旧版本 McAfee Agent 的系统，以生成比当前版本更早的所有代理版本的列表。

任务
1 若要复制代理版本摘要查询，请选择“菜单” | “报告” | “查询和报告”，然后在列表中查找“代理版本摘要”查询。
2 在代理版本摘要查询的操作列中，单击“复制”。在复制对话框中，更改名称，选择组以接收查询副本，然后单击“确
定”。
3 导航至您创建的重复查询，然后单击“操作”列中的编辑，以显示预配置的查询生成器。
4 在图表选项卡的“结果显示为”列表中，展开“列表”并选择“表”。
5 若要在“配置图表: 表”页面中配置“排序依据”字段，请选择列表中“代理属性”下的产品版本 (代理)，单击“值 (降序)”，

然后单击“下一步”。
6 在列选项卡中，删除所有预配置列（“系统名称”除外），然后单击“下一步”。
7 在过滤器选项卡中，配置这些列，然后单击“运行”：
a 针对属性列，请从“可用属性”列表中选择产品版本 (代理)。
b 针对比较列，请选择“小于”。
c 针对值列，请键入当前 McAfee Agent 版本号。
键入当前代理版本号意味着查询仅查找“早于”该版本号的版本。
现在您的新查询可以从产品部署运行，以更新旧版本的 McAfee Agent。
通过产品部署项目更新 McAfee Agent 最佳实践

更新通过代理版本摘要查询和产品部署任务找到的旧版 McAfee Agent。
任务
1 选择“菜单” | “软件” | “产品部署”，然后单击“新建部署”。
2 在新建部署页面中，配置以下设置：
a 键入此部署的名称和说明。在保存部署后，该名称会出现在“产品部署”页中。
b 在类型旁边，选择“固定”。
c 在包旁边，选择您要在系统上安装的 McAfee Agent。选择语言和从中进行部署的存储库分支（评估、当前或

早期）。
d 在命令行旁边，指定任意命令行安装选项。请参阅《“McAfee Agent 产品手册”》，以了解有关命令行选项的信

息。
e 在“选择系统”组中，单击“选择系统”，从对话框中单击“查询”选项卡并配置以下设置，然后单击“确定”：
• 选择您创建的代理版本摘要表查询。
• 选择系统列表中显示的系统名称。
总计字段显示选定的系统的数量。
f 在“选择开始时间”旁边，从列表中选择“立即运行”。
产品部署项目开始运行，允许您监控部署流程和状态。

查找非活动系统：最佳实践 17
另请参阅
监控和编辑部署项目第 157 页
大部分环境正不断改变 – 添加新系统并删除旧系统。这些更改会创建非活动 McAfee Agent 系统，如不删除，这些系
统最终会扭曲您的合规性报告。
如果系统被废弃或因为用户长时间外出、休假或其他原因而消失，请将其从“系统树”中删除。有关合规性的 DAT 报告
就是一个可能被曲解的报告的示例。如果您的“系统树”中存在 20 天未报告到 McAfee ePO 服务器的系统，他们会显示
为过时 20 天并最终曲解您的合规性报告。
初始故障排除
首先，当系统未与 McAfee ePO 服务器通信时，请尝试以下步骤：
1 在系统树中，选择系统并单击“操作” | “代理” | “唤醒代理”。
配置“重试时间间隔”，例如 3 分钟。
2 若要从 McAfee ePO 中删除设备，但不删除系统树中的代理，请选择系统并单击“操作” | “目录管理” | “删除”。请勿

选择“在下次代理与服务器通信时删除代理”。
3 等待系统再次与 McAfee ePO 通信。
系统显示在系统树不明来源组中。
处理非活动系统
您可以创建查询和报告，以过滤出 X 天内未与 McAfee ePO 服务器通信的系统。或者，您的查询和报告可以删除或自
动移动这些系统。
相比之下，删除或自动移动这些非活动系统更为高效。大部分组织将无通信截止时间设置为 14–30 天，然后就会删除

或移动这些系统。例如，如果系统与 McAfee ePO 服务器的无通信时间超出截止时间，您可以执行以下操作：
• 删除该系统。
• 将系统移至系统树中被命名为 Inactive Agents 的组。
服务器上存在预配置的非活动代理清理任务，默认情况下是被禁用的，您可以编辑并启用。
更改非活动代理查询：最佳实践
如果未根据您的需要配置默认“非活动代理”查询，您可以复制该查询并以此为基础创建您的自定义查询。
对于预配置的非活动代理查询，默认设置是删除上个月没有通信的非活动代理。如果您要更改默认计时器设置，请复
制非活动代理查询。
该任务中的说明介绍了如何创建现有非活动代理查询的副本，从而将截止日期更改为两个星期。
任务
1 要复制非活动代理查询，请选择“菜单” | “报告” | “查询和报告”，然后从列表中查找“非活动代理”查询。
2 在非活动代理查询的操作列中，单击“复制”。
3 在复制对话框中，更改名称，选择组以接收查询副本，然后单击“确定”。

4 导航到您创建的重复查询，然后在“操作”列中单击“编辑”，以显示预配置的查询生成器。
5 要将过滤器选项卡设置从一月一次更改为每两周一次，请将“上次通信时间”属性“不是在最近”比较的值设置为
2“周”。
请勿更改“和托管状态”属性的“等于”比较或“托管”值。
现在您的新非活动代理查询可以从服务器任务运行，以删除非活动代理系统。
删除非活动系统：最佳实践
将非活动代理清除服务器任务与命名为非活动代理的预配置查询搭配使用，以自动删除非活动系统。
开始之前
您必须已启用或复制非活动代理查询。
从系统树中删除系统只会将其记录从 McAfee ePO 数据库删除。如果系统真地存在，通常会继续针对适用的产品执行从

McAfee ePO 服务器接收的最新策略。
任务
1 若要创建非活动代理清理任务的副本，请选择“菜单” | “自动” | “服务器任务”，然后在服务器任务列表中查找非活动

代理清理任务。
2 单击预配置的“非活动代理清理任务”，然后单击“操作” | “复制”。
3 在复制对话框中，更改服务器任务名称，然后单击“确定”。
4 在您创建的服务器任务行中，单击“编辑”，以显示服务器任务生成器页面。
5 在说明选项卡中，键入任意必要注释，单击“计划状态”中的“已启用”，然后单击“下一步”。
6 在操作选项卡中，配置以下设置：
a 在“操作”列表中，选择“运行查询”。
b 针对查询，单击“...”，以打开“从列表中选择查询”对话框。
c 单击在其中保存了非活动代理查询副本的组选项卡，选择您的查询，然后单击“确定”。
d 选择您的语言。
e 在子操作中，选择列表中的“删除系统”。
请勿单击“删除代理”。该设置会导致从系统树中删除 McAfee Agent 时，McAfee ePO 会将其从非活动系统中删

除。如果不安装代理，则被删除的系统重新连接到网络时，无法自动开始与 McAfee ePO 服务器进行通信并重
新插入到系统树中。
（可选）您可以选择“将系统移至其他组”，而非使用默认子操作删除系统。这样会将查询找到的系统移至指定
组，例如系统树中的非活动系统。
7 单击“下一步”，计划何时运行该服务器任务，然后保存服务器任务。
现在所有非活动系统都会自动从 McAfee ePO 服务器中删除，而且您的系统合规性报告提供更为准确的信息。

度量恶意软件事件最佳实践 17
度量恶意软件事件最佳实践
对恶意软件事件计数可以获得对检测和停止的攻击和威胁的总体认识。利用该信息，您可以估计一段时间内网络的健
康状况并根据需要作出更改。
创建基准，以测试网络恶意软件状态，首先要创建查询，以计数每周清除的受感染的系统的总数。该查询会计入每个
出现恶意软件事件的系统。即使一个系统中生成数千个事件，该查询仍只将该系统计入一次。
创建该查询后，您可以执行以下操作：
• 将其作为信息显示板进行添加，以快速监控您的网络恶意软件攻击。
• 创建报告，以提供网络状态的历史记录。
• 创建“自动响应”，以在恶意软件影响系统阈值时向您发送通知。
创建计算每周清除的系统数查询的最佳实践
创建查询，对每周清理的系统计数，这是测试网络整体状态的好方法。
任务
1 选择“菜单” | “报告” | “查询和报告”，然后单击“操作” | “新建”。
2 在功能组的查询向导 “结果类型”选项卡中，请选择“事件”，然后在“结果类型”窗格中，单击“威胁事件”，然后单击“下
一步”。
3 在图表选项卡的结果显示为列表中，选择“单折线图”。
4 在配置图表：单折线图窗格中，配置以下设置，然后单击“下一步”：
• 在时基为中，选择“事件生成时间”。 • 在线值为中，选择“数量为”。
• 在时间单位中，选择“周”。 • 选择“威胁目标主机名”。
• 在时间顺序为中，选择“按时间先后顺序”。 • 单击“显示总计”。
5 在列选项卡的可用列列表中，选择要显示的列，然后单击“下一步”：
• “事件生成时间” • “事件类别”
• “威胁目标主机名” • “威胁严重性”
• “威胁目标 IPv4 地址” • “威胁名称”
6 在过滤器选项卡的可用属性列表中，配置该“必需条件”：
• 针对“事件生成时间”，从“在最近”列表中选择以下设置：“3”和“月”。
• 针对“事件类别”，从“属于列表”中选择以下设置：“恶意软件”。
• 针对“采取的操作”，从列表中选择以下设置：“等于”和“已删除”。
7 单击“保存”，以显示保存查询页面，然后配置以下设置：
• 针对查询名称，键入查询名称，例如 Total Infected Systems Cleaned Per Week。
• 针对查询说明，键入该查询功能的说明。
• 针对查询组，单击“新建组”，键入查询组名称，然后单击“公共”。
运行该查询时，它会返回每周清理的受感染系统的数量。该信息提供网络整体状态的基准。

根据子网 IP 地址查找威胁，这样会显示特定用户组是否需要进行流程更改或为您的托管网络提供额外保护。
例如，如果您有四个子网，其中只有一个子网不断生成威胁事件，那么您可以缩小查找这些威胁原因的范围。可能该
子网上的用户已经共享受感染的 USB 驱动器。
创建根据子网查找恶意软件事件的查询的最佳实践
创建查询，以根据子网查找恶意软件事件并进行排序。该查询可帮助您在正受攻击的环境中查找网络。
任务
1 若要复制现有“最近 24 小时内的威胁事件描述”查询，请选择“菜单” | “报告” | “查询和报告”，然后从列表中查找并选

择“威胁目标 IP 地址”查询。
2 单击“操作” | “复制”并在复制对话框中编辑名称，选择接收该复件的组，然后单击“确定”。
3 在查询列表中，查找您创建的新查询并单击“编辑”。
复制的查询会显示在查询生成器中，并选中图表选项卡。
4 在结果显示为列表中，请选择“列表”下的“表”。
5 在配置图表：表对话框中，请从“排序依据”列表中选择“威胁目标 IPv4 地址”和“值（降序）”，然后单击“下一步”。
6 在列选项卡中，您可以使用预选的列。
这可能会将“威胁目标 IPv4 地址”移至更靠近表左侧的地方，然后单击“下一步”。
切勿更改默认的过滤器选项卡设置。
7 单击摘要选项卡，确认查询设置是正确的，然后单击“保存”。
8 在查询列表中，查找您创建的查询，然后单击“运行”。
现在您具备查找恶意软件事件并根据 IP 子网地址对其排序的查询。
您可以创建合规性查询和报告，以了解您的哪些托管系统满足特定标准。
例如，您可以查找没有最新 DAT 或最近超过 30 天未与 McAfee ePO 服务器联系的系统。
为自动查找该重要信息，请执行以下任务。
任务
• 创建运行合规性查询的服务器任务的最佳实践第 219 页
您必须创建服务器任务，从而每周都运行合规性查询，自动生成托管系统合规性报告。
• 创建包含查询输出的报告的最佳实践第 219 页
保存查询数据后，您必须创建包含您运行的查询中信息的报告，然后将其发送至管理员团队。
• 创建用以运行和交付报告的服务器任务：最佳实践第 220 页
您必须要创建服务器任务，以自动运行报告并将合规性报告发送至管理员。

创建自动合规性查询和报告最佳实践 17
创建运行合规性查询的服务器任务的最佳实践
您必须创建服务器任务，从而每周都运行合规性查询，自动生成托管系统合规性报告。
根据以下步骤创建服务器任务，从而在每周日早上 2:00 运行合规性查询。每周日早上运行查询，这样您就可以在周一
早上 5:00 运行报告并将其通过电子邮件发送给管理员。
任务
2 在服务器任务生成器中：
a 在“说明”选项卡中，键入名称和注释。
b 在“计划状态”中，单击“已启用”。
3 在操作选项卡中，请配置以下设置：
a 在操作列表中，选择“运行查询”并配置以下设置：
• 针对查询，选择“VSE：最近 30 天的合规性”。 • 针对如果文件存在，选择“覆盖”。
• 选择您的语言。 • 针对导出，选择“仅限图表数据”。
• 针对子操作，选择“导出至文件”，然后单击“确 • 针对格式，选择“CSV”。
定”。
• 针对 C:\reports\，键入有效文件名。
b 单击“+”创建另一个操作，在第二个“操作”列表中，选择“运行查询”并配置这些设置，然后单击“下一步”。
• 针对查询，选择“非活动代理”。 • 针对如果文件存在，选择“覆盖”。
• 选择您的语言。 • 针对导出，选择“仅限图表数据”。
• 针对子操作，选择“导出至文件”。 • 针对格式，选择“CSV”。
• 针对 C:\reports\，键入有效文件名。
4 在“计划”选项卡中，更改以下设置，然后单击“下一步”。
a 针对计划类型，单击“按周”。
b 针对开始日期，选择今天的日期。
c 针对结束日期，单击“无结束日期”。
d 更改“计划”设置，以将任务配置为在“周一”“早上 2:00”运行。
您可以根据您的需要设置计划的运行时间和频率。
e 确认摘要选项卡中的所有设置都是正确的，然后单击“保存”。
这样会完成创建服务器任务以自动运行两个合规性查询的操作，然后将查询的输出保存为 CSV 文件。
创建包含查询输出的报告的最佳实践
保存查询数据后，您必须创建包含您运行的查询中信息的报告，然后将其发送至管理员团队。
开始之前
您必须要了解您要添加到报告中的查询的格式。

在该示例中，查询有以下格式：
• “VSE：最近 30 天的合规性” — 图表
• “非活动代理” — 表
创建报告，其中包含从您的合规性查询（通过服务器任务自动运行）中捕获的数据，然后在周一早上通过电子邮件将其
发送至管理员。
任务
1 选择“菜单” | “报告” | “查询和报告”，然后选择“报告”选项卡。
2 单击“操作” | “新建”。
此时会显示空白的报告布局页面。
3 单击“名称”并为报告键入名称，单击“说明”并选择性地键入说明，单击“组”并选择合适的组来接收报告，然后单击“确
定”。
4 在报告布局窗格中，从“工具箱”列表中拖放这些查询输入格式：
• 针对 VSE：最近 30 天的合规性图表查询，将“查询图表”工具拖动到“报告布局”窗格，然后从“查询图表”列表中
选择“VSE：最近 30 天的合规性”，然后单击“确定”。
• 针对非活动代理表查询，将“查询表”工具拖动到“报告布局”窗格，然后从“查询”表列表中选择“非活动代理”，然后
单击“确定”。
5 单击“保存”，然后新合规性报告会列在报告选项卡中。
6 为确定您的报告配置正确，请单击报告的“操作”列中的“运行”，然后验证“最近的运行状态”是否显示为“成功”。
7 若要查看报告，请单击“最近的运行结果”列中的链接，然后打开或保存报告。
这样会完成创建报告以显示两个合规性查询并将其输出保存为 PDF 文件的操作。
创建用以运行和交付报告的服务器任务：最佳实践
您必须要创建服务器任务，以自动运行报告并将合规性报告发送至管理员。
开始之前
您必须已做好以下准备：
• 创建并计划运行该合规性查询的服务器任务。
• 创建包含这些查询输出的报告。
遵循以下步骤：
• 自动运行报告，其中包含从您的合规性查询中捕获的数据。
• 使用服务器任务通过电子邮件在每周一早上 5:00 将报告发送至管理员。

创建自动合规性查询和报告最佳实践 17
任务
2 在服务器任务生成器中，配置以下设置，然后单击“下一步”。
a 在“说明”选项卡中，键入名称和注释。
b 在“计划状态”中，单击“已启用”。
3 在操作选项卡中，选择“运行报告”，配置以下设置，然后单击“下一步”。
a 针对选择要运行的报告，选择您配置的合规性报告。
b 选择您的语言。
c 针对子操作，选择“通过电子邮件发送文件”。
d 针对收件人，键入管理员的电子邮件地址。
使用逗号分隔多个电子邮件地址。
e 针对主题，键入您希望显示在电子邮件主题行中的信息。
4 在计划选项卡中，更改以下设置，然后单击“下一步”。
a 针对“计划类型”，单击“按周”。
b 针对开始日期，选择今天的日期。
c 针对结束日期，单击“无结束日期”。
d 更改计划设置，将任务配置为在“周一”“早上 05:00”运行。
您可以根据您的需要设置计划的运行时间和频率。
e 确认摘要选项卡中的所有设置都是正确的，然后单击“保存”。
这样就完成创建自动运行的合规性报告并在每周一早上 5:00 将其传递至管理员的最终任务。
另请参阅
创建包含查询输出的报告的最佳实践第 219 页


18 存储库
存储库可存储要分发到托管系统的安全软件包及其更新。
安全软件只在最新安装的更新有效的情况下才有效。例如，如果您的 DAT 文件过期，那么，即使最好的防病毒软件也
无法检测到新的威胁。因此您制定强大的更新策略是至关重要的，这样才能尽可能保持安全软件最新。
McAfee ePO 存储库体系结构具有灵活性，可以确保如同您环境所允许的那样轻松且自动地部署和更新软件。在存储

库基础架构安装到位后，立即创建用于确定软件更新方式、位置和时间的更新任务。
目录
存储库的功能
存储库类型及其功能
存储库分支和用途
使用存储库
首次设置存储库
管理来源站点和备用站点最佳实践
验证是否有权访问来源站点最佳实践
配置全局更新的设置最佳实践
配置代理策略以使用分布式存储库最佳实践
将 SuperAgent 用作分布式存储库
在 FTP 或 HTTP 服务器以及 UNC 共享上创建和配置存储库
将 UNC 共享用作分布式存储库
使用非托管的本地分布式存储库
处理存储库列表文件
更改多个分布式存储库上的凭据
提取任务
复制任务
存储库选择
存储库的功能
您托管系统上的代理从 McAfee ePO 服务器上的存储库中获取其安全内容。该内容维持您环境的最新状态。
存储库内容可以包括以下内容：
• 要部署到客户端的托管软件
• 安全内容，如 DAT 和特征码
• 您通过 McAfee ePO 创建的客户端任务所需的补丁和任何其他软件
一个常见误解是存储库是通过在系统上安装 McAfee ePO 服务器创建的。与您的服务器不同，存储库不会管理策略，

收集事件或在服务器上安装代码。存储库只是您的客户端可以访问的环境中的文件共享。

18 存储库
为在您的网络中提供产品和更新，McAfee ePO 软件提供多种类型的存储库，从而创建可靠的更新基础架构。
存储库组件如何协同工作
存储库在您的环境中协同工作，将更新和软件提交到托管系统。根据网络的规模大小和地理分布情况，您可能需要使
用分布式存储库。
图 18-1 来源站点和存储库将包提交到系统
来源站点 — McAfee 会对来源站点进行每日更新。
主存储库 — “主存储库”会定期从来源站点提取 DAT 和引擎更新文件。
分布式存储库 — “主存储库”会向网络中的分布式存储库复制包。
托管系统 — 网络中的托管系统从分布式存储库检索更新。
备用站点 — 如果托管系统无法访问分布式存储库或“主存储库”，则会从备用站点检索更新。
利用这些组件，您可以灵活地制定更新策略，从而确保系统一直处于最新状态。
来源站点
来源站点为主存储库提供所有更新。默认来源站点为 McAfee http 更新站点，但是您可以更改来源站点或创建多个来源
站点。

存储库
存储库类型及其功能 18
我们建议将 McAfee http 或 McAfee ftp 更新站点用作来源站点。
来源站点并非必需站点。您可以手动下载更新并将其签入到主存储库。但是，使用来源站点可将该过程自动化。
McAfee 会定期将软件更新发布到这些站点。例如，DAT 文件每日发布一次。如有可用更新，请更新主存储库。
使用提取任务将来源站点的内容复制到主存储库。
McAfee 更新站点向检测定义 (DAT) 和扫描引擎文件以及某些语言包提供更新。将所有其他包和更新（包括服务包和

补丁）手动签入到主存储库。
主存储库
主存储库会为您的环境维持最新版本的安全软件和更新。该存储库是您环境中其他部分的来源。
默认情况下，McAfee ePO 使用 Microsoft Internet Explorer 代理设置。
分布式存储库
分布式存储库托管主存储库的副本。请考虑使用分布式存储库并将其置于您的网络中。该配置可确保托管系统得到更
新，同时将网络流量降至最低，尤其是在网络连接较慢时。
对主存储库进行更新时，McAfee ePO 会将内容复制到分布式存储库。
可发生复制的情况如下：
• 只要启动全局更新，指定包类型签入到主存储库时就会自动进行复制。
• 通过复制任务定期进行复制。
• 通过立即复制任务手动进行复制。
切勿将分布式存储库配置为与主存储库引用相同的目录。这样会锁定主存储库中的文件。这会造成提取和包签入失败，

使主存储库处于不可用状态。
大型组织可拥有多个位置，它们通过有限带宽进行连接。分布式存储库有助于减少低带宽连接或具有大量端点的远程
站点中传输的更新流量。如果您在远程位置创建分布式存储库并将该位置中的系统配置为从该分布式存储库进行更
新，则更新会通过慢速连接一次性复制到分布式存储库，而非一次性复制到远程位置的各个系统。
如果启用全局更新，分布式存储库会在所选更新和包签入到主存储库后自动更新托管系统。无需执行更新任务。但是
如果您要执行自动更新，请在您的环境中创建 SuperAgent。创建并配置存储库和更新任务。
如果将分布式存储库设置为仅复制所选包，则在默认情况下将复制新签入的包。为避免复制新签入的包，请从各个分布
式存储库中取消选择包或禁用复制任务，然后再签入包。
备用站点
备用站点是启用为备份站点的来源站点。托管系统会在其常用存储库无法访问时检索更新。例如，出现网络中断或病
毒爆发时，难以访问确定的位置。托管系统可通过备用站点保持最新状态。默认备用站点为 McAfee http 更新站点。
您仅可启用一个备用站点。
如果托管系统使用代理服务器访问 Internet，则将代理策略设置配置为在访问备用站点时使用代理服务器。
另请参阅
避免复制选定的包第 245 页
禁止复制选定包第 245 页

18 存储库
您可以使用三种 McAfee ePO 存储库分支来维护主存储库和分布式存储库中最多三个版本的包。
存储库分支包括当前、早期和评估。默认情况下，McAfee ePO 仅使用当前分支。当您向主存储库添加包时，可以指
定分支。您也可以在运行或计划更新和部署任务时指定分支，以将不同的版本分发给网络的不同部分。
更新任务可以从任何存储库分支检索更新，但是，如果您要将包签入到主存储库中，则必须选择非当前分支。如果未配
置非当前分支，则用于选择非当前分支的选项将不会显示。
要对除更新以外的包使用评估和早期分支，您必须在存储库包服务器设置中进行此配置。
当前分支
当前分支是最新包和更新的主要存储库分支。产品部署包只能添加到当前分支，除非已启用其他分支支持。
评估分支
在将新 DAT 和引擎更新部署到整个组织之前，您可能需要使用少量的网段或系统对其进行测试。在将这些新 DAT 和
引擎签入到主存储库中时，请指定评估分支，然后再将其部署到少量的测试系统。对测试系统进行几个小时的监控后，
您可以将新 DAT 添加到当前分支，然后将其部署到您的整个组织。
早期分支
在将新 DAT 和引擎文件添加到当前分支之前，使用“早期”分支保存和存储之前的 DAT 和引擎文件。如果在您的环境
中使用新 DAT 或引擎文件时遇到问题，可以创建早期版本的副本，以便在必要时将其重新部署到您的系统中。
McAfee ePO 仅保存每种文件类型最接近现在的早期版本。
在向您的主存储库添加新包时，可以通过选择“将现有包移到早期分支”来填充早期分支。当您从来源站点提取更新以及
手动将包签入当前分支时，该选项可用。
该流程图介绍何时使用“主存储库”的这三种不同分支。

存储库
使用存储库 18
使用存储库
分布式存储库作为文件共享，可以为您的托管端点存储和分发安全内容。
存储库在您的 McAfee ePO 基础架构中担任重要角色。您对存储库的配置和部署方法取决于您的环境。

18 存储库
使用存储库
分布式存储库类型
创建分布式存储库前，务必要了解要在您的托管环境中使用哪种类型的存储库。
McAfee ePO 服务器始终作为主存储库。它会保存您的代理所需的所有内容的主副本。该服务器会将内容复制到分布
在您环境中的每个存储库。这样，您的代理就可以从备用和更近的资源检索更新的内容。
您无需将 McAfee ePO 服务器配置为主存储库。默认情况下，该服务器就是主存储库。
分布式存储库类型包括：
• FTP 存储库
• HTTP 存储库
• UNC 共享存储库
• SuperAgent
计划分布式存储库时，请考虑以下因素：
• McAfee ePO 服务器要求针对存储库使用某些协议，但任何服务器供应商都可以提供这些协议。例如，如果您使用
HTTP 存储库，则可以使用 Microsoft Internet Information Services (IIS) 或 Apache Server（Apache 更快）。
• 对于托管您的存储库的系统，并没有操作系统方面的要求。只要您的 McAfee ePO 服务器可以访问您指定将其内

容复制到的文件夹且代理可以连接到将其更新下载到的文件夹，一切都会顺利进行。
• 您的代理更新和 McAfee ePO 复制任务不会逊色于您的存储库。如果您已经在使用其中一种存储库且您的环境一

切正常，请勿更改该配置。
如果您开始新的安装操作且不使用存储库，请使用易于配置且可靠的 SuperAgent。
非托管存储库
如果您无法将托管系统用作分布式存储库，则可以创建和维护非托管的分布式存储库，但是本地管理员必须手动保持分
布式文件最新。
创建分布式存储库之后，可以使用 McAfee ePO 将特定系统树组的托管系统配置为通过该存储库进行更新。
通过 McAfee ePO 管理所有分布式存储库。这样可以确保您的托管环境是最新的。仅当您的网络或组织策略不允许使

用托管分布式存储库的情况下，才能使用非托管分布式存储库。
FTP 存储库
FTP 服务器可以托管分布式 McAfee ePO 服务器存储库。您的环境中可能已经存在 FTP 服务器，则可以也将 McAfee
内容存储在此处。
FTP 存储库具有以下特点：
• 速度快
• 能够管理提取数据的客户端的大量负载
• 在 HTTP 可能并非最优选择且无法使用 UNC 共享的 DMZ 中有所帮助
通过 FTP 服务器，您的客户端无需进行身份验证且可通过匿名登录提取其内容。无需进行身份验证可以降低客户端提

取内容失败的可能性。
您可以使用 FTP 服务器来托管分布式存储库。使用 FTP 服务器软件（如 Microsoft Internet Information Services

(IIS)）创建文件夹和站点位置来托管分布式存储库。有关详细信息，请参阅网站服务器文档。

存储库
使用存储库 18
HTTP 存储库
HTTP 服务器可以托管分布式 McAfee ePO 服务器存储库。您的环境中可能已存在 HTTP 服务器。
HTTP 服务器能够快速为大型环境提供文件。您的 HTTP 服务器允许客户端无需进行身份验证即可提取其内容，这样
可以降低客户端提取内容失败的可能性。
您可以使用 HTTP 服务器来托管分布式存储库。使用 HTTP 服务器软件（如 Microsoft IIS）创建文件夹和站点位置来

托管分布式存储库。有关详细信息，请参阅网站服务器文档。
UNC 共享存储库最佳实践
通用命名约定 (UNC) 共享可以托管您的 McAfee ePO 服务器存储库。
您可以在现有服务器上创建 UNC 共享文件夹来托管分布式存储库。请确保对该文件夹启用网络共享功能，以便
McAfee ePO 服务器可以向其中复制文件而且代理可以访问它来获取更新。
必须设置正确的权限才能访问文件夹。
由于大部分管理员都对 UNC 共享的概念很熟悉，所以 UNC 共享可能是可供选择的最简单的方法，但情况并不总是如

此。
如果您使用 UNC 共享托管您的 McAfee ePO 服务器存储库，则必须要对帐户和共享进行正确配置。请参阅“将 UNC

共享用作 ePolicy Orchestrator 中的软件存储库时针对下载凭据的建议”，KB70999，以了解详细信息。
如果您选择使用 UNC 共享，则必须：

1 创建文件夹。
2 调整共享权限。
3 更改 NTFS 权限。
4 创建两个帐户，一个具备读取访问权限，一个具备写入权限。
如果您的 IT 组设置密码规则，如即使针对服务帐户也要每 30 天更改一次密码，则在 McAfee ePO 中更改这些密码就

比较繁琐。您必须要在 Windows 操作系统中和 McAfee ePO 中每个 UNC 分布式存储库的配置设置中更改访问各个分
布式存储库共享所使用的密码。通过“菜单” | “软件” | “分布式存储库”访问 McAfee ePO UNC 分布式存储库设置。
图 18-2 UNC 存储库凭据页面
由于这些流程都必须要手动完成，所以所有这些任务都会增加失败的可能性。如果您的代理无法身份验证到您的 UNC

共享，则它可能无法正确更新，因为它们不是域的一部分或凭据有误。

18 存储库
使用存储库
最佳实践：SuperAgent 存储库
您可以创建 SuperAgent 存储库，使其作为 McAfee ePO 服务器和其他代理之间的中介。
SuperAgent 缓存从 McAfee ePO 服务器、主存储库或镜像的分布式存储库收到的信息，并将这些信息分发到最近的代
理中。延迟缓存功能允许 SuperAgent 仅在本地代理节点发出请求时从 McAfee ePO 服务器检索数据。创建
SuperAgent 的层次结构并进行延迟缓存可以进一步节省带宽并将广域网流量降至最低。
SuperAgent 还通过 SuperAgent 存储库广播对其他代理的唤醒呼叫。 SuperAgent 从 McAfee ePO 服务器接收唤醒呼

叫时，会通过其存储库连接唤醒代理。
这种广播方法是一种备选方法，可向网络中的每个代理发送常规唤醒呼叫，或者将代理唤醒任务发送至每台计算机。
有关 SuperAgent 以及如何对其进行配置的详细信息，请参阅《“McAfee Agent 产品手册”》。
SuperAgent 存储库
将托管 SuperAgent 的系统用作分布式存储库。 SuperAgent 存储库与其他类型的分布式存储库相比具有以下几个优
势：
• 在将存储库添加到存储库列表之前，会先在主机系统上自动创建文件夹位置。
• SuperAgent 存储库不需要其他复制或更新凭据，其帐户权限是在代理转换为 SuperAgent 时创建的。
尽管 SuperAgent 广播唤醒呼叫功能要求在每个广播网段中都有 SuperAgent，但是 SuperAgent 存储库并不要求使

用该功能。但是，托管系统必须具有对存储库所在的系统的访问权限。
SuperAgent 注意事项
将系统配置为 SuperAgent 时，请遵循以下指南。
• 使用您环境中的现有文件存储库，例如 Microsoft System Center Configuration Manager (SCCM)。
• 您无需在每个子网上都使用 SuperAgent。
• 关闭全局更新，以阻止新引擎的有害更新或主存储库中的补丁。
SuperAgent 及其层次结构
SuperAgent 层次结构可为同一网络中的代理提供最小的网络流量利用率。 SuperAgent 会针对 McAfee ePO 服务器或
分布式存储库缓存内容更新，并将内容更新分发到代理，这样可以降低广域网流量。拥有多个 SuperAgent 始终是平
衡网络负载的理想方案。
使用存储库策略来创建 SuperAgent 层次结构。我们建议您在您的网络中使用三层 SuperAgent 层次结构。
请参阅《“McAfee Agent 产品手册”》，以了解有关创建 SuperAgent 层次结构、SuperAgent 缓存（延迟缓存）和通信

中断的详细信息。
创建 SuperAgent
创建 SuperAgent 要求执行以下任务。
1 创建新的 SuperAgent 策略。
2 在系统树中创建新组，例如命名为 SuperAgent
3 将新的 SuperAgent 策略分配到新的 SuperAgent 组。
4 将系统拖动到新的 SuperAgent 组。
创建新的 SuperAgent 组后，您可以将任何系统拖动到该组，然后它会在下一次与 McAfee ePO 服务器通信时成为

SuperAgent。

存储库
使用存储库 18
另请参阅
最佳实践：全局更新限制第 236 页
创建 SuperAgent 策略
要将端点转换为 SuperAgent，则必须要将 SuperAgent 策略分配到这些系统。
任务
1 请选择“菜单” | “策略” | “策略目录”，以打开策略目录页面。
2 要从“产品”下拉列表中复制“My Default”策略，请选择“McAfee Agent”并从“类别”下拉列表中选择“常规”。
3 在“My Default”策略行的“操作”列中，单击“复制”。
“McAfee Default”策略无法更改。
4 在“复制现有策略”对话框中，更改策略名称，添加任意参考资料注释，并单击“确定”。
5 在策略目录页面中，单击“SuperAgent”选项卡，选择“将代理转换为 SuperAgent”，以将代理转换为 SuperAgent 并

使用最新内容更新其存储库。
6 选择“将运行 SuperAgent 的系统用作分布式存储库”，以将托管 SuperAgent 的系统用作其广播区段中系统的更新存

储库，然后提供“存储库路径”。
7 请选择“启用延迟缓存”，以允许 SuperAgent 在从 McAfee ePO 服务器接收到内容时进行缓存。
最佳实践：在系统树中创建组
将 SuperAgent 组添加到您的系统树允许您将 SuperAgent 策略分配到组中。
任务
1 请选择“菜单” | “系统部分” | “系统树”，单击“系统树操作” | “新建子组”并赋予独特的名称，如 SuperAgents。
2 单击“确定”。然后新组显示在系统树列表中。
最佳实践：将新的 SuperAgent 策略分配到新的 SuperAgent 组

将 SuperAgent 策略分配到新组即可完成对 SuperAgent 组的配置。
任务
1 在“系统树”中，选择您创建的 SuperAgent，选择“分配的策略”选项卡，然后从产品列表中选择“McAfee Agent”。
2 在“常规”类别的“操作”列中，单击“编辑分配”。
3 在“McAfee Agent: 常规”页面中，单击“中断继承并分配以下策略和设置”。从“分配的策略”列表中选择您创建的

SuperAgent 策略，然后单击“保存”。
最佳实践：将系统分配到新的 SuperAgent 组
完成对 SuperAgent 组的配置后，您可以通过将 SuperAgent 策略拖动到组中将其分配到单个端点。这些策略将端点转
换为 SuperAgent。

18 存储库
使用存储库
任务
1 在“系统树”中，单击“系统”选项卡并查找要更改为 SuperAgent 存储库的系统。
2 将包含该系统名称的行拖放到您在系统树中创建的新 SuperAgent 组中。
一旦该系统与 McAfee ePO 服务器通信，就会更改为 SuperAgent 存储库。
3 要确认系统现在是否为 SuperAgent 存储库，请选择“菜单” | “软件” | “分布式存储库”并从“过滤器”列表中选择

“SuperAgent”。此时新 SuperAgent 存储库会显示在列表中。
必须进行两次代理与服务器之间的通信，然后该系统才会在组中显示为 SuperAgent。首先系统必须接收策略更改，

然后代理必须对现在作为 SuperAgent 的 McAfee ePO 服务器做出响应。该转换过程可能会占用一些时间，具体取
决于您的 ASCI 设置。
存储库列表文件
存储库列表文件（(SiteList.xml 和 SiteMgr.xml）包含您管理的所有存储库的名称。
存储库列表包括位置和加密网络凭据，托管系统利用该凭据选择存储库和检索更新。代理与服务器进行通信时，服务器
会将存储库列表发送至 McAfee Agent。
如果需要，您可以将存储库列表导出至外部文件（SiteList.xml 或 SiteMgr.xml）。这两个文件各有用途：
SiteList.xml 文件
• 在安装过程中导入至 McAfee Agent。
SiteMgr.xml 文件
• 如果需要重新安装服务器，可以备份和还原您的分布式存储库和来源站点。
• 导入之前 McAfee ePO 软件安装中的分布式存储库和来源站点。
最佳实践：放置存储库的位置
您必须确定您的环境中需要多少个存储库以及将其放置在何处。
要回答这些问题，您必须查看您的 McAfee ePO 服务器托管的系统和您的网络地理位置。
请考虑以下因素：
• 您通过 McAfee ePO 服务器管理多少个节点？
• 这些节点是否位于不同地理位置？
• 您对您的存储库拥有什么连接性？
请记住，存储库的目的是允许客户端在本地下载大量软件更新中的数据，而非连接到 McAfee ePO 服务器并通过较慢

的 WAN 链接下载更新。至少您的存储库会被用以更新您的特征码或针对 VirusScan Enterprise 的每日 DAT 文件。此
外，您的存储库会被您的代理用以下载新软件、产品补丁和其他内容，如 Host Intrusion Prevention 内容。
通常您可以针对每个大型地理位置创建存储库，但有若干警告。此外，您必须避免存储库太多或太少和使您的网络带
宽超负荷的最常见错误。
您需要多少个存储库？
您需要的存储库数量取决于服务器硬件、节点计数、网络拓扑和存储库的安装位置。
存储库对其可以处理的节点数没有硬性的技术限制。通过针对您的客户端合理构建的更新任务，存储库可以更新大量
节点。

存储库
使用存储库 18
下表是对存储库可处理的更新数量的估计和所需硬件。许多因素会影响这些规范，例如更新内容、产品和补丁的方
式。
服务器硬件更新的节点数专用或共享客户端硬件

单个 3-GHz 处理器（4 GB 内存） 3,000 与其他应用程序共享
单个 3-GHz 处理器（4 GB 内存） 3,000–7,000 专用
服务器类硬件、双四核处理器和 8 GB 内存 5,000–7,000 专用
存储库所需的磁盘空间在如今的存储标准下很少会成为问题。即使您签入多个 McAfee 端点产品，例如 McAfee

Endpoint Encryption、SiteAdvisor Enterprise 和 Policy Auditor，您的存储库磁盘空间都是在 1-GB 范围内。
要查找 Windows Explorer 中产品安装文件准确大小，请右键单击安装文件夹并单击属性。产品文件位于以下默认路径

中：
C:\Program Files(X86)\McAfee\ePolicy Orchestrator\DB\Software\Current\<产品名称>\Install\
这些示例提供三个常见的组织大小及其存储库大小。
示例 1 – 在一个办公室部署 3,000 个节点的组织

该示例介绍在一个办公室部署 3,000 个节点的组织的存储库细节。该组织有以下特点：
• 大约 3,000 个工作站和服务器节点。
• 使用 VirusScan Enterprise、Host Intrusion Prevention、McAfee Endpoint Encryption 和 Host Data Loss

Prevention。
• 在放置设备的同一建筑中拥有小型数据中心，因此没有 WAN 链接，所有客户端都使用 100 MB LAN。
在该示例中，您可以将主 McAfee ePO 服务器用作仅有的存储库。默认情况下，McAfee ePO 服务器通常就是主存储

库。针对 3,000 个客户端，McAfee ePO 服务器可以处理：
• 策略部署
• 事件收集
• 分配所有更新和软件
示例 2 – 在四个办公室部署 15,000–20,000 个节点的组织

该示例介绍在四个办公室部署 15,000–20,000 个节点的组织的存储库细节。该组织有以下特点：
• 大约 15,000–20,000 个工作站和服务器节点。
• 在纽约拥有一个数据中心，所有以 Internet 为目的地的流量都路由此处。
• 在美国的四个办公室分别在纽约、旧金山、达拉斯和奥兰多。
• 每个办公室都有大约 3,000–4,000 个节点和连接回纽约办公室的 T1 连接 (1.544 Mb/s)。
位于纽约的 McAfee ePO 服务器管理 McAfee Endpoint Encryption、VirusScan Enterprise、Host Intrusion Prevention
和 Application Control 的策略和事件的全部 20,000 节点。
专用 SuperAgent 存储库分别被放置在连接到数据中心的三个主要办公室。这些存储库是专用 SuperAgent 存储库，它

们连接到使用中型硬件类服务器（例如单个处理器 3 GHz CPU 和 4 GB RAM）的纽约数据中心。 SuperAgent 唯一的
作业就是为每个办公室的 McAfee Agent 提供文件。如果您有多个存储库，则可以指定代理访问存储库的顺序。在该
示例中，您可以对存储库排序，从而首先访问连接到纽约数据中心的专用 SuperAgent 存储库。您甚至可以禁用对您
不希望代理使用的其他存储库的访问。
示例 3 – 在多个全球办公室部署 40,000–60,000 个节点的组织

该示例介绍在多个全球办公室部署 40,000–60,000 个节点的组织的存储库细节。该组织有以下特点：

18 存储库
使用存储库
• 大约 40,000-60,000 个工作站和服务器节点。
• 美国办公室分布的三个主要地区，其中一个数据中心在纽约，其他三个办公室分布在美国各地。
• 每个办公室都有大约 5,000–7,000 个节点。
• 纽约数据中心的一个 McAfee ePO 服务器运行 VirusScan Enterprise、Host Intrusion Prevention 和 SiteAdvisor

Enterprise。
• 与纽约数据中心不同，美国最大的办公室安装了代理处理程序。
欧洲、中东和非洲 (EMEA) 办公室在英国还有另一个数据中心以及分布在 EMEA 的其他几个办公室。这些其他办公室

拥有 200 – 3,000 个节点。
亚太地区 (APAC) 办公室包括两个较小的办公室。
地区办公室节点数服务器

美国纽约数据中心 7,000 McAfee ePO 服务器
美国办公室 1 5,000 存储库
美国办公室 2 6,000 存储库和代理处理程序
美国办公室 3 5,000 存储库
EMEA 英国数据中心 3,000 存储库
EMEA 办公室 1 200
EMEA 办公室 2 1,000 存储库
EMEA 办公室 3 3,000 存储库
APAC 办公室 1 500
APAC 办公室 2 300
美国地区服务器
在美国的各个站点放置一个服务器类客户端，例如双处理器 3 GHz 和 8 GB RAM。
EMEA 地区服务器
使用系统管理服务器 (SMS) 并在 EMEA 的各个办公室安装 SuperAgent，因为这些站点较小。只要您的存储库不是为

几千个代理提供文件，就无需供 McAfee 专用。
APAC 地区服务器
APAC 地区的小型办公室使用慢速 WAN 连接，以连接回纽约的 McAfee ePO 服务器。此外，这些 WAN 链接已经被
流量饱和。这些链接意味着从 McAfee ePO 服务器复制到 APAC 存储库不可行，除非该操作是在休息时间执行。如
果您要将 SuperAgent 放置在 APAC，则该选项是合理的。
幸运的是每个 APAC 办公室都有自己连接到 Internet 的快速专用连接，因此无需将 Internet 流量路由回纽约的数据中

心。这提供两种潜在解决方案：
• 您可以调整 APAC 的客户端任务，使其转至下一个最近的存储库，该存储库可能在加利福尼亚。
您必须完全随机化代理更新计划，以便全天传播其更新。
• 您可以将 SuperAgent 放置在其中一个数据中心的 DMZ（可在 Internet 上公开访问）中。然后调整 APAC 客户端

任务，强制其仅从 DMZ 中的该 SuperAgent 中更新。由于 SuperAgent 位于数据中心本地，从 McAfee ePO 进行
复制速度较快。由于代理无需使用 WAN 链接且可以直接访问 Internet，所以您的慢速 WAN 带宽顾虑就解决了。

存储库
使用存储库 18
禁用服务器主存储库
在大型环境中，您可以通过将主存储库排除在提供代理更新的范围之外来提高 McAfee ePO 服务器的性能。
开始之前
您必须先配置另一个存储库，然后才能在 McAfee ePO 服务器上禁用主存储库。
在大型环境中，McAfee ePO 服务器忙于分发策略和收集事件。您可以通过更改 McAfee Agent 策略使代理不从

McAfee ePO 服务器直接获取内容，从而提高性能。代理无需从“主存储库”获取内容，而是访问创建用于本地访问的专
用存储库。此更改可强制代理仅使用您手动创建的存储库。在策略中选择存储库时，您可以指定代理访问的存储库。
在较小的环境中，管理的节点较少，无需进行此更改。服务器可以处理所有任务，而且不会影响性能。
任务
1 要打开策略目录，请选择“菜单” | “策略” | “策略目录”。
2 从产品列表中，选择“McAfee Agent”，再从类别列表中选择“存储库”，然后单击要修改的策略名称。
3 单击“存储库”选项卡。
4 在存储库列表中，单击与 McAfee ePO 服务器对应的操作列中的“禁用”。

此图显示 McAfee ePO 服务器已禁用。
图 18-3 已禁用 McAfee ePO 服务器的存储库
现在您已提高了 McAfee ePO 服务器的性能，因为代理不再访问它来获取更新。

18 存储库
最佳实践：全局更新限制
全局更新是一项强大的功能，但如果使用不当，则会对您的环境产生消极影响。
全局更新用以在主存储库发生更改时尽快更新您的存储库。如果您的环境较小（节点数不足 1,000）且无 WAN 链接，
则全局更新能够发挥巨大作用。全局更新生成大量流量，会影响您的网络带宽。如果您的环境使用 LAN，且带宽不成
问题，则使用全局更新。如果您管理较大环境且带宽很重要，请禁用全局更新。
默认情况下，当您安装 McAfee ePO 软件时，全局更新会被禁用。
要确认全局更新设置，请选择“菜单” | “配置” | “服务器设置”并从设置类别列表中选择“全局更新”。请确认该状态被禁

用。否则，请单击“编辑”并更改状态。
如果您作为用户，要管理大型环境且带宽非常重要，则在启用全局更新时会使 WAN 链接饱和。您可能认为启用全局

更新会使您快速接收 DAT。但最终未必如此，例如 McAfee 为其 McAfee Endpoint Security 引擎发布更新，该更新与
400 KB 的 DAT 文件相比，可达数 MB 大。该引擎更新通常每年进行两次。发布更新时，McAfee ePO 服务器会从
McAfee 中提取引擎，开始将其复制到分布式存储库并开始唤醒代理，以立即接收新引擎。该引擎更新会使您的 WAN
链接饱和，因此推出可供您通过更为偏好的分阶段发布进行升级的引擎。
如果您管理大型环境，仍可以使用全局更新，但必须要在发布新引擎或产品补丁或更新会使 WAN 链接饱和时将其禁

用。
其他相关信息，请参阅以下知识库文章：
• 如何阻止 McAfee ePO 5.X 自动更新为最新发布的引擎，KB77901
• ePolicy Orchestrator 提前部署 McAfee 产品软件补丁，KB77063
全局更新工作原理
如果将您的 McAfee ePO 服务器计划为在东部时间下午 2:00 从 McAfee 网站提取最新 DAT，（且计划的提取操作会
更改“主存储库”的内容），您的服务器会自动启动全局更新流程，以将新内容复制到您的所有分布式存储库。
全局更新流程遵循以下事件顺序：
1 内容或包被签入到主存储库中。 5 在收到广播时，会向代理提供所需的最低目录版
本。
2 McAfee ePO 服务器对所有分布式存储库执行增量 6 代理在分布式存储库中搜索具有此最低目录版本的

复制。站点。
3 McAfee ePO 服务器对环境中的所有 SuperAgent 7 在找到合适的存储库之后，代理会运行更新任务。

发出唤醒呼叫。
4 SuperAgent 将全局更新消息广播到 SuperAgent

子网中的所有代理。
当首次创建存储库时，请遵循以下简要步骤。
1 确定要使用的存储库类型以及存储库所在位置。
2 创建和填充您的存储库。

存储库
管理来源站点和备用站点最佳实践 18
您可以从服务器设置更改默认的来源站点和备用站点。例如，您可以编辑设置，删除现有的来源站点和备用站点，或者
在这两种站点之间进行切换。
您必须是管理员或者具有适当的权限才能定义、更改或删除来源站点或备用站点。
使用默认来源站点和备用站点。如果需要使用不同的站点来达到此目的，则可以创建新站点。
任务
• 创建来源站点第 237 页
从服务器设置中创建来源站点。
• 切换来源站点和备用站点最佳实践第 238 页
使用服务器设置更改来源和备用站点。
• 编辑来源站点和备用站点最佳实践第 238 页
使用服务器设置可以编辑来源站点或备用站点的设置（如 URL 地址、端口号），并下载身份验证凭据。
• 删除来源站点或禁用备用站点最佳实践第 238 页
如果不再使用某个来源或回滚站点，请删除或禁用该站点。
创建来源站点
从服务器设置中创建来源站点。
任务
1 选择 “菜单” | “配置” | “服务器设置”，然后选择“来源站点”。
2 单击“添加来源站点”。此时会显示来源站点生成器向导。
3 在描述页上，键入唯一的存储库名称并选择“HTTP”、“UNC”或“FTP”，然后单击“下一步”。
4 在服务器页上，提供站点的 Web 地址和端口信息，然后单击“下一步”。

HTTP 或 FTP 服务器类型：
• 从“URL”下拉列表中，选择“DNS 名称”、“IPv4”或“IPv6”作为服务器地址类型，然后输入相应的地址。
选项定义
“DNS 名称” 指定服务器的 DNS 名称。
“IPv4” 指定服务器的 IPv4 地址。
• 输入服务器的端口号：FTP 的默认端口号是 21；HTTP 的默认端口号是 80。
“UNC 服务器类型：”
• 输入存储库所在的网络目录路径。使用以下格式：\\<COMPUTER>\<FOLDER>。
5 在凭据页上，提供托管系统使用的“下载凭据”以连接到此存储库。
请使用对托管存储库的 HTTP 服务器、FTP 服务器或 UNC 共享具有只读权限的凭据。
“HTTP 或 FTP 服务器类型：”
• 选择“匿名”以使用未知的用户帐户。
• 选择“FTP”或“HTTP 身份验证”（如果服务器要求进行身份验证），然后输入用户帐户信息。

18 存储库
“UNC 服务器类型：”
• 输入域和用户帐户信息。
6 单击“测试凭据”。几秒钟后，会显示一条确认消息，指示系统可以使用身份验证信息访问该站点。如果凭据不正

确，请检查以下内容：
• 用户名和密码。
• 向导上一面板中的 URL 或路径。
• 系统上的 HTTP、FTP 或 UNC 站点。
8 查看摘要页，然后单击“保存”以将该站点添加到列表中。
切换来源站点和备用站点最佳实践
使用服务器设置更改来源和备用站点。
根据网络配置情况，如果您发现通过 HTTP 或 FTP 进行更新效果会更好，建议您切换来源和备用站点。
任务
2 选择“来源站点”，然后单击“编辑”。此时将显示编辑来源站点页。
3 在列表中找到要设置为备用站点的站点，然后单击“启用备用”。
编辑来源站点和备用站点最佳实践
使用服务器设置可以编辑来源站点或备用站点的设置（如 URL 地址、端口号），并下载身份验证凭据。
任务
2 选择“来源站点”，然后单击“编辑”。
3 在列表中查找站点，然后单击站点名称。
4 在来源站点生成器中，根据需要编辑生成器页面上的设置，然后单击“保存”。
删除来源站点或禁用备用站点最佳实践
如果不再使用某个来源或回滚站点，请删除或禁用该站点。
任务
2 选择“来源站点”，然后单击“编辑”。此时将显示编辑来源站点页。
3 单击需要的来源站点旁的“删除”。此时会出现删除来源站点对话框。
此站点会从来源站点页删除。

存储库
验证是否有权访问来源站点最佳实践 18
验证是否有权访问来源站点最佳实践
将 McAfeeHttp 和 McAfeeFtp 站点用作来源和备用站点时，您必须确保 McAfee ePO 主存储库和托管系统可以访问互
联网。
该部分介绍用于配置连接的任务，McAfee ePO“主存储库”和 McAfee Agent 会借此连接直接或通过代理服务器连接到
下载站点。默认选项是“不使用代理服务器”。
任务
• 配置代理服务器设置第 239 页
若要更新您的存储库，请配置代理服务器设置以提取 DAT。
• 为 McAfee Agent 配置代理服务器设置第 239 页
配置 McAfee Agent 的代理服务器设置，用于连接到下载站点。
配置代理服务器设置
若要更新您的存储库，请配置代理服务器设置以提取 DAT。
任务
2 从设置类别列表中，选择“代理服务器设置”，然后单击“编辑”。
3 选择“手动配置代理服务器设置”。
a 在代理服务器设置旁，选择是对所有通信使用一个代理服务器，还是对 HTTP 和 FTP 代理服务器分别使用不同
的代理服务器。键入代理服务器的 IP 地址或完全限定域名以及端口号。
如果使用的是默认来源站点和备用站点，或者要配置另一个 HTTP 来源站点和 FTP 备用站点，请在此处配置

HTTP 和 FTP 代理服务器身份验证信息。
b 在代理服务器身份验证旁，根据是从 HTTP 存储库、FTP 存储库，还是同时从这两种存储库提取更新来配置相

应的设置。
c 在排除项旁，选择“绕过本地地址”，然后通过键入这些系统的 IP 地址或完全限定域名（用分号隔开），指定服
务器可直接连接到的分布式存储库。
d 在排除项旁，选择“绕过本地地址”，然后通过键入这些系统的 IP 地址或完全限定域名（用分号隔开），指定服
务器可直接连接到的分布式存储库。
为 McAfee Agent 配置代理服务器设置

配置 McAfee Agent 的代理服务器设置，用于连接到下载站点。
任务
1 选择 “菜单” | “策略” | “策略目录”，然后从“产品”列表中单击 “McAfee Agent”，再从“目录”列表中选择“存储库”。

此时会出现为 McAfee ePO 服务器配置的代理列表。
2 在“我的默认”代理上，单击“编辑设置”。
此时会出现我的默认代理的编辑设置页。
3 单击“代理服务器”选项卡。
此时会出现代理服务器设置页。

18 存储库
4 为 Windows 系统选择“使用 Internet Explorer 设置(仅限 Windows)”，如果适用，还可选择“允许用户配置代理服务

器设置”。
配置 Internet Explorer 使用代理服务器有多种方法。McAfee 提供了有关配置和使用 McAfee 产品的说明，但是没
有为非 McAfee 产品提供说明。有关配置代理服务器设置的信息，请参阅 Internet Explorer 帮助和 http://
support.microsoft.com/kb/226473。
5 选择“手动配置代理服务器设置”，从而为代理手动配置代理服务器设置。
6 键入代理要从中提取更新的 HTTP 或 FTP 来源的 IP 地址或完全限定的域名以及端口号。选择“对所有代理服务器

类型使用这些设置”以使这些设置成为所有代理服务器类型的默认设置。
7 选择“指定例外”以指定不需要访问代理服务器的系统。使用分号分隔各例外。
8 选择“使用 HTTP 代理服务器身份验证”或“使用 FTP 代理服务器身份验证”，然后提供用户名和凭据。
全局更新可以在您的网络中自动执行存储库复制。可以使用全局更新服务器设置来配置全局更新期间分发到存储库的内
容。
默认情况下禁用全局更新。我们建议启用全局更新并将其作为更新策略的一部分。您可以指定随机选择时间间隔和更
新期间要分发的包类型。随机选择时间间隔指定更新所有系统需要的时间段。在指定的间隔内随机更新系统。
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”选择全局更新，然后单击“编辑”。
2 将状态设置为“启用”并指定 0 到 32,767 分钟之间的“随机选择时间间隔”。
3 指定要在全局更新中包含的“包类型”：
• “所有包” — 选择此选项以包含所有签名和引擎，以及所有修补程序和 Service Pack。
• “选定的包” — 选择此选项以限制全局更新中包括的签名和引擎，以及修补程序和 Service Pack。
在使用全局更新时，将定期提取任务（用于更新主存储库）安排在网络流量最低时进行。尽管全局更新比其他方法
更为快速，但在更新时仍会增加网络流量。
另请参阅
产品和更新部署第 186 页
配置代理策略以使用分布式存储库最佳实践
自定义代理选择分布式存储库的方式以便尽量减少带宽使用率。
任务
1 选择 “菜单” | “策略” | “策略目录”，然后将“产品”选为 “McAfee Agent” 并将“类别”选为“存储库”。
2 单击现有代理策略，然后选择存储库选项卡。
3 在存储库列表选择中，选择“使用此存储库列表”或“使用其他存储库列表”。

存储库
将 SuperAgent 用作分布式存储库 18
4 在存储库选择依据下，指定对存储库进行排序的方法：
• “Ping 时间” — 向五个最近（根据子网值）的存储库发送 ICMP ping 命令，并按响应时间排序。
• “子网距离”— 比较端点和所有存储库的 IP 地址，并按数位的匹配程度对存储库进行排序。 IP 地址越相近，存

储库在列表中的位置越靠前。
您可以设置“最大跳跃次数”。
• “存储库列表中的使用顺序” — 按列表中的存储库顺序选择存储库。
5 根据需要修改存储库列表中的设置：
• 单击“操作”字段中的“禁用”以禁用存储库。
• 单击“移到顶部”或“移到底部”可指定希望端点选择分布式存储库的顺序。
6 完成时单击“保存”。
在托管 SuperAgent 的系统上创建并配置分布式存储库。SuperAgent 能使网络流量最小。
要将代理转换为 SuperAgent，该代理必须属于 Windows 域。
任务
• 创建 SuperAgent 分布式存储库第 241 页
要创建 SuperAgent 存储库，SuperAgent 系统必须安装和运行 McAfee Agent。我们建议使用具有全局更
新功能的 SuperAgent 存储库。
• 将包复制到 SuperAgent 存储库第 242 页
选择将哪些特定于存储库的包复制到分布式存储库。
• 删除 SuperAgent 分布式存储库第 242 页
从主机系统和存储库列表 (SiteList.xml) 中删除 SuperAgent 分布式存储库。新的配置将在下次代理与服
务器通信时生效。
创建 SuperAgent 分布式存储库
要创建 SuperAgent 存储库，SuperAgent 系统必须安装和运行 McAfee Agent。我们建议使用具有全局更新功能的
SuperAgent 存储库。
此任务假定您知道 SuperAgent 系统在系统树中的位置。我们建议创建 SuperAgent 标记，这样便可以使用标记目录页
或通过运行查询来轻松查找 SuperAgent 系统。
任务
1 在 McAfee ePO 控制台中，请选择“菜单” | “策略” | “策略目录”，然后在“产品”列表中单击“McAfee Agent”并在类别

列表中选择“常规”。
此时会显示可以在 McAfee ePO 服务器上使用的常规类别策略。
2 创建策略，复制现有策略，或打开已应用到存放 SuperAgent 的系统（要存放 SuperAgent 存储库的系统）的策

略。
3 选择“常规”选项卡，然后确保选中“将代理转换为 SuperAgent (仅限 Windows）”。

18 存储库
4 选择“将运行 SuperAgent 的系统用作分布式存储库”，然后键入存储库的文件夹路径位置。此位置是复制过程中主

存储库复制更新的位置。您可以使用标准 Windows 路径，如 C:\SuperAgent\Repo。
来自代理系统的所有请求文件均使用代理的内置 HTTP Webserver 从此位置提供。
6 将此策略分配到您要用于存放 SuperAgent 存储库的各系统。
代理在下一次连接到服务器时，会检索新的策略。如果不想等到下一次代理与服务器通信间隔，则可以将代理唤醒呼叫
发送到系统。创建分布式存储库后，如果您指定的文件夹不存在，则在系统上创建此文件夹。
另外，此网络位置将被添加到 SiteList.xml 文件的存储库列表中。此网络位置提供的站点可用于系统在托管环境中进行

更新。
将包复制到 SuperAgent 存储库

选择将哪些特定于存储库的包复制到分布式存储库。
任务
1 选择 “菜单” | “软件” | “分布式存储库”。

此时会出现所有分布式存储库的列表。
2 找到 SuperAgent 存储库并单击它。
此时会打开分布式存储库生成器向导。
3 在“包类型”页上，选择所需的包类型。
确保选择了使用此存储库的所有托管系统所需的全部包。托管系统会转到一个存储库以获取所有包，如果系统所要
查找的包类型不存在，则该任务会失败。此功能可确保不会在整个环境中复制只由几个系统使用的包。
删除 SuperAgent 分布式存储库
从主机系统和存储库列表 (SiteList.xml) 中删除 SuperAgent 分布式存储库。新的配置将在下次代理与服务器通信时生
效。
任务
1 在 McAfee ePO 控制台中，请单击“菜单” | “策略” | “策略目录”，然后单击您要修改的 SuperAgent 策略的名称。
2 在“常规”选项卡上，取消选择“将运行 SuperAgent 的系统用作分布式存储库”，然后单击“保存”。
要删除有限数量的现有 SuperAgent 分布式存储库，请复制分发到这些系统的 McAfee 策略并取消选择“将运行

SuperAgent 的系统用作分布式存储库”，然后保存此策略。可以根据需要分配此新策略。
SuperAgent 存储库将被删除并从存储库列表中移除。但是，只要您选中了将代理转换为 SuperAgent 选项，此代理仍

可作为 SuperAgent 运行。策略更改后，尚未接收新站点列表的代理会继续从被删除的 SuperAgent 进行更新。

存储库
在 FTP 或 HTTP 服务器以及 UNC 共享上创建和配置存储库 18

可以在现有的 FTP、HTTP 服务器或 UNC 共享上存放分布式存储库。尽管不需要专用服务器，但系统必须足够强大可
靠，以便在托管系统连接以获取更新时能够处理负载。
任务
• 创建文件夹位置第 243 页
创建在分布式存储库系统上托管存储库内容的文件夹。对于 UNC 共享存储库和 FTP 或 HTTP 存储库，会
使用不同的过程。
• 将分布式存储库添加到 McAfee ePO 第 243 页
将条目添加到存储库列表，并指定新分配的存储库所使用的文件夹。
• 避免复制选定的包第 245 页
如果将分布式存储库设置为仅复制所选包，则在默认情况下将复制新签入的包。根据您的测试和验证要
求，您可能要避免将某些包复制到分布式存储库。
• 禁止复制选定包第 245 页
如果将分布式存储库设置为仅复制所选包，则在默认情况下将复制新签入的包。要禁用即将复制的包，请
先禁用复制任务，然后再签入该包。
• 启用 UNC 和 HTTP 存储库的文件夹共享功能第 245 页
在 HTTP 或 UNC 分布式存储库上，必须启用在整个网络中共享文件夹，这样，您的 McAfee ePO 服务器
即可向存储库复制文件。
• 编辑分布式存储库第 246 页
根据需要编辑分布式存储库配置、身份验证和包选择选项。
• 删除分布式存储库第 246 页
删除 HTTP、FTP 或 UNC 分布式存储库。这样做也会删除分布式存储库的内容。
创建文件夹位置
创建在分布式存储库系统上托管存储库内容的文件夹。对于 UNC 共享存储库和 FTP 或 HTTP 存储库，会使用不同的
过程。
• 对于 UNC 共享存储库，请在系统上创建文件夹并启用共享。
• 对于 FTP 或 HTTP 存储库，请使用现有的 FTP 或 HTTP 服务器软件（如 Microsoft Internet Information Services
(IIS)）来创建文件夹和站点位置。有关详细信息，请参阅网站服务器文档。
将分布式存储库添加到 McAfee ePO

将条目添加到存储库列表，并指定新分配的存储库所使用的文件夹。
切勿将分布式存储库配置为与主存储库引用相同的目录。这样会锁定主存储库上的文件，造成提取和包签入操作失败并
会使主存储库处于不可用状态。
任务
1 请选择“菜单” | “软件” | “分布式存储库”，然后单击“操作” | “新建存储库”。此时会打开分布式存储库生成器向导。
2 在说明页面，键入唯一名称并选择“HTTP”、“UNC” 或 “FTP”，然后单击“下一步”。存储库的名称不必是用来存放存
储库的系统的名称。
3 在服务器页面，配置以下任一服务器类型。

18 存储库
“HTTP 服务器类型”或“FTP 服务器类型”

• 从“URL”下拉列表中，选择“DNS 名称”、“IPv4”或“IPv6”作为服务器地址类型，然后输入相应的地址。
选项定义
“DNS 名称” 指定服务器的 DNS 名称。
• 输入服务器的端口号：HTTP 服务器默认端口号为 80。FTP 服务器默认端口号为 21。
• 对于 HTTP 服务器类型，请指定 HTTP 文件夹的 UNC 复制路径。
“UNC 服务器类型”
• 输入存储库所在的网络目录路径。使用以下格式：\\<COMPUTER>\<FOLDER>。
5 在凭据页面：
a 输入“下载凭据”。请使用对托管存储库的 HTTP 服务器、FTP 服务器或 UNC 共享具有只读权限的凭据。
HTTP 或 FTP 服务器类型
• 选择“匿名”以使用未知的用户帐户。
• 选择“FTP”或“HTTP 身份验证”（如果服务器要求进行身份验证），然后输入用户帐户信息。
UNC 服务器类型
• 选择“使用已登录帐户的凭据”以使用当前已登录用户的凭据。
• 选择“输入下载凭据”，然后输入域和用户帐户信息。
b 单击“测试凭据”。几秒钟后，会显示一条确认消息，声明系统可以使用身份验证信息访问该站点。如果凭据不正
• 用户名和密码
• 生成器上一面板中的 URL 或路径
• 系统上的 HTTP、FTP 或 UNC 站点
6 输入“复制凭据”。
服务器在将 DAT 文件、引擎文件或其他产品更新从主存储库复制到分布式存储库时，需要使用这些凭据。这些凭
据对于分布式存储库必须同时具有读取和写入权限：
• 对于 “FTP”，请输入用户帐户信息。
• 对于 “HTTP” 或 “UNC”，请输入域和用户帐户信息。
• 单击“测试凭据”。几秒钟后，会显示一条确认消息，指示系统可以使用身份验证信息访问该站点。如果凭据不正
• 用户名和密码
• 生成器上一面板中的 URL 或路径
• 系统上的 HTTP、FTP 或 UNC 站点
7 单击“下一步”。此时会显示包类型页面。

存储库
在 FTP 或 HTTP 服务器以及 UNC 共享上创建和配置存储库 18
8 选择是将所有包还是选定的包复制到该分布式存储库，然后单击“下一步”。
• 如果您选择“选定的包”选项，则手动选择要复制的“签名和引擎”和“产品、补丁和 Service Pack 等” 。
• （可选）选择“复制旧版 DAT”。
确保没有取消选择使用此存储库的托管系统所需的所有包。托管系统会转到一个存储库以获取所有包，如果系统所
要查找的包类型不存在，则该任务会失败。此功能可确保不会在整个环境中复制只由几个系统使用的包。
9 查看摘要页面，然后单击“保存”，以添加存储库。 McAfee ePO 软件将新的分布式存储库添加至其数据库。
避免复制选定的包
如果将分布式存储库设置为仅复制所选包，则在默认情况下将复制新签入的包。根据您的测试和验证要求，您可能要避
免将某些包复制到分布式存储库。
任务
1 选择 “菜单” | “软件” | “分布式存储库”，然后单击某个存储库。此时会打开分布式存储库生成器向导。
2 在包类型页面中，取消对无需复制的包的选择。
禁止复制选定包
如果将分布式存储库设置为仅复制所选包，则在默认情况下将复制新签入的包。要禁用即将复制的包，请先禁用复制任
务，然后再签入该包。
任务
1 单击 “菜单” | “自动” | “服务器任务”，然后选择复制服务器任务旁边的“编辑”。

此时会打开服务器任务生成器。
2 在描述页上，选择“禁用”作为“计划状态”，然后单击“保存”。
启用 UNC 和 HTTP 存储库的文件夹共享功能

在 HTTP 或 UNC 分布式存储库上，必须启用在整个网络中共享文件夹，这样，您的 McAfee ePO 服务器即可向存储
库复制文件。
您只能针对复制启用文件夹共享。配置为使用分布式存储库的托管系统将使用相应协议（HTTP、FTP 或 Windows 文
件共享），而不需要文件夹共享。
任务
1 在托管系统上，使用 Windows 资源管理器找到创建的文件夹。
2 右键单击该文件夹，然后选择“共享”。
3 在“共享”选项卡上，选择“共享此文件夹”。
4 根据需要配置共享权限。
从存储库进行系统更新需要只读访问权限，但管理员帐户（包括 McAfee ePO 服务器服务使用的帐户）需要写入权
限。有关为共享文件夹配置相应安全设置的信息，请参阅 Microsoft Windows 文档。

18 存储库
编辑分布式存储库
根据需要编辑分布式存储库配置、身份验证和包选择选项。
任务
1 选择 “菜单” | “软件” | “分布式存储库”，然后单击某个存储库。

会打开分布式存储库生成器向导，显示分布式存储库的详细信息。
2 根据需要更改配置、身份验证和包选择选项。
删除分布式存储库
删除 HTTP、FTP 或 UNC 分布式存储库。这样做也会删除分布式存储库的内容。
任务
1 单击 “菜单” | “软件” | “分布式存储库”，然后单击存储库旁的“删除”。
2 在删除存储库对话框中，单击“确定”。
删除存储库并不会删除存放该存储库的系统上的包。
被删除的存储库会从存储库列表中移除。
将 UNC 共享用作分布式存储库时，请按照这些指南操作。
UNC 共享使用 Microsoft 服务器消息块 (SMB) 协议来创建共享驱动器。创建访问此共享的用户名和密码。
正确配置该共享
确保 UNC 共享配置正确。
• 使用另一种方法写入到您的存储库 — 使用其他方法（另一个共享、RDP、本地）登录服务器以写入到存储库。不
要混淆从中读取内容的存储库与向其中写入内容的存储库。读取凭据与端点共享，而写入凭据则由 McAfee ePO 服
务器专门用于更新您的分布式存储库内容。
• 不要在域控制器上使用共享 — 在域控制器以外的位置创建共享。域控制器上的本地用户是域用户。
确保您用来从 UNC 共享进行读取的帐户的安全

根据这些指南进行操作，确保用于访问 UNC 共享的帐户的安全。
• 授予每个人对您的 UNC 共享帐户为只读权，但 McAfee ePO 服务器主存储库除外 — 当您设置共享时，请确保您
创建的帐户对目录和共享权限具有只读权。请勿授予对共享的远程写入权（即使是管理员或其他帐户也不行）。唯
一允许访问的帐户是您最近创建的帐户。
McAfee ePO 服务器主存储库必须能够将文件写入到 UNC 共享帐户。
• 本地创建帐户 — 在文件共享上创建帐户，而不是在域上。本地创建的帐户不授予对域中的系统的权限。
• 使用特定帐户 — 创建专用于共享存储库数据的帐户。请勿使用多个功能共享该帐户。

存储库
使用非托管的本地分布式存储库 18
• 降低帐户的权限 — 请勿将此帐户添加到其不需要的任何组，其中包括“管理员”和“用户”组。
• 禁用多余权限 — 该帐户无需登录到服务器。它是访问文件的占位符。检查该帐户的权限并禁用任何不必要的权
限。
• 使用高强度密码 — 使用具有 8-12 个字符的密码，使用多个字符属性（小写和大写字母、符号和数字）。我们建议

使用随机密码生成器，以确保您的密码足够复杂。
保护并维护您的 UNC 共享
• 为共享设置防火墙 — 始终阻止不必要的流量。我们建议阻止传出和传入的流量。您可以在服务器上使用软件防火
墙或在网络上使用硬件防火墙。
• 启用文件审核 — 始终启用安全审核日志来记录对网络共享的访问情况。这些日志会显示哪些人访问了共享、访问
的时间以及执行的操作。
• 更改密码 — 经常更改您的密码。确保新密码具有高强度，并记得使用新密码更新 McAfee ePO 配置。
• 如果不再使用此帐户和共享，则将其禁用 — 如果您切换为不同于 UNC 的其他存储库类型，请记得禁用或删除该帐

户，并关闭和删除共享。
使用非托管的本地分布式存储库
将主存储库中的内容复制到非托管分布式存储库。
创建非托管存储库后，您必须手动配置托管系统以转至非托管的存储库来获取文件。
任务
1 从服务器复制主存储库文件夹中的所有文件和子目录。
例如，使用 Windows 2008 R2 Server 时，您服务器上的默认路径为：C:\Program Files (x86)\McAfee\ePolicy
Orchestrator\DB\Software
2 将复制的文件和子文件夹粘贴到分布式存储库系统的存储库文件夹。
3 将托管系统的代理策略配置为使用新的非托管分布式存储库：
a 选择 “菜单” | “策略” | “策略目录”，然后将“产品”选为 “McAfee Agent” 并将“类别”选为“存储库”。
b 单击现有的代理策略，或者创建一个代理策略。
不能中断构成策略的选项卡级别上的策略继承。因此，在将此策略应用到系统时，确保只有正确的系统接收和继
承策略以使用非托管的分布式存储库。
c 在“存储库”选项卡上，单击“添加”。
d 在“存储库名称”文本字段中键入一个名称。
该名称不必是存放存储库的系统的名称。
e 在“检索文件来源”下，选择存储库的类型。
f 在“配置”下，采用适于存储库类型的语法键入存储库位置。
g 键入端口号，或保留默认端口。
h 根据需要配置身份验证凭据。
i 单击“确定”以将新分布式存储库添加到列表。

18 存储库
j 选择列表中的新存储库。
类型“本地”表示其并非由 McAfee ePO 软件托管。如果选择“存储库列表”中的非托管存储库，则会启用“编辑”和
“删除”按钮。
k 单击“保存”。
此策略应用到的任何系统都会在下次代理与服务器通信时收到新策略。
您可以到处存储库列表文件。
• SiteList.xml — 供代理和支持的产品使用。
• SiteMgr.xml — 重新安装 McAfee ePO 服务器，或导入到使用相同分布式存储库或来源站点的其他 McAfee ePO 服

务器时使用。
任务
• 导出存储库列表 Sitelist.xml 文件第 248 页
导出存储库列表 (SiteList.xml) 文件，以便手动发送到系统，或在安装受支持的产品时导入。
• 导出存储库列表用于备份或由其他服务器使用第 248 页
使用导出的 SiteMgr.xml 文件可以还原分布式存储库和来源站点。在您重新安装 McAfee ePO 服务器，或
需要与其他 McAfee ePO 服务器共享分布式存储库或来源站点时进行还原。
• 从存储库列表中导入分布式存储库第 249 页
重新安装服务器后，或者当您希望一台服务器使用与另一台服务器相同的分布式存储库时，请从 SiteMgr
.xml 文件导入分布式存储库。
• 从 SiteMgr.xml 文件导入来源站点第 249 页
在重新安装服务器后，以及当您希望两个服务器使用相同的分布式存储库时，可以从存储库列表文件中导
入来源站点。
导出存储库列表 Sitelist.xml 文件
导出存储库列表 (SiteList.xml) 文件，以便手动发送到系统，或在安装受支持的产品时导入。
任务
1 选择 “菜单” | “软件” | “主存储库”，然后单击 “操作” | “导出站点列表”。

此时会出现文件下载对话框。
2 单击“保存”，浏览到要用来保存 SiteList.xml 文件的位置，然后单击“保存”。
导出此文件后，可以在安装支持的产品时将其导入。有关说明，请参阅该产品的安装手册。
您也可以将存储库列表分发到托管系统，然后将其应用于代理。
导出存储库列表用于备份或由其他服务器使用
使用导出的 SiteMgr.xml 文件可以还原分布式存储库和来源站点。在您重新安装 McAfee ePO 服务器，或需要与其他
McAfee ePO 服务器共享分布式存储库或来源站点时进行还原。
您可以从“分布式存储库”或“来源站点”页导出该文件。但是，在将此文件导入其中任一页时，只会导入此页中列出的文
件中的项目。例如，将此文件导入“分布式存储库”页时，只会导入此文件中的分布式存储库。因此，如果要导入分布式
存储库和来源站点，则必须导入文件两次，一次一页。

存储库
更改多个分布式存储库上的凭据 18
任务
1 选择 “菜单” | “软件” | “分布式存储库” （或“来源站点”），然后单击“操作 | 导出存储库”（或“导出来源站点”）。

此时会出现文件下载对话框。
2 单击“保存”，浏览到要用来保存该文件的位置，然后单击“保存”。
从存储库列表中导入分布式存储库
重新安装服务器后，或者当您希望一台服务器使用与另一台服务器相同的分布式存储库时，请从 SiteMgr.xml 文件导入
分布式存储库。
任务
1 选择 “菜单” | “软件” | “分布式存储库”，然后单击 “操作” | “导入存储库”。

此时会显示导入存储库页。
2 浏览到已导出的 SiteMgr.xml 文件并选择该文件，然后单击“确定”。分布式存储库将导入服务器中。
选定的存储库会添加到此服务器上的存储库列表中。
从 SiteMgr.xml 文件导入来源站点
在重新安装服务器后，以及当您希望两个服务器使用相同的分布式存储库时，可以从存储库列表文件中导入来源站点。
任务
1 选择 “菜单” | “配置” | “服务器设置”，然后从“设置类别”列表选择“来源站点”并单击“编辑”。
3 浏览到已导出的 SiteMgr.xml 文件并选择该文件，然后单击“确定”。
4 选择要导入此服务器的来源站点，然后单击“确定”。
选定的来源站点会添加到此服务器上的存储库列表中。
更改多个分布式存储库上的凭据
更改多个相同类型的分布式存储库上的凭据。如果环境中有许多分布式存储库，则这样做很有用。
任务
1 选择 “菜单” | “分布式存储库”。
2 单击“操作”并选择“更改凭据”。
“更改凭据”向导打开至“存储库类型”页面。
3 选择要更改其凭据的分布式存储库类型，然后单击“下一步”。

18 存储库
提取任务
4 选择所需的分布式存储库，然后单击“下一步”。
5 根据需要编辑凭据，然后单击“下一步”。
6 查看信息，然后单击“保存”。
提取任务
通过来源站点中的 DAT 和引擎更新包，利用提取任务更新主存储库。
DAT 和引擎文件必须经常更新。McAfee 每天都发布新 DAT 文件，引擎文件发布频率相对低一些。尽快将这些包部署
到托管系统，以保护它们免受最新威胁的损坏。
您可以指定从来源站点复制到主存储库的包。
Extra.DAT 文件必须手动签入到主存储库。 McAfee 网站提供这些文件。
计划的存储库提取服务器任务会以您指定的次数和时间按时自动运行。例如，您可以计划每周的存储库提取任务，将其
设在每周四早上 5:00 。
您还可以使用立即提取任务将更新立即签入主存储库。例如，McAfee 向您发出快速传播病毒警报的同时会发布新

DAT 文件来阻止该病毒。
如果提取任务失败，则必须将包手动签入到主存储库。
更新主存储库之后，您可以立即通过全局更新或复制任务将这些更新自动分发到系统。
计划提取任务时的注意事项
计划提取任务时，请考虑以下变量：
• 带宽和网络使用情况 — 如果使用的是全局更新（与建议的一样），则计划在其他资源占用较低带宽时运行提取任
务。凭借全局更新，更新文件会在提取任务完成后得以自动分发。
• 任务频率 — 每天都会发布 DAT 文件，但您可能不需要每天更新资源。
• 复制和更新任务 — 计划复制任务和客户端更新任务，以确保可在您环境中分发更新文件。
复制任务
利用复制任务将主存储库的内容复制到分布式存储库。
在您将主存储库内容复制到所有分布式存储库之前，某些系统收不到这些内容。请确保您所有的分布式存储库保持最
新。
如果对所有更新使用全局更新，即使建议您使用复制任务作为备用，它们对于您的环境可能不是必需的。但是，如果您
不对任何更新使用全局更新，则必须计划“主存储库复制”服务器任务或运行“立即复制”任务。
计划定期的“主存储库复制”服务器任务是确保您分布式存储库保持最新的最佳方法。计划每日的复制任务可确保托管系
统保持最新。使用“主存储库复制”任务可自动将内容复制到分布式存储库。
您有时可能将文件签入需要立即复制到分布式存储库的主存储库中，而不是等待下次计划复制。运行“立即复制”任务以
手动更新分布式存储库。

存储库
存储库选择 18
完全复制与增量复制
在创建复制任务时，请选择“增量复制”或“完全复制”。增量复制使用更少的带宽并且进复制分布式存储库中不存在的主
存储库的新更新内容。完全复制可复制主存储库的完整内容。
计划每天的增量复制任务。如果在 McAfee ePO 软件的复制功能之外可以从分布式存储库删除文件，则计划每周执行一

次完全复制任务。
存储库选择
新的分布式存储库被添加到包含所有可用分布式存储库的存储库列表文件中。托管系统的代理每次与 McAfee ePO 服
务器通信时都会更新此文件。代理会在每次代理（McAfee Framework 服务）服务开始时以及存储库列表发生更改时执
行存储库选择。
有选择性的复制可以更好地控制单个存储库的更新。在计划复制任务时，您可以选择：
• 应用任务的特定分布式存储库。在不同时间复制到不同的分布式存储库可以减少对带宽资源的影响。可以在创建或
编辑复制任务时指定这些存储库。
• 复制到分布式存储库的特定文件和特征码。仅选择每个签入分布式存储库的系统所必需的文件类型可以减少对带宽
资源的影响。在定义或编辑分布式存储库时，您可以选择要复制到分布式存储库的包。
此功能仅用于更新您环境中的某些系统上安装的产品，如 VirusScan Enterprise。此功能仅允许您将这些更新分发到这

些系统使用的分布式存储库。
代理如何选择存储库
默认情况下，代理可以尝试从存储库列表文件中的任何存储库进行更新。代理可以使用网络 ICMP ping 或子网地址比
较算法在最短的响应时间内找到分布式存储库。通常找到的是网络上最贴近系统的分布式存储库。
您还可以通过在代理策略设置中启用或禁用分布式存储库来严密控制用于更新的分布式存储库代理。请勿在策略设置
中禁用存储库。允许代理从任何分布式存储库更新可确保这些代理接收到更新。

18 存储库
存储库选择

19 代理处理程序
代理处理程序实现代理和 McAfee ePO 服务器之间的通信路由。

每个 McAfee ePO 服务器都包含主代理处理程序。额外代理处理程序可以安装到整个网络中的系统上。
设置更多代理处理程序可获得以下优势：
• 在数据库服务器的 CPU 未超载的情况下，有助于管理单个逻辑 McAfee ePO 服务器托管的不断增加的产品和系

统。
• 与许多代理（包括跨地理区域分布的代理）进行具有容错和负载平衡功能的通信。
目录
代理处理程序的工作原理
代理处理程序详细信息
代理处理程序功能
最佳实践：代理处理程序安装和配置
最佳实践：在 DMZ 中添加代理处理程序
将 DMZ 中的代理处理程序连接到某个域的 McAfee ePO 服务器
处理程序组和优先级
将 McAfee 代理分配给代理处理程序
管理代理处理程序分配
创建代理处理程序组
管理代理处理程序组
在处理程序之间移动代理
常见问题
通过让托管系统或系统组向特定的代理处理程序报告，代理处理程序便可分发代理与服务器之间的通信产生的网络流
量。完成分配后，托管系统将与已分配的代理处理程序进行通信，而非主 McAfee ePO 服务器。
该处理程序提供更新后的网站列表、策略和策略分配规则，与 McAfee ePO 服务器所做的一样。该处理程序还会缓存
主存储库的内容，以便代理可以提取产品更新包、DAT 以及其他所需信息。
如果代理签入时处理程序没有所需的更新，则该处理程序会从已分配的存储库检索它们并进行缓存，同时将更新传输给
代理。

该图显示代理处理程序、McAfee ePO 服务器和 McAfee ePO SQL Server 之间的某些典型连接。
图 19-1 企业网络中的代理处理程序
在该图中，所有代理处理程序：
• 都通过低延迟高速链接连接到 McAfee ePO SQL Server
• 都位于其写入到的数据库附近
• 都在代理处理程序之间配置故障转移
• 通过 McAfee ePO 服务器管理
以下城市的代理处理程序使用特定配置。
低延迟高速链接的往返行程延迟不得超过约 10 毫秒。使用 Windows tracert 命令确认从“代理处理程序”到 McAfee ePO

SQL Server 的往返行程时间 (RTT)。
• 波士顿 — 波士顿的代理处理程序配置是为费城的代理处理程序提供故障转移支持。
• 费城 — 两个代理处理程序已配置负载平衡。
• 华盛顿特区 — 代理处理程序使用特定端口从防火墙后台连接到 McAfee ePO 服务器。
代理处理程序必须可以对域凭据进行身份验证。否则，代理处理程序使用 SQL 身份验证，以身份验证至数据库。更

多有关 Windows 和 SQL 身份验证的信息，请参阅 Microsoft SQL Server 文档。

代理处理程序
代理处理程序详细信息 19
有关更改身份验证模式的详细信息，请参阅 Microsoft SQL Server 文档。如果您这样做，则您还必须更新 SQL Server

连接信息。
运行查询按代理处理程序列出的系统，以显示所有安装的代理处理程序以及每个代理处理程序托管的代理数。
卸载“代理处理程序”后，它不会显示在该图表中。如果代理处理程序分配规则将代理专门分配到代理处理程序，且如果
该“代理处理程序”被卸载，则它将在该图表中显示为已卸载的代理处理程序并随附仍试图与该“代理处理程序”联系的代
理的数量。
如果代理处理程序未正确安装，则会显示已卸载的代理处理程序消息，指示该处理程序无法与特定代理进行通信。单击
列表可查看无法与该处理程序进行通信的代理。
多个代理处理程序
网络中可以有多个代理处理程序。您可能有许多分布在不同的地理区域或行政区域的托管系统。无论是哪种情况，都可
以通过为不同的处理程序分配不同的组来向托管系统中添加组织。
代理处理程序提供特定功能，可以帮助您扩展网络，以包含更多托管系统。
使用代理处理程序的情况
在您的环境中，使用代理处理程序的原因很多。
• 硬件更加便宜— 用于代理处理程序的中等服务器硬件比用于 McAfee ePO 服务器的高端服务器更加便宜。
• 可扩展性 — 随着您的网络的扩展，您可以添加代理处理程序，以降低对 McAfee ePO 服务器的负载。
将不超过五个代理处理程序连接到一个 McAfee ePO 服务器且每个代理处理程序连接的节点数不超过 50,000 个。
• 网络拓扑 —代理处理程序可以在防火墙后台或外部网络中管理您的代理请求。
• 故障转移 — 代理可通过配置的备用优先级列表在代理处理程序之间进行故障转移。
• 负载平衡 — 多个代理处理程序可以在大型远程网络中负载平衡 McAfee Agent 请求。
不使用代理处理程序的情况
在有些情况下不要使用代理处理程序。
• 作为分布式存储库 — 存储库（如 SuperAgents）在整个组织中分发大型文件。存储库不包含任何逻辑。代理处理
程序要使用逻辑将事件发送回数据库。这些事件会通知 McAfee Agent 何时从分布式存储库中下载新产品。代理处
理程序可以从分布式存储库中缓存文件，但不会使用这些文件替代分布式存储库。代理处理程序用于降低 McAfee
ePO 服务器上的事件管理负载。
• 通过慢速或非正式连接 — 代理处理程序要求与数据库建立相对高速、低延迟的连接，以提供代理发送的事件。
• 为节省带宽 — 代理处理程序不会节省带宽。实际上，他们会增加连接客户端和代理处理程序的 WAN 连接中带宽

的使用。使用分布式存储库可以节省带宽。
代理处理程序将 McAfee ePO 数据库中的工作队列用作其主要通信机制。
代理处理程序每 10 秒钟检查一次服务器工作队列并执行要求的操作。典型的操作包括唤醒调用、请求产品部署和数据

通道消息。这些与数据库的频繁通信要求代理处理程序与 McAfee ePO 数据库之间使用相对高速、低延迟的连接。

代理处理程序的安装仅包括 Apache Server 和事件解析器服务。您可以将代理处理程序部署到在一个逻辑 McAfee

ePO 基础架构中并存的单独硬件或虚拟机中。
图 19-2 代理处理程序功能图表
该图表显示两种不同的网络配置及其代理处理程序。
• 简单网络 — 将主要代理处理程序作为 McAfee ePO 服务器的一部分安装。这足够许多小型 McAfee ePO 安装使
用，通常无需其他代理处理程序。
• 复杂网络 — 将多个远程代理处理程序安装到连接 McAfee ePO 服务器的单独服务器中。完成安装后，其他代理处

理程序会被自动配置为与 McAfee ePO 服务器搭配使用，以分发传入代理请求。 McAfee ePO 控制台还被用以配
置代理处理程序分配规则，以支持更多复杂方案。例如，DMZ、防火墙后台或使用网络地址转换 (NAT) 的代理处
理程序。
管理员可以通过创建特定于其环境的规则来替代代理处理程序的默认行为。
另请参阅
配置代理处理程序优先级第 264 页
最佳实践：代理处理程序消除多个 McAfee ePO 服务器

使用不同地理位置的代理处理程序，而非多个 McAfee ePO 服务器。
多个 McAfee ePO 服务器会造成管理、数据库复制和维护问题。
使用代理处理程序执行以下操作：

代理处理程序
代理处理程序功能 19
• 扩展现有 McAfee ePO 基础架构，以处理更多代理、产品或因更为频繁的代理与服务器通信造成的更高负载。
• 确保代理即使在 McAfee ePO 服务器不可用时也可以继续连接和接收策略、任务和产品更新。
• 通过与 McAfee ePO 数据库的高带宽链接将 McAfee ePO 管理扩展到断开连接的网络段。
通常添加代理处理程序比 McAfee ePO 服务器效率更高，价格更低。
针对单独 IT 基础架构、单独管理组或测试环境使用单独 McAfee ePO 服务器
代理处理程序提供横向网络可扩展性、故障转移保护、负载平衡并允许您管理 DMZ、防火墙后台或使用网络地址转换
(NAT) 的客户端。
提供可扩展性
随着客户端和托管产品数量的增加，代理处理程序可以为 McAfee ePO 托管网络提供可扩展性。
一个 McAfee ePO 服务器只需安装 VirusScan Enterprise 产品即可轻松管理多达 200,000 个系统。但随着管理的系统
和与 McAfee ePO 服务器集成的产品数量的增加，尝试接收策略或向您服务器发送事件的次数会增加。这种负载的增
加也会减少通过同样的 McAfee ePO 服务器硬件可管理的系统最大数量。
代理处理程序允许您扩展 McAfee ePO 基础架构，以管理更多客户端和产品。您可以通过添加代理处理程序完成该操

作，从而通过一个逻辑 McAfee ePO 部署管理相同数量或更多代理。默认情况下，当您在服务器上安装代理处理程序
软件时，所有代理处理程序都在相同顺序级别中使用，除非已创建自定义分配规则。
通过代理处理程序提供故障转移保护的最佳实践
代理处理程序允许任意 McAfee Agent 在 McAfee ePO 服务器不可用时接收策略和任务更新并报告事件和属性更改。
例如，升级或网络问题。
部署多个代理处理程序后，它们可供代理作为故障转移候选代理处理程序。只要代理处理程序连接到数据库，就可以
继续为代理提供服务。这包括 McAfee ePO 服务器进入脱机状态前代理属性或管理员更改造成的任何策略或任务更
改。
与 McAfee Agent 共享的配置文件包含代理处理程序的可配置备用列表。如果需要，McAfee Agent 会尝试从头逐个连

接列表中的代理处理程序，直到达到列表结尾或联系到有效、已启用的代理处理程序。
代理处理程序之间的故障转移可通过以下两种方法之一配置。

简单的部署故障转移
在简单的部署故障转移中，可将两个代理处理程序部署为主要和次要代理处理程序。所有代理都启动与主要代理处理
程序的通信，而仅在其不可用时才会使用次要代理处理程序。在主要代理处理程序的硬件较好且可以处理整个基础架
构的负载时，这种部署效果很好。
图 19-3 简单的代理处理程序故障转移

代理处理程序
通过负载平衡实现故障转移
第二种部署将故障转移与负载平衡结合起来。将多个代理处理程序配置到同一代理处理程序组。 McAfee ePO 服务器
将组中的每个代理处理程序插入到同一顺序级别的代理处理程序列表中。 McAfee Agent 将同一顺序水平的代理处理程
序随机化，从而使特定组中所有代理处理程序负载相等。
图 19-4 通过代理处理程序负载平衡实现故障转移
故障转移到分配列表中的下一个代理处理程序前，代理会在一个组中的所有代理处理程序之间故障转移。使用代理处
理程序组可获得负载平衡和故障转移的双重优势。
最佳实践：网络拓扑和部署注意事项
代理处理程序允许采用灵活的网络配置，但其他规划可以提高网络性能。
使用 DMZ、防火墙后台或 NAT 网络中的代理处理程序：最佳实践

如果没有代理处理程序，DMZ、防火墙后台或 NAT 网络中的任何 McAfee Agent 都可以通过 McAfee ePO 服务器查
看。但您无法管理或直接操纵 NAT 网络中的这些系统。
通过 DMZ 后台的代理处理程序，您可以将系统放置在 NAT 区域内，以便唤醒呼叫、数据通道访问等。
该代理处理程序连接要求具备 SQL 数据库和 McAfee ePO 服务器的访问权限。有些防火墙规则对该配置是必需的。
该图显示具备 DMZ 后台的托管系统和以下连接的代理处理程序：

• 与 McAfee ePO 服务器的数据通道连接
• 与 SQL 数据库的低延迟高速连接
• 代理处理程序之间的故障转移连接
图 19-5 DMZ 后台的代理处理程序
该表列出 McAfee ePO 服务器和其他网络组件使用的所有端口。
将代理处理程序连接到 McAfee ePO 服务器和 SQL 数据库的端口必须开放，以通过防火墙连接到代理处理程序。
表 19-1 使用的默认端口
服务器方向连接端口
McAfee ePO 至 Web 浏览器 HTTPS 8443
McAfee ePO 至 SQL 数据库 JDBC/SSL 1433
代理处理程序自 McAfee ePO HTTPS 8443（安装）、HTTPS 8444
代理处理程序二者 McAfee ePO HTTP 80
代理处理程序至 SQL 数据库 ADO/SSL 1433
代理处理程序至客户端 HTTP 8081
代理处理程序自客户端 HTTP 80、HTTPS 443
通过代理处理程序漫游
代理处理程序允许在企业网络站点之间漫游的用户连接到最近的代理处理程序。
只有当所有位置中的代理处理程序都在 McAfee Agent 故障转移列表中配置后才可能进行漫游。您可以修改策略和系
统排序，以便漫游系统可以在各个位置接收不同的策略。

代理处理程序
存储库缓存及其工作原理
如果 McAfee Agent 无法直接从 McAfee ePO 服务器上的主存储库中访问内容，代理处理程序会自动缓存内容和产品
更新。
默认情况下，McAfee Agent 会将主 McAfee ePO 服务器（与 Tomcat 为同一服务器）用作主存储库。如果代理无法与
其配置的远程存储库通信，则会故障回复到代理处理程序，以提取内容和产品更新。由于代理处理程序可能并不与真
正的主存储库（在 McAfee ePO 服务器上）在同一服务器上运行，所以代理处理程序会管理这些请求。代理处理程序
会透明地处理软件的请求并在从主存储库中下载所需文件后对其进行缓存。无需进行任何配置。
该图显示如果配置的远程存储库对远程系统不可用，代理处理程序会如何缓存产品更新内容。
图 19-6 代理处理程序存储库缓存
系统 1 和 2 尝试从其配置的远程存储库中提取内容或产品更新且尝试失败。
针对系统 1，默认情况下 McAfee Agent 被配置为使用作为 McAfee ePO 服务器一部分的代理处理程序 1。如果

与远程存储库的连接失败，系统 1 会直接从 McAfee ePO 服务器上的主存储库中请求内容或产品更新。
针对系统 2，如果与远程存储库的连接失败，McAfee Agent 会被配置为使用次要代理处理程序 2。
次要代理处理程序 2 从主存储库中请求内容或产品更新。
次要代理处理程序 2 会针对任何后续请求缓存这些更新并将其提供给系统 2。

您只需安装代理处理程序软件并分配系统进行管理即可将位于您网络中的中等服务器配置为代理处理程序。
您还可以将代理处理程序分组，设置故障转移优先级和创建 DMZ、防火墙后台或 NAT 网络中的虚拟代理处理程序。
无论何时更改策略、配置、客户端或服务器任务、自动响应或报告，请在更改前和更改后导出设置。
部署注意事项
在您的扩展网络中部署代理处理程序前，请考虑您现有 McAfee ePO 服务器和数据库硬件的健康状况。如果该硬件已
经超负荷，则添加代理处理程序实际上会降低 McAfee ePO 性能。
全面配置的代理处理程序与 McAfee ePO 服务器的硬件和数据库要求几乎完全相同。确定需要的代理处理程序数量
时，首先要检查数据库使用情况。如果为您的 McAfee ePO 服务器提供服务的数据库负载繁重，则添加代理处理程序
不会提高性能。升级您的 SQL Server 硬件，以利用多个代理处理程序。如果数据库当前正由中等运行负载向低运行
负载转变，则额外的代理处理程序可以帮助您扩展您的逻辑 McAfee ePO 基础架构。
McAfee 测试显示只要 McAfee ePO 数据库 CPU 负载不超过 70%，添加代理处理程序就可以提高性能。由于每个代

理处理程序都会增加一些负担，例如与数据库的数据库连接和对其进行的管理查询，所以如果添加的代理处理程序占用
的数据库 CPU 负载超过 70%，则对性能并无帮助。
代理处理程序配置概述
可以对代理处理程序进行配置，以实现按组和作为虚拟代理处理程序的负载的平衡。
通过优先级分配规则，虚拟代理处理程序允许客户端查找使用多个网络区段的不同 IP 地址的客户端。
《“McAfee ePolicy Orchestrator 安装手册”》提供有关安装远程代理处理程序软件的说明

代理处理程序
最佳实践：代理处理程序安装和配置 19
代理处理程序配置页面
要配置所有代理处理程序管理任务，请选择“菜单” | “配置” | “代理处理程序”。
图 19-7 代理处理程序配置页面
“处理程序状态”— 提供已安装代理处理程序的数量以及它们是否处于活动状态。
“新建分配”— 打开“代理处理程序分配”页面，以创建代理处理程序分配。
“编辑优先级”— 打开编辑优先级页面，以更改代理处理程序分配的优先级。
“按代理处理程序列出的系统”— 指定分配到每个代理处理程序的代理数。
要查看分配到代理处理程序的代理的详细列表，请单击列表中的代理处理程序名称或饼图中与代理处理程序区段关
联的颜色。

“处理程序组”— 指定 McAfee ePO 服务器管理的代理处理程序组的数量。
“处理程序分配规则”— 显示您的环境中代理处理程序分配列表、优先级以及规则设置的详细信息。
配置代理处理程序列表
要查看“代理处理程序”列表及其详细信息，请使用通过信息显示板访问的处理程序列表。
任务
1 请选择“菜单” | “配置” | “代理处理程序”，以配置代理处理程序。
2 单击信息显示板“处理程序状态”中的代理处理程序编号，以查看代理处理程序列表及其详细信息。
3 单击“操作”列中的设置，以禁用、启用和删除代理处理程序。
4 单击“处理程序 DNS 名称”列中的代理处理程序名称，以配置代理处理程序设置。
5 在代理处理程序设置页面中，配置以下属性。
• “已发布的 DNS 名称”
• “已发布的 IP 地址”
6 单击“保存”
配置代理处理程序组和虚拟组
您可以将代理处理程序配置到组中并创建要在 DMZ、防火墙后台或 NAT 网络中使用的虚拟处理程序。
任务
1 请选择“菜单” | “配置” | “代理处理程序”并在“处理程序组”信息显示板中，单击“新建组”，以创建代理处理程序组。
2 在代理处理程序添加/编辑组页面中，配置以下组设置：
• “组名称”— 为代理处理程序组键入名称。
• “包含的处理程序”— 使您可以：
• 单击“使用负载平衡器”，以使用第三方负载平衡器，然后在字段中键入“虚拟 DNS 名称”和“虚拟 IP 地址”（都
是必填项）。
• 单击“使用自定义处理程序列表”并使用“+”和“–”添加和删除其他代理处理程序。使用拖放手柄更改代理处理
程序的优先级。
3 单击“保存”
配置代理处理程序优先级
您可以通过设置代理处理程序的故障转移优先级配置其故障转移优先级。
当您拥有多个代理处理程序时，请将 McAfee ePO 服务器中的主要代理处理程序配置为优先级最低的代理处理程序。
该优先级：

代理处理程序
最佳实践：代理处理程序安装和配置 19
• 强制系统连接到所有其他代理处理程序，然后再连接到主要 McAfee ePO 服务器代理处理程序
• 降低 McAfee ePO 服务器的负载，使其可以执行其他任务，如显示 McAfee ePO 控制台用户界面和运行报告和服

务器任务
任务
1 请选择“菜单” | “配置” | “代理处理程序”，然后单击“编辑优先级”，以创建代理处理程序组。
2 单击并拖动代理处理程序，从而为您的网络创建所需的优先级列表。
该截图显示的 McAfee ePO 服务器显示为“ePO 1”，配置为优先级 2，“代理处理程序 1”配置为优先级 1。
针对代理处理程序配置分配
您可以分配代理，以单个或按组使用代理处理程序。
在将系统分配给代理处理程序时，请考虑邻近的地理位置，以减少不必要的网络通讯。
任务
1 请选择“菜单” | “配置” | “代理处理程序”，然后单击“新建分配”以更改代理处理程序的分配。
2 在代理处理程序分配页面中，配置以下设置：
• “分配名称”— 键入分配的名称。
• “代理标准”— 配置以下一种方法，以将代理分配到代理处理程序：
• “系统树位置”— 单击“系统树”，从对话框中选择系统树组，然后单击“确定”。
• “代理子网”— 键入 IPv4/IPv6 地址、IPv4/IPv6 地址范围、子网掩码或子网掩码范围。
• “处理程序优先级”— 要配置 McAfee Agent 使用的优先级，请选择：

• “使用所有代理处理程序”— 代理随机选择要进行通信的处理程序。
• “使用自定义处理程序列表”— 使用“+”和“–”添加或删除代理处理程序。使用拖放手柄可以更改处理程序的优

先级。


DMZ 中的代理处理程序使您能够通过安装的 McAfee Agent 直接管理系统。如果 DMZ 中未安装代理处理程序，则您
仅可以通过 McAfee ePO 服务器查看这些系统。
您在 DMZ 中安装的代理处理程序对硬件和软件有具体要求。这些要求与 McAfee ePO 服务器的要求相似。开始前，
请查看以下信息：
• 请参阅“服务器硬件要求”的“最佳实践手册”了解代理处理程序硬件和操作系统要求。
以下是在 DMZ 中配置代理处理程序的主要步骤：

1 在 McAfee ePO 内部和外部网络之间的 DMZ 中安装 Windows Server 硬件和软件。
2 配置您的 McAfee ePO 服务器和 SQL 数据库与代理处理程序之间的防火墙上的所有端口。
3 根据《“McAfee ePolicy Orchestrator 安装手册”》中的信息安装 McAfee ePO 远程代理处理程序软件。
4 如果需要，请创建系统子组，以通过代理处理程序与 McAfee ePO 服务器通信。
5 创建代理处理程序分配。
6 配置代理处理程序优先级列表并在 DMZ 中启用代理处理程序。
另请参阅
使用 DMZ、防火墙后台或 NAT 网络中的代理处理程序：最佳实践第 259 页
配置硬件、操作系统和端口
安装代理处理程序服务器硬件和软件以及配置防火墙端口是使用 McAfee ePO 管理 DMZ 后台系统的第一步。
开始之前
请确保您的代理处理程序服务器满足所有硬件和软件要求。
任务
1 通过 Microsoft Windows Server 操作系统构建代理处理程序服务器硬件。
2 将服务器安装到受保护网络中防火墙后台的 DMZ。
3 配置您的域名系统 (DNS) 服务器，以添加受保护网络中防火墙后台的代理处理程序。
4 在面向内部的防火墙上配置以下端口，以在 McAfee ePO 服务器和 DMZ 中的代理处理程序之间进行通信：
• 端口 80 — 双向
• 端口 8443 — 双向
• 端口 8444 — 双向
• 端口 443 — 双向
5 可选 — 如果您的 SQL 数据库安装在非 McAfee ePO 服务器的其他服务器上，请针对与代理处理程序的连接配置面

向内部的防火墙上的以下两个端口：
• 端口 1433 TCP — 双向
• 端口 1434 UDP — 双向
6 配置面向公众的防火墙上的以下端口，以在 McAfee ePO 服务器和 DMZ 中的代理处理程序之间进行通信：
• 端口 80 TCP — 入站
• 端口 443 TCP — 入站

代理处理程序
最佳实践：在 DMZ 中添加代理处理程序 19
• 端口 8081 TCP — 入站
• 端口 8082 UDP — 入站
安装软件和配置代理处理程序
完成 McAfee ePO 代理处理程序软件安装和配置后，您的代理处理程序使您可以直接管理 DMZ 后台的系统。
开始之前
• 您必须已在外部网络的 DMZ 中安装代理处理程序硬件和操作系统。
• 您必须具备位于下载的 McAfee ePO 安装文件中的 McAfee ePO 可执行文件的访问权限。
任务
1 安装 McAfee ePO 远程代理处理程序软件。请参阅《“McAfee ePolicy Orchestrator 安装手册”》。
2 使用以下方法之一通过代理处理程序与 McAfee ePO 服务器通信：

• 创建系统子组。该任务使用 DMZ 后台系统树中的子组“NAT 系统”。
• 在“代理子网”中，键入 IP 地址、IP 地址范围或子网掩码，使用逗号、空格或换行隔开。
3 要在 McAfee ePO 服务器上启动代理处理程序配置，请选择“菜单” | “配置” | “代理处理程序”。
4 要打开代理处理程序分配页面，请选择“新建分配”。
图 19-8 代理处理程序分配页面

5 配置以下设置：
a 键入“分配名称”。例如 NAT Systems Assignment。
b 在代理标准旁边，单击“添加树位置”和“...”，以选择系统树组（例如“NAT 系统”）并单击“确定”。
例如，选择 NAT 系统组。
c 在处理程序优先级旁边，单击“使用自定义处理程序列表”和“添加处理程序”。
d 从列表中，选择代理处理程序，以处理这些选定的系统。
忽略显示的警告。
e 单击“保存”。
6 要将代理处理程序配置为在 DMZ 后台系统中具备最高优先级，请单击“编辑优先级”并从代理处理程序配置页面中配

置以下设置：
a 通过移动代理处理程序名称将代理处理程序移至优先级列表的顶端。
b 单击“保存”。
7 在“处理程序状态”信息显示板中的“代理处理程序”配置页面中，单击代理处理程序的数量，以打开“代理处理程序列
表”页面。
图 19-9 代理处理程序设置页面
8 在代理处理程序设置页面中，配置以下设置并单击“保存”：
选项说明
已发布的 DNS 名称为代理处理程序键入配置的名称。
已发布的 IP 地址为代理处理程序键入配置的 IP 地址。
9 在处理程序列表页面中，针对 DMZ 中代理处理程序的行单击操作列中的“启用”。
指定使用代理处理程序的系统会在接下来几次代理与服务器之间的通信期间开始获取其更改。

代理处理程序
将 DMZ 中的代理处理程序连接到某个域的 McAfee ePO 服务器 19
10 请确认 DMZ 中的代理处理程序正在管理 DMZ 后台的程序：

a 在代理处理程序配置页面的“按代理处理程序列出的系统”信息显示板中，单击列表中的“代理处理程序”名称或其
在饼图中对应的颜色。
b 在代理处理程序的代理页面中，确认列表中显示正确的系统。
要使所有系统都显示在列表中，可能需要经过多次代理与服务器之间的通信。
图 19-10 代理处理程序系统页面
借助 DMZ 中通过 McAfee ePO 服务器配置的代理处理程序，您现在可以直接使用 DMZ 后台安装的 McAfee Agent 管

理系统。
将 DMZ 中的代理处理程序连接到某个域的 McAfee ePO 服务器

当 McAfee ePO 服务器在域中时，安装在 DMZ 中的代理处理程序无法连接到 McAfee ePO SQL 数据库，因为代理处
理程序无法使用域凭据。
为绕过该限制，将代理处理程序配置为使用 SQL 数据库系统管理员 (sa) 帐户凭据。
任务
1 启用系统管理员帐户。
a 打开“SQL Management Studio”，展开 “安全” | “登录”，然后双击 sa 帐户。
b 在“常规”选项卡中，键入并确认您的密码。
c 在“状态”选项卡上，将“登录”设置为“已启用”，然后单击“确定”。
d 右键单击数据库实例名称，然后单击“属性”。
此系统管理员帐户已启用。

2 更改系统管理员帐户以连接到 McAfee ePO 数据库。

a 打开 Web 浏览器并转至 https://localhost:8443/core/config-auth。
8443 是控制台通信端口。如果您使用不同的端口来访问 McAfee ePO 控制台，请在地址中添加您所使用的端口

号。
b 使用 McAfee ePO 凭据登录。
c 删除“用户域”字段中的条目，然后键入 “sa”。
d 提供系统管理员帐户的密码，然后单击“测试连接”。
e 如果测试成功，请单击“应用”。
如果测试失败，请重新输入密码，然后再次单击“测试连接”。
代理处理程序使用系统管理员凭据与 McAfee ePO 数据库进行通信。
如果在网络中使用多个代理处理程序，可以对其进行分组并设置优先级，以帮助确保网络连接通畅。
处理程序组
当网络中有多个代理处理程序时，可以创建处理程序组。您也可以向一个组中的多个处理程序应用优先级。处理程序优
先级通知代理首先与哪个处理程序进行通信。如果优先级最高的处理程序不可用，代理将会与列表中的下一个处理程序
通信。此优先级信息包含在每个代理中的存储库列表（sitelist.xml 文件）中。当您更改处理程序分配时，此文件会在代
理与服务器的通信过程中进行更新。代理在收到分配后，会等待直到进行下一次定期计划通信再实现它们。您可以执行
即时代理唤醒呼叫来立即更新代理。
处理程序的分组和优先级分配是可自定义的，因此可以满足特定环境的需要。下面是对处理程序进行分组的两种常见情
形：
• 使用多个处理程序实现负载平衡
网络中可能有大量托管系统，您希望将代理与服务器之间的通信工作负载和策略强制实施工作负载分布到这些系统
上。您可以对处理程序列表进行配置，以便代理随机选择要与之通信的处理程序。
• 设置备用计划以确保代理与服务器进行通信
可能会有多个系统分布到广泛的地理区域。通过为分散在该区域内的每个处理程序分配优先级，可以指定要与代理
进行通信的处理程序以及通信顺序。这可以创建备用代理通信，从而帮助确保网络上的托管系统保持最新，这与备
用存储库确保新的更新对于代理可用极为相似。如果优先级最高的处理程序不可用，代理将使用下一个具有最高优
先级的处理程序。
除了在一组处理程序内分配处理程序优先级之外，还可以跨多组处理程序设置处理程序分配优先级。这会为环境添加冗
余，从而进一步确保代理能够始终收到其所需的信息。
Sitelist 文件
代理使用 Sitelist.xml 和 Sitelist.info 文件来确定要与之进行通信的处理程序。每当更新处理程序分配和优先级时，这些
文件会在托管系统上进行更新。在更新这些文件之后，代理会在进行下一个代理与服务器的计划通信时实现新的分配或
优先级。
将 McAfee 代理分配给代理处理程序
将代理分配给特定的处理程序。系统分配可以逐个进行，也可以按组和按子网进行。
处理程序分配可以指定要使用的单个处理程序或处理程序列表。您指定的列表可以由单个处理程序或处理程序组组成。

代理处理程序
管理代理处理程序分配 19
任务
1 选择 “菜单” | “配置” | “代理处理程序”，然后单击 “操作” | “新建分配”。
2 为该分配指定唯一名称。
3 使用以下“代理标准”选项中的一项或二者都用，指定该分配的代理：
• 浏览至“系统树位置”。
• 在“代理子网”字段中键入托管系统的 IP 地址、IP 范围或子网掩码。
4 通过确定是否执行以下操作指定“处理程序优先级”：
• “使用所有代理处理程序” — 代理随机选择要进行通信的处理程序。
• “使用自定义处理程序列表” — 使用自定义处理程序列表时，请从下拉菜单中选择处理程序或处理程序组。
使用自定义处理程序列表时，请使用“+”和“-”，以添加或移除更多代理处理程序（一个代理处理程序可属于多个
组）。使用拖放手柄可以更改处理程序的优先级。优先级可以确定代理首先尝试与哪个处理程序进行通信。
管理代理处理程序分配
完成代理处理程序分配的常见管理任务。
要执行这些操作，请选择 “菜单” | “配置” | “代理处理程序”，然后在“处理程序分配规则”中单击“操作”。
可完成的操作… 操作方法...
删除处理程序分在选定分配所在的行上单击“删除”。
配
编辑处理程序分单击用于选定分配的“编辑”。此时会打开代理处理程序分配页，在该页上可以指定：
配
• “分配名称” — 用来标识此处理程序分配的唯一名称。
• “”“代理标准” — 包括在此分配中的系统。您可以添加和删除系统树组，也可以在该文本框中修改
系统列表。
• “处理程序优先级” — 选择是使用所有的代理处理程序还是使用自定义的处理程序列表。当“使用
所有代理处理程序”处于选中状态时，代理会随机选择要与之通信的处理程序。
使用拖放手柄可以快速更改自定义处理程序列表中处理程序的优先级。
导出处理程序分单击“导出”。此时会打开下载代理处理程序分配页，在该页上可以查看或下载
配 AgentHandlerAssignments.xml 文件。
导入处理程序分单击“导入”。此时会打开导入代理处理程序分配对话框，在该对话框中可以浏览至以前下载的
配 AgentHandlerAssignments.xml 文件。
编辑处理程序分单击“编辑优先级”。此时会打开代理处理程序分配 | 编辑优先级页，在该页上可以使用拖放手柄更
配的优先级改处理程序分配的优先级。
查看处理程序分在选定分配所在的行上单击 “>”。
配详细信息的摘
要
创建代理处理程序组
处理程序组更便于管理整个网络中的多个处理程序，而且它们在备用策略中也能起到一定的作用。

任务
1 选择 “菜单” | “配置” | “代理处理程序”，然后在“处理程序组”中单击“新建组”。

此时会显示添加/编辑组页。
2 指定组名称和“包括的处理程序”详细信息：
• 单击“使用负载平衡程序”以使用第三方负载平衡程序，然后输入“虚拟 DNS 名称”和“虚拟 IP 地址”（它们都是必
填的）。
• 单击“使用自定义处理程序列表”指定此组中包括的代理处理程序。
在使用自定义处理程序列表时，可以从“包括的处理程序”下拉列表中选择处理程序。使用“+”和“-”在列表中添加和
删除其他代理处理程序（一个代理处理程序可包含在多个组中）。使用拖放手柄可以更改处理程序的优先级。优
先级可以确定代理首先尝试与哪个处理程序进行通信。
完成代理处理程序组的常见管理任务。
要执行这些操作，请选择 “菜单” | “配置” | “代理处理程序”，然后单击“处理程序组”监视器。
操作步骤
删除处理程序组在选定组所在的行上单击“删除”。
编辑处理程序组单击处理程序组。此时会打开代理处理程序组设置页，在该页上可以指定：
• “虚拟 DNS 名称” — 用来标识此处理程序组的唯一名称。
• “虚拟 IP 地址” — 与此组关联的 IP 地址。
• “包括的处理程序” — 选择是使用第三方负载平衡器还是使用自定义处理程序列表。
使用自定义处理程序列表可以指定要与分配给此组的代理进行通信的处理程序以及通信顺序。
启用或禁用处理程在选定组所在的行上单击“启用”或“禁用”。
序组
在处理程序之间移动代理
将代理分配给特定的处理程序。您可以使用代理处理程序分配规则、代理处理程序分配优先级或单独使用系统树来分配
系统。
任务
• 使用代理处理程序分配对代理进行分组第 273 页
创建代理处理程序分配，以将 McAfee Agent 组合到一起。
• 按分配优先级对代理进行分组第 273 页
组合代理并将其分配到使用分配优先级的代理处理程序。
• 使用系统树对代理进行分组第 274 页
组合代理并将其分配到使用系统树的代理处理程序。

代理处理程序
在处理程序之间移动代理 19
使用代理处理程序分配对代理进行分组
创建代理处理程序分配，以将 McAfee Agent 组合到一起。
在将代理分配给代理处理程序时，请考虑邻近的地理位置，以减少不必要的网络通讯。
任务
1 选择 “菜单” | “配置” | “代理处理程序”，然后单击需要的处理程序分配规则。

此时会显示代理处理程序分配页。
如果默认分配规则是列表中唯一的分配，则必须创建一个分配。
2 键入一个名称作为“分配名称”。
3 可以使用下列选项按系统树位置、按代理子网或者单独配置“代理标准”：
• “系统树位置” — 从“系统树位置”中选择组。
可以通过浏览从选择系统树组对话框中选择其他组，然后使用“+”和“-”添加和删除所显示的系统树组。
• “代理子网” — 在该文本字段的文本框中，键入 IP 地址、IP 地址范围或子网掩码。
• 单独 — 在该文本字段中，键入特定系统的 IPv4/IPv6 地址。
4 您可以将处理程序优先级配置为“使用所有代理处理程序”或“使用自定义处理程序列表”。单击“使用自定义处理程序
列表”，然后按照下列方式之一更改处理程序：
• 通过向列表中添加另一个处理程序并删除以前关联的处理程序来更改关联的处理程序。
• 向列表中添加其他处理程序，并设置代理与处理程序进行通信时所采用的优先级。
在使用自定义处理程序列表时，可以使用“+”和“-”在列表中添加和删除其他代理处理程序（一个代理处理程序可
包含在多个组中）。使用拖放手柄可以更改处理程序的优先级。优先级可以确定代理首先尝试与哪个处理程序进
行通信。
按分配优先级对代理进行分组
组合代理并将其分配到使用分配优先级的代理处理程序。
此列表定义代理使用特定代理处理程序尝试通信的顺序。
任务
1 选择 “菜单” | “配置” | “代理处理程序”。
如果“默认分配规则”是列表中唯一的分配，则必须创建一个新分配。
2 使用“按分配规则对代理进行分组”任务中的步骤编辑分配。

常见问题
3 根据需要修改分配的优先级或层次结构，方法是单击 “操作” | “编辑优先级”。
如果将一个分配移至低于另一个分配的优先级，则会创建这样一个层次结构：优先级较低的分配实际上是优先级较
高的分配的一部分。
4 要更改某个分配的优先级（显示在左侧的“优先级”列中），请执行以下操作之一：
• 使用拖放手柄 — 使用拖放手柄将分配行向上或向下拖动到“优先级”列中的另一个位置。
• 单击“移到顶部” — 在“快速操作”中，单击“移到顶部”将选定的分配自动移到最高优先级处。
5 在正确配置分配的优先级后，单击“保存”。
使用系统树对代理进行分组
组合代理并将其分配到使用系统树的代理处理程序。
任务
1 选择 “菜单” | “系统” | “系统树” | “系统”。
2 在“系统树”列中，导航至要移动的系统或组。
3 使用拖放手柄将系统从当前配置的系统组移到目标系统组。
常见问题
以下为常见问题的解答。
哪些数据被发送到 McAfee ePO 服务器，哪些数据被发送到数据库？

数据通道是 McAfee 产品的机制，用于在其端点插件和管理扩展之间传递消息。数据通道将从代理处理程序中
发送的大部分数据提供给应用程序服务器。在内部，它会被 McAfee ePO 服务器用于代理部署和唤醒进度信息
传递。代理属性、标记和策略比较等其他功能是直接针对 McAfee ePO 数据库执行。
如果未在存储库列表中定义 McAfee ePO 服务器，是否仍会执行复制操作？
是的，如果代理联系代理处理程序，以获取软件包，则代理处理程序会从 McAfee ePO 服务器主存储库中检索
这些软件包。
数据库和代理处理程序之间的通信使用多少带宽？
代理处理程序和数据库之间的带宽会根据连接到该代理处理程序的代理数量而异。但每个代理处理程序会对数
据库服务器产生以下固定负载：
• 检测信号（每分钟更新一次）
• 工作队列（每 10 秒钟检查一次）
• 保持对数据库开放的数据库连接（针对 EventParser 的每个 CPU 两个连接，针对 Apache 的每个 CPU 四个

连接）
一个代理处理程序可以支持多少个代理？
如果部署的节点不足 100,000 个，则无需对代理处理程序进行扩展。任何阶段都可能需要用于拓扑或故障转移
的代理处理程序。可以考虑每 50,000 个节点设置一个代理处理程序。
我应该针对代理处理程序使用何种硬件和操作系统？

代理处理程序
常见问题 19
使用 Microsoft Server 操作系统（2008 SP2+ 服务器或 2012 64 位服务器）。
非服务器操作系统版本对传入网络连接数量设有苛刻 (~10) 的限制。
另请参阅
使用 DMZ、防火墙后台或 NAT 网络中的代理处理程序：最佳实践第 259 页
存储库缓存及其工作原理第 261 页

常见问题

20 维护您的 McAfee ePO 服务器、SQL 数据库和带宽
McAfee ePO 服务器得到配置且为系统提供保护后，您要执行一些任务，以保持服务器在最佳状态运行。
目录
维护您的 McAfee ePO 服务器
管理 SQL 数据库
带宽使用率

一般来说 McAfee ePO 服务器并不需要定期维护，但如果您的服务器性能发生变化，请执行以下步骤，然后再联系技
术支持团队。
McAfee ePO 服务器使用的 SQL 数据库需要进行定期维护和备份，以确保 McAfee ePO 正常工作。
最佳实践：监控服务器性能
定期检查您的 McAfee ePO 服务器工作负担，以便创建基准并避免出现性能问题。
如果您担心 McAfee ePO 服务器存在性能问题，请使用 Windows 任务管理器和 Windows Server 可靠性和性能监视器
检查性能。
使用 Windows 任务管理器
如果您的 McAfee ePO 服务器存在性能问题，首先要在服务器上打开 Windows 任务管理器并检查 McAfee ePO 服务
器性能。
• 是否存在过量分页？
• 物理内存是否被过度使用？
• CPU 是否被过度使用？
请参阅《“如何使用 Windows 任务管理器并进行故障排除”》(http://support.microsoft.com/kb/323527)，以了解详细信

息。
使用 Windows 可靠性和性能监视器
安装 McAfee ePO 服务器时，会将自定义计数器添加到内置的 Windows 可靠性和性能监视器。这些计数器可以提供
信息，让您认识到 McAfee ePO 服务器的工作强度。
您必须要使用 32 位版本的可靠性和性能监视器，位置为：C:\Windows\SysWOW64\perfmon.exe。默认的 64 位版本的

可靠性和性能监视器未添加自定义的 McAfee ePO 计数器。
有关 Microsoft Windows 性能监视器的信息，请参阅以下链接：

• 《“配置性能监视器显示器”》(http://technet.microsoft.com/en-us/library/cc722300.aspx)
• 《“使用性能日志”》(http://technet.microsoft.com/en-us/library/cc721865.aspx)
查找和使用性能监视器
若要将自定义 McAfee ePO 计数器与 Windows 性能监视器搭配使用，您必须要使用 32 位版本的工具。
该图显示如何查找和使用 Windows 性能监视器。
图 20-1 Windows 性能监视器显示 ePolicy Orchestrator 服务器计数器
若要查找 32 位 Windows 性能监视器，请使用 Windows Explorer 并导航至 C:\Windows\SysWOW64，然后找

到“perfmon.exe”并双击该程序。
要确认是否已打开 32 位版本的性能监视器，请单击“监控工具” | “性能监视器”、“添加计数器”，然后单击“+”符
号，以打开添加计数器对话框。
若要查找 McAfee ePO 服务器计数器，请向下滚动至计数器列表，查找“ePolicy Orchestrator 服务器”并展开该
列表。
现在您可以开始使用计数器测试 McAfee ePO 服务器性能并为之创建基准。
将 perfmon 与 McAfee ePO 搭配使用：最佳实践

32 位 Windows 可靠性和性能监视器 (perfmon) 是用于开发服务器基准的工具，可以帮助您管理服务器性能。
任务
1 启动 Windows 性能监视器。
2 在“添加计数器”列表中，浏览或向下滚动至“ePolicy Orchestrator 服务器”计数器选择，然后单击“+”展开计数器列

表。

维护您的 McAfee ePO 服务器、SQL 数据库和带宽
维护您的 McAfee ePO 服务器 20
3 若要以报告的形式查看输出，请单击“更改图形类型”图标并从列表中选择“报告”。
例如，“打开 ePO 代理连接”计数器会告知您多少个代理同时与 McAfee ePO 服务器通信。健康状态下的 McAfee

ePO 服务器会将该数字保持在较低水平，通常小于 20。对于不堪重负的 McAfee ePO 服务器，该数字会超过 200
（上限为 250）并一直保持在较高水平，很少会降低到 20 以下。
4 单击“添加”，将选定的计数器移至“已添加”计数器列表，然后单击“确定”。
5 若要确定 McAfee ePO 服务器承担的压力以及服务器处理所有代理中事件的效率，请添加以下计数器，然后单击

“确定”。
• “完成的代理请求数/秒” • “最大事件解析器线程”
• “当前运行的事件解析器线程” • “打开 ePO 代理连接”
• “数据通道饱和” • “处理器事件数/秒”
• “数据通道线程” • “静态事件队列长度”
• “事件队列长度”
此处所列的测试只是您可以通过 McAfee ePO 服务器使用 Windows 性能监视器执行的操作的一部分。其他有关

Windows 性能监视器的信息，请访问以下 Microsoft 网站：
• 《“配置性能监视器显示器”》(http://technet.microsoft.com/en-us/library/cc722300.aspx)
• 《“使用性能日志”》(http://technet.microsoft.com/en-us/library/cc721865.aspx)
检查事件处理：最佳实践
McAfee ePO 数据库事件文件夹中显示的事件数量表示您的 McAfee ePO 服务器的性能。
任务
1 通过 Windows 资源管理器，导航至以下文件夹：
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Events
该文件夹任何时候都可能显示几十或几百个事件。
在较大型的环境中，该文件夹经常每分钟要处理数千个事件。
2 多次单击“刷新”图标，然后查看状态栏，以了解该文件夹中快速变化的文件数量。
如果文件夹中存在数千个文件且 McAfee ePO 无法处理这些文件，则服务器可能会尽量以合理的速度处理这些事

件。
根据在一天中不同的时间，该事件文件夹出现波动是正常现象。但是如果该文件夹中存在数千个文件且仍在不断增
加，则表明可能存在性能问题。
3 请确认事件生成的速度不会超过事件解析器的处理速度。否则会导致文件夹快速增长。利用以下步骤确认事件解

析器正在运行。
a 若要打开 Windows Services Manager 并确认事件解析器正在运行，请单击“开始”、“运行”，键入 services.msc
并单击“确定”。
b 在“服务管理器”列表中，查找“McAfee ePolicy Orchestrator 5.9.0 事件解析器”并确认其处于“已启动”状态。
4 通过以下步骤检查事件解析器日志文件，以查看是否存在任何错误。
a 请通过该路径访问日志文件文件夹：
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Logs

b 打开该日志文件并检查是否存在错误：
“eventparser_<服务器名称>.log”
5 如果事件生成速度仍超过事件解析器的处理速度，请执行以下步骤：
a 重新打开“服务管理器”列表并临时停止以下三项 McAfee ePO 服务：
• McAfee ePolicy Orchestrator 5.9.0 应用程序服务器
• McAfee ePolicy Orchestrator 5.9.0 事件解析器
• McAfee ePolicy Orchestrator 5.9.0 服务器
b 将 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Events\ 文件夹的内容移至其他位置；或者如果您

不担心丢失数据，也可以删除事件。
维护 SQL 数据库
若要帮助 McAfee ePO 服务器正常工作，您必须要具备性能良好的 SQL 数据库。该数据库是 McAfee ePO 服务器使
用的所有数据的中心存储位置，因此需要进行维护。
维护 McAfee ePO SQL 数据库最佳实践

SQL 数据库需要定期维护和备份，以确保 McAfee ePO 正常工作。
McAfee ePO SQL 数据库包含 McAfee ePO 正常工作所需的所有内容；您的系统树结构、策略、管理员、客户端任务
和配置设置。
定期执行以下任务，以维护 SQL Server：

• 定期备份 McAfee ePO SQL 数据库及其事务日志。
• 定期重新索引您的数据库。
• 定期重新构建您的数据库。
• 通过服务器任务清除较早的事件。
定期备份您的 SQL 数据库，以防 SQL 数据库或 McAfee ePO 服务器环境出现故障。如果必须要重新构建或还原

McAfee ePO 服务器，当前备份可确保提供安全副本。此外，如果您正在使用 Microsoft 网站中的信息，《“完整数据
库备份 (SQL Server)”》(https://msdn.microsoft.com/en-us/library/ms186289.aspx)，您的事务日志会继续无限增长下
去，直到执行完整备份。
表数据碎片
数据库中最大的性能问题之一是表数据碎片。例如，表碎片就像大型书籍后面的索引。书籍中的一个索引条目可能选
择分布于整本书中的多个页面。您必须要扫描每一页来找到要查找的特定信息。
该分段索引不同于电话簿的索引，并不是以排序顺序存储数据的。名称“Jones”的典型查询结果可能会跨越连续多页，
但它们总是按顺序排列。
就数据库而言，开始时数据会像电话簿中的顺序一样排序，但随着时间推移，其数据会更像大型书籍的索引一样排序。
您必须要经常恢复数据，以重新创建电话簿的顺序。这是重新索引和重新构建 McAfee ePO SQL 数据库的重要性所
在。随着时间的推移，数据库中的数据碎片会逐渐增多，尤其是当管理每天要写入数千个事件的大型环境时。
设置维护任务仅需几分钟的时间而且是在 McAfee ePO 服务器上维护正常性能必需的任务，这样可以自动重新索引和

重新构建您的 McAfee ePO SQL 数据库。您可以将重新索引包含到您的日常备份计划中，从而将各项操作合并到一项
任务中。
请勿缩减您的数据库。数据文件缩减会造成严重的索引碎片。缩减数据库是许多管理员在构建维护任务时常犯的错误。

详细了解
有关创建维护任务的详细信息，请参阅知识库文章通过 SQL Server Management Studio 维护 McAfee ePO 数据库的
推荐计划，KB67184。
若要了解更多有关数据库碎片，以及如何确定数据库中是否存在碎片的信息，请使用《“了解 SQL Server 的 DBCC

SHOWCONTIG”》(http://www.sql-server-performance.com/2002/dt-dbcc-showcontig/) 中介绍的 DBCC 命令。
若要了解更多有关如何维护和优化 SQL 数据库的信息，请参阅以下文档：

• 《通过优化 SQL 提高 “McAfee ePO 性能”》(https://community.mcafee.com/docs/DOC-2926)
• 《“McAfee ePO 维护实用工具”》(https://community.mcafee.com/docs/DOC-4021)
最佳实践：通过 test.udl 文件测试 SQL 数据库连接性

如果出现数据库连接问题，您可以使用 test.udl 文件确认从 McAfee ePO 服务器访问 SQL 数据库时所使用的数据库凭
据。
开始之前
您必须要了解 SQL 数据库服务器名称和服务器上的数据库名称。使用 https://<localhost>:8443/core/
config-auth URL 了解该信息。
如果您正对 McAfee ePO 数据库连接问题进行故障排除，可能会在 orion.log 文件中看到以下错误：
用户登录失败。” 用户并未与受信任的 SQL Server 连接建立关联
任务
1 在 McAfee ePO 服务器上，创建名称为 test.udl 的文件。
2 双击您创建的文件，以显示“数据链接属性”用户界面。
3 单击“提供商”选项卡，从 OLE DB 提供商列表中选择“Microsoft OLE DB Provider for SQL Server”，然后单击“下一

步”。
4 在“连接”选项卡上，配置以下设置：
• “选择或输入服务器名称” — 通过以下格式键入服务器名称、实例和端口：
<servername>\<instancename>,<port>.
如果未使用命名的数据库实例，请使用以下格式：<servername>,<port>
• “输入信息，登录服务器” — 键入 SQL 数据库凭据。
• “选择服务器上的数据库” — 键入数据库名称。
5 单击“测试连接”。
Microsoft Data Link 对话框应显示“测试连接成功”。
最佳实践：建议的任务
McAfee 建议每日、每周和每月执行某些任务，以确保您的托管系统得到保护而且 McAfee ePO 服务器能够高效运行。
由于各种网络互有差异，所以您的环境可能在此部分需要更为详细的步骤，也可能只需要其中部分步骤。
以下为建议的最佳实践，并不保证 100% 能够防止发生安全风险。

此处介绍的流程有些共同特点：
• 了解流程后，执行时不会占用太长时间。
• 这些都是可重复、可管理且很有效的做法。
• 它们都是以 McAfee 专家和 IT 管理员的输入为基础的。
建议的日常任务：最佳实践
至少每天执行一次 McAfee 建议的任务，以确保您的 McAfee ePO 服务器托管系统免受威胁攻击而且 McAfee ePO 服
务器能够正常工作。
对策略或任务做出任何重大改变前，McAfee 建议您在 McAfee ePO 数据库中备份数据库或创建记录的快照。
图 20-2 建议的 McAfee ePO 每日任务

有关各项建议的每日任务的详细信息，请参阅下表。
如果有说明，某些任务可以自动化。这些说明包含在该手册中。
表 20-1 建议的 McAfee ePO 每日任务详细信息

任务说明
每日威胁任务
定期检查 McAfee ePO 信息全天查看信息显示板，以了解威胁、检测和趋势。
显示板，以了解威胁事件。
设置自动响应，从而在达到威胁活动阈值时向管理员发送电子邮件。
检查产品针对威胁事件的特检查任意事件的报告，这可能表示环境中出现新漏洞。创建服务器任务，以计划查询

定报告，如 VirusScan 并将结果发送给您。利用该数据，您可能要创建策略或编辑现有策略。
Enterprise、Endpoint
Security、Access Protection
或 McAfee Host IPS
对警报做出反应。如果发现新警报，请根据公司的内部流程处理恶意软件。收集示例并将其发送至
McAfee，然后尽力清理环境。请确保特征码文件得到更新并根据需要运行按需扫描。
请参阅《查找可能被感染文件的故障排除流程》，KB53094。
定期运行查询或查看信息显示板，以检查从托管设备中收集的警报。还要注意以下威
胁迹象：
• 不明流程占用较高 CPU 使用率
• 网络流量异常上升
• 除您之外的其他人添加或删除服务
• 无法访问网络或管理共享
• 应用程序或文件停止工作
• 启动应用程序时添加了不明注册表项
• 脱离您掌控更改的任何浏览器主页
• 检查 VSE：趋势分析数据信息显示板并查看 VSE：DAT 部署信息，以确定特征码文
件是否为最新状态。
• 在端点上创建或更改的文件（请查看“访问保护规则”）。
请每天至少查看一次要访问 McAfee Labs 威胁站点，请选择“菜单” | “报告” | “信息显示板”。选择“ePO 摘

McAfee Labs 威胁站点中的要”信息显示板并在 “McAfee 链接”中单击“Global Threat Intelligence”。
McAfee Global Threat
Intelligence (GTI)。
检查前 10 个报告，以了解 McAfee ePO 提供预配置的前 10 个报告，可以显示您环境中有关感染情况的统计信
在站点、组、系统和用户级息。确定哪些用户、系统和网络部分感染最为严重或漏洞最多。这些报告可能会反映
别的感染情况。出网络中的漏洞，从而调整相应位置的策略。
每日安全维护任务
检查 DAT 部署报告。务必要将最新的 DAT 文件 100% 部署到所有托管系统中。请确保客户端将更新任务配
置为每天运行多次，以维持 DAT 文件的最新状态。
全天多次运行 VSE：DAT 应用、VSE：最近 24 小时的 DAT 应用、查询或 VSE：
DAT 部署查询，以确保系统运行的是最新 DAT。
检查合规性查询和报告。在查询和报告中，查找合规性查询，以确定未使用引擎、修补程序或补丁更新托管产
品版本的系统。
创建流程，以确保系统处于最新状态。例如，运行更新或部署任务，以确保合规性。
不合规的系统数量会一直下降，直到所有系统都已签入并更新其软件。

表 20-1 建议的 McAfee ePO 每日任务详细信息（续）

任务说明
查看非活动代理日志，以确在服务器任务中，运行非活动代理清理任务。该任务可确定指定天数、周数或月数未
定哪些系统并未报告到连接到 McAfee ePO 服务器的系统。您可以使用该任务将非活动系统移至系统树中的
McAfee ePO。新组，标记系统，删除系统或通过电子邮件发送报告。
如果系统已连接网络但无法签入到 McAfee ePO 服务器，您可以执行以下操作之一：
• 使用“Ping 代理”或“代理唤醒呼叫”，以检查系统是否在线以及是否能够与 McAfee
ePO 服务器执行代理与服务器之间的通信。
• 重新安装 McAfee Agent，以确保系统保持与 McAfee ePO 服务器的通信。
请确保 Active Directory 或 Active Directory 或 NT 域同步提取必须由 McAfee ePO 托管的新系统和容器的列表。

NT 同步正常运行。如果列表得到使用，请确认“同步”任务可以配置为每天至少运行一次而且正在正常运
行。
如果同步失败，则系统在网络上容易受到攻击，主要是面临受感染的风险。
请确认每天至少运行一次内通过威胁信息显示板确认这些扫描的结果表明威胁数量并未增加。
存流程扫描。
经常运行内存流程扫描，因为该扫描速度快，无干扰。
检查 Rogue System Rogue System Detection 会告知您哪些设备连接到网络。它会报告非托管系统，从而

Detection 可以快速找到并从网络中删除这些系统。
每日 SQL 数据库任务
对 McAfee ePO 数据库执行使用 Microsoft SQL Enterprise Manager 备份 McAfee ePO 数据库。完成备份后，请
增量备份。验证操作是否成功。
您可以使用 McAfee ePO 灾难恢复功能为 McAfee ePO 数据库中的记录创建快照，以

根据需要快速恢复或重新安装您的软件。
请参阅以下文件，以了解其他信息：
• 《“灾难恢复”详细信息手册》
• 如何通过 SQL Server Management Studio 备份和还原 ePO 数据库，KB52126
• McAfee ePO 服务器备份和灾难恢复过程，KB66616
另请参阅
灾难恢复组件第 92 页

建议的每周任务：最佳实践
至少每周执行一次 McAfee 建议的任务，以确保您的 McAfee ePO 服务器托管系统免受威胁攻击而且 McAfee ePO 服
图 20-3 建议的 McAfee ePO 每周任务
有关各项建议的每周任务的详细信息，请参阅下表。
表 20-2 建议的 McAfee ePO 每周任务详细信息

任务说明
每周 McAfee ePO 任务
在 McAfee 网站上或从软 McAfee 定期发布补丁和修补程序，以及 DAT 和引擎更新。经常查看 McAfee 网站和
件管理器中检查 McAfee McAfee ePO 软件管理器，以获得签入到 McAfee ePO 控制台进行本地环境测试所需的最
产品修补程序、扩展和补新更新。您还可以使用软件管理器下载并签入这些更新。
丁更新。
DAT 和引擎文件并不通过软件管理器更新。

表 20-2 建议的 McAfee ePO 每周任务详细信息（续）

任务说明
对所有分布式存储库运行分布式存储库会因为复制任务不完整而受损。通过每周对所有分布式存储库运行一次完
完全复制。全复制操作，删除存储库中的受损文件。完全复制任务会删除现有存储库内容并使用新
文件替换它们。
增量复制任务仅会复制新的或不存在的文件，而无法修复任何受损文件。
运行分布式存储库状态。选择“菜单” | “报告” | “查询和报告”。查找并运行“分布式存储库状态”报告，以确定更新分

布式存储库时是否出现任何故障。如果出现故障，请重新运行复制操作并确保没有再次
出现故障。
对您环境中的所有系统设对您环境中的所有系统设置按需扫描计划，以在非工作时间运行。
置按需扫描计划。请参阅以下文件，以了解其他信息：
• 在 VirusScan Enterprise 8.8 中执行按需扫描的最佳实践，KB74059
• 在 VirusScan Enterprise 8.8 中执行按需扫描的最佳实践，TU30280 — 教程。
• VirusScan Enterprise 8.8 产品手册 – 有关配置按需扫描的详细信息
• 如何针对事件 '1203 创建 McAfee ePO 验证报告，KB69428。
每周 SQL 数据库任务
备份 McAfee ePO SQL 使用 Microsoft SQL Enterprise Manager 备份 McAfee ePO 数据库。完成备份后，请验
数据库。证操作是否成功。
您可以使用 McAfee ePO 灾难恢复功能为 McAfee ePO 数据库中的记录创建快照，以根

据需要快速恢复或重新安装您的软件。
请参阅以下文件，以了解其他信息：
• 如何通过 SQL Server Management Studio 备份和还原 ePO 数据库，KB52126
• McAfee ePO 服务器备份和灾难恢复过程，KB66616
每周 Windows Server 操作系统任务

从 Active Directory 中删 Active Directory 提取必须由 McAfee ePO 托管的新系统和容器的列表。确认将同步任务
除非活动系统。配置为每天至少运行一次且在正常运行。
如果同步失败，则系统在网络上容易受到攻击，主要是面临受感染的风险。
另请参阅
复制任务第 250 页
灾难恢复组件第 92 页

建议的每月任务：最佳实践
至少每月执行一次 McAfee 建议的任务，以确保您的 McAfee ePO 服务器托管系统免受威胁攻击而且 McAfee ePO 服
图 20-4 建议的 McAfee ePO 每月任务
有关各项建议的每月任务的详细信息，请参阅下表。
表 20-3 建议的 McAfee ePO 每月任务详细信息

任务说明
McAfee ePO 每月任务
清除事件，以减少数据库大小。自动清除事件。
删除并更新重复 GUID。运行重复代理 GUID 服务器任务，以查找并修复您环境中的任意重复 GUID。
还要运行以下服务器任务：
• “代理 GUID 重复 - 清除错误计数”
• “代理 GUID 重复 - 删除可能具有重复 GUID 的系统”
查看审核日志。查看 McAfee ePO 审核日志，以确保具有管理权限的个人对系统配置、任务

和策略仅执行经批准的更改。
验证 McAfee ePO 管理员和审阅者 ID 请确认只有被授权拥有管理权限的员工在 McAfee ePO 系统中具备配置得当
的 ID 和合理的权限集。

表 20-3 建议的 McAfee ePO 每月任务详细信息（续）

任务说明
SQL 数据库任务
运行您的 McAfee ePO SQL 数据库维设置并运行 SQL 每月维护计划。请参阅《通过 SQL Server Management
护计划。 Studio 执行 McAfee ePO 数据库的建议维护计划》，KB67184。
每月 Windows Server 操作系统任务
确认 McAfee ePO 上的 Microsoft 操查看并实施所有 Microsoft 补丁，以避免出现漏洞并降低风险。
作系统和其他供应商的补丁级别都是
最新的。其他供应商可能也发布补丁，需要相应地进行更新，以减少环境中的漏洞。
另请参阅
最佳实践：自动清除事件第 210 页
根据查询清除事件第 210 页
最佳实践：查找 GUID 相同的系统第 209 页
审核日志第 130 页
定期任务：最佳实践
执行定期维护任务对于确保 McAfee ePO 服务器正常运行非常重要。虽然无需每天、每周或每月都执行所有任务，但
定期任务对于确保站点整体健康、安全和灾难恢复计划的更新都很重要。
创建定期维护日志，以记录执行维护的日期、执行者以及任何有关所执行任务的维护方面的备注。
任务说明
定期评估您的环境、策略和策略分组织的需要会改变。定期查看现有策略和策略分配，以确保其在环境中仍可发
配，以确认其是否仍适用。挥作用。减少策略可以简化服务器管理。
定期查看现有客户端任务和任务分客户端任务对 McAfee ePO 托管的系统运行扫描，并对其部署产品更新、产品
配，以确保这些任务仍需存在。补丁和修补程序等。清除不使用的任务，以降低系统复杂性，避免其最终影响
数据库大小。
查看现有标记和标记条件，以确保使用标记代替系统树组，以合并或选择要执行操作的一组系统。例如，发送更
这些标记仍与您的环境有关联。新、部署 McAfee 托管产品或运行扫描。标记虽然用途很大，但您必须监控标
记，以确保其有用性并达到预期效果。
定期查看产品扩展（如 VirusScan 您必须要尽量具体地确定环境中的排除项。
Enterprise）并将其包括/排除（如铲平更改会影响到您配置的排除项。定期查看排除项，以确保其仍能实现预期
访问保护规则），以验证其相关目标。另外，您可以使用“高风险按访问”扫描和“低风险按访问”扫描配置，以扩
性。大排除项。
设置系统树结构，或通过另一种方法 – 使用标记，以控制排除项。
进行任意硬件更换或删除您要废弃随着网络和组织的变化，您可能会发现更改所使用存储库的位置和类型可以实
的任意存储库。现更高效的服务覆盖。
请确保您具备所需的软件，如最新务必要使用最新版本的 McAfee 托管产品，以确保您可以为这些产品提供技术
版本的 McAfee Agent。支持。此外，您还要拥有最新功能和修补程序。
从主存储库和分布式存储库中删除将磁盘空间占用率保持在最低水平并从 McAfee ePO 服务器和分布式存储库中
任何不受支持或您不使用的软件。删除不用的产品。仅在主存储库中保留您的环境中当前使用的产品。
查看您的系统树并删除 30 天内未与确保系统树组织有序并删除不再使用或不再报告到 McAfee ePO 的系统。经清
McAfee ePO 服务器通信或已被废理的系统树可以确保报告中不包含不相关的信息。设置服务器任务，以删除非
弃的所有代理。活动系统。
删除不再使用的服务器任务。仅在任务列表中保留您要使用的服务器任务。您可以随时禁用您要保留但不常
使用的任务。尽量精简常用任务列表可以降低 McAfee ePO 复杂性。
删除不再相关的自动响应。自动响应的配置是在必须解决恶意软件事件威胁、客户端威胁或合规性问题时
向个人提供警报，尤其是系统管理员。

管理 SQL 数据库 20
任务说明
删除使用 McAfee ePO 服务器任务从“系统树”中删除系统和产品属性不完整或丢失的系统。这些系统会扭曲报告
的外壳系统。和查询，并占用 McAfee ePO 数据库中的空间。
监控数据库大小查看 McAfee ePO 数据库大小并确定是否清除报告到 McAfee ePO 的事件以及
清除频率。请参阅《如何确定 ePolicy Orchestrator 数据库较大的原因》，
KB76720。
要清除数据库中的事件，请参阅《如何删除旧事件并缩减 ePolicy Orchestrator
数据库》， KB68961 以及《如何清除“审核日志”、“服务器任务日志”和“威胁事
件日志”》。
备份、还原、维护和管理 SQL Server 数据库。
最佳实践：维护 SQL 数据库

您的 McAfee ePO 数据库需要定期维护，以提高性能并保护您的数据。
使用您的 SQL 版本对应的 Microsoft 管理工具：
SQL 版本管理工具
SQL 2008 和 2012 SQL Server Management Studio
SQL Express SQL Server Management Studio Express
根据您对 McAfee ePO 软件的部署，每周安排几小时对数据库进行定期备份和维护。定期（每周或每天）执行这些任

务。但是，这些任务不是唯一可用的维护任务。有关数据库其他维护方法的详细信息，请参阅 SQL 文档。
使用远程命令来确定 Microsoft SQL 数据库服务器和名称

以下 McAfee ePO 远程命令用于确定 Microsoft SQL 数据库服务器和数据库名称。
任务
1 在浏览器地址栏中键入此远程命令：
https://<localhost>:8443/core/config
在此命令中：
• <localhost> — 即 McAfee ePO 服务器的名称。
• :8443 — 即为 McAfee ePO 服务器的默认端口号。您的服务器可能已被配置为使用其他端口号。
2 保存显示在“配置数据库设置”页中的以下信息：
• 主机名或 IP 地址
• 数据库名称
配置快照并还原 SQL 数据库

要快速重新安装 McAfee ePO 服务器，请将灾难恢复快照配置为保存，或确认正在将快照保存到 SQL 数据库。然后对
该 SQL 数据库（其中包含快照）进行备份，并将数据库备份文件复制到 SQL 服务器，以创建还原。
快速重新安装 McAfee ePO 服务器需要执行以下任务。

任务
• 配置灾难恢复服务器任务第 290 页
使用灾难恢复快照服务器任务可修改已保存到 SQL 数据库的 McAfee ePO 服务器配置的计划自动快照。
• 使用 Microsoft SQL 来备份和还原数据库第 290 页
若要保存包含 McAfee ePO 服务器配置信息的灾难恢复快照，请使用 Microsoft SQL Server 步骤。
配置灾难恢复服务器任务
使用灾难恢复快照服务器任务可修改已保存到 SQL 数据库的 McAfee ePO 服务器配置的计划自动快照。
灾难恢复服务器快照任务的预配置状态取决于 McAfee ePO 服务器使用的 SQL 数据库。默认情况下，在所有
Microsoft SQL Server 上，灾难恢复快照处于启用状态。
一次只能运行一个灾难恢复快照。如果运行多个快照，则只有最后一个快照会创建输出数据，而前几个快照会被覆盖。
您可以根据需要修改默认的灾难恢复服务器任务。
任务
1 选择 “菜单” | “自动” | “服务器任务”，从“服务器任务”列表中选择灾难恢复快照服务器，然后单击“编辑”。
2 从灾难恢复服务器任务生成器描述选项卡的“计划状态”中，根据需要单击“启用”或“禁用”。
3 从“计划”选项卡中，根据需要更改以下设置：
• “计划类型” — 设置保存快照时的频率。
• “开始日期”和“结束日期” — 设置保存快照的开始和结束日期，或单击“无结束日期”持续运行该任务。
• “计划” — 设置保存快照的时间点。默认情况下，快照任务在每天凌晨 1:59 运行。
最佳实践：在非工作时间运行灾难恢复服务器任务，以便最大限度地减少快照创建过程中对数据库的更改。
4 从摘要选项卡中，确认服务器任务配置正确，然后单击“保存”。
使用 Microsoft SQL 来备份和还原数据库

若要保存包含 McAfee ePO 服务器配置信息的灾难恢复快照，请使用 Microsoft SQL Server 步骤。
开始之前
若要完成此任务，您必须在主要和还原 McAfee ePO SQL 服务器之间建立连接并具有在两个服务器之间
复制文件的权限。
创建完 McAfee ePO 服务器配置的快照后，您必须：
任务
1 使用以下工具创建数据库的 Microsoft SQL Server 备份：
• Microsoft SQL Server Management Studio
• Microsoft Transact-SQL
请参阅 Microsoft SQL Server 文档，以了解完成这些过程的详细信息。
2 将创建的备份文件复制到还原 SQL 服务器。

管理 SQL 数据库 20
3 使用以下工具还原主 SQL 数据库的备份（包括灾难恢复快照记录）：

• Microsoft SQL Server Management Studio
• Microsoft Transact-SQL
请参阅 Microsoft SQL Server 文档，以了解完成这些过程的详细信息。
如果需要，这将通过使用“还原”选项将 SQL Server 连接到新的 McAfee ePO 安装，从而创建一个可随时用于还原的

SQL Server 副本。
使用 Microsoft SQL Server Management Studio 找到 McAfee ePO 服务器信息

从 Microsoft SQL Server Management Studio 中确定现有的 McAfee ePO 服务器信息。
任务
1 通过“远程桌面连接”，使用主机名或 IP 地址登录到 Microsoft SQL 数据库服务器。
2 打开 Microsoft SQL Server Management Studio 并连接到 SQL Server。
3 在“对象浏览器”列表中，单击 “<Database Server Name>” | “数据库” | “<Database name>” | “表”。
4 向下滚动以找到 “EPOServerInfo” 表，右键单击该表的名称，并从列表中选择“编辑前 200 行”。
5 在这些数据库记录中查找并保存信息。
• “ePOVersion” — 例如，<three-digit ePolicy Orchestrator version>。
• “DNSName” — 例如，epo-2k8.servercom。
• “ComputerName” — 例如，EPO-2K8。
• “LastKnownTCPIP” — 例如，172.10.10.10。
• “RmdSecureHttpPort” — 例如，8443。
请确保您已有此信息，以便您在必须还原 McAfee ePO 软件时使用。
威胁事件日志
使用威胁事件日志可以快速查看数据库中的事件并对其进行排序。您可以仅按时限清除该日志。
您可以选择在可排序的表中所显示的列。您可以选择各种事件数据来作为列。
根据您所管理的产品，您还可以对事件采取某些操作。可以通过页底部的“操作”菜单使用操作。
公用事件格式
现在多数托管产品都使用公用事件格式。此格式的字段可以用作威胁事件日志的列。这些字段包括：
• “采取的操作” — 产品为了响应威胁所采取的操 • “IPv4 地址” — 发送事件的系统的 IPv4 地址。

作。
• “代理 GUID” — 转发事件的代理的唯一标识符。 • “IPv6 地址” — 发送事件的系统的 IPv6 地址。
• “DAT 版本” — 发送事件的系统上的 DAT 版本。 • “MAC 地址” — 发送事件的系统的 MAC 地址。
• “正在检测产品主机名” — 检测产品所在系统的名 • “网络协议” — 网络中威胁类别的威胁目标协议。

称。
• “检测产品 ID” — 检测产品的 ID。 • “端口号” — 网络中威胁类别的威胁目标端口。
• “正在检测产品 IPv4 地址” — 检测产品所在的系统 • “进程名称” — 目标进程名称（如适用）。

的 IPv4 地址（如适用）。

• “正在检测产品 IPv6 地址” — 检测产品所在的系统 • “服务器 ID” — 发送事件的服务器的 ID。

的 IPv6 地址（如适用）。
• “正在检测产品 MAC 地址” — 检测产品所在的系统 • “威胁名称” — 威胁的名称。

的 MAC 地址。
• “正在检测产品名称” — 检测托管产品的名称。 • “威胁来源主机名” — 产生威胁的系统名称。
• “正在检测产品版本” — 检测产品的版本号。 • “威胁来源 IPv4 地址” — 产生威胁的系统的 IPv4

地址。
• “引擎版本” — 检测产品引擎的版本号（如适 • “威胁来源 IPv6 地址” — 产生威胁的系统的 IPv6

用）。地址。
• “事件类别” — 事件的类别。类别取决于产品。 • “威胁来源 MAC 地址” — 产生威胁的系统的 MAC

地址。
• “事件生成时间(UTC)” — 检测到事件的时间（协调 • “威胁来源 URL” — 产生威胁的 URL。

世界时）。
• “事件 ID” — 事件的唯一标识符。 • “威胁来源用户名” — 产生威胁的用户名。
• “接收到事件的时间(UTC)” — McAfee ePO 收到事 • “威胁类型” — 威胁的类别。

件的时间（协调世界时）。
• “文件路径” — 发送事件的系统的文件路径。 • “用户名” — 威胁来源用户名或电子邮件地址。
• “主机名” — 发送事件的系统的名称。
查看和清除威胁事件日志
您应该定期查看和清除威胁事件。
任务
1 选择 “菜单” | “报告” | “威胁事件日志”。
操作步骤
“查看威胁事 1 单击任一列标题可以对事件排序。您还可以选择： “操作” | “选择列” ，此时将显示选择要显示的
件日志”。列页。
2 从可用列列表中，选择满足需要的不同表列，然后单击“保存”。
3 选择表中的事件，然后单击“操作”并选择“显示相关系统”来了解发送选定事件的系统的详细信
息。
“清除威胁事 1 选择 “操作” | “清除”。

件”。
2 在清除对话框中，在“清除早于此时间的记录”旁，键入一个数字，并选择时间单位。
早于指定时间的记录即被彻底删除。
最佳实践：计划清除威胁事件日志
您可以创建服务器任务，从而自动清除威胁事件日志。

带宽使用率 20
任务
2 对任务进行命名和介绍。在计划状态旁边，选择“已启用”，然后单击“下一步”。
3 从下列列表中选择“清除威胁事件日志”。
4 选择是否按时间或查询结果进行清除。如果按查询进行清除，则选取生成事件表的查询。
6 根据需要计划任务，然后单击“下一步”。
7 查看任务详细信息，然后单击“保存”。
带宽使用率
McAfee ePO 服务器使用您的 LAN 和 WAN 带宽接收托管客户端的事件并将软件下载到托管客户端。您务必要了解这
些要求，然后再配置 McAfee ePO 服务器，以有效使用带宽。
最佳实践：代理部署和带宽
在您的环境中安装 McAfee ePO 服务器时，您必须分发代理、组件和安全产品，以管理和保护网络上的系统。
对托管环境进行初始设置期间，部署 McAfee Agent 可以生成我们推荐计划部署所需的足够网络流量。尽管 McAfee
Agent 的安装包比其他产品（如 VirusScan Enterprise）要小，但该代理必须要部署到您要管理的所有客户端系统中。
McAfee Agent 部署流量直接在 McAfee ePO 服务器与部署代理的客户端系统之间传输。
该表显示部署 McAfee Agent 4.8 时，在 McAfee Agent 服务器、客户端系统和 McAfee Agent SQL 数据库服务器上使
用的总带宽。
表 20-4 McAfee Agent 带宽使用率
代理部署总计 (MB) 发送 (MB) 接收 (MB)
McAfee ePO 服务器 5.04 4.83 0.21
SQL 数据库服务器 4.64 0.04 4.60
客户端系统 0.42 0.18 0.24
实际部署
第一次也是最大规模的使用带宽发生在将 McAfee Agent 安装包部署到客户端系统时。您可以将 McAfee Agent 安装包
从 McAfee ePO 服务器控制台部署到站点、组或从系统树中选定的系统。无论您使用何种方法，通过网络部署代理安
装包都会使每个系统产生流量。
部署 McAfee Agent 的方法取决于三个因素。

• 要管理的客户端系统数量
• 客户端系统在网络拓扑中的位置
• McAfee ePO 服务器与这些系统之间的可用带宽
McAfee 建议通过以下方法部署代理：

带宽使用率
• 分阶段 — 任何时候都不要为特定资源区段将网络利用率提升至 80 % 以上。
• 部署至单个站点或组 — 如果有更多带宽限制因素（如不同地理位置之间的连接更慢），这一点很重要。
计算客户端更新带宽最佳实践
新产品更新使用额外带宽。请计算带宽要求，然后再更新产品。
如果您知道补丁或正下载的产品的大小，则可以计算带宽。若要了解 Windows Explorer 中产品安装文件的精确大小，
请右键单击 Install 文件夹并单击“属性”。默认情况下，产品文件位于以下路径中：
C:\Program Files(X86)\McAfee\ePolicy Orchestrator\DB\Software\Current\<ProductName>\Install\
每个客户端每天至少要平均下载 400 KB DAT 文件。以下示例显示如何使用该公式计算客户端更新使用的带宽：
（更新文件的大小）x（节点数量）= 每天提取的数据量
在以下示例中，我们使用该公式计算每天提取的数据量并介绍创建本地存储库是否会降低带宽。
示例 1 — 印度的一个小型办事处
印度的小型办事处必须每天将 400 KB DAT 文件下载到 200 个节点中。使用该公式：
(400 KB) x（200 个节点）= 每天随机提取到印度约 80 MB 数据
在印度的小型办公室中，您可以添加存储库，但必须要将 DAT 文件从 McAfee ePO 服务器复制到存储库。该文件复

制每天会通过慢速 WAN 链接使用约 70 MB 带宽，由于该复制同时进行，因此会对印度的 WAN 链接造成负面影响。
另一种方法是将代理通过 WAN 链接连接到次最近存储库，以下载其 DAT 文件更新。下一个存储库可能位于更大的办

事处，例如东京。代理可以全天随机提取其 DAT 文件，而带宽使用总量只有 80 MB。
在这种情况下，请不要使用印度的存储库。
示例 2 — 东京的大型办事处
东京的大型办事处必须每天将 400 KB DAT 文件下载到 4,000 个节点中。使用该公式：
(400 KB) x（4,000 个节点）= 每天随机提取到东京约 1.6 GB 数据
东京的大型办公室有 4,000 个节点，每天仅用以更新 DAT 文件的带宽就需要 1.6 GB。由于每天将 DAT 文件复制到东
京仅使用 70 MB 带宽，所以在东京办公室安装存储库可以显著提高效率。现在所有 DAT 文件都是通过 LAN（而非更
慢的 WAN 链接）提取。
示例 3 — 纽约市的大型办事处
纽约市的大型办事处必须要为其 1,000 个节点下载 23 MB 的 VirusScan Enterprise 补丁更新。使用该公式：
(23 MB) x（1,000 个节点）= 每天提取到纽约市约 23 GB 数据
这 23 MB 的补丁大于每天 400 KB 的 DAT 文件。您可能在纽约市拥有存储库，具体取决于纽约市 WAN 链接的速度

和要求的补丁推广效率。如果您认真创建客户端任务，以逐步提取更新和补丁，而不是在一天内将补丁部署到所有节
点，则可能实现平衡。
结论
有些 McAfee ePO 用户将存储库放置在仅有几十个节点的地理位置。如果您的站点没有至少 200–300 个节点，则无法
从使用存储库节省的带宽中受益。如果没有本地存储库，则代理会转至下一个最近的存储库，以获得更新。该存储库
可能通过 WAN 链接连接到服务器，但由于无需通过 WAN 复制整个存储库，所以使用的带宽仍会减少。
该规则的例外情况是在您部署更大的软件包时。例如，VirusScan Enterprise 客户端软件大小为 56 MB。在这种情况

下，更有效的方法是将存储库暂时放置在较小的站点，以便将 56 MB 大小的客户端软件文件下载到本地。然后在汇总
客户端后禁用该存储库。

带宽使用率 20
最佳实践：存储库分布的带宽建议
如果是使用 McAfee ePO 服务器管理广域网 (WAN) 中的系统，我们建议您针对每个局域网 (LAN) 创建至少一个分布式
存储库，以便进行客户端更新。
安装分布式存储库后，您必须配置何时执行以下操作。
• 何时从 McAfee ePO 服务器主存储库更新存储库
• 托管系统何时从分布式存储库提取更新
这些任务需要配置随机选择时间间隔，以避免网络带宽饱和。
每个 LAN 需要的存储库数量
该表根据 LAN 中的系统数量和网络带宽的需要列出建议的存储库数量。
表 20-5 分布式存储库数量
LAN 中的系统数量网络带宽 (LAN)
100 Mbps 1 Gbps
1,000 1 个存储库 1 个存储库
10,000 10 个存储库 2 个存储库
20,000 20 个存储库 2 个存储库
30,000 30 个存储库 3 个存储库
根据 WAN 带宽进行存储库复制随机选择时间间隔设置
您必须要考虑 WAN 带宽，然后才可以设置随机选择时间间隔，使存储库复制自动化。
通过该信息中的以下步骤，将您网络中的存储库复制自动化。
1 针对各个 LAN 中的每个分布式存储库创建增量复制任务。
2 根据 WAN 带宽（单位：Mbps），将各个任务设置为在相应随机选择时间间隔最小分钟数内依次运行，以避免重
叠。
表 20-6 McAfee ePO 服务器随机选择时间间隔设置（分钟）

WAN 带宽 (Mbps) 随机选择时间间隔（分钟）
6 Mbps 1
5 Mbps 2
4 Mbps 3
3 Mbps 4
2 Mbps 5
1 Mbps 6
客户端更新任务的随机选择时间间隔
您创建的客户端更新任务可以确保系统与最新 DAT 和引擎文件同步。该任务要求设置随机时间间隔，以及以下变量：

带宽使用率
• 网络带宽
• LAN 中的系统数量
• LAN 中的分布式存储库数量
要创建客户端更新任务，请执行以下步骤。
1 将本地分布式存储库添加至代理策略中的存储库列表。
2 通过“Ping 时间”选择最近的存储库。
3 创建代理更新任务，并根据下表设置随机选择时间间隔。
表 20-7 针对 1 Gbps 网络带宽建议的时间间隔（分钟）

LAN 中的系统数量 LAN 中的分布式存储库数量
1 2 3
建议的随机选择时间间隔（分钟）
1,000 5 0 0
2,000 10 5 0
3,000 15 10 0
4,000 20 15 5
5,000 30 20 10
10,000 60 40 20
20,000 120 80 40
30,000 180 120 60
表 20-8 针对 100 Mbps 网络带宽建议的时间间隔（分钟）

LAN 中的系统数量 LAN 中的分布式存储库数量
1 2 3 4 5
建议的随机选择时间间隔（分钟）
1,000 60 30 20 15 10
2,000 120 60 40 30 20
3,000 180 90 60 45 30
4,000 240 120 80 60 40
5,000 300 150 100 75 50
另请参阅
配置全局更新的设置最佳实践第 240 页
更新任务第 189 页
计算存储库复制和产品更新所使用带宽的最佳实践
存储库复制操作在所有环境中都会占用宝贵的带宽。安装存储库前，请计算进行复制所需的带宽。
如果您的企业网络使用的网络分布在不同地理位置且 WAN 网络连接速度各异，则您必须计算从 McAfee ePO 服务器
到您的托管系统所需的更新带宽。以下是两个系统更新要求。
• 相对较小的日常 DAT 文件更新
• 偶尔进行的大规模产品软件更新

带宽使用率 20
计算 DAT 软件带宽使用率
如果您仅复制 DAT 文件，则每天复制操作所使用的带宽约为 70 MB。代理不会使用复制到存储库的所有 DAT 文件，
但必须将 35 个增量 DAT 文件提供到所有代理，以防其在 DAT 后台使用。决定特定位置是否需要存储库时，请根据
带宽使用情况决定哪种选择成本更高。您可以将 70 MB 数据复制到存储库中，或通知代理转至下一个最近的存储库，
虽然它可能与代理距离并不近。
以下示例使用对每天发行的 VirusScan Enterprise 的 DAT 文件的更新。用以确定站点是否需要存储库的数字包括：

• 400 KB — 需要下载的每日 DAT 文件的平均大小
• 100 — 必须下载这些每日 DAT 文件的系统代理数量
示例 1：直接从 McAfee ePO 中央服务器下载
将每日 DAT 文件从中央 McAfee ePO 服务器随机下载到系统代理会占用以下规模带宽：100 个代理 * 400 KB 文件 =

约 40 MB 带宽
示例 2：将 DAT 文件下载到本地存储库
针对 McAfee ePO 服务器，若要每天将 DAT 文件复制到各个存储库，需要至少 70 MB 带宽。
在之前的示例中，使用 70 MB 带宽将 DAT 文件下载到只有 100 个系统代理的存储库中是很浪费的。这 100 个系统代

理只需使用 40 MB 带宽即可下载同样的文件。
计算产品更新带宽使用率
使用部署包的大小乘以目标节点的数量，然后再除以使用的存储库数量，即可计算出部署所需的带宽。例如，
VirusScan Enterprise 8.8 的大小是 56 MB，通过三个存储库提取并部署到 1,000 个节点，则总计为 56 GB 数据。这
56 GB 数据通过三个存储库提取，相当于每个存储库分担 19 GB。
随机选择对于任何使用带宽的客户端任务都是很重要的。
56 MB (VSE) * 1,000（节点数）= 56 GB（总计）/3（存储库数）= 每个存储库约 19 GB
以下公式计算每个存储库在 9 小时内随机移动 19 GB 数据所使用的带宽。这样每小时从各个存储库提取的数据总计约

为 2.1 GB。
19 GB（每个存储库）/9（小时数）= 每小时约 2.1 GB

带宽使用率

21 通过查询报告
McAfee ePO 提供内置查询和报告功能。这两种功能具有高可自定义性、灵活性和易用性。

“查询生成器”和“报告生成器”都可创建并运行查询和报告，以用户指定的图表和表组织用户配置的数据。这些查询和报
告的数据可从 McAfee ePO 系统搭配使用的任何已注册的内部或外部数据库获得。
目录
报告功能
最佳实践：如何使用自定义查询
多服务器汇总查询
最佳实践：通过 Web API 运行报告
报告功能
您可以使用预配置的查询，创建自定义查询，使用查询的输出执行任务和创建报告作为输出。
无论何时更改策略、配置、客户端或服务器任务、自动响应或报告，请在更改前和更改后导出设置。
若要查看其中一个预配置的查询，请单击“运行”。然后您可以执行以下任务：
• 将输出保存为报告。
• 复制查询并更改输出。
• 查看查询系统中的结果。
• 在系统树中针对结果执行您通常执行的操作。
您通过扩展将新产品添加至 McAfee ePO 时，新的预配置查询和报告变得可用。
报告滞后时间
运行 McAfee ePO 查询报告时，您必须要认识到报告是有滞后时间的。该滞后时间意味着信息并不是在真正运行报告
时添加到报告中的。该信息滞后时间从您启动查询开始，一直持续到完成查询，其时长取决于运行查询使用的时间。
报告滞后时间示例：
• 您每小时运行一次查询，每次运行 10 分钟。
• 如果事件在运行查询的这 10 分钟内发生，则不会包括到报告中，但会被写入到数据库中。
• 这些事件会显示在一小时后运行的下一个查询报告中。

在 McAfee ePO 服务器上创建自定义查询很简单；您还可以复制现有查询并根据需要进行更改。
您可以通过查询生成器向导创建自定义查询。若要访问查询生成器向导，请选择“菜单” | “报告” | “查询和报告”，然后单
击“新建查询”。
您可以通过两种方法使用自定义查询：
1 创建查询前，您可以决定具体要创建哪种查询。
2 您可以探索查询生成器向导并尝试不同变量，以了解不同类型的可用查询。
两种方法都有效，都可以生成有关您的环境的有趣的数据。如果您不熟悉查询系统，请尝试探索不同变量，以了解
McAfee ePO 可以返回哪些不同类型的数据。
创建报告后，您可以对结果执行操作。操作的类型取决于报告创建的输出类型。您可以在系统树中执行任意操作，例

如：您可以唤醒、更新、删除系统或将其移动到其他组。唤醒操作可以帮助您在符合以下条件的系统上运行报告：
• 最近未与 McAfee ePO 服务器通信
• 可能在尝试唤醒时无法正常运行
• 需要直接从 McAfee ePO 部署新的代理
创建自定义事件查询
您可以从零开始创建自定义查询，也可以复制并更改现有查询。
任务
1 请选择“菜单” | “报告” | “查询和报告”，然后选择“新建查询”。此时会打开“查询”向导并显示结果类型选项卡。

通过查询报告
最佳实践：如何使用自定义查询 21
结果类型会被组织到页面左侧的组中。根据签入到 McAfee ePO 的扩展，这些组会有所不同。大部分结果类型都

是自说明性的，但更为强大的两种结果类型分别是威胁事件和托管系统。您可以访问如以下示例所示的两种事件类
型。
• 威胁事件 — 在功能组中，选择“事件”。在结果类型中，选择“威胁事件”。
图 21-1 选中威胁事件的查询生成器

• 托管系统 — 在功能组中，选择“系统管理”。在结果类型下，选择“托管系统”。
图 21-2 选中托管系统的查询生成器
2 选择您的图表类型。您有多种图表类型可以选择，其中有些相对复杂一些。最简单的两种图表是饼图和单组摘要

表。饼图以图形的形式对多个值进行比较，而摘要表则显示拥有超过 20 个结果的数据集。
要创建饼图，请在图表类型中单击“饼图”。
3 选择您希望在报告中显示的标签或变量。
报告在很多情况下并不返回有关 McAfee 产品的数据。例如，您可以报告您的环境中所使用操作系统版本的相关信

息。
在标签为列表中，单击“操作系统类型”。
4 深入查询到报告中的任意变量后，请选择您要查看的列。列的选择在构建查询的过程中并不重要，可以稍后进行调
整。
您还可以左右拖放列，添加和删除要显示的列。
若要使用默认列，请单击“下一步”。
您可以过滤希望查询返回的数据。您可以将过滤器区域留空，这样会返回您的树中的所有设备；或指定您感兴趣的
返回结果。过滤器选项的示例包括：
• 您的系统树中报告适用的组。例如，地理位置或 • 仅包括使用更早版本 DAT 的系统。
办事处。
• 仅包括笔记本电脑或台式机系统。 • 仅包括使用更早版本 VirusScan Enterprise 的系

统。
• 仅特定操作系统平台。例如，服务器或工作站。 • 仅返回在过去 14 天内与 McAfee ePO 服务器通

信的系统。

通过查询报告
5 单击“下一步”，以避免创建任何过滤器并显示所有操作系统类型。
6 单击“运行”以生成报告并查看结果。
创建报告并显示输出后，您无需重新开始即可微调您的报告。要执行该操作，请单击“编辑查询”。单击“编辑”使您
可以返回和调整您的报告，并在几秒钟的时间内重新运行该报告。
完成对报告的所有更改后，单击“保存”将其永久保存。现在该查询包含在您的信息显示板中，您可以随时运行。
事件摘要查询工作原理最佳实践
数据库中的事件数据大部分都是客户端事件和威胁事件。查询可以帮助您跟踪数据库中存储的事件数量。
事件摘要查询可帮助您管理这些事件可能会对 McAfee ePO 服务器和数据库造成的任何性能问题。
代理中的客户端事件将其任务状态与 McAfee ePO 联系起来。更新完成、更新失败、部署完成或加密开始之类的项均

可被当作客户端事件。威胁事件包括发现病毒、触发 DLP 事件或检测到入侵。根据您安装的产品和收集的事件，数
据库中可能存在数千，甚至数百万个此类事件。
最佳实践：创建客户端事件摘要查询
若要显示从您的代理发送至 McAfee ePO 的事件，请创建客户端事件摘要查询，向您的管理员发送威胁通知。
该示例介绍如何创建客户端事件摘要查询。它会显示从各个 McAfee Agent 发送至 McAfee ePO 的事件。更新完成、
更新失败、部署完成或加密开始之类的项均可被当作客户端事件。
任务
1 要创建客户端事件摘要查询，请选择“菜单” | “报告” | “查询和报告”。
2 在查询页面中，单击“新建查询”。

3 在查询生成器中，从“结果类型”选项卡开始，单击功能组中的“事件”、“结果类型”中的“客户端事件”，然后单击“下一
步”。
图 21-3 选中客户端事件的查询生成器
4 在图表页面的“摘要”下，单击“单组摘要表”，以显示事件表中所有客户端事件的总数。
5 要创建事件说明可读的过滤器，请单击威胁事件说明下标签为列表中的“事件说明”。
您可以选择根据事件 ID（即代表 McAfee ePO 中客户端事件数据的数字）进行过滤。有关 McAfee ePO 中列出的

托管产品生成的事件 ID 的详细信息，请参阅知识库文章 ePO 中列出的 McAfee 单点产品生成的事件 ID，
KB54677。
6 如果需要，请根据您要显示的类型调整列信息。
该步骤在创建查询的过程中并不重要。
7 单击“下一步”，此时会显示过滤器页面。
由于您要将每个客户端事件返回到数据库中，所以无需进行任何过滤。您可以选择性的根据特定时间（最近 24 小
时或最近七天）生成的事件创建查询。

通过查询报告
8 单击“运行”，以显示查询报告。
图 21-4 查询生成器输出
在该示例中，共有 308 个客户端事件。您可以单击一个事件并深入查询，以显示更多相关信息。
9 单击“保存”并键入适当的报告名称。例如，All Client Events by Event Description。
创建威胁事件摘要查询：最佳实践
若要向管理员提供威胁通知，请创建威胁事件摘要查询，以显示从您的代理发送至 McAfee ePO 服务器的威胁事件。
在该示例中，威胁事件包括发现的病毒、触发的数据丢失保护事件或检测到的入侵。
任务
1 若要开始进行查询配置，请选择“菜单” | “报告” | “查询和报告”。
2 在查询页面中，单击“新建查询”。
3 在查询向导页面中，从结果类型选项卡开始，单击功能组中的“事件”和“结果类型”中的威胁事件，然后单击“下一
步”。
4 在“图表”页面的“摘要”下，单击“单组摘要表”，以显示事件表中所有威胁事件的总计数。
5 要创建事件说明可读的过滤器，请单击威胁事件说明下标签为列表中的“事件说明”。
您可以选择根据事件 ID（即代表 McAfee ePO 中客户端事件数据的数字）进行过滤。有关 McAfee ePO 中列出的

托管产品生成的事件 ID 的详细信息，请参阅知识库文章 ePO 中列出的 McAfee 单点产品生成的事件 ID，
KB54677。
6 如果需要，请根据您要显示的类型调整列信息，然后单击“下一步”。
7 在过滤器页面，您无需进行任何过滤操作，因为您要将所有客户端事件返回到数据库中。您可以选择根据特定时间
内生成的事件创建查询，例如最近 24 小时或最近 7 天。单击“运行”，以显示查询报告。

8 要确定您的网络上应该有多少个事件，请使用以下公式：
（10,000 个节点）x（5,00 万个事件）= 估计的事件数
例如，如果您有 50,000 个节点，那么您的客户端和威胁事件总数应在 25,00 万左右。
该数字变数很大，具体取决于您所拥有的产品和策略数以及您的数据保留率。所以如果您超出该数字，不用担心。
如果远超该数值，请确定事件数量太多的原因。有时如果您的不受限制的网络（如大学或学校校园）收到大量病
毒，则出现大量事件的情况也是正常的。出现大量事件的另一个原因可能是您在清除事件前将其保留在数据库中的
时长。以下是要检查的项目：
• 您是否定期清除事件？
• 是否存在某个查询中的特定事件占据了您大部分事件？
注意，忘记进行清除任务比较常见。这会导致 McAfee ePO 保留构建 McAfee ePO 服务器以后发生的所有事件。

您只需创建清除任务即可修复。
如果您发现一个或两个事件在您的事件中的比例不均衡，则可以通过深入查询这些事件确定其内容。例如，如果您
发现实例最多的事件是 VirusScan Enterprise 中的访问保护规则。这是一种常见事件。如果您双击“访问保护规则”
事件对事件原因进行深入查询，则会发现 VirusScan Enterprise 上的若干访问保护规则被重复触发。
9 在这种情况下，请确定这些事件对您的组织是否重要以及是否得到管理员重视。有些管理员经常会忽略某些事件。
最后，处理数据库中过量事件时，您必须遵循以下流程：
a 创建查询，以显示您查询的所有事件，然后使用该部分的信息分析这些威胁事件。
b 首先确定是否有人在关注这些过量事件。
c 如果没有人正在分析这些事件，请更改您的策略，停止事件转发。
d 如果事件很重要，请确保您持续监控事件的数量。
如果无人重视这些事件，您可以考虑在 VirusScan Enterprise 访问保护策略中彻底禁用这些事件，以停止将其发送

至 McAfee ePO 服务器。或者，您可以调整您的策略，以仅发送您重视的访问保护事件，而不会产生过量不分析
的事件。如果您要查看这些事件，可以保留策略的配置，但要确认您遵循从 McAfee ePO 服务器中清除事件的规
则，以避免事件溢出数据库。
另请参阅
事件摘要查询工作原理最佳实践第 303 页
最佳实践：自动清除事件第 210 页
最佳实践：过滤 1051 和 1059 事件第 212 页
创建自定义表查询：最佳实践
创建查询并将结果显示在表中，以便您对查询结果执行操作。
例如，您可能需要根据查询清除数据或事件。您可能有特定类型的事件（如 1051 和 1059 事件）塞满数据库。您也
可以使用该技术根据您创建的自定义查询清除其他威胁事件。
表查询用于以简单表格式返回数据，而不使用图形或图表。服务器任务可以对简单表数据执行操作。例如，您可以自

动删除该数据。
该任务创建自定义查询，可以返回数据库中所有的 1051 和 1059 事件。
任务
1 要打开查询摂对话框，请选择“菜单” | “报告” | “查询和报告”，然后单击“新建查询”。
2 单击“功能组”中的事件和“结果类型”中的客户端事件，并单击“下一步”。

通过查询报告
多服务器汇总查询 21
3 在“结果显示为”窗格中，单击“列表”，然后单击“表”和“下一步”。
4 单击“下一步”，跳到列对话框。
您可以跳过该步骤，因为 McAfee ePO 并不使用您在服务器任务重选择的列。
5 在“客户端事件”下的“可用属性”中，单击“事件 ID”创建事件 ID 过滤器。

此时会向“过滤器”窗格中添加事件 ID 行。
6 单击右侧的加号“+”，以再添加一个事件 ID 比较行，选择“比较”列中的等号，在“值”列中添加 1051 和 1059；然后

单击“保存”和“运行”。
7 （可选）您可以选择所有 1051 和 1059 事件，然后单击“操作 | 清除”，以对其执行实时清除操作。您可以根据事件

是否超过 X 天、周、月或年过滤要清除哪些事件。或者，您可以通过之前定义的特定查询清除。
如果您不希望在工作时间实时清除这些事件，可以创建服务器任务，在夜间下班时间运行清除操作。
8 要创建服务器任务，请选择“菜单” | “自动” | “服务器任务”并单击“操作” | “新建任务”。
9 为该任务确定合适的名称和说明，然后单击“下一步”。
例如 Purge of 1051 and 1059 Events Nightly。
10 单击“操作”列表中的“清除威胁事件日志”，然后单击“按查询清除”。
11 在该列表中，查找并单击您创建的自定义查询。
12 将任务计划为每晚运行，然后单击“保存”。
McAfee ePO 包括运行查询的功能，这些查询报告来自多个数据库的摘要数据。
使用查询生成器中的结果类型进行此类查询：
• 汇总的威胁事件 • 汇总的托管系统
• 汇总的客户端事件 • 已汇总所应用的策略
• 汇总的合规性历史记录
不能从汇总结果类型中生成操作命令。
工作原理
要汇总数据以供汇总查询使用，必须注册每台要包含在查询中的服务器（包括本地服务器）。
注册服务器之后，您必须立即在报告服务器（执行多服务器报告的服务器）中配置汇总数据服务器任务。汇总数据服务
器任务检索报告中涉及的所有数据库的信息，并填充报告服务器上的 EPORollup_ 表。汇总查询的目标是报告服务器
上的数据库表。
作为运行汇总的合规性历史记录查询的先决条件，您必须在要包含其数据的每个服务器上采取两个预备操作：
• 创建查询，以定义合规性。
• 生成合规性事件。

创建汇总数据服务器任务
汇总数据服务器任务可同时从多个服务器提取数据。
开始之前
• 注册要包含在汇总报告内的各个 McAfee ePO 报告服务器。需要注册所有服务器，才能够从这些服务
器中收集摘要数据，以填充汇总报告服务器的 EPORollup_ 表。
• 此外还必须注册报告服务器，才能在汇总报告中包括其摘要数据。
如果已注册的 McAfee ePO 服务器版本不再受支持，则无法从其中汇总数据。例如，您无法从 4.5 或更早版本的

McAfee ePO 服务器中收集数据。
任务
2 在描述页上，键入任务的名称和描述，选择是否启用它，然后单击“下一步”。
3 单击“操作”，然后选择“汇总数据”。
4 从“数据汇总来源:”下拉菜单中，选择“所有已注册的服务器”或“选定的已注册的服务器”。
5 如果您选择“选择已注册的服务器”，请单击“选择”。从选择已注册的服务器对话框中选择要从中收集数据的服务器，
然后单击“确定”。
6 选择要汇总的数据类型，然后单击“下一步”。若要选择多个数据类型，请单击表标题末尾的“+”。
可对威胁事件、客户端事件和应用的策略进一步配置，使之包含清除、过滤和汇总方法属性。若要执行上述操作，
请单击介绍可用属性的行中的“配置”。
此时会显示摘要页。
如果您报告汇总的合规性历史记录数据，请确保汇总的合规性历史记录查询的时间单位与注册的服务器上生成合规
性事件服务器任务的计划类型相匹配。
8 查看设置，然后单击“保存”。
创建查询以定义合规性
McAfee ePO 服务器的数据会在汇总查询中使用，要求进行合规性查询。
任务
1 选择 “菜单” | “报告” | “查询和报告”，然后单击 “新建查询”。
2 在“结果类型”页上，选择“系统管理”作为功能组并选择“托管系统”作为结果类型，然后单击“下一步”。
3 从“显示结果为”列表中选择“布尔饼图”，然后单击“配置标准”。
4 选择要包括在查询中的属性，然后设置各个属性的运算符和值。单击“确定”。显示“图表”页时，请单击“下一步”。
这些属性可以定义该 McAfee ePO 服务器托管系统的合规性。

通过查询报告
多服务器汇总查询 21
6 选择要应用到该查询的过滤器，单击“运行”，然后单击“保存”。
生成合规性事件
合规性事件供汇总查询用于在一个报告中合计数据。
任务
有关选项定义，请单击界面中的“?”。
1 选择 “菜单” | “自动” | “服务器任务” ，然后单击 “操作” | “新建任务”。
2 在描述页上，键入新任务的名称，然后单击“下一步”。
4 单击查询字段旁的“浏览”(“...”)，然后选择一个查询。此时会显示从列表中选择查询对话框，其中的我的组选项卡处
于活动状态。
5 选择用于定义合规性的查询。这可以是默认查询（如 “McAfee 组”部分中的 “McAfee Agent 合规性摘要”），也可以

是用户创建的查询（如“创建一个用来定义合规性的查询”中所描述的查询）。
6 从“子操作”下拉菜单中，选择“生成合规性事件”，指定目标系统所占的百分比或者目标系统的数量，然后单击“下一
步”。
如果不合规性数量高于所设置的百分比或所设置的系统数，您可以使用生成合规性事件任务来生成事件。
7 按合规性历史记录报告所需的时间间隔计划任务。例如，如果必须每周收集一次合规性数据，请安排该任务每周运
行一次。单击“下一步”。
8 检查详细信息，然后单击“保存”。
将查询结果导出为其他格式
查询结果可以导出为以下格式：HTML、PDF、CSV 和 XML。
导出查询结果与创建报告有所不同。首先，不会向导出输出中添加任何其他信息，而创建报告时则会添加。仅会将输出
数据添加到报告。其次，支持更多的格式。导出的查询结果可用于以受支持的计算机友好格式（如 XML 和 CSV）进一
步处理。报告旨在供人阅读，因此仅导出为 PDF 文件。
与控制台中的查询结果不同，导出的数据是不可操作的。
任务
1 选择 “菜单” | “报告” | “查询和报告”，选择一个查询，然后单击“运行”。
2 运行查询后，单击“选项” | “导出数据”。
此时会显示“导出”页。
3 选择要导出的内容。对于基于图表的查询，选择“仅图表数据”或“图表数据和深入查询表”。
4 选择是分别导出数据文件，还是导出为一个存档 (zip) 文件。
5 选择导出文件的格式。
• “CSV” — 将数据保存在电子表格应用程序中（例如，Microsoft Excel）。
• “XML” — 转换数据以用于其他用途。

• “HTML”- 此报告格式用于通过网页形式查看导出的结果。
• “PDF” — 打印结果。
6 如果要导出为 PDF 文件，请进行如下配置：

• 选择“页面大小”和“页面方向”。
• （可选）“显示过滤条件”。
• （可选）“包括具有此文本的封面”，并输入所需的文本。
7 选择是将文件以电子邮件附件的形式发送至选定的收件人，还是将其保存到已提供对应链接的服务器上的某个位
置。您可以通过右击该文件将其打开或保存到其他位置。
8 单击“导出”。
随即这些文件会以电子邮件附件的方式发给收件人，或将您带到一个页面，在该页上可以通过链接访问这些文件。

McAfee ePO API 框架允许您从 Web URL 中运行命令，或使用任意脚本语言创建命令行脚本，以将常见的管理活动自
动化。
该部分介绍如何创建 Web URL，以运行查询。有关命令行脚本和工具的详细示例，请参阅《“McAfee ePolicy
Orchestrator Web API 脚本编写手册”》。
使用 Web URL API 或 McAfee ePO 用户界面

您可以使用 Web URL 应用程序编程接口 (API)，而非 McAfee ePO 用户界面运行查询。
通过 Web URL API 或 McAfee ePO 用户界面，您可以执行以下操作：
• 运行 URL 并以文本列表的形式显示输出
• 通过其他脚本和工具对文本输出执行操作
• 更改查询
• 通过用户界面中不可用的布尔运算符对输出进行过滤

通过查询报告
最佳实践：通过 Web API 运行报告 21
例如，您可以在 McAfee ePO 用户界面中运行“每周添加到 ePO 的新代理数”查询并获得该输出。
图 21-5 通过用户界面获得查询输出
要运行该查询，请选择“菜单” | “报告” | “查询和报告”，选择“每周添加到 ePO 的新代理数”查询，然后单击“操作” | “运

行”。
或者，您可以将该 Web URL 查询粘贴到您的浏览器地址栏中。
https://<localHost>:8443/remote/core.executeQuery?queryId=34&:output=terse
OK:
count Completion Time (Week)
----- ----------------------
3 4/27/14 - 5/3/14 2 5/4/14 - 5/10/14 6 5/11/14 - 5/17/14 1 5/18/14 - 5/24/14
McAfee ePO 命令框架：最佳实践

McAfee ePO 框架的结构使用 API 或用户界面为您提供所有 McAfee ePO 命令对象及其参数的访问权限。
若要了解 McAfee ePO 框架，您可以对比如何在 McAfee ePO 用户界面和 Web URL 中从多个位置访问 AppliedTag 命
令的。
在 McAfee ePO 用户界面中从“系统树”页面访问 AppliedTag 命令。
您可以通过该 core.listTables Web URL 命令查找有效的 AppliedTag 命令参数：
https://<localHost>:8443/remote/core.listTables
以下 Web URL 命令结构及其各个部分用于查找 AppliedTags 命令。
https://<localHost:8443/remote/core.listDatatypes?type=applied_tags
以下为 Web URL 命令的各个部分。

• 基本 URL — 您的远程控制台连接 URL。

默认端口号为 8443。
• 命令名称 — 显示在 ? 前面并列在 Web API 帮助中。
• 命令参数 — 显示在 ? 后面并被 &（和号）分隔开。

您还可以将 S 表达式添加到您的命令。
另请参阅
使用 Web URL 帮助：最佳实践第 312 页
使用 Web URL 查询中的 S 表达式：最佳实践第 313 页
使用 Web URL 帮助：最佳实践

使用 Web URL 帮助，以了解哪些预配置查询、SQL 表和参数可供 McAfee ePO Web URL 查询使用。
请在创建 Web URL 查询时使用以下帮助命令：
• https://<localHost>:8443/remote/core.help?
• https://<localHost>:8443/remote/core.listQueries?:output=terse
• https://<localHost>:8443/remote/core.help?command=core.executeQuery
• https://<localHost>:8443/remote/core.listTables
使用 core.help 命令
创建 McAfee ePO Web URL 所使用的所有命令及其基本参数均列在 core.help 命令输出中。
键入该命令，以查看帮助。
https://<localHost>:8443/remote/core.help?
使用 core.listQueries 帮助命令
若需通过 McAfee ePO Web URL 运行现有查询，请使用附加到 core.executeQuery 基本命令的 queryID 编号。键入
该命令，以查看 listQueries 帮助。
https://<localHost>:8443/remote/core.listQueries?:output=terse
键入以下命令，以通过 ID 进行查询：
https://<localHost>:8443/remote/core.executeQuery?queryId=<IdNumber>
使用 core.executeQuery 帮助命令
创建 McAfee ePO Web URL 查询，或更改从现有查询中导出的查询参数前，您必须要了解哪些命令和参数是可用的。
请键入该命令，以了解 core.executeQuery 帮助。
https://<localHost>:8443/remote/core.help?command=core.executeQuery
该表列出 core.executeQuery 帮助。
可选参数和选项会显示在方括号“[...]”中。

通过查询报告
表 21-1 Web URL core.executeQuery 帮助

命令参数参数选项说明
core.executeQuery queryId — — 执行 SQUID 查询。返回执行查询所得到的数据，或
显示错误。
[database=<>] — 远程数据库的名称；如果为空，则使用给定数据库类
型的默认数据库。
core.executeQuery target= — 要查询的 SQUID 目标类型。您可以选择在目标前添
加“.”和数据库类型。例如：databaseType.target。
[select=<>] 查询的 SQUID select 子句；如果为空，则将返回所
有列。
[where=<>] 查询的 SQUID where 子句；如果为空，则将返回所
有行。
[order=<>] 查询的 SQUID order-by 子句；如果为空，则会返回
数据库顺序。
[group=<>] 查询的 SQUID group-by 子句；如果为空，则不执行
分组。
[database=<>] 远程数据库的名称；如果为空，则使用给定数据库类
型的默认数据库。
[depth=<>] 获取子结果的 SQUID 深度。（默认值：5）。
[joinTables=<>] 要与目标类型联接的 SQUID 目标的逗号分隔列表；
“*”表示与所有类型联接。
使用 core.listTables 帮助命令
要创建 McAfee ePO Web URL 查询或更改从现有查询导出的查询参数，您必须要了解 SQL 表的名称及其参数。这三
种命令提供以下信息：
• https://<localHost>:8443/remote/core.listTables — 列出所有 SQL 表及其参数
• https://<localHost>:8443/remote/core.listTables?:output=terse — 列出所有 SQL 表及其参数的摘要
• https://<localHost>:8443/remote/core.listTables?table=<tableName> — 列出特定 SQL 表的所有参数
键入该命令，以查看 core.listTables 帮助。
https://<localHost>:8443/remote/core.listTables?:output=terse
若需仅列出特定表的参数，请使用该命令：
https://<localHost>:8443/remote/core.listTables?table=<tableName>
另请参阅
通过 ID 编号运行查询：最佳实践第 318 页
使用 Web URL 查询中的 S 表达式：最佳实践

您可以使用 McAfee ePO Web URL 命令中的 S 表达式（符号表达式），以选择要加入表的特定命令对象及其参数，
然后对输出进行分组和排序。
将 core.executeQuery 命令与 [select=<>] 选项搭配使用，以创建 S 表达式。

该图显示完全限定 S 表达式查询的基础要求。
图 21-6 使用 S 表达式的 Web URL 查询
完全限定 S 表达式包括以下部分：
• select=(select ...) — S 表达式函数格式。
• <tableName>.<argumentName> — 您希望显示和操作的 SQL 表列的名称。例如，EPOLeafNode.NodeName 是

托管系统名称，EPOBranchNode.NodeName 是系统树组名。
在该示例 Web URL 查询中，会自动加入 EPOLeafNode 和 EPOBranchNode 表，以实行查询。
该示例中的两个表必须为完全限定或关联的，以便执行自动加入操作。
为目标表查找有效参数并确认表之间的关系。
对 Web URL 查询输出分组、排序和过滤

在 Web URL 查询 S 表达式中，您可以通过针对 core.executeQuery 命令列出的参数对 Web URL 查询分组、排序和
过滤。
对输出排序
为 Web URL 查询输出配置排序前，您必须要确定表列中的数据是可以排序的。利用该命令确认列数据是可以排序

的。
https://<localHost>:8443/remote/core.listTables?table=<tableName>
该示例确定您可以对 EPOBranchNode 表 NodeName 列数据进行排序。在 NodeName 行中，Order ?列为 True。
https://<localHost>:8443/remote/core.listTables?table=EPOBranchNode
该命令会显示以下帮助。
OK:Name: Groups Target: EPOBranchNode Type: join Database Type: Description: null Columns: Name Type Select?
Condition? GroupBy? Order? Number? ------------- ------------- ------- ---------- -------- ------ ------- AutoID group False True False
True True NodeName string True False True True False L1ParentID group False False True True True L2ParentID group
False False True True True Type int False False False True True BranchState int False False False True True Notes string
True True False True False NodePath string False False False True False NodeTextPath string_lookup True True True True
False NodeTextPath2 string_lookup True True True True False Related Tables: Name ---- Foreign Keys: None
该 Order 命令用于对 McAfee ePO 分支节点或系统树组名进行降序排序。
https://<localHost>:8443//remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select
EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName&order=(order(desc
EPOBranchNode.NodeName)

通过查询报告
以下为命令输出。
OK:System Name Tags Group Name --------------- ------------ -------------- DP-2K12R2S-SRVR Server SuperAgents
DP-2K8ER2EPO510 Server Servers DP-W7PIP-1 Workstation NAT Systems DP-W7PIP-2 Workstation NAT Systems
DP-W7PIP-3 Workstation NAT Systems DP-EN-W7E1XP-2 Lost&Found DP-2K8AGTHDLR Server, test Agent handlers
对输出分组
该命令对系统树系统名称进行分组或计数，并根据 McAfee ePO 分支节点或系统树组名对其进行分组。
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select
EPOBranchNode.NodeName (count))&group=(group EPOBranchNode.NodeName)
以下为命令输出。
OK:Group Name count -------------- ----- Agent handlers 1 Lost&Found 1 NAT Systems 3 Servers 1 SuperAgents 1
使用字符串过滤输出
该命令过滤系统树系统名称，以仅显示名称中包含字符串“2k8”的名称。
EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName)&where=(contains EPOLeafNode.NodeName
"2k8")
此命令输出仅显示名称中包含字符串“2k8”的名称。
OK:System Name Tags Group Name --------------- ------------ -------------- DP-2K8ER2EPO510 Server Servers
DP-2K8AGTHDLR Server, test Agent handlers
使用列表中前 <number> 个过滤输出

该命令过滤系统树系统名称，以仅显示列表中的前 3 个名称。
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select (top 3)
EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName)
该命令输出显示列表中的前 3 个名称。
OK:System Name Tags Group Name --------------- ------ ----------- DP-2K8ER2EPO510 Server Servers DP-2K12R2S-SRVR
Server SuperAgents DP-EN-W7E1XP-2 Lost&Found
使用通用属性过滤输出
该命令过滤系统树系统，以仅显示特定数量的通用属性。
EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName)&where=(hasTag EPOLeafNode.AppliedTags 4)
该命令输出具备 4 个通用属性。
OK:System Name Tags Group Name ----------- -------------- ----------- DP-W7PIP-1 7, Workstation Workstation DP-W7PIP-2 7,
Workstation Workstation DP-W7PIP-3 7, Workstation Workstation
您可以合并过滤器
您可以使用最常见的过滤器 AND 和 OR。例如：

• (AND <expression> <expression> …)
• (OR <expression> <expression> …)
• 这些过滤器可以通过任意方式合并。例如：(AND (hasTag EPOLeafNode.AppliedTags 3) (contains

EPOLeafNode.NodeName “100”))
括号必须要配对。
您也可以使用在 McAfee ePO 用户界面中无法构建的过滤器。例如：
(OR (AND (hasTag EPOLeafNode.AppliedTags 3) (contains EPOLeafNode.NodeName “100”)) (AND (hasTag

EPOLeafNode.AppliedTags 4) (contains EPOLeafNode.NodeName “100”)) )
另请参阅
解析查询导出数据，以创建 Web URL 查询最佳实践

您可以使用从现有查询中导出的数据创建有效的 Web URL 查询和 S 表达式。
以下示例是从预配置的 VSE：DAT 部署查询中导出的数据。该导出的文件可用于介绍创建 Web URL 查询的步骤和流
程。
<list id="1"> <query id="2"> <dictionary id="3"/> <name>VSE: DAT Deployment</name> <description>Displays the three
highest DAT versions, and a slice for all the other versions.</description> <target>EPOLeafNode</target>
<table-uri>query:table?orion.table.columns=EPOComputerProperties.ComputerName
%3AEPOComputerProperties.DomainName%3AEPOLeafNode.os%3AEPOComputerProperties.Description
%3AEPOLeafNode.Tags%3AEPOProdPropsView_VIRUSCAN.productversion%3AEPOProdPropsView_VIRUSCAN.hotfix
%3AEPOProdPropsView_VIRUSCAN.servicepack%3AEPOProdPropsView_VIRUSCAN.enginever
%3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver
%3AEPOLeafNode.LastUpdate&orion.table.order.by=EPOComputerProperties.ComputerName
%3AEPOLeafNode.LastUpdate&orion.table.order=az</table-uri> <condition-uri>query:condition?orion.condition.sexp=
%28+where+%28+version_ge+EPOProdPropsView_VIRUSCAN.productversion+%228%22+%29+%29</condition-uri>
<summary-uri>query:summary?
pie.slice.title=EPOProdPropsView_VIRUSCAN.datver&pie.count.title=EPOLeafNode&orion.query.type=pie.pie&orion.sum.que
summary-uri> </query> </list>
已导出的查询包含 URL 编码的字符串。使用该表将 URL 编码的字符转换为有效 Web URL 查询字符。
表 21-2 将 URL 编码的字符转换为 Web URL 查询字符

URL 编码的字符 Web URL 查询字符
%22 引号“"..."”
“+” 空格“ ”
%28 左括号“(”
%29 右括号“)”
&amp 和号“&”
Az（在排序命令中） “asc”= 升序
za（在排序命令中） “desc”= 降序

通过查询报告
XML 查询数据文件结构
XML 查询导出数据文件分隔为不同的数据部分。某些部分在最终 Web URL 查询中并不使用，而某些部分几乎只要一
出现就要投入使用。
图 21-7 已导出的查询和 Web URL 查询数据比较
<summary-uri>query: 代码中的命令创建饼图，并并不用于创建 Web URL 查询输出。 order=desc 参数显示为最终 Web

URL 查询中的排序和分组示例。
该表列出该图中显示的数字、导出查询和最终 Web URL 查询的主要部分及其使用方法。
表 21-3 将 URL 编码的字符转换为 Web URL 查询字符

编号已导出的查询 Web URL 查询说明
<target>...</target> target=... 列出该查询中解析的表。
sexp=... select=(select... 列出 S 表达式命令对象，其参数以及联接表。
order=... order=(order(... 列表输出中使用的排序顺序。
Web URL 查询分隔为多个部分

使用现有查询导出的 XML 文件中的信息，您可以创建该文件，并使用换行符划分：
https://<localHost>8443/remote/core.executeQuery?
target=EPOLeafNode&
select=(select EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver)&
:output=terse&
order=(order(desc EPOLeafNode.NodeName))
? 和 & 表示 Web URL 查询的不同部分。
删除换行符后，该示例即为最终 Web URL 查询。
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&select=(select EPOLeafNode.NodeName
EPOProdPropsView_VIRUSCAN.datver)&:output=terse& order=(order(desc EPOLeafNode.NodeName))
以下为 Web URL 查询的输出：
OK:System Name DAT Version (VirusScan Enterprise) --------------- ---------------------------------- DP-W7PIP-3 7465.0000
DP-W7PIP-2 7429.0000 DP-W7PIP-1 7437.0000 DP-EN-W7E1XP-2 DP-2K8ER2EPO510 7465.0000 DP-2K8AGTHDLR
7437.0000 DP-2K12R2S-SRVR
通过 ID 编号运行查询：最佳实践
使用 Web URL 运行查询最快速的方法是使用预配置的查询 ID，然后将 Web 浏览器的输出用于其他脚本或电子邮件。
开始之前
您必须拥有管理员权限才可以运行该查询。
运行 Web API 查询的效率高于通过 McAfee ePO 用户界面运行查询。此外，您可以将其输出用于脚本中并重定向输

出和端口，以便进一步处理。
例如，要通过 McAfee ePO 用户界面访问查询“每周添加到 ePO 的新代理数”，请选择“菜单” | “报告” | “查询和报告”，

选择“每周添加到 ePO 的新代理数”查询并单击“操作” | “运行”。
该 Web URL 输出与使用用户界面获得的查询输出相似，而且它允许您在其他脚本中使用输出或根据需要进行操作。
任务
备用方法：您可以将 https://<localHost>:8443/remote/core.executeQuery?queryId=34 粘贴在浏览器地址栏中，以显
示该 URL 输出。
1 使用您的浏览器登录 McAfee ePO 服务器。
2 若要获取预配置查询及其 ID 编号的列表，请将该 URL 键入到浏览器地址栏中，然后按下 Enter。

https://<localHost>:8443/remote/core.listQueries?:output=terse
3 从 listQueries 命令输出中，找到要运行的查询。
在该示例中，queryId=34 参数会被附加到 Web URL https://<localHost>/remote/core.executeQuery?
queryId=<number> 中，以运行“每周添加到 ePO 的新代理数”查询。
通过 XML 数据运行查询最佳实践
导出现有查询 XML 定义是了解如何创建 Web URL 查询的绝佳方法。
在该示例中，请将“VSE：DAT 部署 XML”定义文件导出，并使用这些表对象为网络中的每个系统创建 VirusScan
Enterprise DAT 文件版本列表。

通过查询报告
任务
1 导出现有查询定义 XML 文件并在文本编辑器中将其打开。
您的导出文件与 VSE：DAT 部署 XML 定义文件相似。
<list id="1"> <query id="2"> <dictionary id="3"/> <name>VSE: DAT Deployment</name> <description>Displays the three
highest DAT versions, and a slice for all the other versions.</description> <target>EPOLeafNode</target>
<table-uri>query:table?orion.table.columns=EPOComputerProperties.ComputerName
%3AEPOLeafNode.LastUpdate&orion.table.order.by=EPOComputerProperties.ComputerName
%3AEPOLeafNode.LastUpdate&orion.table.order=az</table-uri> <condition-uri>query:condition?
orion.condition.sexp=%28+where+%28+version_ge+EPOProdPropsView_VIRUSCAN.productversion+%228%22+%29+
%29</condition-uri> <summary-uri>query:summary?
pie.slice.title=EPOProdPropsView_VIRUSCAN.datver&pie.count.title=EPOLeafNode&orion.query.type=pie.pie&orion.sum
summary-uri> </query> </list>
2 打开现有 Web URL 查询文件作为模板，然后使用新名称进行保存。例如，URL_template。
以下为现有 Web URL 模板文件的示例。
https://<localHost>:8443/remote/core.executeQuery? target=<tableTarget>& select=(select <tableObjectNames>)
3 在查询定义 XML 文件中，查找目标标记之间列出的查询目标。

例如，<target>EPOLeafNode</target> 并粘贴模板 URL 的 target= 中的目标表名称。
以下为添加了目标表名称后的模板 URL。
https://<localHost>:8443/remote/core.executeQuery? target=EPOLeafNode& select=(select <tableObjectNames>)
4 在查询定义 XML 文件中，请查找开始标记和结束标记 <condition-uri> ... </condition-uri> 之间列出的 S 表达式函

数，然后执行以下步骤：
a 在 URL 模板文件中，请粘贴 select=(select 参数中的对象名称以及右括号。该示例会添加 EPOLeafNode（系
统树）表中的 EPOLeafNode.NodeName（系统名称）和 EPOProdPropsView_VIRUSCAN.datver（VirusScan
Enterprise DAT 版本）。
https://<localHost>:8443/remote/core.executeQuery? target=EPOLeafNode& select=(select

EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver)
b 添加排序函数。例如，若要根据系统名称对输出排序，请在现有 S 表达式中添加字符串“& order=(order(desc

EPOProdPropsView_VIRUSCAN.datver)”。
以下示例根据 VirusScan Enterprise DAT 版本对输出进行排序。
https://<localHost>:8443/remote/core.executeQuery? target=EPOLeafNode& select=(select

EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver& order=(order(asc
EPOProdPropsView_VIRUSCAN.datver))

5 使用 McAfee ePO 服务器 DNS 名称或 IP 地址代替 <localHost> 变量并在浏览器地址栏中粘贴 URL。您的输出应
该形同此输出，只是会有很多条目。
OK:
System Name: DP-2K12R2S-SRVR
DAT Version (VirusScan Enterprise): System Name: DP-EN-W7E1XP-2
DAT Version (VirusScan Enterprise): System Name: DP-W7PIP-2
DAT Version (VirusScan Enterprise): 7429.0000 System Name: DP-W7PIP-1
DAT Version (VirusScan Enterprise): 7437.0000
.
.
.
6 （可选）若要以表的格式显示信息，请在 URL 中任意和号前粘贴字符串 :output=terse&并返回命令。以下为添加

了 :output=terse& 模板文件的示例。
EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver)& order=(order(desc EPOLeafNode.NodeName))
请确认您的输出如以下示例所示：
OK:System Name DAT Version (VirusScan Enterprise) --------------- ---------------------------------- DP-2K12R2S-SRVR

DP-EN-W7E1XP-2 DP-W7PIP-2 7429.0000 DP-W7PIP-1 7437.0000 DP-2K8AGTHDLR 7437.0000 DP-2K8ER2EPO510
7465.0000 DP-W7PIP-3 7465.0000 . . .
您已使用从现有 XML 查询定义中导出的信息创建 Web URL 查询。
另请参阅
使用 Web URL 查询中的 S 表达式：最佳实践第 313 页
解析查询导出数据，以创建 Web URL 查询最佳实践第 316 页
使用表对象、命令和参数运行查询：最佳实践
您可以通过 Web 查询模板和 Web URL 帮助创建 Web URL 查询。
该示例介绍如何创建简单的 Web URL 查询，以显示托管系统的以下信息：
• 系统名称 • VirusScan Enterprise 产品系列
• McAfee Agent 版本 • VirusScan Enterprise 版本
• 代理上次更新的时间 • 以表的形式显示信息
任务
1 若要查找包含大部分信息的 SQL 表的名称，请使用该“帮助”命令。
https://<localHost>:8443/remote/core.listTables?:output=terse
2 通过文本编辑器，键入该 Web URL 模板命令。
https://<localHost>:8443/remote/core.executeQuery?target=<tableName>&select=(select <columns>)
3 利用该命令中的信息，查找系统名称、McAfee Agent 版本和代理上次更新的时间对应的参数。

https://<localHost>:8443/remote/core.listTables?:output=terse&table=EPOLeafNode

通过查询报告
该命令显示以下信息，供您在 Web URL 查询中使用：

• 查询“目标”— EPOLeafNode • 代理上次更新的时间 —
EPOLeafNode.LastUpdate
• 系统名称 — EPOLeafNode.NodeName • 各个系统上安装的产品 —

EPOProductPropertyProducts
• McAfee Agent 版本 —
EPOLeafNode.AgentVersion
OK:Name: Managed Systems Target: EPOLeafNode Type: target Database Type: Description: Retrieves information
about systems that have been added to your System Tree. Columns: Name Type Select? Condition? GroupBy? Order?
Number? ---------------------------- ------------- ------- ---------- -------- ------ ------- AutoID int False False False True True Tags
string True False False True False ExcludedTags string True False False True False AppliedTags applied_tags False
True False False False LastUpdate timestamp True True True True False os string True False False False False products
string False False False False False NodeName string True True True True False ManagedState enum True True False
True False AgentVersion string_lookup True True True True False AgentGUID string True False False True False Type int
False False False True False ParentID int False False False True True ResortEnabled boolean True True False True
False ServerKeyHash string True True False True False NodePath string_lookup False False False True False
TransferSiteListsID isNotNull True True False True False SequenceErrorCount int True True False True True
SequenceErrorCountLastUpdate timestamp True True False True False LastCommSecure string_enum True True True
True False TenantId int False False False True True Related Tables: Name --------------------------
EPOProdPropsView_EEFF EPOProdPropsView_VIRUSCAN EPOProductPropertyProducts EPOProdPropsView_PCR
EPOBranchNode EPOProdPropsView_EPOAGENT EPOComputerProperties EPOComputerLdapProperties
EPOTagAssignment EPOProdPropsView_TELEMETRY Foreign Keys: Source table Source Columns Destination table
Destination columns Allows inverse? One-to-one?
Many-to-one? ------------ -------------- -------------------------- ------------------- --------------- ----------- ------------ EPOLeafNode
AutoID EPOComputerProperties ParentID False False True EPOLeafNode AutoID EPOTagAssignment LeafNodeID False
False True EPOLeafNode ParentID EPOBranchNode AutoID False False True EPOLeafNode AutoID
EPOComputerLdapProperties LeafNodeId False False True EPOLeafNode AutoID EPOProductPropertyProducts
ParentID False False True
4 将步骤 3 中的参数添加至 Web URL 模板命令并进行测试。请确认您的命令采用如下形式：
EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate)
请确认您的输出如以下示例所示：
OK:System Name: DP-2K8ER2EPO510 Agent Version (deprecated): 4.8.0.887 Last Communication: 6/13/14 9:21:49 AM
PDT System Name: DP-2K12R2S-SRVR Agent Version (deprecated): 4.8.0.887 Last Communication: 6/13/14 9:55:19 AM
PDT System Name: DP-EN-W7E1XP-2 Agent Version (deprecated): null Last Communication: null . . .
5 再次使用 core.listTables 帮助命令，但要搭配使用 EPOProdPropsView_VIRUSCAN 表。该表会列出每个系统上

安装的 VirusScan Enterprise 产品和版本。请确认您的命令采用如下形式：
https://<localHost>:8443/remote/core.listTables?table=EPOProdPropsView_VIRUSCAN
6 通过步骤 5 的输出将以下参数添加到 Web URL 命令并进行测试。

• VirusScan Enterprise 产品系列 — EPOProdPropsView_VIRUSCAN.ProductFamily
• VirusScan Enterprise 版本 — EPOProdPropsView_VIRUSCAN.productversion
请确认您的示例采用以下形式：
EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate EPOProdPropsView_VIRUSCAN.ProductFamily
EPOProdPropsView_VIRUSCAN.productversion)

请确认您的示例输出采用以下形式：
OK:System Name: DP-2K8ER2EPO510 Agent Version (deprecated): 4.8.0.887 Last Communication: 6/13/14 10:21:50
AM PDT ProdProps.productFamily (VirusScan Enterprise): VIRUSCAN Product Version (VirusScan Enterprise):
8.8.0.1266 System Name: DP-2K12R2S-SRVR Agent Version (deprecated): 4.8.0.887 Last Communication: 6/13/14
10:55:19 AM PDT ProdProps.productFamily (VirusScan Enterprise): VIRUSCAN Product Version (VirusScan Enterprise):
System Name: DP-EN-W7E1XP-2 Agent Version (deprecated): null Last Communication: null ProdProps.productFamily
(VirusScan Enterprise): VIRUSCAN Product Version (VirusScan Enterprise): . . .
7 最后为以表的形式显示输出，请在第一个和号后添加命令 :output=terse& 并返回命令。
请确认您的示例命令采用以下形式：
EPOLeafNode.NodeName EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate
EPOProdPropsView_VIRUSCAN.ProductFamily EPOProdPropsView_VIRUSCAN.productversion)
请确认您的示例输出采用以下形式：
OK:System Name Agent Version (deprecated) Last Communication ProdProps.productFamily (VirusScan Enterprise)
Product Version (VirusScan
Enterprise) --------------- -------------------------- ----------------------- ----------------------------------------------
-------------------------------------- DP-2K8ER2EPO510 4.8.0.887 6/13/14 10:21:50 AM PDT VIRUSCAN 8.8.0.1266
DP-2K12R2S-SRVR 4.8.0.887 6/13/14 10:55:19 AM PDT VIRUSCAN DP-EN-W7E1XP-2 null null VIRUSCAN
DP-W7PIP-1 4.8.0.887 6/13/14 10:37:20 AM PDT VIRUSCAN 8.8.0.1266 DP-W7PIP-2 4.8.0.887 6/13/14 10:36:56 AM
PDT VIRUSCAN 8.8.0.1266 DP-W7PIP-3 4.8.0.887 6/13/14 10:37:00 AM PDT VIRUSCAN 8.8.0.1266 DP-2K8AGTHDLR
4.8.0.887 6/13/14 10:25:10 AM PDT VIRUSCAN 8.8.0.1266
另请参阅

A 其他信息
目录
打开远程控制台连接
计划您的灾难恢复
已注册的服务器
问题
SSL 证书
配置 Product Improvement Program
还原管理员权限
端口概述
打开远程控制台连接
使用 McAfee ePO 服务器名称或 IP 地址以及服务器通信端口号，您可以从任何受支持的 Internet 浏览器连接和配置
McAfee ePO。
在使用远程连接连接到 McAfee ePO 时，不允许进行某些配置更改。例如，您无法从远程连接运行已注册的可执行文

件。
若要配置远程连接，您必须确定您的 McAfee ePO 服务器名称或 IP 地址，以及服务器通信端口号。打开 McAfee ePO

后，当您登录到物理 McAfee ePO 服务器时，请注意在浏览器中显示的地址。确保该地址与下列地址相似：
https://win-2k8-epo59:8443/core/orionSplashScreen.do
在此示例 URL 中：
• win-2k8-epo59 — 是 McAfee ePO 服务器的名称
• :8443 — 是 McAfee ePO 使用的控制台至应用程序服务器通信端口编号。
默认端口号为 8443，除非您做出更改。
任务
1 打开 McAfee ePO 支持的任意 Internet 浏览器。请参阅《“McAfee ePO 安装手册”》，查看受支持浏览器列表。
2 在浏览器地址栏中键入以下两种地址之一，然后单击“转至”：
https://<servername>:8443
https://<ipaddress_of_server>:8443
例如，https://win-2k8-epo59:8443
3 登录至 McAfee ePO，然后您已建立远程控制台连接。

A 其他信息
有关可从远程控制台连接运行的扩展命令的示例，请参阅《“McAfee ePO Web API 脚本编写手册”》。
完成安装后，尽快针对灾难恢复方案配置 McAfee ePO 服务器。
灾难恢复
灾难恢复功能可帮助您迅速恢复或重新安装 McAfee ePO 软件。
灾难恢复使用快照功能，会定期将您的 McAfee ePO 配置、扩展、密钥等保存到 McAfee ePO 数据库中的快照记录
中。有关其他信息，请参阅知识库文章《McAfee ePO 服务器备份和灾难恢复过程》，KB66616。
快照所保存的记录包含了拍摄快照的特定时间点的整个 McAfee ePO 配置。将快照记录保存到数据库之后，您可以使

用 Microsoft SQL 备份功能来保存整个 McAfee ePO 数据库，并将其还原到另一个 SQL Server。
McAfee ePO 软件灾难恢复配置包括在 McAfee ePO 主服务器上执行的一般步骤：
1 拍摄 McAfee ePO 服务器配置的快照并将其保存到主 SQL 数据库中。您可以手动，或通过为此提供的默认服务器

任务创建该快照。
2 使用 Microsoft SQL Server Management Studio 或 BACKUP (Transact-SQL) 命令行过程来备份 SQL 数据库。
3 将在步骤 2 中创建的 SQL 数据库备份文件复制到用以还原 SQL 数据库的副本 SQL Server。
4 McAfee ePO 设置开始后，使用“还原”选项重新安装 McAfee ePO 软件。
用于灾难恢复的服务器群集
如果您要求在硬件出现故障时造成零停机时间，则可以建立 McAfee ePO 服务器和 SQL Server 群集。但零停机时间
还要求提供其他硬件，会增加实施的成本。
您可以选择仅群集 SQL Server，以缩短停机时间。如果 McAfee ePO 服务器因硬件故障而失败，您可以重新安装其
操作系统，该过程只需几小时时间，而且可以将 McAfee ePO 服务器指向您的 SQL 数据库。
请参考《McAfee ePO 服务器备份和灾难恢复程序》，知识库文章 KB66616，了解完全还原程序。
一个物理站点上的冷备用和热备用
如果您的大型生产环境要求将停机时间降至最低，您可以使用冷或热备用 McAfee ePO 服务器。备用服务器运行
McAfee ePO 的还原安装并指向您的 SQL 数据库。
如果您仅拥有一个物理站点，请将您的 SQL Server 聚集在一起。如果您的 McAfee ePO 服务器出现故障，您只需将
备用 McAfee ePO 服务器的 IP 地址更改为出现故障的 McAfee ePO 服务器的 IP 地址。该 IP 地址更改操作对代理透
明，而且可将灾难情况造成的停机时间降至最低。
您必须拥有上次已知良好的 SQL 数据库备份，以确保该 IP 地址更改操作生效。

其他信息
已注册的服务器 A
两个物理站点上的冷备用和热备用
为实现全面的灾难恢复，请使用两个物理站点 – 一个主要站点，一个次要站点。
您的主要站点配备有群集 SQL Server 和一个 McAfee ePO 服务器。 McAfee 建议在次要站点上安装热或冷备用
McAfee ePO 服务器和 SQL 数据库。我们建议您将次要 McAfee ePO 服务器放置在使用其他 IP 地址和 DNS 名称的
物理站点中。您可以每晚或每周在非工作时间通过 SQL 复制或 SQL 日志传送将 McAfee ePO 数据库从主要站点复制
到次要站点的 SQL Server。然后请确保您的次要 McAfee ePO 服务器选择您的次要 SQL Server。请参阅 Microsoft
文章“复制类型” (http://technet.microsoft.com/en-us/library/ms152531.aspx)，了解详细信息。
图 A-1 主要和次要 McAfee ePO 站点配置
如果主要站点未能通信，请配置之前与主要 McAfee ePO 服务器通信的所有代理，以便与次要服务器通信。代理首先

通过与 McAfee ePO 服务器的 IP 地址通信查找该服务器，如果失败，则使用其 DNS 名称。如果代理发现主要
McAfee ePO 服务器的 IP 地址不可用，则会执行以下步骤。
1 如果您更改主要服务器的 IP 地址，代理会查询其 DNS。
2 代理会选择次要服务器的 IP 地址。
3 代理尝试连接到次要 McAfee ePO 服务器和 SQL 数据库。
通过向 McAfee ePO 服务器注册其他服务器，便可以访问这些服务器。通过已注册的服务器，您可以将软件与其他外
部服务器集成在一起。例如，注册 LDAP 服务器后，以与 Active Directory 服务器建立连接。
McAfee ePO 可以与以下服务器通信：
• 其他 McAfee ePO 服务器 • SNMP 服务器
• 其他远程数据库服务器 • Syslog 服务器
• LDAP 服务器
每种类型的已注册的服务器都会支持或补充 McAfee ePO 及其他 McAfee 和第三方扩展和产品的功能。
我们建议您在针对连接到 McAfee ePO 的已注册服务器使用这些证书时使用长度为 2048 或更长的 RSA 公钥。更多信

息，包括其他受支持的公钥算法和密钥长度，请参阅知识库文章 KB87731。
目录
注册 McAfee ePO 服务器
使用数据库服务器
注册 SNMP 服务器
注册 Syslog 服务器
注册 LDAP 服务器
镜像 LDAP 服务器
在服务器间共享对象

A 其他信息
注册 McAfee ePO 服务器

您可以注册其他 McAfee ePO 服务器，以便与主 McAfee ePO 服务器配合使用来收集或积累数据，或者在已注册的服
务器之间传输托管系统。
开始之前
要向另一个服务器注册 McAfee ePO 服务器，您需要知道要注册的服务器的 McAfee ePO 服务器 SQL 数
据库的详细信息。您可以使用以下远程命令来确定 Microsoft SQL 数据库服务器名称、数据库名称等等：
https://<server_name>:<port>/core/config
以下是远程命令中的变量：
• <server_name> — 远程 McAfee ePO 服务器的 DNS 服务器名称或 IP 地址
• <port> — 所分配的 McAfee ePO 服务器端口号，通常是“8443”，除非您的服务器配置为使用其他端口

号
任务
1 选择“菜单” | “配置” | “已注册的服务器”，然后单击“新建服务器”。
2 在说明页面的服务器类型菜单中，选择“ePO”，指定唯一的名称和任何备注，然后单击“下一步”。
3 指定以下选项以配置服务器：
选项定义
“身份验证类型” 指定要用于此数据库的身份验证类型，其中包括：
• “Windows 身份验证”
• “SQL 身份验证”
“客户端任务共享” 指定针对此服务器是启用还是禁用客户端任务。
“数据库名称” 指定此数据库的名称。
“数据库端口” 指定此数据库的端口。
“数据库服务器” 指定此服务器的数据库的名称。可以使用 DNS 名称或 IP 地址（IPv4 或 IPv6）指定数据
库 McAfee ePO。
“ePO 版本” 指定正在注册的服务器的版本。
“密码” 指定此服务器的密码。
“策略共享” 指定针对此服务器是启用还是禁用策略共享。
“SQL Server 实例” 允许您指定这是默认服务器还是特定实例（通过提供实例名称来指定）。
使用其实例名称连接到某个特定的 SQL 实例之前，请先确保此 SQL 浏览器服务正在运

行。如果 SQL 浏览器服务未在运行，请指定端口号。
选择默认的 SQL 服务器实例，然后键入端口号以连接到 SQL 服务器实例。
“与数据库服务器进行指定 McAfee ePO 是否与此数据库服务器进行 SSL（安全套接字层）通信，包括：

SSL 通信”
• “尝试使用 SSL”
• “始终使用 SSL”
• “从不使用 SSL”

其他信息
选项定义
“测试连接” 检验所详述服务器的连接。
如果您使用不同的 McAfee ePO 版本注册服务器，则会出现这条仅供参考的警告：警告版

本不匹配！
“传输系统” 指定针对此服务器是启用还是禁用传输系统功能。如果启用该功能，则选择“自动导入站点
列表”或者“手动导入站点列表”。
选择“手动导入站点列表”时，有可能导致旧版 McAfee Agent（4.0 版本和更早版本）无法

联系其代理处理程序。这会在以下情况中发生：
• 将系统从该 McAfee ePO 服务器传输到已注册的 McAfee ePO 服务器时
• 在所提供的 Sitelist 中，代理处理程序名称在字母数字顺序上先于 McAfee
ePO 服务器名称
• 较旧的代理使用该代理处理程序
“使用 NTLMv2” 可以选择使用 NT LAN Manager 身份验证协议。当正在注册的服务器使用此协议时，请选

择该选项。
“用户名” 指定此服务器的用户名。
使用数据库服务器
McAfee ePO 不仅可以从自身的数据库检索数据，还可以从某些扩展检索数据。
您可能需要注册几种不同的服务器类型才能完成 McAfee ePO 中的任务。它们包括身份验证服务器、Active Directory
目录、McAfee ePO 服务器，以及能够与已安装的特定扩展协作的数据库服务器。
数据库类型
通过 McAfee ePO，扩展可注册数据库类型（也称为架构或结构）。如果注册，则该扩展可以为查询、报告、信息显示
板监视器和服务器任务提供数据。要使用此数据，您必须首先通过 McAfee ePO 注册服务器。
数据库服务器
数据库服务器是服务器和安装在该服务器上的数据库类型的组合。一台服务器可以托管多种数据库类型，且同一个数据
库类型可以安装在多台服务器上。这两者的每个特定组合都必须单独注册，并作为数据库服务器来引用。
在注册了数据库服务器之后，您可以从数据库中检索查询、报告、信息显示板监视器和服务器任务方面的数据。如果注
册了多个使用同一数据库类型的数据库，则需要选择其中一个数据库作为该数据库类型的默认数据库。
注册数据库服务器
在 McAfee ePO 可以检索数据之前，您必须通过数据库服务器进行注册。
任务
1 打开已注册的服务器页面：选择“菜单” | “配置” | “已注册的服务器”，然后单击“新建服务器”。
2 从“服务器类型”下拉列表中选择“数据库服务器”，输入服务器名称和描述（可选），然后单击“下一步”。
3 从已注册类型的下拉列表中选择“数据库类型”。指出您是否希望此数据库类型成为默认类型。
如果此数据库类型已分配有一个默认的数据库，则会在“数据库类型的当前默认数据库”行指示。

A 其他信息
4 指出“数据库供应商”。目前仅支持 Microsoft SQL Server 和 MySQL。
5 输入数据库服务器的连接细节和登录凭据。
6 要验证输入的所有连接信息和登录凭据是否正确，请单击“测试连接”。
此时会显示一条状态消息，指示是成功还是失败。
修改数据库注册
如果数据库服务器的连接信息或登录凭据有所更改，您必须修改注册以反映当前的状态。
任务
1 打开已注册的服务器页，选择 “菜单” | “配置” | “已注册的服务器”。
2 选择要编辑的数据库，然后单击“操作” | “编辑”。
3 更改服务器的名称或备注，然后单击“下一步”。
4 按需要修改信息。要验证数据连接，请单击“测试连接”。
5 单击“保存”以保存更改。
删除已注册的数据库
如果不再需要某些数据库，可以将其从系统中删除。
任务
1 打开“已注册的服务器”页：选择“菜单” | “配置” | “已注册的服务器”。
2 选择要删除的数据库，然后单击“操作” | “删除”。
3 当出现确认对话框时，单击“是”以删除数据库。
数据库已删除。如果 McAfee ePO 使用的是已删除的数据库，则其中的任何查询、报告或其他项目都被指定为无效，

除非它更新为使用其他数据库。
注册 SNMP 服务器
要接收 SNMP 陷阱，您必须添加 SNMP 服务器的信息，以便 McAfee ePO 知道将陷阱发送到何处。
任务
1 选择 “菜单” | “配置” | “已注册的服务器”，然后单击“新建服务器”。
2 从“描述”页上的服务器类型菜单中，选择“SNMP 服务器”，提供服务器名称以及任何其他信息，然后单击“下一步”。
3 从 “URL” 下拉列表中，选择一种服务器地址类型，然后输入相应的地址：
• “DNS 名称” - 指定已注册的服务器的 DNS 名称。
• “IPv4” — 指定已注册的服务器的 IPv4 地址。
• “IPv6” — 指定具有 IPv6 地址的已注册的服务器的 DNS 名称。

其他信息
4 选择服务器所使用的 SNMP 版本：

• 如果选择“SNMPv1”或“SNMPv2c”作为 SNMP 服务器版本，请在“安全”下键入服务器的团体字符串。
• 如果选择“SNMPv3”，请提供“SNMPv3 安全”详细信息。
5 单击“发送测试陷阱”测试配置。
已添加的 SNMP 服务器会出现在已注册的服务器页中。
注册 Syslog 服务器
您可以启用 McAfee ePO，从而与您的 syslog 服务器同步。 syslog 是网络设备向单个日志记录服务器发送事件消息的
一种方式。例如，您可以使用 syslog 收集有关特定威胁事件的信息。
开始之前
您必须要具备 syslog 服务器的域名或 IP 地址。
任务
1 选择 “菜单” | “配置” | “已注册的服务器”，然后单击“新建服务器”。
2 在“说明”页面的服务器类型菜单中，选择 “Syslog 服务器”，指定唯一的名称和任何备注，然后单击“下一步”。
3 在已注册的服务器生成器页面中，配置以下设置：
a “服务器名称”— 为服务器使用 DNS 样式的域名（例如，internaldomain.com）或完全限定域名或 IP 地址。
（例如，server1.internaldomain.com 或 192.168.75.101）
b “TCP 端口号” — 键入 Syslog 服务器的 TCP 端口。默认为 6514。
c “启用事件转发”— 单击该选项，以启用从“代理处理程序”向该 syslog 服务器的事件转发。
d “测试”— 单击“测试连接”以验证与 Syslog 服务器的连接。
注册 syslog 服务器后，您可以设置 McAfee ePO，以将事件发送到您的 syslog 服务器。默认情况下，这些事件将保

存在您的代理处理程序中，路径为：C:\Program Files (x86)\McAfee\Agent Handler\DB\Logs\server_<服务器名称
>.log。该日志文件中包括所有可能会出现的 Syslog 服务器错误。
注册 LDAP 服务器
您必须具有已注册的 LDAP（轻型目录访问协议）服务器，才能使用策略分配规则、启用动态分配的权限集以及启用
Active Directory 用户登录。
任务
1 选择“菜单” | “配置” | “已注册的服务器”，然后单击“新建服务器”。
2 从“描述”页上的“服务器类型”菜单中选择“LDAP 服务器”，指定一个唯一的名称及任何详细信息，然后单击“下一
步”。
3 选择您注册的是 “LDAP 服务器类型”列表中的 OpenLDAP 还是 Active Directory 服务器。
以下其余说明假定配置的是 Active Directory 服务器。特定于 OpenLDAP 的信息会在必要时提供。

A 其他信息
4 选择在“服务器名称”区域中是指定域名还是特定服务器名称。
使用 DNS 样式的域名。例如，internaldomain.com 和服务器的完全限定域名或 IP 地址，
server1.internaldomain.com 或 192.168.75.101。
使用域名可提供故障转移支持，您还可以根据需要仅从特定站点中选择服务器。
OpenLDAP 服务器只能使用服务器名称，无法通过域指定。
5 选择是否需要“使用全局目录”。
默认情况下未选中此选项。如果选中“使用全局目录”，则可以提供重要的性能优势。仅当已注册的域是本地域的父
域时，才应选中此选项。如果包括了非本地域，则搜索参照可能会导致大量的非本地网络流量，也许会严重影响性
能。
“使用全局目录”不适用于 OpenLDAP 服务器。
6 如果您选择不使用全局目录，请选择是否“搜索参照”。
如果搜索参照引起非本地网络流量，则无论是否使用全局目录都可能导致性能问题。
7 选择在与此服务器通信时是否“使用 SSL”。
8 如果配置的是 OpenLDAP 服务器，则输入“端口”。
9 根据指示输入“用户名”和“密码”。
这些凭据必须是服务器上管理员帐户的凭据。对于 Active Directory 服务器，采用域\用户名形式；而对于
OpenLDAP 服务器，则采用 cn=User,dc=realm,dc=com 形式。
10 输入服务器的“站点名称”，或通过单击“浏览”并导航到该服务器进行选择。
11 单击“测试连接”来验证与指定服务器的通信。根据需要更改信息。
12 单击“保存”注册服务器。

其他信息
镜像 LDAP 服务器
镜像到 McAfee ePO 数据库的 LDAP 服务器可以提高任何使用基于用户策略 (UBP) 的产品的性能并允许 LDAP 访问
DMZ 后台的代理处理程序。
该图显示代理处理程序连接流程和镜像的 LDAP 连接流程的默认 LDAP 服务器。
图 A-2 默认和 LDAP 镜像的连接过程
从配置的 LDAP 服务器到代理处理程序的默认连接流程。
镜像的 LDAP 与 LDAP 同步服务器任务的连接要求使用 LDAP 服务器中的用户信息。
显示镜像到 McAfee ePO 数据库的 LDAP 服务器用户信息。
显示 DMZ 后台中访问 McAfee ePO 数据库中镜像的 LDAP 服务器信息的代理处理程序。
为何使用 LDAP 镜像？

当 LDAP 服务器用户信息镜像到 McAfee ePO 数据库时：
• 中大型组织可以更加快速地从数据库中访问代理处理程序使用的用户信息，以满足 LDAP 对 UBP 的请求。
• DMZ 后台的代理处理程序可以访问 LDAP 用户信息。
无法从 McAfee ePO 用户界面中访问或查询数据库中的 LDAP 信息。
默认情况下，数据库中的 LDAP 信息每 8 小时通过 LdapSync: 在 LDAP 中的用户间同步服务器任务更新一次，除非出

现以下情况：

A 其他信息
• 将“LDAP 更改通知”从 McAfee ePO 服务器发送到代理处理程序。
默认情况下，代理处理程序中的 LDAP 用户信息缓存每 30 分钟更新一次。
• 您可以手动运行服务器任务。
在服务器间共享对象
通常，若要将一台 McAfee ePO 服务器的行为复制到另一台服务器，最快最简单的方法就是将描述此行为的项目导出
并将其导入到另一台服务器上。
从您的 McAfee ePO 服务器中导出对象和数据

导出的对象和数据可用以备份重要数据，并在您的环境中还原或配置 McAfee ePO 服务器。
可以导出或下载您服务器中使用的大多数对象和数据，以便查看、转换或导入到其他服务器或应用程序中。以下表中
列出您可以执行操作的各个项目。若需查看数据，请将表导出为 HTML 或 PDF 文件。若需使用其他应用程序中的数
据，请将表导出为 CSV 或 XML 文件。
在导出多个项目的情况下，导出的 XML 文件通常包含一个命名为 <列表> 的元素。如果仅导出一个对象，此元素可能
以对象的名称命名。（例如，<查询>）。任何其他详细内容均随导出的项目类型而变化。
可以导出以下项目。安装的扩展可向此列表中添加项目。检查扩展文档获取详细信息。
• 信息显示板 • 服务器任务
• 权限集 • 用户
• 查询 • 自动响应
• 报告
您还可以从以下位置导出项目：
• 策略目录
• 客户端任务目录
• 标记目录
可导出以下项目的当前内容表格。
• 审核日志
• 问题
任务
1 在用于显示对象或数据的页面中，单击“操作”，然后选择选项。例如，当导出某个表时，选择“导出表”，然后单击
“下一步”。
2 当导出能够以多种格式下载的内容（例如查询数据）时，将打开带有配置选项的“导出”页。指定您的首选项，然后
单击“导出”。
3 导出对象或定义（如客户端任务对象或定义）时，会出现以下一种情况：
• 您可以选择“打开”或“保存”地方会打开浏览器窗口。
• 打开包含文件链接的“导出”页。左键单击链接，以在浏览其中查看文件，或右键单击链接以保存文件。
将项目导入到 McAfee ePO

从 McAfee ePO 服务器中导出的项目可导入到其他服务器。
McAfee ePO 将项目导出为 XML。这些 XML 文件包含导出项目的准确描述。

其他信息
问题 A
导入项目
将项目导入到 McAfee ePO 时，需要遵守某些规则：
• 默认情况下，导入的除用户外的所有项目都具有私人可见性。您可以在导入期间或导入后应用其他权限。
• 如果项目同名，则在导入的项目名称后附加 "(imported)" 或 "(copy)"。
• 如果导入的项目需要新服务器上不存在的扩展或产品，则被指定为无效。
McAfee ePO 仅导入 McAfee ePO 导出的 XML 文件。
有关如何导入各种项目的详细信息可以在相应项目的文档中找到。
问题
问题是一种操作项，对于它们可以区分优先级并进行分配和跟踪。
目录
问题及其工作方式
查看问题
从问题表格中删除已关闭的问题
手动创建问题
将响应配置为自动创建问题
管理问题
将票证与 McAfee ePO 搭配使用
问题及其工作方式
问题由具有适当权限的用户以及所安装的托管产品扩展来管理。
问题的状态、优先级、严重性、解决状态、受理人和到期日期均由用户定义，而且可以随时更改。您还可以在自动响应
页面指定默认的问题响应。在创建问题时，系统会根据用户配置的响应自动应用默认响应。响应还允许将多个事件累积
到一个问题中，以便 McAfee ePO 服务器不会承受过多问题。
问题可以手动删除，已关闭的问题可以基于其时限手动清除，也可以通过用户配置的服务器任务自动清除。
查看问题
问题页面会列出当前问题和已关闭的问题。
任务
1 打开问题页面：选择“菜单” | “自动” | “问题”。

A 其他信息
问题
从问题表格中删除已关闭的问题
从问题表格定期删除已关闭的问题，以改善数据库性能。
从问题表格删除的项目将永久删除。
任务
1 打开问题页面：选择“菜单” | “自动” | “问题”。
手动创建问题
有需要管理员解决的项目时，请创建问题。请提供足够的信息，以便其他用户了解您创建该问题的原因。
任务
1 选择 “菜单” | “自动” | “问题”，然后单击“新建问题”。
2 在“新建问题”对话框中，从“创建下列类型的问题”下拉列表中选择问题类型，然后单击“确定”。如果您不确定创建何
种类型的问题，请选择“基本”。
3 配置新问题。您指定的所有到期日期必须为将来的日期。
将响应配置为自动创建问题
当发生特定事件时，使用响应自动创建问题。
任务
1 打开响应生成器。
a 选择 “菜单” | “自动” | “自动响应”。
b 单击“新建响应”。
2 请填写这些字段，然后单击“下一步”。
3 选择属性以缩小触发响应的事件范围，然后单击“下一步”。
4 指定以下其他详细信息，然后单击“下一步”。
• 生成响应所需的事件频率。
• 事件的分组方式。
• 您希望出现此响应的最长时间期限。

其他信息
问题 A
5 从下拉列表中选择“创建问题”，然后选择要创建的问题类型。
此选项确定了该页上显示的选项。
6 键入问题的名称和描述。（可选）为该名称和描述选择一个或多个变量。
此功能提供了许多变量，这些变量提供了有助于修复问题的信息。
7 为响应键入或选择任意其他选项，然后单击“下一步”。
8 查看该响应的详细信息，然后单击“保存”。
管理问题
可以添加注释、分配问题、删除问题、编辑问题和查看问题详细信息。
任务
1 选择 “菜单” | “自动” | “问题”。
2 执行以下任一任务。
选项定义
为问题添加注释 1 选中要为其添加注释的每个问题旁的复选框，然后单击“操作” | “添加注释”。
2 在“添加注释”面板中，键入要为选定问题添加的注释。
3 单击“确定”以添加该注释。
正在分配问题选中要分配的每个问题旁的复选框，然后单击“分配给用户”。
在“问题”页上显示所需的列单击“操作” | “选择列”。选择要显示在“问题”页上的数据列。
删除问题 1 选中要删除的每个问题旁的复选框，然后单击“删除”。
2 单击“确定”以删除所选问题。
正在编辑问题 1 选中要编辑的问题旁的复选框，然后单击“编辑”。
2 根据需要编辑该问题。
导出问题列表 1 单击 “操作” | “导出表” 以打开导出页面。
2 在导出页面中，您可以指定要导出的文件的格式以及文件的打包方式。
查看问题详细信息 • 选择问题。
问题详细信息页面显示了有关问题的所有设置，以及问题活动日志。
将票证与 McAfee ePO 搭配使用

要将自动票证与 McAfee ePO 集成在一起，您或 McAfee Professional Service 可以使用问题 API 配置远程服务器。
有关 Web API 的详细用法和示例，请参阅 “McAfee ePolicy Orchestrator Web API 脚本指南”。

A 其他信息
SSL 证书
SSL 证书
如果浏览器无法验证 TrustedSource 是否对服务器的 SSL 证书签名，则 McAfee ePO 支持的浏览器会针对该证书发出
警告。通过 OpenSSL 创建自签证书可以停止该浏览器警告。
创建自签证书可以为内部网络上使用的系统提供所需的基本安全和功能，也可以使您无需等待认证机构对证书进行身份
验证。
使用 OpenSSL 创建自签证书
有时您可能无法或不希望等待证书颁发机构来验证证书。在初始测试期间或对于内部网络中使用的系统，自签证书可
以提供所需的基本安全性和功能。
开始之前
要创建自签证书，您需要安装 OpenSSL for Windows 软件。可从以下网址获取 OpenSSL：
http://www.slproweb.com/products/Win32OpenSSL.html http://www.slproweb.com/products/
Win32OpenSSL.html
要创建并自签证书以用于 McAfee ePO 服务器，请使用 OpenSSL for Windows 软件。您可以使用多种工具创建自签

证书。此任务描述了使用 OpenSSL 的过程。
要使第三方（如 Verisign 或 Microsoft Windows Enterprise 证书颁发机构）针对 McAfee ePO 创建签名的证书，请参阅

《如何生成自定义 SSL 证书以在使用 OpenSSL 工具包的 ePO 中使用》，KB72477。
以下任务中使用的文件结构为：
默认情况下，OpenSSL 不会创建这些文件夹。这些示例中用到了这些文件夹，可以创建这些文件夹来帮助您查找输出

文件。
• C:\ssl\ — OpenSSL 的安装文件夹。
• C:\ssl\certs\ — 用于存储创建的证书。
• C:\ssl\keys\ — 用于存储创建的密钥。
• C:\ssl\requests\ — 用于存储创建的证书请求。
我们建议您在使用这些证书时使用长度为 2048 或更长的 RSA 公钥。
任务
1 要生成初始证书密钥，请在命令行键入以下命令：
C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 2048

此时会出现以下屏幕。
Loading 'screen' into random state - done

Generating RSA private key, 2048 bit long modulus
........................++++++
.++++++
unable to write 'random state'
e is 65537 (ox10001)
输入 keys/ca.key 的密码短语
验证 – 输入 keys/ca.key: C:\ss\bin> 的密码短语

其他信息
SSL 证书 A
2 在第一个命令提示符处输入密码短语，并在第二个命令提示符处验证该密码短语。
请记下您输入的密码短语。您会在后续步骤中用到它。
此时会生成文件名 ca.key 并保存在路径 C:\ssl\keys\ 中。
密钥与以下示例类似。
3 要对您创建的证书密钥进行自签名，请在命令行中键入以下命令：
openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer
此时会出现以下屏幕。
在以下命令提示符后键入所需信息：
• 国家/地区名称（两个字母代码）[AU]：
• State or Province Name (full name) [Some-State]:
• 区域名称（如，城市）[]：
• 组织名称（如，公司）[Internet Widgits Pty Ltd]：
• 组织单位名称（如，部门）[]：

A 其他信息
SSL 证书
• 常用名（如您的名称）[]：
在此命令提示符处，键入服务器名称，例如 McAfee ePO 服务器的名称。
• Email Address []:
此时会生成名为 ca.cer 的文件并将其存储在路径 C:\ssl\certs\ 中。
自签证书与以下示例类似。
4 要上传自签证书，请打开“编辑服务器证书”页面。
a 请选择“菜单” | “配置” | “服务器设置”。
b 从“设置类别”列表选择“服务器证书”，并单击“编辑”。
5 浏览至服务器证书文件，然后单击“打开”。
在该示例中，浏览至 C:\ssl\certs\ 并选择 ca.cer。
6 如果需要，请键入 PKCS12 证书密码。
7 如果需要，请键入证书别名。
8 请浏览至私钥文件，然后单击“打开”。
在该示例中，浏览至 C:\ssl\keys\ 并选择 ca.key。
9 如果需要，请键入私钥密码，然后单击“保存”。
10 请重新启动 McAfee ePO，使更改生效。
其他有用的 OpenSSL 命令
您可以使用其他 OpenSSL 命令在生成的 PKCS12 证书中提取和组合密钥。您还可以将受密码保护的私钥 PEM 文件
转换为不受密码保护的文件。
与 PKCS12 证书一起使用的命令
使用以下命令可在单个文件中创建包含证书和密钥的 PKCS12 证书。
描述 OpenSSL 命令格式
在单个文件中创建证书和密钥 openssl req -x509 -nodes -days 365 -newkey rsa:1024 -config 路径
\openssl.cnf -keyout 路径 \pkcs12Example.pem -out 路径 \pkcs12Example.pem
导出 PKCS12 版本的证书 openssl pkcs12 -export -out 路径 \pkcs12Example.pfx -in 路径
\pkcs12Example.pem -name " user_name_string "
使用以下命令可以将证书和密钥从它们互相结合的 PKCS12 证书中分离。

其他信息
SSL 证书 A
描述 OpenSSL 命令格式
解压缩 .pfx 中的 .pem 密钥 openssl pkcs12 -in pkcs12ExampleKey.pfx -out pkcs12ExampleKey.pem
删除密钥上的密码 openssl rsa -in pkcs12ExampleKey.pem -out pkcs12ExampleKeyNoPW.pem
然后 McAfee ePO 服务器可以将 pkcs12ExampleCert.pem 用作证书，将

pkcs12ExampleKey.pem 用作密钥（或没有 pkcs12ExampleKeyNoPW.pem 密码的密
钥）。
转换受密码保护的私钥 PEM 文件的命令

要将受密码保护的私钥 PEM 文件转换为不受密码保护的文件，请键入：
openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem
在上面的示例中，C:\ssl\keys 是文件名 key.pem 和 keyNoPassword.pem 的输入和输出路径。
将现有 PVK 文件转换为 PEM 文件

McAfee ePO 软件支持 PEM 编码的私钥，包括受密码保护和不受密码保护的私钥。使用 OpenSSL 可以将 PVK 格式
的密钥转换为 PEM 格式。
开始之前
要转换 PVK 格式的文件，请安装 OpenSSL for Windows 软件。此软件可从以下项目中获取：
http://www.slproweb.com/products/Win32OpenSSL.html
使用 OpenSSL for Windows 软件，将 PVK 格式的证书转换为 PEM 格式。
任务
1 要将以前创建的 PVK 文件转换为 PEM 文件，请在命令行中键入以下内容：
openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl\keys
\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd
在上述示例中，‑passin 和 ‑passout 参数为可选项。
2 如果系统有提示，则键入最初创建 PVK 文件时使用的密码。

如果没有在上述示例中使用 ‑passout 参数，则新创建的 PEM 格式密钥不受密码保护。
安全密钥及其工作原理
McAfee ePO 服务器依赖三个安全密钥对。
这三个安全密钥对用于：
• 验证代理与服务器之间的通信。
• 确认本地存储库的内容。
• 确认远程存储库的内容。
每个对的密钥会签名来源处的消息或包；而对的公钥验证自己目标处的消息或包。

A 其他信息
SSL 证书
代理与服务器安全通信 (ASSC) 密钥
• 代理第一次与服务器进行通信时会将其公钥发送到服务器。
• 此后，服务器会一直使用代理的公钥来验证由代理的密钥签名的消息。
• 服务器则使用自己的密钥对发送给代理的消息签名。
• 代理使用服务器的公钥来验证服务器的消息。
• 您可以拥有多个安全通信密钥对，但只能将其中一个指定为主密钥。
• 在运行客户端代理密钥更新程序任务（“McAfee ePO Agent Key Updater”）时，使用不同公钥的各代理将收到当前

的公钥。
• 升级时，现有密钥会迁移至 McAfee ePO 服务器中。
本地主存储库密钥对
• 存储库密钥在包被签入存储库之前对其签名。 • 各个服务器的该密钥对都是唯一的。
• 存储库公共密钥会验证存储库包内容。 • 通过在服务器中导出和导入密钥，您可以在多服务
器环境中使用同一密钥对。
• 代理在每次运行客户端更新任务时检索可用的新内
容。
其他存储库密钥对
• 受信任来源的密钥会先对其内容签名，然后才会将该内容发布到其远程存储库。受信任来源包括 McAfee 下载站点
和 McAfee Security Innovation Alliance (SIA) 存储库。
如果该密钥已被删除，那么即使您从其他服务器上导入密钥也无法执行提取操作。覆盖或删除该密钥前，确保在安
全位置进行备份。
• McAfee Agent 公钥验证从远程存储库中检索的内容。
主存储库密钥对
主存储库私钥对主存储库中的所有未签名的内容进行签名。
代理使用公钥来验证存储库内容是否源于此 McAfee ePO 服务器上的主存储库。如果内容未签名或由未知存储库私钥
签名，则下载的内容将被视为无效并被删除。
各个服务器安装的该密钥对都是唯一的。但是，通过导出和导入密钥，您可以在多服务器环境中使用同一密钥对。这样
可以确保即使其他存储库停机，代理可以一直连接到其中一个主存储库。
其他存储库公共密钥
密钥（不是主密钥对）是代理用于验证来自您环境中其他主存储库或来自 McAfee 来源站点的内容的公钥。向此服务器
报告的每个代理都使用“其他存储库公共密钥”列表中的密钥来验证来自您组织中其他 McAfee ePO 服务器或来自
McAfee 来源的内容。
对于要下载的内容，如果代理没有内容来源的相应公钥，则此代理会放弃这些内容。
这些密钥是一个新功能，并且只有代理 4.0 和更高版本才可以使用新协议。
管理存储库密钥
您可以使用以下任务来管理存储库密钥。

其他信息
SSL 证书 A
任务
• 针对所有服务器使用一个主存储库密钥对第 341 页
通过使用服务器设置，可以确保多服务器环境中的所有 McAfee ePO 服务器和代理使用相同的主存储库密
钥对。
• 在多服务器环境中使用主存储库密钥第 341 页
通过服务器设置确保代理可在您的环境中使用源自任何 McAfee ePO 服务器的内容。
针对所有服务器使用一个主存储库密钥对
通过使用服务器设置，可以确保多服务器环境中的所有 McAfee ePO 服务器和代理使用相同的主存储库密钥对。
此过程包括首先导出您希望所有服务器都使用的密钥对，然后将密钥对导入您环境中的所有其他服务器中。
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”列表中选择安全密钥，然后单击“编辑”。
2 在本地主存储库密钥对旁的“编辑安全密钥”页中，单击“导出密钥对”。
3 单击“确定”。此时会出现文件下载对话框。
4 单击“保存”，浏览到其他服务器可以访问的位置（即您希望在其中保存包含安全通信密钥文件的 .zip 文件的位

置），然后单击“保存”。
5 在“导入和备份密钥”旁，单击“导入”。
6 浏览到包含已导出的主存储库密钥文件的 .zip 文件，然后单击“下一步”。
7 确定这些密钥是您想要导入的密钥，然后单击“保存”。
导入的主存储库密钥对替换此服务器上的现有密钥对。下一次代理更新任务完成后，代理便开始使用新密钥对。主存储
库密钥对发生更改后，必须先执行 ASSC，之后代理才可以使用新密钥。
在多服务器环境中使用主存储库密钥
通过服务器设置确保代理可在您的环境中使用源自任何 McAfee ePO 服务器的内容。
服务器会使用主存储库私钥对签入存储库的所有未签名的内容进行签名。代理使用存储库公共密钥来检验从组织中的存
储库或从 McAfee 来源站点检索的内容。
每个 McAfee ePO 安装都有独特的主存储库密钥对。如果您使用多台服务器，则每台服务器使用不同的密钥。如果您

的代理会下载来自不同主存储库的内容，则必须确保代理将内容识别为有效内容。
可以通过两种方法完成此过程：
• 对所有服务器和代理使用相同的主存储库密钥对。
• 确保将代理配置为识别环境中使用的任何存储库公共密钥。
此任务将密钥对从一个 McAfee ePO 服务器导出到目标 McAfee ePO 服务器，然后在目标 McAfee ePO 服务器导入并
覆盖现有密钥对。
任务
1 在具备主存储库密钥对的 McAfee ePO 服务器上，请选择“菜单” | “配置” | “服务器设置”，从“设置类别”列表中选择

“安全密钥”，然后单击“编辑”。
2 在“本地主存储库密钥对”旁，单击“导出密钥对”，然后单击“确定”。

A 其他信息
SSL 证书
3 在“文件下载”对话框中，单击“保存”。
4 浏览至目标 McAfee ePO 服务器上的位置，以保存 .zip 文件。根据需要更改文件的名称，然后单击“保存”。
5 在您要加载主存储库密钥对的目标 McAfee ePO 服务器上，请选择“菜单” | “配置” | “服务器设置”，从“设置类别”列

表中选择“安全密钥”，然后单击“编辑”。
6 在“编辑安全密钥”页上：
a 在“导入和备份密钥”旁，单击“导入”。
b 在“选择文件”旁，浏览到保存的主密钥对并将其选中，然后单击“下一步”。
c 如果显示的摘要信息正确，请单击“保存”。新的主密钥对将出现在“代理与服务器安全通信密钥”旁的列表中。
7 从该列表中，选择在之前步骤中导入的文件，然后单击“设置为主密钥”。该设置会将现有的主密钥对更改为导入的
新密钥对。
8 单击“保存”完成该过程。
代理与服务器安全通信 (ASSC) 密钥
代理使用 ASSC 密钥与服务器进行安全通信。
您可以将任意 ASSC 密钥对作为主密钥对，即当前分配给所有已部署代理的密钥对。除非已计划和运行客户端代理密
钥更新程序任务，否则使用“代理和服务器安全通信密钥”列表中其他密钥的现有代理不会更改为新的主密钥。
确保等到所有代理均更新到新的主密钥后，再删除旧的密钥。
管理 ASSC 密钥
从服务器设置页面生成、导出、导入或删除代理和服务器之间的安全通信 (ASSC) 密钥。
任务
1 选择 “菜单” | “配置” | “服务器设置”，选择“安全密钥”，然后单击“编辑”。

其他信息
SSL 证书 A
操作步骤
生成并使用 1 单击“代理与服务器安全通信密钥”列表旁的“新密钥”。在对话框中，键入安全密钥的名称。
新的 ASSC
密钥对 2 如果想要现有代理使用新密钥，请选择列表中的密钥，然后单击“设置为主密钥”。下一次 McAfee
Agent 更新任务完成后，代理便开始使用新密钥。
请确保由 McAfee Agent 管理的每个版本 McAfee ePO 中都存在代理密钥更新程序包。
在大型安装操作中，只有在特定情况下生成和使用新的主密钥对。我们建议您分阶段执行该过程，
以便更为严密地监控进度。
3 所有代理都停止使用旧密钥后，将其删除。
在密钥列表中，会在每个密钥的右侧显示当前正在使用该密钥的代理数量。
4 备份所有密钥。
导出 ASSC 将 ASSC 密钥从一个 McAfee ePO 服务器导出到另一个 McAfee ePO 服务器，从而允许代理访问

密钥新的 McAfee ePO 服务器。
1 在“代理和服务器安全通信密钥”列表中，选择密钥，然后单击“导出”。
您的浏览器会提醒您将 sr<服务器名称>.zip 文件下载到指定位置。
如果对所有浏览器下载指定默认位置，则该文件会自动保存到默认位置。
导入 ASSC 导入从其他 McAfee ePO 服务器导出的 ASSC 密钥，从而允许该服务器中的代理访问该 McAfee

密钥 ePO 服务器。
2 浏览到保存密钥的位置（默认位置为桌面）并从中选择密钥，然后单击“打开”。
3 单击“下一步”并检查“导入密钥”页面的相关信息。
将 ASSC 密更改主密钥对。请在导入或生成新密钥对后指定主密钥对。

钥对指定为
1 在“代理和服务器安全通信密钥”列表中，选择密钥，然后单击“设为主密钥”。
主密钥对
2 创建一个由代理立即运行的更新任务，以便下次代理与服务器通信之后更新代理。
请确保代理密钥更新程序包已签入到 McAfee ePO 主存储库。 McAfee Agent 的下一次更新任务完

成后，代理便开始使用新密钥对。您可以随时查看哪些代理正在使用列表中的任一 ASSC 密钥
对。
删除 ASSC
密钥切勿删除任何代理正在使用的密钥。否则，这些代理将无法与 McAfee ePO 服务器通信。
1 在“代理和服务器安全通信密钥”列表中，选择要删除密钥，然后单击“删除”。
2 单击“确定”以从该服务器中删除密钥对。
查看使用 ASSC 密钥对的系统

您可以在“代理与服务器安全通信密钥”列表中查看哪些系统的代理使用特定的代理与服务器安全通信密钥对。
将特定密钥对设置为主密钥对之后，您可能需要查看仍在使用之前的密钥对的系统。不要删除密钥对，直到您确定没有
任何代理仍在使用此密钥对。

A 其他信息
SSL 证书
任务
1 选择 “菜单” | “配置” | “服务器设置”，选择“设置类别”列表中的安全密钥，然后单击“编辑”。
2 在“代理和服务器安全通信密钥”列表中，选择密钥，然后单击“查看代理”。
此“使用该密钥的系统”页列出了其代理正在使用所选密钥的所有系统。
对所有服务器和代理使用相同的 ASSC 密钥对

验证所有的 McAfee ePO 服务器和代理使用相同的代理与服务器安全通信 (ASSC) 密钥对。
如果环境中有大量托管系统，McAfee 建议您分阶段执行此过程，以便能够监控代理更新。
任务
1 创建一个代理更新任务。
2 从选中的 McAfee ePO 服务器导出选择的密钥。
3 将导出的密钥导入所有其他服务器。
4 在所有服务器上将导入的密钥指定为主密钥。
5 执行两个代理唤醒呼叫。
6 在所有代理都使用新密钥后，删除所有未使用的密钥。
针对每个 McAfee ePO 服务器使用不同的 ASSC 密钥对

您可以针对每个 McAfee ePO 服务器使用不同的 ASSC 密钥对，以确保所有代理都可以与需要的 McAfee ePO 服务器
在适当环境中通信，该环境中的每个服务器必须具有独一无二的代理与服务器安全通信密钥对。
代理一次只能与一个服务器通信。McAfee ePO 服务器可通过多个密钥与不同的代理通信，反之则不成立。代理无法通

过多个密钥与多个 McAfee ePO 服务器通信。
任务
1 从您环境中的每个 McAfee ePO 服务器将代理与服务器安全通信主密钥对导出到临时位置。
2 将上述每个密钥对导入到 McAfee ePO 服务器。
备份和还原密钥
定期备份所有安全密钥，并始终在更改密钥管理设置之前创建备份。
将备份存储到安全的网络位置，以便在 McAfee ePO 服务器出现意外事件丢失时轻松还原密钥。
任务
1 选择 “菜单” | “配置” | “服务器设置”，选择“设置类别”列表中的安全密钥，然后单击“编辑”。
2 在编辑安全密钥页面中，选择以下一个操作。

其他信息
配置 Product Improvement Program A
操作步骤
备份所有 1 单击页面底部旁边的“全部备份”。
安全密
钥。此时会显示“备份密钥存储库”对话框。
2 您可以选择输入密码用来对密钥存储库 .zip 文件进行加密，也可以单击“确定”将该文件以未加密的
文本形式保存。
3 在“文件下载”对话框中，单击“保存”以创建包含所有安全密钥的 .zip 文件。
此时会显示“另存为”对话框。
4 浏览到要存储 .zip 文件的安全网络位置，然后单击“保存”。
还原安全 1 单击页面底部旁边的“全部还原”。
密钥。
此时会显示“还原安全密钥”页面。
2 浏览到包含安全密钥的 .zip 文件，选择该文件，然后单击“下一步”。
此时“还原安全密钥”向导会打开到“摘要”页面。
3 浏览到您要用以替代现有密钥的密钥，然后单击“下一步”。
4 单击“还原”。
此时会显示“编辑安全密钥”页面。
5 浏览到要存储 .zip 文件的安全网络位置，然后单击“保存”。
从备份文 1 单击页面底部旁边的“全部还原”。
件中还原
安全密此时会显示“还原安全密钥”页面。
钥。 2 浏览到包含安全密钥的 .zip 文件，选择该文件，然后单击“下一步”。
此时“还原安全密钥”向导会打开到“摘要”页面。
3 浏览到备份 .zip 文件并选择该文件，然后单击“下一步”。
4 单击页面底部的“全部还原”。
此时将打开“还原安全密钥”向导。
5 浏览到备份 .zip 文件并选择该文件，然后单击“下一步”。
6 确认此文件中的密钥就是您准备用来覆盖现有密钥的，然后单击“全部还原”。
配置 Product Improvement Program

McAfee Product Improvement Program 有助于改进 McAfee 产品。它可定期主动从 McAfee ePO 服务器托管的客户
端系统收集数据。
McAfee Product Improvement Program 可收集以下类型的数据：
• 系统环境（软件和硬件详细信息）
• 已安装的 McAfee 产品功能的有效性
• McAfee 产品错误和相关的 Windows 事件

A 其他信息
任务
1 选择 “菜单” | “配置” | “服务器设置”，从“设置类别”中选择“Product Improvement Program”，然后单击“编辑”。
2 选择“是”可允许 McAfee 收集匿名诊断和使用情况数据，然后单击“保存”。

要了解更多有关 McAfee Product Improvement Program 的信息，请转至 http://www.mcafee.com/us/products/
security-management/product-improvement-program.aspx。
任务
• 卸载 McAfee Product Improvement Program 第 346 页
可随时卸载 McAfeeProduct Improvement Program。
卸载 McAfee Product Improvement Program

可随时卸载 McAfeeProduct Improvement Program。
任务
1 以管理员身份登录到 McAfee 服务器。
2 选择 “菜单” | “策略” | “客户端任务目录”，选择 “McAfee Agent” | “产品部署” 作为“客户端任务类型”，然后单击 “操

作” | “新建任务”。
3 创建新任务以从所需的客户端系统卸载 McAfee Product Improvement Program。
4 将任务分配到客户端系统并发送代理唤醒呼叫。
5 单击 “菜单” | “软件” | “主存储库”，单击“McAfee Product Improvement Program” 包旁边的“删除”，然后单击“确

定”。
6 单击 “菜单” | “软件” | “扩展”，然后选择“McAfee Product Improvement Program”。
7 单击“删除”，然后单击“确定”。
当被锁定在系统外部且无其他可用管理员帐户时，请创建临时管理员帐户。
开始之前
• 您必须可以直接登录您的服务器并可以通过 localhost 地址访问 McAfee ePO。
• 您必须要具备 McAfee ePO 当前的数据库凭据。
任务
1 从您的服务器中，将浏览器打开至 localhost:8080。
此时会打开“McAfee Foundation Services”登录页面。
2 单击“还原管理员访问权限”。
此时会打开“还原管理员访问权限”。

其他信息
端口概述 A
3 在“数据库凭据”下，输入当前用户名和密码。
• “数据库用户名：”— 数据库当前的用户名。
• “数据库密码:”— 数据库当前的密码。
4 在“管理员凭据”下，输入新的临时管理员帐户的用户名和密码。
• “用户名:”— 新帐户的用户名。
• “密码:”— 新帐户的密码。
• “确认密码:”— 重新输入新帐户的密码，以进行验证。
5 单击“提交”。
系统会创建新的临时帐户。
您现在可以通过新的管理员帐户访问 McAfee ePO。使用该帐户为管理员用户还原访问权限。访问后，请删除临时管

理员帐户。
端口概述
对 McAfee ePO 服务器使用的端口进行自定义时，请遵循这些准则。
更改控制台与应用程序服务器通信端口
如果 McAfee ePO 控制台与应用程序服务器通信端口正由其他应用程序使用，请按照这些步骤指定其他的端口。
开始之前
• 备份您的注册表并了解还原过程。有关详细信息，请参阅 Microsoft 文档。
• 确保您只运行未被确认为真正的注册表导入文件的 .reg 文件。
本主题包含有关打开或修改注册表的信息。此信息仅供网络和系统管理员使用。注册表修改不可逆且可能导致系统故障

（如果操作不当）。
任务
1 停止 McAfee ePO 服务：

a 关闭所有 McAfee ePO 控制台。
b 单击 “开始” | “运行”，键入 services.msc，然后单击“确定”。
c 右键单击每个服务并选择“停止”：
• “McAfee ePolicy Orchestrator 应用程序服务器”
• “McAfee ePolicy Orchestrator 事件解析器”
• “McAfee ePolicy Orchestrator 服务器”
2 在注册表编辑器中，选择此键：
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{53B73DFD
‑AFBE‑4715‑88A1‑777FE404B6AF}]
3 在右侧窗格中，双击“TomcatSecurePort.SQL”并更改值数据，以反映所需的端口号（默认为 8443）。

A 其他信息
端口概述
4 打开文本编辑器并将该行粘贴到空白文档中：
UPDATE EPOServerInfo SET rmdSecureHttpPort =8443
将 8443 更改为新端口号。
5 将文件命名为 TomcatSecurePort.sql，并将其保存到 SQL Server 的临时位置。
6 使用 Microsoft SQL Server Management Studio 来安装您创建的 TomcatSecurePort.SQL 文件。

a 单击 “开始” | “所有程序” | “Microsoft SQL Server Management Studio”。
b 在连接到服务器对话框中，单击“连接”。
c 展开“数据库”，然后选择“ePO 数据库”。
d 从工具栏中，选择“新建查询”。
e 单击 “文件” | “打开” | “文件...”，然后浏览至 TomcatSecurePort.sql 文件。
f 选择该文件，并单击 “打开” | “执行”。
7 在 Windows 资源管理器中，浏览到该目录：
\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\
8 在记事本中，打开 Server.xml 并将所有条目中的端口 8443 替换为新端口号。
9 单击 “开始” | “运行”，键入 services.msc，然后单击“确定”。
10 右键单击每个服务并选择“开始”：
更改代理与服务器之间的通信端口
按照这些步骤来更改代理与服务器之间的通信端口。
开始之前
本主题包含有关打开或修改注册表的信息。此信息仅供网络和系统管理员使用。注册表修改不可逆且可能
导致系统故障（如果操作不当）。
• 我们强烈建议您备份注册表并了解还原过程。有关详细信息，请参阅 Microsoft 文档。
• 确保您只运行被确认为真正的注册表导入文件的 .REG 文件。
如果您正在使用远程代理处理程序，则修改代理与服务器之间的通信端口需要执行五步必需操作和一步可选操作。
1 停止 McAfee ePO 服务 4 修改 McAfee ePO 配置文件中的端口值
2 修改注册表中的端口值 5 重新启动 McAfee ePO 服务
3 修改 McAfee ePO 数据库中的值 6 （可选）修改远程代理处理程序上的设置

其他信息
端口概述 A
任务
1 停止 McAfee ePO 服务：

a 关闭所有 McAfee ePO 控制台。
b 单击“开始” | “运行”，键入 services.msc，然后单击“确定”。
c 右键单击每个服务并选择“停止”：
2 修改注册表中的端口值：
a 单击“开始” | “运行”，键入 regedit，然后单击“确定”。
b 导航至与 McAfee ePO 对应的密钥：

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\
{ 53B73DFD-AFBE-4715-88A1-777FE404B6AF}]
c 修改字符串值 AgentPort 以反映相应的端口，然后关闭注册表编辑器。该端口的默认值为 80。
3 修改 McAfee ePO 数据库中的该值：

a 打开文本编辑器，并将以下行添加至空白文档：
UPDATE EPOServerInfo
ServerHTTPPort=80
b 在 SQL Server 的临时位置中将文件保存为“DefaultAgentPort.SQL”。
c 单击“开始” | “所有程序” | “Microsoft SQL Server Management Studio”，使用 Microsoft SQL Server
Management Studio 安装 DefaultAgentPort.sql 文件。
d 在“连接到服务器”对话框中，单击“连接”。
e 展开“数据库”，然后选择“ePO 数据库”。
f 从工具栏中，选择“新建查询”。
g 单击“文件” | “打开” | “文件”，浏览至 DefaultAgent.SQL 文件并将其选中，然后单击“打开” | “执行”。
h 将以下行粘贴到空白文档：
UPDATE EPOServerInfo SET ServerHTTPPort =80
将 80 更改为新的端口号。
i 将文件命名为 DefaultAgentPort.SQL，并将其保存到 SQL Server 的临时位置。
j 使用 Microsoft SQL Server Management Studio 安装 DefaultAgentPort.SQL 文件。

• 单击“开始” | “所有程序” | “Microsoft SQL Server Management Studio”。
• 在“连接到服务器”对话框中，单击“连接”。
• 展开“数据库”，然后选择“ePO 数据库”。

A 其他信息
端口概述
• 从工具栏中，选择“新建查询”。
• 单击“文件” | “打开” | “文件”，浏览器至 DefaultAgentPort.SQL 文件并将其选中，然后单击“打开” | “执行”。
4 修改 McAfee ePO 配置文件中的端口值：

a 导航至 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\....
b 使用文本编辑器打开 Server.ini 并更改 HTTPPort=80 的值，以反映新的编号，然后保存文件。
c 使用文本编辑器打开 Siteinfo.ini 并更改 HTTPPort=80 的值，以反映新的编号，然后保存文件。
d 导航至 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\...，并打开 httpd.conf，然后更改这

些行，以反映新的端口号。
Listen 80
ServerName<您的服务器名称>: 80
如果使用 VirtualHost，请更改：
NameVirtualHost *:80
<VirtualHost *:80>
e 保存文件并退出文本编辑器。
5 重新启动 McAfee ePO 服务：

a 单击“开始” | “运行”，键入 services.msc，然后单击“确定”。
b 右键单击每个服务并选择“开始”：
6 （可选）修改远程代理处理程序上的设置：
a 确保所有 McAfee ePO 控制台均已关闭，然后单击“开始” | “运行”，键入 services.msc，然后单击“确定”。
b 右键单击每个服务并选择“开始”：
如果该服务器在安装代理处理程序后未重新启动，则这台服务器可能被列为 MCAFEEAPACHESRV。
c 导航至 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\...，使用文本编辑器打开

“httpd.conf”，然后这些行，以反映新的端口号：
Listen 80
ServerName<您的服务器名称>: 80
如果使用 VirtualHost，请更改：
NameVirtualHost *:80
<VirtualHost *:80>
d 保存文件并退出文本编辑器。
e 单击“开始” | “运行”，键入 services.msc，然后单击“确定”。

其他信息
端口概述 A
f 右键单击每个服务并选择“开始”。
如果该服务器在安装代理处理程序后未重新启动，则这台服务器可能被列为 MCAFEEAPACHESRV。
如果您之前将代理部署到客户端，请使用 /forceinstall 参数在所有客户端上重新安装代理以覆盖现有的

Sitelist.xml 文件。有关允许 /forceinstall 参数成功执行的特定 McAfee Agent 版本的详细信息，请参阅 McAfee
知识库文章 KB60555。
通过防火墙通信所需的端口
使用这些端口来配置防火墙，以允许流量进出您的 McAfee ePO 服务器。
相关术语
• “双向” — 远程或本地系统都可以启动此连接。
• “入站” — 远程系统启动此连接。
• “出站” — 本地系统启动此连接。
表 A-1 McAfee ePO 服务器

端口默认说明流量方向
代理与服务器之间的通 80 McAfee ePO 服务器服务打开的 TCP 端代理处理程序和 McAfee ePO 服务器之
信端口口，用于从代理接收请求。间的双向通信，以及从 McAfee Agent
到代理处理程序和 McAfee ePO 服务器
的入站通信。
通过 SSL 的代理通信 443 默认情况下，4.5 版本代理必须通过 SSL 从代理到 McAfee ePO 服务器或从代理
（仅限 4.5 版本及更高进行通信（默认为 443）。该端口还用于处理程序到主存储库的入站连接。
版本的代理）远程代理处理程序与 McAfee ePO 主存储入站连接：
库进行通信。
• 代理到 McAfee ePO
• 代理处理程序到主存储库
• McAfee ePO 到主存储库
• 代理到代理处理程序
代理唤醒通信端口 8081 代理打开的 TCP 端口，用于从 McAfee 从 McAfee ePO 服务器和代理处理程序

SuperAgent 存储库端口 ePO 服务器接收代理唤醒请求。打开的到 McAfee Agent 的出站连接。
TCP 端口，用于将存储库内容复制到
SuperAgent 存储库。
代理广播通信端口 8082 ]由 SuperAgent 打开的 UDP 端口，用于转从 SuperAgent 到其他代理的出站连
发来自 McAfee ePO 服务器和代理处理程接。
序的消息。
控制台与应用程序服务 8443 由 McAfee ePO 应用程序服务器服务打开从 McAfee ePO 控制台到 McAfee ePO
器通信端口的 HTTPS 端口，用于允许访问浏览器控制服务器的入站连接。
台。
客户端与服务器之间经 8444 由代理处理程序使用以与 McAfee ePO 服从远程代理处理程序到 McAfee ePO 服
过身份验证的通信端口务器通信来获取所需信息（例如，LDAP 服务器的出站连接。
务器）。
SQL Server TCP 端口 1433 用于与 SQL Server 进行通信的 TCP 端从 McAfee ePO 服务器和代理处理程序
口。此端口在设置过程中进行指定或确到 SQL Server 的出站连接。
定。
SQL Server UDP 端口 1434 UDP 端口用于请求托管 McAfee ePO 数据从 McAfee ePO 服务器和代理处理程序
库的 SQL 实例正在使用的 TCP 端口。到 SQL Server 的出站连接。

A 其他信息
端口概述
表 A-1 McAfee ePO 服务器（续）

端口默认说明流量方向
默认 LDAP 服务器端口 389 LDAP 连接用于查找基于用户的策略的计算从 McAfee ePO 服务器和代理处理程序
机、用户、组以及组织单元。到 LDAP 服务器的出站连接。
默认 SSL LDAP 服务器 636 基于用户的策略使用 LDAP 连接来查找用从 McAfee ePO 服务器和代理处理程序
端口户、组以及组织单元。到 LDAP 服务器的出站连接。
流量快速参考
使用此端口和流量方向信息来配置防火墙，以允许流量出入 McAfee ePO 服务器。
相关术语
• “双向” — 本地或远程系统都可以启动连接。
• “入站” — 远程系统启动连接。
• “出站” — 本地系统启动连接。
表 A-2 代理处理程序
默认端口协议 McAfee ePO 服务器上的流量方向代理处理程序上的流量方向
80 TCP 出入 McAfee ePO 服务器的双向连接。出入代理处理程序的双向连接。
389 TCP 来自 McAfee ePO 服务器的出站连接。来自代理处理程序的出站连接。
443 TCP 进入 McAfee ePO 服务器的入站连接。进入代理处理程序的入站连接。
1434 UDP 来自 McAfee ePO 服务器的出站连接。来自代理处理程序的出站连接。
8081 TCP 来自 McAfee ePO 服务器的出站连接。
8443 TCP 进入 McAfee ePO 服务器的入站连接。来自代理处理程序的出站连接。
8444 TCP 进入 McAfee ePO 服务器的入站连接。来自代理处理程序的出站连接。
表 A-3 McAfee Agent

默认端口协议流量方向
80 TCP 进入 McAfee ePO 服务器和代理处理程序的出站连接。
443 TCP 进入 McAfee ePO 服务器和代理处理程序的出站连接。
8081 TCP 来自 McAfee ePO 服务器和代理处理程序的入站连接。
如果代理是 SuperAgent 存储库，则入站连接来自其他代理。
8082 UDP 进入代理的入站连接。
入站和出站连接来自或进入 SuperAgent。
表 A-4 SQL Server

默认端口协议流量方向
1433 TCP 来自 McAfee ePO 服务器和代理处理程序的入站连接。
1434 UDP 来自 McAfee ePO 服务器和代理处理程序的入站连接。

B 添加通过 VPN 连接的系统
使用 VPN 服务器连接到 McAfee ePO 的所有系统都使用 VPN 服务器的 MAC 地址。这会造成某些连接 VPN 的系统
从系统树中消失，因为它们显示为重复的 MAC 地址。
该图及其说明会解释通过 VPN 连接到 McAfee ePO 的某些系统从系统树中消失的原因，因为它们使用相同的 MAC 地
址。
客户端 A 通过 VPN 连接连接到 McAfee ePO。
McAfee ePO 将 VPN 服务器的 MAC 地址 00:12:3F:11:11:11 与客户端 A 相关联，而不是客户端真正的 MAC 地

址。
客户端 B 通过 VPN 连接连接到 McAfee ePO。
McAfee ePO 将 VPN 服务器的 MAC 地址（也是 00:12:3F:11:11:11）与客户端 B 相关联。现在两个客户端使

用相同的 VPN 服务器 MAC 地址。
客户端 A 会被从系统树中删除，因为两个客户端显示为使用相同的 MAC 地址。
要停止 McAfee ePO 将 VPN 服务器 MAC 地址用作有效匹配标准，从而避免删除系统，您必须：

1 查找 VPN 服务器 MAC 地址，以了解组织唯一标识符 (OUI) 或供应商标识符。 OUI 即为 VPN 服务器 MAC 地址的
前六位。
2 使用 SQL Server Management Studio 将 VPN 服务器 OUI 插入 McAfee ePO 虚拟 MAC 供应商值中，以停止将
OUI 用作第一个有效匹配标准。该更改会造成 McAfee ePO 将客户端 GUID（而非 MAC 地址）用作通过 VPN 服
务器 OUI 连接的所有系统的有效匹配标准。

确定连接的 VPN 服务器的 OUI
目录
使用系统树查找 VPN 服务器 MAC 地址
创建查找 VPN 服务器 MAC 地址的报告最佳实践
最佳实践：使用 SQL Server Management Studio 添加虚拟 MAC 供应商 ID 值

您必须要确定 VPN 服务器的 OUI，以阻止 McAfee ePO 将服务器的 MAC 地址用作有效匹配机制。
组织唯一标识符 (OUI) 即为 VPN 服务器 MAC 地址的前六位。有两种方法可以确定 VPN 服务器的 OUI。
使用系统树查找 VPN 服务器 MAC 地址

查找 VPN 服务器 MAC 地址的最佳方法是查找通过该 VPN 服务器连接到 McAfee ePO 的系统。
开始之前
您必须要远程连接到通过该 VPN 服务器连接到 McAfee ePO 的系统。
任务
1 远程连接到通过 VPN 服务器连接到 McAfee ePO 的系统。
2 使用以下一个流程显示 McAfee Agent“状态监视器”：

• 如果 McAfee Agent 图标显示在“系统任务栏”中，请单击该图标。
• 如果 McAfee Agent 图标未显示在“通知区域”中，请使用以下命令行步骤显示 McAfee Agent 状态监视器：

1 在命令提示符中，将目录更改为该默认文件夹：
C:\Program Files\McAfee\Common Framework\
2 要显示 McAfee Agent 状态监视器，请键入该命令：

CmdAgent.exe /s
3 在“McAfee Agent 状态监视器”中，单击“收集和发送属性”。
该流程可收集系统属性并将其发送到 McAfee ePO 服务器。
4 在 McAfee ePO 控制台中，请选择“菜单” | “系统” | “系统树”。
5 要显示系统信息，请查找通过 VPN 连接连接到 McAfee ePO 的系统并双击该系统名称。
6 单击“系统属性”选项卡，然后单击显示器右侧的“自定义”。
7 在“属性”列表中，查找“MAC 地址”，单击“移到顶部”，然后单击“保存”。
连接系统 MAC 地址的 VPN 显示在系统信息显示器的列表的顶部。
8 请记下系统 MAC 地址的前六位，这是 VPN 服务器的 OUI。

添加通过 VPN 连接的系统
创建查找 VPN 服务器 MAC 地址的报告最佳实践 B
创建查找 VPN 服务器 MAC 地址的报告最佳实践

您可以创建报告，以列出使用相同 MAC 地址的系统。
任务
1 选择“菜单” | “报告” | “查询和报告”。
2 单击“新建查询”，以显示“结果类型”选项卡，配置以下设置，然后单击“下一步”。
• 在“功能组”列表中，选择“系统管理”。
• 在“结果类型”窗格中，选择“托管系统”。
3 在“图表”选项卡中，配置以下设置，然后单击“下一步”。
• 在“结果显示为”列表中，选择“单组摘要表”。
• 在“标签为”列表的“计算机属性”下，选择“MAC 地址”。
4 在“列选项卡”的“计算机属性”下的“可用列”列表中，选择“MAC 地址”，然后单击“下一步”
5 在“过滤器”选项卡中，配置以下设置，然后单击“运行”。
• 在“可用属性”列表中，展开“托管系统”并单击“托管状态”。
• 在“托管状态”设置中，从“比较”下拉列表中选择“等于”并从“值”下拉列表中选择“托管”。
• 在“可用属性”列表中，展开“计算机属性”并单击“MAC 地址”。
• 在“MAC 地址”设置中，从“比较”下拉列表中选择“值为非空”。
6 在查询的输出中，查找任意两个使用相同 MAC 地址的系统。
该 MAC 地址可能属于将系统连接到 McAfee ePO 的 VPN 服务器。
7 请记下系统 MAC 地址的前六位，这是 VPN 服务器的 OUI。

要阻止 McAfee ePO 服务器删除通过 VPN 服务器连接的系统，您必须通过 SQL Server Management Studio 将 VPN
服务器 OUI 添加到 McAfee ePO 虚拟 MAC 供应商值。
开始之前
• 您必须知道前六位 OUI。
• 您需要访问 SQL Server Management Studio 的权限。
任务
1 将该命令键入您的浏览器，以了解您的 McAfee ePO 服务器和数据库名称。

https://<服务器名称>:8443/core/config-auth
将 <服务器名称> 替换为您的 McAfee ePO 服务器的名称和您的服务器通信端口编号（如果不是默认的 8443）。
2 通过您的数据库身份验证方法打开 SQL Server Management Studio 并连接到 McAfee ePO SQL 数据库服务器。
通常 McAfee ePO SQL 数据库服务器名称为 <McAfee ePO 服务器名称>\EPOSERVER。

3 在“对象资源管理器”中，单击以下对象：
• <McAfee ePO 服务器名称>\EPOSERVER
• “数据库”
• “ePO_”<McAfee ePO 服务器名称>
• “表”
4 将列表向下滚动至 dbo.EPOVirtualMacVendor 表，右键单击表名称并选择“编写表脚本为” | “插入到” | “新建查询编

辑器窗口”。
此时会在显示器右侧窗格中打开使用 “ePOVirtualMacVendor” 表默认值的 SQLQuery1.sql 文件。
5 该默认查询值列在括号中，为“<VendorID, nvarchar(8),>”。将该值更改为 VPN 服务器供应商 ID。

将六位十六进制值放在单引号中。
此为默认表值和已更改的 '00123F' 表值的示例。
6 要运行查询并将 VPN 服务器 OUI 值添加到 POVirtualMacVendor 表中，请单击菜单栏中的“查询” | “执行”。
7 请确认该状态显示在您更新的查询下方的“消息”窗格中：
（1 行受到影响）
现在 McAfee ePO 将客户端 GUID（而非 MAC 地址）用作通过 VPN 服务器 OUI 连接的所有系统的有效匹配标准。
另请参阅
确定连接的 VPN 服务器的 OUI 第 354 页

C 在 AWS 服务器上安装 McAfee ePO
在 Amazon Web Services (AWS) 虚拟服务器上安装 McAfee ePO 使您可以随着网络的增长重新调整您的服务器，并

避免出现硬件故障。
目录
通过 McAfee ePO 使用 AWS 服务器
创建 AWS 服务器
连接至 AWS 服务器
在 AWS 服务器上安装 McAfee ePO
创建虚拟代理处理程序
通过 McAfee ePO 使用 AWS 服务器

Amazon Web Services (AWS) 虚拟服务器可以提供与本地配置的硬件相同的功能和性能。
该图显示创建 AWS 服务器的基本步骤，以通过 McAfee ePO 管理您的客户端。
图 C-1 AWS 服务器和 McAfee ePO 基本配置步骤

从 http://aws.amazon.com/ 中获取 AWS 帐户。
登录 AWS 管理控制台并配置您的 AWS 虚拟服务器。

1 选择虚拟服务器并配置其软件、硬盘存储和内存。
为您的虚拟服务器选择距离大部分 McAfee ePO 托管系统最近的 AWS 地理位置。
2 配置 AWS 中的安全组。
在 AWS 中，防火墙被称作安全组而且必须要创建，以允许 McAfee Agent 连接到 McAfee ePO 服务器。
3 捕获 AWS 创建的 AWS 实例公共 DNS 名称（或 IP 地址）。
使用 Remote Desktop Connection 和 DNS 名称（或公共 IP 地址）连接到 AWS 服务器。
通过 McAfee ePO 提供的软件和 AWS SQL 数据库服务器中的信息安装 McAfee。
在 McAfee ePO 控制台中创建虚拟代理处理程序。
通过虚拟代理处理程序，您的托管系统能够与 AWS 服务器上安装的 McAfee ePO 服务器通信。
创建 McAfee Agent URL 或 McAfee Agent 安装包。
McAfee ePO 服务器正管理您的系统。
McAfee ePO 服务器正管理您的系统。
您必须要创建设置合适的服务器并将其连接到您的企业网络，然后才可以在 AWS 服务器上安装 McAfee ePO。
开始之前
您必须要拥有 Amazon Web Services 帐户，才可以完成该流程。
该示例和选定的值介绍如何创建 McAfee ePO 服务器，以管理约 30,000 个客户端系统。您选定的值可能有所不同。

请参阅 “McAfee ePolicy Orchestrator 安装手册”，了解 CPU、存储和内存要求。

创建 AWS 服务器 C
任务
1 请登录 AWS 控制台，以显示“AWS 控制台”页面。
图 C-2 “AWS 控制台”页面
2 将 AWS 数据中心区域设置到距离您通过 McAfee ePO 管理的大部分客户端系统最近的位置。要选择该区域，请单

击“AWS 控制台”页面上导航栏右侧的列表。

3 在计算下，双击“EC2”(Amazon Elastic Compute Cloud)，以打开步骤 1：选择 Amazon Machine Image (AMI)。
图 C-3 步骤 1：选择 Amazon Machine Image (AMI)
在该示例中，服务器实例为 64 位服务器，且已安装带有 SQL Standard Edition 的 Microsoft Server 2012。
始终选择包含 SQL 数据库的 AMI。

4 滚动至您想要的镜像，然后单击“选择”，打开步骤 2：选择实例类型。
图 C-4 步骤 2：选择实例类型
5 在该示例中要管理 30,000 个客户端，在系列列中，选择实例类型“通用型”，然后配置以下设置：
• 类型 — m3.2xlarge • 实例存储 (GB) — 2 x 80 (SSD)
• vCPU — 8 • 经优化的 EBS 可用 — 是
• 内存 (GiB) — 30 • 网络性能 — 高
您选择的实例类型取决于您管理的网络中的许多因素。例如，托管客户端的数量、网络地理位置和不同位置之间的
连接性。使用建议的 McAfee ePO 服务器 CPU 内核、RAM 和硬盘驱动器，以选择可比较的实例类型。

6 单击“下一步：配置实例详细信息”，以打开步骤 3：配置实例详细信息。
图 C-5 步骤 3：配置实例详细信息
7 针对该示例，请配置以下实例详细信息设置：
• “实例数量” — 类型 1。
• “购买选项” — 取消选择“请求竞价实例”。
• “网络” — 选择“在 EC2-Classic 中启动”。
• “可用区域” — 选择“无首选项”。
• “IAM 角色” — 从列表中选择“无”。
• “关闭行为” — 选择“停止”。
请勿选择“终止”。否则当您停止 AWS 服务器时，服务器实例会被删除，您必须要彻底进行重新配置才可以重新

开始。
• “启用终止保护”— 单击“防止出现意外终止”。
终止保护是另一种防止意外终止您的 AWS 服务器的方法。
• “监控” — 取消选择“启用 CloudWatch 详细监控”。
• “EBS 优化的实例” — 单击“作为 EBS 优化的实例启动”。

8 单击“下一步：添加存储”，以打开“步骤 4：添加存储”页面。
图 C-6 “步骤 4：添加存储”页面
9 在该示例中，请配置以下存储设置：
a “类型根”— 针对服务器操作系统分区，请配置以下设置：
• “设备” — 保留默认设置。 • “卷类型” — 选择“通用型 (SSD)”。
• “快照” — 保留默认设置。 • “IOPS”—（每秒输入/输出操作次数）接受默认

值。
• “大小 (GiB)” — 键入 100。 • “在终止时删除” — 取消选择。
b “类型”— 针对 McAfee ePO 服务器分区，选择“EBS”（弹性块存储）并配置以下设置：

• “设备” — 从列表中选择单个设备名称。 • “卷类型” — 选择“通用型 (SSD)”。
• “快照” — 留空。 • “IOPS” — 保留默认设置。
• “大小 (GiB)” — 键入 300。 • “在终止时删除” — 取消选择。

10 单击“下一步: 标记实例”，以打开“步骤 5：标记实例”页面。
图 C-7 “步骤 5：标记实例”页面

11 配置用于确定该 AWS 服务器的具体标记和值，然后单击“下一步: 配置安全组”，以打开“步骤 6：配置安全组”页

面。
标记对于 Amazon EC2 不具备任何语义，会被严格翻译为字符串。而且标记不会被自动分配给您的资源。
图 C-8 步骤 6：配置安全组
12 在该示例中，请配置以下安全组设置：
• “分配安全组” — 单击“创建新的安全组”。
• “安全组名称” — 键入安全组的名称。
• “说明” — 键入安全组的说明。
• 通过“添加规则”配置该端口列表和匹配协议。

13 单击“检查和启动”，以打开“步骤 7：检查实例启动”。
图 C-9 步骤 7：审阅实例启动
14 确认您的设置，然后单击“启动”创建新的密钥对。

15 通过上述设置创建安全密钥对，从而在第一次登录该 AWS 服务器时生成加密的密码。
图 C-10 创建新密钥对
选择列表中的“创建新密钥对”。
键入密钥对 .pem 文件的名称。

单击“下载密钥对”，将 .pem 文件复制到本地计算机。
将 .pem 文件保存到本地计算机后，请单击“启动实例”。
图 C-11 启动状态
16 在“启动状态”页面上，单击“查看实例”，以确认 AWS 服务器的状态。
图 C-12 “启动实例状态”页面
单击“启动实例”后，可能需要 20–30 分钟时间才可以访问您的实例。在此期间，“状态检查”下方会显示“初始化”。

连接至 AWS 服务器 C
您已创建您的 AWS 服务器。继续执行连接流程并为您的 AWS 服务器创建静态 IP 地址。
另请参阅
通过防火墙通信所需的端口第 351 页
连接至 AWS 服务器

创建 AWS 服务器后，请连接至该服务器，解密密钥对密码并创建静态 IP 地址。
开始之前
您必须创建有效 AWS 服务器，然后才可以配置其静态 IP 地址：
默认情况下，AWS 创建非可路由 IP 地址 (10.x.x.x) 和虚拟 IP 地址 (56.x.x.x)。通过 AWS“弹性 IP”创建静态 IP 地址，

从而允许托管系统连接至 McAfee ePO 服务器并使用您的 DNS 创建 DNS 名称。
任务
1 登录到 AWS 控制台。
2 在左侧窗格中，选择“实例”，然后在详细信息窗格中右键单击您创建的 AWS 服务器实例，并选择“连接”，以打开

“连接至您的实例”。
3 单击“获取密码”，以打开“连接至您的实例”>“获取密码”对话框。
4 单击“选择文件”，以选择并加载 .pem 文件。
5 导航至 .pem 密码加密文件，并单击“打开”。
您选择的 RSA 私钥文件被加载到该对话框。
6 单击“解密密码”。
7 键入用户名 Administrator、解密的密码，并单击“确定”打开您的 AWS 服务器。
8 在左侧窗格中，单击“弹性 IP”，然后在详细信息窗格中，右键单击您的实例名称，选择“关联地址”创建静态 IP 地址
和打开“关联地址”对话框。
9 从“实例”列表中选择 AWS 实例名称。
10 单击“关联”，将 AWS 分配的非可路由 IP 地址发布到您的服务器。

请记录下分配到您的 AWS 服务器的公共 IP 地址并要求您的 IT 组为该 AWS 服务器创建完全限定 DNS 名称。
将来如果您必须要替换您的 McAfee ePO 服务器，可以将该 DNS 名称重定向至其他 IP 地址，而不会丢失与您的托
管系统的连接。
您已创建与 Microsoft Remote Desktop Connection 一起使用的静态 IP 地址，以登录至 AWS 服务器并安装 McAfee
ePO。
另请参阅
创建 AWS 服务器第 358 页


在 AWS 服务器上安装 McAfee ePO 与在物理服务器上安装软件的情况相似。
开始之前
您必须要创建 AWS 服务器并连接到服务器，然后才可以启动该流程。
您必须要了解该信息，然后才可以开始安装 McAfee ePO：

• AWS 服务器上配置的 SQL 数据库名称
• McAfee ePO 服务器和 SQL 数据库磁盘空间的路径
任务
1 通过 Remote Desktop Connection 和配置的静态 IP 地址或 DNS 名称连接至 AWS 服务器。
2 通过《“McAfee ePolicy Orchestrator 安装手册”》和“执行自定义安装”流程开启 McAfee ePO 安装流程。
3 在数据库信息中，配置使用该 AWS 服务器名称的 Microsoft SQL Server。

默认情况下，McAfee ePO SQL Server 名称为 <Aws 服务器名称>\EPOSERVER。
4 完成 McAfee ePO 服务器安装。
5 创建 AWS 服务器的备份镜像。
a 登录到 AWS 控制台。
b 单击“实例”，以查看 AWS 服务器列表。
c 右键单击您创建的 AWS 服务器，然后在显示的列表中单击“镜像”和“创建镜像”。
您已安装并配置 McAfee ePO 服务器，可通过以下格式从远程浏览器对其进行连接：

https://<Aws 服务器名称>:<端口>
另请参阅
创建 AWS 服务器第 358 页
连接至 AWS 服务器第 369 页
针对您的托管系统在您的 McAfee ePO 服务器上配置虚拟代理处理程序，以连接回 AWS 服务器。
开始之前
您必须要在 AWS 服务器上安装 McAfee ePO，然后才可以完成该任务。
由于 McAfee ePO 无法使用弹性 IP 地址，所以需要配置虚拟代理处理程序，以将其专用 IP 地址发布到 McAfee

Agent。但是 McAfee Agent 无法通过 Internet 连接回该专用 IP 地址上的代理处理程序。
任务
1 选择“菜单” | “配置” | “代理处理程序”。
2 单击“新建组”，针对您的虚拟代理处理程序配置以下设置，然后单击“保存”。
• “组名称” — 键入虚拟代理处理程序组的名称。
• 在包含的处理程序中，单击“使用负载平衡器”并键入虚拟 DNS 名称和虚拟 IP 地址。

创建虚拟代理处理程序 C
• “虚拟 DNS 名称” — 键入与该 AWS 服务器关联的静态公共 IP 地址所分配的 DNS 名称。
• “虚拟 IP 地址” — 键入与该 AWS 服务器关联的静态公共 IP 地址。
3 启用新的虚拟代理处理程序：在“处理程序组”页面上，查找您创建的新虚拟代理处理程序，然后单击“操作”列中的
“启用”。
默认情况下代理处理程序是被禁用的，而且必须启用后才可以工作。
4 在代理处理程序页面中，单击“新建分配”，配置以下设置，然后单击“保存”。
• “分配名称” — 键入名称。
• 在“代理标准”的“系统树”位置下，单击“...”，从对话框中选择“我的组织”，然后单击“确定”。
• 在“处理程序优先级”中，单击“使用自定义处理程序列表”，单击“+”，以添加虚拟代理处理程序，然后将其移至列
表顶部。
5 请确认虚拟代理处理程序在代理处理程序页面中具备以下配置：
• 处理程序组 — 1
• 处理程序分配规则 — 您创建的虚拟代理处理程序规则位于列表顶端。
您必须要满足所有条件，才可以创建 McAfee Agent URL 并开始将托管系统连接到 AWS McAfee ePO 服务器。
另请参阅
在 AWS 服务器上安装 McAfee ePO 第 370 页


索引
A 安全密钥（续）
用于来自其他存储库的内容 340
Active Directory synchronization
专用和公共 340
任务 101
安全证书
Active Directory
安装 43, 44
仅限系统同步 102
创建自签证书 336
配置 Windows 授权 129
证书颁发机构 (CA) 42
容器, 映射到系统树组 110
按需扫描
实施策略 127
建议的每日任务 282
同步 50
建议的每周任务 285
应用权限集 127
计划测试组 148
Active Directory 同步
用于自动测试 DAT 文件 147
边界和 100
安装
重复条目, 处理 101
Amazon Web Services 服务器上的 ePolicy Orchestrator 370
类型 102
安装后使用灾难恢复功能 324
立即同步操作 101
代理处理程序软件 267
删除系统 101, 102
计划 29
系统和结构 102
Apache Server 228
至系统树结构 110
API, 报告
AD，请参阅 Active Directory
使用 API 表对象、命令和参数示例报告 320
Agent 状态监视器, 以收集和发送属性 354
使用 API ID 编号示例报告 318
AIA，请参阅颁发机构信息访问权限
使用 API XML 数据示例报告 318
Amazon VPC，请参阅虚拟专用云配置
使用解析的查询导出数据创建 Web URL 查询 316
Amazon Web Services 357, 358
使用 McAfee 命令框架 311
Amazon Elastic Compute Cloud (EC2) 358
使用 Web URL 帮助 312
安全组或防火墙 358
使用 Web URL 查询中的 S 表达式 313
安装 ePolicy Orchestrator 370
通过 Web API 运行 310
创建服务器快照 370
ASCI，请参阅代理与服务器之间的通信时间间隔
创建虚拟服务器 358
ASSC
初始连接 369
代理与服务器之间的安全通信 16
管理控制台 357
ASSC 密钥，请参阅代理与服务器之间的安全通信密钥
关于 357
AWS，请参阅 Amazon Web Services
帐户链接 357
AMI，请参阅 Amazon Web Services 和 Amazon Machine Image (AMI)
Amazon Machine Image (AMI) B
按访问扫描, 建议的每日任务 282 颁发机构信息访问权限, 定义 131
安全管理 69 包
安全密钥安全 185
ASSC, 使用 342 部分产品部署 151
常规 339 管理 141
代理与服务器安全通信 (ASSC) 339 配置部署任务 188
代理与服务器之间的安全通信 (ASSC) 342 手动签入 141
多服务器环境中的主密钥 341 在存储库中的分支之间移动 142
管理 340 报告
使用一个主密钥 341 编辑现有 84

索引
报告（续）标记
查看输出 88 编辑、删除和移动 118
创建 77, 84 策略分配基于 163
创建自定义查询 300 创建标记生成器向导 118
导出的查询结果 78 创建、删除和修改子组 119
格式 78 从自动标记中排除系统 120
关于 83 基于标准的 102
结构和页面大小 83 基于标准的排序 108
计划 88 手动应用 121
默认设置 64 应用 122, 123
配置表元素 86 组排序标准 100
配置镜像元素 85 标记, 子组
配置模板和位置 88 创建、删除和修改 119
配置图表元素 86 选择多个项目 26
配置文本元素 85 标记目录 118
使用 64 标记生成器向导 118
添加到组 89 比较策略 167
添加元素 84 比较客户端任务 192
通过服务器任务运行 88 BMC Client Automation 第三方工具 49
以查找 VPN 服务器 MAC 地址 355 补丁
报告, 使用 API 产品和更新的部署包 185
使用 McAfee 命令框架 311 McAfee Agent 更新 46
使用 Web URL 帮助 312 使用存储库 228
使用 Web URL 查询中的 S 表达式创建 313 捕获全部组 104
通过表对象、命令和参数创建的示例 320 不明来源组 53
通过 ID 编号创建的示例 318 部署
通过 Web URL 查询解析查询 316 安装产品 187, 188
通过 XML 数据创建的示例 318 包安全 185
运行 310 查看 155
报告, 使用用户界面查看分配的客户端任务 189
包含查询输出 219 产品和更新 186
创建 299 代理处理程序注意事项 262
创建自定义查询 300 到存储库 232
报告生成器, 创建自定义报告 77 计算存储库带宽 294
报告元素全局更新 160
配置表 86 任务 184
配置镜像 85 任务, 针对托管系统 186
配置图表 86 使用第三方工具的代理 49
配置文本 85 手动签入包 141
备份受支持的包 185
备用数据库必备 324 新产品示例 158
数据库 280 本手册中使用的约定和图标 13
通过灾难恢复功能 324
备用站点 C
编辑现有 238 CA，请参阅认证机构
关于 224 菜单，请参阅主菜单
配置 237 操作
切换为来源站点 238 测试排序 109
删除 238 检查 IP 完整性 103
本地分布式存储库 247 立即排序 109
边界，请参阅系统树组织应用标记 121
编辑数据库服务器注册信息 328 与产品部署一起使用 155
编辑问题 335 运行标记标准 118
表, 使用 24 操作系统
表行，选中复选框 25 代理处理程序 266

索引
操作系统（续）策略管理（续）

分组 100 使用客户端任务 191
旧版系统 (Windows 95, Windows 98) 100 使用组 53
针对存储库 228 策略管理规则
策略关于 162
编辑策略历史记录权限集 166 策略目录
比较 167 管理策略历史记录权限 166
查看 161, 177 使用 164
创建 SuperAgent 230 通过策略历史记录条目管理策略 166
创建 SuperAgent 策略 231 页, 查看 161
导入和导出 161 策略强制实施
更改所有者 167 查看禁用的分配 178
关于 161 强制实施策略时 161
继承 161 启用和禁用 164
禁用主存储库 235 测试排序操作 102
类别 161 查看问题详细信息 335
如何将策略应用到系统 161 产品, 自动更新 211
设置, 查看 178 产品安装
设置 ASCI 206 安装扩展文件 141
使用策略目录 164 配置部署任务 187, 188
所有权 162, 178 产品部署
通过策略历史记录条目管理策略 166 查看 155
在策略目录页上控制 164 查看分配的客户端任务 189
针对 DAT 测试组的 McAfee Agent 策略 147 创建 155
中断的继承, 重置 179 创建项目，以更新 McAfee Agent 214
组继承, 查看 179 方法 151, 152
策略分配概述 151
策略目录 161 关于监控和更改 154
查看 177–179 监控和修改 157
复制和粘贴 176, 177 项目 153
锁定 161 与客户端任务部署方法相比 153
系统, 分配到 175 产品部署包
已禁用强制实施, 查看 178 安全和包签名 185
组, 分配到 174 更新 185
策略分配规则签入 141
编辑优先级 169 手动签入 143
查看摘要 169 受支持的包 185
创建 169 产品更新
关于 162 包签名和安全 185
规则标准 162 部署 186
和多插槽策略 162 产品部署概述 151
基于系统的 162 来源站点和 224
基于系统的策略 163 流程说明 186
基于用户的 162 手动签入包 141
基于用户的策略 163 受支持的包类型 185
删除和编辑 169 产品兼容性列表
优先级 162 概述 138
策略共享配置下载来源 140
多个服务器 McAfee ePO 168 查询, 使用用户界面
使用已注册的服务器 168 查找代理版本摘要 213
通过服务器任务 168 创建报告 299
指定 168 创建自定义 300
策略管理 DAT 文件合规性 218
创建查询 179 恶意软件事件 217
分配策略 161 非活动代理 215

索引
查询, 使用用户界面（续）处理程序分配

客户端事件摘要 303 编辑优先级 273
事件摘要概述 303 管理 271
使用报告输入 219 处理程序列表, 启用, 和禁用代理处理程序 264
使用表 306 处理程序组
威胁事件摘要 305 编辑设置 272
以根据子网查找恶意软件事件 218 创建 271
以计算每周清除的系统数 217 关于 270
以显示合规性 219 删除 272
用于清除事件 210 CPU
查询过度使用 278
报告格式 78 节点计数需要 232
标记组上的系统列表 120 使用过度 277
创建合规性查询 308 CRL，请参阅证书吊销列表
处理 80 存储库
导出为报告 78 安全密钥 339, 341
导出为其他格式 309 创建 SuperAgent 存储库 241
对结果执行的操作 78 从存储库列表文件导入 249
个人查询组 82 带宽建议 295
过滤器 79 DAT 文件复制 296
汇总，从多个服务器 307 非托管, 将内容复制到 247
结果类型 307 分支 142, 190, 226
结果作为信息显示板监视器 78 FTP 服务器 228
计划的 81 复制和选择 251
默认设置 64 概念 223
权限 77 关于 232
使用 64 HTTP 服务器 229
使用结果排除系统标记 120 禁用主存储库 235
图表类型 79 计算带宽使用 232
以表的形式显示结果 79 计算更新带宽 294
在服务器任务中使用 309 来源站点 224
子操作 81 类型 224
自定义, 管理 80 全局更新 236
查询, 使用 API 确定数量和位置 232
使用 McAfee 命令框架 311 SuperAgent 230
使用 Web URL 帮助 312 它们的功能 223
使用 Web URL 查询中的 S 表达式 313 通过全局更新进行更新 236
通过表对象、命令和参数创建的示例 320 UNC 246
通过 ID 编号创建的示例 318 UNC 共享 229
通过 Web URL 查询导出数据 316 用于自动测试 DAT 文件 147
通过 XML 数据创建的示例 318 主, 配置代理服务器设置 239
运行 310 自动从 McAfee 提取和复制 DAT 更新 144
查询生成器自动提取内容 211
创建自定义查询 77, 80 存储库列表文件
关于 79 代理处理程序的优先级 270
结果类型 79 导出到 248
重复 GUID 导入 249
建议的每月任务 287 导入, 从 249
运行服务器任务 209 关于 232
创建问题 334 将分布式存储库添加到 243
处理程序使用 248
创建组 271 SiteList.xml, 用于 232
对代理进行分组 274
移动代理 272
优先级 270

索引
D 代理处理程序（续）
硬件、软件和端口要求 266
带宽
用户界面 262
对存储库的建议 295
用于通过防火墙通信的端口 351
分布式存储库和 224
与 Amazon Web Services 搭配使用 357
复制任务和 250
在 DMZ 后台 259
计算客户端更新 294
站点列表文件中的优先级 270
事件转发注意事项 196
代理服务器设置
提取任务的注意事项 250
代理 239
针对存储库更新的计算 232
服务器设置 42
代理
配置主存储库 239
按分配规则分组 273
代理通信端口 207
部署凭据 206
代理与服务器安全通信 (ASSC)
查找非活动代理 215
查看使用密钥对的系统 343
查找更早版本 213
关于 339
从 shell 系统中丢失 50
使用一个密钥对 344
代理处理程序的分配 265
针对服务器使用不同的密钥对 344
分组 272
代理与服务器安全通信密钥
功能 46
导出和导入密钥 115
GUID 51
代理与服务器通信
GUID 和系统树位置 104
管理 206
和 SuperAgent 存储库 230
代理与服务器之间的安全通信
将软件添加到您的镜像文件 51
关于 16
可执行文件的路径 46
代理与服务器之间的安全通信 (ASSC)
流量方向和端口 352
使用密钥 342
配置策略以使用存储库 240
代理与服务器之间的安全通信密钥
配置代理服务器设置 239
通过传输系统 113
首次调用服务器 104
代理与服务器之间的通信
通过产品部署更新 214
安全通信密钥 (ASSC) 342
通过第三方工具部署 49
通过 LDAP 镜像降低时间间隔 331
维护 205
系统树排序 103
代理处理程序
代理与服务器之间的通信端口, 更改 348
Amazon Web Services 服务器必需 370
代理与服务器之间的通信时间间隔
部署 262
更改默认设置 206
常见问题 274
调整 205
从处理程序列表中启用和禁用 264
当前分支
多个 253
定义的 226
分配 265
签入更新包 143
分配代理 270
导出
分配优先级 273
策略 332
工作原理 253
权限集 135
管理分配 271
信息显示板 73
关于 253
导出和导入
故障转移保护 257
标记 332
节点计数 30
策略分配 332
LDAP 访问权限 331
查询 332
存储库 332
McAfee ePO 中的组件 16
客户端任务对象 332
配置虚拟组 264
权限集 332
配置优先级 264
任务 332
软件安装 267
响应 332
身份验证模式 253
信息显示板 332
使用原因 255
系统 332
消除多个 McAfee ePO 服务器 256
导出系统 107
虚拟设置 264
移动代理 272

索引
导航 EICAR 防恶意软件测试文件 66
基于菜单 21 ePolicy Orchestrator
主菜单 21 必要功能 40
导入多个备选服务器 256
基本内容 332 服务器最佳实践 281
权限集 135 禁用将服务器作为存储库 232
信息显示板 73 流量方向和端口 352
DAT 文件事件处理 279
另请参阅检测定义文件物理站点上的备用 324
物理站点上的备用服务器 325
部署到存储库 232 性能监视器 278
创建合规性查询 218 用于灾难恢复的服务器群集 324
从存储库删除 142 远程控制台连接 323
存储库分支 142 在 Amazon Web Services 服务器上安装 370
复制和存储库 296 灾难恢复 324
评估 190 恶意软件事件
平均大小 294 创建根据子网查找恶意软件事件的查询 218
使用存储库 228 度量 217
提取服务器任务 145 发送自动响应 149
通过全局更新进行更新 236 根据子网 218
在部署前测试 146 计算每周清除的系统数 217
自动测试 DAT 文件 147
自动测试流程概述 143
F
自动更新 211
自动化 DAT 文件测试 144 防火墙
DAT 文件更新用于与服务器通信的端口 351
部署 186 非活动代理
创建任务时的注意事项 189 查询 215
从来源站点 237 查找 215
计划任务 189 作为部分每周任务删除 285
日常任务 189 非托管存储库 228
手动签入 143 分布式存储库
在主存储库中 226 编辑现有 246
登录和注销 21 部分每周任务 285
登录消息 129 不同类型 228
电子邮件服务器创建和配置 243
配置响应 197 代理如何选择 251
地理边界, 优势 100 非托管, 将内容复制到 247
DNS 更改凭据 249
用于查找 ePolicy Orchestrator 服务器 48, 266, 325 关于 224
与 Amazon Web Services 服务器关联的名称 369 将包复制到 SuperAgent 存储库 242
端口 McAfee ePO 中的组件 16
AWS 安全组端口设置 358 配置代理策略 240
代理通信 207 启用文件夹共享 245
控制台与应用程序服务器 347 删除 246
使用的和流量方向 352 删除 SuperAgent 存储库 242
用于代理处理程序 266 SuperAgent, 任务 241
用于通过防火墙与服务器通信 351 添加到 ePolicy Orchestrator 243
与 DMZ 后台的代理处理程序搭配使用 259 通过自动提取内容进行复制 211
自定义 347 文件夹, 创建 243
多个服务器 McAfee ePO 有限的带宽和 224
策略共享 168 在 SuperAgent 中创建 231
自动从 McAfee 提取和复制 DAT 更新 144
分配规则
E
代理和处理程序 273
EC2，请参阅 Amazon Web Services 和 Amazon Elastic Compute Cloud

索引
分配问题 335 服务器任务（续）

分支状态 181
当前 143 服务器任务日志
更改分支操作 190 查看服务器任务 181
类型, 和存储库 226 删除过时任务 182
评估 190 状态列 181
删除 DAT 和引擎包 142 服务器任务生成器 123
手动移动包 142 服务器设置
早期 141 安全密钥 341–344
FramePkg.exe, 代理安装应用程序 49 产品兼容性列表 140
FTP 存储库 228 代理部署凭据 206
编辑 246 代理服务器设置 42, 239
创建和配置 243 打印和导出 88
启用文件夹共享 245 登录消息 129
服务器电子邮件服务器 194
Amazon Web Services 357 端口 207
备份概述 93 服务器证书 43
备份和还原流程 290 概述 22
查找性能问题 277 Internet Explorer 239
传输系统 117 基于证书的身份验证 131–133
发现性能问题 278 来源站点 237, 238, 249
共享对象 332 Product Improvement Program 345
恢复概述 95 全局更新 160, 240
建议的最佳实践 281 事件过滤 196
禁用主存储库 235 事件通知 195
流量方向和端口 352 示例设置 24
您可以注册的类型 325 SSL 证书 42
配置概述 35 通知 200
设置和控制行为 22 信息显示板 73, 76
受支持的服务器类型 325 系统树排序 109
数据库 327 用户会话 129
SNMP, 和响应 198 灾难恢复 97
通过灾难恢复升级硬件 91 服务器证书
推荐的硬件 30 替换 43
灾难恢复 92, 291, 324 文件路径 93
注册 LDAP 服务器 329 负载平衡代理处理程序 257
注册其他服务器 326 复制
主存储库密钥对 340 避免所选包 245
服务器任务禁用选定包 245
包含子操作的查询 81 复制任务
查看 181 更新主存储库 250
创建 182 完全和增量 250
关于 181 复制系统树中的条目 111
计划查询 81
默认设置 61 G
清除日志 210 更改分支操作 190
删除过时 182 更新
删除过时的日志项目 183 包和依赖性 185
使用 61 包签名和安全 185
使用 Cron 语法计划 183 部署包 186
数据汇总 308 部署任务 184
提取 DAT 文件 145 创建任务时的注意事项 189
同步域 AD 101 DAT 和引擎 186
运行报告 88 计划更新任务 189
灾难恢复 290 计算所需带宽 294

索引
更新（续）合规性（续）

客户端任务 189 报告部分每日任务 282
来源站点和 224 创建查询 308
流程说明 186 创建运行合规性查询的服务器任务 219
全局, 流程 159 将查询和报告流程自动化 218
手动签入 141 生成事件 309
自动, 使用全局更新 160 通过镜像中的代理确保 51
个人设置, 类别 22 运行任务以传递报告 220
工具, 第三方 HIPS，请参阅 Host Intrusion Prevention
使用 Windows 资源管理器检查 ePolicy Orchestrator 事件 279 Host Intrusion Prevention, 示例产品 30
Windows 性能监视器 278 HTTP 存储库
用于部署代理 48, 49 编辑 246
功能, McAfee ePO 15 创建和配置 243
GTI，请参阅 McAfee Global Threat Intelligence 关于 229
管理控制台, Amazon Web Services 357 启用文件夹共享 245
管理员
创建组 53 I
管理用户帐户 125
IBM Tivoli 第三方工具 49
关于 134
IIS
建议的每月任务，以查看 ID 287
Microsoft IIS 服务器 228
来源站点, 配置 237
Internet Explorer
权限 134
配置代理服务器设置 239
通过合规性报告自动联系 219
IP 地址
通过系统树访问 51
范围作为排序标准 108
灾难恢复所需的权限 92
IPv6 33
自动连接，以停止发布 DAT 文件 149
将用户会话限制到单个 129
关于本手册 13
默认情况下与 Amazon Web Services 一起使用 369
GUID
排序标准 105, 108
查找重复 209
排序并检查重叠 103
从镜像文件中删除 51
用于查找 ePolicy Orchestrator 服务器 48
规则
用于对系统树排序 54
配置响应联系人 202
与 Amazon Web Services 搭配使用 357
通知的设置, SNMP 服务器 199
子网掩码作为排序标准 108
自动响应默认规则 194
作为分组标准 100
过滤器
查询结果 79
创建 25 J
概述 24 检测定义文件 15
列表 24 DAT 文件 228
设置响应规则 201 检查 IP 完整性操作 103
与策略分配规则一起使用 169 监视器
与产品部署一起使用 157 默认刷新时间间隔 76
自定义 25 配置 74
故障恢复到初始服务器 95 使用 71
故障排除灾难恢复快照状态 92
产品部署 184 建议 McAfee
查找非活动系统 215 分配前复制策略 161
客户端证书身份验证 134 继承
SQL 数据库连接性 281 查看策略 179
VPN 系统连接问题 353 定义 53
和策略设置 161
H 中断, 重置 179
节点计数
合规性
存储库硬件 232
报告 219
代理处理程序 30

索引
节点计数（续）客户端事件（续）

和存储库 230 创建自定义查询 306
推荐的硬件 30 自动清除 210
界面客户端证书 131
导航 21 可扩展性
快捷方式栏 21 关于 29
主菜单 21 横向 29
计划计划 29
Cron 语法与服务器任务 183 纵向 29
DAT 和产品文件的自动更新 211 可执行文件, 管理 199
清除事件日志 292 控制台
事件清除 210 McAfee ePO 16
应用基于标准的标记 123 快速查找 25
灾难恢复快照 290 快照
针对策略共享的服务器任务 168 保存到数据库中的记录 93
镜像文件, 添加代理 51 部分灾难恢复 91
基于标记的排序标准 100, 104 创建 95
基于标准的标记从 Web API 创建 96
排序 108 从信息显示板创建 96
应用 122, 123 服务器任务日志详细信息 95
基于菜单的导航 21 概述 93
基于系统的策略计划默认设置 290
标准 163 配置 289
关于 163 信息显示板监视器 92
基于用户的策略 331 快照, 通过灾难恢复功能 324
标准 163 扩展 McAfee ePO
关于 163 使用存储库 223, 257
基于证书的身份验证使用代理处理程序 255, 257
更新证书吊销列表 133 扩展文件, 安装 141
关于 131
故障排除 134 L
禁用 132 来源站点
配置 131 备用 224
配置用户 133 编辑现有 238
技术支持, 查找产品信息 14 产品更新和 224
创建 237
K 从 SiteMgr.xml 导入 249
客户端更新包和 186
测试病毒防护 65 关于 224
从系统树中消失 353 配置 237
计算更新带宽 294 切换为备用站点 238
转换为 SuperAgent 230 删除 238
客户端任务 LAN 连接和地理边界 100
编辑设置 192 LDAP 服务器
比较 192 镜像概述 331
部分产品部署 151 McAfee ePO 组件 16
查看 189 身份验证策略 127
查看特定系统上的分配 192 注册 329
创建 191 联系人
关于 184 响应和 202
默认设置 59 列表
使用 59, 191 过滤 24
与产品部署项目相比 153 搜索 25
客户端事件列表, 使用 24
创建摘要查询 303 立即排序操作 102

索引
M 密钥对（续）
针对 Amazon Web Services 服务器创建 358
McAfee ServicePortal, 访问 14
目录（查看系统树） 110
McAfee Agent
代理 16
McAfee Agent 状态监视器, 以收集和发送属性 354
N
McAfee Endpoint Security NETDOM.EXE 实用工具, 创建文本文件 107
部署示例 158 Novell Zenworks 第三方工具 49
全局更新的限制 236 NT 域
示例产品 30 导入到手动创建的组 111
McAfee ePO 更新同步的组 113
服务器 16 同步 102, 111
功能 16
工作原理 16 O
关于 15
OAS，请参阅按访问扫描
控制台 16
OCSP，请参阅在线证书状态协议
推荐的硬件 30
ODS，请参阅按需扫描
影响性能的因素 33
OUI，请参阅组织唯一标识符
与 McAfee ePO Cloud 的区别 15
重要功能 15
P
组件 16
McAfee ePO Cloud 排序标准
与 McAfee ePO 的区别 15 标记 108
McAfee Global Threat Intelligence 建议的每日任务 282 IP 地址 103, 108
McAfee 建议将系统排序到组中 102
产品部署的分阶段部署 184 基于标记 104
使用基于标记的排序标准 100 基于标记的 100
McAfee Product Improvement Program 配置 108
配置 345 组 108
删除该程序 346 组, 自动 100
McAfee 推荐配置
创建汇总数据服务器任务 308 标记组上的系统列表 120
导入大型域时部署代理 111 代理与服务器之间的通信时间间隔 206
计划复制任务 250 DAT 和产品文件的自动更新 211
评估组织边界 100 概述 35
确认系统保护 65 禁用 1051 和 1059 事件 213
使用全局更新 159 客户端事件摘要查询 303
通过 IP 地址排序 100 全局更新限制 236
系统树计划 99 事件清除 210
Microsoft 使用表的查询 306
Windows 可靠性和性能监视器 277 通过查询进行的事件清除 210
Windows 任务管理器 277 威胁事件摘要查询 305
系统中心配置管理器 49 自定义查询 300
Microsoft IIS 服务器 228 票证发放服务器 16
Microsoft SQL 数据库评估分支
数据库 16 定义的 226
Microsoft Windows Resource Kit 107 对新的 DAT 和引擎使用 190
密码评估模式 42
登录和注销 21 凭据
更改用户帐户 125 更改, 在分布式存储库上 249
密钥，请参阅安全密钥缓存部署 206
密钥存储库加密密码短语修改数据库注册信息 328
设置 97 Product Improvement Program
灾难恢复 92 配置 345
密钥对删除该程序 346
连接至 Amazon Web Services 服务器 369

索引
Q 软件管理器 137 （续）

关于 137
强制实施，请参阅策略强制实施
建议的每周任务 285
清除事件
目录 137
建议的每月任务 287
评估软件 138
自动 210
签入包 138
全局更新
签入扩展 138
流程说明 159
删除包 138
目录 240
删除扩展 138
启用 160
许可软件 138
要求 159
全局更新, 关于 236
全局唯一标识符 (GUID) 104 S
全局唯一标识符，请参阅 GUID ServicePortal, 查找产品文档 14
权限删除数据库服务器注册信息 328
管理员 134 删除问题 335
为通知分配 197 shell 系统, 关于 50
为响应分配 198 身份验证
针对查询 77 基于证书 131
至信息显示板 72 为 Windows 配置 128
权限集身份验证, 基于证书的 131
分配到报告 89 身份验证, 针对 Windows 配置 126
管理 135 审核日志
示例 134 查看用户操作 130
系统树 99 关于 130
映射到 Active Directory 组 126 建议的每月任务 287
应用到 Active Directory 组 127 删除旧条目 130
与用户和组的交互 134 与产品部署一起使用 155
自动清除 210
R 设置 27
事件
RAM
1051 和 1059 过滤 212
AWS 服务器 358
标记组上的系统列表 120
存储库服务器 232
创建查询 306
影响性能 33
创建客户端事件摘要查询 303
任务
创建自定义查询 300
测试病毒防护 65
处理 279
查找非活动代理 215
从数据库中清除 280
定期 288
度量恶意软件事件 217
非活动代理任务 215
分组 194
将文件从评估分支复制到当前分支 146
合规性事件 309
建议的每日 282
禁用 1051 和 1059 事件 213
建议的每月 287
累积 194
建议的每周 285
确定转发的事件 196
计划对测试组的按需扫描 148
调节 194
清除事件 287
通过查询根据子网计算 218
通过查询清除事件 210
通过查询清除 210
运行并传递报告 220
通知时间间隔 200
运行合规性查询 219
威胁事件摘要查询 305
自动从 McAfee 提取和复制 DAT 更新 144
响应 193
自动清除事件 210
显示威胁事件 66
自动提取内容 211
阈值 194
认证机构 131
造成 ePolicy Orchestrator 性能问题 277
软件管理器 137
造成性能问题 278
部分每周任务 285
转发和通知 196
产品兼容性 138

索引
事件（续） SQL 数据库（续）

自动清除 210 恢复概述 95
时间间隔恢复数据库 289
通知之间 200 计划快照 290
事件日志, 清除 292 数据库 16
实用工具维护 289
NETDOM.EXE, 创建文本文件 107 用于通过防火墙通信的端口 351
授权策略 127 灾难恢复 92
数据汇总服务器任务 308 SQL 数据库的备份和还原流程 290
数据库 SSL 证书
32 位和 64 位操作系统 30 关于 42
备份概述 93 所选包
备份和还原流程 290 避免复制 245
备份每周任务 285 SuperAgent
测试连接 281 创建策略 231
查询和检索数据 78 共享硬件 232
重新索引 280 将客户端系统转换为 SuperAgent 231
多服务器查询 307 配置 230
恢复概述 95 延迟缓存 230
恢复 SQL 289 用于通过防火墙通信的端口 351
计划快照 290 在系统树中创建组 231
McAfee ePO 中的组件 16 SuperAgent 存储库
确定服务器和名称 289 创建 241
推荐的硬件 30 将包复制到 242
维护 280 全局更新要求 159
物理站点上的备用 324 任务 241
物理站点上的备用服务器 325 删除 242
用以添加虚拟 MAC 供应商 ID 值的脚本 355 SuperAgent 系统
用于灾难恢复的服务器群集 324 将 SuperAgent 策略分配到 SuperAgent 组 231
灾难恢复 92 syslog 服务器
自动清除事件 210 注册 329
数据库服务器
编辑注册信息 328 T
提取任务
删除 328
更新主存储库 250
使用 327
计划的注意事项 250
注册 327
同步
数据库中的碎片 280
Active Directory 和 102
数据迁移工具, 用于产品兼容性检查 138
计划 112
SMS，请参阅 Microsoft 系统中心配置管理器
仅限系统, 与 Active Directory 102
SNMP 服务器
立即同步操作 101
响应 198
默认 104
注册 328
NT 域 102
SQL 服务器
另请参阅数据库排除 Active Directory 容器 102
系统和结构 102
确定数据库服务器和名称 289 自动部署代理 102
SQL 复制, 要求使用备用数据库 325 阻止复制条目 102
SQL Server Management Studio 同步, Active Directory 50
添加虚拟 VPN 服务器 MAC 供应商 ID 值 355 通过代理处理程序提供的故障转移保护 257
灾难恢复 324 通过 McAfee ePO 发放票证 335
SQL 数据库通用命名约定，请参阅 UNC 共享存储库
备份概述 93 通知
备份和还原流程 290 分配权限 197
管理 289 工作原理 117

索引
通知（续）问题（续）
事件转发 196 从响应自动创建 334
收件人 117 分配 335
SNMP 服务器 328 管理 333
注册的可执行文件, 管理 199 关于 333
通知规则, 导入 .MIB 文件 199 删除 335
通知时间间隔 200 删除过时 334
图表（查看查询） 79 添加注释 335
托管系统 Windows
部署任务 187 身份验证, 配置 126
策略管理 161 身份验证，配置 128
测试病毒防护 65 授权，配置 129
查看策略分配 179 Windows 可靠性和性能监视器 277, 278
汇总查询 307 Windows 任务管理器 277
排序, 基于标准 102 Windows 身份验证
全局更新和 224 策略 127
任务 187 启用 128
在其上安装产品 188 我的组 52
文档
U 本手册的读者 13
特定产品, 查找 14
UBP，请参阅基于用户的策略
印刷约定和图标 13
UNC 共享存储库 229
编辑 246
创建和配置 243 X
启用文件夹共享 245 响应
使用操作 202
建议 246 分配权限 198
规则 194
V 联系人 202
配置 197, 199, 202
VDI，请参阅虚拟桌面基础架构
配置为自动创建问题 334
VirusScan Enterprise
事件转发 195
按需扫描作为部分建议的每周任务 285
SNMP 服务器 198
VM，请参阅虚拟机
响应, 自动
VPN
关于 193
服务器 OUI 355
响应规则
系统连接问题 353, 354
创建和编辑 200
VPN 连接和地理边界 100
设置过滤器 201
设置阈值 201
W
说明页 201
网络带宽，请参阅系统树组织响应生成器 202
WAN 连接和地理边界 100 消息
维护自定义登录 129
建议的每日 282 新建组向导, 创建新组 82
周期任务 288 性能监视器 278
维护计划，请参阅数据库维护另请参阅性能监视器
为问题添加注释 335
威胁事件日志发现性能问题 278
查看和清除 292 使用 278
通用事件格式 291 影响性能的因素 33
问题信息显示板
编辑 335 创建快照 96
查看 333 导入和导出 73
查看详细信息 335 服务器设置 73, 76
创建 334 公共 71

索引
信息显示板（续）系统树排序（续）

管理 72 默认设置 104
简介 71 启用 109
McAfee 71 为子组排序 104
首次 73 系统树同步
授权于 72 计划 112
为导出的报告配置 88 至 Active Directory 结构 110
移动和调整大小 75 系统树中的我的组织组 52
专用 71 系统树组织
信息显示板监视器操作系统 100
配置 74 创建组 105
移动和调整大小 75 导入 Active Directory 容器 110
信息显示板任务导入系统和组 107
默认设置 63 复制条目 111
使用 63 将系统手动移到组 113
信息显示器将系统添加到组 106
配置监视器 74 将组映射到 Active Directory 容器 110
系统计划考虑事项 99
从系统树导出 107 通过子组 111
查看策略分配 179 网络带宽 100
查看详细信息 105 网络中的边界 100
对产品的策略强制实施 165 选择多个项目 26
分类到组 109 选定包
分配策略 175 禁用复制 245
将策略分配粘贴到 177 许可证密钥 42
系统树虚拟机
不明来源组 53 Amazon Web Services 357
查找要测试病毒防护的系统 65 用于自动 DAT 文件测试 146
创建, 自动的 100 用作 McAfee ePO 服务器 30
创建 DAT 文件测试组 146 虚拟桌面基础架构模式 51
创建 SuperAgent 组 231
定义 53 Y
对代理进行分组 274 延迟缓存, SuperAgent 配置 230
访问权限要求 99 硬件
继承 53 为 McAfee ePO 和数据库推荐 30
结构 52 用于存储库 232
基于标准的排序 102 用于代理处理程序 30
客户端消失 354 应用标记操作 118
配置 SuperAgent 组 230 应用的策略, 创建查询 179
权限集 99 引擎
删除非活动系统 216 从存储库删除 142
删除系统 53 存储库分支 142
填充组 105 引擎更新
通过 Active Directory 组织 51 部署包 186
我的组 52 从来源站点 237
我的组织层级 52 计划任务 189
向组分配策略 174 手动签入 143
显示 shell 系统 50 在主存储库中 226
系统详细信息 105 已注册的服务器
组织 99 LDAP 服务器, 添加 329
系统树的访问权限要求 99 启用策略共享 168
系统树排序受支持的 325
服务器和系统设置 103 syslog 329
IP 地址 103 添加 SNMP 服务器 328
基于标记的标准 104 注册 326

索引
用户证书身份验证
关于 125 创建自签证书 336
权限集和 134 将 PVK 转换为 PEM 文件 339
限制到单个 IP 地址 129 使用 OpenSSL 命令 338
用户菜单, 在界面中导航 21 由第三方证书颁发机构签名 336
用户操作中断的继承
查看 130 创建查询 179
删除过时 130 状态监视器, 以收集和发送属性 354
用户帐户 125 主菜单
用于服务器任务的 Cron 语法 183 在界面中导航 21
用于灾难恢复的服务器群集 324 注册数据库服务器 327
有关代理处理程序的常见问题 274 主存储库
远程控制台连接 323 部分产品部署 151
远程命令多服务器环境中的安全密钥 341
确定 SQL 数据库服务器和服务器名称 289 关于 224
运行标记标准操作 118 利用提取任务更新 250
域同步 100 默认 232
语言包，请参阅代理配置代理服务器设置 239
使用复制任务 250
Z 手动签入包 143
灾难恢复未签名内容的密钥对 340
服务器任务 290 与来源站点通信 239
服务器设置 97 在 ePolicy Orchestrator 上 228
概述 93 自定义登录消息 129
快照 91 自动
密钥存储库加密密码短语 92 从 McAfee 提取和复制 DAT 更新 144
配置快照 289 将内容提取至存储库 211
使用服务器群集 324 清除事件服务器任务 210
使用冷备用和热备用 324 自动更新
使用灾难恢复功能 324 DAT 文件和产品 211
需要的信息 291 自动化
这是什么 91 创建合规性查询和报告 218
组件 92 将文件从评估分支复制到当前分支 146
在线证书状态协议, 检查证书真实性的备用方法 131 自动响应
早期分支操作 202
保存包版本 141 关于 193
定义的 226 规则 194
将 DAT 和引擎包移至 142 计划 195
站点 McAfee ePO 中的组件 16
备用 224, 237 默认规则 194
编辑现有 238 配置 202
切换来源站点和备用站点 238 设置 193
删除来源站点或备用站点 238 通知时间间隔 200
站点列表文件 270 用于自动进行 DAT 文件测试 149
帐户与系统树交互 117
用户 125 子网, 作为分组标准 100
证书子组
CA 131 和策略管理 111
吊销客户端 133 基于标准的 104
服务器 131 组
客户端 131 捕获全部 104
身份验证 131 操作系统和 100
替换 131 策略, 继承 53
证书吊销列表 133 查看策略分配 178
代理处理程序 262

索引
组（续）组（续）
导入 NT 域 111 通过 NT 域手动更新 113
定义 53 我的组 52
对产品的策略强制实施 165 在系统树中 54
将策略分配粘贴到 176 最佳实践
基于标准的 104 策略分配锁定 161
控制访问权限 134 导入 Active Directory 容器 110
排序, 自动 100 分配前复制策略 161
排序标准 108 系统树创建 105
配置排序标准 108 最佳做法
手动创建 106 产品部署 184
手动移动系统 113 组件
SuperAgent 的 230 存储库, 关于 224
通过 IP 地址定义 100 灾难恢复 92

0B11

Epo 590 PG 0b11 ZH-CN

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Epo 590 PG 0b11 ZH-CN

Uploaded by

Copyright:

Available Formats

产品手册

McAfee ePolicy Orchestrator 5.9.0 软件

2 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

4 设置 McAfee ePO 服务器 35

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 3

McAfee Agent 工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

4 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 5

6 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 7

17 自动化和优化 McAfee ePO 工作流 209

8 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 9

20 维护您的 McAfee ePO 服务器、SQL 数据库和带宽 277

10 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

注册 LDAP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

B 添加通过 VPN 连接的系统 353

C 在 AWS 服务器上安装 McAfee ePO 357

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 11

12 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

本手册将提供使用 McAfee 产品所需的信息。

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 13

14 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

McAfee ePO Cloud 是 McAfee ePO 基于云的实例。 通过 McAfee ePO Cloud，您无需配置和维护运行安全管理软件

什么是 McAfee ePO？

通过 McAfee ePO 自动化功能和端到端网络可见性，您可以：

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 15

McAfee ePO 工作原理

16 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

恶意软件攻击您的 McAfee ePO 托管网络中的计算机。

McAfee 产品软件（例如 McAfee Endpoint Security）清除或删除恶意软件文件。

McAfee Agent 向 McAfee ePO 通知发生攻击。

McAfee ePO 存储攻击信息。

McAfee ePO 在威胁事件数信息显示板中显示攻击通知，并将攻击历史记录保存在威胁事件日志中。

McAfee ePO 服务器提供以下主要功能：

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 17

该图显示主要的 McAfee ePO 组件。

图 1-1 主要的 McAfee ePO 组件

McAfee ePO 服务器 — 连接到 McAfee ePO 更新服务器，以下载最新的安全内容

Microsoft SQL 数据库 — 存储您的网络托管系统、McAfee ePO、代理处理程序和存储库的所有相关数据

客户端上安装的 McAfee Agent — 提供以下功能：

代理与服务器之间的安全通信 (ASSC) 连接 — 在您的系统和服务器之间定期进行通信

Web 控制台 — 允许用户登录 McAfee ePO 控制台，以执行安全管理任务，如运行查询以报告安全状态或实施

18 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

代理处理程序 — 通过卸载事件处理和 McAfee Agent 连接性任务降低服务器的工作负载

代理处理程序在与 McAfee ePO 数据库处于同一网络区段时效率最高。

分布式存储库连接 — 存储库连接取决于存储库的类型。 例如，HTTP、FTP 或 UDP 连接。

DMZ 中的代理处理程序 — DMZ 中安装的代理处理程序要求使用特定端口连接。

“代理处理程序”和 McAfee ePO 数据库之间往返行程延迟不得超过约 10 毫秒。

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 19

20 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

登录到该控制台以配置 McAfee ePO，从而管理和监控您的网络安全。

连接 McAfee ePO 时，您看到的第一个屏幕是 McAfee ePO 登录屏幕。

您的 McAfee ePO 软件显示默认信息显示板。

2 要结束您的 McAfee ePO 会话，请单击“注销”。

使用 McAfee ePO 导航菜单

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 21

22 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 23

1 选择“菜单” | “配置” | “服务器设置”，从“设置类别”中选择“用户会话”，然后单击“编辑”。

• “最大会话超时间隔 (分钟)” — 键入 60 以取代默认值。

24 McAfee ePolicy Orchestrator 5.9.0 软件 产品手册

McAfee ePolicy Orchestrator 5.9.0 软件 产品手册 25

2 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 3

4 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 5

6 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 7

8 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 9

10 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 11

12 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 13

14 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePO Cloud 是 McAfee ePO 基于云的实例。通过 McAfee ePO Cloud，您无需配置和维护运行安全管理软件

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 15

16 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 17

18 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

分布式存储库连接 — 存储库连接取决于存储库的类型。例如，HTTP、FTP 或 UDP 连接。

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 19

20 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 21

22 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 23

24 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 25

所有行单击表标题中的顶部复选框。选择表中的所有行。

26 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

第3章计划您的 McAfee ePO 配置

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 27

28 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

• 纵向可扩展性 — 添加并升级到更大、速度更快的硬件，以管理规模越来越大的部署。通过升级服务器硬件并在整

• 横向可扩展性 — 增加一个 McAfee ePO 服务器可以管理的部署大小。通过安装多个远程代理处理程序（每个处理

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 29

30 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 31

32 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

• 托管客户端及其代理处理程序数 — 这些数量与 McAfee ePO 服务器和数据库性能成正比。每个代理处理程序会对

安装和启用 IPv6 前，McAfee ePO 服务器仅收听 IPv4 地址。启用 IPv6 之后，它将在其配置模式下工作。

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 33

34 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 35

36 McAfee ePolicy Orchestrator 5.9.0 软件产品手册

您只有在 McAfee ePO 安装期间选择“启用自动产品安装”选项，才会开启“产品安装状态”页。在初始登录后前 24 小时使

McAfee ePolicy Orchestrator 5.9.0 软件产品手册 37

在初始登录后前 24 小时使用“自动产品安装”。初始 24 小时后，“自动产品安装”不再可用，而且您必须使用

38 McAfee ePolicy Orchestrator 5.9.0 软件产品手册