McAfee企业版快速配置手册EPO4.5

Mcafee企业版配置手册（for EPO4.5）目录1. 软件部署 21.1 安装后任务 22. 软件配置 22.1 登录控制台 22.2 界面定制 .22.3 配置 ePO4.5 .22.3.1 过程概述 22.3.2 用户管理 22.3.3 服务器及相关参数配置 .22.3.4 创建存储库 .22.3.5 添加系统到系统树 22.3.6 部署管理代理 .22.3.7 策略配置 22.3.8 部署产品和软件 2承接Mcafee 企业版部署手册1.软件部署1.1 安装后任务 计划 ePolicy Orchestrator 系统树和更新方案。 创建 ePolicy Orchestrator 系统树。 将 McAfee Agent 分发到要通过 ePolicy Orchestrator 管理的系统。 创建更新存储库。 将那些要由 ePolicy Orchestrator 管理的产品签入存储库。然后配置这些产品的策略设置。 将产品部署到托管计算机。 配置 ePolicy Orchestrator 的高级功能。2.软件配置2.1 登录控制台 可选择在服务端点击桌面的图标登录 通过远程登录：在浏览器（IE 或之上的版本、Firefox3.0 以上版本）中输入：https:/xxx.xxx.xxx.xxx:8443（IP 为可访问 IP，端口为安装时配置的端口）输入用户名和密码后：2.2 界面定制 菜单栏“菜单”是 4.5 版 ePolicy Orchestrator 软件中的新增功能。 “菜单”使用类别来对各种ePO 特性和功能进行比较。每个类别都包含与一个唯一图标相关联的主要功能页列表。可通过菜单选项选择自己需要的功能区域进行配置。 导航栏在 ePolicy Orchestrator 4.5 中，可以自定义导航栏。可以通过将任何菜单项拖入或拖出导航栏来确定导航栏上显示的图标。在导航到菜单中的某个页面或者单击导航栏中的某个图标时，该页的名称将显示在“菜单”旁的蓝框中。在屏幕分辨率为 1024x768 的系统上，导航栏可以显示六个图标。如果将六个以上的图标放在导航栏上，则会在导航栏的右侧创建一个溢出菜单。单击“”可访问未显示在导航栏中的菜单项。而在 4.0 版的界面中，导航栏由一组固定的区段图标组成，这些图标按类别对功能进行组织。导航栏中显示的图标将作为用户首选项进行存储，因此，无论每个用户登录到哪个控制台，都会显示该用户的自定义导航栏。2.3 配置 ePO过程概述A. 配置 ePO 服务器 设置用户帐户(“菜单” |“用户管理”|“用户”) 分配权限集(“菜单”|“用户管理”|“权限集”) 配置 ePO 服务器设置(“菜单”|“配置”|“服务器设置”)B. 创建存储库 主存储库（“菜单”|“软件”|“主存储库” ） 分布式存储库（“菜单”|“软件”|“分布式存储库” ）C. 将系统添加到系统树（“菜单”|“系统”|“系统树” ）D. 将代理分发给系统（“菜单”|“系统”|“系统树” ）E. 配置策略和客户端任务 策略（“菜单”|“策略”|“策略目录”“产品”“操作”|“新建策略” ） 客户端任务（“菜单”|“系统”|“系统树”| “客户端任务 ”“操作”|“新建任务” ）F. 部署产品和软件（菜单”|“系统”|“系统树”| “客户端任务 ”）2.3.2 用户管理*一般可省略此步骤，在需要进行权限细分或用户密码修改才需要配置 *用户帐户是向用户提供访问和使用软件的方法。用户帐户与权限集关联，权限集定义允许用户对软件执行的操作。用户管理通过（“菜单”|“用户管理”|“* ”）进行访问，这一组里面包有用户、权限集、审核日志、联系人四项。 第一项用户可对用户的删减和编辑； 第二项权限集是自定义和编辑不同的权限分组，可在用户里面进行相应的应用； 第三项审核日志记录了对用户操作的一些日志； 第四项联系人用于联系人管理，主要用于添加含有电子邮件地址的联系人，为发送系统警报之类的邮件提供准备；您必须创建用户帐户和权限集才能满足登录到 ePO 服务器的每个用户的要求。可以为各个用户创建帐户，也可以创建一个映射到 Active Directory/NT 服务器中用户或组的权限集。用户有两种类型：全局管理员和具有有限权限的用户。此单元的功能相对简单，在此文中不做累述，上手较为容易；2.3.3服务器及相关参数配置在对用户进行基本配置后，就需要对服务器及一些基本的参数进行配置，界面如：配置在菜单的最后一项，里面包含有服务器设置、个人设置、已注册的服务器、代理处理程序、已注册的可执行文件五项内容。在此需要对几处进行简单的设置，如下： 服务器设置选择“菜单”|“配置”| “服务器设置” ，可进行对服务器的相关设置，其中 打印和导出为从 ePO 中对各种报告进行打印或者导出相关文档的页面设置，此处可以设定为本公司的相关 LOGO； 电子邮件服务器配置用来发送电子邮件的电子邮件服务器，当需要将日常报告通过电子邮件的形式发送的，可进行配置； 许可密钥，如在安装时选择的是评估版本，可在此处将获得的正版密钥输入即可； 事件过滤可配置哪些事件转发到服务器。此选择会影响环境中使用的带宽，以及基于事件的查询的结果（当在查询报告中发现很多不需要的内容，可点开威胁事件日志的详细信息，记录下事件 ID，在此选项中，把勾去掉即可） ；建议取消 ID 为 1059 的扫描超时事件（此事件多半为加密文档内容，会定期产生大量的重复威胁事件，影响用户对病毒数量的判断） 其它配置项介绍详情请点击下面的图标配 置 项 介 绍2.3.4创建存储库将需要用的软件以及相应的更新统一到 ePO 系统，便于分发到各客户端。 安装代理扩展在此处需要代理扩展包 EPOAGENTMETA.zip、MA450P1Win.zip 两个最新的包，方法如下： 从官网下载这两个补丁到服务器 ePO 上； 安装代理扩展： 单击“菜单”|“软件”|“扩展” 。此时会打开“扩展”页。 单击“安装扩展” 浏览到包含 ePOAgentMeta.zip 的位置，选择该位置，然后单击“确定” 。此时会出现“安装扩展摘要”页。 单击“确定”完成该扩展的安装。 将代理包签入 ePolicy Orchestrator 存储库。附注：如果是在运行 Common Management Agent 3.6 的计算机上安装，则必须将该包签入 “当前 ”存储库分支。 在 ePolicy Orchestrator 中，单击“菜单”| “软件”|“主资料库” 。 单击“签入包” ，选择产品或更新 浏览到“MA450Win.zip ”，选择它，然后单击“下一步 ”。 如果“允许将包签入任何存储库分支”已被启用，请将该包放在任何分支中。要启用此功能，请单击“菜单”|“配置”|“服务器设置” ，然后从“设置类别”列表中选择“存储库包” 。单击“编辑”从“否”切换到“是” 。 单击“保存” 。 部署 VSE8.7 及其补丁方法同上面的签入包，至今有 3 个补丁，分别为如下，请从官网下载，按顺序签入安装结束以后，在主资料库界面会出现如下内容：*包的顺序和依赖性*如果一个产品更新依赖于另一个产品更新，则必须按照所要求的顺序将更新包签入主存储库中。例如，如果修补程序 2 需要修补程序 1，则必须先签入修补程序 1，再签入修补程序 2。包在签入后无法重新排序。您必须先删除它们，然后按正确的顺序再次签入。如果签入的包会替代现有包，则现有包会被自动删除。 更新 ePO 的病毒库及相关软件首次部署产品时： 配置纳入和复制任务。 将产品和更新包签入主存储库。 配置部署和更新任务。在此部分，有两种方式从 Mcafee 的官网进行更新，一种是计划纳入，一种是立即纳入。 立即纳入：在第一次部署系统时，应选择“立即纳入“，将最新的病毒库和引擎及相关软件纳入主资料库。 单击“菜单”|“软件”|“主资料库” 。 点击“立即纳入” 如果客户端都是 windows 的系统，在包选项中选择“选定的包” ，选择项如下： 点击“开始纳入” ，在过一阵之后，所有的包均纳入到主资料库 计划纳入：DAT 和引擎文件都必须经常更新。McAfee 每天都会发布最新的 DAT 文件，而引擎文件的发布频率较低。这些包应尽快部署到托管系统，以便为它们提供最新威胁防护。计划的存储库纳入服务器任务将在您指定的时间和日期定期自动运行。例如，您可以计划在每个星期四上午 5:00 运行“存储库纳入”任务。 单击“菜单”|“软件”|“主资料库” ； 点击“计划纳入” ，输入计划的名称； 选择资料库纳入，在包类型中选择“选定的包” 选择需要计划纳入的包（本例选择 DAT） 定义计划的时间 单击保存，服务器将在设定的时间从 Mcafee 官网下载相应的更新包*计划纳入任务时的注意事项* 带宽和网络使用率- 如果您使用的是全局更新，则建议将纳入任务安排在其他资源的带宽使 用率很低的情况下运行。利用全局更新，更新文件会在纳入任务完成之后自动分发。 任务的频率- 虽然每天都发布 DAT 文件，但是您可能不想每天都使用资源进行更新。 复制和更新任务- 计划复制任务和客户端更新任务，以确保在整个环境中分发更新文件。2.3.5添加系统到系统树在对 ePO 进行基本的配置后，需要将 ePO 和我们需要部署的终端进行联动，首先，我需要需要将我们的网络环境添加到 ePO 中，以便后续的客户端部署，策略分发等应用的开展。在系统这一组里包含有系统树、检测到的系统、标记目录 3 大项： 第一项系统树是以单元的形式组织托管系统，以便完成监控、分配策略、计划任务和采取操作，配置项较多； 第二项检测到的系统是显示已经匹配的系统统计信息； 第三项标记目录可设定用于 ePO 系统自动标记检测到的系统斌进行分组，可新建和修改，主要是依据检测到的系统基本信息进行分类；*在这里主要操作第一项* 手动创建组点击“菜单”|“系统”| “系统树”| ，在系统树里，选择需要建立子组的地方，点击 “系统树操作”|“新建子组” ，键入所需的名称，然后单击“确定” 。新建组会出现在系统树中。*规划系统树时的考虑事项* 构建一个有效而完备的系统树可以简化维护。在每个环境中，有关管理、网络和职责的许多实际情况都会影响系统树的组织结构方式。在建立和填充系统树的组织结构之前，请先对其进行规划。特别是大型网络，您想一次完成系统树的构建时，就更应进行规划。 因为每个网络都是不同的，并且要求使用不同的策略（以及可能采用不同的管理） ，所以建议您在实现 ePO 软件之前，首先规划系统树。 无论您选择哪些方法创建和填充系统树，在规划系统树时您都需要考虑所处的环境。 AD 域同步 使用此任务可以通过将 AD 来源容器映射到系统树组，将系统从网络的 AD 容器直接导入系统树。与以前的版本不同，您现在可以： 同步系统树结构与 AD 结构，这样在 AD 中添加或删除容器时，也会在系统树中添加或删除相应的组。 在从 AD 中删除系统后，也从系统树中删除系统。 在系统存在于其他组中时，防止系统树中出现重复的系统条目。 单击“菜单”|“系统”|“系统树”| “组详细信息” ，然后在系统树中选择所需的组。该组应为要将 AD 容器映射到的组。附注：您不能同步系统树的“不明来源”组。 在“同步类型”旁，单击“编辑” 。此时会出现选定组的“同步设置”页。 在“同步类型”旁，选择“Active Directory”。此时会显示 Active Directory 同步选项。 选择要在此组和所需 Active Directory 容器（及其子容器）之间进行的 Active Directory 同步的类型。 系统和容器结构- 如果希望此组完全反映 AD 结构，请选择此选项。同步后，会修改此组下的系统树结构，以反映它所映射到的 AD 容器的结构。在 AD 中添加或删除容器时，也会在系统树中添加或删除容器。从 AD 中添加、移动或删除系统时，也会在系统树中添加、移动或删除系统。 仅限系统- 如果您只希望用 Active Directory 容器（和非排除的子容器）中的系统填充此组本身，则选择此选项。在镜像 AD 时不会创建子组。 选择是否为已存在于系统树中其他组的系统创建重复的系统条目。提示：建议不要选择此选项，特别是如果您仅将 Active Directory 同步作为安全管理的起始点，并使用系统 树管理功能（如标记分类）在映射点下进一步进行组织细分时，就更是如此。 在“Active Directory 域”中，可以： 键入 Active Directory 域的完全限定域名。 从已注册 LDAP 服务器的列表中选择所需的服务器。 在“容器”旁，单击“浏览” ，并在“选择 Active Directory 容器”对话框中选择来源容器，然后单击“确定” 。 要排除特定的子容器，请单击“排除项”旁的“添加” ，选择要排除的子容器，然后单击“确定” 。 选择是否将代理自动部署到新系统。如果部署，请务必配置部署设置。提示：如果容器很大，建议您在初始导入过程中不要部署代理。将 3.62 MB 的代理包同时部署到多个系统 时可能会产生网络通讯问题。因而，应先导入容器，然后逐次将代理部署到几个系统组中，而不是同时进 行部署。在最初的代理部署后，请考虑重新访问此页并选择此选项，以便代理会自动安装到已添加到 Active Directory 的新系统上。 选择是否在从 Active Directory 域中删除系统时，还从系统树中删除系统。 （可选）选择是否删除已删除系统中的代理。 若要立即将组与 Active Directory 同步，请单击“立即同步” 。单击“立即同步”会在同步组前将任何更改保存到同步设置。如果已启用 Active Directory 同步通知规则，则会为所添加或删除的每个系统生成一个事件（这些事件出现在审核日志 中，而且是可查询的） 。如果将代理部署到已添加的系统，则会开始对每个添加的系统进行 部署。同步完成后，系统会更新“上次同步”时间，显示同步完成的时间和日期，但不显 示完成任何代理部署的时间。附注：或者，您可以为首次同步计划一个 NT 域/Active Directory 同步服务器任务。如