Professional Documents
Culture Documents
Epo 590 PG 0b11 ZH-CN
Epo 590 PG 0b11 ZH-CN
修订版 B
商标特性
Intel 和 Intel 徽标是英特尔公司在美国和/或其他国家或地区的注册商标。McAfee、迈克菲、McAfee 徽标、McAfee Active Protection、McAfee DeepSAFE、ePolicy
Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、迈克菲全方位实时保护、Policy Lab、McAfee
QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource 和
VirusScan 是 McAfee, Inc. 或其子公司在美国和其他国家或地区的商标或注册商标。其他名称和商标可能已声明为其他公司的财产。
许可信息
许可协议
致全体用户:请仔细阅读与您所购买的许可相关的法律协议,以了解使用许可软件的一般条款和条件。如果您不清楚所购买的许可属于哪一类,请查看软件包装盒中或购买产品
时单独提供的销售文档以及其他相关的许可授权或订单文档,这些文档既可以是小册子、产品光盘上的文件,也可以是软件包下载网站提供的文件。如果您不接受该协议规定的
所有条款和条件,请勿安装本软件。根据情况,您可以将产品退回 McAfee, Inc. 或原购买处以获得全额退款。
前言 13
关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1 产品概述 15
什么是 McAfee ePO? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
关键功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
McAfee ePO 工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2 监控网络的健康状况 21
登录和注销 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
界面导航 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
使用 McAfee ePO 导航菜单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
个人设置类别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
处理列表和表格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
对列表进行过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
创建自定义过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
搜索特定的列表项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
单击表中行的复选框 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
选择树列表中的项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
初始配置
3 计划您的 McAfee ePO 配置 29
可扩展性的注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
示例组织大小和网络组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
影响 McAfee ePO 性能的因素 . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
托管环境中的 Internet 协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
高级配置
5 信息显示板和监视器 71
使用信息显示板和监视器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
管理信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
导出和导入信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
指定首次信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
管理信息显示板监视器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
移动信息显示板监视器和调整其大小 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
设置默认监视器的刷新时间间隔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
6 生成查询和报告 77
查询和报告权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
查询简介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
查询生成器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
处理查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
管理自定义查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
按计划运行查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
创建查询组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
关于报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
报告的结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
创建报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
编辑现有报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
将元素添加到报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
配置图像报告元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
配置文本报告元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
配置查询表报告元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
配置查询图表报告元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
自定义报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
按计划运行报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
查看报告输出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
配置导出报告的模板和位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
组合报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
7 灾难恢复 91
什么是灾难恢复? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
灾难恢复组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
灾难恢复工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
灾难恢复快照和备份概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
McAfee ePO 服务器恢复安装概述 . . . . . . . . . . . . . . . . . . . . . . . . . . 95
创建快照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
从 McAfee ePO 中创建快照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
从 Web API 创建快照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
配置灾难恢复服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
8 使用系统树和标记 99
组织系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
规划系统树时的注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Active Directory 同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Active Directory 同步的类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
NT 域同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
基于标准的排序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
查看系统信息详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
创建和填充系统树组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
手动将系统添加到现有组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
手动创建组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
从系统树导出系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
创建组和系统的文本文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
从文本文件导入系统和组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
在基于标准的组中对系统排序 . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
导入 Active Directory 容器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
将 NT 域导入现有组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
计划系统树同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
通过 NT 域手动更新同步的组 . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
在系统树内部移动系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
传输系统的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
自动响应功能如何与系统树交互 . . . . . . . . . . . . . . . . . . . . . . . . . . 117
标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
创建标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
管理标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
创建、删除和修改标记子组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
阻止系统自动应用标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
创建查询来按照标记列出系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
将标记应用到所选系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
清除系统中的标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
将基于标准的标记应用到所有匹配的系统 . . . . . . . . . . . . . . . . . . . . . . . 122
按计划应用基于标准的标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
9 用户帐户和权限集 125
用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
管理用户帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
通过 Active Directory 管理 McAfee ePO 用户 . . . . . . . . . . . . . . . . . . . . . 126
Windows 身份验证和授权策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
在 McAfee ePO 服务器中启用 Windows 身份验证 . . . . . . . . . . . . . . . . . . . . 128
配置 Windows 身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
配置 Windows 授权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
创建自定义登录消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
将用户会话限制到单个 IP 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . 129
审核日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
用证书进行身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
为基于证书的身份验证配置 McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . 131
禁用基于证书的身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
配置用户帐户进行基于证书的身份验证 . . . . . . . . . . . . . . . . . . . . . . . . 133
更新证书吊销列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
对基于证书的身份验证进行故障排除 . . . . . . . . . . . . . . . . . . . . . . . . 134
权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
用户、组和权限集如何相互合作 . . . . . . . . . . . . . . . . . . . . . . . . . . 134
管理权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
10 软件管理器 137
软件管理器中包含的项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
使用软件管理器签入、更新和删除软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
检查产品兼容性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
重新配置产品兼容性列表下载 . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
11 手动进行包和更新管理 141
管理产品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
手动签入包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
从主存储库中删除 DAT 或引擎包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
在各分支之间移动 DAT 和引擎包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
手动签入引擎、DAT 和 Extra.DAT 更新包 . . . . . . . . . . . . . . . . . . . . . . . . . 143
最佳实践:自动化 DAT 文件测试 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
从 McAfee 中提取和复制 DAT 更新 . . . . . . . . . . . . . . . . . . . . . . . . . 144
最佳实践:创建系统测试组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
最佳实践:配置测试组的代理策略 . . . . . . . . . . . . . . . . . . . . . . . . . 147
最佳实践:配置对测试组的按需扫描 . . . . . . . . . . . . . . . . . . . . . . . . 147
最佳实践:计划对测试组的按需扫描 . . . . . . . . . . . . . . . . . . . . . . . . 148
最佳实践:针对恶意软件检测配置自动响应 . . . . . . . . . . . . . . . . . . . . . . 149
12 部署产品 151
产品部署步骤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
选择产品部署方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
产品部署项目的优点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
产品部署页面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
查看产品部署审核日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
查看产品部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
使用部署项目来部署产品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
监控和编辑部署项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
部署新产品示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
全局更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
使用全局更新自动部署更新包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
13 分配策略 161
关于策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
策略应用的时间 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
策略应用方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
策略所有权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
策略分配规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
策略分配规则优先级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
基于用户的策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
基于系统的策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
创建和管理策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
从策略目录页创建策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
强制实施产品策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
对系统树组中的产品强制实施策略 . . . . . . . . . . . . . . . . . . . . . . . . . 165
对系统上的产品实施策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
管理策略历史记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
管理策略历史记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
编辑策略历史记录权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
比较策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
更改策略的所有者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
在 McAfee ePO 服务器间移动和共享策略 . . . . . . . . . . . . . . . . . . . . . . . . . . 167
注册服务器以共享策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
指定共享策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
计划用来共享策略的服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . 168
创建和管理策略分配规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
创建策略分配规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
管理策略分配规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
策略管理用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
最佳实践:全局设置策略管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
创建策略管理权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
创建策略管理用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
提交策略更改以接受 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
接受策略更改 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
将策略分配到托管系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
将策略分配到系统树组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
将策略分配到托管系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
将策略分配到系统树组中的系统 . . . . . . . . . . . . . . . . . . . . . . . . . . 175
复制和粘贴策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
从组中复制策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
从系统中复制策略分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
将策略分配粘贴到组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
将策略分配粘贴到特定系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
查看策略信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
查看将策略分配到的组和系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
查看策略设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
查看策略所有权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
查看禁用策略强制实施的分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
查看分配给组的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
查看分配给特定系统的策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
查看组的策略继承 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
查看并重置中断的继承 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
创建策略管理查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
14 服务器和客户端任务 181
服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
查看服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
服务器任务状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
创建服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
从服务器任务日志中删除过时的服务器任务:最佳实践 . . . . . . . . . . . . . . . . . . 182
自动删除过时日志项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
计划服务器任务时接受的 Cron 语法 . . . . . . . . . . . . . . . . . . . . . . . . . 183
客户端任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
客户端任务目录的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
部署任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
使用产品部署任务将产品部署到托管系统 . . . . . . . . . . . . . . . . . . . . . . . 186
更新任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
管理客户端任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
15 设置自动响应 193
使用自动响应 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
事件阈值 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
默认自动响应规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
响应计划 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
确定转发事件的方式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
确定立即转发的事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
确定转发到服务器的事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
配置自动响应 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
分配通知权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
分配自动响应权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
管理 SNMP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
选择通知时间间隔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
创建和编辑自动响应规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
定义规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
为规则设置过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
针对规则设置累积和分组标准。 . . . . . . . . . . . . . . . . . . . . . . . . . . 201
为自动响应规则配置操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
16 代理与服务器之间的通信 205
代理与服务器之间的通信的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
最佳实践:估计和调整 ASCI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
估计最佳 ASCI:最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
配置 ASCI 设置:最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
管理代理与服务器之间的通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
允许缓存代理部署凭据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
更改代理通信端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
“立即更新”页 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
18 存储库 223
存储库的功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
存储库类型及其功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
存储库分支和用途 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
使用存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
分布式存储库类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
存储库列表文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
最佳实践:放置存储库的位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
您需要多少个存储库? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
最佳实践:全局更新限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
首次设置存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
管理来源站点和备用站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
创建来源站点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
切换来源站点和备用站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 238
编辑来源站点和备用站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 238
删除来源站点或禁用备用站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . 238
验证是否有权访问来源站点最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
配置代理服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
为 McAfee Agent 配置代理服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . 239
配置全局更新的设置最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
配置代理策略以使用分布式存储库最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 240
将 SuperAgent 用作分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
创建 SuperAgent 分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . 241
将包复制到 SuperAgent 存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . 242
删除 SuperAgent 分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . 242
在 FTP 或 HTTP 服务器以及 UNC 共享上创建和配置存储库 . . . . . . . . . . . . . . . . . . . 243
创建文件夹位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
将分布式存储库添加到 McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . 243
避免复制选定的包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
禁止复制选定包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
启用 UNC 和 HTTP 存储库的文件夹共享功能 . . . . . . . . . . . . . . . . . . . . . 245
编辑分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
删除分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
将 UNC 共享用作分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
使用非托管的本地分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
处理存储库列表文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
导出存储库列表 Sitelist.xml 文件 . . . . . . . . . . . . . . . . . . . . . . . . . . 248
导出存储库列表用于备份或由其他服务器使用 . . . . . . . . . . . . . . . . . . . . . 248
从存储库列表中导入分布式存储库 . . . . . . . . . . . . . . . . . . . . . . . . . 249
从 SiteMgr.xml 文件导入来源站点 . . . . . . . . . . . . . . . . . . . . . . . . . 249
提取任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
复制任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
存储库选择 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
19 代理处理程序 253
代理处理程序的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
代理处理程序详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
最佳实践:代理处理程序消除多个 McAfee ePO 服务器 . . . . . . . . . . . . . . . . . . 256
代理处理程序功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
提供可扩展性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
通过代理处理程序提供故障转移保护的最佳实践 . . . . . . . . . . . . . . . . . . . . 257
最佳实践:网络拓扑和部署注意事项 . . . . . . . . . . . . . . . . . . . . . . . . 259
最佳实践:代理处理程序安装和配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
部署注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
代理处理程序配置概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
配置代理处理程序列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
配置代理处理程序组和虚拟组 . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
配置代理处理程序优先级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
针对代理处理程序配置分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
最佳实践:在 DMZ 中添加代理处理程序 . . . . . . . . . . . . . . . . . . . . . . . . . . 266
配置硬件、操作系统和端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
安装软件和配置代理处理程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
将 DMZ 中的代理处理程序连接到某个域的 McAfee ePO 服务器 . . . . . . . . . . . . . . . . . . 269
处理程序组和优先级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
将 McAfee 代理分配给代理处理程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
管理代理处理程序分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
创建代理处理程序组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
管理代理处理程序组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
在处理程序之间移动代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
使用代理处理程序分配对代理进行分组 . . . . . . . . . . . . . . . . . . . . . . . . 273
按分配优先级对代理进行分组 . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
使用系统树对代理进行分组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
常见问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
21 通过查询报告 299
报告功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
最佳实践:如何使用自定义查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
创建自定义事件查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
事件摘要查询工作原理最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 303
创建自定义表查询:最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
多服务器汇总查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
创建汇总数据服务器任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
创建查询以定义合规性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
生成合规性事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
将查询结果导出为其他格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
最佳实践:通过 Web API 运行报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
使用 Web URL API 或 McAfee ePO 用户界面 . . . . . . . . . . . . . . . . . . . . . 310
McAfee ePO 命令框架:最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . 311
使用 Web URL 帮助:最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 312
使用 Web URL 查询中的 S 表达式:最佳实践 . . . . . . . . . . . . . . . . . . . . . 313
解析查询导出数据,以创建 Web URL 查询最佳实践 . . . . . . . . . . . . . . . . . . . 316
通过 ID 编号运行查询:最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 318
通过 XML 数据运行查询最佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . 318
使用表对象、命令和参数运行查询:最佳实践 . . . . . . . . . . . . . . . . . . . . . 320
A 其他信息 323
打开远程控制台连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
计划您的灾难恢复 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
灾难恢复 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
用于灾难恢复的服务器群集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
一个物理站点上的冷备用和热备用 . . . . . . . . . . . . . . . . . . . . . . . . . 324
两个物理站点上的冷备用和热备用 . . . . . . . . . . . . . . . . . . . . . . . . . 325
已注册的服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
注册 McAfee ePO 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
使用数据库服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
注册 SNMP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
注册 Syslog 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
索引 373
目录
关于本手册
查找产品文档
关于本手册
下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。
读者
McAfee 的所有文档均针对目标读者进行了深入研究和精雕细琢。
本手册中的信息主要供以下读者使用:
• 管理员 — 实施公司安全计划的人员。
• 用户 — 使用运行该软件的计算机并且可以访问部分或全部功能的人员。
约定
本手册使用下列印刷约定和图标。
斜体 书、章节或主题的标题;新术语;强调
粗体 强调的文本
固定宽度字体 用户键入的命令和其他文本;代码示例;显示的消息
“Narrow Bold” 产品界面(如选项、菜单、按钮和对话框)中的内容
蓝色超文本 指向某个主题或外部网站的链接
注意:补充信息,用以强调某个要点,提醒读者某件事情或提供备选方法
提示:最佳做法信息
小心:有关保护您的计算机系统、软件安装、网络、企业或数据的重要建议
警告:有关使用硬件产品时避免人身伤害的重要建议
查找产品文档
在“ServicePortal”中,您可以查找有关已发布的产品的信息,包括产品文档、技术文章等。
任务
1 转至 “ServicePortal” (http://support.mcafee.com),然后单击“知识中心”选项卡。
2 在“知识库”窗格的“内容来源”下,单击“产品文档”。
3 选择产品和版本,然后单击“搜索”以显示文档列表。
® ® ® ™
McAfee ePolicy Orchestrator (McAfee ePO ) 是一款可扩展的平台,可对安全策略进行集中式策略管理与强制实施。
管理平台的类型
McAfee ePO 安装在网络环境中的服务器上。 它面向已具有完备基础架构的企业,包括必要的专用服务器。 它假定,
您的组织可以配置和维护这些服务器并为其安装补丁。 McAfee ePO 功能(如“自动响应”、“Active Directory” 同步和
“软件管理器”)支持内部安全管理。
目录
什么是 McAfee ePO?
关键功能
McAfee ePO 工作原理
• 更新检测 DAT(特征码)文件、防病毒引擎,以及安全软件所需的其他安全内容,以随时保护托管系统的安全。
• 通过查询系统生成器创建报告,以显示可配置的网络安全数据图表和表。
• 增强保护。
• 简化对风险和安全的管理。
关键功能
在 McAfee ePO 的单一视图中,可以访问许多功能,如托管客户端、网络、数据和合规性解决方案,以保护您的网
络。
无论您的网络中有 100 个客户端,还是 300,000 个客户端,McAfee ePO 都可以通过这些功能管理网络的安全。
功能 说明
快速部署时间 搭配使用预配置的安全和风险管理解决方案时,您可以减少安全差距并降低复杂性。 单个代
理部署和可自定义的策略强制实施还可以快速为您的环境提供安全保护。
拖放信息显示板 这些信息显示板可以提供跨托管系统、数据中心、移动设备和网络的安全计划和安全情报的
统一视图。
降低复杂性并简化流程 利用引导式配置、自动工作流和预定义的信息显示板,您可以快速开始保护您的网络客户
端。
使您的安全基础架构不 保护您的组织,避免受到当前和未来威胁的攻击。 实时威胁情报主动保护您的基础架构。 随
会过时 着新类别威胁的出现,开放平台有助于快速吸收安全创意。
高级网络配置功能 您的 IT 管理员可以跨端点、网络、数据和合规性解决方案统一 Intel Security 和第三方解决
方案的安全管理。
全面的端点检测和响应 McAfee Active Response 使用预定义和可自定义的收集器跨所有系统进行深入搜索。 它会
(EDR) 查找正在运行的进程中的、潜伏的或已被删除的攻击指示器 (IoA)。
针对企业部署扩展 利用额外服务器,如“代理处理程序”和分布式存储库,以通过有限的带宽快速连接到远程站
点,同时为这些系统提供最新的保护软件。
增强的灾难恢复 自动保护您的网络安全、历史记录和 McAfee ePO 配置,并在出现严重硬件灾难时快速进行
重新构建。
多用户 您可以创建多个 McAfee ePO 用户,以简化安全管理并创建报告。 您可以添加特定系统组的
用户以及具备完全控制的额外管理员,作为备份。
问题管理 自动化的问题响应可以向预定义的用户发送警报和事件。
自动响应 您根据您环境中安全事件的类型和重要性,定义 McAfee ePO 软件如何定向警报和安全响
应。 您还可以在安全和 IT 操作系统之间创建自动化的工作流,以快速修复突出的问题。
报告定向的本机 64 位 McAfee ePO 利用最新的本机 64 位操作系统功能提高处理速度。
支持
策略比较、常见任务定 针对多个 McAfee ePO 用户,您可能提供类似的策略和任务。 现在,您可以将其放在一起比
向 较,以进行管理。
单个页面部署 产品部署是一个页面,您可以从中部署、跟踪、甚至删除托管系统上的软件。
端点产品的 URL 安装 McAfee 智能安装程序 URL 使您可以通过浏览器和 Internet 连接的 McAfee Agent 服务器安
装 McAfee ePO。
HTML5 UI 支持 McAfee ePO 现在支持最新的浏览器,包括 Internet Explorer 11、Edge、Chrome、Firefox
和 Safari。
McAfee 软件如何对攻击做出响应。
该图显示了用于阻止攻击、在攻击发生时通知您和记录事件的组件和流程。
McAfee ePO 组件
McAfee ePO 软件的体系结构及其组件旨在帮助您成功管理并保护您的各种规模的环境。
• 在您的端点上强制实施策略 • 报告您的端点安全情况
• 从托管端点收集事件、产品属性和系统属性并将其
发送回 McAfee ePO
分布式存储库 — 在本地托管整个网络的安全内容,因此代理可以更快地收到更新
LDAP 或票证发放系统 — 将您的 McAfee ePO 服务器连接到您的 LDAP 服务器或 SNMP 票证发放服务器
自动响应 — 在发生事件时通知管理员并自动化任务
Web 控制台连接 — 通过默认端口 8443 为 McAfee ePO 服务器和 Web 浏览器之间提供 HTTPS 连接。
目录
登录和注销
界面导航
处理列表和表格
登录和注销
若要访问 McAfee ePO 软件,请在登录屏幕上输入您的用户名和密码。
开始之前
您必须具备分配的用户名和密码,然后才可以登录 McAfee ePO。
任务
1 键入您的用户名和密码,然后单击“登录”。
注销后,会话会关闭,且其他用户无法打开。
界面导航
McAfee ePO 界面使用基于菜单的导航模式,并提供可自定义的快捷方式栏,以帮助您快速到达要访问的位置。
菜单部分表示顶级功能,如“报告”、“系统”和“策略”。 将托管产品添加到 McAfee ePO 时,诸如“信息显示板”、“系统树”
和“策略目录”等主菜单选项会包含可选择的新选项。
个人设置类别
调整个人设置,以定制您的 McAfee ePO 体验。 您的自定义设置仅会影响您的用户会话。
类别 描述
“密码” 更改您的 McAfee ePO 登录密码。
“查询和报告警告” 确定您尝试在查询组之间拖放查询时是否显示警告信息。
“系统树警告” 确定您尝试在“系统树”组之间拖放系统或组时是否显示警告信息。
“表” 指定会话期间自动刷新的表的刷新频率。
“用户会话” 控制在您停止与用户界面交互后用户会话保持打开状态的时长。
选项定义
选项 定义
“设置类别” 列出您可以查看和更改的可用设置。 选择某个类别可显示其当前设置。
搜索框 突出显示与搜索文本匹配的类别。 输入您要查找的类别的前几个字符。
“编辑” 允许您更改当前设置。
服务器设置
调整服务器设置,以微调 McAfee ePO,从而满足您组织的需求。 您的自定义会影响您的所有 McAfee ePO 用户。
以下是有关默认类别的说明。
有关托管产品所提供类别的说明,请参见托管产品文档。
表 2-1 默认服务器设置
服务器设置类别 描述
“Active Directory 组” 指定用于每个域的 LDAP 服务器。
“Active Directory 用户登录” 指定您映射的 Active Directory (AD) 组的成员能否在 Active Directory 用户登录功能完
成完全配置时使用其 AD 凭据登录到您的服务器。
“代理联系方法” 指定 McAfee ePO 尝试联系 McAfee Agent 时使用的方法优先级。
若要更改优先级,请选择“设置类别”下的“代理联系方法”,然后单击“编辑”,选择优先
级。各个联系方法必须拥有不同的优先级。联系 McAfee Agent 的方法包括:
• “完全限定域名”
• “NetBIOS 名称”
• “IP 地址”
“代理部署凭据” 指定是否允许用户缓存代理部署凭据。
“基于证书的身份验证” 指定是否启用基于证书的身份验证以及正在使用的证书颁发机构 (CA) 证书的设置和
配置。
“信息显示板” 指定在创建帐户时分配给新用户帐户的默认活动信息显示板,以及信息显示板监视器
的默认刷新率(5 分钟)。
“灾难恢复” 针对灾难恢复启用并设置密钥存储库加密密码短语。
“电子邮件服务器” 指定 McAfee ePO 用以发送电子邮件消息的电子邮件服务器。
“事件过滤” 指定代理转发哪些事件。
“事件通知” 指定 McAfee ePO 检查是否有任何通知触发自动响应的频率。
“全局更新” 指定是否以及如何启用全局更新。
“许可证密钥” 指定用于注册此 McAfee ePO 软件的许可证密钥。
“登录消息” 指定用户登录 McAfee ePO 控制台时是否显示自定义消息以及消息内容。
“策略和任务保留” 指定删除产品扩展时是否删除策略和客户端任务数据。
“端口” 指定服务器在与代理及数据库通信时使用的端口。
“打印和导出 ” 指定如何将信息导出为其他格式以及用于 PDF 导出的模板。此设置中还要指定所导出
文件的默认存储位置。
“产品兼容性列表” 指定是否自动下载产品兼容性列表以及是否显示任何不兼容的产品扩展。
“Product Improvement 指定 McAfee ePO 是否可以主动定期从托管客户端系统中收集数据。
Program ”
“代理服务器设置” 指定要为您的 McAfee ePO 服务器配置的代理服务器设置的类型。
“计划程序任务” 指定同时运行的服务器任务数量。
“安全密钥” 指定和管理代理与服务器的安全通信密钥以及存储库密钥。
“服务器证书” 指定您的 McAfee ePO 服务器在与浏览器进行 HTTPS 通信时使用的服务器证书。
“服务器信息” 指定 Java、OpenSSL 和 Apache 服务器信息,如名称、IP 地址和版本信息。
“软件评估” 指定从软件管理器签入和部署评估软件所需的信息。
“来源站点” 指定服务器进行更新所使用的来源站点,以及备用站点。
“系统详细信息” 指定托管系统的系统详细信息页面中要显示哪些查询和系统属性。
“系统树分类” 指定在环境中是否以及如何启用系统树排序。
“用户策略” 启用或禁用数据库镜像,以提高策略分配规则的性能。
“用户会话” 指定用户处于不活动状态多长时间后,系统会将其注销。
配置服务器设置
要熟悉如何配置服务器设置,请将用户会话超时时间间隔从默认的 30 分钟改为 60 分钟。
在默认情况下,您登录 McAfee ePO 后,如果在 30 分钟内没有在界面上执行操作,用户会话将关闭,您必须重新登
录。 将默认设置更改为 60 分钟。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 配置以下设置,然后单击“保存”。
• “默认会话超时间隔(分钟)” — 键入 60,取代默认值。
现在如果您处于不活动状态超过 30 分钟,系统不会提示您登录。
处理列表和表格
使用 McAfee ePO 搜索和过滤功能对数据列表进行分类。
McAfee ePO 中的数据列表包含数以百计或数以千计的条目。 如果不使用快速查找搜索过滤器,而通过手动方式在这
些列表中搜索特定条目可能会很困难。
该快照显示针对查询的快速查找搜索过滤器。
对列表进行过滤
利用过滤器在 McAfee ePO 界面中选择数据列表中的特定行。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 从列表顶部的栏中,选择要用以过滤列表的过滤器。
仅显示符合过滤器条件的项目。
2 选择您要关注的列表项目旁边的复选框,然后选择“显示选择的行”。
此时将仅显示选定的行。
创建自定义过滤器
自定义过滤器有助于您快速对较多的表条目(如日志项目或服务器任务)进行排序,从而使您专注于相关信息。您创建
的自定义过滤器会添加到表顶端的自定义过滤器下拉列表中,以便以后重复使用。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 从表的顶端,选择“自定义” | “添加”。
2 在“可用属性”列表中,单击您要包含到过滤器中的属性。
所选属性会移至“属性”窗格。
3 针对每个属性,请选择比较方式和值。
可用选项取决于您选择的属性。利用 + 或 – 符号可添加或删除比较方式和值对。
4 针对选择的所有属性填充有效且完整的值后,单击“更新过滤器”。
新的自定义过滤器会显示在自定义下拉列表中。
搜索特定的列表项目
使用快速查找过滤器在大型列表中查找项目。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 在“快速查找”字段中输入搜索词汇。
2 单击“应用”。
仅会显示包含您在“快速查找”字段中输入的搜索词的项目。
单击“清除”可删除过滤器并显示所有列表项目。
示例:查找检测查询
下面是一个特定查询列表的有效搜索示例。
1 选择“菜单” | “报告” | “查询和报告”,然后单击“查询”。
列表中将显示 McAfee ePO 中可用的所有查询。
2 将列表限制为特定的查询,例如“检测”。 在“快速查找”字段中,键入检测,然后单击“应用”。
一些列表包含的项目已针对您的位置进行了翻译。 请记住,当与其他地区的用户通信时,查询名称可能会有
所不同。
单击表中行的复选框
McAfee ePO 界面提供了用于选择表中行的特殊操作和快捷键,允许您通过单击或按住 Shift 的同时单击来选中表中行
的复选框。
McAfee ePO 界面中的某些输出页会在表中的每个列表项目旁显示复选框。 您可使用这些复选框来选择单个行、按组
选择行,或选择表中的所有行。
此选择表中行的操作在审核日志表中不起作用。
下表列出了用于选择表中行复选框的操作。
选择... 操作 响应
个别行 单击个别行的复选框。 分别选择每个单独的行。
行组 单击某一复选框,然后按住 Shift 的同 选择您单击的第一行和最后一行(两行都包括)之间的所有行。
时单击组中的最后一个复选框。
按住 Shift 的同时单击以同时选中表中超过 1500 行,这可能会
导致 CPU 利用率骤增。 此操作可能触发一条描述脚本错误的错
误消息。
选择树列表中的项目
您可以按 Ctrl 并单击以选择树列表中的连续或不连续项目。
分层树列表(例如系统树(子组)和标记组树列表)使您可以选择列表项目:
• 单独 — 单击某个项目。
• 您将管理多少个系统? • 您是否对远程网络区段存在任何带宽限制?
• 您是否有任何特定安全需求(如防火墙),或您是
否在外部网络使用网络地址转换 (NAT)?
目录
可扩展性的注意事项
托管环境中的 Internet 协议
可扩展性的注意事项
您管理可扩展性的方式取决于您是使用多台 McAfee ePO 服务器、多个远程代理处理程序,还是同时使用两者。
通过 McAfee ePO 软件,您可以纵向或横向扩展网络。
托管系统和服务器
您的 McAfee ePO 服务器管理的系统数表示您网络中安装的服务器数量。
该表列出托管系统的数量以及推荐管理这些系统所需的服务器硬件。
托管的系统数
< 1,500 1,500–10,000 10,000–25,000 25,000– > 75,000
75,000
虚拟 McAfee
ePO 服务器
和数据库
Windows Server
和同一服务器中
的 SQL 数据库
托管的系统数
< 1,500 1,500–10,000 10,000–25,000 25,000– > 75,000
75,000
Windows Server “分布式存储
和单独的 SQL 数 库”
据库
Windows Server “分布式存储 “代理处理程序”类型:
和单独的 SQL 数 库”
• 安装“代理处理程序”,以改进与 McAfee
据库
ePO 数据库位于同一网络段的 McAfee ePO
的性能。
• 在您的网络中安装远程“代理处理程序”,以
允许代理通过其分配的“代理处理程序”与服
务器进行通信。
远程“代理处理程序”要求与 McAfee ePO 数
据库建立高带宽连接。
另请参阅
示例组织大小和网络组件第 30 页
示例组织大小和网络组件
您管理的系统数量决定您通过 McAfee ePO 管理您的网络使用的服务器组件。
以下环境示例提供一些有关组织大小和服务器组件要求的指南。 以下示例提供对硬件网络组件的最低要求。 要提高性
能并允许发展,我们建议您尽所有可能超过这些要求。 请参阅“ McAfee ePolicy Orchestrator 安装手册”,了解详细的
硬件要求。
示例 1 — 不足 10,000 个托管系统
在托管系统不足 10,000 个的组织,您可以将 McAfee ePO 服务器和 SQL 数据库安装在同一个物理服务器或虚拟机
®
(VM),从而降低硬件成本。 您还可以在该环境中部署多个 McAfee 产品,如 McAfee Endpoint Security。
®
最佳实践:如果您计划添加 McAfee Host Intrusion Prevention 产品,请将 McAfee ePO 服务器和 SQL 数据库分离到两
个物理服务器中。
您可以针对小规模托管系统使用 Microsoft SQL Express 数据库。 但 Microsoft 不允许 SQL Express 数据库超过
10 GB,而且 SQL Express 数据库引擎限制为 1 GB。
示例 2 — 10,000–25,000 个托管系统
您只需使用一个仅安装 VirusScan Enterprise 产品的 McAfee ePO 服务器即可管理拥有 10,000–25,000 个托管系统的
组织。
如果您有额外购买硬件资源的预算,请超过上述组件推荐,以提高性能。
示例 3 — 25,000-75,000 个托管系统
您可以通过一个仅安装 VirusScan Enterprise 产品并合理放置存储库(以更新内容和软件)的 McAfee ePO 服务器、
单独的 SQL Server 管理拥有 25,000–75,000 个托管系统的组织。
单独的分布式存储库,用以存储和分发托管系统的重要安全内容
示例 4 — 75,000–150,000+ 个托管系统
您可以通过一个 McAfee ePO 服务器、单独的 SQL Server、单独的代理处理程序和合理放置的存储库(用以向代理更
新内容和软件)管理拥有 75,000–150,000+ 个托管系统的组织。
单独的 McAfee ePO 代理处理程序,用以协调其自身和与 McAfee ePO 服务器的 McAfee Agent 请求。 “代理处
理程序”需要持续返回 SQL 数据库的通信。 它们大约每十秒钟检查一次 McAfee ePO 服务器数据库工作队列,
以发现要执行的任务。 “代理处理程序”需要相对高速、低延迟的数据库连接。 “代理处理程序”可将 McAfee ePO
服务器的工作负载降低约 50%。 我们建议每 50,000 个托管系统使用一个代理处理程序。
另请参阅
代理处理程序的工作原理第 253 页
• 工作队列检查(每 10 秒钟)
托管环境中的 Internet 协议
McAfee ePO 软件与 Internet 协议版本 IPv4 和 IPv6 都兼容。
McAfee ePO 服务器有三种不同的工作模式:
• 仅 IPv4 — 仅支持 IPv4 地址格式
在为 FTP 或 HTTP 来源设置 IPv6 地址时,无需对地址进行任何更改。 但是,在为 UNC 来源设置文字 IPv6 地址时,
必须使用 Microsoft 文字 IPv6 格式。 更多相关信息,请参阅 Microsoft 文档。
目录
服务器配置概述
使用自动产品安装状态
使用引导式配置
使用代理服务器
输入许可证密钥
将 SSL 证书添加到受信任的集合
添加要管理的系统
安装 McAfee Agent 和许可软件
系统树的功能
默认配置和常见任务
确认系统保护和查看威胁
后续操作
服务器配置概述
设置您的 McAfee ePO 服务器,以满足您的环境的独特需求。
该流程图介绍设置 McAfee ePO 服务器和开始保护系统的基础任务。
要下载许可的产品软件,请使用以下一种方法:
• 自动产品安装 — 该选项仅在您在 McAfee ePO 安装期间选择“启用自动产品安装”选项时显示
• 引导式配置
• 软件管理器 — 针对复杂网络
使用产品部署在您托管的系统中安装产品软件。
创建产品部署客户端任务并将其分配到系统树中的系统组中。
要检查系统托管状态,请确认系统树中的托管系统。
要了解默认策略、客户端任务以及其他功能,请使用默认配置和常见任务。
要确认初始配置,请运行测试病毒以确认系统保护。
要配置高级功能,请使用以下方法:
• 监控和报告网络安全状态
• 详细的 McAfee ePO 配置
该表列出自动或手动安装许可的产品软件执行的配置步骤。
表 4-1 配置方法概述
自动产品下载 手动产品下载
1 McAfee ePO 完成安装,然后您启动软件。 1 McAfee ePO 完成安装,然后您启动软件。
2 在登录屏幕中,登录到 McAfee ePO 控制台。 此时会 2 在登录屏幕中,登录到 McAfee ePO 控制台。
显示产品安装状态页,并开始在 McAfee ePO 服务器
3 运行“ePolicy Orchestrator 引导式配置”,以执行以下流
上安装许可的安全软件最新版本。
程:
该页面显示产品及其状态。
• 将 McAfee 安全软件 • 计划客户端更新任
3 如果所有产品状态都是完成,则继续执行步骤 5。 如 添加至主存储库。 务。
果任意产品状态显示为失败,则单击该产品名称旁边
• 将系统添加至系统 • 将安全产品部署到托
的复选框并“重试”。
树。 管系统。
4 如果失败的产品安装仍失败,则请:
• 至少创建一个安全策
• 尝试使用手动产品下载方法。 略并将其分配至您托
管的系统。
• 联系 McAfee 支持。
• 继续进行 McAfee ePO 配置并稍后尝试安装产品。 4 根据环境需要,完成以下步骤:
5 根据环境需要,完成以下步骤: • 配置常规服务器设 • 配置策略。
置。
• 将系统添加至系统 • 配置策略。
树。 • 创建用户帐户。 • 配置高级服务器设置
和功能。
• 配置常规服务器设 • 配置高级服务器设
置。 置和功能。 • 配置权限集。 • 设置其他组件。
• 创建用户帐户。 • 设置其他组件。
• 配置权限集。
配置方法概述
配置检查列表
使用该检查列表,确保您已完成配置步骤,以配置 McAfee ePO 服务器
登录用户界面。
使用信息显示板中的“自定义软件安装”功能。
使用“菜单” | “软件”中的“软件管理器”。
通过以下其中一种方法添加要管理的系统:
创建“智能安装程序 URL”并将其分发到系统中。
使用“系统树”并手动从其域中添加系统。
请确认默认“产品部署”任务根据最新软件更新系统。
请确认默认客户端任务从托管系统发送和收集正确信息。
请确认默认信息显示板显示可以帮助您监控托管环境的最佳信息。
如果您使用大型或复杂网络,则可能需要配置以下其他功能:
添加其他 McAfee ePO 用户。
将您的“系统树”重新组织到组中并使用标记组织系统。
将自动响应配置为在符合规则时执行。
创建自定义服务器和客户端任务。
添加自定义策略,以确保托管系统上的产品功能得到正确配置。
添加“代理处理程序”或分布式存储库,以更新远程系统上的软件。
从远程托管系统中监控带宽。
创建其他自动查询和报告,以监控您的托管系统。
另请参阅
软件管理器中包含的项第 137 页
系统树的功能第 51 页
使用自动产品安装状态第 39 页
使用自动产品安装状态
初始登录到 McAfee ePO 后会自动显示产品安装状态页。 产品安装状态软件允许您在 McAfee ePO 服务器上自动安装
您的安全软件。 或者您也可以停止自动安装并手动签入安全软件。
开始之前
您只有在 McAfee ePO 安装期间选择“启用自动产品安装”选项,才会开启产品安装状态页。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 键入您的凭据并选择语言。
产品安装状态软件会自动开始下载和安装您的组织可用的许可软件。 您可以使用以下选项监控进程:
• “产品” — 显示所有许可的软件和最新可用版本。
• “状态” — 显示一个以下值:
• “正在更新” — 正在下载和安装软件。
• “已完成” — 软件成功安装。
• “已失败” — 下载或安装过程中出现错误。
• “已停止” — 您已单击页面顶端的“停止”。
3 使用自动或手动方法完成软件安装过程。
自动安装 手动安装
在产品安装状态页中,等待各个产品的“状态”列 1 在产品安装状态页中,单击“停止”,然后在提示您必须使用
表更改为“完成”。 软件管理器完成软件安装过程的对话框中,单击“确定”。
如果任意产品安装失败,则请选择该产品名 产品状态值会更改为已停止。
称旁边的复选框,重试安装过程。 如果安装
2 要完成软件安装过程,请单击“菜单” | “软件” | “软件管理
过程仍失败,则请尝试使用软件管理器完成
安装过程。 器”。
• 配置高级服务器设置和功能 — 高级功能有助于您自动管理网络安全。
• 安装其他组件 — 许多高级功能需要分布式存储库、已注册的服务器和代理处理程序等组件。
另请参阅
服务器设置第 22 页
软件管理器中包含的项第 137 页
用户第 125 页
权限集第 134 页
使用引导式配置
使用引导式配置工具配置必要的功能。 或者可以使用这些任务引导何时手动配置 McAfee ePO 服务器。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 使用自动产品安装状态或软件管理器安装产品软件。
5 检查“引导式配置”概述和说明,然后单击“开始”。
6 在“选择软件”页上:
a 在“未签入的软件”产品类别下,单击“已授予许可”或“评估”以显示可用的产品。
b 在“软件”表中,选择您要签入的产品。 显示的表中会显示产品说明和所有可用的组件。
d 完成软件签入后,单击屏幕顶部的“下一步”。
7 在“系统选择”页上:
a 在“系统树”中选择要向其中添加系统的组。 如果尚未定义任何自定义组,请选择“我的组织”,然后单击“下一步”
以打开“添加系统”对话框。
b 选择要用于将系统添加到“系统树”的方法。
8 在“策略配置”页上:
9 在“更新软件”页面上:
不更改“任务类型”选择。它必须设置为“产品更新”。
2 配置“锁定任务继承”和“标记”选项,然后单击“下一步”。
3 指定该更新任务的计划,然后单击“下一步”。
4 检查摘要,然后单击“保存”。
10 在“软件部署”页面上:
a 在系统树中选择要部署软件的系统所在的位置,单击“下一步”,然后单击“确定”。
如果您希望以后执行此操作,则可以单击“跳过代理部署”。 但是,您必须部署代理才能部署其他安全软件。
c 选择要部署到托管系统的软件包,然后单击“部署”。
11 在“配置摘要”页,单击“完成”以关闭“引导式配置”。
另请参阅
软件管理器中包含的项第 137 页
使用自动产品安装状态第 39 页
使用代理服务器
如果在网络环境中使用代理服务器,则必须在服务器设置页中指定代理服务器设置。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“手动配置代理服务器设置”,提供代理服务器用于每组选项的特定配置信息,然后单击“保存”。
输入许可证密钥
许可证密钥可赋予您完全安装软件的权利,并可使用贵公司已有的 ePolicy Orchestrator 软件来填充 McAfee 软件管理
器。
如果没有许可证密钥,您的软件将以评估模式运行。 一旦评估到期,该软件将停止工作。 您可以在评估期间或之后随
时添加许可证密钥。
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
任务
1 选择 “菜单” | “配置” | “服务器设置”,从“设置类别”选择“许可证密钥”,然后单击“编辑”。
2 键入您的“许可证密钥”并单击“保存”。
将 SSL 证书添加到受信任的集合
如果受支持的浏览器无法验证受信任的源是否签署了服务器 SSL 证书,则会显示有关该证书的警告。
默认情况下,McAfee ePO 服务器使用自签证书与浏览器进行 SSL 通信,但浏览器并不信任此证书。 每次您访问
McAfee ePO 控制台时都会显示警告消息。
为了使该警告消息不再出现,请执行下列操作之一:
• 如果服务器主机名发生更改,请将该服务器证书替换为新的受信任 CA 证书。
• 专用密钥 - PEM
如果服务器证书或私钥没有采用上述格式,则必须先将它们转换为受支持的格式之一,然后再使用它们来替换默认证
书。
替换服务器证书
更新与浏览器进行 HTTPS 通信使用的默认服务器证书。
开始之前
您必须拥有新证书和私钥文件的访问权限。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开“编辑服务器证书”页面。
a 选择“菜单” | “配置” | “服务器设置”。
b 从“设置类别”列表选择“服务器证书”,然后单击“编辑”。
2 浏览至服务器证书文件,然后单击“打开”。
4 请浏览至私钥文件,然后单击“打开”。
5 如果需要,请键入私钥密码,然后单击“保存”。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“继续浏览此网站(不推荐)”打开登录页面。地址栏为红色,指示浏览器无法验证安全证书。
3 在地址栏的右侧,单击“证书错误”以显示证书无效警告。
4 在警告的底部,单击“查看证书”以打开证书对话框。
请勿单击“常规”选项卡上的“安装证书”。否则安装过程将失败。
5 选择“证书路径”选项卡,然后选择“Orion_CA_<servername>”,并单击“查看证书”。“常规”选项卡中显示另一个对话
框,其中显示证书信息。
6 单击“安装证书”,以打开证书导入向导。
a 单击“下一步”,以指定存储证书的位置。
b 请选择“将所有证书放置在以下存储”,然后单击“浏览”选择位置。
c 请从列表中选择“受信任的根证书颁发机构”文件夹,单击“确定”,然后单击“下一步”。
d 单击“完成”。 在出现的安全警告中,单击“是”。
7 关闭浏览器。
针对 Firefox 安装安全证书
您可以在使用 Firefox 3.5 或更高版本时安装安全证书,这样您每次登录时就不会显示警告对话框。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击页面底部的“我了解风险”。
3 单击“添加例外”。
4 单击“获取证书”。系统会填充认证状态信息,此时确认安全例外按钮处于启用状态。
5 确保“永久存储此例外”处于选中状态,然后单击“确认安全例外”。
添加要管理的系统
您可以通过多种方法将系统添加到 McAfee ePO。 根据网络的规模和复杂性,您可以选择任意方法或方法组合。
对于大型网络,您可以选择使用其中一种方法添加初始系统组,确认配置,然后使用其他方法添加额外系统。
另请参阅
通过第三方工具部署 McAfee Agent 第 49 页
最佳实践:使用 Active Directory 同步 McAfee Agent 部署第 50 页
最佳实践:将 McAfee Agent 添加到您的镜像第 51 页
创建和安装 McAfee Agent URL 或包第 48 页
将系统手动添加至系统树第 49 页
另请参阅
添加要管理的系统第 45 页
• 部署内容,如防病毒特征码、审核检查和引擎
• 部署产品升级、新产品、补丁和修补程序
• 发布新版本时进行静默升级
• 修补流程在所有产品中都是一致的。
您的自定义 McAfee Agent 可执行文件具备特定 McAfee ePO 服务器的通信密钥和 Sitelist.xml 文件。 如果没有这些密
钥,代理无法与特定 McAfee ePO 服务器通信。 Sitelist.xml 文件会通知所有代理如何通过 IP 地址和 DNS 名称查找
McAfee ePO 服务器。 如果您重命名您的 McAfee ePO 服务器或为其提供新的 IP 地址,则文件会过期。
如果您有多个 McAfee ePO 服务器,则会拥有多个独特的 McAfee Agent 文件,旨在与创建 McAfee Agent 的服务器通
信。
部署代理
McAfee Agent 是 5-MB 大小的可执行文件,您可以在每个客户端上执行该文件,或部署到更大范围的数百或数千个节
点。
您可以通过以下任意方法将 McAfee Agent 部署到您的客户端系统:
• 代理部署 URL 或 McAfee 智能安装程序 • 手动执行
开始之前
您必须要安装许可的软件,然后才可以创建 McAfee Agent URL 或包。
• McAfee Agent 包
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
• 登录 Windows 上的脚本
• 命令行选项
安装代理后,要经过多次代理与服务器之间的通信时间间隔,托管系统才会在系统树中显示为“托管”。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“操作”菜单中,单击“创建代理部署 Url”。
另请参阅
创建和安装 McAfee Agent URL 或包第 48 页
• Novell Zenworks
FramePkg.exe /install=agent /s
将系统手动添加至系统树
将系统手动添加至“系统树”,然后部署 McAfee Agent,这种方法很适合规模较小的有组织网络。
开始之前
McAfee ePO 服务器必须能够与目标系统通信。
您必须拥有所有目标系统的本地管理员权限。
• 为确认是否能够从 McAfee ePO 服务器访问 Windows 目标系统上的 Admin$ 共享文件夹,请单击 Windows 的“开
始” | “运行”,然后键入目标系统 Admin$ 共享的路径,同时指定系统名称或 IP 地址。 例如,键入:
\\<系统名称>\Admin$
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在新建系统页面中,单击“推送代理并将系统添加到当前组”和“浏览”。
3 在 NT 域凭据对话框中,键入该信息并单击“确定”。
• “域”— 键入您的目标系统的域名。
• “用户名”— 键入您的域用户名。
• “密码”— 键入您的域密码。
4 在浏览系统页面上,从“域”列表中选择域服务器。
所选域中的系统表会显示在该域服务器上所安装系统的列表中。
5 选择要添加到“系统树”的系统或系统组,然后单击“确定”。
您选择的系统会显示在目标系统字段中,由逗号隔开。
6 在“代理版本”中,选择“Windows”或“非 Windows”并从列表中选择版本。
7 在代理安装的凭据中,执行以下操作:
• 键入域名。
• 键入您的域用户名。
• 键入并确认域密码。
• 单击“记住我的凭据以供将来部署时使用”。
8 使用默认的最终设置,并单击“确定”。
您选择的系统会被添加到系统树并在托管状态列中显示为非托管。 经过多次代理与服务器之间的通信以安装产品软件
并更新任务和策略后,托管状态会变为托管。 完成该过程需要几个小时的时间。
• 您的安全策略最大可以覆盖您的环境中的所有系统。
您可以通过以下方法将所有客户端产品安装到您的托管系统中:
• 使 McAfee Agent 在 10 分钟内自动调用 McAfee ePO 服务器并接收 McAfee ePO 指示的任何策略和产品。
以下指针有助于您决定使用哪个选项:
优点或缺 说明
点
“缺点” 如果您让 McAfee Agent 提取多个端点产品,则它会占用太多带宽。 如果存在带宽限制,请使这些产品成
为您初始镜像的一部分。
“优点” 如果端点产品是您的镜像流程的一部分,则您可以在镜像系统对 McAfee ePO 服务器没有连接的网络中
执行构建流程。
“缺点” 在客户端上安装 McAfee Agent 后,还需要通过客户端任务下载、安装和更新产品,这需要几分钟的时
间。 尽管系统几乎可以立即进行代理与服务器之间的通信,但仍会出现该滞后情况。
“优点” 如果需要考虑时间问题,请使 McAfee 产品成为镜像的一部分。 这样可以避免易受威胁攻击的系统出现
15-20 分钟的产品安装等待时间。
系统树的功能
系统树是您的托管网络在 McAfee ePO 控制台中的逻辑表示。
您可以使用以下方法将系统添加至您的系统树中:
• 手动将系统添加到现有组
• 从文本文件导入系统
• Active Directory 同步
您可以使用以下方法来组织系统树:
• 在控制台中进行手动组织(拖放)。
• 手动或自动使用被应用于系统的标准,进行基于标准的排序。
您的系统树决定以下项目:
• 不同产品的策略的继承方式
• 客户端任务的继承方式
• 您的系统所属的组
• 您的管理员要具备哪些权限才可以进行访问,以更改系统树中的组
如果您是初次创建系统树,以下是可供您动态组织系统使用的主要选项:
• 使用 Active Directory (AD) 同步
• 对系统进行动态排序
最佳实践:虽然您可以将 AD 同步与系统树动态排序搭配使用,但请选择其中一种,以避免出现混乱和冲突。
另请参阅
规划系统树时的注意事项第 99 页
系统树结构
系统树是一种层次结构,可以将网络中的系统整理到组和子组中。
另请参阅
规划系统树时的注意事项第 99 页
我的组织组
我的组织组(即系统树的根)包括了(手动或自动)添加到您的网络中或在您的网络上检测到的所有系统。
在您创建自己的结构之前,默认情况下会将所有系统都添加到我的组中。 此组的名称可能在初始软件安装过程中已被
更改。
我的组织组具有以下特征:
• 不能删除。
• 不能重命名。
我的组子组
我的组是我的组织组的子组,是在执行开始使用初始软件安装过程中默认添加的。
此组的名称可能在初始软件安装过程中已被更改。
不明来源组
不明来源组是我的组织组的子组。
根据您创建和维护系统树时指定的方式,服务器会使用不同的特性来确定放置系统的位置。不明来源组存储无法确定位
置的系统。
不明来源组具有以下特征:
• 不能删除。 • 该组始终位于系统树列表的最后位置,而不按字母
顺序排序。
• 不能重命名。 • 用户必须获得不明来源组的权限才可以查看其内
容。
• 它的排序标准为捕获全部组,并且不能进行更改, • 系统排序到不明来源组后,它会放置在与系统域名
尽管您可以为在此组中创建的子组提供排序标准。 称相同的子组中。如果此类组不存在,则会创建这
样一个组。
系统树组
系统树组代表一个系统集合。 决定将哪些系统分为一组取决于您网络和企业的独特需求。
您可以根据满足您需求的任意标准对系统进行分组:
• 计算机类型(例如,笔记本电脑、服务器或台式机)
• 地理位置(例如,北美洲或欧洲)
• 部门界限(例如财务或市场营销)
组具有以下特征:
• 由管理员或具有相应权限的用户所创建。
• 既可以包括系统,也可以包括其他组(子组)。
• 由管理员或具有相应权限的用户使用。
通过将具有相似属性或要求的系统分组到这些单元中,您可以在一个位置管理系统的策略,而不必分别为每个系统设置
策略。
在规划的过程中,应该考虑在构建系统树之前将系统组织到组的最佳方式。
默认的系统树结构包括以下组:
• 我的组织 — 系统树的根。
• 不明来源 — 包括了所有尚未或无法添加到系统树中其他组的系统的子组。
继承
继承是一种可以简化策略和任务管理的属性。 由于继承功能,系统树层次结构中的子组将继承其父组中设置的策略。
例如:
• 在系统树的我的组织级别设置的策略会被下面的所有组继承。
• 组策略由该组中的子组或单个系统继承。
下表为系统树层次结构的示例。
系统树 层次结构
我的组织 顶层组
洛杉矶 “我的组织”的子组
台式机 “洛杉矶”的子组
笔记本电脑 “洛杉矶”的子组
服务器 “洛杉矶”的子组
Windows 服务器的子组
SQL 服务器的子组
Linux 服务器的子组
旧金山 “我的组织”的子组
台式机 “旧金山”的子组
笔记本电脑 “旧金山”的子组
服务器 “旧金山”的子组
不明来源 “我的组织”的子组
默认情况下,对添加到系统树中的所有组和单个系统均启用继承功能。通过默认继承,您只需在少数几个位置设置策略
和计划客户端任务即可。
若要自定义继承,可以在系统树的任何位置通过应用新策略来中断继承。您可以锁定策略分配来保留继承。
对您的系统进行动态排序
您可以通过系统标准和其他元素的结合将您的系统动态排序到您的 McAfee ePO 系统树中。
要进行动态排序,您需要为您的树结构创建一些基础组。 对于规模较小的组织,您的系统树可能并不复杂,只包含几
个组。 对于规模较大的组织,我们建议您创建您创建一些类似于以下样本设计的组:
• GEO — 地理位置 • SBU — 子业务部门
决定系统树中组的基础构造块后,您必须根据以下因素确定要使用的构造块及其顺序:
• 策略分配 — 您是否要根据机架或功能将大量自定义产品策略分配到组中? 是否存在某些业务部门要求使用其自身
的自定义产品策略?
• 客户端任务分配 — 创建客户端任务(如按需扫描)时,您是否需要在组级别(如业务部门)或针对系统类型(如
Web 服务器)执行操作?
• 内容分发 — 您是否规定代理策略,指定某些组必须要从特定存储库获取内容?
• 查询 — 您在过滤查询时是否需要许多选项,以从系统树的特定组返回结果?
为您的树结构选择基础设置后,请创建一些样本系统树模型并了解各个设计的优点和缺点。 系统树的构建没有对错之
分,只是会根据您的选择展现出一些优点和弊端。
以下是用户通常会使用的最常见的系统树设计:
• GEO -> CHS -> FUNC
以下是地理位置、机架和功能的示例。
请从系统树中确认系统管理
部署 McAfee Agent 和产品软件后,请确保您的系统列在系统树中并显示为托管。
开始之前
您必须已部署 McAfee Agent 且已将产品软件下载到您的系统中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
如果未显示任何系统,请单击“预设”列表中的“此组和所有子组”。
2 在各行系统的托管状态列中,请确认显示“托管”。
图 4-2 显示托管系统的系统树
3 要在系统信息页面中显示系统的详细信息,请双击系统行。
默认配置和常见任务
在 McAfee ePO 服务器上进行 McAfee 产品的初始安装时,这些产品会安装并配置许多默认功能,从而为您的托管系
统提供初始保护。
默认功能包括:
• 策略
• 查询和报告
• 服务器和客户端任务
• 信息显示板
使用产品部署
您启动 McAfee ePO 时,会自动创建默认产品部署。 它可以简化将安全产品部署到托管系统的流程。
默认产品部署示例
McAfee 已创建默认产品部署,以将您的产品初始部署到您的客户端。 要查看默认产品部署,请选择“菜单” | “软件” |
“产品部署”。
产品部署操作
该表列出“产品部署”页面上可用的更改。
命令或操作 说明
部署摘要 列出产品部署,并允许您按照类型和状态对其过滤,以快速查看其进度。 单击部署,以查看其详细信
息。 这些详细信息会显示在部署详细信息区域。
部署详细信息 列出所选部署的详细信息。 例如,开始日期、类型、状态等。
“任务状态” 显示进度和状态。
“操作” 用于更改部署。
详细信息 可让您查看部署配置详细信息和状态,并且您可根据需要单击“查看任务详细信息”来打开“编辑部署”页
面。
“系统名称” 显示接收部署的目标系统的可过滤列表。
“系统操作” 在对话框中更详细地显示已过滤的系统列表,并且可让您在系统上执行更新和唤醒等操作。
“状态” 显示由三个部分组成的栏,用于指示部署进度及其状态。
“标记” 显示与系统行相关联的标记。
另请参阅
产品部署项目的优点第 153 页
选择产品部署方法第 152 页
使用系统树
初始配置期间,默认系统树组被配置为组织您的托管系统。
默认系统树示例
McAfee 创建默认策略,以保护大部分 McAfee ePO 用户及其普通的环境。 要查看默认策略及其配置,请选择“菜单” |
“系统” | “系统树”。
图 4-3 默认系统树组织
系统树操作
该表列出系统树提供的操作类型。
命令或操作 说明
“新建系统” 打开新建系统页面,从中可以向系统树添加系统。
“新建子组” 在系统树中创建子组。
“系统树操作” • “新建子组”— 在系统树中创建子组。 • “导出系统”— 将系统树中的系统列表导出
为 .txt 文件,以备以后使用。
• “重命名组”— 重命名选定的组。 • “立即排序”— 将选定的组分类到启用基于标
准分类的组。
• “删除组”— 删除选定的组。
另请参阅
组织系统第 99 页
使用策略
初始配置期间,会将您的所有 McAfee 许可产品安装到您的托管系统中。 这些产品都提供相关的默认策略,为您的系
统提供保护。
默认策略示例
McAfee 创建默认策略,以保护大部分 McAfee ePO 用户及其普通的环境。 要查看默认策略及其配置,请选择“菜单” |
“策略” | “策略目录”,然后从下拉列表中选择产品和类别。
例如,从产品列表中,选择“McAfee Agent”和类别“全部”。
策略操作
该表列出策略目录页面上可用的策略更改。
命令或操作 说明
“删除” 删除策略。
“复制” 复制策略,以便对其进行更改。
“导出” 将策略导出为 XML 文件。
“重命名” 允许您重命名策略。
“共享”或“取消共享” 单击该选项,从而与其他 McAfee ePO 服务器共享或取消共享策略。
命令或操作 说明
查看或更改 双击策略名称,以查看或更改策略配置。
要记录策略修订版,请在策略目录页面页脚中复制旁边的文本字段中键入备注。
更改策略时,受影响的系统数量会列在页面顶端。
“导入”或“导出” 导入或导出针对该产品选择的所有策略和类别。
“新建策略” 打开创建新策略对话框,从中创建选定产品和类别类型的策略。
另请参阅
分配策略第 6 页
使用客户端任务
初始配置期间,会将您的所有 McAfee 许可产品安装到您的托管系统中。 所有这些产品都提供相关的默认客户端任
务,为您的系统提供保护。
默认客户端任务包括:
• 收集系统的相关信息并将其发送至 McAfee ePO。
• 扫描系统,避免出现攻击。
• 在添加软件或安装新版本时自动添加和更新软件。
默认客户端任务示例
McAfee 创建默认客户端任务,以保护大部分 McAfee ePO 用户及其普通的环境。 要查看默认客户端任务及其配置,
请选择“菜单” | “策略” | “客户端任务目录”,然后从“客户端任务类型”列表中展开产品和客户端任务类型。
客户端任务操作
该表列出您可以在“客户端任务目录”页面对客户端任务进行的更改。
命令或操作 说明
“新建任务” 打开创建新策略对话框,您可以从中为选定产品创建客户端任务。
另请参阅
客户端任务第 184 页
使用服务器任务
初始配置期间,会将您的所有 McAfee 许可产品安装到您的托管系统中。 所有这些产品都提供相关的默认服务器任
务,为您的系统提供保护。
默认服务器任务示例
McAfee 创建默认服务器任务,以保护大部分 McAfee ePO 用户及其普通的环境。 要查看默认服务器任务及其配置,
请选择“菜单” | “自动” | “服务器任务”。
图 4-6 默认服务器任务示例
例如,要熟悉服务任务配置,请在名称列中查找“下载软件产品列表”并单击“操作”列中的“查看”。
服务器任务操作
该表列出您可以在服务器任务页面对服务器任务进行的更改。
命令或操作 说明
“新建任务” 启动服务器任务生成器,从中可以创建和计划服务器任务。
“导入任务” 打开导入计划任务页面,从中可以选择要导入的文件。
命令或操作 说明
您选择服务器 • “选择列”— 打开一个对话框,可从中选择要显示的列。
任务后显示表
“操作” • “删除”— 删除该服务器任务。
• “复制”— 复制服务器任务,以便对其进行更改。
• “编辑”— 打开服务器任务生成器页面,其中包含加载的选定服务器任务的设置,以便您编辑和保
存设置。
• “启用”或“禁用”— 启用或禁用选定的任务。 禁用某个任务后,该任务即使在计划中也无法运行。
• “导出表”— 打开导出页面。 使用此选项可以指定要导出的文件的格式和包。 您可以保存或通过电
子邮件发送导出的文件。
• “导出任务”— 打开导出页面。 使用此选项可以指定要导出的文件的格式和包。 您可以保存或通过
电子邮件发送导出的文件。
• “运行”— 立即运行该服务器任务。
• “查看”— 使您可以查看服务器任务配置。
另请参阅
服务器任务第 181 页
使用信息显示板和监视器
初始配置期间,会将您的所有 McAfee 许可产品安装到您的托管系统中。 所有这些产品都针对您的系统具备相关的信
息显示板和监视器。
信息显示板示例
McAfee 针对普通环境中的 McAfee ePO 系统创建了多个默认信息显示板和监视器。 要查看默认信息显示板和监视器
及其配置,请选择“菜单” | “报告” | “信息显示板”。
图 4-7 信息显示板示例
要熟悉信息显示板配置,请在“信息显示板”列表中单击“执行信息显示板”、“引导式配置”或针对您的产品软件添加的任意
信息显示板。
信息显示板操作
该表列出信息显示板页面上提供的操作。
信息显示板操作 说明
“新建” 启动“新建信息显示板”对话框,从中可以创建信息显示板。
“复制” 打开复制信息显示板对话框,以便创建当前信息显示板的可自定义副本。
“删除” 删除当前显示的复制的监视器。
“导入” 启动导入信息显示板页面,从中可以选择要导入的信息显示板 XML 文件。
“导出” 立即将当前显示的信息显示板导出到 XML 文件。
“添加监视器” 显示信息显示板类别列表,从中可以将之前保存的监视器添加到显示器中。
另请参阅
信息显示板和监视器第 4 页
使用查询和报告
初始配置期间,会将您的所有 McAfee 许可产品安装到您的托管系统中。 这些产品具备可以使用的相关默认查询和报
告。
默认查询示例
McAfee 已创建默认查询和报告,可以满足大部分 McAfee ePO 用户及其普通环境的要求。 要查看查询和报告及其配
置,请选择“菜单” | “报告” | “查询和报告”。
图 4-8 默认查询示例
查询和报告操作
该表列出查询和报告页面上提供的选项。 此处的查询和报告选项与单击“查询”或“报告”选项卡时提供的选项相似。
命令或操作 说明
“新建查询”或“新 打开“查询生成器”页面或报告工具框,以开始创建您自己的查询或报告。
建报告”
“导入查询”或“导 将之前保存的 XML 文件导入到选定的组。
入报告”
命令或操作 说明
“组操作” • “新建组”— 打开“编辑组”页面,从中可以编辑选定组的名称和可见性。
• “删除组”— 删除选定组中的所有查询或报告。
• “编辑组”— 打开“新建组”对话框,从中可以创建查询组。
另请参阅
生成查询和报告第 4 页
确认系统保护和查看威胁
您可以在托管系统上运行防恶意软件测试文件,以了解如何删除样本威胁及其在 McAfee ePO 中的显示形式。
病毒测试流程
以下任务介绍如何在托管系统上运行防恶意软件测试文件,以了解如何删除病毒及其在 McAfee ePO 中的显示形式。
在托管系统上运行该防恶意软件测试文件时,您可以执行以下操作:
• 确认对您的系统进行管理并提供保护。
任务
• 在托管系统上运行样本威胁第 66 页
您物理登录到托管系统,或远程登录到该系统,以运行防恶意软件测试文件。
查找要通过系统树测试的系统
系统树会列出所有托管系统及其状态。 选择一个您可以从中运行防恶意软件测试文件的系统。
开始之前
您必须具备托管系统的管理员权限,才可以运行防恶意软件测试文件。
选择未运行关键流程的系统。 例如,请勿在服务器上运行防恶意软件测试文件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“系统名称”列中的系统,以打开“系统信息”页面。
3 向下滚动列表查找您需要的信息,以远程登录到测试系统。 例如,您可以使用以下信息:
• “DNS 名称”
• “IP 地址”
• “系统描述”
4 单击“产品”选项卡,以查看测试系统上安装的产品和版本的列表。
您现在已具备远程登录测试系统并运行防恶意软件测试文件所需的信息。
另请参阅
请从系统树中确认系统管理第 55 页
在托管系统上运行样本威胁
您物理登录到托管系统,或远程登录到该系统,以运行防恶意软件测试文件。
开始之前
您必须具备托管系统的管理员权限,才可以运行防恶意软件测试文件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 要通过管理员权限登录测试系统。
您可以通过以下方法登录到测试系统:
• 访问系统并登录。
防恶意软件测试文件可能会运行并被删除,也可能在运行前被阻止。
威胁摘要会列出威胁类型以及收到的威胁数量。
5 单击“事件日志”,从而在事件表中显示威胁事件。
表的底部窗格中列出威胁事件的详细信息。
开始之前
您必须要运行 EICAR 防恶意软件测试文件,以了解是否存在任何威胁事件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在信息显示板列表的标题栏中,选择该表中介绍的一个信息显示板。
信息显示板 威胁说明
“ePO 摘要” 以恶意软件检测历史记录折线图的形式显示最近的威胁。
“执行信息显示板” 显示恶意软件检测历史记录折线图。
“威胁事件” 通过以下信息显示板显示最近的威胁:
• 数量最多的威胁事件说明表
• 按系统树组划分的威胁事件表和饼图
• 最近 24 小时内的威胁事件说明表和饼图
• 最近 2 周内的威胁事件折线图
• 事件 ID • 采取的操作
• 事件说明 • 威胁类型
• 事件类别
4 单击表中的事件,以查看威胁的所有详细信息。
5 在威胁详细信息末尾,单击“转到相关系统”,以查看受影响系统的详细信息。
另请参阅
在托管系统上运行样本威胁第 66 页
后续操作
执行所有初始配置并确保您的托管系统得到保护后,您可能希望根据网络安全需求考虑其他配置步骤。
其他简单步骤可帮助您管理 McAfee ePO,包括:
• 组织系统树,以反映地理位置、政治或功能边界。
• 添加标记,以识别系统并对其排序。
• 将自动响应配置为在符合某些规则时执行。
对于更为复杂或规模更大的托管网络:
• 添加代理处理程序和远程存储库。 • 运行自动查询和报告。
第5章 信息显示板和监视器
第6章 生成查询和报告
第7章 灾难恢复
第8章 使用系统树和标记
第9章 用户帐户和权限集
第 10 章 软件管理器
第 11 章 手动进行包和更新管理
第 12 章 部署产品
第 13 章 分配策略
第 14 章 服务器和客户端任务
第 15 章 设置自动响应
第 16 章 代理与服务器之间的通信
第 17 章 自动化和优化 McAfee ePO 工作流
第 18 章 存储库
第 19 章 代理处理程序
第 20 章 维护您的 McAfee ePO 服务器、SQL 数据库和带宽
第 21 章 通过查询报告
信息显示板有助于持续监视您的环境。
信息显示板是监视器的集合。 监视器可将环境信息浓缩为易于理解的图形和图表。
通常,相关的监视器会编成一组,显示在特定的信息显示板上。 例如,威胁事件信息显示板包含四个监视器,显示有
关网络所面临威胁的信息。
您必须有相应权限才能查看或修改信息显示板和监视器。
目录
使用信息显示板和监视器
管理信息显示板
导出和导入信息显示板
指定首次信息显示板
管理信息显示板监视器
移动信息显示板监视器和调整其大小
设置默认监视器的刷新时间间隔
使用信息显示板和监视器
自定义信息显示板和监视器,以获取所需的角色和环境相关信息。
信息显示板是监视器的集合。监视器可将环境信息浓缩为易于理解的图表。通常,相关的监视器会编成一组,显示在特
定的信息显示板上。例如,威胁事件信息显示板包含四个监视器,显示有关网络所面临威胁的信息。
若要切换信息显示板,从下拉列表中选择其他信息显示板即可。 共有三种不同类型的信息显示板可供选择。
• “McAfee 信息显示板” — McAfee 信息显示板不可编辑,但所有用户均可查看。您可复制 McAfee 信息显示板,作
为您自定义信息显示板的起点。
• “公共信息显示板” — 公共信息显示板是用户创建的在用户间共享的信息显示板。
• “私人信息显示板” — 您为了供自己使用而创建的信息显示板。私人信息显示板不在用户之间共享。
创建私有或公共信息显示板时,可将您想要的监视器从监视器库拖放至新的信息显示板中。
另请参阅
管理信息显示板第 72 页
管理信息显示板监视器第 74 页
导出和导入信息显示板第 73 页
管理信息显示板
创建、编辑、复制、删除权限,并将其分配到信息显示板。
开始之前
您必须有相应权限才能修改信息显示板。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下一项操作。
操作 步骤
创建信息 若要在环境中创建其他视图,请创建新的信息显示板。
显示板
1 单击“信息显示板操作” | “新建”。
2 键入名称,选择“信息显示板可见性”选项,然后单击“确定”。
此时会显示一个新的空白信息显示板。可以根据需要向新信息显示板中添加监视器。
复制信息 有时,创建新信息显示板的最简便方法是复制与您所需的信息显示板类似的现有信息显示板。
显示板
1 单击“信息显示板” | “复制”。
另请参阅
使用信息显示板和监视器第 71 页
导出和导入信息显示板
充分定义您的信息显示板和监视器后,将其迁移到其他 McAfee ePO 服务器的最快捷方式是将其导出并导入到其他服
务器。
开始之前
套导入信息显示板,您必须能够访问 XML 文件中包含的以前导出的信息显示板。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下任一操作。
操作 步骤
导出信息 1 单击 “信息显示板操作” | “导出”。
显示板
根据浏览器设置,浏览器将尝试下载 XML 文件。
2 将所导出的 XML 文件保存到适当的位置。
3 单击“保存”。
此时会显示导入信息显示板确认对话框。其中会显示此文件中信息显示板的名称,以及信息显示板
在系统中所显示的名称。默认情况下,该名称是信息显示板在导出时所用名称的后面附加
(imported)。
4 单击“确定”。如果您不希望导入信息显示板,则单击“关闭”。
此时将显示导入的信息显示板。无论导出时的权限如何,导入的信息显示板都被授予私人权限。如果
您希望它们具备其他权限,请在导入信息显示板后对其进行更改。
另请参阅
使用信息显示板和监视器第 71 页
指定首次信息显示板
使用信息显示板服务器设置,您可以指定用户首次登录时看到的信息显示板。
您可以通过将信息显示板映射到用户的权限集,来指定用户首次登录时看到的信息显示板。 将信息显示板映射到权限
集,可确保自动为已分配特定角色的用户提供其所需的信息。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开编辑信息显示板页面。
a 选择“菜单” | “配置” | “服务器设置”。
b 从“设置类别”列表中,选择“信息显示板”。
c 单击“编辑”。
2 在“特定权限集的默认信息显示板”旁,指定每个权限集显示的默认信息显示板。 从菜单中选择权限集和默认信息显
示板。
使用 和 添加或删除权限集和信息显示板配对。 您无需指定每个权限集的默认信息显示板。
配对顺序可确定分配超过一个以上的权限集时,用户可以看到的默认信息显示板。
3 单击“保存”。
用户首次登录时,会在权限集上看到您指定的信息显示板。 后续登录会让用户返回到上次注销时所在的页面。
管理信息显示板监视器
您可以从信息显示板创建、添加和删除监视器。
开始之前
您对要修改的信息显示板必须具有写入权限。
如果您没有查看监视器所需的必要权限或产品许可证,或如果监视器的基础查询不再可用,则显示一条消息而不是监视
器。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下一项操作。
操作 步骤
添加监 1 单击“添加监视器”。
视器
此时会在屏幕顶部出现监视器库。
2 从“查看”下拉列表中选择一个监视器类别。
该类别中的可用监视器将出现在库中。
3 将监视器拖到信息显示板上。 当您在信息显示板中移动光标时,适合放置的最近的位置会突出显示。
将监视器拖至所需的位置。
此时会出现新建监视器对话框。
4 根据需要配置监视器(每个监视器都有其自己的一组配置选项),然后单击“确定”。
5 在将监视器添加到此信息显示板之后,请单击“保存更改”以保存新配置的信息显示板。
6 在完成更改之后,请单击“关闭”。
3 如果决定将发生的更改保存到信息显示板,单击“保存”,否则单击“放弃”。
删除监 1 选择要删除的监视器,单击左上角的箭头,然后选择“删除监视器”。
视器
此时会出现监视器的配置对话框。
2 修改完信息显示板之后,单击“保存更改”。要将信息显示板还原到以前的状态,请单击“放弃更改”。
另请参阅
使用信息显示板和监视器第 71 页
移动信息显示板监视器和调整其大小
您可以移动监视器并调整其大小,以便高效地利用屏幕空间。
开始之前
您对要修改的信息显示板必须具有写入权限。
您可以更改多个信息显示板监视器的大小。如果监视器在其右下角显示有小对角线,则您可以调整它的大小。通过在当
前信息显示板中拖放来移动监视器并调整其大小。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 移动监视器或调整其大小:
• 要移动信息显示板监视器,请执行以下操作:
1 通过监视器的标题栏将监视器拖至您希望其出现的位置。
在您移动光标时,监视器的背景轮廓会移动到监视器的最近可用位置。
2 当背景轮廓调整到您希望的位置之后,放下监视器。
如果您尝试将监视器放在无效的位置,它会返回到先前的位置。
• 要调整信息显示板监视器的大小,请执行以下操作:
1 将监视器右下角的调整大小图标拖至适当位置。
在您移动光标时,监视器的背景轮廓会更改形状,以反映出最接近于当前光标位置的支持大小。监视器可以
实施最小或最大的大小。
2 当背景轮廓调整到您希望的大小之后,放下监视器。
如果您尝试将监视器的大小调整为监视器当前位置不支持的形状,则它会返回到原来的位置。
2 单击“保存更改”。要还原到以前的配置,请单击“放弃更改”。
设置默认监视器的刷新时间间隔
使用信息显示板服务器设置指定刷新新监视器的默认率。
自动刷新监视器。每次进行刷新时,便会运行基础查询,而结果会显示在信息显示板中。对于新监视器的默认刷新时间
间隔,请选择频繁到足以确保会显示准确且及时的信息,但不会消耗过度网络资源的时间间隔。默认时间间隔为五分
钟。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开编辑信息显示板页面。
a 选择“菜单” | “配置” | “服务器设置”。
b 从设置类别列表中,选择“信息显示板”。
c 单击“编辑”。
3 单击“保存”。
新监视器会根据您指定的时间间隔刷新。现有监视器会保留其原始刷新时间间隔。
用户可以随时在编辑监视器窗口中更改各个监视器的刷新时间间隔。
• 服务器任务日志
• 威胁事件日志
目录
查询和报告权限
查询简介
查询生成器
处理查询
关于报告
报告的结构
创建报告
编辑现有报告
按计划运行报告
查看报告输出
配置导出报告的模板和位置
组合报告
查询和报告权限
以多种方式限制对查询和报告的访问。
要运行查询或报告,您不仅需要查询或报告权限,还需要与结果类型相关联的功能集。通过查询结果页面,只能访问您
权限集允许的操作。
组和权限集控制对查询和报告的访问权限。所有查询和报告都必须属于某个组,对某个查询或报告的访问权限由其所在
组的权限级别控制。查询和报告组可以采用下列权限级别之一:
• “私有” — 仅创建该组的用户可以使用。
• “公用” — 该组被全局共享。
• “根据权限集” — 仅被分配选定权限集的用户可使用该组。
权限集具有四种级别的查询或报告访问权限。这些权限包括:
• “无权限” - 无权限的用户无法使用查询或报告选项卡。
• “使用公共查询” - 授予公共组中包含的任何查询或报告的使用权限。
• “使用公共查询;创建并编辑个人查询” - 授予公共组中包含的任何查询或报告的使用权限,以及允许使用查询生成
器向导在专用组中创建并编辑查询或报告。
• “编辑公共查询;创建并编辑个人查询;公开个人查询” - 授予公共组中包含的任何查询或报告的使用和编辑权限,
允许在专用组中创建并编辑查询或报告,以及允许将专用组中的查询或报告移到公共组或共享组。
查询简介
通过查询,您可以轮询 McAfee ePO 数据。 通过查询收集的信息以图表和表格形式返回。
可以使用查询来立即获取答案。 查询结果可以采用多种格式导出,这些格式均可以下载或以电子邮件附件的形式发
送。 大多数查询也可用作信息显示板监视器,实现接近实时的系统监视。 也可将查询合并到报告中,使得报告在
McAfee ePO 软件系统中看起来更加全面和系统化。
查询结果是可操作的
表(和深入查询表)中显示的查询结果可对选定项目执行操作。 结果页底部提供了可用操作。
将查询用作信息显示板监视器
可以将大部分查询(使用表显示最初结果的查询除外)用作信息显示板监视器。信息显示板监视器会以用户配置的时间
间隔(默认值为 5 分钟)自动刷新。
导出的结果
查询结果可导出为四种格式。 导出的结果是历史数据,在被用作信息显示板监视器时不会像其他监视器一样进行刷
新。 与控制台中显示的查询结果和基于查询的监视器相似,您可以深入查询 HTML 导出结果,了解更多详细信息。
导出报告中的数据是不可操作的,这一点与控制台中的查询结果不同。
报告的可用格式如下:
• XML — 转换数据以用于脚本和其他用途。
• HTML - 通过网页形式查看导出的结果。
• PDF - 打印结果。
在报告中合并查询
报告可包含任意数量的查询、图像、静态文本以及其他项目。 可按需或定期运行它们,报告还可生成 PDF 文件以便在
McAfee ePO 外部查看。
在服务器间共享查询
任何查询都可导入和导出,因此您可以在服务器之间分享查询。在多服务器环境中,您一次只能创建一个查询。
从不同的源检索数据
查询可从任意已注册的服务器(包括 McAfee ePO 外部的数据库)检索数据。
查询生成器
McAfee ePO 提供一个简单的四步向导,用于创建和编辑自定义查询。 通过此向导,您可以配置检索和显示的数据,
以及数据的显示方式。
结果类型
在查询生成器中,首先要从功能组中选择架构和结果类型。此选择会确定查询功能从何处检索数据及其检索的数据类
型,以及向导其余部分中的可用选项。
图表类型
McAfee ePO 提供大量图表和表,来显示它检索的数据。 这些图表及其深入查询表都具有很高的可配置性。
表不包含深入查询表。
表 6-1 图表类型组
类型 图表或表
柱状 • 柱状图
• 分组柱状图
• 堆叠柱状图
饼状 • 布尔饼图
• 饼图
气泡 • 气泡图
摘要 • 多组摘要表
• 单组摘要表
折线 • 多折线图
• 单折线图
列表 • 表
表列
指定表的列。如果您选择“表”作为数据的主要显示方式,则会以此配置该表。如果您选择了一种图表类型作为数据的主
要显示方式,则会以此配置深入查询表。
表中显示的查询结果是可操作的。例如,如果用系统填充了表,则可以直接从表中部署或唤醒这些系统中的代理。
过滤器
通过选择属性和运算符来指定标准,以限制查询检索的数据。
处理查询
可以根据需要对查询执行运行和导出等操作。
任务
• 管理自定义查询第 80 页
您可以根据需要创建、复制、编辑和删除查询。
• 按计划运行查询第 81 页
服务器任务用于定期运行查询。查询可以包含允许您执行多种任务的子操作,例如,通过电子邮件发送查
询结果或者使用标记。
• 创建查询组第 82 页
查询组可让您保存查询或报告,而不让其他用户对其进行访问。
管理自定义查询
您可以根据需要创建、复制、编辑和删除查询。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下一项操作。
操作 步骤
创建自 1 单击“新建查询”,此时将显示查询生成器。
定义查
询 2 在结果类型页上,为该查询选择“功能组”和“结果类型”,然后单击“下一步”。
3 选择用于显示主要查询结果的图表或表的类型,然后单击“下一步”。
如果选择“布尔饼图”,则要先配置要在查询中包括的标准,然后再继续。
4 选择要在查询中包括的列,然后单击“下一步”。
如果选中了图表页中的“表”,则在此处选定的列就是该表的列。 否则,这些列就是构成查询详细信息
表的列。
5 选择一些属性来缩小搜索结果,然后单击“运行”。
未保存的查询页显示了查询结果,可对其中的查询结果进行操作。可以在任何表或深入查询表的项目
上执行任何可用操作。
选定的属性出现在内容窗格中,内容窗格中带有可指定标准的运算符,可缩小针对该属性返回的数据
的范围。
• 如果查询未返回预期结果,请单击“编辑查询”以返回至“查询生成器”,然后编辑该查询的详细信息。
• 如果您不希望保存查询,则单击“关闭”。
• 如果要再次使用此查询,请单击“保存”,然后继续下一步。
6 此时将显示保存查询页面。 键入查询的名称,添加任何备注,然后选择下列选项之一:
• “新建组”- 键入新组的名称,然后选择下列任一选项:
• “专用组(我的组)”
• “公共组(共享组)”
• “现有组”- 从“共享组”列表中选择组。
7 单击“保存”。
新查询将出现在查询列表中。
按计划运行查询
服务器任务用于定期运行查询。查询可以包含允许您执行多种任务的子操作,例如,通过电子邮件发送查询结果或者使
用标记。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 从查询和报告页面中,选择一个查询。
b 选择 “操作” | “计划”。
2 在描述页上,提供任务的名称并描述任务,然后单击“下一步”。
3 从“操作”下拉菜单中,选择“运行查询”。
4 在“查询”字段中,浏览至要运行的查询。
5 选择结果的显示语言。
7 单击“下一步”。
8 安排该任务,然后单击“下一步”。
9 验证任务的配置,然后单击“保存”。
任务将添加到服务器任务页面上的列表中。如果已启用此任务(这是默认设置),则它会在下个计划的时间运行。如果
任务被禁用,那么只有单击“服务器任务”页面上此任务旁边的运行才能运行此任务。
创建查询组
查询组可让您保存查询或报告,而不让其他用户对其进行访问。
创建组后,您可按功能对查询和报告进行分类,并控制访问权限。 您在 ePolicy Orchestrator 软件中看到的组列表是您
已创建的组和有权限查看的组的组合。
您也可以在保存自定义查询的同时创建专用查询组。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“新建组”页面中,键入组名。
3 从“组可见性”中选择以下选项之一:
• “专用组” - 将新组添加到“我的组”下面。
• “公共组” — 将新组添加到“共享组”下面。有权访问公共查询和报告的任何用户都可以看见组中的查询和报告。
• “按权限集共享” — 将新组添加到“共享组”下面。只有分配了选定权限集的用户才能访问该组中的报告或查询。
管理员对所有按权限集共享和公共组查询具有完全访问权限。
4 单击“保存”。
关于报告
报告可将查询结果打包成 PDF 文档,从而让您进行离线分析。
生成报告,以与安全管理员和其他利益相关方共享网络环境的相关信息。
报告是显示一个或多个查询中数据的可配置文档,这些查询可以从一个或多个数据库提取数据。 每个报告的最新运行
结果会存储在系统中,以供随时查看。
您可以使用组和权限集限制对报告的访问,方法与限制对查询的访问相同。 报告和查询可以使用相同的组。由于报告
主要由查询组成,该配置允许使用一致的访问控制。
报告的结构
报告包含以基本格式保存的许多元素。
当报告可高度自定义时,会构成一个基本结构,并在其中包含所有不同的元素。
页面大小和方向
McAfee ePO 目前支持六种页面大小和方向组合。这些组合包括:
页面大小:
方向:
• 横向
• 纵向
页眉和页脚
页眉和页脚也可以选择使用系统默认设置,或者使用多种方式进行自定义,包括添加徽标。页眉和页脚目前支持的元素
有:
• 徽标 • 用户名
• 日期/时间 • 自定义文本
• 页码
页面元素
页面元素提供此报告的内容。页面元素可按任何顺序组合,也可以根据需要复制。McAfee ePO 提供的页面元素是:
• 图像 • 查询表
• 静态文本 • 查询图表
• 分页符
创建报告
您可以创建报告并将其存储在 McAfee ePO 中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“新建报告”。
3 单击“名称、说明和组”。对报告进行命名和说明,并选择合适的组。单击“确定”。
4 现在可以添加、删除和重新安排元素,自定义页眉和页脚,以及更改页面布局。可以随时单击“运行”查看进度。
5 完成后,请单击“保存”。
编辑现有报告
您可以修改现有报告的内容或显示顺序。
如果您创建新报告,单击“新建报告”后您将到达此屏幕。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 通过选中报告名称旁边的复选框可以从列表中选择报告。
3 单击“编辑”。
此时会显示报告布局页。
现在可以在报告中执行下列任何任务。
任务
• 将元素添加到报告第 84 页
您可以将新元素添加到现有的报告中。
• 配置图像报告元素第 85 页
上载新图像并修改报告中所用的图像。
• 配置文本报告元素第 85 页
您可以在报告中插入静态文本以解释其内容。
• 配置查询表报告元素第 86 页
某些查询在报告中以表的形式显示的效果更好。
• 配置查询图表报告元素第 86 页
某些查询在报告中以图表的形式显示的效果更好。
• 自定义报告第 86 页
自定义报告布局,以添加、删除或移动您需要的对象。
将元素添加到报告
您可以将新元素添加到现有的报告中。
开始之前
您必须要在报告布局页面上打开报告。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 从工具箱选择一个元素并将其拖放到报告布局上。
需要配置除分页符外的报告元素。此时会显示元素配置页面。
2 配置元素后,单击“确定”
配置图像报告元素
上载新图像并修改报告中所用的图像。
开始之前
您必须要在报告布局页面上打开报告。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 要配置报告中已存在的图像,请单击图像左上角的箭头,然后单击“配置”。
此时将显示配置图像页面。如果要向报告中添加图像,将图像元素拖放到报告上后,会立即出现配置图像页面。
2 要使用某现有图像,请从库中选择该图像。
3 要使用新图像,请单击“浏览”并从计算机中选择图像,然后单击“确定”。
4 要指定具体的图像宽度,请在图像宽度字段中输入宽度。
默认情况下,图像会以其现有的宽度显示而不进行大小调整,除非其宽度大于页面的可用宽度。在这种情况下,图
像会调整为该可用宽度,同时保持纵横比不变。
5 选择您希望图像左对齐、居中或右对齐,然后单击“确定”。
配置文本报告元素
您可以在报告中插入静态文本以解释其内容。
开始之前
您必须要在报告布局页面上打开报告。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 要配置报告中已存在的文本,请单击文本元素左上角的箭头。单击“配置”。
此时会显示配置文本页。如果要向报告中添加新文本,则将文本元素拖放到报告上后,会立即出现“配置文本”页。
2 编辑“文本”编辑框中的现有文本,或添加新文本。
3 恰当地更改字体大小。
默认值是 12 pt。
4 选择文本对齐方式:左对齐、居中或右对齐。
5 单击“确定”。
您输入的文本会出现在报告布局的文本元素中。
配置查询表报告元素
某些查询在报告中以表的形式显示的效果更好。
开始之前
您必须要在报告布局页面上打开报告。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 要配置报告中已存在的表,请单击表左上角的箭头。单击“配置”。
此时会显示配置查询表页。如果要向报告中添加查询表,则将查询表元素拖放到报告上后,会立即出现“配置查询
表”页。
2 从“查询”下拉列表中选择一个查询。
3 从“数据库”下拉列表中选择要对其运行查询的数据库。
4 选择用于显示表数据的字体大小。
默认值是 8 pt。
5 单击“确定”。
配置查询图表报告元素
某些查询在报告中以图表的形式显示的效果更好。
开始之前
您必须要在报告布局页面上打开报告。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 要配置报告中已存在的图表,请单击图表左上角的箭头。单击“配置”。
此时会显示配置查询图表页。如果要向报告中添加查询图表,则将查询表元素拖放到报告上后,会立即出现“配置查
询图表”页。
2 从“查询”下拉列表中选择一个查询。
3 选择是仅显示图表、仅显示图例,还是同时显示图表和图例。
4 如果已选择同时显示图表和图例,请选择图表和图例相对于彼此的放置方式。
5 选择用于显示图例的字体大小。
默认值是 8 pt。
6 选择图表图像高度(以像素为单位)。
默认值是页高的三分之一。
7 单击“确定”。
自定义报告
自定义报告布局,以添加、删除或移动您需要的对象。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择报告并单击“操作” | “编辑”,然后执行所需操作。
操作 步骤
自定义报告 页眉和页脚提供有关报告的信息。
页眉和页脚
页眉和页脚中 6 个固定位置包含不同数据字段:
• 页眉字段:页眉包含 3 个字段。 1 个左对齐的徽标和 2 个右对齐的字段,上下排列。 这些字段可
以包含以下 4 个值中的一个:
• 无
• 日期/时间
• 页码
• 运行报告的用户的用户名
• 页脚字段:页脚包含 3 个字段。 一个左对齐,一个居中,一个右对齐。 这 3 个字段还可包含列
出的值和自定义文本。
要自定义页眉和页脚,请执行以下步骤:
1 单击“页眉和页脚”。
2 默认情况下,报告使用页眉和页脚的系统设置。 如果您不想使用默认设置,则取消选中“使用默认
服务器设置”。
要更改系统的页眉和页脚设置,请选择“菜单” | “配置” | “服务器设置”,然后选择“打印和导出”并单
击“编辑”。
3 要更改徽标,请单击“编辑徽标”。
a 如果您要设置文本徽标,请选择“文本”并在编辑框中输入文本。
b 要上传新徽标,请选择“图像”,然后浏览至计算机上的图像并选择该图像,然后单击“确定”。
c 要使用以前上传的徽标,请选择该徽标。
d 单击“保存”。
4 更改页眉和页脚字段以匹配所需数据,然后单击“确定”。
删除报告中 如果不再需要,您可以删除报告中的元素。
的元素
1 单击您要删除的元素左上角的箭头,然后单击“删除”。
该元素被从报告中删除。
对报告总的 您可以更改报告中元素显示的顺序。
元素重新排
1 要移动元素,请单击元素的标题栏并将其拖至新位置。
序
位于被拖动的元素下方的元素随着您在报告周围移动光标而移动。 如果光标停在非法位置上方,
报告的一侧会显示红条。
2 元素处于您希望其显示的位置后,请放置元素。
3 单击“保存”。
按计划运行报告
创建用于自动运行报告的服务器任务。
如果您希望无需手动干涉地运行报告,则服务器任务是最好的方法。此任务将创建一个服务器任务,该任务允许按计划
自动运行给定的报告。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 在查询和报告页面中,选择一个报告。
b 选择 “操作” | “计划”。
2 对任务进行命名和说明,并指定计划状态,然后单击“下一步”。
如果您希望自动运行任务,请将“计划状态”设置为“已启用”。
3 从“操作”下拉列表中,选择“运行报告”。选择要运行的报告和目标语言,然后单击“下一步”。
4 选择运行报告的计划类型(频率)、日期和时间,然后单击“下一步”。
只有启用了“计划状态”,才能使用计划信息。
5 单击“保存”以保存服务器任务。
此时新任务将出现在“服务器任务”列表中。
查看报告输出
查看每份报告上次的运行版本。
报告每次运行时,结果将存储在服务器上,并显示在报告列表中。
报告运行时,先前的结果将被清除,且无法检索。 如果您希望比较同一份报告的不同运行结果,请将输出结果存档到其
他位置。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“报告”选项卡
在报告列表中,您会看到“上次运行结果”列。 此列中的每一个条目都是一个链接,用于检索由上次成功运行该报告
所产生的 PDF 结果。 从此列单击一个链接以检索报告。
PDF 将在浏览器中打开,且浏览器会按照已配置为该文件类型来执行操作。
配置导出报告的模板和位置
可以定义导出为文档的表和信息显示板的外观和存储位置。
使用打印和导出服务器设置,可以配置:
• 页眉和页脚,包括自定义徽标、名称、页码等。
• 打印的页面大小和方向。
• 存储导出表和信息显示板的目录。
任务
有关选项定义,请单击界面中的“?”。
2 单击“编辑”。此时会出现编辑打印和导出页面。
3 在“导出文档的页眉和页脚”部分中,单击“编辑徽标”以打开编辑徽标页面。
a 选择“文本”并键入您希望包括在文档页眉中的文本,或者执行下列操作之一:
• 选择“图像”并浏览到图像文件(如公司徽标)。
b 单击“确定”返回到编辑打印和导出页面。
4 从下拉列表中,选择要在页眉和页脚中显示的任何元数据。
5 选择“页面大小”和“页面方向”。
6 键入新位置或接受默认位置来保存导出的文档。
7 单击“保存”。
组合报告
必须将每一份报告分配到一个组。
在最初创建报告时会将报告分配到某个组,但是也可以在后来更改此分配。组合报告最常见的原因是为了将类似的报告
收集到一起或管理对某些报告的权限。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择报告,然后单击“操作” | “编辑”。
3 单击“名称、描述和组”。
4 从“报告组”下拉列表中选择一个组,然后单击“确定”。
5 单击“保存”以保存对报告的所有更改。
您从报告窗口左侧窗格中的“组”列表中选择一个选定组时,该报告会显示在报告列表中。
目录
什么是灾难恢复?
灾难恢复组件
灾难恢复工作原理
创建快照
配置灾难恢复服务器设置
什么是灾难恢复?
McAfee ePO 灾难恢复功能使用快照过程将特定 McAfee ePO 服务器数据库记录保存到 McAfee ePO Microsoft SQL
数据库。
快照所保存的记录包含了拍摄快照的特定时间点的整个 McAfee ePO 配置。在将快照记录保存到数据库之后,您可以
使用 Microsoft SQL 备份功能来保存整个 McAfee ePO 数据库,并将其还原到另一个 SQL 服务器以进行 McAfee ePO
还原。
还原 SQL 数据库连接示例
使用包括灾难恢复快照的已还原的 McAfee ePO SQL 数据库服务器,您可以将其连接到:
• 具有原始服务器名称和 IP 地址的已还原的 McAfee ePO 服务器硬件 — 例如,这可让您从失败的 McAfee ePO 软
件升级还原。
灾难恢复组件
若要使用灾难恢复来还原您的 McAfee ePO 软件,需要具备某些硬件、软件、访问权限和信息。
您需要两个硬件服务器平台:
• 您的现有 McAfee ePO 服务器硬件,被称为“主”McAfee ePO 服务器。
快照信息显示板监视器
服务器快照监视器(位于 McAfee ePolicy Orchestrator 信息显示板)允许您在同一位置管理和监控每个快照。
如果快照监视器没有出现在信息显示板中,请创建信息显示板并添加灾难恢复监视器。
使用服务器快照监视器可以:
• 单击“拍摄快照”,以手动保存 McAfee ePO 服务器快照。
• 单击“查看上次运行情况的详细信息”以打开“服务器任务日志详细信息”页。此页显示有关最近保存的快照的信息和日
志消息。
• 单击“灾难恢复”链接,以访问其他灾难恢复信息。
快照监视器的颜色和标题指示最新快照的状态。 例如:
• 蓝色,正在将快照保存到数据库 - 快照过程正在进行。
• 绿色,快照已保存到数据库 - 快照过程已成功完成且为最新。
• 红色,快照失败 - 快照过程中发生错误。
• 灰色,没有可用快照 — 尚未保存任何灾难恢复快照。
• Keystore 文件夹更改。
• conf 文件夹更改。
• 服务器设置中的灾难恢复密码发生更改。
灾难恢复快照服务器任务
可以使用灾难恢复快照服务器任务来禁用或启用快照服务器任务计划。
灾难恢复要求
要使用灾难恢复,您需要下表列出的硬件、软件和信息。
要求 描述
硬件要求
主 McAfee ePO 服务器硬件 服务器硬件要求确定托管系统的数量。
灾难恢复工作原理
要快速地重装 McAfee ePO 软件,请创建 McAfee ePO 配置的定期快照。此时您必须备份数据库并将其还原到还原服
务器,然后使用“还原”选项重装 McAfee ePO 软件。
灾难恢复快照和备份概述
灾难恢复快照、SQL 数据库备份以及进程复制会在还原 SQL 数据库服务器上创建一个 McAfee ePO 数据库的副本。
这是“灾难恢复快照”、SQL 数据库备份和进程复制的概述。
在该图中,SQL 数据库安装在与 McAfee ePO 服务器所在的同一服务器硬件中。 McAfee ePO 服务器和 SQL 数据库可
以安装在不同服务器硬件中。
位置 说明
C:\Program Files\McAfee\ePolicy McAfee ePO 软件扩展信息的默认路径。
Orchestrator\Server\extensions
C:\Program Files\McAfee\ePolicy McAfee ePO 软件扩展使用的必需文件的默认路径。
Orchestrator\Server\conf
C:\Program Files\McAfee\ePolicy 这些密钥专门用于 McAfee ePO 代理与服务器之间的通信和存
Orchestrator\Server\keystore 储库。
C:\Program Files\McAfee\ePolicy McAfee 产品安装服务器证书的默认路径。
Orchestrator\Server\DB\Keystore
C:\Program Files\McAfee\ePolicy McAfee 产品安装文件的默认路径。
Orchestrator\Server\DB\Software
保存的灾难恢复快照记录包括为已注册的可执行文件配置的路径。 系统不会备份已注册的可执行文件,而且您
必须在还原 McAfee ePO 服务器时替换这些可执行文件。 还原 McAfee ePO 服务器后,任何包含破坏路径的已
注册的可执行文件都会在“已注册的可执行文件”页面上显示为红色。
使用 Microsoft SQL Server Management Studio 或 BACKUP (Transact-SQL) 命令行过程来备份 SQL 数据库。
2 选择“Microsoft SQL Server”,将 McAfee ePO 软件链接到具备主 McAfee ePO 服务器配置的还原 SQL 数据
库。
开始安装 McAfee ePO 软件后,会使用在快照过程中保存的数据库记录来进行软件配置,而不是在数据库中创
建记录。
另请参阅
什么是灾难恢复?第 91 页
创建快照
快速还原 McAfee ePO 服务器的第一步是创建主 McAfee ePO 服务器的常见灾难恢复快照。
对 McAfee ePO 的配置进行大量更改后,使用以下任一任务手动创建灾难恢复快照。
最佳实践:创建灾难恢复快照服务器任务来自动拍摄服务器快照。
任务
• 从 McAfee ePO 中创建快照第 96 页
使用 ePolicy Orchestrator 信息显示板拍摄主 McAfee ePO 服务器的灾难恢复快照并随着信息显示板状态
更改监控快照过程。
• 从 Web API 创建快照第 96 页
使用 McAfee ePO Web API 拍摄主 McAfee ePO 服务器的灾难恢复快照。 这样可让您使用一个命令字符
串来完成此过程。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
在快照过程中,“快照监视器”标题栏会发生更改,以指示过程的状态。
快照过程需要 10 分钟到一小时以上才能完成,具体取决于您网络的复杂程度和规模大小。 该过程不影响 McAfee
ePO 服务器性能。
3 如果需要,请单击“查看当前运行任务的详细信息”,以打开最新保存的快照的“服务器任务日志详细信息”。
完成快照过程后,请单击“查看当前运行任务的详细信息”,以打开最新保存的快照的服务器任务日志详细信息。
显示输出前,系统会提示您输入管理员用户名和密码。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
• 8443 — 目标端口,识别为“8443”(默认设置)。
• scheduler.runServerTask — 调用特定服务器任务帮助。
runServerTask 命令区分大小写。
示例命令会返回此帮助。
OK:
scheduler.runServerTask taskName
运行一个服务器任务并返回任务日志 ID。 使用任务日志 ID
通过“tasklog.listTaskHistory”命令查看正在运行的任务的状态。 返回
任务日志 ID 或显示错误。
需要运行服务器任务的权限。
Parameters: [taskName (param 1) | taskId] – 任务的独特 ID 或名称
上述示例命令会返回类似于以下内容的列表。 显示的实际列表内容取决于您的权限和已安装的扩展。
如果任务成功,会出现与以下内容类似的输出结果。
OK
102
ID:102
名称:灾难恢复快照服务器
开始日期:[日期]
结束日期:[日期]
用户名:admin
状态:已完成
来源:计划程序
时长:不到一分钟
配置灾难恢复服务器设置
您可以更改安装 McAfee ePO 时所用的密钥存储库加密密码短语,并将其链接到通过灾难恢复快照记录恢复的 SQL 数
据库。
开始之前
您必须具有管理员权限才能更改密钥存储库加密密码。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从“密钥存储库加密密码短语”中单击“更改密码短语”,键入新密码短语并确认。
密钥存储库加密密码短语用于加密和解密存储在服务器快照中的敏感信息。 McAfee ePO 服务器恢复过程中必须要
提供该密码短语。 请将这个密码短语记下来。
您可以通过“系统树”和标记功能对托管系统执行组织、分组和标记操作。
目录
组织系统
标记
组织系统
使用 McAfee ePO 可实现系统组织的自动化和自定义。
您采用的结构将影响到整个环境中继承和实施安全策略的方式。
系统树是此结构的图形表示。您可以使用以下方法来组织系统树:
• 在控制台中进行手动组织(拖放)。
• 手动或自动使用被应用于系统的标准,进行基于标准的排序。
规划系统树时的注意事项
高效且组织良好的系统树可简化维护。每个环境所面临的许多管理、网络和策略方面的实际情况会对如何构建系统树造
成影响。
在构建和填充系统树前,先要规划系统树的组织方式。特别是对于大型网络,您肯定不想反复构建系统树。
因为每个网络都各不相同,需要不同的策略,而且管理方式也可能不同,因此请在添加系统前先计划系统树。
无论您选择何种方法来创建和填充系统树,在规划系统树时都要考虑环境。
管理员访问权限
在规划系统树组织结构时,应考虑对系统负有管理职责的用户的访问权限要求。
例如,您组织中的网络管理可能比较分散,不同的管理员负责管理网络的不同部分。出于安全原因,您可能没有能够访
问网络所有部分的管理员帐户。在这种情况下,您可能无法使用单个管理员帐户来设置策略和部署代理。相反,您可能
需要根据这些部分将系统树组织到组中并创建帐户和权限集。
请考虑以下问题:
• 哪些系统由哪些人负责管理?
• 哪些人需要查看系统相关信息的访问权限?
• 哪些人不应该具有系统及其相关信息的访问权限?
上述问题不仅影响系统树组织,还会影响您创建并应用到用户帐户的权限集。
环境界限及其对系统组织的影响
组织系统的管理方式取决于网络中的界限划分。这些界限划分对系统树的组织结构所产生的影响与对网络拓扑的组织结
构所产生的影响不同。
我们建议您评估网络和组织中的下列界限划分,以决定在定义系统树的组织结构时是否必须考虑这些因素。
拓扑界限
网络由 NT 域或 Active Directory 容器定义。网络环境组织得越好,使用同步功能创建和维护系统树就越简单。
地理界限
安全管理就是在保护与性能之间持续取得平衡。组织您的系统树以便充分利用有限的网络带宽。考虑服务器连接网络各
部分的方式,尤其是远程位置,它们通常使用较慢的 WAN 或 VPN 连接,而非较快的 LAN 连接。您可能要为这些远
程站点分别配置不同的更新策略和代理与服务器通信策略,以最大程度降低通过较慢连接传输的网络流量。
职责界限
许多大型网络都按负责管理网络不同部分的不同人员或组进行划分。有时,这些界限划分与拓扑或地理界限划分不一
致。由谁访问和管理系统树各部分将会影响到您对系统树的结构划分。
功能界限
一些网络是根据使用网络的人员的角色(如销售员和工程师)来划分的。即使网络未按功能界限划分,如果不同的组需
要不同的策略,您也需要根据功能来组织系统树各部分。
子网和 IP 地址范围
在许多情况下,网络的组织单元使用特定的子网或 IP 地址范围,因此您可以针对地理位置创建一个组并为其设置 IP
地址过滤器。
如果网络在地理位置上并不分散,您也可以将网络位置(如 IP 地址)用作主要的分组标准
操作系统和软件
请考虑将操作系统相似的系统归为一组,以便简化产品和策略管理。 如果您有旧版系统,可以为这些系统创建一个组
并在这些系统上单独部署和管理安全产品。 您还可以通过为这些系统添加相应的标记,使它们自动分类到一个组中。
标记和具有类似特征的系统
您可以使用标记和标记组以自动排序到组中。
标记标识具有类似特征的系统。如果您可以按特征来组织组,则可以基于该标准来创建和分配标记。然后使用这些标记
作为组排序标准,以确保自动将这些系统放在相应的组中。
如有可能,请使用基于标记的排序标准以自动将相应的系统填充到组。 此外,为了便于对系统进行排序,可以创建套
嵌级别为 4 级的标记组,各级别中最多包含 1000 个标记子组。 例如,如果您可以按照地理位置、机架类型(服务
器、工作站或笔记本电脑)、平台(Windows、Macintosh、Linux 或 SQL)和用户来组织您的系统,则此表中可能包
含标记组。
位置 机架类型 平台 用户
洛杉矶 台式机 Windows 常规
笔记本电脑 Macintosh 销售
位置 机架类型 平台 用户
培训
Windows 账目
管理
服务器 Linux 公司
Windows 公司
SQL 公司
旧金山 台式机 Windows 常规
笔记本电脑 Macintosh 销售
培训
Windows 账目
管理
服务器 Linux 公司
Windows 公司
SQL 公司
Active Directory 同步
如果网络运行 Active Directory,则可以使用 Active Directory 同步来创建、填充和维护部分系统树。
进行定义后,可以使用 Active Directory 中的任何新系统(及子容器)更新系统树。
• 控制对潜在重复系统采取的措施。
• 标记新导入或更新的系统。
1 针对作为系统树中映射点的各个组配置同步设置。在同一个位置,可以配置是否:
• 将代理部署到发现的系统。
• 是否允许在系统树的其他位置存在重复的系统条目。
• 如果系统位于系统树中的其他位置,则会防止将系统添加到组。如果您手动将系统移动到其他位置或对系统进行排
序,此设置可确保没有重复的系统。
系统和结构
使用此同步类型时,Active Directory 结构中的更改会在下次同步时传递到系统树结构。在 Active Directory 中添加、移
动或删除系统或容器时,这些系统或容器也会在系统树的对应位置得以添加、移动或删除。
何时使用此同步类型
使用此同步类型可以确保系统树(或部分系统树)与 Active Directory 结构完全相同。
仅限系统
使用此同步类型可以从 Active Directory 容器(包括非排除子容器)中将系统以简单列表的方式导入映射的系统树组。
然后,您可以通过将排序标准分配到组,将这些系统移到系统树的相应位置。
如果选择此同步类型,则在系统树的其他位置存在系统时,务必选择不再次添加这些系统。此同步类型可防止系统树中
出现系统的重复条目。
何时使用此同步类型
在下列情况下使用此同步类型:
• 您使用 Active Directory 作为适用于 ePolicy Orchestrator 的系统的常规来源。
NT 域同步
将 NT 域用作填充系统树的来源。
当您将组同步到 NT 域时,此域中的所有系统都会被放到该组中,作为简单列表。您可以管理单个组中的系统,也可以
创建子组以满足更细化的组织需求。使用自动排序等方法来自动填充这些子组。
如果您要将某些系统移动到系统树中的其他组或子组,而这些系统已存在于系统树中的其他位置时,请务必选择不添加
这些系统。此设置可防止系统树中出现系统的重复条目。
基于标准的排序
您可以使用 IP 地址信息将托管系统自动分类到特定组。也可以基于标记创建排序标准,这些标记类似于分配给系统的
标签。您可以使用任一标准类型或同时使用这两个标准类型,以确保系统位于系统树中的所需位置。
系统只需匹配某个组的排序标准中的一个标准,即可放到该组中。
创建组并设置排序标准后,请执行测试排序操作以确认此标准和排序顺序。
为组添加排序标准后,即可运行立即排序操作。该操作会自动将所选系统移到相应组中。与任何组的排序标准都不匹配
的系统将移到不明来源中。
第一次访问服务器的新系统将自动添加到正确的组。但是,如果您在初始代理与服务器通信之后定义了排序标准,则必
须在这些系统上运行立即排序操作,以将它们立即移到相应的组中,或者等到下一次代理与服务器通信时执行排序操
作。
系统的排序状态
在任何系统或系统集合上,都可以启用或禁用系统树排序。如果在某个系统上禁用系统树排序,则该系统将从排序操作
中排除掉,但执行测试排序操作时除外。当执行测试排序时,将考虑系统或集合的排序状态,并且可以从测试排序页上
对它们进行移动或排序。
测试排序系统
使用此功能可查看在执行排序操作过程中安放系统的位置。测试排序页显示这些系统以及对其进行排序时所在位置的路
径。尽管此页不显示系统的排序状态,如果您选择此页上的系统(即使是排序为“禁用”的系统),单击移动系统也会将
这些系统放置到确定的位置中。
设置如何影响排序
您可以选择三个服务器设置来确定是否对系统排序以及何时排序。另外,可通过对系统树中的选定系统启用或禁用系统
树排序,来选择是否对系统进行排序。
服务器设置
服务器含有三个设置:
• “每次代理与服务器通信时对系统排序分类” — 在每次代理与服务器通信时再次对系统排序。更改组的排序标准后,
系统会在下次代理与服务通信时移到新组。
• “对系统进行一次排序” — 在下次代理与服务器进行通信时对系统进行排序,而且只要选择此设置,就不会再次排
序。但是,仍可以通过选择系统并单击“立即排序”来对系统进行排序。
系统设置
您可以禁用或启用任何系统的系统树排序。如果禁用了某个系统的系统树排序,则不论采取何种排序操作,都不会对该
系统进行排序。但是,执行“测试排序”操作时,将对该系统进行排序。如果启用了系统的系统树排序,则可以通过手动
执行“立即排序”操作对该系统排序,而且可以在代理与服务器通信时排序。
IP 地址排序标准
在许多网络中,子网和 IP 地址信息反映了组织的特点,例如地理位置或工作职能。如果 IP 地址组织方式符合您的要
求,则请考虑为组设置 IP 地址排序标准。
在此版本的 McAfee ePO 中,此功能已发生更改,现在允许在树中随机设置 IP 地址排序标准。 只要没有为父组分配
标准,您就不再需要确保子组 IP 地址的排序标准为父组的子集。 配置好后,您可以在代理与服务器通信时排序系统,
也可以仅在手动启动排序操作时排序系统。
基于标记的排序标准
除了使用 IP 地址信息在相应的组中对系统排序,您可以根据分配给系统的标记定义排序标准。
可以将基于标记的标准与基于 IP 地址的标准搭配使用以进行排序。
组顺序和排序
为了更灵活地管理系统树,可以配置组中子组的顺序和排序过程中放置子组的顺序。
当同时符合多个子组的标准时,更改此顺序会更改系统在系统树中的最终位置。如果您使用捕获全部组,则这些组必须
是列表中的最后一个子组。
捕获全部组
捕获全部组是指在其排序标准页面上将排序标准设为“所有其他”的组。
只有处于排序顺序最后位置的子组会成为捕获所有组。这些组接收所有排序到父组,而未排序到任意捕获所有对等组的
系统。
如何在排序时将系统添加到系统树
当 McAfee Agent 首次与服务器通信时,服务器会使用某种算法将系统放在系统树中。如果服务器找不到适合放置系统
的位置,则会将该系统放在不明来源组中。
每次代理与服务器通信时,服务器都会尝试按 McAfee Agent GUID 在系统树中查找系统。只有代理已首次呼叫服务器
的系统才会在数据库中有 McAfee Agent GUID。如果找到匹配的系统,则将此系统留在现有的位置。
如果找不到匹配的系统,则服务器会使用某种算法在相应的组中对系统分类。只要路径中的每个父组都没有不匹配的标
准,就可以在系统树中任何基于标准的组中对系统排序。基于标准的子组的父组必须没有标准或没有匹配的标准。
分配到每个子组的排序顺序(在“组详细信息”选项卡中定义)会决定服务器对子组进行排序时所考虑的顺序。
2 如果仍未找到匹配的系统,则服务器会搜索与域同名且系统所来自的组。如果找不到这样的组,则会在不明来源组
下创建一个组,然后将该系统放在此组中。
3 更新该系统的属性。
4 如果服务器配置为在每次代理与服务器通信时运行排序标准,则服务器会将所有基于标准的标记应用到系统。
5 接着发生什么情况取决于是否在服务器和系统上启用了系统树排序。
• 如果在服务器或系统上禁用了系统树排序,则系统会保持位置不变。
• 如果在服务器和系统上启用了系统树排序,则会根据排序标准将系统移到系统树组中。
6 服务器会根据“我的组织”组的“组详细信息”选项卡中的排序顺序来考虑所有顶层组的排序标准。系统会被放到具有匹
配标准的第一个组,或放到所认为的全包式组中。
• 在将系统在组中排序后,会根据该组的子组在“组详细信息”选项卡上的排序顺序,来了解每个子组是否具有匹配
的标准。
• 排序会持续进行,直到为系统找不到具有匹配标准的子组为止,然后将系统放在找到的具有匹配标准的最后一
个组中。
7 如果找不到此类最高层级组,则会根据其排序来考虑这些组的子组(没有排序标准)。
8 如果找不到这样一个基于第二层级标准的组,则会考虑第二层级无限制组的基于标准的第三层级组。
不考虑具有不匹配标准的组的子组。组必须具有匹配标准或没有标准才能考虑在其子组中放置系统。
9 这一过程会继续在系统树中向下进行,直到将系统在组中排序。
如果将服务器的系统树排序设置配置为仅在代理与服务器首次通信时排序,则会在系统上设置一个标记。此标记表
示系统不会在代理与服务器通信时再次排序,除非将服务器设置更改为在每次代理与服务器通信时启用排序。
10 如果服务器不能将该系统分类到任何组中,则会将它放到不明来源组中以其域命名的子组内。
查看系统信息详细信息
您可以查看“系统树”中系统的详细信息和状态。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开“系统树”页面。
1 请选择“菜单” | “系统” | “系统树”。
2 单击“系统”选项卡和任意系统行。
2 单击“自定义”,以更改三个系统信息监视器中显示的信息。
• “摘要” — 默认情况下,显示“McAfee Agent 通信摘要”的结果。
• “属性” — 默认情况下,显示有关网络中系统位置和所安装代理的信息。
3 单击以下选项卡之一,以查看有关选定系统的其他详细信息:
选项 说明
“产品” 列出以下产品状态之一:
• “安装的产品” — McAfee Agent 与安装事件通信所针对的已安装产品的状态。
• “产品的部署任务状态” — 正在安装的更新版本现有产品部署任务的状态。
相同版本的产品或更早版本的同一产品的部署任务的状态会被忽略。
“应用的策略” 显示应用到该系统的策略的名称并按字母顺序列出。
“已应用的客户端任务” 显示分配到该系统的客户端任务的名称并按字母顺序列出。
“威胁事件” 列出威胁和其他事件,以及有关这些事件的详细信息。
创建和填充系统树组
为帮助您根据地理位置或计算机类型值将托管系统可视化,请创建系统树组并将系统填充到这些组中。
最佳实践:将选定的系统拖动到系统树中的任意组,以填充组。 通过拖放在系统树内移动组和子组。
系统树的组织方法并不是唯一的。 由于每个网络都各不相同,因此系统树的组织方式可能跟网络布局一样各有特点。
您可以使用多种组织方法。
手动将系统添加到现有组
将特定系统添加到选定的组。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开新建系统页。
a 选择 “菜单” | “系统” | “系统树”。
b 单击“新建系统”。
4 根据需要指定其他选项。
如果选择“推送代理并将系统添加到当前组”,则可以启用“系统树”自动排序。执行此操作可将排序标准应用到这些系
统。
5 单击“确定”。
手动创建组
创建系统树子组。。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开新建子组对话框。
a 选择 “菜单” | “系统” | “系统树”。
b 选择组,然后单击“新建子组”。
您也可以一次创建多个子组。
2 键入名称,然后单击“确定”。
新组随即显示在系统树中。
3 根据需要重复此过程,直到您准备好用系统填充这些组为止。使用以下某一流程将系统添加到系统树组:
• 手动键入系统名称。
从系统树导出系统
将系统树中的系统列表导出为 .txt 文件,以供日后使用。在保留系统树组织结构的同时,在组或子组级别进行导出。
系统树中的系统列表非常有用。您可以将此列表导入您的 McAfee ePO 服务器以快速还原之前的结构和组织。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 选择是否导出:
• “此组中的所有系统” — 导出指定“来源组”中的系统,但不导出此级别下嵌套的子组中列出的系统。
• “此组和子组中的所有系统” — 导出此级别和以下级别的所有系统。
4 单击“确定”。
此时会打开“导出”页。您可以单击“系统”链接以查看系统列表,或右键单击此链接以保存 “ExportSystems.txt” 文件
的副本。
创建组和系统的文本文件
创建一个文本文件,其中含有要导入到组中的网络系统的 NetBIOS 名称。您可以导入系统的简单列表,也可以将这些
系统整理成组。
通过在文本文件中键入组和系统名称来定义组及其系统。 然后将该信息导入到 McAfee ePO。
不管如何生成文本文件,在导入该文件之前您都必须使用正确的语法。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
GroupA\system1
GroupA\system2
GroupA\GroupB\system3
GroupC\GroupD
2 验证组和系统的名称以及文本文件的语法,然后将文本文件保存到服务器上的临时文件夹中。
从文本文件导入系统和组
从您创建并保存的文本文件中,将系统或系统组导入系统树。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开新建系统页。
a 选择 “菜单” | “系统” | “系统树”。
b 单击“新建系统”。
2 选择“将系统从文本文件导入选定的组,但不推送代理”。
3 选择导入文件中包含的内容:
• “系统和系统树结构”
• “仅限系统(作为简单列表)”
4 单击“浏览”,然后选择文本文件。
5 选择如何处理已存在于系统树其他位置的系统。
6 单击“确定”。
系统会被导入到系统树的选定组中。如果在文本文件中已将系统分成组,则服务器会创建组,并导入系统。
在基于标准的组中对系统排序
配置和实施要在组中排序的系统。对于要在组中排序的系统,必须启用排序,并且必须配置组的排序标准和排序顺序。
任务
• 将排序标准添加到组第 108 页
系统树组的排序标准可基于 IP 地址信息或标记。
• 在服务器上启用系统树排序第 109 页
要对系统进行排序,必须同时在服务器和系统上启用系统树排序。
• 在系统上启用或禁用系统树排序第 109 页
系统的排序状态决定是否可以在基于标准的组中对其排序。
• 手动排序系统第 109 页
通过启用基于标准的排序,将选定系统分到各个组中。
将排序标准添加到组
系统树组的排序标准可基于 IP 地址信息或标记。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在排序标准旁边,单击“编辑”。此时会显示选定组的排序标准页。
3 选择“符合下面任一标准的系统”,然后会显示标准选择。
虽然您可以针对组配置多个排序标准,但系统仅会匹配单个标准对组进行排序。
4 配置该标准。 选项包括:
• “IP 地址” — 使用该文本框定义 IP 地址范围或子网掩码,作为排序标准。地址处于该范围的系统均会被排序到
该组。
• “标记” — 单击“添加标记”并在“添加标记”对话框中执行以下步骤。
1 单击一个或多个标记名称,以在该父级组中添加系统并进行排序。
若要选择多个标记,请按住 “Ctl”“+”单击标记名称。
2 单击“确定”。
选择的标记会显示在排序标准页面上的标记中和组详细信息页面上的排序标准旁边。
5 重复上述步骤,直至重新为该组配置排序标准,然后单击“保存”。
在服务器上启用系统树排序
要对系统进行排序,必须同时在服务器和系统上启用系统树排序。
在此任务中,如果您仅在首次代理与服务器通信时排序,则会在下次代理与服务器通信时对所有启用的系统进行排序,
而且只要选择此选项,都不会再次排序。但是,手动采取“立即排序”操作,或者将此设置更改为在每次代理与服务器通
信时排序,即可再次对这些系统进行排序。
如果您在每次代理与服务器通信时排序,则只要选择了此选项,所有启用的系统都会在每次代理与服务器通信时进行排
序。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择是仅在首次代理与服务器通信时对系统排序,还是每次代理与服务器通信时都对系统排序。
在系统上启用或禁用系统树排序
系统的排序状态决定是否可以在基于标准的组中对其排序。
您可以更改任何系统表(如查询结果)中系统的排序状态,还可以在计划查询的结果上自动更改。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 在更改排序状态对话框中,选择是启用还是禁用选定系统的系统树排序。
根据系统树排序的设置,这些系统会在下次代理与服务器通信时进行排序。否则,这些系统只能通过“立即排序”操作
进行排序。
手动排序系统
通过启用基于标准的排序,将选定系统分到各个组中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
如果要在排序前预览排序结果,请单击“测试排序”。(但是,如果您从测试排序页中移动系统,则会对所有选定的系
统排序,即使这些系统禁用了系统树排序也是如此。)
3 单击“确定”以对系统排序。
导入 Active Directory 容器
通过将源容器映射到系统树组,将系统直接从 Active Directory 容器导入到您的系统树。
通过将 Active Directory 容器映射到组,您可以:
• 同步系统树结构与 Active Directory 结构,这样在 Active Directory 中添加或删除容器时,也会在系统树中添加或删
除相应的组。
• 防止系统树中出现其他组中已经存在的重复系统条目。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
您无法同步系统树的不明来源组。
2 在“同步类型”旁,单击“编辑”。此时会出现选定组的同步设置页。
5 选择是否为已存在于“系统树”中其他组的系统创建重复的条目。
如果您将 Active Directory 同步作为安全管理的起始点,并计划映射系统后使用系统树管理功能,则不要选择此选
项。
8 要排除特定的子容器,请单击“例外”旁边的“添加”,再选择要排除的子容器,然后单击“确定”。
12 同步完成后,查看系统树的结果。
导入系统后,将代理分发到这些系统(如果您没有选择自动分发代理)。
将 NT 域导入现有组
将系统从 NT 域导入到您手动创建的组。
通过将整个 NT 域与指定的组同步,可以自动填充组。通过此方法,可以轻松将网络中的所有系统以简单列表的形式一
次添加到系统树中,无需添加系统描述。
如果域很大,您可以创建子组来协助进行策略管理或组织。为此,首先将域导入系统树组,然后手动创建逻辑子组。
要跨几个域管理相同的策略,请将每个域导入同一组中的子组。 子组将会继承顶层组的策略设置。
使用此方法时,请:
• 在子组上设置 IP 地址或标记分类标准,以自动对导入的系统进行分类。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“同步类型”旁,单击“编辑”。此时会出现选定组的“同步设置”页。
4 在“位于系统树中其他位置的系统”旁边,选择如何处理存在于“系统树”其他组中的系统。
最佳实践:请勿选择“将系统添加到同步组并将其放置在当前的系统树位置”,特别是如果您仅将 NT 域同步作为安全
管理的开始点时。
7 选择在 NT 域中删除系统时,是否还从“系统树”中删除这些系统。可以选择删除已删除系统中的代理。
8 若要立即将组与域同步,请单击“立即同步”,然后等待直到域中的系统添加到组中。
单击“立即同步”“”会在同步组之前保存对同步设置的更改。 如果已启用 NT 域同步通知规则,则会为添加或删除的
每个系统生成一个事件。 这些事件出现在“审核日志”中,而且是可查询的。 如果选择将代理部署到已添加的系统,
则会开始对每个添加的系统进行部署。 同步完成后,会更新“上次同步”时间。 此时间和日期是同步完成的时间和日
期,而不是完成代理部署的时间和日期。
9 要手动将组与域同步,请单击“比较和更新”。
a 如果要通过此页从组中删除任何系统,请选择是否在删除系统时还删除代理。
b 根据需要,选择要添加到该组或从该组中删除的系统,然后单击“更新组”以添加选定的系统。此时会出现“同步
设置”页。
10 单击“保存”,然后查看“系统树”中的结果(如果已单击“立即同步”或“更新组”)。
在将系统添加到“系统树”后,将代理分发到这些系统(如果在同步时没有选择部署代理)。
请考虑设置一个可重复执行的 NT 域/Active Directory 同步服务器任务,以确保此组保持为最新,始终具有 NT 域中的
新系统。
计划系统树同步
计划一个服务器任务,该任务用映射域或 Active Directory 容器中的更改来更新系统树。
根据组同步设置,该任务会自动执行以下操作:
• 将网络上的新系统添加到指定的组。 • 删除域或容器中不再存在的系统。
• 将代理部署到新系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 在描述页上,对任务命名,选择在创建任务后是否启用该任务,然后单击“下一步”。
4 选择是同步所有组还是同步选定的组。如果您仅同步某些组,则请单击“选择同步组”并选择特定组。
5 单击“下一步”打开计划页。
6 安排该任务,然后单击“下一步”。
7 查看任务详细信息,然后单击“保存”。
除了在计划的时间运行任务外,您可以立即运行该任务:在服务器任务页上,单击该任务旁边的“运行”。
通过 NT 域手动更新同步的组
使用关联 NT 域的更改来更新同步组。
更新包括以下更改:
• 添加当前在域中的系统。
• 从系统树中删除不再出现在域中的系统。
• 从不再属于指定域的所有系统中删除代理。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“同步类型”旁,单击“编辑”。
3 选择“NT 域”,然后在接近页面的底部单击“比较和更新”。
4 如果从组中删除系统,则选择是否从已删除的系统中删除代理。
5 单击“全部添加”或“添加”,将系统从网络域导入选定的组。
单击“全部删除”或“删除”,以从选定组中删除系统。
6 完成后,单击“更新组”。
在系统树内部移动系统
将系统从系统树中的一个组移动到另一个组。您可以移动显示系统表的任何页面中的系统,包括查询结果。
除了以下步骤之外,您也可以将系统从系统表拖放到系统树中的任何组。
即使是在以完美方式组织且定期进行同步的系统树中,您可能也需要在组之间手动移动系统。例如,您可能需要定期从
不明来源组中移出系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 选择在移动选定系统时是启用还是禁用这些系统的系统树排序。
4 选择要存放系统的组,然后单击“确定”。
如果在两个组之间移动系统,移动的系统将继承分配到新组的策略。
传输系统的工作原理
您可以使用传输系统命令将托管系统从一个 McAfee ePO 服务器移动至另一个。 例如,从旧的 McAfee ePO 服务器到
新的 McAfee ePO 5.x 服务器。
在下列情况下,您可能需要传输托管系统:
• 您正在升级服务器硬件和操作系统。
从旧的服务器中导出您的安全密钥。
将安全密钥导入到新的服务器。
确认您可以在新服务器的“系统树”中查看这些系统。
确认这些系统不再显示在旧服务器的“系统树”中。
将系统从一个服务器传输到另一个服务器
使用传输系统选项,将系统从 McAfee ePO 4.x 旧服务器移动到 McAfee ePO 5.x 新服务器。
通过“自动导入站点列表”注册服务器并启用“传输系统”选项时,您可能会看到以下错误:
错误:导入站点列表前,必须将代理与服务器通信的主密钥导入远程服务器中。 请转至“服务器设置”以便从此服务器导
出安全密钥。 现在访问此链接会丢失对此已注册的服务器所做的所有未保存更改。
要确保注册成功,必须要导入两个密钥(1024 和 2048),从而在不出现问题的情况下保存“自动导入站点列表”。
任务
• 从旧的服务器中导出安全密钥第 115 页
导出 2048 位和 1024 位安全密钥。
• 将安全密钥导入到新的服务器第 115 页
将旧服务器中的 2048 位和 1024 位安全密钥导入到新服务器。
• 将旧服务器注册到新服务器第 116 页
注册新服务器。 例如,将 McAfee ePO 5.x 服务器注册到 McAfee ePO 4.x 服务器。
• 在服务器之间传输系统第 117 页
导入密钥并注册新服务器后,您可以使用旧服务器启动传输过程。
• 检查传输的计算机的状态第 117 页
验证您的系统现在是否显示在新服务器上。
从旧的服务器中导出安全密钥
导出 2048 位和 1024 位安全密钥。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 登录到控制台。
3 单击“设置类别”列下的“安全密钥”,然后单击“编辑”。
此时会打开编辑安全密钥页面。
b 单击“确定”,以确认导出密钥确认消息。
c 单击“保存”。
e 再次单击“保存”。
b 单击“确定”,以确认导出密钥确认消息。
c 单击“保存”。
e 再次单击“保存”。
将安全密钥导入到新的服务器
将旧服务器中的 2048 位和 1024 位安全密钥导入到新服务器。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 登录到新控制台。
3 单击“设置类别”列中的“安全密钥”,然后单击“编辑”。
4 单击“导入”。
5 导入 2048 位密钥。
a 单击“浏览”,查找导出的 2048 位安全密钥 .zip 文件。
b 单击“打开”。
c 单击“下一步”。
d 确认您已在摘要选项卡上选择正确的密钥,然后单击“保存”。
6 导入 1024 位密钥。
a 单击“浏览”,查找导出的 1024 位安全密钥 .zip 文件。
b 单击“打开”。
c 单击“下一步”。
d 确认您已在摘要选项卡上选择正确的密钥,然后单击“保存”。
将旧服务器注册到新服务器
注册新服务器。 例如,将 McAfee ePO 5.x 服务器注册到 McAfee ePO 4.x 服务器。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 从旧服务器登录到控制台。
3 单击“新建服务器”。
4 从“服务器类型”下拉列表中选择“ePO”,在“名称”部分键入该服务器的名称,然后单击“下一步”。
5 将凭据键入到新服务器中,然后单击“测试连接”。
6 如果测试成功,请针对“传输系统”条目选择“启用”。
7 请确保已选择“自动导入站点列表”并单击“保存”。
• 此时还提供“手动导入站点列表”选项,可在您希望通过选择现有“SiteList.xml”文件进行手动导入时使用。
• 在 McAfee ePO 4.6 服务器上,您仅可以根据 McAfee ePO 版本选择 4.6 版本或之前版本。 测试与已注册服务器的
数据库的连接后,您会看到以下警告:
数据库连接成功! 警告:版本不匹配!
在服务器之间传输系统
导入密钥并注册新服务器后,您可以使用旧服务器启动传输过程。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 登录到旧服务器。
3 选择需要传输的系统。
进行传输前,请确保选定系统正在与旧服务器通信。
5 选择新服务器,并单击“确定”进行传输。
必须等待两个代理与服务器之间的通信时间间隔,然后系统才会显示在新服务器的系统树中。 所需时长取决于您的
配置。 代理与服务器的默认通信时间间隔为一小时。
检查传输的计算机的状态
验证您的系统现在是否显示在新服务器上。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
您的系统列在“系统树”中。
您的系统未列在“系统树”中。
自动响应功能如何与系统树交互
计划实施自动响应前,请了解此功能是如何与系统树配合工作的。
该功能不会采用强制实施策略时使用的继承模型。
自动响应会使用您的环境中系统上发生的事件并配置响应规则。 这些规则与包含受影响系统的组及各个父级相关联。
发生事件时,系统会将事件传递到服务器。 如果满足规则的条件,则会执行指定的操作。
该设计使您可以在不同级别的系统树配置独立的规则。这些规则可以存在以下不同:
系统树位置不会过滤服务器事件。
标记
使用标记识别系统,并对其排序。 标记和标记组允许您选择系统组并可简化任务和查询的创建过程。
创建标记
使用新建标记生成器可快速创建标记。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“描述”页上,输入名称和有意义的描述,然后单击“下一步”。此时会显示“标准”页。
3 选择并配置标准,然后单击“下一步”。此时会显示“评估”页。
要自动应用标记,请为标记配置标准。
4 选择仅在采取“运行标记标准”操作时按照标记的标准评估系统,还是在每次代理与服务器通信时也执行该评估,然
后单击“下一步”。此时会显示“预览”页。
如果没有配置标准,则这些选项不可用。当按照标记标准评估系统时,标记会应用到符合标准且尚未从标记中排除
的系统。
5 验证此页上的信息,然后单击“保存”。
如果标记有标准,则此页会显示按照其标准评估时接收此标记的系统的数量。
该标记会添加到“标记目录”页中“标记树”的选定标记组下。
管理标记
使用新建标记生成器创建标记后,使用操作列表编辑、删除和移动标记。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从“标记”列表,选择一个或多个标记,然后执行以下任一任务:
1 编辑标记 — 单击“操作” | “编辑”,然后从“编辑标记生成器”中:
受影响的系统数量会列在页面顶端。
a 在“描述”页上,键入名称和有意义的描述,然后单击“下一步”。
b 选择并配置标准,然后单击“下一步”。
要自动应用标记,您必须为标记配置标准。
c 选择仅在采取“运行标记标准”操作时按照标记的标准评估系统,还是在每次代理与服务器通信时也执行该评
估,然后单击“下一步”。
如果没有配置标准,则这些选项不可用。当按照标记的标准评估系统时,标记会被应用到符合标准且未从标
记中排除的系统。
d 验证此页上的信息,然后单击“保存”。
如果标记有标准,则此页会显示按照其标准评估时接收此标记的系统的数量。
该标记会在“标记树”选定标记组下的“标记目录”页更新。
您也可以将标记拖放至标记组树中的标记组中。
创建、删除和修改标记子组
标记子组可允许您将标记子组套嵌至四层深度,每个父组下可包含 1,000 个标记子组。这些标记组可允许您使用基于
标准的排序,以便自动将系统添加至正确的组中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从“标记目录”页面中,选择这些操作中的一个。
操作 步骤
创建标记子组 1 在“标记树”中,选择您希望创建标记子组的标记组(或父标记组)。
2 单击“新建子组”以查看“新建子组”对话框。
3 在“名称”字段中,输入新标记子组的说明性名称。
4 单击“确定”以创建标记子组。
重命名标记子组 1 在“标记树”中,选择您要重命名的标记子组。
2 单击“标记树操作” | “重命名组”,以打开“重命名子组”对话框。
3 在“名称”字段中,输入标记子组的新名称。
4 单击“确定”即可重命名标记子组。
删除标记子组 1 在“标记树”中,选择您要删除的标记子组。
3 确定您要删除标记子组后,单击“确定”便可删除标记子组。
阻止系统自动应用标记
防止系统应用特定的标记。
您还可以使用查询收集系统,然后从查询结果的这些系统中排除标记。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 在“排除标记”对话框中,选择标记组,再选择要排除的标记,然后单击“确定”。
若要将列表限制到特定标记,请在“标记”下的文本框中键入标记名称。
4 验证是否已从标记中排除相关系统:
a 选择“菜单” | “系统” | “标记目录”,然后在标记列表中选择该标记或标记组。
b 在“含此标记的系统”旁,单击要从基于标准的标记应用程序中所排除系统数量的链接。此时会显示“从此标记排
除的系统”页。
c 验证系统是否在列表中。
创建查询来按照标记列出系统
安排查询以创建列表,从而根据所选标记显示、应用或删除系统上的标记。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 在描述页上,对该任务进行命名和描述,然后单击“下一步”。
3 从“操作”下拉菜单中,选择“运行查询”。
4 在“查询”字段中,从“McAfee 组”选项卡中选择一个查询,然后单击“确定”。
• “非活动代理”
• “重复的系统名称”
• “具有大量序列错误的系统”
• “最近没有序列错误的系统”
• “非托管系统”
5 选择显示结果使用的语言。
6 根据结果,从“子操作”列表中选择要采取的一项子操作。
• “应用标记” — 将选定标记应用于查询所返回的系统。
• “清除标记” — 从查询返回的系统中删除选定的标记。选择“全部清除”可以从查询结果所列的系统中删除所有标
记。
• “排除标记” — 从查询结果中排除已应用选定标记的系统。
7 在“选择标记”窗口中,从“标记组树”中选择一个标记组,并可选择使用“标记”文本框来过滤标记列表。
您可以对查询结果选择多项操作。单击“+”按钮可以添加其他操作。请小心地按您希望的操作发生顺序来排列操作。
例如,您可以先应用服务器标记,然后删除工作站标记。您还可以添加其他子操作,比如向系统分配策略。
8 单击“下一步”。
9 安排该任务,然后单击“下一步”。
10 检查任务的配置情况,然后单击“保存”。
任务将添加到服务器任务页面上的列表中。如果已启用此任务(默认设置),则它会在下个计划的时间运行。如果已禁
用此任务,则只有单击此任务旁的“运行”才能运行此任务。
将标记应用到所选系统
手动将标记应用到系统树中选定的系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 在“应用标记”对话框中,选择标记组,再选择要应用的标记,然后单击“确定”。
若要将列表限制到特定标记,请在“标记”下的文本框中键入标记名称。
4 验证是否已应用标记:
a 选择“菜单” | “系统” | “标记目录”,然后从标记列表中选择标记或标记组。
b 在详细信息窗格的“含此标记的系统”旁,单击链接以获取手动标记的系统的数量。此时会显示“含有手动应用的
标记的系统”页。
c 验证系统是否在列表中。
清除系统中的标记
删除选定系统中的标记。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 在“清除标记”对话框中,执行以下步骤之一,然后单击“确定”。
• 删除特定标记 – 选择标记组,然后选择标记。
若要将列表限制到特定标记,请在“标记”下的文本框中键入标记名称。
• 删除所有标记 — 选择“全部清除”。
4 验证标记是否已删除:
a 选择 “菜单” | “系统” | “标记目录”,然后从标记列表中选择标记或标记组。
b 在详细信息窗格的“含此标记的系统”旁,单击链接以获取手动标记的系统的数量。此时会显示“含有手动应用的
标记的系统”页。
c 验证系统是否在列表中。
将基于标准的标记应用到所有匹配的系统
将基于标准的标记应用到所有符合指定标准的非排除系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击 “操作” | “运行标记标准”。
3 在操作窗格中,选择是否重置手动标记和排除的系统。
重置手动标记和排除的系统会从不符合标准的系统删除标记,并将标记应用到符合标准但已排除接收标记的系统。
4 单击“确定”。
5 验证系统是否已应用标记:
a 选择 “菜单” | “系统” | “标记目录”,然后从标记列表中选择标记或标记组。
b 在详细信息窗格的含此标记的系统旁,单击链接以获取含有按标准应用标记的系统的数量。 此时会显示含有按
标准应用的标记的系统页。
c 验证系统是否在列表中。
该标记被应用到所有符合其标准的系统。
按计划应用基于标准的标记
计划一个定期执行的任务,以将标记应用到符合标记标准的所有系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 在说明页面上,对任务进行命名和说明,并选择任务是否在创建完成后即启用,然后单击“下一步”。此时会显示操
作页。
3 从下拉列表中选择“运行标记标准”,然后从“标记”下拉列表中选择标记。
4 选择是否重置手动标记和排除的系统。
重置手动标记和排除的系统会实现以下两种效果:
• 删除不符合标准的系统中的标记
• 将标记应用到符合标准但因被排除而无法接收标记的系统
5 单击“下一步”打开计划页。
6 根据所需次数计划任务,然后单击“下一步”。
7 查看任务设置,然后单击“保存”。
该服务器任务被添加至服务器任务页面的列表中。如果您选择启用服务器任务生成器中的任务,则该任务会在下个计划
时间运行。
每个用户帐户都与一个或多个权限集相关联,权限集定义了允许用户对软件执行的操作。
目录
用户
用证书进行身份验证
权限集
用户
用户帐户可以用于控制用户访问和使用 McAfee ePO 的方式。
您可以手动创建用户帐户,然后为每个帐户分配相应的权限集。您还可以配置 McAfee ePO 服务器,使用户能够通过
Windows 身份验证登录,但该过程需要进行配置以及安装多个设置和组件。
如果用户帐户和权限集密切相关,则它们将通过不同的步骤进行创建和配置。
管理用户帐户
您可以从用户页面中手动创建、编辑和删除用户帐户。
最佳实践:禁用帐户的登录状态,而不是将其删除。 当您确认将与此帐户关联的所有重要信息都已移动到其他用户时,
可以删除登录状态。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下一项任务。
任务 步骤
创建用 1 单击“新建用户”。 5 [可选] 提供用户的全名、电子邮件地址、电
户 话号码和说明。
2 键入用户名。 6 将用户设置为管理员,或为此用户选择适当
的权限集。
3 选择是启用还是禁用此帐户的登录状态。如 7 单击“保存”返回到用户选项卡。
果此帐户是供非组织成员使用的帐户,则建
议您将其禁用。
4 选择新帐户要使用的身份验证类型,然后提
供所需凭证,或者浏览并选择证书。
新用户将出现在用户列表中。
3 单击“保存”。
用户更改将出现在用户列表中。
• 注册 LDAP 服务器。
用户身份验证
McAfee ePO 用户可通过 McAfee ePO 密码身份验证或 Windows 身份验证进行身份验证。 如果使用 Windows 身份验
证,则可以指定用户是否使用以下身份验证方法:
• 针对您的 McAfee ePO 服务器联接到的域(默认)。
• 向一个或一系列域控制器验证身份。
• 使用 WINS 服务器查找适当的域控制器。
不支持通过单向外部信任机制信任的用户。
Windows 授权
用于 Windows 授权的服务器设置指定 McAfee ePO 使用哪种 Active Directory (AD) 服务器为特定域收集用户和组信
息。 您可以指定多个域控制器和 AD 服务器。 此服务器设置支持为那些在登录时提供 Windows 凭据的用户动态分配
权限集。
分配权限
为用户主组以外的 AD 组至少分配一个权限集。不支持为用户的主组动态分配权限集,因为这会导致仅应用手动分配给
单个用户的权限。默认的主要组是域用户。
支持通用组
McAfee ePO 部分支持 Active Directory 通用组。
在检索组信息时会限制其与一个域的通信。
在针对通用组检索组成员时支持以下功能:
• 在通用组中直接查找成员
• 通过嵌套通用组间接查找成员
• 如果该组与用于执行查找的全局目录处于同一个域,则通过全局或本地域组间接查找成员
最后,如果该组与用于执行查找的全局目录处于不同的域,则不支持间接成员。
Windows 身份验证和授权策略
当计划如何注册 LDAP 服务器时,您可以采取多种方式。提前花点时间计划您的服务器注册策略,将有助于您首次设
置正确,从而减少有关用户身份验证的问题。
理想情况下,您只需完成一次身份验证和授权过程,并且仅当整个网络拓扑发生变化时才进行更改。在注册了服务器和
配置了 Windows 身份验证之后,您应该不需要经常修改这些设置。
身份验证与授权
身份验证就是将用户提供的凭据与系统信任的某样东西相匹配,从而验证用户身份的真实性。该信任可能是 McAfee
ePO 服务器帐户、Active Directory 凭据或证书。如果要使用 Windows 身份验证,请检查包含您用户帐户的域(或服
务器)的组织方式。
该软件在您验证用户凭据之后完成授权。您可以应用权限集并确定用户在系统内可执行的操作。Windows 身份验证允
许您为不同域中的用户设置权限。将权限集附加到这些域内所包含的组中。
用户帐户网络拓扑
完全配置 Windows 身份验证和授权所需的精力取决于您的网络拓扑,以及整个网络中用户帐户的分布情况。
• 如果用户凭据包含在单个域树中的一小组域或服务器中,则注册该树的根。
• 如果您的用户帐户更加分散,则注册若干服务器或域。确定您所需的域(或服务器)子树的最小数量,然后注册这
些树的根。尝试按使用情况的顺序来注册它们。将最常用的域放在列表顶部,这样可以提高平均的身份验证性能。
权限结构
为了使用户通过 Windows 身份验证登录到 McAfee ePO 服务器,必须将权限集附加到用户帐户所属域中的 Active
Directory 组。在确定权限集的分配方式时,请考虑以下功能:
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“服务”。
5 重新启动该服务器。
在下次打开服务器设置页时,会出现一个“Windows 身份验证”选项。
配置 Windows 身份验证
可通过很多方式来使用 ePolicy Orchestrator 中的现有 Windows 帐户凭据。
开始之前
您必须首先准备好服务器以用于 Windows 身份验证。
这些设置的配置方式取决于多个问题:
• 是否要使用多个域控制器?
• 您是否将用户分布在多个域中?
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“编辑”。
4 在添加完服务器之后,请单击“保存”。
配置 Windows 授权
使用 Windows 身份验证尝试登录 McAfee ePO 服务器的用户需要为其中一个 Active Directory 组分配的权限集。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从“权限集”列表中选择现有权限集并在“名称和用户”部分中单击“编辑”,或者单击“新建权限集”。
3 选择权限集适用于的任何个人用户。
4 从列表中选择“服务器名称”,然后单击“添加”。
5 在 LDAP 浏览器中,浏览至各个组,并选择此权限集适用于的组。
在“浏览”窗格中选择项目会在“组”窗格中显示该项目的成员。可以选择任意数量的组来动态接收权限集。一次只能添
加一个项目中的成员。要添加多个成员,请重复步骤 4 和 5,直至完成添加。
6 单击“保存”。
创建自定义登录消息
创建并显示将要在登录页面上显示的自定义登录消息。
消息可以是纯文本形式,也可以使用 HTML 格式。如果您创建的是 HTML 格式的消息,则需要负责所有的格式和转
义。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“显示自定义登录消息”,然后键入您的消息并单击“保存”。
将用户会话限制到单个 IP 地址
将登录限制到单个 IP 地址,可避免受到利用持续性会话信息所发出的攻击。
默认情况下,系统会在多个 IP 地址保持用户会话。保持用户会话可让用户在更改位置时无需重复登录。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“将会话限制到单个 IP 地址”。
3 单击“保存”。
审核日志
使用审核日志,以维护和访问所有 McAfee ePO 用户操作的记录。 审核日志条目显示在可排序的表中。 为了增强灵活
性,还可以筛选日志以仅显示失败的操作或仅显示特定期限内的条目。
审核日志显示以下列:
• “优先级” - 操作的重要性。
审核日志信息以企业管理员所在地区的语言显示。
审核日志条目可作为查询的对象。您可以通过查询生成器创建以此数据作为目标的查询,也可以使用以此数据作为目标
的默认查询。例如,失败的登录尝试查询会检索所有失败登录尝试的表。
查看用户操作
审核日志会显示过去的用户操作。 使用审核日志跟踪 McAfee ePO 服务器的访问以及用户所做的更改。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 排序和过滤表格,以注重相关条目。
• 要更改显示的栏,请单击“选择栏”。
• 要排序表格项目,请单击栏标题。
• 要隐藏不相关的条目,请从下拉列表中选择过滤器。
3 要查看其他详细信息,请单击条目。
从审核日志删除过时操作
从审核日志表格定期删除过时操作,以改善数据库性能。
从“审核日志”删除的项目将永久删除。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“清除”。
3 在清除对话框中,输入一个数字,然后选择时间单位。
4 单击“确定”。
早于或位于指定时间的任何项目都会被删除,包括当前视图中未显示的项目。删除的项目数量会显示在页面的右下角。
创建服务器任务以自动删除过时的项目。
用证书进行身份验证
启用基于证书的身份验证,从而使用户能够通过有效的客户端证书(而非用户名和密码)访问 McAfee ePO。
客户端证书身份验证是一种公共密钥身份验证。 它与公共密钥身份验证有所不同,因为公共密钥身份验证只需要您信
任一个受信的第三方,称为证书颁发机构(或 CA)。 证书是将身份信息和公共密钥结合在一起的数字文档。 CA 对证
书进行数字签名,并验证信息的准确性。
用户尝试使用基于证书的身份验证访问 McAfee ePO 时,McAfee ePO 会对客户端证书进行检查,以确保证书经过签
名。 客户端证书通过验证后,会授予用户访问权限。
证书已预先定义到期日期,证书到期时,系统会强制要求审阅用户权限。
对于已配置有效证书的用户,基于证书的身份验证可以替代密码身份验证。而其他所有用户仍需要提供密码才能够访问
McAfee ePO。
开始之前
您必须拥有 P7B、PKCS12、DER 或 PEM 格式的签名证书。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开编辑基于证书的身份验证页面。
a 选择“菜单” | “配置” | “服务器设置”。
b 从“设置类别”列表选择“基于证书的身份验证”,并单击“编辑”。
2 选择“启用基于证书的身份验证”。
3 单击“客户端证书的 CA 证书”旁的“浏览”,查找并选择证书文件,然后单击“确定”。
应用某个文件之后,提示会更改为“替换当前 CA 证书”。
5 根据需要配置任何高级设置或可选设置。
• 如果您拥有证书吊销列表 (CRL) 文件,请单击“浏览”,查找并选择 CRL 文件,然后单击“确定”。
• (可选)配置在线证书状态协议 (OCSP),作为检查证书真实性的备用方法或额外方法。
1 单击“启用 OCSP 检查”。
• 如果需要所有远程用户使用基于证书的身份验证,请单击“远程用户使用证书登录”。
6 单击“保存”。
禁用基于证书的身份验证
如果您的网络环境中不再使用证书,则请将基于证书的身份验证选项删除。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开编辑基于证书的身份验证页面。
a 选择“菜单” | “配置” | “服务器设置”。
b 从“设置类别”列表选择“基于证书的身份验证”,并单击“编辑”。
2 取消选中“基于证书的身份验证”,然后单击“保存”。
配置用户帐户进行基于证书的身份验证
用户必须先配置基于证书的身份验证,才能使用客户端证书进行身份验证。
用于基于证书的身份验证的客户端证书通常通过智能卡或类似设备获得。与智能卡硬件捆绑的软件可以提取证书文件。
该提取的证书文件通常就是该过程中上传的文件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开“编辑用户”页面。
a 选择“菜单” | “用户管理” | “用户”。
b 从“用户”列表中,选择一个用户,然后单击“操作” | “编辑”。
2 在“身份验证类型”旁边,选择“更改身份验证或凭据” | “基于证书的身份验证”。
3 使用以下任一方法提供凭据。
• 复制证书文件中的识别名字段并将其粘贴到“个人证书使用者识别名字段”编辑框中。
• 上传经过签名的证书文件:单击“浏览”查找并选择证书文件,然后单击“确定”。
4 单击“保存”将更改保存到用户的配置。
更新证书吊销列表
为防止为基于证书的身份验证配置的特定用户访问 McAfee ePO,请将用户的客户端证书添加至您的 McAfee ePO 服
务器上安装的证书吊销列表 (CRL) 中。
开始之前
您必须已经具有 ZIP 或 PEM 格式的 CRL 文件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“基于证书的身份验证”,然后单击“编辑”。
4 单击“保存”可以保存所有更改。
要从此命令行运行 cURL 命令,请安装 cURL 并授予对 McAfee ePO 服务器的远程访问权限。 有关 cURL 下载详细信息
和其他示例,请参阅《“McAfee ePolicy Orchestrator Web API 脚本编写手册”》。
在 cURL 命令行中键入:
在此命令中:
• <管理员证书> - 管理员客户端证书 .PEM 文件名
对基于证书的身份验证进行故障排除
有关使用证书的大多数身份验证问题是由一些问题引起的。
如果用户无法使用其证书登录,请尝试以下选项之一来解决问题:
• 验证证书是否已过期或被撤消。 • 验证浏览器是否提供正确的证书。
• 验证证书是否由正确的证书颁发机构签署。 • 检查审核日志有无身份验证消息。
权限集
权限集用于控制用户对于软件中提供的功能必须具有的访问级别。
要创建更安全的环境,即使是最小的安装,也请指定和控制用户对系统不同部分的访问权限。
目录
用户、组和权限集如何相互合作
管理权限集
用户、组和权限集如何相互合作
McAfee ePO 通过用户、组和权限集之间的交互控制对项目的访问权限。
管理员
管理员具有读写权限以及执行所有操作的权限。在安装服务器时,系统会自动创建一个管理员帐户。默认情况下,此帐
户的用户名为“admin”。如果在安装期间更改了此默认值,则该帐户也会进行相应的命名。
您可以为需要管理权限的用户创建其他管理员帐户。
管理员独有的权限包括:
• 创建、编辑和删除来源站点和备用站点。 • 添加、删除和分配权限集。
• 添加和删除用户帐户。
用户
用户可被分配任意数量的权限集,以定义他们在 McAfee ePO 内的访问权限级别。
可以通过多种方式创建和管理用户帐户。您可以执行以下操作:
• 手动创建用户帐户,然后为每个帐户分配相应的权限集。
组
将查询和报告分配到各组。每个组可以被设置为(仅对该用户)专有、全局公开(或“共享”)、或由一个或多个权限集
共享。
权限集
具体访问配置文件在权限集中定义。 此配置文件通常包含对 McAfee ePO 不同部分的访问权限级别的组合。 例如,一
个权限集可能授予读取审核日志、使用公共和共享信息显示板、创建和编辑公共报告或查询的功能。
默认权限集
McAfee ePO 提供以下四种默认权限集,从而提供使其正常运行的权限:
• 执行审阅者 — 提供对信息显示板、事件和联系人的查看权限并可以查看与整个系统树相关的信息。
• 全局审阅者 — 提供所有功能、产品和系统树(除扩展、多服务器汇总数据、注册的服务器和软件外)的全局查看
访问权限。
用户组管理员或全局管理员可以根据需要编辑封装的权限集。
升级产品扩展时:
• 产品经过编辑的封装权限集会保留默认的封装权限集。
• 产品被删除的权限集会重新添加。
管理权限集
从权限集页面可以控制用户访问、创建、更改、导出和导入权限集。
全面定义您的权限集后,迁移这些权限集的最快捷方式是将其导出并导入到其他服务器。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下一项操作。
操作 步骤
添加权 1 单击“新建权限集”。
限集
2 为新权限集键入一个独特的名称。
3 要立即将特定用户分配到该权限集,请在用户部分中选择其用户名。
3 更改权限,然后单击“保存”。
3 单击“确定”。
导出权 单击“全部导出”。
限集 McAfee ePO 服务器将 XML 文件发送至您的浏览器。 接下来出现的情况取决于您的浏览器设置。 大多
数浏览器会要求您保存文件。
XML 文件仅包含具有已定义的权限级别的角色。 例如,如果权限集没有查询和报告权限,则该文件中不
会显示任何条目。
导入权 1 单击“导入”。
限集
2 单击“浏览”导航到具备您要导入的权限集的 XML 文件,并选择该文件。
3 选择相应的选项,以决定是否要使权限集名称与导入的权限集相同。 单击“确定”。
如果 McAfee ePO 无法在指定文件内找到有效的权限集,则会显示一条错误消息并停止导入过程。
权限集已经添加到服务器中,并且显示在权限集列表中。
目录
软件管理器中包含的项
使用软件管理器签入、更新和删除软件
检查产品兼容性
软件管理器中包含的项
使用软件管理器,不需要访问 McAfee 产品下载网站即可获取新的 McAfee 软件和软件更新。
您可以使用软件管理器下载:
• “许可软件”是指您的组织已经从 McAfee 购买的任何软件。 未签入的软件产品类别提供您的服务器上目前尚未安装
的许可软件列表。 “产品类别”列表中的每个子类别旁显示的数字表示可用的产品数。
• “评估软件”是指您的组织目前尚未购买许可证的软件。 您可以在服务器上安装评估软件,但是其功能可能会受到限
制,除非您获得了产品许可证。
DAT 和引擎无法通过软件管理器获得。
关于软件组件依赖项
您可以安装用于 McAfee ePO 服务器的许多软件产品具有针对其他组件的预定义依赖项。产品扩展的依赖项会自动安
装。对于其他所有产品组件,您必须检查组件详细信息页中的依赖项列表,然后首先安装这些依赖项。
软件管理器用户界面
“软件管理器”用户界面有以下主要功能,可以帮助您查看和操纵您的新软件和现有软件。
选项 定义
“产品类别” 您可在此处搜索或选择要在选定的产品表中查看或操纵的产品。
“选定的产品表,分为三个部分:”
列出产品及其状态 选择该列表中的产品,然后详细信息和操纵功能会显示在详细信息和组件行中。
产品详细信息行 列出产品说明及其状态,允许过滤语言并提供以下操作:
“全部签入” 签入选定产品的所有新版本和组件。
“全部更新” 将选定产品的所有现有版本和组件更新为最新版本。
选项 定义
“全部删除” 删除选定产品的所有版本和组件。
组件行 显示选定产品的所有组件,并根据组件允许您签入、更新、删除或下载单个组件。
使用软件管理器签入、更新和删除软件
使用软件管理器,可以在服务器中签入、更新和删除托管的产品组件。
许可软件和评估软件均可以在软件管理器中访问。
软件的可用性以及它属于“已授权”还是“评估”类别取决于许可证密钥。 有关详细信息,请与管理员联系。
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
任务
1 单击 “菜单” | “软件” | “软件管理器”。
2 在“软件管理器”页的“产品类别”列表中,请选择以下类别之一,或使用搜索框查找您的软件:
• “有可用的更新” — 列出了已安装或已签入到 McAfee ePO 服务器中的许可软件组件的所有可用更新。
• “已签入的软件” — 显示已安装或已签入此服务器的所有软件(包括“许可”软件和“评估”软件)。
如果您最近已为某个产品添加了许可证,而它却显示为“评估”,请单击“刷新”以更新许可计数,并在“已签入的软
件”下将该产品显示为“许可”。
• “未签入的软件” — 显示此服务器上未安装的任何可用软件。
3 找到正确的软件后,请选择适用于软件中所有组件或单个组件的操作。
• 针对软件中所有组件,请单击:
• “全部签入”,以签入该服务器上新产品的所有组件。
• “全部更新”,以更新该服务器上现有产品的所有组件。
• “全部删除”,以删除该服务器上现有产品的所有组件。
• 针对软件中的单个组件,请单击:
• “下载”,以将软件或产品文档下载到您网络上 • “更新”,以更新安装或签入到此服务器中的现
的某个位置。 有包或扩展。
• “签入”,以在该服务器上签入新产品扩展。
4 在“签入软件摘要”页中,查看产品详细信息并接受最终用户许可协议 (EULA),然后单击“确定”完成该操作。
检查产品兼容性
您可以配置产品兼容性检查,从 McAfee 自动下载产品兼容性列表。
此列表标识了 McAfee ePO 环境中不再兼容的产品。
• 从扩展菜单中安装扩展时 • 运行数据迁移工具时
• 从软件管理器中检索新扩展之前
产品兼容性检查
产品兼容性检查使用 XML 文件(即产品兼容性列表)确定哪些产品扩展与 McAfee ePO 版本不兼容。
补救
通过安装程序或升级兼容性实用工具查看不兼容扩展列表时,系统会通知您是否存在已知的替代扩展。
某些情况下,进行升级时:
• 扩展会阻止升级,必须将其删除或替代才可以继续升级。
禁用自动更新
您可能需要禁用产品兼容性列表的自动更新功能。 该下载会:
• 作为后台任务的一部分进行。
• 在您重新启用产品兼容性列表的下载设置(也重新启用产品兼容性列表的软件管理器自动更新功能)时运行。
使用手动下载的产品兼容性列表
如果您的 McAfee ePO 服务器无法访问 Internet,您可以使用手动下载的产品兼容性列表。
在以下情况,您可以手动下载该列表:
• 安装 McAfee ePO 时。
最佳实践:禁用列表的自动更新功能,以防止覆盖手动下载的产品兼容性列表。
打开 https://epo.mcafee.com/ProductCompatibilityList.xml,以手动下载该列表。
被阻止或被禁用的扩展
如果扩展在产品兼容性列表中被阻止,则它会阻止 McAfee ePO 软件更新。如果扩展被禁用,则不会阻止升级,但扩
展不会在升级完成后初始化,除非安装已知的替代扩展。
安装产品兼容性列表时使用的命令行选项
您可以将这些命令行选项与 setup.exe 命令配合使用,来配置产品兼容性列表下载。
命令 说明
setup.exe DISABLEPRODCOMPATUPDATE=1 禁用从 McAfee 网站自动下载产
品兼容性列表的功能。
{0>setup.exe 指定备用的产品兼容性列表文
PRODCOMPATXML=<full_filename_including_path><}0{>setup.exe 件。
PRODCOMPATXML=<包含路径的完整文件名><0}
可在命令字符串中同时使用这两个命令行选项。
重新配置产品兼容性列表下载
您可以从 Internet 下载产品兼容性列表,或使用手动下载的列表来识别您的 McAfee ePO 环境中不再兼容的产品。
任何手动下载的产品兼容性列表都必须是 McAfee 提供的有效 XML 文件。 如果您对产品兼容性列表 XML 文件做出任
何更改,则文件不再有效。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 单击“浏览”并导航至“上载产品兼容性列表”,然后单击“保存”。
当您需要在常规计划的任务之外发布新产品时,您可以手动将其签入。
目录
管理产品
手动签入包
从主存储库中删除 DAT 或引擎包
在各分支之间移动 DAT 和引擎包
手动签入引擎、DAT 和 Extra.DAT 更新包
最佳实践:自动化 DAT 文件测试
管理产品
必须先安装产品扩展,然后 McAfee ePO 才可以管理产品。
开始之前
确保扩展文件位于网络上的可访问位置。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
无法安装扩展 com.mcafee.core.cdm.CommandException:无法在运行提取任务的同时签入选定的包。
请等待主存储库更新完成,然后重新尝试安装扩展。
2 浏览至扩展文件并选择该文件,然后单击“确定”。
3 验证产品名称是否显示在“扩展”列表中。
手动签入包
将部署包签入主存储库以使用 ePolicy Orchestrator 软件进行部署。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开签入包向导。
a 选择“菜单” | “软件” | “主存储库”。
b 单击“签入包”。
2 选择包类型,然后浏览到包文件并选择此文件。
3 单击“下一步”。
4 确认或配置以下选项:
• “包信息” — 确认此为正确包。
• “选项” — 选择是否要:
• “将现有包移到‘早期’分支” — 选择该选项后,如果有同类型的新包签入,则会将主存储库“当前”分支中的包
移到“早期”分支中。仅当您在“分支”中选择“当前”后,此选项才可用。
5 单击“保存”开始签入包,然后等待完成包签入。
此时新包显示在“主存储库中的包”列表中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在包行中,单击“删除”。
3 单击“确定”。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在包的行中,单击“更改分支”。
3 选择是否将包移到或复制到其他分支。
4 选择接收包的分支。
®
5 单击“确定”。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开签入包向导。
a 选择“菜单” | “软件” | “主存储库”。
b 单击“签入包”。
2 选择包类型,然后浏览到包文件并选择此文件,然后单击“下一步”。
3 选择分支:
• “当前” — 未经测试即使用包。
• “评估” — 先在实验室环境中使用包。
• “早期” — 使用早期版本接收包。
4 在“选项”旁边,选择“将现有包移到‘早期’分支”,对现有包进行存档。
5 单击“保存”,开始签入包。请等待完成包签入。
此时新包显示在“主存储库中的包”列表中。
各个组织的兼容性验证流程各有不同。 该部分的流程旨在将许多兼容性验证流程自动化并降低对管理员干预的要求。
DAT 文件验证概述
按需扫描任务会在测试组上频繁运行。
根据按需扫描输出,会出现以下一种情况:
如果 DAT 与测试组不兼容,系统会将自动响应电子邮件发送给相应的管理员。 该电子邮件会告知管理员停止从
“当前”存储库发布 DAT 文件。
否则,待指定时间后,服务器任务会将存储库评估分支中的文件复制到当前分支。 然后这些文件会被自动发送
至其余托管系统中。
• 当前分支 — 默认情况下是最新包和更新的主要存储库分支。
• 另一项服务器任务在对系统的测试组进行扫描后数小时执行。 到时候,除非管理员停止该服务器任务,否则它会自
动将评估分支中的 DAT 文件复制到当前分支。
任务
• 最佳实践:配置任务,以将 DAT 提取到评估分支第 145 页
若要将 DAT 文件测试流程自动化,必须要创建任务,以自动将 DAT 文件从 McAfee 公共站点提取到评估
存储库分支。
• 最佳实践:配置服务器任务,以将文件从评估分支复制到当前分支第 146 页
若要将 DAT 文件测试流程自动化,请创建任务,以自动将 DAT 文件从存储库的“评估”分支复制到“当前”
分支。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 在计划状态中,单击“启用”,然后单击“下一步”。
4 在操作选项卡中,配置以下设置:
• 从“操作”列表中,选择“存储库提取”。
• 从分支列表中,选择“评估”。
• 如果需要,取消选择“将现有包移到‘早期’分支”。
• 从包类型中,单击“选择包”。
5 在可用的来源站点包对话框中,选择“DAT”和“引擎”,然后单击“确定”。
我们建议您至少从 McAfee 公共网站提取 DAT 和引擎文件。
如果您有多个分布式存储库,可以将复制任务安排到同一个提取任务中,从而将评估分支复制到您的分布式存储
库。
6 在计划选项卡中,配置以下设置:
• 针对计划类型,单击“每小时”。
• 针对开始日期,选择今天的日期。
• 针对结束日期,单击“无结束日期”。
• 从计划中,配置任务,从而在每个小时整点后 10 分钟运行。
7 单击“下一步”,确定摘要选项卡中的所有设置都是正确的,然后单击“保存”。
最佳实践:配置服务器任务,以将文件从评估分支复制到当前分支
若要将 DAT 文件测试流程自动化,请创建任务,以自动将 DAT 文件从存储库的“评估”分支复制到“当前”分支。
开始之前
您必须已创建服务器任务,以自动将 DAT 和内容文件复制到存储库的“评估”分支。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在服务器任务生成器 说明选项卡中,键入任务名称和注释,然后在“计划状态”中,单击“已启用”,然后单击“下一
步”。
3 在操作选项卡中,配置以下设置,然后单击“下一步”:
• 针对操作列表,请选择“更改包的分支”,选择“分支‘评估’中属于类型‘DAT’的所有包”作为要更改的包,选择“复
制”作为要执行的操作,然后单击“当前”作为目标分支。
• 单击“+”创建另一个操作,并从第二个操作列表中选择“更改包的分支”,选择“分支‘评估’中属于类型‘引擎’的所有
包”作为要更改的包,选择“复制”作为要执行的操作并选择“当前”作为目标分支。
4 在计划选项卡中,更改以下设置:
• 针对计划类型,单击“每日”。
• 针对开始日期,选择今天的日期。
• 针对结束日期,单击“无结束日期”。
• 单击“下一步”,确定摘要选项卡中的所有设置都是正确的,然后单击“保存”。
另请参阅
最佳实践:配置任务,以将 DAT 提取到评估分支第 145 页
最佳实践:创建系统测试组
为安全测试 DAT 和内容文件,请创建系统的测试组,以用于运行您的评估存储库中的文件。
请确保您所使用系统的测试组符合以下标准:
• 抽取您的环境中有代表性的系统服务器版本、工作站版本以及操作系统和服务包,进行验证。
• 使用标记将策略和任务应用到分散在您的系统树中的单个系统。 标记这些系统可以与创建独立的测试组达到同样的
效果,但可以使您的系统保留在其当前组中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在系统树组列表中,选择要将新组添加到的位置,然后单击“系统树操作” | “新建子组”并在新建子组对话框中键入名
称,例如 DAT Validation,然后单击“确定”。
3 若要将系统添加至您的测试组,可以将其他组中的系统拖放到新创建的子组,添加新系统或添加虚拟机系统。
最佳实践:配置测试组的代理策略
创建具备更新任务的 McAfee Agent 策略,从而自动将 DAT 和内容文件复制到测试组中的系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 若要复制现有策略,请单击“分配的策略”选项卡,选择“产品”列表中的“McAfee Agent”,然后在“常规”策略行的“类
别”列表中,单击“My Default”。
4 单击“更新”选项卡,以更改该策略使用的存储库。
5 在用于各个更新类型的存储库分支中,单击“DAT”和“引擎”列表下拉箭头,然后将列出的存储库更改为“评估”。
6 单击“保存”。
最佳实践:配置对测试组的按需扫描
创建按需扫描任务,该任务在将 DAT 文件更新到测试组后启动,以扫描测试组中发生的任何问题。
开始之前
您必须已经在系统树中创建测试组。
该配置假设您未将用户系统作为您的测试系统。 如果您在使用真正的用户系统,可能需要修改某些扫描配置。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在客户端任务目录页面中,单击“新建任务”,然后在“新建任务”对话框中确认已选择“按需扫描”并单击“确定”。
4 单击“扫描位置”选项卡,然后配置以下设置:
a 针对“要扫描的位置”,配置以下选项:
• “Rootkit 的内存”
• “正在运行的进程”
• “所有本地磁盘”
• “Windows 文件夹”
b 针对“扫描选项”,请选择“包含子文件夹”和“扫描引导扇区”。
5 单击“扫描项”选项卡,然后配置以下设置:
a 针对“要扫描的文件类型”,请选择“所有文件”。
b 针对“选项”,请选择“检测有害程序”。
c 针对“启发式”,请选择“查找未知程序威胁”和“查找未知宏威胁”。
6 在“操作”选项卡中:
a 针对“发现威胁时”,配置“清理文件”,然后单击“删除文件”。
b 针对“发现有害程序时”,配置“清理文件”,然后单击“删除文件”。
7 单击“性能”选项卡并将“系统利用率”配置为“低”,将“Artemis”配置为“非常低”。
切勿更改“报告”选项卡上的任何设置。
8 在“任务”选项卡中:
a 针对“运行此任务的平台”,请选择“在服务器上运行此任务”和“在工作站上运行此任务”。
b 针对“运行任务时使用的用户帐户”,设置您的凭据并选择测试组域。
9 单击“保存”。
现在按需扫描任务配置为扫描测试组中可能发生的任何问题。 接下来配置客户端任务,以计划何时启动该任务。
另请参阅
最佳实践:创建系统测试组第 146 页
最佳实践:计划对测试组的按需扫描
计划您的按需扫描任务,使其在每次 McAfee Agent 策略从评估存储库更新到测试组后运行五分钟。
开始之前
您必须要创建系统的测试组和对测试组的按需扫描。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在客户端任务目录页面上,选择“客户端任务类型”中的“VirusScan Enterprise”和按需扫描。
3 查找您创建的按需扫描,单击操作列中的“分配”,选择您创建的系统的测试组以分配任务,然后单击“确定”。
4 在客户端任务分配生成器中,配置以下设置,然后单击“下一步”:
a 针对“产品”列表,选择“VirusScan Enterprise”。
b 针对“任务类型”列表,选择“按需扫描”。
5 在“计划”选项卡中,配置以下设置:
a 针对“计划状态”,选择“已启用”。
b 针对“计划类型”,从列表中选择“每日”。
c 针对“有效期”,选择今天的日期作为“开始日期”,然后选择“无结束日期”。
d 针对“开始时间”,配置以下设置:
• 从时间列表中选择“9:05 AM”。
• 单击“在该时间运行并一直重复至”,然后从时间列表中选择“2:00”。
• 针对在重复期间启动任务的时间间隔为,从列表中选择“5”“分钟”。
e 针对按此时间运行任务,单击“托管系统上的本地时间”。
f 针对选项,取消选择所有内容。
6 单击“下一步”,查看摘要页面,然后单击“保存”。
另请参阅
最佳实践:创建系统测试组第 146 页
最佳实践:配置对测试组的按需扫描第 147 页
最佳实践:针对恶意软件检测配置自动响应
如果测试组中的按需扫描发现恶意软件,您要阻止文件被自动复制到当前存储库。 设置发送至管理员的自动通知。
开始之前
您必须要先创建按需扫描任务,然后才可以扫描您的测试组中可能发生的任何问题。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
b 针对语言,请从列表中选择语言。
c 针对事件组,请从列表中选择“ePO 通知事件”。
d 在“事件类型”中,请从列表中选择“威胁”。
e 针对状态,请选择“已启用”。
2 在过滤器选项卡中配置以下设置,然后单击“下一步”。
a 针对可用属性列表,请选择“威胁类别”。
您可以选择添加其他类别,如触发的访问保护规则。
b 在必需条件列和“定义于”行中,单击“...”,以选择您在“选择系统树组”对话框中创建的系统测试组,然后单击“确
定”。
c 在威胁类别行中,从“比较”列表中选择属于,从“值”列表中选择恶意软件。 单击“+”,以添加其他类别。
d 从“比较”列表中选择属于并从“值”列表中选择访问权限保护。
3 在累积选项卡中配置以下设置,然后单击“下一步”。
a 针对“累积”,请单击“针对每个事件触发该响应”。
b 切勿配置任何“分组”或“调节”设置。
4 在“操作”选项卡中配置以下设置:
a 从“操作”列表中选择“发送电子邮件”。
b 针对收件人,键入要通知的管理员的电子邮件地址。
c 针对重要性,请从列表中选择“高”。
e 针对正文,请键入邮件,例如 Research this NOW and stop the server task that pulls content into the Current
branch!
f 在邮件正文后面,插入以下变量,以将其添加到邮件中,并单击“插入”:
• “操作系统平台”
• “针对威胁采取的操作”
• “威胁严重性”
• “威胁类型”
5 单击“下一步”,确定摘要选项卡中的配置是正确的,然后单击“保存”。
• 产品部署项目可简化部署过程并提供更多功能。
• 单独创建和管理的客户端任务对象和任务。
目录
产品部署步骤
选择产品部署方法
产品部署项目的优点
产品部署页面
查看产品部署审核日志
查看产品部署
使用部署项目来部署产品
监控和编辑部署项目
部署新产品示例
全局更新
使用全局更新自动部署更新包
产品部署步骤
您可以通过自动或手动配置方法将产品软件部署到您的托管系统。 您选择的方法取决于您为完成该流程要配置的详细
信息的级别。
下表显示用以添加和更新主存储库上软件,然后将该软件部署到您的托管系统的流程。
在“主存储库”中,您可以手动签入部署包,然后使用“产品部署”或客户端任务将其部署到您的托管系统中。
创建客户端任务,以将产品部署手动分配到组或单个托管系统并进行计划。
产品部署是一种输出流程,可以使您的安全软件保持最新,以保护您的托管系统。
另请参阅
使用软件管理器签入、更新和删除软件第 138 页
手动签入包第 141 页
创建客户端任务第 191 页
使用部署项目来部署产品第 155 页
选择产品部署方法
确定应该使用哪种产品部署方法取决于您的配置。
产品部署项目提供了简化的工作流和改进的功能,以将产品部署到您的 McAfee ePO 托管系统中。 但是,您无法使用
产品部署项目来操作或管理用 5.0 版以前的软件创建的客户端任务对象和任务。
若要维护和使用在产品部署项目外部创建的客户端任务和对象,请使用客户端任务对象库和分配界面。在使用产品部署
项目界面创建新部署的同时,您可以维护这些现有的任务和对象。
产品部署项目的优点
通过降低在整个网络上计划和维护部署所所需的时间和费用,产品部署项目可简化将安全产品部署到托管系统的相关流
程。
通过整合逐个创建并管理产品部署任务所需的多个步骤,产品部署项目可简化部署流程。这些项目还添加了以下功能:
• 持续运行部署 — 您可以配置部署项目,以便在添加与您的标准匹配的新系统时自动部署产品。
• 卸载以前部署的产品 - 如果完成部署项目后,您希望从分配到项目的系统中卸载关联产品,只需从“操作”列表中选
择卸载即可。
下表比较了两个产品部署流程 - 单个客户端任务对象和产品部署项目。
表 12-1 比较的产品部署方法
客户端任务对象 功能比较 产品部署项目
名称和说明 相同 名称和说明
要部署的产品软 相同 要部署的产品软件集合
件集合
使用标记来选择 产品部署项目中的增 选择实施部署的时间:
目标系统 强功能
• “不间断” - 不间断部署使用系统树组或标记,可让您将系统移动到这些
组,或分配系统标记并将部署应用到这些系统。
• “固定” - 固定部署使用固定或已定义的一组系统。可使用系统树或托管系
统查询输出表来选择系统。
部署计划 相似 简化的部署计划允许您立即运行部署或在每次计划时间运行。
未指定 产品部署项目中的新 监控当前的部署状态,例如已计划但尚未开始、进行中、已停止、已暂停
增功能 或已完成的部署。
未指定 产品部署项目中的新 (仅限固定的部署)查看有关接收部署的系统数量的数据的历史快照。
增功能
未指定 产品部署项目中的新 查看单个系统部署的状态,例如已安装、挂起和失败的系统。
增功能
未指定 产品部署项目中的新 使用以下操作来修改现有部署分配:
增功能
• 新建以修改现有部署 • 停止和暂停部署
• 编辑 • 继续和恢复部署
• 复制 • 卸载
• 删除
产品部署页面
产品部署页是一个位置,您可以在该页中创建、监控和管理自己的产品部署项目。
该页面被分离为两个主要区域。 第二个区域被分离为五个更小的区域。
图 12-1 “产品部署”页
主要区域包括:
感叹号图标 指示正在卸载部署或部署所使用的包已移动、删除或过期。
部署详细信息 — 列出所选部署的详细信息,包括以下区域。
状态监视器 — 根据部署类型及其状态显示进度和状态:
• 不间断部署会在部署被挂起时显示日历,或在部署期间显示柱状图。
• 固定部署会在部署被挂起时显示日历,或在选择“当前”时显示柱状图,或在选择“持续时间”时显示直方图。
您可以使用操作来更改部署。
详细信息 — 可让您查看部署配置详细信息和状态,并且您可根据需要单击“查看任务详细信息”来打开编辑部署
页。
“系统名称” — 显示接收部署的目标系统的可过滤列表。 会根据部署类型和选择系统的方式(单独选择、作为标
记、作为系统树组,或查询输出表选择)显示系统。
单击“系统操作”可在对话框中更详细地显示已过滤的系统列表,并且可让您在系统上执行更新和唤醒等操作。
“状态” — 显示由三个部分组成的栏,用于指示部署进度及其状态。
“标记” — 显示与系统行相关联的标记。
查看产品部署审核日志
部署项目的审核日志包含使用产品部署功能从控制台进行的所有产品部署的记录。
审核日志条目显示在产品部署页的部署详细信息区域内的一个可排序表格中。 审核日志条目还显示在“菜单” | “报告” |
“审核日志”页上,其中包含来自所有可审核用户操作的日志条目。 您可以使用这些日志来跟踪、创建、编辑、复制、删
除和卸载产品部署。 单击日志条目可显示条目详细信息。
查看产品部署
在初始产品部署过程中,McAfee ePO 会自动创建产品部署流程。 您可以在此产品部署流程的基础上创建其他产品部
署。
开始之前
您必须运行开始使用信息显示板流程以创建产品部署,或手动创建产品部署。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 查找初始创建的产品部署:选择“菜单” | “产品部署”。
初始创建的产品部署使用您在开始使用信息显示板流程中配置的“系统树”组的名称,并且在“部署摘要”列表中显示为
Initial Deployment My Group(初始部署我的组)。
使用部署项目来部署产品
通过使用部署项目轻松选择要部署到目标系统中的产品,并计划部署。
到期产品显示在包列表中。您可以通过“操作”从目标系统中卸载这些产品。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“新部署”,以启动新项目。
3 键入此部署的名称和说明。在保存部署后,该名称会出现在产品部署页面中。
4 选择部署类型:
• “不间断” — 使用系统树组或标记来配置接收部署的系统。此功能允许系统在添加到或移除自组或标记时,随时
间而变化。
• “固定” — 使用固定(已定义)的一组系统来接收部署。可使用系统树或托管系统查询输出来选择系统。
5 要自动更新您的产品,请确保已选中“自动更新”复选框。
如果未选中该复选框,仍会使用最新补丁、修补程序和内容包更新产品,但会忽略主要版本和次要版本。
6 若要指定要部署或卸载的软件,请从“包”列表中选择产品。单击“+”或“-”可添加或删除包。
必须将软件签入主存储库才能进行部署。“语言”和“分支”字段由主存储库中指定的位置和语言决定,可自动填充。
7 从“操作”列表中,选择“安装”或“卸载”。
8 在“命令行”文本字段中,指定任意命令行安装选项。有关命令行选项的信息,请参阅所部署软件的产品文档。
9 在“选择系统”下,单击“选择系统”。
系统选择对话框是一个过滤器,使您可通过以下选项卡从您的系统树中选择组:
• “系统树” — 选择系统树组或子组及其相关系统。
• “标记” — 选择标记组或标记子组及其相关系统。
• “所选的系统” — 显示您在每个选项卡中选择的全部系统,从而创建要进行部署的目标系统。
例如,如果系统树中包含“A 组”,其中包括服务器和工作站,您可以将目标定为整个组。您还可以将目标定为仅限
服务器或工作站(如果它们具有正确的标记)或 A 组中任一系统类型的子集。
对于固定部署,可以接收部署的最大系统数量为 500。
可以根据需要配置以下设置:
• “在每次实施策略时运行(仅限 Windows)” • “推迟选项过期时间”
• “允许的最大推迟次数”
10 在“选择开始时间”下,选择您的部署计划:
• “立即运行” — 在下次 ASCI 期间开始部署任务。
• “一次”或“每日” — 打开计划程序,以配置开始日期、时间和随机选择。
11 单击页面顶端的“保存”。此时将打开产品部署页,而新项目将被添加到部署列表中。
在创建部署项目后,会根据部署设置自动创建客户端任务。
监控和编辑部署项目
使用产品部署页可以创建、跟踪和更改部署项目。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 通过以下标准过滤部署项目列表:
• “类型” — 按照全部、不间断或固定来过滤出现的部署。
• “状态” — 按照全部、已完成、正在进行、待处理、正在运行或已停止来过滤出现的部署。
3 在页面左侧的列表上,单击部署,从而在页面右侧显示其详细信息。
如果该部署中存在过期的包,则部署无效。如果将鼠标悬停在部署上方,会看到该消息:“该部署中的包已移动、删
除或过期”。
4 通过详细信息显示的进度部分查看:
• 日历,用于显示待处理、不间断和固定部署的开始日期。
• 直方图,用于显示固定部署的系统和完成时间。
• 状态栏,用于显示系统部署和卸载进度。
在状态栏下,“任务状态”会列出“成功”、“已失败”和“待处理”,数量与括号中目标系统数量对应。
5 单击“操作”和以下任一选项来修改部署:
• “编辑” • “继续”
• “删除” • “停止”
• “复制” • “卸载”
• “标记为已完成”
6 在详细信息部分中,单击“查看任务详细信息”以查看和修改部署的设置。
7 在系统表中,选择“过滤器”列表中的选项来更改显示的系统:
列表中的选项取决于部署状态。
• 对于卸载操作,过滤器包括“全部”、“删除的包”、“待处理”和“已失败”。
• 对于所有其他操作,过滤器包括“全部”、“安装成功”、“待处理”和“已失败”。
8 在“系统”表中,您可以:
• 在状态列中查看各行目标系统的状态。由三个部分组成的状态栏可指示部署进度。
• 在标记列中查看与目标系统关联的标记。
• 单击“系统操作”,对所选系统执行特定于系统的操作。
部署新产品示例
进行 McAfee ePO 安装和初始产品部署后,若要创建任何其他产品部署,则必须要使用产品部署项目或手动使用客户
端任务对象。
该示例会向您展示为 McAfee Endpoint Security 创建产品部署项目的过程。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在新建部署页面上,配置以下设置。
选项 说明
“名称”和 键入此部署的名称和说明。
“说明”
在保存部署后,该名称会出现在部署页中。
“类型” 从列表中选择“不间断”。
该类型使用系统树组或标记来配置接收部署的系统。选择该类型将允许系统在被添加至或移除出组或
标记的过程中,随时间而变化。
要自动更新安全产品,请选择“自动更新”(该选项还可为您的产品自动部署修补程序和补丁)。
如果选择“自动更新”,则无法卸载产品。
“选择开始 为您的部署选择一个开始时间或计划:
时间”
• “立即运行” — 在下次 ASCI 后开始部署任务。
• “一次” — 打开计划程序,以配置开始日期、时间和随即选择。
“保存” 完成后,单击页面顶端的“保存”。此时将打开产品部署页,而新项目将被添加到部署列表中。
创建部署项目后,会根据部署设置自动创建客户端任务。
3 在产品部署页上,通过检查该信息确认产品部署项目是否正常运行。
选项 说明
“部署摘要” 单击您在之前步骤中创建的产品部署项目。 详细信息会显示在页面右侧。
由于此为不间断部署,所以正在进行下方会显示无穷符号 。
“部署详细信息” 您可以:
• 单击“操作”修改所选的部署。
• 查看所选部署的“进度”、“状态”和“详细信息”。
• 查看与所选部署相关联的“系统”、“系统操作”、“状态”和“标记”。
全局更新
全局更新自动完成向分布式存储库执行复制操作和更新托管系统操作。
复制和更新任务不是必需的。将内容签入到主存储库会启动全局更新。在大多数环境中,整个过程会在一小时之内完
成。
您还可以指定哪些包和更新会启动全局更新。当您指定某些内容启动全局更新时,请确保创建一个复制任务来分发未选
定的内容。
最佳实践:在使用全局更新时,将定期提取任务(用于更新主存储库)安排在网络流量最低时进行。 尽管全局更新比其
他方法更为快速,但在更新时仍会增加网络流量。
全局更新过程
1 内容签入到主存储库中。 5 在收到广播时,会向代理提供更新所需的最低目录
版本。
2 服务器执行到所有分布式存储库的增量复制。 6 代理在分布式存储库中搜索具有此最低目录版本的
站点。
如果代理未收到广播,则在下次代理与服务器通信时会提供最低版本的目录。
要求
实现全局更新的要求如下:
使用全局更新自动部署更新包
可以在服务器上启用全局更新,以便自动将用户指定的更新包部署到托管系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在编辑全局更新页上,选择状态旁的“启用”。
3 根据需要编辑“随机选择时间间隔”。
每个客户端的更新将在随机选择时间间隔的某个随机选定时间内执行,这有助于分散网络负载。默认值为“20 分
钟”。
例如,如果您使用 20 分钟的默认随机选择时间间隔更新 1000 台客户端,则在此时间间隔每分钟大约更新 50 台客
户端。此时间间隔降低了网络和服务器上的负载。如果不使用随机时间,所有 1000 台客户端将同时尝试更新。
4 在“包类型”旁,选择要开始更新的包。
只有此处指定组件的新包签入主存储库或移到其他分支时,全局更新才会启动更新。因此要慎重选择这些组件。
• “特征码和引擎” — 选择“Host Intrusion Prevention 内容”(如果需要)。
选择包类型将确定用来启动全局更新的内容(而不是在全局更新过程中更新的内容)。在全局更新过程中,代理会
收到已更新包的列表。代理使用此列表仅安装所需的更新。例如,代理只更新自上次更新以来发生变化的包,而不
更新任何尚未更改的包。
5 完成后,请单击“保存”。
启用全局更新之后,它会在您下次签入任何选定包或将其移到其他分支时启动更新。
在您准备开始自动更新时,请务必运行立即提取任务,并计划重复的存储库提取服务器任务。
策略可确保在托管系统上正确配置了产品功能。
目录
关于策略
策略分配规则
创建和管理策略
在 McAfee ePO 服务器间移动和共享策略
创建和管理策略分配规则
策略管理用户
将策略分配到托管系统
复制和粘贴策略分配
查看策略信息
关于策略
策略是您创建、配置并强制实施的设置的集合。
策略按照产品组织,然后在各个产品中根据类别组织。例如,McAfee Agent 产品包括常规、存储库和故障排除类别。
策略应用的时间
根据代理与服务器通信和策略强制实施间隔,将策略应用至系统。
配置策略设置后,下次代理与服务器通信时会将新设置应用到指定的托管系统。默认情况下,代理与服务器通信的时间
间隔为 60 分钟。您可以在 McAfee Agent 策略页面的常规选项卡上调整此时间间隔。或者,根据您实施代理与服务器
通信的方法,您可以使用 McAfee Agent 唤醒客户端任务修改 ASCI。
策略应用方法
将策略应用到任何系统的方法有两种:继承或分配。
您可将策略目录中的任何策略分配给任何组或系统。分配操作允许您针对具体需求定义一次策略设置,然后将策略应用
到多个位置。
继承决定是否从组或系统的父级获取其策略设置和客户端任务。默认情况下,继承通过整个系统树得以启用。
在您复制并粘贴策略分配时,只会粘贴真正的分配。如果来源位置继承了您选择复制的策略,则继承特征会粘贴到目
标。然后,目标从其父级继承该策略(对应特定的策略类别)。
继承的策略可能与来源策略不同。
分配锁定
您可在任何组或系统中锁定策略分配。锁定分配可防止其他用户因疏忽而替换策略。分配锁定是通过此策略设置继承
的。
如果要在系统树的顶层分配特定策略,并且确保其他用户不会移动此策略,则分配锁定很有用。
分配锁定并不阻止策略所有者更改策略设置。因此,如果您计划锁定某个策略分配,请确保您是此策略的所有者。
策略所有权
为每个策略分配所有者 — 创建策略的用户。您必须具有正确的权限,才能编辑您未拥有的策略。
如果您要使用其他用户拥有的策略,建议您先复制该策略,然后使用副本。 复制策略可防止意外的策略更改影响您的
网络。 如果您分配了一个不为您所有的策略并且所有者对其进行了修改,则分配了此策略的所有系统都会收到所做的
修改。
您可以指定多个用户作为单个策略的所有者。
策略分配规则
使用策略分配规则,可以降低针对各个用户或满足特定标准的系统管理大量策略带来的开销,并同时在系统树中维护更
多通用策略。
策略分配的这一粒度级别对系统树内中断继承实例的数量进行限制,使其适应特定用户或系统所需的策略设置。策略分
配可基于特定于用户的标准或特定于系统的标准:
• 基于用户的策略 — 至少包含一个基于用户的标准的策略。例如,您可以创建针对您所在工程组中所有用户强制实
施的一个策略分配规则。然后可以创建针对 IT 部门成员的另一个策略分配规则。此规则允许这些成员登录到工程
网络中的任何计算机;他们具有访问权限,可以对此网络中特定系统的问题进行故障排除。基于用户的策略还可以
包含基于系统的标准。
• 基于系统的策略 — 仅包含基于系统的标准的策略。例如,您可根据应用的标记,创建针对在网络中所有服务器强
制实施的策略分配规则,或创建针对系统树中特定位置的所有系统强制实施的策略分配规则。基于系统的策略不得
包含基于用户的标准。
策略分配规则优先级
可以为策略分配规则设置优先级,从而简化策略分配管理的维护。为规则设置优先级后,此规则将在具有较低优先级的
其他分配之前得以强制实施。
某些情况下,可能出现某些规则设置被覆盖的结果。例如,假设规则 A 和规则 B 两种策略分配规则中都包含一个系
统。规则 A 的优先级为 1,并允许所含的系统不受限制地访问 Internet 内容。规则 B 的优先级为 2,并严格限制同一
系统访问 Internet 内容。在此案例中,将强制执行规则 A,因为它的优先级更高。因此,该系统可以不受限制地访问
Internet 内容。
多插槽策略如何处理策略分配规则优先级
对于多插槽策略,不考虑规则的优先级。如果应用了包含相同产品类别的多插槽策略的单个规则,则多插槽策略的所有
设置都会组合在一起。同样,如果应用了包含多插槽策略设置的多个规则,则每个多插槽策略的所有设置都会组合在一
起。因此,应用的策略是每个单一规则的设置的组合。
聚合多插槽策略时,仅相同类型的多插槽策略会聚合到一起。但是,使用策略分配规则分配的多插槽策略不会与系统树
中分配的多插槽策略聚合在一起。使用策略分配规则分配的多插槽策略会替代系统树中分配的策略。此外,基于用户的
策略在优先级上高于基于系统的策略。
场景:使用多插槽策略来控制 Internet 访问
在系统树中,存在一个名为“工程”的组,由标记为“IsServer”或“IsLaptop”的系统组成。在系统树中,策略 A 会分配给该
组中的所有系统。如果使用策略分配规则将策略 B 分配至“工程组”上方系统树中的任意位置,则可替代策略 A 的设
置,并允许标记为“IsLaptop”的系统访问 Internet。如果将策略 C 分配至“工程”组上方系统树中的任何组中,则可允许
“管理员”用户组中的用户从所有系统访问 Internet,其中包括“工程”组中标记为“IsServer”的系统。
基于用户的策略分配
使用基于用户的策略分配规则,可以创建特定于用户的策略分配。
用户登录时,会在目标系统强制实施这些分配。
在托管系统上,代理会记录登录网络的用户。为每个用户创建的策略分配被下推到他们登录的系统,并在每次代理与服
务器通信期间进行缓存。McAfee ePO 服务器会应用您分配给每个用户的策略。
基于系统的策略分配
通过基于系统的分配可以根据系统树位置或标记分配策略。
基于系统的策略根据您使用策略分配生成器定义的选择标准进行分配。
所有策略分配规则都要求指定系统树位置。如果您要所有特定类型的系统使用相同的安全策略(无论其系统树位置为
何),则基于标记的策略分配会很有帮助。
情景:使用标记创建新的 SuperAgent
您已经决定在环境中创建一组 SuperAgent,但没有时间在系统树中手动标识要托管这些 SuperAgent 的系统。您可以
改为通过标记生成器,将所有符合特定标准集的系统标记为“isSuperAgent”。在生成了标记之后,可以创建一个策略分
配规则,该规则将 SuperAgent 策略设置应用于每个标有“isSuperAgent”的系统。
创建标记后,您可以使用标记目录页中的“运行标记标准”操作来分配新策略。 当每个具有新标记的系统定期呼入时,会
根据 isSuperAgent 策略分配规则为该系统分配一个新策略。
创建和管理策略
McAfee ePO 可提供大量用于管理策略的工具,包括策略目录、策略历史记录和策略比较。
任务
• 从策略目录页创建策略第 164 页
使用策略目录创建的自定义策略不会分配给任何组或系统。您可以在部署产品前后创建策略。
• 强制实施产品策略第 164 页
默认情况下策略强制实施已启用,并且在系统树中得到继承,但您可以在指定系统上手动启用或禁用强制
实施。
• 对系统树组中的产品强制实施策略第 165 页
启用或禁用组中的策略强制实施。
• 对系统上的产品实施策略第 165 页
启用或禁用托管系统上的策略强制实施。
• 管理策略历史记录第 166 页
您可以查看和比较策略历史记录条目,或恢复到之前的策略版本。
• 编辑策略历史记录权限集第 166 页
为您的产品配置权限集,这样用户可以使用策略历史记录页面将策略恢复至之前的版本。
• 比较策略第 167 页
策略比较可帮助您找出类似策略之间的差异。
• 更改策略的所有者第 167 页
默认情况下,所有权会分配给创建策略的用户。如果您拥有所需的权限,便可更改策略的所有权。
从策略目录页创建策略
使用策略目录创建的自定义策略不会分配给任何组或系统。您可以在部署产品前后创建策略。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开“新建策略”对话框。
a 选择 “菜单” | “策略” | “策略目录”。
b 从下拉列表中选择产品和类别。
选定类别的所有已创建策略都将显示在“详细信息”窗格中。
c 单击“新建策略”。
2 从“基于此现有策略来创建策略”下拉列表中选择要复制的策略。
3 键入新策略的名称,然后单击“确定”。
该策略将出现在策略目录中。
4 单击新策略的名称。
此时会打开策略设置生成器。
5 根据需要编辑策略设置。
6 单击“保存”。
强制实施产品策略
默认情况下策略强制实施已启用,并且在系统树中得到继承,但您可以在指定系统上手动启用或禁用强制实施。
您可以从以下位置管理策略强制实施:
• 系统树的分配的策略选项卡 — 选择是否对选定组中的产品或组件强制实施策略。
• 策略目录页面 — 查看策略分配和强制实施。您也可以锁定策略强制实施,以防止锁定节点下发生更改。
如果关闭了策略强制实施功能,则在代理与服务器通信期间,指定组中的系统将收不到更新的站点列表。 因此,该组中
的托管系统可能无法按预期运行。
对系统树组中的产品强制实施策略
启用或禁用组中的策略强制实施。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择想要的产品,然后单击“强制实施状态”旁边的链接。
3 要更改强制实施状态,则选择“中断继承并在下面分配策略和指定设置”。
4 选择“强制实施状态”旁边的“强制实施”或“不强制实施”。
5 选择是否锁定策略继承。
对于继承此策略的组和系统来说,锁定继承策略强制实施可以防止实施中断。
6 单击“保存”。
对系统上的产品实施策略
启用或禁用托管系统上的策略强制实施。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 选择“产品”,然后单击“强制实施状态”旁边的“强制实施”。
此时会显示“强制实施”页。
4 如果要更改强制实施状态,您必须首先选择“中断继承并在下面分配策略和指定设置”。
5 选择“强制实施状态”旁边的“强制实施”或“不强制实施”。
6 单击“保存”。
管理策略历史记录
更改策略目录中的策略时,会创建策略历史记录条目,您可以从中说明更改情况,以便以后参考。
策略历史记录条目会出现在三个位置:策略历史记录、服务器任务日志详细信息和审核日志详细信息。
要记录策略修订版,请在“策略目录”页面页脚中“复制”旁边的文本字段中键入备注。
如果您已配置策略用户以创建和编辑策略,则“状态”列选项会因您的权限而异。 例如:
• McAfee ePO 管理员可以完全掌控所有策略的历史记录功能。
• 策略管理员可以批准或拒绝策略用户提交的更改。
• 策略用户可以监控其策略的状态。 状态包括待审阅、“已批准”或已拒绝。
管理策略历史记录
您可以查看和比较策略历史记录条目,或恢复到之前的策略版本。
开始之前
您必须具有相应的权限才能恢复至先前的策略历史记录条目。 您仅需查看权限,便可查看策略历史记录条
目。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 使用“产品”、“类别”和“名称”过滤器选择策略历史记录条目。
3 要管理策略或策略历史记录条目,请单击“操作”,然后选择操作。
• “选择列” — 打开对话框,从而选择要显示的列。
• “比较策略”— 打开策略比较页面,您可以在该页面比较两个选定策略。
策略的当前版本为最新版本。 要比较当前策略版本与先前策略版本,请选择最新版本和要比较的先前版本。
• “导出表”— 打开导出页面,从中指定要导出的策略历史记录条目文件的包和格式,然后通过电子邮件发送该文
件。
• “恢复策略”— 将策略恢复为选定策略版本。
您仅可选择一个目标策略。
恢复策略后,系统会提示您向策略历史记录条目中添加注释。
编辑策略历史记录权限集
为您的产品配置权限集,这样用户可以使用策略历史记录页面将策略恢复至之前的版本。
开始之前
您必须具有相应的权限,才能更改权限集。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 单击“查看并更改策略和任务设置”,然后单击“保存”。
现在,您可以从策略历史记录页面,将现有策略恢复至策略历史记录条目。
比较策略
策略比较可帮助您找出类似策略之间的差异。
策略比较页面包含的许多值和变量均特定于各个产品。对于下表中未包含的选项定义,请参阅提供您要比较策略的产品
所相应的文档。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 选择“菜单” | “策略比较”,然后从列表中选择产品、类别和“显示”设置。
最佳实践:将“显示”设置从“所有策略设置”更改为“策略差异项”或“策略匹配项”,以减少显示的数据。
表的前两行会显示不同和相同设置的数量。
3 单击“打印”,打开该项比较的打印机友好视图。
更改策略的所有者
默认情况下,所有权会分配给创建策略的用户。如果您拥有所需的权限,便可更改策略的所有权。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 找到所需的策略,然后单击该策略的所有者。
此时会显示策略所有权页。
3 从列表中选择策略的所有者,然后单击“确定”。
任务
• 注册服务器以共享策略第 168 页
注册服务器来共享策略。
• 指定共享策略第 168 页
您可以指定在多个 McAfee ePO 服务器之间共享的策略。
• 计划用来共享策略的服务器任务第 168 页
“共享策略”服务器任务可确保您对共享策略所做的所有更改都推送至启用共享的 McAfee ePO 服务器。
另请参阅
使用策略第 58 页
注册服务器以共享策略
注册服务器来共享策略。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从“服务器类型”菜单,选择“ePO”,指定名称和任何备注,然后单击“下一步”。此时会显示“详细信息”页。
3 指定服务器的任何详细信息并单击“策略共享”字段中的“启用”,然后单击“保存”。
指定共享策略
您可以指定在多个 McAfee ePO 服务器之间共享的策略。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在要共享的策略的“操作”列中,单击“共享”。
计划用来共享策略的服务器任务
“共享策略”服务器任务可确保您对共享策略所做的所有更改都推送至启用共享的 McAfee ePO 服务器。
如果您设置的服务器任务间隔较长,或者禁用“共享策略”服务器任务,我们建议无论何时编辑共享策略时均手动运行任
务。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 在说明页上,请指定任务名称以及任意注释,然后单击“下一步”。
默认情况下,新服务器任务处于启用状态。 如果您不要启用该任务,请在计划状态字段中选择“已禁用”。
3 从操作下拉菜单中,选择“共享策略”,然后单击“下一步”。
4 指定该任务的计划,然后单击“下一步”。
5 检查摘要详细信息,然后单击“保存”。
创建和管理策略分配规则
配置策略分配规则,以简化策略管理。
任务
• 创建策略分配规则第 169 页
通过创建策略分配规则,可以基于所配置的规则标准来为用户或系统实施策略。
• 管理策略分配规则第 169 页
处理策略分配规则时,执行常见管理任务。
创建策略分配规则
通过创建策略分配规则,可以基于所配置的规则标准来为用户或系统实施策略。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开“策略分配生成器”。
a 选择 “菜单” | “策略” | “策略分配规则”。
b 单击“新建分配规则”。
2 指定此策略分配规则的详细信息,其中包括:
• 唯一的名称和说明。
• 所指定的规则类型确定“选择标准”页中提供的标准。
默认情况下,会根据现有规则的数量按顺序为新的策略分配规则分配优先级。 创建规则之后,可以通过单击“策略分
配规则”页上的“编辑优先级”来编辑优先级。
3 单击“下一步”。
4 单击“添加策略”以选择您希望使用此策略分配规则强制实施的策略。
5 单击“下一步”。
6 指定您希望在此规则中使用的标准。您的标准选择将决定将此策略分配给哪些系统或用户。
7 检查摘要并单击“保存”。
管理策略分配规则
处理策略分配规则时,执行常见管理任务。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 执行以下任一操作:
• 编辑策略分配规则 — 执行以下步骤:
1 单击选定的分配。 此时会打开策略分配生成器。
2 浏览每个页面以更改此策略分配规则,然后单击“保存”。
• 删除策略分配规则 — 在选定的分配行中单击“删除”。
• 编辑策略分配规则的优先级 — 执行以下步骤:
1 选择“操作” | “编辑优先级”,此时将打开编辑优先级。
2 抓住控制柄并在列表中向上或向下拖动以更改优先级,然后单击“保存”。
策略管理用户
作为 McAfee ePO 管理员,您可以为不同的策略用户分配不同的权限集,以便他们可以创建并修改特定的产品策略。
有些用户可以批准或拒绝来自其他用户提交的策略的策略更改。
策略可以由具有不同权限的三个用户进行管理。 其中,
• 策略用户 — 他们可以复制和创建策略,这些策略先提交给策略管理员进行审批后才可使用。
有关创建不同策略用户的概述
作为 McAfee ePO 管理员,创建策略管理员和策略用户需要执行以下常规步骤:
1 在服务器设置中,启用策略管理。
2 在权限集中,为策略管理员和策略用户创建不同的权限集。
3 在用户管理,创建策略管理员和策略用户,然后为他们手动分配不同的权限集。
有关策略用户和策略管理员流程的概述
创建策略用户和策略管理员后,他们可以执行以下策略任务:
• 策略用户:
1 在策略目录中,可以复制、修改或创建与他们所分配的类型对应的策略,然后提交给策略管理员进行审批。
2 在策略历史记录中,可以监视策略管理员的审批状态。
• 策略管理员可以执行策略用户有权执行的任何操作,而且在策略历史记录页中,可以批准或拒绝策略用户提交的策
略更改。
最佳实践:全局设置策略管理
作为管理员,您可以使用服务器设置来全局配置策略管理,从而允许用户在经过或不经过管理员批准的情况下更改或创
建策略。
开始之前
您必须具有管理员权限才能更改策略管理。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从编辑策略管理中,选择以下选项之一,然后单击“保存”:
表 13-1 选项定义
选项 定义
“需要管理员审批” 强制用户请求得到管理员的批准,然后保存新的或更改的策略。
管理员可以授予用户权限,以批准或拒绝策略管理下权限集中的策略更改。
“无需管理员审批” 允许用户保存新的或更改的策略,无需管理员审批。
3 (可选)创建策略管理权限集,以更改各个用户的策略管理。
另请参阅
创建策略管理权限集第 171 页
创建策略管理权限集
作为管理员,您可以为不同的策略用户级别创建权限集。 权限集允许一些策略用户创建和修改策略,而且允许一些策
略用户批准或拒绝其他用户创建的策略。
开始之前
您必须具有管理员权限才能更改权限集。
为帮助您管理策略创建情况,您可以为用户创建权限集,指定哪些用户可以创建和修改特定的产品策略。 例如,您可
以创建权限集来允许一个用户更改策略,并且允许另一个用户批准或拒绝这些更改。
以下步骤介绍了如何创建两个不同的权限集:
• 策略用户 (policyUserPS) 权限集 — 允许策略用户创建和修改特定产品策略,但是策略更改必须经过批准才能保
存。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 要从“新建权限集”页面创建策略管理员权限集,请键入名称(如 policyAdminPS)并单击“保存”。
3 选择 policyAdminPS 权限集后,向下滚动到策略管理行,然后单击“编辑”。
这允许策略管理员用户批准或拒绝其他用户的策略更改,无需经过管理员审批。
根据需要,继续选择设置和配置编辑权限。
7 要复制策略管理员权限集并创建策略用户权限集,请单击“操作” | “复制”。
10 向下滚动到策略管理行,然后单击“编辑”。
现在,您已创建了要在创建两个策略用户和策略管理员用户时使用的两个权限集。
另请参阅
创建策略管理用户第 172 页
创建策略管理用户
作为管理员,您可以创建具有不同权限集的不同策略用户级别,允许一个用户创建和修改策略,并允许管理员用户批准
或拒绝策略更改。
开始之前
您必须具有管理员权限才能在用户管理中创建用户。
以下步骤介绍了如何创建两个不同用户:
• 策略用户 (policyUser) — policyUser 可以创建和修改特定产品策略,但是策略更改必须先经过策略管理员批准才能
保存。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 要创建策略用户 (policyUser),请执行以下步骤。
a 单击“新建用户”。
b 键入用户名。 例如,policyUser。
c 针对该帐户的登录状态,选择“启用”。
e (可选)在“注释”文本框中,提供用户的全名、电子邮件地址、电话号码和说明。
f 选择您在“管理员创建策略管理权限集”中创建的策略用户权限集。 例如,选择“policyUserPS”。
g 单击“保存”返回到用户选项卡。
新的策略用户会显示在用户管理页的用户列表中。
3 要创建策略管理员 (policyAdmin),请执行以下步骤。
a 单击“新建用户”。
b 键入用户名。 例如,policyAdmin。
c 针对该帐户的登录状态,选择“启用”。
e (可选)在“注释”文本框中,提供用户的全名、电子邮件地址、电话号码和说明。
f 选择您在“创建策略管理权限集”中创建的策略用户权限集。 例如,选择“policyAdminPS”。
g 单击“保存”返回到用户选项卡。
新的策略管理员会显示在用户管理页的用户列表中。
现在,您有两个策略用户。 一个策略用户可以更改策略,而某个策略管理员用户则可以批准或拒绝这些更改。
提交策略更改以接受
非管理员策略用户可以创建和更改策略,但是如果由管理员配置,他们可能需要提交策略以供管理员或策略管理员进行
审查。
开始之前
您必须已经配置服务器设置和用户权限集,以允许用户提交策略进行审批。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 创建和维护策略。
策略用户仅可访问管理员为其分配的权限集中配置的策略和设置。
2 当您在策略过程中进行到保存策略步骤时,单击“提交以便进行审阅”。
这会将策略发送给管理员以进行批准或拒绝。
4 使用“产品”、“类别”和“名称”过滤器来选择要检查的策略历史记录条目。
5 在状态列中,会显示以下条目之一来介绍管理员的操作:
• “待审阅” — 尚未审阅。
• “已拒绝” — 已经拒绝且未保存。
• “已批准” — 已批准并且已保存。
另请参阅
创建和管理策略第 164 页
创建策略管理权限集第 171 页
接受策略更改
作为策略管理员,您需要定期批准或拒绝策略用户提交的请求。
开始之前
您必须已经配置服务器设置和用户权限集,以允许用户提交策略进行审批。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 使用“产品”、“类别”和“名称”过滤器来选择要检查的策略历史记录条目。
3 在策略状态列中,选择与提交的策略相关的以下链接之一:
• “已接受” — 策略已保存,并且现已可供使用。
• “已拒绝” — 策略已被拒绝且未保存。
将策略分配到托管系统
将策略分配到组或“系统树”中的特定系统。您可以在部署产品前后分配策略。
我们建议尽可能在最高层级分配策略,以便下面的组和子组可以继承该策略。
任务
• 将策略分配到系统树组第 174 页
将策略分配到特定的系统树组。
• 将策略分配到托管系统第 175 页
将策略分配到特定的托管系统。
• 将策略分配到系统树组中的系统第 175 页
将策略分配到组内的多个托管系统。
将策略分配到系统树组
将策略分配到特定的系统树组。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 找到您需要的策略类别,然后单击“编辑分配”。
3 如果策略被继承,则在“继承自”旁边选择“中断继承并在下面分配策略和指定设置”。
4 从“已分配的策略”下拉列表中选择策略。
您还可以在此位置编辑选定策略的设置,或创建策略。
5 选择是否锁定策略继承。
锁定策略继承可避免任意继承该策略的系统被分配其他策略。
6 单击“保存”。
将策略分配到托管系统
将策略分配到特定的托管系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 选择产品。
所选产品的类别会与系统分配的策略共同列出。
4 找到您需要的策略类别,然后单击“编辑分配”。
5 如果策略被继承,则在“继承自”旁边选择“中断继承并在下面分配策略和指定设置”。
6 从“已分配的策略”下拉列表中选择策略。
您还可以在此位置编辑选定策略的设置,或创建策略。
7 选择是否锁定策略继承。
锁定策略继承可避免任意继承该策略的系统被分配其他策略。
8 单击“保存”。
将策略分配到系统树组中的系统
将策略分配到组内的多个托管系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 从下拉列表中选择“产品”、“类别”和“策略”。
4 选择是“重置继承”,还是“中断继承”,然后单击“保存”。
复制和粘贴策略分配
复制和粘贴策略分配,从而在系统树不同部分中的组和系统之间轻松共享多个分配。
任务
• 从组中复制策略分配第 176 页
您可以使用复制分配从系统树中的组复制策略分配。
• 从系统中复制策略分配第 176 页
您可以使用复制分配复制特定系统中的策略分配。
• 将策略分配粘贴到组第 176 页
从组或系统复制策略分配后,可以将其粘贴到组。
• 将策略分配粘贴到特定系统第 177 页
从组或系统中复制策略分配,然后将策略分配粘贴到特定系统。
从组中复制策略分配
您可以使用复制分配从系统树中的组复制策略分配。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击 “操作” | “复制分配”。
3 选择要复制其策略分配的产品或功能,然后单击“确定”。
从系统中复制策略分配
您可以使用复制分配复制特定系统中的策略分配。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 单击“操作” | “复制分配”,选择要复制其策略分配的产品或功能,然后单击“确定”。
将策略分配粘贴到组
从组或系统复制策略分配后,可以将其粘贴到组。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在详细信息窗格中,单击“操作”并选择“粘贴分配”。
如果组中已分配某些类别的策略,则会显示替换策略分配页。
粘贴策略分配时,列表中会显示强制实施策略和任务策略。该策略控制其他策略的强制实施状态。
3 选择您想要用复制的策略替换的策略类别,然后单击“确定”。
将策略分配粘贴到特定系统
从组或系统中复制策略分配,然后将策略分配粘贴到特定系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
粘贴策略分配时,列表中会显示“强制实施策略和任务”策略。该策略控制其他策略的强制实施状态。
4 确认分配的替换。
查看策略信息
查看策略(包括策略所有者、分配和继承)的详细信息。
任务
• 查看将策略分配到的组和系统第 177 页
查看策略目录分配页面可查看继承该策略的组或系统。
• 查看策略设置第 178 页
查看分配给产品类别或系统的策略的详细信息。
• 查看策略所有权第 178 页
查看策略的所有者。
• 查看禁用策略强制实施的分配第 178 页
查看按策略类别禁用策略强制实施的分配。
• 查看分配给组的策略第 178 页
查看分配给系统树组的策略,按产品排序。
• 查看分配给特定系统的策略第 179 页
从系统树中的一个中央位置查看分配到系统的所有策略的列表。
• 查看组的策略继承第 179 页
查看特定组的策略继承。
• 查看并重置中断的继承第 179 页
识别策略继承中断的组和系统。
• 创建策略管理查询第 179 页
检索分配到托管系统的策略,或系统层次结构中已中断继承的策略。
查看将策略分配到的组和系统
查看策略目录分配页面可查看继承该策略的组或系统。
父策略目录页面仅列出策略分配数,而未列出继承该策略的组或系统。
任务
1 选择 “菜单” | “策略” | “策略目录”,然后选择产品和类别。
选定类别的所有已创建策略都将显示在详细信息窗格中。
2 在策略行上的“分配”下,单击表示分配有策略的组或系统数量的链接,(例如,“6 个分配”)。
“分配”页上将会显示分配有策略的每个组或系统及其节点名称和节点类型。
查看策略设置
查看分配给产品类别或系统的策略的详细信息。
例如,分配给“系统树”组或系统的策略会告知您策略强制实施间隔、优先事件转发间隔或是否启用了对等通信。
任务
1 选择 “菜单” | “策略” | “策略目录”,然后选择产品和类别。
选定类别的所有已创建策略都将显示在详细信息窗格中。
2 单击策略名称链接。
此时会显示策略页及其设置。
查看策略所有权
查看策略的所有者。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 策略的所有者显示在“所有者”下。
查看禁用策略强制实施的分配
查看按策略类别禁用策略强制实施的分配。
通常,您希望启用策略强制实施。 使用该任务可以查找正在强制实施的任何策略,并更改其配置。
任务
1 选择 “菜单” | “策略” | “策略目录”,然后选择产品和类别。
选定类别的所有已创建策略都将显示在详细信息窗格中。
2 单击“产品强制实施状态”旁的链接,该链接指示禁用了强制实施的分配的数量(如有)。
此时会显示 “<policy name> 的强制实施”页。
3 转至“系统树” | “分配的策略”页面,以更改所列策略的强制实施策略。
查看分配给组的策略
查看分配给系统树组的策略,按产品排序。
例如,如果您将不同的策略分配给服务器和工作站组,请使用此任务确认已正确设置策略。
任务
1 选择“菜单” | “系统” | “系统树”,单击“分配的策略”选项卡,然后在系统树中选择一个组。
按产品组织的所有已分配策略都会出现在详细信息窗格中。
2 单击任一策略链接可以查看其设置。
查看分配给特定系统的策略
从系统树中的一个中央位置查看分配到系统的所有策略的列表。
例如,如果您将不同的策略分配给特定系统,请使用此任务确认已正确设置策略。
任务
1 选择“菜单” | “系统” | “系统树”,单击“系统”选项卡,然后从系统树中选择组。
属于此组的所有系统都会出现在详细信息窗格中。
2 单击某个系统的名称以转至系统信息页面,然后单击“应用的策略”选项卡。
查看组的策略继承
查看特定组的策略继承。
例如,如果您为不同的组配置了策略继承,请使用此任务确认已正确设置策略继承。
任务
1 选择“菜单” | “系统” | “系统树”。
2 单击“分配的策略”选项卡。
按产品组织的所有已分配策略都会出现在详细信息窗格中。
“继承自”下的策略行会显示该策略来源组的名称。
查看并重置中断的继承
识别策略继承中断的组和系统。
例如,如果您的策略为一些组配置了中断的继承,请使用此任务确认已正确设置策略。
任务
1 选择“菜单” | “系统” | “系统树”,然后单击“分配的策略”选项卡。
按产品组织的所有已分配策略都会出现在详细信息窗格中。 “中断的继承”下的策略行将显示发生此策略继承中断的
组和系统数量。
这是策略继承中断的组或系统的数量,而不是未继承策略的系统数量。 例如,如果只有一个组不继承该策略,则无
论该组内有多少个系统,都会以“1 个未继承”来表示。
2 单击指示已中断继承的子组或系统数量的链接。
此时会出现“查看中断的继承”页,该页会显示这些组和系统的名称的列表。
3 要重置其中任何组或系统的继承,请选中其名称旁的复选框,然后单击“操作”并选择“重置继承”。
创建策略管理查询
检索分配到托管系统的策略,或系统层次结构中已中断继承的策略。
您可创建下列两个策略管理查询中的任何一个:
• “应用的策略” — 检索分配给指定托管系统的策略。
• “中断的继承” — 检索系统层次结构中已中断的策略的信息。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在结果类型页中,选择“功能组”列表中的“策略管理”。
3 选择结果类型,然后单击“下一步”以显示图表页:
• “已应用的客户端任务”
• “应用的策略”
• “客户端任务分配的中断继承”
• “策略分配的中断继承”
4 选择用于显示主要查询结果的图表或表的类型,然后单击“下一步”。
此时会出现列页。
如果选择“布尔饼图”,则配置您希望包括在查询中的标准。
5 选择要在查询中包括的列,然后单击“下一步”。
此时会出现过滤器页。
6 选择一些属性来缩小搜索结果,然后单击“运行”。
未保存的查询页显示了查询结果,可对其中的查询结果进行操作。
选定的属性出现在内容窗格中,内容窗格中带有可指定标准的运算符,可缩小返回至该属性的数据的范围。
7 在未保存的查询页中,在任意表或深入查询表的项目上执行任意可用操作。
• 如果查询未返回预期结果,单击“编辑查询”以返回至查询生成器,然后编辑该查询的详细信息。
• 如果您不希望保存该查询,则单击“关闭”。
• 若要再次使用该查询,请单击“保存”并继续到下一步。
8 在保存查询页,输入查询名称,添加任意备注并选择以下选项之一:
• “新建组” — 输入新组的名称并选择以下任一项:
• “专用组(我的组)”
• “公用组(共享组)”
• “现有组” — 从共享组列表中选择组。
9 单击“保存”。
目录
服务器任务
客户端任务
服务器任务
服务器任务为可配置的操作,可按计划时间或间隔在 McAfee ePO 服务器上运行。利用服务器任务自动执行重复性任
务。
McAfee ePO 包括预配置的服务器任务和操作。通过 McAfee ePO 托管的大多数其他软件产品同样添加了预配置的服
务器任务。
查看服务器任务
服务器任务日志可提供服务器任务的状态并显示可能发生的任何错误。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 排序和过滤表格,以注重相关条目。
• 要更改显示的栏,请单击“选择栏”。
• 要排序表格项目,请单击栏标题。
• 要隐藏不相关的条目,请从下拉列表中选择过滤器。
3 要查看其他详细信息,请单击条目。
服务器任务状态
服务器任务日志的状态栏中会出现每个服务器任务的状态。
状态 定义
“正在等待” 服务器任务正在等待另一个任务完成。
“正在进行” 服务器任务已开始,但尚未完成。
“已暂停” 用户暂停了服务器任务。
“已停止” 用户停止了服务器任务。
状态 定义
“失败” 服务器任务已开始,但未成功完成。
“已完成” 服务器任务已成功完成。
“待终止” 用户请求结束服务器任务。
“已结束” 用户在服务器任务完成前手动关闭了该任务。
创建服务器任务
创建服务器任务,以便计划要根据指定计划运行的各种操作。
如果您希望 McAfee ePO 无需手动干涉运行某些操作,则最好的方法是使用服务器任务。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 给任务指定一个合适的名称,并确定任务是否具有计划状态,然后单击“下一步”。
如果您希望自动运行该任务,请将“计划状态”设置为“已启用”。
3 选择并配置任务的操作,然后单击“下一步”。
4 选择运行任务的计划类型(频率)、开始日期、结束日期和计划时间,然后单击“下一步”。
只有启用了“计划状态”,才能使用计划信息。
5 单击“保存”以保存服务器任务。
该新任务将出现在服务器任务列表中。
从服务器任务日志中删除过时的服务器任务:最佳实践
从服务器任务日志中定期删除旧的服务器任务条目,以改善数据库性能。
从服务器任务日志删除的项目将永久删除。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“清除”。
3 在清除对话框中,输入一个数字,然后选择时间单位。
4 单击“确定”。
早于或位于指定时间的任何项目都会被删除,包括当前视图中未显示的项目。删除的项目数量会显示在页面的右下角。
创建服务器任务以自动删除过时的项目。
自动删除过时日志项目
使用服务器任务自动删除表格或日志中的旧条目,如已关闭的问题或过时的用户操作条目。
从日志中删除的条目将被永久删除。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 键入服务器任务的名称和描述。
3 对服务器任务启用或禁用计划,然后单击“下一步”。
服务器任务在启用后才会运行。
4 从下拉清单中,选择清除操作,如“清除服务器任务日志”。
5 在“清除早于此时间的记录”旁,输入一个数字并选择时间单位,然后单击“下一步”。
6 安排服务器任务,然后单击“下一步”。
7 查看此服务器任务的详细信息。
• 要进行更改,请单击“上一步”。
• 如果全部正确,请单击“保存”。
该新任务将出现在服务器任务页面上。运行计划的任务时,过时项目将从指定的表或日志中删除。
计划服务器任务时接受的 Cron 语法
在计划服务器任务时,如果选择“计划类型” | “高级”选项,则可以使用 Cron 语法指定计划。
Cron 语法包含六个或七个字段,各字段之间用空格隔开。下表详细介绍了接受的 Cron 语法,按字段降序排列。大多
数 Cron 语法均是可接受的,但少数情况下不予支持。例如,无法同时指定“星期”和“日期”值。
允许使用特殊字符
• 允许使用逗号 (,) 以指定多个值。例如,“5,10,30”或“MON,WED,FRI”。
• 星号 (*) 用来表示“每个”。例如,“分钟”字段中的“*”表示“每分钟”。
问号必须在这些字段中的其中一个使用,不能在两个字段中同时使用。
• 字母“W”表示“工作日”。因此,如果您创建的日期为“15W”,这表示离该月 15 日最近的工作日。另外,您可以指定
“LW”,表示该月的最后一个工作日。
• 英镑字符“#”表示该月的第 N 天。例如,在“星期”字段中使用“6#3”表示每月的第三个星期五,“2#1”表示第一个星期
一,“4#5”表示第五个星期三。
如果该月没有第五个星期三,则任务不会运行。
客户端任务
创建并计划客户端任务,以便自动设置网络中系统的管理方式。
客户端任务一般用于以下活动。
• 产品部署
• 产品功能
• 升级和更新
有关可用的客户端任务及其功能的信息,请参阅托管产品的文档。
客户端任务目录的工作原理
使用客户端任务目录来创建客户端任务对象,您可以重复使用这些对象帮助管理网络中的系统。
客户端任务目录会将逻辑对象的概念应用到 McAfee ePO 客户端任务。 您可以出于各种目的创建客户端任务对象,而
无需立即分配这些任务。 因此,在分配和计划客户端任务时,可以将这些对象视为可重复使用的组件。
客户端任务可以在系统树的任何级别分配。树中较低级别的组和系统会继承客户端任务。与策略和策略分配一样,您可
以中断已分配客户端任务的继承。
接收共享任务的目标服务器上的管理员不是该共享任务的所有者。 目标服务器上的所有用户都不是该目标服务器收到的
任何共享任务对象的所有者。
部署任务
部署任务即客户端任务,可用于将托管安全产品从主存储库部署到托管系统中。
您可以使用客户端任务目录来创建和管理单个部署任务对象,并随后分配它们在组或单个系统上运行。或者也可以创建
产品部署项目,以将产品部署到系统中。产品部署项目可自动进行个别客户端任务对象的创建和计划过程。此外也提供
了额外的自动化管理功能。
重要事项
决定如何分阶段进行产品部署时,需要考虑以下事项:
• 分阶段部署可一次将产品安装到系统组中。如果网络连接速度很快,则可尝试同时部署到几百个客户端。如果您的
网络连接较慢或不那么可靠,则可尝试减少目标群组。部署到各个组时,要监控部署,运行报告以确认是否成功安
装,并解决各个系统的全部问题。
将产品部署到所选的系统中
如果正在部署安装在托管系统子集上的 McAfee 产品或组件:
1 使用标记识别这些系统。
2 将已标记的系统移至组。
3 针对组配置产品部署客户端任务。
产品和更新的部署包
McAfee ePO 软件部署基础设施既支持部署产品和组件,也支持对其进行更新。
McAfee ePO 可部署的每种产品均提供产品部署包 .zip 文件。此 .zip 文件包含以安全格式压缩的产品安装文件。
McAfee ePO 可以将这些包部署到您托管的任何系统。
您可以在部署前后配置产品策略设置。建议在向网络系统部署产品之前配置策略设置。配置策略设置可节省时间,并确
保您的系统尽快受到保护。
这些包类型可通过提取任务或手动签入主存储库。
支持的包类型
包类型 说明 来源
SuperDAT 文件 SuperDAT 文件在单个更新包中包含 DAT 和引擎 McAfee 网站。手动下载 SuperDAT
(SDAT.exe) 文件 文件。如果存在带宽顾虑,建议您分开更新 DAT 文件并将其签入主存储库。
和引擎文件。
文件类型:SDAT.exe
包签名和安全
McAfee 创建和分发的所有包均通过使用 DSA(数字签名算法)签名验证系统的密钥对签名。这些包使用 168 位
3DES 加密方法进行加密。使用密钥加密或解密敏感数据。
签入 McAfee 未签名的包时,系统将会向您发出通知。如果信任该包的内容和有效性,可继续签入过程。这些包的保护
方式与上述相同,但在签入时由 McAfee ePO 签名。
包排序和依赖项
如果一个产品更新依赖于另一个产品更新,则按要求的顺序向主存储库中签入更新包。例如,如果补丁 2 需要补丁 1,
则必须在补丁 2 前签入补丁 1。签入后,无法对包重新排序。您必须先删除它们,然后按正确的顺序重新签入。如果签
入的包用于替代现有包,则会自动删除现有的包。
产品和更新部署
可以通过 McAfee ePO 存储库基础设施将产品和更新包从中心位置部署到托管系统。尽管使用的存储库不变,其中仍
有所不同。
产品部署和更新包
产品部署包 更新包
必须手动签入到主存储库。 可以利用提取任务从来源站点自动复制 DAT 和引擎更新包。所有
其他更新包必须手动签入到主存储库。
可以通过部署任务复制到主存储库并自动安装在 可以通过全局更新复制到主存储库并自动安装在托管系统上。
托管系统上。
如果不对产品部署执行全局更新,则必须针对托 如果不对产品更新执行全局更新,则必须针对托管系统配置和计划
管系统配置和计划用于检索包的部署任务。 用于检索包的更新客户端任务。
产品部署和更新进程
根据该高水平流程分发 DAT 和引擎更新包。
1 通过提取任务或手动将更新包签入到主存储库。
2 执行以下任一操作:
• 如果使用全局更新,请为断开网络的便携式计算机系统创建和计划更新任务。
• 如果不使用全局更新,请执行以下任务。
1 利用复制任务复制主存储库的内容。
2 为代理创建和计划更新任务,以便在托管系统上检索和安装更新。
部署标记
创建部署任务时,会自动创建与任务同名的标记并将其应用到强制实施任务的系统中。 这些标记仅针对固定部署创
建。 请勿应用到不间断部署。
每次创建部署任务并将其强制实施到系统时,都会将这些标记添加到标记目录页上的部署标记组。 该组为只读组,且
该组中的标记无法在标准配置中手动应用、更改、删除或使用,以过滤系统。
使用产品部署任务将产品部署到托管系统
使用产品部署客户端任务将产品部署到托管系统。
您可以为单个系统或系统树中的多个组创建此任务。
任务
• 为托管系统的组配置部署任务第 187 页
配置产品部署任务,以将产品部署到系统树中的托管系统组。
• 配置部署任务以将产品安装在托管系统上第 188 页
使用产品部署任务,将产品部署到单个系统中。
为托管系统的组配置部署任务
配置产品部署任务,以将产品部署到系统树中的托管系统组。
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
任务
1 打开新建任务对话框。
a 选择 “菜单” | “策略” | “客户端任务目录”。
b 在客户端任务类型下,选择一个产品,然后单击“新建任务”。
2 选择“产品部署”,然后单击“确定”。
3 键入要创建的任务的名称,然后添加任意注释。
4 在目标平台旁,选择要使用该部署的平台的类型。
5 在产品和组件旁边,进行如下设置:
• 从第一个下拉列表中选择产品。列出的产品是那些已签入主存储库的产品。如果看到此处未列出您要部署的产
品,则签入产品包。
• 将“操作”设置为“安装”,然后选择包的“语言”和“分支”。
• 要指定命令行安装选项,请在“命令行”文本字段中键入选项。有关要安装的产品的命令行选项信息,请参阅产品
文档。
可以通过单击“+”或“-”,在显示的列表中添加或删除产品和组件。
6 若要让系统自动更新安全产品,请选择“自动更新”。
这还可以自动部署产品的修补程序和补丁。
如果将安全产品设置为自动更新,则无法将“操作”设置为“删除”。
7 (仅限 Windows)在选项旁边,选择是否要针对各个策略进程运行此任务,然后单击“保存”。
此时会在详细信息窗格中显示根据所选类别分类的各个已分配客户端任务。
10 单击 “操作” | “新建客户端任务分配”。
11 在选择任务页上,选择“McAfee Agent”作为“产品”并选择“产品部署”作为“任务类型”,然后选择您创建的任务,以部
署产品。
12 在标记旁,选择要将包部署到的平台,然后单击“下一步”:
• “ 将此任务发送到所有计算机”
• “将此任务仅发送给具有以下标准的计算机” — 单击标准旁边的“编辑”以进行配置,选择标记组,再选择要在标
准中使用的标记,然后单击“确定”。
若要将列表限制到特定标记,请在“标记”下的文本框中键入标记名称。
13 在计划页上,选择是否启用计划,指定该计划的详细信息,然后单击“下一步”。
14 检查摘要,然后单击“保存”。
每次运行计划的部署任务时,该任务会将最新传感器包安装到系统中,以满足指定标准。
配置部署任务以将产品安装在托管系统上
使用产品部署任务,将产品部署到单个系统中。
在该系统需要以下各项时,为该系统创建产品部署客户端任务:
• 同一组中其他系统不需要的已安装产品。
• 与组中的其他系统不同的计划。例如,系统所在的时区与对等系统所在的时区不同。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开新建任务对话框。
a 选择 “菜单” | “策略” | “客户端任务目录”。
b 在客户端任务类型下,选择一个产品,然后单击“新建任务”。
2 确保已选择“产品部署”,然后单击“确定”。
3 键入要创建的任务的名称,然后添加任意注释。
4 在“目标平台”旁,选择要使用该部署的平台的类型。
5 在“产品和组件”旁,进行如下设置:
• 从第一个下拉列表中选择产品。列出的产品是那些已经将包签入主存储库的产品。如果未在此处看到要部署的
产品,请首先签入该产品的包。
• 将“操作”设置为“安装”,然后选择包的“语言”和“分支”。
• 要指定命令行安装选项,请在“命令行”文本字段中键入命令行选项。有关要安装的产品的命令行选项信息,请参
阅产品文档。
可以通过单击“+”或“-”,在显示的列表中添加或删除产品和组件。
6 若要让系统自动更新已部署的安全产品(包括修补程序和补丁),请选择“自动更新”。
如果将安全产品设置为自动更新,则无法将“操作”设置为“删除”。
7 在“选项”旁,选择是否希望针对各个策略强制实施进程(仅限 Windows)执行此任务,然后单击“保存”。
9 单击 “操作” | “新建客户端任务分配”。
10 在“选择任务”页上,将“产品”选择为“McAfee Agent”并将“任务类型”选择为“产品部署”,然后选择您已针对部署产品
创建的任务。
11 在“标记”旁,选择要将包部署到的平台,然后单击“下一步”:
• “ 将此任务发送到所有计算机”
• “将此任务仅发送给具有以下标准的计算机” — 单击“编辑”,选择标记组和要在标准中使用的标记,然后单击“确
定”。
若要将列表限制到特定标记,请在“标记”下的文本框中键入标记名称。
12 在计划页上,选择是否启用计划,指定该计划的详细信息,然后单击“下一步”。
13 检查摘要,然后单击“保存”。
更新任务
如果不使用全局更新,请确定托管系统上代理的更新时间。
您可以通过创建和更新客户端任务来控制托管系统接收更新包的时间和方式。
如果您使用全局更新,虽然可以另外创建一个每日任务作为备用,但也不必执行此任务。
创建或更新客户端任务时的注意事项
计划客户端更新任务时应该考虑以下事项:
• 在系统树的最高级别创建一个每日更新客户端任务,以便所有系统都继承该任务。 如果您的组织是个大型组织,则
可以使用随机选择时间间隔来缓解带宽影响。 对于那些在不同时区均设有办事处的网络,则应按照托管系统的本地
系统时间运行任务(而不是所有系统在相同时间运行),以便平衡网络负载。
• 如果使用计划复制任务,请将该任务安排在计划复制任务至少一个小时后执行。
• 最大限度地提高带宽利用率,并创建多个计划客户端更新任务,在不同时段更新不同的组件。例如,可以创建一个
只更新 DAT 文件的任务,然后创建另一个更新任务,每周或每月更新一次 DAT 和引擎文件(引擎包的发布频率较
低)。
• 创建任务来更新主工作站应用程序,以确保它们都能接收更新文件。安排该任务每天运行一次或运行多次。
查看分配的客户端任务
初始产品部署过程中,McAfee ePO 会自动创建产品部署客户端任务。 您可以在这个分配的客户端任务基础上,创建
其他产品部署客户端任务。
开始之前
必须要运行初始产品部署才可以创建初始产品部署客户端任务。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 要打开客户端任务并查看详细信息,请单击“代理部署 URL”中配置的任务名称。
4 若需关闭页面,请单击“取消”。
以上内容介绍默认产品部署客户端任务的位置和配置。您可以通过复制此客户端任务实现一些功能,例如:将 McAfee
Agent 部署到使用不同操作系统的平台。
使用计划更新任务定期更新托管系统
创建并配置更新任务。 如果使用全局更新,建议使用每日更新客户端任务,以确保系统具有最新的 DAT 和引擎文件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开新建任务对话框。
a 选择 “菜单” | “策略” | “客户端任务目录”。
b 在客户端任务类型下,选择一个产品,然后单击“新建任务”。
2 验证已选择“产品更新”,然后单击“是”。
3 键入要创建的任务的名称,然后添加任意注释。
4 在正在更新对话框旁,选择是否希望用户知道正在进行更新,以及是否希望允许用户推迟更新过程。
5 选择包类型,然后单击“保存”。
7 单击 “操作” | “新建客户端任务分配”。
8 在选择任务页中,进行以下选择:
• “产品” — 选择 “McAfee Agent”。
• “任务类型” — 选择“产品更新”。
然后选择为部署产品更新创建的任务。
9 在标记旁,选择要将包部署到的平台,然后单击“下一步”:
• “ 将此任务发送到所有计算机。”
• “将此任务仅发送给具有以下标准的计算机” — 单击标准旁边的“编辑”以进行配置,选择标记组,再选择要在标
准中使用的标记,然后单击“确定”。
若要将列表限制到特定标记,请在标记下的文本框中键入标记名称。
10 在“计划”页上,选择是否启用计划,指定该计划的详细信息,然后单击“下一步”。
11 检查摘要,然后单击“保存”。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
4 监控评估组中的系统,直到满意为止。
管理客户端任务
创建并维护客户端任务。
任务
• 创建客户端任务第 191 页
使用客户端任务可以自动执行产品更新。对于所有客户端任务,该过程都是类似的。
• 编辑客户端任务第 192 页
您可以编辑以前配置的任何客户端任务设置或计划信息。
• 比较客户端任务第 192 页
客户端任务比较工具确定哪些客户端任务设置不同以及哪些相同。
• 查看分配给特定系统的客户端任务第 192 页
从系统树的一个中央位置查看分配到系统的所有策略的列表。
创建客户端任务
使用客户端任务可以自动执行产品更新。对于所有客户端任务,该过程都是类似的。
在某些情况下,您必须创建新的客户端任务分配,以便将客户端任务关联到系统树组。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开新建任务对话框。
a 选择 “菜单” | “策略” | “客户端任务目录”。
b 在客户端任务类型下,选择一个产品,然后单击“新建任务”。
2 从列表中选择一个任务类型,然后单击“确定”,以打开客户端任务生成器。
3 输入任务的名称,添加描述,然后配置特定于所创建任务类型的设置。
配置选项取决于所选的任务类型。
4 查看任务设置,然后单击“保存”。
该任务会添加到所选客户端任务类型的客户端任务列表。
编辑客户端任务
您可以编辑以前配置的任何客户端任务设置或计划信息。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从左侧导航树中选择“客户端任务类型”。
可用的客户端任务此时会显示在窗口右侧。
3 单击客户端任务名称,以打开客户端任务目录对话框。
4 根据需要编辑任务设置,然后单击“保存”。
托管系统接收下次代理与服务器通信时您配置的更改。
比较客户端任务
客户端任务比较工具确定哪些客户端任务设置不同以及哪些相同。
该页面包含的许多值和变量特定于各个产品。 对于表格中未包含的选项定义,请找到提供您要比较的客户端任务的产
品并参阅该产品的文档。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 选择“菜单” | “客户端任务比较”,然后从列表中选择产品、客户端任务类型和显示设置。
表的前两行会显示不同和相同设置的数量。为降低数据的数量,可以将“所有客户端任务设置”中的“显示”设置更改为
“客户端任务差异”或“客户端任务匹配”。
3 单击“打印”,打开该比较的打印机友好视图。
查看分配给特定系统的客户端任务
从系统树的一个中央位置查看分配到系统的所有策略的列表。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击某个系统的名称以转至系统信息页,然后单击“已应用的客户端任务”选项卡。
默认情况下,自动响应规则可包括以下操作:
• 创建问题。 • 运行系统命令。
• 执行服务器任务。 • 发送电子邮件消息。
托管产品会增加供您选择的操作数量。
以下为可能触发自动响应的一些典型条件:
• 防病毒软件进行的威胁检测。
目录
使用自动响应
事件阈值
默认自动响应规则
响应计划
确定转发事件的方式
配置自动响应
选择通知时间间隔
创建和编辑自动响应规则
使用自动响应
可以指定触发响应的事件以及响应的内容。
可以配置自动响应的一整套事件类型取决于您使用 McAfee ePO 所管理的软件产品。
默认情况下,您的响应可包括以下操作:
• 创建问题。 • 运行系统命令。
• 执行服务器任务。 • 将电子邮件消息发送至多名收件人。
此功能用于在满足规则条件时创建用户配置的通知和操作。这些条件包括(但不限于):
• 防病毒软件产品进行的威胁检测。
事件阈值
设置事件阈值使您可以调整自动响应的频率,以满足环境的需要和实际情况。
累积
使用累积设置触发自动响应之前发生的事件数量。 例如,您可以配置自动响应规则,从而在达到以下其中一个阈值时
发送电子邮件消息:
• 该服务器一小时内从不同系统中接收到 1,000 或更多病毒检测事件。
限制
在将规则配置为将可能的病毒发作情况通知给您后,使用调节可以确保不会收到过多的通知消息。如果您确保大型网络
的安全,您可能会在一小时内收到上万个事件,生成数千条电子邮件消息。调节功能允许您限制基于一个规则所接收的
通知消息的数目。例如,您可以在响应规则中指定希望在 1 小时内仅接收一条通知消息。
分组
使用分组功能可以组合多个累积事件。 例如,可以将具有相同严重性的事件组合到一个组中。 分组具有以下益处:
• 一次性响应具有相同或更高严重性的所有事件。
• 区分所产生事件的优先级。
默认自动响应规则
启用默认 McAfee ePO 响应规则,以便在详细了解该功能的同时立即使用。
在启用任何默认规则之前,请执行以下操作:
• 指定发送通知消息的电子邮件服务器(选择“菜单” | “配置” | “服务器设置”)。
• 确保收件人电子邮件地址正确无误。 该地址在自动响应生成器的“操作”页面配置。
响应计划
在创建自动响应规则之前,请考虑您希望 McAfee ePO 服务器执行的操作。
针对以下项目的计划:
• 在您环境中触发消息的事件类型。
• 哪些人接收哪些消息。例如,您可能不需要向所有管理员通知产品升级失败,但您可能需要管理员知道发现了被感
染的文件。
• 您希望为每个规则设置的阈值的类型和级别。 例如,您可能不希望在病毒爆发期间每次检测到被感染的文件都收到
一则电子邮件消息。 您可以选择为每 1,000 个事件发送一封邮件。
• 在满足规则条件时,您希望运行的命令或已注册的可执行文件。
• 在满足规则条件时,您希望运行的服务器任务。
确定转发事件的方式
确定转发事件的时间以及立即转发哪些事件。
服务器从代理接收事件通知。您可以配置 McAfee Agent 策略,以立即将事件转发至服务器或仅在代理与服务器通信时
间间隔后转发。
任务
• 确定立即转发的事件第 196 页
确定是立即转发事件,还是仅按代理与服务器之间的通信间隔转发。
• 确定转发到服务器的事件第 196 页
使用服务器设置和事件过滤,可以确定将哪些事件转发到服务器。
确定立即转发的事件
确定是立即转发事件,还是仅按代理与服务器之间的通信间隔转发。
如果当前应用的策略未设置为立即上传事件,则可以编辑当前应用的策略或创建 McAfee Agent 策略。在威胁事件日志
页面上配置此设置。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击现有代理策略。
3 在“事件”选项卡上,选择“启用事件转发优先级”。
4 选择事件严重性。
所选严重性(以及更高严重性)的事件会立即转发到服务器。
5 要控制流量,请键入“上载间隔时间”(以分钟为单位)。
6 要控制流量大小,请键入“每次上载的最大事件数”。
7 单击“保存”。
确定转发到服务器的事件
使用服务器设置和事件过滤,可以确定将哪些事件转发到服务器。
这些设置会影响环境中使用的带宽,以及基于事件的查询结果。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择要转发的全部或单个事件。
• 要转发所有可用事件,请选择“所有事件到服务器”。
如果选择“所有事件到服务器”,那么将禁用“全选”和“取消全选”。
• 要只转发指定的事件,请选择“仅限选定的事件到服务器”。
3 选择您要存储选定事件的位置。
• 将所有选定的事件存储到服务器中:
• 单击“将所选项存储在 ePO 中”— 将所有选定事件存储在 McAfee ePO 数据库中。
• 将选定事件存储在各个选定服务器中:
• 单击“存储在 ePO 中”— 将事件存储在 McAfee ePO 数据库中。
如果在注册期间产品扩展为事件类型提供事件存储选项,则将保存该事件存储选项。 如果在注册期间产品扩展未为
事件类型提供事件存储选项,则默认将事件存储在 McAfee ePO 和 SIEM 数据库中。
4 选择事件来源。
• “任何来源的事件”— 任何来源包括 McAfee Agent、McAfee ePO 等。
5 单击“保存”。
配置自动响应
配置必需的资源,以全面地利用自动响应。
任务
• 分配通知权限第 197 页
通知权限使用户可以查看、创建和编辑已注册的可执行文件。
• 分配自动响应权限第 198 页
当您需要限制用户可以创建的响应类型时,为响应分配权限。
• 管理 SNMP 服务器第 198 页
配置响应,以使用您的 SNMP (Simple Network Management Protocol) 服务器。
• 管理已注册的可执行文件和外部命令第 199 页
当满足规则条件时,系统就会运行您所配置的已注册的可执行文件。自动响应会触发已注册的可执行命令
的运行。
分配通知权限
通知权限使用户可以查看、创建和编辑已注册的可执行文件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“事件通知”旁,单击“编辑”。
3 选择所需通知权限:
• “无权限”
• “查看已注册的可执行文件”
• “创建和编辑已注册的可执行文件”
• “查看整个系统树的规则和通知(覆盖系统树组访问权限)”
4 单击“保存”。
6 选择要将新权限集分配到的用户,然后单击“编辑”。
7 在“权限集”旁边,选中与所需通知的权限集相对应的复选框,然后单击“保存”。
分配自动响应权限
当您需要限制用户可以创建的响应类型时,为响应分配权限。
开始之前
要创建响应规则,用户需要具备威胁事件日志、系统树、服务器任务和检测的系统功能的权限。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“自动响应”旁,单击“编辑”。
3 选择“自动响应”权限:
• “无权限”
• “查看响应;查看服务器任务日志中的响应结果”
• “创建、编辑、查看和取消响应;查看服务器任务日志中的响应结果”
4 单击“保存”。
6 选择要将新权限集分配到的用户,然后单击“编辑”。
7 在“权限集”旁边,选中与包含所需“自动响应”权限的权限集相对应的复选框,然后单击“保存”。
管理 SNMP 服务器
配置响应,以使用您的 SNMP (Simple Network Management Protocol) 服务器。
您无需进行其他配置或启动任何服务,就可以配置此功能。
SNMP 服务器操作
1 选择“菜单” | “配置” | “已注册的服务器”。
操作 说明
“编辑” 根据需要编辑服务器信息,然后单击“保存”。
“删除” 删除选定的 SNMP 服务器。 出现提示时,请单击“是”。
导入 .MIB 文件
导入 .mib 文件,然后设置规则,以通过 SNMP 陷阱向 SNMP 服务器发送通知消息。
必须从 \Program Files\McAfee\ePolicy Orchestrator\MIB 导入三个 .mib 文件。这些文件必须按如下顺序导入:
1 NAI-MIB.mib
2 TVD-MIB.mib
3 EPO-MIB.mib
管理已注册的可执行文件和外部命令
当满足规则条件时,系统就会运行您所配置的已注册的可执行文件。自动响应会触发已注册的可执行命令的运行。
您只能在控制台应用程序上运行已注册的可执行命令。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下任一操作。
操作 步骤
添加已注册的 1 单击“操作” | “已注册的可执行文件”。 4 根据需要修改用户凭据。
可执行文件
2 键入已注册的可执行文件的名称。 5 测试该可执行文件,并使用“审核日志”确
认其是否可以正常工作。
3 键入路径并选择您希望在触发规则时执行 6 单击“保存”。
的已注册可执行文件。
新的已注册的可执行文件会出现在“已注册的可执行文件”列表中。
编辑已注册的 1 查找要在“已注册的可执行文件”页编辑的已注册的可执行文件,然后单击“编辑”。
可执行文件
2 根据需要更改信息,然后单击“保存”。
复制已注册的 1 查找要在“已注册的可执行文件”页复制的已注册的可执行文件,然后单击“复制”。
可执行文件
2 键入已注册的可执行文件的名称,然后单击“确定”。
复制的已注册的可执行文件会出现在“已注册的可执行文件”列表中。
删除已注册的 1 查找要在“已注册的可执行文件”页删除的已注册的可执行文件,然后单击“删除”。
可执行文件
2 出现提示时,请单击“确定”。
被删除的已注册的可执行文件将不再出现在“已注册的可执行文件”列表中。
选择通知时间间隔
该设置决定事件发生后向自动响应系统发出通知的频率。
以下事件会生成通知:
• 客户端事件 – 在托管系统上发生的事件。例如,成功更新产品。
• 威胁事件 — 表示检测到潜在威胁的事件。例如,检测到病毒。
• 服务器事件 – 在服务器上发生的事件。例如,存储库提取失败。
只有在自动响应系统收到通知之后,才会触发自动响应。指定较短的通知发送时间间隔并选择足够频繁的评估时间间
隔,确保自动响应系统可以及时地响应事件,但是也不能过于频繁,避免过高的带宽消耗。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
创建和编辑自动响应规则
定义响应事件的时间和方式。 “自动响应”规则不具有从属顺序。
任务
• 定义规则第 201 页
创建规则时,请包括其他用户可能需要的信息,以便其了解该规则的目的或效果。
• 为规则设置过滤器第 201 页
要限制可以触发响应的事件,请在响应生成器的过滤器页面上为响应规则设置过滤器。
• 针对规则设置累积和分组标准。第 201 页
您可以在响应生成器的累积页上定义事件触发规则的时间。
• 为自动响应规则配置操作第 202 页
在响应生成器的操作页面上配置由规则触发的响应。
定义规则
创建规则时,请包括其他用户可能需要的信息,以便其了解该规则的目的或效果。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 从“语言”菜单中,选择该规则所使用的语言。
4 选择触发此响应的“事件组”和“事件类型”。
5 在“状态”旁边,选择“已启用”或“已禁用”。 默认为“已启用”。
6 单击“下一步”。
为规则设置过滤器
要限制可以触发响应的事件,请在响应生成器的过滤器页面上为响应规则设置过滤器。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 从“可用属性”列表中选择属性,并指定用来过滤响应结果的值。
可用属性取决于在说明页面上选择的事件类型和事件组。
2 单击“下一步”。
针对规则设置累积和分组标准。
您可以在响应生成器的累积页上定义事件触发规则的时间。
规则的阈值是累积、限制和分组的组合。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 在“累积”旁,选择一个累积级别。
• 要为每个事件触发响应,请选择“针对每个事件触发此响应”。
• 要在发生多个事件后触发此响应,请执行以下步骤。
1 选择“如果此时间内发生多个事件,则触发此响应”,然后以秒、分钟、小时或天为单位定义时长。
2 选择累积条件。
• “当事件属性的非重复值的数量至少为某个值时” — 如果选择了事件属性实例的非重复值,则会使用该条
件。
• “当事件数量至少为” — 键入定义的事件数量。
2 在“分组”旁,选择是否对累积事件进行分组。 如果分组,请指定按照其进行分组的事件属性。
3 根据需要,在“调节”旁边,选择“触发此响应的最大间隔时间”并定义该规则可以发送其他通知消息前必须要经历的时
间量。
时间量可以以分钟、小时或天为单位进行定义。
4 单击“下一步”。
为自动响应规则配置操作
在响应生成器的操作页面上配置由规则触发的响应。
使用通知类型下拉列表旁的“+”和“-”按钮配置多项操作。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 配置作为响应的组成部分发生的每项操作。
配置操作的选项后,在完成时单击“下一步”,或者单击“+”添加其他操作。
• 要作为响应的组成部分发送电子邮件,从下拉列表中选择“发送电子邮件”。
1 在“收件人”旁边,单击“...”并选择邮件的收件人。 该可用收件人列表取自“联系人”(“菜单” | “用户管理” | “联
系人”)。 您也可以手动键入电子邮件地址,使用逗号隔开。
2 选择电子邮件的重要性。
3 键入邮件的“主题”,或者将任何可用变量直接插入到主题中。
4 键入您想要在邮件正文中显示的任何文本,或直接将任何可用变量直接插入到正文中。
• 要运行外部命令,请从下拉列表中选择“运行外部命令”。
1 选择已注册的可执行文件,然后键入该命令的任何参数。
• 要创建问题,请从下拉列表中选择“创建问题”。
1 选择要创建的问题类型。 4 在文本框中键入受理人的名称。
2 键入问题的唯一名称和任何注释,或将任何可 5 完成后,请单击“下一步”,或单击“+”再添加一
用变量直接插入到名称和说明中。 个通知。
3 从相应的下拉列表中选择问题的“状态”、“优先
级”、“严重性”和“解决状态”。
• 要运行某个计划任务,请从下拉列表中选择“执行服务器任务”。
1 从“要执行的任务”下拉列表中选择要运行的任务。
2 完成后,请单击“下一步”,或单击“+”再添加一个通知。
2 验证摘要页面上的信息,然后单击“保存”。
新规则显示在响应列表中。
自动响应规则不具有从属顺序。
目录
代理与服务器之间的通信的工作原理
最佳实践:估计和调整 ASCI
管理代理与服务器之间的通信
“立即更新”页
代理与服务器之间的通信的工作原理
McAfee Agent 会定期通过代理与服务器之间的通信与 McAfee ePO 服务器通信,以发送事件并确保所有设置都是最新
的。
代理与服务器每次通信时,McAfee Agent 都会收集当前的系统属性以及所有尚未发送的事件,并将它们发送到服务
器。 服务器将新的或更改后的策略和任务发送到 McAfee Agent;如果自上次代理与服务器通信之后,存储库列表发生
了更改,则还会发送存储库列表。
最佳实践:估计和调整 ASCI
您可能需要根据托管环境中系统的数量,估计和调整您的网络中代理与服务器之间的通信时间间隔 (ASCI)。
估计最佳 ASCI:最佳实践
若要改善 McAfee ePO 服务器性能,您可能需要调整托管网络的 ASCI 设置。
若要确定是否更改您的 ASCI,请了解您的 McAfee ePO 服务器上端点策略发生更改的频率。 对大部分组织来说,一
旦策略到位,就不会频繁进行更改。 有些组织几个月也更改不了一次端点策略。 这意味着为查看策略更改而每 60 分
钟调用一次系统(正常工作日一天要进行 8 次)可能有些过度频繁。 如果代理未发现任何可下载的新策略,则会等待
至下一次代理与服务器之间的通信,然后在下一次计划的签入时间再次检查。
配置 ASCI 设置:最佳实践
估计最佳 ASCI 设置后,重新配置 McAfee ePO 服务器中的设置。
默认情况下 ASCI 被设置为 60 分钟。 如果该时间间隔对您的组织来说频率太高,请作出更改。
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
任务
1 选择“菜单” | “策略” | “策略目录”,然后从“产品”列表中选择“McAfee Agent”,从“类别”列表中选择“常规”。
2 单击要更改的策略的名称和“常规”选项卡。
3 在“代理与服务器通信时间间隔”旁边,键入更新之间的分钟数。
该示例显示时间间隔设置为 60 分钟。
4 单击“保存”。
如果您要立即发送策略更改或添加客户端任务,可以执行代理唤醒呼叫。
管理代理与服务器之间的通信
根据您对代理和服务器之间的通信的要求修改 McAfee ePO 设置。
允许缓存代理部署凭据
管理员必须提供凭据,才能将代理从 McAfee ePO 服务器成功部署到网络中的系统。您可以选择是否允许为每个用户
缓存代理部署凭据。
对用户的凭据缓存后,该用户无需再次进行身份验证即可部署代理。凭据缓存根据用户进行,因此之前未提供过凭据的
用户首先必须提供自己的凭据,然后才可以部署代理。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选中该复选框以允许缓存代理部署凭据。
更改代理通信端口
您可以更改 McAfee ePO 服务器上用于代理通信的端口。
您可以修改这些代理通信端口的设置:
• “代理与服务器通信安全端口”
• “代理唤醒通信端口”
• “代理广播通信端口”
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
“立即更新”页
利用该页面选择更新到该系统的包类型。
表 16-1 选项定义
选项 定义
“更新系统” 显示正更新的系统的名称。
“包类型” • “全部包” - 选择此选项可以从主存储库更新此页上列出的所有包类型。
• “选定的包”— 允许您选择要从主存储库更新的特定包类型,包括:
• “特征码和引擎” - 选择要更新的特征码和引擎。
• “修补程序和 Service Pack” - 选择要更新的项目。
您可以创建自动运行的查询和任务,以提高服务器性能,简化维护并监控威胁。
更改策略、配置、客户端或服务器任务、自动响应或报告时,导出更改前后的设置。
目录
最佳实践:查找 GUID 相同的系统
最佳实践:自动清除事件
最佳实践:创建对内容的自动提取和复制操作
最佳实践:过滤 1051 和 1059 事件
最佳实践:查找需要新代理的系统
查找非活动系统:最佳实践
度量恶意软件事件最佳实践
根据子网查找恶意软件事件:最佳实践
创建自动合规性查询和报告最佳实践
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击以下一项预配置服务器任务的操作列中的“编辑”。
• “代理 GUID 重复 – 清除错误计数”
3 在说明页面上,选择“已启用”,然后单击:
• “保存” — 启用服务器任务并在服务器任务页面运行该任务。
• “下一步” — 计划在特定时间运行服务器任务并执行该任务。
最佳实践:自动清除事件
定期清除每天发送至您的 McAfee ePO 服务器的事件。 这些事件最终会降低 McAfee ePO 服务器和 SQL Server 的性
能。
事件无所不包,可以是检测到的威胁,也可以是成功完成的更新。 在拥有几百个节点的环境中,您可以在夜间清除这
些事件。 但如果环境中拥有数千个报告到您的 McAfee ePO 服务器的节点,则必须要在事件过期时将其删除。 在这些
大型环境中,您的数据库大小直接影响到 McAfee ePO 服务器的性能,因此您必须要定期清理数据库。
另请参阅
报告功能第 299 页
创建清除事件服务器任务最佳实践
创建自动服务器任务,以删除数据库中早期和不再需要的所有事件。
有些组织采用特定事件保留策略或报告要求。 确保您的清除事件设置符合这些策略。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 在操作选项卡中,从列表中配置以下操作:
• “清除审核日志” — 6 个月后清除。
• “清除客户端事件” — 6 个月后清除。
• “清除服务器任务日志” — 6 个月后清除。
• “清除威胁事件日志” — 每天清除。
您可以将所有操作安排到一个任务中,这样就不需要创建多个任务。
4 单击“下一步”并计划任务,从而在每天的非营业时间运行。
5 单击“摘要”选项卡,确认服务器任务设置是正确的,然后单击“保存”。
根据查询清除事件
您可以将自定义配置的查询为基础,以删除客户端事件。
开始之前
您必须创建查询,以查找要清除的事件,然后才可以启动该任务。
根据查询的结果配置清除数据。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 单击“按查询清除”,然后选择您创建的自定义查询。
针对客户端事件创建表查询后,该菜单会被自动填充。
4 将任务计划为每天的非营业时间运行,然后单击“保存”。
另请参阅
创建自定义表查询:最佳实践第 306 页
最佳实践:创建对内容的自动提取和复制操作
McAfee ePO 服务器的主要功能是每天从 McAfee 公共服务器提取内容。 定期提取内容可保持 McAfee 产品的保护签
名处于最新状态。
提取最新的 DAT 和内容文件可保持您的 McAfee 产品(如 VirusScan Enterprise 和 Host Intrusion Prevention)的保护
签名处于最新状态。
主要步骤有:
1 将内容从 McAfee(通常是 McAfee ePO 服务器)提取到您的主存储库。
自动提取内容:最佳实践
从公共 McAfee 服务器中提取 McAfee 内容。 该提取任务可确保您的保护签名处于最新状态。
您必须要将提取任务计划为东部时间每天下午 3 点 (19:00 UTC 或 GMT)后至少运行一次。 在以下示例中,提取任
务被计划为每天运行两次,如果下午 5:00 出现网络问题,则会在下午 6:00 运行该任务。 有些用户希望更加频繁地提
取更新,频率高达每 15 分钟一次。 如此频繁的提取 DAT 会造成沉重的负担而且没有必要,因为通常情况下 DAT 文
件每天发布一次。 每天提取 2-3 次就足够了。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在服务器任务生成器对话框中,键入任务名称并单击“下一步”。
3 指定要在提取任务中包含的特征码。
a 在操作对话框中,从操作列表中选择“存储库提取”,然后单击“选定的包”。
b 选择适用于您的环境的特征码。
最佳实践:针对内容创建提取任务后,请仅选择适用于您的环境的包,而不是选择“全部包”。 这样可以将您的主存储
库的大小控制在可管理的范围。 这还可以降低从 McAfee 网站进行提取操作和复制到您的分布式存储库时占用的带
宽。
4 单击“下一步”。
5 将提取任务计划为东部时间每天下午 3 点 后至少运行一次,然后单击“下一步”。
6 单击“摘要”选项卡,确认服务器任务设置是正确的,然后单击“保存”。
在客户环境中最常见的两种事件是:
• 1051 — 无法扫描有密码保护的文件
• 1059 — 扫描超时
在事件过滤下禁用这两种事件,以避免大量此类事件进入数据库。 通过禁用这两种事件,您可以有效告知代理停止将
这些事件发送至 McAfee ePO。
您可以选择性地禁用其他事件,但由于大部分其他事件都很重要且生成数量可以管理,所以通常无需将其禁用。 只要
您对您的事件摘要查询进行监控,以确保您启用的新事件不会占满数据库,您也可以启用其他事件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在 “编辑事件过滤” 页面的代理转发列表中,向下滚动,直至您看到这些事件,然后取消对其选择:
• “1051:无法扫描有密码保护的文件(中)”
3 单击“保存”。
最佳实践:查找需要新代理的系统
如果您怀疑某些托管系统可能未安装相同的 McAfee Agent,请执行以下任务,以查找使用更早版本代理的系统,然后
选择这些系统,以进行 McAfee Agent 升级。
创建代理版本摘要查询最佳实践
通过查询查找使用旧版本 McAfee Agent 的系统,以生成比当前版本更早的所有代理版本的列表。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在代理版本摘要查询的操作列中,单击“复制”。 在复制对话框中,更改名称,选择组以接收查询副本,然后单击“确
定”。
3 导航至您创建的重复查询,然后单击“操作”列中的编辑,以显示预配置的查询生成器。
4 在图表选项卡的“结果显示为”列表中,展开“列表”并选择“表”。
6 在列选项卡中,删除所有预配置列(“系统名称”除外),然后单击“下一步”。
7 在过滤器选项卡中,配置这些列,然后单击“运行”:
a 针对属性列,请从“可用属性”列表中选择产品版本 (代理)。
b 针对比较列,请选择“小于”。
键入当前代理版本号意味着查询仅查找“早于”该版本号的版本。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在新建部署页面中,配置以下设置:
a 键入此部署的名称和说明。 在保存部署后,该名称会出现在“产品部署”页中。
b 在类型旁边,选择“固定”。
e 在“选择系统”组中,单击“选择系统”,从对话框中单击“查询”选项卡并配置以下设置,然后单击“确定”:
• 选择您创建的代理版本摘要表查询。
• 选择系统列表中显示的系统名称。
总计字段显示选定的系统的数量。
f 在“选择开始时间”旁边,从列表中选择“立即运行”。
3 单击“保存”。
产品部署项目开始运行,允许您监控部署流程和状态。
另请参阅
监控和编辑部署项目第 157 页
查找非活动系统:最佳实践
大部分环境正不断改变 – 添加新系统并删除旧系统。 这些更改会创建非活动 McAfee Agent 系统,如不删除,这些系
统最终会扭曲您的合规性报告。
如果系统被废弃或因为用户长时间外出、休假或其他原因而消失,请将其从“系统树”中删除。 有关合规性的 DAT 报告
就是一个可能被曲解的报告的示例。 如果您的“系统树”中存在 20 天未报告到 McAfee ePO 服务器的系统,他们会显示
为过时 20 天并最终曲解您的合规性报告。
初始故障排除
首先,当系统未与 McAfee ePO 服务器通信时,请尝试以下步骤:
1 在系统树中,选择系统并单击“操作” | “代理” | “唤醒代理”。
配置“重试时间间隔”,例如 3 分钟。
系统显示在系统树不明来源组中。
处理非活动系统
您可以创建查询和报告,以过滤出 X 天内未与 McAfee ePO 服务器通信的系统。 或者,您的查询和报告可以删除或自
动移动这些系统。
服务器上存在预配置的非活动代理清理任务,默认情况下是被禁用的,您可以编辑并启用。
更改非活动代理查询:最佳实践
如果未根据您的需要配置默认“非活动代理”查询,您可以复制该查询并以此为基础创建您的自定义查询。
对于预配置的非活动代理查询,默认设置是删除上个月没有通信的非活动代理。 如果您要更改默认计时器设置,请复
制非活动代理查询。
该任务中的说明介绍了如何创建现有非活动代理查询的副本,从而将截止日期更改为两个星期。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在非活动代理查询的操作列中,单击“复制”。
3 在复制对话框中,更改名称,选择组以接收查询副本,然后单击“确定”。
4 导航到您创建的重复查询,然后在“操作”列中单击“编辑”,以显示预配置的查询生成器。
5 要将过滤器选项卡设置从一月一次更改为每两周一次,请将“上次通信时间”属性“不是在最近”比较的值设置为
2“周”。
请勿更改“和托管状态”属性的“等于”比较或“托管”值。
6 单击“保存”。
现在您的新非活动代理查询可以从服务器任务运行,以删除非活动代理系统。
删除非活动系统:最佳实践
将非活动代理清除服务器任务与命名为非活动代理的预配置查询搭配使用,以自动删除非活动系统。
开始之前
您必须已启用或复制非活动代理查询。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击预配置的“非活动代理清理任务”,然后单击“操作” | “复制”。
3 在复制对话框中,更改服务器任务名称,然后单击“确定”。
4 在您创建的服务器任务行中,单击“编辑”,以显示服务器任务生成器页面。
5 在说明选项卡中,键入任意必要注释,单击“计划状态”中的“已启用”,然后单击“下一步”。
6 在操作选项卡中,配置以下设置:
a 在“操作”列表中,选择“运行查询”。
b 针对查询,单击“...”,以打开“从列表中选择查询”对话框。
c 单击在其中保存了非活动代理查询副本的组选项卡,选择您的查询,然后单击“确定”。
d 选择您的语言。
e 在子操作中,选择列表中的“删除系统”。
(可选)您可以选择“将系统移至其他组”,而非使用默认子操作删除系统。 这样会将查询找到的系统移至指定
组,例如系统树中的非活动系统。
7 单击“下一步”,计划何时运行该服务器任务,然后保存服务器任务。
度量恶意软件事件最佳实践
对恶意软件事件计数可以获得对检测和停止的攻击和威胁的总体认识。 利用该信息,您可以估计一段时间内网络的健
康状况并根据需要作出更改。
创建基准,以测试网络恶意软件状态,首先要创建查询,以计数每周清除的受感染的系统的总数。 该查询会计入每个
出现恶意软件事件的系统。 即使一个系统中生成数千个事件,该查询仍只将该系统计入一次。
创建该查询后,您可以执行以下操作:
• 将其作为信息显示板进行添加,以快速监控您的网络恶意软件攻击。
• 创建报告,以提供网络状态的历史记录。
• 创建“自动响应”,以在恶意软件影响系统阈值时向您发送通知。
创建计算每周清除的系统数查询的最佳实践
创建查询,对每周清理的系统计数,这是测试网络整体状态的好方法。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在功能组的查询向导 “结果类型”选项卡中,请选择“事件”,然后在“结果类型”窗格中,单击“威胁事件”,然后单击“下
一步”。
3 在图表选项卡的结果显示为列表中,选择“单折线图”。
4 在配置图表:单折线图窗格中,配置以下设置,然后单击“下一步”:
• 在时基为中,选择“事件生成时间”。 • 在线值为中,选择“数量为”。
• 在时间单位中,选择“周”。 • 选择“威胁目标主机名”。
• 在时间顺序为中,选择“按时间先后顺序”。 • 单击“显示总计”。
5 在列选项卡的可用列列表中,选择要显示的列,然后单击“下一步”:
• “事件生成时间” • “事件类别”
• “威胁目标主机名” • “威胁严重性”
6 在过滤器选项卡的可用属性列表中,配置该“必需条件”:
• 针对“事件生成时间”,从“在最近”列表中选择以下设置:“3”和“月”。
• 针对“事件类别”,从“属于列表”中选择以下设置:“恶意软件”。
• 针对“采取的操作”,从列表中选择以下设置:“等于”和“已删除”。
7 单击“保存”,以显示保存查询页面,然后配置以下设置:
• 针对查询名称,键入查询名称,例如 Total Infected Systems Cleaned Per Week。
• 针对查询说明,键入该查询功能的说明。
• 针对查询组,单击“新建组”,键入查询组名称,然后单击“公共”。
8 单击“保存”。
运行该查询时,它会返回每周清理的受感染系统的数量。 该信息提供网络整体状态的基准。
根据子网查找恶意软件事件:最佳实践
根据子网 IP 地址查找威胁,这样会显示特定用户组是否需要进行流程更改或为您的托管网络提供额外保护。
例如,如果您有四个子网,其中只有一个子网不断生成威胁事件,那么您可以缩小查找这些威胁原因的范围。 可能该
子网上的用户已经共享受感染的 USB 驱动器。
创建根据子网查找恶意软件事件的查询的最佳实践
创建查询,以根据子网查找恶意软件事件并进行排序。 该查询可帮助您在正受攻击的环境中查找网络。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“操作” | “复制”并在复制对话框中编辑名称,选择接收该复件的组,然后单击“确定”。
3 在查询列表中,查找您创建的新查询并单击“编辑”。
复制的查询会显示在查询生成器中,并选中图表选项卡。
4 在结果显示为列表中,请选择“列表”下的“表”。
6 在列选项卡中,您可以使用预选的列。
切勿更改默认的过滤器选项卡设置。
7 单击摘要选项卡,确认查询设置是正确的,然后单击“保存”。
8 在查询列表中,查找您创建的查询,然后单击“运行”。
现在您具备查找恶意软件事件并根据 IP 子网地址对其排序的查询。
创建自动合规性查询和报告最佳实践
您可以创建合规性查询和报告,以了解您的哪些托管系统满足特定标准。
例如,您可以查找没有最新 DAT 或最近超过 30 天未与 McAfee ePO 服务器联系的系统。
为自动查找该重要信息,请执行以下任务。
任务
• 创建运行合规性查询的服务器任务的最佳实践第 219 页
您必须创建服务器任务,从而每周都运行合规性查询,自动生成托管系统合规性报告。
• 创建包含查询输出的报告的最佳实践第 219 页
保存查询数据后,您必须创建包含您运行的查询中信息的报告,然后将其发送至管理员团队。
• 创建用以运行和交付报告的服务器任务:最佳实践第 220 页
您必须要创建服务器任务,以自动运行报告并将合规性报告发送至管理员。
创建运行合规性查询的服务器任务的最佳实践
您必须创建服务器任务,从而每周都运行合规性查询,自动生成托管系统合规性报告。
根据以下步骤创建服务器任务,从而在每周日早上 2:00 运行合规性查询。 每周日早上运行查询,这样您就可以在周一
早上 5:00 运行报告 并将其通过电子邮件发送给管理员。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在服务器任务生成器中:
a 在“说明”选项卡中,键入名称和注释。
b 在“计划状态”中,单击“已启用”。
c 单击“下一步”。
3 在操作选项卡中,请配置以下设置:
a 在操作列表中,选择“运行查询”并配置以下设置:
• 针对查询,选择“VSE:最近 30 天的合规性”。 • 针对如果文件存在,选择“覆盖”。
• 选择您的语言。 • 针对导出,选择“仅限图表数据”。
• 针对子操作,选择“导出至文件”,然后单击“确 • 针对格式,选择“CSV”。
定”。
• 针对 C:\reports\,键入有效文件名。
b 单击“+”创建另一个操作,在第二个“操作”列表中,选择“运行查询”并配置这些设置,然后单击“下一步”。
• 针对查询,选择“非活动代理”。 • 针对如果文件存在,选择“覆盖”。
• 选择您的语言。 • 针对导出,选择“仅限图表数据”。
• 针对子操作,选择“导出至文件”。 • 针对格式,选择“CSV”。
• 针对 C:\reports\,键入有效文件名。
4 在“计划”选项卡中,更改以下设置,然后单击“下一步”。
a 针对计划类型,单击“按周”。
b 针对开始日期,选择今天的日期。
c 针对结束日期,单击“无结束日期”。
d 更改“计划”设置,以将任务配置为在“周一”“早上 2:00”运行。
您可以根据您的需要设置计划的运行时间和频率。
e 确认摘要选项卡中的所有设置都是正确的,然后单击“保存”。
创建包含查询输出的报告的最佳实践
保存查询数据后,您必须创建包含您运行的查询中信息的报告,然后将其发送至管理员团队。
开始之前
您必须要了解您要添加到报告中的查询的格式。
在该示例中,查询有以下格式:
• “VSE:最近 30 天的合规性” — 图表
• “非活动代理” — 表
创建报告,其中包含从您的合规性查询(通过服务器任务自动运行)中捕获的数据,然后在周一早上通过电子邮件将其
发送至管理员。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“操作” | “新建”。
此时会显示空白的报告布局页面。
3 单击“名称”并为报告键入名称,单击“说明”并选择性地键入说明,单击“组”并选择合适的组来接收报告,然后单击“确
定”。
4 在报告布局窗格中,从“工具箱”列表中拖放这些查询输入格式:
• 针对 VSE:最近 30 天的合规性图表查询,将“查询图表”工具拖动到“报告布局”窗格,然后从“查询图表”列表中
选择“VSE:最近 30 天的合规性”,然后单击“确定”。
• 针对非活动代理表查询,将“查询表”工具拖动到“报告布局”窗格,然后从“查询”表列表中选择“非活动代理”,然后
单击“确定”。
5 单击“保存”,然后新合规性报告会列在报告选项卡中。
6 为确定您的报告配置正确,请单击报告的“操作”列中的“运行”,然后验证“最近的运行状态”是否显示为“成功”。
7 若要查看报告,请单击“最近的运行结果”列中的链接,然后打开或保存报告。
创建用以运行和交付报告的服务器任务:最佳实践
您必须要创建服务器任务,以自动运行报告并将合规性报告发送至管理员。
开始之前
您必须已做好以下准备:
• 创建并计划运行该合规性查询的服务器任务。
• 创建包含这些查询输出的报告。
遵循以下步骤:
• 自动运行报告,其中包含从您的合规性查询中捕获的数据。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在服务器任务生成器中,配置以下设置,然后单击“下一步”。
a 在“说明”选项卡中,键入名称和注释。
b 在“计划状态”中,单击“已启用”。
3 在操作选项卡中,选择“运行报告”,配置以下设置,然后单击“下一步”。
a 针对选择要运行的报告,选择您配置的合规性报告。
b 选择您的语言。
c 针对子操作,选择“通过电子邮件发送文件”。
d 针对收件人,键入管理员的电子邮件地址。
使用逗号分隔多个电子邮件地址。
e 针对主题,键入您希望显示在电子邮件主题行中的信息。
4 在计划选项卡中,更改以下设置,然后单击“下一步”。
a 针对“计划类型”,单击“按周”。
b 针对开始日期,选择今天的日期。
c 针对结束日期,单击“无结束日期”。
d 更改计划设置,将任务配置为在“周一”“早上 05:00”运行。
您可以根据您的需要设置计划的运行时间和频率。
e 确认摘要选项卡中的所有设置都是正确的,然后单击“保存”。
另请参阅
创建包含查询输出的报告的最佳实践第 219 页
存储库可存储要分发到托管系统的安全软件包及其更新。
安全软件只在最新安装的更新有效的情况下才有效。 例如,如果您的 DAT 文件过期,那么,即使最好的防病毒软件也
无法检测到新的威胁。 因此您制定强大的更新策略是至关重要的,这样才能尽可能保持安全软件最新。
目录
存储库的功能
存储库类型及其功能
存储库分支和用途
使用存储库
首次设置存储库
管理来源站点和备用站点最佳实践
验证是否有权访问来源站点最佳实践
配置全局更新的设置最佳实践
配置代理策略以使用分布式存储库最佳实践
将 SuperAgent 用作分布式存储库
在 FTP 或 HTTP 服务器以及 UNC 共享上创建和配置存储库
将 UNC 共享用作分布式存储库
使用非托管的本地分布式存储库
处理存储库列表文件
更改多个分布式存储库上的凭据
提取任务
复制任务
存储库选择
存储库的功能
您托管系统上的代理从 McAfee ePO 服务器上的存储库中获取其安全内容。 该内容维持您环境的最新状态。
存储库内容可以包括以下内容:
• 要部署到客户端的托管软件
存储库类型及其功能
为在您的网络中提供产品和更新,McAfee ePO 软件提供多种类型的存储库,从而创建可靠的更新基础架构。
存储库组件如何协同工作
存储库在您的环境中协同工作,将更新和软件提交到托管系统。 根据网络的规模大小和地理分布情况,您可能需要使
用分布式存储库。
图 18-1 来源站点和存储库将包提交到系统
分布式存储库 — “主存储库”会向网络中的分布式存储库复制包。
托管系统 — 网络中的托管系统从分布式存储库检索更新。
备用站点 — 如果托管系统无法访问分布式存储库或“主存储库”,则会从备用站点检索更新。
利用这些组件,您可以灵活地制定更新策略,从而确保系统一直处于最新状态。
来源站点
来源站点为主存储库提供所有更新。默认来源站点为 McAfee http 更新站点,但是您可以更改来源站点或创建多个来源
站点。
使用提取任务将来源站点的内容复制到主存储库。
主存储库
主存储库会为您的环境维持最新版本的安全软件和更新。该存储库是您环境中其他部分的来源。
分布式存储库
分布式存储库托管主存储库的副本。请考虑使用分布式存储库并将其置于您的网络中。该配置可确保托管系统得到更
新,同时将网络流量降至最低,尤其是在网络连接较慢时。
可发生复制的情况如下:
• 只要启动全局更新,指定包类型签入到主存储库时就会自动进行复制。
• 通过复制任务定期进行复制。
• 通过立即复制任务手动进行复制。
大型组织可拥有多个位置,它们通过有限带宽进行连接。 分布式存储库有助于减少低带宽连接或具有大量端点的远程
站点中传输的更新流量。 如果您在远程位置创建分布式存储库并将该位置中的系统配置为从该分布式存储库进行更
新,则更新会通过慢速连接一次性复制到分布式存储库,而非一次性复制到远程位置的各个系统。
如果启用全局更新,分布式存储库会在所选更新和包签入到主存储库后自动更新托管系统。 无需执行更新任务。 但是
如果您要执行自动更新,请在您的环境中创建 SuperAgent。 创建并配置存储库和更新任务。
如果将分布式存储库设置为仅复制所选包,则在默认情况下将复制新签入的包。 为避免复制新签入的包,请从各个分布
式存储库中取消选择包或禁用复制任务,然后再签入包。
备用站点
备用站点是启用为备份站点的来源站点。 托管系统会在其常用存储库无法访问时检索更新。 例如,出现网络中断或病
毒爆发时,难以访问确定的位置。 托管系统可通过备用站点保持最新状态。 默认备用站点为 McAfee http 更新站点。
您仅可启用一个备用站点。
如果托管系统使用代理服务器访问 Internet,则将代理策略设置配置为在访问备用站点时使用代理服务器。
另请参阅
避免复制选定的包第 245 页
禁止复制选定包第 245 页
存储库分支和用途
您可以使用三种 McAfee ePO 存储库分支来维护主存储库和分布式存储库中最多三个版本的包。
存储库分支包括当前、早期和评估。 默认情况下,McAfee ePO 仅使用当前分支。 当您向主存储库添加包时,可以指
定分支。 您也可以在运行或计划更新和部署任务时指定分支,以将不同的版本分发给网络的不同部分。
更新任务可以从任何存储库分支检索更新,但是,如果您要将包签入到主存储库中,则必须选择非当前分支。如果未配
置非当前分支,则用于选择非当前分支的选项将不会显示。
要对除更新以外的包使用评估和早期分支,您必须在存储库包服务器设置中进行此配置。
当前分支
当前分支是最新包和更新的主要存储库分支。产品部署包只能添加到当前分支,除非已启用其他分支支持。
评估分支
在将新 DAT 和引擎更新部署到整个组织之前,您可能需要使用少量的网段或系统对其进行测试。在将这些新 DAT 和
引擎签入到主存储库中时,请指定评估分支,然后再将其部署到少量的测试系统。对测试系统进行几个小时的监控后,
您可以将新 DAT 添加到当前分支,然后将其部署到您的整个组织。
早期分支
在将新 DAT 和引擎文件添加到当前分支之前,使用“早期”分支保存和存储之前的 DAT 和引擎文件。 如果在您的环境
中使用新 DAT 或引擎文件时遇到问题,可以创建早期版本的副本,以便在必要时将其重新部署到您的系统中。
McAfee ePO 仅保存每种文件类型最接近现在的早期版本。
在向您的主存储库添加新包时,可以通过选择“将现有包移到早期分支”来填充早期分支。当您从来源站点提取更新以及
手动将包签入当前分支时,该选项可用。
该流程图介绍何时使用“主存储库”的这三种不同分支。
使用存储库
分布式存储库作为文件共享,可以为您的托管端点存储和分发安全内容。
存储库在您的 McAfee ePO 基础架构中担任重要角色。 您对存储库的配置和部署方法取决于您的环境。
分布式存储库类型
创建分布式存储库前,务必要了解要在您的托管环境中使用哪种类型的存储库。
McAfee ePO 服务器始终作为主存储库。 它会保存您的代理所需的所有内容的主副本。 该服务器会将内容复制到分布
在您环境中的每个存储库。 这样,您的代理就可以从备用和更近的资源检索更新的内容。
分布式存储库类型包括:
• FTP 存储库
• HTTP 存储库
• UNC 共享存储库
• SuperAgent
计划分布式存储库时,请考虑以下因素:
• McAfee ePO 服务器要求针对存储库使用某些协议,但任何服务器供应商都可以提供这些协议。 例如,如果您使用
HTTP 存储库,则可以使用 Microsoft Internet Information Services (IIS) 或 Apache Server(Apache 更快)。
如果您开始新的安装操作且不使用存储库,请使用易于配置且可靠的 SuperAgent。
非托管存储库
如果您无法将托管系统用作分布式存储库,则可以创建和维护非托管的分布式存储库,但是本地管理员必须手动保持分
布式文件最新。
FTP 存储库
FTP 服务器可以托管分布式 McAfee ePO 服务器存储库。 您的环境中可能已经存在 FTP 服务器,则可以也将 McAfee
内容存储在此处。
FTP 存储库具有以下特点:
• 速度快
• 能够管理提取数据的客户端的大量负载
HTTP 存储库
HTTP 服务器可以托管分布式 McAfee ePO 服务器存储库。 您的环境中可能已存在 HTTP 服务器。
HTTP 服务器能够快速为大型环境提供文件。 您的 HTTP 服务器允许客户端无需进行身份验证即可提取其内容,这样
可以降低客户端提取内容失败的可能性。
UNC 共享存储库最佳实践
通用命名约定 (UNC) 共享可以托管您的 McAfee ePO 服务器存储库。
您可以在现有服务器上创建 UNC 共享文件夹来托管分布式存储库。 请确保对该文件夹启用网络共享功能,以便
McAfee ePO 服务器可以向其中复制文件而且代理可以访问它来获取更新。
必须设置正确的权限才能访问文件夹。
2 调整共享权限。
3 更改 NTFS 权限。
4 创建两个帐户,一个具备读取访问权限,一个具备写入权限。
最佳实践:SuperAgent 存储库
您可以创建 SuperAgent 存储库,使其作为 McAfee ePO 服务器和其他代理之间的中介。
SuperAgent 缓存从 McAfee ePO 服务器、主存储库或镜像的分布式存储库收到的信息,并将这些信息分发到最近的代
理中。 延迟缓存功能允许 SuperAgent 仅在本地代理节点发出请求时从 McAfee ePO 服务器检索数据。 创建
SuperAgent 的层次结构并进行延迟缓存可以进一步节省带宽并将广域网流量降至最低。
这种广播方法是一种备选方法,可向网络中的每个代理发送常规唤醒呼叫,或者将代理唤醒任务发送至每台计算机。
SuperAgent 存储库
将托管 SuperAgent 的系统用作分布式存储库。 SuperAgent 存储库与其他类型的分布式存储库相比具有以下几个优
势:
• 在将存储库添加到存储库列表之前,会先在主机系统上自动创建文件夹位置。
SuperAgent 注意事项
将系统配置为 SuperAgent 时,请遵循以下指南。
• 使用您环境中的现有文件存储库,例如 Microsoft System Center Configuration Manager (SCCM)。
• 您无需在每个子网上都使用 SuperAgent。
• 关闭全局更新,以阻止新引擎的有害更新或主存储库中的补丁。
SuperAgent 及其层次结构
SuperAgent 层次结构可为同一网络中的代理提供最小的网络流量利用率。 SuperAgent 会针对 McAfee ePO 服务器或
分布式存储库缓存内容更新,并将内容更新分发到代理,这样可以降低广域网流量。 拥有多个 SuperAgent 始终是平
衡网络负载的理想方案。
创建 SuperAgent
创建 SuperAgent 要求执行以下任务。
1 创建新的 SuperAgent 策略。
2 在系统树中创建新组,例如命名为 SuperAgent
4 将系统拖动到新的 SuperAgent 组。
另请参阅
最佳实践:全局更新限制第 236 页
创建 SuperAgent 策略
要将端点转换为 SuperAgent,则必须要将 SuperAgent 策略分配到这些系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 在“My Default”策略行的“操作”列中,单击“复制”。
“McAfee Default”策略无法更改。
4 在“复制现有策略”对话框中,更改策略名称,添加任意参考资料注释,并单击“确定”。
8 单击“保存”。
最佳实践:在系统树中创建组
将 SuperAgent 组添加到您的系统树允许您将 SuperAgent 策略分配到组中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“确定”。 然后新组显示在系统树列表中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“常规”类别的“操作”列中,单击“编辑分配”。
最佳实践:将系统分配到新的 SuperAgent 组
完成对 SuperAgent 组的配置后,您可以通过将 SuperAgent 策略拖动到组中将其分配到单个端点。 这些策略将端点转
换为 SuperAgent。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
存储库列表文件
存储库列表文件((SiteList.xml 和 SiteMgr.xml)包含您管理的所有存储库的名称。
存储库列表包括位置和加密网络凭据,托管系统利用该凭据选择存储库和检索更新。代理与服务器进行通信时,服务器
会将存储库列表发送至 McAfee Agent。
如果需要,您可以将存储库列表导出至外部文件(SiteList.xml 或 SiteMgr.xml)。这两个文件各有用途:
SiteList.xml 文件
SiteMgr.xml 文件
• 如果需要重新安装服务器,可以备份和还原您的分布式存储库和来源站点。
最佳实践:放置存储库的位置
您必须确定您的环境中需要多少个存储库以及将其放置在何处。
要回答这些问题,您必须查看您的 McAfee ePO 服务器托管的系统和您的网络地理位置。
请考虑以下因素:
• 您通过 McAfee ePO 服务器管理多少个节点?
• 这些节点是否位于不同地理位置?
• 您对您的存储库拥有什么连接性?
通常您可以针对每个大型地理位置创建存储库,但有若干警告。 此外,您必须避免存储库太多或太少和使您的网络带
宽超负荷的最常见错误。
您需要多少个存储库?
您需要的存储库数量取决于服务器硬件、节点计数、网络拓扑和存储库的安装位置。
存储库对其可以处理的节点数没有硬性的技术限制。 通过针对您的客户端合理构建的更新任务,存储库可以更新大量
节点。
下表是对存储库可处理的更新数量的估计和所需硬件。 许多因素会影响这些规范,例如更新内容、产品和补丁的方
式。
这些示例提供三个常见的组织大小及其存储库大小。
• 事件收集
• 分配所有更新和软件
• 在美国的四个办公室分别在纽约、旧金山、达拉斯和奥兰多。
位于纽约的 McAfee ePO 服务器管理 McAfee Endpoint Encryption、VirusScan Enterprise、Host Intrusion Prevention
和 Application Control 的策略和事件的全部 20,000 节点。
• 大约 40,000-60,000 个工作站和服务器节点。
• 美国办公室分布的三个主要地区,其中一个数据中心在纽约,其他三个办公室分布在美国各地。
• 与纽约数据中心不同,美国最大的办公室安装了代理处理程序。
美国地区服务器
EMEA 地区服务器
APAC 地区服务器
APAC 地区的小型办公室使用慢速 WAN 连接,以连接回纽约的 McAfee ePO 服务器。 此外,这些 WAN 链接已经被
流量饱和。 这些链接意味着从 McAfee ePO 服务器复制到 APAC 存储库不可行,除非该操作是在休息时间执行。 如
果您要将 SuperAgent 放置在 APAC,则该选项是合理的。
您必须完全随机化代理更新计划,以便全天传播其更新。
禁用服务器主存储库
在大型环境中,您可以通过将主存储库排除在提供代理更新的范围之外来提高 McAfee ePO 服务器的性能。
开始之前
您必须先配置另一个存储库,然后才能在 McAfee ePO 服务器上禁用主存储库。
在较小的环境中,管理的节点较少,无需进行此更改。 服务器可以处理所有任务,而且不会影响性能。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从产品列表中,选择“McAfee Agent”,再从类别列表中选择“存储库”,然后单击要修改的策略名称。
3 单击“存储库”选项卡。
5 单击“保存”。
最佳实践:全局更新限制
全局更新是一项强大的功能,但如果使用不当,则会对您的环境产生消极影响。
全局更新用以在主存储库发生更改时尽快更新您的存储库。 如果您的环境较小(节点数不足 1,000)且无 WAN 链接,
则全局更新能够发挥巨大作用。 全局更新生成大量流量,会影响您的网络带宽。 如果您的环境使用 LAN,且带宽不成
问题,则使用全局更新。 如果您管理较大环境且带宽很重要,请禁用全局更新。
其他相关信息,请参阅以下知识库文章:
• 如何阻止 McAfee ePO 5.X 自动更新为最新发布的引擎,KB77901
全局更新工作原理
如果将您的 McAfee ePO 服务器计划为在东部时间下午 2:00 从 McAfee 网站提取最新 DAT, (且计划的提取操作会
更改“主存储库”的内容),您的服务器会自动启动全局更新流程,以将新内容复制到您的所有分布式存储库。
全局更新流程遵循以下事件顺序:
1 内容或包被签入到主存储库中。 5 在收到广播时,会向代理提供所需的最低目录版
本。
首次设置存储库
当首次创建存储库时,请遵循以下简要步骤。
1 确定要使用的存储库类型以及存储库所在位置。
2 创建和填充您的存储库。
管理来源站点和备用站点最佳实践
您可以从服务器设置更改默认的来源站点和备用站点。例如,您可以编辑设置,删除现有的来源站点和备用站点,或者
在这两种站点之间进行切换。
您必须是管理员或者具有适当的权限才能定义、更改或删除来源站点或备用站点。
使用默认来源站点和备用站点。 如果需要使用不同的站点来达到此目的,则可以创建新站点。
任务
• 创建来源站点第 237 页
从服务器设置中创建来源站点。
• 切换来源站点和备用站点最佳实践第 238 页
使用服务器设置更改来源和备用站点。
• 编辑来源站点和备用站点最佳实践第 238 页
使用服务器设置可以编辑来源站点或备用站点的设置(如 URL 地址、端口号),并下载身份验证凭据。
• 删除来源站点或禁用备用站点最佳实践第 238 页
如果不再使用某个来源或回滚站点,请删除或禁用该站点。
创建来源站点
从服务器设置中创建来源站点。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“添加来源站点”。此时会显示来源站点生成器向导。
3 在描述页上,键入唯一的存储库名称并选择“HTTP”、“UNC”或“FTP”,然后单击“下一步”。
• 从“URL”下拉列表中,选择“DNS 名称”、“IPv4”或“IPv6”作为服务器地址类型,然后输入相应的地址。
选项 定义
“DNS 名称” 指定服务器的 DNS 名称。
“IPv4” 指定服务器的 IPv4 地址。
“IPv6” 指定服务器的 IPv6 地址。
“UNC 服务器类型:”
• 输入存储库所在的网络目录路径。使用以下格式:\\<COMPUTER>\<FOLDER>。
5 在凭据页上,提供托管系统使用的“下载凭据”以连接到此存储库。
请使用对托管存储库的 HTTP 服务器、FTP 服务器或 UNC 共享具有只读权限的凭据。
“HTTP 或 FTP 服务器类型:”
• 选择“匿名”以使用未知的用户帐户。
• 选择“FTP”或“HTTP 身份验证”(如果服务器要求进行身份验证),然后输入用户帐户信息。
“UNC 服务器类型:”
• 输入域和用户帐户信息。
7 单击“下一步”。
8 查看摘要页,然后单击“保存”以将该站点添加到列表中。
切换来源站点和备用站点最佳实践
使用服务器设置更改来源和备用站点。
根据网络配置情况,如果您发现通过 HTTP 或 FTP 进行更新效果会更好,建议您切换来源和备用站点。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“来源站点”,然后单击“编辑”。此时将显示编辑来源站点页。
3 在列表中找到要设置为备用站点的站点,然后单击“启用备用”。
编辑来源站点和备用站点最佳实践
使用服务器设置可以编辑来源站点或备用站点的设置(如 URL 地址、端口号),并下载身份验证凭据。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择“来源站点”,然后单击“编辑”。
3 在列表中查找站点,然后单击站点名称。
4 在来源站点生成器中,根据需要编辑生成器页面上的设置,然后单击“保存”。
删除来源站点或禁用备用站点最佳实践
如果不再使用某个来源或回滚站点,请删除或禁用该站点。
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
任务
1 选择 “菜单” | “配置” | “服务器设置”。
2 选择“来源站点”,然后单击“编辑”。此时将显示编辑来源站点页。
3 单击需要的来源站点旁的“删除”。此时会出现删除来源站点对话框。
4 单击“确定”。
此站点会从来源站点页删除。
验证是否有权访问来源站点最佳实践
将 McAfeeHttp 和 McAfeeFtp 站点用作来源和备用站点时,您必须确保 McAfee ePO 主存储库和托管系统可以访问互
联网。
该部分介绍用于配置连接的任务,McAfee ePO“主存储库”和 McAfee Agent 会借此连接直接或通过代理服务器连接到
下载站点。 默认选项是“不使用代理服务器”。
任务
• 配置代理服务器设置第 239 页
若要更新您的存储库,请配置代理服务器设置以提取 DAT。
• 为 McAfee Agent 配置代理服务器设置第 239 页
配置 McAfee Agent 的代理服务器设置,用于连接到下载站点。
配置代理服务器设置
若要更新您的存储库,请配置代理服务器设置以提取 DAT。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从设置类别列表中,选择“代理服务器设置”,然后单击“编辑”。
3 选择“手动配置代理服务器设置”。
a 在代理服务器设置旁,选择是对所有通信使用一个代理服务器,还是对 HTTP 和 FTP 代理服务器分别使用不同
的代理服务器。键入代理服务器的 IP 地址或完全限定域名以及端口号。
c 在排除项旁,选择“绕过本地地址”,然后通过键入这些系统的 IP 地址或完全限定域名(用分号隔开),指定服
务器可直接连接到的分布式存储库。
d 在排除项旁,选择“绕过本地地址”,然后通过键入这些系统的 IP 地址或完全限定域名(用分号隔开),指定服
务器可直接连接到的分布式存储库。
4 单击“保存”。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“我的默认”代理上,单击“编辑设置”。
此时会出现我的默认代理的编辑设置页。
3 单击“代理服务器”选项卡。
此时会出现代理服务器设置页。
5 选择“手动配置代理服务器设置”,从而为代理手动配置代理服务器设置。
7 选择“指定例外”以指定不需要访问代理服务器的系统。使用分号分隔各例外。
9 单击“保存”。
配置全局更新的设置最佳实践
全局更新可以在您的网络中自动执行存储库复制。可以使用全局更新服务器设置来配置全局更新期间分发到存储库的内
容。
默认情况下禁用全局更新。 我们建议启用全局更新并将其作为更新策略的一部分。 您可以指定随机选择时间间隔和更
新期间要分发的包类型。 随机选择时间间隔指定更新所有系统需要的时间段。 在指定的间隔内随机更新系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 指定要在全局更新中包含的“包类型”:
• “所有包” — 选择此选项以包含所有签名和引擎,以及所有修补程序和 Service Pack。
在使用全局更新时,将定期提取任务(用于更新主存储库)安排在网络流量最低时进行。 尽管全局更新比其他方法
更为快速,但在更新时仍会增加网络流量。
另请参阅
产品和更新部署第 186 页
配置代理策略以使用分布式存储库最佳实践
自定义代理选择分布式存储库的方式以便尽量减少带宽使用率。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击现有代理策略,然后选择存储库选项卡。
3 在存储库列表选择中,选择“使用此存储库列表”或“使用其他存储库列表”。
4 在存储库选择依据下,指定对存储库进行排序的方法:
• “Ping 时间” — 向五个最近(根据子网值)的存储库发送 ICMP ping 命令,并按响应时间排序。
您可以设置“最大跳跃次数”。
• “存储库列表中的使用顺序” — 按列表中的存储库顺序选择存储库。
5 根据需要修改存储库列表中的设置:
• 单击“操作”字段中的“禁用”以禁用存储库。
• 单击“移到顶部”或“移到底部”可指定希望端点选择分布式存储库的顺序。
6 完成时单击“保存”。
将 SuperAgent 用作分布式存储库
在托管 SuperAgent 的系统上创建并配置分布式存储库。SuperAgent 能使网络流量最小。
任务
• 创建 SuperAgent 分布式存储库第 241 页
要创建 SuperAgent 存储库,SuperAgent 系统必须安装和运行 McAfee Agent。我们建议使用具有全局更
新功能的 SuperAgent 存储库。
• 将包复制到 SuperAgent 存储库第 242 页
选择将哪些特定于存储库的包复制到分布式存储库。
• 删除 SuperAgent 分布式存储库第 242 页
从主机系统和存储库列表 (SiteList.xml) 中删除 SuperAgent 分布式存储库。 新的配置将在下次代理与服
务器通信时生效。
创建 SuperAgent 分布式存储库
要创建 SuperAgent 存储库,SuperAgent 系统必须安装和运行 McAfee Agent。我们建议使用具有全局更新功能的
SuperAgent 存储库。
此任务假定您知道 SuperAgent 系统在系统树中的位置。我们建议创建 SuperAgent 标记,这样便可以使用标记目录页
或通过运行查询来轻松查找 SuperAgent 系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
5 单击“保存”。
代理在下一次连接到服务器时,会检索新的策略。如果不想等到下一次代理与服务器通信间隔,则可以将代理唤醒呼叫
发送到系统。创建分布式存储库后,如果您指定的文件夹不存在,则在系统上创建此文件夹。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 找到 SuperAgent 存储库并单击它。
此时会打开分布式存储库生成器向导。
3 在“包类型”页上,选择所需的包类型。
确保选择了使用此存储库的所有托管系统所需的全部包。托管系统会转到一个存储库以获取所有包,如果系统所要
查找的包类型不存在,则该任务会失败。此功能可确保不会在整个环境中复制只由几个系统使用的包。
4 单击“保存”。
删除 SuperAgent 分布式存储库
从主机系统和存储库列表 (SiteList.xml) 中删除 SuperAgent 分布式存储库。 新的配置将在下次代理与服务器通信时生
效。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
任务
• 创建文件夹位置第 243 页
创建在分布式存储库系统上托管存储库内容的文件夹。对于 UNC 共享存储库和 FTP 或 HTTP 存储库,会
使用不同的过程。
• 将分布式存储库添加到 McAfee ePO 第 243 页
将条目添加到存储库列表,并指定新分配的存储库所使用的文件夹。
• 避免复制选定的包第 245 页
如果将分布式存储库设置为仅复制所选包,则在默认情况下将复制新签入的包。根据您的测试和验证要
求,您可能要避免将某些包复制到分布式存储库。
• 禁止复制选定包第 245 页
如果将分布式存储库设置为仅复制所选包,则在默认情况下将复制新签入的包。要禁用即将复制的包,请
先禁用复制任务,然后再签入该包。
• 启用 UNC 和 HTTP 存储库的文件夹共享功能第 245 页
在 HTTP 或 UNC 分布式存储库上,必须启用在整个网络中共享文件夹,这样,您的 McAfee ePO 服务器
即可向存储库复制文件。
• 编辑分布式存储库第 246 页
根据需要编辑分布式存储库配置、身份验证和包选择选项。
• 删除分布式存储库第 246 页
删除 HTTP、FTP 或 UNC 分布式存储库。这样做也会删除分布式存储库的内容。
创建文件夹位置
创建在分布式存储库系统上托管存储库内容的文件夹。对于 UNC 共享存储库和 FTP 或 HTTP 存储库,会使用不同的
过程。
• 对于 UNC 共享存储库,请在系统上创建文件夹并启用共享。
• 对于 FTP 或 HTTP 存储库,请使用现有的 FTP 或 HTTP 服务器软件(如 Microsoft Internet Information Services
(IIS))来创建文件夹和站点位置。有关详细信息,请参阅网站服务器文档。
切勿将分布式存储库配置为与主存储库引用相同的目录。 这样会锁定主存储库上的文件,造成提取和包签入操作失败并
会使主存储库处于不可用状态。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在说明页面,键入唯一名称并选择“HTTP”、“UNC” 或 “FTP”,然后单击“下一步”。存储库的名称不必是用来存放存
储库的系统的名称。
3 在服务器页面,配置以下任一服务器类型。
选项 定义
“DNS 名称” 指定服务器的 DNS 名称。
“IPv4” 指定服务器的 IPv4 地址。
“IPv6” 指定服务器的 IPv6 地址。
“UNC 服务器类型”
• 输入存储库所在的网络目录路径。使用以下格式:\\<COMPUTER>\<FOLDER>。
4 单击“下一步”。
5 在凭据页面:
a 输入“下载凭据”。请使用对托管存储库的 HTTP 服务器、FTP 服务器或 UNC 共享具有只读权限的凭据。
HTTP 或 FTP 服务器类型
• 选择“匿名”以使用未知的用户帐户。
• 选择“FTP”或“HTTP 身份验证”(如果服务器要求进行身份验证),然后输入用户帐户信息。
UNC 服务器类型
• 选择“使用已登录帐户的凭据”以使用当前已登录用户的凭据。
• 选择“输入下载凭据”,然后输入域和用户帐户信息。
b 单击“测试凭据”。几秒钟后,会显示一条确认消息,声明系统可以使用身份验证信息访问该站点。如果凭据不正
确,请检查以下内容:
• 用户名和密码
6 输入“复制凭据”。
服务器在将 DAT 文件、引擎文件或其他产品更新从主存储库复制到分布式存储库时,需要使用这些凭据。 这些凭
据对于分布式存储库必须同时具有读取和写入权限:
• 对于 “FTP”,请输入用户帐户信息。
• 对于 “HTTP” 或 “UNC”,请输入域和用户帐户信息。
• 单击“测试凭据”。几秒钟后,会显示一条确认消息,指示系统可以使用身份验证信息访问该站点。如果凭据不正
确,请检查以下内容:
• 用户名和密码
7 单击“下一步”。此时会显示包类型页面。
8 选择是将所有包还是选定的包复制到该分布式存储库,然后单击“下一步”。
• 如果您选择“选定的包”选项,则手动选择要复制的“签名和引擎”和“产品、补丁和 Service Pack 等” 。
• (可选)选择“复制旧版 DAT”。
确保没有取消选择使用此存储库的托管系统所需的所有包。 托管系统会转到一个存储库以获取所有包,如果系统所
要查找的包类型不存在,则该任务会失败。 此功能可确保不会在整个环境中复制只由几个系统使用的包。
避免复制选定的包
如果将分布式存储库设置为仅复制所选包,则在默认情况下将复制新签入的包。根据您的测试和验证要求,您可能要避
免将某些包复制到分布式存储库。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在包类型页面中,取消对无需复制的包的选择。
3 单击“保存”。
禁止复制选定包
如果将分布式存储库设置为仅复制所选包,则在默认情况下将复制新签入的包。要禁用即将复制的包,请先禁用复制任
务,然后再签入该包。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在描述页上,选择“禁用”作为“计划状态”,然后单击“保存”。
任务
1 在托管系统上,使用 Windows 资源管理器找到创建的文件夹。
2 右键单击该文件夹,然后选择“共享”。
3 在“共享”选项卡上,选择“共享此文件夹”。
4 根据需要配置共享权限。
从存储库进行系统更新需要只读访问权限,但管理员帐户(包括 McAfee ePO 服务器服务使用的帐户)需要写入权
限。有关为共享文件夹配置相应安全设置的信息,请参阅 Microsoft Windows 文档。
5 单击“确定”。
编辑分布式存储库
根据需要编辑分布式存储库配置、身份验证和包选择选项。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 根据需要更改配置、身份验证和包选择选项。
3 单击“保存”。
删除分布式存储库
删除 HTTP、FTP 或 UNC 分布式存储库。这样做也会删除分布式存储库的内容。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在删除存储库对话框中,单击“确定”。
删除存储库并不会删除存放该存储库的系统上的包。
被删除的存储库会从存储库列表中移除。
将 UNC 共享用作分布式存储库
将 UNC 共享用作分布式存储库时,请按照这些指南操作。
UNC 共享使用 Microsoft 服务器消息块 (SMB) 协议来创建共享驱动器。创建访问此共享的用户名和密码。
正确配置该共享
确保 UNC 共享配置正确。
• 使用另一种方法写入到您的存储库 — 使用其他方法(另一个共享、RDP、本地)登录服务器以写入到存储库。不
要混淆从中读取内容的存储库与向其中写入内容的存储库。读取凭据与端点共享,而写入凭据则由 McAfee ePO 服
务器专门用于更新您的分布式存储库内容。
• 不要在域控制器上使用共享 — 在域控制器以外的位置创建共享。域控制器上的本地用户是域用户。
• 本地创建帐户 — 在文件共享上创建帐户,而不是在域上。本地创建的帐户不授予对域中的系统的权限。
• 使用特定帐户 — 创建专用于共享存储库数据的帐户。请勿使用多个功能共享该帐户。
• 降低帐户的权限 — 请勿将此帐户添加到其不需要的任何组,其中包括“管理员”和“用户”组。
• 禁用多余权限 — 该帐户无需登录到服务器。它是访问文件的占位符。检查该帐户的权限并禁用任何不必要的权
限。
保护并维护您的 UNC 共享
• 为共享设置防火墙 — 始终阻止不必要的流量。我们建议阻止传出和传入的流量。您可以在服务器上使用软件防火
墙或在网络上使用硬件防火墙。
• 启用文件审核 — 始终启用安全审核日志来记录对网络共享的访问情况。这些日志会显示哪些人访问了共享、访问
的时间以及执行的操作。
使用非托管的本地分布式存储库
将主存储库中的内容复制到非托管分布式存储库。
创建非托管存储库后,您必须手动配置托管系统以转至非托管的存储库来获取文件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 从服务器复制主存储库文件夹中的所有文件和子目录。
例如,使用 Windows 2008 R2 Server 时,您服务器上的默认路径为:C:\Program Files (x86)\McAfee\ePolicy
Orchestrator\DB\Software
2 将复制的文件和子文件夹粘贴到分布式存储库系统的存储库文件夹。
3 将托管系统的代理策略配置为使用新的非托管分布式存储库:
a 选择 “菜单” | “策略” | “策略目录”,然后将“产品”选为 “McAfee Agent” 并将“类别”选为“存储库”。
b 单击现有的代理策略,或者创建一个代理策略。
不能中断构成策略的选项卡级别上的策略继承。因此,在将此策略应用到系统时,确保只有正确的系统接收和继
承策略以使用非托管的分布式存储库。
c 在“存储库”选项卡上,单击“添加”。
d 在“存储库名称”文本字段中键入一个名称。
该名称不必是存放存储库的系统的名称。
e 在“检索文件来源”下,选择存储库的类型。
f 在“配置”下,采用适于存储库类型的语法键入存储库位置。
g 键入端口号,或保留默认端口。
h 根据需要配置身份验证凭据。
i 单击“确定”以将新分布式存储库添加到列表。
j 选择列表中的新存储库。
类型“本地”表示其并非由 McAfee ePO 软件托管。 如果选择“存储库列表”中的非托管存储库,则会启用“编辑”和
“删除”按钮。
k 单击“保存”。
此策略应用到的任何系统都会在下次代理与服务器通信时收到新策略。
处理存储库列表文件
您可以到处存储库列表文件。
• SiteList.xml — 供代理和支持的产品使用。
任务
• 导出存储库列表 Sitelist.xml 文件第 248 页
导出存储库列表 (SiteList.xml) 文件,以便手动发送到系统,或在安装受支持的产品时导入。
• 导出存储库列表用于备份或由其他服务器使用第 248 页
使用导出的 SiteMgr.xml 文件可以还原分布式存储库和来源站点。在您重新安装 McAfee ePO 服务器,或
需要与其他 McAfee ePO 服务器共享分布式存储库或来源站点时进行还原。
• 从存储库列表中导入分布式存储库第 249 页
重新安装服务器后,或者当您希望一台服务器使用与另一台服务器相同的分布式存储库时,请从 SiteMgr
.xml 文件导入分布式存储库。
• 从 SiteMgr.xml 文件导入来源站点第 249 页
在重新安装服务器后,以及当您希望两个服务器使用相同的分布式存储库时,可以从存储库列表文件中导
入来源站点。
导出存储库列表 Sitelist.xml 文件
导出存储库列表 (SiteList.xml) 文件,以便手动发送到系统,或在安装受支持的产品时导入。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
导出此文件后,可以在安装支持的产品时将其导入。 有关说明,请参阅该产品的安装手册。
您也可以将存储库列表分发到托管系统,然后将其应用于代理。
导出存储库列表用于备份或由其他服务器使用
使用导出的 SiteMgr.xml 文件可以还原分布式存储库和来源站点。在您重新安装 McAfee ePO 服务器,或需要与其他
McAfee ePO 服务器共享分布式存储库或来源站点时进行还原。
您可以从“分布式存储库”或“来源站点”页导出该文件。但是,在将此文件导入其中任一页时,只会导入此页中列出的文
件中的项目。例如,将此文件导入“分布式存储库”页时,只会导入此文件中的分布式存储库。因此,如果要导入分布式
存储库和来源站点,则必须导入文件两次,一次一页。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“保存”,浏览到要用来保存该文件的位置,然后单击“保存”。
从存储库列表中导入分布式存储库
重新安装服务器后,或者当您希望一台服务器使用与另一台服务器相同的分布式存储库时,请从 SiteMgr.xml 文件导入
分布式存储库。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 单击“确定”。
选定的存储库会添加到此服务器上的存储库列表中。
从 SiteMgr.xml 文件导入来源站点
在重新安装服务器后,以及当您希望两个服务器使用相同的分布式存储库时,可以从存储库列表文件中导入来源站点。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“导入”。
4 选择要导入此服务器的来源站点,然后单击“确定”。
选定的来源站点会添加到此服务器上的存储库列表中。
更改多个分布式存储库上的凭据
更改多个相同类型的分布式存储库上的凭据。如果环境中有许多分布式存储库,则这样做很有用。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 选择 “菜单” | “分布式存储库”。
2 单击“操作”并选择“更改凭据”。
“更改凭据”向导打开至“存储库类型”页面。
3 选择要更改其凭据的分布式存储库类型,然后单击“下一步”。
4 选择所需的分布式存储库,然后单击“下一步”。
5 根据需要编辑凭据,然后单击“下一步”。
6 查看信息,然后单击“保存”。
提取任务
通过来源站点中的 DAT 和引擎更新包,利用提取任务更新主存储库。
DAT 和引擎文件必须经常更新。McAfee 每天都发布新 DAT 文件,引擎文件发布频率相对低一些。尽快将这些包部署
到托管系统,以保护它们免受最新威胁的损坏。
您可以指定从来源站点复制到主存储库的包。
计划的存储库提取服务器任务会以您指定的次数和时间按时自动运行。例如,您可以计划每周的存储库提取任务,将其
设在每周四早上 5:00 。
如果提取任务失败,则必须将包手动签入到主存储库。
更新主存储库之后,您可以立即通过全局更新或复制任务将这些更新自动分发到系统。
计划提取任务时的注意事项
计划提取任务时,请考虑以下变量:
• 带宽和网络使用情况 — 如果使用的是全局更新(与建议的一样),则计划在其他资源占用较低带宽时运行提取任
务。凭借全局更新,更新文件会在提取任务完成后得以自动分发。
• 复制和更新任务 — 计划复制任务和客户端更新任务,以确保可在您环境中分发更新文件。
复制任务
利用复制任务将主存储库的内容复制到分布式存储库。
在您将主存储库内容复制到所有分布式存储库之前,某些系统收不到这些内容。请确保您所有的分布式存储库保持最
新。
如果对所有更新使用全局更新,即使建议您使用复制任务作为备用,它们对于您的环境可能不是必需的。但是,如果您
不对任何更新使用全局更新,则必须计划“主存储库复制”服务器任务或运行“立即复制”任务。
计划定期的“主存储库复制”服务器任务是确保您分布式存储库保持最新的最佳方法。计划每日的复制任务可确保托管系
统保持最新。使用“主存储库复制”任务可自动将内容复制到分布式存储库。
您有时可能将文件签入需要立即复制到分布式存储库的主存储库中,而不是等待下次计划复制。运行“立即复制”任务以
手动更新分布式存储库。
完全复制与增量复制
在创建复制任务时,请选择“增量复制”或“完全复制”。增量复制使用更少的带宽并且进复制分布式存储库中不存在的主
存储库的新更新内容。完全复制可复制主存储库的完整内容。
存储库选择
新的分布式存储库被添加到包含所有可用分布式存储库的存储库列表文件中。托管系统的代理每次与 McAfee ePO 服
务器通信时都会更新此文件。代理会在每次代理(McAfee Framework 服务)服务开始时以及存储库列表发生更改时执
行存储库选择。
有选择性的复制可以更好地控制单个存储库的更新。在计划复制任务时,您可以选择:
• 应用任务的特定分布式存储库。在不同时间复制到不同的分布式存储库可以减少对带宽资源的影响。可以在创建或
编辑复制任务时指定这些存储库。
• 复制到分布式存储库的特定文件和特征码。仅选择每个签入分布式存储库的系统所必需的文件类型可以减少对带宽
资源的影响。在定义或编辑分布式存储库时,您可以选择要复制到分布式存储库的包。
代理如何选择存储库
默认情况下,代理可以尝试从存储库列表文件中的任何存储库进行更新。代理可以使用网络 ICMP ping 或子网地址比
较算法在最短的响应时间内找到分布式存储库。通常找到的是网络上最贴近系统的分布式存储库。
您还可以通过在代理策略设置中启用或禁用分布式存储库来严密控制用于更新的分布式存储库代理。 请勿在策略设置
中禁用存储库。 允许代理从任何分布式存储库更新可确保这些代理接收到更新。
设置更多代理处理程序可获得以下优势:
• 与许多代理(包括跨地理区域分布的代理)进行具有容错和负载平衡功能的通信。
目录
代理处理程序的工作原理
代理处理程序详细信息
代理处理程序功能
最佳实践:代理处理程序安装和配置
最佳实践:在 DMZ 中添加代理处理程序
将 DMZ 中的代理处理程序连接到某个域的 McAfee ePO 服务器
处理程序组和优先级
将 McAfee 代理分配给代理处理程序
管理代理处理程序分配
创建代理处理程序组
管理代理处理程序组
在处理程序之间移动代理
常见问题
代理处理程序的工作原理
通过让托管系统或系统组向特定的代理处理程序报告,代理处理程序便可分发代理与服务器之间的通信产生的网络流
量。完成分配后,托管系统将与已分配的代理处理程序进行通信,而非主 McAfee ePO 服务器。
该处理程序提供更新后的网站列表、策略和策略分配规则,与 McAfee ePO 服务器所做的一样。 该处理程序还会缓存
主存储库的内容,以便代理可以提取产品更新包、DAT 以及其他所需信息。
如果代理签入时处理程序没有所需的更新,则该处理程序会从已分配的存储库检索它们并进行缓存,同时将更新传输给
代理。
图 19-1 企业网络中的代理处理程序
在该图中,所有代理处理程序:
• 都通过低延迟高速链接连接到 McAfee ePO SQL Server
• 都位于其写入到的数据库附近
• 都在代理处理程序之间配置故障转移
以下城市的代理处理程序使用特定配置。
• 波士顿 — 波士顿的代理处理程序配置是为费城的代理处理程序提供故障转移支持。
• 费城 — 两个代理处理程序已配置负载平衡。
运行查询按代理处理程序列出的系统,以显示所有安装的代理处理程序以及每个代理处理程序托管的代理数。
卸载“代理处理程序”后,它不会显示在该图表中。 如果代理处理程序分配规则将代理专门分配到代理处理程序,且如果
该“代理处理程序”被卸载,则它将在该图表中显示为已卸载的代理处理程序并随附仍试图与该“代理处理程序”联系的代
理的数量。
如果代理处理程序未正确安装,则会显示已卸载的代理处理程序消息,指示该处理程序无法与特定代理进行通信。单击
列表可查看无法与该处理程序进行通信的代理。
多个代理处理程序
网络中可以有多个代理处理程序。您可能有许多分布在不同的地理区域或行政区域的托管系统。无论是哪种情况,都可
以通过为不同的处理程序分配不同的组来向托管系统中添加组织。
代理处理程序详细信息
代理处理程序提供特定功能,可以帮助您扩展网络,以包含更多托管系统。
使用代理处理程序的情况
在您的环境中,使用代理处理程序的原因很多。
• 硬件更加便宜— 用于代理处理程序的中等服务器硬件比用于 McAfee ePO 服务器的高端服务器更加便宜。
• 网络拓扑 —代理处理程序可以在防火墙后台或外部网络中管理您的代理请求。
• 故障转移 — 代理可通过配置的备用优先级列表在代理处理程序之间进行故障转移。
不使用代理处理程序的情况
在有些情况下不要使用代理处理程序。
• 作为分布式存储库 — 存储库(如 SuperAgents)在整个组织中分发大型文件。 存储库不包含任何逻辑。 代理处理
程序要使用逻辑将事件发送回数据库。 这些事件会通知 McAfee Agent 何时从分布式存储库中下载新产品。 代理处
理程序可以从分布式存储库中缓存文件,但不会使用这些文件替代分布式存储库。 代理处理程序用于降低 McAfee
ePO 服务器上的事件管理负载。
• 通过慢速或非正式连接 — 代理处理程序要求与数据库建立相对高速、低延迟的连接,以提供代理发送的事件。
代理处理程序的工作原理
代理处理程序将 McAfee ePO 数据库中的工作队列用作其主要通信机制。
图 19-2 代理处理程序功能图表
该图表显示两种不同的网络配置及其代理处理程序。
• 简单网络 — 将主要代理处理程序作为 McAfee ePO 服务器的一部分安装。 这足够许多小型 McAfee ePO 安装使
用,通常无需其他代理处理程序。
管理员可以通过创建特定于其环境的规则来替代代理处理程序的默认行为。
另请参阅
配置代理处理程序优先级第 264 页
使用代理处理程序执行以下操作:
代理处理程序功能
代理处理程序提供横向网络可扩展性、故障转移保护、负载平衡并允许您管理 DMZ、防火墙后台或使用网络地址转换
(NAT) 的客户端。
提供可扩展性
随着客户端和托管产品数量的增加,代理处理程序可以为 McAfee ePO 托管网络提供可扩展性。
一个 McAfee ePO 服务器只需安装 VirusScan Enterprise 产品即可轻松管理多达 200,000 个系统。 但随着管理的系统
和与 McAfee ePO 服务器集成的产品数量的增加,尝试接收策略或向您服务器发送事件的次数会增加。 这种负载的增
加也会减少通过同样的 McAfee ePO 服务器硬件可管理的系统最大数量。
通过代理处理程序提供故障转移保护的最佳实践
代理处理程序允许任意 McAfee Agent 在 McAfee ePO 服务器不可用时接收策略和任务更新并报告事件和属性更改。
例如,升级或网络问题。
部署多个代理处理程序后,它们可供代理作为故障转移候选代理处理程序。 只要代理处理程序连接到数据库,就可以
继续为代理提供服务。 这包括 McAfee ePO 服务器进入脱机状态前代理属性或管理员更改造成的任何策略或任务更
改。
代理处理程序之间的故障转移可通过以下两种方法之一配置。
简单的部署故障转移
在简单的部署故障转移中,可将两个代理处理程序部署为主要和次要代理处理程序。 所有代理都启动与主要代理处理
程序的通信,而仅在其不可用时才会使用次要代理处理程序。 在主要代理处理程序的硬件较好且可以处理整个基础架
构的负载时,这种部署效果很好。
图 19-3 简单的代理处理程序故障转移
通过负载平衡实现故障转移
第二种部署将故障转移与负载平衡结合起来。 将多个代理处理程序配置到同一代理处理程序组。 McAfee ePO 服务器
将组中的每个代理处理程序插入到同一顺序级别的代理处理程序列表中。 McAfee Agent 将同一顺序水平的代理处理程
序随机化,从而使特定组中所有代理处理程序负载相等。
图 19-4 通过代理处理程序负载平衡实现故障转移
故障转移到分配列表中的下一个代理处理程序前,代理会在一个组中的所有代理处理程序之间故障转移。 使用代理处
理程序组可获得负载平衡和故障转移的双重优势。
最佳实践:网络拓扑和部署注意事项
代理处理程序允许采用灵活的网络配置,但其他规划可以提高网络性能。
• 与 SQL 数据库的低延迟高速连接
• 代理处理程序之间的故障转移连接
表 19-1 使用的默认端口
服务器 方向 连接 端口
McAfee ePO 至 Web 浏览器 HTTPS 8443
McAfee ePO 至 SQL 数据库 JDBC/SSL 1433
代理处理程序 自 McAfee ePO HTTPS 8443(安装)、HTTPS 8444
代理处理程序 二者 McAfee ePO HTTP 80
代理处理程序 至 SQL 数据库 ADO/SSL 1433
代理处理程序 至 客户端 HTTP 8081
代理处理程序 自 客户端 HTTP 80、HTTPS 443
通过代理处理程序漫游
代理处理程序允许在企业网络站点之间漫游的用户连接到最近的代理处理程序。
只有当所有位置中的代理处理程序都在 McAfee Agent 故障转移列表中配置后才可能进行漫游。 您可以修改策略和系
统排序,以便漫游系统可以在各个位置接收不同的策略。
存储库缓存及其工作原理
如果 McAfee Agent 无法直接从 McAfee ePO 服务器上的主存储库中访问内容,代理处理程序会自动缓存内容和产品
更新。
默认情况下,McAfee Agent 会将主 McAfee ePO 服务器(与 Tomcat 为同一服务器)用作主存储库。 如果代理无法与
其配置的远程存储库通信,则会故障回复到代理处理程序,以提取内容和产品更新。 由于代理处理程序可能并不与真
正的主存储库(在 McAfee ePO 服务器上)在同一服务器上运行,所以代理处理程序会管理这些请求。 代理处理程序
会透明地处理软件的请求并在从主存储库中下载所需文件后对其进行缓存。 无需进行任何配置。
该图显示如果配置的远程存储库对远程系统不可用,代理处理程序会如何缓存产品更新内容。
图 19-6 代理处理程序存储库缓存
系统 1 和 2 尝试从其配置的远程存储库中提取内容或产品更新且尝试失败。
次要代理处理程序 2 从主存储库中请求内容或产品更新。
次要代理处理程序 2 会针对任何后续请求缓存这些更新并将其提供给系统 2。
最佳实践:代理处理程序安装和配置
您只需安装代理处理程序软件并分配系统进行管理即可将位于您网络中的中等服务器配置为代理处理程序。
您还可以将代理处理程序分组,设置故障转移优先级和创建 DMZ、防火墙后台或 NAT 网络中的虚拟代理处理程序。
无论何时更改策略、配置、客户端或服务器任务、自动响应或报告,请在更改前和更改后导出设置。
部署注意事项
在您的扩展网络中部署代理处理程序前,请考虑您现有 McAfee ePO 服务器和数据库硬件的健康状况。 如果该硬件已
经超负荷,则添加代理处理程序实际上会降低 McAfee ePO 性能。
全面配置的代理处理程序与 McAfee ePO 服务器的硬件和数据库要求几乎完全相同。 确定需要的代理处理程序数量
时,首先要检查数据库使用情况。 如果为您的 McAfee ePO 服务器提供服务的数据库负载繁重,则添加代理处理程序
不会提高性能。 升级您的 SQL Server 硬件,以利用多个代理处理程序。 如果数据库当前正由中等运行负载向低运行
负载转变,则额外的代理处理程序可以帮助您扩展您的逻辑 McAfee ePO 基础架构。
代理处理程序配置概述
可以对代理处理程序进行配置,以实现按组和作为虚拟代理处理程序的负载的平衡。
通过优先级分配规则,虚拟代理处理程序允许客户端查找使用多个网络区段的不同 IP 地址的客户端。
代理处理程序配置页面
要配置所有代理处理程序管理任务,请选择“菜单” | “配置” | “代理处理程序”。
图 19-7 代理处理程序配置页面
“处理程序状态”— 提供已安装代理处理程序的数量以及它们是否处于活动状态。
“新建分配”— 打开“代理处理程序分配”页面,以创建代理处理程序分配。
“编辑优先级”— 打开编辑优先级页面,以更改代理处理程序分配的优先级。
“按代理处理程序列出的系统”— 指定分配到每个代理处理程序的代理数。
要查看分配到代理处理程序的代理的详细列表,请单击列表中的代理处理程序名称或饼图中与代理处理程序区段关
联的颜色。
“处理程序分配规则”— 显示您的环境中代理处理程序分配列表、优先级以及规则设置的详细信息。
配置代理处理程序列表
要查看“代理处理程序”列表及其详细信息,请使用通过信息显示板访问的处理程序列表。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击信息显示板“处理程序状态”中的代理处理程序编号,以查看代理处理程序列表及其详细信息。
3 单击“操作”列中的设置,以禁用、启用和删除代理处理程序。
5 在代理处理程序设置页面中,配置以下属性。
• “已发布的 IP 地址”
6 单击“保存”
配置代理处理程序组和虚拟组
您可以将代理处理程序配置到组中并创建要在 DMZ、防火墙后台或 NAT 网络中使用的虚拟处理程序。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在代理处理程序添加/编辑组页面中,配置以下组设置:
• “组名称”— 为代理处理程序组键入名称。
• “包含的处理程序”— 使您可以:
• 单击“使用负载平衡器”,以使用第三方负载平衡器,然后在字段中键入“虚拟 DNS 名称”和“虚拟 IP 地址”(都
是必填项)。
• 单击“使用自定义处理程序列表”并使用“+”和“–”添加和删除其他代理处理程序。 使用拖放手柄更改代理处理
程序的优先级。
3 单击“保存”
配置代理处理程序优先级
您可以通过设置代理处理程序的故障转移优先级配置其故障转移优先级。
当您拥有多个代理处理程序时,请将 McAfee ePO 服务器中的主要代理处理程序配置为优先级最低的代理处理程序。
该优先级:
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击并拖动代理处理程序,从而为您的网络创建所需的优先级列表。
该截图显示的 McAfee ePO 服务器显示为“ePO 1”,配置为优先级 2,“代理处理程序 1”配置为优先级 1。
3 单击“保存”。
针对代理处理程序配置分配
您可以分配代理,以单个或按组使用代理处理程序。
在将系统分配给代理处理程序时,请考虑邻近的地理位置,以减少不必要的网络通讯。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在代理处理程序分配页面中,配置以下设置:
• “分配名称”— 键入分配的名称。
• “代理标准”— 配置以下一种方法,以将代理分配到代理处理程序:
• “系统树位置”— 单击“系统树”,从对话框中选择系统树组,然后单击“确定”。
3 单击“保存”。
5 创建代理处理程序分配。
另请参阅
使用 DMZ、防火墙后台或 NAT 网络中的代理处理程序:最佳实践第 259 页
配置硬件、操作系统和端口
安装代理处理程序服务器硬件和软件以及配置防火墙端口是使用 McAfee ePO 管理 DMZ 后台系统的第一步。
开始之前
请确保您的代理处理程序服务器满足所有硬件和软件要求。
任务
1 通过 Microsoft Windows Server 操作系统构建代理处理程序服务器硬件。
2 将服务器安装到受保护网络中防火墙后台的 DMZ。
• 端口 80 — 双向
• 端口 8443 — 双向
• 端口 8444 — 双向
• 端口 443 — 双向
• 端口 1434 UDP — 双向
• 端口 80 TCP — 入站
• 端口 443 TCP — 入站
• 端口 8081 TCP — 入站
• 端口 8082 UDP — 入站
安装软件和配置代理处理程序
完成 McAfee ePO 代理处理程序软件安装和配置后,您的代理处理程序使您可以直接管理 DMZ 后台的系统。
开始之前
• 您必须已在外部网络的 DMZ 中安装代理处理程序硬件和操作系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
4 要打开代理处理程序分配页面,请选择“新建分配”。
图 19-8 代理处理程序分配页面
5 配置以下设置:
a 键入“分配名称”。 例如 NAT Systems Assignment。
b 在代理标准旁边,单击“添加树位置”和“...”,以选择系统树组(例如“NAT 系统”)并单击“确定”。
例如,选择 NAT 系统组。
c 在处理程序优先级旁边,单击“使用自定义处理程序列表”和“添加处理程序”。
d 从列表中,选择代理处理程序,以处理这些选定的系统。
忽略显示的警告。
e 单击“保存”。
b 单击“保存”。
7 在“处理程序状态”信息显示板中的“代理处理程序”配置页面中,单击代理处理程序的数量,以打开“代理处理程序列
表”页面。
图 19-9 代理处理程序设置页面
8 在代理处理程序设置页面中,配置以下设置并单击“保存”:
选项 说明
指定使用代理处理程序的系统会在接下来几次代理与服务器之间的通信期间开始获取其更改。
b 在代理处理程序的代理页面中,确认列表中显示正确的系统。
要使所有系统都显示在列表中,可能需要经过多次代理与服务器之间的通信。
图 19-10 代理处理程序系统页面
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 启用系统管理员帐户。
a 打开“SQL Management Studio”,展开 “安全” | “登录”,然后双击 sa 帐户。
b 在“常规”选项卡中,键入并确认您的密码。
c 在“状态”选项卡上,将“登录”设置为“已启用”,然后单击“确定”。
d 右键单击数据库实例名称,然后单击“属性”。
此系统管理员帐户已启用。
c 删除“用户域”字段中的条目,然后键入 “sa”。
d 提供系统管理员帐户的密码,然后单击“测试连接”。
e 如果测试成功,请单击“应用”。
如果测试失败,请重新输入密码,然后再次单击“测试连接”。
处理程序组和优先级
如果在网络中使用多个代理处理程序,可以对其进行分组并设置优先级,以帮助确保网络连接通畅。
处理程序组
当网络中有多个代理处理程序时,可以创建处理程序组。您也可以向一个组中的多个处理程序应用优先级。处理程序优
先级通知代理首先与哪个处理程序进行通信。如果优先级最高的处理程序不可用,代理将会与列表中的下一个处理程序
通信。此优先级信息包含在每个代理中的存储库列表(sitelist.xml 文件)中。当您更改处理程序分配时,此文件会在代
理与服务器的通信过程中进行更新。代理在收到分配后,会等待直到进行下一次定期计划通信再实现它们。您可以执行
即时代理唤醒呼叫来立即更新代理。
处理程序的分组和优先级分配是可自定义的,因此可以满足特定环境的需要。下面是对处理程序进行分组的两种常见情
形:
• 使用多个处理程序实现负载平衡
网络中可能有大量托管系统,您希望将代理与服务器之间的通信工作负载和策略强制实施工作负载分布到这些系统
上。您可以对处理程序列表进行配置,以便代理随机选择要与之通信的处理程序。
• 设置备用计划以确保代理与服务器进行通信
可能会有多个系统分布到广泛的地理区域。通过为分散在该区域内的每个处理程序分配优先级,可以指定要与代理
进行通信的处理程序以及通信顺序。这可以创建备用代理通信,从而帮助确保网络上的托管系统保持最新,这与备
用存储库确保新的更新对于代理可用极为相似。如果优先级最高的处理程序不可用,代理将使用下一个具有最高优
先级的处理程序。
除了在一组处理程序内分配处理程序优先级之外,还可以跨多组处理程序设置处理程序分配优先级。这会为环境添加冗
余,从而进一步确保代理能够始终收到其所需的信息。
Sitelist 文件
代理使用 Sitelist.xml 和 Sitelist.info 文件来确定要与之进行通信的处理程序。每当更新处理程序分配和优先级时,这些
文件会在托管系统上进行更新。在更新这些文件之后,代理会在进行下一个代理与服务器的计划通信时实现新的分配或
优先级。
将 McAfee 代理分配给代理处理程序
将代理分配给特定的处理程序。系统分配可以逐个进行,也可以按组和按子网进行。
处理程序分配可以指定要使用的单个处理程序或处理程序列表。您指定的列表可以由单个处理程序或处理程序组组成。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 为该分配指定唯一名称。
3 使用以下“代理标准”选项中的一项或二者都用,指定该分配的代理:
• 浏览至“系统树位置”。
4 通过确定是否执行以下操作指定“处理程序优先级”:
• “使用所有代理处理程序” — 代理随机选择要进行通信的处理程序。
• “使用自定义处理程序列表” — 使用自定义处理程序列表时,请从下拉菜单中选择处理程序或处理程序组。
使用自定义处理程序列表时,请使用“+”和“-”,以添加或移除更多代理处理程序(一个代理处理程序可属于多个
组)。使用拖放手柄可以更改处理程序的优先级。优先级可以确定代理首先尝试与哪个处理程序进行通信。
管理代理处理程序分配
完成代理处理程序分配的常见管理任务。
要执行这些操作,请选择 “菜单” | “配置” | “代理处理程序”,然后在“处理程序分配规则”中单击“操作”。
可完成的操作… 操作方法...
删除处理程序分 在选定分配所在的行上单击“删除”。
配
编辑处理程序分 单击用于选定分配的“编辑”。此时会打开代理处理程序分配页,在该页上可以指定:
配
• “分配名称” — 用来标识此处理程序分配的唯一名称。
• “”“代理标准” — 包括在此分配中的系统。您可以添加和删除系统树组,也可以在该文本框中修改
系统列表。
• “处理程序优先级” — 选择是使用所有的代理处理程序还是使用自定义的处理程序列表。当“使用
所有代理处理程序”处于选中状态时,代理会随机选择要与之通信的处理程序。
使用拖放手柄可以快速更改自定义处理程序列表中处理程序的优先级。
导出处理程序分 单击“导出”。此时会打开下载代理处理程序分配页,在该页上可以查看或下载
配 AgentHandlerAssignments.xml 文件。
导入处理程序分 单击“导入”。此时会打开导入代理处理程序分配对话框,在该对话框中可以浏览至以前下载的
配 AgentHandlerAssignments.xml 文件。
编辑处理程序分 单击“编辑优先级”。此时会打开代理处理程序分配 | 编辑优先级页,在该页上可以使用拖放手柄更
配的优先级 改处理程序分配的优先级。
查看处理程序分 在选定分配所在的行上单击 “>”。
配详细信息的摘
要
创建代理处理程序组
处理程序组更便于管理整个网络中的多个处理程序,而且它们在备用策略中也能起到一定的作用。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 指定组名称和“包括的处理程序”详细信息:
• 单击“使用负载平衡程序”以使用第三方负载平衡程序,然后输入“虚拟 DNS 名称”和“虚拟 IP 地址”(它们都是必
填的)。
• 单击“使用自定义处理程序列表”指定此组中包括的代理处理程序。
在使用自定义处理程序列表时,可以从“包括的处理程序”下拉列表中选择处理程序。使用“+”和“-”在列表中添加和
删除其他代理处理程序(一个代理处理程序可包含在多个组中)。使用拖放手柄可以更改处理程序的优先级。优
先级可以确定代理首先尝试与哪个处理程序进行通信。
3 单击“保存”。
管理代理处理程序组
完成代理处理程序组的常见管理任务。
要执行这些操作,请选择 “菜单” | “配置” | “代理处理程序”,然后单击“处理程序组”监视器。
操作 步骤
删除处理程序组 在选定组所在的行上单击“删除”。
编辑处理程序组 单击处理程序组。此时会打开代理处理程序组设置页,在该页上可以指定:
• “虚拟 DNS 名称” — 用来标识此处理程序组的唯一名称。
• “虚拟 IP 地址” — 与此组关联的 IP 地址。
• “包括的处理程序” — 选择是使用第三方负载平衡器还是使用自定义处理程序列表。
使用自定义处理程序列表可以指定要与分配给此组的代理进行通信的处理程序以及通信顺序。
启用或禁用处理程 在选定组所在的行上单击“启用”或“禁用”。
序组
在处理程序之间移动代理
将代理分配给特定的处理程序。您可以使用代理处理程序分配规则、代理处理程序分配优先级或单独使用系统树来分配
系统。
处理程序分配可以指定要使用的单个处理程序或处理程序列表。您指定的列表可以由单个处理程序或处理程序组组成。
任务
• 使用代理处理程序分配对代理进行分组第 273 页
创建代理处理程序分配,以将 McAfee Agent 组合到一起。
• 按分配优先级对代理进行分组第 273 页
组合代理并将其分配到使用分配优先级的代理处理程序。
• 使用系统树对代理进行分组第 274 页
组合代理并将其分配到使用系统树的代理处理程序。
使用代理处理程序分配对代理进行分组
创建代理处理程序分配,以将 McAfee Agent 组合到一起。
处理程序分配可以指定要使用的单个处理程序或处理程序列表。您指定的列表可以由单个处理程序或处理程序组组成。
在将代理分配给代理处理程序时,请考虑邻近的地理位置,以减少不必要的网络通讯。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
如果默认分配规则是列表中唯一的分配,则必须创建一个分配。
2 键入一个名称作为“分配名称”。
3 可以使用下列选项按系统树位置、按代理子网或者单独配置“代理标准”:
• “系统树位置” — 从“系统树位置”中选择组。
可以通过浏览从选择系统树组对话框中选择其他组,然后使用“+”和“-”添加和删除所显示的系统树组。
4 您可以将处理程序优先级配置为“使用所有代理处理程序”或“使用自定义处理程序列表”。单击“使用自定义处理程序
列表”,然后按照下列方式之一更改处理程序:
• 通过向列表中添加另一个处理程序并删除以前关联的处理程序来更改关联的处理程序。
• 向列表中添加其他处理程序,并设置代理与处理程序进行通信时所采用的优先级。
在使用自定义处理程序列表时,可以使用“+”和“-”在列表中添加和删除其他代理处理程序(一个代理处理程序可
包含在多个组中)。使用拖放手柄可以更改处理程序的优先级。优先级可以确定代理首先尝试与哪个处理程序进
行通信。
5 单击“保存”。
按分配优先级对代理进行分组
组合代理并将其分配到使用分配优先级的代理处理程序。
处理程序分配可以指定要使用的单个处理程序或处理程序列表。您指定的列表可以由单个处理程序或处理程序组组成。
此列表定义代理使用特定代理处理程序尝试通信的顺序。
在将系统分配给代理处理程序时,请考虑邻近的地理位置,以减少不必要的网络通讯。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
如果“默认分配规则”是列表中唯一的分配,则必须创建一个新分配。
2 使用“按分配规则对代理进行分组”任务中的步骤编辑分配。
如果将一个分配移至低于另一个分配的优先级,则会创建这样一个层次结构:优先级较低的分配实际上是优先级较
高的分配的一部分。
4 要更改某个分配的优先级(显示在左侧的“优先级”列中),请执行以下操作之一:
• 使用拖放手柄 — 使用拖放手柄将分配行向上或向下拖动到“优先级”列中的另一个位置。
• 单击“移到顶部” — 在“快速操作”中,单击“移到顶部”将选定的分配自动移到最高优先级处。
5 在正确配置分配的优先级后,单击“保存”。
使用系统树对代理进行分组
组合代理并将其分配到使用系统树的代理处理程序。
处理程序分配可以指定要使用的单个处理程序或处理程序列表。您指定的列表可以由单个处理程序或处理程序组组成。
在将系统分配给代理处理程序时,请考虑邻近的地理位置,以减少不必要的网络通讯。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“系统树”列中,导航至要移动的系统或组。
3 使用拖放手柄将系统从当前配置的系统组移到目标系统组。
4 单击“确定”。
常见问题
以下为常见问题的解答。
• 工作队列(每 10 秒钟检查一次)
一个代理处理程序可以支持多少个代理?
如果部署的节点不足 100,000 个,则无需对代理处理程序进行扩展。 任何阶段都可能需要用于拓扑或故障转移
的代理处理程序。 可以考虑每 50,000 个节点设置一个代理处理程序。
我应该针对代理处理程序使用何种硬件和操作系统?
另请参阅
使用 DMZ、防火墙后台或 NAT 网络中的代理处理程序:最佳实践第 259 页
存储库缓存及其工作原理第 261 页
目录
维护您的 McAfee ePO 服务器
管理 SQL 数据库
带宽使用率
最佳实践:监控服务器性能
定期检查您的 McAfee ePO 服务器工作负担,以便创建基准并避免出现性能问题。
如果您担心 McAfee ePO 服务器存在性能问题,请使用 Windows 任务管理器和 Windows Server 可靠性和性能监视器
检查性能。
使用 Windows 任务管理器
如果您的 McAfee ePO 服务器存在性能问题,首先要在服务器上打开 Windows 任务管理器并检查 McAfee ePO 服务
器性能。
• 是否存在过量分页?
• 物理内存是否被过度使用?
• CPU 是否被过度使用?
使用 Windows 可靠性和性能监视器
安装 McAfee ePO 服务器时,会将自定义计数器添加到内置的 Windows 可靠性和性能监视器。 这些计数器可以提供
信息,让您认识到 McAfee ePO 服务器的工作强度。
• 《“配置性能监视器显示器”》(http://technet.microsoft.com/en-us/library/cc722300.aspx)
• 《“使用性能日志”》(http://technet.microsoft.com/en-us/library/cc721865.aspx)
查找和使用性能监视器
若要将自定义 McAfee ePO 计数器与 Windows 性能监视器搭配使用,您必须要使用 32 位版本的工具。
该图显示如何查找和使用 Windows 性能监视器。
任务
1 启动 Windows 性能监视器。
3 若要以报告的形式查看输出,请单击“更改图形类型”图标并从列表中选择“报告”。
4 单击“添加”,将选定的计数器移至“已添加”计数器列表,然后单击“确定”。
• “数据通道饱和” • “处理器事件数/秒”
• “数据通道线程” • “静态事件队列长度”
• “事件队列长度”
• 《“使用性能日志”》(http://technet.microsoft.com/en-us/library/cc721865.aspx)
检查事件处理:最佳实践
McAfee ePO 数据库事件文件夹中显示的事件数量表示您的 McAfee ePO 服务器的性能。
任务
1 通过 Windows 资源管理器,导航至以下文件夹:
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Events
该文件夹任何时候都可能显示几十或几百个事件。
在较大型的环境中,该文件夹经常每分钟要处理数千个事件。
2 多次单击“刷新”图标,然后查看状态栏,以了解该文件夹中快速变化的文件数量。
根据在一天中不同的时间,该事件文件夹出现波动是正常现象。 但是如果该文件夹中存在数千个文件且仍在不断增
加,则表明可能存在性能问题。
4 通过以下步骤检查事件解析器日志文件,以查看是否存在任何错误。
a 请通过该路径访问日志文件文件夹:
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Logs
b 打开该日志文件并检查是否存在错误:
“eventparser_<服务器名称>.log”
5 如果事件生成速度仍超过事件解析器的处理速度,请执行以下步骤:
a 重新打开“服务管理器”列表并临时停止以下三项 McAfee ePO 服务:
• McAfee ePolicy Orchestrator 5.9.0 应用程序服务器
维护 SQL 数据库
若要帮助 McAfee ePO 服务器正常工作,您必须要具备性能良好的 SQL 数据库。 该数据库是 McAfee ePO 服务器使
用的所有数据的中心存储位置,因此需要进行维护。
• 定期重新索引您的数据库。
• 定期重新构建您的数据库。
• 通过服务器任务清除较早的事件。
表数据碎片
数据库中最大的性能问题之一是表数据碎片。 例如,表碎片就像大型书籍后面的索引。 书籍中的一个索引条目可能选
择分布于整本书中的多个页面。 您必须要扫描每一页来找到要查找的特定信息。
该分段索引不同于电话簿的索引,并不是以排序顺序存储数据的。 名称“Jones”的典型查询结果可能会跨越连续多页,
但它们总是按顺序排列。
就数据库而言,开始时数据会像电话簿中的顺序一样排序,但随着时间推移,其数据会更像大型书籍的索引一样排序。
您必须要经常恢复数据,以重新创建电话簿的顺序。 这是重新索引和重新构建 McAfee ePO SQL 数据库的重要性所
在。 随着时间的推移,数据库中的数据碎片会逐渐增多,尤其是当管理每天要写入数千个事件的大型环境时。
详细了解
有关创建维护任务的详细信息,请参阅知识库文章通过 SQL Server Management Studio 维护 McAfee ePO 数据库的
推荐计划,KB67184。
开始之前
您必须要了解 SQL 数据库服务器名称和服务器上的数据库名称。 使用 https://<localhost>:8443/core/
config-auth URL 了解该信息。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 双击您创建的文件,以显示“数据链接属性”用户界面。
4 在“连接”选项卡上,配置以下设置:
• “选择或输入服务器名称” — 通过以下格式键入服务器名称、实例和端口:
<servername>\<instancename>,<port>.
如果未使用命名的数据库实例,请使用以下格式:<servername>,<port>
• “选择服务器上的数据库” — 键入数据库名称。
5 单击“测试连接”。
最佳实践:建议的任务
McAfee 建议每日、每周和每月执行某些任务,以确保您的托管系统得到保护而且 McAfee ePO 服务器能够高效运行。
由于各种网络互有差异,所以您的环境可能在此部分需要更为详细的步骤,也可能只需要其中部分步骤。
此处介绍的流程有些共同特点:
• 了解流程后,执行时不会占用太长时间。
• 这些都是可重复、可管理且很有效的做法。
建议的日常任务:最佳实践
至少每天执行一次 McAfee 建议的任务,以确保您的 McAfee ePO 服务器托管系统免受威胁攻击而且 McAfee ePO 服
务器能够正常工作。
有关各项建议的每日任务的详细信息,请参阅下表。
如果有说明,某些任务可以自动化。 这些说明包含在该手册中。
检查合规性查询和报告。 在查询和报告中,查找合规性查询,以确定未使用引擎、修补程序或补丁更新托管产
品版本的系统。
创建流程,以确保系统处于最新状态。 例如,运行更新或部署任务,以确保合规性。
不合规的系统数量会一直下降,直到所有系统都已签入并更新其软件。
如果同步失败,则系统在网络上容易受到攻击,主要是面临受感染的风险。
请确认每天至少运行一次内 通过威胁信息显示板确认这些扫描的结果表明威胁数量并未增加。
存流程扫描。
经常运行内存流程扫描,因为该扫描速度快,无干扰。
请参阅以下文件,以了解其他信息:
• 《“灾难恢复”详细信息手册》
• 如何通过 SQL Server Management Studio 备份和还原 ePO 数据库,KB52126
• McAfee ePO 服务器备份和灾难恢复过程,KB66616
另请参阅
灾难恢复组件第 92 页
建议的每周任务:最佳实践
至少每周执行一次 McAfee 建议的任务,以确保您的 McAfee ePO 服务器托管系统免受威胁攻击而且 McAfee ePO 服
务器能够正常工作。
有关各项建议的每周任务的详细信息,请参阅下表。
如果有说明,某些任务可以自动化。 这些说明包含在该手册中。
增量复制任务仅会复制新的或不存在的文件,而无法修复任何受损文件。
每周 SQL 数据库任务
备份 McAfee ePO SQL 使用 Microsoft SQL Enterprise Manager 备份 McAfee ePO 数据库。 完成备份后,请验
数据库。 证操作是否成功。
请参阅以下文件,以了解其他信息:
• 如何通过 SQL Server Management Studio 备份和还原 ePO 数据库,KB52126
• McAfee ePO 服务器备份和灾难恢复过程,KB66616
如果同步失败,则系统在网络上容易受到攻击,主要是面临受感染的风险。
另请参阅
软件管理器中包含的项第 137 页
复制任务第 250 页
灾难恢复组件第 92 页
建议的每月任务:最佳实践
至少每月执行一次 McAfee 建议的任务,以确保您的 McAfee ePO 服务器托管系统免受威胁攻击而且 McAfee ePO 服
务器能够正常工作。
有关各项建议的每月任务的详细信息,请参阅下表。
如果有说明,某些任务可以自动化。 这些说明包含在该手册中。
另请参阅
最佳实践:自动清除事件第 210 页
根据查询清除事件第 210 页
最佳实践:查找 GUID 相同的系统第 209 页
审核日志第 130 页
定期任务:最佳实践
执行定期维护任务对于确保 McAfee ePO 服务器正常运行非常重要。 虽然无需每天、每周或每月都执行所有任务, 但
定期任务对于确保站点整体健康、安全和灾难恢复计划的更新都很重要。
创建定期维护日志,以记录执行维护的日期、执行者以及任何有关所执行任务的维护方面的备注。
任务 说明
定期评估您的环境、策略和策略分 组织的需要会改变。 定期查看现有策略和策略分配,以确保其在环境中仍可发
配,以确认其是否仍适用。 挥作用。 减少策略可以简化服务器管理。
定期查看现有客户端任务和任务分 客户端任务对 McAfee ePO 托管的系统运行扫描,并对其部署产品更新、产品
配,以确保这些任务仍需存在。 补丁和修补程序等。 清除不使用的任务,以降低系统复杂性,避免其最终影响
数据库大小。
查看现有标记和标记条件,以确保 使用标记代替系统树组,以合并或选择要执行操作的一组系统。 例如,发送更
这些标记仍与您的环境有关联。 新、部署 McAfee 托管产品或运行扫描。 标记虽然用途很大,但您必须监控标
记,以确保其有用性并达到预期效果。
定期查看产品扩展(如 VirusScan 您必须要尽量具体地确定环境中的排除项。
Enterprise)并将其包括/排除(如 铲平更改会影响到您配置的排除项。 定期查看排除项,以确保其仍能实现预期
访问保护规则),以验证其相关 目标。 另外,您可以使用“高风险按访问”扫描和“低风险按访问”扫描配置,以扩
性。 大排除项。
设置系统树结构,或通过另一种方法 – 使用标记,以控制排除项。
进行任意硬件更换或删除您要废弃 随着网络和组织的变化,您可能会发现更改所使用存储库的位置和类型可以实
的任意存储库。 现更高效的服务覆盖。
请确保您具备所需的软件,如最新 务必要使用最新版本的 McAfee 托管产品,以确保您可以为这些产品提供技术
版本的 McAfee Agent。 支持。 此外,您还要拥有最新功能和修补程序。
从主存储库和分布式存储库中删除 将磁盘空间占用率保持在最低水平并从 McAfee ePO 服务器和分布式存储库中
任何不受支持或您不使用的软件。 删除不用的产品。 仅在主存储库中保留您的环境中当前使用的产品。
查看您的系统树并删除 30 天内未与 确保系统树组织有序并删除不再使用或不再报告到 McAfee ePO 的系统。 经清
McAfee ePO 服务器通信或已被废 理的系统树可以确保报告中不包含不相关的信息。 设置服务器任务,以删除非
弃的所有代理。 活动系统。
删除不再使用的服务器任务。 仅在任务列表中保留您要使用的服务器任务。 您可以随时禁用您要保留但不常
使用的任务。 尽量精简常用任务列表可以降低 McAfee ePO 复杂性。
删除不再相关的自动响应。 自动响应的配置是在必须解决恶意软件事件威胁、客户端威胁或合规性问题时
向个人提供警报,尤其是系统管理员。
任务 说明
删除使用 McAfee ePO 服务器任务 从“系统树”中删除系统和产品属性不完整或丢失的系统。 这些系统会扭曲报告
的外壳系统。 和查询,并占用 McAfee ePO 数据库中的空间。
监控数据库大小 查看 McAfee ePO 数据库大小并确定是否清除报告到 McAfee ePO 的事件以及
清除频率。 请参阅《如何确定 ePolicy Orchestrator 数据库较大的原因》,
KB76720。
要清除数据库中的事件,请参阅《如何删除旧事件并缩减 ePolicy Orchestrator
数据库》, KB68961 以及《如何清除“审核日志”、“服务器任务日志”和“威胁事
件日志”》。
管理 SQL 数据库
备份、还原、维护和管理 SQL Server 数据库。
SQL 版本 管理工具
SQL 2008 和 2012 SQL Server Management Studio
SQL Express SQL Server Management Studio Express
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 在浏览器地址栏中键入此远程命令:
https://<localhost>:8443/core/config
在此命令中:
• <localhost> — 即 McAfee ePO 服务器的名称。
2 保存显示在“配置数据库设置”页中的以下信息:
• 主机名或 IP 地址
• 数据库名称
任务
• 配置灾难恢复服务器任务第 290 页
使用灾难恢复快照服务器任务可修改已保存到 SQL 数据库的 McAfee ePO 服务器配置的计划自动快照。
• 使用 Microsoft SQL 来备份和还原数据库第 290 页
若要保存包含 McAfee ePO 服务器配置信息的灾难恢复快照,请使用 Microsoft SQL Server 步骤。
配置灾难恢复服务器任务
使用灾难恢复快照服务器任务可修改已保存到 SQL 数据库的 McAfee ePO 服务器配置的计划自动快照。
灾难恢复服务器快照任务的预配置状态取决于 McAfee ePO 服务器使用的 SQL 数据库。默认情况下,在所有
Microsoft SQL Server 上,灾难恢复快照处于启用状态。
一次只能运行一个灾难恢复快照。如果运行多个快照,则只有最后一个快照会创建输出数据,而前几个快照会被覆盖。
您可以根据需要修改默认的灾难恢复服务器任务。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从灾难恢复服务器任务生成器描述选项卡的“计划状态”中,根据需要单击“启用”或“禁用”。
3 从“计划”选项卡中,根据需要更改以下设置:
• “计划类型” — 设置保存快照时的频率。
• “开始日期”和“结束日期” — 设置保存快照的开始和结束日期,或单击“无结束日期”持续运行该任务。
最佳实践:在非工作时间运行灾难恢复服务器任务,以便最大限度地减少快照创建过程中对数据库的更改。
4 从摘要选项卡中,确认服务器任务配置正确,然后单击“保存”。
开始之前
若要完成此任务,您必须在主要和还原 McAfee ePO SQL 服务器之间建立连接并具有在两个服务器之间
复制文件的权限。
任务
1 使用以下工具创建数据库的 Microsoft SQL Server 备份:
• Microsoft SQL Server Management Studio
• Microsoft Transact-SQL
• Microsoft Transact-SQL
任务
1 通过“远程桌面连接”,使用主机名或 IP 地址登录到 Microsoft SQL 数据库服务器。
5 在这些数据库记录中查找并保存信息。
• “ePOVersion” — 例如,<three-digit ePolicy Orchestrator version>。
• “DNSName” — 例如,epo-2k8.servercom。
• “ComputerName” — 例如,EPO-2K8。
• “LastKnownTCPIP” — 例如,172.10.10.10。
• “RmdSecureHttpPort” — 例如,8443。
威胁事件日志
使用威胁事件日志可以快速查看数据库中的事件并对其进行排序。您可以仅按时限清除该日志。
您可以选择在可排序的表中所显示的列。您可以选择各种事件数据来作为列。
根据您所管理的产品,您还可以对事件采取某些操作。可以通过页底部的“操作”菜单使用操作。
公用事件格式
现在多数托管产品都使用公用事件格式。此格式的字段可以用作威胁事件日志的列。这些字段包括:
• “DAT 版本” — 发送事件的系统上的 DAT 版本。 • “MAC 地址” — 发送事件的系统的 MAC 地址。
• “主机名” — 发送事件的系统的名称。
查看和清除威胁事件日志
您应该定期查看和清除威胁事件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下任一操作。
操作 步骤
“查看威胁事 1 单击任一列标题可以对事件排序。您还可以选择: “操作” | “选择列” ,此时将显示选择要显示的
件日志”。 列页。
2 从可用列列表中,选择满足需要的不同表列,然后单击“保存”。
3 选择表中的事件,然后单击“操作”并选择“显示相关系统”来了解发送选定事件的系统的详细信
息。
3 单击“确定”。
早于指定时间的记录即被彻底删除。
最佳实践:计划清除威胁事件日志
您可以创建服务器任务,从而自动清除威胁事件日志。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 对任务进行命名和介绍。在计划状态旁边,选择“已启用”,然后单击“下一步”。
3 从下列列表中选择“清除威胁事件日志”。
4 选择是否按时间或查询结果进行清除。如果按查询进行清除,则选取生成事件表的查询。
5 单击“下一步”。
6 根据需要计划任务,然后单击“下一步”。
7 查看任务详细信息,然后单击“保存”。
带宽使用率
McAfee ePO 服务器使用您的 LAN 和 WAN 带宽接收托管客户端的事件并将软件下载到托管客户端。 您务必要了解这
些要求,然后再配置 McAfee ePO 服务器,以有效使用带宽。
最佳实践:代理部署和带宽
在您的环境中安装 McAfee ePO 服务器时,您必须分发代理、组件和安全产品,以管理和保护网络上的系统。
对托管环境进行初始设置期间,部署 McAfee Agent 可以生成我们推荐计划部署所需的足够网络流量。 尽管 McAfee
Agent 的安装包比其他产品(如 VirusScan Enterprise)要小,但该代理必须要部署到您要管理的所有客户端系统中。
该表显示部署 McAfee Agent 4.8 时,在 McAfee Agent 服务器、客户端系统和 McAfee Agent SQL 数据库服务器上使
用的总带宽。
表 20-4 McAfee Agent 带宽使用率
代理部署 总计 (MB) 发送 (MB) 接收 (MB)
McAfee ePO 服务器 5.04 4.83 0.21
SQL 数据库服务器 4.64 0.04 4.60
客户端系统 0.42 0.18 0.24
实际部署
第一次也是最大规模的使用带宽发生在将 McAfee Agent 安装包部署到客户端系统时。 您可以将 McAfee Agent 安装包
从 McAfee ePO 服务器控制台部署到站点、组或从系统树中选定的系统。 无论您使用何种方法,通过网络部署代理安
装包都会使每个系统产生流量。
• 客户端系统在网络拓扑中的位置
McAfee 建议通过以下方法部署代理:
• 部署至单个站点或组 — 如果有更多带宽限制因素(如不同地理位置之间的连接更慢),这一点很重要。
计算客户端更新带宽最佳实践
新产品更新使用额外带宽。 请计算带宽要求,然后再更新产品。
如果您知道补丁或正下载的产品的大小,则可以计算带宽。 若要了解 Windows Explorer 中产品安装文件的精确大小,
请右键单击 Install 文件夹并单击“属性”。 默认情况下,产品文件位于以下路径中:
(更新文件的大小)x(节点数量)= 每天提取的数据量
在以下示例中,我们使用该公式计算每天提取的数据量并介绍创建本地存储库是否会降低带宽。
示例 1 — 印度的一个小型办事处
印度的小型办事处必须每天将 400 KB DAT 文件下载到 200 个节点中。 使用该公式:
在这种情况下,请不要使用印度的存储库。
示例 2 — 东京的大型办事处
东京的大型办事处必须每天将 400 KB DAT 文件下载到 4,000 个节点中。 使用该公式:
东京的大型办公室有 4,000 个节点,每天仅用以更新 DAT 文件的带宽就需要 1.6 GB。 由于每天将 DAT 文件复制到东
京仅使用 70 MB 带宽,所以在东京办公室安装存储库可以显著提高效率。 现在所有 DAT 文件都是通过 LAN(而非更
慢的 WAN 链接)提取。
示例 3 — 纽约市的大型办事处
纽约市的大型办事处必须要为其 1,000 个节点下载 23 MB 的 VirusScan Enterprise 补丁更新。 使用该公式:
结论
有些 McAfee ePO 用户将存储库放置在仅有几十个节点的地理位置。 如果您的站点没有至少 200–300 个节点,则无法
从使用存储库节省的带宽中受益。 如果没有本地存储库,则代理会转至下一个最近的存储库,以获得更新。 该存储库
可能通过 WAN 链接连接到服务器,但由于无需通过 WAN 复制整个存储库,所以使用的带宽仍会减少。
最佳实践:存储库分布的带宽建议
如果是使用 McAfee ePO 服务器管理广域网 (WAN) 中的系统,我们建议您针对每个局域网 (LAN) 创建至少一个分布式
存储库,以便进行客户端更新。
安装分布式存储库后,您必须配置何时执行以下操作。
• 何时从 McAfee ePO 服务器主存储库更新存储库
• 托管系统何时从分布式存储库提取更新
这些任务需要配置随机选择时间间隔,以避免网络带宽饱和。
每个 LAN 需要的存储库数量
该表根据 LAN 中的系统数量和网络带宽的需要列出建议的存储库数量。
表 20-5 分布式存储库数量
LAN 中的系统数量 网络带宽 (LAN)
100 Mbps 1 Gbps
1,000 1 个存储库 1 个存储库
2,000 2 个存储库 1 个存储库
3,000 3 个存储库 1 个存储库
4,000 4 个存储库 1 个存储库
5,000 5 个存储库 1 个存储库
10,000 10 个存储库 2 个存储库
20,000 20 个存储库 2 个存储库
30,000 30 个存储库 3 个存储库
根据 WAN 带宽进行存储库复制随机选择时间间隔设置
您必须要考虑 WAN 带宽,然后才可以设置随机选择时间间隔,使存储库复制自动化。
通过该信息中的以下步骤,将您网络中的存储库复制自动化。
1 针对各个 LAN 中的每个分布式存储库创建增量复制任务。
2 根据 WAN 带宽(单位:Mbps),将各个任务设置为在相应随机选择时间间隔最小分钟数内依次运行,以避免重
叠。
客户端更新任务的随机选择时间间隔
您创建的客户端更新任务可以确保系统与最新 DAT 和引擎文件同步。 该任务要求设置随机时间间隔,以及以下变量:
• 网络带宽
• LAN 中的系统数量
• LAN 中的分布式存储库数量
要创建客户端更新任务,请执行以下步骤。
1 将本地分布式存储库添加至代理策略中的存储库列表。
2 通过“Ping 时间”选择最近的存储库。
3 创建代理更新任务,并根据下表设置随机选择时间间隔。
另请参阅
配置全局更新的设置最佳实践第 240 页
更新任务第 189 页
计算存储库复制和产品更新所使用带宽的最佳实践
存储库复制操作在所有环境中都会占用宝贵的带宽。 安装存储库前,请计算进行复制所需的带宽。
如果您的企业网络使用的网络分布在不同地理位置且 WAN 网络连接速度各异,则您必须计算从 McAfee ePO 服务器
到您的托管系统所需的更新带宽。 以下是两个系统更新要求。
• 相对较小的日常 DAT 文件更新
• 偶尔进行的大规模产品软件更新
计算 DAT 软件带宽使用率
如果您仅复制 DAT 文件,则每天复制操作所使用的带宽约为 70 MB。 代理不会使用复制到存储库的所有 DAT 文件,
但必须将 35 个增量 DAT 文件提供到所有代理,以防其在 DAT 后台使用。 决定特定位置是否需要存储库时,请根据
带宽使用情况决定哪种选择成本更高。 您可以将 70 MB 数据复制到存储库中,或通知代理转至下一个最近的存储库,
虽然它可能与代理距离并不近。
计算产品更新带宽使用率
使用部署包的大小乘以目标节点的数量,然后再除以使用的存储库数量,即可计算出部署所需的带宽。 例如,
VirusScan Enterprise 8.8 的大小是 56 MB,通过三个存储库提取并部署到 1,000 个节点,则总计为 56 GB 数据。 这
56 GB 数据通过三个存储库提取,相当于每个存储库分担 19 GB。
随机选择对于任何使用带宽的客户端任务都是很重要的。
目录
报告功能
最佳实践:如何使用自定义查询
多服务器汇总查询
最佳实践:通过 Web API 运行报告
报告功能
您可以使用预配置的查询,创建自定义查询,使用查询的输出执行任务和创建报告作为输出。
无论何时更改策略、配置、客户端或服务器任务、自动响应或报告,请在更改前和更改后导出设置。
若要查看其中一个预配置的查询,请单击“运行”。 然后您可以执行以下任务:
• 将输出保存为报告。
• 复制查询并更改输出。
• 查看查询系统中的结果。
• 在系统树中针对结果执行您通常执行的操作。
报告滞后时间
运行 McAfee ePO 查询报告时,您必须要认识到报告是有滞后时间的。 该滞后时间意味着信息并不是在真正运行报告
时添加到报告中的。 该信息滞后时间从您启动查询开始,一直持续到完成查询,其时长取决于运行查询使用的时间。
报告滞后时间示例:
• 您每小时运行一次查询,每次运行 10 分钟。
• 如果事件在运行查询的这 10 分钟内发生,则不会包括到报告中,但会被写入到数据库中。
• 这些事件会显示在一小时后运行的下一个查询报告中。
最佳实践:如何使用自定义查询
在 McAfee ePO 服务器上创建自定义查询很简单;您还可以复制现有查询并根据需要进行更改。
您可以通过查询生成器向导创建自定义查询。 若要访问查询生成器向导,请选择“菜单” | “报告” | “查询和报告”,然后单
击“新建查询”。
您可以通过两种方法使用自定义查询:
1 创建查询前,您可以决定具体要创建哪种查询。
2 您可以探索查询生成器向导并尝试不同变量,以了解不同类型的可用查询。
两种方法都有效,都可以生成有关您的环境的有趣的数据。 如果您不熟悉查询系统,请尝试探索不同变量,以了解
McAfee ePO 可以返回哪些不同类型的数据。
• 可能在尝试唤醒时无法正常运行
创建自定义事件查询
您可以从零开始创建自定义查询,也可以复制并更改现有查询。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
图 21-1 选中威胁事件的查询生成器
图 21-2 选中托管系统的查询生成器
3 选择您希望在报告中显示的标签或变量。
在标签为列表中,单击“操作系统类型”。
4 深入查询到报告中的任意变量后,请选择您要查看的列。 列的选择在构建查询的过程中并不重要,可以稍后进行调
整。
您还可以左右拖放列,添加和删除要显示的列。
若要使用默认列,请单击“下一步”。
您可以过滤希望查询返回的数据。 您可以将过滤器区域留空,这样会返回您的树中的所有设备;或指定您感兴趣的
返回结果。 过滤器选项的示例包括:
• 您的系统树中报告适用的组。 例如,地理位置或 • 仅包括使用更早版本 DAT 的系统。
办事处。
5 单击“下一步”,以避免创建任何过滤器并显示所有操作系统类型。
6 单击“运行”以生成报告并查看结果。
创建报告并显示输出后,您无需重新开始即可微调您的报告。 要执行该操作,请单击“编辑查询”。 单击“编辑”使您
可以返回和调整您的报告,并在几秒钟的时间内重新运行该报告。
完成对报告的所有更改后,单击“保存”将其永久保存。 现在该查询包含在您的信息显示板中,您可以随时运行。
事件摘要查询工作原理最佳实践
数据库中的事件数据大部分都是客户端事件和威胁事件。 查询可以帮助您跟踪数据库中存储的事件数量。
事件摘要查询可帮助您管理这些事件可能会对 McAfee ePO 服务器和数据库造成的任何性能问题。
最佳实践:创建客户端事件摘要查询
若要显示从您的代理发送至 McAfee ePO 的事件,请创建客户端事件摘要查询,向您的管理员发送威胁通知。
该示例介绍如何创建客户端事件摘要查询。 它会显示从各个 McAfee Agent 发送至 McAfee ePO 的事件。 更新完成、
更新失败、部署完成或加密开始之类的项均可被当作客户端事件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在查询页面中,单击“新建查询”。
3 在查询生成器中,从“结果类型”选项卡开始,单击功能组中的“事件”、“结果类型”中的“客户端事件”,然后单击“下一
步”。
图 21-3 选中客户端事件的查询生成器
4 在图表页面的“摘要”下,单击“单组摘要表”,以显示事件表中所有客户端事件的总数。
5 要创建事件说明可读的过滤器,请单击威胁事件说明下标签为列表中的“事件说明”。
6 如果需要,请根据您要显示的类型调整列信息。
该步骤在创建查询的过程中并不重要。
7 单击“下一步”,此时会显示过滤器页面。
由于您要将每个客户端事件返回到数据库中,所以无需进行任何过滤。 您可以选择性的根据特定时间(最近 24 小
时或最近七天)生成的事件创建查询。
8 单击“运行”,以显示查询报告。
图 21-4 查询生成器输出
创建威胁事件摘要查询:最佳实践
若要向管理员提供威胁通知,请创建威胁事件摘要查询,以显示从您的代理发送至 McAfee ePO 服务器的威胁事件。
在该示例中,威胁事件包括发现的病毒、触发的数据丢失保护事件或检测到的入侵。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在查询页面中,单击“新建查询”。
3 在查询向导页面中,从结果类型选项卡开始,单击功能组中的“事件”和“结果类型”中的威胁事件,然后单击“下一
步”。
4 在“图表”页面的“摘要”下,单击“单组摘要表”,以显示事件表中所有威胁事件的总计数。
5 要创建事件说明可读的过滤器,请单击威胁事件说明下标签为列表中的“事件说明”。
6 如果需要,请根据您要显示的类型调整列信息,然后单击“下一步”。
7 在过滤器页面,您无需进行任何过滤操作,因为您要将所有客户端事件返回到数据库中。 您可以选择根据特定时间
内生成的事件创建查询,例如最近 24 小时或最近 7 天。 单击“运行”,以显示查询报告。
8 要确定您的网络上应该有多少个事件,请使用以下公式:
(10,000 个节点)x(5,00 万个事件)= 估计的事件数
该数字变数很大,具体取决于您所拥有的产品和策略数以及您的数据保留率。 所以如果您超出该数字,不用担心。
如果远超该数值,请确定事件数量太多的原因。 有时如果您的不受限制的网络(如大学或学校校园)收到大量病
毒,则出现大量事件的情况也是正常的。 出现大量事件的另一个原因可能是您在清除事件前将其保留在数据库中的
时长。 以下是要检查的项目:
• 您是否定期清除事件?
• 是否存在某个查询中的特定事件占据了您大部分事件?
如果您发现一个或两个事件在您的事件中的比例不均衡,则可以通过深入查询这些事件确定其内容。 例如,如果您
发现实例最多的事件是 VirusScan Enterprise 中的访问保护规则。 这是一种常见事件。 如果您双击“访问保护规则”
事件对事件原因进行深入查询,则会发现 VirusScan Enterprise 上的若干访问保护规则被重复触发。
9 在这种情况下,请确定这些事件对您的组织是否重要以及是否得到管理员重视。 有些管理员经常会忽略某些事件。
最后,处理数据库中过量事件时,您必须遵循以下流程:
a 创建查询,以显示您查询的所有事件,然后使用该部分的信息分析这些威胁事件。
b 首先确定是否有人在关注这些过量事件。
c 如果没有人正在分析这些事件,请更改您的策略,停止事件转发。
d 如果事件很重要,请确保您持续监控事件的数量。
另请参阅
事件摘要查询工作原理最佳实践第 303 页
最佳实践:自动清除事件第 210 页
最佳实践:过滤 1051 和 1059 事件第 212 页
创建自定义表查询:最佳实践
创建查询并将结果显示在表中,以便您对查询结果执行操作。
例如,您可能需要根据查询清除数据或事件。 您可能有特定类型的事件(如 1051 和 1059 事件)塞满数据库。 您也
可以使用该技术根据您创建的自定义查询清除其他威胁事件。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“功能组”中的事件和“结果类型”中的客户端事件,并单击“下一步”。
3 在“结果显示为”窗格中,单击“列表”,然后单击“表”和“下一步”。
4 单击“下一步”,跳到列对话框。
如果您不希望在工作时间实时清除这些事件,可以创建服务器任务,在夜间下班时间运行清除操作。
9 为该任务确定合适的名称和说明,然后单击“下一步”。
例如 Purge of 1051 and 1059 Events Nightly。
10 单击“操作”列表中的“清除威胁事件日志”,然后单击“按查询清除”。
11 在该列表中,查找并单击您创建的自定义查询。
12 将任务计划为每晚运行,然后单击“保存”。
多服务器汇总查询
McAfee ePO 包括运行查询的功能,这些查询报告来自多个数据库的摘要数据。
使用查询生成器中的结果类型进行此类查询:
• 汇总的威胁事件 • 汇总的托管系统
• 汇总的客户端事件 • 已汇总所应用的策略
• 汇总的合规性历史记录
不能从汇总结果类型中生成操作命令。
工作原理
要汇总数据以供汇总查询使用,必须注册每台要包含在查询中的服务器(包括本地服务器)。
注册服务器之后,您必须立即在报告服务器(执行多服务器报告的服务器)中配置汇总数据服务器任务。汇总数据服务
器任务检索报告中涉及的所有数据库的信息,并填充报告服务器上的 EPORollup_ 表。汇总查询的目标是报告服务器
上的数据库表。
作为运行汇总的合规性历史记录查询的先决条件,您必须在要包含其数据的每个服务器上采取两个预备操作:
• 创建查询,以定义合规性。
• 生成合规性事件。
创建汇总数据服务器任务
汇总数据服务器任务可同时从多个服务器提取数据。
开始之前
• 注册要包含在汇总报告内的各个 McAfee ePO 报告服务器。 需要注册所有服务器,才能够从这些服务
器中收集摘要数据,以填充汇总报告服务器的 EPORollup_ 表。
• 此外还必须注册报告服务器,才能在汇总报告中包括其摘要数据。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开服务器任务生成器。
a 选择 “菜单” | “自动” | “服务器任务”。
b 单击“新建任务”。
2 在描述页上,键入任务的名称和描述,选择是否启用它,然后单击“下一步”。
3 单击“操作”,然后选择“汇总数据”。
4 从“数据汇总来源:”下拉菜单中,选择“所有已注册的服务器”或“选定的已注册的服务器”。
5 如果您选择“选择已注册的服务器”,请单击“选择”。从选择已注册的服务器对话框中选择要从中收集数据的服务器,
然后单击“确定”。
6 选择要汇总的数据类型,然后单击“下一步”。若要选择多个数据类型,请单击表标题末尾的“+”。
可对威胁事件、客户端事件和应用的策略进一步配置,使之包含清除、过滤和汇总方法属性。若要执行上述操作,
请单击介绍可用属性的行中的“配置”。
7 安排该任务,然后单击“下一步”。
此时会显示摘要页。
如果您报告汇总的合规性历史记录数据,请确保汇总的合规性历史记录查询的时间单位与注册的服务器上生成合规
性事件服务器任务的计划类型相匹配。
8 查看设置,然后单击“保存”。
创建查询以定义合规性
McAfee ePO 服务器的数据会在汇总查询中使用,要求进行合规性查询。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“结果类型”页上,选择“系统管理”作为功能组并选择“托管系统”作为结果类型,然后单击“下一步”。
3 从“显示结果为”列表中选择“布尔饼图”,然后单击“配置标准”。
4 选择要包括在查询中的属性,然后设置各个属性的运算符和值。单击“确定”。显示“图表”页时,请单击“下一步”。
5 选择要在查询中包括的列,然后单击“下一步”。
6 选择要应用到该查询的过滤器,单击“运行”,然后单击“保存”。
生成合规性事件
合规性事件供汇总查询用于在一个报告中合计数据。
任务
有关选项定义,请单击界面中的“?”。
2 在描述页上,键入新任务的名称,然后单击“下一步”。
3 从“操作”下拉菜单中,选择“运行查询”。
4 单击查询字段旁的“浏览”(“...”),然后选择一个查询。此时会显示从列表中选择查询对话框,其中的我的组选项卡处
于活动状态。
6 从“子操作”下拉菜单中,选择“生成合规性事件”,指定目标系统所占的百分比或者目标系统的数量,然后单击“下一
步”。
如果不合规性数量高于所设置的百分比或所设置的系统数,您可以使用生成合规性事件任务来生成事件。
7 按合规性历史记录报告所需的时间间隔计划任务。例如,如果必须每周收集一次合规性数据,请安排该任务每周运
行一次。单击“下一步”。
8 检查详细信息,然后单击“保存”。
将查询结果导出为其他格式
查询结果可以导出为以下格式:HTML、PDF、CSV 和 XML。
导出查询结果与创建报告有所不同。首先,不会向导出输出中添加任何其他信息,而创建报告时则会添加。仅会将输出
数据添加到报告。其次,支持更多的格式。导出的查询结果可用于以受支持的计算机友好格式(如 XML 和 CSV)进一
步处理。报告旨在供人阅读,因此仅导出为 PDF 文件。
与控制台中的查询结果不同,导出的数据是不可操作的。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 运行查询后,单击“选项” | “导出数据”。
此时会显示“导出”页。
3 选择要导出的内容。对于基于图表的查询,选择“仅图表数据”或“图表数据和深入查询表”。
5 选择导出文件的格式。
• “CSV” — 将数据保存在电子表格应用程序中(例如,Microsoft Excel)。
• “XML” — 转换数据以用于其他用途。
• “HTML”- 此报告格式用于通过网页形式查看导出的结果。
• “PDF” — 打印结果。
• (可选)“显示过滤条件”。
• (可选)“包括具有此文本的封面”,并输入所需的文本。
7 选择是将文件以电子邮件附件的形式发送至选定的收件人,还是将其保存到已提供对应链接的服务器上的某个位
置。 您可以通过右击该文件将其打开或保存到其他位置。
8 单击“导出”。
随即这些文件会以电子邮件附件的方式发给收件人,或将您带到一个页面,在该页上可以通过链接访问这些文件。
• 通过其他脚本和工具对文本输出执行操作
• 更改查询
• 通过用户界面中不可用的布尔运算符对输出进行过滤
图 21-5 通过用户界面获得查询输出
https://<localHost>:8443/remote/core.executeQuery?queryId=34&:output=terse
OK:
count Completion Time (Week)
----- ----------------------
3 4/27/14 - 5/3/14 2 5/4/14 - 5/10/14 6 5/11/14 - 5/17/14 1 5/18/14 - 5/24/14
https://<localHost>:8443/remote/core.listTables
https://<localHost:8443/remote/core.listDatatypes?type=applied_tags
另请参阅
使用 Web URL 帮助:最佳实践第 312 页
使用 Web URL 查询中的 S 表达式:最佳实践第 313 页
• https://<localHost>:8443/remote/core.listQueries?:output=terse
• https://<localHost>:8443/remote/core.help?command=core.executeQuery
• https://<localHost>:8443/remote/core.listTables
使用 core.help 命令
创建 McAfee ePO Web URL 所使用的所有命令及其基本参数均列在 core.help 命令输出中。
键入该命令,以查看帮助。
https://<localHost>:8443/remote/core.help?
使用 core.listQueries 帮助命令
若需通过 McAfee ePO Web URL 运行现有查询,请使用附加到 core.executeQuery 基本命令的 queryID 编号。 键入
该命令,以查看 listQueries 帮助。
https://<localHost>:8443/remote/core.listQueries?:output=terse
键入以下命令,以通过 ID 进行查询:
https://<localHost>:8443/remote/core.executeQuery?queryId=<IdNumber>
使用 core.executeQuery 帮助命令
创建 McAfee ePO Web URL 查询,或更改从现有查询中导出的查询参数前,您必须要了解哪些命令和参数是可用的。
请键入该命令,以了解 core.executeQuery 帮助。
https://<localHost>:8443/remote/core.help?command=core.executeQuery
可选参数和选项会显示在方括号“[...]”中。
使用 core.listTables 帮助命令
要创建 McAfee ePO Web URL 查询或更改从现有查询导出的查询参数,您必须要了解 SQL 表的名称及其参数。 这三
种命令提供以下信息:
• https://<localHost>:8443/remote/core.listTables — 列出所有 SQL 表及其参数
https://<localHost>:8443/remote/core.listTables?:output=terse
若需仅列出特定表的参数,请使用该命令:
https://<localHost>:8443/remote/core.listTables?table=<tableName>
另请参阅
通过 ID 编号运行查询:最佳实践第 318 页
该图显示完全限定 S 表达式查询的基础要求。
完全限定 S 表达式包括以下部分:
• select=(select ...) — S 表达式函数格式。
该示例中的两个表必须为完全限定或关联的,以便执行自动加入操作。
为目标表查找有效参数并确认表之间的关系。
对输出排序
https://<localHost>:8443/remote/core.listTables?table=<tableName>
https://<localHost>:8443/remote/core.listTables?table=EPOBranchNode
该命令会显示以下帮助。
OK:Name: Groups Target: EPOBranchNode Type: join Database Type: Description: null Columns: Name Type Select?
Condition? GroupBy? Order? Number? ------------- ------------- ------- ---------- -------- ------ ------- AutoID group False True False
True True NodeName string True False True True False L1ParentID group False False True True True L2ParentID group
False False True True True Type int False False False True True BranchState int False False False True True Notes string
True True False True False NodePath string False False False True False NodeTextPath string_lookup True True True True
False NodeTextPath2 string_lookup True True True True False Related Tables: Name ---- Foreign Keys: None
https://<localHost>:8443//remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select
EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName&order=(order(desc
EPOBranchNode.NodeName)
以下为命令输出。
OK:System Name Tags Group Name --------------- ------------ -------------- DP-2K12R2S-SRVR Server SuperAgents
DP-2K8ER2EPO510 Server Servers DP-W7PIP-1 Workstation NAT Systems DP-W7PIP-2 Workstation NAT Systems
DP-W7PIP-3 Workstation NAT Systems DP-EN-W7E1XP-2 Lost&Found DP-2K8AGTHDLR Server, test Agent handlers
对输出分组
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select
EPOBranchNode.NodeName (count))&group=(group EPOBranchNode.NodeName)
以下为命令输出。
OK:Group Name count -------------- ----- Agent handlers 1 Lost&Found 1 NAT Systems 3 Servers 1 SuperAgents 1
使用字符串过滤输出
该命令过滤系统树系统名称,以仅显示名称中包含字符串“2k8”的名称。
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select
EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName)&where=(contains EPOLeafNode.NodeName
"2k8")
此命令输出仅显示名称中包含字符串“2k8”的名称。
OK:System Name Tags Group Name --------------- ------------ -------------- DP-2K8ER2EPO510 Server Servers
DP-2K8AGTHDLR Server, test Agent handlers
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select (top 3)
EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName)
该命令输出显示列表中的前 3 个名称。
OK:System Name Tags Group Name --------------- ------ ----------- DP-2K8ER2EPO510 Server Servers DP-2K12R2S-SRVR
Server SuperAgents DP-EN-W7E1XP-2 Lost&Found
使用通用属性过滤输出
该命令过滤系统树系统,以仅显示特定数量的通用属性。
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select
EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName)&where=(hasTag EPOLeafNode.AppliedTags 4)
该命令输出具备 4 个通用属性。
OK:System Name Tags Group Name ----------- -------------- ----------- DP-W7PIP-1 7, Workstation Workstation DP-W7PIP-2 7,
Workstation Workstation DP-W7PIP-3 7, Workstation Workstation
您可以合并过滤器
括号必须要配对。
另请参阅
使用 Web URL 帮助:最佳实践第 312 页
<list id="1"> <query id="2"> <dictionary id="3"/> <name>VSE: DAT Deployment</name> <description>Displays the three
highest DAT versions, and a slice for all the other versions.</description> <target>EPOLeafNode</target>
<table-uri>query:table?orion.table.columns=EPOComputerProperties.ComputerName
%3AEPOComputerProperties.DomainName%3AEPOLeafNode.os%3AEPOComputerProperties.Description
%3AEPOLeafNode.Tags%3AEPOProdPropsView_VIRUSCAN.productversion%3AEPOProdPropsView_VIRUSCAN.hotfix
%3AEPOProdPropsView_VIRUSCAN.servicepack%3AEPOProdPropsView_VIRUSCAN.enginever
%3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver
%3AEPOLeafNode.LastUpdate&orion.table.order.by=EPOComputerProperties.ComputerName
%3AEPOComputerProperties.DomainName%3AEPOLeafNode.os%3AEPOComputerProperties.Description
%3AEPOLeafNode.Tags%3AEPOProdPropsView_VIRUSCAN.productversion%3AEPOProdPropsView_VIRUSCAN.hotfix
%3AEPOProdPropsView_VIRUSCAN.servicepack%3AEPOProdPropsView_VIRUSCAN.enginever
%3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver
%3AEPOLeafNode.LastUpdate&orion.table.order=az</table-uri> <condition-uri>query:condition?orion.condition.sexp=
%28+where+%28+version_ge+EPOProdPropsView_VIRUSCAN.productversion+%228%22+%29+%29</condition-uri>
<summary-uri>query:summary?
pie.slice.title=EPOProdPropsView_VIRUSCAN.datver&pie.count.title=EPOLeafNode&orion.query.type=pie.pie&orion.sum.que
summary-uri> </query> </list>
XML 查询数据文件结构
XML 查询导出数据文件分隔为不同的数据部分。 某些部分在最终 Web URL 查询中并不使用,而某些部分几乎只要一
出现就要投入使用。
https://<localHost>8443/remote/core.executeQuery?
target=EPOLeafNode&
:output=terse&
order=(order(desc EPOLeafNode.NodeName))
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&select=(select EPOLeafNode.NodeName
EPOProdPropsView_VIRUSCAN.datver)&:output=terse& order=(order(desc EPOLeafNode.NodeName))
OK:System Name DAT Version (VirusScan Enterprise) --------------- ---------------------------------- DP-W7PIP-3 7465.0000
DP-W7PIP-2 7429.0000 DP-W7PIP-1 7437.0000 DP-EN-W7E1XP-2 DP-2K8ER2EPO510 7465.0000 DP-2K8AGTHDLR
7437.0000 DP-2K12R2S-SRVR
通过 ID 编号运行查询:最佳实践
使用 Web URL 运行查询最快速的方法是使用预配置的查询 ID,然后将 Web 浏览器的输出用于其他脚本或电子邮件。
开始之前
您必须拥有管理员权限才可以运行该查询。
任务
备用方法:您可以将 https://<localHost>:8443/remote/core.executeQuery?queryId=34 粘贴在浏览器地址栏中,以显
示该 URL 输出。
3 从 listQueries 命令输出中,找到要运行的查询。
在该示例中,queryId=34 参数会被附加到 Web URL https://<localHost>/remote/core.executeQuery?
queryId=<number> 中,以运行“每周添加到 ePO 的新代理数”查询。
通过 XML 数据运行查询最佳实践
导出现有查询 XML 定义是了解如何创建 Web URL 查询的绝佳方法。
在该示例中,请将“VSE:DAT 部署 XML”定义文件导出,并使用这些表对象为网络中的每个系统创建 VirusScan
Enterprise DAT 文件版本列表。
任务
1 导出现有查询定义 XML 文件并在文本编辑器中将其打开。
<list id="1"> <query id="2"> <dictionary id="3"/> <name>VSE: DAT Deployment</name> <description>Displays the three
highest DAT versions, and a slice for all the other versions.</description> <target>EPOLeafNode</target>
<table-uri>query:table?orion.table.columns=EPOComputerProperties.ComputerName
%3AEPOComputerProperties.DomainName%3AEPOLeafNode.os%3AEPOComputerProperties.Description
%3AEPOLeafNode.Tags%3AEPOProdPropsView_VIRUSCAN.productversion%3AEPOProdPropsView_VIRUSCAN.hotfix
%3AEPOProdPropsView_VIRUSCAN.servicepack%3AEPOProdPropsView_VIRUSCAN.enginever
%3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver
%3AEPOLeafNode.LastUpdate&orion.table.order.by=EPOComputerProperties.ComputerName
%3AEPOComputerProperties.DomainName%3AEPOLeafNode.os%3AEPOComputerProperties.Description
%3AEPOLeafNode.Tags%3AEPOProdPropsView_VIRUSCAN.productversion%3AEPOProdPropsView_VIRUSCAN.hotfix
%3AEPOProdPropsView_VIRUSCAN.servicepack%3AEPOProdPropsView_VIRUSCAN.enginever
%3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver
%3AEPOLeafNode.LastUpdate&orion.table.order=az</table-uri> <condition-uri>query:condition?
orion.condition.sexp=%28+where+%28+version_ge+EPOProdPropsView_VIRUSCAN.productversion+%228%22+%29+
%29</condition-uri> <summary-uri>query:summary?
pie.slice.title=EPOProdPropsView_VIRUSCAN.datver&pie.count.title=EPOLeafNode&orion.query.type=pie.pie&orion.sum
summary-uri> </query> </list>
以下为添加了目标表名称后的模板 URL。
5 使用 McAfee ePO 服务器 DNS 名称或 IP 地址代替 <localHost> 变量并在浏览器地址栏中粘贴 URL。 您的输出应
该形同此输出,只是会有很多条目。
OK:
System Name: DP-2K12R2S-SRVR
DAT Version (VirusScan Enterprise): System Name: DP-EN-W7E1XP-2
DAT Version (VirusScan Enterprise): System Name: DP-W7PIP-2
DAT Version (VirusScan Enterprise): 7429.0000 System Name: DP-W7PIP-1
DAT Version (VirusScan Enterprise): 7437.0000
.
.
.
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select
EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver)& order=(order(desc EPOLeafNode.NodeName))
请确认您的输出如以下示例所示:
另请参阅
使用 Web URL 查询中的 S 表达式:最佳实践第 313 页
解析查询导出数据,以创建 Web URL 查询最佳实践第 316 页
使用表对象、命令和参数运行查询:最佳实践
您可以通过 Web 查询模板和 Web URL 帮助创建 Web URL 查询。
该示例介绍如何创建简单的 Web URL 查询,以显示托管系统的以下信息:
• 系统名称 • VirusScan Enterprise 产品系列
• 代理上次更新的时间 • 以表的形式显示信息
任务
1 若要查找包含大部分信息的 SQL 表的名称,请使用该“帮助”命令。
https://<localHost>:8443/remote/core.listTables?:output=terse
https://<localHost>:8443/remote/core.executeQuery?target=<tableName>&select=(select <columns>)
• McAfee Agent 版本 —
EPOLeafNode.AgentVersion
OK:Name: Managed Systems Target: EPOLeafNode Type: target Database Type: Description: Retrieves information
about systems that have been added to your System Tree. Columns: Name Type Select? Condition? GroupBy? Order?
Number? ---------------------------- ------------- ------- ---------- -------- ------ ------- AutoID int False False False True True Tags
string True False False True False ExcludedTags string True False False True False AppliedTags applied_tags False
True False False False LastUpdate timestamp True True True True False os string True False False False False products
string False False False False False NodeName string True True True True False ManagedState enum True True False
True False AgentVersion string_lookup True True True True False AgentGUID string True False False True False Type int
False False False True False ParentID int False False False True True ResortEnabled boolean True True False True
False ServerKeyHash string True True False True False NodePath string_lookup False False False True False
TransferSiteListsID isNotNull True True False True False SequenceErrorCount int True True False True True
SequenceErrorCountLastUpdate timestamp True True False True False LastCommSecure string_enum True True True
True False TenantId int False False False True True Related Tables: Name --------------------------
EPOProdPropsView_EEFF EPOProdPropsView_VIRUSCAN EPOProductPropertyProducts EPOProdPropsView_PCR
EPOBranchNode EPOProdPropsView_EPOAGENT EPOComputerProperties EPOComputerLdapProperties
EPOTagAssignment EPOProdPropsView_TELEMETRY Foreign Keys: Source table Source Columns Destination table
Destination columns Allows inverse? One-to-one?
Many-to-one? ------------ -------------- -------------------------- ------------------- --------------- ----------- ------------ EPOLeafNode
AutoID EPOComputerProperties ParentID False False True EPOLeafNode AutoID EPOTagAssignment LeafNodeID False
False True EPOLeafNode ParentID EPOBranchNode AutoID False False True EPOLeafNode AutoID
EPOComputerLdapProperties LeafNodeId False False True EPOLeafNode AutoID EPOProductPropertyProducts
ParentID False False True
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&select=(select EPOLeafNode.NodeName
EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate)
请确认您的输出如以下示例所示:
OK:System Name: DP-2K8ER2EPO510 Agent Version (deprecated): 4.8.0.887 Last Communication: 6/13/14 9:21:49 AM
PDT System Name: DP-2K12R2S-SRVR Agent Version (deprecated): 4.8.0.887 Last Communication: 6/13/14 9:55:19 AM
PDT System Name: DP-EN-W7E1XP-2 Agent Version (deprecated): null Last Communication: null . . .
https://<localHost>:8443/remote/core.listTables?table=EPOProdPropsView_VIRUSCAN
请确认您的示例采用以下形式:
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&select=(select EPOLeafNode.NodeName
EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate EPOProdPropsView_VIRUSCAN.ProductFamily
EPOProdPropsView_VIRUSCAN.productversion)
请确认您的示例输出采用以下形式:
OK:System Name: DP-2K8ER2EPO510 Agent Version (deprecated): 4.8.0.887 Last Communication: 6/13/14 10:21:50
AM PDT ProdProps.productFamily (VirusScan Enterprise): VIRUSCAN Product Version (VirusScan Enterprise):
8.8.0.1266 System Name: DP-2K12R2S-SRVR Agent Version (deprecated): 4.8.0.887 Last Communication: 6/13/14
10:55:19 AM PDT ProdProps.productFamily (VirusScan Enterprise): VIRUSCAN Product Version (VirusScan Enterprise):
System Name: DP-EN-W7E1XP-2 Agent Version (deprecated): null Last Communication: null ProdProps.productFamily
(VirusScan Enterprise): VIRUSCAN Product Version (VirusScan Enterprise): . . .
请确认您的示例命令采用以下形式:
https://<localHost>:8443/remote/core.executeQuery?target=EPOLeafNode&:output=terse&select=(select
EPOLeafNode.NodeName EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate
EPOProdPropsView_VIRUSCAN.ProductFamily EPOProdPropsView_VIRUSCAN.productversion)
请确认您的示例输出采用以下形式:
OK:System Name Agent Version (deprecated) Last Communication ProdProps.productFamily (VirusScan Enterprise)
Product Version (VirusScan
Enterprise) --------------- -------------------------- ----------------------- ----------------------------------------------
-------------------------------------- DP-2K8ER2EPO510 4.8.0.887 6/13/14 10:21:50 AM PDT VIRUSCAN 8.8.0.1266
DP-2K12R2S-SRVR 4.8.0.887 6/13/14 10:55:19 AM PDT VIRUSCAN DP-EN-W7E1XP-2 null null VIRUSCAN
DP-W7PIP-1 4.8.0.887 6/13/14 10:37:20 AM PDT VIRUSCAN 8.8.0.1266 DP-W7PIP-2 4.8.0.887 6/13/14 10:36:56 AM
PDT VIRUSCAN 8.8.0.1266 DP-W7PIP-3 4.8.0.887 6/13/14 10:37:00 AM PDT VIRUSCAN 8.8.0.1266 DP-2K8AGTHDLR
4.8.0.887 6/13/14 10:25:10 AM PDT VIRUSCAN 8.8.0.1266
另请参阅
使用 Web URL 帮助:最佳实践第 312 页
目录
打开远程控制台连接
计划您的灾难恢复
已注册的服务器
问题
SSL 证书
配置 Product Improvement Program
还原管理员权限
端口概述
打开远程控制台连接
使用 McAfee ePO 服务器名称或 IP 地址以及服务器通信端口号,您可以从任何受支持的 Internet 浏览器连接和配置
McAfee ePO。
https://win-2k8-epo59:8443/core/orionSplashScreen.do
在此示例 URL 中:
• win-2k8-epo59 — 是 McAfee ePO 服务器的名称
默认端口号为 8443,除非您做出更改。
任务
1 打开 McAfee ePO 支持的任意 Internet 浏览器。 请参阅《“McAfee ePO 安装手册”》,查看受支持浏览器列表。
2 在浏览器地址栏中键入以下两种地址之一,然后单击“转至”:
https://<servername>:8443
https://<ipaddress_of_server>:8443
例如,https://win-2k8-epo59:8443
计划您的灾难恢复
完成安装后,尽快针对灾难恢复方案配置 McAfee ePO 服务器。
灾难恢复
灾难恢复功能可帮助您迅速恢复或重新安装 McAfee ePO 软件。
灾难恢复使用快照功能,会定期将您的 McAfee ePO 配置、扩展、密钥等保存到 McAfee ePO 数据库中的快照记录
中。 有关其他信息,请参阅知识库文章《McAfee ePO 服务器备份和灾难恢复过程》,KB66616。
2 使用 Microsoft SQL Server Management Studio 或 BACKUP (Transact-SQL) 命令行过程来备份 SQL 数据库。
用于灾难恢复的服务器群集
如果您要求在硬件出现故障时造成零停机时间,则可以建立 McAfee ePO 服务器和 SQL Server 群集。 但零停机时间
还要求提供其他硬件,会增加实施的成本。
您可以选择仅群集 SQL Server,以缩短停机时间。 如果 McAfee ePO 服务器因硬件故障而失败,您可以重新安装其
操作系统,该过程只需几小时时间,而且可以将 McAfee ePO 服务器指向您的 SQL 数据库。
一个物理站点上的冷备用和热备用
如果您的大型生产环境要求将停机时间降至最低,您可以使用冷或热备用 McAfee ePO 服务器。 备用服务器运行
McAfee ePO 的还原安装并指向您的 SQL 数据库。
如果您仅拥有一个物理站点,请将您的 SQL Server 聚集在一起。 如果您的 McAfee ePO 服务器出现故障,您只需将
备用 McAfee ePO 服务器的 IP 地址更改为出现故障的 McAfee ePO 服务器的 IP 地址。 该 IP 地址更改操作对代理透
明,而且可将灾难情况造成的停机时间降至最低。
两个物理站点上的冷备用和热备用
为实现全面的灾难恢复,请使用两个物理站点 – 一个主要站点,一个次要站点。
您的主要站点配备有群集 SQL Server 和一个 McAfee ePO 服务器。 McAfee 建议在次要站点上安装热或冷备用
McAfee ePO 服务器和 SQL 数据库。 我们建议您将次要 McAfee ePO 服务器放置在使用其他 IP 地址和 DNS 名称的
物理站点中。 您可以每晚或每周在非工作时间通过 SQL 复制或 SQL 日志传送将 McAfee ePO 数据库从主要站点复制
到次要站点的 SQL Server。 然后请确保您的次要 McAfee ePO 服务器选择您的次要 SQL Server。 请参阅 Microsoft
文章“复制类型” (http://technet.microsoft.com/en-us/library/ms152531.aspx),了解详细信息。
2 代理会选择次要服务器的 IP 地址。
已注册的服务器
通过向 McAfee ePO 服务器注册其他服务器,便可以访问这些服务器。 通过已注册的服务器,您可以将软件与其他外
部服务器集成在一起。 例如,注册 LDAP 服务器后,以与 Active Directory 服务器建立连接。
• LDAP 服务器
目录
注册 McAfee ePO 服务器
使用数据库服务器
注册 SNMP 服务器
注册 Syslog 服务器
注册 LDAP 服务器
镜像 LDAP 服务器
在服务器间共享对象
开始之前
要向另一个服务器注册 McAfee ePO 服务器,您需要知道要注册的服务器的 McAfee ePO 服务器 SQL 数
据库的详细信息。您可以使用以下远程命令来确定 Microsoft SQL 数据库服务器名称、数据库名称等等:
https://<server_name>:<port>/core/config
以下是远程命令中的变量:
• <server_name> — 远程 McAfee ePO 服务器的 DNS 服务器名称或 IP 地址
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在说明页面的服务器类型菜单中,选择“ePO”,指定唯一的名称和任何备注,然后单击“下一步”。
3 指定以下选项以配置服务器:
选项 定义
“身份验证类型” 指定要用于此数据库的身份验证类型,其中包括:
• “Windows 身份验证”
• “SQL 身份验证”
“客户端任务共享” 指定针对此服务器是启用还是禁用客户端任务。
“数据库名称” 指定此数据库的名称。
“数据库端口” 指定此数据库的端口。
“数据库服务器” 指定此服务器的数据库的名称。可以使用 DNS 名称或 IP 地址(IPv4 或 IPv6)指定数据
库 McAfee ePO。
“ePO 版本” 指定正在注册的服务器的版本。
“密码” 指定此服务器的密码。
“策略共享” 指定针对此服务器是启用还是禁用策略共享。
“SQL Server 实例” 允许您指定这是默认服务器还是特定实例(通过提供实例名称来指定)。
选项 定义
“测试连接” 检验所详述服务器的连接。
“传输系统” 指定针对此服务器是启用还是禁用传输系统功能。如果启用该功能,则选择“自动导入站点
列表”或者“手动导入站点列表”。
4 单击“保存”。
使用数据库服务器
McAfee ePO 不仅可以从自身的数据库检索数据,还可以从某些扩展检索数据。
您可能需要注册几种不同的服务器类型才能完成 McAfee ePO 中的任务。它们包括身份验证服务器、Active Directory
目录、McAfee ePO 服务器,以及能够与已安装的特定扩展协作的数据库服务器。
数据库类型
通过 McAfee ePO,扩展可注册数据库类型(也称为架构或结构)。如果注册,则该扩展可以为查询、报告、信息显示
板监视器和服务器任务提供数据。要使用此数据,您必须首先通过 McAfee ePO 注册服务器。
数据库服务器
数据库服务器是服务器和安装在该服务器上的数据库类型的组合。一台服务器可以托管多种数据库类型,且同一个数据
库类型可以安装在多台服务器上。这两者的每个特定组合都必须单独注册,并作为数据库服务器来引用。
在注册了数据库服务器之后,您可以从数据库中检索查询、报告、信息显示板监视器和服务器任务方面的数据。如果注
册了多个使用同一数据库类型的数据库,则需要选择其中一个数据库作为该数据库类型的默认数据库。
注册数据库服务器
在 McAfee ePO 可以检索数据之前,您必须通过数据库服务器进行注册。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从“服务器类型”下拉列表中选择“数据库服务器”,输入服务器名称和描述(可选),然后单击“下一步”。
3 从已注册类型的下拉列表中选择“数据库类型”。指出您是否希望此数据库类型成为默认类型。
如果此数据库类型已分配有一个默认的数据库,则会在“数据库类型的当前默认数据库”行指示。
5 输入数据库服务器的连接细节和登录凭据。
6 要验证输入的所有连接信息和登录凭据是否正确,请单击“测试连接”。
此时会显示一条状态消息,指示是成功还是失败。
7 单击“保存”。
修改数据库注册
如果数据库服务器的连接信息或登录凭据有所更改,您必须修改注册以反映当前的状态。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择要编辑的数据库,然后单击“操作” | “编辑”。
3 更改服务器的名称或备注,然后单击“下一步”。
4 按需要修改信息。要验证数据连接,请单击“测试连接”。
5 单击“保存”以保存更改。
删除已注册的数据库
如果不再需要某些数据库,可以将其从系统中删除。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择要删除的数据库,然后单击“操作” | “删除”。
3 当出现确认对话框时,单击“是”以删除数据库。
注册 SNMP 服务器
要接收 SNMP 陷阱,您必须添加 SNMP 服务器的信息,以便 McAfee ePO 知道将陷阱发送到何处。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从“描述”页上的服务器类型菜单中,选择“SNMP 服务器”,提供服务器名称以及任何其他信息,然后单击“下一步”。
3 从 “URL” 下拉列表中,选择一种服务器地址类型,然后输入相应的地址:
• “DNS 名称” - 指定已注册的服务器的 DNS 名称。
• 如果选择“SNMPv3”,请提供“SNMPv3 安全”详细信息。
5 单击“发送测试陷阱”测试配置。
6 单击“保存”。
注册 Syslog 服务器
您可以启用 McAfee ePO,从而与您的 syslog 服务器同步。 syslog 是网络设备向单个日志记录服务器发送事件消息的
一种方式。 例如,您可以使用 syslog 收集有关特定威胁事件的信息。
开始之前
您必须要具备 syslog 服务器的域名或 IP 地址。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
3 在已注册的服务器生成器页面中,配置以下设置:
a “服务器名称”— 为服务器使用 DNS 样式的域名(例如,internaldomain.com)或完全限定域名或 IP 地址。
(例如,server1.internaldomain.com 或 192.168.75.101)
4 单击“保存”。
注册 LDAP 服务器
您必须具有已注册的 LDAP(轻型目录访问协议)服务器,才能使用策略分配规则、启用动态分配的权限集以及启用
Active Directory 用户登录。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 从“描述”页上的“服务器类型”菜单中选择“LDAP 服务器”,指定一个唯一的名称及任何详细信息,然后单击“下一
步”。
4 选择在“服务器名称”区域中是指定域名还是特定服务器名称。
使用 DNS 样式的域名。例如,internaldomain.com 和服务器的完全限定域名或 IP 地址,
server1.internaldomain.com 或 192.168.75.101。
使用域名可提供故障转移支持,您还可以根据需要仅从特定站点中选择服务器。
OpenLDAP 服务器只能使用服务器名称,无法通过域指定。
5 选择是否需要“使用全局目录”。
默认情况下未选中此选项。如果选中“使用全局目录”,则可以提供重要的性能优势。仅当已注册的域是本地域的父
域时,才应选中此选项。如果包括了非本地域,则搜索参照可能会导致大量的非本地网络流量,也许会严重影响性
能。
6 如果您选择不使用全局目录,请选择是否“搜索参照”。
如果搜索参照引起非本地网络流量,则无论是否使用全局目录都可能导致性能问题。
7 选择在与此服务器通信时是否“使用 SSL”。
9 根据指示输入“用户名”和“密码”。
这些凭据必须是服务器上管理员帐户的凭据。对于 Active Directory 服务器,采用域\用户名形式;而对于
OpenLDAP 服务器,则采用 cn=User,dc=realm,dc=com 形式。
10 输入服务器的“站点名称”,或通过单击“浏览”并导航到该服务器进行选择。
11 单击“测试连接”来验证与指定服务器的通信。根据需要更改信息。
12 单击“保存”注册服务器。
镜像 LDAP 服务器
镜像到 McAfee ePO 数据库的 LDAP 服务器可以提高任何使用基于用户策略 (UBP) 的产品的性能并允许 LDAP 访问
DMZ 后台的代理处理程序。
该图显示代理处理程序连接流程和镜像的 LDAP 连接流程的默认 LDAP 服务器。
• 您可以手动运行服务器任务。
在服务器间共享对象
通常,若要将一台 McAfee ePO 服务器的行为复制到另一台服务器,最快最简单的方法就是将描述此行为的项目导出
并将其导入到另一台服务器上。
可以导出以下项目。安装的扩展可向此列表中添加项目。检查扩展文档获取详细信息。
• 信息显示板 • 服务器任务
• 权限集 • 用户
• 查询 • 自动响应
• 报告
您还可以从以下位置导出项目:
• 策略目录
• 客户端任务目录
• 标记目录
可导出以下项目的当前内容表格。
• 审核日志
• 问题
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 在用于显示对象或数据的页面中,单击“操作”,然后选择选项。例如,当导出某个表时,选择“导出表”,然后单击
“下一步”。
2 当导出能够以多种格式下载的内容(例如查询数据)时,将打开带有配置选项的“导出”页。指定您的首选项,然后
单击“导出”。
3 导出对象或定义(如客户端任务对象或定义)时,会出现以下一种情况:
• 您可以选择“打开”或“保存”地方会打开浏览器窗口。
• 打开包含文件链接的“导出”页。 左键单击链接,以在浏览其中查看文件,或右键单击链接以保存文件。
导入项目
将项目导入到 McAfee ePO 时,需要遵守某些规则:
• 默认情况下,导入的除用户外的所有项目都具有私人可见性。您可以在导入期间或导入后应用其他权限。
• 如果导入的项目需要新服务器上不存在的扩展或产品,则被指定为无效。
有关如何导入各种项目的详细信息可以在相应项目的文档中找到。
问题
问题是一种操作项,对于它们可以区分优先级并进行分配和跟踪。
目录
问题及其工作方式
查看问题
从问题表格中删除已关闭的问题
手动创建问题
将响应配置为自动创建问题
管理问题
将票证与 McAfee ePO 搭配使用
问题及其工作方式
问题由具有适当权限的用户以及所安装的托管产品扩展来管理。
问题的状态、优先级、严重性、解决状态、受理人和到期日期均由用户定义,而且可以随时更改。您还可以在自动响应
页面指定默认的问题响应。在创建问题时,系统会根据用户配置的响应自动应用默认响应。响应还允许将多个事件累积
到一个问题中,以便 McAfee ePO 服务器不会承受过多问题。
问题可以手动删除,已关闭的问题可以基于其时限手动清除,也可以通过用户配置的服务器任务自动清除。
查看问题
问题页面会列出当前问题和已关闭的问题。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 排序和过滤表格,以注重相关条目。
• 要更改显示的栏,请单击“选择栏”。
• 要排序表格项目,请单击栏标题。
• 要隐藏不相关的条目,请从下拉列表中选择过滤器。
3 要查看其他详细信息,请单击条目。
从问题表格中删除已关闭的问题
从问题表格定期删除已关闭的问题,以改善数据库性能。
从问题表格删除的项目将永久删除。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“清除”。
3 在清除对话框中,输入一个数字,然后选择时间单位。
4 单击“确定”。
早于或位于指定时间的任何项目都会被删除,包括当前视图中未显示的项目。删除的项目数量会显示在页面的右下角。
创建服务器任务以自动删除过时的项目。
手动创建问题
有需要管理员解决的项目时,请创建问题。请提供足够的信息,以便其他用户了解您创建该问题的原因。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“新建问题”对话框中,从“创建下列类型的问题”下拉列表中选择问题类型,然后单击“确定”。如果您不确定创建何
种类型的问题,请选择“基本”。
3 配置新问题。您指定的所有到期日期必须为将来的日期。
4 单击“保存”。
将响应配置为自动创建问题
当发生特定事件时,使用响应自动创建问题。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 打开响应生成器。
a 选择 “菜单” | “自动” | “自动响应”。
b 单击“新建响应”。
2 请填写这些字段,然后单击“下一步”。
3 选择属性以缩小触发响应的事件范围,然后单击“下一步”。
4 指定以下其他详细信息,然后单击“下一步”。
• 生成响应所需的事件频率。
• 事件的分组方式。
• 您希望出现此响应的最长时间期限。
5 从下拉列表中选择“创建问题”,然后选择要创建的问题类型。
此选项确定了该页上显示的选项。
6 键入问题的名称和描述。(可选)为该名称和描述选择一个或多个变量。
此功能提供了许多变量,这些变量提供了有助于修复问题的信息。
7 为响应键入或选择任意其他选项,然后单击“下一步”。
8 查看该响应的详细信息,然后单击“保存”。
管理问题
可以添加注释、分配问题、删除问题、编辑问题和查看问题详细信息。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 执行以下任一任务。
选项 定义
为问题添加注释 1 选中要为其添加注释的每个问题旁的复选框,然后单击“操作” | “添加注释”。
2 在“添加注释”面板中,键入要为选定问题添加的注释。
3 单击“确定”以添加该注释。
正在分配问题 选中要分配的每个问题旁的复选框,然后单击“分配给用户”。
在“问题”页上显示所需的列 单击“操作” | “选择列”。选择要显示在“问题”页上的数据列。
删除问题 1 选中要删除的每个问题旁的复选框,然后单击“删除”。
2 单击“确定”以删除所选问题。
正在编辑问题 1 选中要编辑的问题旁的复选框,然后单击“编辑”。
2 根据需要编辑该问题。
3 单击“保存”。
2 在导出页面中,您可以指定要导出的文件的格式以及文件的打包方式。
查看问题详细信息 • 选择问题。
问题详细信息页面显示了有关问题的所有设置,以及问题活动日志。
SSL 证书
如果浏览器无法验证 TrustedSource 是否对服务器的 SSL 证书签名,则 McAfee ePO 支持的浏览器会针对该证书发出
警告。 通过 OpenSSL 创建自签证书可以停止该浏览器警告。
创建自签证书可以为内部网络上使用的系统提供所需的基本安全和功能,也可以使您无需等待认证机构对证书进行身份
验证。
使用 OpenSSL 创建自签证书
有时您可能无法或不希望等待证书颁发机构来验证证书。 在初始测试期间或对于内部网络中使用的系统,自签证书可
以提供所需的基本安全性和功能。
开始之前
要创建自签证书,您需要安装 OpenSSL for Windows 软件。可从以下网址获取 OpenSSL:
http://www.slproweb.com/products/Win32OpenSSL.html http://www.slproweb.com/products/
Win32OpenSSL.html
以下任务中使用的文件结构为:
• C:\ssl\certs\ — 用于存储创建的证书。
• C:\ssl\keys\ — 用于存储创建的密钥。
• C:\ssl\requests\ — 用于存储创建的证书请求。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
1 要生成初始证书密钥,请在命令行键入以下命令:
2 在第一个命令提示符处输入密码短语,并在第二个命令提示符处验证该密码短语。
请记下您输入的密码短语。 您会在后续步骤中用到它。
密钥与以下示例类似。
3 要对您创建的证书密钥进行自签名,请在命令行中键入以下命令:
openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer
此时会出现以下屏幕。
在以下命令提示符后键入所需信息:
• 国家/地区名称(两个字母代码)[AU]:
• 区域名称(如,城市)[]:
• 组织单位名称(如,部门)[]:
• 常用名(如您的名称)[]:
自签证书与以下示例类似。
4 要上传自签证书,请打开“编辑服务器证书”页面。
a 请选择“菜单” | “配置” | “服务器设置”。
b 从“设置类别”列表选择“服务器证书”,并单击“编辑”。
5 浏览至服务器证书文件,然后单击“打开”。
在该示例中,浏览至 C:\ssl\certs\ 并选择 ca.cer。
7 如果需要,请键入证书别名。
8 请浏览至私钥文件,然后单击“打开”。
在该示例中,浏览至 C:\ssl\keys\ 并选择 ca.key。
9 如果需要,请键入私钥密码,然后单击“保存”。
其他有用的 OpenSSL 命令
您可以使用其他 OpenSSL 命令在生成的 PKCS12 证书中提取和组合密钥。您还可以将受密码保护的私钥 PEM 文件
转换为不受密码保护的文件。
与 PKCS12 证书一起使用的命令
使用以下命令可在单个文件中创建包含证书和密钥的 PKCS12 证书。
描述 OpenSSL 命令格式
在单个文件中创建证书和密钥 openssl req -x509 -nodes -days 365 -newkey rsa:1024 -config 路径
\openssl.cnf -keyout 路径 \pkcs12Example.pem -out 路径 \pkcs12Example.pem
导出 PKCS12 版本的证书 openssl pkcs12 -export -out 路径 \pkcs12Example.pfx -in 路径
\pkcs12Example.pem -name " user_name_string "
描述 OpenSSL 命令格式
解压缩 .pfx 中的 .pem 密钥 openssl pkcs12 -in pkcs12ExampleKey.pfx -out pkcs12ExampleKey.pem
删除密钥上的密码 openssl rsa -in pkcs12ExampleKey.pem -out pkcs12ExampleKeyNoPW.pem
开始之前
要转换 PVK 格式的文件,请安装 OpenSSL for Windows 软件。此软件可从以下项目中获取:
http://www.slproweb.com/products/Win32OpenSSL.html
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl\keys
\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd
安全密钥及其工作原理
McAfee ePO 服务器依赖三个安全密钥对。
这三个安全密钥对用于:
• 验证代理与服务器之间的通信。
• 确认本地存储库的内容。
• 确认远程存储库的内容。
每个对的密钥会签名来源处的消息或包;而对的公钥验证自己目标处的消息或包。
代理与服务器安全通信 (ASSC) 密钥
• 代理第一次与服务器进行通信时会将其公钥发送到服务器。
• 此后,服务器会一直使用代理的公钥来验证由代理的密钥签名的消息。
• 服务器则使用自己的密钥对发送给代理的消息签名。
• 代理使用服务器的公钥来验证服务器的消息。
• 您可以拥有多个安全通信密钥对,但只能将其中一个指定为主密钥。
本地主存储库密钥对
• 存储库密钥在包被签入存储库之前对其签名。 • 各个服务器的该密钥对都是唯一的。
• 存储库公共密钥会验证存储库包内容。 • 通过在服务器中导出和导入密钥,您可以在多服务
器环境中使用同一密钥对。
• 代理在每次运行客户端更新任务时检索可用的新内
容。
其他存储库密钥对
• 受信任来源的密钥会先对其内容签名,然后才会将该内容发布到其远程存储库。受信任来源包括 McAfee 下载站点
和 McAfee Security Innovation Alliance (SIA) 存储库。
如果该密钥已被删除,那么即使您从其他服务器上导入密钥也无法执行提取操作。覆盖或删除该密钥前,确保在安
全位置进行备份。
主存储库密钥对
主存储库私钥对主存储库中的所有未签名的内容进行签名。
代理使用公钥来验证存储库内容是否源于此 McAfee ePO 服务器上的主存储库。 如果内容未签名或由未知存储库私钥
签名,则下载的内容将被视为无效并被删除。
各个服务器安装的该密钥对都是唯一的。但是,通过导出和导入密钥,您可以在多服务器环境中使用同一密钥对。这样
可以确保即使其他存储库停机,代理可以一直连接到其中一个主存储库。
其他存储库公共密钥
密钥(不是主密钥对)是代理用于验证来自您环境中其他主存储库或来自 McAfee 来源站点的内容的公钥。向此服务器
报告的每个代理都使用“其他存储库公共密钥”列表中的密钥来验证来自您组织中其他 McAfee ePO 服务器或来自
McAfee 来源的内容。
对于要下载的内容,如果代理没有内容来源的相应公钥,则此代理会放弃这些内容。
管理存储库密钥
您可以使用以下任务来管理存储库密钥。
任务
• 针对所有服务器使用一个主存储库密钥对第 341 页
通过使用服务器设置,可以确保多服务器环境中的所有 McAfee ePO 服务器和代理使用相同的主存储库密
钥对。
• 在多服务器环境中使用主存储库密钥第 341 页
通过服务器设置确保代理可在您的环境中使用源自任何 McAfee ePO 服务器的内容。
针对所有服务器使用一个主存储库密钥对
通过使用服务器设置,可以确保多服务器环境中的所有 McAfee ePO 服务器和代理使用相同的主存储库密钥对。
此过程包括首先导出您希望所有服务器都使用的密钥对,然后将密钥对导入您环境中的所有其他服务器中。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在本地主存储库密钥对旁的“编辑安全密钥”页中,单击“导出密钥对”。
3 单击“确定”。此时会出现文件下载对话框。
5 在“导入和备份密钥”旁,单击“导入”。
7 确定这些密钥是您想要导入的密钥,然后单击“保存”。
导入的主存储库密钥对替换此服务器上的现有密钥对。下一次代理更新任务完成后,代理便开始使用新密钥对。主存储
库密钥对发生更改后,必须先执行 ASSC,之后代理才可以使用新密钥。
在多服务器环境中使用主存储库密钥
通过服务器设置确保代理可在您的环境中使用源自任何 McAfee ePO 服务器的内容。
服务器会使用主存储库私钥对签入存储库的所有未签名的内容进行签名。代理使用存储库公共密钥来检验从组织中的存
储库或从 McAfee 来源站点检索的内容。
可以通过两种方法完成此过程:
• 对所有服务器和代理使用相同的主存储库密钥对。
• 确保将代理配置为识别环境中使用的任何存储库公共密钥。
此任务将密钥对从一个 McAfee ePO 服务器导出到目标 McAfee ePO 服务器,然后在目标 McAfee ePO 服务器导入并
覆盖现有密钥对。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“本地主存储库密钥对”旁,单击“导出密钥对”,然后单击“确定”。
3 在“文件下载”对话框中,单击“保存”。
6 在“编辑安全密钥”页上:
a 在“导入和备份密钥”旁,单击“导入”。
b 在“选择文件”旁,浏览到保存的主密钥对并将其选中,然后单击“下一步”。
c 如果显示的摘要信息正确,请单击“保存”。新的主密钥对将出现在“代理与服务器安全通信密钥”旁的列表中。
7 从该列表中,选择在之前步骤中导入的文件,然后单击“设置为主密钥”。 该设置会将现有的主密钥对更改为导入的
新密钥对。
8 单击“保存”完成该过程。
代理与服务器安全通信 (ASSC) 密钥
代理使用 ASSC 密钥与服务器进行安全通信。
您可以将任意 ASSC 密钥对作为主密钥对,即当前分配给所有已部署代理的密钥对。除非已计划和运行客户端代理密
钥更新程序任务,否则使用“代理和服务器安全通信密钥”列表中其他密钥的现有代理不会更改为新的主密钥。
确保等到所有代理均更新到新的主密钥后,再删除旧的密钥。
管理 ASSC 密钥
从服务器设置页面生成、导出、导入或删除代理和服务器之间的安全通信 (ASSC) 密钥。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 选择以下任一操作。
操作 步骤
生成并使用 1 单击“代理与服务器安全通信密钥”列表旁的“新密钥”。在对话框中,键入安全密钥的名称。
新的 ASSC
密钥对 2 如果想要现有代理使用新密钥,请选择列表中的密钥,然后单击“设置为主密钥”。 下一次 McAfee
Agent 更新任务完成后,代理便开始使用新密钥。
请确保由 McAfee Agent 管理的每个版本 McAfee ePO 中都存在代理密钥更新程序包。
在大型安装操作中,只有在特定情况下生成和使用新的主密钥对。我们建议您分阶段执行该过程,
以便更为严密地监控进度。
3 所有代理都停止使用旧密钥后,将其删除。
在密钥列表中,会在每个密钥的右侧显示当前正在使用该密钥的代理数量。
4 备份所有密钥。
2 单击“确定”。
您的浏览器会提醒您将 sr<服务器名称>.zip 文件下载到指定位置。
如果对所有浏览器下载指定默认位置,则该文件会自动保存到默认位置。
2 浏览到保存密钥的位置(默认位置为桌面)并从中选择密钥,然后单击“打开”。
3 单击“下一步”并检查“导入密钥”页面的相关信息。
4 单击“保存”。
3 备份所有密钥。
删除 ASSC
密钥 切勿删除任何代理正在使用的密钥。 否则,这些代理将无法与 McAfee ePO 服务器通信。
1 在“代理和服务器安全通信密钥”列表中,选择要删除密钥,然后单击“删除”。
2 单击“确定”以从该服务器中删除密钥对。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在“代理和服务器安全通信密钥”列表中,选择密钥,然后单击“查看代理”。
此“使用该密钥的系统”页列出了其代理正在使用所选密钥的所有系统。
如果环境中有大量托管系统,McAfee 建议您分阶段执行此过程,以便能够监控代理更新。
任务
1 创建一个代理更新任务。
3 将导出的密钥导入所有其他服务器。
4 在所有服务器上将导入的密钥指定为主密钥。
5 执行两个代理唤醒呼叫。
6 在所有代理都使用新密钥后,删除所有未使用的密钥。
7 备份所有密钥。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
备份和还原密钥
定期备份所有安全密钥,并始终在更改密钥管理设置之前创建备份。
将备份存储到安全的网络位置,以便在 McAfee ePO 服务器出现意外事件丢失时轻松还原密钥。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 在编辑安全密钥页面中,选择以下一个操作。
操作 步骤
备份所有 1 单击页面底部旁边的“全部备份”。
安全密
钥。 此时会显示“备份密钥存储库”对话框。
2 您可以选择输入密码用来对密钥存储库 .zip 文件进行加密,也可以单击“确定”将该文件以未加密的
文本形式保存。
3 在“文件下载”对话框中,单击“保存”以创建包含所有安全密钥的 .zip 文件。
此时会显示“另存为”对话框。
4 浏览到要存储 .zip 文件的安全网络位置,然后单击“保存”。
还原安全 1 单击页面底部旁边的“全部还原”。
密钥。
此时会显示“还原安全密钥”页面。
2 浏览到包含安全密钥的 .zip 文件,选择该文件,然后单击“下一步”。
此时“还原安全密钥”向导会打开到“摘要”页面。
3 浏览到您要用以替代现有密钥的密钥,然后单击“下一步”。
4 单击“还原”。
此时会显示“编辑安全密钥”页面。
5 浏览到要存储 .zip 文件的安全网络位置,然后单击“保存”。
从备份文 1 单击页面底部旁边的“全部还原”。
件中还原
安全密 此时会显示“还原安全密钥”页面。
钥。 2 浏览到包含安全密钥的 .zip 文件,选择该文件,然后单击“下一步”。
此时“还原安全密钥”向导会打开到“摘要”页面。
3 浏览到备份 .zip 文件并选择该文件,然后单击“下一步”。
4 单击页面底部的“全部还原”。
此时将打开“还原安全密钥”向导。
5 浏览到备份 .zip 文件并选择该文件,然后单击“下一步”。
6 确认此文件中的密钥就是您准备用来覆盖现有密钥的,然后单击“全部还原”。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
任务
• 卸载 McAfee Product Improvement Program 第 346 页
可随时卸载 McAfeeProduct Improvement Program。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
4 将任务分配到客户端系统并发送代理唤醒呼叫。
7 单击“删除”,然后单击“确定”。
还原管理员权限
当被锁定在系统外部且无其他可用管理员帐户时,请创建临时管理员帐户。
开始之前
• 您必须可以直接登录您的服务器并可以通过 localhost 地址访问 McAfee ePO。
任务
1 从您的服务器中,将浏览器打开至 localhost:8080。
2 单击“还原管理员访问权限”。
此时会打开“还原管理员访问权限”。
3 在“数据库凭据”下,输入当前用户名和密码。
• “数据库用户名:”— 数据库当前的用户名。
• “数据库密码:”— 数据库当前的密码。
4 在“管理员凭据”下,输入新的临时管理员帐户的用户名和密码。
• “用户名:”— 新帐户的用户名。
• “密码:”— 新帐户的密码。
• “确认密码:”— 重新输入新帐户的密码,以进行验证。
5 单击“提交”。
系统会创建新的临时帐户。
端口概述
对 McAfee ePO 服务器使用的端口进行自定义时,请遵循这些准则。
更改控制台与应用程序服务器通信端口
如果 McAfee ePO 控制台与应用程序服务器通信端口正由其他应用程序使用,请按照这些步骤指定其他的端口。
开始之前
• 备份您的注册表并了解还原过程。 有关详细信息,请参阅 Microsoft 文档。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
c 右键单击每个服务并选择“停止”:
• “McAfee ePolicy Orchestrator 应用程序服务器”
2 在注册表编辑器中,选择此键:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{53B73DFD
‑AFBE‑4715‑88A1‑777FE404B6AF}]
3 在右侧窗格中,双击“TomcatSecurePort.SQL”并更改值数据,以反映所需的端口号(默认为 8443)。
4 打开文本编辑器并将该行粘贴到空白文档中:
将 8443 更改为新端口号。
b 在连接到服务器对话框中,单击“连接”。
c 展开“数据库”,然后选择“ePO 数据库”。
d 从工具栏中,选择“新建查询”。
7 在 Windows 资源管理器中,浏览到该目录:
\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\
10 右键单击每个服务并选择“开始”:
• “McAfee ePolicy Orchestrator 应用程序服务器”
更改代理与服务器之间的通信端口
按照这些步骤来更改代理与服务器之间的通信端口。
开始之前
本主题包含有关打开或修改注册表的信息。此信息仅供网络和系统管理员使用。注册表修改不可逆且可能
导致系统故障(如果操作不当)。
如果您正在使用远程代理处理程序,则修改代理与服务器之间的通信端口需要执行五步必需操作和一步可选操作。
1 停止 McAfee ePO 服务 4 修改 McAfee ePO 配置文件中的端口值
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
c 右键单击每个服务并选择“停止”:
• “McAfee ePolicy Orchestrator 应用程序服务器”
2 修改注册表中的端口值:
a 单击“开始” | “运行”,键入 regedit,然后单击“确定”。
UPDATE EPOServerInfo
ServerHTTPPort=80
c 单击“开始” | “所有程序” | “Microsoft SQL Server Management Studio”,使用 Microsoft SQL Server
Management Studio 安装 DefaultAgentPort.sql 文件。
d 在“连接到服务器”对话框中,单击“连接”。
e 展开“数据库”,然后选择“ePO 数据库”。
f 从工具栏中,选择“新建查询”。
h 将以下行粘贴到空白文档:
将 80 更改为新的端口号。
• 在“连接到服务器”对话框中,单击“连接”。
• 展开“数据库”,然后选择“ePO 数据库”。
• 从工具栏中,选择“新建查询”。
Listen 80
ServerName<您的服务器名称>: 80
如果使用 VirtualHost,请更改:
NameVirtualHost *:80
<VirtualHost *:80>
e 保存文件并退出文本编辑器。
b 右键单击每个服务并选择“开始”:
• “McAfee ePolicy Orchestrator 应用程序服务器”
6 (可选)修改远程代理处理程序上的设置:
a 确保所有 McAfee ePO 控制台均已关闭,然后单击“开始” | “运行”,键入 services.msc,然后单击“确定”。
b 右键单击每个服务并选择“开始”:
• “McAfee ePolicy Orchestrator 事件解析器”
如果该服务器在安装代理处理程序后未重新启动,则这台服务器可能被列为 MCAFEEAPACHESRV。
Listen 80
ServerName<您的服务器名称>: 80
如果使用 VirtualHost,请更改:
NameVirtualHost *:80
<VirtualHost *:80>
d 保存文件并退出文本编辑器。
f 右键单击每个服务并选择“开始”。
• “McAfee ePolicy Orchestrator 事件解析器”
如果该服务器在安装代理处理程序后未重新启动,则这台服务器可能被列为 MCAFEEAPACHESRV。
通过防火墙通信所需的端口
使用这些端口来配置防火墙,以允许流量进出您的 McAfee ePO 服务器。
相关术语
• “双向” — 远程或本地系统都可以启动此连接。
• “入站” — 远程系统启动此连接。
• “出站” — 本地系统启动此连接。
流量快速参考
使用此端口和流量方向信息来配置防火墙,以允许流量出入 McAfee ePO 服务器。
相关术语
• “双向” — 本地或远程系统都可以启动连接。
• “入站” — 远程系统启动连接。
• “出站” — 本地系统启动连接。
表 A-2 代理处理程序
默认端口 协议 McAfee ePO 服务器上的流量方向 代理处理程序上的流量方向
80 TCP 出入 McAfee ePO 服务器的双向连接。 出入代理处理程序的双向连接。
389 TCP 来自 McAfee ePO 服务器的出站连接。 来自代理处理程序的出站连接。
443 TCP 进入 McAfee ePO 服务器的入站连接。 进入代理处理程序的入站连接。
636 TCP 来自 McAfee ePO 服务器的出站连接。 来自代理处理程序的出站连接。
1433 TCP 来自 McAfee ePO 服务器的出站连接。 来自代理处理程序的出站连接。
1434 UDP 来自 McAfee ePO 服务器的出站连接。 来自代理处理程序的出站连接。
8081 TCP 来自 McAfee ePO 服务器的出站连接。
8443 TCP 进入 McAfee ePO 服务器的入站连接。 来自代理处理程序的出站连接。
8444 TCP 进入 McAfee ePO 服务器的入站连接。 来自代理处理程序的出站连接。
入站和出站连接来自或进入 SuperAgent。
使用 VPN 服务器连接到 McAfee ePO 的所有系统都使用 VPN 服务器的 MAC 地址。 这会造成某些连接 VPN 的系统
从系统树中消失,因为它们显示为重复的 MAC 地址。
该图及其说明会解释通过 VPN 连接到 McAfee ePO 的某些系统从系统树中消失的原因,因为它们使用相同的 MAC 地
址。
2 使用 SQL Server Management Studio 将 VPN 服务器 OUI 插入 McAfee ePO 虚拟 MAC 供应商值中,以停止将
OUI 用作第一个有效匹配标准。 该更改会造成 McAfee ePO 将客户端 GUID(而非 MAC 地址)用作通过 VPN 服
务器 OUI 连接的所有系统的有效匹配标准。
目录
确定连接的 VPN 服务器的 OUI
使用系统树查找 VPN 服务器 MAC 地址
创建查找 VPN 服务器 MAC 地址的报告最佳实践
最佳实践:使用 SQL Server Management Studio 添加虚拟 MAC 供应商 ID 值
开始之前
您必须要远程连接到通过该 VPN 服务器连接到 McAfee ePO 的系统。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
6 单击“系统属性”选项卡,然后单击显示器右侧的“自定义”。
7 在“属性”列表中,查找“MAC 地址”,单击“移到顶部”,然后单击“保存”。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“新建查询”,以显示“结果类型”选项卡,配置以下设置,然后单击“下一步”。
• 在“功能组”列表中,选择“系统管理”。
• 在“结果类型”窗格中,选择“托管系统”。
3 在“图表”选项卡中,配置以下设置,然后单击“下一步”。
• 在“结果显示为”列表中,选择“单组摘要表”。
• 在“标签为”列表的“计算机属性”下,选择“MAC 地址”。
4 在“列选项卡”的“计算机属性”下的“可用列”列表中,选择“MAC 地址”,然后单击“下一步”
5 在“过滤器”选项卡中,配置以下设置,然后单击“运行”。
• 在“可用属性”列表中,展开“托管系统”并单击“托管状态”。
• 在“托管状态”设置中,从“比较”下拉列表中选择“等于”并从“值”下拉列表中选择“托管”。
• 在“可用属性”列表中,展开“计算机属性”并单击“MAC 地址”。
• 在“MAC 地址”设置中,从“比较”下拉列表中选择“值为非空”。
开始之前
• 您必须知道前六位 OUI。
任务
2 通过您的数据库身份验证方法打开 SQL Server Management Studio 并连接到 McAfee ePO SQL 数据库服务器。
通常 McAfee ePO SQL 数据库服务器名称为 <McAfee ePO 服务器名称>\EPOSERVER。
3 在“对象资源管理器”中,单击以下对象:
• <McAfee ePO 服务器名称>\EPOSERVER
• “数据库”
• “表”
7 请确认该状态显示在您更新的查询下方的“消息”窗格中:
(1 行受到影响)
现在 McAfee ePO 将客户端 GUID(而非 MAC 地址)用作通过 VPN 服务器 OUI 连接的所有系统的有效匹配标准。
另请参阅
确定连接的 VPN 服务器的 OUI 第 354 页
目录
通过 McAfee ePO 使用 AWS 服务器
创建 AWS 服务器
连接至 AWS 服务器
在 AWS 服务器上安装 McAfee ePO
创建虚拟代理处理程序
2 配置 AWS 中的安全组。
创建 AWS 服务器
您必须要创建设置合适的服务器并将其连接到您的企业网络,然后才可以在 AWS 服务器上安装 McAfee ePO。
开始之前
您必须要拥有 Amazon Web Services 帐户,才可以完成该流程。
任务
1 请登录 AWS 控制台,以显示“AWS 控制台”页面。
4 滚动至您想要的镜像,然后单击“选择”,打开步骤 2:选择实例类型。
图 C-4 步骤 2:选择实例类型
• 内存 (GiB) — 30 • 网络性能 — 高
您选择的实例类型取决于您管理的网络中的许多因素。 例如,托管客户端的数量、网络地理位置和不同位置之间的
连接性。 使用建议的 McAfee ePO 服务器 CPU 内核、RAM 和硬盘驱动器,以选择可比较的实例类型。
6 单击“下一步:配置实例详细信息”,以打开步骤 3:配置实例详细信息。
图 C-5 步骤 3:配置实例详细信息
7 针对该示例,请配置以下实例详细信息设置:
• “实例数量” — 类型 1。
• “购买选项” — 取消选择“请求竞价实例”。
• “可用区域” — 选择“无首选项”。
• “关闭行为” — 选择“停止”。
• “启用终止保护”— 单击“防止出现意外终止”。
终止保护是另一种防止意外终止您的 AWS 服务器的方法。
8 单击“下一步:添加存储”,以打开“步骤 4:添加存储”页面。
9 在该示例中,请配置以下存储设置:
a “类型根”— 针对服务器操作系统分区,请配置以下设置:
• “设备” — 保留默认设置。 • “卷类型” — 选择“通用型 (SSD)”。
图 C-8 步骤 6:配置安全组
12 在该示例中,请配置以下安全组设置:
• “分配安全组” — 单击“创建新的安全组”。
• “安全组名称” — 键入安全组的名称。
• “说明” — 键入安全组的说明。
• 通过“添加规则”配置该端口列表和匹配协议。
13 单击“检查和启动”,以打开“步骤 7:检查实例启动”。
图 C-9 步骤 7:审阅实例启动
14 确认您的设置,然后单击“启动”创建新的密钥对。
图 C-10 创建新密钥对
选择列表中的“创建新密钥对”。
将 .pem 文件保存到本地计算机后,请单击“启动实例”。
图 C-11 启动状态
图 C-12 “启动实例状态”页面
另请参阅
通过防火墙通信所需的端口第 351 页
开始之前
您必须创建有效 AWS 服务器,然后才可以配置其静态 IP 地址:
任务
1 登录到 AWS 控制台。
3 单击“获取密码”,以打开“连接至您的实例”>“获取密码”对话框。
6 单击“解密密码”。
8 在左侧窗格中,单击“弹性 IP”,然后在详细信息窗格中,右键单击您的实例名称,选择“关联地址”创建静态 IP 地址
和打开“关联地址”对话框。
您已创建与 Microsoft Remote Desktop Connection 一起使用的静态 IP 地址,以登录至 AWS 服务器并安装 McAfee
ePO。
另请参阅
创建 AWS 服务器第 358 页
开始之前
您必须要创建 AWS 服务器并连接到服务器,然后才可以启动该流程。
任务
1 通过 Remote Desktop Connection 和配置的静态 IP 地址或 DNS 名称连接至 AWS 服务器。
5 创建 AWS 服务器的备份镜像。
a 登录到 AWS 控制台。
另请参阅
创建 AWS 服务器第 358 页
连接至 AWS 服务器第 369 页
创建虚拟代理处理程序
针对您的托管系统在您的 McAfee ePO 服务器上配置虚拟代理处理程序,以连接回 AWS 服务器。
开始之前
您必须要在 AWS 服务器上安装 McAfee ePO,然后才可以完成该任务。
任务
有关产品功能、用途和最佳做法的详细信息,请单击“?”或“帮助”。
2 单击“新建组”,针对您的虚拟代理处理程序配置以下设置,然后单击“保存”。
• “组名称” — 键入虚拟代理处理程序组的名称。
3 启用新的虚拟代理处理程序:在“处理程序组”页面上,查找您创建的新虚拟代理处理程序,然后单击“操作”列中的
“启用”。
默认情况下代理处理程序是被禁用的,而且必须启用后才可以工作。
4 在代理处理程序页面中,单击“新建分配”,配置以下设置,然后单击“保存”。
• “分配名称” — 键入名称。
• 在“代理标准”的“系统树”位置下,单击“...”,从对话框中选择“我的组织”,然后单击“确定”。
• 在“处理程序优先级”中,单击“使用自定义处理程序列表”,单击“+”,以添加虚拟代理处理程序,然后将其移至列
表顶部。
5 请确认虚拟代理处理程序在代理处理程序页面中具备以下配置:
• 处理程序组 — 1
• 处理程序分配规则 — 您创建的虚拟代理处理程序规则位于列表顶端。
另请参阅
在 AWS 服务器上安装 McAfee ePO 第 370 页
A 安全密钥 (续)
用于来自其他存储库的内容 340
Active Directory synchronization
专用和公共 340
任务 101
安全证书
Active Directory
安装 43, 44
仅限系统同步 102
创建自签证书 336
配置 Windows 授权 129
证书颁发机构 (CA) 42
容器, 映射到系统树组 110
按需扫描
实施策略 127
建议的每日任务 282
同步 50
建议的每周任务 285
应用权限集 127
计划测试组 148
Active Directory 同步
用于自动测试 DAT 文件 147
边界和 100
安装
重复条目, 处理 101
Amazon Web Services 服务器上的 ePolicy Orchestrator 370
类型 102
安装后使用灾难恢复功能 324
立即同步操作 101
代理处理程序软件 267
删除系统 101, 102
计划 29
系统和结构 102
Apache Server 228
至系统树结构 110
API, 报告
AD,请参阅 Active Directory
使用 API 表对象、命令和参数示例报告 320
Agent 状态监视器, 以收集和发送属性 354
使用 API ID 编号示例报告 318
AIA,请参阅颁发机构信息访问权限
使用 API XML 数据示例报告 318
Amazon VPC,请参阅虚拟专用云配置
使用解析的查询导出数据创建 Web URL 查询 316
Amazon Web Services 357, 358
使用 McAfee 命令框架 311
Amazon Elastic Compute Cloud (EC2) 358
使用 Web URL 帮助 312
安全组或防火墙 358
使用 Web URL 查询中的 S 表达式 313
安装 ePolicy Orchestrator 370
通过 Web API 运行 310
创建服务器快照 370
ASCI,请参阅代理与服务器之间的通信时间间隔
创建虚拟服务器 358
ASSC
初始连接 369
代理与服务器之间的安全通信 16
管理控制台 357
ASSC 密钥,请参阅代理与服务器之间的安全通信密钥
关于 357
AWS,请参阅 Amazon Web Services
帐户链接 357
AMI,请参阅 Amazon Web Services 和 Amazon Machine Image (AMI)
Amazon Machine Image (AMI) B
按访问扫描, 建议的每日任务 282 颁发机构信息访问权限, 定义 131
安全管理 69 包
安全密钥 安全 185
ASSC, 使用 342 部分产品部署 151
常规 339 管理 141
代理与服务器安全通信 (ASSC) 339 配置部署任务 188
代理与服务器之间的安全通信 (ASSC) 342 手动签入 141
多服务器环境中的主密钥 341 在存储库中的分支之间移动 142
管理 340 报告
使用一个主密钥 341 编辑现有 84
报告 (续) 标记
查看输出 88 编辑、删除和移动 118
创建 77, 84 策略分配基于 163
创建自定义查询 300 创建标记生成器向导 118
导出的查询结果 78 创建、删除和修改子组 119
格式 78 从自动标记中排除系统 120
关于 83 基于标准的 102
结构和页面大小 83 基于标准的排序 108
计划 88 手动应用 121
默认设置 64 应用 122, 123
配置表元素 86 组排序标准 100
配置镜像元素 85 标记, 子组
配置模板和位置 88 创建、删除和修改 119
配置图表元素 86 选择多个项目 26
配置文本元素 85 标记目录 118
使用 64 标记生成器向导 118
添加到组 89 比较策略 167
添加元素 84 比较客户端任务 192
通过服务器任务运行 88 BMC Client Automation 第三方工具 49
以查找 VPN 服务器 MAC 地址 355 补丁
报告, 使用 API 产品和更新的部署包 185
使用 McAfee 命令框架 311 McAfee Agent 更新 46
使用 Web URL 帮助 312 使用存储库 228
使用 Web URL 查询中的 S 表达式创建 313 捕获全部组 104
通过表对象、命令和参数创建的示例 320 不明来源组 53
通过 ID 编号创建的示例 318 部署
通过 Web URL 查询解析查询 316 安装产品 187, 188
通过 XML 数据创建的示例 318 包安全 185
运行 310 查看 155
报告, 使用用户界面 查看分配的客户端任务 189
包含查询输出 219 产品和更新 186
创建 299 代理处理程序注意事项 262
创建自定义查询 300 到存储库 232
报告生成器, 创建自定义报告 77 计算存储库带宽 294
报告元素 全局更新 160
配置表 86 任务 184
配置镜像 85 任务, 针对托管系统 186
配置图表 86 使用第三方工具的代理 49
配置文本 85 手动签入包 141
备份 受支持的包 185
备用数据库必备 324 新产品示例 158
数据库 280 本手册中使用的约定和图标 13
通过灾难恢复功能 324
备用站点 C
编辑现有 238 CA,请参阅认证机构
关于 224 菜单,请参阅主菜单
配置 237 操作
切换为来源站点 238 测试排序 109
删除 238 检查 IP 完整性 103
本地分布式存储库 247 立即排序 109
边界,请参阅系统树组织 应用标记 121
编辑数据库服务器注册信息 328 与产品部署一起使用 155
编辑问题 335 运行标记标准 118
表, 使用 24 操作系统
表行,选中复选框 25 代理处理程序 266
D 代理处理程序 (续)
硬件、软件和端口要求 266
带宽
用户界面 262
对存储库的建议 295
用于通过防火墙通信的端口 351
分布式存储库和 224
与 Amazon Web Services 搭配使用 357
复制任务和 250
在 DMZ 后台 259
计算客户端更新 294
站点列表文件中的优先级 270
事件转发注意事项 196
代理服务器设置
提取任务的注意事项 250
代理 239
针对存储库更新的计算 232
服务器设置 42
代理
配置主存储库 239
按分配规则分组 273
代理通信端口 207
部署凭据 206
代理与服务器安全通信 (ASSC)
查找非活动代理 215
查看使用密钥对的系统 343
查找更早版本 213
关于 339
从 shell 系统中丢失 50
使用一个密钥对 344
代理处理程序的分配 265
针对服务器使用不同的密钥对 344
分组 272
代理与服务器安全通信密钥
功能 46
导出和导入密钥 115
GUID 51
代理与服务器通信
GUID 和系统树位置 104
管理 206
和 SuperAgent 存储库 230
代理与服务器之间的安全通信
将软件添加到您的镜像文件 51
关于 16
可执行文件的路径 46
代理与服务器之间的安全通信 (ASSC)
流量方向和端口 352
使用密钥 342
配置策略以使用存储库 240
代理与服务器之间的安全通信密钥
配置代理服务器设置 239
通过传输系统 113
首次调用服务器 104
代理与服务器之间的通信
通过产品部署更新 214
安全通信密钥 (ASSC) 342
通过第三方工具部署 49
通过 LDAP 镜像降低时间间隔 331
维护 205
系统树排序 103
代理处理程序
代理与服务器之间的通信端口, 更改 348
Amazon Web Services 服务器必需 370
代理与服务器之间的通信时间间隔
部署 262
更改默认设置 206
常见问题 274
调整 205
从处理程序列表中启用和禁用 264
当前分支
多个 253
定义的 226
分配 265
签入更新包 143
分配代理 270
导出
分配优先级 273
策略 332
工作原理 253
权限集 135
管理分配 271
信息显示板 73
关于 253
导出和导入
故障转移保护 257
标记 332
节点计数 30
策略分配 332
LDAP 访问权限 331
查询 332
流量方向和端口 352
存储库 332
McAfee ePO 中的组件 16
客户端任务对象 332
配置虚拟组 264
权限集 332
配置优先级 264
任务 332
软件安装 267
响应 332
身份验证模式 253
信息显示板 332
使用原因 255
系统 332
消除多个 McAfee ePO 服务器 256
导出系统 107
虚拟设置 264
移动代理 272
导航 EICAR 防恶意软件测试文件 66
基于菜单 21 ePolicy Orchestrator
主菜单 21 必要功能 40
导入 多个备选服务器 256
基本内容 332 服务器最佳实践 281
权限集 135 禁用将服务器作为存储库 232
信息显示板 73 流量方向和端口 352
DAT 文件 事件处理 279
另请参阅 检测定义文件 物理站点上的备用 324
物理站点上的备用服务器 325
部署到存储库 232 性能监视器 278
创建合规性查询 218 用于灾难恢复的服务器群集 324
从存储库删除 142 远程控制台连接 323
存储库分支 142 在 Amazon Web Services 服务器上安装 370
复制和存储库 296 灾难恢复 324
评估 190 恶意软件事件
平均大小 294 创建根据子网查找恶意软件事件的查询 218
使用存储库 228 度量 217
提取服务器任务 145 发送自动响应 149
通过全局更新进行更新 236 根据子网 218
在部署前测试 146 计算每周清除的系统数 217
自动测试 DAT 文件 147
自动测试流程概述 143
F
自动更新 211
自动化 DAT 文件测试 144 防火墙
DAT 文件更新 用于与服务器通信的端口 351
部署 186 非活动代理
创建任务时的注意事项 189 查询 215
从来源站点 237 查找 215
计划任务 189 作为部分每周任务删除 285
日常任务 189 非托管存储库 228
手动签入 143 分布式存储库
在主存储库中 226 编辑现有 246
登录和注销 21 部分每周任务 285
登录消息 129 不同类型 228
电子邮件服务器 创建和配置 243
配置响应 197 代理如何选择 251
地理边界, 优势 100 非托管, 将内容复制到 247
DNS 更改凭据 249
用于查找 ePolicy Orchestrator 服务器 48, 266, 325 关于 224
与 Amazon Web Services 服务器关联的名称 369 将包复制到 SuperAgent 存储库 242
端口 McAfee ePO 中的组件 16
AWS 安全组端口设置 358 配置代理策略 240
代理通信 207 启用文件夹共享 245
控制台与应用程序服务器 347 删除 246
使用的和流量方向 352 删除 SuperAgent 存储库 242
用于代理处理程序 266 SuperAgent, 任务 241
用于通过防火墙与服务器通信 351 添加到 ePolicy Orchestrator 243
与 DMZ 后台的代理处理程序搭配使用 259 通过自动提取内容进行复制 211
自定义 347 文件夹, 创建 243
多个服务器 McAfee ePO 有限的带宽和 224
策略共享 168 在 SuperAgent 中创建 231
自动从 McAfee 提取和复制 DAT 更新 144
分配规则
E
代理和处理程序 273
EC2,请参阅 Amazon Web Services 和 Amazon Elastic Compute Cloud
M 密钥对 (续)
针对 Amazon Web Services 服务器创建 358
McAfee ServicePortal, 访问 14
目录(查看系统树) 110
McAfee Agent
代理 16
McAfee Agent 状态监视器, 以收集和发送属性 354
N
McAfee Endpoint Security NETDOM.EXE 实用工具, 创建文本文件 107
部署示例 158 Novell Zenworks 第三方工具 49
全局更新的限制 236 NT 域
示例产品 30 导入到手动创建的组 111
McAfee ePO 更新同步的组 113
服务器 16 同步 102, 111
功能 16
工作原理 16 O
关于 15
OAS,请参阅按访问扫描
控制台 16
OCSP,请参阅在线证书状态协议
推荐的硬件 30
ODS,请参阅按需扫描
影响性能的因素 33
OUI,请参阅组织唯一标识符
与 McAfee ePO Cloud 的区别 15
重要功能 15
P
组件 16
McAfee ePO Cloud 排序标准
与 McAfee ePO 的区别 15 标记 108
McAfee Global Threat Intelligence 建议的每日任务 282 IP 地址 103, 108
McAfee 建议 将系统排序到组中 102
产品部署的分阶段部署 184 基于标记 104
使用基于标记的排序标准 100 基于标记的 100
McAfee Product Improvement Program 配置 108
配置 345 组 108
删除该程序 346 组, 自动 100
McAfee 推荐 配置
创建汇总数据服务器任务 308 标记组上的系统列表 120
导入大型域时部署代理 111 代理与服务器之间的通信时间间隔 206
计划复制任务 250 DAT 和产品文件的自动更新 211
评估组织边界 100 概述 35
确认系统保护 65 禁用 1051 和 1059 事件 213
使用全局更新 159 客户端事件摘要查询 303
通过 IP 地址排序 100 全局更新限制 236
系统树计划 99 事件清除 210
Microsoft 使用表的查询 306
Windows 可靠性和性能监视器 277 通过查询进行的事件清除 210
Windows 任务管理器 277 威胁事件摘要查询 305
系统中心配置管理器 49 自定义查询 300
Microsoft IIS 服务器 228 票证发放服务器 16
Microsoft SQL 数据库 评估分支
数据库 16 定义的 226
Microsoft Windows Resource Kit 107 对新的 DAT 和引擎使用 190
密码 评估模式 42
登录和注销 21 凭据
更改用户帐户 125 更改, 在分布式存储库上 249
密钥,请参阅安全密钥 缓存部署 206
密钥存储库加密密码短语 修改数据库注册信息 328
设置 97 Product Improvement Program
灾难恢复 92 配置 345
密钥对 删除该程序 346
连接至 Amazon Web Services 服务器 369
通知 (续) 问题 (续)
事件转发 196 从响应自动创建 334
收件人 117 分配 335
SNMP 服务器 328 管理 333
注册的可执行文件, 管理 199 关于 333
通知规则, 导入 .MIB 文件 199 删除 335
通知时间间隔 200 删除过时 334
图表(查看查询) 79 添加注释 335
托管系统 Windows
部署任务 187 身份验证, 配置 126
策略管理 161 身份验证,配置 128
测试病毒防护 65 授权,配置 129
查看策略分配 179 Windows 可靠性和性能监视器 277, 278
汇总查询 307 Windows 任务管理器 277
排序, 基于标准 102 Windows 身份验证
全局更新和 224 策略 127
任务 187 启用 128
在其上安装产品 188 我的组 52
文档
U 本手册的读者 13
特定产品, 查找 14
UBP,请参阅基于用户的策略
印刷约定和图标 13
UNC 共享存储库 229
编辑 246
创建和配置 243 X
启用文件夹共享 245 响应
使用 操作 202
建议 246 分配权限 198
规则 194
V 联系人 202
配置 197, 199, 202
VDI,请参阅虚拟桌面基础架构
配置为自动创建问题 334
VirusScan Enterprise
事件转发 195
按需扫描作为部分建议的每周任务 285
SNMP 服务器 198
VM,请参阅虚拟机
响应, 自动
VPN
关于 193
服务器 OUI 355
响应规则
系统连接问题 353, 354
创建和编辑 200
VPN 连接和地理边界 100
设置过滤器 201
设置阈值 201
W
说明页 201
网络带宽,请参阅系统树组织 响应生成器 202
WAN 连接和地理边界 100 消息
维护 自定义登录 129
建议的每日 282 新建组向导, 创建新组 82
周期任务 288 性能监视器 278
维护计划,请参阅数据库维护 另请参阅 性能监视器
为问题添加注释 335
威胁事件日志 发现性能问题 278
查看和清除 292 使用 278
通用事件格式 291 影响性能的因素 33
问题 信息显示板
编辑 335 创建快照 96
查看 333 导入和导出 73
查看详细信息 335 服务器设置 73, 76
创建 334 公共 71
用户 证书身份验证
关于 125 创建自签证书 336
权限集和 134 将 PVK 转换为 PEM 文件 339
限制到单个 IP 地址 129 使用 OpenSSL 命令 338
用户菜单, 在界面中导航 21 由第三方证书颁发机构签名 336
用户操作 中断的继承
查看 130 创建查询 179
删除过时 130 状态监视器, 以收集和发送属性 354
用户帐户 125 主菜单
用于服务器任务的 Cron 语法 183 在界面中导航 21
用于灾难恢复的服务器群集 324 注册数据库服务器 327
有关代理处理程序的常见问题 274 主存储库
远程控制台连接 323 部分产品部署 151
远程命令 多服务器环境中的安全密钥 341
确定 SQL 数据库服务器和服务器名称 289 关于 224
运行标记标准操作 118 利用提取任务更新 250
域同步 100 默认 232
语言包,请参阅代理 配置代理服务器设置 239
使用复制任务 250
Z 手动签入包 143
灾难恢复 未签名内容的密钥对 340
服务器任务 290 与来源站点通信 239
服务器设置 97 在 ePolicy Orchestrator 上 228
概述 93 自定义登录消息 129
快照 91 自动
密钥存储库加密密码短语 92 从 McAfee 提取和复制 DAT 更新 144
配置快照 289 将内容提取至存储库 211
使用服务器群集 324 清除事件服务器任务 210
使用冷备用和热备用 324 自动更新
使用灾难恢复功能 324 DAT 文件和产品 211
需要的信息 291 自动化
这是什么 91 创建合规性查询和报告 218
组件 92 将文件从评估分支复制到当前分支 146
在线证书状态协议, 检查证书真实性的备用方法 131 自动响应
早期分支 操作 202
保存包版本 141 关于 193
定义的 226 规则 194
将 DAT 和引擎包移至 142 计划 195
站点 McAfee ePO 中的组件 16
备用 224, 237 默认规则 194
编辑现有 238 配置 202
切换来源站点和备用站点 238 设置 193
删除来源站点或备用站点 238 通知时间间隔 200
站点列表文件 270 用于自动进行 DAT 文件测试 149
帐户 与系统树交互 117
用户 125 子网, 作为分组标准 100
证书 子组
CA 131 和策略管理 111
吊销客户端 133 基于标准的 104
服务器 131 组
客户端 131 捕获全部 104
身份验证 131 操作系统和 100
替换 131 策略, 继承 53
证书吊销列表 133 查看策略分配 178
代理处理程序 262
组 (续) 组 (续)
导入 NT 域 111 通过 NT 域手动更新 113
定义 53 我的组 52
对产品的策略强制实施 165 在系统树中 54
将策略分配粘贴到 176 最佳实践
基于标准的 104 策略分配锁定 161
控制访问权限 134 导入 Active Directory 容器 110
排序, 自动 100 分配前复制策略 161
排序标准 108 系统树创建 105
配置排序标准 108 最佳做法
手动创建 106 产品部署 184
手动移动系统 113 组件
SuperAgent 的 230 存储库, 关于 224
通过 IP 地址定义 100 灾难恢复 92