McAfee - Návod k upgrade modulů 2012

Z HelpDesk

McAfee ePO může obsahovat různé moduly (např. VSE, HIPS, apod.), které jsou v průběhu času vydávány v různých verzích. Při vydání nové řady modulů je jejich upgrade prováděn formou - odinstaluj starý modul a nainstaluj nový. Dále se pak obvykle vyskytnou drobné změny v konfiguraci jednotlivých modulů. Obě tyto vlastnosti vyžadují specielní postup při upgradu, narozdíl od běžně instalovaných patchů. Tento dokument popisuje, jak co nejbezbolestněji uskutečnit přechod k novým balíčkům.

Důležité odkazy
VSE8.8 - možnosti konfigurace
HIPS8.0 - možnosti konfigurace
HIPS8.0 - pravidla firewallu

Co zásadního přinášejí nové verze?

VSE 8.8

  • Zavedení cache managera (již jednou oskenované soubory nejsou do změny nebo aktulizace virové báze opakovaně scanovány)
  • Možnost neduplikovat práci MS Trusted Installers
  • Vylepšená heuristická analýza (systém Artemis)
  • Access Protection umí hlídat zápisy do registru
  • Sloučení antiviru a antispywaru do jedné komponenty (tj. již není nutné přidávat modul antispywaru)

HIPS 8.0

  • Odstraněno aplikační blokování (tato funkcionalita se neosvědčila)
  • Možnost blokovat odchozí spojení na základě DNS jména (vhodné např. proti phishingu)
  • Firewall zvládá více protokolů
  • Firewall je možné nakonfigurovat mnohem variabilněji
  • Firewall může používat pravidla z McAfee TrustedSource (blokování závadných spojení na základě celosvětové databáze)
  • Svižnější modul IPS

Časový harmonogram

V této chvíli už proces překlopení nějakou dobu běží, protože jsme na CIVu vše důkladně prozkoumali, otestovali ve vlastních řadách, otestovali v učebnách a teprve nyní přichází řada i na stanice ve správě lokálních správců. Důležité plánované okamžiky přechodu jsou:

  • 28.5.2012 - Informován lokálních správců o chystané změně
  • 11.6.2012 - Možnost využít CIVem připravené politiky (odzkoušené v praxi)
  • 11.6.2012 - Možnost začít s přechodem
  • 27.8.2012 - Plánované dokončení přechodu všech PC (včetně těch ve správě lokálních správců)
  • 14.9.2012 - Násilné překlopení dosud nepřevedených stanic do nových modulů

Poslední krok se může zdát jako příliš brutální, ale starší moduly už nejsou podporovány a udržovány, takže je stejně nutné přejít na novější verzi. Navíc pak budou mít všechni stejnou verzi, takže bude jednodušší dohledat nebo nasimulovat případné problémy.

Přechod krok za krokem

Pro přechod na nové moduly je potřeba provést několik základních kroků

  1. Nakonfigurovat moduly - definovat chování nových komponent
  2. Upravit Deployment Task - nastavit požadavek na instalaci
  3. Nechat počítače provést instalaci a konfiguraci nových modulů - buď počkat nebo použít funkci WakeUp
  4. Zkontrolovat si stav - pomocí připravených reportů

Detailnější postup, v podstatě jednotivé kroky jsou popsány dále. V případě problému, kontaktujte HelpDesk a pokusíme se jej operativně vyřešit.

Konfigurace modulů

Prvním krokem je nastavení konfigurace nových komponent. Popis, co vše lze nastavit, si můžete přečíst v dokumentech McAfee - Možnosti konfigurace VSE8.8 a McAfee - Možnosti konfigurace HIPS8.0. Nezapomeňte, že je potřeba nastavit konfiguraci pro všechny části stromu, tj. pokud máte vypnuto dědění, musíte stejný postup zopakovat pro všechny úrovně stromu.

Postup je ukázán na následujícím obrázku

  1. Vybrat z menu System Tree
  2. Označit skupinu
  3. Vybrat z vnořeného menu Assigned Policies
  4. Z rozbalovacího menu Products postupně vyberte
    • VirusScan Enterprise 8.8.0
    • Host Intrusion Prevention 8.0: General
    • Host Intrusion Prevention 8.0: Firewall
    • Host Intrusion Prevention 8.0: IPS
  5. Ve sloupci Broken Inheritance je pro každou politiku napsáno, kolik podskupin má prerušené dědění nastavení (po prokliknutí se zobrazí jejích seznam), ty je pak potřeba také projít
  6. Přiřazení politiky je pak prováděno odkazem Edit Assignment


McAfee-AssignPolicy.png


Implicitně je přednastavena politika, která byla automaticky zkopírovaná z předchozích verzí komponent (VSE8.7 a HIPS7.0). Nicméně, doporučujeme si všechna nastavení projít. Nejjednodušší postup je všude nastavit politiky Global (které jsou nastaveny pro celý strom) nebo Orion7 (které používá CIV pro stanice IS) a teprve pokud některá z nich nevyhovuje, udělejte si její duplikát a změňte si problémové nastavení. Také nemá cenu dělat si duplikát úplně ze všeho, protože část nastavení je pro ZČU smysluplná jen v jedné konfiguraci (politika Global) nebo existuje konečné množství stavů (on/off) a tyto politiky už existují. V následující tabulce je přehled politik, u kterých má smysl uvažovat o změně.


Product Category Proč a co měnit
VirusScan Enterprise 8.8.0 Display Options Možnosti zásahu uživatele do fungování komponenty
VirusScan Enterprise 8.8.0 Password Options Možnosti zásahu uživatele do fungování komponenty
VirusScan Enterprise 8.8.0 On-Access Default Processes Policies Výjimky, co nekontrolovat (např. speciální problematický SW)
VirusScan Enterprise 8.8.0 Unwanted Programs Policies Výjimky, co nekontrolovat (např. speciální problematický SW)
Host Intrusion Prevention 8.0: General Client UI (Windows) Možnosti zásahu uživatele do fungování komponenty
Host Intrusion Prevention 8.0: Firewall Firewall Options (Windows) Režim fungování firewallu (adaptive/learn/active)
Host Intrusion Prevention 8.0: Firewall Firewall Rules (Windows) Pravidla firewallu
Host Intrusion Prevention 8.0: IPS IPS Options (All Platforms) Režim fungování IPS (vypnuto, zapnuto)


Veškeré hrátky s nastavením nebudou mít zatím žádný vliv na cílové systémy, protože nové komponenty ještě nejsou nainstalovány. Takže si můžete vše v klidu projít a nastavit.

Přiřazení Deployment Tasku

Obdobně jako u specifikace konfigurace modulů je potřeba nastavit instalační úlohu (Deployment Task) pro všechny úrovně stromu, tj. pokud máte přerušené dědění, je nutné projít všechny součásti. V následujícím obrázku je naznačen postup

  1. Vybrat z menu System Tree
  2. Označit skupinu
  3. Vybrat z vnořeného menu Assigned Client Task
  4. Zaměřit pozornost na řádek s úlohou typu Product Deployment Task
  5. Ve sloupci Broken Inheritance je napsáno, kolik podskupin má prerušené dědění nastavení (po prokliknutí se zobrazí jejích seznam)


McAfee-AssignDeploymentTask.png


Kliknutím na Edit assigment vyvoláte dialog pro přiřazení Deployment Tasku, který ukazuje následující obrázek.

  1. Úkol provádí McAfee Agent
  2. Typ úkolu je Product Deployment
  3. Vybrání předdefinované úlohy, podle toho, co chcete mít nainstalováno
    • Deploy 2012a: Agent 4.6, VSE8.8, HIPS 8.0 (Default)
    • Deploy 2012b: Agent 4.6, VSE8.8
    • Deploy 2012c: Agent 4.6, HIPS8.0
    • Nemá smysl vytvářet si vlastní Deployment Task, protože zde jsou pokryty všechny tři smysluplné možnosti (jen VSE, jen HIPS, oba moduly). Navíc, pokud se v budoucnu objeví např. nová verze agenta nebo patch, do těchto úloh je doplní pracovníci CIV a nemusíte se o nic starat.
  4. Uložení tlačítlem Save


McAfee-AssignDeploymentTask2.png


Po přiřazení nového Deployment Tasku se začnou nové moduly postupně instalovat na koncové stanice - při jejich následujícím spojení s ePO serverem se agent dozví o změnách a začne je realizovat.

Promítnutí změn na koncové stanice

Změny se na koncové stanice dostanou tehdy, až se jejich agent zkontaktuje s ePO serverem a zjistí, že je třeba instalovat a konfigurovat nové moduly. V postatě jsou tři možnosti, jak tomu může dojít (mlčky předpokládáme, že stanice je zapnutá a připojená do sítě WEBnet):

  • Agent každých 60 minut kontaktuje ePO server, takže stačí počkat tuto dobu.
  • V rozhraní ePO lze v System Tree označit všechny stanice a kliknout na wake up, čímž dostanou pokyn reagovat okamžitě.
  • Lokálně na stanici spustit McAfee Agent Status Monitor (z kontextového menu ikonky McAfee) a kliknout na Check New Policies

Po stažení instrukcí a instalačních balíčku se do pěti minut spustí instalace nových modulů. Po dokončení pak agent informuje ePo server o aktuálně instalovaných modulech a jejich verzích, což je využito k monitoringu, o kterém pojednává další kapitola.

Kontrola stavu pomocí dashboardu

Abyste měli přehled o průběhu přechodu ve svém revíru, připravili jsme dva dashboardy, které monitorují aktuální stav a ukazují na potenciální problémy. Veškeré informace se týkají pouze stanic, které se nacházejí ve vaší části stromové struktury, takže každý uvidí jiná čísla.


Package Installation


MacAfee-DashboardPackageInstalation.png


  1. Do sekce s dashboardy se přepnete kliknutím na ikonku Dashboards (výchozí stránka při každém přihlášení)
  2. Vyberete dashboard s názvem Package installation
    • Uvidíte sadu 9 senzorů (3 jsou mimo screenshot, dostanete se na ně posuvníkem vpravo), které porovnávají jaké moduly by podle daného Deployment Tasku měly být instalovány a jaké ve skutečnosti instalovány jsou
      • Jednotlivé řádky odpovídají rokům vydání modulů (tj. 2012 je HIPS8.0 a VSE8.8, 2011 HIPS7.0 a VSE8.7, 2008 HIPS7.0 a VSE8.5).
      • Sloupce pak odpovídají typu instalace (první "a" - HIPS i VSE, druhý "b" - pouze VSE, třetí "c" - pouze HIPS).
      • Název každého deployment tasku je ještě uveden v závorce v záhlaví jednotlivých grafů.
    • Co se z toho dá zjistit?
      • Můžete tedy vidět jaký Deployment Task má kolik stanic ve vaší správe nastaveno (podle toho ve kterém grafu se nachází)
      • Můžete také vidět, zda mají nainstalováno to co mají mít (zelená část koláčového grafu) nebo ještě ne (červená část)
      • Finální stav jsou samé plně zelené grafy v prvním řádku a "Query did not return any result" v ostatních. Kliknutím do červené části se zobrazí seznam problémových stanic.
      • Tento dashboard můžete používat i později ke kontrole aktuálního stavu.


Package Installation Status


MacAfee-DashboardPackageInstalationStatus.png


  1. Opět se do sekce s dashboardy přepnete kliknutím na ikonku Dashboards (výchozí stránka při každém přihlášení)
  2. Vyberete dashboard s názvem Package installation status
    • Nyní uvidíte 6 senzorů, které podrobněji popisují stav instalace.
      • Package Upgrade: Deployment Client Task (vlevo nahoře)
        • Pro každý existující deployment task (podbarveno světle modře) jsou vypsány skupiny, které jej mají přiřazen a také počet stanic, které se v nich vyskytují
        • Z tohoto senzoru můžete snadno zjistit, které části vašeho stromu jste ještě nepřevedli (např. kvůli přerušenému dědění).
      • Package Upgrade: Deployment Client Task (Overview) (pravo nahoře)
        • Funguje stejně jako předchozí senzor, ale nevypisují se jednotlivé přiřazené části stromu, tj. "jsou vidět jen modře podbarvené řádky z přechozího senzoru"
        • Na první pohled je vidět, jaké deployment tasky mají nastaveny vaše stanice
      • Package Upgrade: Old HIPS module version (vlevo dole)
        • Tento senzor monitoruje verzi modulu HIPS, která je na stanici nainstalována.
        • V seznamu jsou skupiny, které obsahují stanice se starší verzí modulu HIPS než je 8.0
        • U každé skupiny je uveden i počet stanic se starým modulem HIPS.
        • Ve finálním stavu je tento seznam prázdný.
      • Package Upgrade: Old VSE module version (vpravo dole)
        • Tento senzor monitoruje verzi modulu VSE, která je na stanici nainstalována.
        • V seznamu jsou skupiny, které obsahují stanice se starší verzí modulu VSE než je 8.8.
        • U každé skupiny je uveden i počet stanic se starým modulem VSE.
        • Ve finálním stavu je tento seznam prázdný.

Často kladené dotazy

  1. Proč bych se měl o upgrade zajímat, když to v září CIV udělá sám?
    • Protože při instalaci nových modulů budou stanice pár (desítek) minut nepoužitelné kvůli instalaci a lokální správci mohou akci lépe načasovat. Z dosavadních zkušeností odhadujeme, že cca 1% stanic instalaci nezvádne samostatně a bude potřeba lokálního zásahu - pokud si čas změni zvolíte sami, můžete s tím počítat
  2. Nemůže mi s tím CIV pomoci?
    • Samozřejmě může a rád to udělá. Pokud nechcete sami klikat v rozhraní, napište nám na HelpDesk, kdy vám máme vaše skupiny přenastavit a my to zařídíme - tj. nemusíte číst celý návod, kde a co změnit :-) Do předmětu, prosím, napište "McAfee upgrade", ať mají naši operátoři snažší práci.