ePolicy Orchestrator 5.1.0 Software Guia do produto

Transcrição

Guia do produto
Revisão B
McAfee ePolicy Orchestrator 5.1.0 –
Software
DIREITOS DE AUTOR
Copyright © 2014 McAfee, Inc. Proibido copiar sem permissão.
ATRIBUIÇÕES DE MARCAS COMERCIAIS
McAfee, o logótipo da McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone,
Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection,
TrustedSource, VirusScan e WaveSecure são marcas comerciais ou registadas da McAfee, Inc. ou das respetivas subsidiárias nos Estados Unidos e
noutros países. Outros nomes e marcas poderão ser propriedade de terceiros.
Os nomes e descrições dos produtos e funcionalidades estão sujeitos a alterações sem aviso prévio. Visite mcafee.com para obter os produtos e
funcionalidades mais atualizados.
INFORMAÇÕES SOBRE A LICENÇA
Contrato de Licença
AVISO A TODOS OS UTILIZADORES: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA QUE ADQUIRIU, QUE DEFINE OS TERMOS
E CONDIÇÕES GERAIS DE UTILIZAÇÃO DO SOFTWARE LICENCIADO. SE NÃO SOUBER O TIPO DE LICENÇA QUE ADQUIRIU, CONSULTE OS
DOCUMENTOS RELATIVOS À COMPRA OU CONCESSÃO DA LICENÇA, INCLUÍDOS NO PACOTE DO SOFTWARE OU FORNECIDOS SEPARADAMENTE
DURANTE O PROCESSO DE COMPRA (TAL COMO UM FOLHETO, UM FICHEIRO EXISTENTE NO CD DO PRODUTO OU UM FICHEIRO DISPONÍVEL NO WEB
SITE A PARTIR DO QUAL TRANSFERIU O PACOTE DE SOFTWARE). SE NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO
INSTALE O SOFTWARE. CASO SEJA APLICÁVEL, PODERÁ DEVOLVER O PRODUTO À MCAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER UM REEMBOLSO
TOTAL.
2
McAfee ePolicy Orchestrator 5.1.0 – Software
Guia do produto
Conteúdo
Prefácio
11
Acerca deste guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Destinatários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Convenções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Localizar documentação sobre o produto . . . . . . . . . . . . . . . . . . . . . . . .
11
11
11
12
Introdução ao software McAfee ePolicy Orchestrator
1
Proteger as suas redes com o software ePolicy Orchestrator
15
Vantagens do software ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . 15
Os componentes e o que fazem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Como funciona o software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2
Utilizar a interface do ePolicy Orchestrator
19
Iniciar e terminar sessão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Navegar na interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizar o menu de navegação do ePolicy Orchestrator . . . . . . . . . . . . . . . .
Personalizar a barra de navegação . . . . . . . . . . . . . . . . . . . . . . . .
Categorias de definições do servidor . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com listas e tabelas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtrar uma lista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Procurar itens específicos numa lista . . . . . . . . . . . . . . . . . . . . . . .
Selecionar caixas de verificação de linha da tabela . . . . . . . . . . . . . . . . .
19
19
20
20
20
22
22
22
23
Configurar o servidor do ePolicy Orchestrator
3
Planear a configuração do ePolicy Orchestrator
Considerações de escalabilidade . . . . . . . . . . . . .
Quando utilizar vários servidores McAfee ePO . . . . .
Quando utilizar vários processadores de agentes remotos
Protocolos Internet em ambiente gerido . . . . . . . . . .
4
27
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Configurar o servidor McAfee ePO
27
27
28
28
31
Descrição geral da configuração do servidor . . . . . . . . . . . . . . . . . . . . . . . 31
Use a Implementação do produto durante a configuração automática . . . . . . . . . . . . . 33
Funcionalidades essenciais da configuração manual ou da Configuração guiada . . . . . . . . .
Configuração automática do produto . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar funcionalidades essenciais . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizar um servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Introduzir a chave de licença . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Contas de utilizador e conjuntos de permissões
34
35
35
38
38
39
Contas de utilizador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Gerir contas de utilizador . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
Guia do produto
3
Conteúdo
Criar uma mensagem de início de sessão personalizada . . . . . . . . . . . . . . .
Configurar o início de sessão do utilizador do Active Directory . . . . . . . . . . . .
Formatos de nome de utilizador e de palavra-passe suportados . . . . . . . . . . . .
Página Ficheiro de entrada (Importador de atribuição de política) . . . . . . . . . . .
Autenticação de certificados de cliente . . . . . . . . . . . . . . . . . . . . . . . . .
Quando utilizar a autenticação com certificado de cliente . . . . . . . . . . . . . . .
Configurar a autenticação de certificados de cliente do ePolicy Orchestrator . . . . . . .
Modificar a autenticação do servidor McAfee ePO baseada em certificado . . . . . . . .
Desativar a autenticação de certificados de cliente do servidor McAfee ePO . . . . . . .
Configurar os utilizadores para autenticação com certificado . . . . . . . . . . . . .
Atualizar o ficheiro CRL . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problemas com a autenticação por certificado de cliente . . . . . . . . . . . . . . .
Certificados SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar um certificado auto-assinado com o OpenSSL . . . . . . . . . . . . . . . . .
Outros comandos OpenSSL úteis . . . . . . . . . . . . . . . . . . . . . . . .
Converter um ficheiro PVK existente em ficheiro PEM . . . . . . . . . . . . . . . .
Conjuntos de permissões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Como é que se conjugam os utilizadores, os grupos e os conjuntos de permissões . . . .
Trabalhar com conjuntos de permissões . . . . . . . . . . . . . . . . . . . . .
6
Repositórios
61
Tipos de repositórios e o que fazem . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipos de repositórios distribuídos . . . . . . . . . . . . . . . . . . . . . . . .
Ramos do repositório e suas finalidades . . . . . . . . . . . . . . . . . . . . .
Ficheiro da lista de repositórios e as suas utilizações . . . . . . . . . . . . . . . .
Como funcionam os repositórios em conjunto . . . . . . . . . . . . . . . . . . . . . .
Configurar repositórios pela primeira vez . . . . . . . . . . . . . . . . . . . . . . . .
Gerir sites de origem e de recuperação . . . . . . . . . . . . . . . . . . . . . . . . .
Criar sites de origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comutar sites de origem e de recuperação . . . . . . . . . . . . . . . . . . . .
Editar sites de origem e de recuperação . . . . . . . . . . . . . . . . . . . . .
Eliminar sites de origem ou desativar sites de recuperação . . . . . . . . . . . . . .
Verificar o acesso ao site de origem . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar definições de proxy . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar as definições de proxy do McAfee Agent . . . . . . . . . . . . . . . . .
Configurar definições para atualizações globais . . . . . . . . . . . . . . . . . . . . .
Configurar políticas do agente para utilizar um repositório distribuído . . . . . . . . . . . . .
Utilizar SuperAgents como repositórios distribuídos . . . . . . . . . . . . . . . . . . . .
Criar repositórios distribuídos do SuperAgent . . . . . . . . . . . . . . . . . . .
Replicar pacotes para repositórios do SuperAgent . . . . . . . . . . . . . . . . . .
Eliminar repositórios distribuídos do SuperAgent . . . . . . . . . . . . . . . . . .
Criar e configurar repositórios em servidores FTP ou HTTP e partilhas UNC . . . . . . . . . . .
Criar uma localização da pasta . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar o repositório distribuído ao ePolicy Orchestrator . . . . . . . . . . . . . .
Evitar a replicação de pacotes selecionados . . . . . . . . . . . . . . . . . . . .
Desativar a replicação dos pacotes selecionados . . . . . . . . . . . . . . . . . .
Ativar a partilha de pasta para os repositórios UNC e HTTP . . . . . . . . . . . . . .
Editar repositórios distribuídos . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminar repositórios distribuídos . . . . . . . . . . . . . . . . . . . . . . . .
Usar partilhas UNC como repositórios distribuídos . . . . . . . . . . . . . . . . . . . .
Utilizar repositórios locais distribuídos que não são geridos . . . . . . . . . . . . . . . . .
Trabalhar com os ficheiros da lista de repositórios . . . . . . . . . . . . . . . . . . . .
Exportar o ficheiro SiteList.xml da lista de repositórios . . . . . . . . . . . . . . . .
Exportar a lista de repositórios para criar uma cópia de segurança ou ser utilizada por outros
servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importar repositórios distribuídos a partir da lista de repositórios . . . . . . . . . . .
4
40
41
45
45
45
46
46
47
47
48
48
49
49
52
54
55
56
56
57
61
63
64
65
66
66
66
67
68
68
69
69
69
70
71
71
72
72
73
74
74
75
75
77
78
78
78
79
79
80
81
82
82
83
Guia do produto
Conteúdo
Importar sites de origem a partir do ficheiro SiteMgr.xml . . . . . . . . . . . . . . . 83
7
Servidores registados
85
Registar servidores McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registar servidores LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registar servidores SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registar um servidor de base de dados . . . . . . . . . . . . . . . . . . . . . . . . .
Partilhar objetos entre servidores . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportar objetos do ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . .
Importar itens para o ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . .
Exportar objetos e dados a partir do servidor do McAfee ePO . . . . . . . . . . . . .
Exporte e importe chaves ASCC entre servidores McAfee ePO . . . . . . . . . . . . .
8
Processadores de agentes
85
87
88
89
89
90
90
91
91
93
Com funcionam os Processadores de agentes . . . . . . . . . . . . . . . . . . . . . .
Ligue um processador de agentes no DMZ a um servidor McAfee ePO num domínio . . . . . . .
Grupos de processadores e prioridade . . . . . . . . . . . . . . . . . . . . . . . . .
Gerir processadores de agentes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Atribuir McAfee Agents a processadores de agentes . . . . . . . . . . . . . . . . .
Gerir atribuições do processador de agentes . . . . . . . . . . . . . . . . . . . .
Criar grupos de processadores de agentes . . . . . . . . . . . . . . . . . . . .
Gerir grupos de processadores de agentes . . . . . . . . . . . . . . . . . . . .
Mover agentes entre processadores . . . . . . . . . . . . . . . . . . . . . . .
93
94
95
96
96
97
97
98
98
Gerir a segurança da rede
9
A Árvore de sistema
105
Estrutura da Árvore de sistema . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupo A minha organização . . . . . . . . . . . . . . . . . . . . . . . . . .
O grupo Perdidos e achados . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos da Árvore de sistemas . . . . . . . . . . . . . . . . . . . . . . . . .
Herança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Considerações ao planear a árvore de sistema . . . . . . . . . . . . . . . . . . . . .
Acesso de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . .
Limites ambientais e o seu impacto na organização do sistema . . . . . . . . . . . .
Sub-redes e intervalos de endereço IP . . . . . . . . . . . . . . . . . . . . . .
Operar sistemas e software . . . . . . . . . . . . . . . . . . . . . . . . . .
Etiquetas e sistemas com características semelhantes . . . . . . . . . . . . . . .
Sincronização do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipos de sincronização do Active Directory . . . . . . . . . . . . . . . . . . . . . . .
Sistemas e estrutura . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sistemas apenas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sincronização de domínio NT . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ordenação baseada em critérios . . . . . . . . . . . . . . . . . . . . . . . . . . .
Como é que as definições afetam a ordenação . . . . . . . . . . . . . . . . . .
Critérios de ordenação do endereço IP . . . . . . . . . . . . . . . . . . . . . .
Critérios de ordenação baseados em etiquetas . . . . . . . . . . . . . . . . . .
Ordenação e sequência do grupo . . . . . . . . . . . . . . . . . . . . . . . .
Grupos catch-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Como é que um sistema é adicionado à Árvore de sistemas depois de ordenado . . . . .
Criar e povoar grupos da árvore de sistema . . . . . . . . . . . . . . . . . . . . . .
Criar grupos manualmente . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar sistemas manualmente a um grupo existente . . . . . . . . . . . . . . .
Exportar sistemas a partir da árvore de sistema . . . . . . . . . . . . . . . . . .
Importar sistemas a partir de um ficheiro de texto . . . . . . . . . . . . . . . . .
Ordenar sistemas em grupos baseados em critérios . . . . . . . . . . . . . . . .
105
105
106
106
107
107
107
108
108
108
109
109
110
110
111
111
111
112
113
113
114
114
114
115
116
117
118
118
119
Guia do produto
5
Conteúdo
importar contentores do Active Directory . . . . . . . . . . . . . . . . . . . . .
Importar domínios NT para um grupo existente . . . . . . . . . . . . . . . . . .
Agendar a sincronização da Árvore de sistema . . . . . . . . . . . . . . . . . .
Atualizar manualmente um grupo sincronizado com um domínio NT . . . . . . . . . .
Mover sistemas dentro da árvore de sistema . . . . . . . . . . . . . . . . . . . . . .
Como é que funciona o comando Transferir sistemas . . . . . . . . . . . . . . . . . . .
Transfere os sistemas para um servidor McAfee ePO diferente . . . . . . . . . . . .
10
Etiquetas
131
Crie etiquetas com o Criador de novas etiquetas . . . . . . . . . . . . . . . . . . . . .
Gerir etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar, eliminar e modificar subgrupos de etiquetas . . . . . . . . . . . . . . . . . . . .
Excluir sistemas da aplicação de etiquetas automática . . . . . . . . . . . . . . . . . .
Aplicar etiquetas a sistemas selecionados . . . . . . . . . . . . . . . . . . . . . . .
Limpa as etiquetas dos sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicar etiquetas baseadas em critérios a todos os sistemas correspondentes . . . . . . . . .
Aplicar etiquetas baseadas em critérios com uma agenda . . . . . . . . . . . . . . . . .
11
Comunicação entre o agente e o servidor
Chaves de segurança
Gestor de software
Implementação do produto
157
158
158
159
159
159
161
161
163
163
164
164
167
Conteúdo do gestor de software . . . . . . . . . . . . . . . . . . . . . . . . . . .
Efetue o registo de entrada, atualize e remova software utilizando o Gestor de software . . . . .
Verificar a compatibilidade do produto . . . . . . . . . . . . . . . . . . . . . . . . .
Reconfigurar a transferência da lista de compatibilidade do produto . . . . . . . . . .
14
139
139
143
147
150
151
151
152
153
154
155
155
157
Chaves de segurança e o seu funcionamento . . . . . . . . . . . . . . . . . . . . . .
Par de chaves do repositório principal . . . . . . . . . . . . . . . . . . . . . . . . .
Outras chaves públicas de repositório . . . . . . . . . . . . . . . . . . . . . . . . .
Gerir chaves do repositório . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizar um par de chaves de repositório principal para todos os servidores . . . . . . .
Utilizar chaves do repositório principal em ambientes multi-servidor . . . . . . . . . .
Chaves de comunicação segura entre o agente e o servidor (ASSC) . . . . . . . . . . . . .
Gerir chaves ASSC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ver sistemas que utilizam um par de chaves ASSC . . . . . . . . . . . . . . . . .
Utilizar o mesmo par de chaves ASSC para todos os servidores e agentes . . . . . . .
Utilizar um par de chaves ASCC para cada servidor McAfee ePO . . . . . . . . . . .
Criar cópias de segurança e restaurar chaves . . . . . . . . . . . . . . . . . . . . . .
13
131
132
133
134
135
135
136
136
139
Trabalhar com o agente a partir do servidor McAfee ePO . . . . . . . . . . . . . . . . .
Como funciona a comunicação entre o agente e o servidor . . . . . . . . . . . . .
SuperAgents e como funcionam . . . . . . . . . . . . . . . . . . . . . . . .
Capacidade de reencaminhamento do agente . . . . . . . . . . . . . . . . . . .
Responder a eventos da política . . . . . . . . . . . . . . . . . . . . . . . .
Executar tarefas cliente imediatamente . . . . . . . . . . . . . . . . . . . . .
Localizar agentes inativos . . . . . . . . . . . . . . . . . . . . . . . . . . .
Propriedades do sistema e do produto reportadas pelo agente no Windows . . . . . . .
Consultas fornecidas pelo McAfee Agent . . . . . . . . . . . . . . . . . . . . .
Gerir a comunicação entre o agente e o servidor . . . . . . . . . . . . . . . . . . . .
Permitir que as credenciais de implementação do agente sejam colocadas em cache . . .
Alterar as portas de comunicação do agente . . . . . . . . . . . . . . . . . . .
12
121
123
125
126
126
127
128
167
168
169
171
173
Escolher um método de implementação de produtos . . . . . . . . . . . . . . . . . . . 173
Vantagens dos projetos de implementação de produtos . . . . . . . . . . . . . . . . . . 173
Página Implementação do produto explicada . . . . . . . . . . . . . . . . . . . . . . 176
6
Guia do produto
Conteúdo
Ver os registos de auditoria de implementação do produto . . . . . . . . . . . . . . . . .
Implementar produtos utilizando um projeto de implementação . . . . . . . . . . . . . .
Monitorizar e editar projetos de implementação . . . . . . . . . . . . . . . . . . . . .
Exemplo de implementação de um McAfee Agent novo . . . . . . . . . . . . . . . . . .
15
Gestão de políticas
183
Imposição de políticas e política . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicação de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar e manter políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar uma política a partir da página Catálogo de Políticas . . . . . . . . . . . . .
Gerir uma política existente na página Catálogo de políticas . . . . . . . . . . . . .
Configurar políticas pela primeira vez . . . . . . . . . . . . . . . . . . . . . . . . .
Gerir políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alterar os proprietários de uma política . . . . . . . . . . . . . . . . . . . . .
Mover políticas entre os servidores McAfee ePO . . . . . . . . . . . . . . . . . .
Atribuir uma política a um grupo da Árvore de sistema . . . . . . . . . . . . . . .
Atribuir uma política a um sistema gerido . . . . . . . . . . . . . . . . . . . .
Atribua uma política a sistemas num grupo da Árvore de sistema . . . . . . . . . . .
Impor políticas para um produto num grupo da Árvore de sistema . . . . . . . . . .
Impor políticas de um produto num sistema . . . . . . . . . . . . . . . . . . .
Copiar atribuições de política . . . . . . . . . . . . . . . . . . . . . . . . .
Editar a página Política e retenção de tarefas . . . . . . . . . . . . . . . . . . . . . .
Regras de atribuição de política . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prioridade da regra de atribuição de políticas . . . . . . . . . . . . . . . . . . .
Acerca das atribuições de política baseadas no utilizador . . . . . . . . . . . . . .
Acerca das atribuições de política baseadas no sistema . . . . . . . . . . . . . . .
Utilizar etiquetas para atribuir políticas baseadas no sistema . . . . . . . . . . . . .
Criar regras de atribuição de política . . . . . . . . . . . . . . . . . . . . . .
Gerir regras de atribuição de política . . . . . . . . . . . . . . . . . . . . . .
Criar consultas de gestão de políticas . . . . . . . . . . . . . . . . . . . . . . . . .
Ver informações sobre as políticas . . . . . . . . . . . . . . . . . . . . . . . . . .
Ver grupos e sistemas onde uma política está atribuída . . . . . . . . . . . . . . .
Ver as definições da política . . . . . . . . . . . . . . . . . . . . . . . . . .
Ver a propriedade das políticas . . . . . . . . . . . . . . . . . . . . . . . . .
Ver atribuições onde a imposição da política está desativada . . . . . . . . . . . . .
Ver políticas atribuídas a um grupo . . . . . . . . . . . . . . . . . . . . . . .
Ver políticas atribuídas a um sistema específico . . . . . . . . . . . . . . . . . .
Ver a herança de política para um grupo . . . . . . . . . . . . . . . . . . . . .
Ver e repor a herança interrompida . . . . . . . . . . . . . . . . . . . . . . .
Comparar políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Partilhar políticas entre os servidores McAfee ePO . . . . . . . . . . . . . . . . . . . .
Distribuir a política por vários servidores McAfee ePO . . . . . . . . . . . . . . . . . . .
Registar servidores para partilha de políticas . . . . . . . . . . . . . . . . . . .
Designar políticas para partilha . . . . . . . . . . . . . . . . . . . . . . . .
Agendar tarefas do servidor para partilhar políticas . . . . . . . . . . . . . . . .
16
Tarefas cliente
183
185
186
186
186
187
187
188
188
190
190
191
191
192
192
194
194
195
196
196
197
197
197
198
199
200
200
201
201
201
201
202
202
202
203
203
203
204
204
205
Como funciona o Catálogo de tarefas de cliente . . . . . . . . . . . . . . . . . . . . .
Tarefas de implementação . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementação de pacotes para produtos e atualizações . . . . . . . . . . . . . .
Implementação do produto e atualização . . . . . . . . . . . . . . . . . . . .
Configurar implementações de produtos e atualizações pela primeira vez . . . . . . . .
Etiquetas de implementação . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizar a tarefa Implementação de produtos para implementar produtos nos sistemas geridos . .
Configurar uma tarefa de implementação para grupos de sistemas geridos . . . . . . .
Configure uma tarefa de implementação para instalar produtos num sistema gerido . . .
177
177
179
180
205
206
206
208
208
209
209
209
210
Guia do produto
7
Conteúdo
Tarefas de atualização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Atualizar sistemas geridos regularmente com uma tarefa de atualização agendada . . . .
Confirmar se os clientes estão a utilizar os ficheiros DAT mais recentes . . . . . . . .
Avaliar novos DATs e motores antes da distribuição . . . . . . . . . . . . . . . .
Gerir tarefas cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar tarefas cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Editar tarefas cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminar tarefas cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comparar tarefas cliente . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
Tarefas do servidor
217
Atualização global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementar automaticamente pacotes de atualização com a atualização global . . . . . . . .
Tarefas de extração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tarefas de replicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Seleção de repositório . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sintaxe Cron aceite ao agendar uma tarefa do servidor . . . . . . . . . . . . . . . . . .
Ver informações sobre a tarefa do servidor no registo de tarefas de servidor . . . . . . . . .
Configurar o Product Improvement Program . . . . . . . . . . . . . . . . . . . . . .
Desinstalar o McAfee Product Improvement Program . . . . . . . . . . . . . . . . . . .
18
212
212
213
214
214
215
215
216
216
Pacotes manuais e gestão de atualizações
217
218
219
220
220
221
222
222
223
225
Colocar produtos sob gestão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Registar manualmente a entrada de pacotes . . . . . . . . . . . . . . . . . . . . . . 226
Eliminar pacotes DAT ou de motor do repositório principal . . . . . . . . . . . . . . . . . 226
Mover manualmente pacotes DAT e do motor entre ramos . . . . . . . . . . . . . . . . . 227
Registar manualmente a entrada de pacotes de atualização de motor e de ficheiros DAT e ExtraDAT
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
19
Eventos e respostas
229
Utilizar respostas automáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Como é que a funcionalidade Respostas automáticas interage com a Árvore de sistema . . . . .
Limitação, agregação e agrupamento . . . . . . . . . . . . . . . . . . . . . .
Regras predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planeamento de respostas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar respostas pela primeira vez . . . . . . . . . . . . . . . . . . . . . . . .
Determinar como os eventos são reencaminhados . . . . . . . . . . . . . . . . . . . .
Determinar quais os eventos que são reencaminhados imediatamente . . . . . . . . .
Determinar quais os eventos que são reencaminhados . . . . . . . . . . . . . . .
Configurar Respostas automáticas . . . . . . . . . . . . . . . . . . . . . . . . . .
Atribuir permissões a notificações . . . . . . . . . . . . . . . . . . . . . . .
Atribuir permissões a Respostas automáticas . . . . . . . . . . . . . . . . . . .
Gerir servidores SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinar quais os eventos que são reencaminhados para o servidor . . . . . . . . . . . .
Escolher um intervalo de evento de notificação . . . . . . . . . . . . . . . . . . . . .
Criar e editar regras de Resposta automática . . . . . . . . . . . . . . . . . . . . . .
Descrever uma regra . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definir filtros para a regra . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definir limites para a regra . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure a ação das regras de Resposta automática . . . . . . . . . . . . . . . .
229
230
230
231
231
232
232
233
233
233
234
234
235
236
237
237
238
238
238
239
Monitorizar e comunicar o estado de segurança da rede
20
Painéis
243
Configurar painéis pela primeira vez . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com painéis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
243
243
Guia do produto
Conteúdo
Gerir painéis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportar e importar painéis . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com monitores de painel . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerir monitores do painel . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mover e redimensionar monitores do painel . . . . . . . . . . . . . . . . . . .
Painéis predefinidos e os seus monitores . . . . . . . . . . . . . . . . . . . . . . . .
Especificar painéis predefinidos e intervalos de atualização do painel . . . . . . . . . . . .
21
Consultas e relatórios
244
245
246
246
247
248
250
251
Permissões de consulta e relatório . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Acerca das consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Criador de consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Configurar consultas e relatórios pela primeira vez . . . . . . . . . . . . . . . . . . . . 254
Trabalhar com consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Gerir consultas personalizadas . . . . . . . . . . . . . . . . . . . . . . . .
255
Executar uma consulta existente . . . . . . . . . . . . . . . . . . . . . . . . 257
Agendar a execução de uma consulta . . . . . . . . . . . . . . . . . . . . . . 257
Crie uma consulta para listar sistemas baseados em etiquetas . . . . . . . . . . . . 261
Criar um grupo de consultas . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Mover uma consulta para um grupo diferente . . . . . . . . . . . . . . . . . . . 262
Exportar e importar consultas . . . . . . . . . . . . . . . . . . . . . . . . . 263
Exportar os resultados da consulta para outros formatos . . . . . . . . . . . . . . 264
Consulta de agregação de vários servidores . . . . . . . . . . . . . . . . . . . . . .
265
Criar uma tarefa do servidor de dados de agregação . . . . . . . . . . . . . . . . 265
Criar uma consulta para definir a conformidade . . . . . . . . . . . . . . . . . . 266
Gerar eventos de conformidade . . . . . . . . . . . . . . . . . . . . . . . . 266
Acerca dos relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Estrutura de um relatório . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Trabalhar com relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Criar um novo relatório . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Editar um relatório existente . . . . . . . . . . . . . . . . . . . . . . . . .
269
Ver a saída do relatório . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Agrupar relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Executar relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
275
Executar um relatório com uma tarefa do servidor . . . . . . . . . . . . . . . . . 275
Exportar e importar relatórios . . . . . . . . . . . . . . . . . . . . . . . . . 276
Configurar o modelo e a localização de relatórios exportados . . . . . . . . . . . .
276
Eliminar relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Configurar o Internet Explorer 8 para aceitar automaticamente transferências do McAfee ePO
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
278
Utilizar os servidores de base de dados . . . . . . . . . . . . . . . . . . . . . . . . 278
Trabalhar com servidores de base de dados . . . . . . . . . . . . . . . . . . . . . .
279
Modificar o registo de uma base de dados . . . . . . . . . . . . . . . . . . . . 279
Remover uma base de dados registada . . . . . . . . . . . . . . . . . . . . . 279
22
Problemas
283
Problemas e como funcionam . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar problemas básicos manualmente . . . . . . . . . . . . . . . . . . . . . .
Configurar respostas para criar problemas automaticamente . . . . . . . . . . . . .
Gerir problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remover problemas resolvidos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remover manualmente problemas resolvidos . . . . . . . . . . . . . . . . . . .
Agendar a remoção de problemas resolvidos . . . . . . . . . . . . . . . . . . .
Emissão de tickets com o McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . .
283
283
284
284
285
286
286
286
287
Guia do produto
9
Conteúdo
23
Ficheiros de registo do ePolicy Orchestrator
289
O registo de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ver e remover o registo de auditoria . . . . . . . . . . . . . . . . . . . . . .
Agendar a remoção do registo de auditoria . . . . . . . . . . . . . . . . . . . .
Registo de tarefas de servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerir o Registo de tarefas de servidor . . . . . . . . . . . . . . . . . . . . . .
Registo de eventos de ameaça . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ver e remover o registo de eventos de ameaça . . . . . . . . . . . . . . . . . .
Agendar a remoção do registo de eventos de ameaça . . . . . . . . . . . . . . .
24
Recuperação de desastres
289
289
290
290
291
292
293
294
295
O que é a recuperação de desastres . . . . . . . . . . . . . . . . . . . . . . . . . 295
Componentes da Recuperação de desastres . . . . . . . . . . . . . . . . . . . . . . 296
Utilize um comando remoto para determinar o servidor de bases de dados Microsoft SQL e o
nome da base de dados . . . . . . . . . . . . . . . . . . . . . . . . . . .
299
Utilize o Microsoft SQL Server Management Studio para localizar informações do servidor
McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
Como é que a recuperação de desastres funciona . . . . . . . . . . . . . . . . . . . . 300
Descrição geral do instantâneo de recuperação de desastres e da cópia de segurança . . 300
Descrição geral da instalação de recuperação do servidor McAfee ePO . . . . . . . . . 302
Configurar um instantâneo e restaurar a base de dados SQL . . . . . . . . . . . . . . .
304
Configurar a tarefa Servidor de recuperação de desastres . . . . . . . . . . . . . . 304
Criar instantâneos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Utilizar o Microsoft SQL para criar cópia de segurança e restaurar a base de dados . . .
308
Configure as definições do servidor de recuperação de desastres . . . . . . . . . . . . . . 309
A
Descrição geral das portas
Alterar a Porta de comunicação do servidor da consola para a
Alterar a porta de comunicação entre o agente e o servidor .
Portas necessárias para comunicar através de uma firewall .
referência rápida para . . . . . . . . . . . . . . . .
B
311
aplicação
. . . .
. . . .
. . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Manutenção das bases de dados do ePolicy Orchestrator
319
Permissões SQL necessárias para instalar o McAfee ePO . . . . . . . . . . . . . . . . .
A definir funções do utilizador da base de dados . . . . . . . . . . . . . . . . . . . . .
Considerações para um plano de manutenção SQL . . . . . . . . . . . . . . . . . . . .
Escolher um modelo de recuperação de bases de dados SQL . . . . . . . . . . . . . . . .
Desfragmentar dados da tabela . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar um plano de manutenção SQL . . . . . . . . . . . . . . . . . . . . . . . . .
Alterar a informação de ligação do SQL Server . . . . . . . . . . . . . . . . . . . . .
320
320
322
323
324
325
326
C
Abrir uma ligação com a consola remota
329
D
Perguntas mais frequentes
331
Questões de gestão de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perguntas de evento e resposta . . . . . . . . . . . . . . . . . . . . . . . . . . .
Índice
10
311
313
316
317
331
332
333
Guia do produto
Prefácio
Este guia fornece as informações necessárias para utilizar o seu produto McAfee.
Conteúdo
Acerca deste guia
Localizar documentação sobre o produto
Acerca deste guia
Estas informações descrevem os destinatários do guia, as convenções tipográficas e os ícones
utilizados, bem como a estrutura do guia.
Destinatários
A documentação da McAfee é cuidadosamente fundamentada e redigida tendo em conta os
destinatários.
As informações deste guia destinam-se principalmente a:
•
Administradores — Aqueles que implementam e aplicam o programa de segurança da empresa.
•
Utilizadores — Pessoas que usam o computador no qual é executado o software e que podem
aceder a algumas ou a todas as suas funcionalidades.
•
Responsáveis de segurança — Aqueles que determinam os dados sensíveis e confidenciais e que
definem as políticas empresariais para proteção da propriedade intelectual da empresa.
•
Revisores — Aqueles que avaliam o produto.
Convenções
Este guia utiliza as convenções tipográficas e os ícones seguintes.
Título de manual, termo,
destaque
Título de um manual, capítulo ou tópico; apresentação de um termo
novo; destaque.
Negrito
Texto com destaque especial.
Entrada do utilizador,
código, mensagem
Comandos e outro texto escrito pelo utilizador; um exemplo de código;
uma mensagem apresentada.
Texto da interface
Texto da interface do produto, como opções, menus, botões e caixas de
diálogo.
Hipertexto a azul
Uma hiperligação para um tópico ou para um Web site externo.
Nota: Informações adicionais, como um método alternativo para aceder
a uma opção.
Sugestão: Sugestões e recomendações.
Guia do produto
11
Prefácio
Importante/Atenção: Conselho valioso para proteger o sistema
informático, a instalação de software, a rede, a empresa ou os dados.
Aviso: Conselho crucial para evitar danos corporais durante a utilização
de um produto de hardware.
Após a publicação de um produto, a informação acerca de um produto é introduzida no McAfee online
Knowledge Center (Centro de Conhecimento McAfee).
Tarefa
12
1
Aceda ao McAfee ServicePortal em http://support.mcafee.com e clique em Knowledge Center (Centro
de Conhecimento).
2
Introduza o nome do produto, selecione uma versão e clique em Search (Pesquisar) para apresentar
uma lista de documentos.
Guia do produto
Introdução ao software McAfee
ePolicy Orchestrator
Compreender os componentes do ePolicy Orchestrator e a forma como
funcionam para melhorar a segurança dos sistemas na sua rede.
Capítulo 1
Capítulo 2
Guia do produto
13
Introdução ao software McAfee ePolicy Orchestrator
14
Guia do produto
1
Proteger as suas redes com o software
O software ePolicy Orchestrator é um componente chave da plataforma McAfee Security Management,
que oferece gestão individualizada da segurança do ponto terminal, da rede e dos dados. Reduza os
tempos de resposta a incidentes, fortaleça a proteção e simplifique a gestão de riscos e de segurança
com as funcionalidades de automatização do ePolicy Orchestrator e visibilidade de rede ponto a ponto.
Conteúdo
Vantagens do software ePolicy Orchestrator
Os componentes e o que fazem
Como funciona o software
Vantagens do software ePolicy Orchestrator
O software do ePolicy Orchestrator é uma plataforma de gestão escalável e extensível, que possibilita
a gestão de políticas centralizadas e a imposição dos seus produtos de segurança e dos sistemas no
quais estão instalados.
Também oferece possibilidades de implementação do produto e relatórios abrangentes, tudo através
de um único ponto de controlo.
Com o software do ePolicy Orchestrator, pode executar as seguintes tarefas de segurança de rede:
•
Implementar produtos de segurança, patches e service packs nos sistemas da rede.
•
Gerir o anfitrião e os produtos de segurança da rede implementados aos seus sistemas através da
imposição de políticas de segurança e da criação de tarefas.
•
Atualizar os ficheiros de definição de deteção (DAT), motores de anti-vírus e outros conteúdos de
segurança exigidos pelo software de segurança para assegurar que os sistemas geridos estão
protegidos.
•
Crie relatórios, com o assistente de sistema de consultas incluído, que apresentam gráficos
informativos configurados pelo utilizador e tabelas que contêm os seus dados de segurança.
Os componentes e o que fazem
Estes componentes constituem o software ePolicy Orchestrator.
•
Servidor McAfee ePO — O centro do seu ambiente gerido. O servidor fornece políticas e tarefas
de segurança, controla atualizações e processa eventos para todos os sistemas geridos.
•
Base de dados — O componente de armazenamento central para todos os dados criados e usados
pelo ePolicy Orchestrator. Pode escolher entre hospedar a base de dados no seu servidor McAfee
ePO ou num sistema separado, dependendo das necessidades específicas da sua organização.
Guia do produto
15
1
•
McAfee Agent — Um veículo de informação e imposição entre o servidor McAfee ePO e cada
sistema gerido. O agente obtém atualizações, assegura a implementação de tarefas, impõe
políticas e reencaminha eventos para cada sistema gerido. Utiliza um canal de dados seguro
separado para transferir dados para o servidor. Um McAfee Agent pode também ser configurado
como um SuperAgent.
•
Repositório principal — A localização central de todas as assinaturas e atualizações McAfee
residentes no servidor McAfee ePO. O repositório principal obtém assinaturas e atualizações
específicas do utilizador McAfee ou de sites de origem definidos pelo utilizador.
•
Repositórios distribuídos — Pontos de acesso locais estrategicamente colocados no ambiente
para os agentes receberem assinaturas, atualizações de produto e instalações de produto com o
mínimo impacto na largura de banda. Dependendo da forma como a sua rede está configurada,
pode configurar repositórios distribuídos via SuperAgent, HTTP, FTP ou partilha UNC.
•
Processadores de agentes remotos — Um servidor que pode instalar em várias localizações de
rede para ajudar a gerir a comunicação do agente, o balanceamento de carga e atualizações de
produto. Os processadores de agentes remotos são constituídos por um servidor Apache e por um
analisador de eventos. Eles podem ajudá-lo a gerir as necessidades das infraestruturas de rede
grandes ou complexas, permitindo-lhe um maior controlo sobre a comunicação entre o agente e o
servidor.
•
Servidores registados — Usado para registar outros servidores no McAfee ePO. Os tipos de
servidor registado incluem:
•
Servidor LDAP — Usado para as regras de atribuição de política e para ativar a criação
automática de contas de utilizador.
•
Servidor SNMP — Usado para receber um trap SNMP. Adicione a informação do servidor SNMP
para que o ePolicy Orchestrator saiba para onde enviar o trap.
•
Servidor de base de dados — Utilizado para expandir as ferramentas de relatório avançadas
fornecidas com o software do ePolicy Orchestrator.
Dependendo das necessidades da sua organização e da complexidade da sua rede, pode precisar
apenas de utilizar alguns destes componentes.
O software ePolicy Orchestrator foi concebido para ser extremamente flexível. Pode ser configurado de
muitas formas diferentes para satisfazer as suas necessidades exclusivas.
O software segue o modelo de cliente-servidor clássico, no qual um sistema cliente (sistema) se
apresenta ao servidor para obter instruções. Para facilitar esta apresentação ao servidor, é
implementado um McAfee Agent em cada sistema na rede. Quando um agente é implementado num
sistema, o sistema pode ser gerido pelo servidor do McAfee ePO. A comunicação segura entre o
16
Guia do produto
1
servidor e o sistema gerido é a relação que liga todos os componentes do software do ePolicy
Orchestrator. A figura abaixo mostra um exemplo de como o servidor e os componentes do McAfee
ePO se inter-relacionam no ambiente de rede segura.
1
O servidor do McAfee ePO liga-se ao servidor de atualização McAfee para extrair o conteúdo de
segurança mais recente.
2
A base de dados do ePolicy Orchestrator armazena todos os dados acerca dos sistemas geridos na
rede, incluindo:
3
•
Propriedades do sistema
•
Informações sobre a política
•
Estrutura do diretório
•
Todos os dados relevantes que o servidor precisa para manter os sistemas atualizados.
Os McAfee Agents são implementados nos sistemas para facilitar:
•
Imposição da política
•
Implementações e atualizações do produto
•
Relatórios nos sistemas geridos
Guia do produto
17
1
18
4
A comunicação segura entre o agente e o servidor (ASSC) ocorre em intervalos regulares entre os
sistemas e o servidor. Se forem instalados processadores de agentes na rede, os agentes
comunicam com o servidor através dos seus processadores de agentes atribuídos.
5
Os utilizadores iniciam sessão na consola do ePolicy Orchestrator para realizarem as tarefas de
gestão de segurança, como executar consultas para comunicar sobre o estado de segurança ou
funcionar com as políticas de segurança do software gerido.
6
O servidor de atualização McAfee aloja o conteúdo de segurança mais recente, de modo que o
ePolicy Orchestrator possa extrair o conteúdo em intervalos agendados.
7
Os repositórios distribuídos colocados por toda a rede alojam localmente o conteúdo de segurança
para que os agentes possam receber as atualizações mais rapidamente.
8
Os processadores de agentes remotos ajudam a escalar a rede para tratar mais agentes com um
único servidor do McAfee ePO.
9
As notificações de Resposta Automática são enviadas para os administradores de segurança para
os notificar que ocorreu um evento.
Guia do produto
2
Utilizar a interface do ePolicy
Orchestrator
Inicie sessão na interface do ePolicy Orchestrator para configurar o servidor McAfee ePO e para gerir e
monitorizar a segurança da rede.
Conteúdo
Iniciar e terminar sessão
Navegar na interface
Trabalhar com listas e tabelas
Iniciar e terminar sessão
Para aceder ao software ePolicy Orchestrator, introduza o nome de utilizador e a palavra-passe no
ecrã de início de sessão.
Antes de começar
Terá de ter um nome de utilizador e palavra-passe atribuídos antes de poder iniciar sessão
no ePolicy Orchestrator.
Quer se ligue ao servidor McAfee ePO a partir de uma ligação remota ou a partir do ícone do servidor
McAfee ePO, o primeiro ecrã que vê é o ecrã de início de sessão ePolicy Orchestrator.
Tarefa
1
Introduza o nome de utilizador e a palavra-passe e clique em Iniciar sessão.
O software ePolicy Orchestrator apresenta o painel predefinido.
2
Para terminar a sessão no ePolicy Orchestrator, clique em Terminar sessão.
Assim que terminar sessão, a sessão é encerrada e não pode ser aberta por outros utilizadores.
A interface do ePolicy Orchestrator utiliza um modelo de navegação baseado em menu com uma barra
de favoritos personalizável para garantir que pode ir onde precisa de forma rápida.
As secções do menu representam as funcionalidades de nível superior do servidor McAfee ePO. À
medida que adiciona novos produtos geridos ao servidor, as páginas da interface associadas são
adicionadas a uma categoria existente ou é criada uma nova categoria no menu.
Guia do produto
19
2
Utilizar o menu de navegação do ePolicy Orchestrator
Abra o Menu do ePolicy Orchestrator para navegar na interface do ePolicy Orchestrator.
O Menu utiliza categorias que comprometem as várias funcionalidades do seu servidor McAfee ePO.
Cada categoria contém uma lista de páginas da funcionalidade principal associada a um ícone
exclusivo. Selecione uma categoria no Menu para ver e navegar para as páginas principais que
compõem essa funcionalidade.
Personalizar a barra de navegação
Personalize a barra de navegação para obter acesso rápido às funcionalidades que utiliza com mais
frequência.
Pode decidir que ícones são apresentados na barra de navegação arrastando qualquer item do menu
para dentro ou para fora da barra de navegação.
Nos sistemas com resolução de ecrã de 1024x768, a barra de navegação pode apresentar seis ícones.
Quando coloca mais do que seis ícones na barra de navegação, é criado um menu da sobrecarga no
lado direito da barra. Clique na seta para baixo para aceder aos itens do menu não apresentados na
barra de navegação. Os ícones apresentados na barra de navegação são armazenados como
preferências do utilizador, por isso cada barra de navegação personalizada é apresentada
independentemente de qual a consola que utiliza para iniciar sessão no servidor.
Categorias de definições do servidor
Estas são as categorias de definições do servidor predefinidas disponíveis no software ePolicy
Orchestrator.
Quando faz o registo de entrada do software adicional para o servidor McAfee ePO, as definições do
servidor específicas do produto são adicionadas à lista de categorias das definições do servidor. Para
informações sobre as definições do servidor específicas do produto, consulte a respetiva
20
Guia do produto
2
documentação de produto. Pode modificar as definições do servidor a partir da interface ao navegar
para a página Definições do servidor na secção Configuração da interface do ePolicy Orchestrator.
Tabela 2-1
Categorias de definições do servidor predefinidas e as suas descrições
Categoria de
definições do servidor
Descrição
Grupos do Active Directory
Especifica o servidor LDAP a utilizar para cada domínio.
Início de sessão do utilizador do
Active Directory
Especifica se os membros dos seus grupos do Active Directory (AD)
mapeados podem iniciar sessão no servidor utilizando as suas credenciais
do AD, quando a funcionalidade de Início de sessão do utilizador do Active
Directory tiver sido totalmente configurada.
Credenciais de implementação
do agente
Especifica se é permitido aos utilizadores colocar em cache as credenciais
de implementação do agente.
Autenticação baseada em
certificado
Especifica se a Autenticação baseada em certificado está ativada e se as
definições e configurações exigidas para o certificado da Autoridade de
Certificação (AC) estão a ser utilizadas.
Painéis
Especifica o painel ativo predefinido que está atribuído às novas contas de
utilizadores no momento da criação da conta e a frequência de
atualização predefinida (5 minutos) para os monitores do painel.
Ativa e define a frase de acesso de encriptação do armazenamento de
chaves da Recuperação de desastres.
Servidor de correio eletrónico
Especifica o servidor de correio eletrónico que é utilizado quando o ePolicy
Orchestrator envia mensagens de correio eletrónico.
Filtragem de eventos
Especifica os eventos que o agente reencaminha.
Notificações de eventos
Especifica o intervalo de envio de ePolicy Orchestrator Notificações de
eventos para as Respostas automáticas.
Atualização global
Especifica se e como a atualização global está ativada.
Chave de licença
Especifica a chave de licença utilizada para registar este software do
ePolicy Orchestrator.
Mensagem de início de sessão
Especifica a mensagem de início de sessão personalizada apresentada,
caso exista, aos utilizadores no seu ambiente quando eles navegam para
o ecrã de início de sessão da consola ePolicy Orchestrator.
Política e retenção de tarefas
Especifica se as políticas e os dados da tarefa cliente são removidos
quando elimina a extensão de gestão do produto.
Manutenção de políticas
Especifica se as políticas dos produtos não suportados estão visíveis ou
ocultas. Isto é necessário apenas depois de o ePolicy Orchestrator ser
atualizado a partir de uma versão anterior.
Portas
Especifica as portas utilizadas pelo servidor quando comunica com os
agentes e a base de dados.
Imprimir e exportar
Especifica como a informação é exportada para outros formatos e o
modelo para exportações em PDF. Também especifica a localização
predefinida onde os ficheiros exportados são armazenados.
Lista de compatibilidade do
produto
Especifica se a Lista de compatibilidade do produto é automaticamente
transferida e apresenta eventuais extensões de produto incompatíveis.
Product Improvement Program
Especifica se o McAfee ePO pode recolher dados proativamente e
periodicamente a partir dos sistemas cliente geridos pelo servidor McAfee
ePO.
Definições de proxy
Especifica o tipo de definições de proxy configuradas para o servidor
McAfee ePO.
Especifica e faz a gestão das chaves de comunicação segura do agente
para o servidor e as chaves do repositório.
Guia do produto
21
2
Tabela 2-1 Categorias de definições do servidor predefinidas e as suas descrições
(continuação)
Categoria de
Descrição
Certificado do servidor
Especifica o certificado do servidor que o servidor McAfee ePO utiliza para
na comunicação HTTPS com os browsers.
Avaliação de software
Especifica a informação exigida fornecida para ativar o registo de entrada
e a implementação do software de avaliação a partir do Gestor de
software.
Sites de origem
Especifica a que sites de origem o seu servidor se liga para fazer as
atualizações, bem como quais os sites que devem ser utilizados como site
de recuperação.
Definições dos detalhes do
sistema
Especifica que consultas e propriedades dos sistemas são apresentadas na
página Detalhes do sistema para os sistemas geridos.
Ordenação da árvore de
sistemas
Especifica se e como a ordenação da Árvore de sistemas é ativada no seu
ambiente.
Sessão do utilizador
Especifica a quantidade de tempo durante o qual um utilizador pode
permanecer inativo antes de o sistema terminar a sua sessão.
Utilize a funcionalidade de pesquisa e filtragem do ePolicy Orchestrator para ordenar dados da tabela.
As listas de dados do ePolicy Orchestrator podem ter centenas ou milhares de entradas. Pode ser difícil
procurar entradas específicas nestas listas do ePolicy Orchestrator sem o filtro de pesquisa Pesquisa
rápida.
Filtrar uma lista
Pode usar os filtros predefinidos ou os seus próprios filtros para selecionar linhas específicas nas listas
de dados da interface do ePolicy Orchestrator.
Tarefa
Para obter as definições da opção, clique em ? na interface.
1
A partir da barra na parte superior de uma lista, selecione o filtro predefinido ou personalizado que
pretende utilizar para filtrar a lista.
Apenas são apresentados os itens que cumprem os critérios do filtro.
2
Selecione as caixas de verificação ao lado dos itens da lista que pretende focar e, em seguida,
selecione a caixa de verificação Mostrar linhas selecionadas.
Apenas são apresentadas as linhas selecionadas.
Procurar itens específicos numa lista
Utilize o filtro Localização rápida para localizar itens numa lista grande.
Os nomes das consultas predefinidas poderão estar traduzidos para a sua localização. Ao comunicar
com utilizadores noutras regiões, lembre-se de que os nomes das consultas podem divergir.
22
Guia do produto
2
Tarefa
Para obter as definições das opções, clique em ? na interface.
1
Introduza os termos de pesquisa no campo Localização rápida.
2
Clique em Aplicar.
Apenas os itens que contêm os termos que introduziu no campo Localização rápida são apresentados.
Clique em Limpar para remover o filtro e visualizar todos os itens da lista.
Este é um exemplo de uma pesquisa válida de uma lista específica de consultas.
1
Clique em Menu | Consultas e relatórios. Clique em Consulta e todas as consultas disponíveis no ePolicy
Orchestrator aparecem na lista.
2
Para limitar a lista a consultas específicas, por exemplo "deteções," em tipo de Procura rápida, detete
e clique em Aplicar.
Aparecem as seguintes consultas, ou mais, na lista:
•
Histórico de deteção de malware
•
As deteções de hoje por produto
Selecionar caixas de verificação de linha da tabela
A interface do utilizador do ePolicy Orchestrator tem ações de seleção de linha da tabela especiais que
lhe permitem selecionar caixas de verificação de linha da tabela utilizando clique ou Shift e clique.
Algumas páginas de saída na interface do utilizador do ePolicy Orchestrator apresentam uma caixa de
verificação junto a cada item da lista na tabela. Estas caixas de verificação permitem-lhe selecionar
linhas individualmente, como grupos, ou todas as linhas da tabela.
Esta tabela lista os batimentos de teclas usados para selecionar caixas de verificação de linha da
tabela.
Para selecionar Ação
Resposta
Linhas individuais Clique nas linhas individuais
Seleciona cada linha individual de forma
independente
Grupo de linhas
Clique numa caixa de
A primeira e última linha selecionadas criam um
verificação, mantenha premida a grupo de linhas selecionadas.
tecla Shift e clique na última caixa
de verificação do grupo.
Utilizando Shift + Clique para selecionar mais
de 1500 linhas numa tabela ao mesmo
tempo poderá causar um pico de utilização
da CPU e acionar uma mensagem de erro
descrevendo um erro de script.
Todas as linhas
Clique na caixa de verificação de Seleciona todas as linhas da tabela
cima nos títulos de tabelas
Guia do produto
23
2
24
Guia do produto
Configurar o servidor do ePolicy
Orchestrator
Configurar o servidor do ePolicy Orchestrator é o primeiro passo para gerir a
segurança da sua rede.
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
3
4
5
6
7
8
Repositórios
Guia do produto
25
Configurar o servidor do ePolicy Orchestrator
26
Guia do produto
3
Planear a configuração do ePolicy
Orchestrator
Para utilizar o seu servidor McAfee ePOcom eficácia, terá de criar um plano abrangente específico do
seu ambiente.
Como configurar a infraestrutura do servidor e quantas configurações precisará de realizar depende
das necessidades exclusivas do ambiente de rede. Considerar estas áreas antecipadamente pode
reduzir o tempo gasto no arranque e execução.
Conteúdo
Considerações de escalabilidade
Protocolos Internet em ambiente gerido
Considerações de escalabilidade
O modo como gere a escalabilidade depende se utiliza vários servidores McAfee ePO, vários
processadores de agentes remotos ou ambos.
Com o software ePolicy Orchestrator, pode dimensionar a rede verticalmente ou horizontalmente.
•
Escalabilidade vertical — Adicionar e atualizar a fim de obter um hardware maior e mais rápido
para gerir implementações cada vez maiores. O dimensionamento vertical da infraestrutura do
servidor McAfee ePO é efetuado ao atualizar o hardware do servidor e ao utilizar vários servidores
McAfee ePO por toda a rede, cada um com a sua própria base de dados.
•
Escalabilidade horizontal — Efetuada ao aumentar o tamanho da implementação que um único
servidor McAfee ePO pode gerir. O dimensionamento horizontal do servidor é efetuado ao instalar
vários processadores de agentes remotos, cada um reportando para uma única base de dados.
Quando utilizar vários servidores McAfee ePO
Conforme o tamanho e constituição da sua organização, poderá ser necessário utilizar vários
servidores McAfee ePO.
Alguns cenários nos quais pode querer utilizar vários servidores, incluem:
•
Pretende manter bases de dados separadas para unidades distintas dentro da sua organização.
•
Necessita de infraestruturas de IT, grupos administrativos ou ambientes de teste separados.
•
A sua organização está distribuída por uma vasta área geográfica e utiliza uma ligação de rede com
largura de banda relativamente baixa, como WAN, VPN ou outras ligações mais lentas, tipicamente
encontradas entre sites remotos. Para mais informações sobre os requisitos da largura de banda,
consulte o McAfee ePolicy Orchestrator Guia de dimensionamento da largura de banda e utilização
do hardware.
Guia do produto
27
3
A utilização de vários servidores na rede exige que mantenha uma base de dados separada para cada
servidor. Pode agregar informações a partir de cada um dos servidores para o servidor McAfee ePO e
base de dados principais.
Quando utilizar vários processadores de agentes remotos
Vários processadores de agentes remotos ajudam-no a gerir implementações grandes sem adicionar
mais servidores McAfee ePO ao ambiente.
O processador de agentes é o componente do servidor responsável por gerir as solicitações do agente.
Cada instalação do servidor McAfee ePO inclui um processador de agentes por predefinição. Alguns
cenários nos quais pode querer utilizar vários processadores de agentes remotos, incluem:
•
Pode querer permitir que os agentes escolham entre vários dispositivos físicos, para que possam
continuar a chamar e receber políticas, tarefas e atualizações do produto, mesmo se o servidor da
aplicação estiver indisponível e não quiser agregar o seu servidor McAfee ePO.
•
A infraestrutura do ePolicy Orchestrator existente precisa de ser expandida para gerir mais
agentes, mais produtos ou uma carga maior devido a intervalos de comunicação entre o agente e o
servidor (ASCI) mais frequentes.
•
Pode querer utilizar o servidor McAfee ePO para gerir segmentos de rede desligados, como
sistemas que utilizam a Tradução de endereços de rede (NAT) ou numa rede externa.
Isto é funcional desde que o Processador de agentes disponha de uma ligação com elevada largura
de banda à base de dados do ePolicy Orchestrator.
Vários processadores de agentes podem oferecer escalabilidade adicionada e complexidade reduzida
na gestão de grandes implementações. Contudo, porque os processadores de agentes necessitam de
uma ligação de rede muito rápida, existem alguns cenários nos quais não deve utilizá-los, incluindo:
•
Para substituir repositórios distribuídos. Os repositórios distribuídos podem ser partilhas de ficheiro
locais que visam manter o tráfego local de comunicação do agente. Como os processadores de
agentes precisam de ter a funcionalidade do repositório integrada, exigem uma comunicação
constante com a sua base de dados do ePolicy Orchestrator e por isso consomem uma quantidade
significativamente maior de largura de banda.
•
Para melhorar a replicação de repositório numa ligação WAN. A comunicação constante com a base
de dados exigida pela replicação de repositório pode saturar a ligação WAN.
•
Para ligar um segmento de rede desligado onde existe conetividade limitada ou irregular à base da
dados do ePolicy Orchestrator.
O software do ePolicy Orchestrator é compatível com ambas as versões IPv4 e IPv6 do Protocolo de
Internet.
Os servidores do McAfee ePO trabalham em três diferentes modos:
•
Apenas IPv4 — Suporta apenas formato de endereço de IPv4
•
Apenas IPv6 — Suporta apenas formato de endereço de IPv6
•
Modo misto — Suporta ambos formatos de endereço de IPv4 e IPv6
O modo no qual o servidor do McAfee ePO trabalha depende da configuração da rede. Por exemplo, se
a rede estiver configurada para utilizar apenas endereços IPv4, o servidor trabalha apenas em modo
IPv4. Do mesmo modo, se a rede estiver configurada para utilizar tanto endereços IPv4 como IPv6, o
servidor trabalha apenas no modo misto.
28
Guia do produto
3
Até que o IPv6 esteja instalado e ativado, o servidor do McAfee ePO escuta apenas endereços IPv4
Quando o IPv6 está ativado, trabalha no modo em que está configurado.
Quando o servidor McAfee ePO comunica com um Processador de agentes em IPv6, as propriedades
relacionadas com o endereço, como o endereço IP e máscara de sub-rede, são comunicadas em
formato IPv6. Quando transmitidas entre cliente e o servidor do McAfee ePO, ou quando apresentadas
na interface do utilizador ou no ficheiro de registo, as propriedades relacionadas com o IPv6 são
apresentadas na forma expandida e entre parênteses retos.
Por exemplo, 3FFE:85B:1F1F::A9:1234 é apresentado como [3FFE:085B:1F1F:
0000:0000:0000:00A9:1234].
Ao definir um endereço IPv6 para origens FTP ou HTTP, não são necessárias quaisquer modificações ao
endereço. Contudo, ao definir um endereço IPv6 literal para uma origem UNC, tem de utilizar o
formato IPv6 literal da Microsoft. Consulte a documentação da Microsoft para mais informações.
Guia do produto
29
3
30
Guia do produto
4
Tenha tudo a funcionar rapidamente configurando as funcionalidades essenciais do servidor McAfee
ePO.
Conteúdo
Descrição geral da configuração do servidor
Use a Implementação do produto durante a configuração automática
Funcionalidades essenciais da configuração manual ou da Configuração guiada
Configuração automática do produto
Configurar funcionalidades essenciais
Utilizar um servidor proxy
Introduzir a chave de licença
Configure o seu servidor McAfee ePO para satisfazer as necessidades exclusivas do seu ambiente,
utilizando vários métodos.
As funcionalidades essenciais do servidor McAfee ePO que terá de configurar são:
•
Gestor de software — Permite-lhe efetuar o registo de entrada de software de segurança novo e
atualizado no servidor do McAfee ePO e no Repositório principal a partir da consola.
•
Árvore de sistema — Contém todos os sistemas geridos pelo servidor do McAfee ePO e permite-lhe
executar ações nesses sistemas.
•
Catálogo de políticas — Onde configura as políticas de segurança que controlam o software de
segurança implementado nos seus sistemas geridos.
•
Catálogo de tarefas de cliente — É onde cria, atribui e agenda tarefas de cliente para serem
executadas automaticamente nos sistemas geridos.
•
McAfee Agent — Ativa a gestão de um sistema na rede. Uma vez implementado, o agente comunica o
estado e todos os dados associados ao servidor e sistema gerido. É o veículo através do qual o
software de segurança é implementado, as políticas são impostas e as tarefas são atribuídas.
O McAfee Agent é um produto de software independente, necessário para que o servidor do McAfee
ePO possa gerir os sistemas na rede. O McAfee Agent efetua automaticamente o registo de entrada
no Repositório principal quando instala inicialmente o software ePolicy Orchestrator.
Pode configurar estas funcionalidades essenciais utilizando:
•
Implementação inicial do produto — Configura todas as funcionalidades essenciais automaticamente.
Veja a apresentação de diapositivos Bem-vindo ao ePolicy Orchestrator para se familiarizar com o
software e com a forma como funciona.
Guia do produto
31
4
•
Configuração guiada — Orienta-o na configuração de cada funcionalidade essencial.
•
Processos de configuração manual — Neste guia são descritos os processos para cada funcionalidade
essencial.
A maioria dos utilizadores configura o servidor McAfee ePO automaticamente. No entanto, a
configuração manual poderá ser melhor para utilizadores com determinadas restrições, a saber:
•
Sem acesso à Internet
•
Restrições de transferência direta na infraestrutura crítica
•
Processos de implementação faseados que exigem que os produtos sejam implementados
sucessivamente nos ambientes críticos
•
Grandes organizações com requisitos específicos no seu ambiente
Esta tabela lista uma descrição geral dos passos necessários para configurar o software ePolicy
Orchestrator através da configuração simplificada ou guiada.
32
Guia do produto
4
Use a Implementação do produto durante a configuração automática
Tabela 4-1 Descrição geral de vários métodos de configuração
Passos da Implementação inicial do produto
Passos da Configuração guiada
1 A instalação do ePolicy Orchestrator termina e o
utilizador inicia o software.
1 A instalação do ePolicy Orchestrator termina e
o utilizador inicia o software.
2 A partir do ecrã de início de sessão, inicie sessão 2 A partir do ecrã de início de sessão, inicie
na interface de utilizador do ePolicy
sessão na interface do utilizador do ePolicy
Orchestrator. É apresentada a página do painel
Orchestrator.
Introdução ao ePolicy Orchestrator.
3 Execute a Configuração guiada do ePolicy Orchestrator
para executar estes processos:
Durante a implementação inicial do produto
normal, a página Configuração automática do
produto não deve aparecer. Se aparecer, é
porque não foi possível transferir ou instalar
um produto.
3 Veja a apresentação de diapositivos Bem-vindo
ao ePolicy Orchestrator para se familiarizar com
o software e com a forma como funciona.
4 No painel Implementação do produto, confirme
se todos os produtos instalados
automaticamente e as versões estão corretas e
clique em Iniciar implementação.
5 Em Implementar o meu software, aceite as
definições predefinidas ou configure a definição
individualmente e depois implemente o software.
6 Execute estes passos conforme necessário para
o seu ambiente:
• Configurar as definições gerais do servidor.
• Criar contas de utilizador.
• Configurar conjuntos de permissões.
• Configurar definições e funcionalidades
avançadas do servidor.
• Configurar componentes adicionais.
O software ePolicy Orchestrator está configurado e
pronto para proteger os seus sistemas.
• Adicionar software de segurança McAfee ao
Repositório principal
• Adicionar sistemas à Árvore de sistema
• Criar e atribuir pelo menos uma política de
segurança aos sistemas geridos.
• Agendar uma tarefa de atualização de
cliente
• Implementar os produtos de segurança nos
sistemas geridos.
Não é necessária a utilização da
Configuração guiada. Pode realizar cada
um destes passos manualmente.
4 Execute estes passos conforme necessário
para o seu ambiente:
• Configurar as definições gerais do servidor.
• Criar contas de utilizador.
• Configurar conjuntos de permissões.
• Configurar definições e funcionalidades
avançadas do servidor.
• Configurar componentes adicionais.
O software ePolicy Orchestrator está configurado
e pronto para proteger os seus sistemas.
Use a Implementação do produto durante a configuração
automática
Pode usar a Implementação inicial do produto para implementar e instalar rapidamente produtos para
ePolicy Orchestrator e para os sistemas geridos.
Antes de começar
Depois de instalar o software ePolicy Orchestrator, a Configuração automática do produto
começa a transferir e a instalar os produtos a que tem direito pela licença do site.
Não irá, provavelmente, ver a Configuração automática do produto a não ser que ocorra
um erro.
Guia do produto
33
4
Funcionalidades essenciais da configuração manual ou da Configuração guiada
Estes são os principais passos necessários para configurar automaticamente o ePolicy Orchestrator
após a instalação inicial.
Tarefa
1
Clique no ícone Iniciar o ePolicy Orchestrator no ambiente de trabalho do servidor McAfee ePO para ver o
ecrã de Início de sessão.
2
Introduza as credenciais e escolha um idioma na caixa de diálogo Iniciar sessão.
O painel Introdução ao ePolicy Orchestrator exibe a apresentação de diapositivos Bem vindo ao
ePolicy Orchestrator e os painéis de Implementação do produto.
3
Veja a apresentação de diapositivos Bem-vindo ao ePolicy Orchestrator para se familiarizar com a interface
do utilizador e com o processo de configuração.
O painel Implementação do produto apresenta todos os produtos transferidos e instalados
automaticamente pela Configuração automática do produto.
4
Confirme se os produtos instalados e as versões estão corretos e clique em Iniciar implementação.
5
Conclua a configuração do ePolicy Orchestrator executando estas tarefas conforme necessário:
•
Configurar as definições do servidor geral — As definições do servidor neste grupo afetam
funcionalidades que não precisa de modificar para que o seu servidor funcione corretamente,
mas pode personalizar alguns aspetos da forma como funciona o servidor.
•
Criar contas de utilizador e configurar conjuntos de permissões — As contas de utilizador
dão uma forma de os utilizadores acederem ao servidor e os conjuntos de permissões dão
direitos e acesso às funcionalidades do ePolicy Orchestrator.
•
Configurar as definições e funcionalidades avançadas do servidor — O servidor do
McAfee ePO disponibiliza funcionalidades adicionais para ajudá-lo a automatizar a gestão da
•
Configurar componentes adicionais — Os componentes adicionais tais como repositórios
distribuídos, servidores registados e processadores de agentes têm necessariamente de utilizar
muitas das funcionalidades avançadas do software ePolicy Orchestrator.
O servidor McAfee ePO está agora a proteger os sistemas geridos.
Funcionalidades essenciais da configuração manual ou da
Configuração guiada
Várias funcionalidades do servidor McAfee ePO são essenciais para a sua utilização pelo que terão de
ser configuradas durante a configuração manual ou Configuração guiada. Estas funcionalidades são
necessárias antes de poder implementar e gerir software de segurança nos sistemas da rede.
O software ePolicy Orchestrator vem equipado com a ferramenta de Configuração guiada. Esta
ferramenta foi concebida para ajudá-lo a configurar estas funcionalidades essenciais e para que se
familiarizar com a interface do ePolicy Orchestrator. A Configuração guiada ajuda-o a concluir os
passos necessários para:
34
1
Efetuar o registo de entrada do software de segurança da McAfee no Repositório principal, para que
possa ser implementado nos sistemas da rede.
2
Adicionar sistemas à árvore de sistema do ePolicy Orchestrator, para que possam ser geridos.
3
Criar e atribuir pelo menos uma política de segurança a ser imposta nos sistemas geridos.
Guia do produto
4
Agendar uma tarefa de atualização de cliente para manter o software de segurança atualizado.
5
Implementar o software de segurança nos sistemas geridos.
4
Não é obrigatória a utilização da Configuração guiada. Se escolher realizar estes passos manualmente,
a McAfee recomenda que utilize um fluxo de trabalho semelhante durante o processo de configuração.
Independentemente do método que escolher para configurar estas funcionalidades, pode continuar a
modificar e ajustar a configuração do servidor usando a ferramenta de Configuração guiada ou
navegando diretamente para cada página a partir do menu McAfee ePO.
Durante uma configuração automática, o servidor McAfee ePO transfere e instala todos os produtos
McAfee a que tem direito em virtude da sua licença.
Na maioria dos casos, durante uma configuração automática, o utilizador nunca vê o processo de
configuração automática do produto ser executado. Começa a ser executado assim que termina a
instalação do software ePolicy Orchestrator e, normalmente, fica concluído antes de iniciar sessão.
Se a página Configuração automática do produto aparecer quando iniciar sessão inicialmente no
ePolicy Orchestrator, é porque ocorreu um erro ao transferir ou instalar os produtos. Por exemplo, se a
ligação à Internet tiver sido interrompida. Anote o nome do produto cuja instalação falhou e clique em
Repetir para tentar instalar o produto novamente.
Se quiser parar a instalação automática do produto, clique em Parar. Uma caixa de diálogo de
confirmação pede-lhe para confirmar se quer usar o Gestor de software para instalar os produtos.
Depois de clicar em OK na caixa de diálogo de confirmação Parar a configuração automática do produto,
terá de usar o Gestor de software para instalar os produtos. A Configuração automática do produto só
está disponível durante a configuração inicial.
Se a configuração continuar a falhar durante a configuração automática do produto, entre em contacto
com o Suporte técnico da McAfee. Em alternativa, clique em OK para sair da página Configuração
automática do produto e começar a configurar o servidor McAfee ePO.
Para consultar as informações de estado da instalação do produto no futuro, abra o Gestor de
software: Menu | Software | Gestor de software.
Use a Configuração guiada para configurar funcionalidades essenciais. Ou pode usar estas tarefas para
guiá-lo quando configurar manualmente o servidor McAfee ePO.
Antes de começar
Para configurar o software do ePolicy Orchestrator manualmente ou usar a Configuração
guiada, terá de parar a execução da Configuração automática do produto. Esta tarefa parte do
princípio de que executou o Setup.exe do ePolicy Orchestrator na linha de comandos com o
parâmetro SKIPAUTOPRODINST=1 para desativar a Configuração automática do produto.
Guia do produto
35
4
Tarefa
1
Clique no ícone Iniciar o ePolicy Orchestrator no ambiente de trabalho do servidor McAfee ePO para ver o
ecrã de Início de sessão.
2
Introduza o seu nome de utilizador, palavra-passe e selecione um idioma, se necessário, e clique
em Iniciar sessão. O ePolicy Orchestrator é iniciado e apresenta a caixa de diálogo Painel.
3
Clique em Menu | Relatórios | Painéis, selecione Configuração guiada a partir da lista pendente Painel e
depois clique em Iniciar.
4
Reveja a descrição geral e instruções da Configuração guiada e depois clique em Iniciar.
5
Na página Seleção de software:
6
a
Na categoria de produtos Software não registado, clique em Licenciado ou Avaliação para apresentar os
produtos disponíveis.
b
Na tabela de Software, selecione o produto que pretende efetuar o registo de entrada. A descrição
do produto e todos os componentes disponíveis são apresentados na tabela abaixo.
c
Clique em Registar entrada de todos para efetuar o registo de entrada nas extensões do produto no
servidor do McAfee ePO e os pacotes do produto no Repositório principal.
d
Clique em Seguinte na parte superior do ecrã quando terminar de registar entrada no software e
estiver pronto para iniciar o próximo passo.
Na página Seleção do sistema:
a
Selecione o grupo na Árvore de sistema na qual quer adicionar os sistemas. Se não tiver qualquer
grupo personalizado definido, selecione A minha organização e depois clique em Seguinte. É aberta a
caixa de diálogo Adicionar os seus sistemas.
b
Selecione o método que pretende utilizar para adicionar sistemas à Árvore de sistema:
Adicionar
sistemas
utilizando...
Para...
Depois...
Sincronização com o Sincronize o servidor do McAfee
1 Na caixa de diálogo Sincronização com o
AD
ePO com o servidor do Active
AD, selecione o tipo de sincronização que
Directory (AD) ou o Controlador de
pretende utilizar e especifique as
domínio (DC). Se estiver a usar
definições apropriadas.
um destes no seu ambiente, a
Sincronização com o AD é a forma
2 Clique em Sincronizar e Guardar para ir ao
mais rápida de adicionar os
próximo passo.
sistemas à Árvore de sistema.
Manual
Adicione manualmente os sistemas 1 Na página Novos sistemas, clique em
na Árvore de sistema especificando os
Procurar para adicionar sistemas
nomes ou procurando uma lista de
individuais a partir de um domínio e
sistemas por domínio.
clique em OK ou introduza nomes de
sistema no campo Sistemas de destino.
2 Clique em Adicionar sistemas para passar ao
passo seguinte.
7
36
Na página Configuração de políticas:
Guia do produto
Selecionar...
Para...
Depois...
Aceitar predefinições Utilize a definição de política
Predefinida para o software que irá
implementar e continue a
configuração.
Configurar política
4
Especifique agora as definições de
política personalizadas para cada
produto do software que efetuou o
registo de entrada.
Este passo está concluído.
1 Na caixa de diálogo Configuração de
políticas, clique em OK.
2 Selecione um produto da Lista de produtos e
clique em Predefinida para editar as
definições da política predefinida.
3 Clique em Seguinte para passar ao passo
seguinte.
8
Na página Atualizações de software:
Selecionar...
Para...
Depois...
Criar predefinições
Crie automaticamente uma
tarefa do cliente de
atualização do produto
predefinida que seja
executada diariamente às
12h 00min.
Este passo está concluído.
Definir agenda da
tarefa
Configure manualmente a
agenda para a tarefa do
cliente de atualização do
produto.
1 Utilize o Criador de atribuições de tarefas de cliente,
especifique um Produto e o Nome da tarefa para a
tarefa de atualização do produto.
Não altere a seleção do Tipo de tarefa. Tipo de
tarefa deve ser definido para Atualização do
produto.
2 Configure as opções Bloquear a herança da tarefa e
Etiquetas e depois clique em Seguinte.
3 Especifique a agenda para a tarefa de
atualização e depois clique em Seguinte.
4 Reveja o resumo e clique em Guardar.
9
Na página Implementação de software:
a
Na Árvore de sistema, selecione a localização que contém os sistemas nos quais quer
implementar o software e depois clique em Seguinte. Clique em OK para continuar.
b
Especifique as definições da implementação do McAfee Agent e, em seguida, clique em
Implementar.
Clique em Ignorar implementação do agente se pretende esperar para executar esta ação mais tarde.
Contudo, tem de implementar agentes antes de poder implementar o restante software de
segurança.
c
Selecione os pacotes de software que pretende implementar nos sistemas geridos e depois
clique em Implementar.
10 Na página Resumo da configuração, clique em Concluir para fechar a Configuração guiada.
Guia do produto
37
4
11 Conclua a configuração do ePolicy Orchestrator executando estas tarefas conforme necessário:
•
Configurar as definições do servidor geral — As definições do servidor neste grupo afetam
funcionalidades que não precisa de modificar para que o seu servidor funcione corretamente,
mas pode personalizar alguns aspetos da forma como funciona o servidor.
•
Criar contas de utilizador e configurar conjuntos de permissões — As contas de utilizador
proporcionam uma forma de os utilizadores acederem ao servidor e os conjuntos de permissões
dão direitos e acesso às funcionalidades do ePolicy Orchestrator.
•
Configurar as definições e funcionalidades avançadas do servidor — O servidor do
McAfee ePO disponibiliza funcionalidades adicionais para ajudá-lo a automatizar a gestão da
•
Configurar componentes adicionais — Os componentes adicionais tais como repositórios
distribuídos, servidores registados e processadores de agentes têm necessariamente de utilizar
muitas das funcionalidades avançadas do software ePolicy Orchestrator.
O servidor McAfee ePO está agora a proteger os sistemas geridos.
Se utilizar um servidor proxy no ambiente de rede, precisa de especificar as definições do proxy na
página Definições do servidor.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Definições de proxy a partir de Categorias de
definição e depois clique em Editar.
2
Selecione Configurar manualmente as definições de proxy, forneça as informações de configuração específicas
que o servidor proxy utiliza para cada conjunto de opções e depois clique em Guardar.
Introduzir a chave de licença
As sua chave de licença confere-lhe uma instalação completa do software e povoa o Gestor de
software do ePolicy Orchestrator com o software McAfee licenciado detido pela sua empresa.
Sem uma chave de licença, o software executa em modo de avaliação. Uma vez expirado o período de
avaliação, o software deixa de funcionar. Pode adicionar uma chave de licença em qualquer altura
durante ou após o período de avaliação.
Tarefa
38
1
Clique em Menu | Configuração | Definições do servidor, selecione Chave de licença a partir de Categorias de
2
Introduza a Chave de licença e clique em Guardar.
Guia do produto
5
Contas de utilizador e conjuntos de
permissões
Cada conta está associada a um ou mais conjuntos de permissões, que definem aquilo que é permitido
ao utilizador fazer com o software.
Conteúdo
Contas de utilizador
Autenticação de certificados de cliente
Conjuntos de permissões
As contas de utilizador permitem-lhe controlar a forma como os utilizadores acedem e utilizam o
software. Mesmo as instalações de rede mais pequenas têm de especificar e controlar o acesso que os
utilizadores têm a várias partes do sistema.
As contas de utilizador podem ser criadas e geridas de diversas formas. Pode:
•
Criar manualmente contas de utilizador e, em seguida, atribuir a cada conta um conjunto de
permissões apropriado.
•
Configurar o servidor McAfee ePO para permitir aos utilizadores iniciar sessão utilizando a
autenticação Windows.
Permitir aos utilizadores iniciar sessão utilizando as suas credenciais do Windows é uma funcionalidade
avançada que exige a configuração de várias definições e componentes.
Embora as contas de utilizador e os conjuntos de permissões estejam estreitamente relacionados,
foram criados e configurados utilizando passos separados.
Conteúdo
Gerir contas de utilizador
Criar uma mensagem de início de sessão personalizada
Configurar o início de sessão do utilizador do Active Directory
Formatos de nome de utilizador e de palavra-passe suportados
Página Ficheiro de entrada (Importador de atribuição de política)
Gerir contas de utilizador
Pode criar, editar e eliminar contas de utilizador manualmente com a página Gestão de utilizadores.
A McAfee recomenda a desativação do Estado de início de sessão de uma conta em vez de a eliminar, até ter
a certeza de que todas as informações valiosas associadas à conta foram movidas para outros
utilizadores.
Guia do produto
39
5
Tarefa
1
Abra a página Gestão de utilizadores: clique em Menu | Gestão de utilizadores | Utilizadores.
2
Selecione uma das seguintes ações.
Ação
Passos
Criar um
utilizador
1 Clique em Novo utilizador.
2 Introduza um nome de utilizador.
3 Selecione se pretende ativar ou desativar o estado de início de sessão desta
conta. Se esta conta se destinar a alguém que ainda não faz parte da
organização, poderá querer desativá-la.
4 Selecione se a nova conta utiliza McAfee ePO McAfee ePO,Autenticação Windows, ou
Autenticação baseada em certificado e forneça as credenciais necessárias ou procure e
selecione o certificado.
5 Opcionalmente, forneça o nome completo do utilizador, o endereço de correio
eletrónico, o número de telefone e a descrição na caixa de texto Notas.
6 Escolha se quer tornar o utilizador num administrador global ou selecione os
conjuntos de permissões apropriados para o utilizador.
7 Clique em Guardar para regressar ao separador Utilizadores.
O novo utilizador aparece na lista Utilizadores da página Gestão de utilizadores.
Editar um
utilizador
1 A partir da lista Utilizadores, selecione o utilizador que pretende editar e depois
clique em Ação | Editar.
2 Edite a conta conforme necessário.
3 Clique em Guardar.
As alterações do utilizador surgem na lista Utilizadores da página Gestão de
utilizadores.
Eliminar um
utilizador
1 A partir da lista Utilizadores, selecione o utilizador que pretende eliminar e depois
clique em Ação | Eliminar.
2 Quando solicitado, clique em OK.
O utilizador desaparece da lista Utilizadores da página Gestão de utilizadores.
Criar uma mensagem de início de sessão personalizada
Crie e apresente uma mensagem de início de sessão personalizada para ser apresentada na página
Iniciar sessão.
A sua mensagem pode ser escrita em texto simples ou formatada utilizando HTML. Se criar uma
mensagem formatada em HTML, é responsável por toda a formatação e saída.
Tarefa
40
1
Clique em Menu | Configuração | Definições do servidor, selecione Mensagem de início de sessão a partir de
Categorias de definição e depois clique em Editar.
2
Selecione Apresentar mensagem de início de sessão personalizada e depois introduza a sua mensagem e clique
em Guardar.
Guia do produto
5
Configurar o início de sessão do utilizador do Active Directory
Pode reduzir o desgaste de gerir as contas de utilizador e o acesso configurando o início de sessão do
utilizador do Active Directory.
Conteúdo
Gerir os utilizadores do ePolicy Orchestrator com o Active Directory
Autenticação e estratégias de autorização em Windows
Ativar a autenticação Windows no servidor McAfee ePO
Configurar a autenticação Windows
Configurar a autorização do Windows
Gerir os utilizadores do ePolicy Orchestrator com o Active Directory
Pode utilizar credenciais do utilizador autenticado Windows para criar automaticamente utilizadores
ePolicy Orchestrator e atribuir-lhes permissões.
Este processo é acompanhado pelo mapeamento dos conjuntos de permissões do ePolicy Orchestrator
para grupos do Active Directory no ambiente. Esta funcionalidade pode reduzir os custos gerais da
gestão se tiver um grande número de utilizadores do ePolicy Orchestrator na sua organização. Para
concluir a configuração, tem de trabalhar com o seguinte processo:
•
Configure a autenticação do utilizador.
•
Registe os servidores LDAP.
•
Atribua conjuntos de permissões ao grupo do Active Directory.
Autenticação do utilizador
Os utilizadores do ePolicy Orchestrator podem ser autenticados com autenticação por palavra-passe do
ePolicy Orchestrator ou autenticação Windows. Se utilizar a autenticação Windows, pode especificar se
pretende que os utilizadores autentiquem:
•
Perante o domínio ao qual o servidor McAfee ePO está associado (predefinição).
•
Perante uma lista de um ou mais controladores de domínio.
•
Perante uma lista de um ou mais nomes de domínio estilo DNS.
•
Utilizar um servidor WINS para procurar o controlador de domínio apropriado.
Se utilizar controladores de domínio, nomes de domínio estilo DNS ou um servidor WINS, tem de
configurar as definições do servidor de autenticação Windows.
Servidores LDAP registados
É necessário registar os servidores LDAP com o servidor McAfee ePO para permitir os conjuntos de
permissões atribuídos dinamicamente aos utilizadores do Windows. Os conjuntos de permissões
atribuídos dinamicamente são conjuntos de permissões atribuídos aos utilizadores com base nas suas
associações a grupos do Active Directory.
Os utilizadores fidedignos através de fidedignidades externas de via única não são suportados.
A conta de utilizador utilizada para registar o servidor LDAP com no ePolicy Orchestrator deve ser
considerada fidedigna através de uma fidedignidade transitiva bidirecional ou deve existir fisicamente
no domínio ao qual o servidor LDAP pertence.
Guia do produto
41
5
Autorização do Windows
As definições do servidor para autorização do Windows especifica que servidor do Active Directory
(AD) o ePolicy Orchestrator utiliza para recolher informações do utilizador e do grupo para um domínio
particular. Pode especificar vários controladores de domínio e servidores AD. Esta definição do servidor
suporta a capacidade de atribuir dinamicamente conjuntos de permissões aos utilizadores que
forneçam as credenciais do Windows quando iniciam sessão.
O ePolicy Orchestrator pode atribuir dinamicamente conjuntos de permissões aos utilizadores
autenticados Windows, mesmo que o início de sessão do utilizador do Active Directory não esteja
ativado.
Atribuir permissões
Tem de atribuir, pelo menos, um conjunto de permissões a um grupo do AD que não o grupo principal
do utilizador. A atribuição dinâmica de conjuntos de permissões a um grupo principal do utilizador não
é suportada e resulta na aplicação apenas das permissões atribuídas manualmente ao utilizador
individual. O grupo principal predefinido é "Utilizadores de domínio".
Início de sessão do utilizador do Active Directory
Quando tiver configurado as secções abordadas anteriormente, pode ativar a definição do servidor de
criação automática de utilizador. A criação automática de utilizador permite que os registos do
utilizador sejam automaticamente criados quando são satisfeitas as seguintes condições:
•
Os utilizadores fornecem credenciais válidas, utilizando formato <domínio\nome>. Por exemplo,
um utilizador com credenciais do Windows jsmith1, que seja membro do domínio do Windows
chamado eng, forneceria as seguintes credenciais: eng\jsmith1, junto com a palavra-passe
apropriada.
•
Um servidor do Active Directory que contenha informações sobre este utilizador foi registado com o
•
O utilizador é um membro de pelo menos um Domínio local ou grupo Global de domínio que
executa o mapeamento para um conjunto de permissões ePolicy Orchestrator.
Autenticação e estratégias de autorização em Windows
Pode recorrer a várias abordagens ao planear a forma de registo dos servidores LDAP. Despender
algum tempo antecipadamente para planear a estratégia de registo do servidor, ajudá-lo-á a conseguir
fazê-lo logo à primeira e a reduzir os problemas relacionados com a autenticação do utilizador.
O ideal seria que este processo fosse realizado só uma vez, fazendo alterações apenas se a topologia
geral da rede geral sofrer alterações. Assim que os servidores estiverem registados e a autenticação
Windows estiver configurada, não será necessário modificar estas definições com frequência.
Autenticação versus autorização
A Autenticação implica verificar a identidade do utilizador. Este é o processo de fazer corresponder as
credenciais fornecidas pelo utilizador a algo que o sistema considera autêntico. Isto pode ser uma
conta de servidor do McAfee ePO, as credenciais do Active Directory ou um certificado. Se pretender
utilizar a autenticação Windows, é necessário examinar como os domínios (ou servidores) que contêm
as contas de utilizador estão organizados.
A Autorização faz-se após ter verificado as credenciais do utilizador. É onde os conjuntos de
permissões são aplicados, determinando o que o utilizador pode fazer dentro do sistema. Ao utilizar a
autenticação Windows, é possível determinar que utilizadores de diferentes domínios devem ser
autorizados a tal. Isto faz-se anexando os conjuntos de permissões a grupos contidos nestes
domínios.
42
Guia do produto
5
Topologia da rede da conta de utilizador
O esforço que será necessário para configurar completamente a autorização e a autenticação Windows
depende da topologia da rede e da distribuição das contas de utilizador pela rede.
•
Se as credenciais para potenciais utilizadores estiverem todas contidas num pequeno conjunto de
domínios (ou servidores) contidos numa única árvore de domínio, registe simplesmente a raiz
dessa árvore, e está feito.
•
Se as contas de utilizador estiverem mais espalhadas, terá que registar um número de servidores
ou domínios. Determine o número mínimo de subárvores de domínio (ou servidor) que irá precisar
e registe as raízes dessas árvores. Tente registá-las pela ordem que serão mais usadas. Já que o
processo de autenticação percorre a lista de domínios (ou servidores) pela ordem em que estão
listados, colocar os domínios geralmente mais usados no topo da lista melhorará o desempenho de
autenticação médio.
Estrutura da permissão
Para que os utilizadores possam iniciar sessão num servidor do McAfee ePO usando a autenticação
Windows, tem de ser anexado ao grupo do Active Directory um conjunto de permissões ao qual
pertencem as suas contas no domínio. Ao determinar a forma como os conjuntos de permissões
devem ser atribuídos, tenha em consideração as seguintes capacidades:
•
Os conjuntos de permissões podem ser atribuídos a múltiplos grupos do Active Directory.
•
Os conjuntos de permissões podem ser atribuídos de forma dinâmica apenas a um grupo do Active
Directory inteiro. Não podem ser atribuídos apenas a alguns utilizadores dentro de um grupo.
Se precisar de atribuir permissões especiais a um utilizador individual, pode fazê-lo criando um grupo
de Active Directory que contenha apenas esse utilizador.
Ativar a autenticação Windows no servidor McAfee ePO
Antes de uma autenticação mais avançada do Windows poder ser utilizada, o servidor tem de estar
preparado.
Para ativar a página Autenticação Windows nas definições do servidor, primeiro terá de parar o serviço
ePolicy Orchestrator. Esta tarefa deve ser realizada no próprio servidor McAfee ePO.
Tarefa
1
Na consola do servidor, selecione Iniciar | Definições | Painel de controlo | Ferramentas administrativas
2
Selecione Serviços.
3
Na janela Serviços, clique com o botão direito do rato em Servidor de aplicação McAfee ePolicy Orchestrator e
selecione Parar.
4
Mude o nome de Winauth.dll para Winauth.bak.
Na instalação predefinida, este ficheiro é encontrado em C:\Program Files\McAfee\ePolicy
Orchestrator\Server\bin.
5
Reinicie o servidor.
Da próxima vez que abrir a página Definições do servidor, é apresentada uma opção de Autenticação
Windows.
Guia do produto
43
5
Configurar a autenticação Windows
Existem várias formas de utilizar as credenciais da conta existente Windows dentro do ePolicy
Orchestrator.
Antes de começar
Primeiro terá de ter preparado o servidor para autenticação Windows.
O modo como configura estas definições depende de vários problemas:
•
Pretende utilizar vários controladores de domínio?
•
Tem utilizadores espalhados por vários domínios?
•
Pretende utilizar um servidor WINS para procurar qual o domínio que os utilizadores estão a usar
para se autenticarem?
Sem qualquer configuração especial, os utilizadores podem autenticar-se com credenciais Windows no
domínio a que o servidor McAfee ePO está a ligado ou qualquer domínio que possua uma relação
considerada fidedigna de duas vias com o domínio do servidor McAfee ePO. Se tiver utilizadores no
domínio que não cumpram esses critérios, configure a autenticação Windows.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor e depois selecione Autenticação Windows a partir da
lista Categorias de definições.
2
Clique em Editar.
3
Especifique se pretende utilizar um ou mais domínios, um ou mais controladores de domínio ou um
servidor WINS.
Os domínios tem de ser fornecidos em formato DNS. (por exemplo, dominiointerno.com) Os
controladores de domínio e os servidores WINS têm de ter nomes de domínio completamente
qualificados. (por exemplo, dc.dominiointerno.com)
Pode especificar vários domínios ou controladores de domínio, mas apenas um servidor WINS.
Clique em + para acrescentar mais domínios ou controladores de domínio à lista.
4
Clique em Guardar quando tiver terminado de adicionar servidores.
Se especificar domínios ou controladores de domínio, o servidor McAfee ePO tentará autenticar os
utilizadores com servidores na ordem em que estão listados. Começa pelo primeiro servidor na lista e
continua pela lista abaixo até que o utilizador efetue se autentique com êxito.
Configurar a autorização do Windows
Os utilizadores que tentem iniciar sessão num servidor do McAfee ePO com autenticação Windows
precisam de um conjunto de permissões atribuído a um dos seus grupos do Active Directory.
Tarefa
44
1
Clique em Menu | Gestão de utilizadores | Conjuntos de permissões.
2
Escolha um conjunto de permissões existente a partir da lista Conjuntos de permissões e clique em Editar
na secção Nome e utilizadores ou clique em Ações | Novo.
3
Selecione os utilizadores individuais a que o conjunto de permissões se aplica.
Guia do produto
5
4
Selecione um Nome de servidor a partir da lista e clique em Adicionar.
5
No browser LDAP, navegue pelos grupos e selecione os grupos aos quais se aplica este conjunto de
permissões.
Ao selecionar um item no painel Procurar serão apresentados os membros desse item no painel
Grupos. Pode selecionar qualquer número desses grupos para receber, de forma dinâmica, o
conjunto de permissões. Apenas podem ser adicionados os membros de um item de cada vez. Se
precisar de adicionar mais, repita os passos 4 e 5 até terminar.
6
Clique em Guardar.
O conjunto de permissões será agora aplicado a todos os utilizadores dos grupos de quem especificou
o início de sessão no servidor utilizando a autenticação Windows.
Formatos de nome de utilizador e de palavra-passe suportados
Reveja estes formatos suportados ao criar nomes de utilizador e palavras-passe de bases de dados
SQL.
Todos os carateres impressos do conjunto de carateres ISO8859-1 são suportados com as seguintes
exceções.
Plataforma
Carateres de palavra-passe e nome de utilizador não suportados
McAfee ePO
• Espaços iniciais, espaços finais ou palavras-passe compostas apenas por espaços
• Aspas duplas (")
• Barras invertidas iniciais (\)
• Dois pontos em nomes de utilizador (:)
• Ponto e vírgula em nomes de utilizador (;)
Página Ficheiro de entrada (Importador de atribuição de
política)
Procure um ficheiro XML que contenha as atribuições de política que pretende importar.
Tabela 5-1 Definições da opção
Opção
Definição
Ficheiro a importar Especifica o ficheiro XML de atribuição de política que pretende importar. Selecione
Procurar para navegar até ao ficheiro.
Os clientes podem utilizar um certificado digital como credenciais de autenticação quando iniciam
sessão num servidor McAfee ePO.
Conteúdo
Quando utilizar a autenticação com certificado de cliente
Configurar a autenticação de certificados de cliente do ePolicy Orchestrator
Modificar a autenticação do servidor McAfee ePO baseada em certificado
Desativar a autenticação de certificados de cliente do servidor McAfee ePO
Configurar os utilizadores para autenticação com certificado
Atualizar o ficheiro CRL
Problemas com a autenticação por certificado de cliente
Certificados SSL
Guia do produto
45
5
Criar um certificado auto-assinado com o OpenSSL
Outros comandos OpenSSL úteis
Converter um ficheiro PVK existente em ficheiro PEM
Quando utilizar a autenticação com certificado de cliente
A autenticação com certificado de cliente é o método mais seguro disponível. Contudo, esta não é a
melhor escolha para todos os ambientes.
A autenticação com certificado de cliente é uma extensão da autenticação com chave pública. Ela
utiliza chaves públicas como uma base, mas difere da autenticação com chave pública na qual apenas
precisa de confiar num terceiro fidedigno conhecido como uma Autoridade de certificação (ou AC). Os
certificados são documentos digitais contendo uma combinação de informações sobre a identidade e
as chaves públicas e são digitalmente assinados pela AC, que verifica se a informação está exata.
Vantagens da autenticação baseada em certificado
A autenticação baseada em certificado possui uma quantidade de vantagens em relação a
autenticação com palavra-passe:
•
Os certificados têm duração predefinida. Isto permite uma revisão forçada e periódica das
permissões do utilizador quando o seu certificado expira.
•
Se o acesso de um utilizador tiver de ser suspenso ou terminado, o certificado pode ser adicionado
a uma lista de revogação de certificados, ou CRL, que é verificada em cada tentativa de início de
sessão para impedir o acesso não autorizado.
•
A autenticação com certificado é mais fácil de gerir e escalável em grandes instituições do que
outras formas de autenticação porque apenas um pequeno número de ACs (frequentemente
apenas uma) deve ser fidedigna.
Desvantagens da autenticação baseada em certificado
Nem todo ambiente é apropriado para a autenticação baseada em certificado. As desvantagens deste
método incluem:
•
É necessária uma infraestrutura de chave pública. Isto pode acarretar custos adicionais que, em
alguns casos, podem não compensar a segurança adicional.
•
É necessário trabalho adicional para manter certificados em comparação com a autenticação
baseada em palavra-passe.
Configurar a autenticação de certificados de cliente do ePolicy
Orchestrator
Antes que os utilizadores possam iniciar sessão com autenticação com certificado, o ePolicy
Orchestrator tem de ser configurado correctamente.
Antes de começar
Já deve ter recebido um certificado assinado em formato P7B, PKCS12, DER, ou PEM.
Tarefa
46
1
Clique em Menu | Configuração | Definições do servidor.
2
Selecione Autenticação baseada em certificado e depois clique em Editar.
3
Selecione Ativar a autenticação baseada em certificado.
4
Clique em Procurar ao lado de Certificado AC para certificado de cliente (P7B, PEM).
Guia do produto
5
5
Navegue e selecione o ficheiro do certificado e depois clique em OK.
6
Se tiver um ficheiro CRL Lista revogada de certificado, clique em Procurar ao lado desta caixa de edição e
clique em OK.
7
Clique em Guardar para guardar todas as alterações.
8
Reinicie o ePolicy Orchestrator para ativar a autenticação com certificado.
Modificar a autenticação do servidor McAfee ePO baseada em
certificado
Os servidores que exigem certificados para ligações SSL oferecem maior segurança que as sessões
HTTP padrão.
Antes de começar
Para carregar um certificado assinado, tem de já ter recebido um certificado do servidor de
uma Autoridade de certificação (AC).
É possível criar certificados assinados automaticamente em vez de utilizar os assinados externamente,
embora isto acarrete um risco ligeiramente elevado. Esta tarefa pode ser utilizada para configurar
inicialmente a autenticação baseada em certificado ou modificar uma configuração existente com um
certificado atualizado.
Tarefa
1
2
3
Selecione Ativar a autenticação baseada em certificado.
4
Clique em Procurar ao lado de Certificado AC para certificado de cliente. Navegue até ao ficheiro do
certificado, selecione-o e depois clique em OK.
Depois de o ficheiro ser aplicado, o pedido muda para Substituir certificado AC atual.
5
Se forneceu um ficheiro de certificado PKCS12, introduza uma palavra passe.
6
Se pretender fornecer um ficheiro de lista de certificados revogados (CRL), clique em Procurar junto
de Ficheiro de lista de certificados revogados (PEM). Procure e selecione o ficheiro CRL e clique em OK.
O ficheiro CRL deve estar no formato PEM.
7
Selecione as definições avançadas, se necessário.
8
9
Reinicie o servidor para ativar as alterações às definições da autenticação baseada em certificado.
Desativar a autenticação de certificados de cliente do servidor
McAfee ePO
Os certificados do servidor podem e devem ser desativados se já não estiverem a ser utilizados.
Antes de começar
O servidor terá de já estar configurado para autenticação com certificado de cliente, antes
de poder desativar os certificados do servidor.
Guia do produto
47
5
Depois de carregar o certificado do servidor, o certificado só poderá ser desativado e não removido.
Tarefa
1
Abra a página Definições do servidor, selecionando Menu | Configuração | Definições do servidor.
2
3
Desmarque Ativar autenticação baseada em certificado e depois clique em Guardar.
As definições do servidor foram alteradas, mas é necessário reiniciar o servidor para concluir a
alteração da configuração.
Configurar os utilizadores para autenticação com certificado
Os utilizadores têm de configurar a autenticação com certificado antes de se poderem autenticar com
o certificado digital.
Os certificados utilizados na autenticação do utilizador são normalmente adquiridos com um smart
card ou dispositivo semelhante. O software agregado com o hardware smart card pode extrair o
ficheiro do certificado. Este ficheiro do certificado extraído é, geralmente, o ficheiro carregado neste
procedimento.
Tarefa
1
Clique em Menu | Gestão de utilizadores | Utilizadores.
2
Selecione um utilizador e clique em Ações | Editar.
3
Selecione Alterar autenticação ou credenciais, depois selecione Autenticação baseada em certificado.
4
Utilize um destes métodos para fornecer credenciais.
•
Copie o campo de nome distinto a partir do ficheiro do certificado e cole-o na caixa de edição
Campo de nome distinto do sujeito do certificado pessoal.
•
Carregue o ficheiro de certificado que foi assinado com o certificado AC carregado na secção
Configurar o ePolicy Orchestrator para autenticação com certificado. Clique em Procurar, navegue
e selecione o ficheiro de certificado no seu computador e clique em OK.
Os certificados do utilizador podem ser codificados em PEM ou DER. O formato de certificado real
não interessa, visto que o formato está conforme com X.509 ou PKCS12.
5
Clique em Guardar para guardar as alterações da configuração do utilizador.
A informação do certificado fornecida é verificada e é emitido um aviso se for considerada inválida.
Deste ponto em diante, quando o utilizador tentar iniciar sessão no ePolicy Orchestrator a partir de um
browser que não tem o certificado do utilizador instalado, o formulário de início de sessão aparece a
cinzento e o utilizador é imediatamente autenticado.
Atualizar o ficheiro CRL
Pode atualizar o ficheiro de lista de certificados revogados (CRL) instalado no servidor McAfee ePO
para parar o acesso ao ePolicy Orchestrator por utilizadores específicos.
Antes de começar
Terá de ter um ficheiro CRL em formato ZIP ou PEM.
48
Guia do produto
5
O ficheiro CRL é uma lista de utilizadores ePolicy Orchestrator revogados e do seu estado do
certificado digital. A lista inclui os certificados revogados, o(s) motivo(s) da revogação, as datas de
emissão do certificado e a entidade emitente. Quando um utilizador tenta aceder ao servidor McAfee
ePO, o ficheiro CRL é verificado e permite ou nega o acesso a esse utilizador.
Tarefa
1
2
3
Para atualizar o ficheiro Lista revogada de certificado, clique em Procurar ao lado desta caixa de edição,
navegue até ao ficheiro CRL e clique em OK.
4
5
Reinicie o ePolicy Orchestrator para ativar a autenticação com certificado.
Também pode utilizar a a linha de comandos cURL para atualizar o ficheiro CRL. Por exemplo, na
linha de comandos cURL, introduza:
Para executar comandos cURL a partir da linha de comandos, tem de ter o cURL instalado e acesso
remoto ao servidor McAfee ePO. Consulte ePolicy Orchestrator 5.0.0 - Guia de processamento de
scripts para obter detalhes sobre a transferência do cURL e outros exemplos.
curl -k --cert <admin_cert>.pem --key <admin_key>.pem https://<localhost>:<port>/
remote/console.cert.updatecrl.do -F crlFile=@<crls>.zip
Neste comando:
•
<admin_cert> — Nome de ficheiro .PEM do certificado de cliente do administrador
•
<admin_key> — Nome de ficheiro .PEM da chave de cliente do administrador
•
<localhost>:<port> — Nome do servidor McAfee ePO e número de porta de comunicação
•
<crls> — Nome de ficheiro CRL .PEM ou .zip
Agora, o novo ficheiro CRL é verificado sempre que um utilizador acede ao servidor McAfee ePO para
confirmar que a autenticação de certificados não foi revogada.
Problemas com a autenticação por certificado de cliente
A maior parte dos problemas de autenticação utilizando certificados são causados por um pequeno
número de problemas.
Se um utilizador não puder iniciar sessão no ePolicy Orchestrator com o certificado dele, tente uma
das seguintes opções para resolver o problema:
•
Verifique se o utilizador não foi desativado.
•
Verifique se o certificado não está expirado ou revogado.
•
Verifique se o certificado está assinado com a autoridade de certificação correta.
•
Verifique se o campo DN (nome distinto) está correto na página de configuração do utilizador.
•
Verifique se o browser está a fornecer o certificado correto.
•
Consulte o registo de auditoria para mensagens de autenticação.
Certificados SSL
Os browsers suportados pelo McAfee ePO apresentam um aviso sobre o certificado SSL de um servidor
se não puder verificar se o certificado é válido ou assinado por uma origem que o browser confia. Por
Guia do produto
49
5
predefinição, o servidor do McAfee ePO utiliza um certificado autoassinado para comunicação SSL com
o browser da Web que, por predefinição, o browser não considera fidedigno. Isto provoca uma
mensagem de aviso apresentada sempre que visita a consola do McAfee ePO.
Para interromper a apresentação da mensagem de aviso, deve optar por um das seguintes:
•
Adicione o certificado do servidor McAfee ePO à coleção de certificados fidedignos usados pelo
browser.
Isto terá de ser feito em todos os browsers que interagem com o McAfee ePO. Se o certificado do
browser se alterar, tem de adicionar novamente o certificado do servidor McAfee ePO, visto que a
certificado enviado pelo servidor já não corresponde àquele para que o browser está configurado
para utilizar.
•
Substitua o certificado do servidor McAfee ePO predefinido por um certificado válido que tenha sido
assinado por uma autoridade de certificação (AC) que o browser considera como fidedigno. Esta é a
melhor opção. Pelo fato do certificado estar assinado por uma AC fidedigna, não precisa de
adicionar o certificado a todos os browsers da Web dentro da organização.
Se o nome de anfitrião do servidor alterar, pode substituir o certificado do servidor por outro, que
também seja assinado por uma AC fidedigna.
Para substituir o certificado do servidor do McAfee ePO, primeiro tem de obter o certificado — de
preferência um certificado que tenha sido assinado por uma AC fidedigna. Também tem de obter a
chave privada do certificado e a sua palavra-passe (se tiver uma). Depois, pode utilizar todos estes
ficheiros para substituir o certificado do servidor. Para mais informações sobre substituição dos
certificados do servidor, consulte Chaves de segurança e o seu funcionamento.
O browser do McAfee ePO espera que os ficheiros ligados usem o seguinte formato:
•
Certificado do servidor — P7B ou PEM
•
Chave privada — PEM
Se o certificado do servidor ou a chave privada não estiverem nestes formatos, devem ser convertidos
para um dos formatos suportados antes que possam ser utilizados para substituir o certificado do
servidor.
Substituir o certificado do servidor
Pode especificar o certificado do servidor e a chave privada utilizados pelo ePolicy Orchestrator nas
Definições do servidor.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor e depois clique em Certificado do servidor na lista
Categorias das definições.
2
Clique em Editar. É apresentada a página Editar certificado do servidor.
3
Procure e selecione o ficheiro do certificado do servidor e clique em Abrir.
4
Procure o ficheiro da chave privada e clique em Abrir.
5
Se necessário, introduza a palavra-passe da chave privada.
6
Clique em Guardar.
Após aplicar o novo certificado e a chave privada, precisa reiniciar o ePolicy Orchestrator para que a
alteração surta efeito.
50
Guia do produto
5
Instalar o certificado de segurança quando utilizar o Internet Explorer
Evite que a solicitação de certificado apareça sempre que iniciar sessão, instalando o certificado de
segurança.
Tarefa
1
A partir do browser, inicie o ePolicy Orchestrator. É apresentada a página Erro de certificado:
navegação bloqueada.
2
Clique em Continuar neste Web site (não recomendado) para abrir a página de início de sessão. A barra de
endereço está vermelha, indicando que o browser não pode verificar o certificado de segurança.
3
À direita da barra de endereços, clique em Erro de certificado para apresentar o aviso Certificado inválido.
4
Na parte inferior do aviso, clique em Ver certificados para abrir a caixa de diálogo Certificado.
Não clique em Instalar certificado no separador Geral. Se fizer isso, o processo falhará.
5
Selecione o separador Caminho da certificação e depois selecione Orion_CA_<nomeservidor> e clique em Ver
certificado. É aberta outra caixa de diálogo no separador Geral, apresentando a informação do
certificado.
6
Clique em Instalar certificado para abrir o assistente Importação do certificado.
7
Clique em Seguinte para especificar onde o certificado está armazenado.
8
Selecione Colocar todos os certificados no seguinte arquivo e depois clique em Procurar para selecionar uma
localização.
9
Selecione a pasta Autoridades do certificado de raiz fidedigna da lista, clique em OK e depois clique em
Seguinte.
10 Clique em Concluir. Na página apresentada de Aviso de Segurança, clique em Sim.
11 Feche o browser.
12 Altere o destino do atalho no ambiente de trabalho do ePolicy Orchestrator para utilizar o nome
NetBIOS do servidor do McAfee ePO em vez de "localhost".
13 Reinicie o ePolicy Orchestrator
Agora quando iniciar sessão no ePolicy Orchestrator, não será mais solicitado a aceitar o certificado.
Instalar o certificado de segurança quando utilizar o Firefox 3.5 ou
superior
Pode instalar o certificado se segurança quando utilizar o Firefox 3.5 ou superior, para que não seja
apresentada a caixa de diálogo de aviso sempre que iniciar sessão.
Tarefa
1
A partir do browser, inicie o ePolicy Orchestrator. É apresentada a página A ligação segura falhou.
2
Clique em Ou pode adicionar uma exceção na parte inferior da página. A página agora apresenta o botão
Adicionar exceção.
3
Clique em Adicionar exceção. É apresentada a caixa de diálogo Adicionar exceção de segurança.
Guia do produto
51
5
4
Clique em Obter certificado. A informação sobre o Estado de certificação é povoada e o botão
Confirmar exceção da segurança é ativado.
5
Certifique-se de que Armazenar permanentemente esta exceção está selecionado e depois clique em Confirmar
exceção de segurança.
Agora, quando iniciar sessão no ePolicy Orchestrator, não será mais solicitado a aceitar o certificado.
Criar um certificado auto-assinado com o OpenSSL
Há alturas em que poderá não conseguir, ou em que não quer, aguardar que um certificado seja
autenticado por uma autoridade de certificação. Durante os testes iniciais ou no caso de sistemas
utilizados em redes internas, um certificado auto-assinado pode fornecer a segurança e funcionalidade
básicas necessárias.
Antes de começar
Para criar um certificado auto-assinado, tem de instalar o software OpenSSL for Windows.
O OpenSSL está disponível em:
http://www.slproweb.com/products/Win32OpenSSL.html
Para criar e autoassinar um certificado para utilizar no servidor do McAfee ePO, utilize o software
OpenSSL for Windows.
Há muitas ferramentas que pode utilizar para criar um certificado autoassinado. Esta tarefa descreve o
processo utilizando o OpenSSL.
A estrutura de ficheiro utilizada na seguinte tarefa é:
O OpenSSL não cria estas pastas por predefinição. São utilizadas nestes exemplos e podem ser criadas
para ajudá-lo a localizar os ficheiros de saída.
•
C:\ssl\ — Pasta de instalação do OpenSSL
•
C:\ssl\certs\ — Utilizada para guardar os certificados criados
•
C:\ssl\keys\ — Utilizada para guardar as chaves criadas
•
C:\ssl\requests\ — Utilizada para guardar os pedidos de certificação criados.
Tarefa
1
Para gerar a chave de certificado inicial, introduza o comando que se segue na linha de comandos:
C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 1024
É apresentado o seguinte ecrã.
52
Guia do produto
2
5
Introduza uma frase de acesso na linha de comandos inicial e verifique a frase de acesso no
seguindo pedido.
Anote a frase de acesso introduzida. Irá precisar dela mais tarde.
São gerados os nomes de ficheiros ca.key e guardados no caminho C:\ssl\keys\.
A chave é parecida com o seguinte exemplo.
3
Para autoassinar a chave de certificado que acabou de criar, introduza o seguinte comando na linha
de comandos:
openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer
É apresentado o seguinte ecrã.
Introduza as informações necessárias após as seguintes linhas de comandos:
•
Country Name (2 letter code) [AU]: (Nome do país (código de 2 letras) [AU]:)
•
State or Province Name (full name) [Some-State]: (Nome do estado ou da província(nome completo) [Estado
algum]:)
•
Locality Name (eg, city) []: (Nome da localidade (por exemplo, cidade) []:)
Guia do produto
53
5
•
Organization Name (eg, company) [Internet Widgits Pty Ltd]: (Nome da organização (por exemplo, empresa)
[Internet Widgits Pty Ltd]:)
•
Organizational Unit Name (eg, section) []: (Nome da unidade organizacional (por exemplo, secção) []:)
•
Nome comum (por exemplo, o SEU nome) []:
Neste pedido, introduza o nome do servidor, por exemplo o nome do servidor do McAfee ePO.
•
Email Address []: (Endereço de correio eletrónico []:)
É gerado o ficheiro com o nome ca.cer e guardado no caminho C:\ssl\certs\.
O certificado auto-assinado é parecido com o seguinte exemplo.
Para providenciar a que autoridades terceiras, como por exemplo a VeriSign ou a autoridade de
certificação Microsoft Windows Enterprise, criem um certificado assinado para o ePolicy
Orchestrator, consulte o artigo da KnowledgeBase KB72477.
4
Carregue e faça a gestão do certificado no servidor McAfee ePO.
Outros comandos OpenSSL úteis
Pode utilizar outros comandos OpenSSL para extrair e combinar as chaves em certificados PKCS12
gerados e para converter um ficheiro PEM de chave privada protegido por palavra-passe para um
ficheiro protegido sem palavra-passe.
Comandos para utilizar com certificados PKCS12
Utilize os seguintes comandos para criar um certificado PKCS12 com ambos o certificado e chave num
só ficheiro.
Descrição
Formato dos comandos OpenSSL
Cria um certificado e uma chave
num só ficheiro
openssl req -x509 -nodes -days 365 -newkey rsa:
1024 -config path \openssl.cnf -keyout path
\pkcs12Example.pem -out path \pkcs12Example.pem
Exporta a versão PKCS12 do
certificado
openssl pkcs12 -export -out path
\pkcs12Example.pfx -in path \pkcs12Example.pem -name "
user_name_string "
Utilize os seguintes comandos para separar o certificado e a chave de um certificado PKCS12 com
ambos combinados.
54
Guia do produto
5
Descrição
Formato dos comandos OpenSSL
Extrai a chave .pem de .pfx
openssl pkcs12 -in pkcs12ExampleKey.pfx -out
pkcs12ExampleKey.pem
Remove a palavra-passe na
chave
openssl rsa -in pkcs12ExampleKey.pem -out
pkcs12ExampleKeyNoPW.pem
O servidor ePolicy Orchestrator pode então utilizar o
pkcs12ExampleCert.pem como certificado e o
pkcs12ExampleKey.pem como chave (ou a chave sem palavra-passe
pkcs12ExampleKeyNoPW.pem).
Comando para converter um ficheiro PEM de chave privada protegido por
palavra-passe
Para converter um ficheiro PEM de chave privada protegido por palavra-passe para um ficheiro
protegido sem palavra-passe, introduza:
openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem
No exemplo anterior, "C:\ssl\keys" corresponde aos caminhos de entrada e saída dos nomes de
ficheiros "key.pem" e "keyNoPassword.pem".
Converter um ficheiro PVK existente em ficheiro PEM
O browser do ePolicy Orchestrator suporta chaves privadas com codificação PEM. Isto inclui tanto
chaves privadas protegidas por palavra-passe como sem palavra-passe. Utilizando o OpenSSL, pode
converter uma chave com formatação PVK em formato PEM.
Antes de começar
Para converter o ficheiro com formatação PVK, instale o software OpenSSL for Windows.
Está disponível em:
http://www.slproweb.com/products/Win32OpenSSL.html
Utilizando o software OpenSSL for Windows, converta o seu certificado em formato PVK para formato
PEM.
Tarefa
1
Para converter um ficheiro PVK criado anteriormente em ficheiro PEM, introduza o seguinte na linha
de comandos:
openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl
\keys\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd
No exemplo anterior os argumentos "-passin" e "-passout" são opcionais.
2
Se lhe for solicitado, introduza a palavra-passe utilizada quando criou originalmente o ficheiro PKV.
Se o argumento "-passout" não for utilizado no exemplo anterior, a chave com formatação PEM
recém criada não está protegida por palavra-passe.
Guia do produto
55
5
Os conjuntos de permissões controlam o nível de acesso que os utilizadores têm para as
funcionalidades disponíveis no software.
Até a mais pequena das instalações do ePolicy Orchestrator precisa de especificar e controlar o acesso
que os utilizadores têm para as diferentes partes do sistema.
Conteúdo
Como é que se conjugam os utilizadores, os grupos e os conjuntos de permissões
Trabalhar com conjuntos de permissões
Como é que se conjugam os utilizadores, os grupos e os
conjuntos de permissões
O acesso aos itens no ePolicy Orchestrator é controlado por interações entre os utilizadores, os grupos
e os conjuntos de permissões.
Utilizadores
Os utilizadores classificam-se em duas categorias gerais. Ou são administradores, tendo plenos
direitos em todo o sistema, ou são utilizadores normais. Aos utilizadores normais pode ser atribuído
qualquer número de conjuntos de permissões para definir os seus níveis de acesso no ePolicy
Orchestrator.
As contas de utilizador podem ser criadas e geridas de diversas formas. Pode:
•
Criar manualmente contas de utilizador e, em seguida, atribuir a cada conta um conjunto de
permissões apropriado.
•
Configurar o servidor McAfee ePO para permitir aos utilizadores iniciar sessão utilizando a
autenticação Windows.
Permitir aos utilizadores iniciar sessão utilizando as suas credenciais do Windows é uma funcionalidade
avançada que exige a configuração de várias definições e componentes. Para mais informações sobre
esta opção, consulte Gerir utilizadores do ePolicy Orchestrator com o Active Directory.
Embora as contas de utilizador e os conjuntos de permissões estejam estreitamente relacionados,
foram criados e configurados utilizando passos separados. Para mais informações sobre os conjuntos
de permissões, consulte Gerir conjuntos de permissões.
Administradores
Os administradores têm permissões de leitura e gravação e direitos para todas as operações. Ao
instalar o servidor, é criada automaticamente uma conta de administrador. Por predefinição, o nome
de utilizador desta conta é admin. Se o valor predefinido for alterado durante a instalação, a esta conta
também será atribuído esse nome em conformidade.
Pode criar contas de administrador adicionais para pessoas que precisem de direitos de administrador.
As permissões exclusivas para os administradores incluem:
56
•
Criar, editar e eliminar sites de origem e de recuperação.
•
Alterar as definições do servidor.
•
Adicionar e eliminar contas de utilizador.
•
Adicionar, eliminar e atribuir conjuntos de permissões.
•
Importar eventos para as bases de dados do ePolicy Orchestrator e limitar eventos que estão aí
armazenados.
Guia do produto
5
Grupos
As consultas e os relatórios são atribuídos a grupos. Cada grupo pode ser privado (apenas para esse
utilizador), globalmente público (ou "partilhado") ou partilhado para um ou mais conjuntos de
permissões.
Um perfil de acesso particular é definido dentro de um conjunto de permissões. Isto geralmente
envolve uma combinação de níveis de acesso a várias partes do ePolicy Orchestrator. Por exemplo, um
conjunto de permissões único poderá conceder a capacidade para ler o registo de auditoria, utilizar
painéis públicos ou partilhados e criar e editar consultas ou relatórios públicos.
Os conjuntos de permissões podem ser atribuídos a utilizadores individuais, ou se utilizar o Active
Directory, a todos os utilizadores de servidores do Active Directory específicos.
Trabalhar com conjuntos de permissões
Pode controlar o acesso do utilizador, criar e modificar conjuntos de permissões a partir da página
Conjuntos de permissões.
Tarefas
•
Gerir conjuntos de permissões na página 57
Controle o acesso do utilizador, crie, modifique, exporte e importe conjuntos de permissões
a partir da página Conjuntos de permissões.
•
Exportar e importar conjuntos de permissões na página 59
Quando tiver definido completamente os conjuntos de permissões, o modo mais rápido de
os migrar para outros servidores McAfee ePO é exportá-los e importá-los noutros
servidores.
Gerir conjuntos de permissões
Controle o acesso do utilizador, crie, modifique, exporte e importe conjuntos de permissões a partir da
página Conjuntos de permissões.
Quando tiver definido completamente os conjuntos de permissões, o modo mais rápido de os migrar
para outros servidores do McAfee ePO é exportá-los e importá-los noutros servidores.
Tarefa
1
Abra a página Conjuntos de permissões: clique em Menu | Gestão de utilizadores | Conjuntos de permissões.
2
Guia do produto
57
5
Ação
Passos
Crie um novo
conjunto de
permissões.
1 Clique em Ações | Novo.
2 Introduza um nome para o novo conjunto de permissões.
O ePolicy Orchestrator não lhe permite utilizar um nome existente. Cada nome
do conjunto de permissões tem de ser exclusivo.
3 Se pretende atribuir imediatamente utilizadores específicos a este conjunto de
permissões, selecione os seus nomes de utilizador na secção Utilizadores.
4 Se existirem grupos do Active Directory em que pretende todos os utilizadores
desse grupo mapeados para este conjunto de permissões, selecione o servidor
a partir da lista Nome do servidor e clique em Adicionar.
5 Se adicionou alguns servidores do Active Directory que pretende remover,
selecione-os na caixa de lista Active Directory e clique em Remover.
6 Clique em Guardar para criar o conjunto de permissões.
Até aqui criou o conjunto de permissões, mas ainda não lhe atribuiu permissões.
Modifique um
conjunto de
permissões
existente
1 Selecione um conjunto de permissões a modificar. Os seus detalhes são
apresentados à direita.
Se já tiver criado um novo conjunto de permissões, o conjunto de permissões
acabado de criar já está selecionado para si.
2 Selecione uma categoria de permissões a modificar, clicando em Editar na linha
daquela categoria.
Serão apresentadas as opções apropriadas à categoria de permissões
selecionada.
3 Altere as permissões conforme necessário e clique em Guardar.
Isto consolida as alterações do conjunto de permissões na base de dados.
Não precisa de clicar em Guardar quando concluir a modificação do conjunto de
permissões. As alterações são guardadas para si quando modifica cada
categoria individual. As alterações que faz refletem-se imediatamente no
sistema e serão propagadas à restante rede conforme a configuração de
políticas.
Duplique um
conjunto de
permissões.
1 Selecione um conjunto de permissões a duplicar a partir da lista Conjuntos de
permissões e clique em Ações | Duplicar.
2 Introduza um novo nome para o conjunto de permissões duplicado. Por
predefinição, o ePolicy Orchestrator adiciona (copy) ao nome existente.
O ePolicy Orchestrator não lhe permite utilizar um nome existente. Cada nome
do conjunto de permissões tem de ser exclusivo.
3 Clique em OK.
O conjunto de permissões é duplicado, mas o original ainda pode ser selecionado
na lista Conjuntos de permissões.
Eliminar um
conjunto de
permissões
1 Selecione o conjunto de permissões que pretende eliminar a partir da lista
Conjuntos de permissões. Os seus detalhes são apresentados à direita.
2 Clique em Ações | Eliminar e clique em OK no painel Ação.
O conjunto de permissões deixa de ser apresentado na lista Conjuntos de permissões.
58
Guia do produto
Ação
Passos
Exportar um
conjunto de
permissões
1 Selecione o(s) conjunto(s) de permissões que pretende exportar.
5
2 Clique em Ações dos conjuntos de permissões | Exportar tudo.
O servidor McAfee ePO envia um ficheiro XML ao browser. O que acontece a
seguir depende das definições do browser. Por predefinição, a maior parte dos
browsers solicitará que guarde o ficheiro.
O ficheiro XML só contém funções com algum nível de permissão definido. Se, por
exemplo, um determinado conjunto de permissões não tiver permissões para
consultas e relatórios, não aparecerá qualquer entrada no ficheiro.
Importar um
conjunto de
permissões
1 Selecione o(s) conjunto(s) de permissões que pretende importar.
2 Clique em Procurar para navegar e selecionar o ficheiro XML que contém o
conjunto de permissões que pretende importar.
3 Escolha se pretende manter, ou não, os conjuntos de permissões com o mesmo
nome que um conjunto de permissões importado selecionando a opção
apropriada. Clique em OK.
Se o ePolicy Orchestrator não conseguir localizar um conjunto de permissões
válido dentro do ficheiro indicado, é apresentada uma mensagem de erro e o
processo de importação é interrompido.
Os conjuntos de permissões são adicionados ao servidor e apresentados na lista
Exportar e importar conjuntos de permissões
Quando tiver definido completamente os conjuntos de permissões, o modo mais rápido de os migrar
para outros servidores McAfee ePO é exportá-los e importá-los noutros servidores.
Tarefa
1
Para abrir a página Conjuntos de permissões, clique em Menu | Gestão de utilizadores | Conjuntos de
permissões.
2
Guia do produto
59
5
Ação
Passos
Exportar
conjunto de
permissões.
1 Selecione o(s) conjunto(s) de permissões que pretende exportar.
2 Clique em Ações dos conjuntos de permissões | Exportar tudo.
O servidor McAfee ePO envia um ficheiro XML ao browser. O que acontece a
seguir depende das definições do browser. Por predefinição, a maior parte dos
browsers solicitará que guarde o ficheiro.
O ficheiro XML só contém funções com algum nível de permissão definido. Se, por
exemplo, um determinado conjunto de permissões não tiver permissões para
consultas e relatórios, não aparecerá qualquer entrada no ficheiro.
Importar
conjunto de
permissões.
1 Selecione o(s) conjunto(s) de permissões que pretende importar.
2 Clique em Procurar para navegar e selecionar o ficheiro XML que contém o
conjunto de permissões que pretende importar.
3 Escolha se pretende manter, ou não, os conjuntos de permissões com o mesmo
nome que um conjunto de permissões importado selecionando a opção
apropriada. Clique em OK.
Se o ePolicy Orchestrator não conseguir localizar um conjunto de permissões
válido dentro do ficheiro indicado, é apresentada uma mensagem de erro e o
processo de importação é interrompido.
Os conjuntos de permissões são adicionados ao servidor e apresentados na lista
60
Guia do produto
6
Repositórios
Os repositórios hospedam os pacotes e as atualizações de software de segurança para distribuição nos
sistemas geridos.
O software de segurança só é eficaz com as atualizações mais recentes instaladas. Por exemplo, se os
ficheiros DAT estiverem desatualizados, mesmo o melhor software antivírus não conseguirá detetar
novas ameaças. É essencial que desenvolva uma estratégia de atualização robusta para manter o
software de segurança tão atualizado quanto possível.
A arquitetura do repositório do ePolicy Orchestrator oferece flexibilidade para assegurar que
implementar e atualizar o software é tão fácil e automatizado quanto o seu ambiente o permitir.
Quando a infraestrutura do repositório estiver implementada, crie tarefas de atualização que
determinem como e quando o software é atualizado.
Conteúdo
Tipos de repositórios e o que fazem
Como funcionam os repositórios em conjunto
Configurar repositórios pela primeira vez
Gerir sites de origem e de recuperação
Verificar o acesso ao site de origem
Configurar definições para atualizações globais
Configurar políticas do agente para utilizar um repositório distribuído
Utilizar SuperAgents como repositórios distribuídos
Criar e configurar repositórios em servidores FTP ou HTTP e partilhas UNC
Usar partilhas UNC como repositórios distribuídos
Utilizar repositórios locais distribuídos que não são geridos
Trabalhar com os ficheiros da lista de repositórios
Para implementar produtos e atualizações na sua rede, o software ePolicy Orchestrator oferece vários
tipos de repositórios que criam uma infraestrutura robusta para as atualizações. Estes repositórios
dão-lhe a flexibilidade para desenvolver uma estratégia de atualização, para se certificar de que os
seus sistemas estão sempre atualizados.
Repositório principal
O repositório principal mantém as últimas versões do software de segurança e das atualizações do
ambiente. Este repositório é a origem para o resto do ambiente.
Por predefinição, o ePolicy Orchestrator utiliza as definições de proxy do Microsoft Internet Explorer.
Guia do produto
61
6
Repositórios
Repositórios distribuídos
O anfitrião dos repositórios distribuídos copia os conteúdos do repositório principal. Considere utilizar
repositórios distribuídos e coloque-os estrategicamente por toda a rede para assegurar que os
sistemas geridos são atualizados, enquanto o tráfego da rede é minimizado especialmente em ligações
lentas.
Conforme atualiza o repositório principal, o ePolicy Orchestrator replica os conteúdos para os
repositórios distribuídos.
A replicação pode ocorrer:
•
Automaticamente quando os tipos de pacote especificados são registados no repositório principal,
desde que a atualização global esteja ativada.
•
Num agendamento recorrente com tarefas de replicação.
•
Manualmente, executando uma tarefa Replicar agora.
Uma grande organização pode ter várias localizações com ligações de largura de banda limitadas entre
elas. Os repositórios distribuídos ajudam a reduzir o tráfego por atualização em ligações de largura de
banda baixas ou em sites remotos com um grande número de sistemas cliente. Se criar um repositório
distribuído na localização remota e configurar os sistemas dessa localização para atualizar a partir
deste repositório distribuído, as atualizações são copiadas através da ligação lenta apenas uma vez —
para o repositório distribuído — em lugar de uma vez para cada sistema na localização remota.
Se a atualização global estiver ativada, os repositórios distribuídos atualizam os sistemas geridos
automaticamente, logo que os pacotes e as atualizações selecionadas tenham o registo de entrada
efetuado no repositório principal. As tarefas de atualização não são necessárias. Contudo, será
necessário que esteja a executar SuperAgents no ambiente se pretender atualizações automáticas.
Terá ainda de criar e configurar os repositórios e atualizar as tarefas.
Se os repositórios distribuídos forem configurados para replicar apenas os pacotes selecionados, o
pacote cujo registo de entrada foi recentemente efetuado é replicado por predefinição. Para evitar
replicar um pacote cujo registo de entrada foi recentemente efetuado, desmarque-o em cada repositório
distribuído ou desative a tarefa de replicação antes de registar entrada do pacote. Para mais
informações, consulte Evitar a replicação de pacotes selecionados e Desativar a replicação de pacotes
selecionados.
Não configure os repositórios distribuídos para fazer referência ao mesmo diretório que o repositório
principal. Se o fizer, leva a que os ficheiros no repositório principal sejam bloqueados pelos utilizadores
do repositório distribuído, o que pode fazer com que as extrações e os registos de entrada do pacote
falhem e deixem o repositório principal num estado inutilizável.
Site de origem
O site de origem fornece todas as atualizações para o repositório principal. O site de origem
predefinido é o site de atualização McAfeeHttp, mas pode alterar o site de origem ou criar vários sites
de origem, caso seja necessário. A McAfee recomenda a utilização dos sites de atualização McAfeeHttp
ou McAfeeFtp como site de origem.
Os sites de origem não são necessários. Pode transferir manualmente as atualizações e registá-las no
repositório principal. Contudo, a utilização de um site de origem automatiza este processo.
A McAfee publica regularmente atualizações de software para estes sites. Por exemplo, os ficheiros
DAT são publicados diariamente. Atualize o repositório principal com as atualizações que vão sendo
disponibilizadas.
Utilize tarefas de extração para copiar os conteúdos do site de origem para o repositório principal.
62
Guia do produto
6
Repositórios
Os sites de atualização da McAfee oferecem atualizações para os ficheiros de definição de deteção
(DAT) e do motor de análise, bem como de alguns pacotes de idioma. Tem de efutuar o registo de
entrada manualmente de todos os outros pacotes e atualizações, incluindo patches e service packs, no
repositório principal.
Site de recuperação
O site de recuperação é um site de origem que foi ativado como site de cópia de segurança, a partir
do qual os sistemas geridos podem obter atualizações quando os seus repositórios normais estão
inacessíveis. Por exemplo, quando há falha na rede ou ocorre surto de vírus, aceder à localização
estabelecida por ser difícil. Por isso, os sistemas geridos podem permanecer atualizados em tais
situações. O site de recuperação predefinido é o site de atualização McAfeeHttp. Só pode ativar um
único site de recuperação.
Se os sistemas geridos utilizarem um servidor proxy para aceder à Internet, tem de configurar as
definições das política do agente para esses sistemas para usar os servidores proxy ao aceder a este
site de recuperação.
Tipos de repositórios distribuídos
O software do ePolicy Orchestrator suporta quatro tipos de repositórios distribuídos. Considere o seu
ambiente e as necessidades quando determinar qual o tipo de repositório distribuído a utilizar. Não
está limitado a utilizar um tipo de repositório, podendo precisar de vários até, dependendo da sua
rede.
Repositórios do SuperAgent
Utilize sistemas que alojam SuperAgents como repositórios distribuídos. Os repositórios do
SuperAgent têm várias vantagens em relação a outros tipos de repositórios distribuídos:
•
As localizações das pastas são criadas automaticamente no sistema anfitrião, antes de adicionar o
repositório à lista de repositórios.
•
Os repositórios do SuperAgent não necessitam de replicação adicional ou de credenciais de
atualização — as permissões de conta são criadas quando o agente é convertido em SuperAgent.
Apesar de a funcionalidade das chamadas de ativação de difusão do SuperAgent exigir um
SuperAgent em cada segmento de difusão, este não é um requisito para a funcionalidade do
repositório do SuperAgent. Os sistemas geridos só precisam de ter acesso ao sistema que aloja o
repositório.
Repositórios FTP
Pode utilizar o servidor FTP para alojar um repositório distribuído. Utilize o software do servidor FTP,
como os Serviços de Informação Internet (IIS) da Microsoft, para criar uma nova pasta e uma
localização do site para o repositório distribuído. Consulte a documentação do servidor Web para obter
detalhes.
Repositórios HTTP
Pode utilizar o servidor HTTP para alojar um repositório distribuído. Utilize o software do servidor
HTTP, como o IIS da Microsoft, para criar uma nova pasta e uma localização do site para o repositório
distribuído. Consulte a documentação do servidor Web para obter detalhes.
Guia do produto
63
6
Repositórios
Repositórios da partilha UNC
Pode criar uma pasta partilhada UNC para alojar um repositório distribuído num servidor existente.
Certifique-se de que ativa a partilha através da rede para a pasta, para que o servidor McAfee ePO
possa copiar ficheiros para essa pasta e os agentes possam aceder à pasta para atualizações.
Terá de definir as permissões corretas para aceder à pasta.
Repositórios não geridos
Se não lhe for possível utilizar os repositórios distribuídos geridos, os administradores do ePolicy
Orchestrator podem criar e manter repositórios distribuídos que não são geridos pelo ePolicy
Orchestrator.
Se um repositório distribuído não for gerido pelo ePolicy Orchestrator, um administrador local deve
manter os ficheiros distribuídos atualizados manualmente.
Depois de criado o repositório distribuído, utilize o ePolicy Orchestrator para configurar os sistemas
geridos de um grupo da árvore de sistema específico para atualizar a partir dele.
Consulte Ativar o agente em produtos McAfee não geridos para que funcionem com o ePolicy
Orchestrator para a configuração de sistemas não geridos.
A McAfee recomenda que faça a gestão de todos os repositórios distribuídos através do ePolicy
Orchestrator. Esta recomendação e utilizar a atualização global ou as tarefas de replicação agendadas
frequentemente garante que o seu ambiente gerido está atualizado. Utilize apenas repositórios
distribuídos não geridos se a rede ou política organizacional não permitirem repositórios distribuídos
geridos.
Ramos do repositório e suas finalidades
Pode utilizar os três ramos do repositório ePolicy Orchestrator para manter até três versões dos
pacotes nos seus repositórios principais e distribuídos.
Os ramos do repositório são: Atual, Anterior e Avaliação. Por predefinição, o ePolicy Orchestrator usa
apenas o ramo Atual. Pode especificar os ramos ao adicionar pacotes ao repositório principal. Também
pode especificar ramos ao executar ou agendar tarefas de implementação e atualização para distribuir
diferentes versões a diferentes partes da rede.
As tarefas de atualização podem obter atualizações de qualquer ramo do repositório, mas tem de
selecionar um outro ramo que não o ramo Atual quando registar entrada dos pacotes no repositório
principal. Se um ramo não atual não estiver configurado, a opção é selecionar um ramo que não o
Atual, que não seja apresentado.
Para utilizar os ramos de Avaliação e Anterior para outros pacotes que não as atualizações, tem de
configurar estes nas definições do servidor dos Pacotes do repositório. As versões 3.6 e anteriores do
agente podem recuperar pacotes de atualização apenas a partir dos ramos Avaliação e Anterior.
Ramo Atual
O ramo Atual é o ramo de repositório principal para os pacotes e atualizações mais recentes. Os
pacotes de implementação do produto podem ser adicionados apenas ao ramo Atual, a não ser que
tenha sido ativado o suporte para outros ramos.
64
Guia do produto
Repositórios
6
Ramo Avaliação
Pode querer testar as atualizações DAT e do motor num pequeno número de segmentos da rede ou
sistemas antes de os implementar em toda a organização. Especifique o ramo de Avaliação quando
registar entrada de novos DATs e motores no repositório principal e depois implemente-os num
pequeno número de sistemas de teste. Após monitorizar os sistemas de teste durante várias horas,
pode adicionar os novos DATs ao ramo Atual e implementá-los em toda a organização.
Ramo Anterior
Utilize o ramo anterior para guardar e armazenar os ficheiros DAT e do motor anteriores, antes de
adicionar os novos ao ramo Atual. No caso de experimentar algum problema com os novos ficheiros
DAT ou do motor no ambiente, há uma cópia da versão anterior que pode voltar a implementar nos
sistemas, se for necessário. O ePolicy Orchestrator guarda apenas a versão anterior mais imediata de
cada tipo de ficheiro.
Pode povoar o ramo Anterior selecionando Mover os pacotes existentes para o ramo Anterior ao adicionar novos
pacotes ao Repositório principal. A opção estará disponível ao extrair as atualizações de um site de
origem e quando efetuar manualmente o registo de entrada dos pacotes no ramo Atual.
Ficheiro da lista de repositórios e as suas utilizações
O ficheiro da lista de repositórios (SiteList.xml e SiteMgr.xml) contém os nomes de todos os
repositórios que está a gerir.
A lista de repositórios inclui as credenciais da rede encriptada e de localização que os sistemas geridos
utilizam para selecionar o repositório e obter atualizações. O servidor envia a lista de repositórios ao
agente durante a comunicação entre o agente e o servidor.
Se necessário, pode exportar a lista de repositórios para ficheiros externos (SiteList.xml ou
SiteMgr.xml).
Utilize um ficheiro SiteList.xml exportado para:
•
Importar para um agente durante a instalação.
Utilize um ficheiro SiteMgr.xml exportado para:
•
Criar cópia de segurança e restaurar os repositórios distribuídos e os sites de origem, caso precise
de reinstalar o servidor.
•
Importar os repositórios distribuídos e sites de origem de uma instalação anterior do software
Guia do produto
65
6
Repositórios
Os repositórios funcionam em conjunto no seu ambiente para fornecer atualizações e software aos
sistemas geridos. Dependendo do tamanho e da distribuição geográfica da rede, poderá precisar de
Figura 6-1 Sites e repositórios que fornecem pacotes aos sistemas
1
O repositório principal extrai regularmente ficheiros DAT e de atualização do motor a partir do site
de origem.
2
O repositório principal replica os pacotes para repositórios distribuídos na rede.
3
Os sistemas geridos na rede obtêm atualizações a partir de um repositório distribuído. Se os
sistemas geridos não puderem aceder aos repositórios distribuídos ou ao repositório principal,
obtêm atualizações a partir do site de recuperação.
Configurar repositórios pela primeira vez
Siga estes passos de nível alto quando criar repositórios pela primeira vez.
1
Decida que tipos de repositório deve utilizar e as suas localizações.
2
Crie e povoe os repositórios.
Pode alterar os sites de origem e de recuperação predefinidos a partir das Definições do servidor. Por
exemplo, pode editar as definições, eliminar sites de origem e recuperação existentes ou alternar
entre eles.
Tem de ser um administrador ou ter as permissões apropriadas para definir, alterar ou eliminar sites de
origem ou de recuperação.
A McAfee recomenda utilizar os sites de origem e de recuperação predefinidos. Se precisar de sites
diferentes para estes propósitos, pode criar novos.
66
Guia do produto
Repositórios
6
Tarefas
•
Criar sites de origem na página 67
Crie um novo site de origem a partir das Definições do servidor.
•
Comutar sites de origem e de recuperação na página 68
Utilize as Definições do servidor para alterar os sites de origem e de recuperação.
•
Editar sites de origem e de recuperação na página 68
Utilize as Definições do servidor para editar as definições dos sites de origem e de
recuperação, como o endereço URL, o número de porta e as credenciais de autenticação de
transferência.
•
Eliminar sites de origem ou desativar sites de recuperação na página 69
Se um site de origem ou um site de recuperação já não estiverem a ser utilizados, elimine
ou desative o site.
Criar sites de origem
Crie um novo site de origem a partir das Definições do servidor.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor e depois selecione Sites de origem.
2
Clique em Adicionar site de origem. É apresentado o assistente Criador de sites de origem.
3
Na página Descrição, introduza um nome de repositório exclusivo e selecione HTTP, UNC, ou FTP e
depois clique em Seguinte.
4
Na página Servidor, forneça o endereço Web e a informação da porta do site e depois clique em
Seguinte.
Tipo de servidor HTTP ou FTP:
•
•
A partir da lista pendente URL, selecione Nome de DNS, IPv4, ou IPv6 como o tipo de endereço do
servidor, depois introduza o endereço.
Opção
Definição
Nome de DNS
Especifica o nome de DNS do servidor.
IPv4
Especifica o endereço IPv4 do servidor.
IPv6
Introduza o número da porta do servidor: o predefinido para FTP é 21; o predefinido para HTTP
é 80.
Tipo de servidor UNC:
•
5
Introduza o caminho de diretório de rede onde está localizado o repositório. Utilize este
formato: \\<COMPUTADOR>\<PASTA>.
Na página Credenciais, forneça as Credenciais de transferência utilizadas pelos sistemas geridos para
estabelecerem ligação a este repositório.
Utilize credenciais com permissões só de leitura para o servidor HTTP, o servidor FTP ou partilha
UNC que aloja o repositório.
Guia do produto
67
6
Repositórios
•
Selecione Anónimo para utilizar uma conta de utilizador desconhecido.
•
Selecione FTP ou Autenticação HTTP (se o servidor exigir autenticação), depois introduza a
informação da conta de utilizador.
•
6
Introduza a informação do domínio e da conta de utilizador.
Clique em Testar credenciais. Após alguns segundos, é apresentada uma mensagem de confirmação a
indicar que o site está acessível aos sistemas utilizando a informação de autenticação. Se as
credenciais estiverem incorretas, verifique o:
•
Nome de utilizador e a palavra-passe.
•
URL ou caminho no painel anterior do assistente.
•
HTTP, FTP ou site UNC no sistema.
7
Clique em Seguinte.
8
Reveja a página Resumo e depois clique em Guardar para adicionar o site à lista.
Comutar sites de origem e de recuperação
Utilize as Definições do servidor para alterar os sites de origem e de recuperação.
Consoante a configuração da sua rede, poderá querer comutar os sites de origem e de recuperação se
descobrir que a atualização HTTP ou FTP funciona melhor.
Tarefa
1
2
Selecione Sites de origem e depois clique em Editar. É apresentada a página Editar sites de origem.
3
A partir da lista, localize o site que pretende definir como recuperação e depois clique em Ativar
recuperação.
Editar sites de origem e de recuperação
Utilize as Definições do servidor para editar as definições dos sites de origem e de recuperação, como
o endereço URL, o número de porta e as credenciais de autenticação de transferência.
Tarefa
1
2
3
Localize o site na lista e depois clique no nome do site.
É apresentado o assistente Criador de sites de origem.
4
68
Edite as definições nas páginas do assistente conforme necessário e depois clique em Guardar.
Guia do produto
Repositórios
6
Eliminar sites de origem ou desativar sites de recuperação
Se um site de origem ou um site de recuperação já não estiverem a ser utilizados, elimine ou desative
o site.
Tarefa
1
2
3
Clique em Eliminar junto ao site de origem pretendido. É apresentada a caixa de diálogo Eliminar site
de origem.
4
Clique em OK.
O site é removido da página Sites de origem.
Tem de certificar-se de que o repositório principal ePolicy Orchestrator e os sistemas geridos
conseguem aceder à Internet usando os sites McAfeeHttp e McAfeeFtp como sites de origem e
recuperação.
Esta secção descreve as tarefas para confirmar a ligação ao repositório principal do ePolicy
Orchestrator e o McAfee Agent usado para ligar ao site de transferências diretamente ou por proxy. A
seleção predefinida é Não usar um proxy.
Tarefas
•
Configurar definições de proxy na página 69
Para atualizar os seus repositórios, configure as definições de proxy para extrair DATs.
•
Configurar as definições de proxy do McAfee Agent na página 70
Configure as definições de proxy que o McAfee Agent utiliza para se ligar ao site de
transferência.
Configurar definições de proxy
Para atualizar os seus repositórios, configure as definições de proxy para extrair DATs.
Tarefa
1
2
A partir da lista de categorias de definição, selecione Definições de proxy e depois clique em Editar.
3
Selecione Configurar manualmente as definições do proxy.
a
Ao lado de Definições do servidor proxy, selecione se pretende utilizar um servidor proxy para
todas as comunicações ou servidores proxy diferentes para servidores proxy HTTP e FTP.
Introduza o endereço IP ou um nome de domínio completamente qualificado e o número da
porta do servidor proxy.
Se estiver a utilizar a origem predefinida e sites de recuperação ou se configurar outro site de
origem HTTP e o site de recuperação FTP, configure a informação de autenticação do proxy HTTP
e FTP aqui.
Guia do produto
69
6
Repositórios
4
b
Ao lado de Autenticação de proxy, configure as definições adequadas, dependendo se extrai
atualizações dos repositórios HTTP, dos repositórios FTP ou de ambos.
c
Ao lado de Exclusões, selecione Desviar endereços locais e depois especifique os repositórios
distribuídos que o servidor pode ligar diretamente introduzindo os endereços IP ou o nome de
domínio completamente qualificado destes sistemas, separados por ponto e vírgula.
d
Ao lado de Exclusões, selecione Desviar endereços locais e depois especifique os repositórios
distribuídos que o servidor pode ligar diretamente introduzindo os endereços IP ou o nome de
domínio completamente qualificado destes sistemas, separados por ponto e vírgula.
Clique em Guardar.
Configurar as definições de proxy do McAfee Agent
Configure as definições de proxy que o McAfee Agent utiliza para se ligar ao site de transferência.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e depois a partir da lista Produto clique em McAfee Agent e a
partir da lista Categoria selecione Repositório.
É apresentada uma lista de agentes configurados para o servidor McAfee ePO.
2
No agente Predefinido, clique em Editar definições.
É apresentada a página editar definições do agente Predefinido.
3
Clique no separador Proxy.
É apresentada a página Definições do proxy.
4
Selecione Usar as definições do Internet Explorer (apenas Windows) para sistemas Windows e selecione Permitir
que o utilizador configure as definições de proxy, se apropriado.
Existem vários métodos para configurar o Internet Explorer para utilizar com proxies. A McAfee
fornece instruções para configurar e utilizar os produtos McAfee, mas não fornece instruções para
produtos não McAfee. Para obter informações sobre como configurar as definições de proxy,
consulte a Ajuda do Internet Explorer e http://support.microsoft.com/kb/226473.
70
5
Selecione Configurar manualmente as definições do proxy para configurar manualmente as definições do
proxy para o agente.
6
Introduza o endereço IP, ou o nome de domínio completamente qualificado, e o número da porta
da origem HTTP ou FTP de onde o agente extrai atualizações. Selecione Usar estas definições para todos
os tipos de proxy para as tornar as definições predefinidas para todos os tipos de proxy.
7
Selecione Especificar exceções para designar os sistemas que não exigem acesso ao proxy. Utilize
ponto e vírgula para separar as exceções.
8
Selecione Usar autenticação de proxy HTTP e/ou Usar autenticação de proxy FTP e depois forneça um nome de
utilizador e as credenciais.
9
Clique em Guardar.
Guia do produto
Repositórios
6
As atualizações globais automatizam a replicação de repositório na sua rede. Pode utilizar a definição
do servidor de Atualização global para configurar o conteúdo que é distribuído aos repositórios durante
uma atualização global.
As atualizações globais estão desativadas por predefinição. No entanto, a McAfee recomenda que as
ative e as utilize como parte da estratégia de atualização. Pode especificar um intervalo de
aleatoriedade e tipos de pacotes para serem distribuídos durante a atualização. O intervalo de
aleatoriedade especifica o período de tempo no qual todos os sistemas são atualizados. Os sistemas
são atualizados aleatoriamente dentro do intervalo especificado.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Atualização global a partir de Categorias de
2
Defina o estado para Ativado e especifique um Intervalo de aleatoriedade entre 0 e 32 767 minutos.
3
Especifique os Tipos de pacote a incluir nas atualizações globais:
•
Todos os pacotes — Selecione esta opção para incluir todas as assinaturas e motores e todos os
patches e service packs.
•
Pacotes selecionados — Selecione esta opção para limitar as assinaturas e os motores e os patches
e service packs incluídos na atualização global.
Ao utilizar a atualização global, a McAfee recomenda o agendamento de uma tarefa de extração
regular (para atualizar o repositório principal) de cada vez quando o tráfego da rede é mínimo.
Apesar de a atualização global ser muito mais rápida do que outros métodos, ela aumenta o tráfego
de rede durante a atualização. Para mais informações acerca da realização de atualizações globais,
consulte Atualização global em Implementação do produto e atualização.
Configurar políticas do agente para utilizar um repositório
distribuído
Personalize a forma como os agentes selecionam os repositórios distribuídos para minimizar a
utilização de largura de banda.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e depois selecione o Produto como McAfee Agent e Categoria
como Repositório.
2
Clique na política do agente existente necessária.
3
Selecione o separador Repositórios.
4
A partir da Seleção de lista de repositórios, selecione Usar esta lista de repositórios ou Usar outra lista de
repositórios.
Guia do produto
71
6
Repositórios
5
Em Selecionar repositório por, especifique o método de ordenação de repositórios:
•
Tempo de ping — Envia um ping de ICMP aos cinco repositórios mais próximos (baseado no valor
da sub-rede) e ordena-os pelo tempo de resposta.
•
Distância da sub-rede — Compara os endereços IP dos sistemas cliente e todos os repositórios e
ordena os repositórios de acordo com o grau de correspondência dos bits. Quanto mais
parecidos forem os endereços IP uns com os outros, mais alto será o repositório colocado na
lista.
Se necessário, pode definir o Número máximo de saltos.
•
Usar a ordenação na lista de repositórios — Seleciona os repositórios com base na sua ordenação na
lista.
6
A partir da Lista de repositórios pode desativar repositórios ao clicar em Desativar no campo Ações
associado ao repositório a ser desativado.
7
Na Lista de repositórios, clique em Mover para o topo ou Mover para o fundo para especificar a sequência
na qual pretende os sistemas cliente para selecionar os repositórios distribuídos.
8
Clique em Guardar quando terminar.
Crie e configure repositórios distribuídos nos sistemas que alojam SuperAgents. Os SuperAgents
podem minimizar o tráfego de rede.
Para converter um agente em SuperAgent, o agente terá de pertencer a um domínio Windows.
Tarefas
•
Criar repositórios distribuídos do SuperAgent na página 72
Para criar um repositório de SuperAgent, o sistema SuperAgent terá de ter um McAfee
Agent instalado e a ser executado. Recomendamos a utilização de repositórios do
SuperAgent com atualização global.
•
Replicar pacotes para repositórios do SuperAgent na página 73
Selecione que pacotes específicos do repositório são replicados nos repositórios
distribuídos.
•
Eliminar repositórios distribuídos do SuperAgent na página 74
Remova repositórios distribuídos do SuperAgent do sistema anfitrião e da lista de
repositórios (SiteList.xml). As novas configurações surtirão efeito durante a próxima
comunicação entre o agente e o servidor.
Criar repositórios distribuídos do SuperAgent
Para criar um repositório de SuperAgent, o sistema SuperAgent terá de ter um McAfee Agent instalado
e a ser executado. Recomendamos a utilização de repositórios do SuperAgent com atualização global.
Esta tarefa parte do princípio de que sabe onde estão localizados os sistemas SuperAgent na Árvore
de sistema. Recomendamos que crie uma etiqueta SuperAgent para que possa localizar facilmente os
sistemas SuperAgent com a página Catálogo de etiquetas ou ao executar uma consulta.
72
Guia do produto
6
Repositórios
Tarefa
1
A partir da consola ePolicy Orchestrator, clique em Menu | Política | Catálogo de políticas em seguida, a
partir da lista Produto clique em McAfee Agent e, a partir da lista Categoria, selecione Geral.
É apresentada uma lista de políticas de categoria geral disponíveis para utilização no servidor do
McAfee ePO.
2
Crie uma política nova, duplique uma política existente ou abra uma que já esteja aplicada aos
sistemas que alojam um SuperAgent onde pretende alojar os repositórios do SuperAgent.
3
Selecione o separador Geral e depois certifique-se de que Converter agentes em SuperAgents (apenas Windows)
está selecionado.
4
Selecione Usar sistemas a executar os SuperAgents como repositórios distribuídos, depois introduza uma
localização do caminho da pasta para o repositório. Esta é a localização onde o repositório principal
copia as atualizações durante a replicação. Pode usar um caminho Windows padrão como por
exemplo C:\SuperAgent\Repo.
Todos os ficheiros solicitados a partir do sistema do agente são servidos a partir desta localização
utilizando o Webserver HTTP do agente incluído.
5
Clique em Guardar.
6
Atribua esta política a cada sistema no qual pretende alojar um repositório do SuperAgent.
Da próxima vez que o agente se apresentar ao servidor, é obtida a nova política. Se não quiser
esperar pelo próximo intervalo de comunicação entre o agente e o servidor, pode enviar uma chamada
de ativação do agente aos sistemas. Quando o repositório distribuído é criado, a pasta que especificou
é criada no sistema, caso não exista.
Além disso, a localização na rede é adicionada à lista de repositórios do ficheiro ao ficheiro SiteList
.xml. Isto torna o site disponível para atualização pelos sistemas em todo o ambiente gerido.
Replicar pacotes para repositórios do SuperAgent
Selecione que pacotes específicos do repositório são replicados nos repositórios distribuídos.
Tarefa
1
Clique em Menu | Software | Repositórios distribuídos.
É apresentada uma lista de todos os repositórios distribuídos.
2
Localize e clique no repositório do SuperAgent.
É aberto o assistente Criador de repositórios distribuídos.
3
Na página Tipos de pacotes, selecione os tipos de pacote exigidos.
Assegure-se de que todos os pacotes exigidos por qualquer sistema gerido que utiliza este
repositório são selecionados. Os sistemas geridos passam para um repositório para todos os pacotes
— a tarefa falha para sistemas que estão à espera de encontrar um tipo de pacote que não está
presente. Esta funcionalidade assegura que os pacotes que são usados apenas por alguns sistemas
não sejam replicados em todo o ambiente.
4
Clique em Guardar.
Guia do produto
73
6
Repositórios
Eliminar repositórios distribuídos do SuperAgent
Remova repositórios distribuídos do SuperAgent do sistema anfitrião e da lista de repositórios
(SiteList.xml). As novas configurações surtirão efeito durante a próxima comunicação entre o agente e
o servidor.
Tarefa
1
A partir da consola ePolicy Orchestrator, clique em Menu | Política | Catálogo de políticas e, em seguida,
clique no nome da política do SuperAgent que quer modificar.
2
No separador Geral, desmarque Usar sistemas a executar os SuperAgents como repositórios distribuídos e depois
clique em Guardar.
Para eliminar um número limitado dos repositórios distribuídos do SuperAgent existentes, duplique a
política do McAfee Agent distribuída para estes sistemas e desmarque Usar sistemas a executar os
SuperAgents como repositórios distribuídos antes de guardar. Atribua esta nova política conforme necessário.
O repositório do SuperAgent é eliminado e removido da lista de repositórios. Contudo, o agente
continua a funcionar como um SuperAgent enquanto deixar a opção Converter agentes a SuperAgents
selecionada. Os agentes que não receberam uma nova lista de sites depois de a política mudar
continuam a atualizar-se a partir do SuperAgent que foi removido.
Criar e configurar repositórios em servidores FTP ou HTTP e
partilhas UNC
Pode alojar repositórios distribuídos nos servidores FTP, HTTP ou nas partilhas UNC existentes. Apesar
de não ser necessário um servidor dedicado, o sistema deve ser suficientemente robusto para lidar
com a carga quando os sistemas geridos se ligam para obter atualizações.
74
Guia do produto
6
Repositórios
Tarefas
•
Criar uma localização da pasta na página 75
Crie a pasta que aloja os conteúdos do repositório no sistema de repositório distribuído.
São utilizados processos diferentes para repositórios de partilha UNC e repositórios FTP ou
HTTP.
•
Adicionar o repositório distribuído ao ePolicy Orchestrator na página 75
Adicione uma entrada à lista de repositórios e especifique a pasta que o novo repositório
distribuído usa.
•
Evitar a replicação de pacotes selecionados na página 77
Se os repositórios distribuídos forem configurados para replicar apenas os pacotes
selecionados, o pacote cujo registo de entrada foi recentemente efetuado é replicado por
predefinição. Dependendo dos seus requisitos para testar e validar, poderá querer evitar a
replicação de alguns pacotes para os repositórios distribuídos.
•
Desativar a replicação dos pacotes selecionados na página 78
Se os repositórios distribuídos forem configurados para replicar apenas os pacotes
selecionados, o pacote cujo registo de entrada foi recentemente efetuado é replicado por
predefinição. Para desativar a replicação iminente de um pacote, desative a tarefa de
replicação antes de efetuar o registo de entrada do pacote.
•
Ativar a partilha de pasta para os repositórios UNC e HTTP na página 78
Num repositório distribuído HTTP ou UNC, tem de ativar a pasta para partilha na rede, de
modo a que o servidor do McAfee ePO possa copiar ficheiros para o repositório.
•
Editar repositórios distribuídos na página 78
Edite as opções de configuração, autenticação e seleção de pacote de um repositório
distribuído conforme necessário.
•
Eliminar repositórios distribuídos na página 79
Elimine repositórios distribuídos HTTP, FTP ou UNC. Ao fazê-lo, elimina também os
conteúdos dos repositórios distribuídos.
Criar uma localização da pasta
Crie a pasta que aloja os conteúdos do repositório no sistema de repositório distribuído. São utilizados
processos diferentes para repositórios de partilha UNC e repositórios FTP ou HTTP.
•
Para repositórios de partilha UNC, crie a pasta no sistema e ative a partilha.
•
Para repositórios FTP ou HTTP, utilize o software do servidor FTP ou HTTP existente, como o
Serviços de Informação Internet (IIS) da Microsoft para criar uma nova pasta e uma localização do
site. Consulte a documentação do servidor Web para obter detalhes.
Adicionar o repositório distribuído ao ePolicy Orchestrator
Adicione uma entrada à lista de repositórios e especifique a pasta que o novo repositório distribuído
usa.
Não configure os repositórios distribuídos para fazer referência ao mesmo diretório que o repositório
principal. Se o fizer, leva a que os ficheiros no repositório principal sejam bloqueados pelos utilizadores
do repositório distribuído, o que pode fazer com que as extrações e os registos de entrada do pacote
falhem e deixem o repositório principal num estado inutilizável.
Guia do produto
75
6
Repositórios
Tarefa
1
Clique em Menu | Software | Repositórios distribuídos, depois clique em Ações | Novo repositório. É aberto o
assistente Criador de repositórios distribuídos.
2
Na página Descrição, introduza um nome exclusivo e selecione HTTP, UNC, ou FTP e depois clique em
Seguinte. O nome do repositório não precisa de ser o nome do sistema que aloja o repositório.
3
Na página Servidor, configure um dos seguintes tipos de servidor.
Tipo de servidor HTTP
•
Opção
Definição
Nome de DNS
IPv4
IPv6
•
Introduza o número de porta do servidor: A predefinição para HTTP é 80.
•
Especifique a replicação do caminho UNC para a sua pasta HTTP.
Tipo de servidor UNC
•
Introduza o caminho de diretório de rede onde está localizado o repositório. Utilize este
formato: \\<COMPUTADOR>\<PASTA>.
Tipo de servidor FTP
•
•
Opção
Definição
Nome de DNS
IPv4
IPv6
Introduza o número de porta do servidor: A predefinição para FTP é 21
4
Clique em Seguinte.
5
Na página Credenciais:
a
Introduza Credenciais de transferência. Utilize credenciais com permissões só de leitura para o
servidor HTTP, o servidor FTP ou partilha UNC que aloja o repositório.
76
•
Selecione Anónimo para utilizar uma conta de utilizador desconhecido.
•
Selecione FTP ou Autenticação HTTP (se o servidor exigir autenticação), depois introduza a
informação da conta de utilizador.
Guia do produto
Repositórios
6
b
6
•
Selecione Usar credenciais da conta com sessão iniciada para utilizar as credenciais de utilizador
atualmente com sessão iniciada.
•
Selecione Introduzir as credenciais de transferência, depois introduza a informação sobre o domínio e
a conta de utilizador.
Clique em Testar credenciais. Após alguns segundos, é apresentada uma mensagem de confirmação
a indicar que o site está acessível aos sistemas utilizando a informação de autenticação. Se as
credenciais estiverem incorretas, verifique o seguinte:
•
Nome de utilizador e palavra-passe
•
URL ou caminho no painel anterior do assistente
•
HTTP, FTP ou site UNC no sistema
Introduza Credenciais de replicação.
O servidor utiliza estas credenciais quando replica ficheiros DAT, ficheiros do motor ou outras
atualizações de produto a partir do repositório principal para o repositório distribuído. Estas
credenciais têm de ter permissões de leitura e gravação para o repositório distribuído:
•
Para FTP, introduza a informação da conta de utilizador.
•
Para HTTP ou UNC, introduza a informação do domínio e da conta de utilizador.
•
Clique em Testar credenciais. Após alguns segundos, é apresentada uma mensagem de confirmação
a indicar que o site está acessível aos sistemas utilizando a informação de autenticação. Se as
credenciais estiverem incorretas, verifique o seguinte:
•
Nome de utilizador e palavra-passe
•
URL ou caminho no painel anterior do assistente
•
HTTP, FTP ou site UNC no sistema
7
Clique em Seguinte. É apresentada a página Tipos de pacote.
8
Selecione se pretende replicar todos os pacotes ou os pacotes selecionados para este repositório
distribuído; depois clique em Seguinte.
•
Se escolher a opção Pacotes selecionados, tem que selecionar manualmente Assinaturas e motores e os
Produtos, patches, service packs, etc. que pretende replicar.
•
Como opção, selecione Replicar DATs legados.
Certifique-se de que todos os pacotes exigidos pelos sistemas geridos utilizando este repositório não
são desmarcados. Os sistemas geridos vão para um repositório para todos os pacotes — se um tipo
de pacote necessário não estiver presente no repositório, a tarefa falha. Esta funcionalidade garante
que os pacotes que são utilizados por apenas alguns sistemas não são replicados por todo o
ambiente.
9
Consulte a página Resumo e depois clique em Guardar para adicionar o repositório. O software do
ePolicy Orchestrator adiciona o novo repositório distribuído à sua base de dados.
Evitar a replicação de pacotes selecionados
pacote cujo registo de entrada foi recentemente efetuado é replicado por predefinição. Dependendo
dos seus requisitos para testar e validar, poderá querer evitar a replicação de alguns pacotes para os
Guia do produto
77
6
Repositórios
Tarefa
1
Clique em Menu | Software | Repositórios distribuídos e depois clique num repositório. É aberto o
assistente Criador de repositórios distribuídos.
2
Na página Tipos de pacote, desmarque o pacote que quer evitar que seja replicado.
3
Clique em Guardar.
Desativar a replicação dos pacotes selecionados
pacote cujo registo de entrada foi recentemente efetuado é replicado por predefinição. Para desativar
a replicação iminente de um pacote, desative a tarefa de replicação antes de efetuar o registo de
entrada do pacote.
Tarefa
1
Clique em Menu | Automatização | Tarefas do servidor e depois selecione Editar junto a uma tarefa do
servidor de replicação.
Abre-se o assistente Criador de tarefas de servidor.
2
Na página Descrição, selecione o Estado do agendamento como Desativado e depois clique em Guardar.
Ativar a partilha de pasta para os repositórios UNC e HTTP
Num repositório distribuído HTTP ou UNC, tem de ativar a pasta para partilha na rede, de modo a que
o servidor do McAfee ePO possa copiar ficheiros para o repositório.
Isto destina-se apenas para fins de replicação. Os sistemas geridos configurados para utilizar o
repositório distribuído usam o protocolo apropriado (HTTP, FTP, ou partilha de ficheiros do Windows) e
não exigem partilha de pastas.
Tarefa
1
No sistema gerido, localize a pasta que criou usando o Explorador do Windows.
2
Clique com o botão direito do rato na pasta e depois selecione Partilha.
3
No separador Partilha, selecione Partilhar esta pasta.
4
Configure as permissões de partilha conforme necessário.
A atualização dos sistemas no repositório exige apenas acesso de leitura, mas as contas de
administrador, incluindo a conta utilizada pelo serviço de servidor do McAfee ePO, exigem acesso
de escrita. Consulte a documentação do Microsoft Windows para configurar as definições de
segurança apropriadas das pastas partilhadas.
5
Clique em OK.
Editar repositórios distribuídos
Edite as opções de configuração, autenticação e seleção de pacote de um repositório distribuído
conforme necessário.
78
Guia do produto
6
Repositórios
Tarefa
1
Clique em Menu | Software | Repositórios distribuídos e depois clique num repositório.
É apresentado o assistente do Criador de repositórios distribuídos, mostrando os detalhes do
repositório distribuído.
2
Altere as opções de seleção da configuração, da autenticação e do pacote, conforme necessário.
3
Clique em Guardar.
Eliminar repositórios distribuídos
Elimine repositórios distribuídos HTTP, FTP ou UNC. Ao fazê-lo, elimina também os conteúdos dos
Tarefa
1
Clique em Menu | Software | Repositórios distribuídos e depois clique em Eliminar ao lado de um repositório.
2
Na caixa de diálogo Eliminar repositório, clique em OK.
Eliminar o repositório não elimina os pacotes no sistema que aloja o repositório.
Os repositórios eliminados são removidos da lista de repositórios.
Siga estas orientações quando usar partilhas UNC como repositórios distribuídos.
As partilhas UNC usam o protocolo Microsoft Server Message Block (SMB) para criar uma unidade
partilhada. Crie um nome de utilizador e palavra-passe para aceder a esta partilha.
Configure a partilha corretamente
Certifique-se de que a partilha UNC está configurada corretamente.
•
Use um método alternativo para escrever no seu repositório — Inicie sessão no servidor
usando outros métodos (outra partilham RDP, localmente) para escrever no seu repositório. Não
misture o repositório a partir do qual lê com o repositório em que escreve. As credenciais de leitura
são partilhadas com pontos finais e as credenciais de escrita são usadas exclusivamente pelo
servidor McAfee ePO para atualizar os conteúdos do repositório distribuído.
•
Não use uma partilha no controlador de domínio — Crie uma partilha fora do controlador de
domínio. Um utilizador local num controlador de domínio é um utilizador de domínio.
Proteja a conta que usa para ler a partir da partilha UNC
Siga estas orientações para se certificar de que a conta usada para aceder à partilha UNC é segura.
•
Conceda os direitos só de leitura da conta da partilha UNC a todos exceto o repositório
principal do McAfee ePO — Quando configurar a partilha, certifique-se de que a conta que criou
tem direitos só de leitura para o diretório e para as permissões de partilha. Não conceda escrita
remota à partilha (mesmo para administradores ou outras contas). A única conta a que é concedido
acesso é a conta que criou recentemente.
O repositório principal do McAfee ePO tem de conseguir escrever nos ficheiros da conta da partilha
UNC.
Guia do produto
79
6
Repositórios
•
Crie a conta localmente — Crie a conta na partilha de ficheiro e não no domínio. As contas
criadas localmente não concedem direitos aos sistemas no domínio.
•
Use uma conta específica — Crie uma conta especificamente para partilhar os dados do
repositório. Não partilhe esta conta com várias funções.
•
Dê privilégios reduzidos à conta — Não adicione esta conta a grupos desnecessários, incluindo
grupos de “Administradores” e de “Utilizadores”.
•
Desative os privilégios irrelevantes — Esta conta não precisa de iniciar sessão num servidor. É
um marcador de posição para chegar aos ficheiros. Examine os privilégios desta conta e desative
os privilégios desnecessários.
•
Use uma palavra-passe forte — Use uma palavra-passe com 8–12 carateres, usando vários
atributos de caráter (minúsculas e maiúsculas, símbolos e números). Recomendamos a utilização
de criador de palavras-passe aleatórias para garantir que a sua palavra-passe é complexa.
Proteja e mantenha a sua partilha UNC
•
Use uma firewall na partilha — Bloqueie sempre o tráfego desnecessário. Recomendamos o
bloqueio do tráfego de saída e de entrada. Pode usar uma firewall de software no servidor ou uma
firewall de hardware na rede.
•
Ative a auditoria de ficheiros — Permita sempre que os registos de auditoria de segurança
monitorizem o acesso às suas partilhas de rede. Estes registos apresentam quem acede à partilha
e quando e o que é que fizeram.
•
Altere as palavras-passe — Altere a palavra-passe com regularidade. Certifique-se de que a
nova palavra-passe é forte e lembre-se de atualizar a configuração do McAfee ePO com a nova
palavra-passe.
•
Desative a conta e a partilha se já não forem usadas — Se mudar para um tipo de repositório
diferente de UNC, lembre-se de desativar ou eliminar a conta e fechar e remover a partilha.
Copie os conteúdos do Repositório principal para uma repositório distribuído não gerido.
Depois de criar um repositório não gerido, tem de configurar manualmente os sistemas geridos para
irem ao repositório não gerido buscar ficheiros.
Tarefa
1
Copie todos os ficheiros e subdiretórios na pasta do repositório principal do servidor.
Por exemplo, se utilizar um Windows 2008 R2 Server, este é o caminho predefinido no servidor: C:
\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Software
2
80
Cole os ficheiros copiados e subpastas na pasta do repositório no sistema do repositório distribuído.
Guia do produto
Repositórios
3
6
Configure uma política do agente para sistemas geridos para utilizar o novo repositório distribuído
não gerido:
a
Clique em Menu | Política | Catálogo de políticas e depois selecione o Produto como McAfee Agent e
Categoria como Repositório.
b
Clique numa política do agente existente ou crie uma nova política do agente.
A herança de política não pode ser interrompida ao nível dos separadores de opção que
constituem uma política. Por isso, quando aplicar esta política aos sistemas, certifique-se de que
apenas os sistemas corretos recebem e herdam a política para utilizar o repositório distribuído
não gerido.
c
No separador Repositórios, clique em Adicionar.
d
Introduza um nome no campo de texto Nome do repositório.
O nome não tem de ser o nome do sistema que aloja o repositório.
e
Em Obter ficheiros a partir de, selecione o tipo de repositório.
f
Em Configuração, introduza a localização do repositório utilizando a sintaxe apropriada para o tipo
de repositório.
g
Introduza um número de porta ou mantenha a porta predefinida.
h
Configure as credenciais de autenticação, conforme necessário.
i
Clique em OK para adicionar o novo repositório distribuído à lista.
j
Selecione o novo repositório na lista.
O tipo Local indica que não é gerido pelo software do ePolicy Orchestrator. Quando um
repositório não gerido é selecionado na Lista de repositórios, os botões Editar e Eliminar são ativados.
k
Clique em Guardar.
Todo sistema onde esta política é aplicada recebe a nova política na próxima comunicação entre o
agente e o servidor.
Pode exportar os ficheiros da lista de repositórios SiteList.xml e SiteMgr.xml.
Estes ficheiros:
Guia do produto
81
6
Repositórios
•
SiteList.xml — Utilizado pelo agente e produtos suportados.
•
SiteMgr.xml — Utilizado ao reinstalar o servidor McAfee ePO ou para importar para outros
servidores McAfee ePO que utilizem os mesmos repositórios distribuídos ou os mesmos sites de
origem.
Tarefas
•
Exportar o ficheiro SiteList.xml da lista de repositórios na página 82
Exporte o ficheiro (SiteList.xml) da lista de repositórios para entrega manual aos
sistemas ou para importar durante a instalação de produtos suportados.
•
Exportar a lista de repositórios para criar uma cópia de segurança ou ser utilizada por
outros servidores na página 82
Utilize o ficheiro exportado SiteMgr.xml para restaurar os repositórios distribuídos e os
sites de origem quando reinstalar o servidor McAfee ePO, ou quando pretender partilhar os
repositórios distribuídos ou os sites de origem com outro servidor McAfee ePO.
•
Importar repositórios distribuídos a partir da lista de repositórios na página 83
Importe repositórios distribuídos a partir do ficheiro SiteMgr.xml depois de reinstalar um
servidor ou quando quiser que um servidor utilize os mesmos repositórios distribuídos que
outro servidor.
•
Importar sites de origem a partir do ficheiro SiteMgr.xml na página 83
Depois de reinstalar um servidor, e quando quiser que dois servidores utilizem os mesmos
repositórios distribuídos, importe sites de origem a partir de um ficheiro de lista de
repositórios.
Exportar o ficheiro SiteList.xml da lista de repositórios
Exporte o ficheiro (SiteList.xml) da lista de repositórios para entrega manual aos sistemas ou para
importar durante a instalação de produtos suportados.
Tarefa
1
Clique em Menu | Software | Repositório principal e depois clique em Ações | Exportar Sitelist.
É apresentada a caixa de diálogo Transferir ficheiro.
2
Clique em Guardar, procure a localização para guardar o ficheiro SiteList.xml e depois clique em
Guardar.
Depois de exportar este ficheiro, pode importá-lo durante a instalação de produtos suportados. Para
obter instruções, consulte o Guia de instalação desse produto.
Pode também distribuir a lista de repositórios aos sistemas geridos e depois aplicar a lista de
repositórios no agente.
Exportar a lista de repositórios para criar uma cópia de
segurança ou ser utilizada por outros servidores
Utilize o ficheiro exportado SiteMgr.xml para restaurar os repositórios distribuídos e os sites de
origem quando reinstalar o servidor McAfee ePO, ou quando pretender partilhar os repositórios
distribuídos ou os sites de origem com outro servidor McAfee ePO.
Pode exportar este ficheiro a partir das páginas Repositórios distribuídos ou Sites de origem. Contudo, ao
importar este ficheiro para outra página, ele importa apenas os itens do ficheiro que estão listados
nessa página. Por exemplo, quando este ficheiro é importado para a página de Repositórios distribuídos,
apenas os repositórios distribuídos no ficheiro são importados. Por isso, se pretender importar os
repositórios distribuídos e os sites de origem, terá que importar o ficheiro duas vezes, uma para cada
página.
82
Guia do produto
Repositórios
6
Tarefa
1
Clique em Menu | Software | Repositórios distribuídos (ou Sites de origem) e depois clique em Ações | Exportar
repositórios (ou Exportar sites de origem).
É apresentada a caixa de diálogo Transferir ficheiro.
2
Clique em Guardar, procure a localização para guardar o ficheiro e depois clique em Guardar.
Importar repositórios distribuídos a partir da lista de
repositórios
Importe repositórios distribuídos a partir do ficheiro SiteMgr.xml depois de reinstalar um servidor ou
quando quiser que um servidor utilize os mesmos repositórios distribuídos que outro servidor.
Tarefa
1
Clique em Menu | Software | Repositórios distribuídos e depois clique em Ações | Importar repositórios.
É apresentada a página Importar repositórios.
2
Procure para selecionar o ficheiro SiteMgr.xml exportado e depois clique em OK. O repositório
distribuído é importado para o servidor.
3
Clique em OK.
Os repositórios selecionados são adicionados à lista de repositórios neste servidor.
Importar sites de origem a partir do ficheiro SiteMgr.xml
Depois de reinstalar um servidor, e quando quiser que dois servidores utilizem os mesmos repositórios
distribuídos, importe sites de origem a partir de um ficheiro de lista de repositórios.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor e depois a partir da lista Categorias de definição,
selecione Sites de origem e clique em Editar.
2
Clique em Importar.
3
Procure e selecione o ficheiro SiteMgr.xml exportado e depois clique em OK.
4
Selecione os sites de origem a importar para este servidor e depois clique em OK.
Os sites de origem selecionados são adicionados à lista de repositórios neste servidor.
Guia do produto
83
6
Repositórios
84
Guia do produto
7
Pode aceder a servidores adicionais registando-os no servidor McAfee ePO. Os servidores registados
permitem-lhe integrar o software com outros servidores externos. Por exemplo, registe um servidor
LDAP para se ligar ao servidor do Active Directory.
O McAfee ePolicy Orchestrator pode estabelecer comunicação com:
•
Outros servidores McAfee ePO
•
Servidores de bases de dados adicionais e remotos
•
Servidores LDAP
•
Servidores HTTP
Cada tipo de servidor registado suporta ou complementa a funcionalidade do ePolicy Orchestrator e de
outros produtos e extensões da McAfee e de terceiros.
Conteúdo
Registar servidores McAfee ePO
Registar servidores LDAP
Registar servidores SNMP
Registar um servidor de base de dados
Partilhar objetos entre servidores
Pode registar servidores McAfee ePO adicionais para utilizar com o servidor principal McAfee ePO para
recolher ou agregar dados ou para permitir a transferência de sistemas geridos entre os servidores
registados.
Antes de começar
Para registar um servidor McAfee ePO junto de outro, tem de conhecer as informações
detalhadas sobre a base de dados SQL do servidor McAfee ePO do servidor que está a
registar. Pode usar o seguinte comando remoto para determinar o nome do servidor de
bases de dados Microsoft SQL, o nome da base de dados, entre outros:
https://<server_name>:<port>/core/config
Estas são as variáveis no comando remoto:
•
<nome_servidor> — Nome do servidor DNS ou endereço IP do servidor McAfee ePO
remoto
•
<porta> — Número de porta atribuído do servidor McAfee ePO, normalmente "8443", a
não ser que o seu servidor esteja configurado para usar um número de porta diferente
Guia do produto
85
7
Tarefa
1
Selecione Menu | Configuração | Servidores registados e clique em Novo servidor.
2
No menu do tipo de servidor da página Descrição, selecione ePO, especifique um nome exclusivo e
notas e depois clique em Seguinte.
3
Especifique as opções seguintes para configurar o servidor:
Opção
Definição
Tipo de autenticação
Especifica o tipo de autenticação a utilizar para esta base de dados,
incluindo:
• Autenticação Windows
• Autenticação SQL
Partilha de tarefas cliente Especifica se pretende ativar ou desativar as tarefas cliente para este
servidor.
Nome da base de dados
Especifica o nome para esta base de dados.
Porta da base de dados
Especifica a porta para esta base de dados.
Servidor de base de
dados
Especifica o nome da base de dados para este servidor. Pode especificar uma
base de dados utilizando o nome DNS ou o endereço IP (IPv4 ou IPv6).
Versão ePO
Especifica a versão do servidor McAfee ePO a ser registado.
Palavra-passe
Especifica a palavra-passe para este servidor.
Partilha de políticas
Especifica se quer ativar ou desativar a partilha de políticas para este
servidor.
Instância do SQL Server
Permite-lhe especificar se este é o servidor predefinido ou uma instância
específica, fornecendo o nome da Instância.
Assegure-se de que o serviço do browser SQL está a executar antes de ligar
a uma instância SQL específica, utilizando este nome da instância.
Especifique o número de porta se o serviço de browser SQL não estiver em
execução.
Selecione a instância do servidor SQL predefinida e introduza o
número da porta para estabelecer ligação à instância do servidor
SQL.
Comunicação SSL com o Especifica se o ePolicy Orchestrator usa comunicação SSL (Secure Socket
servidor de base de
Layer) com este servidor de base de dados, incluindo:
dados
• Tentar usar SSL
• Usar sempre SSL
• Nunca usar SSL
Testar a ligação
Verifica a ligação ao servidor detalhado.
Se registar um servidor com uma versão McAfee ePO diferente, é
apresentado este aviso meramente informativo Aviso: incompatibilidade de
versão!
86
Guia do produto
7
Opção
Definição
Transferir sistemas
Especifica se quer ativar ou desativar a capacidade de transferir sistemas
para este servidor. Quando ativado, selecione Importação automática da SiteList ou
Importação manual da SiteList.
Se escolher Importação manual da SiteList, é possível fazer com que versões mais
antigas do McAfee Agent (versão 4.0 e anteriores) se tornem incapazes de
contactar o processador de agentes. Isto pode acontecer quando
• Transferir sistemas a partir deste servidor McAfee ePO para o
servidor registado McAfee ePO
• e um nome de processador de agentes aparece
alfanumericamente antes do nome do servidor McAfee ePO na
sitelist fornecida
• e os agentes mais antigos utilizam esse processador de agentes
4
Usar NTLMv2
Opcionalmente, escolha utilizar o protocolo de autenticação NT LAN
Manager. Selecione esta opção quando o servidor que está a registar
emprega este protocolo.
Nome de utilizador
Especifica o nome de utilizador para este servidor.
Clique em Guardar.
Consulte também
Como é que funciona o comando Transferir sistemas na página 127
Exporte e importe chaves ASCC entre servidores McAfee ePO na página 91
Transfere os sistemas para um servidor McAfee ePO diferente na página 128
Tem de ter um servidor LDAP (Lightweight Directory Access Protocol) registado para utilizar as Regras
de atribuição de política para ativar dinamicamente os conjuntos de permissões atribuídos e para
ativar o início de sessão do utilizador do Active Directory.
Tarefa
1
Selecione Menu | Configuração | Servidores registados e depois clique em Novo servidor.
2
No menu Tipo de servidor na página Descrição, selecione Servidor LDAP, especifique um nome único e
quaisquer detalhes e depois clique em Seguinte.
3
Escolha se pretende registar um servidor OpenLDAP ou Active Directory na lista Tipo de servidor LDAP.
O resto destas instruções irá assumir um servidor Active Directory que está a ser configurado. As
informações específicas do OpenLDAP incluem-se quando solicitadas.
Guia do produto
87
7
4
Escolha se pretende especificar um nome de domínio ou um nome de servidor específico na secção
Nome do servidor.
Utilize nomes de domínio do estilo DNS (por ex: internaldomain.com) e nomes de domínio ou
endereços IP totalmente qualificados para os servidores. (por ex: server1.internaldomain.com
ou 192.168.75.101)
A utilização de nomes de domínio fornece suporte para ativação pós-falha e permite que escolha
apenas servidores de um site específico, se pretendido.
Os servidores OpenLDAP só podem utilizar nomes de servidores. Não podem ser especificados por
domínio.
5
Escolha se pretende Utilizar catálogo global.
Este está desmarcado por predefinição. A sua seleção pode oferecer significantes benefícios de
desempenho. Só deve ser selecionado se o domínio registado for o principal apenas dos domínios
locais. Se forem incluídos domínios não locais, a perseguição de referências pode causar um
tráfego significativo de rede não local, afetando, possivelmente, bastante o desempenho.
Utilizar catálogo global não está disponível para servidores OpenLDAP.
6
Se tiver escolhido não utilizar o catálogo global, selecione se pretende Perseguir referências ou não.
A perseguição de referências pode causar problemas de desempenho se levar a tráfego de rede
não local, quer se esteja ou não a utilizar um catálogo global.
7
Escolha se pretende Utilizar SSL ou não quando comunicar com o servidor.
8
Se estiver a configurar um servidor OpenLDAP, introduza a Porta.
9
Introduza um Nome de utilizador e a Palavra-passe, como indicado.
Estas credenciais devem ser para uma conta de administrador no servidor. Utilize o formato
domínio\nome de utilizador nos servidores Active Directory e o formato
cn=Utilizador,dc=realm,dc=com nos servidores OpenLDAP.
10 Introduza um Nome do site para o servidor ou selecione-o clicando em Procurar e navegando para ele.
11 Clique em Testar a ligação para verificar a comunicação com o servidor, conforme especificado. Altere
as informações, se necessário.
12 Clique em Guardar para registar o servidor.
Para receber um trap SNMP, tem de adicionar a informação do servidor SNMP para que o ePolicy
Orchestrator saiba para onde enviar o trap.
Tarefa
88
1
Clique em Menu | Configuração | Servidores registados e depois clique em Novo servidor.
2
A partir do menu Tipo de servidor na página Descrição, selecione Servidor SNMP, forneça o nome e
qualquer informação adicional sobre o servidor e depois clique em Seguinte.
Guia do produto
7
3
4
A partir da lista pendente URL, selecione um destes tipos de endereço de servidor e depois
introduza o endereço:
•
Nome de DNS — Especifica o nome de DNS do servidor registado.
•
IPv4 — Especifica o endereço IPv4 do servidor registado.
•
IPv6 — Especifica o nome de DNS do servidor registado que tem um endereço IPv6.
Selecione a versão SNMP utilizada pelo servidor:
•
Se selecionar SNMPv1 ou SNMPv2c como a versão do servidor SNMP, introduza a cadeia de
comunidade do servidor em Segurança.
•
Se selecionar SNMPv3, forneça os detalhes da Segurança SNMPv3.
5
Clique em Enviar trap de teste para testar a configuração.
6
Clique em Guardar.
O servidor SNMP adicionado aparece na página Servidores registados.
Antes de poder obter dados de um servidor da base de dados, tem de registá-lo no ePolicy
Orchestrator.
Tarefa
1
Abra a página Servidores registados: selecione Menu | Configuração | Servidores registados e depois clique
em Novo servidor.
2
Selecione Servidor da base de dados na lista pendente Tipo de servidor, introduza um nome de servidor e
uma descrição opcional e depois clique em Seguinte.
3
Escolha um Tipo de base de dados na lista pendente de tipos registados. Indique se pretende que este
tipo de base de dados seja um dos predefinidos.
Se já houver uma base de dados predefinida atribuída para este tipo de base de dados, tal é
indicado na linha Base de dados predefinida atual para o tipo de base de dados.
4
Indique o Fornecedor da base de dados. Atualmente, apenas o SQL Server e o MySQL da Microsoft são
suportados.
5
Introduza as especificações da ligação e as credenciais de iniciar sessão para o servidor da base de
dados.
6
Para verificar se todas as informações da ligação e as credenciais de iniciar sessão estão
introduzidas corretamente, clique em Testar a ligação.
Uma mensagem de estado indica êxito ou falha.
7
Clique em Guardar.
Geralmente, o modo mais fácil e mais rápido de replicar o comportamento de um servidor do McAfee
ePO para outro, é exportar o item que descreve o comportamento e importá-lo no outro servidor.
Guia do produto
89
7
Exportar objetos do ePolicy Orchestrator
Geralmente, o modo mais fácil e mais rápido de replicar o comportamento de um servidor McAfee ePO
para outro, é exportar o item que descreve o comportamento e importá-lo no outro servidor.
Os itens exportados do ePolicy Orchestrator são armazenados em ficheiros XML que descrevem os
itens exportados em detalhe. Os objetos exportados de um servidor McAfee ePO são apresentados no
browser como XML. As definições do browser determinam como o XML deve ser apresentado e
guardado.
Conteúdos do ficheiro exportado
Um ficheiro exportado contém normalmente um elemento externo com o nome <list> caso sejam
exportados vários itens. Se exportar um único objeto, a este elemento externo pode ser atribuído o
nome após o objeto. (por ex: <consulta>). Qualquer conteúdo mais detalhado é variável, dependendo
do tipo de item exportado.
Itens exportáveis
Os itens seguintes podem ser exportados. As extensões instaladas podem adicionar itens a esta lista.
Consulte a documentação da extensão para obter mais detalhes.
•
Painéis
•
Tarefas do servidor
•
•
Utilizadores
•
Consultas
•
Respostas automáticas
•
Relatórios
Os itens seguintes podem ter uma tabela dos conteúdos atuais exportados.
•
Registo de auditoria
•
Problemas
Importar itens para o ePolicy Orchestrator
Os itens exportados de um servidor McAfee ePO podem ser importados para outro servidor.
O ePolicy Orchestrator exporta itens para XML. Estes ficheiros XML contêm as descrições exatas dos
itens exportados.
Importar itens
Ao importar itens para o ePolicy Orchestrator, devem ser seguidas determinadas regras:
•
Todos os itens, exceto utilizadores, são importados, por predefinição, com visibilidade privada.
Pode aplicar outras permissões durante ou após a importação.
•
Se já existir um item com o mesmo nome, "(importado)" ou "(cópia)" é adicionado ao nome do
item importado.
•
Os itens importados que exigem uma extensão ou produto que não existe no novo servidor serão
marcados como inválidos.
O ePolicy Orchestrator importará apenas os ficheiros XML exportados através do ePolicy Orchestrator.
Os detalhes específicos sobre como importar diferentes tipos de itens podem ser encontrados na
documentação destes itens individuais.
90
Guia do produto
7
Exportar objetos e dados a partir do servidor do McAfee ePO
Os dados e objetos exportados podem ser utilizados para criar cópias de segurança de dados
importantes e para restaurar ou configurar os servidores do McAfee ePO no ambiente.
A maior parte dos objetos e dados utilizados no servidor podem ser exportados ou transferidos para
visualização, transformação ou importação para outro servidor ou aplicações. A tabela seguinte lista os
vários itens sobre os quais pode agir. Para visualizar dados, exporte as tabelas como ficheiros HTML ou
PDF. Para utilizar os dados noutras aplicações, exporte as tabelas para ficheiro CSV ou ficheiro XML.
Tarefa
1
Na página de apresentação dos objetos ou dados, clique em Ações e selecione uma opção. Por
exemplo, quando exportar uma tabela, selecione Exportar tabela e depois clique em Seguinte.
2
Quando exportar conteúdos que podem ser transferidos em vários formatos, como os dados da
consulta, é apresentada uma página Exportar com as opções de configuração. Especifique as suas
preferências e depois clique em Exportar.
3
Quando exportar objetos ou definições, tais como os objetos da tarefa cliente ou as definições,
ocorre uma das opções seguintes:
•
É aberta uma janela do browser que lhe permite escolher Abrir ou Guardar.
•
É apresentada uma página Exportar contendo uma ligação ao ficheiro. Clique com o botão
esquerdo do rato na ligação para ver o ficheiro no browser ou clique como o botão direito na
ligação para guardar o ficheiro.
Exporte e importe chaves ASCC entre servidores McAfee ePO
Antes de poder transferir sistemas entre servidores McAfee ePO, terá de exportar e importar as chaves
de segurança seguras do agente para o servidor (ASSC) entre os servidores McAfee ePO.
As chaves de comunicação segura entre o agente e o servidor (ASSC) são utilizadas pelos agentes
para comunicarem de forma segura com o servidor McAfee ePO. Se transferir um sistema gerido com
um McAfee Agent encriptado para um servidor McAfee ePO diferente sem importar as respetivas
chaves cliente associadas, o sistema transferido não consegue ligar-se ao novo servidor McAfee ePO.
Para transferir sistemas geridos em ambas as direções, terá de registar ambos os servidores entre si e
exportar e importar ambos os conjuntos de chaves ASSC.
Se tentar registar um servidor McAfee ePO e ativar a opção Transferir sistemas com a importação
automática da SiteList, antes de exportar e importar as chaves ASSC entre os servidores McAfee ePO,
é apresentada esta mensagem de erro:
ERRO: a(s) chave(s) entre o agente e o servidor principais têm de ser importadas para o servidor remoto antes de
importar a Sitelist. Vá a Definições do servidor para exportar as chaves de segurança a partir deste servidor. Note
que ao visitar esta ligação agora irá fazer com que perca as alterações não gravadas neste servidor registado.
Terá de importar ambas as chaves ASSC de 1024 bits e de 2048 bits a partir do servidor McAfee ePO
para registar com êxito e fazer a Importação automática da SiteList.
Use estes passos para exportar e importar as chaves ASSC de um servidor McAfee ePO para outro.
Estes passos descrevem a exportação das chaves ASSC a partir de um servidor McAfee ePO antigo para
um servidor McAfee ePO novo.
Guia do produto
91
7
Tarefa
1
A partir do servidor McAfee ePO antigo, clique em Menu | Configuração | Definições do servidor, clique em
Chaves de segurança na coluna Categorias da definição e, em seguida, clique em Editar.
Para exportar as duas chaves ASSC, use os seguintes passos:
a
Para exportar a chave ASSC de 2048 bits, na página Editar chaves de segurança na lista Chaves
de comunicação segura entre o agente e o servidor, selecione a chave de 2048 bits, clique em
Exportar, depois, na caixa de diálogo Exportar chave de comunicação segura entre o agente e o
servidor, clique em OK.
b
Guarde o ficheiro .zip numa pasta temporária no computador local.
O nome predefinido do ficheiro da chave ASSC de 2048 bits é sr2048<server-name>.zip, em que
<server-name> é o nome do seu servidor McAfee ePO. Por exemplo, no nome de ficheiro
sr2048ePO50_server.zip, "ePO50_server" é o nome do servidor.
c
2
Para exportar a chave ASSC de 1024 bits, na página Editar chaves de segurança na lista Chaves
de comunicação segura entre o agente e o servidor, selecione a chave de 1024 bits, clique em
Exportar na caixa de diálogo Exportar chave de comunicação segura entre o agente e o servidor,
clique em OK e depois guarde o ficheiro .zip na mesma pasta temporária no computador local.
A partir do servidor McAfee ePO novo, clique em Menu | Configuração | Definições do servidor, clique em
Chaves de segurança na coluna Categorias da definição e, em seguida, clique em Editar.
Para importar as duas chaves ASSC, use os seguintes passos:
3
a
Na página Editar chaves de segurança, ao lado do grupo Importar e criar cópia de segurança
das chaves, clique em Importar.
b
Na página Importar chaves, procure a localização onde guardou os ficheiros .zip da chave ASSC
de 2048 bits e 1024 bits exportados no passo 1.
c
Na caixa de diálogo Escolher ficheiro a carregar, selecione o ficheiro .zip da chave ASSC de 2048 bits,
regresse à página Importar chaves e clique em Seguinte.
d
Confirme se selecionou a chave correta na página Resumo e clique em Guardar.
e
Para importar a chave ASSC de 1024 bits, use os passos a-d novamente.
A partir do novo servidor McAfee ePO, confirme se ambas as chaves ASCC de 1024 bits e 2048 bits
aparecem na lista Chaves de comunicação segura entre o agente e o servidor e depois clique em
Guardar.
Agora, ambas as chaves ASSC estão guardadas no novo servidor McAfee ePO, pode registar com êxito
o novo servidor McAfee ePO no servidor antigo e em seguida use Transferir sistemas para mover os
seus sistemas geridos.
Consulte também
Registar servidores McAfee ePO na página 85
92
Guia do produto
8
Os processadores de agentes encaminham a comunicação entre os agentes e o servidor McAfee ePO.
Cada servidor do McAfee ePO contém um processador de agentes principal. Podem ser instalados mais
processadores de agentes nos sistemas da sua rede.
A configuração de mais processadores de agentes confere as seguintes vantagens.
•
Ajuda a gerir um número crescente de produtos e de sistemas geridos por um único servidor
McAfee ePO lógico, nos casos em que a CPU do servidor de bases de dados não está
sobrecarregada.
•
Providencia uma comunicação tolerante a falhas e com equilíbrio de carga com um grande número
de agentes, incluindo os agentes distribuídos geograficamente.
Conteúdo
Com funcionam os Processadores de agentes
Ligue um processador de agentes no DMZ a um servidor McAfee ePO num domínio
Grupos de processadores e prioridade
Gerir processadores de agentes
Com funcionam os Processadores de agentes
Os Processadores de agentes distribuem tráfego específico de rede que é gerado por um intervalo de
comunicação entre o agente e o servidor (ASCI), atribuindo sistemas ou grupos de sistemas geridos
para reportarem a um determinado processador de agentes. Depois de atribuído, um sistema gerido
comunica com o processador de agentes atribuído em vez de comunicar com o servidor McAfee ePO
principal.
O processador fornece sitelists atualizadas, políticas e regras de atribuição de política, do mesmo
modo que o faz o servidor McAfee ePO. O processador também coloca em cache os conteúdos do
repositório principal, de modo que os agentes possam extrair pacotes de atualização de produto, DATs
e outras informações necessárias.
Se o processador não tiver as atualizações necessárias quando um agente efetua o registo de entrada,
o processador obtém-nas a partir do repositório atribuído e coloca-as em cache, passando a atualização
ao agente.
O processador de agentes terá de conseguir autenticar as credenciais de domínio. Se isto não for
possível, a conta que o processador de agentes usa para se autenticar na base de dados terá de usar
autenticação SQL. Para obter mais informações sobre a autenticação Windows e SQL, consulte a
documentação do Microsoft SQL Server.
Para obter mais informações sobre a alteração dos modos de autenticação, consulte a documentação
do Microsoft SQL Server. Se o fizer, também terá de atualizar a informação de ligação do SQL Server.
Guia do produto
93
8
Ligue um processador de agentes no DMZ a um servidor McAfee ePO num domínio
O gráfico Sistemas por processador de agentes apresenta todos os Processadores de agentes
instalados e o número de agentes geridos por cada Processador de agentes.
Quando um processador de agentes é desinstalado, não é apresentado neste gráfico. Se uma regra de
atribuição de processadores de agentes atribuir, de forma exclusiva, agentes a um processador de
agentes e se o processador de agentes específico for desinstalado, então é apresentado no gráfico
como Processador de agentes desinstalado juntamente com o número de agentes que continuam a tentar
contactar este.
Se os Processadores de agentes não estiverem instalados corretamente, então é apresentada a
mensagem particular Processador de agentes desinstalado que indica que o processador não pode comunicar
com alguns agentes. Clique na lista para ver os agentes que não podem comunicar com o processador.
Vários Processadores de agentes
Pode ter mais do que um processador de agentes na rede. Poderá ter um grande número de sistemas
geridos espalhados por várias áreas geográficas ou limites políticos. Seja qual for o caso, pode
adicionar uma organização aos sistemas geridos atribuindo grupos distintos a diferentes
processadores.
Ligue um processador de agentes no DMZ a um servidor McAfee
ePO num domínio
Se o servidor McAfee ePO estiver num domínio, um processador de agentes instalado no DMZ não
consegue ligar-se à base de dados SQL do McAfee ePO porque o processador de agentes não pode
usar credenciais de domínio.
Para contornar esta limitação, configure o processador de agentes para usar as credenciais da conta
de administrador (sa) de sistema de base de dados SQL.
Tarefa
1
Ative a conta de administrador do sistema.
a
Abra o SQL Management Studio, expanda Inícios de sessão de segurança e faça duplo clique na conta sa.
b
No separador Geral, introduza e confirme a sua palavra-passe.
c
No separador Estado, defina Início de sessão para Ativado e depois clique em OK.
d
Clique com o botão direito no nome da instância da base de dados e clique em Propriedades.
A conta de administrador do sistema está ativada.
2
Altere a conta de administrador do sistema para estabelecer ligação com a base de dados McAfee
ePO.
a
Abra um Web browser e aceda a https://localhost:8443/core/config-auth
8443 é a porta de comunicação da consola. Se usar uma porta diferente para aceder à consola
do McAfee ePO, então inclua esse número de porta no endereço.
94
b
Inicie sessão utilizando as suas credenciais McAfee ePO.
c
Elimine a entrada no campo Domínio de utilizador e depois introduza sa.
Guia do produto
8
d
Indique uma palavra-passe para a conta de administrador do sistema e depois clique em Testar a
ligação.
e
Se o teste for bem sucedido, clique em Aplicar.
Se o teste não for bem sucedido, volte a introduzir a palavra-passe e depois clique novamente
em Testar a ligação
O processador de agentes usa as credenciais de administrador do sistema para comunicar com a base
de dados do McAfee ePO.
Se utilizar vários processadores de agentes na rede, pode agrupá-los e aplicar prioridade, para ajudar
a garantir a conectividade de rede.
Grupos de processadores
Com vários processadores de agentes na rede, pode criar grupos de processadores. Também pode
aplicar prioridade aos processadores num grupo. A prioridade de processadores diz aos agentes qual é
o processador com que comunicam primeiro. Se o processador com a prioridade mais alta estiver
indisponível, o agente reverte para o processador seguinte na lista. Esta informação de prioridade está
contida na lista de repositórios (ficheiro sitelist.xml) em cada agente. Quando altera as atribuições do
processador, este ficheiro é atualizado como parte do processo de comunicação entre o agente e o
servidor. Uma vez recebidas as atribuições, o agente espera até à próxima comunicação agendada
regularmente para implementá-las. Pode realizar uma chamada de ativação do agente imediata, para
atualizar o agente imediatamente.
O agrupamento de processadores e a atribuição da prioridade é personalizável, para que possa ir ao
encontro das necessidades do seu ambiente específico. Dois cenários comuns para agrupar
processadores são:
•
Utilizar múltiplos processadores para balanceamento de carga
Pode ter um grande número de sistemas geridos na rede, para os quais pretende distribuir a carga
de trabalho das comunicações entre o agente e o servidor e a imposição da política. Pode
configurar a lista de processadores, para que os agentes escolham aleatoriamente o processador
com que comunicam.
•
Configurar um plano de recuperação para assegurar a comunicação entre o agente e o
servidor
Pode ter sistemas distribuídos por uma vasta área geográfica. Ao atribuir uma prioridade a cada
processador disperso por esta área, pode especificar com que processador os agentes comunicam e
por que ordem. Isto ajuda a garantir que os sistemas geridos na sua rede se mantêm atualizados
ao criar uma comunicação do agente de recuperação, quase do mesmo modo que os repositórios
de recuperação asseguram que as novas atualizações estão disponíveis para os agentes. Se o
processador com a prioridade mais alta estiver indisponível, o agente reverterá para o processador
com a prioridade mais alta seguinte.
Além de atribuir prioridade de processadores dentro de um grupo de processadores, pode também
definir a prioridade de atribuição do processador através dos vários grupos de processadores. Isto
acrescenta uma camada adicional de redundância ao seu ambiente para assegurar ainda mais que os
seus agentes podem receber sempre a informação de que precisam.
Guia do produto
95
8
Ficheiros da sitelist
O agente utiliza os ficheiros sitelist.xml e sitelist.info para decidir com que processador comunica.
Sempre que as prioridades e atribuições do processador são atualizadas, estes ficheiros são
atualizados no sistema gerido. Quando estes ficheiros são atualizados, o agente implementa a nova
atribuição ou prioridade na próxima comunicação entre o agente e o servidor agendada.
Configure processadores de agentes na sua rede e atribua-lhes McAfee Agents.
Tarefas
•
Atribuir McAfee Agents a processadores de agentes na página 96
Atribuir agentes a processadores específicos. Pode atribuir sistemas individualmente, por
grupo e por sub-rede.
•
Gerir atribuições do processador de agentes na página 97
Conclua as tarefas de gestão comum para as atribuições do processador de agentes.
•
Criar grupos de processadores de agentes na página 97
Os grupos de processadores facilitam a gestão de vários processadores por toda a rede e
podem desempenhar um papel na estratégia de recuperação.
•
Gerir grupos de processadores de agentes na página 98
Conclua as tarefas de gestão comum para os grupos do processador de agentes.
•
Mover agentes entre processadores na página 98
Atribuir agentes a processadores específicos. Pode atribuir sistemas utilizando as regras de
atribuição dos processadores de agentes, a prioridade de atribuição de processadores de
agentes, ou utilizando individualmente a árvore de sistema.
Atribuir McAfee Agents a processadores de agentes
Atribuir agentes a processadores específicos. Pode atribuir sistemas individualmente, por grupo e por
sub-rede.
As atribuições do processador podem especificar um processador individual ou uma lista de
processadores a utilizar. A lista que especificar pode ser composta por processadores individuais ou
grupos de processadores.
Tarefa
96
1
Clique em Menu | Configuração | Processadores de agentes e depois clique em Ações | Nova atribuição.
2
Especifique um nome exclusivo para esta atribuição.
3
Especifique os agentes para esta atribuição utilizando uma ou ambas as seguintes opções Critérios do
agente:
•
Procure uma Localização na árvore de sistema.
•
Introduza o endereço IP, o intervalo IP ou a máscara de sub-rede dos sistemas geridos no
campo Sub-rede do agente.
Guia do produto
4
8
Especifique a Prioridade de processadores decidindo se pretende:
•
Usar todos os processadores de agentes — Os agentes selecionam aleatoriamente o processador com
que comunicam.
•
Usar lista de processadores personalizada — Ao utilizar uma lista de processadores personalizada,
selecione o processador ou o grupo de processadores a partir do menu pendente.
Ao utilizar uma lista de processadores personalizada, use + e - para acrescentar ou remover mais
processadores de agentes (um processador de agentes pode ser incluído em mais do que um
grupo). Utilize a alça de arrastar e largar para alterar a prioridade dos processadores. A prioridade
determina com que processador os agentes tentam comunicar primeiro.
Gerir atribuições do processador de agentes
Conclua as tarefas de gestão comum para as atribuições do processador de agentes.
Para executar estas ações, clique em Menu | Configuração | Processadores de agentes, em seguida, em Regras
de atribuição dos processadores, clique em Ações.
Para fazer isto...
Execute o seguinte...
Elimine uma
atribuição de
processador
Clique em Eliminar na linha da atribuição selecionada.
Edite uma atribuição Clique em Editar para a atribuição selecionada. É apresentada a página
de processador
Atribuição de processadores de agentes, onde pode especificar:
• Nome da atribuição — O nome exclusivo que identifica esta atribuição de
processador.
• Critérios do agente — Os sistemas que estão incluídos nesta atribuição. Pode
adicionar e remover grupos da árvore de sistema ou modificar a lista de
sistemas na caixa de texto.
• Prioridade de processadores — Escolha se pretende utilizar todos os processadores
de agentes ou uma lista de processadores personalizada. Os agentes
selecionam aleatoriamente o processador com quem se comunicar quando
Usar todos os processadores de agentes está selecionado.
Utilize a funcionalidade de arrastar e largar para alterar rapidamente a
prioridade dos processadores na lista de processadores personalizada.
Exportar atribuições
do processador
Clique em Exportar. É apresentada a página Transferir atribuições do
processador de agentes, onde pode ver ou transferir o ficheiro
AgentHandlerAssignments.xml.
Importar atribuições Clique em Importar. É apresentada a caixa de diálogo Importar atribuições do
do processador
processador de agentes, onde pode procurar um ficheiro
AgentHandlerAssignments.xml transferido anteriormente.
Editar a prioridade
das atribuições do
processador
Clique em Editar prioridade. É apresentada a página Atribuição de processadores
de agentes | Editar prioridades, onde pode alterar a prioridade das atribuições
do processador utilizando a funcionalidade de arrastar e largar.
Veja o resumo dos
detalhes de uma
atribuição do
processador
Clique em > na linha da atribuição selecionada.
Criar grupos de processadores de agentes
Os grupos de processadores facilitam a gestão de vários processadores por toda a rede e podem
desempenhar um papel na estratégia de recuperação.
Guia do produto
97
8
Tarefa
1
Clique em Menu | Configuração | Processadores de agentes e depois em Grupos de processadores, clique em
Novo grupo.
É apresentada a página Adicionar/editar grupo.
2
Especifique o nome do grupo e os detalhes dos Processadores incluídos, incluindo:
•
Clique em Usar balanceador de carga para utilizar um balanceador de carga de terceiros, depois
introduza os campos Nome de DNS virtual e Endereço IP virtual (ambos são necessários).
•
Clique em Usar lista de processadores personalizada para especificar que Processadores de agentes
estão incluídos neste grupo.
Quando utilizar uma lista de processadores personalizada, selecione os processadores da lista
pendente Processadores incluídos. Use + e - para acrescentar e remover Processadores de
agentes adicionais à lista (um processador de agentes pode ser incluído em mais do que um
grupo). Utilize a alça de arrastar e largar para alterar a prioridade dos processadores. A
prioridade determina com que processador os agentes tentam comunicar primeiro.
3
Clique em Guardar.
Gerir grupos de processadores de agentes
Conclua as tarefas de gestão comum para os grupos do processador de agentes.
Para executar estas ações, clique em Menu | Configuração | Processadores de agentes e, em seguida, clique no
monitor Grupos de processadores.
Ação
Passos
Eliminar um grupo de
processadores
Clique em Eliminar na linha do grupo selecionado.
Editar um grupo de
processadores
Clique no grupo de processadores. É apresentada a página Definições do
grupo de processadores de agentes, onde pode especificar:
• Nome de DNS virtual — O nome exclusivo que identifica este grupo de
processadores.
• Endereço IP virtual — O endereço IP associado a este grupo.
• Processadores incluídos — Escolha se pretende utilizar um balanceador de
carga de terceiros ou uma lista de processadores personalizada.
Utilize uma lista de processadores personalizada para especificar com
que processadores e em que ordem, os agentes atribuídos a este grupo
comunicam.
Ativar ou desativar um Clique em Ativar ou Desativar na linha do grupo selecionado.
grupo de processadores
Mover agentes entre processadores
Atribuir agentes a processadores específicos. Pode atribuir sistemas utilizando as regras de atribuição
dos processadores de agentes, a prioridade de atribuição de processadores de agentes, ou utilizando
individualmente a árvore de sistema.
98
Guia do produto
8
Tarefas
•
Agrupar agentes utilizando as atribuições do processador de agentes na página 99
Crie atribuições do processador de agentes para agrupar McAfee Agents.
•
Agrupar agentes por prioridade de atribuição na página 100
Agrupe os agentes e atribua-os a um processador de agentes que esteja a utilizar a
prioridade de atribuição.
•
Agrupar agentes utilizando a árvore de sistema na página 101
Agrupe agentes e atribua-os a um processador de agentes utilizando a árvore de sistema.
Agrupar agentes utilizando as atribuições do processador de agentes
Crie atribuições do processador de agentes para agrupar McAfee Agents.
Ao atribuir agentes aos processadores de agentes, considere a proximidade geográfica para reduzir o
tráfego de rede desnecessário.
Tarefa
1
Clique em Menu | Configuração | Processadores de agentes e, em seguida, clique na regra de atribuição de
processadores necessária.
É apresentada a página de Atribuição de processadores de agentes.
Se as Regras de atribuição predefinidas forem a única atribuição na lista, tem que criar uma nova
atribuição.
2
Introduza um nome para o Nome da atribuição.
3
É possível configurar os Critérios do agente por localizações da árvore de sistema, por sub-rede do
agente ou individualmente, utilizando o seguinte:
•
Localizações na árvore de sistema — Selecione o grupo a partir da Localização na árvore de sistema.
É possível procurar para selecionar outros grupos a partir de Selecionar árvore de sistema e
utilizar + e - para adicionar e remover grupos da árvore de sistema que são apresentados.
•
Sub-rede do agente — No campo de texto, introduza o endereço IP, os intervalos IP ou as
máscaras de sub-rede na caixa de texto.
•
Individualmente — No campo de texto, introduza o endereço IPv4/IPv6 para um sistema
específico.
Guia do produto
99
8
4
É possível configurar a prioridade de processadores para Usar todos os processadores de agentes ou Usar
lista de processadores personalizada. Clique em Usar lista de processadores personalizada, em seguida, altere o
processador numa das seguintes formas:
•
Altere o processador associado adicionando outro processador à lista e eliminando o
processador anteriormente associado.
•
Acrescente processadores adicionais à lista e defina a prioridade que o agente usa para
comunicar com os processadores.
Ao utilizar uma lista de processadores personalizada, utilize + e - para acrescentar e remover
processadores de agentes adicionais (um processador de agentes pode ser incluído em mais do
que um grupo). Utilize a alça de arrastar e largar para alterar a prioridade dos processadores. A
prioridade determina com que processador os agentes tentam comunicar primeiro.
5
Clique em Guardar.
Agrupar agentes por prioridade de atribuição
Agrupe os agentes e atribua-os a um processador de agentes que esteja a utilizar a prioridade de
atribuição.
grupos de processadores. Esta lista define a ordem pela qual os agentes tentam comunicar utilizando
um determinado processador de agentes.
Ao atribuir sistemas aos processadores de agentes, considere a proximidade geográfica para reduzir o
Tarefa
1
Clique em Menu | Configuração | Processadores de agentes. É apresentada a página Processador de
agentes.
Se as regras de atribuição predefinidas forem a única atribuição na lista, tem que criar uma nova
atribuição.
2
Edite atribuições utilizando os passos na tarefa Agrupar agentes por regras de atribuição.
3
Conforme necessário, modifique a prioridade da hierarquia de atribuições clicando em Ações | Editar
prioridade.
Mover uma atribuição para uma prioridade mais baixa do que outra atribuição cria uma hierarquia
em que a atribuição mais baixa faz, na realidade, parte da atribuição mais alta.
4
5
100
Para alterar a prioridade de uma atribuição, que é mostrada na coluna Prioridade à esquerda,
proceda do seguinte modo:
•
Utilize a funcionalidade arrastar e largar — Utilize a funcionalidade arrastar e largar para
arrastar a linha da atribuição para cima ou para baixo para outra posição na coluna Prioridade.
•
Clique em Mover para o topo — Em Ações rápidas, clique em Mover para o topo para mover
automaticamente a atribuição selecionada para a prioridade de topo.
Quando as prioridades das atribuições estiverem corretamente configuradas, clique em Guardar.
Guia do produto
8
Agrupar agentes utilizando a árvore de sistema
Agrupe agentes e atribua-os a um processador de agentes utilizando a árvore de sistema.
Ao atribuir sistemas aos processadores de agentes, considere a proximidade geográfica para reduzir o
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas.
2
Na coluna Árvore de sistema, navegue para o sistema ou grupo que pretende mover.
3
Utilize a funcionalidade de arrastar e largar para mover sistemas do grupo de sistemas configurado
atualmente para o grupo de sistemas de destino.
4
Clique em OK.
Guia do produto
101
8
102
Guia do produto
Um aspeto essencial da proteção da sua organização contra ameaças é
manter os produtos McAfee atualizados com o conteúdo de segurança mais
recente. O servidor McAfee ePO ajuda-o a fazer isto em todos os sistemas da
rede.
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
9
10
11
12
13
14
15
16
17
18
19
Etiquetas
Gestor de software
Tarefas cliente
Tarefas do servidor
Eventos e respostas
Guia do produto
103
104
Guia do produto
9
A Árvore de sistema é uma representação gráfica da forma como a sua rede gerida está organizada.
Utilize o software ePolicy Orchestrator para automatizar e personalizar a organização dos sistemas. A
estrutura organizacional implementada afeta o modo como as políticas de segurança são herdadas e
impostas no ambiente.
Pode organizar a Árvore de sistema utilizando algum destes métodos:
•
Sincronização automática com o servidor do Active Directory ou do domínio NT.
•
Ordenação baseada em critérios, utilizando critérios aplicados a sistemas manual ou
automaticamente.
•
Organização manual a partir da consola (arrastar e largar).
Conteúdo
Estrutura da Árvore de sistema
Considerações ao planear a árvore de sistema
Sincronização do Active Directory
Tipos de sincronização do Active Directory
Sincronização de domínio NT
Ordenação baseada em critérios
Criar e povoar grupos da árvore de sistema
Mover sistemas dentro da árvore de sistema
Como é que funciona o comando Transferir sistemas
A Árvore de sistema é uma estrutura hierárquica que organiza os sistemas da sua rede em grupos e
subgrupos.
A estrutura da Árvore de sistema predefinida inclui dois grupos:
•
A minha organização — A raiz da Árvore de sistema.
•
Perdidos e achados — Trata-se de um grupo generalista para todos os sistemas que não foram
adicionados, ou que não foi possível adicionar, aos restantes grupos da Árvore de sistema.
Grupo A minha organização
O grupo A minha organização, a raiz da Árvore de sistemas, contém todos os sistemas adicionados à
rede ou nesta detetados (manualmente ou automaticamente).
Até criar a sua própria estrutura, todos os sistemas são adicionados ao grupo Perdidos e achados.
Guia do produto
105
9
O grupo A minha organização possui estas características:
•
Não pode ser eliminado.
•
Não pode mudar o seu nome.
O grupo Perdidos e achados
O grupo Perdidos e achados é um subgrupo do grupo A minha organização.
Dependendo dos métodos que especificar ao criar e manter a Árvore de sistemas, o servidor utiliza
características diferentes para determinar onde colocar os sistemas. O grupo Perdidos e achados
armazena sistemas cujas localizações não podem ser determinadas.
O grupo Perdidos e achados possui estas características:
•
Não pode ser eliminado.
•
Não pode mudar o seu nome.
•
Os seus critérios de ordenação não podem ser alterados para deixarem de ser um grupo catch-all,
apesar de poder fornecer critérios para os subgrupos que cria dentro dele.
•
Aparece sempre em último na lista da Árvore de sistemas não está alfabetizado entre os seus
pares.
•
Devem ser concedidas permissões aos utilizadores para o grupo Perdidos e Achados para poderem
ver os conteúdos.
•
Quando um sistema é ordenado em Perdidos e achados, ele é colocado num subgrupo com nome
para o domínio do sistema. Se tal grupo não existir, é criado um.
Se eliminar sistemas da Árvore de sistemas, certifique-se de que seleciona a opção para remover os
seus agentes. Se o agente não for removido, os sistemas eliminados voltam a surgir no grupo Perdidos
e achados porque o agente continua a comunicar para o servidor.
Grupos da Árvore de sistemas
Os grupos da Árvore de sistemas representam um conjunto de sistemas e decidir quais os sistemas a
agrupar depende das necessidades exclusivas da sua rede e empresa.
Pode agrupar sistemas baseados no tipo de computador (por exemplo, portáteis, servidores ou PCs de
secretária), geografia (por exemplo, América do Norte ou Europa), limites políticos (por exemplo,
Finanças ou Desenvolvimento) ou quaisquer outros critérios que satisfaçam as suas necessidades.
Os grupos possuem estas características:
•
São criados por administradores ou utilizadores com as permissões adequadas.
•
Podem incluir sistemas e outros grupos (subgrupos).
•
São administrados por um administrador ou por um utilizador com permissões adequadas.
Agrupar sistemas com propriedades ou requisitos semelhantes nestas unidades permite-lhe gerir as
políticas dos sistemas num só lugar, em vez de definir políticas para cada sistema individualmente.
Como parte do processo de planeamento, considere a melhor forma de organizar sistemas em grupos
antes de construir a Árvore de sistemas.
106
Guia do produto
9
Herança
A herança é uma propriedade importante que simplifica a administração de políticas e tarefas. Devido
à herança, os grupos subordinados de forma hierárquica na Árvore de sistemas herdam conjuntos de
políticas definidos nos grupos principais.
Por exemplo:
•
As políticas definidas no nível A minha organização da Árvore de sistemas são herdadas por grupos
abaixo delas.
•
As políticas de grupos são herdadas por sub-grupos ou sistemas individuais dentro desse grupo.
A herança está ativada por predefinição para todos os grupos e sistemas individuais que adiciona à
Árvore de sistemas. Isto permite-lhe definir políticas e programar tarefas cliente em menos lugares.
No entanto, para permitir a personalização, a herança pode ser interrompida, aplicando uma nova
política em qualquer localização da Árvore de sistemas desde que um utilizador possua as permissões
adequadas. Pode bloquear as atribuições de política para preservar a herança.
Uma árvore de sistema eficiente e bem organizada pode simplificar a manutenção. Muitas realidades
administrativas, de rede e políticas de cada ambiente podem afetar o modo como a árvore de sistema
está estruturada.
Planeie a organização da árvore de sistema antes de a compilar e povoar. No caso concreto de uma
rede grande, deverá criar a árvore de sistema apenas uma vez.
Visto que cada rede é diferente e necessita de políticas diferentes — e, possivelmente, de gestão
diferente — a McAfee recomenda o planeamento da árvore de sistema antes de implementar o
software McAfee ePO.
Independentemente dos métodos que escolher para criar e povoar a árvore de sistema, considere o
seu ambiente ao planear a árvore de sistema.
Acesso de administrador
Ao planear a organização da árvore de sistema, considere as necessidades de acesso daqueles que
terão de gerir os sistemas.
Por exemplo, poderá ter uma administração de rede descentralizada na organização, em que
diferentes administradores têm responsabilidades sobre diferentes partes da rede. Por razões de
segurança, não poderá ter uma conta de administrador que possa aceder a todas as partes da rede.
Neste cenário, não será capaz de definir políticas e implementar agentes utilizando uma conta de
administrador única. Em vez disso, poderá precisar de organizar a árvore de sistema em grupos com
base nestas divisões e criar contas e conjuntos de permissões.
Considere estas questões:
•
Quem é o responsável por gerir que sistemas?
•
Quem tem necessidade de acesso para ver as informações sobre os sistemas?
•
Quem não deverá ter acesso aos sistemas e às informações sobre os mesmos?
Estas questões afetam tanto a organização da árvore de sistema como os conjuntos de permissões
que cria e aplica às contas de utilizador.
Guia do produto
107
9
Limites ambientais e o seu impacto na organização do sistema
A forma de organizar os sistemas para a gestão depende dos limites existentes na sua rede. Estes
limites influenciam a organização da árvore de sistema de modo diferente do da organização da
topologia da sua rede.
A McAfee recomenda a avaliação destes limites na sua rede e organização, e se devem ser
considerados quando definir a organização da árvore de sistema.
Limites topológicos
Os domínios NT ou contentores Active Directory definem a sua rede. Para melhor organizar o seu
ambiente de rede, a maneira mais fácil é criar e manter a árvore de sistema com as funcionalidades
de sincronização.
Limites geográficos
A gestão da segurança é um equilíbrio constante entre a proteção e o desempenho. Organize a árvore
de sistema para fazer a melhor utilização da largura de banda de rede limitada. Considere o modo
como o servidor se liga a todas as partes da rede, especialmente as localizações remotas que são
frequentemente ligadas através de ligações WAN ou VPN mais lentas, ao contrário das ligações LAN
mais rápidas. Pode querer configurar a atualização e as políticas de comunicação entre o agente e o
servidor de modo diferente para sites remotos para minimizar o tráfego de rede nas ligações mais
lentas.
Limites políticos
Muitas redes grandes são divididas por indivíduos ou grupos responsáveis para gerir diferentes partes
da rede. Por vezes, estes limites não coincidem com os limites topológicos ou geográficos. Quem
acede e gere os segmentos da árvore de sistema afeta a forma como o utilizador a estrutura.
Limites funcionais
Algumas redes são divididas através das funções daqueles que estão a utilizar a rede; por exemplo,
Vendas e Engenharia. Mesmo que uma rede não esteja dividida por limites funcionais, pode precisar
de organizar segmentos da árvore de sistema por funcionalidade, se grupos diferentes exigirem
políticas diferentes.
Um grupo comercial pode executar um software específico que exija políticas de segurança especiais.
Por exemplo, dispor os Exchange Servers de correio eletrónico num grupo e definir exclusões
específicas para análise no acesso.
Sub-redes e intervalos de endereço IP
Em muitos casos, as unidades organizacionais utilizam sub-redes específicas ou intervalos de IP para
que possam criar um grupo para uma localização geográfica e definir filtros IP para ele. Do mesmo
modo, se a rede não se espalhar geograficamente, pode utilizar a localização na rede, como por
exemplo o endereço IP, como o critério principal de agrupamento.
Se possível, considere utilizar critérios de ordenação baseados na informação do endereço IP para
automatizar a criação e manutenção da árvore de sistema. Defina as máscaras de sub-rede IP ou
critérios do intervalo do endereço IP para grupos aplicáveis dentro da árvore de sistema. Estes filtros
povoam automaticamente localizações com os sistemas apropriados.
Operar sistemas e software
Considere agrupar sistemas com sistemas operativos semelhantes para gerir mais facilmente os
produtos e as políticas específicas do sistema operativo. Se possuir sistemas legados, pode criar um
grupo para eles e implementar e gerir separadamente os produtos de segurança nestes sistemas.
108
Guia do produto
9
Além disso, ao fornecer a estes sistemas uma etiqueta correspondente, pode ordená-los
automaticamente dentro de um grupo.
Etiquetas e sistemas com características semelhantes
Pode usar etiquetas e grupos de etiquetas para automatizar a ordenação em grupos.
As etiquetas identificam sistemas com características semelhantes. Pode organizar os grupos por
características, pode criar e atribuir etiquetas baseadas nestes critérios e depois utilizar estas
etiquetas como critérios de ordenação do grupo para garantir que os sistemas são automaticamente
colocados dentro dos grupos apropriados.
Se possível, use critérios de ordenação baseados em etiquetas para povoar automaticamente os
grupos com os sistemas apropriados. Para além disso, para ajudar a ordenar os seus sistemas, pode
criar grupos de etiquetas aninhados até quatro níveis de profundidade com até 1000 subgrupos de
etiquetas em cada nível. Por exemplo, se os sistemas estiverem organizados por localização
geográfica, tipo de chassis (servidor, estação de trabalho ou computador portátil), função no sistema
(servidor Web, servidor SQL ou servidor de aplicação) e utilizador, poderá ter os seguintes grupos de
etiquetas:
Localização
Tipo de chassis
Plataforma
Utilizadores
Los Angeles
Computador de Secretária
Windows
Geral
Computador portátil
Macintosh
Vendas
Formação
Windows
Contabilidade
Gestão
Servidores
São Francisco
Linux
Empresarial
Windows
Empresarial
SQL
Empresarial
Computador de Secretária
Windows
Geral
Computador portátil
Macintosh
Vendas
Formação
Windows
Contabilidade
Gestão
Servidores
Linux
Empresarial
Windows
Empresarial
SQL
Empresarial
Se a rede executar o Active Directory, é possível usar a sincronização do Active Directory para criar,
povoar e manter partes da Árvore de sistema.
Uma vez definida, a Árvore de sistema é atualizada com quaisquer novos sistemas (e subcontentores)
no Active Directory.
Guia do produto
109
9
Tirar partido da integração do Active Directory para executar estas tarefas de gestão de sistemas:
•
Sincronize com a estrutura do Active Directory, ao importar sistemas e subcontentores do Active
Directory (como grupos da Árvore de sistema) e ao mantê-los atualizados com o Active Directory.
Em cada sincronização, os sistemas e a estrutura são atualizados na Árvore de sistema para
refletirem os sistemas e a estrutura do Active Directory.
•
Importar sistemas como uma lista simples a partir do contentor do Active Directory (e os seus
subcontentores) para o grupo sincronizado.
•
Verifique o que fazer com potenciais sistemas duplicados.
•
Utilize a descrição do sistema que é importada do Active Directory com os sistemas.
Utilize este processo para integrar a Árvore de sistema na estrutura de sistemas do Active Directory:
1
Configure as definições de sincronização em cada grupo que é um ponto de mapeamento na Árvore
de sistema. Na mesma localização, pode configurar se pretende:
•
Implementar agentes em sistemas detetados.
•
Eliminar sistemas da Árvore de sistema quando são eliminados do Active Directory.
•
Permitir ou impedir entradas duplicadas de sistemas que existam em alguma outra parte na
Árvore de sistema.
2
Utilizar a ação Sincronizar agora para importar sistemas do Active Directory (e possivelmente a
estrutura) para a Árvore de sistema de acordo com as definições de sincronização.
3
Utilizar uma tarefa de servidor de sincronização do domínio NT/Active Directory para sincronizar
regularmente os sistemas (e possivelmente a estrutura do Active Directory) com a Árvore de
sistema de acordo com as definições de sincronização.
Há dois tipos de sincronização do Active Directory (sistemas apenas e sistemas e estrutura). Qual
deles utiliza depende do nível de integração que pretende com o Active Directory.
Com cada tipo, pode controlar a sincronização selecionando se pretende:
•
Implementar automaticamente sistemas novos no ePolicy Orchestrator. Pode não pretender definir
isto na sincronização inicial se estiver a importar um grande número de sistemas e possui largura
de banda limitada. O agente MSI tem cerca de 6 MB de tamanho. Contudo, pode querer
implementar agentes automaticamente para alguns novos sistemas que são detetados no Active
Directory durante a sincronização subsequente.
•
Elimine os sistemas do ePolicy Orchestrator (e remova os seus agentes) quando são eliminados do
Active Directory.
•
Impeça a adição de sistemas ao grupo se já existirem em algum lugar na árvore de sistema. Isto
assegura que não tenha sistemas duplicados se mover manualmente ou ordenar o sistema para
outra localização.
•
Exclua determinados contentores do Active Directory da sincronização. Estes contentores e os seus
sistemas são ignorados durante a sincronização.
Sistemas e estrutura
Quando utilizar este tipo de sincronização, as alterações na estrutura do Active Directory são
realizadas em toda a estrutura da árvore de sistema na próxima sincronização. Quando os sistemas ou
110
Guia do produto
9
contentores são adicionados, movidos ou removidos do Active Directory, também são adicionados,
movidos ou removidos das localizações correspondentes na árvore de sistema.
Quando utilizar este tipo de sincronização
Utilize para se assegurar de que a árvore de sistema (ou partes dela) pareça exatamente como a
estrutura do Active Directory.
Se a organização do Active Directory satisfizer as necessidades de gestão da segurança e pretender
que a árvore de sistema continue a parecer-se com a estrutura do Active Directory mapeado, utilize
este tipo de sincronização com a sincronização subsequente.
Sistemas apenas
Utilize este tipo de sincronização para importar sistemas de um contentor do Active Directory,
incluindo os subcontentores não excluídos, como uma lista simples para um grupo da árvore de
sistema mapeado. Pode então movê-los para localizações apropriadas na árvore de sistema,
atribuindo critérios de ordenação aos grupos.
Se escolher este tipo de sincronização, certifique-se de selecionar para não adicionar novamente
sistemas se já existirem em algum lugar na árvore de sistema. Isto impede as entradas duplicadas de
sistemas na árvore de sistema.
Quando utilizar este tipo de sincronização
Utilize este tipo de sincronização quando usar o Active Directory como uma origem regular de
sistemas para o ePolicy Orchestrator, mas as necessidades organizacionais para gestão de segurança
não coincidirem com a organização de contentores e sistemas no Active Directory.
Utilize os domínios NT como uma origem para povoar a árvore de sistema. Quando sincronizar um
grupo para um domínio NT, todos os sistemas do domínio são colocados no grupo como uma lista
simples. Pode gerir estes sistemas no grupo único, ou pode criar subgrupos para necessidades
organizacionais mais granulares. Utilize um método, como a ordenação automática, para povoar
automaticamente estes subgrupos.
Se mover os sistemas para outros grupos ou subgrupos da árvore de sistema, certifique-se de que
seleciona para não adicionar sistemas quando já existirem em algum lugar na árvore de sistema. Isto
impede as entradas duplicadas de sistemas na árvore de sistema.
Ao contrário da sincronização do Active Directory, apenas os nomes dos sistemas são sincronizados
com a sincronização do domínio NT; a descrição do sistema não é sincronizada.
Como nas versões anteriores do ePolicy Orchestrator, pode usar a informação do endereço IP para
ordenar automaticamente os sistemas geridos em grupos específicos. Também pode criar critérios de
ordenação baseados em etiquetas, que são como identificações atribuídas aos sistemas. Pode utilizar
um ou outro tipo de critérios ou ambos, para assegurar que os sistemas estão onde os pretende na
Árvore de sistemas.
Os sistemas precisam apenas de corresponder a um critério entre os critérios de ordenação de um
grupo para serem colocados no grupo.
Guia do produto
111
9
Após criar grupos e definir os seus critérios de ordenação, realize uma ação Testar a ordenação, para
confirmar se os critérios e a sequência da ordenação alcançam os resultados desejados.
Quando tiver os critérios de ordenação adicionados aos seus grupos, pode executar a ação Ordenar
agora. A ação move automaticamente os sistemas selecionados para o grupo apropriado. Os sistemas
que não corresponderem aos critérios de ordenação de qualquer grupo, são movidos para Perdidos e
Achados.
Os novos sistemas que se apresentam ao servidor pela primeira vez, são adicionados
automaticamente ao grupo correto. Contudo, se definir critérios de ordenação após a comunicação
inicial entre o agente e o servidor, deve executar a ação Ordenar agora nos sistemas para os mover
imediatamente para o grupo apropriado ou esperar até à próxima comunicação entre o agente e o
servidor.
Estado de ordenação dos sistemas
Em qualquer sistema ou coleção de sistemas, pode ativar ou desativar a ordenação da Árvore de
sistemas. Se desativar a ordenação da Árvore de sistemas num sistema, ela é excluída das ações de
ordenação, exceto quando a ação Testar a ordenação for realizada. Ao testar a ordenação, o estado de
ordenação do sistema ou coleção é considerado e pode ser movido ou ordenado na página Testar a
ordenação.
Definições da ordenação da árvore de sistema no servidor McAfee ePO
Para que a ordenação se realize, a mesma deve estar ativada no servidor e nos sistemas. Por
predefinição, ordenar sistemas logo que ativada. Como resultado, os sistemas são ordenados na
primeira comunicação entre o agente e o servidor (ou na seguinte, se aplicar alterações aos sistemas
existentes) e não são ordenados novamente.
Testar a ordenação dos sistemas
Utilize esta funcionalidade para ver onde os sistemas seriam colocados durante a ação de ordenação.
A página Testar a ordenação apresenta os sistemas e os caminhos para a localização onde seriam
ordenados. Embora esta página não apresente o estado de ordenação dos sistemas, se selecionar os
sistemas na página (mesmo aqueles que têm a ordenação desativada), ao clicar em Mover sistemas
colocará esses sistemas na localização identificada.
Como é que as definições afetam a ordenação
Pode escolher três definições do servidor para determinar se pretende e quando pretende que os
sistemas sejam ordenados. Também, pode escolher se pretende que qualquer sistema possa ser
112
Guia do produto
9
ordenado ao ativar ou desativar a ordenação da árvore de sistema em sistemas selecionados na
árvore de sistema.
Definições do servidor
O servidor possui três definições:
•
Desativar a ordenação da Árvore de Sistema — Se a ordenação baseada em critérios não cumprir as
necessidades de gestão de segurança e pretender utilizar outras funcionalidades da árvore de
sistema (como a sincronização do Active Directory) para organizar os sistemas, selecione esta
definição para evitar que outros utilizadores McAfee ePO configurem por engano os critérios de
ordenação em grupos e movam os sistemas para localizações não pretendidas.
•
Ordenar os sistemas em cada comunicação entre o agente e o servidor — Os sistemas são ordenados em cada
comunicação entre o agente e o servidor. Quando alterar os critérios de ordenação nos grupos, os
sistemas movem-se para o novo grupo na sua próxima comunicação entre o agente e o servidor.
•
Ordenar os sistemas uma vez — Os sistemas são ordenados na próxima comunicação entre o agente e o
servidor e marcados para nunca ser de novo ordenados na comunicação entre o agente e o
servidor enquanto esta definição estiver selecionada. Contudo, pode continuar a ordenar um tal
sistema ao selecioná-lo e clicando em Ordenar agora.
Definições do sistema
Pode desativar ou ativar a ordenação da árvore de sistema em qualquer sistema. Se um sistema
estiver desativado, esse sistema não será ordenado, independentemente de como for realizada a ação
de ordenação. No entanto, ao realizar a ação Testar a ordenação irá ordenar este sistema. Se um
sistema estiver ativado, esse sistema é sempre ordenado pela ação manual Ordenar agora e pode ser
ordenado na comunicação entre o agente e o servidor dependendo das definições do servidor para a
ordenação da árvore de sistema.
Critérios de ordenação do endereço IP
Em muitas redes, as informações sobre as sub-redes e o endereço IP refletem distinções
organizacionais, como a localização geográfica ou o cargo no emprego. Se a organização do endereço
IP coincidir com as suas necessidades, considere utilizar estas informações para criar e manter partes
ou toda a estrutura da árvore de sistema ao definir os critérios de ordenação do endereço IP para tais
grupos.
Nesta versão do ePolicy Orchestrator, esta funcionalidade foi alterada e agora permite a definição de
critérios de ordenação, de forma aleatória, do IP por toda a árvore. Já não precisa de se certificar que
os critérios de ordenação do endereço IP do grupo secundário são um subconjunto do principal, uma
vez que o principal não tem critérios atribuídos. Uma vez configurados, pode ordenar sistemas na
comunicação entre o agente e o servidor ou apenas quando uma ação de ordenação é iniciada
manualmente.
Os critérios de ordenação do endereço IP não devem sobrepor-se entre diferentes grupos. Cada
intervalo IP ou máscara de sub-rede nos critérios de ordenação num grupo devem abranger um único
conjunto de endereços IP. Se os critérios não se sobrepõem, o grupo onde esses sistemas terminam
depende da ordem dos subgrupos no separador Árvore de sistema | Detalhes do grupo. Pode verificar a
sobreposição do IP utilizando a ação Verificar integridade do IP no separador Detalhes do grupo
Critérios de ordenação baseados em etiquetas
Além de utilizar informação do endereço IP para ordenar sistemas no grupo apropriado, pode definir
critérios de ordenação baseados nas etiquetas atribuídas aos sistemas.
Os critérios baseados em etiquetas podem ser utilizados com critérios baseados em endereço IP para
ordenação.
Guia do produto
113
9
Ordenação e sequência do grupo
Para fornecer flexibilidade adicional com a gestão da Árvore de sistema, pode configurar a sequência
de subgrupos do grupo e portanto a sequência pela qual eles são considerados para um
posicionamento do sistema durante a ordenação.
Quando vários subgrupos possuem critérios correspondentes, alterar esta sequência pode alterar onde
termina um sistema na árvore de sistema.
De forma adicional, se está a utilizar grupos catch-all, eles devem ser o último subgrupo na lista.
Grupos catch-all
Os grupos catch-all são grupos cujos critérios de ordenação estão definidos para Todos os outros na
página Critérios de ordenação do grupo. Apenas os subgrupos na última posição da sequência de
ordenação podem ser grupos catch-all. Estes grupos recebem todos os sistemas que foram ordenados
dentro do grupo principal, mas não foram ordenados em nenhum dos pontos do catch-all.
Como é que um sistema é adicionado à Árvore de sistemas
depois de ordenado
Quando o agente comunica com o servidor pela primeira vez, o servidor utiliza um algoritmo para
colocar o sistema na Árvore de sistemas. Quando não consegue encontrar uma localização apropriada
para um sistema, coloca-o no grupo Perdidos e Achados.
Em cada comunicação entre o agente e o servidor, o servidor tenta localizar o sistema na Árvore de
sistemas pelo GUID do agente (apenas os sistemas cujos agentes já tenham sido chamados para o
servidor pela primeira vez possuem um GUID do agente na base de dados). Se for encontrado um
sistema correspondente, este é deixado na localização existente.
Se um sistema correspondente não for encontrado, o servidor utiliza um algoritmo para ordenar os
sistemas nos grupos apropriados. Os sistemas podem ser ordenados em qualquer grupo baseado em
critérios na Árvore de sistemas, independentemente da profundidade a que está na estrutura, desde
que cada grupo principal no caminho não possua critérios não correspondentes. Os grupos principais
de um subgrupo baseado em critérios não devem ter critérios ou devem ter critérios correspondentes.
A sequência de ordenação atribuída a cada subgrupo (definida no separador Detalhes do grupo) determina
a sequência pela qual os subgrupos são considerados pelo servidor quando procura um grupo com
critérios correspondentes.
114
1
O servidor procura um sistema sem um GUID do agente (o seu agente nunca foi apresentado
antes) com um nome correspondente num grupo com o mesmo nome que o domínio. Se
encontrado, o sistema é colocado nesse grupo. Isto pode acontecer após a primeira sincronização
do Active Directory ou do domínio NT ou se tiver adicionado manualmente sistemas à Árvore de
sistemas.
2
Se, ainda assim, não for encontrado um sistema correspondente, o servidor procura um grupo com
o mesmo nome do domínio de onde o sistema é originário. Se esse grupo não for encontrado, é
criado um no grupo Perdidos e Achados e o sistema é colocado aí.
3
As propriedades são atualizadas para o sistema.
4
O servidor aplica todas as etiquetas baseadas em critérios no sistema se o servidor estiver
configurado para executar critérios de ordenação em cada comunicação entre o agente e o
servidor.
Guia do produto
5
9
O que acontece depois depende do facto de a ordenação da Árvore de sistemas estar ativada quer
no servidor, quer no sistema.
•
Se a ordenação da Árvore de sistemas estiver desativada tanto no servidor como no sistema, o
sistema é deixado onde está.
•
Se a ordenação da Árvore de sistemas estiver ativada quer no servidor, quer no sistema, o
sistema é movido com base nos critérios de ordenação para os grupos da árvore de sistema.
Os sistemas que são adicionados pela sincronização do Active Directory ou do domínio NT têm a
ordenação da Árvore de sistemas desativada por predefinição, por isso não são ordenados na
primeira comunicação entre o agente e o servidor
6
O servidor considera os critérios de ordenação de todos os grupos de nível superior de acordo com
a sequência de ordenação no separador Detalhes do grupo do grupo A minha organização. O sistema é
colocado no primeiro grupo com critérios correspondentes ou num grupo catch-all que considerar.
•
Uma vez ordenado num grupo, cada um dos seus subgrupos é considerado para critérios de
correspondência de acordo com a sua sequência de ordenação no separador Detalhes do grupo.
•
Isto continua até que não haja nenhum subgrupo com critérios de correspondência para o
sistema e esteja colocado no último grupo encontrado com critérios correspondentes.
7
Se tal grupo de nível superior não for encontrado, os subgrupos dos grupos de nível superior (sem
critérios de ordenação) são considerados de acordo com a sua ordenação.
8
Se tal grupo baseado em critérios de segundo nível não for encontrado, os grupos de terceiro nível
baseados em critérios dos grupos sem restrições do segundo nível são considerados.
Os subgrupos dos grupos com critérios que não correspondam não são considerados. Um grupo tem
de ter critérios de correspondência ou não ter critérios, para que os seus subgrupos sejam
considerados num sistema.
9
Este processo continua através da Árvore de sistemas até que um sistema seja ordenado num
grupo.
Se a definição do servidor para a ordenação da Árvore de sistemas estiver configurada para ordenar
apenas na primeira comunicação entre o agente e o servidor, é definido um sinalizador no sistema.
O sinalizador significa que o sistema nunca poderá ser novamente ordenado na comunicação entre o
agente e o servidor, a não ser que a definição do servidor seja alterada para ativar a ordenação em
cada comunicação entre o agente e o servidor.
10 Se o servidor não conseguir ordenar o sistema em qualquer grupo, é colocado no grupo Perdidos e
Achados, num subgrupo que é denominado de acordo com o seu domínio.
Crie grupos da Árvore de sistema e povoe os grupos com sistemas, ao introduzir nomes NetBIOS para
sistemas individuais ou ao importar sistemas diretamente a partir da rede.
Também pode povoar grupos, arrastando os sistemas selecionados para um grupo qualquer da Árvore
de sistema. A funcionalidade arrastar e largar também lhe permite mover grupos e subgrupos dentro da
Árvore de sistema.
Não existe uma forma única para organizar uma árvore de sistema e, porque cada rede é diferente, a
organização da árvore de sistema pode ser tão exclusiva como o esquema da rede. Apesar de não vir
a utilizar todos os métodos oferecidos, pode utilizar mais do que um.
Guia do produto
115
9
Por exemplo, se utilizar o Active Directory na rede, considere importar os contentores do Active
Directory em vez dos domínios NT. Se a organização do Active Directory ou do domínio NT não fizer
sentido para a gestão da segurança, pode criar a árvore de sistema num ficheiro de texto e importá-lo
para a árvore de sistema. Se tiver uma rede mais pequena, pode criar manualmente a árvore de
sistema e adicionar manualmente cada sistema.
Tarefas
•
Criar grupos manualmente na página 116
Crie subgrupos da Árvore de sistema. Povoe estes subgrupos com sistemas, introduzindo
nomes NetBIOS para sistemas individuais ou importando sistemas diretamente a partir da
rede.
•
Adicionar sistemas manualmente a um grupo existente na página 117
Importe sistemas da Vizinhança na rede para os grupos. Também pode importar um
domínio de rede ou um contentor do Active Directory.
•
Exportar sistemas a partir da árvore de sistema na página 118
Pode exportar uma lista de sistemas a partir da Árvore de sistema para um ficheiro .txt
para utilização posterior. Exporte a nível de grupo ou de subgrupo, mantendo a organização
da árvore de sistema.
•
Importar sistemas a partir de um ficheiro de texto na página 118
Crie um ficheiro de texto de sistemas e grupos a importar para a Árvore de sistema.
•
Ordenar sistemas em grupos baseados em critérios na página 119
Configure e implemente a ordenação de sistemas em grupos. Para ordenar os sistemas em
grupos, a ordenação tem de estar ativada no servidor e nos sistemas e os critérios de
ordenação e a sequência de ordenação dos grupos têm de estar configurados.
•
importar contentores do Active Directory na página 121
Importe sistemas dos contentores do Active Directory diretamente para a Árvore de sistema,
mapeando os contentores de origem do Active Directory para grupos da Árvore de sistema.
•
Importar domínios NT para um grupo existente na página 123
Importe sistemas a partir de um domínio NT para um grupo criado manualmente.
•
Agendar a sincronização da Árvore de sistema na página 125
Agende uma tarefa do servidor que atualize a Árvore de sistema com alterações no domínio
mapeado ou no contentor do Active Directory.
•
Atualizar manualmente um grupo sincronizado com um domínio NT na página 126
Atualize um grupo sincronizado com alterações para o domínio NT associado.
Criar grupos manualmente
Crie subgrupos da Árvore de sistema. Povoe estes subgrupos com sistemas, introduzindo nomes NetBIOS
para sistemas individuais ou importando sistemas diretamente a partir da rede.
Tarefa
1
É apresentada a caixa de diálogo Novos subgrupos.
a
Clique em Menu | Sistemas | Árvore de sistemas.
b
Seleccione um grupo.
c
Clique em Novos subgrupos.
Crie mais do que um subgrupo de cada vez.
2
116
Introduza um nome e depois clique em OK. O novo grupo é apresentado na Árvore de sistema.
Guia do produto
3
9
Repita, conforme necessário, até que esteja pronto para povoar os grupos com sistemas. Adicione
sistemas aos grupos da Árvore de sistemas da seguinte forma:
•
Introduzir manualmente nomes de sistemas.
•
Importá-los de domínios NT ou contentores do Active Directory. Pode sincronizar regularmente
um domínio ou um contentor com um grupo para facilitar a manutenção.
•
Configurar critérios de ordenação baseados em endereços IP ou baseados em etiquetas nos
grupos. Quando os agentes efetuam o registo de entrada a partir de sistemas com informação
de endereço IP correspondente ou etiquetas correspondentes, são automaticamente colocados
no grupo adequado.
Adicionar sistemas manualmente a um grupo existente
Importe sistemas da Vizinhança na rede para os grupos. Também pode importar um domínio de rede
ou um contentor do Active Directory.
Tarefa
1
Abra a página Novos sistemas.
a
b
Clique em Novos sistemas.
2
Selecione se pretende implementar o McAfee Agent aos novos sistemas e se os sistemas devem ser
adicionados ao grupo selecionado ou a um grupo de acordo com critérios de ordenação.
3
Ao lado de Sistemas de destino, introduza o nome NetBIOS para cada sistema na caixa de texto,
separado por vírgulas, espaços ou quebras de linha. Como alternativa, clique em Procurar para
selecionar os sistemas.
4
Se selecionou Forçar a instalação dos agentes e adicionar os sistemas ao grupo atual, pode ativar a ordenação
automática da Árvore de sistema. Faça isso para aplicar os critérios de ordenação a estes sistemas.
Especifique as opções seguintes:
Opção
Ação
Versão Agent
Selecione a versão do agente a implementar.
Caminho de instalação
Configure o caminho da instalação do agente ou aceite a
predefinição.
Credenciais para a instalação do agente
Introduza as credenciais válidas para instalar o agente.
Número de tentativas
Introduza um número inteiro, utilizando zero para tentativas
contínuas.
Intervalo para repetir
Introduza o número de segundos entre as repetições.
Abortar após
Introduza o número de minutos antes de abortar a ligação.
Forçar instalação do Agente com recurso Selecione um processador de agentes específico ou todos os
a
processadores de agentes.
5
Clique em OK.
Guia do produto
117
9
Exportar sistemas a partir da árvore de sistema
Pode exportar uma lista de sistemas a partir da Árvore de sistema para um ficheiro .txt para utilização
posterior. Exporte a nível de grupo ou de subgrupo, mantendo a organização da árvore de sistema.
Pode ser útil ter uma lista dos sistemas na árvore de sistema. Pode importar esta lista para o servidor
McAfee ePO Server para restabelecer rapidamente a organização e a estrutura anteriores.
Esta tarefa não remove os sistemas da árvore de sistema. Cria um ficheiro .txt que contém os nomes e
a estrutura dos sistemas na árvore de sistema.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema. Abre-se a página Árvore de sistema.
2
Selecione o grupo ou subgrupo que contém os sistemas que pretende exportar e depois clique em
Ações da árvore de sistema | Exportar sistemas. É apresentada a página Exportar sistemas.
3
Selecione se pretende exportar.
4
•
Todos os sistemas neste grupo — Exporta os sistemas no Grupo de origem, mas não exporta os sistemas
listados nos subgrupos aninhados sob este nível.
•
Todos os sistemas neste grupo e subgrupos — Exporta todos os sistemas neste nível e abaixo deste
nível.
Clique em OK.
É apresentada a página Exportar. Pode clicar na ligação sistemas para ver a lista de sistemas ou clicar
com o botão direito do rato na ligação para guardar uma cópia do ficheiro ExportSystems.txt.
Importar sistemas a partir de um ficheiro de texto
Crie um ficheiro de texto de sistemas e grupos a importar para a Árvore de sistema.
Tarefas
•
Criar um ficheiro de texto de grupos e sistemas na página 118
Crie um ficheiro de texto dos nomes NetBIOS para os sistemas de rede que pretende
importar para um grupo. Pode importar uma lista simples de sistemas ou organizar os
sistemas em grupos.
•
Importar sistemas e grupos a partir de um ficheiro de texto na página 119
Importe sistemas ou grupos de sistemas para a Árvore de sistema a partir de um ficheiro de
texto que criou e guardou.
Criar um ficheiro de texto de grupos e sistemas
Crie um ficheiro de texto dos nomes NetBIOS para os sistemas de rede que pretende importar para
um grupo. Pode importar uma lista simples de sistemas ou organizar os sistemas em grupos.
Defina os grupos e os seus sistemas introduzindo os nomes do grupo e do sistema num ficheiro de
texto. Depois, importe essa informação para o ePolicy Orchestrator. Para redes maiores, utilize
utilitários de rede, como por exemplo o utilitário NETDOM.EXE disponível no Microsoft Windows
Resource Kit, para gerar ficheiros de texto que contêm listas completas dos sistemas na rede. Quando
tiver o ficheiro de texto, edite-o manualmente para criar grupos de sistemas e importar toda a
estrutura para a árvore de sistema.
Independentemente da forma como gerar o ficheiro de texto, tem de utilizar a sintaxe correta antes
de importá-lo.
118
Guia do produto
9
Tarefa
1
Liste separadamente cada sistema na sua própria linha. Para organizar sistemas em grupos,
introduza o nome do grupo seguido por uma barra invertida (\), depois liste os sistemas
pertencentes sob ele, cada um numa linha separada.
GrupoA\sistema1
GrupoA\sistema2
GrupoA\GrupoB\sistema3
GrupoC\GrupoD
2
Verifique os nomes dos grupos e dos sistemas e a sintaxe do ficheiro de texto, depois guarde o
ficheiro de texto numa pasta temporária no seu servidor.
Importar sistemas e grupos a partir de um ficheiro de texto
Importe sistemas ou grupos de sistemas para a Árvore de sistema a partir de um ficheiro de texto que
criou e guardou.
Tarefa
1
Abra a página Novos sistemas.
a
b
Clique em Novos sistemas.
2
Selecione Importar sistemas a partir de um ficheiro de texto para o grupo selecionado, mas não forçar a instalação dos
agentes.
3
Selecione se o ficheiro de importação deve conter:
•
Sistemas e estrutura da árvore de sistema
•
Sistemas apenas (como lista simples)
4
Clique em Procurar e depois selecione o ficheiro de texto.
5
Selecione o que fazer com os sistemas que já existem algures na Árvore de sistema.
6
Clique em OK.
Os sistemas são importados para o grupo selecionado na Árvore de sistema. Se o ficheiro de texto
organizou os sistemas em grupos, o servidor cria os grupos e importa os sistemas.
Ordenar sistemas em grupos baseados em critérios
Configure e implemente a ordenação de sistemas em grupos. Para ordenar os sistemas em grupos, a
ordenação tem de estar ativada no servidor e nos sistemas e os critérios de ordenação e a sequência
de ordenação dos grupos têm de estar configurados.
Guia do produto
119
9
Tarefas
•
Adicionar critérios de ordenação a grupos na página 120
Os critérios de ordenação dos grupos da Árvore de sistema podem ser baseados em
informações de endereço IP ou em etiquetas.
•
Ativar a ordenação da Árvore de sistema no servidor na página 120
Para que os sistemas sejam ordenados, a ordenação da Árvore de sistema tem de ser
ativada no servidor e nos sistemas.
•
Ativar ou desativar a ordenação da Árvore de sistemas nos sistemas na página 121
O estado de ordenação de um sistema determina se pode ser ordenado dentro de um
grupo baseado em critérios.
•
Ordenar sistemas manualmente na página 121
Ordene sistemas selecionados em grupos com a ordenação baseada em critérios ativada.
Adicionar critérios de ordenação a grupos
Os critérios de ordenação dos grupos da Árvore de sistema podem ser baseados em informações de
endereço IP ou em etiquetas.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Detalhes do grupo e selecione o grupo na árvore de sistema.
2
Ao lado de Critérios de ordenação, clique em Editar. É apresentada a página Critérios de ordenação para o
grupo selecionado.
3
Selecione Sistemas que correspondem aos critérios abaixo, depois são apresentadas as seleções de critérios.
Embora possa configurar vários critérios de ordenação para o grupo, um sistema apenas tem de
corresponder a um critério único para ser colocado neste grupo.
4
5
Configure o critério. As opções incluem:
•
Endereços IP — Utilize esta caixa de texto para definir um intervalo de endereço IP ou uma
máscara de sub-rede como critérios de ordenação. Qualquer sistema cujo endereço se integre
nele é ordenado neste grupo.
•
Etiquetas — Adicione etiquetas específicas para garantir que os sistemas com tais etiquetas que
chegam ao grupo principal são ordenados neste grupo.
Repita, conforme necessário, até ordenar os critérios reconfigurados para o grupo, depois clique em
Guardar.
Ativar a ordenação da Árvore de sistema no servidor
Para que os sistemas sejam ordenados, a ordenação da Árvore de sistema tem de ser ativada no
servidor e nos sistemas.
Na tarefa seguinte, se ordenar apenas na primeira comunicação entre o agente e o servidor, todos os
sistemas ativados são ordenados na próxima comunicação entre o agente e o servidor e nunca serão
ordenados novamente durante o tempo em que esta opção estiver selecionada. Contudo, estes
sistemas podem ser ordenados novamente de forma manual, através da ação Ordenar agora ou ao
alterar esta definição para ordenar em cada comunicação entre o agente e o servidor.
Se optou por ordenar em cada comunicações entre o agente e o servidor, todos os sistemas são
ordenados em cada comunicação entre o agente e o servidor durante o tempo em que esta opção
estiver selecionada.
120
Guia do produto
9
Tarefa
1
Clique em Menu | Configuração | Definições do servidor e depois selecione Ordenação da árvore de sistema na
lista Categorias de definição e clique em Editar.
2
Selecione se pretende ordenar os sistemas apenas na primeira comunicação entre o agente e o
servidor ou em cada uma destas comunicações.
Ativar ou desativar a ordenação da Árvore de sistemas nos sistemas
O estado de ordenação de um sistema determina se pode ser ordenado dentro de um grupo baseado
em critérios.
Pode alterar o estado de ordenação nos sistemas em qualquer das tabelas dos sistemas (tais como os
resultados da consulta) e também automaticamente nos resultados de uma consulta agendada.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e, em seguida, selecione os grupos ou sistemas
pretendidos.
2
Clique em Ações | Gestão de diretório | Alterar o estado de ordenação e depois selecione se pretende ativar ou
desativar a ordenação da Árvore de sistemas nos sistemas selecionados.
3
Na caixa de diálogo Alterar o estado de ordenação, selecione se pretende desativar ou ativar a
ordenação da árvore de sistemas no sistema selecionado.
Dependendo da definição do servidor para a ordenação da Árvore de sistemas, este sistemas são
ordenados na próxima comunicação entre o agente e o servidor. Caso contrário, só podem ser
ordenados com a ação Ordenar agora.
Ordenar sistemas manualmente
Ordene sistemas selecionados em grupos com a ordenação baseada em critérios ativada.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e, em seguida, selecione o grupo que contém os
sistemas.
2
Selecione os sistemas e depois clique em Ações | Gestão de diretório | Ordenar agora. É apresentada a
caixa de diálogo Ordenar agora.
Se pretender pré-visualizar os resultados da ordenação antes de ordenar, clique antes em Ordenação
de teste. (Contudo, se mover os sistemas de dentro da página Ordenação de teste, todos os sistemas
selecionados são ordenados, mesmo que tenham a ordenação na Árvore de sistema desativada.)
3
Clique em OK para ordenar os sistemas.
importar contentores do Active Directory
Importe sistemas dos contentores do Active Directory diretamente para a Árvore de sistema, mapeando
os contentores de origem do Active Directory para grupos da Árvore de sistema.
Mapear contentores do Active Directory para grupos permite-lhe:
Guia do produto
121
9
•
Sincronize a estrutura da Árvore de sistema com a estrutura do Active Directory para que, quando os
contentores forem adicionados ou removidos do Active Directory, o grupo correspondente na Árvore
de sistema seja também adicionado ou removido.
•
Eliminar sistemas da Árvore de sistema quando são eliminados do Active Directory.
•
Evite entradas duplicadas de sistemas na Árvore de sistema, quando já existem noutros grupos.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Detalhes do grupo e, em seguida, seleccione um grupo na
Árvore de sistema para o qual quer mapear um contentor do Active Directory.
Não pode sincronizar o grupo Perdidos e achados da Árvore de sistema.
2
Junto a Tipo de sincronização, clique em Editar. É apresentada a página Definições de sincronização para o
grupo selecionado.
3
Junto a Tipo de sincronização, selecione Active Directory. São apresentadas as opções de sincronização do
Active Directory.
4
Selecione o tipo de sincronização do Active Directory que deseja que ocorra entre este grupo e o
contentor do Active Directory (e os seus subcontentores):
5
•
Estrutura de sistemas e contentores — Selecione esta opção se pretender que este grupo reflita
verdadeiramente a estrutura do Active Directory. Quando sincronizada, a estrutura da Árvore de
sistema deste grupo é modificada para refletir a do contentor do Active Directory a que está
mapeada. Quando são adicionados ou removidos contentores no Active Directory, também são
adicionados ou removidos na Árvore de sistema. Quando são adicionados, movidos ou removidos
sistemas do Active Directory, também são adicionados, movidos ou removidos da Árvore de
sistema.
•
Sistemas apenas — Selecione esta opção se pretender apenas os sistemas do contentor do Active
Directory (e subcontentores não excluídos) para preencher este grupo, e apenas este grupo.
Não são criados quaisquer subgrupos no espelhamento do Active Directory.
Selecione se uma entrada duplicada para o sistema será criada para um sistema que já existe
noutro grupo da Árvore de sistema.
Se estiver a utilizar a sincronização do Active Directory como um ponto de partida para a gestão de
segurança e tencionar usar a funcionalidade de gestão da Árvore de sistema depois de mapear os
sistemas, não selecione esta opção.
6
122
Na secção Domínio do Active Directory pode:
•
Introduzir um nome de domínio completamente qualificado para o domínio do Active Directory.
•
Selecionar a partir de uma lista de servidores LDAP já registados.
7
Junto a Contentor, clique em Adicionar e selecione um contentor de origem na caixa de diálogo
Selecionar contentor do Active Directory e, em seguida, clique em OK.
8
Para excluir subcontentores específicos, clique em Adicionar junto a Exceções e selecione um
subcontentor a excluir e, em seguida, clique em OK.
Guia do produto
9
9
Selecione se pretende implementar automaticamente o McAfee Agent em sistemas novos. Em caso
afirmativo, certifique-se de que configura as definições de implementação.
A McAfee recomenda que não implemente o McAfee Agent durante a importação inicial, se o
contentor for grande. A implementação do pacote do McAfee Agent de 3,62 MB em muitos sistemas
de uma só vez pode causar problemas de tráfego de rede. Em vez disso, importe o contentor e
depois implemente o McAfee Agent nos grupos de sistemas um de cada vez, em vez de todos de
uma vez só. Considere voltar a visitar esta página e selecionar esta opção após a implementação
inicial do McAfee Agent, para que o McAfee Agent seja instalado automaticamente nos sistemas
novos adicionados ao Active Directory.
10 Selecione se é para eliminar sistemas da Árvore de sistema quando forem eliminados do domínio do
Active Directory. Opcionalmente, escolha se é para remover agentes dos sistemas eliminados.
11 Para sincronizar de imediato o grupo com o Active Directory, clique em Sincronizar agora.
Ao clicar em Sincronizar agora, guarda todas as alterações às definições de sincronização antes de
sincronizar o grupo. Se tiver uma regra de notificação de sincronização do Active Directory ativa, é
gerado um evento para cada sistema adicionado ou removido. Estes eventos são apresentados no
Registo de auditoria e podem ser consultados. Se implementou agentes aos sistemas adicionados, a
implementação é iniciada para cada sistema adicionado. Quando a sincronização termina, a hora da
Última sincronização é atualizada, apresentando a hora e a data de quando terminou a sincronização e
não de quando foram concluídas quaisquer implementações do agente.
Pode agendar uma tarefa do servidor de sincronização do domínio NT/Active Directory para a
primeira sincronização. Esta tarefa do servidor é útil se estiver a implementar agentes nos sistemas
novos na primeira sincronização, quando a largura de banda é uma preocupação maior.
12 Quando a sincronização terminar, veja os resultados na Árvore de sistema.
Depois de importar os sistemas, distribua os agentes entre eles, se não tiver selecionado para isso ser
feito automaticamente.
Considere também configurar uma tarefa do servidor de sincronização do domínio NT/Active Directory
periódica, para manter a Árvore de sistema atualizada com quaisquer novos sistemas ou alterações
organizacionais nos contentores do Active Directory.
Importar domínios NT para um grupo existente
Importe sistemas a partir de um domínio NT para um grupo criado manualmente.
Pode povoar automaticamente os grupos sincronizando todos os domínios NT com grupos
especificados. Esta abordagem é uma forma fácil de adicionar todos os sistemas da rede à Árvore de
sistema ao mesmo tempo como lista simples sem qualquer descrição do sistema.
Se o domínio for grande, pode criar subgrupos para ajudá-lo na gestão das políticas ou na
organização. Para fazer isso, primeiro importe o domínio para um grupo da Árvore de sistema e depois
crie manualmente subgrupos lógicos.
Para gerir as mesmas políticas nos vários domínios, importe cada um dos domínios para um subgrupo
do mesmo grupo. Os subgrupos irão herdar as políticas definidas no grupo de nível superior.
Quando utilizar este método:
•
Configure o endereço IP ou os critérios de ordenação de etiquetas nos subgrupos para ordenar
automaticamente os sistemas importados.
•
Agende uma tarefa do servidor de sincronização do domínio NT/Active Directory periódica para
facilitar a manutenção.
Guia do produto
123
9
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Detalhes do grupoe selecione ou crie um grupo na Árvore de
sistema.
2
Junto a Tipo de sincronização, clique em Editar. É apresentada a página Definições de sincronização para o
grupo selecionado.
3
Junto a Tipo de sincronização, selecione Domínio NT. São apresentadas as definições de sincronização do
domínio.
4
Junto a Sistemas que existem noutra parte da árvore de sistema, selecione o que fazer com os sistemas que
existem noutro grupo da Árvore de sistema.
A McAfee não recomenda a seleção de Adicionar sistemas ao grupo sincronizado e deixá-los na atual localização na
árvore de sistema, especialmente se estiver a utilizar apenas a sincronização do domínio NT como um
ponto inicial para a gestão da segurança.
5
Junto a Domínio, clique em Procurar e selecione o domínio NT para mapear este grupo e depois clique
em OK. Alternativamente, pode introduzir o nome do domínio diretamente na caixa de texto.
Ao introduzir o nome do domínio, não utilize o nome de domínio completamente qualificado.
6
Selecione se pretende implementar automaticamente o McAfee Agent em sistemas novos. Se fizer
isso, configure as definições de implementação.
A McAfee recomenda que não implemente o McAfee Agent durante a importação inicial se o domínio
for grande. A implementação do pacote do McAfee Agent de 3,62 MB em muitos sistemas de uma só
vez pode causar problemas de tráfego de rede. Em vez disso, importe o domínio, depois implemente
o agente para grupos de sistemas mais pequenos separadamente, em vez de todos de uma só vez.
Depois de concluir a implementação do McAfee Agent, considere voltar a esta página e selecionar
esta opção após a implementação inicial do agente. Dessa forma, o McAfee Agent é instalado
automaticamente nos sistemas novos que são adicionados ao grupo (ou aos seus subgrupos) por
sincronização do domínio.
7
Selecione se pretende eliminar os sistemas da Árvore de sistema quando forem eliminados do domínio
NT. Opcionalmente, pode escolher se pretende remover agentes dos sistemas eliminados.
8
Para sincronizar imediatamente o grupo com o domínio, clique em Sincronizar agora e depois aguarde
enquanto os sistemas do domínio são adicionados ao grupo.
Ao clicar em Sincronizar agora guarda as alterações às definições de sincronização antes de sincronizar
o grupo. Se tiver uma regra de notificação de sincronização do domínio NT ativada, é gerado um
evento para cada sistema adicionado ou removido. Estes eventos são apresentados no Registo de
auditoria e podem ser consultados. Se selecionou implementar agentes nos sistemas adicionados, a
implementação é iniciada em cada sistema adicionado. Quando a sincronização estiver concluída, a
hora da Última sincronização é atualizada. A hora e a data referem-se à conclusão da sincronização e
não a qualquer conclusão de implementações do agente.
124
Guia do produto
9
9
Se pretender sincronizar manualmente o grupo com o domínio, clique em Comparar e atualizar.
Ao clicar em Comparar e atualizar guarda todas as alterações às definições de sincronização.
a
Se estiver para remover qualquer sistema do grupo com esta página, selecione se pretende
remover os seus agentes quando o sistema for removido.
b
Selecione, conforme necessário, os sistemas a adicionar ao grupo e aqueles a remover do grupo
e depois clique em Atualizar grupo para adicionar os sistemas selecionados. É apresentada a página
Sincronizar definições.
10 Clique em Guardar e depois veja os resultados na Árvore de sistema, se clicou em Sincronizar agora ou
Atualizar grupo.
Assim que os sistemas forem adicionados à Árvore de sistema, distribua os agentes pela mesma, caso não
tenha selecionado para implementar agentes como parte da sincronização.
Considere também configurar uma tarefa do servidor de sincronização do domínio NT/Active Directory
periódica para manter este grupo atualizado com os novos sistemas no domínio NT.
Agendar a sincronização da Árvore de sistema
Agende uma tarefa do servidor que atualize a Árvore de sistema com alterações no domínio mapeado ou
no contentor do Active Directory.
Dependendo das definições de sincronização de um grupo, esta tarefa:
•
Adiciona novos sistemas na rede ao grupo especificado.
•
Adiciona novos grupos correspondentes quando são criados novos contentores do Active Directory.
•
Elimina grupos correspondentes quando os contentores do Active Directory são removidos.
•
Implementa agentes nos novos sistemas.
•
Remove sistemas que não estão mais no domínio ou no contentor.
•
Aplica políticas e tarefas do site ou grupo aos novos sistemas.
•
Impede ou permite entradas duplicadas de sistemas que ainda existam na Árvore de sistema que
moveu para outras localizações.
O agente não pode ser implementado em todos os sistemas operativos desta maneira. Pode precisar
distribuir o agente manualmente para alguns sistemas.
Tarefa
1
Abra o Criador de tarefas de servidor.
a
Clique em Menu | Automatização | Tarefas de servidor.
b
Clique em Ações | Nova tarefa.
2
Na página Descrição, denomine a tarefa e selecione se a tarefa deve ser ativada assim que for criada
e depois clique em Seguinte. É apresentada a página Ações.
3
A partir da lista pendente, selecione Sincronização do Active Directory/Domínio NT.
4
Selecione se pretende sincronizar todos os grupos ou grupos selecionados. Se pretende sincronizar
apenas alguns grupos sincronizados, clique em Selecionar grupos sincronizados e selecione aqueles
específicos.
Guia do produto
125
9
5
Clique Seguinte) para abrir a página Agenda.
6
Agende a tarefa e depois clique em Seguinte.
7
Reveja os detalhes da tarefa e depois clique em Guardar.
Além da execução da tarefa na hora agendada, pode executar esta tarefa imediatamente clicando
em Executar junto da tarefa na página Tarefas do servidor.
Atualizar manualmente um grupo sincronizado com um domínio
NT
Atualize um grupo sincronizado com alterações para o domínio NT associado.
A atualização inclui as seguintes alterações:
•
Adiciona sistemas atualmente no domínio.
•
Remove sistemas da Árvore de sistema que já não estejam no domínio.
•
Remove agentes de todos os sistemas que já não pertençam ao domínio especificado.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Detalhes do grupo e depois selecione o grupo que está
mapeado para o domínio NT.
2
Junto a Tipo de sincronização, clique em Editar. É apresentada a página Definições de sincronização.
3
Selecione o Domínio NT e depois clique em Comparar e atualizar junto do fundo da página. É apresentada
a página Comparar e atualizar manualmente.
4
Se estiver a remover sistemas do grupo, selecione se pretende remover os agentes dos sistemas
que são removidos.
5
Clique em Adicionar tudo ou Adicionar para importar sistemas do domínio de rede para o grupo
selecionado.
Clique em Remover tudo ou Remover para eliminar sistemas do grupo selecionado.
6
Clique em Atualizar grupo quando terminar.
Mova sistemas de um grupo para outro na Árvore de sistema. Pode mover sistemas de qualquer
página que apresente uma tabela de sistemas, incluindo os resultados de uma consulta.
Além dos passos abaixo, também pode arrastar e largar os sistemas a partir da tabela Sistemas, para
qualquer grupo na árvore de sistema.
Mesmo que tenha uma árvore de sistema perfeitamente organizada que espelhe a hierarquia da rede
e utilize tarefas e ferramentas automatizadas para sincronizar regularmente a árvore de sistema pode
precisar de mover os sistemas manualmente entre grupos. Por exemplo, pode precisar de mover
periodicamente os sistemas do grupo Perdidos e Achados.
126
Guia do produto
9
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e depois procure e selecione os sistemas.
2
Clique em Ações | Gestão de utilizadores | Mover sistemas. É apresentada a página Selecionar novo grupo.
3
Selecione se pretende ativar ou desativar a ordenação da árvore de sistema nos sistemas
selecionados quando forem movidos.
4
Selecione o grupo onde colocar os sistemas, depois clique em OK.
Pode usar o comando Transferir sistemas para mover os sistemas geridos entre os servidores McAfee
ePO registados.
Poderá ter de transferir estes sistemas geridos quando estiver a atualizar o hardware do servidor e o
sistema operativo ou se estiver a atualizar o hardware do servidor e a versão do software McAfee ePO.
Este gráfico mostra os principais processos necessários para transferir sistemas de um servidor
McAfee ePO para outro.
Figura 9-1 Processos para Transferir sistemas
Transferir sistemas a partir de um servidor McAfee ePO para outro implica estes seis processos
mostrados na figura anterior.
1
Exporte as chaves de comunicação segura entre o agente e o servidor (ASSC) — A partir
do servidor McAfee ePO antigo, use Menu | Definições do servidor | Chaves de segurança.
2
Importe as chaves ASSC — A partir do novo servidor McAfee ePO, use Menu | Definições do servidor |
Chaves de segurança.
3
Registe o servidor McAfee ePO secundário — A partir do servidor McAfee ePO antigo, use Menu
| Configuração | Servidores registados.
4
Mova os sistemas para o servidor McAfee ePO secundário— A partir do servidor McAfee ePO
antigo, use Menu | Árvore de sistemas | separador Sistemas e Ações | Agente | Transferir sistemas.
Guia do produto
127
9
5
Confirme os sistemas que chegaram — A partir do novo servidor McAfee ePO, use Menu | Árvore
de sistemas | separador Sistemas.
6
Confirme os sistemas movidos — A partir do antigo servidor McAfee ePO, use Menu | Árvore de
sistemas | separador Sistemas.
Consulte também
Transfere os sistemas para um servidor McAfee ePO diferente
Pode usar a opção Transferir sistemas para mover os sistemas geridos entre os servidores McAfee ePO
registados.
Antes de começar
Antes de pode mover os sistemas geridos entre dois servidores McAfee ePO, por exemplo
entre um servidor McAfee ePO antigo e um servidor novo, estas alterações são necessárias
em ambas as configurações do McAfee ePO:
Estes passos contemplam uma transferência bidirecional. Se preferir ativar apenas uma
transferência unidirecional, não precisa de importar a chave de comunicação entre o agente
e o servidor (ASSC) a partir do novo servidor McAfee ePO para o servidor McAfee ePO
antigo.
•
•
Ligue as chaves de comunicação entre o agente e o servidor entre os dois servidores
McAfee ePO.
1
Exporte as chaves ASSC a partir de ambos os servidores.
2
Importe as chaves ASSC a partir do servidor antigo para o servidor novo.
3
Importe as chaves ASSC a partir do servidor novo para o servidor antigo.
Registe os servidores McAfee ePO antigo e novo para que consiga transferir os sistemas
para trás e para a frente.
Certifique-se de que ativa Transferir sistemas e seleciona Importação automática da
SiteList na página Detalhes da página Criador de servidores registados.
Os passos nesta tarefa descrevem a transferência de sistemas a partir de um servidor McAfee ePO
antigo para um servidor novo.
128
Guia do produto
9
Tarefa
1
No servidor McAfee ePO antigo, clique em Menu | Sistemas | Árvore de sistemas e depois selecione os
sistemas que quer transferir.
2
Clique em Ações | Agente | Transferir sistemas.
3
A partir da caixa de diálogo Transferir sistemas, selecione o novo servidor McAfee ePO a partir do
menu pendente e clique em OK.
Uma vez que um sistema gerido seja marcado para transferir, devem ocorrer duas comunicações
entre o agente e o servidor antes que o sistema seja apresentado na Árvore de sistemas do servidor
de destino. A extensão de tempo necessário para concluir ambos os intervalos de comunicação entre
o agente e o servidor depende da configuração. O intervalo de comunicação entre o agente e o
servidor é de uma hora.
Consulte também
Guia do produto
129
9
130
Guia do produto
10
Etiquetas
Utilize etiquetas para identificar e ordenar sistemas. As etiquetas e os grupos de etiquetas
permitem-lhe selecionar grupos de sistema e simplificar a criação de tarefas e de consultas.
Conteúdo
Crie etiquetas com o Criador de novas etiquetas
Gerir etiquetas
Criar, eliminar e modificar subgrupos de etiquetas
Excluir sistemas da aplicação de etiquetas automática
Aplicar etiquetas a sistemas selecionados
Limpa as etiquetas dos sistemas
Aplicar etiquetas baseadas em critérios a todos os sistemas correspondentes
Aplicar etiquetas baseadas em critérios com uma agenda
Crie etiquetas com o Criador de novas etiquetas
Use o Criador de novas etiquetas para criar etiquetas rapidamente.
As etiquetas podem utilizar critérios que são avaliados face a cada sistema:
•
Automaticamente na comunicação entre o agente e o servidor.
•
Quando é realizada a ação Executar critérios de etiquetas.
•
Manualmente em sistemas selecionados, independentemente dos critérios, com a ação Aplicar
etiqueta.
As etiquetas sem critérios só podem ser aplicadas manualmente aos sistemas selecionados.
Tarefa
1
Abra o Criador de etiquetas novas: clique em Menu | Sistemas | Catálogo de etiquetas | Nova etiqueta.
2
Na página Descrição, introduza um nome e uma descrição significativa e depois clique em Seguinte. É
apresentada a página Critérios.
3
Selecione e configure os critérios e depois clique em Seguinte. É apresentada a página Avaliação.
Para aplicar automaticamente a etiqueta, tem de configurar os critérios da etiqueta.
Guia do produto
131
10
Etiquetas
Gerir etiquetas
4
Selecione se os sistemas são avaliados apenas face aos critérios da etiqueta quando se realiza a
ação Executar critérios de etiquetas ou, também, em cada comunicação entre o agente e o servidor e
depois clique em Seguinte. É apresentada a página Pré-visualizar.
Estas opções estão indisponíveis se os critérios não tiverem sido configurados. Quando os sistemas
são avaliados face aos critérios da etiqueta, a etiqueta é aplicada aos sistemas que correspondem
aos critérios e não foram excluídos da etiqueta.
5
Verifique a informação nesta página e depois clique em Guardar.
Se a etiqueta tiver critérios, esta página apresenta o número de sistemas que irão receber esta
etiqueta quando avaliados face aos seus critérios.
A etiqueta é adicionada ao grupo de etiquetas selecionado na Árvore de etiquetas na página Catálogo de
etiquetas.
Gerir etiquetas
Assim que criar etiquetas com o Criador de novas etiquetas , pode editar, eliminar e mover a etiqueta,
ou etiquetas, entre grupos de etiquetas usando a lista Ações .
Use estes passos para editar, eliminar, exportar ou mover uma etiqueta ou várias etiquetas.
Tarefa
132
1
Clique em Menu | Sistemas | Catálogo de etiquetas.
2
A partir da lista Etiquetas, selecione uma etiqueta ou várias etiquetas, clique em Ações e uma das
seguintes ações da lista.
Guia do produto
Etiquetas
Ação
Passos
Editar uma
etiqueta
A partir de Editar criador de etiquetas:
10
1 Na página Descrição, introduza um nome e uma descrição significativa e depois
clique em Seguinte. É apresentada a página Critérios.
2 Selecione e configure os critérios e depois clique em Seguinte. É apresentada a
página Avaliação.
Para aplicar automaticamente a etiqueta, tem de configurar os critérios da etiqueta.
3 Selecione se os sistemas são avaliados apenas face aos critérios da etiqueta
quando se realiza a ação Executar critérios de etiquetas ou, também, em cada
comunicação entre o agente e o servidor e depois clique em Seguinte. É apresentada
a página Pré-visualizar.
Estas opções estão indisponíveis se os critérios não tiverem sido configurados.
Quando os sistemas são avaliados face aos critérios da etiqueta, a etiqueta é
aplicada aos sistemas que correspondem aos critérios e não foram excluídos da
etiqueta.
4 Verifique a informação nesta página e depois clique em Guardar.
Se a etiqueta tiver critérios, esta página apresenta o número de sistemas que irão
receber esta etiqueta quando avaliados face aos seus critérios.
A etiqueta é atualizada no grupo de etiquetas selecionado na Árvore de etiquetas na
página Catálogo de etiquetas.
Eliminar a
etiqueta
Quando clica em Eliminar, é apresentada uma caixa de diálogo de confirmação. Clique
em OK para eliminar a etiqueta.
Exportar uma
etiqueta
Quando clica em Exportar tabela, é apresentada a página Exportar dados.
Mover
etiquetas
A partir da caixa de diálogo Mover etiquetas:
1 Selecione o grupo de etiquetas no qual pretende que apareçam as etiquetas.
2 Clique em OK para concluir a mudança da etiqueta.
Também pode arrastar e largar as etiquetas nos grupos de etiquetas na Árvore de sistema.
Os subgrupos de etiquetas permitem-lhe aninhar grupos de etiquetas com até quatro níveis de
profundidade e com até 1000 subgrupos de etiquetas sob um único grupo principal. Estes grupos de
etiquetas permitem-lhe usar uma ordenação baseada em critérios para adicionar sistemas
automaticamente aos grupos corretos.
Use estes passos para criar, eliminar ou modificar um subgrupo de etiquetas.
Tarefa
1
Clique em Menu | Sistemas | Catálogo de etiquetas.
2
A partir da página Catálogo de etiquetas, selecione uma das seguintes ações.
Guia do produto
133
10
Etiquetas
Ação
Passos
Criar um
subgrupo de
etiquetas
1 Na lista hierárquica da Árvore de etiquetas, selecione o grupo de etiquetas (ou
grupo de etiquetas principal) no qual quer criar o novo subgrupo de etiquetas.
As minhas etiquetas é o grupo de etiquetas de nível superior predefinido adicionado
durante a instalação do ePolicy Orchestrator.
2 Clique em Novo subgrupo para ver a caixa de diálogo Novo subgrupo.
3 No campo Nome, introduza um nome descritivo para o novo subgrupo de
etiquetas.
4 Quando terminar, clique em OK para criar o novo subgrupo de etiquetas.
Mudar o nome
de um
subgrupo de
etiquetas.
1 Na lista hierárquica da Árvore de etiquetas, selecione o subgrupo de etiquetas cujo
nome pretende mudar.
2 Clique em Ações da árvore de etiquetas | Mudar o nome do grupo para ver a caixa de
diálogo Mudar o nome do subgrupo.
3 No campo Nome, introduza o novo nome do subgrupo de etiquetas.
4 Quando terminar, clique em OK e o nome do subgrupo de etiquetas é mudado.
Eliminar um
subgrupo de
etiquetas
1 Na lista hierárquica da Árvore de etiquetas, selecione o subgrupo de etiquetas que
quer eliminar.
2 Clique em Ações | Eliminar e é apresentada uma caixa de diálogo de confirmação
Ação: eliminar.
3 Se tiver a certeza de que quer eliminar este subgrupo de etiquetas, clique em
OK e o subgrupo de etiquetas é removido.
Evite a aplicação de etiquetas específicas em sistemas.
Como alternativa, pode utilizar uma consulta para recolher sistemas e depois excluir as etiquetas
daqueles sistemas a partir dos resultados da consulta.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e depois selecione o grupo que contém os
sistemas na Árvore de sistema.
2
Selecione um ou mais sistemas na tabela Sistemas e depois clique em Ações | Etiqueta | Excluir etiqueta.
3
Na caixa de diálogo Excluir etiqueta, selecione o grupo de etiquetas, selecione a etiqueta a excluir e
depois clique em OK.
Para limitar a lista a etiquetas específicas, introduza o nome da etiqueta na caixa de texto debaixo
de Etiquetas.
134
Guia do produto
Etiquetas
4
10
Verifique se os sistemas foram excluídos da etiqueta:
a
Abra a página Tag Details: clique em Menu | Sistemas | Catálogo de etiquetas e depois selecione a
etiqueta ou grupo de etiquetas na lista de etiquetas.
b
Ao lado de Sistemas com etiqueta, clique na ligação para o número de sistemas excluídos da
aplicação de etiquetas com base em critérios. É apresentada a página Sistemas excluídos da etiqueta.
c
Verifique se os sistemas pretendidos estão na lista.
Aplique uma etiqueta manualmente em sistemas selecionados na Árvore de sistema.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e, em seguida, selecione o grupo que contém os
sistemas que quer.
2
Selecione os sistemas e depois clique em Ações | Etiqueta | Aplicar etiqueta.
3
Na caixa de diálogo Aplicar etiqueta, selecione o grupo de etiquetas, selecione a etiqueta a aplicar e
de Etiquetas.
4
Verifique se as etiquetas foram aplicadas:
a
Clique em Menu | Sistemas | Catálogo de etiquetas e depois selecione uma etiqueta ou um grupo de
etiquetas na lista de etiquetas.
b
Junto a Sistemas com etiqueta no painel de detalhes, clique na ligação para o número de sistemas
etiquetados manualmente. É apresentada a página Sistemas com etiqueta aplicada manualmente.
c
Verifique se os sistemas estão na lista.
Limpa as etiquetas dos sistemas
Remove as etiquetas dos sistemas selecionados.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistemas | Sistemas e, em seguida, selecione o grupo que contém
os sistemas que quer.
2
Selecione os sistemas e depois clique em Ações | Etiqueta | Limpar etiqueta.
3
Na caixa de diálogo Limpar etiqueta, realize uma das ações que se segue e depois clique em OK.
•
Remover uma etiqueta específica — Selecione o grupo de etiquetas e depois selecione a
etiqueta.
Para limitar a lista a etiquetas específicas, introduza o nome da etiqueta na caixa de texto
debaixo de Etiquetas.
Guia do produto
135
10
Etiquetas
Aplicar etiquetas baseadas em critérios a todos os sistemas correspondentes
•
4
Remover todas as etiquetas — Selecione Limpar tudo.
Verifique se as etiquetas foram aplicadas:
a
Clique em Menu | Sistemas | Catálogo de etiquetas e depois selecione uma etiqueta ou um grupo de
b
etiquetados manualmente. É apresentada a página Sistemas com etiqueta aplicada manualmente.
c
Aplicar etiquetas baseadas em critérios a todos os sistemas
correspondentes
Aplique uma etiqueta baseada em critérios a todos os sistemas não excluídos que correspondam aos
critérios especificados.
Tarefa
1
Clique em Menu | Sistemas | Catálogo de etiquetas e depois selecione uma etiqueta ou grupo de etiquetas
a partir da lista Etiquetas.
2
Clique em Ações | Executar critérios de etiquetas.
3
No separador Ação, selecione se pretende repor os sistemas etiquetados manualmente e excluídos.
Repor sistemas etiquetados manualmente e excluídos remove a etiqueta dos sistemas que não
correspondem aos critérios e aplica a etiqueta a sistemas que correspondem aos critérios, mas que
foram excluídos de receberem a etiqueta.
4
Clique em OK.
5
Verifique se os sistemas têm a etiqueta aplicada:
a
Clique em Menu | Sistemas | Catálogo de etiquetas e depois selecione uma etiqueta ou grupo de
b
excluídos da aplicação de etiquetas com base em critérios. É apresentada a página Sistemas com
etiqueta aplicada por critérios.
c
A etiqueta é aplicada a todos os sistemas que correspondem aos critérios.
Agende uma tarefa regular que aplique uma etiqueta a todos os sistemas que correspondam aos
critérios de etiquetas.
136
Guia do produto
Etiquetas
10
Tarefa
1
Clique em Menu | Automatização | Tarefas do servidor e depois clique em Ações | Nova tarefa. É apresentada a
página Criador de tarefas do servidor.
2
Na página Descrição, atribua um nome e descreva a tarefa e selecione se pretende que a tarefa
seja ativada quando for criada e depois clique em Seguinte. É apresentada a página Ações.
3
Selecione Executar os critérios de etiquetas na lista pendente, depois selecione a etiqueta pretendida a
partir da lista pendente Etiqueta.
4
Selecione se pretende repor manualmente os sistemas etiquetados manualmente e os sistemas
excluídos.
Repor sistemas etiquetados manualmente e excluídos remove a etiqueta nos sistemas que não
correspondem aos critérios e aplica a etiqueta aos sistemas que correspondem aos critérios, mas
que foram excluídos de receberem a etiqueta.
5
Clique em Seguinte para abrir a página Programar.
6
Programe a tarefa as vezes que quiser e clique em Seguinte.
7
Reveja as definições da tarefa e depois clique em Guardar.
A tarefa do servidor é adicionada à lista na página Tarefas do servidor. Se selecionou a ativação da
tarefa no assistente Criador de tarefas de servidor, ela é executada no próxima hora agendada.
Guia do produto
137
10
Etiquetas
138
Guia do produto
11
Os sistemas cliente usam o McAfee Agent para comunicar com o servidor McAfee ePO. Monitorize e
faça a gestão dos agentes a partir da consola do ePolicy Orchestrator.
Conteúdo
Trabalhar com o agente a partir do servidor McAfee ePO
Gerir a comunicação entre o agente e o servidor
A interface do McAfee ePO inclui páginas onde as tarefas do agente e as políticas podem ser
configuradas e onde as propriedades do sistema, propriedades do agente e restante informação do
produto McAfee podem ser visualizadas.
Conteúdo
Como funciona a comunicação entre o agente e o servidor
SuperAgents e como funcionam
Capacidade de reencaminhamento do agente
Responder a eventos da política
Executar tarefas cliente imediatamente
Localizar agentes inativos
Propriedades do sistema e do produto reportadas pelo agente no Windows
Consultas fornecidas pelo McAfee Agent
Como funciona a comunicação entre o agente e o servidor
O McAfee Agent tem de comunicar periodicamente com um servidor McAfee ePO para garantir que
todas as definições estão atualizadas, para enviar eventos entre outros.
Estas comunicações são conhecidas como comunicação entre o agente e o servidor. Durante cada
comunicação entre o agente e o servidor, o McAfee Agent recolhe as suas propriedades de sistema
atuais, bem como os eventos que ainda não foram enviados e envia-os ao servidor. O servidor envia
as tarefas e políticas novas ou alteradas ao McAfee Agent e a lista de repositórios caso tenha sido
alterada desde a última comunicação entre o agente e o servidor. O McAfee Agent impõe as novas
políticas localmente no sistema gerido e aplica quaisquer alterações da tarefa ou do repositório.
O servidor McAfee ePO utiliza um protocolo de rede Transport Layer Security (TLS) padrão na indústria
para garantir a segurança das transmissões de rede.
Guia do produto
139
11
Quando o McAfee Agent é instalado pela primeira vez, apresenta-se ao servidor numa hora aleatória
dentro de seis segundos. Depois, o McAfee Agent faz a chamada sempre que se verificar o seguinte:
•
O intervalo de comunicação entre o agente e o servidor (ASCI) termina.
•
As chamadas de ativação do McAfee Agent são enviadas a partir do servidor McAfee ePO ou dos
processadores de agentes.
•
É executada uma tarefa de ativação agendada nos sistemas cliente.
•
A comunicação é iniciada manualmente a partir do sistema gerido.
•
Chamadas de ativação do McAfee Agent enviadas a partir do servidor McAfee ePO.
Intervalo de comunicação entre o agente e o servidor
O intervalo de comunicação entre o agente e o servidor (ASCI) determina a frequência com que o
McAfee Agent estabelece comunicação com o servidor McAfee ePO.
O intervalo de comunicação entre o agente e o servidor está definido no separador Geral da página
Políticas do McAfee Agent. A definição predefinida de 60 minutos significa que agente contacta o servidor
McAfee ePO uma vez por hora. Ao decidir se modifica ou não o intervalo, tenha em consideração que o
agente executa as seguintes ações em cada ASCI:
•
Recolhe e envia as suas propriedades.
•
Envia eventos não prioritários que ocorreram desde a última comunicação entre o agente e o
servidor.
•
Impõe políticas.
•
Recebe novas políticas e tarefas. Esta ação poderá acionar outras ações que utilizam recursos.
Apesar de estas atividades não sobrecarregarem um computador, vários fatores podem fazer com que
a procura cumulativa da rede, dos servidores McAfee ePO ou dos Processadores de agentes, seja
significativa.
•
O número de sistemas geridos pelo ePolicy Orchestrator
•
Se a sua organização possui requisitos rigorosos de resposta a ameaças.
•
Se a rede ou a localização física dos clientes em relação aos servidores ou aos processadores de
agentes estiver altamente distribuída.
•
Se a largura de banda disponível é inadequada.
No geral, se o seu ambiente incluir estas variáveis, deve realizar uma comunicação entre o agente e o
servidor com menos frequência. Para clientes individuais com funções essenciais, poderá ter de definir
um intervalo mais frequente.
Processamento da interrupção de comunicação entre o agente e o servidor
O processamento da interrupção resolve problemas que evitam que um sistema se ligue a um servidor
McAfee ePO.
As interrupções de comunicação podem acontecer por muitas razões e o algoritmo de ligação entre o
agente e o servidor está concebido para tentar novamente a comunicação se a primeira tentativa
falhar.
O McAfee Agent executa um ciclo nos seguintes métodos de ligação seis vezes até um conjunto de
respostas ser devolvido.
140
Guia do produto
1
endereço IP
2
Nome de domínio completamente qualificado
3
NetBIOS
11
O agente itera esses três métodos de ligação nessa sequência até seis vezes, num total de 18
tentativas de ligação. Não existe atraso entre as tentativas de ligação. O agente interrompe este ciclo
se uma tentativa de ligação resultar em qualquer uma das seguintes situações:
•
Sem erros
•
Transferência falhada
•
Carregamento falhado
•
O agente está a encerrar
•
Transferência interrompida
•
Servidor ocupado (código de estado do servidor McAfee ePO)
•
Carregamento com êxito (código de estado do servidor McAfee ePO)
•
O agente precisa de chaves novas
•
Não há nenhum pacote a receber (código de estado do servidor McAfee ePO)
•
O agente tem de voltar a gerar o GUID (código de estado do servidor McAfee ePO)
Outros resultados como ligação recusada, falha ao ligar, tempo limite da ligação ou outros erros fazem
com que o agente volte imediatamente a tentar, utilizando o método de ligação seguinte na lista até
se aproximar a ASCI seguinte.
Chamadas e tarefas de ativação
Uma chamada de ativação do McAfee Agent aciona uma comunicação entre o agente e o servidor
imediata, em vez de esperar que decorra o Intervalo de comunicação entre o agente e o servidor
(ASCI).
A tarefa cliente de ativação do agente só é suportada em plataformas Windows. Utilize as ações da
Árvore de sistema para ativar agentes em plataformas baseadas em Unix e SO Macintosh.
Há duas formas de emitir uma chamada de ativação:
•
Manualmente a partir do servidor — Esta é a abordagem mais comum e exige que a porta de
comunicação para ativação do agente esteja aberta.
•
De acordo com uma agenda definida pelo administrador - Esta abordagem é útil quando a
comunicação do agente para o servidor manual é desativada por uma política. O administrador
pode criar e implementar uma tarefa de ativação tarefa, que ativa o agente e em seguida inicia a
Algumas razões para emitir uma chamada de ativação do agente são:
Guia do produto
141
11
•
É efetuada uma alteração de política que deve ser imposta imediatamente, sem esperar que o ASCI
agendado expire.
•
Foi criada uma nova tarefa que deve ser executar imediatamente A opção Executar tarefa agora cria
uma tarefa e em seguida atribui-a aos sistemas cliente especificados e envia chamadas de
ativação.
•
Uma consulta gerou um relatório que indica que um cliente não está em conformidade e pretende
testar o seu estado no âmbito de um procedimento de resolução de problemas.
Se tiver convertido um determinado agente num sistema Windows em SuperAgent, pode emitir
chamadas de ativação para determinados segmentos de difusão da rede. Os SuperAgents distribuem o
impacto da largura de banda da chamada de ativação do agente.
Enviar chamadas de ativação manuais a sistemas individuais
Enviar uma chamada de ativação do agente ou do SuperAgent manual para os sistemas na Árvore de
sistema é útil se fizer alterações de política que quiser que os agentes se apresentem para enviar ou
receber informações atualizadas antes da comunicação do agente para o servidor seguinte.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema e depois selecione o grupo que contém os sistemas de
destino.
2
Selecione os sistemas da lista e clique em Ações | Agente | Ativar agentes.
3
Certifique-se de que os sistemas selecionados surgem na secção Sistemas de destino.
4
Ao lado de Tipo de chamada de ativação, selecione se quer enviar uma Chamada de ativação do agente ou uma
Chamada de ativação do SuperAgent conforme indicado.
5
Aceite a Aleatoriedade predefinida (0 minutos) ou introduza um valor diferente (0 - 60 minutos).
Tenha em conta o número de sistemas que vão receber a chamada de ativação quando é enviada
imediatamente e a quantidade de largura de banda disponível. Se introduzir 0, os agentes
respondem imediatamente.
6
Para enviar propriedades incrementais do produto em resultado desta chamada de ativação,
desmarque Obter propriedades completas do produto.... A predefinição é enviar as propriedades completas
do produto.
7
Para atualizar todas as políticas e tarefas durante esta chamada de ativação, selecione Forçar a
atualização completa da política e tarefa.
8
Introduza as definições de Número de tentativas, Intervalo para repetir e Abortar após para esta chamada de
ativação se não quiser os valores predefinidos.
9
Selecione se quer ativar o agente usando Todos os processadores de agentes ou osProcessadores de agentes
ligados pela última vez.
10 Clique em OK para enviar a chamada de ativação do agente ou SuperAgent.
Enviar chamadas de ativação manuais a um grupo
Uma chamada de ativação do agente ou do SuperAgent pode ser enviada a todo um grupo da Árvore de
sistema numa única tarefa. Isto é útil quando efetuou alterações de política e pretende que os agentes
se apresentem para enviar ou receber a informação atualizada antes da comunicação do agente para
o servidor seguinte.
142
Guia do produto
11
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema.
2
Selecione o grupo de destino a partir da Árvore de sistema e clique no separador Detalhes do grupo.
3
Clique em Ações | Ativar agentes.
4
Certifique-se de que surge o grupo selecionado ao lado de Grupo de destino.
5
Selecione se quer enviar a chamada de ativação do agente a Todos os sistemas neste grupo ou a Todos os
sistemas neste grupo e subgrupos.
6
Ao lado de Introduzir, selecione se quer enviar uma Chamada de ativação do agente ou uma Chamada de
ativação do SuperAgent.
7
Aceite a Aleatoriedade predefinida (0 minutos) ou introduza um valor diferente (0 - 60 minutos). Se
introduzir 0, os agentes são ativados imediatamente.
8
Para enviar as propriedades mínimas do produto em resultado desta chamada de ativação,
desmarque Obter propriedades completas do produto.... A predefinição é enviar as propriedades completas
do produto.
9
Para atualizar todas as políticas e tarefas durante esta chamada de ativação, selecione Forçar a
atualização completa da política e tarefa.
10 Clique em OK para enviar a chamada de ativação do agente ou SuperAgent.
SuperAgents e como funcionam
Um SuperAgent é um agente que age como intermediário entre o servidor McAfee ePO e outros
agentes no mesmo segmento de difusão de rede. Só pode converter um agente Windows em
SuperAgent.
O SuperAgent coloca informações em cache recebidas de um servidor do McAfee ePO, do Repositório
principal ou de um Repositório distribuído espelhado e distribui-as aos agentes na sua sub-rede de
rede. A funcionalidade Lazy Caching permite que os SuperAgents obtenham dados a partir dos
servidores McAfee ePO apenas quando solicitado por um nó de agente local. Criar uma hierarquia de
SuperAgent juntamente com o lazy caching permite poupar mais largura de banda e minimizar o
tráfego da rede de área alargada.
Um SuperAgent também difunde chamadas de ativação para outros agentes localizados na mesma
sub-rede. O SuperAgent recebe uma chamada de ativação do servidor do McAfee ePO e depois ativa
os agentes na sua sub-rede.
Esta é uma alternativa para enviar chamadas de ativação do agente normais a cada agente na rede ou
enviar uma tarefa de ativação do agente a cada computador.
SuperAgents e chamadas de ativação de difusão
Utilize chamadas de ativação do agente para iniciar a comunicação entre o agente e o servidor e
pondere converter em SuperAgent um agente em cada segmento de difusão da rede.
Os SuperAgents distribuem a carga de largura de banda das chamadas de ativação simultâneas. Em
vez de enviar chamadas de ativação de agente do servidor para cada agente, o servidor envia a
chamada de ativação do SuperAgent para SuperAgents no segmento da árvore de sistema
selecionado.
Guia do produto
143
11
O processo é:
1
O servidor envia uma chamada de ativação a todos os SuperAgents.
2
Os SuperAgents difundem uma chamada de ativação a todos os agentes do mesmo segmento de
difusão.
3
Todos os agentes notificados (agentes regulares notificados por um SuperAgent e todos
SuperAgents) trocam dados com o servidor McAfee ePO ou com o processador de agentes.
Quando envia uma chamada de ativação do SuperAgent, os agentes sem um SuperAgent operativo no
seu segmento de difusão não são solicitados a comunicar com o servidor.
Sugestões de implementação do SuperAgent
Para implementar SuperAgents suficientes para as localizações apropriadas, primeiro determine os
segmentos de difusão no ambiente e selecione um sistema (de preferência um servidor) em cada
segmento para alojar um SuperAgent. Se utiliza SuperAgents, certifique-se de que todos os agentes
estão atribuídos a um SuperAgent.
As chamadas de ativação do agente e do SuperAgent utilizam os mesmos canais seguros. Verifique se
as portas seguintes não estão bloqueadas por um firewall no cliente:
•
A porta de comunicação para ativação do agente (8081 por predefinição).
•
A porta de comunicação de difusão para agentes (8082 por predefinição).
Converter agentes em SuperAgents
Durante o processo a atualização global, quando o SuperAgent recebe uma atualização do servidor do
McAfee ePO, envia chamadas de ativação a todos os agentes da rede. Configure as definições de
política do SuperAgent para converter um agente em SuperAgent.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e, em seguida, selecione um grupo na Árvore de
sistema. Todos os sistemas dentro deste grupo aparecem no painel de detalhes.
2
Selecione um sistema e depois clique em Ações | Agente | Modificar políticas num único sistema. É
apresentada a página Atribuição de política para esse sistema.
3
A partir da lista pendente Produto, selecione McAfee Agent. As categorias de política em McAfee Agent
são enumeradas juntamente com a política atribuída ao sistema.
4
Se a política for herdada, selecione Interromper herança e atribuir a política e as definições abaixo.
5
A partir da lista pendente Política atribuída, selecione uma política Geral.
A partir desta localização, pode editar a política selecionada ou criar uma política nova.
144
6
Seleccione se quer bloquear a herança de política para impedir que os sistemas que herdam esta
política tenham outra política atribuída que a substitua.
7
No separador SuperAgent, selecione Converter agentes em SuperAgents para ativar a difusão de chamadas
de ativação.
8
Clique em Guardar.
9
Enviar uma chamada de ativação do agente.
Guia do produto
11
Colocação em cache e interrupções de comunicação do SuperAgent
O SuperAgent coloca em cache os conteúdos do seu repositório de uma maneira específica, concebida
para minimizar a utilização da rede alargada (WAN).
Se um agente tiver sido convertido num SuperAgent, pode colocar em cache os conteúdos do servidor
McAfee ePO ou do repositório distribuído ou de outros SuperAgents para distribuir localmente para
outros agentes, reduzindo a largura de banda WAN. Para ativar isto, ligue o LazyCaching na página
opções de política McAfee Agent | SuperAgent a que pode aceder a partir do Menu | Política | Catálogo de
políticas.
Os SuperAgents não conseguem guardar em cache a partir de repositórios McAfee HTTP ou FTP.
Como funciona a cache
Quando um sistema cliente solicita primeiro um conteúdo, o SuperAgent atribuído a esse sistema
coloca esse conteúdo em cache. Desse ponto em diante, a cache é atualizada sempre que uma nova
versão do pacote solicitado está disponível no Repositório principal. Quando uma estrutura hierárquica
de SuperAgent é criada, o SuperAgent subordinado recebe a atualização de conteúdos solicitada a
partir da cache do SuperAgent principal.
O SuperAgent só guarda, garantidamente, os conteúdos solicitados pelos agentes a ele atribuídos,
porque não extrai quaisquer conteúdos dos repositórios até que isso seja solicitado por um cliente.
Isto minimiza o tráfego entre o SuperAgent e os repositórios. Enquanto o SuperAgent está a obter o
conteúdo do repositório, os pedidos do sistema cliente para esse conteúdo são interrompidos.
O SuperAgent tem de ter acesso ao repositório. Sem este acesso, os agentes que recebem atualizações
do SuperAgent nunca receberão conteúdos novos. Certifique-se de que a política do SuperAgent inclui
acesso ao repositório.
Os agentes configurados para usar o SuperAgent como o seu repositório recebem o conteúdo colocado
em cache no SuperAgent, em vez de o receberem diretamente do servidor McAfee ePO. Isso melhora
o desempenho do sistema do agente, mantendo a maioria do tráfego de rede local no SuperAgent e
nos seus clientes.
Se o SuperAgent for reconfigurado para utilizar um novo repositório, a cache é atualizada para refletir
o novo repositório.
Quando a cache é esvaziada
Os SuperAgents descarregam o conteúdo da sua cache em duas situações.
•
Se Verificar o novo intervalo do conteúdo do repositório tiver expirado desde que as últimas
atualizações foram solicitadas, o SuperAgent transfere atualizações do Repositório principal,
processa-as e descarrega completamente a cache se estiver disponível algum conteúdo novo.
•
Quando ocorre uma atualização global, os SuperAgents recebem uma chamada de ativação que
descarrega todo o conteúdo da cache.
•
Os SuperAgents são esvaziados a cada 30 minutos por predefinição. Quando o
SuperAgent esvazia a cache, elimina todos os ficheiros no seu repositório que não estão
listados em Replica.log. Isto inclui quaisquer ficheiros pessoais que possa ter colocado
nessa pasta.
•
Não se recomenda a colocação em cache do SuperAgent em conjugação com a replicação
de repositórios.
Guia do produto
145
11
Como é que as interrupções de comunicação são processadas
Quando um SuperAgent recebe um pedido de conteúdos que possam estar desatualizados, o
SuperAgent tenta entrar em contacto com o servidor McAfee ePO para ver se há novos conteúdos
disponíveis. Se as tentativas de ligação excederem o tempo limite, o SuperAgent distribui, nesse caso,
conteúdos do seu próprio repositório. Isto é feito para assegurar que o solicitante recebe o conteúdo,
mesmo que esse conteúdo possa estar desatualizado.
A colocação em cache do SuperAgent não deve ser usada juntamente com a atualização global. Ambas
estas funcionalidades têm a mesma função no ambiente gerido: manter os seus repositórios
distribuídos atualizados. Todavia, não são funcionalidades complementares. Use a colocação em cache
do SuperAgent, se a limitação do uso da largura de banda for a sua principal preocupação. Use a
Atualização global se a atualização empresarial rápida for a sua principal preocupação.
Hierarquia do SuperAgent
Uma hierarquia de SuperAgents pode servir agentes da mesma rede com o mínimo de utilização de
tráfego de rede.
Um SuperAgent guarda em cache as atualizações de conteúdo do servidor do McAfee ePO ou dos
repositórios distribuídos e distribui-as aos agentes da rede, reduzindo o tráfego de rede de área
alargada. Convém sempre ter mais do que um SuperAgent para balancear a carga da rede.
Certifique-se de que ativa o Lazy caching antes de definir a hierarquia do SuperAgent.
Criar uma hierarquia de SuperAgents
Use a Política do repositório para criar a hierarquia. A McAfee recomenda a criação de uma hierarquia
de três níveis de SuperAgents na sua rede.
Criar uma hierarquia de SuperAgents evita transferências repetitivas da atualização de conteúdos a
partir do servidor do McAfee ePO ou do repositório distribuído. Por exemplo, numa rede cliente com
dois SuperAgents (SuperAgent 1 e SuperAgent 2) e um repositório distribuído, configure a hierarquia
de forma a que os sistemas cliente recebam as atualizações de conteúdo a partir do SuperAgent 1. O
SuperAgent recebe e guarda em cache atualizações do SuperAgent 2, em seguida o SuperAgent 2
recebe e guarda em cache atualizações do repositório distribuído.
Os SuperAgents não conseguem guardar em cache a partir de repositórios McAfee HTTP ou FTP.
Ao criar uma hierarquia, certifique-se de que a hierarquia não forma um ciclo de SuperAgents; por
exemplo, o SuperAgent 1 está configurado para extrair atualizações do SuperAgent 2, o SuperAgent 2
está configurado para extrair atualizações do SuperAgent 3 e o SuperAgent 3, por sua vez, está
configurado para extrair atualizações do SuperAgent 1.
Para garantir que o SuperAgent principal está atualizado com a atualização de conteúdos mais
recente, terá de ativar a difusão de chamadas de ativação do SuperAgent.
Se os SuperAgents não servirem agentes com a atualização de conteúdo mais recente, o agente rejeita
a atualização de conteúdos recebida do SuperAgent e reverte para o repositório seguinte configurado na
política.
Dispor os SuperAgent em hierarquia
As políticas Geral e Repositório podem ser modificadas para ativar e definir a hierarquia do
SuperAgent.
146
Guia do produto
11
Tarefa
1
Clique em Menu | Política | Catálogo de políticas, depois, a partir do menu pendente Produto selecione
McAfee Agent e a partir do menu pendente Categoria selecione Geral.
2
Clique na política Predefinida para começar a editar a política. Para criar uma nova política, clique em
Ações | Nova política.
A política McAfee Default não pode ser modificada.
3
No separador SuperAgent, selecione Converter agentes em SuperAgents para converter o agente num
SuperAgent e atualizar o seu repositório com o conteúdo mais recente.
4
Selecione Utilizar sistemas que executam SuperAgents como repositórios distribuídos para utilizar os sistemas que
são anfitriões de SuperAgents como repositórios de atualização para os sistemas no seu segmento
de difusão e depois forneça o Caminho do repositório.
5
Selecione Ativar LazyCaching para permitir que os SuperAgents guardem em cache os conteúdos
quando são recebidos do servidor McAfee ePO.
6
Clique em Guardar.
A página Catálogo de políticas lista as políticas Gerais.
7
Mude a Categoria para Repositório e, em seguida, clique na política Predefinida para começar a editar a
política. Se quiser criar uma política nova, clique em Ações | Nova política.
8
No separador Repositórios, selecione Use a ordenação na lista de repositórios.
9
Clique em Permitir automaticamente que os clientes acedam aos repositórios recentemente adicionados para adicionar
os novos repositórios do SuperAgent à lista e, em seguida, clique em Mover para o topo para dispor os
SuperAgents em hierarquia.
Disponha a hierarquia dos repositórios de forma a que o SuperAgent principal esteja sempre no
cimo da lista de repositórios.
Depois de definir a hierarquia do SuperAgent, pode criar e executar a tarefa Estatísticas do McAfee
Agent para recolher um relatório de poupança de largura de banda de rede.
Capacidade de reencaminhamento do agente
Se a sua configuração de rede bloquear a comunicação entre o McAfee Agent e o servidor McAfee ePO,
o agente não consegue receber atualizações de conteúdo, políticas ou enviar eventos.
A capacidade de reencaminhamento pode ser ativada nos agentes que tenham conetividade direta
para o servidor McAfee ePO ou processadores de agentes para efetuar uma ponte entre a comunicação
dos sistemas cliente e o servidor McAfee ePO. Pode configurar mais do que um agente como
RelayServer para manter o balanceamento de carga da rede.
•
Pode ativar a capacidade de reencaminhamento no McAfee Agent 4.8 ou posterior.
•
O servidor McAfee ePO só pode iniciar a comunicação (por exemplo, Mostrar registos do
agente) com um agente diretamente ligado.
•
A capacidade de reencaminhamento não é suportada em sistemas AIX.
Guia do produto
147
11
Comunicar através de RelayServers
Permitir a capacidade de reencaminhamento na sua rede converte um McAfee Agent em RelayServer.
A McAfee Agent com capacidade de reencaminhamento pode aceder ao servidor McAfee ePO.
Se um McAfee Agent falhar a ligação ao servidor McAfee ePO, difunde uma mensagem para descobrir
qualquer McAfee Agent com capacidade de reencaminhamento na rede. Os RelayServers respondem à
mensagem e o McAfee Agent estabelece ligação com o primeiro RelayServer que respondeu.
Posteriormente, se um McAfee Agent não conseguir ligar-se ao servidor McAfee ePO, tenta ligar-se ao
primeiro RelayServer que respondeu à mensagem de descoberta. O McAfee Agent descobre os
RelayServers na rede em cada comunicação entre o agente e o servidor e guarda em cache os
detalhes dos primeiros cinco RelayServers exclusivos que responderam à mensagem de descoberta.
Se o RelayServer atual não se conseguir ligar ao servidor do McAfee ePO ou não tiver a atualização de
conteúdos necessária, o McAfee Agent liga-se ao RelayServer seguinte disponível em cache.
Num sistema cliente Windows, depois de a capacidade de reencaminhamento ser ativada através da
política, é instalado um novo serviço MfeServiceMgr.exe. Este serviço pode ser iniciado ou parado para
controlar a capacidade de reencaminhamento no sistema cliente.
Assim que o McAfee Agent acabar de carregar ou transferir conteúdos do servidor McAfee ePO, o
RelayServer desliga o McAfee Agent e o servidor McAfee ePO.
Considerações importantes
•
Os McAfee Agents exigem o Protocolo de datagrama de utilizador (UDP) para descobrir
RelayServers na rede.
•
Um RelayServer só se liga aos servidores listados no ficheiro SiteList.xml. Recomendamos que
inclua o sitelist.xml do RelayServer como super-conjunto das site lists de todos os McAfee
Agents que estão configurados para se ligarem através deste RelayServer.
Ativar a capacidade de reencaminhamento
Configure e atribua políticas para ativar a capacidade de reencaminhamento de um agente.
Ao ativar um sistema não Windows como RelayServer, certifique-se de que adiciona manualmente uma
exceção para o processo cmamesh e a porta do gestor de serviços para iptables e ip6tables.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e depois selecione um grupo na Árvore de
sistema . Todos os sistemas dentro deste grupo aparecem no painel de detalhes.
2
Selecione um sistema e depois clique em Ações | Agente | Modificar políticas num único sistema. É
apresentada a página Atribuição de política desse sistema.
3
4
Se a política for herdada, selecione Interromper herança e atribuir a política e as definições abaixo.
5
A partir da lista pendente Política atribuída, seleccione uma política Geral.
A partir desta localização, pode editar a política selecionada ou criar uma política nova.
6
148
Seleccione se quer bloquear a herança de política para impedir que os sistemas que herdam esta
política tenham outra política atribuída que a substitua.
Guia do produto
7
11
No separador SuperAgente, selecione Ativar RelayServer para ativar a capacidade de
reencaminhamento.
•
Certifique-se de que configura a Porta do gestor de serviços para 8083.
•
A McAfee recomenda que ative a capacidade de reencaminhamento dentro da rede da
organização.
•
Os RelayServers não podem ligar-se aos servidores McAfee ePO utilizando definições
de proxy.
8
Clique em Guardar.
9
•
Depois do primeiro ASCI, o estado do RelayServer é atualizado na página
Propriedades do McAfee Agent ou na IU do McTray no sistema cliente.
•
Num sistema cliente Windows, o ficheiro de registo SvcMgr_<nome do sistema>.log
é guardado em C:\ProgramData\McAfee\Common Framework\DB.
Recolher estatísticas do McAfee Agent
Execute a tarefa cliente Estatística McAfee Agent nos nós geridos para recolher as estatísticas de
hierarquia McAfee Agent.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistemas | Sistemas e, em seguida, selecione um grupo na Árvore de
sistemas. Todos os sistemas dentro deste grupo aparecem no painel de detalhes.
2
Selecione um sistema e, em seguida, clique em Ações | Agente | Modificar tarefas num único sistema. São
apresentadas as tarefas cliente desse sistema.
3
Clique em Ações | Nova atribuição de tarefa cliente.
4
A partir da lista de produtos, selecione McAfee Agent, em seguida, selecione Estatísticas do McAfee Agent
como Tipo de tarefa.
5
Clique em Criar nova tarefa. É apresentada a página nova tarefa cliente.
6
Selecione a opção necessária e depois clique em Guardar.
Depois de a tarefa ser implementada no sistema cliente e o estado reportado ao ePolicy
Orchestrator, as estatísticas são repostas a 0.
Desativar a capacidade de reencaminhamento
Pode utilizar a política Geral para desativar a capacidade de reencaminhamento no McAfee Agent.
Guia do produto
149
11
Tarefa
1
sistema. Todos os sistemas dentro deste grupo aparecem no painel de detalhes.
2
Selecione o sistema no qual foi ativada a capacidade de reencaminhamento e depois clique em
Ações | Agente | Modificar políticas num único sistema. É apresentada a página Atribuição de política desse
sistema.
3
4
A partir da lista pendente Política atribuída, selecione a política Geral imposta no sistema cliente.
5
No separador SuperAgent, desmarque Ativar o RelayServer para desativar a capacidade de
reencaminhamento no sistema cliente.
6
Clique em Guardar.
7
Responder a eventos da política
Defina uma resposta automática no ePolicy Orchestrator que é filtrada para ver apenas eventos de
política.
Tarefa
1
Clique em Menu | Automatização | Respostas automáticas para abrir a página Respostas automáticas.
2
Clique em Ações | Nova resposta.
3
Introduza um Nome para a resposta e uma Descrição opcional.
4
Selecione Eventos de notificação do ePO para o Grupo de evento e Cliente, Ameaça, or Servidor do Tipo de evento.
5
Clique em Ativado para ativar a resposta e clique em Seguinte.
6
A partir das Propriedades disponíveis, selecione Descrição do evento.
7
Clique em … na linha Descrição do evento e escolha uma das seguintes opções:
•
O agente falhou na recolha de propriedades para qualquer dos produtos de ponto — Este evento é gerado e
reencaminhado quando ocorre pela primeira vez uma falha de recolha de propriedades. Um
evento subsequente com êxito não é gerado. Cada produto de ponto com falha gera um evento
separado.
•
O agente falhou na imposição da política para qualquer dos produtos de ponto — Este evento é gerado e
reencaminhado quando ocorre a primeira falha de imposição da política. Um evento
subsequente com êxito não é gerado. Cada produto de ponto com falha gera um evento
separado.
8
Introduza as restantes informações no filtro conforme necessário e depois clique em Seguinte.
9
Selecione as opções Agregação, Agrupamento e Limitação conforme necessário.
10 Escolha um tipo de ação e introduza um comportamento conforme o tipo de ação e depois clique
em Seguinte.
11 Reveja o comportamento de resposta resumido. Se estiver correto, clique em Guardar.
150
Guia do produto
11
Acabou de ser criada uma resposta automática que realizará a ação descrita quando ocorrer algum
evento da política.
Executar tarefas cliente imediatamente
Quando o ePolicy Orchestrator comunica com o McAfee Agent, pode executar tarefas cliente
imediatamente usando a ação Executar a tarefa cliente agora.
O McAfee Agent coloca as tarefas em fila de espera quando a sua execução é agendada em vez de as
executar imediatamente. Não obstante uma tarefa poder ser colocada imediatamente em fila, a sua
execução só tem início se não houver mais tarefas à sua frente na fila. As tarefas criadas durante o
procedimento Executar a tarefa cliente agora são executadas e a tarefa é eliminada do cliente depois de
terminar.
A opção Executar a tarefa cliente agora só é suportada nos sistemas cliente Windows.
Tarefa
1
2
Selecione um ou mais sistemas nos quais executar uma tarefa.
3
Clique emAções | Agente | Executar tarefa cliente agora.
4
Selecione o Produto como McAfee Agent e o Tipo de tarefa.
5
Para executar uma tarefa existente, clique no Nome da tarefa e depois clique em Executar tarefa cliente
agora.
6
Para definir uma nova tarefa, clique em Criar nova tarefa.
a
Introduza a informação apropriada à tarefa que está a criar.
Se criar uma tarefa de Implementação de produto do McAfee Agent ou uma tarefa de Atualização do produto
durante este procedimento, uma das opções disponíveis é Executar em todas as imposições de política.
Esta opção não tem efeito dado que a tarefa é eliminada depois de terminada.
É apresentada a página A executar o estado da tarefa cliente exibindo o estado de todas as tarefas em
execução. Quando as tarefas estão concluídas, os resultados podem ser vistos no Registo de auditoria e no
Registo de tarefas de servidor.
Localizar agentes inativos
Um agente inativo é um agente que não comunicou com o servidor McAfee ePO dentro de um período
de tempo especificado pelo utilizador.
Alguns agentes podem tornar-se desativados ou serem desinstalados pelos utilizadores. Noutros
casos, o sistema que hospeda o agente pode ter sido removido da rede. A McAfee recomenda que
realize pesquisas regulares semanais dos sistemas com estes agentes inativos.
Guia do produto
151
11
Tarefa
1
Clique em Menu | Relatórios | Consultas e Relatórios.
2
Na lista Grupos selecione o grupo partilhado do McAfee Agent.
3
Clique em Executar na linha Agentes inativos para executar a consulta.
A configuração predefinida para esta consulta encontra sistemas que não comunicaram com o
servidor do McAfee ePO no último mês. Pode especificar as horas, os dias, as semanas, os
semestres ou os anos.
Quando encontrar agentes inativos, reveja os registos de atividade acerca dos problemas que possam
interferir com a comunicação entre o agente e o servidor. Os resultados da consulta permitem realizar
várias ações relacionadas com os sistemas identificados, incluindo enviar ping, eliminar, ativar e
reimplementar um agente.
Propriedades do sistema e do produto reportadas pelo agente
no Windows
O McAfee Agent comunica as propriedades do sistema ao ePolicy Orchestrator a partir dos seus
sistemas geridos. As propriedades comunicadas variam segundo o sistema operativo. As listadas aqui
são propriedades comunicadas pelo Windows.
Propriedades do sistema
Esta lista mostra os dados do sistema reportados ao ePolicy Orchestrator pelos sistemas operativos
dos nós. Reveja os detalhes no seu sistema antes de concluir que as propriedades do sistema são
reportadas incorretamente.
152
GUID do agente
É SO 64 bits
Versão do SO
Número de série da CPU
Último erro de sequência
Erros de sequência
Velocidade da CPU (MHz)
É portátil
Chave do servidor
Tipo de CPU
Última comunicação
Endereço de sub-rede
Props personalizadas 1-4
Endereço MAC
Máscara de sub-rede
Tipo de comunicação
Estado gerido
Descrição do sistema
Idioma predefinido
Tipo de gestão
Localização do sistema
Descrição
Número de CPUs
Nome do sistema
Nome de DNS
Sistema operativo
Ordenação da Árvore de Sistema
Nome de domínio
Número de compilação do SO
Etiquetas
Etiquetas excluídas
Identificador de SO OEM
Fuso horário
Espaço livre em disco
Plataforma de SO
A transferir
Memória livre
Versão do Service Pack do SO
Espaço total em disco
Espaço livre na unidade de sistema
Tipo de SO
Memória física total
Produtos instalados
Espaço em disco utilizado
Endereço IP
Nome de utilizador
Endereço IPX
Vdi
Guia do produto
11
Propriedades do agente
Cada produto McAfee designa as propriedades que reporta ao ePolicy Orchestrator e as que estão
incluídas num conjunto de propriedades mínimas. Esta lista mostra os tipos de dados de produto que
são comunicados ao ePolicy Orchestrator pelo software McAfee instalado no seu sistema. Se encontrar
erros nos valores comunicados, reveja os detalhes dos seus produtos antes de concluir que são
incorretamente comunicados.
GUID do agente
Caminho de instalação
Hash da chave de comunicação segura entre o agente e o servidor
Idioma
Intervalo de comunicação do agente para o servidor
Estado da última imposição de política
Chamada de ativação do agente
Estado da última coleção de propriedades
Porta de comunicação para ativação do agente
Estado da licença
Nó do cluster
Avisar o utilizador quando for necessário reiniciar
Estado de serviço do cluster
Intervalo de imposição da política
Nome do cluster
Versão do produto
Anfitrião do cluster
Versão do plug-in
Nós membro do cluster
Executar Agora suportado
Caminho de recurso de quórum do cluster
Service Pack
Endereço IP do cluster
Mostrar ícone no tabuleiro
Versão do DAT
RelayServer
Versão do motor
Funcionalidade do SuperAgent
Forçar o reinício automático após
repositórios do SuperAgent
Versão do hotfix/patch
Diretório do repositório do SuperAgent
Porta de comunicação de ativação do SuperAgent
Ver propriedades do McAfee Agent e do produto
Um tarefa comum de resolução de problemas é verificar se as alterações de política que fez
correspondem às propriedades obtidas a partir de um sistema.
Tarefa
1
2
No separador Sistemas, clique na fila correspondente do sistema que quer examinar.
São apresentadas as informações sobre as propriedades do sistema, os produtos instalados e o
agente. A parte superior da página Informação do sistema contém as janelas Resumo, Propriedades e
Eventos de ameaça. Também apresenta os separadores Propriedades do sistema, Produtos, Eventos de ameaça,
McAfee Agent e Itens relacionados.
Consultas fornecidas pelo McAfee Agent
O McAfee Agent adiciona várias consultas padrão ao seu ambiente ePolicy Orchestrator.
As consultas seguintes são instaladas no grupo partilhado do McAfee Agent.
Guia do produto
153
11
Tabela 11-1 Consultas fornecidas pelo McAfee Agent
Consultar
Descrição
Resumo da comunicação do
agente
Um gráfico circular dos sistemas geridos a indicar se os agentes
comunicaram com o servidor McAfee ePO nos últimos dias.
Estado do processador de
agentes
Um gráfico circular a apresentar o estado de comunicação do
processador de agentes na última hora.
Informação de estatísticas
do agente
Um gráfico de barras que apresenta as seguintes estatísticas do
agente:
• Número de ligações falhadas com os RelayServers
• Número de tentativas efetuadas para estabelecer ligação com os
RelayServers após o número máximo de ligações permitidas
• Largura de banda de rede poupada pela utilização da hierarquia do
SuperAgent
Resumo das versões do
agente
Um gráfico circular dos agentes instalados pelo número da versão nos
sistemas geridos.
Agentes inativos
Uma tabela a listar todos os sistemas geridos cujos agentes não
comunicaram no último mês.
Nós geridos que têm falhas
de imposição de política do
produto de ponto
Gráfico de barras para um único grupo que apresenta os nós geridos
máximos (especificado no assistente do Criador de consultas) com
pelo menos uma falha na imposição de política.
Pode consultar as falhas de imposição de política de produto gerido
no servidor McAfee ePO 5.0. ou posterior.
Nós geridos que têm falhas
de coleção de propriedades
do produto de ponto
Gráfico de barras para um único grupo que apresenta os nós geridos
máximos (especificado no assistente do Criador de consultas) com pelo
menos uma falha na coleção de propriedades.
Pode consultar as falhas de coleção de propriedades de política de
produto gerido no servidor McAfee ePO 5.0. ou posterior.
Utilização de repositórios e
percentagem
Um gráfico circular a apresentar a utilização do repositório individual
como percentagem de todos os repositórios.
Utilização do repositório
baseada na extração de DAT
e do motor
Um gráfico de barras empilhadas a apresentar a extração de DAT e do
motor por repositório.
Sistemas por processador de Um gráfico circular do número de sistemas geridos por processador de
agentes
agentes.
Modifique as definições do ePolicy Orchestrator para adaptar a comunicação entre o agente e o
servidor às necessidades do seu ambiente.
154
Guia do produto
11
Permitir que as credenciais de implementação do agente sejam
colocadas em cache
Os administradores têm de fornecer credenciais para implementar com êxito os agentes a partir do
servidor do McAfee ePO nos sistemas da rede. Pode escolher se pretende permitir que as credenciais
de implementação do agente sejam colocadas em cache para cada utilizador.
Depois de as credenciais do utilizador serem colocadas em cache, esse utilizador pode implementar
agentes sem ter de as fornecer novamente. As credenciais são colocadas em cache por cada utilizador,
assim um utilizador que não tenha fornecido previamente as credenciais não pode implementar
agentes sem primeiro providenciar as suas próprias credenciais.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Credenciais de implementação do agente a partir
de Categorias de definição e depois clique em Editar.
2
Selecione a caixa de verificação para permitir que as credenciais de implementação do agente
sejam colocadas em cache.
Alterar as portas de comunicação do agente
Pode alterar algumas das portas utilizadas na comunicação do agente no servidor do McAfee ePO.
Pode modificar as definições para estas portas de comunicação do agente:
•
Porta de comunicação do agente para o servidor segura
•
Porta de comunicação para ativação do agente
•
Porta de comunicação de difusão para agentes
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Portas a partir de Categorias de definição e
depois clique em Editar.
2
Selecione se pretende ativar a porta 443 como a porta de comunicação do agente para o servidor
segura, introduza as portas a serem utilizadas para as chamadas de ativação do agente e difusão
para agentes e depois clique em Guardar.
Guia do produto
155
11
156
Guia do produto
12
As chaves de segurança são utilizadas para verificar e autenticar as comunicações e o conteúdo do
ambiente gerido do ePolicy Orchestrator.
Conteúdo
Chaves de segurança e o seu funcionamento
Par de chaves do repositório principal
Outras chaves públicas de repositório
Gerir chaves do repositório
Chaves de comunicação segura entre o agente e o servidor (ASSC)
Criar cópias de segurança e restaurar chaves
Chaves de segurança e o seu funcionamento
O servidor do McAfee ePO baseia-se em três pares de chaves de segurança.
Os três pares de chaves de segurança são utilizados para:
•
Autenticar a comunicação entre o agente e o servidor.
•
Verificar os conteúdos dos repositórios locais.
•
Verificar os conteúdos dos repositórios remotos.
Cada chave secreta do par assina mensagens ou pacotes na sua origem, enquanto a chave pública do
par verifica as mensagens ou pacotes no seu destino.
•
A primeira vez que o agente comunica com o servidor, envia a sua chave pública ao servidor.
•
A partir daí, o servidor utiliza a chave pública do agente para verificar as mensagens assinadas
com a chave secreta do agente.
•
O servidor utiliza a sua própria chave secreta para assinar as suas mensagens para o agente.
•
O agente utiliza a chave pública do servidor para verificar a mensagem do agente.
•
Pode ter vários pares de chaves de comunicação segura, mas apenas uma pode ser designada
como a chave principal.
•
Quando a tarefa do atualizador da chave do agente de cliente é executada (Atualizador da chave do
McAfee ePO Agent), os agentes que utilizam diferentes chaves públicas recebem a chave pública atual.
•
Quando atualiza, as chaves atuais são migradas para o servidor McAfee ePO.
Guia do produto
157
12
Pares de chaves do repositório principal local
•
A chave secreta do repositório assina o pacote antes de efetuar o registo de entrada no repositório.
•
A chave pública de repositório verifica o conteúdo do pacote de repositório.
•
O agente obtém o novo conteúdo disponível sempre que a tarefa de atualização de cliente é
executada.
•
O par de chaves é exclusivo para cada servidor.
•
Ao exportar e importar as chaves entre servidores, pode utilizar o mesmo par de chaves num
ambiente de vários servidores.
Pares de chaves de outro repositório
•
A chave secreta de uma origem fidedigna assina o seu conteúdo ao divulgar esse conteúdo ao seu
repositório remoto. As origens fidedignas incluem o site de transferência da McAfee e o repositório
McAfee Security Innovation Alliance (SIA).
Se esta chave for eliminada, não pode realizar uma extração, mesmo que importe uma chave de
outro servidor. Antes de substituir ou eliminar esta chave, certifique-se de criar uma cópia de
segurança numa localização segura.
•
A chave pública do McAfee Agent verifica o conteúdo que é obtido do repositório remoto.
A chave privada do repositório principal assina todo conteúdo não assinado no repositório principal.
Esta chave é uma funcionalidade de agentes 4.0 e posteriores.
Os agentes 4.0 e posterior utilizam a chave pública para verificar o conteúdo do repositório que se
origina do repositório principal neste servidor McAfee ePO. Se o conteúdo não estiver assinado ou
mesmo assinado com uma chave privada desconhecida do repositório, o conteúdo da transferência é
considerado inválido e eliminado.
O par de chaves é exclusivo para cada instalação do servidor. Contudo, ao exportar e importar as
chaves, pode utilizar o mesmo par de chaves num ambiente de vários servidores. Ao fazê-lo, está a
garantir que os agentes se conseguem ligar sempre a um dos repositórios principais, mesmo quando
outro repositório está fora de serviço.
Outras chaves públicas de repositório
As outras chaves que não o par de chaves principal são chaves públicas que os agentes utilizam para
verificar o conteúdo de outros repositórios principais no ambiente ou a partir dos sites de origem da
McAfee. Cada agente relacionado a este servidor utiliza as chaves da lista Outras chaves públicas do
repositório para verificar o conteúdo originado de outros servidores McAfee ePO na organização, ou a
partir de origens pertencentes à McAfee.
Se um agente transferir conteúdo de uma origem da qual o agente não possui a chave pública
apropriada, ele elimina o conteúdo.
Estas chaves são uma nova funcionalidade e apenas os agentes 4.0 e posteriores podem utilizar os
novos protocolos.
158
Guia do produto
12
Pode gerir as chaves do repositório utilizando estas tarefas.
Tarefas
•
Utilizar um par de chaves de repositório principal para todos os servidores na página 159
Pode certificar-se de que todos os servidores McAfee ePO e agentes utilizam o mesmo par
de chaves de repositório principal em ambiente multi-servidor utilizando as Definições do
servidor.
•
Utilizar chaves do repositório principal em ambientes multi-servidor na página 159
Certifique-se de que os agentes conseguem utilizar conteúdos provenientes de qualquer
servidor McAfee ePO no seu ambiente, utilizando as Definições do servidor.
Utilizar um par de chaves de repositório principal para todos os
servidores
Pode certificar-se de que todos os servidores McAfee ePO e agentes utilizam o mesmo par de chaves
de repositório principal em ambiente multi-servidor utilizando as Definições do servidor.
Isto consiste em exportar primeiro o par de chaves que pretende que todos os servidores utilizem e
depois importar o par de chaves para todos os servidores no ambiente.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Chaves de segurança a partir da lista de
categorias de definição e depois clique em Editar.
É apresentada a página Editar chaves de segurança.
2
Junto de Par de chaves do repositório principal local, clique em Exportar o par de chaves.
3
Clique em OK. É apresentada a caixa de diálogo Transferência de ficheiro.
4
Clique em Guardar, procure uma localização que seja acessível aos outros servidores, onde queira
guardar o ficheiro zip contendo os ficheiros da chave de comunicação segura e depois clique em
Guardar.
5
Junto de Importar e criar cópia de segurança das chaves, clique em Importar.
6
Procure o ficheiro zip contendo os ficheiros da chave do repositório principal exportada e clique em
Seguinte.
7
Verifique se estas são as chaves que pretende importar e depois clique em Guardar.
O par de chaves do repositório principal importado substitui o par de chaves existente neste servidor.
Os agentes começam a utilizar o novo par de chaves após a execução da próxima tarefa de
atualização do agente. Uma vez que o par de chaves do repositório principal é alterado, deve ser
realizado uma ASSC antes que o agente possa utilizar a nova chave.
Utilizar chaves do repositório principal em ambientes multi-servidor
Certifique-se de que os agentes conseguem utilizar conteúdos provenientes de qualquer servidor
McAfee ePO no seu ambiente, utilizando as Definições do servidor.
O servidor assina todo conteúdo não assinado que tenha o registo de entrada efetuado no repositório,
com a chave privada do repositório principal. Os agentes utilizam as chaves públicas do repositório
para validar o conteúdo que é obtido dos repositórios na organização ou dos sites de origem da
McAfee.
Guia do produto
159
12
O par de chaves do repositório principal é exclusivo para cada instalação do ePolicy Orchestrator. Se
utilizar vários servidores, cada um utiliza uma chave diferente. Se os agentes puderem transferir o
conteúdo que tem origem a partir de diferentes repositórios principais, tem de garantir que os agentes
reconhecem o conteúdo como válido.
Pode garantir isto de duas maneiras:
•
Utilize o mesmo par de chaves do repositório principal para todos os servidores e agentes.
•
Certifique-se de que os agentes estão configurados para reconhecer qualquer chave pública de
repositório utilizada no ambiente.
Esta tarefa exporta o par de chaves de um servidor McAfee ePO para um servidor McAfee ePO de
destino, em seguida, o servidor McAfee ePO de destino, importa e substitui o par de chaves atual.
Tarefa
160
1
No servidor McAfee ePO com o par de chaves do repositório principal, clique em Menu | Configuração |
Definições do servidor, selecione Chaves de segurança a partir da lista Setting Categories e, em seguida, clique
em Editar.
2
Junto de Par de chaves do repositório principal local, clique em Exportar o par de chaves e depois clique em OK.
3
Na caixa de diálogo Transferência de ficheiros, clique em Guardar.
4
Procure uma localização no servidor McAfee ePO de destino para guardar o ficheiro zip. Altere o
nome do ficheiro, se necessário, e depois clique em Guardar.
5
No servidor McAfee ePO no qual pretende carregar o par de chaves do repositório principal, clique
em Menu | Configuração | Definições do servidor, selecione Chaves de Segurança a partir da lista Categorias da
definição e, de seguida, clique em Edit.
6
Na página Editar chaves de segurança:
a
Junto de Importar e criar cópia de segurança das chaves, clique em Importar.
b
Junto de Selecionar ficheiro, procure e selecione o ficheiro do par de chaves principal e depois
clique em Seguinte.
c
Se a informação resumida estiver correta, clique em Guardar. O novo par de chaves principal é
apresentado na lista junto de Chaves de comunicação segura entre o agente e o servidor.
7
A partir da lista, selecione o ficheiro que importou nos passos anteriores e clique em Tornar principal.
Isto altera o par de chaves principal existente para o novo par de chaves que acabou de importar.
8
Clique em Guardar para concluir o processo.
Guia do produto
12
Chaves de comunicação segura entre o agente e o servidor
(ASSC)
Os agentes usam chaves ASCI para comunicar em segurança com o servidor.
Pode tornar qualquer par de chaves ASSC o principal, que é o par de chaves atualmente atribuído a
todos os agentes implementados. Os agentes existentes que utilizam outras chaves na lista de Chaves
de comunicação segura entre o agente e o servidor não alteram para a nova chave principal a não ser que esteja
agendada e a ser executada uma tarefa do atualizador da chave do agente de cliente.
Certifique-se de que aguarda até que todos os agentes terem sido atualizados para a nova chave
principal, antes de eliminar as chaves antigas.
Os agentes Windows anteriores à versão 4.0 não são suportados.
Gerir chaves ASSC
Gerir, exportar, importar ou eliminar chaves de comunicação segura entre o agente e o servidor
(ASSC) a partir da página Definições do servidor.
Tarefa
1
2
Abra a página Editar chaves de segurança.
a
b
A partir da lista Categorias de definição, selecione Chaves de segurança.
Guia do produto
161
12
Ação
Passos
Gerar e
Gerar novos pares de chaves ASSC.
utilizar
1 Junto à lista Chaves de comunicação segura entre o agente e o servidor, clique em Nova chave.
novos pares
Na caixa de diálogo, introduza o nome da chave de segurança.
de chaves
ASSC
2 Se pretende que os agentes existentes utilizem a nova chave, selecione a chave
na lista e depois clique em Tornar principal. Os agentes começam a utilizar a nova
chave depois da próxima tarefa de atualização do McAfee Agent estar concluída.
Certifique-se de que há um pacote Atualizador da chave do agente para cada
versão do McAfee Agent que o servidor McAfee ePO gere. Por exemplo, se o
servidor McAfee ePO gere agentes 4.6, certifique-se de que o registo de entrada
do pacote Atualizador da chave do agente 4.6 foi efetuado no repositório
principal.
Em instalações grandes, a geração e utilização de novos pares de chaves principais
deverão ser apenas realizadas quando tiver razões específicas para fazer isso. A
McAfee recomenda a realização deste procedimento por fases de modo que possa
monitorizar mais de perto o processo.
3 Depois de todos os agentes terem deixado de utilizar a chave antiga, elimine-a.
Na lista de chaves, o número de agentes que atualmente utilizam a chave é
apresentado à direita de cada chave.
4 Crie cópias de segurança de todas as chaves.
Exportar
chaves
ASSC.
Exporte chaves ASSC a partir de um servidor McAfee ePO para um servidor McAfee
ePO diferente, para permitir aos agentes acederem ao novo servidor McAfee ePO.
1 Na lista Chaves de comunicação segura entre o agente e o servidor, selecione uma chave, e
depois clique em Exportar.
2 Clique em OK.
O browser solicita a ação de transferência do ficheiro sr<ServerName>.zip para a
localização especificada.
Se tiver especificado uma localização predefinida para todas as transferências do
browser, este ficheiro poderá ser guardado automaticamente nessa localização.
Importar
chaves
ASSC.
Importe as chaves ASCC que foram exportadas a partir de um servidor McAfee ePO
diferente. Este procedimento permite que os agentes desse servidor acedam este
servidor McAfee ePO.
1 Clique em Importar.
2 Procure e selecione a chave a partir da localização onde a guardou (por
predefinição, no ambiente de trabalho) e depois clique em Abrir.
3 Clique em Seguinte e reveja a informação na página Importar chaves.
162
Guia do produto
12
Ação
Passos
Designe um
par de
chaves
ASSC como
principal.
Altere o par de chaves, apresentado na lista Chaves de comunicação segura entre o agente e o
servidor, que é especificado como principal. Especifique um par de chaves principal
depois de importar ou gerar um novo par de chaves.
1 A partir da lista Chaves de comunicação segura entre o agente e o servidor, selecione uma
chave e depois clique em Tornar principal.
2 Crie uma tarefa de atualização para os agentes a executarem imediatamente,
para que os agentes se atualizem após a próxima comunicação entre o agente e o
servidor.
Certifique-se de que o registo de entrada do pacote Atualizador da chave de
agente foi efetuado no repositório principal do ePolicy Orchestrator. Os agentes
começam a utilizar o novo par de chaves quando a próxima atualização da tarefa
para o McAfee Agent estiver concluída. Em qualquer altura, pode ver quais os
agentes que estão a utilizar qualquer dos pares de chave ASSC na lista.
3 Crie cópias de segurança de todas as chaves.
Elimine
chaves
ASSC
Não elimine chaves que estejam atualmente em utilização por quaisquer agentes. Se
o fizer, esses agentes não conseguirão comunicar com o servidor McAfee ePO.
1 A partir da lista Chaves de comunicação segura entre o agente e o servidor, selecione a chave
que pretende remover e depois clique em Eliminar.
2 Clique em OK para eliminar o par de chaves deste servidor.
Ver sistemas que utilizam um par de chaves ASSC
Pode ver os sistemas cujos agentes utilizam um par de chaves de comunicação segura entre o agente
e o servidor específico na lista Chaves de comunicação segura entre o agente e o servidor.
Após tornar um par de chaves específico o principal, pode querer ver os sistemas que estão a utilizar o
par de chaves anterior. Não elimine o par de chaves até que saiba que já não há qualquer agente a
utilizá-lo.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Chaves de segurança a partir da lista
2
Na lista Chaves de comunicação segura entre o agente e o servidor, selecione uma chave e depois clique em Ver
agentes.
Esta página Sistemas que usam esta chave lista todos os sistemas cujos agentes estão a utilizar a chave
selecionada.
Utilizar o mesmo par de chaves ASSC para todos os servidores
e agentes
Verifique se todos os servidores McAfee ePO e agentes utilizam o mesmo par de chaves de
comunicação segura entre o agente e o servidor (ASSC).
Se tiver um grande número de sistemas geridos no seu ambiente, a McAfee recomenda que realize este
processo em fases, para que possa monitorizar as atualizações do agente.
Guia do produto
163
12
Tarefa
1
Crie uma tarefa de atualização do agente
2
Exporte as chaves escolhidas a partir do servidor McAfee ePO selecionado.
3
Importe as chaves exportadas para todos os outros servidores.
4
Designe a chave importada como a principal em todos os servidores.
5
Realize duas chamadas de ativação do agente.
6
Quando todos os agentes estiverem a utilizar as novas chaves, elimine as chaves inutilizadas.
7
Crie cópias de segurança de todas as chaves.
Utilizar um par de chaves ASCC para cada servidor McAfee ePO
Pode utilizar um par de chaves ASSC diferente para cada servidor McAfee ePO para garantir que todos
os agentes conseguem comunicar com os servidores McAfee ePO necessários num ambiente em que
cada servidor tem de ter um par de chaves de comunicação segura entre o agente e o servidor
exclusivo.
Os agentes podem comunicar apenas com um servidor de cada vez. O servidor McAfee ePO pode ter
várias chaves para comunicar com agentes diferentes, mas o contrário não se aplica. Os agentes não
podem ter várias chaves para comunicar com vários servidores McAfee ePO.
Tarefa
1
A partir de cada servidor McAfee ePO no ambiente, exporte o par de chaves de comunicação
segura entre o agente e o servidor principal para uma localização temporária.
2
Importe cada um destes pares de chaves para todos os servidores McAfee ePO.
Crie cópia de segurança periódica de todas as chaves de segurança e crie sempre uma cópia de
segurança antes de alterar as definições de gestão de chave.
Guarde a cópia de segurança numa localização na rede segura, para que as chaves possam ser
facilmente restauradas na eventualidade inesperada de algumas se perderem a partir do servidor
McAfee ePO.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Chaves de segurança a partir da lista de
categorias de definição e depois clique em Editar.
É apresentada a página Editar chaves de segurança.
2
164
Guia do produto
Ação
12
Passos
Criar cópias de 1 Clique em Criar cópia de segurança de tudo perto do fundo da página.
segurança de
É apresentada a caixa de diálogo Criar cópia de segurança do armazenamento
todas as chaves
de chaves.
de segurança
2 Poderá, de forma opcional, introduzir uma palavra-passe para encriptar o
ficheiro ZIP do armazenamento de chaves ou clicar em OK para guardar os
ficheiros como texto não encriptado.
3 A partir da caixa de diálogo Transferência de ficheiro, clique em Guardar para
criar um ficheiro zip de todas as chaves de segurança.
É apresentada a caixa de diálogo Guardar como.
4 Procure uma localização na rede segura para guardar o ficheiro zip e, em
seguida, clique em Guardar.
Restaurar as
chaves de
segurança.
1 Clique em Restaurar tudo ao lado do fundo da página.
É apresentada a página Restaurar as chaves de segurança.
2 Procure o ficheiro ZIP contendo as chaves de segurança, selecione-o e clique
em Seguinte.
Abre-se o assistente Restaurar as chaves de segurança na página Resumo.
3 Procure as chaves com as quais pretende substituir a chave existente e depois
clique em Seguinte.
4 Clique em Restaurar.
É apresentada novamente a página Editar chaves de segurança.
5 Procure uma localização na rede segura para guardar o ficheiro zip e, em
Restaurar as
1 Clique em Restaurar tudo ao lado do fundo da página.
chaves de
É apresentada a página Restaurar as chaves de segurança.
segurança a
partir de um
2 Procure o ficheiro ZIP contendo as chaves de segurança, selecione-o e clique
ficheiro de cópia
em Seguinte.
de segurança
Abre-se o assistente Restaurar as chaves de segurança na página Resumo.
3 Procure e selecione o ficheiro ZIP de cópia de segurança e depois clique em
OK.
4 Clique em Restaurar tudo ao fundo da página.
É aberto o assistente para Restaurar as chaves de segurança.
5 Procure e selecione o ficheiro ZIP de cópia de segurança e depois clique em
OK.
6 Verifique se as chaves neste ficheiro são as que pretende para substituir as
chaves existentes e depois clique em Restaurar tudo.
Guia do produto
165
12
166
Guia do produto
13
Gestor de software
Utilize o Gestor de software para rever e adquirir software e componentes de software McAfee.
Conteúdo
Conteúdo do gestor de software
Efetue o registo de entrada, atualize e remova software utilizando o Gestor de software
Verificar a compatibilidade do produto
Conteúdo do gestor de software
O gestor de software elimina a necessidade de aceder ao Web site de transferências dos produtos da
McAfee para obter o novo software e as atualizações de software.
Pode utilizar o gestor de software para transferir:
•
Software licenciado
•
Software de avaliação
•
Atualizações de software
•
Documentação de produto
Os DATs e os motores não estão disponíveis no gestor de software.
Software licenciado
O software licenciado é qualquer software que a sua organização adquiriu da McAfee. Ao ver o gestor
de software na consola do ePolicy Orchestrator, qualquer software licenciado que a sua empresa ainda
não instalou no servidor é listado na categoria de produtos de Software sem registo de entrada. O número
apresentado junto de cada subcategoria na lista Categorias de produto indica quantos produtos estão
disponíveis.
Software de avaliação
O software de avaliação é o software para o qual a sua organização não possui uma licença
atualmente. Pode instalar o software de avaliação no seu servidor, mas a funcionalidade poderá ficar
restrita até que adquira uma licença do produto.
Atualizações de software
Quando uma nova atualização para o software que está a utilizar é lançada, pode utilizar o gestor de
software para efetuar o registo de entrada dos novos pacotes e extensões. As atualizações de software
disponíveis estão listadas na categoria Atualizações disponíveis.
Guia do produto
167
13
Gestor de software
Efetue o registo de entrada, atualize e remova software utilizando o Gestor de software
Documentação de produto
A documentação nova e atualizada de produto pode ser obtida a partir do gestor de software. As
extensões de ajuda podem ser instaladas automaticamente. A documentação em PDF e HTML, como o
Guia do produto e as Notas de lançamento também podem ser transferidas a partir do gestor de
software.
Sobre as dependências do componente de software
Muitos dos produtos de software que instala para utilizar com o servidor McAfee ePO, têm
dependências predefinidas noutros componentes. As dependências para extensões do produto são
instaladas automaticamente. Para todos os outros componentes do produto, pode rever a lista de
dependências na página de detalhes do componente e instalá-las primeiro.
Efetue o registo de entrada, atualize e remova software
utilizando o Gestor de software
A partir do Gestor de software, pode efetuar o registo de entrada, atualizar e remover componentes
do servidor.
Poderá aceder tanto ao software licenciado como ao de avaliação no Gestor de software.
A disponibilidade do software, e se está na categoria Licenciado ou Avaliação, depende da chave de licença
do utilizador. Para mais informações, contacte o Administrador.
Tarefa
1
Clique em Menu | Software | Gestor de software.
2
Na página Gestor de software da lista Categorias de produto, selecione uma das seguintes categorias ou
utilize a caixa de procura para localizar o software:
•
Atualizações disponíveis — Lista todas as atualizações disponíveis para os componentes do software
licenciado já instalados ou com a entrada registada no servidor do McAfee ePO.
•
Software com registo de entrada efetuado — Apresenta todo o software (tanto Licenciado como Avaliação)
instalado ou com registo de entrada efetuado neste servidor.
Se adicionou recentemente a licença de um produto e aparecer como Avaliação, clique em Atualizar
para atualizar a contagem Licenciado e apresentar o produto como Licenciado em Software com registo
de entrada.
3
168
•
Software com registo de entrada não efetuado — Apresenta todo o software disponível, mas que não está
instalado neste servidor.
•
Software (por etiqueta) — Apresenta o software por função, conforme descrito nos pacotes de
produtos da McAfee.
Quando tiver localizado o software correto, clique em:
•
Transferir para transferir a documentação do produto para uma localização na rede.
•
Registar entrada para efetuar o registo de entrada de uma extensão do produto ou pacote no
servidor.
Guia do produto
Gestor de software
4
13
•
Atualizar para atualizar um pacote ou extensão que esteja atualmente instalado ou com registo de
entrada no servidor.
•
Remover para desinstalar um pacote ou extensão que esteja atualmente instalado ou com registo
de entrada no servidor.
Na página Resumo do software com registo de entrada, reveja e aceite os detalhes do produto e o Contrato
de Licença do Utilizador Final (EULA) e depois clique em OK para concluir a operação.
Pode configurar uma Verificação de compatibilidade do produto para transferir automaticamente uma Lista de
compatibilidade do produto a partir do McAfee. Esta lista identifica produtos que já não são compatíveis no
seu ambiente ePolicy Orchestrator.
O ePolicy Orchestrator executa esta verificação sempre que a instalação e o arranque de uma
extensão possam deixar o servidor num estado indesejado. Esta verificação ocorre nas seguintes
situações:
•
Durante uma atualização a partir de uma versão anterior do ePolicy Orchestrator para a versão 5.1
ou posterior.
•
Quando uma extensão é instalada a partir do menu Extensões.
•
Antes de uma extensão nova ser obtida a partir do Gestor de software.
•
Quando uma nova lista de compatibilidade é recebida pela McAfee.
•
Quando a Ferramenta de migração de dados é executada. Consulte o McAfee ePolicy Orchestrator 5.1.0 Guia de instalação de software para obter mais pormenores.
Verificação de compatibilidade do produto
A Verificação de compatibilidade do produto usa um ficheiro XML, a Lista de compatibilidade do produto, para
determinar as extensões do produto conhecidas pela não compatibilidade com uma versão do ePolicy
Orchestrator.
Uma lista inicial é incluída no pacote de software do ePolicy Orchestrator transferido a partir do Web
site da McAfee. Quando executa a Configuração do ePolicy Orchestrator durante uma instalação ou
atualização, o ePolicy Orchestrator tenta obter automaticamente a lista mais recente de extensões
compatíveis a partir de uma origem McAfee fidedigna através da Internet. Se a origem de Internet
estiver indisponível, ou se a lista transferida não puder ser verificada, o ePolicy Orchestrator usa a
versão mais recente disponível.
O servidor McAfee ePO atualiza a Lista de compatibilidade do produto, um ficheiro pequeno, em segundo plano
uma vez por dia.
Solução
Quando vê a lista de extensões incompatíveis através do instalador, ou do Utilitário de compatibilidade de
atualização do ePolicy Orchestrator, é notificado se uma extensão de substituição conhecida estiver
disponível.
Em alguns casos durante uma atualização:
Guia do produto
169
13
Gestor de software
•
Uma extensão bloqueia a atualização e terá de ser removida ou substituída antes de a atualização
poder continuar.
•
Uma extensão é "desativada", mas tem de atualizar a extensão depois de concluída a atualização
do ePolicy Orchestrator.
Consulte Extensões bloqueadas ou desativadas para obter mais detalhes.
Desativar as atualizações automáticas
Poderá ter de desativar as atualizações automáticas da Lista de compatibilidade do produto para evitar que
seja transferida uma nova lista.
Esta transferência da lista acontece no âmbito de uma tarefa em segundo plano ou quando o conteúdo
do Gestor de software é atualizado. Esta definição é particularmente útil quando o servidor McAfee ePO
não tem acesso à Internet de entrada. Consulte Alterar a transferência da Lista de compatibilidade do produto
para obter mais detalhes.
Reativar a definição da transferência da Lista de compatibilidade do produto também reativa as atualizações
automáticas do Gestor de software da Lista de compatibilidade do produto.
Utilizar uma Lista de compatibilidade do produto transferida manualmente
Poderá ter de utilizar uma Lista de compatibilidade do produto transferida manualmente, por exemplo se o
servidor McAfee ePO não tiver acesso à Internet.
Pode transferir a lista manualmente:
•
Ao instalar o ePolicy Orchestrator. Consulte Extensões bloqueadas ou desativadas para obter mais
detalhes.
•
Ao utilizar Definições do servidor | Lista de compatibilidade do produto para carregar manualmente uma Lista de
compatibilidade do produto. Esta lista entra em vigor imediatamente após o carregamento.
Desative a atualização automática da lista para evitar substituir a Lista de compatibilidade do produto
transferida manualmente. Consulte Alterar a transferência da Lista de compatibilidade do produto para obter
mais detalhes.
•
Clique em ProductCompatibilityList.xml para transferir a lista manualmente.
Extensões bloqueadas ou desativadas
Se uma extensão estiver bloqueada na Lista de compatibilidade do produto, evita a atualização do software
ePolicy Orchestrator. Se uma extensão estiver desativada, não bloqueia a atualização, mas a extensão
não é inicializada após a atualização até ser instalada uma extensão de substituição conhecida.
Opções da linha de comandos para instalar a lista de compatibilidade do produto
Pode utilizar estas opções da linha de comandos com o comando setup.exe para configurar as
transferências da Lista de compatibilidade do produto.
Opção
Definição
setup.exe DISABLEPRODCOMPATUPDATE=1
Desativa a transferência automática da
Lista de compatibilidade do produto a partir do
Web site da McAfee.
setup.exe
PRODCOMPATXML=<full_filename_including_path>
Especifica um ficheiro de Lista de
compatibilidade do produto alternativo.
Ambas as opções da linha de comandos podem ser utilizadas conjuntamente numa cadeia de comando.
170
Guia do produto
Gestor de software
13
Reconfigurar a transferência da lista de compatibilidade do
produto
Pode transferir a a lista de compatibilidade do produto a partir da Internet ou utilizar uma lista
transferida manualmente para identificar produtos que já não são compatíveis no ambiente ePolicy
Orchestrator.
Antes de começar
Qualquer lista de compatibilidade do produto transferida manualmente tem de ser um
ficheiro XML válido fornecido pela McAfee.
Se efetuar quaisquer alterações ao ficheiro XML da Lista de compatibilidade do produto, o
ficheiro é invalidado.
Tarefa
Para consultar as definições da opção, clique em ? na interface.
1
Clique em Menu | Configuração | Definições do servidor, selecione Lista de compatibilidade do produto a partir de
Na página de abertura, é apresentada uma lista com extensões incompatíveis desativadas.
2
Clique em Desativado para parar a transferência automática e regular da lista de compatibilidade do
produto a partir de McAfee.
3
Clique em Procurar e navegue até a Carregar lista de compatibilidade do produto e depois clique em Guardar.
Agora que desativou a transferência automática da lista de compatibilidade do produto, o servidor
McAfee ePO utiliza a mesma lista até carregar uma lista nova ou ligar o servidor à Internet e ativar a
transferência automática.
Guia do produto
171
13
Gestor de software
172
Guia do produto
14
O ePolicy Orchestrator simplifica o processo de implementação de produtos de segurança nos sistemas
geridos da sua rede, fornecendo uma interface do utilizador para configurar e programar
implementações.
Há dois processos que pode seguir para implementar produtos com o ePolicy Orchestrator:
•
Projetos de Implementação do produto que agilizam o processo de implementação e conferem
mais funcionalidade.
•
Objetos de tarefas cliente e tarefas criados e geridos individualmente.
Conteúdo
Escolher um método de implementação de produtos
Vantagens dos projetos de implementação de produtos
Página Implementação do produto explicada
Ver os registos de auditoria de implementação do produto
Implementar produtos utilizando um projeto de implementação
Monitorizar e editar projetos de implementação
Exemplo de implementação de um McAfee Agent novo
Escolher um método de implementação de produtos
A decisão do método de implementação do produto que deve utilizar depende daquilo que já tiver
configurado.
Os projetos de Implementação de produtos proporcionam um fluxo de trabalho simplificado e funcionalidade
aumentada para implementar produtos nos seus sistemas geridos ePolicy Orchestrator. Todavia, não
pode utilizar um projeto de Implementação do produto para agir sobre nem gerir objetos da tarefa cliente e
tarefas criadas numa versão do software anterior à 5.0.
Se quiser manter e continuar a utilizar tarefas cliente e objetos criados fora de um projeto de
Implementação de produtos, terá de utilizar a biblioteca de objeto da tarefa cliente e interfaces atribuídas.
Pode manter estas tarefas e objecto existentes enquanto utiliza a interface de projeto de Implementação
de produtos para criar novas implementações.
Os projetos de implementação de produtos simplificam o processo de implementação de produtos de
segurança no seu sistema gerido, reduzindo o tempo e os custos gerais necessários para agendar e
manter implementações em toda a rede.
Os projetos de implementação de produtos agilizam o processo de implementação consolidando
muitos dos passos necessários para criar e gerir individualmente as tarefas de implementação de
produtos. Acrescentam ainda a capacidade de:
Guia do produto
173
14
•
Executar uma implementação de forma contínua — Isto permite-lhe configurar o seu projeto
de implementação de forma a que, quando forem adicionados novos sistemas que correspondem
aos seus critérios, os produtos sejam automaticamente implementados.
•
Parar uma implementação em execução — Se, por algum motivo, precisar de parar uma
implementação depois de ter começado, pode pará-la. Depois pode retomá-la assim que estiver
pronto.
•
Desinstalar um produto implementado anteriormente — Se um projeto de implementação
tiver sido concluído e pretender desinstalar o produto associado a apartir dos sistemas atribuídos
ao projeto, selecione Desinstalar na lista Ação.
A seguinte tabela compara os dois processos de implementação de produtos - objetos da tarefa cliente
individual e projetos de implementação de produtos.
Tabela 14-1 Comparação de métodos de implementação de produtos
Objetos da tarefa
cliente
Comparação de
funções
Projeto de implementação de produtos
Nome e descrição
Idêntico
Nome e descrição
Recolha de software
de produto a
implementar
Idêntico
Recolha de software de produto a implementar
Utilização de
etiquetas para
selecionar sistemas
de destino
Melhorada no projeto
de implementação de
produtos
Selecionar quando ocorre a implementação:
• As implementações Contínuas utilizam grupos ou
etiquetas da Árvore de sistema que lhe permitem
mover sistemas para aqueles grupos ou atribuir
etiquetas de sistema e fazer aplicar a
implementação nesses sistemas.
• As implementações Fixas utilizam um conjunto de
sistemas fixo ou definido. A seleção do sistema é
feita utilizando a sua Árvore de sistema ou as
tabelas de exportação das Consultas dos sistemas
geridos.
Agenda de
implementação
Semelhante
A agenda de implementação simplificada permite-lhe
executar a implementação imediatamente ou
executá-la uma vez numa data e hora agendadas.
Não disponível
Novo no projeto de
implementação de
produtos
Monitorizar o estado de implementação atual, por
exemplo implementações agendadas mas não
iniciadas, em curso, paradas, em pausa ou
concluídas.
Não disponível
Novo no projeto de
implementação de
produtos
Visualizar um instantâneo histórico de dados sobre o
número de sistemas que receberam a
implementação.
Apenas para implementações fixas.
174
Guia do produto
14
Tabela 14-1 Comparação de métodos de implementação de produtos (continuação)
Objetos da tarefa
cliente
Comparação de
funções
Projeto de implementação de produtos
Não disponível
Novo no projeto de
implementação de
produtos
Visualizar o estado de implementações em sistemas
individuais, por exemplo sistemas instalados,
pendentes ou falhados.
Não disponível
Novo no projeto de
implementação de
produtos
Modificar as atribuições de implementação existentes
utilizando:
• Criar Novo para modificar uma implementação
existente
• Editar
• Duplicar
• Eliminar
• Parar e Interromper a implementação
• Continuar e retomar implementação
• Desinstalar
Guia do produto
175
14
A página Implementação do produto é uma localização única onde pode criar, monitorizar e gerir os
seus projetos de implementação de produtos.
A página está dividida em duas áreas principais (áreas 1 e 2 na imagem em baixo), estando a área 2
dividida em mais cinco áreas mais pequenas.
Figura 14-1 Página Implementação do produto
Estas áreas principais são:
1
Resumo da implementação — Lista as implementações e permite-lhe filtrá-las por tipo e estado e
visualizar rapidamente a sua evolução. Se clicar na implementação, os detalhes da implementação
são apresentados na área Detalhes da implementação.
Um ícone de ponto de exclamação indica que está em curso uma desinstalação da implementação
ou que o pacote utilizado pela implementação foi movido ou eliminado.
2
176
Detalhes da implementação — Lista os detalhes da implementação selecionada e inclui as
seguintes áreas:
Guia do produto
14
2a Monitor de estado — O ecrã de evolução e estado varia consoante o tipo de implementação e
o seu estado:
• As implementações contínuas exibem um calendário se a implementação estiver pendente
ou um gráfico de barras durante a implementação.
• As implementações fixas exibem um calendário se a implementação estiver pendente ou um
gráfico de barras se tiver selecionado Atual ou um histograma se tiver selecionado Duração.
2b Detalhes — O ecrã Detalhes permite-lhe ver os detalhes e o estado da configuração da
implementação e se necessário clique em Ver detalhes da tarefa para abrir a página Editar
implementação.
2c Nome do sistema — Exibe uma lista filtrável de sistemas de destino que recebem a
implementação. Os sistemas apresentados variam consoante o tipo de implementação e se os
sistemas foram selecionados individualmente como etiquetas, como grupos da Árvore de
sistema ou tabelas de exportação das consultas.
Se clicar em Ações do sistema, é exibida a lista filtrada de sistemas numa caixa de diálogo com
mais detalhe e permite-lhe realizar ações nos sistemas, como por exemplo atualizações e
ativações.
2d Estado — Exibe uma barra com três secções que indica a evolução da implementação e o seu
estado.
2e Etiquetas — Exibe as etiquetas associadas à linha de sistemas.
Os registos de auditoria dos projetos de implementação contêm registos de todas as implementações
de produto feitas a partir da consola utilizando a funcionalidade Implementação de produto.
Estas entradas de registo de auditoria são apresentadas uma tabela ordenável com a área dos
detalhes da implementação na página Implementação do produto, bem como na página Registo de
auditoria que contém entradas de registo de todas as ações do utilizador sujeitas a auditoria. Pode
utilizar estes registos para monitorizar, criar, editar, duplicar, eliminar e desinstalar implementações de
produto. Clique numa entrada do registo para visualizar os detalhes da entrada.
Implementar os seus produtos de segurança em sistemas geridos utilizando um projeto de
implementação permite-lhe selecionar facilmente produtos a implementar, os sistemas de destino e
agendar a implementação.
Tarefa
1
Clique em Menu | Software | Implementação do produto.
2
Clique em Nova implementação para abrir a página Nova implementação e iniciar um novo projeto.
3
Introduza um nome e uma descrição para esta implementação. Este nome aparece na página
Implementação do produto depois de a implementação ser guardada.
Guia do produto
177
14
4
5
Escolher o tipo de implementação:
•
Contínua — Utiliza os grupos ou etiquetas da Árvore de sistema para configurar os sistemas que
recebem a implementação. Isto permite que estes sistemas se alterem ao longo do tempo à
medida que são adicionados ou removidos dos grupos ou etiquetas.
•
Corrigida — Uma implementação corrigida usa um conjunto de sistemas fixo, ou definido, para
receber a implementação. A seleção do sistema é feita utilizando a sua Árvore de sistema ou as
tabelas de exportação das Consultas dos sistemas geridos.
Para especificar o software a implementar, selecione um produto a partir da lista Pacote. Clique em +
ou - para adicionar ou remover pacotes.
Antes de poder ser implementado, terá de registar a entrada do seu software no Repositório
principal. Os campos Idioma e Ramo são povoados automaticamente conforme a localização e idioma
especificados no Repositório principal.
6
No campo de texto Linha de comandos, especifique quaisquer opções de instalação de linha de
comandos. Consulte a documentação do produto do software que está a implementar para obter
informações sobre as opções da linha de comandos.
7
Na secção Selecionar os sistemas, clique em Selecionar sistemas junto à caixa de diálogo Seleção do sistema.
A caixa de diálogo Seleção do sistema é um filtro que lhe permite selecionar grupos na Árvore de
sistema, Etiquetas ou um subconjunto de sistemas agrupados e/ou etiquetados. As seleções que
fizer em cada separador dentro desta caixa de diálogo são concatenadas para filtrar o conjunto
completo de sistemas de destino da implementação.
Por exemplo, se a Árvore de sistema contiver um "Grupo A" que inclui tanto Servidores como
Estações de trabalho, pode visar o grupo inteiro, apenas os Servidores ou as Estações de trabalho
(se estiverem etiquetadas em conformidade) ou um subconjunto de cada tipo de sistema no Grupo
A.
As implementações fixas têm um limite de 500 sistemas a receber a implementação.
Se necessário, configure o seguinte:
8
9
•
Executar em todas as imposições de política (apenas Windows)
•
Permitir que os utilizadores finais adiem esta implementação (apenas Windows)
•
Número máximo de adiamentos permitidos
•
A opção para adiar expira após
•
Apresentar este texto
Escolha uma hora de início ou agenda para a sua implementação:
•
Executar imediatamente — Inicia a tarefa de implementação durante o ASCI seguinte.
•
Uma vez — Abre o programador para que possa configurar a data e hora de início e a
aleatoriedade.
Depois de terminar, clique em Guardar no cimo da página. É aberta a página Implementação do produto
com o seu novo projeto adicionado à lista de implementações.
Depois de criar um projeto de implementação, é criada automaticamente uma tarefa cliente com as
definições da implementação.
178
Guia do produto
14
Utilize a página Implementação do produto para criar, monitorizar e alterar os projetos de
implementação.
Na tarefa abaixo, os primeiros passos descrevem a utilização da interface para selecionar e
monitorizar um projeto de implementação existente, enquanto os últimos passos descrevem a seleção
de Ações para modificar esse projeto de implementação.
Tarefa
1
Clique em Menu | Software | Implementação do produto. É apresentada a página Implementação do
produto.
2
Filtre a lista de projetos de implementação utilizando um ou ambos os seguintes:
•
Tipo — Filtra as implementações que aparecem por Todas, Contínuas ou Fixas.
•
Estado — Filtra as implementações que aparecem por Todas, Terminadas, Em curso, Pendentes,
A executar ou Paradas.
3
Clique numa implementação na lista do lado esquerdo da página para apresentar os seus detalhes
no lado direito da página.
4
Utilize a secção de evolução do ecrã de detalhes para visualizar:
5
•
Calendário que exibe a data de início de implementações contínuas e fixas pendentes.
•
Histograma que exibe sistemas e a data de conclusão das implementações fixas.
•
Barra de estado que exibe a implementação do sistema e evolução da desinstalação.
Clique em Ações e numa das seguintes opções para modificar uma implementação:
•
Editar
•
Retomar
•
Eliminar
•
Parar
•
Duplicar
•
Desinstalar
•
Marcar terminada
6
Na secção de detalhes, clique em Ver detalhes da tarefa para abrir a página Editar implementação, onde
pode visualizar e modificar as definições da implementação.
7
Na tabela Sistemas, clique numa das seguintes opções na lista Filtrar para alterar os sistemas que
aparecem:
As opções da lista variam consoante o estado atual da implementação.
8
•
Durante a Desinstalação, os filtros incluem - Todos, Pacotes removidos, Pendente e Falhado
•
Durante todas as restantes ações, os filtros incluem - Todos, Instalação com êxito, Pendente e Falhado
Na tabela Sistemas, pode:
•
Verificar o estado de cada linha de sistemas de destino na coluna Estado. Uma barra de estado
com três secções indica a evolução da implementação.
•
Verificar as etiquetas associadas aos sistemas de destino na coluna Etiquetas.
•
Clique em Ações do sistema para visualizar a lista de sistemas numa nova página onde pode
realizar ações específicas do sistema nos sistemas selecionados.
Guia do produto
179
14
Após a instalação inicial do ePolicy Orchestrator e da implementação do McAfee Agent as
implementações adicionais do McAfee Agent terão de ser criadas com recurso a um projeto de
Implementação do produto ou manualmente com recurso a um objeto de Tarefa cliente.
Antes de começar
Antes de dar início a esta tarefa de exemplo para implementar o McAfee Agent for Linux, já
terá de ter adicionado as plataformas Linux à Árvore de sistema do ePolicy Orchestrator.
O primeiro passo é implementar o agente quando originariamente instala e começa a usar o ePolicy
Orchestrator e o McAfee Agent inicial que implementa é atualizado automaticamente de forma
silenciosa sempre que estiver disponível uma nova versão. Porém, se os sistemas de rede geridos
incluírem mais do que um tipo de plataforma de sistema operativo, esses sistemas precisam de um
McAfee Agent diferente. Por exemplo, dado que a maioria dos sistemas de rede geridos do ePolicy
Orchestrator são plataformas de sistema operativo Windows, se a rede incluir algumas plataformas
Linux, têm de ter o McAfee Agent for Linux instalado.
Consulte Implementação do produto e a Ajuda para obter mais pormenores sobre a funcionalidade,
interface do utilizador e opções.
Esta tarefa descreve:
•
Criação de um projeto de Implementação do produto do McAfee Agent for Linux.
•
Confirmação de que o projeto implementou o agente
•
Confirmação de que as plataformas Linux estão a ser geridas pelo ePolicy Orchestrator
Tarefa
1
Para criar o projeto de nova implementação do produto, clique em Menu | Software | Implementação do
produto | Nova implementação.
2
Na página Nova implementação configure estas definições.
Opção
Descrição
Nome e
Descrição
Introduza um Nome e uma Descrição para esta implementação. Por exemplo,
introduza Implementação McAfee Agent Linux.
Este nome aparece na página Implementação depois de a implementação ser
guardada.
Tipo
A partir da lista, selecione Contínua.
Este tipo utiliza os grupos ou etiquetas da Árvore de sistema para configurar os
sistemas que recebem a implementação. Isto permite que estes sistemas se
alterem ao longo do tempo à medida que são adicionados ou removidos dos grupos
ou etiquetas.
Pacote
A partir da lista, selecione McAfee Agent for Linux.
Idioma e Ramo Se necessário, selecione o Idioma e o Ramo, se não estiver a usar as predefinições.
Linha de
comandos
180
No campo de texto, especifique quaisquer opções de instalação de linha de
comandos. Consulte o Guia do produto do McAfee Agent para obter pormenores
sobre as opções de instalação de linha de comandos.
Guia do produto
Opção
Descrição
Selecione os
sistemas
Clique em Selecionar sistemas para abrir a caixa de diálogo Seleção do sistema.
14
A caixa de diálogo Seleção do sistema é um filtro que lhe permite selecionar grupos na
Árvore de sistema, etiquetas ou um subconjunto de sistemas agrupados ou
etiquetados. As seleções que fizer em cada separador dentro desta caixa de diálogo
são concatenadas para filtrar o conjunto completo de sistemas de destino da
implementação.
Por exemplo, se a Árvore de sistema contiver "Sistemas Linux" o que inclui tanto
Servidores como Estações de trabalho, pode visar o grupo inteiro, apenas os
Servidores ou as Estações de trabalho (se estiverem corretamente etiquetados) ou
um subconjunto de cada tipo de sistema de sistemas Linux.
Se necessário, configure o seguinte:
• Executar em todas as imposições de política (apenas Windows)
• Permitir que os utilizadores finais adiem esta implementação (apenas Windows)
• Número máximo de adiamentos permitidos
• A opção para adiar expira após
• Apresentar este texto
Selecione uma
hora de início
Escolha uma hora de início ou agenda para a sua implementação:
• Executar imediatamente — Inicia a tarefa de implementação durante o ASCI seguinte.
• Uma vez — Abre o programador para que possa configurar a data e hora de início e
a aleatoriedade.
Guardar
Depois de terminar, clique em Guardar no cimo da página. É aberta a página
Implementação do produto com o seu novo projeto adicionado à lista de implementações.
Depois de criar um projeto de implementação, é criada automaticamente uma tarefa cliente com as
definições da implementação.
3
Na página Implementação do produto, confirme se o projeto de Implementação do produto do McAfee Agent for
Linux está a funcionar corretamente, após verificar esta informação.
Opção
Descrição
Resumo de
implementação
Clique no projeto de implementação do produto Linux McAfee Agent que criou no
passo anterior e os detalhes são apresentados do lado direito da página.
Dado que esta é uma implementação contínua, é apresentado o símbolo
infinito
Detalhes da
implementação
em Em curso.
Permite-lhe:
• Clique em Ações para modificar a implementação selecionada.
• Veja o Progresso, Estado e Detalhes da implementação selecionada.
• Veja os Sistemas, Ações do sistema, Estado e Etiquetas associados à implementação
selecionada.
Depois de concluir este processo de exemplo, as plataformas Linux adicionadas à Árvore de sistema, têm
o McAfee Agent for Linux instalado e agora devem ser geridas pelo ePolicy Orchestrator.
Guia do produto
181
14
182
Guia do produto
15
As políticas garantem que as funcionalidades de um produto sejam configuradas corretamente nos
sistemas geridos.
Gerir produtos a partir uma única localização é uma funcionalidade central do software do ePolicy
Orchestrator. Um dos modos como isto é realizado é através da aplicação e imposição de políticas do
produto. As políticas garantem que as funcionalidades de um produto são configuradas corretamente.
As tarefas cliente são ações agendadas que são executadas nos sistemas geridos que alojam qualquer
software da parte do cliente.
Conteúdo
Imposição de políticas e política
Aplicação de políticas
Criar e manter políticas
Configurar políticas pela primeira vez
Gerir políticas
Editar a página Política e retenção de tarefas
Regras de atribuição de política
Criar consultas de gestão de políticas
Ver informações sobre as políticas
Partilhar políticas entre os servidores McAfee ePO
Distribuir a política por vários servidores McAfee ePO
Uma política política é uma série de definições que o utilizador cria e configura e depois impõe. As
políticas garantem que os produtos do software de segurança geridos sejam configurados e funcionem
em conformidade.
Algumas definições da política são as mesmas que as definições que configura na interface do produto
instalado no sistema gerido. Outras definições da política são a interface principal para configurar o
produto ou componente. A consola do ePolicy Orchestrator permite-lhe configurar as definições da
política para todos os produtos e sistemas a partir de uma localização central.
Categorias de política
As definições de política para a maioria dos produtos são agrupadas por categoria. Cada categoria de
política refere-se a um subconjunto específico de definições da política. As políticas são criadas por
categoria. Na página Catálogo de políticas, as políticas são apresentadas por produto e categoria. Quando
abre uma política existente ou cria uma política nova, as definições da política são organizadas através
de separadores.
Guia do produto
183
15
Onde são apresentadas as políticas
Para ver todas as políticas que foram criadas por categoria de política, clique em Menu | Política | Catálogo
de políticas e depois selecione um Produto e Categoria a partir das listas pendentes. Na página Catálogo de
políticas, os utilizadores só conseguem ver as políticas dos produtos para os quais têm permissões.
Para ver as políticas, por produto, que foram aplicadas a um determinado grupo da Árvore de sistema,
clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas, selecione um grupo e depois selecione um
Produto a partir da lista pendente.
Existe uma política McAfee Default para cada categoria. Não pode eliminar, editar, exportar ou mudar o
nome destas políticas, mas pode copiá-las e editar a cópia.
Como é definida a imposição da política
Para cada produto ou componente geridos, escolha se o agente impõe todas ou nenhuma das suas
seleções de políticas para aquele produto ou componente.
A partir da página Políticas atribuídas, escolha se devem ser impostas políticas para produtos ou
componentes no grupo selecionado.
Na página Catálogo de políticas, pode ver as atribuições de política, onde estão aplicadas, e se estão
impostas. Também pode bloquear a imposição da política para impedir alterações à imposição abaixo
do nó bloqueado.
Se a imposição da política estiver desligada, os sistemas no grupo especificado não recebem as sitelists
atualizadas durante uma comunicação entre o agente e o servidor. Como resultado, os sistemas geridos
no grupo podem não funcionar como esperado. Por exemplo, pode configurar sistemas geridos para
comunicar com o processador de agentes A, mas com a imposição da política desligada o sistema
gerido não pode receber a nova sitelist com esta informação, por isso reportam para um processador de
agentes diferente listado numa sitelist expirada.
Quando são impostas as políticas
Ao reconfigurar as definições da política, as novas definições são fornecidas aos, e impostas nos,
sistemas geridos na próxima comunicação entre o agente e o servidor. A frequência desta
comunicação é determinada pelas definições do Intervalo de comunicação entre o agente e o servidor(ASCI) no
separador Geraldas páginas da política do McAfee Agent ou na agenda da tarefa cliente de ativação do McAfee
Agent (dependendo do modo como implementa a comunicação entre o agente e o servidor). Este
intervalo está definido para ocorrer uma vez a cada 60 minutos, por predefinição.
Assim que as definições da política entrarem em vigor no sistema gerido, o agente continua a impor
as definições da política localmente num intervalo regular. Este intervalo de imposição é determinado
pela definição do Intervalo de imposição da política no separador Geral das páginas da política do McAfee Agent.
Este intervalo está definido para ocorrer a cada cinco minutos, por predefinição.
As definições da política dos produtos da McAfee são impostas imediatamente no intervalo de
imposição da política e em cada comunicação entre o agente e o servidor se as definições da política
forem alteradas.
Exportar e importar políticas
Se tiver múltiplos servidores, pode exportar e importar políticas entre eles através de ficheiros XML.
Nesse tipo de ambiente, só tem de criar uma política uma vez.
Pode exportar e importar políticas individuais ou todas as políticas para um dado produto.
Esta funcionalidade também pode ser usada para criar cópia de segurança das políticas, se precisar de
reinstalar o servidor.
184
Guia do produto
15
Partilha de políticas
A partilha de políticas é outra forma de transferir políticas entre servidores. A partilha de políticas
permite-lhe gerir políticas num servidor e utilizá-las em muitos servidores adicionais, tudo isto através
da consola do McAfee ePO.
As políticas são aplicadas em qualquer sistema através de um de dois métodos: herança ou atribuição.
Herança
A herança determina se as definições da política e as tarefas cliente para um grupo ou sistema são
retiradas do seu elemento principal. Por predefinição, a herança é ativada ao longo da Árvore de sistema.
Quando interrompe esta herança ao atribuir uma nova política em qualquer lugar da Árvore de sistema,
todos os grupos subordinados e sistemas que estão definidos para herdar a política a partir deste
ponto de atribuição irão fazê-lo.
Atribuição
Pode atribuir qualquer política no Catálogo de políticas a qualquer grupo ou sistema, desde que possua as
permissões adequadas. A atribuição permite-lhe definir definições da política uma vez para uma
necessidade específica e, em seguida, aplicar a política a localizações múltiplas.
Quando atribui uma nova política a um determinado grupo da Árvore de sistema, todos os grupos
subordinados e sistemas que estão definidos para herdar a política a partir deste ponto de atribuição
irão fazê-lo.
Bloqueio da atribuição
Pode bloquear a atribuição de uma política em qualquer grupo ou sistema, desde que possua as
permissões adequadas. O bloqueio da atribuição impede os outros utilizadores:
•
Com permissões adequadas no mesmo nível da Árvore de sistema de substituir inadvertidamente uma
política.
•
Com permissões inferiores (ou as mesmas permissões, mas num nível inferior da Árvore de sistema)
de substituir a política.
O bloqueio da atribuição é herdado com as definições da política.
O bloqueio da atribuição é importante quando pretende atribuir uma determinada política na parte
superior da Árvore de sistema e garantir que nenhum outro utilizador a substitui em parte alguma na
Árvore de sistema.
O bloqueio da atribuição apenas bloqueia a atribuição de política, mas não impede o proprietário da
política de realizar alterações às suas definições. Por isso, se pretende bloquear uma atribuição de
política, certifique-se de que é o proprietário da política.
Propriedade da política
Todas as políticas para os produtos e funcionalidades para os quais tem permissões estão disponíveis a
partir da página Catálogo de políticas. Para impedir qualquer utilizador de editar políticas de outros
utilizadores, é atribuído um proprietário a cada política — o utilizador que a criou.
Guia do produto
185
15
A propriedade garante que ninguém possa modificar ou eliminar uma política, exceto o seu criador ou
um administrador. Qualquer utilizador com as permissões adequadas pode atribuir qualquer política na
página Catálogo de políticas, mas apenas o proprietário ou um administrador pode editá-la.
Se atribuir uma política de que não é o proprietário nos sistemas geridos, tenha em conta que, se o
proprietário da política nomeada a modificar, todos os sistemas onde esta política está atribuída
sofrerão essas modificações. Por isso, se quiser utilizar uma política propriedade de um outro
utilizador, a McAfee recomenda que primeiro duplique a política e que depois atribua o duplicado às
localizações pretendidas. Isto concede-lhe a propriedade da política atribuída.
Pode especificar múltiplos utilizadores como proprietários de uma única política.
Crie e mantenha políticas a partir da página Catálogo de Políticas.
Tarefas
•
Criar uma política a partir da página Catálogo de Políticas na página 186
As políticas predefinidas criadas com o Catálogo de Políticas não podem ser atribuídas a
qualquer grupo ou sistema. Pode criar políticas antes ou depois de um produto ser
implementado.
•
Gerir uma política existente na página Catálogo de políticas na página 186
Edite, duplique, mude o nome ou elimine uma política.
Criar uma política a partir da página Catálogo de Políticas
As políticas predefinidas criadas com o Catálogo de Políticas não podem ser atribuídas a qualquer
grupo ou sistema. Pode criar políticas antes ou depois de um produto ser implementado.
Tarefa
1
Abra a caixa de diálogo Nova política.
a
Clique em Menu | Política | Catálogo de políticas.
b
Selecione o produto e a categoria nas listas pendentes.
Todas as políticas criadas para a categoria selecionada são apresentadas no painel Detalhes.
c
Clique em Nova política.
2
Selecione a política que pretende duplicar a partir da lista pendente Criar uma política com base na política
existente.
3
Introduza um nome para a nova política e clique em OK.
Abre-se o assistente Definições das políticas.
4
Edite as definições da política em cada separador, conforme necessário.
5
Clique em Guardar.
Gerir uma política existente na página Catálogo de políticas
Edite, duplique, mude o nome ou elimine uma política.
186
Guia do produto
15
Tarefa
1
Para selecionar uma política existente, clique em Menu | Política | Catálogo de políticas e, em seguida,
selecione o Produto e a Categoria nas listas pendentes.
Todas as políticas criadas para a categoria selecionada são apresentadas no painel de detalhes.
2
Selecione o produto e a categoria nas listas da política a modificar.
3
Ação
Passos
Editar
definições da
política.
1 Localize a política a editar e clique no nome da política.
Duplicar uma
política.
2 Edite as definições conforme necessário e clique em Save (Guardar).
1 Localize a política a duplicar e depois clique em Duplicar na linha dessa política.
É apresentada a caixa de diálogo Duplicar a política existente.
2 Introduza o nome da nova política no campo e depois clique em OK.
A nova política é apresentada na página Catálogo de políticas.
3 Clique na nova política na lista.
4 Edite as definições conforme necessário e clique em Save (Guardar).
A política duplicada aparece no painel de detalhes com o seu nome e definições
novos.
Mude o nome
de uma política
1 Localize a política a que pretende mudar o nome e depois clique em Mudar o
nome numa linha da política.
É apresentada a caixa de diálogo Mudar o nome da política.
2 Introduza um nome novo para a política e depois clique em OK.
A política cujo nome alterou aparece no painel de detalhes.
Eliminar uma
política
1 Localize uma política e em seguida clique em Eliminar na linha da política.
2 Clique em OK quando solicitado.
A política eliminada é removida do painel de detalhes.
Siga estes passos de nível alto quando configurar políticas pela primeira vez.
1
Planeie as políticas do produto para os segmentos na árvore de sistema.
2
Crie e atribua políticas a grupos e sistemas.
Gerir políticas
Atribua e mantenha as políticas no seu ambiente.
Guia do produto
187
15
Gerir políticas
Tarefas
•
Alterar os proprietários de uma política na página 188
Por predefinição, a propriedade é atribuída ao utilizador que cria a política. Se tiver as
permissões exigidas, pode alterar a propriedade de uma política.
•
Mover políticas entre os servidores McAfee ePO na página 188
Para mover políticas entre o McAfee ePO, tem de exportar a política para um ficheiro XML a
partir da página Catálogo de políticas do servidor de origem e depois importá-la para a
página Catálogo de políticas no servidor de destino.
•
Atribuir uma política a um grupo da Árvore de sistema na página 190
Atribuir uma política a um grupo da Árvore de sistema. Pode atribuir políticas antes ou
depois de um produto ser implementado.
•
Atribuir uma política a um sistema gerido na página 190
Atribuir uma política a um sistema gerido. Pode atribuir políticas antes ou depois de um
produto ser implementado.
•
Atribua uma política a sistemas num grupo da Árvore de sistema na página 191
Atribuir uma política a vários sistemas geridos dentro de um grupo. Pode atribuir políticas
antes ou depois de um produto ser implementado.
•
Impor políticas para um produto num grupo da Árvore de sistema na página 191
Ative ou desative a imposição da política para um produto num grupo. A imposição da
política é ativada por predefinição e é herdada na Árvore de sistema.
•
Impor políticas de um produto num sistema na página 192
Ative ou desative a imposição da política para um produto num sistema gerido. A imposição
da política é ativada por predefinição e é herdada na Árvore de sistema.
•
Copiar atribuições de política na página 192
Copie atribuições de política de um grupo ou sistema para outro. Esta é uma forma fácil
para partilhar várias atribuições entre grupos e sistemas a partir de diferentes partes da
árvore de sistema.
Alterar os proprietários de uma política
Por predefinição, a propriedade é atribuída ao utilizador que cria a política. Se tiver as permissões
exigidas, pode alterar a propriedade de uma política.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e depois selecione o Produto e a Categoria.
2
Localize a política desejada e depois clique no proprietário da política.
É apresentada a página Propriedade da política.
3
Selecione os proprietários da política a partir da lista e depois clique em OK.
Mover políticas entre os servidores McAfee ePO
Para mover políticas entre o McAfee ePO, tem de exportar a política para um ficheiro XML a partir da
página Catálogo de políticas do servidor de origem e depois importá-la para a página Catálogo de
políticas no servidor de destino.
188
Guia do produto
Gerir políticas
15
Tarefas
•
Exportar uma única política na página 189
Pode exportar uma única política para um ficheiro XML e, em seguida, usar este ficheiro
para importar a política para outro servidor McAfee ePO ou para manter como cópia de
segurança da política.
•
Exportar todas as políticas de um produto na página 189
Exporte todas as políticas de um produto para um ficheiro XML. Utilize este ficheiro para
importar a política para outro servidor McAfee ePO ou para manter como uma cópia de
segurança das políticas.
•
Importar políticas na página 190
Pode importar um ficheiro XML de política. O procedimento de importação é o mesmo,
independentemente de ter exportado uma única política ou todas as políticas com nome.
Exportar uma única política
Pode exportar uma única política para um ficheiro XML e, em seguida, usar este ficheiro para importar
a política para outro servidor McAfee ePO ou para manter como cópia de segurança da política.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e depois selecione um Produto e Categoria a partir das listas
pendentes.
Todas as políticas criadas para a categoria selecionada são apresentadas no painel Detalhes.
2
Localize a política e depois clique em Exportar ao lado da política.
É apresentada a página Exportar.
3
Clique com o botão direito do rato na ligação para transferir e guardar o ficheiro.
4
Atribua um nome ao ficheiro XML da política e guarde-o.
Se tencionar importar este ficheiro para um servidor McAfee ePO diferente, certifique-se que esta
localização está acessível ao servidor de destino do McAfee ePO.
Exportar todas as políticas de um produto
Exporte todas as políticas de um produto para um ficheiro XML. Utilize este ficheiro para importar a
política para outro servidor McAfee ePO ou para manter como uma cópia de segurança das políticas.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e depois selecione o Produto e a Categoria.
2
Clique em Exportar junto a Políticas do produto. É apresentada a página Exportar.
3
Clique com o botão direito do rato na ligação para transferir e guardar o ficheiro.
Se tencionar importar este ficheiro para um outro servidor McAfee ePO, certifique-se que esta
localização está acessível ao servidor de destino do McAfee ePO.
Guia do produto
189
15
Gerir políticas
Importar políticas
Pode importar um ficheiro XML de política. O procedimento de importação é o mesmo,
independentemente de ter exportado uma única política ou todas as políticas com nome.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e depois clique em Importar junto a Políticas do produto.
2
Procure e selecione o ficheiro XML da política e depois clique em OK.
3
Selecione as políticas que pretende importar e clique em OK.
As políticas são adicionadas ao catálogo de políticas.
Atribuir uma política a um grupo da Árvore de sistema
Atribuir uma política a um grupo da Árvore de sistema. Pode atribuir políticas antes ou depois de um
produto ser implementado.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas e depois selecione um produto.
Cada política atribuída por categoria é apresentada no painel de detalhes.
2
Localize a categoria da política pretendida e depois clique em Editar atribuições.
3
Se a política for herdada, selecione Interromper herança e atribuir a política e definições abaixo ao lado de
Herdado a partir de.
4
Selecione a política a partir da lista pendente Política atribuída.
A partir desta localização, pode também editar as definições da política selecionada ou criar uma
política.
5
Escolha se pretende bloquear a herança de política.
O bloqueio da herança de política impede que os sistemas que herdam esta política tenham outra
política atribuída em seu lugar.
6
Clique em Guardar.
Atribuir uma política a um sistema gerido
Atribuir uma política a um sistema gerido. Pode atribuir políticas antes ou depois de um produto ser
implementado.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e depois selecione um grupo na Árvore de
sistema.
Todos os sistemas dentro deste grupo (mas não os seus subgrupos) são apresentados no painel de
detalhes.
2
Selecione um sistema e depois clique em Ações | Agente | Modificar políticas num único sistema.
É apresentada a página Atribuição de política desse sistema.
190
Guia do produto
Gerir políticas
3
15
Seleccione um produto.
As categorias do produto selecionado são listadas com a política atribuída do sistema.
4
Localize a categoria da política pretendida e depois clique em Editar atribuições.
5
Se a política for herdada, selecione Interromper herança e atribuir a política e definições abaixo ao lado de
Herdado a partir de.
6
Selecione a política a partir da lista pendente Política atribuída.
A partir desta localização, também pode editar as definições da política selecionada ou criar uma
política.
7
O bloqueio da herança de política impede que os sistemas que herdam esta política tenham outra
política atribuída em seu lugar.
8
Clique em Guardar.
Atribua uma política a sistemas num grupo da Árvore de
sistema
Atribuir uma política a vários sistemas geridos dentro de um grupo. Pode atribuir políticas antes ou
depois de um produto ser implementado.
Tarefa
1
sistema.
Todos os sistemas dentro deste grupo (mas não os seus subgrupos) são apresentados no painel de
detalhes.
2
Selecione os sistemas pretendidos e depois clique em Ações | Agente | Definir política e herança.
É apresentada a página Atribuir política.
3
Selecione o Produto, Categoria e Política nas listas pendentes.
4
Selecione se pretende Repor herança ou Interromper herança e depois clique em Guardar.
Impor políticas para um produto num grupo da Árvore de
sistema
Ative ou desative a imposição da política para um produto num grupo. A imposição da política é
ativada por predefinição e é herdada na Árvore de sistema.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas e depois selecione um grupo na Árvore de
sistema.
2
Selecione o produto pretendido e depois clique na ligação junto a Estado da imposição.
É apresentada a página Imposição.
3
Para alterar o estado da imposição, selecione Interromper herança e atribuir a política e definições abaixo.
4
Junto a Estado da imposição, selecione Impor ou Não impor conforme o caso.
Guia do produto
191
15
Gerir políticas
5
Ao bloquear a herança da imposição da política, evita a interrupção da imposição nos grupos e
sistemas que herdam esta política.
6
Clique em Guardar.
Impor políticas de um produto num sistema
Ative ou desative a imposição da política para um produto num sistema gerido. A imposição da política
é ativada por predefinição e é herdada na Árvore de sistema.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e depois selecione o grupo na Árvore de sistema a
que o sistema pertence.
A lista de sistemas pertencentes a este grupo é apresentada no painel de detalhes.
2
Selecione um sistema e depois clique em Ações | Modificar políticas num único sistema.
É apresentada a página Atribuição de política.
3
Selecione um Produto e depois clique em Impor junto a Estado da imposição.
É apresentada a página Imposição.
4
Se pretender alterar o estado da imposição, primeiro tem de selecionar Interromper herança e atribuir a
política e definições abaixo.
5
Junto a Estado da imposição, selecione Impor ou Não impor conforme o caso.
6
Clique em Guardar.
Copiar atribuições de política
Copie atribuições de política de um grupo ou sistema para outro. Esta é uma forma fácil para partilhar
várias atribuições entre grupos e sistemas a partir de diferentes partes da árvore de sistema.
Tarefas
•
Copiar atribuições de política a partir de um grupo na página 192
Pode copiar atribuições de política a partir de um grupo na Árvore de sistema para outro.
•
Copiar atribuições de política a partir de um sistema na página 193
Pode copiar atribuições de política a partir de um sistema específico.
•
Colar atribuições de política num grupo na página 193
Pode colar atribuições de política num grupo depois de as copiar de um grupo ou sistema.
•
Colar atribuições de política num sistema específico na página 193
Cole atribuições de política num sistema específico depois de copiar as atribuições de
política de um grupo ou sistema.
Copiar atribuições de política a partir de um grupo
Pode copiar atribuições de política a partir de um grupo na Árvore de sistema para outro.
192
Guia do produto
Gerir políticas
15
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas e depois selecione um grupo na Árvore
de sistema.
2
Clique em Ações | Copiar atribuições.
3
Selecione os produtos ou funcionalidades para os quais pretende copiar as atribuições de política e
Copiar atribuições de política a partir de um sistema
Pode copiar atribuições de política a partir de um sistema específico.
Tarefa
1
sistema.
O sistema pertencente ao grupo selecionado é apresentado no painel de detalhes.
2
Selecione um sistema e depois clique em Ações | Agente | Modificar políticas num único sistema.
3
Clique em Ações | Copiar atribuições, selecione os produtos ou funcionalidades desejados para os quais
pretende copiar as atribuições de política e depois clique em OK.
Colar atribuições de política num grupo
Pode colar atribuições de política num grupo depois de as copiar de um grupo ou sistema.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas e depois selecione o grupo pretendido na
Árvore de sistema.
2
No painel de detalhes, clique em Ações e selecione Colar atribuições.
Se o grupo já tiver políticas atribuídas para algumas categorias, é apresentada a página Substituir as
atribuições de política.
Ao colar as atribuições de política, é apresentada a política Impor políticas e tarefas na lista. Esta política
controla o estado de imposição das outras políticas.
3
Selecione as categorias de políticas que pretende substituir pelas políticas copiadas, depois clique
em OK.
Colar atribuições de política num sistema específico
Cole atribuições de política num sistema específico depois de copiar as atribuições de política de um
grupo ou sistema.
Tarefa
1
sistema.
Todos os sistemas pertencentes ao grupo selecionado são apresentados no painel de detalhes.
2
Selecione o sistema onde pretende colar as atribuições de política e depois clique em Ações | Agente
| Modificar políticas num único sistema.
Guia do produto
193
15
3
No painel de detalhes, clique em Ações | Colar atribuições.
Se o sistema já tiver políticas atribuídas para algumas categorias, é apresentada a página Substituir
as atribuições de política.
Ao colar as atribuições de política, é apresentada a política Impor políticas e tarefas na lista. Esta política
controla o estado de imposição das outras políticas.
4
Confirme a substituição de atribuições.
Use esta página para especificar se a política e os dados da tarefa cliente são removidos quando
elimina uma extensão de gestão do produto.
Tabela 15-1 Definições da opção
Opção
Definição
Política e retenção de Especifica se as políticas e os dados da tarefa cliente são removidos quando
tarefas
elimina uma extensão de gestão do produto. As opções incluem:
• Manter a política e os dados da tarefa cliente
• Remover a política e os dados da tarefa cliente — A predefinição remove a política e os
dados da tarefa cliente.
As regras de atribuição de política reduzem os custos gerais de gerir numerosas políticas para
utilizadores individuais ou sistemas que satisfazem determinados critérios, mantendo políticas mais
genéricas através da árvore de sistema.
Este nível de granularidade na atribuição de política limita as instâncias da herança interrompida na
árvore de sistema necessárias para adaptar as definições de política que os utilizadores particulares ou
sistemas exigem. As atribuições de política podem basear-se nos critérios específicos de utilizador ou
específicos de sistema.
194
•
Políticas baseadas no utilizador — Políticas que incluem pelo menos os critérios específicos de um
utilizador. Por exemplo, pode criar uma regra de atribuição de políticas que seja imposta para todos
os utilizadores no grupo Engenharia. Pode depois criar outra regra de atribuição de políticas para os
membros do departamento de TI para que eles possam iniciar sessão em qualquer computador na
rede de engenharia com os direitos de acesso que necessitam para a resolução de problemas num
sistema específico nessa rede. As políticas baseadas no utilizador podem também incluir critérios
baseados no sistema.
•
Políticas baseadas no sistema — Políticas que incluem apenas critérios baseados no sistema. Por
exemplo, pode criar uma regra de atribuição de políticas que seja imposta para todos os servidores
na rede baseada em etiquetas que aplicou ou para todos os sistemas numa localização específica
na árvore de sistema. As políticas baseadas no sistema não podem incluir critérios baseados no
utilizador.
Guia do produto
15
Prioridade da regra de atribuição de políticas
Pode dar-se prioridade às regras de atribuição de política para simplificar a manutenção da gestão de
atribuição de política. Ao definir a prioridade numa regra, é imposta antes das outras atribuições com
uma prioridade inferior.
Em alguns casos, o resultado pode ser que algumas definições da regra sejam substituídas. Por
exemplo, considere um utilizador ou sistema que está incluído em duas regras de atribuição de
política, regras A e B. A regra A tem nível 1 de prioridade e permite aos utilizadores incluídos acesso
sem restrições a conteúdos da Internet. A regra B tem nível 2 de prioridade e restringe fortemente o
acesso do mesmo utilizador a conteúdos da Internet. Neste cenário, a regra A é imposta porque tem
prioridade mais alta. Como resultado, o utilizador tem acesso sem restrições aos conteúdos da
Internet.
Como funcionam as políticas multiponto com prioridade da regra de atribuição de
políticas
A prioridade das regras não é tida em conta nas políticas multiponto. Quando uma regra única que
contém políticas multiponto da mesma categoria de produto é aplicada, todas as definições das
políticas multiponto são combinadas. Do mesmo modo, se regras múltiplas que contêm definições da
política multiponto forem aplicadas, todas as definições para cada política multiponto são combinadas.
Como resultado, a política aplicada é uma combinação das definições de cada regra individual.
Quando as políticas multiponto são agregadas, são agregadas apenas a políticas multiponto do mesmo
tipo: baseadas no utilizador ou no sistema. Contudo, as políticas multiponto atribuídas usando regras
de atribuição de política não são agregadas a políticas multiponto atribuídas na árvore de sistema. As
políticas multiponto atribuídas usando regras de atribuição de política substituem as políticas
atribuídas na árvore de sistema. Além disso, as políticas baseadas no utilizador têm prioridade sobre
as políticas baseadas no sistema. Considere o seguinte cenário em que:
Tipo de
política
Tipo de atribuição
Política genérica Política atribuída na
árvore de sistema
Nome da
política
Definições da política
A
Impede o acesso à Internet a partir de todos
os sistemas aos quais a política foi atribuída.
Baseada no
sistema
Regra de atribuição de B
políticas
Permite o acesso à Internet a partir de
sistemas com a etiqueta "IsLaptop"
("ÉPortátil").
Baseada no
utilizador
Regra de atribuição de C
políticas
Permite o acesso à Internet sem restrições a
todos os utilizadores do grupo de utilizadores
Administrador a partir de todos os sistemas.
Cenário: Utilizar políticas multiponto para controlar o acesso à Internet
Na árvore de sistema, existe um grupo chamado "Engineering" ("Engenharia") que consiste em
sistemas etiquetados com "IsServer" (ÉServidor) ou "IsLaptop" (ÉPortátil). Na árvore de sistema, a
política A é atribuída a todos os sistemas deste grupo. Atribuir a política B a qualquer localização na
árvore de sistema acima do grupo Engineering usando uma regra de atribuição de políticas, substitui
as definições da política A e permite aos sistemas etiquetados com "IsLaptop" aceder à Internet.
Atribuir a política C a qualquer grupo na árvore de sistema acima do grupo Engeneering permite aos
utilizadores do grupo de utilizadores Administrador aceder à Internet a partir de todos os sistemas,
incluindo os do grupo Engineering etiquetados com "IsServer."
Excluir objetos do Active Directory das políticas agregadas.
Pelo facto de as regras que consistem em políticas multiponto serem aplicadas a sistemas atribuídos
independente da prioridade, pode ser necessário impedir a agregação de definição de política em
algumas circunstâncias. Pode impedir a agregação de definições da política multiponto baseadas no
utilizador através de regras múltiplas de atribuição de política, excluindo um utilizador (ou outro
Guia do produto
195
15
objeto do Active Directory, como um grupo ou unidade organizacional) ao criar a regra. Para mais
informações sobre políticas multiponto que podem ser usadas nas regras de atribuição de política,
consulte a documentação de produto para o produto gerido que está a utilizar.
Acerca das atribuições de política baseadas no utilizador
As regras de atribuição de política baseadas no utilizador possibilitam a criação atribuições de política
específicas do utilizador.
Estas atribuições são impostas no sistema de destino quando um utilizador inicia sessão.
Num sistema gerido, o agente mantém um registo dos utilizadores que iniciam sessão na rede. As
atribuições de política que cria para cada utilizador são introduzidas no sistema onde iniciam sessão e
colocadas em cache durante cada comunicação entre o agente e o servidor. O McAfee ePO aplica as
políticas que atribuiu a cada utilizador.
Quando um utilizador inicia sessão pela primeira vez num sistema gerido, pode ocorrer um ligeiro
atraso enquanto o McAfee Agent contacta o seu servidor atribuído para as atribuições de política
específica a este utilizador. Durante este tempo, o utilizador tem apenas acesso à funcionalidade
permitida pela política predefinida do computador, que geralmente é a sua política mais segura.
Para utilizar as atribuições de política baseada no utilizador, registe e configure um servidor LDAP
registado para utilizar com o servidor McAfee ePO.
Acerca da migração das regras de atribuição de política legada
As regras de atribuição de política criadas utilizando uma versão 4.5 do servidor McAfee ePO eram,
por predefinição, baseadas no utilizador. Para as regras de atribuição de política legada com critérios
não baseados no utilizador especificados, as regras são avaliadas como baseadas no utilizador.
Contudo, ao criar uma nova regra de atribuição de políticas baseada no utilizador, especifique, pelo
menos, um critério baseado no utilizador.
Aplicar as regras de atribuição de política baseada no utilizador legadas migradas faz com que o
servidor McAfee ePO realize uma procura no servidor LDAP para todos os sistemas geridos na rede em
cada intervalo de comunicação entre o agente e o servidor.
Acerca das atribuições de política baseadas no sistema
As políticas baseadas no sistema permitem-lhe atribuir políticas a sistemas utilizando critérios
baseados no sistema.
É possível atribuir uma política baseada no sistema utilizando dois tipos de critérios baseados no
sistema:
•
Localização na árvore de sistema — Todas as regras de atribuição de política exigem que a
localização na Árvore de sistema seja especificada.
•
Etiquetas — Atribuir políticas a sistemas com base nas etiquetas que aplicou.
Assim que definir e aplicar uma etiqueta aos sistemas, é possível criar uma regra de atribuição de
políticas para atribuir políticas a qualquer sistema com essa etiqueta. Esta funcionalidade é útil nos
casos em que pretende que todos os sistemas de um determinado tipo tenham a mesma política de
segurança, independentemente da sua localização na Árvore de sistema.
196
Guia do produto
15
Utilizar etiquetas para atribuir políticas baseadas no sistema
Utilizar etiquetas para simplificar a atribuição automática de políticas.
As políticas baseadas no sistema que especificam etiquetas como critérios funcionam de forma
semelhante à das políticas baseadas no utilizador. São atribuídas com base em critérios de seleção
que definir utilizando o Criador de atribuições de políticas. A qualquer sistema que possa aplicar etiqueta,
também pode atribuir-lhe uma política baseada nessa etiqueta.
Cenário: Criar novos SuperAgents utilizando etiquetas
Decidiu criar um novo conjunto de SuperAgents no seu ambiente, mas não tem tempo para identificar
manualmente os sistemas na Árvore de sistema que irão alojar estes SuperAgents. Em vez disso, pode
utilizar o Criador de etiquetas para aplicar etiquetas a todos os sistemas que satisfaçam um conjunto
específico de critérios com uma nova etiqueta: "isSuperAgent." Quando tiver criado a etiqueta, pode
criar uma Regra de atribuição de políticas que aplique as definições do SuperAgent a cada sistema com
aplicação de etiqueta de "isSuperAgent."
Uma vez criada a etiqueta, pode utilizar a ação Executar critérios de etiquetas a partir da página Catálogo de
etiquetas e, assim que cada sistema com a nova etiqueta se apresentar ao servidor no seu intervalo
regular, é atribuída uma nova política baseada na Regra de atribuição de políticas de isSuperAgent.
Criar regras de atribuição de política
Criar regras de atribuição de política permite-lhe impor políticas em utilizadores ou sistemas com base
em critérios da regra configurados.
Tarefa
1
2
Abre o Criador de atribuições de políticas.
a
Clique em Menu | Política | Regras de atribuição de política.
b
Clique em Nova regra de atribuição.
Especifique os detalhes para esta regra de atribuição de políticas, incluindo:
•
Um Nome e Descrição exclusivos.
•
O Tipo de regra. O tipo de regra que especifica determina quais os critérios que estão disponíveis
na página Critérios de seleção.
Por predefinição, a prioridade para as novas regras de atribuição de política é atribuída
sequencialmente com base no número de regras existentes. Após ter criado a regra, pode editar a
prioridade ao clicar em Editar prioridade na página Regras de atribuição de política.
3
Clique em Seguinte.
4
Clique em Adicionar política para selecionar as políticas que pretende que sejam impostas por esta
regra de atribuição de políticas.
5
Clique em Seguinte.
6
Especifique os critérios que pretende utilizar nesta regra. Os critérios de seleção determinam os
sistemas ou utilizadores que são atribuídos a esta política.
7
Reveja o resumo e clique em Guardar.
Gerir regras de atribuição de política
Execute tarefas de gestão comuns quando trabalhar com regras de atribuição de política.
Guia do produto
197
15
Tarefa
1
Clique em Menu | Política | Regras de atribuição de política. Selecione a ação a realizar no menu Ações ou na
coluna Ações.
2
Selecione uma das seguintes ações:
Ação
Passos
Elimine uma regra de
atribuição de políticas
Clique em Eliminar na linha da atribuição selecionada.
Edite uma regra de
atribuição de políticas
Clique na atribuição selecionada. É aberto o assistente Criador de
atribuições de políticas. Trabalhe em cada página deste assistente para
modificar esta regra de atribuição de políticas.
Exporte regras de
atribuição de política
Clique em Exportar. Abre-se a página Transferir regras de atribuição de
política, onde pode ver ou transferir o ficheiro
PolicyAssignmentRules.xml.
Importe regras de
Clique em Importar. Abre-se a caixa de diálogo Regras de atribuição de
política, a partir da qual pode procurar um ficheiro
PolicyAssignmentRules.xml transferido anteriormente. Será solicitado
a escolher quais as regras incluídas no ficheiro a importar. Pode
selecionar que regras importar e, se todas as regras do ficheiro tiverem
o mesmo nome que as que já estão na lista de Regras de atribuição de política,
pode selecionar as que pretende manter.
Edite a prioridade da
regra de atribuição de
políticas
Clique em Editar prioridade. Abre-se a página Editar prioridade, onde pode
alterar a prioridade das regras de atribuição de políticas utilizando a
funcionalidade de arrastar e largar.
Veja o resumo de uma
regra de atribuição de
políticas
Clique em > na linha da atribuição selecionada.
Obtenha as políticas atribuídas a um sistema gerido ou as políticas interrompidas na hierarquia do
sistema.
Pode criar uma das seguintes consultas de gestão de políticas:
•
Políticas aplicadas — Obtém políticas atribuídas a determinados sistemas geridos.
•
Herança interrompida — Obtém informações sobre políticas que são interrompidas na hierarquia do
sistema.
Tarefa
1
Clique em Menu | Relatórios | Consultas e relatórios e depois clique em Ações | Novo.
É aberto o assistente Criador de consultas.
198
2
Na página Tipo de resultado, selecione Gestão de políticas a partir da lista Grupo de funcionalidades.
3
Selecione um destes tipos de resultado e depois clique em Seguinte para apresentar a página
Gráfico:
•
Tarefas cliente aplicadas
•
Políticas aplicadas
Guia do produto
4
•
Herança interrompida da atribuição de tarefas cliente
•
Herança interrompida da atribuição de políticas
15
Selecione o tipo de gráfico ou tabela para apresentar os resultados principais da consulta e depois
clique em Seguinte.
É apresentada a página Colunas.
Se selecionar Gráfico circular booleano, tem de configurar os critérios que pretende para incluir na
consulta.
5
Selecione as colunas a serem incluídas na consulta e depois clique em Seguinte.
É apresentada a página Filtro.
6
Selecione as propriedades para restringir os resultados da pesquisa e depois clique em Executar.
A página Consulta não guardada apresenta os resultados da consulta, que é acionável.
As propriedades selecionadas são apresentadas no painel de conteúdo com operadores que podem
especificar os critérios, que restringe os dados devolvidos para essa propriedade.
7
8
Na página Consulta não guardada, realize as ações disponíveis sobre os itens nas tabelas ou nas
tabelas aprofundadas.
•
Se a consulta não devolver os resultados esperados, clique em Editar consulta para voltar ao
Criador de consultas e editar os detalhes desta consulta.
•
Se não precisar de guardar a consulta, clique em Fechar.
•
Se pretender utilizar novamente esta consulta, clique em Guardar e continue para o passo
seguinte.
Na página Guardar consulta, introduza o nome da consulta, adicione quaisquer notas e selecione
um dos seguintes:
•
•
9
Novo grupo — Introduza o nome do novo grupo e selecione:
•
Grupo privado (Os meus grupos)
•
Grupo público (Grupos partilhados)
Grupo existente — Selecione o grupo a partir da lista de Grupos partilhados.
Clique em Guardar.
Veja informações detalhadas sobre as suas políticas, incluindo os proprietários, atribuições e herança
das políticas.
Guia do produto
199
15
Tarefas
•
Ver grupos e sistemas onde uma política está atribuída na página 200
Veja os grupos e os sistemas onde uma política está atribuída. Esta lista exibe apenas os
pontos da atribuição, não cada grupo ou sistema que herda a política.
•
Ver as definições da política na página 200
Veja os detalhes de uma política atribuída a uma categoria de produto ou sistema.
•
Ver a propriedade das políticas na página 201
Veja os proprietários de uma política.
•
Ver atribuições onde a imposição da política está desativada na página 201
Veja atribuições onde a imposição da política, por categoria de política, está desativada.
•
Ver políticas atribuídas a um grupo na página 201
Veja as políticas atribuídas a um grupo da Árvore de sistema, ordenadas por produto.
•
Ver políticas atribuídas a um sistema específico na página 201
Veja as políticas do produto atribuídas a um sistema na Árvore de sistema.
•
Ver a herança de política para um grupo na página 202
Veja a herança de política de um grupo específico.
•
Ver e repor a herança interrompida na página 202
Identifique os grupos e os sistemas nos quais a herança foi interrompida.
•
Comparar políticas na página 202
Compare políticas semelhantes utilizando a Comparação de políticas. Isto permite-lhe
determinar quais as definições que são diferentes e quais são iguais.
Ver grupos e sistemas onde uma política está atribuída
Veja os grupos e os sistemas onde uma política está atribuída. Esta lista exibe apenas os pontos da
atribuição, não cada grupo ou sistema que herda a política.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e selecione um produto e uma categoria.
2
Em Atribuições na linha da política, clique na ligação que indica o número de grupos ou sistemas para
os quais a política está atribuída (por exemplo 6 atribuições).
Na página Atribuições, cada grupo ou sistema onde a política está atribuída, é apresentado com o
seu nome do nó e tipo de nó.
Ver as definições da política
Veja os detalhes de uma política atribuída a uma categoria de produto ou sistema.
Tarefa
1
200
Guia do produto
2
15
Clique ao lado de uma política.
São apresentadas as páginas da política e as suas definições.
Também pode ver estas informações ao aceder as políticas atribuídas de um grupo específico. Para
aceder a esta informação, clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas e depois clique
na ligação da política selecionada na coluna Política.
Ver a propriedade das políticas
Veja os proprietários de uma política.
Tarefa
1
2
Os proprietários da política são apresentados em Proprietário.
Ver atribuições onde a imposição da política está desativada
Veja atribuições onde a imposição da política, por categoria de política, está desativada.
Tarefa
1
2
Clique na ligação junto de Estado de imposição para o produto, que indica o número de atribuições onde a
imposição está desativada, caso exista.
É apresentada a página Imposição para <nome da política>.
3
Clique em algum item da lista para passar à página das Políticas atribuídas.
Ver políticas atribuídas a um grupo
Veja as políticas atribuídas a um grupo da Árvore de sistema, ordenadas por produto.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas e depois selecione um grupo na Árvore
de sistema.
Todas as políticas atribuídas, organizadas por produto, são apresentadas no painel de detalhes.
2
Clique em qualquer política para ver as definições.
Ver políticas atribuídas a um sistema específico
Veja as políticas do produto atribuídas a um sistema na Árvore de sistema.
Tarefa
1
sistema.
Todos os sistemas pertencentes ao grupo são apresentados no painel de detalhes.
Guia do produto
201
15
2
Selecione o sistema e depois clique em Ações | Agente | Modificar políticas num único sistema.
3
Selecione o produto.
São apresentadas as políticas do produto atribuídas a este sistema.
4
Clique em qualquer política para ver as definições.
Ver a herança de política para um grupo
Veja a herança de política de um grupo específico.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas.
Todas as políticas atribuídas, organizadas por produto, são apresentadas no painel de detalhes.
2
A linha da política, em Herdar a partir de, apresenta o nome do grupo a partir do qual a política é
herdada.
Ver e repor a herança interrompida
Identifique os grupos e os sistemas nos quais a herança foi interrompida.
Tarefa
1
Clique em Menu | Sistemas | Árvore de sistema | Políticas atribuídas.
Todas as políticas atribuídas, organizadas por produto, são apresentadas no painel de detalhes. A
linha da política, em Herança interrompida, apresenta o número de grupos e de sistemas nos quais esta
herança de política foi interrompida.
Este é o número de grupos ou sistemas onde a herança de políticas está interrompida, não o
número de sistemas que não herdam as políticas. Por exemplo, se apenas um grupo não herdar a
política, isto é representado por 1 não herda, independente do número de sistemas dentro do grupo.
2
Clique na ligação a indicar o número de sistemas ou grupos secundários que tiveram a herança
interrompida.
A página Ver herança interrompida apresenta uma lista dos nomes destes grupos e sistemas.
3
Para repor a herança de qualquer destes, selecione a caixa de verificação junto do nome e depois
clique em Ações e selecione Repor herança.
Comparar políticas
Compare políticas semelhantes utilizando a Comparação de políticas. Isto permite-lhe determinar
quais as definições que são diferentes e quais são iguais.
Muitos dos valores e variáveis incluídos na página Comparação de políticas são específicos de cada um
dos produtos. Para definições de opções não incluídas na tabela, consulte a documentação do produto
que fornece a política que quer comparar.
Tarefa
1
Clique em Menu | Comparação de políticas e depois selecione um produto, categoria e definições Mostrar a
partir das listas.
Estas definições povoam as políticas a comparar nas listas da Política 1 e Política 2.
202
Guia do produto
2
15
Selecione as políticas a comparar na linha Comparar políticas nas listas da coluna Política 1 e Política 2.
As duas linhas de cima da tabela apresentam o número de definições que são diferentes e
idênticas. Também pode alterar a definição Mostrar, para reduzir os dados a apresentar, a partir de
Todas as definições de política para Diferenças de política e Correspondências de política.
3
Clique em Imprimir para abrir uma vista de impressão otimizada para esta comparação.
Os administradores utilizam a partilha de políticas para designarem políticas que sejam desenvolvidas
num servidor, para serem transmitidas a outros servidores para implementação.
Os administradores só precisam de realizar três passos para partilhar políticas entre servidores.
1
Designar a política para partilha.
2
Registar os servidores que irão partilhar a política.
3
Agendar uma tarefa do servidor para distribuir a política partilhada.
Configure a partilha de política para utilizar com vários servidores McAfee ePO. A McAfee recomenda a
conclusão destas tarefas na sequência listada aqui.
Se a política precisar de ser modificada após ter sido partilhada, edite a política e execute novamente a
tarefa de políticas partilhadas. Pode ser aconselhável informar os administradores locais da alteração.
Tarefas
•
Registar servidores para partilha de políticas na página 203
Servidores registados a partilhar uma política.
•
Designar políticas para partilha na página 204
Pode designar uma política para partilha entre vários servidores McAfee ePO.
•
Agendar tarefas do servidor para partilhar políticas na página 204
Pode agendar uma tarefa do servidor de forma a partilhar políticas entre vários servidores
McAfee ePO.
Registar servidores para partilha de políticas
Servidores registados a partilhar uma política.
Tarefa
1
Clique em Menu | Configuração | Servidores registados e depois clique em Novo servidor. Abre-se o assistente
Criador de servidores registados na página Descrição.
2
No menu Tipo de servidor, selecione ePO, especifique um nome e eventuais notas e depois clique em
Seguinte. É apresentada a página Detalhes.
3
Especifique alguns detalhes para o servidor e clique em Ativar no campo Partilha de políticas e depois
clique em Guardar.
Guia do produto
203
15
Designar políticas para partilha
Pode designar uma política para partilha entre vários servidores McAfee ePO.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e depois clique no menu Produto e selecione o produto
cuja política deseja partilhar.
2
Na coluna Ações para a política a ser partilhada, clique em Partilhar.
A instalação das políticas partilhadas é automaticamente forçada nos servidores McAfee ePO que
tenham a partilha de políticas ativada. Ao clicar em Partilhar no passo 2, a instalação da política é
imediatamente forçada em todos os servidores registados McAfee ePO que têm a partilha de políticas
ativada. As alterações nas políticas partilhadas são igualmente instaladas.
Agendar tarefas do servidor para partilhar políticas
Pode agendar uma tarefa do servidor de forma a partilhar políticas entre vários servidores McAfee
ePO.
Tarefa
1
Clique em Menu | Automatização | Tarefas do servidor e depois clique em Ações | Nova tarefa. Abre-se o
assistente Criador de tarefas de servidor.
2
Na página Descrição, especifique o nome da tarefa e quaisquer notas e depois clique em Seguinte. É
apresentada a página Ações.
As novas tarefas do servidor são agendadas por predefinição. Se não pretender que esta tarefa seja
ativada, selecione Desativado no campo Estado da agenda.
204
3
No menu pendente Ações, selecione Partilhar políticas e depois clique em Seguinte. É apresentada a
página Agenda.
4
Especifique a agenda para esta tarefa e depois clique em Seguinte. É apresentada a página Resumo.
5
Reveja os detalhes do resumo e depois clique em Guardar.
Guia do produto
16
Tarefas cliente
Crie e agente tarefas cliente para automatizar a forma como gere os sistemas da sua rede.
Os ficheiros da extensão instalados no servidor McAfee ePO determinam quais as tarefas cliente que
estão disponíveis.
As tarefas cliente são normalmente utilizadas nas seguintes atividades.
•
•
Funcionalidade do produto (por exemplo, a tarefa de análise a pedido do VirusScan Enterprise)
•
Atualizações
Para mais informações acerca das tarefas cliente que estão disponíveis e sobre o que podem fazer
para ajudá-lo, consulte a documentação de produto dos produtos geridos.
Conteúdo
Como funciona o Catálogo de tarefas de cliente
Tarefas de implementação
Utilizar a tarefa Implementação de produtos para implementar produtos nos sistemas geridos
Tarefas de atualização
Gerir tarefas cliente
Como funciona o Catálogo de tarefas de cliente
Utilize o Catálogo de tarefas de cliente para criar objetos da tarefa cliente que pode reutilizar para
ajudar a gerir os sistemas na sua rede.
O Catálogo de tarefas de cliente aplica o conceito de objetos lógicos às tarefas cliente do ePolicy
Orchestrator. Pode criar objetos da tarefa cliente para uma variedade de finalidades sem a
necessidade de os atribuir imediatamente. Como resultado, pode tratar estes objetos como
componentes reutilizáveis quando atribuir e agendar tarefas cliente.
As tarefas cliente podem ser atribuídas em qualquer nível da Árvore de sistema e são herdadas por
grupos e sistemas mais baixos na árvore. Tal como acontece com as políticas e com as atribuições de
políticas, pode interromper a herança para uma tarefa cliente atribuída.
Os objetos da tarefa cliente podem ser partilhados através de vários servidores registados do McAfee
ePO no seu ambiente. Quando os objetos da tarefa cliente são definidos para serem partilhados, cada
servidor registado recebe uma cópia após executar a tarefa do servidor Partilhar tarefa cliente. Quaisquer
alterações feitas à tarefa são atualizadas sempre que são executadas. Quando um objeto de tarefa
cliente é partilhado, apenas o proprietário do objeto pode modificar as suas definições.
Os administradores no servidor de destino que recebam uma tarefa partilhada não são proprietários
dessa tarefa partilhada. Nenhum dos utilizadores no servidor de destino é proprietário de quaisquer
objetos de tarefa cliente partilhados que o destino recebe.
Guia do produto
205
16
Tarefas cliente
As tarefas de implementação são tarefas cliente utilizadas para implementar produtos de segurança
geridos nos sistemas geridos a partir do Repositório principal.
Pode criar e gerir objetos de tarefa de implementação individuais utilizando o catálogo de tarefas de
cliente, atribuindo-as em seguida para serem executadas em grupos ou sistemas individuais. Em
alternativa, pode criar projetos de Implementação do produto para implementar produtos nos sistemas. Os
projetos de Implementação do produto automatizam o processo de criação e programação individual de
objetos de tarefas cliente. Proporcionam, também, funcionalidades de gestão automatizada adicionais.
Considerações importantes
Ao decidir como processar a Implementação do produto, tenha em consideração o seguinte:
•
Tamanho do pacote e largura de banda disponível entre o Repositório principal e sistemas geridos. Para
além de, potencialmente, sobrecarregar o servidor McAfee ePO ou a rede, a implementação de
produtos em muitos sistemas pode dificultar a resolução de problemas.
•
Considere um lançamento faseado para instalar produtos em grupos de sistemas de cada vez. Se
as ligações da rede forem rápidas, tente implementar várias centenas de clientes de uma só vez.
Se possuir ligações de rede menos fiáveis ou mais lentas, tente grupos mais pequenos. À medida
que implementa cada grupo, monitorize a implementação, execute relatórios para confirmar as
instalações com êxito e resolva quaisquer problemas com os sistemas individuais.
Implementar produtos em sistemas selecionados
Se estiver a implementar componentes ou produtos da McAfee que estão instalados numa sub-rede
dos sistemas geridos:
1
Utilize uma etiqueta para identificar estes sistemas.
2
Mova os sistemas etiquetados para um grupo.
3
Configure uma tarefa cliente de Implementação do produto para o grupo.
Implementação de pacotes para produtos e atualizações
A infraestrutura de implementação de software do ePolicy Orchestrator suporta a implementação de
produtos e componentes, bem como a atualização de ambos.
Cada produto McAfee que o ePolicy Orchestrator pode implementar disponibiliza um ficheiro zip do
pacote de implementação do produto. O ficheiro zip contém os ficheiros de instalação do produto, que
estão compactados num formato seguro. O ePolicy Orchestrator pode implementar estes pacotes em
qualquer um dos sistemas geridos, depois de o registo de entrada ser efetuado no repositório
principal.
Estes ficheiros zip são utilizados para os pacotes de atualização da definição de deteção (DAT) e do
motor.
Pode configurar as definições da política do produto antes ou depois da implementação. A McAfee
recomenda a configuração das definições da política antes de implementar o produto nos sistemas da
rede. Isso poupa tempo e assegura que os sistemas sejam protegidos logo que possível.
Estes tipos de pacote podem ter o registo de entrada efetuado no repositório principal com tarefas de
extração ou manualmente.
206
Guia do produto
Tarefas cliente
16
Tipos de pacote suportados
Tipo de pacote
Descrição
Origem
Ficheiros SuperDAT
(SDAT.exe)
Os ficheiros SuperDAT contêm os
ficheiros DAT e de motor num único
pacote de atualização. Se a largura de
banda for um problema, a McAfee
recomenda a atualização dos ficheiros
DAT e do motor separadamente.
Web site da McAfee. Transfira e
registe a entrada dos ficheiros
SuperDAT manualmente no
Os ficheiros ExtraDAT tratam de uma ou
mais ameaças específicas que
apareceram desde que o último ficheiro
DAT foi publicado. Se a ameaça for de
alta gravidade, distribua imediatamente
o ExtraDAT, em vez de esperar até que a
assinatura seja adicionada ao ficheiro
DAT seguinte. Os ficheiros ExtraDAT
encontram-se no Web site da McAfee.
Pode distribuí-los pelo ePolicy
Orchestrator. As tarefas de extração não
obtêm os ficheiros ExtraDAT.
Web site da McAfee. Transfira e
registe a entrada dos ficheiros
DAT suplementares
manualmente no repositório
principal.
Tipo de ficheiro:
SDAT.exe
Ficheiros de definição
de deteção
suplementares
(ExtraDAT)
Tipo de ficheiro:
ExtraDAT
Implementação do
produto e atualizações
do pacote
Tipo de ficheiro: zip
Pacotes de idiomas do
agente
Tipo de ficheiro: zip
Um pacote de implementação do
CD do produto ou ficheiro zip do
produto contém o software de instalação produto transferido. Transfira e
de um produto McAfee.
registe a entrada dos pacotes de
implementação do produto
principal. Para localizações
específicas, consulte a
documentação desse produto.
Um pacote de idiomas do agente contém Repositório principal — Registo
os ficheiros necessários para apresentar de entrada efetuado aquando da
as informações num idioma local.
instalação. Nas futuras versões
do agente, terá de efectuar o
registo de entrada dos pacotes
de idiomas do agente
principal.
Assinatura e segurança do pacote
Todos os pacotes criados e distribuídos pela McAfee são assinados com um par de chaves usando o
sistema de verificação da assinatura DSA (Algoritmo de Assinatura Digital) e são encriptados
utilizando a encriptação 3DES de 168 bits. É utilizada uma chave para encriptar ou desencriptar dados
sensíveis.
Será notificado quando efetuar o registo de entrada dos pacotes que não são assinados pela McAfee.
Se tiver a certeza do conteúdo e validade do pacote, prossiga com o processo de registo de entrada.
Estes pacotes são assegurados da mesma forma descrita acima, mas são assinados pelo ePolicy
Orchestrator quando lhes é efetuado o registo de entrada.
As assinaturas digitais garantem que os pacotes têm origem na McAfee ou o seu registo de entrada foi
efetuado por si e que não foram adulterados ou corrompidos. O agente confia apenas nos ficheiros de
pacotes assinados pelo ePolicy Orchestrator ou pela McAfee. Isto protege a rede de receber pacotes de
origens não assinadas ou não fidedignas.
Ordenação de pacotes e dependências
Se uma atualização de produto estiver dependente de outra, terá de efetuar o registo de entrada dos
pacotes de atualizações no repositório principal, pela ordem exigida. Por exemplo, se o Patch 2 exigir
o Patch 1, tem de efetuar o registo do Patch 1 antes do Patch 2. Os pacotes não podem ser
Guia do produto
207
16
Tarefas cliente
reordenados depois de lhes ter sido efetuado o registo de entrada. Tem de os remover e efetuar-lhes
novamente o registo de entrada, pela ordem correta. Se efetuar o registo de entrada de um pacote
que substitui um pacote existente, o pacote existente é removido automaticamente.
Implementação do produto e atualização
A infraestrutura de repositório McAfee ePO permite-lhe implementar pacotes de produtos e
atualizações nos sistemas geridos a partir de uma localização central. Embora seja utilizado o mesmo
repositório, há diferenças.
Implementação do produto versus pacotes de atualização
Pacotes de implementação do produto
Pacotes de atualização
Tem de efetuar o registo de entrada
manualmente no repositório principal.
Os pacotes de atualização de ficheiro DAT e de motor
podem ser copiados automaticamente de um site de
origem com uma tarefa de extração. Todos os outros
pacotes de atualização devem ter o registo de entrada
efetuado manualmente no repositório principal.
Podem ser replicados para o repositório
principal e instalados automaticamente nos
sistemas geridos utilizando uma tarefa de
implementação.
Podem ser replicados para o repositório principal e
instalados automaticamente nos sistemas geridos com
a atualização global.
Se não implementar a atualização global
para implementação do produto, deve ser
configurada e agendada uma tarefa de
implementação para que os sistemas
geridos obtenham o pacote.
Se não implementar a atualização global para
atualização do produto, deve ser configurada e
agendada uma tarefa cliente para que os sistemas
geridos obtenham o pacote.
Processo de atualização e implementação do produto
Siga este processo de alto nível para distribuir pacotes de atualização do ficheiro DAT e do motor.
1
Efetue o registo de entrada do pacote de atualização no repositório principal com uma tarefa de
extração ou manualmente.
2
Execute uma das seguintes opções:
•
Se estiver a usar a atualização global, crie e agende uma tarefa de atualização para sistemas
portáteis que deixam a rede.
•
Se não estiver a usar a atualização global, execute as seguintes tarefas.
1
Use uma tarefa de replicação para copiar os conteúdos do repositório principal.
2
Crie e agende uma tarefa de atualização para os agentes obterem e instalarem a atualização
nos sistemas geridos.
Configurar implementações de produtos e atualizações pela
primeira vez
Siga este processo para garantir que as implementações do produto e da atualização são concluídas
com êxito.
Quando implementar produtos pela primeira vez:
208
1
Configure as tarefas do servidor para extração e replicação de repositórios.
2
Efetue o registo de entrada do produto e atualize os pacotes para o repositório principal utilizando
o Gestor de software.
3
Configure a implementação do produto e atualize as tarefas cliente.
Guia do produto
Tarefas cliente
16
Etiquetas de implementação
Quando uma tarefa de implementação é criada, uma etiqueta com o nome da tarefa é
automaticamente criada e aplicada aos sistemas nos quais a tarefa é imposta.
Estas etiquetas são adicionadas ao grupo Etiquetas de implementação na página Catálogo de etiquetas sempre
que uma tarefa de implementação é criada e imposta nos sistemas. Este grupo é só de leitura e as
etiquetas deste grupo não podem ser aplicadas manualmente nem modificadas, eliminadas ou usadas
numa configuração de critérios para filtrar sistemas.
Utilizar a tarefa Implementação de produtos para implementar
produtos nos sistemas geridos
Implemente produtos nos sistemas geridos com a tarefa de implementação de produtos do cliente.
Pode criar esta tarefa para um único sistema ou para grupos da Árvore de sistema.
Tarefas
•
Configurar uma tarefa de implementação para grupos de sistemas geridos na página 209
Configure uma tarefa de implementação de produtos para implementar produtos nos
grupos de sistemas geridos na Árvore de sistema.
•
Configure uma tarefa de implementação para instalar produtos num sistema gerido na
página 210
Implemente produtos num único sistema utilizando uma tarefa de implementação de
produtos.
Configurar uma tarefa de implementação para grupos de
sistemas geridos
Configure uma tarefa de implementação de produtos para implementar produtos nos grupos de
sistemas geridos na Árvore de sistema.
Tarefa
1
Abra a caixa de diálogo Nova tarefa.
a
Clique em Menu | Política | Catálogo de tarefas de cliente.
b
Em Tipos de tarefa cliente, selecione McAfee Agent | Implementação do produto.
c
Clique em Nova tarefa.
2
Certifique-se de que Implementação do produto está selecionada e depois clique em OK.
3
Introduza um nome para a tarefa que está a criar e adicione notas.
4
Ao lado de Plataformas de destino, selecione os tipos de plataforma para utilizar na implementação.
Guia do produto
209
16
Tarefas cliente
5
Ao lado de Produtos e componentes defina o seguinte:
•
Selecione um produto a partir da primeira lista pendente. Os produtos listados são produtos
cujo registo de entrada já foi efetuado no Repositório principal. Se não vir o produto que pretende
implementar listado aqui, efetue primeiro o registo de entrada do pacote do produto.
•
Defina a Ação para Instalar, depois selecione o Idioma do pacote e o Ramo.
•
No campo de texto Linha de comandos especifique quaisquer opções de instalação de linha de
comandos. Consulte a documentação de produto para obter informações sobre as opções da
linha de comandos do produto que está a instalar.
Pode clicar em + ou – para adicionar ou remover produtos e componentes da lista apresentada.
6
Ao lado de Opções, selecione se pretende executar esta tarefa para cada processo de imposição da
política (apenas Windows) e clique em Guardar.
7
Clique em Menu | Sistemas | Árvore de sistema | Tarefas cliente atribuídas e depois selecione o grupo
pretendido na Árvore de sistema.
8
Selecione o filtro Predefinir como Implementação do produto (McAfee Agent).
Cada tarefa cliente atribuída por categoria selecionada é apresentada no painel de detalhes.
9
Clique em Ações | Nova atribuição de tarefas de cliente.
10 Na página Selecionar tarefa, selecione Produto como McAfee Agent e Tipo de tarefa como Implementação do produto
e depois selecione a tarefa que criou para implementar o produto.
11 Junto a Etiquetas, selecione as plataformas pretendidas para as quais está a implementar os pacotes
e depois clique em Seguinte:
•
Enviar esta tarefa a todos os computadores
•
Enviar esta tarefa apenas aos computadores que têm os seguintes critérios — Clique em editar ao lado dos
critérios a configurar, selecione o grupo de etiquetas, selecione as etiquetas a usar nos critérios
e depois clique em OK.
de Etiquetas.
12 Na página Agenda, selecione se a agenda está ativada e especifique os detalhes da agenda, depois
clique em Seguinte.
13 Reveja o resumo e depois clique em Guardar.
Configure uma tarefa de implementação para instalar produtos
num sistema gerido
Implemente produtos num único sistema utilizando uma tarefa de implementação de produtos.
Crie uma tarefa cliente de implementação do produto para um único sistema quando esse sistema
exigir:
•
Um produto instalado de que os outros sistemas dentro do mesmo grupo não necessitam.
•
Uma agenda diferente em relação à dos outros sistemas no grupo. Por exemplo, se um sistema
está localizado num fuso horário diferente em relação ao dos seus pontos.
210
Guia do produto
Tarefas cliente
16
Tarefa
1
a
b
c
2
Certifique-se de que Implementação do produto está selecionada e depois clique em OK.
3
4
Ao lado de Plataformas de destino, selecione os tipos de plataforma para utilizar na implementação.
5
Ao lado de Produtos e componentes defina o seguinte:
•
Selecione um produto a partir da primeira lista pendente. Os produtos listados são os produtos
para os quais já efetuou o registo de entrada do pacote no Repositório principal. Se não vir o
produto que pretende implementar listado aqui, efetue primeiro o registo de entrada do pacote
do produto.
•
Defina a Ação para Instalar, depois selecione o Idioma do pacote e o Ramo.
•
Para especificar as opções de instalação da linha de comandos, introduza as opções da linha de
comandos no campo de texto Linha de comandos. Consulte a documentação de produto para obter
informações sobre as opções da linha de comandos do produto que está a instalar.
Pode clicar em + ou – para adicionar ou remover produtos e componentes da lista apresentada.
6
Ao lado de Opções, selecione se pretende executar esta tarefa para cada processo de imposição da
política (apenas Windows) e clique em Guardar.
7
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e, em seguida, selecione o sistema no qual
pretende implementar um produto e depois clique em Ações | Agente | Modificar tarefas num único sistema.
8
9
Na página Selecionar tarefa, selecione Produto como McAfee Agent e Tipo de tarefa como Implementação do produto
e depois selecione a tarefa que criou para implementar o produto.
10 Junto a Etiquetas, selecione as plataformas para as quais está a implementar os pacotes e depois
clique em Seguinte:
•
•
clique em Seguinte.
Guia do produto
211
16
Tarefas cliente
Se não utilizar a atualização global, determine quando é que os agentes dos sistemas geridos
procuram atualizações.
Pode criar e configurar tarefas cliente de atualização para controlar quando e como os sistemas
geridos devem receber os pacotes de atualização. Se não estiver a utilizar a atualização global, criar
estas tarefas é a única forma de poder controlar a atualização de cliente com o software do ePolicy
Orchestrator.
Se usar a atualização global, esta tarefa não é necessária, embora possa criar uma tarefa diária por
motivos de redundância.
Considerações sobre quando criar tarefas cliente de atualização
Considere o seguinte ao agendar tarefas de atualização de cliente:
•
Crie uma tarefa cliente de atualização diária no nível mais elevado da Árvore de sistema, de modo
a que todos os sistemas herdem a tarefa. Se a organização for grande, pode utilizar intervalos de
aleatoriedade para mitigar o impacto na largura de banda. Do mesmo modo, para redes grandes
com escritórios em diferentes fusos horários, ajudam a balancear a carga da rede executando a
tarefa na hora do sistema local no sistema gerido, em vez de ser ao mesmo tempo para todos os
sistemas.
•
Se estiver a usar tarefas de replicação agendadas, agende a tarefa com pelo menos uma hora de
antecedência após a tarefa de replicação.
•
Execute tarefas de atualização para os ficheiros DAT e do motor, pelo menos, uma vez por dia. Os
sistemas geridos podem ter terminado a sessão a partir da rede e perdido a tarefa agendada.
Executar a tarefa frequentemente assegura que estes sistemas recebam a atualização.
•
Maximize a eficiência da largura de banda e crie várias tarefas cliente agendadas que atualizem
componentes separados e sejam executadas em horários diferentes. Por exemplo, pode criar uma
tarefa para atualizar apenas ficheiros DAT e depois criar outra para atualizar os ficheiros DAT e do
motor semanal ou mensalmente (os pacotes do motor são lançados com menos frequência).
•
Crie e agende tarefas adicionais para atualizar produtos que não utilizam o agente para o Windows.
•
Crie uma tarefa para atualizar as principais aplicações da estação de trabalho, para garantir que
todas elas recebam os ficheiros atualizados. Agende-a para ser executada diariamente ou várias
vezes por dia.
Atualizar sistemas geridos regularmente com uma tarefa de
atualização agendada
Crie e configure tarefas de atualização. Se usar a atualização global, recomendamos a utilização de
uma tarefa cliente de atualização diária para garantir que os sistemas estão atualizados com os
ficheiros DAT e motor mais recentes.
Tarefa
1
212
a
b
c
2
Verifique se a Atualização do produto está selecionada e, em seguida, clique em OK.
3
Guia do produto
Tarefas cliente
16
4
Junto à Caixa de diálogo Atualização em curso selecione se pretende que os utilizadores tenham
conhecimento que está uma atualização em curso e se pretende autorizá-los a adiar o processo.
5
Junto a Tipos de pacote selecione um destes e, em seguida, clique em Guardar:
•
Todos os pacotes
•
Pacotes selecionados — Se selecionado, é necessário configurar qual dos seguintes deve ser
incluído:
•
Assinaturas e motores
Ao configurar motores e assinaturas individuais, se selecionar Motor e anular a seleção do DAT
quando o novo motor é atualizado, é automaticamente atualizado um novo DAT para garantir
uma proteção total.
•
Patches e service packs
6
Clique em Menu | Sistemas | Árvore de sistema | Sistemas e, em seguida, selecione o sistema no qual
pretende implementar um produto e depois clique em Ações | Agente | Modificar tarefas num único sistema.
7
8
Na página Selecionar tarefa, faça as seguintes seleções:
Opção
Seleção
Produto
McAfee Agent
Tipo de tarefa
Depois, selecione a tarefa que criou para implementar a atualização do produto.
9
Junto a Etiquetas, selecione as plataformas pretendidas para as quais está a implementar os pacotes
e depois clique em Seguinte:
•
•
clique em Seguinte.
A tarefa é adicionada à lista das tarefas cliente para os grupos e sistemas aos quais é aplicada. Os
agentes recebem as novas informações da tarefa de atualização na próxima vez que comunicarem
com o servidor. Se a tarefa estiver ativada, a tarefa de atualização é executada na próxima ocorrência
do dia e hora agendados.
Cada sistema é atualizado a partir do repositório adequado, dependendo do modo como estão
configuradas as políticas para esse agente do cliente.
Confirmar se os clientes estão a utilizar os ficheiros DAT mais
recentes
Verifique a versão dos ficheiros DAT nos sistemas geridos utilizando as Consultas.
Guia do produto
213
16
Tarefas cliente
•
Clique em Menu | Relatórios | Consultas e selecione VSE: Implementação DAT na lista Consultas e depois
clique em Ações | Executar.
Consulte a documentação do VirusScan Enterprise para mais informações sobre esta consulta.
Avaliar novos DATs e motores antes da distribuição
Pode querer testar os ficheiros DAT e motor em alguns sistemas antes de os implementar em toda a
organização. Pode testar pacotes de atualização utilizando o ramo Avaliação do Repositório principal.
O software do ePolicy Orchestrator oferece três ramos de repositórios para esta finalidade.
Tarefa
1
Crie uma tarefa de extração de repositório agendada que copie os pacotes de atualização no ramo
Avaliação do Repositório principal. Agende-a para ser executada depois de a McAfee lançar ficheiros
DAT atualizados.
2
Crie ou selecione um grupo na Árvore de sistema para servir como um grupo de avaliação e crie
uma política do McAfee Agent para que os sistemas utilizem apenas o ramo Avaliação (na secção
Seleção de atualização do ramo de repositório do separador Atualizações).
As políticas entram em vigor da próxima vez que o McAfee Agent se apresentar ao servidor. Da
próxima vez que o agente for atualizado, obtém-nas a partir do ramo Avaliação.
3
Crie uma tarefa cliente de atualização agendada para os sistemas de avaliação que atualizam os
ficheiros DAT e motor a partir do ramo Avaliação do repositório. Agende-a para ser executada uma
ou duas horas depois da tarefa de extração de repositório estar agendada para começar.
A tarefa de atualização da avaliação criada a nível do grupo de avaliação faz com que seja
executada apenas para esse grupo.
4
Monitorize os sistemas no grupo de avaliação até ficar satisfeito.
5
Mova os pacotes do ramo Avaliação para o ramo Atual do repositório principal. Clique em Menu |
Software | Repositório principal para abrir a página Repositório principal.
Adicioná-los ao ramo Atual faz com que fiquem disponíveis para o ambiente de produção. Da
próxima vez que alguma tarefa cliente de atualização for executada que obtenha os pacotes a
partir do ramo Atual, os novos ficheiros DAT e motor serão distribuídos aos sistemas que utilizam a
tarefa.
Crie e mantenha tarefas cliente.
214
Guia do produto
Tarefas cliente
16
Tarefas
•
Criar tarefas cliente na página 215
Utilize as tarefas cliente para implementar automaticamente software de produtos, realizar
atualizações de produtos e muito mais. O processo é semelhante para todas as tarefas
cliente.
•
Editar tarefas cliente na página 215
Pode editar definições de tarefas cliente configuradas anteriormente ou programar
informações.
•
Eliminar tarefas cliente na página 216
Pode eliminar quaisquer tarefas cliente anteriormente configuradas.
•
Comparar tarefas cliente na página 216
Compare tarefas cliente semelhantes utilizando a ferramenta Comparação de tarefa cliente. Isto
permite-lhe determinar quais as definições que são diferentes e quais são iguais.
Criar tarefas cliente
Utilize as tarefas cliente para implementar automaticamente software de produtos, realizar
atualizações de produtos e muito mais. O processo é semelhante para todas as tarefas cliente.
Em alguns casos, terá de criar uma nova atribuição de tarefa cliente para associar uma tarefa cliente a
um grupo da Árvore de sistema.
Tarefa
1
2
a
b
c
Selecione um tipo de tarefa da lista, clique em OK e é aberto o assistente Criador de tarefa cliente.
Por exemplo, selecione Atualização do produto.
3
Introduza um nome para a tarefa que está a criar, adicione uma descrição e, em seguida, configure
as definições específicas do tipo de tarefa que está a criar.
As opções de configuração mudam conforme o tipo de tarefa selecionado.
4
Reveja as definições da tarefa e depois clique em Guardar.
A tarefa é adicionada à lista de tarefas cliente do tipo de tarefa cliente selecionada.
Editar tarefas cliente
Pode editar definições de tarefas cliente configuradas anteriormente ou programar informações.
Tarefa
1
Clique em Menu | Política | Catálogo de tarefas de cliente e é apresentada a caixa de diálogo Catálogo de
tarefas de cliente.
2
Selecione o Tipo de tarefa cliente a partir da árvore de navegação à esquerda e as tarefas cliente
disponíveis surgem na janela à direita.
Guia do produto
215
16
Tarefas cliente
3
Faça duplo clique no nome da tarefa cliente e aparece na caixa de diálogo Catálogo de tarefas de
cliente.
4
Edite as definições da tarefa conforme necessário e depois clique em Guardar.
Os sistemas geridos recebem estas mensagens da próxima vez que os agentes comunicarem com o
servidor.
Eliminar tarefas cliente
Pode eliminar quaisquer tarefas cliente anteriormente configuradas.
Tarefa
1
Clique em Menu | Política | Catálogo de tarefas de cliente e é apresentada a caixa de diálogo Catálogo de tarefas
de cliente.
2
Selecione o Tipo de tarefa clientee a partir da árvore de navegação à esquerda e as tarefas cliente
disponíveis surgem na janela à direita.
3
A partir da coluna Ações, clique em Eliminar ao lado da tarefa cliente.
4
Clique em OK.
Comparar tarefas cliente
Compare tarefas cliente semelhantes utilizando a ferramenta Comparação de tarefa cliente. Isto permite-lhe
determinar quais as definições que são diferentes e quais são iguais.
Muitos dos valores e variáveis incluídos nesta página são específicos de cada um dos produtos. Para
definições de opções não incluídas na tabela, consulte a documentação do produto que fornece a
Tarefa cliente que quer comparar.
Tarefa
1
Clique em Menu | Comparação de tarefa cliente e, em seguida, selecione um Produto, Tipo de tarefa cliente e as
definições Mostrar a partir das listas.
Estas definições povoam as tarefas cliente para comparar as listas da Tarefa cliente 1 e Tarefa cliente 2.
2
Selecione as tarefas cliente a comparar na linha Comparar tarefas cliente a partir das listas da coluna da
Tarefa cliente 1 e Tarefa cliente 2.
As duas linhas de cima da tabela apresentam o número de definições que são diferentes e
idênticas. Para reduzir os dados apresentados, também pode alterar a definição Mostrar a partir de
Todas as definições da tarefa cliente para Diferenças da tarefa cliente e Correspondências da tarefa cliente.
3
216
Clique em Imprimir para abrir uma vista otimizada para impressora.
Guia do produto
17
Tarefas do servidor
As tarefas do servidor são ações configuráveis que são executadas no servidor do McAfee ePO
segundo uma agenda. Pode tirar partido das tarefas do servidor para automatizar as tarefas do
servidor repetitivas que têm de ser realizadas no seu servidor.
O software ePolicy Orchestrator inclui tarefas do servidor pré-configuradas por predefinição. A maior
parte dos produtos de software adicionais que gere com o servidor do McAfee ePO também adicionam
tarefas do servidor pré-configuradas.
Conteúdo
Implementar automaticamente pacotes de atualização com a atualização global
Tarefas de extração
Tarefas de replicação
Seleção de repositório
Sintaxe Cron aceite ao agendar uma tarefa do servidor
Ver informações sobre a tarefa do servidor no registo de tarefas de servidor
Configurar o Product Improvement Program
Desinstalar o McAfee Product Improvement Program
A atualização global automatiza a replicação para os repositórios distribuídos e mantém os sistemas
geridos atualizados. A replicação e as tarefas de atualização não são necessárias. A verificação de
conteúdos no repositório principal inicia a atualização global. O processo completo termina dentro de
uma hora na maior parte dos ambientes.
Adicionalmente, pode especificar que pacotes e atualizações iniciam uma atualização global. No
entanto, quando especifica apenas que certo conteúdo inicia uma atualização global, assegure-se de
que cria uma tarefa de replicação para distribuir o conteúdo que não foi selecionado para iniciar uma
atualização global.
Ao utilizar a atualização global, a McAfee recomenda o agendamento de uma tarefa de extração regular
(para atualizar o Repositório principal) de cada vez quando o tráfego da rede é mínimo. Apesar de a
atualização global ser muito mais rápida do que outros métodos, ela aumenta o tráfego de rede durante
a atualização.
Processo de atualização global
1
O registo de entrada dos conteúdos é efetuado no repositório principal.
2
O servidor realiza uma replicação incremental para todos os repositórios distribuídos.
3
O servidor emite uma chamada de ativação do SuperAgent para todos os SuperAgents no
ambiente.
Guia do produto
217
17
Tarefas do servidor
Implementar automaticamente pacotes de atualização com a atualização global
4
O SuperAgent difunde uma mensagem de atualização global para todos os agentes na sub-rede do
SuperAgent.
5
Ao receber a difusão, fornece-se ao agente uma versão mínima do catálogo necessária para a
atualização.
6
O agente pesquisa nos repositórios distribuídos um site que possua a versão mínima do catálogo.
7
Ao encontrar um repositório adequado, o agente executa a tarefa de atualização.
Se, por qualquer razão, o agente não receber a difusão, como acontece quando o computador cliente
está desligado ou não existem SuperAgents no ASCI seguinte, é fornecida a versão mínima do
catálogo que inicia o processo.
Se o agente receber uma notificação de um SuperAgent, é fornecida ao agente a lista dos pacotes de
atualização. Se o agente encontrar a nova versão do catálogo no ASCI seguinte, não lhe é fornecida a
lista dos pacotes para a atualização e por isso atualiza todos os pacotes disponíveis.
Requisitos
Estes requisitos devem ser cumpridos para implementar a atualização global.
•
Um SuperAgent tem de utilizar a mesma chave de comunicação segura entre o agente e o servidor
(ASSC) dos agentes que recebem a sua chamada de ativação.
•
É instalado um SuperAgent em cada segmento de difusão. Os sistemas geridos não podem receber
uma chamada de ativação do SuperAgent se não existir o SuperAgent no mesmo segmento de
difusão. A atualização global utiliza a chamada de ativação do SuperAgent para alertar os agentes
de que estão disponíveis novas atualizações.
•
Os repositórios distribuídos são definidos e configurados por todo o ambiente. A McAfee recomenda
os repositórios SuperAgent, mas estes não são obrigatórios. Funções de atualização global com
todos os tipos de repositórios distribuídos.
•
Se utilizar repositórios SuperAgent, os sistemas geridos têm de ser capazes de aceder ao
repositório a partir do qual atualizam. Apesar de ser necessário um SuperAgent em cada segmento
de difusão para que os sistemas recebam a chamada de ativação, os repositórios SuperAgent não
são obrigatórios em cada segmento de difusão.
Implementar automaticamente pacotes de atualização com a
atualização global
Pode ativar a atualização global no servidor para implementar automaticamente pacotes de
atualização especificados pelo utilizador em sistemas geridos.
Tarefa
218
1
Clique em Menu | Configuração | Definições do servidor, selecione Atualização global e depois clique em Editar
na parte inferior da página.
2
Na página Editar atualização global junto a Estado, selecione Ativada.
Guia do produto
Tarefas do servidor
3
17
Edite o Intervalo de aleatoriedade, se pretendido.
Cada atualização de cliente ocorre num tempo selecionado aleatoriamente dentro do intervalo de
aleatoriedade, o que ajuda a distribuir a carga de rede. A predefinição é de 20 minutos.
Por exemplo, se atualizar 1000 clientes usando o intervalo de aleatoriedade predefinido de 20
minutos, atualiza aproximadamente 50 clientes por minuto durante o intervalo, diminuindo a carga
na rede e no servidor. Sem a aleatoriedade, todos os 1000 clientes tentariam atualizar-se
simultaneamente.
4
Junto a Tipos de pacote, selecione com que pacotes pretende iniciar uma atualização.
A atualização global apenas inicia uma atualização se for efetuado o registo de entrada dos novos
pacotes para os componentes aqui especificados no repositório principal ou movidos para outro
ramo. Selecione estes componentes cuidadosamente.
•
Assinaturas e motores — Selecione Conteúdo do Host Intrusion Prevention, se necessário.
Ao selecionar um tipo de pacote determina o que inicia uma atualização global (não o que é
atualizado durante o processo de atualização global). Os agentes recebem uma lista de pacotes
atualizados durante o processo de atualização global. Os agentes utilizam esta lista para instalar
apenas as atualizações necessárias. Por exemplo, os agentes apenas atualizam pacotes que foram
alterados desde a última atualização e não todos os pacotes, se não tiverem sido alterados.
5
Quando terminar, clique em Guardar.
Uma vez ativada, a atualização global inicia uma atualização da próxima vez que efetuar o registo
de entrada de qualquer um dos pacotes selecionados ou ao movê-los para outro ramo.
Certifique-se de executar uma tarefa de Extrair agora e agende uma tarefa do servidor periódica
Extração de repositório, quando estiver pronto para iniciar a atualização automática.
Utilize tarefas de extração para atualizar o repositório principal com pacotes de atualização do DAT e
do motor a partir do site de origem.
Os ficheiros DAT e do motor têm de ser atualizados com frequência. A McAfee lança novos ficheiros
DAT diariamente e ficheiros do motor com menos frequência. Implemente estes pacotes aos sistemas
geridos logo que possível, para os proteger das ameaças mais recentes.
Pode especificar que pacotes são copiados de um site de origem para o repositório principal.
Os ficheiros ExtraDAT devem ter o registo de entrada efetuado manualmente no repositório principal.
Estão disponíveis no Web site da McAfee.
Uma tarefa do servidor de extração de repositório agendada é executada automaticamente e
regularmente nas horas e dias que especificar. Por exemplo, pode agendar uma tarefa de extração de
repositório semanal às 5h00 todas as quintas-feiras.
Também pode utilizar a tarefa Extrair agora para efetuar o registo de entrada imediato das
atualizações no repositório principal. Por exemplo, quando a McAfee alerta sobre a propagação rápida
de um vírus e lança um novo ficheiro DAT para proteção contra o mesmo.
Se uma tarefa de extração falhar, tem de efetuar o registo de entrada manualmente dos pacotes no
Quando tiver atualizado o repositório principal, pode distribuir estas atualizações aos sistemas
automaticamente, com atualização global ou com tarefas de replicação.
Guia do produto
219
17
Tarefas do servidor
Considerações ao agendar uma tarefa de extração
Considere o seguinte ao agendar tarefas de extração:
•
Utilização da rede e largura de banda — Se estiver a utilizar a atualização global, como
recomendado, agende uma tarefa de extração para ser executada quando a utilização da largura
de banda por outros recursos estiver baixa. Com a atualização global, os ficheiros atualizados são
distribuídos automaticamente após terminar a tarefa de extração.
•
Frequência da tarefa — Os ficheiros DAT são lançados diariamente, mas pode não querer utilizar
os recursos diariamente para atualização.
•
Tarefas de replicação e atualização — Agende tarefas de replicação e tarefas de atualização de
cliente para assegurar que os ficheiros atualizados sejam distribuídos por todo o ambiente.
Utilize as tarefas de replicação para copiar conteúdos do repositório principal para os repositórios
distribuídos. A não ser que tenha replicado conteúdos do repositório principal para todos os
repositórios distribuídos, alguns sistemas não os recebem. Certifique-se de que todos os repositórios
distribuídos estão atualizados.
Se está a utilizar a atualização global para todas as atualizações, as tarefas de replicação podem não
ser necessárias para o ambiente, embora sejam recomendadas para redundância. Contudo, se não for
utilizar a atualização global para nenhuma das atualizações, deve agendar uma tarefa do servidor de
replicação de repositório ou executar uma tarefa Replicar agora.
Agendar tarefas regulares de replicação de repositório é a melhor forma de assegurar de que os
repositórios distribuídos estão atualizados. Agendar tarefas de replicação diárias assegura que os
sistemas geridos se mantenham atualizados. Utilizar tarefas de replicação de repositório automatiza a
replicação para os repositórios distribuídos.
Ocasionalmente, pode efetuar o registo de entrada dos ficheiros no repositório principal que pretende
replicar imediatamente para repositórios distribuídos, em vez de esperar pela próxima replicação
agendada. Execute manualmente uma tarefa Replicar agora para atualizar os repositórios distribuídos.
Replicação incremental vs. completa
Ao criar uma tarefa de replicação, selecione Replicação incremental ou Replicação completa. A replicação
incremental utiliza menos largura de banda e copia apenas as novas atualizações no repositório
principal que ainda não estão no repositório distribuído. A replicação completa copia todos os
conteúdos do repositório principal.
A McAfee recomenda o agendamento de uma tarefa de replicação incremental diária. Agende uma
tarefa de replicação completa semanal, se possível, para que os ficheiros sejam eliminados do
repositório distribuído fora da funcionalidade de replicação do software ePolicy Orchestrator.
Seleção de repositório
Os novos repositórios distribuídos são adicionados ao ficheiro da lista de repositórios que contém
todos os repositórios distribuídos disponíveis. O agente de um sistema gerido atualiza este ficheiro
220
Guia do produto
Tarefas do servidor
17
sempre que comunica com o servidor McAfee ePO. O agente realiza a seleção do repositório sempre
que inicia o serviço do agente (McAfee Framework Service) e quando a lista de repositórios sofre alterações.
A replicação seletiva oferece mais controlo sobre a atualização de repositórios individuais. Ao agendar
tarefas de replicação, pode escolher:
•
Repositórios distribuídos específicos para os quais a tarefa se aplica. Replicar para diferentes
repositórios distribuídos em diferentes tempos diminui o impacto nos recursos da largura de banda.
Estes repositórios podem ser especificados quando criar ou editar a tarefa de replicação.
•
Especifique os ficheiros e as assinaturas que são replicados para os repositórios distribuídos.
Selecionar apenas os tipos de ficheiros que são necessários para cada sistema a que é efetuado o
registo de entrada para o repositório distribuído diminui o impacto nos recursos da largura de
banda. Ao definir ou editar os repositórios distribuídos, pode escolher quais os pacotes que
pretende replicar para o repositório distribuído.
Esta funcionalidade destina-se apenas à atualização dos produtos que estão instalados nos vários
sistemas no ambiente, como o Virus Scan Enterprise. A funcionalidade permite-lhe distribuir estas
atualizações apenas para os repositórios distribuídos que estes sistemas utilizam.
Como é que os agentes selecionam os repositórios
Por predefinição, os agentes podem tentar atualizar qualquer repositório no ficheiro da lista de
repositórios. O agente pode utilizar um envio de ping de ICMP da rede ou o algoritmo de comparação
do endereço da sub-rede para encontrar o repositório distribuído com o tempo de resposta mais
rápido. Normalmente, este é o repositório distribuído mais próximo do sistema na rede.
Também pode controlar estreitamente quais os repositórios distribuídos que os agentes utilizam para
atualizar ao ativar ou desativar os repositórios distribuídos nas definições da política do agente. A
McAfee não recomenda a desativação dos repositórios nas definições da política. Permitir que os
agentes atualizem a partir de qualquer repositório distribuído garante que recebem as atualizações.
A sintaxe Cron é constituída por seis ou sete campos, separados por um espaço. A sintaxe Cron aceite,
por campo em ordem descendente, está detalhada na tabela seguinte. A sintaxe Cron é aceitável, mas
alguns casos não são suportados. Por exemplo, não pode especificar, em simultâneo, os valores do dia
da semana e do dia do mês.
Nome do campo
Valores permitidos
Carateres especiais permitidos
Segundos
0–59
,-*/
Minutos
0–59
,-*/
Horas
0–23
,-*/
Dia do mês:
1–31
,-*?/LWC
Mês
1 - 12, ou JAN - DEZ
,-*/
Dia da semana
1 - 7, ou DOM - SÁB
,-*?/LC#
Ano (opcional)
Vazio, ou 1970 - 2099
,-*/
Carateres especiais permitidos
•
Vírgulas (,) são permitidas para especificar mais valores. Por exemplo, "5,10,30" ou
"SEG,QUA,SEX".
•
Asteriscos (*) são usados para "cada." Por exemplo, "*" no campo de minutos é "cada minuto".
Guia do produto
221
17
Tarefas do servidor
Ver informações sobre a tarefa do servidor no registo de tarefas de servidor
•
Pontos de interrogação (?) são permitidos para especificar nenhum valor específico nos campos Dia
da semana ou Dia do mês.
O ponto de interrogação deve ser usado num desses campos, mas não em ambos.
•
As barras oblíquas (/) identificam incrementos. Por exemplo, "5/15" no campo dos minutos
significa que a tarefa é executada nos minutos 5, 20, 35 e 50.
•
A letra "L" significa "last" (último) nos campos Dia da semana ou Dia do mês. Por exemplo, "0 15
10 ? * 6L" significa a última sexta-feira de cada mês às 10h 15 min.
•
A letra "W" significa "weekday" (dia da semana). Por isso, se criou um Dia do mês como "15W",
significa o dia da semana mais próximo do 15º dia do mês. Do mesmo modo, pode especificar
"LW", o que significa o último dia da semana do mês.
•
O sinal de cardinal "#" identifica o dia "Nº" do mês. Por exemplo, utilizar "6#3" no campo Dia da
semana é a terceira sexta-feira de cada mês, "2#1" é a primeira segunda-feira, e "4#5" é a quinta
quarta-feira.
Se o mês não tiver uma quinta quarta-feira, a tarefa não é executada.
Ver informações sobre a tarefa do servidor no registo de
tarefas de servidor
Examine o registo de tarefas de servidor para obter informações sobre as tarefas do servidor. O
registo de tarefas de servidor fornece o estado da tarefa e erros que possam ter acontecido.
•
clique em Menu | Automatização | Registo de tarefas de servidor.
É apresentada a seguinte informação da tarefa:
•
Data de início e duração da tarefa
•
Quaisquer erros ou avisos e os seus códigos
•
O estado de cada pacote de que é efetuado o registo de entrada no repositório principal
•
Informações referentes a quaisquer novos pacotes cujos registos de entrada estão a ser efetuados
no repositório principal
•
Estado da tarefa em cada site (quando expandido)
•
Quaisquer erros ou avisos, os seus códigos e o site ao qual se aplicam
Configurar o Product Improvement Program
O McAfee Product Improvement Program ajuda a melhorar os produtos da McAfee. Recolhe dados
proativamente e periodicamente a partir dos sistemas cliente geridos pelo servidor McAfee ePO.
O McAfee Product Improvement Program recolhe os seguintes tipos de dados:
•
Ambiente do sistema (detalhes de software e hardware)
•
Eficácia das funcionalidades do produto McAfee instalado
•
Erros do produto McAfee e eventos Windows relacionados
222
Guia do produto
Tarefas do servidor
17
Tarefa
1
Clique em Menu | Configuração | Definição do servidor, selecione Product Improvement Program a partir das
2
Selecione Sim para permitir que a McAfee recolha dados de diagnóstico e utilização anónimos e, em
Clique aqui para ficar a saber mais sobre o McAfee Product Improvement Program.
O McAfee Product Improvement Program pode ser desinstalado a qualquer altura.
Tarefa
1
Inicie sessão no servidor McAfee ePO como administrador.
2
Clique em Menu | Política | Catálogo de tarefas de cliente, selecione McAfee Agent | Implementação do produto como
Tipos de tarefa cliente e, em seguida, clique em Ações | Nova tarefa.
3
Crie uma nova tarefa para desinstalar o McAfee Product Improvement Program dos sistemas cliente
necessários.
4
Atribua a tarefa aos sistemas cliente e envie uma chamada de ativação do agente.
5
Clique em Menu | Software | Repositório principal, clique em Eliminar ao lado do pacote McAfee Product
Improvement Program e depois clique em OK.
6
Clique em Menu | Software | Extensões e, em seguida, selecione McAfee Product Improvement Program.
7
Clique em Remover e depois clique em OK.
Guia do produto
223
17
Tarefas do servidor
224
Guia do produto
18
Pacotes manuais e gestão de
atualizações
Quando precisa de implementar novos produtos fora das tarefas normalmente programadas, pode
registar manualmente a sua entrada.
Conteúdo
Colocar produtos sob gestão
Registar manualmente a entrada de pacotes
Eliminar pacotes DAT ou de motor do repositório principal
Mover manualmente pacotes DAT e do motor entre ramos
Registar manualmente a entrada de pacotes de atualização de motor e de ficheiros DAT e
ExtraDAT
Colocar produtos sob gestão
Tem de ser instalado uma extensão do produto antes de o ePolicy Orchestrator poder gerir o produto.
Antes de começar
Certifique-se de que o ficheiro de extensão se encontra numa localização acessível na rede.
Tarefa
1
A partir da consola do ePolicy Orchestrator, clique em Menu | Software | Extensões | Instalar extensão.
Só pode ter uma tarefa a atualizar o Repositório principal de uma vez. Se tentar instalar uma
extensão ao mesmo tempo em que está a ser executada uma atualização do Repositório principal, é
apresentado o seguinte erro:
Não é possível instalar a extensão com.mcafee.core.cdm.CommandException: Não é possível efetuar
o registo de entrada do pacote selecionado enquanto uma tarefa de extração estiver a ser executada.
Aguarde até a atualização do Repositório principal estar concluída e tente instalar
novamente a sua extensão.
2
Procure e selecione o ficheiro de extensão e depois clique em OK.
3
Verifique se o nome do produto é apresentado na lista Extensões.
Guia do produto
225
18
Registar os pacotes de implementação no Repositório principal de forma a que o software ePolicy
Orchestrator possa implementá-los.
Tarefa
1
Abra o assistente Registar pacote de entrada.
a
Clique em Menu | Software | Repositório principal.
b
Clique em Registar pacote de entrada.
2
Selecione o tipo de pacote e, em seguida, procure e selecione o ficheiro do pacote.
3
Clique em Seguinte.
4
Confirme ou configure o seguinte:
•
Informação do pacote — Confirme se este é o pacote correto.
•
Ramo — Selecione o ramo. Caso existam requisitos no seu ambiente para testar os novos
pacotes antes de os implementar por todo o ambiente de produção, a McAfee recomenda a
utilização do ramo Avaliação sempre que registar a entrada de pacotes. Assim que terminar os
testes dos pacotes, pode movê-los para o ramo Atual clicando em Menu | Software | Repositório
principal.
•
Opções — Selecione se pretende:
•
•
5
Mover o pacote existente para o ramo Anterior — Se selecionado, move os pacotes no repositório
principal a partir do ramo Atual para o ramo Anterior se for efetuado o registo de entrada de
um pacote mais recente do mesmo tipo. Só está disponível se selecionar Atual no Ramo.
Assinatura do pacote — Especifica se o pacote é um pacote McAfee ou se é um pacote de terceiros.
Clique em Guardar para começar a registar a entrada do pacote, depois aguarde enquanto é
efetuado o registo de entrada do pacote.
O novo pacote é apresentado na lista Pacotes no repositório principal no separador Repositório principal.
Eliminar pacotes DAT ou de motor do repositório principal
Elimine pacotes DAT ou de motor do repositório principal. À medida que efetua regularmente o registo
de entrada de novos pacotes de atualização, são substituídas as versões mais antigas ou movidas para
o ramo Anterior, se estiver a utilizar o ramo Anterior.
Tarefa
226
1
2
Na linha do pacote, clique em Eliminar.
3
Clique em OK.
Guia do produto
18
Mova manualmente pacotes entre os ramos Avaliação, Atual e Anterior após ter efetuado o seu registo
de entrada no Repositório principal.
Tarefa
1
2
Na linha do pacote, clique em Alterar ramo.
3
Selecione se pretende mover ou copiar o pacote para outro ramo.
4
Selecione que ramo recebe o pacote.
®
Se tiver o McAfee® NetShield for NetWare na sua rede, selecione Support NetShield for NetWare.
5
Clique em OK.
Registar manualmente a entrada de pacotes de atualização de
motor e de ficheiros DAT e ExtraDAT
Efetue manualmente o registo de entrada dos pacotes de atualização no Repositório principal, para
implementá-los utilizando o software do ePolicy Orchestrator. O registo de entrada de alguns pacotes
só pode ser feito manualmente.
Tarefa
1
Abra o assistente Registar pacote de entrada.
a
b
Clique em Registar pacote de entrada.
2
Selecione o tipo de pacote, procure e selecione um ficheiro do pacote e depois clique em Seguinte
3
Selecione um ramo:
•
Atual — Utilize os pacotes sem os testar primeiro.
•
Avaliação — Utilizado para testar primeiro os pacotes num ambiente de laboratório.
Assim que terminar os testes dos pacotes, pode movê-los para o ramo Atual clicando em Menu |
Software | Repositório principal.
•
Anterior — Utilize a versão anterior para receber o pacote.
4
Ao lado de Opções, selecione Mover o pacote existente para o ramo anterior para mover o pacote atual (do
mesmo tipo cuja entrada está a registar) para o ramo Anterior.
5
Clique em Guardar para começar a registar a entrada do pacote. Aguarde enquanto é efetuado o
registo de entrada do pacote.
O novo pacote é apresentado na lista Pacotes no repositório principal na página Repositório principal.
Guia do produto
227
18
Registar manualmente a entrada de pacotes de atualização de motor e de ficheiros DAT e ExtraDAT
228
Guia do produto
19
Eventos e respostas
Configure o servidor McAfee ePO para acionar uma ação em resposta a eventos de ameaça, cliente ou
servidor.
Conteúdo
Utilizar respostas automáticas
Como é que a funcionalidade Respostas automáticas interage com a Árvore de sistema
Planeamento de respostas
Configurar respostas pela primeira vez
Determinar como os eventos são reencaminhados
Configurar Respostas automáticas
Determinar quais os eventos que são reencaminhados para o servidor
Escolher um intervalo de evento de notificação
Criar e editar regras de Resposta automática
Utilizar respostas automáticas
O conjunto completo dos tipos de evento para os quais pode configurar uma resposta automática
depende dos produtos de software que está a gerir com o servidor do McAfee ePO.
Por predefinição, a resposta pode incluir estas ações:
•
Criar problemas
•
Executar comandos do sistema
•
Executar tarefas do servidor
•
Enviar mensagens de correio eletrónico
•
Executar comandos externos
•
Enviar traps SNMP
A capacidade para especificar as categorias de evento que geram uma mensagem de notificação e as
frequências com que tais mensagens são enviadas, são altamente configuráveis.
Esta funcionalidade foi concebida para criar notificações e ações configuradas pelo utilizador quando
são cumpridas as condições de uma regra. Estas condições incluem, mas não se limitam a:
•
Deteção de ameaças através do produto de software antivírus. Embora sejam suportados muitos
produtos de software antivírus, os eventos do VirusScan Enterprise incluem o endereço IP do
atacante de origem para que possa isolar o sistema que está a infetar o resto do ambiente.
•
Situações de surto. Por exemplo, são recebidos 1000 eventos de vírus detetados em cinco minutos.
•
Conformidade de alto nível dos eventos do servidor do McAfee ePO. Por exemplo, uma atualização
do repositório ou uma tarefa de replicação falhada.
Guia do produto
229
19
Eventos e respostas
Como é que a funcionalidade Respostas automáticas interage com a Árvore de sistema
Como é que a funcionalidade Respostas automáticas interage
com a Árvore de sistema
Antes de planear a implementação das Respostas automáticas, deve compreender como é que esta
funcionalidade funciona com a Árvore de sistema.
Esta funcionalidade não segue o modelo de herança utilizado na imposição de políticas.
As Respostas automáticas utilizam eventos que ocorrem em sistemas no ambiente que são entregues
ao servidor e regras de respostas configuradas associadas ao grupo que contém os sistemas afetados
e cada elemento principal acima dele. Se as condições de tal regra forem cumpridas por configurações
da regra, são realizadas as ações designadas.
Esta estrutura permite configurar regras independentes em diferentes níveis da árvore de sistema.
Estas regras podem ter diferentes:
•
Limiares para enviar uma mensagem de notificação. Por exemplo, um administrador de um
determinado grupo pretende ser notificado se forem detetados vírus em 100 sistemas dentro de 10
minutos no grupo, mas um administrador não pretende ser notificado, a não ser que sejam
detetados vírus em 1000 sistemas em todo o ambiente no mesmo período de tempo.
•
Destinatários da mensagem de notificação. Por exemplo, um administrador de um
determinado grupo pretende ser notificado apenas se ocorrer um número específico de eventos de
deteção de vírus dentro do grupo. Ou um administrador pretende que cada administrador de grupo
seja notificado se ocorrer um número específico de eventos de deteção de vírus dentro de toda a
Árvore de sistema.
Os eventos do servidor não são filtrados pela localização na Árvore de sistema.
Limitação, agregação e agrupamento
Pode configurar quando as mensagens de notificação devem ser enviadas definindo limiares baseados
em Agregação, Limitação ou Agrupamento.
Agregação
Utilize a agregação para determinar os limiares de eventos quando a regra envia uma mensagem de
notificação. Por exemplo, configure a mesma regra para enviar mensagem de notificação quando o
servidor receber 1000 eventos de deteção de vírus de diferentes sistemas dentro de uma hora ou se
foram recebidos 100 eventos de deteção de algum sistema.
Limitação
Quando tiver configurado a regra para o notificar de um possível surto, utilize a limitação para se
assegurar de não receber demasiadas mensagens de notificação. Se está a administrar uma rede
grande, pode receber dezenas de milhares de eventos durante uma hora, criando milhares de
mensagens de notificação baseadas numa regra. As respostas permitem-lhe limitar o número de
mensagens de notificação que recebe, com base numa única regra. Por exemplo, pode especificar,
nesta mesma regra, que não pretende receber mais do que uma mensagem de notificação numa hora.
Agrupamento
Utilize o agrupamento para combinar vários eventos agregados. Por exemplo, os eventos com a
mesma gravidade podem ser combinados num único grupo. O agrupamento permite que um
administrador realize ações em todos os eventos com a mesma gravidade ou mais alta, de uma só
vez. Também permite priorizar os eventos gerados nos sistemas geridos ou nos servidores.
230
Guia do produto
Eventos e respostas
19
Regras predefinidas
Ative as regras ePolicy Orchestrator predefinidas para utilização imediata, enquanto aprende mais
sobre a funcionalidade.
Antes de ativar qualquer das regras predefinidas:
•
Especifique o servidor de correio eletrónico (clique em Menu | Configuração | Definições do servidor) a
partir do qual as mensagens de notificação são enviadas.
•
Certifique-se de que o endereço de correio eletrónico do destinatário é aquele que pretende para
receber mensagens de correio eletrónico. Este endereço é configurado na página Ações do
assistente.
Tabela 19-1 Regras de notificação predefinidas
Nome da regra
Eventos associados
Configurações
Atualização do
Atualização do
repositório distribuído repositório distribuído ou
ou replicação falhada replicação falhada
Envia uma mensagem de notificação quando falhar
qualquer atualização ou replicação.
Malware detetado
Envia uma mensagem de notificação:
Quaisquer eventos de
quaisquer produtos
desconhecidos
• Quando o número de eventos é, pelo menos,
1000 dentro de uma hora.
• No máximo, uma vez a cada duas horas.
• Com o endereço IP do sistema de origem, os
nomes reais da ameaça e a informação real do
produto, se disponíveis, e muitos outros
parâmetros.
• Se o número do valor distinto selecionado for
500.
Atualização do
repositório principal
ou replicação falhada
Atualização do
repositório principal ou
replicação falhada
Envia uma mensagem de notificação quando falhar
qualquer atualização ou replicação.
Foi detetado um
computador não
conforme
Eventos de Computador
não conforme detetado
Envia uma mensagem de notificação se quaisquer
eventos forem recebidos da tarefa do servidor de
Gerar evento de conformidade.
Antes de criar regras que enviam notificações, poupe tempo a planear.
Certifique-se de que implementou um plano para os seguintes itens.
•
O tipo de evento e o grupo (produto e servidor) que acionam mensagens de notificação no
ambiente.
•
Quem deve receber e quais as mensagens de notificação. Por exemplo, pode não ser necessário
notificar o administrador do grupo B sobre uma replicação falhada no grupo A, mas pode querer
que todos os administradores saibam de um ficheiro infetado descoberto no grupo A.
•
Que tipos e níveis de limiares pretende definir para cada regra. Por exemplo, pode não querer
receber uma mensagem de correio eletrónico sempre que um ficheiro infetado for detetado durante
um surto. Em vez disso, pode escolher que esta mensagem seja enviada no máximo uma vez a
cada cinco minutos, independentemente da frequência com que o servidor está a receber o evento.
Guia do produto
231
19
Eventos e respostas
•
Que comandos ou executáveis registados pretende executar quando as condições de uma regra são
satisfeitas.
•
Que tarefa do servidor pretende executar quando as condições de uma regra são satisfeitas.
Siga estes passos de nível alto quando configurar eventos e respostas automáticas pela primeira vez.
Quando criar uma nova regra de resposta automáticas pela primeira vez:
1
Compreenda as Respostas automáticas e a forma como funcionam com a árvore de sistema e a sua
rede.
2
Planeie a sua implementação. Que utilizadores precisam de saber e acerca de que eventos?
3
Prepare os componentes e permissões utilizados com as Respostas automáticas, incluindo:
•
Permissões de respostas automáticas — Crie ou edite conjuntos de permissões e
certifique-se de que são atribuídos aos devidos utilizadores do McAfee ePO.
•
Servidor de correio eletrónico — Configure o servidor de correio eletrónico (SMTP) em
Definições do servidor.
•
Lista de contatos do correio eletrónico — Especifique a lista a partir da qual seleciona
destinatários das mensagens de notificação em Contactos.
•
Executáveis registados — Especifique uma lista de executáveis registados a executar quando
as condições de uma regra são cumpridas.
•
Tarefas do servidor — Crie tarefas do servidor para utilizar como ações a serem executadas
como resultado de uma regra de resposta.
•
Servidores SNMP — Especifique uma lista de servidores SNMP a utilizar na criação de regras.
Pode configurar regras para enviar traps SNMP aos servidores SNMP quando as condições
permitem iniciar uma mensagem de notificação.
Determinar como os eventos são reencaminhados
Determine quando os eventos são reencaminhados e que eventos são reencaminhados
imediatamente.
O servidor recebe notificações de eventos dos agentes. Pode configurar as políticas do McAfee Agent
para reencaminhar imediatamente os eventos para o servidor ou apenas nos intervalos de
Se escolher enviar imediatamente os eventos (como predefinido), o McAfee Agent reencaminha todos
os eventos logo que são recebidos.
O intervalo predefinido para processar notificações de eventos é de um minuto. Como resultado, poderá
ocorrer um atraso antes dos eventos serem processados. Pode alterar o intervalo predefinido nas
definições do servidor Notificações de eventos (Menu | Configuração | Servidor).
Se escolher para que todos os eventos não sejam enviados imediatamente, o McAfee Agent
reencaminha imediatamente apenas os eventos que estão designados pelo produto em causa como de
alta prioridade. Os outros eventos são enviados apenas na comunicação entre o agente e o servidor.
232
Guia do produto
Eventos e respostas
19
Tarefas
•
Determinar quais os eventos que são reencaminhados imediatamente na página 233
Determine se os eventos são reencaminhados imediatamente ou apenas durante a
•
Determinar quais os eventos que são reencaminhados na página 233
Utilize a página Definições do servidor para determinar quais os eventos que são
reencaminhados para o servidor.
Determinar quais os eventos que são reencaminhados
imediatamente
Determine se os eventos são reencaminhados imediatamente ou apenas durante a comunicação entre
o agente e o servidor.
Se a política atualmente aplicada não estiver definida para carregamento imediato de eventos, edite a
política atualmente aplicada ou crie uma nova política McAfee Agent Esta definição é configurada na
página Registo de eventos de ameaça.
Tarefa
1
Clique em Menu | Política | Catálogo de políticas e depois selecione Produto como McAfee Agent e Categoria
como Geral.
2
Clique numa política do agente existente.
3
No separador Eventos, selecione Ativar reencaminhamento de eventos prioritários.
4
Selecione a gravidade do evento.
Os eventos da gravidade selecionada (e superior) são reencaminhados imediatamente para o
servidor.
5
Para regular o tráfego, introduza um Intervalo entre carregamentos (em minutos).
6
Para regular o tamanho do tráfego, introduza o Número máximo de eventos por carregamento.
7
Clique em Guardar.
Determinar quais os eventos que são reencaminhados
Utilize a página Definições do servidor para determinar quais os eventos que são reencaminhados para o
servidor.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Filtragem de eventos e depois clique em
Editar.
2
Selecione os eventos e, em seguida, clique em Guardar.
Estas definições entram em vigor assim que todos os agentes se apresentarem ao servidor.
Configure os recursos necessários para aproveitar ao máximo as Respostas automáticas.
Guia do produto
233
19
Eventos e respostas
Tarefas
•
Atribuir permissões a notificações na página 234
As permissões de notificações permitem que os utilizadores vejam, criem e editem
executáveis registados.
•
Atribuir permissões a Respostas automáticas na página 234
As permissões a respostas permitem que os utilizadores criem regras de resposta para
vários tipos de eventos e grupos.
•
Gerir servidores SNMP na página 235
Configure respostas para utilizar o servidor SNMP (Simple Network Management Protocol).
Atribuir permissões a notificações
As permissões de notificações permitem que os utilizadores vejam, criem e editem executáveis
registados.
Tarefa
1
Clique em Menu | Gestão de utilizadores | Conjuntos de permissões e depois crie um conjunto de permissões
ou selecione um existente.
2
Ao lado de Notificações de eventos, clique em Editar.
3
Selecione a permissão de notificações que quer:
•
Sem permissões
•
Ver executáveis registados
•
Criar e editar executáveis registados
•
Ver as regras e as notificações de toda a árvore de sistema (substitui as permissões de acesso do grupo da árvore de
sistema)
4
Clique em Guardar.
5
Se tiver criado um novo conjunto de permissões, clique em Menu | Gestão de utilizadores | Utilizadores.
6
Selecione um utilizador para atribuir um novo conjunto de permissões e depois clique em Editar.
7
Ao lado de Conjuntos de permissões, selecione a caixa de verificação do conjunto de permissões com as
permissões pretendidas e depois clique em Guardar.
Atribuir permissões a Respostas automáticas
As permissões a respostas permitem que os utilizadores criem regras de resposta para vários tipos de
eventos e grupos.
Os utilizadores precisam de permissões para as seguintes funcionalidades para criar um regra de
resposta.
•
Registo de eventos de ameaça
•
Árvore de sistema
•
Tarefas do servidor
•
Sistemas detetados
234
Guia do produto
Eventos e respostas
19
Tarefa
1
Clique em Menu | Gestão de utilizadores | Conjuntos de permissões e depois crie um conjunto de permissões
ou selecione um existente.
2
Ao lado de Resposta Automática, clique em Editar.
3
Selecione uma permissão de Resposta automática:
•
Sem permissões
•
Visualizar respostas; visualizar resultados de respostas no registo de tarefas de servidor
•
Criar, editar, visualizar e cancelar respostas; visualizar resultados de respostas no registo de tarefas de servidor
4
Clique em Guardar.
5
Se tiver criado um novo conjunto de permissões, clique em Menu | Gestão de utilizadores | Utilizadores.
6
Selecione um utilizador para atribuir um novo conjunto de permissões e depois clique em Editar.
7
Ao lado de Conjuntos de permissões, selecione a caixa de verificação do conjunto de permissões com as
permissões de Resposta automática pretendidas e depois clique em Guardar.
Gerir servidores SNMP
Configure respostas para utilizar o servidor SNMP (Simple Network Management Protocol).
Pode configurar respostas para enviar traps SNMP ao servidor SNMP, que lhe permite receber traps
SNMP na mesma localização onde pode utilizar a aplicação de gestão da rede para ver informações
detalhadas sobre os sistemas no seu ambiente.
Não precisa de realizar outras configurações ou iniciar quaisquer serviços para configurar esta
funcionalidade.
Tarefas
•
Editar servidores SNMP na página 235
Editar as entradas existentes do servidor SNMP.
•
Eliminar um servidor SNMP na página 235
Elimine um servidor SNMP da lista Servidores registados.
Editar servidores SNMP
Editar as entradas existentes do servidor SNMP.
Tarefa
1
Clique em Menu | Configuração | Servidores registados.
2
A partir da lista de servidores registados, selecione um servidor SNMP e depois clique em Ações |
Editar.
3
Edite as informações do servidor conforme necessário e depois clique em Guardar.
Eliminar um servidor SNMP
Elimine um servidor SNMP da lista Servidores registados.
Guia do produto
235
19
Eventos e respostas
Determinar quais os eventos que são reencaminhados para o servidor
Tarefa
1
Clique em Menu | Configuração | Servidores registados.
2
A partir da lista de servidores registados, selecione um servidor SNMP e depois clique em Ações |
Eliminar.
3
Quando solicitado, clique em Sim.
O servidor SNMP é removido da lista Servidores registados.
Importar ficheiros .MIB
Importe ficheiros .mib antes de configurar regras para enviar mensagens de notificação para um
servidor SNMP através de um trap SNMP.
Tem de importar três ficheiros .mib a partir de \Program Files\McAfee\ePolicy Orchestrator\MIB.
Os ficheiros têm de ser importados pela seguinte sequência:
1
NAI-MIB.mib
2
TVD-MIB.mib
3
EPO-MIB.mib
Estes ficheiros permitem que o programa de gestão da rede descodifique os dados nos traps SNMP em
texto significativo. O ficheiro EPO-MIB.mib depende de outros dois ficheiros para definir os seguintes
traps:
•
epoThreatEvent — Este trap é enviado quando é acionada uma Resposta Automática para um
evento de ameaça McAfee ePO. Contém variáveis que correspondem a propriedades do evento de
ameaça.
•
epoStatusEvent — Este trap é enviado quando é acionada uma Resposta automática para um
evento de estado McAfee ePO. Contém variáveis que correspondem às propriedades de um
(servidor) evento de estado.
•
epoClientStatusEvent — Este trap é enviado quando é acionada uma Resposta automática para
um evento de estado do cliente McAfee ePO. Contém variáveis que correspondem às propriedades
do evento de estado do cliente.
•
epoTestEvent — Este é um trap de teste que é enviado quando clica em Enviar trap de teste no Novo
servidor SNMP ou nas páginas Editar servidor SNMP.
Para instruções sobre importar e implementar ficheiros .mib, consulte a documentação de produto
para o programa de gestão de rede.
Determinar quais os eventos que são reencaminhados para o
servidor
Pode determinar quais os eventos que são reencaminhados para o servidor utilizando definições do
servidor e filtragem de eventos.
Antes de começar
Estas definições afetam a largura de banda utilizada no ambiente, bem como os resultados
das consultas baseadas em eventos.
236
Guia do produto
Eventos e respostas
19
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Filtragem de eventos e depois clique em Editar
na parte inferior da página. É apresentada a página Filtragem de eventos.
2
Selecione os eventos que pretende que o agente reencaminhe para o servidor e depois clique em
Guardar.
As alterações destas definições entram em vigor após todos os agentes terem comunicado com o
Esta definição determina a frequência com que os eventos de notificação do ePO são enviados para o
sistema de Resposta automática.
Existem três tipos de eventos de notificação:
•
Eventos cliente — Eventos que ocorrem nos sistemas geridos. Por exemplo, Atualização do produto
bem sucedida.
•
Eventos de ameaça — Eventos que indicam que uma possível ameaça é detetada. Por exemplo,
Vírus detetado.
•
Eventos do servidor — Eventos que ocorrem no servidor. Por exemplo, A extração de repositório
falhou.
Uma Resposta automática só pode ser acionada depois de o sistema de Resposta automática receber
uma notificação. A McAfee recomenda que especifique um intervalo relativamente curto para enviar
estes eventos de notificação. A McAfee recomenda que escolha um intervalo de avaliação que seja
suficientemente frequente para garantir que o sistema de Resposta automática consiga responder a
um evento de uma forma atempada, mas o suficientemente infrequente para evitar um consumo
excessivo de largura de banda.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Notificações de eventos a partir de Categorias
de definição e depois clique em Editar.
2
Especifique um valor entre 1 e 9999 minutos para o Intervalo de avaliação (1 minuto por predefinição) e
depois clique em Guardar.
Defina quando e como uma resposta pode ser dada no evento que ocorre no servidor ou num sistema
gerido.
As regras de Resposta automática não têm uma ordem de dependência.
Guia do produto
237
19
Eventos e respostas
Tarefas
•
Descrever uma regra na página 238
Ao criar uma nova regra, pode adicionar uma descrição, especificar o idioma, especificar o
tipo de evento e grupo de acionam a resposta e ativar ou desativar a regra.
•
Definir filtros para a regra na página 238
Defina os filtros para a regra de resposta na página Filtros do assistente Criador de respostas.
•
Definir limites para a regra na página 238
Defina quando o evento desencadeia a regra na página Agregação do assistente Criador de
respostas.
•
Configure a ação das regras de Resposta automática na página 239
Configure as respostas que são acionadas pela regra na página Respostas do assistente
Criador de respostas.
Descrever uma regra
Ao criar uma nova regra, pode adicionar uma descrição, especificar o idioma, especificar o tipo de
evento e grupo de acionam a resposta e ativar ou desativar a regra.
Tarefa
1
Clique em Menu | Automatização | Respostas automáticase depois clique em Ações | Nova resposta ou Editar ao
lado de uma regra existente.
2
Na página Descrição, introduza um nome exclusivo e as notas para a regra.
Os nomes da regra em cada servidor devem ser exclusivos. Por exemplo, se um utilizador criar uma
regra denominada Alerta de emergência, nenhum outro utilizador pode criar uma regra com esse
nome.
3
A partir do menu Idioma, selecione o idioma que a regra utiliza.
4
Selecione o Grupo de evento e o Tipo de evento que acionam esta resposta.
5
Selecione se a regra está Ativada ou Desativada junto a Estado.
6
Clique em Seguinte.
Definir filtros para a regra
Defina os filtros para a regra de resposta na página Filtros do assistente Criador de respostas.
Tarefa
1
Na lista Propriedades disponíveis, selecione uma propriedade e especifique o valor para filtrar o
resultado da resposta.
As Propriedades disponíveis dependem do tipo de evento e grupo de eventos selecionados na página
Descrição do assistente.
2
Clique em Seguinte.
Definir limites para a regra
Defina quando o evento desencadeia a regra na página Agregação do assistente Criador de respostas.
Os limiares de uma regra são uma combinação de agregação, limitação e agrupamento.
238
Guia do produto
Eventos e respostas
19
Tarefa
1
Junto de Agregação, selecione se pretende Acionar esta resposta para todos os eventos, ou Acionar esta resposta se
ocorrerem vários eventos dentro de um período definido de tempo. Se selecionar o último, defina o período
de tempo em minutos, horas ou dias.
2
Se selecionou Acionar esta resposta se ocorrerem vários eventos dentro de, pode escolher acionar uma resposta
quando as condições especificadas forem satisfeitas. Estas condições são qualquer combinação de:
•
Quando o número de valores distintos para uma propriedade de evento for, pelo menos, um valor determinado. Esta
condição é utilizada quando um valor distinto de ocorrência da propriedade do evento é
selecionado.
•
Se o número de eventos for pelo menos. Introduza um número definido de eventos.
Pode selecionar uma ou ambas as opções. Por exemplo, pode definir que a regra acione esta
resposta se o valor distinto de ocorrência da propriedade do evento selecionado exceder 300 ou
quando o número de eventos exceder 3000, seja qual for o limiar que é cruzado primeiro.
3
Junto de Agrupamento, selecione se pretende agrupar os eventos agregados. Se selecionar agrupar os
eventos agrupados, especifique a propriedade do evento no qual são agrupados.
4
Conforme necessário, junto de Limitação, selecione No máximo, acionar esta resposta a cada e defina um
período de tempo que deve passar antes que esta regra possa enviar novamente mensagens de
notificação.
O período de tempo pode ser definido em minutos, horas ou dias.
5
Clique em Seguinte.
Configure a ação das regras de Resposta automática
Configure as respostas que são acionadas pela regra na página Respostas do assistente Criador de
respostas.
Pode configurar a regra para acionar múltiplas ações usando os botões + e -, situados junto à lista
pendente para o tipo de notificação.
Tarefa
1
Se quiser que a mensagem de notificação seja enviada como uma mensagem de correio eletrónico
ou mensagem de pager, selecione Enviar correio eletrónico na lista pendente.
a
Junto a Destinatários, clique em ... e selecione os destinatários da mensagem. Esta lista de
destinatários disponíveis é retirada dos Contactos (Menu | Gestão de utilizadores | Contactos). Como
alternativa, pode introduzir manualmente os endereços de correio eletrónico, separados por
uma vírgula.
b
Selecione a importância do correio eletrónico de notificação.
c
Introduza o Assunto da mensagem. Opcionalmente, pode introduzir qualquer uma das variáveis
disponíveis diretamente no assunto.
d
Introduza qualquer texto que pretenda que apareça no Corpo da mensagem. Opcionalmente,
pode introduzir qualquer uma das variáveis disponíveis diretamente no corpo.
e
Clique em Seguinte se terminado, ou clique em + para adicionar outra notificação.
Guia do produto
239
19
Eventos e respostas
2
Se pretender que a mensagem de notificação seja enviada como um trap SNMP, selecione Enviar trap
SNMP a partir da lista pendente.
a
Selecione um servidor SNMP a partir da lista pendente.
b
Selecione o tipo de valor que pretende enviar no trap SNMP.
•
Valor
•
Número de valores distintos
•
Lista de valores distintos
•
Lista de todos os valores
Alguns eventos não incluem esta informação. Se uma seleção que fez não estiver representada,
a informação não estava disponível no ficheiro do evento.
c
3
4
5
6
Se quiser que a notificação execute um comando externo, selecione Executar comando externo a partir
da lista pendente.
a
Selecione os Executáveis registados e introduza Argumentos para o comando.
b
Se pretender que a notificação crie um problema, selecione Criar problema a partir da lista pendente.
a
Selecione o tipo de problema que pretende criar.
b
Introduzir um nome exclusivo e algumas notas para o problema. Opcionalmente, pode
introduzir qualquer uma das variáveis disponíveis diretamente no nome e descrição.
c
Selecione Estado, Prioridade, Gravidade, e Resolução para o problema a partir da respetiva lista
pendente.
d
Escreva o nome do detentor da atribuição na caixa de texto.
e
Se quiser que a notificação execute uma tarefa agendada, selecione Executar tarefa do servidor a partir
da lista pendente.
a
Selecione a tarefa que pretende executar a partir de Tarefa a executar da lista pendente.
b
Na página Resumo, verifique a informação e depois clique em Guardar.
A nova regra de resposta aparece na lista Respostas.
240
Guia do produto
Monitorizar e comunicar o
estado de segurança da rede
Utilize painéis configuráveis para monitorizar o estado de segurança crítica
"numa visão imediata" e comunicar esse estado às partes interessadas e aos
responsáveis pelas decisões, utilizando relatórios e consultas
pré-configurados e personalizáveis.
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
20
21
22
23
24
Painéis
Problemas
Guia do produto
241
Monitorizar e comunicar o estado de segurança da rede
242
Guia do produto
20
Painéis
Manter uma observação constante no ambiente é uma tarefa difícil. Os painéis ajudam-no nesta
tarefa.
Os painéis são conjuntos de monitores que podem ser, por exemplo, uma consulta baseada num
gráfico.
O comportamento e aparência de um monitor são configurados individualmente.
Os utilizadores devem ter as permissões apropriadas para utilizar, criar, editar e eliminar painéis.
Conteúdo
Configurar painéis pela primeira vez
Trabalhar com painéis
Trabalhar com monitores de painel
Painéis predefinidos e os seus monitores
Especificar painéis predefinidos e intervalos de atualização do painel
Configurar painéis pela primeira vez
Os seguintes passos de nível alto descrevem o processo que ocorre ao configurar os painéis pela
primeira vez.
1
O servidor McAfee ePO tem um painel predefinido que irá visualizar se nunca tiver carregado um
painel anteriormente.
2
Crie todos os painéis necessários e os seus monitores.
3
Da próxima vez que o ePolicy Orchestrator iniciar, irá carregar o último painel que utilizou.
Os painéis podem ser criados, modificados, duplicados, exportados e muito mais, para que possa
monitorizar o seu ambiente de relance.
Utilize estas tarefas quando trabalhar com painéis.
Os painéis e consultas predefinidos, enviados com ePolicy Orchestrator, não podem ser modificados ou
eliminados. Para alterá-los, duplique, mude o nome e modifique o painel ou consulta cujo nome foi
mudado.
Guia do produto
243
20
Painéis
Tarefas
•
Gerir painéis na página 244
Pode criar, editar, duplicar, eliminar e atribuir permissões a painéis.
•
Exportar e importar painéis na página 245
Quando tiver definido completamente os painéis e os monitores, a forma mais rápida de os
migrar para outros servidores McAfee ePO é exportá-los e importá-los nos outros
servidores.
Gerir painéis
Pode criar, editar, duplicar, eliminar e atribuir permissões a painéis.
Antes de começar
Tem de ter permissão de gravação para um painel para poder modificá-lo.
Tarefa
1
Clique em Menu | Relatórios | Painéis, para navegar até à página Painéis.
2
Ação
Passos
Criar um
painel.
Para criar uma vista diferente no seu ambiente, crie um novo painel.
1 Clique em Ações do painel | Novo.
2 Introduza um nome, selecione uma opção de visibilidade do painel e clique em
OK.
É apresentado um novo painel em branco. Pode adicionar monitores ao novo
painel, conforme necessário.
Editar e
atribuir
permissões a
um painel.
Os painéis só estão visíveis aos utilizadores com permissão adequada. Aos painéis
são atribuídas permissões de forma idêntica às das consultas ou dos relatórios.
Podem ser totalmente privadas, totalmente públicas ou partilhadas com um ou
mais conjuntos de permissões.
1 Clique em Ações do painel | Editar.
2 Selecione uma permissão:
• Não partilhar este painel
• Partilhar este painel com todos
• Partilhar este painel com os seguintes conjuntos de permissões
Com esta opção, terá também de escolher um ou mais conjuntos de
permissões.
3 Clique em OK para alterar o painel.
É possível criar um painel com permissões mais extensas do que uma ou mais
consultas contidas no painel. Se fizer isto, os utilizadores que têm acesso aos
dados subjacentes verão a consulta quando abrirem o painel. Os utilizadores que
não têm acesso aos dados subjacentes receberão uma mensagem a informá-los
que não têm permissão para essa consulta. Se a consulta for privada para o
criador do painel, apenas ele pode modificar a consulta ou removê-la do painel.
244
Guia do produto
Painéis
20
Ação
Passos
Duplicar um
painel
Por vezes, o modo mais fácil de criar um novo painel é copiar um existente que
seja semelhante àquele que pretende.
1 Clique em Ações do painel | Duplicar.
2 O ePolicy Orchestrator atribui nomes ao duplicado ao adicionar "(copy)" ao nome
existente. Se pretender modificar este nome, faça isso agora e clique em OK.
É então aberto o painel duplicado.
O duplicado é uma cópia exata do painel original, incluindo todas as permissões.
Apenas o nome é alterado.
Eliminar um
painel.
1 Clique em Ações do painel | Eliminar.
2 Clique em OK para eliminar o painel.
O painel é eliminado e irá ver o painel predefinido do sistema. Os utilizadores que
tinham este painel como o último painel visualizado poderão ver o painel
predefinido do sistema da próxima vez que iniciarem sessão.
Exportar e importar painéis
Quando tiver definido completamente os painéis e os monitores, a forma mais rápida de os migrar
para outros servidores McAfee ePO é exportá-los e importá-los nos outros servidores.
Antes de começar
Para importar um painel, tem de ter acesso a um painel previamente exportado contido
num ficheiro XML.
Um painel exportado como um ficheiro XML pode ser importado para o mesmo sistema ou para um
sistema diferente.
Tarefa
1
Clique em Menu | Relatórios | Painéis.
2
Guia do produto
245
20
Painéis
Ação
Passos
Exportar
painel
1 Clique em Ações do painel | Exportar.
O browser tenta transferir um ficheiro XML de acordo com as definições do browser.
2 Guarde o ficheiro XML exportado numa localização apropriada.
Importar
painel .
1 Clique em Ações do painel | Importar.
É apresentada a caixa de diálogo Importar painel.
2 Clique em Procurar e selecione o ficheiro XML que contém um painel exportado. Clique
em Abrir.
É apresentada a caixa de diálogo de confirmação Importar painel. É apresentado o
nome do painel no ficheiro, bem como o modo como será chamado no sistema. Por
predefinição, este é o nome do painel conforme exportado com (importado)
adicionado.
4 Clique em OK. Se não pretende importar o painel, clique em Fechar.
É apresentado o painel importado. Independentemente das suas permissões no
momento em que são exportados, são dadas aos painéis importados permissões
privadas. Tem de definir explicitamente as permissões deles depois da importação.
Pode personalizar e manipular os monitores de painel.
Utilize estas tarefas quando trabalhar com monitores de painel.
Tarefas
•
Gerir monitores do painel na página 246
Pode criar, adicionar e remover monitores dos painéis.
•
Mover e redimensionar monitores do painel na página 247
Os monitores podem ser movidos e redimensionados para utilizar eficientemente o espaço
do ecrã.
Gerir monitores do painel
Pode criar, adicionar e remover monitores dos painéis.
Antes de começar
Tem de ter permissões de escrita para o painel que está a modificar.
Tarefa
246
1
Clique em Menu | Relatórios | Painéis. Selecione um painel a partir da lista pendente Painel.
2
Guia do produto
Painéis
Ação
Passos
Adicionar
um
monitor.
1 Clique em Adicionar monitor.
20
É apresentada a Galeria de monitores na parte superior do ecrã.
2 Selecione uma categoria de monitor na lista pendente Ver.
Os monitores disponíveis naquela categoria são apresentados na galeria.
3 Arraste um monitor para o painel. À medida que move o cursor no painel, a
localização para largar disponível que se encontra mais próxima é realçada. Largue
o monitor na localização pretendida.
É apresentada a caixa de diálogo Novo monitor.
4 Configure o monitor conforme necessário (cada monitor tem o seu próprio
conjunto de opções de configuração) e depois clique em OK.
5 Após ter adicionado monitores a este painel, clique em Guardar alterações para
guardar o painel recentemente configurado.
6 Quando tiver concluído as alterações, clique em Fechar.
Se adicionar um monitor Visualizador de URL personalizado que contenha o conteúdo do
Adobe Flash ou controlos do ActiveX para um painel, é possível que o conteúdo possa
obscurecer os menus do ePolicy Orchestrator, tornando as partes do menu
inacessíveis.
Editar o
monitor.
Cada tipo de monitor suporta opções de configuração diferentes. Por exemplo, um
monitor de consulta permite que a consulta, a base de dados e o intervalo de
atualização sejam alterados.
1 Escolha um monitor para gerir, clique na seta no canto superior esquerdo e
selecione Editar monitor.
É apresentada a caixa de diálogo de configuração do monitor.
2 Quando tiver concluído a modificação das definições do monitor, clique em OK. Se
decidir não fazer alterações, clique em Cancelar.
3 Se decidir manter as alterações resultantes no painel, clique em Guardar, caso
contrário clique em Rejeitar.
Remover o
monitor.
1 Escolha um monitor para remover, clique na seta no canto superior esquerdo e
selecione Remover monitor.
É apresentada a caixa de diálogo de configuração do monitor.
2 Quando tiver terminado de modificar o painel, clique em Guardar alterações. Para
reverter o painel ao seu estado anterior, clique em Rejeitar alterações.
Mover e redimensionar monitores do painel
Os monitores podem ser movidos e redimensionados para utilizar eficientemente o espaço do ecrã.
Antes de começar
Tem de ter permissões de escrita para o painel que está a modificar.
Pode alterar o tamanho de muitos monitores do painel. Se o monitor tiver pequenas linhas diagonais
no canto inferior direito, pode redimensioná-lo. Os monitores são movidos e redimensionados através
da funcionalidade de arrastar e largar dentro do painel atual.
Guia do produto
247
20
Painéis
Tarefa
1
Mova ou redimensione o monitor:
•
Para mover um monitor do painel:
1
Arraste o monitor pela sua barra de título até à localização pretendida.
À medida que move o cursor, o contorno de fundo do monitor muda para a localização
disponível mais próxima do monitor.
2
Quando o contorno de fundo do monitor tiver mudado para a localização que pretende,
largue o monitor.
Se tentar largar o monitor numa localização inválida, ele regressa à sua localização anterior.
•
Para redimensionar um monitor do painel:
1
Arraste o ícone de redimensionamento do canto inferior direito do monitor até uma
localização apropriada.
À medida que move o cursor, o contorno de fundo do monitor muda a forma para refletir o
tamanho suportado mais próximo da localização do cursor atual. Os monitores podem impor
um tamanho mínimo ou máximo.
2
Quando o contorno de fundo do monitor tiver mudado a forma para um tamanho que
pretende, largue o monitor.
Se tentar redimensionar o monitor para uma forma não suportada na localização atual do
monitor, ele regressa ao seu tamanho anterior.
2
Clique em Guardar alterações. Para reverter para a configuração anterior, clique em Rejeitar alterações.
O ePolicy Orchestrator é fornecido com diversos painéis predefinidos, cada um deles com os seus
próprios monitores predefinidos.
Todos os painéis, exceto os predefinidos (normalmente o Resumo McAfee ePO), são propriedade do
administrador que instalou o ePolicy Orchestrator. O administrador que realizou a instalação tem de
alterar as permissões nos painéis adicionais, antes que outros utilizadores do McAfee ePO possam
vê-las.
Painel Auditoria
O painel Auditoria oferece uma descrição geral das atividades relacionadas com o acesso que ocorrem
no seu servidor McAfee ePO. Os monitores incluídos neste painel são:
248
•
Tentativas de início de sessão falhadas nos últimos 30 dias — Apresenta uma lista, agrupada por utilizador, de
todas as tentativas de início de sessão falhadas nos últimos 30 dias.
•
Tentativas de início de sessão com êxito nos últimos 30 dias — Apresenta uma lista, agrupada por utilizador, de
todas as tentativas de início de sessão com êxito nos últimos 30 dias.
•
Histórico de alteração de atribuição de política por utilizador — Apresenta um relatório, agrupado por utilizador,
de todas as atribuições de política nos últimos 30 dias conforme registado no registo de auditoria.
•
Alterações das configurações por utilizador — Apresenta um relatório, agrupado por utilizador, de todas as
ações consideradas sensíveis nos últimos 30 dias conforme registado no registo de auditoria.
Guia do produto
Painéis
20
•
Configurações do servidor por utilizador — Apresenta um relatório agrupado por utilizadores de todas as
ações de configuração do servidor nos últimos 30 dias conforme registado no registo de auditoria.
•
Pesquisa de sistemas rápida — Pode pesquisar sistemas por nome do sistema, endereço IP, endereço
MAC, nome de utilizador ou GUID do agente.
Painel Resumo do McAfee ePO
O painel Resumo do McAfee ePO é um conjunto de monitores que fornecem informações de alto nível e
ligações para mais informações da McAfee. Os monitores incluídos neste painel são:
•
Sistemas por grupo de nível superior — Apresenta um gráfico de barras dos sistemas geridos, organizado
por grupo da Árvore de sistema de nível superior.
•
•
Ligações McAfee — Apresenta ligações ao suporte técnico da McAfee, ferramentas de escalamento,
biblioteca de informações sobre vírus e muito mais.
•
Resumo da conformidade do McAfee Agent e VirusScan Enterprise (para Windows) — Apresenta um gráfico circular
Booleano dos sistemas geridos no seu ambiente que estão conformes ou não conformes segundo a
versão do VirusScan Enterprise (para Windows), McAfee Agent e ficheiros DAT.
•
Histórico de deteção de malware — Apresenta um gráfico de linha com o número de deteções de vírus
internos ocorridas no último trimestre.
Painel Executivo
O painel Executivo disponibiliza um conjunto de monitores que fornecem alguns relatórios de alto nível
sobre ameaças de segurança e conformidade, com ligações a produtos mais específicos e informações
mais específicas da McAfee. Os monitores incluídos neste painel são:
•
Histórico de deteção de malware — Apresenta um gráfico de linha com o número de deteções de vírus
internos ocorridas no último trimestre.
•
Implementação do produto nas últimas 24 horas — Apresenta um gráfico circular booleano com todas as
implementações de produto nas últimas 24 horas. As implementações com êxito são mostradas a
verde.
•
Atualizações do produto nas últimas 24 horas — Apresenta um gráfico circular booleano com todas as
atualizações de produto nas últimas 24 horas. As atualizações com êxito são mostradas a verde.
Painel Implementação do produto
O painel Implementação do produto fornece uma descrição geral da implementação do produto e das
atividades de atualização na sua rede. Os monitores incluídos neste painel são:
•
Implementação do produto nas últimas 24 horas — Apresenta um gráfico circular booleano com todas as
implementações de produto nas últimas 24 horas. As implementações com êxito são mostradas a
verde.
•
Atualizações do produto nas últimas 24 horas — Apresenta um gráfico circular booleano com todas as
atualizações de produto nas últimas 24 horas. As atualizações com êxito são mostradas a verde.
•
Implementação do produto falhada nas últimas 24 horas — Apresenta um gráfico de barras para um único
grupo, agrupado por código do produto, com todas as implementações de produto falhadas nas
últimas 24 horas.
•
Guia do produto
249
20
Painéis
Especificar painéis predefinidos e intervalos de atualização do painel
•
Atualizações do produto falhadas nas últimas 24 horas — Apresenta um gráfico de barras para um único grupo,
agrupado por código do produto, com todas as atualizações de produto falhadas nas últimas 24
horas.
•
Desinstalações do agente tentadas nos últimos 7 dias — Apresenta um gráfico de barras único, agrupado por
dia, de todos os eventos cliente de desinstalação do agente nos últimos sete dias.
Especificar painéis predefinidos e intervalos de atualização do
painel
A definição do servidor dos Painéis especifica o painel predefinido que um utilizador vê ao iniciar
sessão no servidor, bem como a taxa na qual todos os painéis são atualizados.
Pode especificar o painel que um utilizador vê quando inicia sessão no servidor McAfee ePO pela
primeira vez, mapeando-o para o conjunto de permissões do utilizador. Mapear os painéis para os
conjuntos de permissões garante que os utilizadores atribuídos a uma determinada função sejam
automaticamente presenteados com as informações que necessitam. Os utilizadores com permissão
para ver outros painéis além dos predefinidos, podem ver o painel mais recente que viam sempre que
visitavam a página Painéis.
Ao utilizar a definição do servidor de Painéis, pode realizar as seguintes ações:
•
Configurar que painel é apresentado aos utilizadores que pertencem a um conjunto de permissões
que não possuem uma atribuição de painel predefinida.
•
Controlar a taxa de atualização automática dos painéis.
Os painéis são atualizados automaticamente. Sempre que ocorre uma atualização, a consulta
subjacente é executada e os resultados apresentados no painel. Quando os resultados da consulta
contêm uma grande quantidade de dados, um intervalo curto de atualização pode afetar a largura
de banda disponível. A McAfee recomenda que escolha um intervalo de atualização (5 minutos por
predefinição) que seja o suficientemente frequente para assegurar a apresentação de uma
informação precisa e pontual, sem consumir recursos da rede desnecessários.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Painéis a partir de Categorias de definição e
depois clique em Editar.
2
Selecione um conjunto de permissões e o painel predefinido dos menus.
Utilize
e
para adicionar ou remover vários painéis para cada conjunto de permissões ou
para as atribuições aos vários conjuntos de permissões.
3
250
Especifique um valor entre 1 minuto e 60 horas para o intervalo de atualização do monitor do
painel (5 minutos por predefinição), depois clique em Guardar.
Guia do produto
21
O ePolicy Orchestrator tem as suas próprias capacidades de consultas e relatórios. Estas são
altamente personalizáveis, flexíveis e fáceis de utilizar.
Estão incluídos o Criador de consultas e o Criador de relatórios que criam e executam consultas e relatórios
que resultam em dados configurados pelo utilizador e tabelas e gráficos também configurados pelo
utilizador. Os dados para estas consultas e os relatórios podem ser obtidos a partir de qualquer base
de dados externa ou interna registada no sistema do ePolicy Orchestrator.
Para além dos sistemas de consulta e relatório, pode utilizar os seguintes registos para recolher
informações sobre atividades que ocorram no servidor McAfee ePO e na rede:
•
•
Registo de tarefas de servidor
•
Para que possa começar, o software ePolicy Orchestrator inclui um conjunto de consultas predefinidas
que oferecem a mesma informação que os relatórios predefinidos das versões anteriores.
Conteúdo
Permissões de consulta e relatório
Acerca das consultas
Criador de consultas
Configurar consultas e relatórios pela primeira vez
Trabalhar com consultas
Consulta de agregação de vários servidores
Acerca dos relatórios
Estrutura de um relatório
Trabalhar com relatórios
Utilizar os servidores de base de dados
Trabalhar com servidores de base de dados
Página Editar grupo de consultas
Página Novo grupo de consultas
Página Guardar consulta (assistente Consulta)
Permissões de consulta e relatório
Restrinja o acesso a consultas e a relatórios de várias formas.
Para executar uma consulta ou relatório, necessita de permissões não apenas para aquela consulta ou
relatório, mas dos conjuntos de funcionalidades associados com os seus tipos de resultado. As páginas
de resultados de uma consulta apenas fornecerão acesso a ações permitidas dentro dos conjuntos de
permissões.
Guia do produto
251
21
Os grupos e conjuntos de permissões controlam o acesso a consultas e relatórios. Todas as consultas
e relatórios devem pertencer a um grupo e o acesso a essa consulta ou relatório é controlado pelo
nível de permissão do grupo. Os grupos de consultas e relatórios têm um dos seguintes níveis de
permissão:
•
Privado — o grupo está disponível apenas para o utilizador que o criou.
•
Público — o grupo é partilhado globalmente.
•
Por conjunto de permissões — o grupo só está disponível aos utilizadores a quem foram atribuídos os
conjuntos de permissões selecionados.
Os conjuntos de permissões têm quatro níveis de acesso às consultas e relatórios. Estas permissões
incluem:
•
Sem permissões — O separador Consulta ou Relatório não está disponível aos utilizadores sem
permissões.
•
Utilizar consultas públicas — Garante a permissão para utilizar qualquer consulta ou relatório que foram
colocados num Grupo público.
•
Utilizar consultas públicas; criar e editar consultas pessoais — Garante a permissão de utilizar qualquer consulta
ou relatório que tenha sido colocado num Grupo público, bem como a capacidade de utilizar um Criador
de consultas para criar e editar consultas ou relatórios em Grupos privados.
•
Utilizar consultas públicas; criar e editar consultas pessoais; tornar públicas as consultas pessoais — Garante permissão
de utilizar e editar qualquer consulta ou relatório colocado nos Grupos públicos, criar e editar
consultas e relatórios nos Grupos privados, bem como a capacidade de mover consultas e relatórios
dos Grupos privados para Públicos ou Grupos partilhados.
As consultas são questões essenciais que pergunta ao ePolicy Orchestrator e recebe as respostas em
diversas formas de gráficos e tabelas.
Uma consulta pode ser utilizada individualmente para obter uma resposta imediata. Todos os
resultados da consulta podem ser exportados para vários formatos e qualquer um deles pode ser
transferido ou enviado como anexo de uma mensagem de correio eletrónico. A maior parte das
consultas também pode ser utilizada como monitores do painel, ativando a monitorização do sistema
quase em tempo real. As consultas também podem ser combinadas em relatórios, dando uma
aparência mais ampla e sistemática ao sistema de software do ePolicy Orchestrator.
Os painéis e consultas predefinidos, enviados com ePolicy Orchestrator, não podem ser modificados ou
eliminados. Para alterá-los, duplique, mude o nome e modifique o painel ou consulta cujo nome foi
mudado.
Os resultados da consulta são acionáveis
Os resultados da consulta são agora acionáveis. Os resultados da consulta apresentados em tabelas (e
tabelas aprofundadas) possuem várias ações disponíveis para os itens selecionados na tabela. Por
exemplo, pode implementar agentes em sistemas numa tabela de resultados da consulta. As ações
estão disponíveis na parte inferior da página de resultados.
Consultas como monitores do painel
A maior parte das consultas pode ser utilizada como um monitor do painel (exceto aquelas que
utilizam uma tabela para apresentar os resultados iniciais). Os monitores do painel são atualizados
automaticamente num intervalo configurado pelo utilizador (cinco minutos, por predefinição).
252
Guia do produto
21
Resultados exportados
Os resultados da consulta podem ser exportados para quatro formatos diferentes. Os resultados
exportados são dados históricos e não são atualizados como os restantes monitores quando são
utilizados como monitores do painel. Tal como os resultados da consulta e os monitores baseados em
consultas apresentados na consola, pode pesquisar as exportações HTML para obter informações mais
detalhadas.
Ao contrário dos resultados da pesquisa na consola, os dados nos relatórios exportados não são
acionáveis.
Os relatórios estão disponíveis em vários formatos:
•
CSV — Utilize os dados numa aplicação de folha de cálculo (por exemplo, Microsoft Excel).
•
XML — Transforme os dados para outros fins.
•
HTML — Veja os resultados exportados como página Web.
•
PDF — Imprima os resultados.
Combinar consultas em relatórios
Os relatórios podem conter qualquer número de consultas, imagens, texto estático e outros itens.
Podem ser executados a pedido ou numa agenda regular e produzir uma saída em PDF para
visualização fora do ePolicy Orchestrator.
Partilhar consultas entre servidores
Qualquer consulta pode ser importada e exportada, permitindo-lhe partilhar consultas entre
servidores. Num ambiente multi-servidor, qualquer consulta precisa de ser criada apenas uma vez.
Obter dados de diferentes origens
As consultas podem obter dados a partir de qualquer servidor registado, incluindo bases de dados
externas ao ePolicy Orchestrator.
O ePolicy Orchestrator oferece um assistente fácil e de quatro passos utilizado para criar e editar
consultas personalizadas. Com o assistente pode configurar quais os dados que são obtidos e
apresentados e a forma como são apresentados.
Tipos de resultado
As primeiras seleções que faz no assistente do criador de consultas são os tipos de esquema e de
resultados de um grupo de funcionalidades. Esta seleção identifica de onde e de que tipo de dados as
consultas são obtidas e determina as seleções disponíveis no resto do assistente.
Tipos de gráficos
O ePolicy Orchestrator oferece um número de gráficos e tabelas para apresentar os dados obtidos.
Estes e as suas tabelas aprofundadas são altamente configuráveis.
As tabelas não incluem tabelas aprofundadas.
Os tipos de gráficos incluem:
Guia do produto
253
21
Tabela 21-1 Grupos de tipos de gráficos
Tipo
Gráfico ou Tabela
Barras
• Gráfico de barras
• Gráfico de barras agrupadas
• Gráfico de barras empilhadas
Circular
• Gráfico circular booleano
• Gráfico circular
Bolhas
• Gráfico de bolhas
Resumo
• Tabela de resumo de vários grupos
• Tabela de resumo para um único grupo
Linha
• Gráfico de várias linhas
• Gráfico de uma única linha
Lista
• Tabela
Colunas da tabela
Especifique as colunas para a tabela. Se selecionar Tabela como a visualização principal dos dados, esta
configura essa tabela. Se selecionar um tipo de gráfico como a visualização principal dos dados, esta
configura tabela aprofundada.
Os resultados da consulta apresentados numa tabela são acionáveis. Por exemplo, se a tabela é
povoada com sistemas, pode implementar ou ativar os agentes nesses sistemas diretamente a partir
da tabela.
Filtros
Especifique os critérios selecionando as propriedades e os operadores para limitar os dados obtidos
através da consulta.
Siga estes passos de nível alto quando configurar consultas e relatórios pela primeira vez.
1
Compreenda a funcionalidade das consultas, dos relatórios e do Criador de consultas.
2
Reveja as consultas e relatórios predefinidos e edite de acordo com o que necessitar.
3
Crie consultas e relatórios para as necessidades que não foram satisfeitas pelas consultas
predefinidas.
As consultas podem ser criadas, executadas, exportadas, duplicadas e muito mais, dependendo das
suas necessidades.
254
Guia do produto
21
Tarefas
•
Gerir consultas personalizadas na página 255
Pode criar, duplicar, editar e eliminar consultas conforme necessário.
•
Executar uma consulta existente na página 257
Pode executar consultas guardadas, por pedido.
•
Agendar a execução de uma consulta na página 257
Uma tarefa do servidor é utilizada para executar uma consulta regularmente. As consultas
podem ter subações que lhe permitem executar várias tarefas, tais como enviar os
resultados da consulta por correio eletrónico ou trabalhar com etiquetas.
•
Crie uma consulta para listar sistemas baseados em etiquetas na página 261
Pode executar uma consulta de acordo com uma agenda especificada para criar uma lista
que apresenta, aplica ou limpa etiquetas em sistemas baseados nas etiquetas selecionadas.
•
Criar um grupo de consultas na página 262
Os grupos de consultas permitem-lhe guardar as consultas ou os relatórios sem permitir
que outros utilizadores tenham acesso a eles.
•
Mover uma consulta para um grupo diferente na página 262
Altere as permissões de uma consulta, movendo-a para um grupo diferente.
•
Exportar e importar consultas na página 263
As consultas podem ser exportadas e importadas para garantir que diferentes servidores
McAfee ePO estejam a obter dados de forma idêntica.
•
Exportar os resultados da consulta para outros formatos na página 264
Os resultados da consulta podem ser exportados para uma variedade de formatos,
incluindo HTML, PDF, CSV e XML.
Gerir consultas personalizadas
Pode criar, duplicar, editar e eliminar consultas conforme necessário.
Tarefa
1
Clique em Menu | Relatórios | Consultas e Relatórios e é apresentada a página Consultas e relatórios
2
Guia do produto
255
21
Ação
Passos
Criar uma
consulta
personalizada.
1 Clique em Ações | Novo e é apresentada a página Criador de consultas.
2 Na página Tipo de resultado, selecione o Grupo de funcionalidades e Tipo de resultado
para esta consulta e depois clique em Seguinte.
3 Selecione o tipo de gráfico ou tabela para apresentar os resultados principais
da consulta e depois clique em Seguinte.
Se selecionar Gráfico circular booleano, tem de configurar os critérios para incluir
na consulta antes de continuar.
4 Selecione as colunas a serem incluídas na consulta e depois clique em
Seguinte.
Se selecionou Tabela na página Gráfico, as colunas que selecionar aqui são as
colunas dessa tabela. Caso contrário, estas são as colunas que compõem a
tabela dos detalhes da consulta.
5 Selecione as propriedades para restringir os resultados da pesquisa e depois
clique em Executar. A página Consulta não guardada apresenta os resultados da
consulta, que é acionável, por isso pode realizar quaisquer ações disponíveis
nos itens em algumas tabelas ou tabelas aprofundadas.
As propriedades selecionadas surgem no separador de conteúdo com
operadores que podem especificar os critérios utilizados para diminuir os
dados devolvidos para essa propriedade.
• Se parecer que a consulta não devolveu os resultados esperados, clique em
Editar consulta para voltar ao Criador de consultas e edite os detalhes desta
consulta.
• Se não precisar de guardar a consulta, clique em Fechar.
• Se esta for uma consulta que pretende utilizar novamente, clique em
Guardar e continue para o passo seguinte.
6 É apresentada a página Guardar consulta. Introduza o nome da consulta,
adicione quaisquer notas e selecione o seguinte:
• Novo grupo — Introduza o nome do novo grupo e selecione:
• Grupo privado (Os meus grupos)
• Grupo público (Grupos partilhados)
• Grupo existente — Selecione o grupo a partir da lista de Grupos partilhados.
O novo grupo é apresentado na lista Consultas.
Duplicar a
consulta.
1 Selecione na lista uma consulta a duplicar e clique em Ações | Duplicar.
2 Na caixa de diálogo Duplicar, introduza um nome para a duplicada e selecione
um grupo para receber uma cópia da consulta e depois clique em OK.
A consulta duplicada é apresentada na lista Consultas.
256
Guia do produto
Ação
21
Passos
Editar a consulta. 1 A partir da lista, selecione uma consulta para editar e em Ações | Editar.
É apresentada a página Criador de consultas a começar na página Tipo de gráfico.
2 Edite as definições da consulta e clique em Guardar quando terminar.
A consulta com as suas alterações é apresentada na lista Consultas.
Eliminar a
consulta.
1 A partir da lista, selecione uma consulta para eliminar e clique em Ações |
Eliminar.
2 Quando a caixa de diálogo de confirmação for apresentada, clique em Sim.
A consulta deixa de aparecer na lista Consultas. Se quaisquer relatórios ou
tarefas do servidor utilizavam a consulta, são agora apresentados como
inválidos até que remova a referência à consulta eliminada.
Executar uma consulta existente
Pode executar consultas guardadas, por pedido.
Tarefa
1
Clique em Menu | Relatórios | Consultas e Relatórios e depois selecione uma consulta da lista Consultas.
2
Clique em Ações | Executar. São apresentados os resultados da consulta. Aprofunde o relatório e
implemente ações nos itens conforme necessário.
As ações disponíveis dependem das permissões do utilizador.
3
Clique em Fechar quando terminar.
Agendar a execução de uma consulta
Uma tarefa do servidor é utilizada para executar uma consulta regularmente. As consultas podem ter
subações que lhe permitem executar várias tarefas, tais como enviar os resultados da consulta por
correio eletrónico ou trabalhar com etiquetas.
Tarefa
1
Clique em Menu | Automatização | Tarefas do servidor e depois clique em Ações | Nova tarefa.
2
Na página Descrição, denomine e descreva a tarefa e depois clique em Seguinte.
3
A partir do menu pendente Ações, selecione Executar consulta.
4
No campo Consulta, procure a consulta que pretende executar.
5
Selecione o idioma no qual apresentar os resultados.
Guia do produto
257
21
6
Na lista Subações, selecione uma subação a realizar com base nos resultados. As subações
disponíveis dependem das permissões do utilizador e dos produtos geridos pelo servidor McAfee
ePO. Estas são consultas incorporadas e subações disponíveis nos Grupos.
Categoria
Consulta
Subações
Gestão de agentes
Consulta de comunicação do agente
Enviar ficheiro por correio eletrónico
Resumo das versões do agente
Agentes inativos
Aplicar etiqueta
Atribuir política
Alterar o estado de ordenação
Limpar sequência de contagem de erros GUID do agente
Limpar a etiqueta
Eliminar sistemas
Excluir a etiqueta
Comando DC de envio de ficheiro
Mover GUID do Agente para Lista de duplicados e Eliminar
sistemas
Mover sistemas
Sistemas de instância
Comando DC de amostra
Definir as propriedades do utilizador
Deteções
Atribuição de política
Implementação do
produto
258
Nós geridos que têm falhas de imposição
de política do produto de ponto
Nós geridos que têm falhas de coleção de
política do produto de ponto
Utilização de repositórios e percentagem
Utilização do repositório baseada na
extração de DAT e do motor
Histórico de deteção de malware
As deteções de hoje por produto
Tarefas cliente aplicadas
Políticas aplicadas por nome do produto
Políticas aplicadas do McAfee Agent
Herança interrompida da atribuição de
tarefas de cliente
Histórico de alteração de atribuição da
política por utilizador (30 dias)
Desinstalações do agente tentadas nos
últimos 7 dias
Implementação do produto falhada nas
últimas 24 horas
Atualizações do produto falhadas nas
últimas 24 horas
Guia do produto
Categoria
Consulta
Subações
Novos agentes adicionados ao ePO por
semana
21
Êxito de implementação do produto (2401) Enviar ficheiro por correio eletrónico
e tendência de falhas (2402) nos últimos 2
meses
Gestão de sistemas
Atualizações do produto nas últimas 24
horas
Nomes de sistemas duplicados
Aplicar etiqueta
Atribuir política
Limpar a etiqueta
Eliminar sistemas
Excluir a etiqueta
sistemas
Mover sistemas
Sistemas por grupo de nível superior
Sistemas com sequências de erros altas
Aplicar etiqueta
Atribuir política
Limpar a etiqueta
Eliminar sistemas
Excluir a etiqueta
sistemas
Mover sistemas
Sistemas sem erros de sequência
recentes
Aplicar etiqueta
Atribuir política
Guia do produto
259
21
Categoria
Consulta
Subações
Limpar a etiqueta
Eliminar sistemas
Excluir a etiqueta
sistemas
Mover sistemas
Sistemas não geridos
Aplicar etiqueta
Atribuir política
Limpar a etiqueta
Eliminar sistemas
Excluir a etiqueta
sistemas
Mover sistemas
Eventos de ameaça
260
Todos os eventos de ameaça por grupo da Enviar ficheiro por correio eletrónico
árvore de sistemas
Descrições dos eventos de ameaça mais
numerosos nas últimas 24 horas
Eventos de ameaça nas últimas 2
semanas
Auditoria do utilizador Alterações das configurações por
utilizador (30 dias)
Tentativas de início de sessão falhadas
nos últimos 30 dias
Ações falhadas do utilizador na consola
ePO nos últimos 30 dias
Guia do produto
Categoria
Consulta
Subações
Configurações do servidor por utilizador
(30 dias)
Tentativas de início de sessão com êxito
nos últimos 30 dias
21
Não está limitado a selecionar uma ação para os resultados da consulta. Clique no botão + para
adicionar mais ações a realizar nos resultados da consulta. Tenha cuidado em colocar as ações na
sequência que pretende que sejam realizadas nos resultados da consulta.
7
Clique em Seguinte.
8
Agende a tarefa como pretender e depois clique em Seguinte.
9
Verifique a configuração da tarefa e depois clique em Guardar.
A tarefa é adicionada à lista na página Tarefas do servidor. Se a tarefa estiver ativada (o que está por
predefinição), é executada no próximo tempo agendado. Se a tarefa estiver desativada, é executada
apenas clicando em Executar junto da tarefa na página Tarefas do servidor.
Crie uma consulta para listar sistemas baseados em etiquetas
Pode executar uma consulta de acordo com uma agenda especificada para criar uma lista que
apresenta, aplica ou limpa etiquetas em sistemas baseados nas etiquetas selecionadas.
Tarefa
1
2
Na página Descrição, denomine e descreva a tarefa e depois clique em Seguinte.
3
4
No campo Consulta, selecione uma destas consultas a partir do separador Grupos McAfee e depois
clique em OK.
•
Agentes inativos
•
Nomes de sistemas duplicados
•
Sistemas com sequências de erros altas
•
Sistemas sem erros de sequência recentes
•
Sistemas não geridos
5
Selecione o idioma no qual apresentar os resultados.
6
Na lista Subações, selecione uma subação a realizar com base nos resultados.
•
Aplicar etiqueta — aplica uma etiqueta selecionada aos sistemas devolvidos pela consulta.
•
Limpar etiqueta — limpa a etiqueta selecionada nos sistemas devolvidos pela consulta. Selecione
Limpar tudo para remove todas as etiquetas dos sistemas nos resultados da consulta.
•
Excluir etiqueta — exclui os sistemas dos resultados da consulta que tiverem a etiqueta selecionada
aplicada.
Guia do produto
261
21
7
A partir da janela Selecionar etiqueta, selecione um grupo de etiquetas a partir da Árvore do grupo de
etiquetas e, opcionalmente, filtre a lista de etiquetas com a caixa de texto Etiquetas.
Não está limitado a selecionar uma ação para os resultados da consulta. Clique no botão + para
adicionar mais ações a realizar nos resultados da consulta. Tenha cuidado em colocar as ações na
sequência que pretende que sejam realizadas nos resultados da consulta. Por exemplo, pode aplicar
a etiqueta Servidor e depois remover a etiqueta Estação de trabalho. Também pode adicionar outras
subações, tais como atribuir uma política a sistemas.
8
Clique em Seguinte.
9
Agende a tarefa como pretender e depois clique em Seguinte.
10 Verifique a configuração da tarefa e depois clique em Guardar.
A tarefa é adicionada à lista na página Tarefas do servidor. Se a tarefa estiver ativada (o que está por
predefinição), é executada no próximo tempo agendado. Se a tarefa estiver desativada só é executada
se clicar em Executar junto da tarefa na página Tarefas do servidor.
Criar um grupo de consultas
Os grupos de consultas permitem-lhe guardar as consultas ou os relatórios sem permitir que outros
utilizadores tenham acesso a eles.
Criar um grupo permite-lhe categorizar as consultas e os relatórios por funcionalidade, bem como
controlar o acesso. A lista de grupos que vê no software do ePolicy Orchestrator é a combinação de
grupos que criou e de grupos que tem permissão para ver.
Também pode criar grupos de consultas privados enquanto guarda uma consulta personalizada.
Tarefa
1
Clique em Menu | Relatórios | Consultas e Relatórios e depois clique em Ações do grupo | Novo grupo.
2
Na página Novo grupo, introduza um nome de grupo.
3
A partir de Visibilidade do grupo, selecione um dos seguintes:
•
Grupo privado — Adiciona o novo grupo a Meus grupos.
•
Grupo público — Adiciona o novo grupo a Grupos partilhados. As consultas e os relatórios no grupo
podem ser vistos por qualquer utilizador com acesso a consultas e relatórios públicos.
•
Partilhado por conjunto de permissões — Adiciona o novo grupo a Grupos partilhados. Apenas os
utilizadores atribuídos aos conjuntos de permissões selecionado serão capazes de aceder aos
relatórios ou às consultas neste grupo.
Os administradores têm acesso completo as todas as consultas Por conjunto de permissões e Públicas.
4
Clique em Guardar.
Mover uma consulta para um grupo diferente
Altere as permissões de uma consulta, movendo-a para um grupo diferente.
262
Guia do produto
21
Tarefa
1
Clique em Menu | Relatórios | Consultas e Relatórios. Na lista Consultas, selecione a consulta que pretende
mover.
2
Clique em Ações e selecione uma das seguintes:
3
•
Mover para um grupo diferente — Selecione o grupo a partir do menu Selecionar grupo de destino.
•
Duplicar — Especifique um novo nome e selecione o grupo a partir do menu Grupo para receber a
cópia.
Clique em OK.
Exportar e importar consultas
As consultas podem ser exportadas e importadas para garantir que diferentes servidores McAfee ePO
estejam a obter dados de forma idêntica.
Tarefa
1
Abra a página Consultas selecionando Menu | Relatórios | Consultas e Relatórios e depois selecione o
separador Consulta.
2
Ação
Passos
Exportar
uma
consulta
1 Selecione o grupo que contém a consulta que pretende exportar da lista Grupos e
depois selecione a consulta que pretende exportar.
2 Clique em Ações | Exportar definições.
O servidor McAfee ePO envia um ficheiro XML ao browser. O que acontece a seguir
depende das definições do browser. Por predefinição, a maior parte dos browsers
solicitará que guarde o ficheiro.
O ficheiro XML exportado contém uma descrição completa de todas as definições
exigidas para replicar a consulta exportada.
Importar
uma
consulta
1 Clique em Ações | Importar definições.
2 Clique em Procurar para navegar e selecionar o ficheiro XML que contém o painel
que pretende importar.
3 Selecione um grupo existente ou um grupo novo para a consulta. Se for um grupo
novo, atribua o nome ao grupo e selecione se é privado ou público. Se for um
grupo existente, selecione o grupo ao qual se irá juntar a consulta importada.
É apresentado um ecrã de confirmação com as informações sobre a consulta
conforme existe no ficheiro XML e como será chamada após a importação. Se não
houver qualquer consulta válida no ficheiro selecionado, é apresentada uma
mensagem de erro.
5 Clique em OK para terminar a importação.
A consulta acabada de importar adquire as permissões do grupo de onde foi
importada.
Guia do produto
263
21
Exportar os resultados da consulta para outros formatos
Os resultados da consulta podem ser exportados para uma variedade de formatos, incluindo HTML,
PDF, CSV e XML.
Exportar os resultados da consulta difere, em alguns aspetos, da criação de um relatório. Em primeiro
lugar, não há informação adicional acrescentada à saída como pode fazer dentro de um relatório;
apenas os dados resultantes são incluídos. Além disso, são suportados mais formatos. Espera-se que
os resultados da consulta exportados possam ser utilizados em processamentos futuros, por isso os
formatos apropriados para máquina, como XML e CSV, são suportados. Os relatórios são concebidos
para leitura humana e, como tal, são apenas emitidos como ficheiros PDF.
Ao contrário dos resultados da consulta na consola, os dados exportados não são acionáveis.
Tarefa
1
Clique em Menu | Relatórios | Consultas e Relatórios e depois selecione uma ou mais consultas.
Também pode executar a consulta na página Consultas e clicar em Opções | Exportar dados na página
de resultados de consulta para aceder à página Exportar.
2
Clique em Ações | Exportar dados.
É apresentada a página Exportar.
3
Selecione o que pretende exportar. Para consultas baseadas em gráficos, selecione Apenas os dados do
gráfico ou Dados do gráfico e tabelas aprofundadas.
4
Selecione se pretende que os ficheiros de dados sejam exportados individualmente ou num único
arquivo (zip).
5
Selecione o formato do ficheiro exportado.
6
7
•
CSV — Utilize este formato para usar os dados numa aplicação de folha de cálculo (por exemplo,
Microsoft Excel).
•
XML — Utilize este formato para transformar os dados para outros fins.
•
HTML — Utilize este formato de relatório para ver os resultados exportados como página Web.
•
PDF — Utilize este formato de relatório quando precisar de imprimir os resultados.
Se exportar para um ficheiro PDF, configure o seguinte:
•
Selecione o Tamanho da página e a Orientação da página.
•
(Opcional) Mostrar os critérios de filtragem.
•
(Opcional) Incluir uma folha de rosto com este texto e incluir o texto necessário.
Selecione se pretende que os ficheiros sejam enviados por correio eletrónico como anexo aos
destinatários selecionados ou se devem ser guardados numa localização no servidor para a qual é
fornecida uma ligação. Pode abrir ou guardar o ficheiro noutra localização, clicando com o botão
direito do rato sobre o mesmo.
Ao introduzir vários endereços de correio eletrónico para destinatários, deve separar as entradas por
vírgula ou ponto e vírgula.
8
Clique em Exportar.
Os ficheiros são criados e enviados por correio eletrónico como anexos aos destinatários ou são
colocados numa página onde possa aceder aos ficheiros a partir de ligações.
264
Guia do produto
21
O ePolicy Orchestrator inclui a capacidade de executar consultas que fornecem dados resumidos de
várias bases de dados.
Utilize estes tipos de resultados no assistente do criador de consultas para este tipo de consulta:
•
Eventos de ameaça agregados
•
Sistemas geridos agregados
•
Eventos cliente agregados
•
Políticas aplicadas agregadas
•
Histórico de conformidades agregado
Os comandos de ação não podem ser gerados a partir de tipos de resultados de agregação.
Como funciona
Para agregar dados para utilização pelas consultas de agregação, tem de registar cada servidor
(incluindo o servidor local) que pretende incluir na consulta.
Quando os servidores estiverem registados, tem de configurar as tarefas de servidor de agregação de
dados no servidor de relatórios (o servidor que realiza os relatórios de vários servidores). As tarefas
de servidor de dados de agregação obtêm as informações de todas as bases de dados envolvidas no
relatório e povoam o EPORollup_ tables no servidor de relatórios. As consultas de agregação
destinam-se a estas bases de dados no servidor de relatórios.
Como um pré-requisito para executar uma consulta do Histórico de conformidades agregado, tem de
realizar duas ações preparatórias em cada servidor cujos dados pretende incluir:
•
Criar uma consulta para definir a conformidade
•
Gerar um evento de conformidade
Criar uma tarefa do servidor de dados de agregação
As tarefas do servidor de dados de agregação extraem dados de vários servidores em simultâneo.
Antes de começar
Tem de registar primeiro cada servidor de relatórios do ePolicy Orchestrator que pretende
incluir nos relatórios de agregação. O registo de todos os servidores é obrigatório para
recolher dados de resumo daqueles servidores para povoar as tabelas EPORollup_ do
servidor de relatórios de agregação.
O servidor de relatórios tem também de estar registado se os seus dados de resumo forem
incluídos nos relatórios de agregação.
Tarefa
1
2
Na página Descrição, introduza um nome e uma descrição para a tarefa e selecione se pretende
ativá-la e depois clique em Seguinte.
3
Clique em Ações e selecione Agregar dados.
4
A partir do menu pendente Agregar dados de: , selecione Todos os servidores registados ou Selecionar servidores
registados.
Guia do produto
265
21
5
Se escolher Selecionar servidores registados no passo anterior, clique em Selecionar e escolha os servidores
a partir dos quais pretende os dados na caixa de diálogo Selecionar servidores registados. Clique em OK.
6
Selecione o tipo de dados a serem agregados. Para selecionar vários dados, clique em + no fim do
cabeçalho da tabela.
Os tipos de dados Eventos de ameaça, Eventos cliente e Políticas aplicadas podem continuar a ser
configurados para incluir as propriedades adicionais Remover, Filtro e Método de agregação. Para
fazer isto, clique em Configurar na linha que descreve as propriedades adicionais disponíveis.
7
Clique em Seguinte.
É apresentada a página Agenda.
8
Agende a tarefa e depois clique em Seguinte.
É apresentada a página Resumo.
Se estiver a comunicar dados do histórico de conformidades agregadas, assegure-se que a unidade
de tempo da consulta do histórico de conformidades agregadas corresponde ao tipo de agenda das
tarefas do servidor Gerar evento de conformidade nos servidores registados.
9
Reveja as definições e depois clique em Guardar.
Criar uma consulta para definir a conformidade
As consultas de conformidade são necessárias nos servidores McAfee ePO cujos dados são utilizados
em consultas de agregação.
Tarefa
1
Clique em Menu | Relatórios | Consultas e relatórios e depois clique em Ações | Novo.
2
Na página Tipo de resultado, selecione Gestão de sistemas como Grupo de funcionalidades e selecione
Sistemas geridos como Tipos de resultados e depois clique em Seguinte.
3
Selecione Gráfico circular booleano a partir de Apresentar resultados como lista e depois clique em
Configurar critérios.
4
Selecione as propriedades a incluir na consulta, depois defina os operadores e os valores para cada
propriedade. Clique em OK. Quando for apresentada a página Gráfico e clique em Seguinte.
Estas propriedades definem o que está conforme para sistemas geridos por este servidor McAfee
ePO.
5
Selecione as colunas a serem incluídas na consulta e depois clique em Seguinte.
6
Selecione os ficheiros a serem aplicados à consulta, clique em Executar e depois clique em Guardar.
Gerar eventos de conformidade
Os eventos de conformidade são utilizados em consultas de agregação para agregar dados num único
relatório.
Tarefa
266
1
2
Na página Descrição, introduza um nome para a nova tarefa e depois clique em Seguinte.
Guia do produto
21
3
4
Clique em Procurar (...) junto ao campo Consulta e selecione uma consulta. É apresentada a caixa
de diálogo Selecionar uma consulta a partir de uma lista com o separador Os meus grupos ativo.
5
Selecione a consulta que define a conformidade. Esta pode ser uma consulta predefinida, como
Resumo da conformidade do McAfee Agent na secção Grupos McAfee partilhados ou uma consulta criada
pelo utilizador, como uma descrita em Criar uma consulta para definir a conformidade.
6
A partir do menu pendente Subações, selecione Gerar evento de conformidade e especifique a percentagem
ou o número dos sistemas de destino e depois clique em Seguinte.
Os eventos podem ser gerados pela tarefa gerar evento de conformidade se a não conformidade
ultrapassar uma percentagem definida ou um número de sistemas definidos.
7
Agende a tarefa para o intervalo de tempo necessário para os relatórios de Histórico de
conformidades. Por exemplo, se a conformidade tiver de ser recolhida numa base semanal, agende
a tarefa para ser executada semanalmente. Clique em Seguinte.
8
Reveja os detalhes e depois clique em Guardar.
Os relatórios combinam consultas e outros elementos em documentos PDF, oferecendo informações
detalhadas para análise.
Executa relatórios para saber o estado do seu ambiente — vulnerabilidades, utilização, eventos, por
exemplo — para que possa, desta forma, efetuar as alterações necessárias para manter o seu
ambiente seguro.
As consultas fornecem informações semelhantes, mas só podem ser utilizadas quando o utilizador
interage diretamente com um servidor do McAfee ePO. Os relatórios permitem-lhe englobar uma ou
mais consultas num único documento PDF, possibilitando análises centradas e offline.
Os relatórios são documentos configuráveis que apresentam dados de uma ou mais consultas,
retirando dados de uma ou mais bases de dados. O resultado mais recentemente executado para cada
relatório é armazenado no sistema e está imediatamente disponível para visualização.
É possível restringir o acesso a relatórios através da utilização de grupos e conjuntos de permissões,
da mesma forma que restringe o acesso a consultas. Os relatórios e as consultas podem utilizar os
mesmos grupos e, porque os relatórios consistem principalmente de consultas, isso permite o controlo
de acesso consistente.
Estrutura de um relatório
Os relatórios contêm um número de elementos mantidos dentro de um formato básico.
Ao mesmo tempo que os relatórios são altamente personalizáveis, têm uma estrutura básica que
contém todos os elementos de variação.
Guia do produto
267
21
Orientação e tamanho da página
O ePolicy Orchestrator suporta atualmente seis combinações de orientação e tamanho da página. A
saber:
Tamanhos da página:
•
US Letter (8.5" x 11")
•
US Legal (8.5" x 14")
•
A4 (210mm x 297mm)
Orientação:
•
Horizontal
•
Vertical
Cabeçalhos e rodapés
Os cabeçalhos e rodapés também têm a opção de utilizar um sistema predefinido ou podem ser
personalizados de várias formas, incluindo logótipos. Os elementos atualmente suportados para
cabeçalhos e rodapés são:
•
Logótipo
•
Nome de utilizador
•
Data/Hora
•
Texto personalizado
•
Número de página
Elementos da página
Os elementos da página fornecem o conteúdo do relatório. Podem ser combinados em qualquer
sequência e podem ser duplicados, se necessário. Os elementos da página oferecidos com o ePolicy
Orchestrator são:
•
Imagens
•
Tabelas de consulta
•
Texto estático
•
Gráficos de consulta
•
Quebras de página
Pode criar, editar e gerir relatórios que combinem consultas e outros elementos em documentos PDF
detalhados.
Estes documentos podem fornecer uma grande quantidade de dados úteis, mas existem algumas
tarefas a concluir, para criar uma coleção de relatórios que lhe seja útil.
268
Guia do produto
21
Tarefas
•
Criar um novo relatório na página 269
Pode criar novos relatórios e armazená-los no ePolicy Orchestrator.
•
Editar um relatório existente na página 269
Pode modificar os conteúdos de um relatório existente ou a sequência de apresentação.
•
Ver a saída do relatório na página 274
Veja a última versão executada de cada relatório.
•
Agrupar relatórios na página 274
Cada relatório tem de ser atribuído a um grupo
•
Executar relatórios na página 275
Os relatórios devem ser executados antes de examinar os seus resultados.
•
Executar um relatório com uma tarefa do servidor na página 275
Os relatórios podem ser executados automaticamente utilizando tarefas do servidor.
•
Exportar e importar relatórios na página 276
Os relatórios podem conter informações altamente estruturadas, por isso, exportá-los e
importá-los de um servidor para outro permite que os relatórios e a obtenção dos dados
sejam consistentemente realizados em todos os servidores McAfee ePO.
•
Configurar o modelo e a localização de relatórios exportados na página 276
Pode definir o aspeto e a localização de armazenamento das tabelas e painéis que exporta
como documentos.
•
Eliminar relatórios na página 277
Pode eliminar relatórios que já não estão a ser utilizados.
•
Configurar o Internet Explorer 8 para aceitar automaticamente transferências do McAfee
ePO na página 278
Como medida de segurança, o Microsoft Internet Explorer poderá bloquear a ocorrência
automática de transferências do ePolicy Orchestrator. Este comportamento pode ser
alterado com uma alteração da configuração do Internet Explorer.
Criar um novo relatório
Pode criar novos relatórios e armazená-los no ePolicy Orchestrator.
Tarefa
1
Clique em Menu | Relatórios | Consultas e relatórios e depois selecione o separador Relatório.
2
Clique em Ações | Novo.
É apresentada a página Esquema do relatório em branco.
3
Clique em Nome, descrição e grupo. Atribua ao relatório o nome que pretender e, como opção, dê-lhe
uma descrição e selecione um grupo apropriado para o relatório. Clique em OK.
4
Pode agora adicionar, remover, reorganizar elementos, personalizar o cabeçalho e o rodapé e
alterar o esquema da página. Em qualquer momento, pode verificar o seu progresso clicando em
Executar para executar o relatório.
5
Quando tiver terminado, clique em Guardar.
Editar um relatório existente
Pode modificar os conteúdos de um relatório existente ou a sequência de apresentação.
Se estiver a criar um novo relatório, acederá a este ecrã após clicar em Novo relatório.
Guia do produto
269
21
Tarefa
1
2
Selecione um relatório da lista, selecionando também a caixa de verificação junto ao respetivo
nome.
3
Clique em Editar.
É apresentada a página Esquema do relatório.
Qualquer uma das tarefas seguintes pode agora ser realizada no relatório.
Tarefas
•
Adicionar elementos a um relatório na página 270
Pode adicionar elementos novos a um relatório existente.
•
Configurar elementos de relatório da imagem na página 271
Carregue novas imagens e modifique as imagens utilizadas num relatório.
•
Configurar elementos do relatório de texto na página 271
Pode introduzir texto estático dentro de um relatório para explicar o seu conteúdo.
•
Configurar os elementos do relatório da tabela de consulta na página 272
Algumas consultas são mais bem apresentadas como tabela dentro de um relatório.
•
Configurar os elementos de relatório do gráfico de consulta na página 272
Algumas consultas são mais bem apresentadas como gráfico dentro de um relatório.
•
Personalizar cabeçalhos e rodapés de relatório na página 273
Os cabeçalhos e rodapés fornecem informação acerca do relatório.
•
Remover elementos de um relatório na página 273
Pode remover elementos de um relatório se já não forem necessários.
•
Reordenar elementos dentro de um relatório na página 274
Pode alterar a ordem em que os elementos aparecem dentro de um relatório.
Adicionar elementos a um relatório
Pode adicionar elementos novos a um relatório existente.
Antes de começar
Tem de ter um relatório aberto na página Esquema do relatório para realizar esta tarefa.
Tarefa
1
Selecione um elemento da Caixa de ferramentas e arraste-o sobre o Esquema do relatório.
2
Quando o elemento estiver sobre a localização pretendida, largue-o.
É necessária a configuração dos outros elementos do relatório exceto a Quebra de página. É
apresentada a página de configuração do elemento.
3
270
Depois de configurar o elemento, clique em OK.
Guia do produto
21
Configurar elementos de relatório da imagem
Carregue novas imagens e modifique as imagens utilizadas num relatório.
Antes de começar
Tem de ter um relatório aberto na página Esquema do relatório.
Tarefa
1
Para configurar uma imagem que já se encontra num relatório, clique na seta no canto superior
esquerdo da imagem. Clique em Configurar.
Isto apresenta a página Configurar imagem. Se adicionar uma imagem ao relatório, é apresentada a
página Configurar imagem imediatamente após largar o elemento Imagem no relatório.
2
Para usar uma imagem existente, selecione-a a partir da galeria.
3
Para utilizar uma nova imagem, clique em Procurar e selecione a imagem a partir do computador.
Clique em OK.
4
Se pretender especificar uma largura de imagem específica, introduza-a no campo Largura da imagem.
Por predefinição, a imagem é apresentada na sua largura atual sem redimensionamento, exceto se
essa largura for superior à largura disponível na página. Neste caso, será redimensionada para a
largura disponível mantendo a proporção intacta.
5
Selecione se pretende a imagem alinhada à esquerda, ao centro ou à direita.
6
Clique em OK.
Configurar elementos do relatório de texto
Pode introduzir texto estático dentro de um relatório para explicar o seu conteúdo.
Antes de começar
Tarefa
1
Para configurar texto que já se encontra num relatório, clique na seta no canto superior esquerdo
do elemento de texto. Clique em Configurar.
Isto apresenta a página Configurar texto. Se adicionar texto novo ao relatório, é apresentada a página
Configurar texto imediatamente após largar o elemento Texto no relatório.
2
Edite o texto existente na caixa de edição Texto ou adicione texto novo.
3
Altere o tamanho do tipo de letra conforme adequado.
A predefinição é tipo 12 pt.
4
Selecione o alinhamento de texto: à esquerda, ao centro ou à direita.
5
Clique em OK.
O texto que introduziu aparece no elemento de texto dentro do esquema do relatório.
Guia do produto
271
21
Configurar os elementos do relatório da tabela de consulta
Algumas consultas são mais bem apresentadas como tabela dentro de um relatório.
Antes de começar
Tarefa
1
Para configurar uma tabela que já se encontra num relatório, clique na seta no canto superior
Isto apresenta a página Configurar tabela de consulta. Se adicionar uma tabela de consulta ao relatório, é
apresentada a página Configurar tabela de consulta imediatamente após largar o elemento Tabela de consulta
no relatório.
2
Selecione uma consulta a partir da lista pendente Consulta.
3
Selecione a base de dados a partir da lista pendente Base de dados com a qual irá realizar a consulta.
4
Selecione o tamanho do tipo de letra utilizado para apresentar os dados da tabela.
A predefinição é tipo 8pt.
5
Clique em OK.
Configurar os elementos de relatório do gráfico de consulta
Algumas consultas são mais bem apresentadas como gráfico dentro de um relatório.
Antes de começar
Tarefa
1
Para configurar um gráfico que já se encontra num relatório, clique na seta no canto superior
Isto apresenta a página Configurar gráfico de consulta. Se adicionar um novo gráfico de consulta ao
relatório, é apresentada a página Configurar gráfico de consulta imediatamente após largar o elemento
Tabela de consulta no relatório.
2
Selecione uma consulta a partir da lista pendente Consulta.
3
Selecione se pretende apresentar apenas o gráfico, apenas a legenda ou uma combinação dos dois.
4
Se escolheu apresentar o gráfico e a legenda, selecione o modo como o gráfico e a legenda são
posicionados um em relação ao outro.
5
Selecione o tamanho do tipo de letra utilizado para apresentar a legenda.
A predefinição é tipo 8 pt.
6
Selecione a altura da imagem do gráfico em píxeis.
A predefinição é um terço da altura da página.
7
272
Clique em OK.
Guia do produto
21
Personalizar cabeçalhos e rodapés de relatório
Os cabeçalhos e rodapés fornecem informação acerca do relatório.
Existem seis localizações fixas dentro do cabeçalho e rodapé que podem conter campos de dados
diferentes. Três encontram-se no cabeçalho, três no rodapé.
O cabeçalho contém um logótipo alinhado à esquerda e dos campos alinhados à direita, um sobre o
outro. Estes campos podem conter um de quatro valores:
•
Nada
•
Data/Hora
•
Número de página
•
Nome de utilizador do utilizador que executa o relatório
O rodapé contém três campos. Um alinhado à esquerda, um ao centro e outro alinhado à direita. Estes
três campos também podem conter os mesmos valores listados atrás, bem como texto personalizado.
Tarefa
1
Clique em Menu | Relatórios | Consultas. Selecione o separador Relatório.
2
Selecione um relatório e clique em Ações | Editar.
3
Clique em Cabeçalho e rodapé.
4
Por predefinição, os relatórios utilizam a definição do sistema para cabeçalhos e rodapés. Se não
quiser isto, desmarque Utilizar predefinição do servidor.
Para alterar as definições do sistema para os cabeçalhos e rodapés, clique em Menu | Configuração |
Definições do servidor e depois selecione Impressão e exportação e clique em Editar.
5
Para alterar o logótipo, clique em Editar logótipo.
a
Se pretender que o logótipo seja texto, selecione Texto e introduza o texto na caixa de edição.
b
Para carregar um novo logótipo, selecione Imagem depois procure e selecione a imagem no seu
computador e clique em OK.
c
Para utilizar um logótipo previamente carregado, selecione-o.
d
Clique em Guardar.
6
Altere os campos de cabeçalho e rodapé para corresponderem aos dados pretendidos e depois
clique em OK.
7
Clique em Guardar para guardar as alterações ao relatório.
Remover elementos de um relatório
Pode remover elementos de um relatório se já não forem necessários.
Tarefa
1
Clique em Menu | Relatórios | Consultas e Relatórios e depois selecione o separador Relatório.
2
Guia do produto
273
21
3
Clique na seta no canto superior esquerdo do elemento que pretende eliminar e depois clique em
Remover.
O elemento é removido do relatório.
4
Para guardar as alterações no relatório, clique em Guardar.
Reordenar elementos dentro de um relatório
Pode alterar a ordem em que os elementos aparecem dentro de um relatório.
Tarefa
1
2
Selecione um relatório a partir da lista e clique em Ações | Editar.
3
Para mover um elemento, clique na barra de título do elemento e arraste-o para uma nova posição.
O posicionamento do elemento sob o elemento arrastado mudará conforme mover o cursor pelo
relatório. São apresentadas barras vermelhas ao lado do relatório se o cursor estiver sobre uma
posição ilegal.
4
Quando o elemento estiver posicionado onde pretende, largue-o.
5
Ver a saída do relatório
Veja a última versão executada de cada relatório.
Sempre que um relatório é executado, os resultados são armazenados no servidor e apresentados na
lista de relatórios.
Sempre que um relatório é executado, os resultados anteriores são apagados e não podem ser obtidos.
Se estiver interessado em comparar diferentes execuções do mesmo relatório, é recomendável que
arquive a saída em algum lugar.
Tarefa
1
2
Na lista de relatórios, irá ver uma coluna Último resultado executado. Cada entrada nesta coluna é uma
ligação para obter o PDF que resultou da última execução com êxito daquele relatório. Clique numa
ligação desta coluna para obter um relatório.
É aberto um PDF dentro do browser e o browser comportar-se-á como foi configurado para aquele tipo
de ficheiro.
Agrupar relatórios
Cada relatório tem de ser atribuído a um grupo
Inicialmente, ao serem criados, os relatórios são atribuídos a um grupo, mas esta atribuição pode ser
alterada mais tarde. As razões mais comuns para agrupar relatórios são as de recolher relatórios
semelhantes em conjunto ou de gerir permissões para certos relatórios.
274
Guia do produto
21
Tarefa
1
2
3
Clique em Nome, descrição e grupo.
4
Selecione um grupo a partir da lista pendente Grupo de relatórios e clique em OK.
5
Quando seleciona o grupo escolhido a partir da lista Grupos no painel esquerdo da janela de relatórios,
o relatório é apresentado na lista de relatórios.
Executar relatórios
Os relatórios devem ser executados antes de examinar os seus resultados.
Os relatórios podem ser executados em três localizações diferentes do ePolicy Orchestrator:
•
Na listagem do relatório
•
Dentro de uma tarefa do servidor
•
Na página Esquema do relatório ao criar um novo ou editar um relatório já existente.
Este tópico explica como executar relatórios a partir da listagem de relatórios.
Tarefa
1
2
Selecione um relatório da lista de relatórios e depois clique em Ações | Executar.
Quando o relatório está concluído, o PDF resultante é enviado para o browser. É apresentado ou
transferido de acordo com as definições do browser.
Alguns relatórios demoram algum tempo a concluir. É possível ter mais do que um relatório a executar
em simultâneo, mas não pode iniciar mais do que um relatório de cada vez na interface. Quando
relatório está concluído, a coluna Último resultado executado na lista de relatórios é atualizada com uma
ligação ao PDF que contém aqueles resultados.
Executar um relatório com uma tarefa do servidor
Os relatórios podem ser executados automaticamente utilizando tarefas do servidor.
Se pretende que um relatório seja executado sem intervenção manual, uma tarefa do servidor é a
melhor opção. Esta tarefa cria um novo servidor permitindo execuções automáticas e agendadas de
um determinado relatório.
Tarefa
1
2
Atribua à tarefa um Nome apropriado, Notas adicionais e se pretende que a tarefa tenha um Estado do
agendamento. Clique em Seguinte.
Se pretende que a tarefa seja executada automaticamente, defina Estado do agendamento para Ativado.
Guia do produto
275
21
3
Na lista pendente Ações, selecione Executar relatório. Selecione o relatório a executar e o idioma de
destino. Clique em Seguinte.
4
Escolha o Tipo de agenda (a frequência), Data de início, Data de fim, e a hora na Agenda para executar o
relatório. Clique em Seguinte.
A informação da agenda apenas será utilizada se ativar o Estado do agendamento.
5
Clique em Guardar para guardar a tarefa do servidor.
A nova tarefa é apresentada na lista Tarefas do servidor.
Exportar e importar relatórios
Os relatórios podem conter informações altamente estruturadas, por isso, exportá-los e importá-los de
um servidor para outro permite que os relatórios e a obtenção dos dados sejam consistentemente
realizados em todos os servidores McAfee ePO.
Tarefa
1
Abra a página Consultas selecionando Menu | Relatório | Consultas e Relatórios e depois selecione o
separador Relatório.
2
Ação
Passos
Exportar
um
relatório
1 Selecione o grupo que contém o(s) relatório(s) que pretende exportar a partir da
lista Grupos.
2 Selecione o(s) relatório(s) que pretende exportar e depois clique em Ações |
Exportar.
O servidor McAfee ePO envia um ficheiro XML ao browser. O que acontece depende
das definições do browser. Por predefinição, a maior parte dos browsers solicitará
que guarde o ficheiro.
O relatório exportado contém as definições de todos os itens contidos no relatório.
Isto inclui as definições da base de dados externa, as consultas, os gráficos e outros.
Importar
um
relatório
1 Na página Relatório, clique em Ações | Importar.
2 Clique em Procurar para navegar e selecionar o ficheiro XML que contém o relatório
que pretende importar.
3 Selecione um grupo novo ou existente para o relatório. Se for um grupo novo,
atribua o nome ao grupo e selecione se é privado ou público. Se for um grupo
existente, selecione o grupo ao qual se irá juntar o relatório importado.
4 Clique em OK.
5 Clique em Importar para finalizar a importação.
Os relatórios acabados de importar adquirem as permissões do grupo de onde foram
importados.
Configurar o modelo e a localização de relatórios exportados
Pode definir o aspeto e a localização de armazenamento das tabelas e painéis que exporta como
documentos.
Ao utilizar a definição do servidor Impressão e exportação, pode configurar:
276
Guia do produto
•
Cabeçalhos e rodapés, incluindo um logótipo personalizado, nome, numeração da página, etc.
•
Tamanho e orientação da página para impressão.
•
Diretório onde são armazenados as tabelas e os painéis exportados.
21
Tarefa
1
Clique em Menu | Configuração | Definições do servidor e depois selecione Impressão e exportação na lista
Definições.
2
Clique em Editar. É apresentada a página Editar impressão e exportação.
3
Na secção Cabeçalhos e rodapés dos documentos exportados, clique em Editar logótipo para abrir a página
Editar logótipo.
a
b
Selecione Texto e introduza o texto que pretende incluir no cabeçalho do documento ou faça um
dos seguintes:
•
Selecione Imagem e procure o ficheiro de imagem, como o logótipo da empresa.
•
Selecione o logótipo McAfee predefinido.
Clique em OK para voltar à página Editar impressão e exportação.
4
A partir das listas pendentes, selecione todos os metadados que pretende apresentar no cabeçalho
e no rodapé.
5
Selecione um Tamanho da página e uma Orientação da página.
6
Introduza uma nova localização ou faça uma exceção à localização predefinida para guardar os
documentos exportados.
7
Clique em Guardar.
Eliminar relatórios
Pode eliminar relatórios que já não estão a ser utilizados.
Antes de começar
Para eliminar um relatório, é necessário editar as permissões desse relatório.
Tarefa
1
2
Selecione um ou mais relatórios para eliminar na lista de relatórios.
3
Clique em Ações | Eliminar. Se tiver a certeza do que pretende fazer, clique em Sim.
Os relatórios são eliminados. Todas as tarefas do servidor referentes aos relatórios eliminados deixam
de ser válidas.
Guia do produto
277
21
Configurar o Internet Explorer 8 para aceitar automaticamente
transferências do McAfee ePO
Como medida de segurança, o Microsoft Internet Explorer poderá bloquear a ocorrência automática de
transferências do ePolicy Orchestrator. Este comportamento pode ser alterado com uma alteração da
configuração do Internet Explorer.
Determinadas operações no ePolicy Orchestrator, tais como executar um relatório ou exportar
informação para um ficheiro XML, podem fazer com que o Internet Explorer 8 o notifique de que uma
transferência foi bloqueada.
O Internet Explorer apresenta esta notificação numa barra amarela imediatamente abaixo da barra de
separadores com a indicação Para ajudar a proteger a sua segurança, o Internet Explorer
bloqueou este site de transferir ficheiros para o seu computador. Clique aqui para
opções.... Se clicar nesta mensagem, é-lhe dada a opção de transferir o ficheiro bloqueado apenas
desta vez. No entanto, a mensagem volta a aparecer na próxima vez que o ePolicy Orchestrator tentar
enviar-lhe um ficheiro. Para fazer com que esta mensagem desapareça permanentemente, faça o
seguinte:
Tarefa
1
No Internet Explorer 8, selecione Ferramentas | Opções da Internet.
2
Selecione o separador Segurança e clique em Intranet local.
Se tiver tornado o servidor McAfee ePO num site fidedigno, clique em Sites fidedignos em vez de
Intranet local.
3
Clique em Nível personalizado....
4
Desloque para baixo para a opção Resposta automática para transferência de ficheiros e defina-a para Ativar.
Clique em OK e clique em Sim para confirmar a sua opção.
5
Clique em OK para fechar a caixa de diálogo Opções da Internet.
Ao tentar de novo a operação original transfere o ficheiro solicitado sem que seja apresentada a barra
amarela de atenção.
O ePolicy Orchestrator pode obter dados não só a partir das suas próprias bases de dados, como
também a partir de algumas extensões.
Poderá precisar de registar diferentes tipos de servidores para executar as tarefas dentro do ePolicy
Orchestrator. Estes podem incluir servidores de autenticação, catálogos do Active Directory, servidores
do McAfee ePO e servidores de base de dados que trabalham com extensões específicas que tenha
instalado.
Tipo de base de dados
Uma extensão pode registar um tipo de base de dados, também conhecido como um esquema ou
estrutura, dentro do ePolicy Orchestrator. Se assim for, esta extensão pode oferecer dados para
consultas, relatórios, monitores de painel e tarefas do servidor. Para utilizar estes dados, primeiro tem
de registar o servidor com o ePolicy Orchestrator.
278
Guia do produto
21
Servidor de base de dados
Um servidor da base de dados é uma combinação de um servidor e de um tipo de base de dados
instalada nesse servidor. Um servidor pode hospedar mais do que um tipo de base de dados e um tipo
de base de dados pode ser instalado em vários servidores. Cada combinação específica dos dois deve
ser registada separadamente e referida como um servidor da base de dados.
Após registar um servidor da base de dados, pode obter dados da base de dados em consultas,
relatórios, monitores de painel e tarefas do servidor. Se mais do que uma base de dados que utiliza o
mesmo tipo de base de dados estiver registada, será solicitado a selecionar uma delas como
predefinida para aquele tipo de base de dados.
Os servidores da base de dados podem ser registados, modificados, vistos e eliminados.
Tarefas
•
Modificar o registo de uma base de dados na página 279
Se as informações da ligação ou as credenciais do início da sessão para um servidor da
base de dados alterarem, tem de modificar o registo para refletir o estado atual.
•
Remover uma base de dados registada na página 279
Pode remover bases de dados do sistema quando já não forem necessárias.
Modificar o registo de uma base de dados
Se as informações da ligação ou as credenciais do início da sessão para um servidor da base de dados
alterarem, tem de modificar o registo para refletir o estado atual.
Tarefa
1
Abra a página Servidores registados selecionando Menu | Configuração | Servidores registados.
2
Selecione uma base de dados para editar e depois clique em Ações | Editar.
3
Altere o nome ou as notas do servidor e depois clique em Seguinte.
4
Modifique a informação conforme apropriado. Se precisar de verificar a ligação da base de dados,
clique em Testar ligação.
5
Clique em Guardar para guardar as suas alterações.
Remover uma base de dados registada
Pode remover bases de dados do sistema quando já não forem necessárias.
Tarefa
1
Abra a página Servidores registados: selecione Menu | Configuração | Servidores registados.
2
Selecione uma base de dados para eliminar e clique em Ações | Eliminar.
3
Quando a caixa de diálogo de confirmação for apresentada, clique em Sim para eliminar a base de
dados.
Guia do produto
279
21
A base de dados foi eliminada. Quaisquer consultas, relatórios ou outros itens do ePolicy Orchestrator
que usavam a base de dados eliminada, serão marcados como inválidos até serem atualizados para
utilizarem uma outra base de dados.
Utilize esta página para editar as definições do grupo de consultas.
Tabela 21-2 Definições de opções
Opção
Definição
Nome do grupo
Especifica o nome do grupo de consultas.
Visibilidade do grupo Especifica a visibilidade do grupo de consultas para um utilizador, incluindo:
• Grupo privado (Minhas consultas) — O grupo de consultas está apenas visível ao
utilizador com sessão iniciada.
• Grupo público (Consultas partilhadas) — O grupo de consultas está visível a todos.
• Por conjunto de permissões (Consultas partilhadas) — O grupo de consultas está visível a
utilizadores com determinadas permissões.
Consulte também
Acerca dos relatórios na página 267
Estrutura de um relatório na página 267
Trabalhar com relatórios na página 268
Página Novo grupo de consultas
Utilize esta página para criar um novo grupo de consultas.
Opção
Definição
Nome do grupo
Especifica o nome do grupo de consultas.
Visibilidade do grupo Especifica a visibilidade do grupo de consultas para um utilizador, incluindo:
• Grupo privado (Minhas consultas) — O grupo de consultas está apenas visível ao
utilizador com sessão iniciada.
• Grupo público (Consultas partilhadas) — O grupo de consultas está visível a todos.
• Por conjunto de permissões (Consultas partilhadas) — O grupo de consultas está visível a
utilizadores com determinadas permissões.
Consulte também
Configurar consultas e relatórios pela primeira vez na página 254
Trabalhar com relatórios na página 268
280
Guia do produto
21
Utilize esta página para guardar uma consulta nova ou editada.
Opção Definição
Nome
Introduza o nome da consulta.
Notas
Introduza qualquer descrição ou informação sobre a consulta.
Grupo
Especifica a configuração do grupo, incluindo:
• Novo grupo — Introduza o nome do novo grupo.
• Grupo privado (Meus grupos) — O grupo de consultas está apenas visível ao utilizador com
sessão iniciada.
• Grupo público (Grupos partilhados) — O grupo de consultas está visível a todos.
• Grupo existente — Selecione um dos grupos partilhados disponíveis na lista.
Consulte também
Configurar consultas e relatórios pela primeira vez na página 254
Guia do produto
281
21
282
Guia do produto
22
Problemas
Os problemas são itens da ação que podem ser priorizados, atribuídos e monitorizados.
Conteúdo
Problemas e como funcionam
Trabalhar com problemas
Remover problemas resolvidos
Emissão de tickets com o McAfee ePO
Problemas e como funcionam
O modo como os problemas são geridos é definido pelos utilizadores com permissões apropriadas e as
extensões do produto gerido instaladas.
O estado, a prioridade, a gravidade, a resolução, o detentor da atribuição e a data de conclusão de um
problema são todos definidos pelo utilizador e podem ser configurados a qualquer momento. Também
pode especificar respostas do problema predefinidas a partir da página Respostas Automáticas. Estas
predefinições são automaticamente aplicadas quando um problema é criado, baseadas na reposta
configurada pelo utilizador. As respostas também permitem que vários eventos sejam agregados num
único problema para que o servidor do McAfee ePO não seja sobrecarregado com um grande número
de problemas.
Os problemas podem ser eliminados manualmente e os problemas fechados podem ser manualmente
removidos com base nas suas idades e automaticamente removidos através de uma tarefa do servidor
configurada pelo utilizador.
Pode criar, atribuir, ver os seus detalhes, editar, eliminar e remover problemas.
Tarefas
•
Criar problemas básicos manualmente na página 284
Os problemas básicos podem ser criados manualmente. Os problemas não básicos têm de
ser criados automaticamente.
•
Configurar respostas para criar problemas automaticamente na página 284
Utilize respostas para criar problemas automaticamente quando ocorrerem determinados
eventos.
•
Gerir problemas na página 285
Pode adicionar comentários, atribuir, eliminar, editar e ver detalhes de problemas.
Guia do produto
283
22
Problemas
Criar problemas básicos manualmente
Os problemas básicos podem ser criados manualmente. Os problemas não básicos têm de ser criados
automaticamente.
Tarefa
1
Clique em Menu | Automatização | Problemas e, em seguida, clique em Ações | Novo problema.
2
Na caixa de diálogo Novo problema, selecione Básico na lista pendente Criar problema de tipo e depois
clique em OK.
3
Configure o novo problema.
Utilize isto...
Para fazer isto...
Nome
Introduza um nome significativo do problema.
Descrição
Introduza uma descrição significativa do problema.
Estado
Atribua um estado ao problema:
• Desconhecido
• Resolvido
• Novo
• Fechado
• Atribuir
Prioridade
Gravidade
Resolução
Atribua uma prioridade ao problema:
• Desconhecida
• Média
• Mais baixa
• Alta
• Baixa
• Mais alta
Atribua uma gravidade ao problema:
• Desconhecida
• Média
• Mais baixa
• Alta
• Baixa
• Mais alta
Atribua uma resolução ao problema. A resolução do problema pode ser
atribuída assim que o problema for processado:
• Nenhum
• Corrigido
• Ignorado
• Não será corrigido
Detentor da atribuição Introduza o nome de utilizador da pessoa atribuída ao problema ou escolha-o
clicando em ...
Data de conclusão
4
Selecione se o problema tem uma data de conclusão e, se tiver, atribua uma
data e hora em que o problema expira. Não são permitidas datas de conclusão
passadas.
Clique em Guardar.
Configurar respostas para criar problemas automaticamente
Utilize respostas para criar problemas automaticamente quando ocorrerem determinados eventos.
284
Guia do produto
Problemas
22
Tarefa
1
Clique em Menu | Automatização | Respostas automáticas, em seguida, clique em Ações e selecione Nova
resposta.
É apresentada a página Descrição do Criador de respostas.
2
Preencha os campos e depois clique em Seguinte.
3
Selecione as propriedades para restringir os eventos que acionam a resposta e, em seguida, clique
em Seguinte.
4
Selecione a frequência de eventos necessária para gerar uma resposta, um método para agrupar
eventos e o período de tempo máximo que pretende atribuir à ocorrência desta resposta e depois
clique em Seguinte.
5
Selecione Criar problema na lista pendente e, em seguida, selecione o tipo de problema a criar.
Esta escolha determina as opções que são apresentadas nesta página.
6
Introduza um nome e uma descrição para o problema. Opcionalmente, selecione uma ou mais
variáveis para o nome e a descrição.
Esta funcionalidade oferece um número de variáveis que fornecem informações para ajudar a
corrigir o problema.
7
Introduza ou selecione quaisquer opções adicionais da resposta e depois clique em Seguinte.
8
Reveja os detalhes da resposta e, em seguida, clique em Guardar.
Gerir problemas
Pode adicionar comentários, atribuir, eliminar, editar e ver detalhes de problemas.
Tarefa
1
Clique em Menu | Automatização | Problemas.
2
Realize as tarefas que pretende.
Tarefa
Adicionar
comentários a
problemas
1 Selecione a caixa de verificação junto de cada problema que pretende
comentar e depois clique em Ação | Adicionar comentário.
2 No painel Adicionar comentário, introduza o comentário que pretende
adicionar aos problemas selecionados.
3 Clique em OK para adicionar o comentário.
Atribuir problemas
Selecione a caixa de verificação junto de cada problema que pretende
atribuir e depois clique em Atribuir ao utilizador.
Apresente as
colunas necessárias
na página
Problemas
Clique em Ações | Escolher colunas. Selecione colunas de dados a serem
apresentadas na página Problemas.
Eliminar problemas
1 Selecione a caixa de verificação junto de cada problema que pretende
eliminar e depois clique em Eliminar.
2 Clique em OK na Ação para eliminar os problemas selecionados.
Guia do produto
285
22
Problemas
Tarefa
Editar problemas
1 Selecione a caixa de verificação junto de um problema e depois clique em
Editar.
2 Edite o problema conforme necessário.
Exportar a lista de
problemas
Clique em Ações | Exportar tabela. É apresentada a página Exportar. A partir da
página Exportar pode especificar o formato dos ficheiros a serem exportados,
assim como o modo como são compactados (por exemplo, num ficheiro zip)
e aquilo que deve fazer com os ficheiros (por exemplo, enviá-los por correio
eletrónico como um anexo).
Ver detalhes do
problema
Clique num problema.
É apresentada a página Detalhes do problema. Esta página apresenta todas as
definições para os problemas, bem como o registo de atividade dos
problemas.
Pode remover problemas resolvidos da base de dados para eliminá-los permanentemente.
Tarefas
•
Remover manualmente problemas resolvidos na página 286
Remover periodicamente os problemas resolvidos da base de dados evita que fique
demasiado cheia.
•
Agendar a remoção de problemas resolvidos na página 286
Pode agendar uma tarefa para remover periodicamente os problemas resolvidos da base de
dados. Isto mantém a base de dados mais pequena.
Remover manualmente problemas resolvidos
Remover periodicamente os problemas resolvidos da base de dados evita que fique demasiado cheia.
Tarefa
1
Clique em Menu | Automatização | Problemas e depois clique em Ações | Remover.
2
Na caixa de diálogo Remover, introduza um número e depois selecione a unidade de tempo.
3
Clique em OK para remover os problemas resolvidos anteriores à data especificada.
Esta função afeta todos os problemas resolvidos, não apenas os que se encontram na visualização
atual.
Agendar a remoção de problemas resolvidos
Pode agendar uma tarefa para remover periodicamente os problemas resolvidos da base de dados.
Isto mantém a base de dados mais pequena.
286
Guia do produto
Problemas
22
Tarefa
1
2
Introduza um nome e uma descrição para a tarefa do servidor.
3
Ative ou desative a agenda para a tarefa do servidor.
A tarefa do servidor não é executada enquanto estiver desativada.
4
Clique em Seguinte.
É apresentada a página Ações.
5
A partir da lista pendente, selecione Remover problemas resolvidos.
6
Introduza um número, depois selecione uma unidade de tempo.
7
Clique em Seguinte.
8
Agende a tarefa do servidor e depois clique em Seguinte.
9
Reveja os detalhes da tarefa do servidor e depois clique em Guardar.
Os problemas resolvidos são removidos na altura da tarefa agendada.
Para integrar emissão de tickets automática com o McAfee ePO, o utilizador ou os Serviços
Profissionais da McAfee podem emitir APIs para configurar um servidor remoto.
Consulte o McAfee ePolicy Orchestrator 5.1.0 - Guia de processamento de scripts para ver a utilização
e exemplos detalhados do Web API.
Guia do produto
287
22
Problemas
288
Guia do produto
23
Ficheiros de registo do ePolicy
Orchestrator
O servidor do McAfee ePO guarda ficheiros de registo que narram vários tipos de eventos e ações
ocorridos dentro do sistema.
Conteúdo
O registo de auditoria
O registo de auditoria
Utilize o registo de auditoria para manter e aceder a um registo de todas as ações do utilizador do
McAfee ePO. As entradas do registo de auditoria são apresentadas numa tabela ordenável. Para maior
flexibilidade, pode também filtrar o registo para que apresente apenas ações falhadas ou apenas
entradas que estão dentro de uma certa idade.
O registo de auditoria apresenta sete colunas:
•
Ação — O nome da ação que o utilizador do McAfee ePO tentou realizar.
•
Hora de conclusão — A hora que ação terminou.
•
Detalhes — Mais informações sobre a ação.
•
Prioridade — Importância da ação.
•
Hora de início — A hora em que a ação foi iniciada.
•
Êxito — Se a ação foi concluída com êxito.
•
Nome de utilizador — Nome de utilizador da conta de utilizador com sessão iniciada que foi usada para
realizar a ação.
As entradas do registo de auditoria podem ser consultadas. Pode criar consultas com o assistente do
Criador de consultas que visam estes dados ou pode utilizar as consultas predefinidas que visam estes
dados. Por exemplo, a consulta Tentativas de início de sessão falhadas obtém uma tabela de todas as
tentativas de início de sessão falhadas.
Ver e remover o registo de auditoria
Pode ver e remover um histórico de ações do administrador.
Ao ver o Registo de auditoria, os dados disponíveis dependem da frequência e com que idade o
Registo de auditoria é removido.
Ao remover o registo de auditoria, os registos são eliminados permanentemente.
Guia do produto
289
23
Tarefa
1
Clique em Menu | Gestão de utilizadores | Registo de auditoria e são apresentados os registos de auditoria.
2
Ação
Passos
Ver o registo de
auditoria.
1 Clique em qualquer um dos títulos da coluna para ordenar a tabela por essa
coluna (alfabeticamente).
2 Na lista pendente Filtro, selecione uma opção para restringir a quantidade de
dados visíveis. Pode remover todos menos as ações falhadas ou apresentar
apenas ações que ocorreram dentro de um período selecionado de tempo.
3 Clique em qualquer entrada para ver os seus detalhes.
Remover o
registo de
auditoria.
1 Clique em Ações | Remover.
2 Na caixa de diálogo Remover, junto a Remover registos com idade superior a, introduza
um número e selecione uma unidade de tempo.
3 Clique em OK.
Todos os registos do Registo de auditoria são eliminados permanentemente.
Agendar a remoção do registo de auditoria
Pode remover automaticamente o Registo de auditoria com uma tarefa do servidor agendada.
Tarefa
1
Clique em Menu | Automatização | Tarefas do servidor e depois clique em Ações | Nova tarefa. É apresentado o
assistente de Criador de tarefas de servidor na página Descrição.
2
Atribua um nome, descreva a tarefa e clique em Ativado depois do Estado da agenda.
3
Clique em Seguinte. É apresentada a página Ações.
4
Selecione Remover o registo de auditoria na lista pendente.
5
Após Remover registos com idade superior a, introduza um número e selecione a unidade de tempo a
utilizar antes de remover as entradas do registo de auditoria.
6
Clique em Seguinte. É apresentada a página Agenda.
7
Agende a tarefa conforme necessário e depois clique em Seguinte. É apresentada a página Resumo.
8
O Registo de tarefas de servidor comunica os eventos que ocorrem no servidor do McAfee ePO.
A partir do Registo de tarefas de servidor, pode ver os resultados detalhados das tarefas de servidor
agendadas que estão a ser executadas ou foram executadas no servidor.
290
Guia do produto
23
As entradas no registo oferece detalhes sobre:
•
O êxito ou falha da tarefa
•
Quaisquer subtarefas que estão a ser executadas durante a realização da tarefa agendada
Também pode concluir a tarefa que está atualmente em curso.
Gerir o Registo de tarefas de servidor
Abra o Registo de tarefas de servidor para visualizar, filtrar e remover os registos de tarefas conforme
necessário.
O estado de cada tarefa do servidor é apresentado na coluna Estado:
•
A aguardar — Tarefa a aguardar por outra para concluir.
•
Em curso — Tarefa iniciada mas não concluída.
•
Em pausa — A tarefa foi pausada por uma ação de tarefa do servidor.
•
Parada — A tarefa foi parada por uma ação de tarefa do servidor.
•
Falhado — Tarefa que foi iniciada mas não concluída com êxito.
•
Concluído — Tarefa concluída com êxito.
•
Terminação pendente — Foi enviado um pedido de terminação.
•
Terminada — Tarefa terminada manualmente antes de estar concluída.
Tarefa
1
Clique em Menu | Automatização | Registo de tarefas de servidor. É apresentada a página Registo de tarefas
de servidor.
2
Ação
Passos
Visualizar o registo
de tarefas de
servidor.
1 Clique em qualquer um dos títulos da coluna para ordenar os eventos.
2 Selecione qualquer um dos registos de tarefas de servidor e clique em Ações e
depois selecione uma das seguintes para manipular o registo de tarefas de
servidor:
• Escolher colunas — É apresentada a página Selecionar as colunas a apresentar.
• Exportar tabela — É apresentada a página Exportar.
• Remover — É apresentada a caixa de diálogo Remover. Introduza um número e
uma unidade de tempo para determinar o número de entradas do registo de
tarefas a eliminar e depois clique em OK.
• Terminar tarefa — Interrompa uma tarefa que está em curso.
Filtrar o registo de
tarefas de servidor.
Selecione um filtro a partir da lista pendente Filtrar.
Remover o registo
de tarefas de
servidor.
2 Na caixa de diálogo Remover, introduza um número de dias, semanas, meses
ou anos. Qualquer item desta idade e mais antigo é eliminado.
3 Clique em OK.
Guia do produto
291
23
3
Clique em qualquer um dos títulos da coluna para ordenar os eventos.
4
Selecione qualquer um dos registos de tarefas de servidor e clique em Ações e depois selecione uma
das seguintes para manipular o registo de tarefas de servidor:
•
Escolher colunas — É apresentada a página Selecionar as colunas a apresentar.
•
Exportar tabela — É apresentada a página Exportar.
•
Remover — É apresentada a caixa de diálogo Remover. Introduza um número e uma unidade de
tempo para determinar o número de entradas do registo de tarefas a eliminar e depois clique
em OK.
•
Terminar tarefa — Interrompa uma tarefa que está em curso.
Utilize o Registo de eventos de ameaça para visualizar e ordenar rapidamente os eventos na base de
dados. O registo pode ser removido apenas por idade.
É possível escolher as colunas que são apresentadas na tabela ordenável. Pode escolher entre uma
variedade de dados de evento para utilizar como colunas.
Dependendo dos produtos que está a gerir, também pode realizar certas ações nos eventos. As ações
estão disponíveis no menu Ações, na parte inferior da página.
Formato de evento comum
A maioria dos produtos geridos utilizam agora um formato de evento comum. Os campos deste
formato podem ser utilizados como colunas no registo de eventos de ameaça. A saber:
292
•
Ação implementada — Ação que foi implementada pelo produto em resposta à ameaça.
•
GUID do agente — Identificador exclusivo do agente que reencaminhou o evento.
•
Versão do DAT — Versão do DAT no sistema que enviou o evento.
•
Detetar o nome do anfitrião do produto — Nome do sistema que aloja o produto de deteção.
•
Detetar ID do produto — ID do produto de deteção.
•
Detetar o endereço IPv4 do produto — Endereço IPv4 do sistema que aloja o produto de deteção (se
aplicável).
•
Detetar o endereço IPv6 do produto — Endereço IPv6 do sistema que aloja o produto de deteção (se
aplicável).
•
Detetar o endereço MAC do produto — Endereço MAC do sistema que aloja o produto de deteção.
•
Detetar o nome do produto — Nome do produto de deteção gerido.
•
Detetar a versão do produto — Número da versão do produto de deteção.
•
Versão do motor — Número da versão do motor do produto de deteção (se aplicável).
•
Categoria do evento — Categoria do evento. As categorias possíveis dependem do produto.
•
Momento de geração do evento (UTC) — Hora, no formato de Hora Universal Coordenada, em que o evento
foi detetado.
•
ID do evento — Identificador únicio do evento.
Guia do produto
23
•
Momento de receção do evento (UTC) — Hora, no formato de Hora Universal Coordenada, em que o evento
foi recebido pelo servidorMcAfee ePO.
•
Caminho do ficheiro — Caminho do ficheiro do sistema que enviou o evento.
•
Nome do anfitrião — Nome do sistema que enviou o evento.
•
Endereço IPv4 — Endereço IPv4 do sistema que enviou o evento.
•
Endereço IPv6 — Endereço IPv6 do sistema que enviou o evento.
•
Endereço MAC — Endereço MAC do sistema que enviou o evento.
•
Protocolo de rede — Protocolo do destino da ameaça para classes de ameaças hospedadas na rede.
•
Número da porta — Porta de destino da ameaça para classes de ameaças hospedadas na rede.
•
Nome do processo — Nome do processo de destino (se aplicável).
•
ID do servidor — ID do servidor que enviou o evento.
•
Nome da ameaça — Nome da ameaça.
•
Nome do anfitrião da origem da ameaça — Nome do sistema a partir do qual se originou a ameaça.
•
Endereço IPv4 de origem da ameaça — Endereço IPv4 do sistema a partir do qual se originou a ameaça.
•
Endereço IPv6 de origem da ameaça — Endereço IPv6 do sistema a partir do qual se originou a ameaça.
•
Endereço MAC de origem da ameaça — Endereço MAC do sistema a partir do qual se originou a ameaça.
•
URL de origem da ameaça — URL a partir do qual se originou a ameaça.
•
Nome de utilizador da origem da ameaça — Nome de utilizador a partir do qual se originou a ameaça.
•
Tipo de ameaça — Classe da ameaça.
•
Nome de utilizador — Endereço de correio eletrónico ou nome de utilizador da origem da ameaça.
Ver e remover o registo de eventos de ameaça
Deve ver e remover periodicamente os eventos de ameaça.
Tarefa
1
Clique em Menu | Relatório | Registo de eventos de ameaça.
2
Guia do produto
293
23
Ação
Passos
Ver o registo de
eventos de
ameaça.
1 Clique em qualquer um dos títulos da coluna para ordenar os eventos. Também
pode clicar em Ações | Escolher colunas e é apresentada a página Selecionar as
colunas a apresentar.
2 Na lista Colunas disponíveis, selecione diferentes colunas de tabela que
correspondam às suas necessidades e depois clique em Guardar.
3 Selecione os eventos na tabela e depois clique em Ações e selecione Mostrar os
sistemas relacionados para ver os detalhes dos sistemas que enviaram os eventos
selecionados.
Remover
eventos de
ameaça.
2 Na caixa de diálogo Remover, junto de Remover registos com idade superior a, introduza
um número e selecione uma unidade de tempo.
3 Clique em OK.
Os registos mais antigos que a data especificada são eliminados permanentemente.
Agendar a remoção do registo de eventos de ameaça
Pode criar uma tarefa do servidor para remover automaticamente o Registo de eventos de ameaça.
Tarefa
294
1
Clique em Menu | Automatização | Tarefas do servidor e depois clique em Ações | Nova tarefa. É apresentado o
assistente de Criador de tarefas de servidor na página Descrição.
2
Atribua um nome, descreva a tarefa e clique em Ativado depois do Estado da agenda.
3
Clique em Seguinte. É apresentada a página Ações.
4
Selecione Remover o registo de eventos de ameaça na lista pendente.
5
Selecione se pretende remover por idade ou a partir dos resultados de uma consulta. Se remover
por consulta, terá de escolher uma consulta que resulte numa tabela de eventos.
6
Clique em Seguinte. É apresentada a página Agenda.
7
Agende a tarefa conforme necessário e depois clique em Seguinte. É apresentada a página Resumo.
8
Guia do produto
24
A Recuperação de desastres ajuda-o a recuperar rapidamente ou a reinstalar o software do ePolicy
Orchestrator. A Recuperação de desastres utiliza uma funcionalidade de Instantâneo que guarda
periodicamente a configuração, extensões, chaves do ePolicy Orchestrator e muito mais nos registos
de Instantâneo na base de dados do ePolicy Orchestrator.
Conteúdo
O que é a recuperação de desastres
Componentes da Recuperação de desastres
Como é que a recuperação de desastres funciona
Configurar um instantâneo e restaurar a base de dados SQL
Configure as definições do servidor de recuperação de desastres
O que é a recuperação de desastres
A funcionalidade de Recuperação de desastres do ePolicy Orchestrator utiliza um processo de
Instantâneo para guardar registos de base de dados do servidor McAfee ePO específicos na base de
dados Microsoft SQL do ePolicy Orchestrator.
Os registos guardados pelo Instantâneo contêm toda a configuração do ePolicy Orchestrator do
momento específico em que o Instantâneo é tirado. Depois de guardar os registos do Instantâneo na
base de dados, pode utilizar a funcionalidade de cópia de segurança do Microsoft SQL para guardar
toda a base de dados do ePolicy Orchestrator e restaurá-la noutro servidor SQL para um restauro
Exemplos do restauro da ligação à base de dados SQL
Utilizando o servidor de base de dados SQL do ePolicy Orchestrator restaurado, que inclui o
Instantâneo de recuperação de desastres, pode ligá-lo a:
•
Hardware do servidor McAfee ePO restaurado com o nome do servidor e endereço IP originais —
Isto permite-lhe recuperar de, por exemplo, uma atualização de software ePolicy Orchestrator mal
sucedida.
•
Hardware do servidor McAfee ePO novo com o nome do servidor e endereço IP originais — Isto
permite-lhe atualizar, ou restaurar, o hardware do servidor e retomar rapidamente a gestão dos
sistemas de rede.
Guia do produto
295
24
•
Hardware do servidor McAfee ePO novo com nome do servidor e endereço IP novos — Isto
permite-lhe, por exemplo, mover o servidor de um domínio para outro.
Este exemplo pode fornecer uma solução de gestão de rede temporária enquanto reconstrói e
reinstala o hardware e o software do servidor McAfee ePO de volta ao domínio original.
•
Hardware do servidor McAfee ePO restaurado ou novo com várias placas de interface de rede
(NICs) — Terá de confirmar se o endereço IP correto está configurado na NIC do servidor McAfee
ePO.
O Instantâneo é configurado, consoante a versão da base de dados SQL, para ser executado
automaticamente todos os dias. Se configurar um script para executar automaticamente o SQL
Backup e copiar o ficheiro de cópia de segurança SQL para o servidor de base de dados SQL de
restauro, então pode restaurar com facilidade o seu servidor McAfee ePO. Para além disso, pode tirar
um Instantâneo manualmente ou executar os seus scripts para rapidamente guardar e criar cópia de
segurança de alterações do ePolicy Orchestrator particularmente complexas ou importantes.
O monitor Instantâneo de recuperação de desastres localizado no painel do ePolicy Orchestrator
permite-lhe gerir e monitorizar os Instantâneos num só local.
Consulte também
nome da base de dados na página 299
McAfee ePO na página 300
Descrição geral do instantâneo de recuperação de desastres e da cópia de segurança na
página 300
Descrição geral da instalação de recuperação do servidor McAfee ePO na página 302
Configurar a tarefa Servidor de recuperação de desastres na página 304
Utilizar a Recuperação de desastres para restaurar o software ePolicy Orchestrator exige um
determinado hardware, software, privilégios de acesso e informações.
Precisa de duas plataformas de hardware de servidor:
296
Guia do produto
24
•
O atual hardware de servidor McAfee ePO, conhecido como servidor McAfee ePO «principal».
•
Hardware de servidor SQL duplicado, conhecido como servidor «de restauro», a executar um
Microsoft SQL que corresponda à base de dados do servidor McAfee ePO principal. Este servidor de
restauro deve ser mantido atualizado com a configuração do servidor de bases de dados SQL
McAfee ePO principal utilizando os processos de Instantâneo e de criação de cópia de segurança
Microsoft SQL.
Para evitar problemas com a cópia de segurança e o restauro, o seu hardware do servidor de
restauro e do servidor principal, bem como as versões SQL, devem corresponder na perfeição.
Monitor do painel Instantâneo
O monitor Instantâneo de servidor, localizado no painel do ePolicy Orchestrator permite-lhe gerir e
monitorizar os Instantâneos num só local.
Se o monitor Instantâneo não aparecer no painel, crie um novo painel e adicione o monitor
Recuperação de desastres.
Figura 24-1 Monitor Instantâneo do painel Recuperação de desastres
Utilizar o monitor Instantâneo de servidor permite-lhe:
•
Clicar em Tirar instantâneo para guardar manualmente um Instantâneo de servidor do McAfee ePO.
•
Clicar em Ver detalhes da última execução para abrir a página Detalhes do registo de tarefas de servidor. Esta
página apresenta informações e mensagens de registo sobre o Instantâneo mais recente guardado.
•
Confirme a data e hora em que o último Instantâneo foi guardado na base de dados SQL, junto a
Executado pela última vez em.
•
Clique na ligação Recuperação de desastres para iniciar a página Ajuda com informações sobre a
A cor e o título do monitor Instantâneo informa-o sobre o estado do último Instantâneo. Por exemplo:
•
Azul, a guardar Instantâneo na base de dados — Processo de Instantâneo em curso.
•
Verde, Instantâneo guardado na base de dados — Processo de Instantâneo concluído com
êxito e atualizado.
•
Vermelho, Instantâneo falhou — Ocorreu um erro durante o processo de Instantâneo.
Guia do produto
297
24
•
Cinzento, não há nenhum Instantâneo disponível — Não foi guardado nenhum Instantâneo de
•
Laranja, Instantâneo desatualizado — Ocorreram alterações na configuração e um Instantâneo
recente não foi guardado. As alterações que acionam um estado de Instantâneo desatualizado
incluem:
•
Alteração de uma extensão qualquer. Por exemplo, atualização, remoção, eliminação,
atualização ou mudança para versão anterior
•
A pasta "armazenamento de chaves" foi alterada.
•
A pasta "conf" foi alterada.
•
A frase de acesso de Recuperação de desastres foi alterada nas definições do servidor.
Tarefa do servidor de Instantâneos de Recuperação de desastres
Pode utilizar a tarefa do servidor de Instantâneos de Recuperação de desastres para desativar e ativar
a programação de tarefa do servidor de Instantâneo.
A programação de tarefa do servidor de Instantâneo está ativada, por predefinição, na base de dados
do servidor Microsoft SQL e desativada, por predefinição, na base de dados do Microsoft SQL Server
Express Edition.
Requisitos de Recuperação de desastres
Para utilizar a Recuperação de desastres precisa do hardware, software e informações listados na
tabela que se segue.
Requisito
Descrição
Requisitos de hardware
Hardware do servidor
McAfee ePO principal
Os requisitos de hardware do servidor são determinados pelo número
de sistemas geridos.
Pode instalar o servidor McAfee ePO e a base de dados SQL Server no
mesmo hardware de servidor ou separado. Consulte o ePolicy
Orchestrator 5.1.0 - Guia de instalação de software para ficar a
conhecer pormenorizadamente os requisitos de hardware.
Hardware do servidor
McAfee ePO de restauro
Este hardware do servidor deve espelhar ao pormenor o seu hardware
do servidor McAfee ePO principal.
Servidor McAfee ePO
principal
O servidor principal deve estar a funcionar corretamente com um
Instantâneo recente guardado na base de dados SQL.
Base de dados SQL principal A base de dados SQL principal guarda as configurações do servidor
McAfee ePO, as informações cliente e os registos do Instantâneo de
Requisitos de software
Ficheiro de cópia de
Utilizando o Microsoft SQL Server Management Studio ou a linha de
segurança da base de dados comandos BACKUP (Transact-SQL), pode criar um ficheiro de cópia de
SQL principal
segurança da base de dados principal incluindo os registos de
Instantâneo.
Restaurar o software da
base de dados SQL
298
Utilizando o Microsoft SQL Server Management Studio ou a linha de
comandos RESTORE (Transact-SQL), pode restaurar a base de dados
principal incluindo os registos de Instantâneo no servidor de bases de
dados SQL de restauro para duplicar a configuração da base de dados
SQL principal.
Guia do produto
24
Requisito
Descrição
software ePolicy
Orchestrator
Este software, transferido a partir do Web site da McAfee, é utilizado
para instalar e configurar o servidor McAfee ePO de restauro.
Requisitos de informação
Frase de acesso da
encriptação do
armazenamento de chaves
da Recuperação de
desastres
A frase de acesso foi adicionada durante a instalação inicial do
software ePolicy Orchestrator e desencripta informações sensíveis
guardadas no Instantâneo de Recuperação de desastres.
Privilégios de administrador
Terá de conseguir aceder tanto ao servidor principal como ao servidor
de restauro e à base de dados SQL como por exemplo DBOwner e
DBCreator.
Último endereço IP, nome de Se alterar qualquer um destes durante o restauro de servidor McAfee
DNS ou nome NetBIOS
ePO, certifique-se de que os McAfee Agents conseguem localizar o
conhecidos do servidor
servidor. A forma mais fácil de o fazer é criar um registo de nome
McAfee ePO principal.
canónico (CNAME) no DNS que aponte os pedidos do endereço IP,
nome de DNS ou nome NetBIOS antigos do servidor McAfee ePO
principal para a nova informação do servidor McAfee ePO de restauro.
Consulte também
nome da base de dados na página 299
McAfee ePO na página 300
Descrição geral do instantâneo de recuperação de desastres e da cópia de segurança na
página 300
Descrição geral da instalação de recuperação do servidor McAfee ePO na página 302
Utilize um comando remoto para determinar o servidor de
bases de dados Microsoft SQL e o nome da base de dados
O seguinte comando remoto do ePolicy Orchestrator é usado para determinar o servidor de bases de
dados Microsoft SQL e o nome da base de dados.
Tarefa
1
Introduza o seguinte comando remoto na barra de endereço do browser:
https://localhost:8443/core/config
Neste comando:
2
•
localhost — É o nome do servidor McAfee ePO.
•
:8443 — É o número de porta predefinido do servidor McAfee ePO. O seu servidor pode estar
configurado para utilizar um número de porta diferente.
Guarde a seguinte informação que aparece na página Configurar as definições da base de dados:
•
Nome do anfitrião ou endereço IP
•
Nome da base de dados
Guia do produto
299
24
Utilize o Microsoft SQL Server Management Studio para
localizar informações do servidor McAfee ePO
A partir do Microsoft SQL Server Management Studio, determine as informações do servidor McAfee
ePO existente.
Tarefa
1
Use uma Ligação ao ambiente de trabalho remoto, para iniciar sessão no nome do anfitrião ou
endereço IP do servidor de bases de dados Microsoft SQL.
2
Abra o Microsoft SQL Server Management Studio e ligue-se ao SQL server.
3
A partir da lista Explorador de objetos, clique em Nome do servidor da base de dados | Bases de dados | <Nome da
base de dados> | Tabelas.
4
Desloque para baixo para localizar a tabela EPOServerInfo, clique com o botão direito do rato no nome
da tabela e selecione Editar 200 linhas superiores a partir da lista.
5
Localize e guarde as informações nos seguintes registos na base de dados.
•
ePOVersion— Por exemplo, 5.1.0
•
LastKnownTCPIP — Por exemplo, 172.10.10.10
•
DNSName — Por exemplo,
epo-2k8-epo51.server.com
•
RmdSecureHttpPort — Por exemplo, 8443
•
ComputerName — Por exemplo,
EPO-2K8-EPO51
Certifique-se de que tem esta informação se algum dia precisar de restaurar o software do ePolicy
Orchestrator.
Para reinstalar rapidamente o software ePolicy Orchestrator são necessários instantâneos periódicos
da configuração do ePolicy Orchestrator. Terá então de criar cópia de segurança e restaurar a base de
dados para um servidor de restauro e reinstalar o software ePolicy Orchestrator utilizando a opção
Restaurar.
Consulte também
Criar um instantâneo a partir do painel na página 305
Criar instantâneo a partir do Web API na página 306
Utilizar o Microsoft SQL para criar cópia de segurança e restaurar a base de dados na página
308
Descrição geral do instantâneo de recuperação de desastres e
da cópia de segurança
O Instantâneo de recuperação de desastres, a cópia de segurança da base de dados SQL e processos
de cópia criam uma base de dados doePolicy Orchestrator duplicada num servidor de bases de dados
SQL de restauro.
Esta é uma descrição geral do Instantâneo de recuperação de desastres, cópia de segurança da base
de dados SQL e processos de cópia. Para obter detalhes, consulte:
300
Guia do produto
•
Criar instantâneos
•
Utilizar o Microsoft SQL para criar cópia de segurança e restaurar a base de dados
24
A figura que se segue é uma descrição geral do processo de Recuperação de desastres do software
ePolicy Orchestrator e do hardware envolvido.
Nesta figura, a base de dados SQL está instalada no mesmo hardware de servidor que o servidor
McAfee ePO. O servidor McAfee ePO e a base de dados SQL podem ser instalados em hardware de
servidor diferente.
Figura 24-2 Instantâneo de recuperação de desastres e cópia de segurança do servidor McAfee ePO
A configuração da Recuperação de desastres do software ePolicy Orchestrator inclui estes passos
gerais realizados no servidor principal McAfee ePO:
1
Tire um instantâneo da configuração do servidor McAfee ePO e guarde-o na base de dados SQL
principal. Isto pode ser feito manualmente ou através de uma tarefa de servidor predefinida
fornecida para esta finalidade.
Quando o instantâneo é tirado, são guardados os seguintes ficheiros de base de dados:
•
C:\Program Files\McAfee\ePolicy Orchestrator\Server\extensions — O caminho predefinido para
as informações sobre as extensões do software ePolicy Orchestrator.
•
C:\Program Files\McAfee\ePolicy Orchestrator\Server\conf — O caminho predefinido para os
ficheiros necessários utilizados pelas extensões do software ePolicy Orchestrator.
•
C:\Program Files\McAfee\ePolicy Orchestrator\Server\keystore — Estas chaves são específicas
para a comunicação entre o agente e o servidor e os repositórios do ePolicy Orchestrator.
Guia do produto
301
24
•
C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Keystore — O caminho predefinido dos
certificados do servidor de instalação do produto McAfee.
•
C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Software — O caminho predefinido
dos ficheiros de instalação do produto McAfee.
Os registos guardados do Instantâneo de recuperação de desastres incluem os caminhos que
configurou para os executáveis registados. Não é criada cópia de segurança dos ficheiros
executáveis registados, pelo que terá de substituir esses ficheiros executáveis quando restaurar
o servidor McAfee ePO. Depois de restaurar o servidor McAfee ePO, os executáveis registados
com caminhos quebrados aparecem a vermelho na página Executáveis registados.
Deve testar os caminhos do executável registado depois de restaurar o servidor McAfee ePO.
Alguns caminhos de executável registado poderão não aparecer a vermelho mas ainda assim
falhar, devido a problemas de dependência relacionados com os executáveis registados.
2
Crie uma cópia de segurança da base de dados SQL utilizando o Microsoft SQL Server Management
Studio ou o processo da linha de comandos BACKUP (Transact-SQL).
3
Copie o ficheiro de cópia de segurança da base de dados SQL criado no passo 2 para o servidor
SQL de restauro duplicado.
É crucial concluir os passos 2 e 3 e copiar os instantâneos do servidor SQL principal para o servidor
SQL de restauro, para utilizar a funcionalidade Recuperação de desastres.
Isto conclui o processo de instantâneo de recuperação de desastres e cópia de segurança do servidor
McAfee ePO. Não precisa de continuar com a seguinte instalação de recuperação do servidor McAfee
ePO a não ser que esteja a reinstalar o software ePolicy Orchestrator.
Descrição geral da instalação de recuperação do servidor
McAfee ePO
Reinstalar o software ePolicy Orchestrator é o último passo do restauro rápido do servidor McAfee ePO.
Esta é um descrição geral da reinstalação do software ePolicy Orchestrator no servidor McAfee ePO de
restauro. Para obter mais detalhes, consulte o Guia de instalação.
302
Guia do produto
24
A figura que se segue fornece uma descrição geral da reinstalação do servidor McAfee ePO.
Nesta figura, a base de dados SQL está instalada no mesmo hardware de servidor que o servidor
McAfee ePO. O servidor McAfee ePO e a base de dados SQL podem ser instalados em hardware de
servidor diferente.
Figura 24-3 Instalação de recuperação do servidor McAfee ePO
A instalação do software ePolicy Orchestrator utilizando o ficheiro do Instantâneo de recuperação de
desastres inclui estes passos gerais realizados no servidor McAfee ePO de restauro:
1
Localize o ficheiro de cópia de segurança da base de dados SQL, copiado no passo 3 da secção
anterior, e utilize o Microsoft SQL Server Management Studio ou o processo da linha de comandos
RESTORE (Transact-SQL) para restaurar a configuração do servidor SQL principal para o servidor
SQL de restauro.
2
Durante a instalação do software da base de dados do ePolicy Orchestrator:
a
Na caixa de diálogo Bem-vindo do software, clique em Restaurar ePO a partir de um instantâneo de base de
dados de recuperação de desastres.
b
Selecione Microsoft SQL Server para ligar o software ePolicy Orchestrator à base de dados SQL de
restauro que teve a configuração do servidor McAfee ePO principal restaurada no passo 1.
Depois de a instalação do software ePolicy Orchestrator ter iniciado, os registos da base de dados
guardados durante o processo de Instantâneo são utilizados na configuração do software em vez
de criar novos registos na base de dados.
3
Se alterou o último endereço IP, nome de DNS ou nome NetBIOS conhecidos do servidor McAfee
ePO principal, ao criar o servidor McAfee ePO de restauro, o McAfee Agent não consegue ligar-se ao
servidor McAfee ePO restaurado. A forma mais fácil de o fazer é criar um registo de nome canónico
(CNAME) no DNS que aponte os pedidos do endereço IP, nome de DNS ou nome NetBIOS antigos
do servidor McAfee ePO principal para a nova informação do servidor McAfee ePO de restauro.
Consulte O que é a recuperação de desastres para obter vários exemplos de servidores ao restaurar
a ligação da base de dados SQL ao servidor McAfee ePO.
Agora o servidor McAfee ePO de restauro está a ser executado com exatamente a mesma configuração
que o servidor principal. Os clientes podem ligar-se ao servidor de restauro e pode geri-los
exatamente como anteriormente, antes de remover o servidor principal McAfee ePO.
Guia do produto
303
24
Para reinstalar rapidamente um servidor McAfee ePO, configure um instantâneo de recuperação de
desastres a ser guardado ou confirme que um instantâneo está a ser guardado na base de dados SQL.
Depois, crie uma cópia de segurança dessa base de dados SQL, que inclui o instantâneo, e copie o
ficheiro de cópia de segurança da base de dados para um SQL Server restaurado.
Uma reinstalação rápida do servidor McAfee ePO exige estas tarefas.
Tarefas
•
Utilize a tarefa de instantâneo do servidor de recuperação de desastres para modificar os
Instantâneos automáticos agendados da configuração do servidor McAfee ePO guardada na
base de dados SQL.
•
Criar instantâneos na página 305
A criação frequente de Instantâneos de recuperação de desastres do seu servidor McAfee
ePO principal é o primeiro passo para restaurar rapidamente um servidor McAfee ePO.
•
Utilizar o Microsoft SQL para criar cópia de segurança e restaurar a base de dados na
página 308
Para guardar o Instantâneo de recuperação de desastres com as informações da
configuração do servidor McAfee ePO, utilize os procedimentos do Microsoft SQL Server.
Consulte também
Utilizar o Microsoft SQL para criar cópia de segurança e restaurar a base de dados na página
308
Configurar a tarefa Servidor de recuperação de desastres
Utilize a tarefa de instantâneo do servidor de recuperação de desastres para modificar os Instantâneos
automáticos agendados da configuração do servidor McAfee ePO guardada na base de dados SQL.
O estado pré-configurado da tarefa de instantâneo do servidor de recuperação de desastres depende
da base de dados SQL utilizada pelo servidor McAfee ePO. O Instantâneo de recuperação de desastres
está ativado, por predefinição, em todos os Microsoft SQL Servers exceto a Express Edition.
A McAfee não recomenda ativar o agendamento do Instantâneo de recuperação de desastres com as
Microsoft SQL Server Express Editions devido às limitações de tamanho do ficheiro. O tamanho do
ficheiro de dados máximo do Microsoft SQL Server 2005 Express Edition é de apenas 4 GB e 10 GB no
Microsoft SQL Server 2008 e 2012 Express Editions.
Só pode executar um Instantâneo de recuperação de desastres de cada vez. Se executar vários
Instantâneos, só o último Instantâneo cria uma saída, sendo substituídos os Instantâneos anteriores.
Pode modificar a tarefa do servidor de recuperação de desastres predefinida se necessário.
Tarefa
1
Clique em Menu | Tarefas do servidor, selecione Servidor de instantâneos de recuperação de desastres a partir da
lista Tarefas do servidor e clique em Editar.
É apresentado o assistente da tarefa Servidor de recuperação de desastres.
2
304
A partir do separador Descrições Estado do agendamento, clique em Ativado ou Desativado conforme
necessário.
Guia do produto
3
24
A partir do separador Agendamento, altere as seguintes definições conforme necessário:
•
Tipo de agenda — Defina a frequência com que o Instantâneo é guardado.
•
Data de início e Data de fim — Defina as datas de início e fim em que os Instantâneos são guardados
ou clique em Sem data de fim para que a tarefa seja executada de forma contínua.
•
Agendar — Defina a hora a que o Instantâneo é guardado. Por predefinição, a tarefa Instantâneo
é executada diariamente à 1h59.
A McAfee recomenda que execute a tarefa do servidor de recuperação de desastres fora do
horário de expediente, no sentido de minimizar as alterações à base de dados durante o
processo de criação do Instantâneo.
4
A partir do separador Resumo, confirme se a tarefa do servidor está configurada corretamente e
clique em Guardar.
Criar instantâneos
A criação frequente de Instantâneos de recuperação de desastres do seu servidor McAfee ePO
principal é o primeiro passo para restaurar rapidamente um servidor McAfee ePO.
Depois de fazer muitas alterações de configuração no software McAfee, deve tirar um Instantâneo de
recuperação de desastres manualmente, utilizando qualquer uma das seguintes tarefas.
Criar uma tarefa do servidor de instantâneos de recuperação de desastres para automatizar
instantâneos de servidor.
Tarefas
•
Utilize o painel do ePolicy Orchestrator para tirar Instantâneos de recuperação de desastres
do seu servidor McAfee ePO principal e monitorizar o processo de Instantâneo à medida
que o estado do Painel muda.
•
Utilize o ePolicy Orchestrator Web API para tirar Instantâneos de recuperação de desastres
do servidor McAfee ePO principal. Ao fazê-lo, permite-lhe utilizar uma cadeia de comandos
para concluir o processo.
Criar um instantâneo a partir do painel
Utilize o painel do ePolicy Orchestrator para tirar Instantâneos de recuperação de desastres do seu
servidor McAfee ePO principal e monitorizar o processo de Instantâneo à medida que o estado do
Painel muda.
Tarefa
1
Clique em Menu | Relatórios | Painéis para visualizar o monitor Instantâneo de servidor ePO.
Se necessário, clique em Adicionar monitor e selecione Instantâneo de servidor ePO a partir da lista e
arraste-o para o painel.
Guia do produto
305
24
2
Clique em Tirar instantâneo para começar a guardar a configuração do servidor McAfee ePO.
Durante o processo de Instantâneo, a barra de título Monitor de instantâneo sofre alterações para
indicar o estado do processo. Consulte Monitor do painel Instantâneo para obter os indicadores de
estado do monitor de Instantâneo.
O processo de Instantâneo pode demorar entre 10 minutos e mais de uma hora a concluir,
dependendo da complexidade e tamanho da rede gerida do ePolicy Orchestrator. Este processo não
deve afetar o desempenho do servidor McAfee ePO.
3
Se necessário, clique em Ver detalhes da execução atual para abrir os Detalhes do registo de tarefas de servidor do
último Instantâneo guardado.
Depois de o processo Instantâneo estar concluído, clique em Ver detalhes da execução atual para abrir os
Detalhes do registo de tarefas de servidor do último Instantâneo guardado.
O Instantâneo de recuperação de desastres mais recente é guardado na base de dados SQL principal
do servidor McAfee ePO. Agora a base de dados está pronta para a cópia de segurança e cópia para o
servidor de bases de dados SQL de restauro.
Criar instantâneo a partir do Web API
Utilize o ePolicy Orchestrator Web API para tirar Instantâneos de recuperação de desastres do servidor
McAfee ePO principal. Ao fazê-lo, permite-lhe utilizar uma cadeia de comandos para concluir o
processo.
Todos os comandos descritos nesta tarefa são introduzidos na barra de endereço do browser da Web
para aceder remotamente ao servidor McAfee ePO.
É-lhe solicitado o nome de utilizador e palavra-passe de administrador antes de a saída ser
apresentada.
Consulte McAfee ePolicy Orchestrator 5.1.0 - Guia de processamento de scripts para ver a utilização e
exemplos detalhados do Web API.
Tarefa
1
Utilize o seguinte comando de Ajuda do ePolicy Orchestrator Web API para determinar os
parâmetros necessários para executar o Instantâneo:
https://localhost:8443/remote/core.help?command=scheduler.runServerTask
No comando anterior:
•
localhost: — O nome do servidor McAfee ePO.
•
8443 — Porta de destino, identificada como "8443" (predefinição), neste exemplo.
•
/remote/core.help?command= — Chama a Ajuda do Web API
•
scheduler.runServerTask — Chama a Ajuda da tarefa de servidor específica
O comando runServerTask é sensível a maiúsculas e minúsculas
O comando de exemplo anterior devolve esta ajuda.
OK:
scheduler.runServerTask taskName
Executa uma tarefa do servidor e devolve o ID do registo da tarefa. Use o ID do registo
da tarefa com o comando
'tasklog.listTaskHistory' para ver o estado das tarefas em execução. Devolve a lista
306
Guia do produto
24
de ID do registo da tarefa ou gera um erro.
É necessária permissão para executar as tarefas do servidor.
Parâmetros: [taskName (param 1) | taskId] - O id exclusivo ou nome da tarefa
2
Utilize o seguinte comando para listar todas as tarefas do servidor e determinar o parâmetro
taskName necessário para executar a tarefa de servidor Instantâneo:
https://localhost:8443/remote/scheduler.listAllServerTasks?:output=terse
O comando de exemplo anterior devolve uma lista semelhante à que se segue. A lista exata
apresentada depende das suas permissões e das extensões instaladas.
3
Utilizando o nome da tarefa, Servidor de instantâneos de recuperação de desastres
localizado no passo anterior, execute a tarefa do servidor Instantâneo utilizando o seguinte
comando:
https://localhost:8443/remote/scheduler.runServerTask?taskName=Disaster%20Recovery
%20Snapshot%20Server
Se a tarefa for bem sucedida, é apresentada uma saída parecida com a seguinte.
OK: 102
O processo de Instantâneo pode demorar entre 10 minutos e mais de uma hora a concluir,
dependendo da complexidade e tamanho da rede gerida ePolicy Orchestrator. Este processo não
deve afetar o desempenho do servidor McAfee ePO.
4
Confirme se o instantâneo da tarefa do servidor Web API foi executado com êxito.
a
Utilize o seguinte comando para localizar o ID do registo de tarefas de servidor de instantâneos
de recuperação de desastres:
https://localhost:8443/remote/tasklog.listTaskHistory?taskName=Disaster
%20Recovery%20Snapshot%20Server
Este comando apresenta todas as tarefas do servidor de instantâneos de recuperação de
desastres. Localize a tarefa mais recente e anote o número de ID. Por exemplo, ID: 102 no
seguinte:
ID: 102
Nome: Servidor de instantâneos de recuperação de desastres
Data de início: 8/7/12 11:00:34 AM
Data de fim: 8/7/12 11:01:18 AM
Nome de utilizador: admin
Estado: concluído:
Duração: inferior a um minuto
Guia do produto
307
24
b
Utilize o seguinte comando e esse número de ID de tarefa 102 para apresentar todas as
mensagens de registo de tarefa.
https://localhost:8443/remote/tasklog.listMessages?taskLogId=102
Desloque até ao fim das mensagens e localize o seguinte:
OK:
Data: 8/7/12 11:00:34 AM
Mensagem: Servidor de instantâneos para a base de dados
Data: 8/7/12 11:00:34 AM
Mensagem: A iniciar a ação de guardar o instantâneo de servidor na base da dados...
. . .
Data: 8/7/12 11:01:18 AM
Mensagem: Instantâneo de servidor guardado com êxito na base da dados
Data: 8/7/12 11:01:18 AM
Mensagem: Servidor de instantâneos para a base de dados
Utilizar o Microsoft SQL para criar cópia de segurança e
restaurar a base de dados
Para guardar o Instantâneo de recuperação de desastres com as informações da configuração do
servidor McAfee ePO, utilize os procedimentos do Microsoft SQL Server.
Antes de começar
Para concluir esta tarefa, tem de ter conetividade e autorização para copiar ficheiros entre
os servidores McAfee ePO SQL principais e de restauro. Consulte Apêndice A: Manutenção
de bases de dados ePolicy Orchestrator para obter mais detalhes.
Depois de criar um instantâneo da configuração do servidor McAfee ePO, terá de:
Tarefa
1
Criar cópia de segurança Microsoft SQL Server da base de dados utilizando:
•
Microsoft SQL Server Management Studio
•
Microsoft Transact-SQL
Consulte a documentação do Microsoft SQL Server para obter detalhes para concluir estes
processos.
2
Copiar o ficheiro de cópia de segurança para o servidor SQL de restauro.
3
Restaure a cópia de segurança da base de dados SQL principal que inclui os registos do
Instantâneo de recuperação de desastres utilizando:
•
Microsoft SQL Server Management Studio
•
Microsoft Transact-SQL
Consulte a documentação do Microsoft SQL Server para obter detalhes para concluir estes
processos.
Isto cria um servidor SQL duplicado pronto para restauro, se necessário, ligando-o a uma nova
instalação do software ePolicy Orchestrator utilizando a opção Restaurar.
308
Guia do produto
24
Configure as definições do servidor de recuperação de
desastres
Pode alterar a frase de acesso de encriptação do armazenamento de chaves utilizada quando instalou
o software ePolicy Orchestrator e ligá-la a uma base de dados SQL restaurada com os registos de
instantâneo de recuperação de desastres.
Antes de começar
Tem de ter direitos de administrador para alterar a frase de acesso da encriptação do
armazenamento de chaves.
A utilização da Recuperação de desastres para criar um Instantâneo de servidor McAfee ePO
proporciona-lhe um método de recuperação rápido do servidor McAfee ePO.
Como administrador, esta definição é útil se tiver perdido ou esquecido a frase de acesso da encriptação
do armazenamento de chaves configurada durante a instalação do software ePolicy Orchestrator. Pode
alterar a frase de acesso existente sem saber a frase de acesso configurada anteriormente.
Tarefa
1
Clique em Menu | Configuração | Definições do servidor, selecione Recuperação de desastres a partir de Categorias
de definição e depois clique em Editar.
2
A partir de Frase de acesso da encriptação do armazenamento de chaves, clique em Alterar frase de acesso e
introduza a nova frase de acesso e confirme-a.
A frase de acesso da encriptação do armazenamento de chaves é utilizada para encriptar e
desencriptar as informações sensíveis guardadas no Instantâneo de servidor. A frase de acesso é
necessária durante o processo de recuperação do servidor McAfee ePO. Anote esta frase de acesso.
A base de dados do ePolicy Orchestrator tem de ser copiada periodicamente para um servidor de bases
de dados Microsoft SQL a restaurar, para criar uma base de dados de cópia de segurança efetiva.
Consulte Configurar Instantâneo e restaurar base de dados SQL para processos de cópia de segurança
de servidor de bases de dados e de restauro.
Guia do produto
309
24
310
Guia do produto
A
Siga estas orientações relativas às portas quando personalizar as portas que o servidor McAfee ePO
usa.
Conteúdo
Alterar a Porta de comunicação do servidor da consola para a aplicação
Alterar a porta de comunicação entre o agente e o servidor
Portas necessárias para comunicar através de uma firewall
referência rápida para
Alterar a Porta de comunicação do servidor da consola para a
aplicação
Se a Porta de comunicação do servidor da consola para a aplicação do McAfee ePO estiver a ser usada
por outra aplicação, siga estes passos para especificar uma porta diferente.
Antes de começar
Este tópico artigo contém informação sobre como abrir ou modificar o registo. Esta
informação destina-se apenas a administradores de rede e de sistema.
•
As modificações de registo são irreversíveis e podem causa a falha do sistema caso
sejam executadas de forma incorreta.
•
Recomendamos vivamente que crie uma cópia de segurança do registo e que
compreenda o procedimento de restauro. Para mais informações, consulte a
documentação da Microsoft.
•
Certifique-se de que executa apenas ficheiros .REG confirmados como ficheiro de
importação de registo genuíno.
Tarefa
1
Pare os serviços McAfee ePO:
a
Feche todas as consolas McAfee ePO.
b
Clique em Iniciar | Executar, introduza services.msc e depois clique em OK.
Guia do produto
311
A
Alterar a Porta de comunicação do servidor da consola para a aplicação
c
2
Clique com o botão direito do rato em cada um destes serviços e selecione Parar:
•
Servidor de aplicações McAfee ePolicy Orchestrator
•
Analisador de eventos do McAfee ePolicy Orchestrator
•
Servidor do McAfee ePolicy Orchestrator
No editor de registo, selecione esta chave:
McAfee ePO 5.1.0 (64-bit) — [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft
\Windows\CurrentVersion\Uninstall\{806ACE6E-C694-43FE-A470-160A332D7AF9}]
3
No painel direito, faça duplo clique em TomcatSecurePort.SQL e altere os dados do valor para refletir o
número de porta necessário (o predefinido é 8443).
4
Clique em Iniciar | Executar, introduza Bloco de notas e depois clique em OK.
5
Cole estas linhas num documento do Bloco de notas em branco e altere 8443 para o novo número
de porta:
UPDATE EPOServerInfo SET rmdSecureHttpPort =8443
6
Dê o nome de TomcatSecurePort.sql ao ficheiro e guarde-o numa localização temporária no SQL Server.
7
Use o Microsoft SQL Server Management Studio para instalar o ficheiro TomcatSecurePort.sql que
criou.
a
Clique em Iniciar | Todos os Programas | Microsoft SQL Server Management Studio.
b
Na caixa de diálogo Ligar ao servidor, clique em Ligar.
c
Expanda as Bases de dados e depois selecione base de dados ePO.
d
A partir da barra de ferramentas, selecione Nova Consulta.
e
Clique em Ficheiro | Abrir | Ficheiro... e depois procure o ficheiro TomcatSecurePort.sql.
f
Selecione o ficheiro, clique em Abrir | Executar.
8
Clique em Iniciar | Executar, introduza explorador e depois clique em OK.
9
No Explorador do Windows, procure o seguinte diretório:
\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\
10 Com o Bloco de notas, abra o ficheiro Server.XML e substitua todas as entradas da porta 8443 pelo
novo número de porta.
11 Clique em Iniciar | Executar, introduza services.msc e depois clique em OK.
12 Clique com o botão direito do rato em cada um destes serviços e selecione Parar:
312
•
•
•
Guia do produto
A
Siga estes passos para alterar a porta de comunicação entre o agente e o servidor.
Antes de começar
Este tópico artigo contém informação sobre como abrir ou modificar o registo. Esta
informação destina-se apenas a administradores de rede e de sistema.
•
As modificações de registo são irreversíveis e podem causa a falha do sistema caso
sejam executadas de forma incorreta.
•
Recomendamos vivamente que crie uma cópia de segurança do registo e que
compreenda o procedimento de restauro. Para mais informações, consulte a
documentação da Microsoft.
•
Certifique-se de que executa apenas ficheiros .REG confirmados como ficheiro de
importação de registo genuíno.
Tarefa
1
2
Pare os serviços McAfee ePO:
a
Feche todas as consolas McAfee ePO.
b
Clique em Iniciar | Executar, introduza services.msc e depois clique em OK.
c
•
•
•
Modifique o valor da porta no registo:
a
Clique em Iniciar | Executar, introduza regedit e depois clique em OK.
b
Navegue até à chave que corresponde à versão do McAfee ePO:
McAfee ePO 5.1 — [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows
\CurrentVersion\Uninstall\{806ACE6E-C694-43FE-A470-160A332D7AF9}]
3
Modifique o valor da cadeia AgentPort para refletir a porta adequada. O valor predefinido desta
porta é 80, em seguida feche o editor de registo.
4
Modifique o valor na base de dados McAfee ePO:
a
Clique em Iniciar | Executar, introduza Bloco de notas e depois clique em OK.
b
Adicione estas linhas ao documento em branco do Bloco de notas.
UPDATE EPOServerInfo SET
ServerHTTPPort=80
c
Guarde o ficheiro como DefaultAgentPort.SQL numa localização temporária no SQL Server.
d
Para usar o Microsoft SQL Server Management Studio para instalar o ficheiro
DefaultAgentPort.sql, clique em Iniciar | Todos os programas | Microsoft SQL Server Management Studio.
Guia do produto
313
A
5
e
f
g
h
Clique em Ficheiro | Abrir | Ficheiro... e depois procure o ficheiro DefaultAgent.SQL.
i
Cole estas linhas num documento do Bloco de notas em branco e altere 8443 para o novo número
de porta:
UPDATE EPOServerInfo SET rmdSecureHttpPort =8443
6
Dê o nome de TomcatSecurePort.SQL ao ficheiro e guarde-o numa localização temporária no SQL
Server.
7
Use o Microsoft SQL Server Management Studio para instalar o ficheiro TomcatSecurePort.SQL.
8
a
Clique em Iniciar | Todos os Programas | Microsoft SQL Server Management Studio.
b
c
d
e
Clique em Ficheiro | Abrir | Ficheiro... e depois procure o ficheiro TomcatSecurePort.SQL.
f
Modifique o valor da porta nos ficheiros de configuração McAfee ePO:
a
Clique em Iniciar | Executar, introduza explorador e depois clique em OK.
b
Navegue até C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\....
c
Com o Bloco de notas, abra o ficheiro Server.ini e altere o valor HTTPPort=80 para refletir o novo
número e depois guarde o ficheiro.
d
Com um editor de texto, abra o ficheiro Siteinfo.ini e altere o valor HTTPPort=80 para refletir o
novo número e depois guarde o ficheiro.
e
Navegue até C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\..., abra httpd.conf e altere estas
linhas para refletir o novo número de porta:
Listen 80
ServerName<NomeDoSeuServidor>: 80
9
De estiver a usar VirtualHosts, altere:
NameVirtualHost *:80
<VirtualHost *:80>
10 Guarde o ficheiro e saia do editor de texto.
314
Guia do produto
A
11 Reinicie os serviços McAfee ePO:
a
Clique em Iniciar | Executar, introduza services.msc e clique em OK.
b
•
•
12 (Opcional) Modifique as definições nos Processadores de agentes remotos:
a
Certifique-se de que todas as consolas do McAfee ePO estão fechadas e depois clique em Iniciar |
Executar, introduza services.msc e clique em OK.
b
Clique com o botão direito do rato em cada um destes serviços e selecione Parar.
•
•
Este servidor poderá estar listado como MCAFEEAPACHESRV se o servidor não reiniciou desde o
momento em que o Processador de agentes foi instalado.
13 Navegue até C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\..., abra httpd.conf com um editor de
texto e altere estas linhas para refletir o novo número de porta:
Listen 80
ServerName<NomeDoSeuServidor>: 80
De estiver a usar VirtualHosts, altere:
NameVirtualHost *:80
<VirtualHost *:80>
14 Guarde o ficheiro e saia do editor de texto.
15 Clique em Iniciar | Executar, introduza services.msc e clique em OK.
16 Clique com o botão direito do rato em cada um destes serviços e selecione Parar.
•
•
Este servidor poderá estar listado como MCAFEEAPACHESRV se o servidor não foi reiniciado
desde o momento em que o Processador de agentes foi instalado.
Se implementou anteriormente agentes em clientes, reinstale o agente em todos os clientes usando
o comutador /forceinstall para substituir o ficheiro Sitelist.xml existente. Para mais informações
sobre versões específicas do McAfee Agent que permitem que o comutador /forceinstall funcione
com êxito, consulte o artigo da McAfee KnowledgeBase KB60555.
Guia do produto
315
A
Use estas portas para configurar uma firewall para permitir o tráfego para e a partir do servidor
McAfee ePO.
Termos relevantes
•
Bidirecional — A ligação pode ser iniciada a partir de qualquer direção.
•
Entrada — A ligação é iniciada por um sistema remoto.
•
Saída — A ligação é iniciada por um sistema local.
Tabela A-1
Servidor McAfee ePO
Porta
Predefinida Descrição
Porta de
comunicação entre
o agente e o
servidor
80
Agente a comunicar 443
por SSL (apenas
agentes 4.5 e
posterior)
Direção de tráfego
Porta TCP aberta pelo serviço de
Bidirecional entre o
servidor McAfee ePO para receber processador de agentes e o
pedidos de agentes.
servidor McAfee ePO e de
entrada a partir do McAfee
Agent para os processadores
de agentes e o servidor
McAfee ePO.
Por predefinição, os agentes 4.5
têm de comunicar por SSL (443
por predefinição). Esta porta é
igualmente usada para o
processador de agentes
comunicar como repositório
principal McAfee ePO.
Ligação de entrada para o
servidor McAfee ePO a partir
dos agentes ou processadores
de agentes para o repositório
principal.
Ligação de entrada:
• Agente para McAfee ePO
• Processador de agentes para
o repositório principal
• McAfee ePO para o
• Agente para o processador
de agentes
316
Porta de
8081
comunicação para
ativação do agente
porta do repositório
do SuperAgent
Porta TCP aberta por agentes
para receber pedidos de ativação
do agente a partir do servidor
McAfee ePO. Porta TCP aberta
para replica conteúdos do
repositório para um repositório do
SuperAgent.
Ligação de saída a partir do
servidor McAfee ePO e
processador de agentes para o
McAfee Agent.
Porta de
comunicação de
difusão para
agentes
Porta UDP aberta pelo
SuperAgent para encaminhar
mensagens a partir do servidor
McAfee ePO e processador de
agentes.
SuperAgent para outros
agentes.
Porta de
8443
comunicação do
servidor da consola
para a aplicação
Porta HTTPS aberta pelo serviço
de servidor de aplicações McAfee
ePO para permitir acesso à
consola no web browser.
Ligação de entrada ao servidor
McAfee ePO a partir da
consola McAfee ePO.
Porta de
comunicação
autenticada do
cliente para o
servidor
Usado pelo processador de
agentes para comunicar com o
servidor McAfee ePO para obter
as informações necessárias (por
exemplo, servidores LDAP).
Ligação de saída a partir dos
processadores de agentes
remotos para o servidor
McAfee ePO.
8082
8444
Guia do produto
A
Tabela A-1
Servidor McAfee ePO (continuação)
Porta
Predefinida Descrição
Direção de tráfego
Porta TCP do SQL
Server
1433
Porta TCP usada para comunicar
com o SQL Server. Esta porta é
especificada ou determinada
automaticamente durante o
processo de configuração.
SQL Server.
Porta UDP do
servidor SQL
1434
Porta UDP usada para solicitar a
porta TCP que a instância SQL
que aloja a base de dados McAfee
ePO está a usar.
SQL Server.
Porta do servidor
LDAP predefinida
389
Ligação LDAP para procurar
computadores, utilizadores,
grupos e unidades
organizacionais para políticas
baseadas no utilizador.
processador de agentes para
um servidor LDAP.
Porta SSL do
servidor LDAP
predefinida
636
As políticas baseadas no
utilizador usam a ligação LDAP
para procurar utilizadores, grupos
e unidades organizacionais.
processador de agentes para
um servidor LDAP.
Use esta informação de porta e direção de tráfego para configurar uma firewall para permitir tráfego
para e a partir do servidor McAfee ePO.
Termos relevantes
•
Bidirecional — A ligação pode ser iniciada a partir de qualquer direção.
•
Entrada — A ligação é iniciada por um sistema remoto.
•
Saída — A ligação é iniciada por um sistema local.
Tabela A-2
Processador de agentes
Porta
predefinida
Protocolo Direção de tráfego no servidor Direção de tráfego no
McAfee ePO
80
TCP
Ligação bidirecional para e a
partir do servidor McAfee ePO.
Ligação bidirecional para e a partir
do Processador de agentes.
389
TCP
processador de agentes.
443
TCP
636
TCP
1433
TCP
1434
UDP
8081
TCP
Guia do produto
317
A
Tabela A-2
Processador de agentes (continuação)
Porta
predefinida
Protocolo Direção de tráfego no servidor Direção de tráfego no
McAfee ePO
8443
TCP
8444
TCP
Tabela A-3
McAfee Agent
Porta predefinida Protocolo Direção de tráfego
80
TCP
Ligação de saída para o servidor McAfee ePO e processador de
agentes.
443
TCP
Ligação de saída para o servidor McAfee ePO e processador de
agentes.
8081
TCP
Ligação de entrada a partir do servidor McAfee ePO e processador
de agentes.
Se o agente for um repositório SuperAgent, a ligação de entrada é
a partir de outros agentes.
8082
UDP
Ligação de entrada para os agentes.
A ligação de entrada e saída é a partir ou para um SuperAgent.
Tabela A-4 SQL Server
Porta predefinida Protocolo Direção de tráfego
318
1433
TCP
de agentes.
1434
UDP
de agentes.
Guia do produto
B
Manutenção das bases de dados do
As bases de dados ePolicy Orchestrator exigem manutenção regular, para promover um desempenho
ideal e proteger os dados.
Utilize a ferramenta de gestão da Microsoft apropriada para a sua versão do SQL:
Versão do SQL
Ferramenta de gestão
SQL 2008 e 2012
SQL Server Management Studio
SQL Express
SQL Server Management Studio Express
Dependendo da implementação do software ePolicy Orchestrator, planeie passar algumas horas por
cada um a realizar cópias de segurança da base de dados e manutenção regulares. Execute estas
tarefas regularmente, seja semanalmente ou diariamente. Contudo, estas não são as únicas tarefas de
manutenção disponíveis. Consulte a documentação do SQL para obter detalhes sobre o que mais pode
fazer para fazer a manutenção da sua base de dados.
Conteúdo
Permissões SQL necessárias para instalar o McAfee ePO
A definir funções do utilizador da base de dados
Considerações para um plano de manutenção SQL
Escolher um modelo de recuperação de bases de dados SQL
Desfragmentar dados da tabela
Criar um plano de manutenção SQL
Alterar a informação de ligação do SQL Server
Guia do produto
319
B
São necessárias funções SQL Server específicas se tencionar usar um servidor SQL existente ou
instalar manualmente um novo SQL Server.
Para uma
Use estas funções de servidor
instalação nova do
McAfee ePO...
Durante a instalação As credenciais de conta de utilizador para autenticação Windows ou
autenticação SQL têm de ter estas funções de servidor no SQL Server de destino:
• pública
• dbcreator
A função de servidor dbcreator é necessária para que o programa de
configuração crie e adicione os objetos de base de dados central necessários do
McAfee ePO ao SQL Server de destino durante a instalação.
A esta conta de utilizador SQL do McAfee ePO é concedida a permissão de
função de base de dados permission db_owner para a base de dados McAfee ePO.
Depois de a base de
dados estar
instalada
A função de servidor dbcreator pode ser removida do utilizador SQL do McAfee
ePO.
Ao revogar a função de servidor dbcreator, são restringidas as permissões de
conta de utilizador somente a quem tenha sido concedida a função de base de
dados db_owner na base de dados McAfee ePO.
Para atualizar ou instalar Use estas funções
um patch...
Durante a instalação
As credenciais de conta de utilizador para autenticação Windows ou
autenticação SQL têm de ter estas funções de servidor no SQL Server de
destino:
• pública
• db_owner
Se não quiser usar a função db_owner, siga estes passos para criar uma nova função de base de
dados.
A conta de utilizador que é usada em vez de db_owner tem de ter cinco permissões de função de base
de dados.
320
Guia do produto
B
Para...
Use estas funções
Utilização diária use
(recomendado)
A conta usada na operação diária tem de ter estas funções de base de
dados:
• pública
• db_owner
Criação de uma nova função
de base de dados
Siga estes passos se
não quiser usar a
função de base de
dados db_owner para
início de sessão usado
para aceder à base de
dados McAfee ePO.
1 Crie uma nova função de base de dados na base de dados McAfee
ePO:
a Inicie sessão no SQL Management Studio com uma conta com
direitos de administrador.
b No SQL Server que aloja a base de dados McAfee ePO, expanda
Bases de dados, localize a sua base de dados McAfee ePO e depois
expanda Segurança | Funções.
c Clique com o botão direito do rato em Funções de base de dados e
depois selecione Nova função de base de dados.
d Em Nome da função, introduza db_execute.
e Clique em OK.
2 Conceda permissões de Executar à nova função:
a No Management Studio, clique em Nova consulta.
b Na lista pendente Bases dados disponíveis, selecione a base de dados
McAfee ePO.
c Na janela de consulta, introduza o comando: GRANT EXECUTE TO
db_execute
d Clique em Executar para executar o comando.
3 Faça o mapeamento do início de sessão para as funções de base de
dados necessárias:
a No Management Studio, no SQL Server que aloja a base de dados
McAfee ePO, expanda Segurança | Inícios de sessão.
b Selecione o início de sessão que quer que o McAfee ePO use para
aceder à base de dados.
c Clique com o botão direito do rato no início de sessão e depois
selecione Propriedades.
d Em Selecionar uma página, selecione Mapeamento do utilizador.
e Em Utilizadores mapeados para este início de sessão, selecione a base de
dados McAfee ePO.
f Na associação de função de base de dados para, selecione as
funções de nível de base de dados fixas:
• db_datareader — Necessária para consultar os conteúdos da base
de dados.
• db_datawriter — Necessária para introduzir ou atualizar os
conteúdos da base de dados.
• db_ddladmin — Necessária para executar declarações de idioma
de definição de dados.
Guia do produto
321
B
Para...
Use estas funções
• db_execute
• pública
g Em Utilizadores mapeados para este início de sessão, selecione tempdb.
h Na associação de função de base de dados, selecione as funções
de nível de base de dados fixas:
• db_datareader
• db_datawriter
• pública
i Clique em OK.
A sua base de dados SQL é parte integral do ePolicy Orchestrator. Se não fizer a manutenção nem
criar cópia de segurança das informações da sua base de dados e ocorrer uma falha, pode perder toda
a configuração do ePolicy Orchestrator e a proteção de rede.
A manutenção da sua base de dados ePolicy Orchestrator SQL inclui dois componentes importantes:
•
Recuperação de desastres do ePolicy Orchestrator
•
Manutenção e criação de cópia de segurança da base de dados SQL
Cada um destes componentes é descrito nas seguintes secções.
ePolicy Orchestrator Recuperação de desastres
O processo de recuperação do ePolicy Orchestrator usa a funcionalidade Instantâneo de recuperação de
desastres que guarda periodicamente a configuração, extensões e chaves do ePolicy Orchestrator e os
registos do Instantâneo de recuperação de desastres na base de dados ePolicy Orchestrator. Os registos
guardados pelo Instantâneo de recuperação de desastres contêm toda a configuração ePolicy Orchestrator do
momento específico em que o Instantâneo de recuperação de desastres é tirado.
Para recuperar rapidamente de uma falha de base de dados, é importante criar periodicamente
Instantâneos de recuperação de desastres da sua base de dados ePolicy Orchestrator, criar cópia de segurança
dos ficheiros de base de dados e copiar esse ficheiro de cópia de segurança do servidor SQL principal
para o servidor SQL de restauro.
Manutenção e criação de cópia de segurança da base de dados SQL
A base de dados SQL é o componente de armazenamento central para todos os dados criados e
usados pelo ePolicy Orchestrator. Armazena as propriedades do sistema gerido, a sua informação das
políticas e estrutura de diretoria, para além de todos os restantes dados relevantes de que o servidor
precisa para manter os seus sistemas atualizados. A manutenção da sua base de dados ePolicy
Orchestrator SQL deve ser uma prioridade. A manutenção periódica da base de dados SQL deve
incluir:
•
322
Gestão do ficheiro de registo de dados e (transação) - Isto deve incluir:
•
Separar ficheiros de dados e de registo
•
Configurar corretamente o autogrowth
Guia do produto
B
•
Configurar a inicialização de ficheiro instantânea
•
Confirmar se a redução automática não está ativa e que a redução não faz parte de nenhum
plano de manutenção
•
Desfragmentação de índice - Consulte Dados da tabela de desfragmentação
•
Deteção de danos - Utilizando a tarefa Verificar integridade da base de dados ou DBCC CHECKDB
•
Criação de cópias de segurança e gestão de ficheiros
•
Agendar a realização automática destas tarefas
Felizmente, a base de dados SQL tem funcionalidades, como por exemplo o assistente Plano de manutenção
e scripts Transact-SQL que pode configurar para realizar estas tarefas automaticamente.
Da perspetiva do ePolicy Orchestrator, há dois modelos disponíveis para manter as suas bases de
dados Microsoft SQL Server (SQL Server): o Modelo de recuperação simples e o Modelo de
recuperação completa. A McAfee recomenda a utilização do modelo de recuperação simples para a
base de dados do ePolicy Orchestrator.
Utilizando este modelo de recuperação simples, o SQL Server identifica registos sujeitos a cópia de
segurança como Inativos — também conhecido como truncar o registo. Truncar o registo permite que
quaisquer novas operações registadas no registo de transações substituam as entradas inativas, o que
ajuda a evitar o crescimento do tamanho do ficheiro de registo de transações.
Utilizando o modelo de recuperação completa, o registo de transações continua a crescer até consumir
todo o espaço disponível em disco, a não ser que seja criada uma cópia de segurança periódica do
registo de transações. Se a sua base de dados do ePolicy Orchestrator estiver configurada para utilizar
o modelo de recuperação completa, crie cópias de segurança regulares do registo de transações para
limitar o seu tamanho.
Se utilizar o modelo de recuperação simples, depois de ocorrer o Ponto de verificação e os registos
serem esvaziados para o disco, o SQL Server trunca o registo de transações. Truncar o registo de
transações liberta espaço no ficheiro de registo de transações.
No modelo de recuperação simples, não é criada cópia de segurança do registo de transações, sendo
criadas apenas cópias de segurança regulares e completas da base de dados do ePolicy Orchestrator.
Se ocorrer um desastre, só pode recuperar para a última cópia de segurança completa. Todas as
alterações ocorridas desde a criação da última cópia de segurança são perdidas.
Para a maioria dos clientes empresariais, a utilização do modelo de recuperação simples é uma
solução aceitável, porque só se perde, na maioria dos casos, informação de eventos entre as cópias de
segurança. Se utilizar o modelo de recuperação completa, implica a sobrecarga administrativa de criar
regularmente cópias de segurança do registo de transações da base de dados do ePolicy Orchestrator.
Principalmente por este motivo, a McAfee recomenda a utilização do modelo de recuperação simples
para a base de dados do ePolicy Orchestrator.
Se optar por utilizar o modelo de recuperação completa, certifique-se de que dispõe de um bom plano
de cópia de segurança tanto para a base de dados do ePolicy Orchestrator como para o registo de
transações. Uma discussão sobre um plano de criação de cópia de segurança da base de dados do SQL
Server está para além do objetivo deste guia. Para obter mais detalhes, consulte a documentação do
Microsoft SQL Server.
Guia do produto
323
B
Um dos principais problemas de desempenho das bases de dados é a fragmentação dos dados da
tabela. Pode reorganizar ou, se necessário, reconstruir os dados da tabela para resolver este
problema.
A fragmentação dos dados da tabela assemelha-se a um índice no fim de um livro grande. Uma única
entrada do índice deste livro grande pode apontar para várias páginas espalhadas pelo livro. Isto
significa que terá de analisar cada página para obter as informações de que anda à procura.
Isto é bastante diferente do índice de uma lista telefónica que guarda os dados de forma ordenada.
Uma consulta típica de um nome comum como "João" poderá gerar várias páginas consecutivas, mas
que estão sempre em forma ordenada.
No caso de uma base de dados, os dados da tabela começam por ser parecidos com uma lista
telefónica, mas, com o passar do tempo, acaba por ter dados que se parecem mais com o índice de
um livro grande.
Tem de reordenar ocasionalmente os dados para recrear a ordem da lista telefónica ordenada. É aqui
que é crucial reorganizar ou reconstruir os seus índices. Com o passar do tempo, a sua base de dados
torna-se mais fragmentada, especialmente se gerir um ambiente grande onde milhares de eventos
são aí guardados diariamente.
É essencial configurar uma tarefa de manutenção SQL para reorganizar e reconstruir automaticamente
os seus índices, para manter o desempenho correto do servidor McAfee ePO. Pode incluir a
re-indexação como parte da sua agenda de cópia de segurança regular, para combinar tudo numa
única tarefa.
Ao configurar a tarefa, não selecione a opção de reduzir a base de dados. Este é um equívoco comum
que muitos administradores cometem ao criarem a tarefa de manutenção.
O inconveniente de utilizar a tarefa de manutenção SQL é que faz com que todos os índices sejam
recriados ou reorganizados, independentemente do nível de fragmentação da tabela. Para minimizar o
tempo gasto a reconstruir e reorganizar uma ampla base de dados de produção, considere configurar
um trabalho de agente de servidor SQL que execute um script SQL personalizado para reorganizar
seletivamente ou reconstruir índices com base no nível de fragmentação.
Pode determinar o nível de fragmentação de um índice enviando uma consulta à vista de gestão
dinâmica (DMV) sys.dm_db_index_physical_stats. Há informações sobre a manutenção de bases de
dados do SQL Server online que fornecem scripts SQL de amostra que pode utilizar para reconstruir
ou reorganizar os índices consoante o nível de fragmentação. Consulte
sys.dm_db_index_physical_stats (Transact-SQL), Exemplo D na Biblioteca Microsoft para obter mais
informações.
Uma regra comum para determinar se deve reorganizar ou reconstruir a tabela, consoante a
fragmentação da tabela, é:
•
Menor do que 30% - Reorganize os dados da tabela.
•
Maior do que 30% - Reconstrua os dados da tabela.
A reorganização do índice é uma operação online (o que significa que a tabela está disponível para
consultas durante esse tempo) e é recomendada. No caso de tabelas muito fragmentadas,
reconstruí-las poderá ser a melhor opção, mas terá de ser executado online, a não ser que esteja a
utilizar o SQL Server Enterprise Edition.
Para mais informações, consulte Reorganizar e reconstruir índices na Biblioteca Microsoft online.
324
Guia do produto
B
Para criar automaticamente uma cópia de segurança da base de dados do ePolicy Orchestrator, crie
um plano de manutenção de bases de dados SQL, por exemplo o SQL Server Management Studio.
Deve utilizar a funcionalidade Instantâneo de recuperação de desastres do ePolicy Orchestrator para
guardar periodicamente a configuração, extensões e chaves do ePolicy Orchestrator e os registos do
Instantâneo de recuperação de desastres na base de dados SQL. Os registos do Instantâneo de
recuperação de desastres, juntamente com a criação regular de uma cópia de segurança da sua base de
dados, permitem-lhe recuperar rapidamente se o hardware que aloja o servidor McAfee ePO falhar.
Tarefa
1
Crie um novo plano de manutenção. Consulte as informações da Microsoft em:
•
Como: iniciar o assistente de plano de manutenção (SQL Server Management Studio)
•
Criar um plano de manutenção
É iniciado o assistente Plano de manutenção.
2
Introduza um nome para o plano de manutenção, por exemplo Planos de manutenção da base
de dados ePO.
3
Configure uma agenda para o plano de manutenção. Agende a tarefa para ser executada fora das
horas de ponta. Por exemplo, configure uma tarefa periódica para ser executada semanalmente
todos os sábados às 11h00 sem data de fim.
4
Defina as seguintes tarefas de manutenção para serem realizadas:
5
•
Verificar a integridade da base de dados
•
Reconstruir o índice
•
Criar cópia de segurança da base de dados (completa)
Defina a ordem das tarefas de manutenção como:
•
Verificar a integridade da base de dados
•
Criar cópia de segurança da base de dados (completa)
•
Reconstruir o índice
Estas tarefas podem ser permutadas na ordem pela qual são executadas. A McAfee recomenda que
a criação da cópia de segurança ocorra antes do processo de reconstrução do índice. Isto garante a
existência de uma cópia de segurança funcional da base de dados na eventualidade de surgir um
problema durante o processo de reconstrução.
6
7
Defina a tarefa Verificar a integridade da base de dados no sentido de incluir:
•
Nome da base de dados do ePolicy Orchestrator
•
Incluir índices
Defina a tarefa Criar cópia de segurança da base de dados (completa) no sentido de incluir:
•
•
Crie uma cópia de segurança da localização do caminho
Guia do produto
325
B
8
Defina a tarefa Reconstruir o índice no sentido de incluir:
•
•
Objecto: Tabelas e vistas
•
Altere a percentagem de espaço livre por página para 10%
Uma tarefa Reconstruir o índice iria fazer com que as estatísticas fossem atualizadas no âmbito
da reconstrução (efetivamente com a análise completa) - por isso, não é necessária uma tarefa
Atualizar as estatísticas após a tarefa Reconstruir o índice.
9
Defina as opções de Selecionar relatório no sentido de incluir:
•
Guarde um relatório em ficheiro de texto
•
Procure a localização da pasta
Isto criar um plano de manutenção para criar automaticamente uma cópia de segurança da sua base
de dados do ePolicy Orchestrator.
Pode editar os detalhes da configuração da ligação do SQL Server utilizando uma página Web especial
do McAfee ePO.
Edite os detalhes de configuração da ligação quando tiver de alterar a informação da conta de
utilizador no McAfee ePO quando faz alterações nos modos de autenticação do SQL Server no SQL
Server Enterprise Manager ou no SQL Server Management Studio. Faça isto se for necessário utilizar
uma conta de utilizador SQL privilegiada para segurança da rede adicionada.
Alterar as definições da base de dados para indicar este servidor McAfee ePO a uma base de dados
McAfee ePO que não é uma correspondência exata pode provocar a remoção de extensões do produto e
a perda de todos os dados associados. A McAfee recomenda a execução desta tarefa apenas para
alterar a configuração da base de dados existente.
Pode utilizar a página Web em https://<servername>:<port>/core/config para ajustar qualquer
informação do ficheiro de configuração da base de dados. Use a página de configuração se tiver de
alterar a configuração da ligação da base de dados. Por exemplo, qualquer alteração do nome de
utilizador da base de dados, ou da palavra-passe, nome do servidor, nome da instância, porta ou
nome da base de dados.
Coisas que deve saber acerca desta página:
•
Autenticação — Se a base de dados estiver a ser executada, esta página utiliza a autenticação
normal do utilizador McAfee ePO e apenas um administrador pode aceder à mesma. Se a base de
dados estiver indisponível, é necessária uma ligação a partir do sistema em execução no SQL
Server.
•
Os serviços McAfee ePO têm de ser reiniciados para que as alterações de configuração produzam
efeitos.
•
Como última instância, deverá editar manualmente o ficheiro de configuração (<ePO installation
directory>server\conf\orion\db.properties), introduzir a palavra-passe em texto simples,
iniciar o servidor e depois utilizar a página config para reeditar o db config, que armazena a versão
encriptada da frase de acesso.
326
Guia do produto
B
Tarefa
1
Inicie sessão no McAfee ePO com credenciais de administrador.
2
Introduza o seguinte URL no campo de endereço do browser.
https://<nomedoservidor>:<porta>/core/config
3
Na página Configurar as definições da base de dados, altere as credenciais ou a informação do SQL Server,
conforme necessário.
Outras definições nesta página incluem:
•
Nome do anfitrião ou endereço IP — Indica e o nome do anfitrião ou endereço IP do servidor de bases
de dados utilizado.
•
Instância do servidor de bases de dados — Indica o nome da instância do servidor se o servidor estiver
num cluster.
•
Porta do servidor de base de dados — Indica a porta do servidor usada na comunicação entre o servidor
McAfee ePO e o servidor de base de dados SQL. A porta predefinida é a 8443.
•
Nome da base de dados — Indica o nome da base de dados específico utilizado no SQL Server.
•
Comunicação SSL com o servidor de bases de dados — Indica se a porta de ligação nunca utiliza, tenta
utilizar ou utiliza sempre SSL.
Clique em Testar a ligação para confirmar a ligação entre o servidor McAfee ePO e o servidor de base
de dados SQL.
4
Quando terminar, clique em Aplicar.
5
Reinicie o sistema ou os serviços McAfee ePO para aplicar as alterações.
Guia do produto
327
B
328
Guia do produto
C
Utilizando o nome do servidor McAfee ePO ou endereço IP e o número de porta de comunicação do
servidor, pode estabelecer uma ligação e configurar o ePolicy Orchestrator a partir de um qualquer
browser da Internet suportado.
Quando se liga ao ePolicy Orchestrator através de uma ligação remota, algumas alterações da
configuração não são permitidas. Por exemplo, não pode executar executáveis registados a partir de
uma ligação remota.
Para configurar uma ligação remota, tem de determinar o nome do servidor McAfee ePO ou endereço
IP e o número de porta de comunicação do servidor. Quando abrir o ePolicy Orchestrator, enquanto
tiver sessão iniciada no servidor McAfee ePO físico, repare no endereço que aparece no browser. Deve
ser semelhante a:
https://win-2k8-epo51:8443/core/orionSplashScreen.do
Neste URL de exemplo:
•
win-2k8-epo51 — É o nome do servidor McAfee ePO
•
:8443 — É o número de porta de comunicação do servidor da consola para a aplicação utilizado
pelo ePolicy Orchestrator.
O número de porta predefinido é "8443" a não ser que o tenha alterado.
Tarefa
1
Abra um browser da Internet qualquer suportado pelo ePolicy Orchestrator. Consulte McAfee
ePolicy Orchestrator - Guia de instalação de software para obter uma lista de browsers suportados.
2
Na barra de endereço do browser, introduza uma das seguintes opções e clique em Enter:
https://<nomedoservidor>:8443
https://<endereçoip_do_servidor>:8443
Por exemplo, https://win-2k8-epo51:8443
3
Inicie sessão no ePolicy Orchestrator e acaba de estabelecer uma ligação com a consola remota.
Consulte ePolicy Orchestrator - Guia de processamento de scripts para obter exemplos de comandos
expandidos que pode executar a partir de uma ligação com a consola remota.
Guia do produto
329
C
330
Guia do produto
D
As respostas às perguntas mais frequentes sobre o software ePolicy Orchestrator são recolhidas aqui.
Conteúdo
Questões de gestão de políticas
Perguntas de evento e resposta
Questões de gestão de políticas
O que é uma política?
Uma política é um subconjunto personalizado de definições de produto que corresponde a uma
categoria de política. Pode criar, modificar ou eliminar tantas políticas com nome quantas as que forem
necessárias para cada categoria de política.
O que são as políticas McAfee Default e Predefinida?
Na instalação, cada categoria de política contém, pelo menos, duas políticas. Estas são chamadas
McAfee Default e Predefinida. Estas são as únicas políticas presentes para as instalações na primeira
vez. As configurações para ambas são, inicialmente, as mesmas.
As políticas com nome McAfee Default não podem ser editadas, ter o nome mudado ou eliminadas. As
políticas Predefinidas podem ser editadas, ter o nome mudado e eliminadas.
O que acontece aos grupos e sistemas secundários do grupo onde atribuo uma
nova política?
Todos os grupos secundários que são definidos para herdarem a categoria de política específica,
herdam a política aplicada a um grupo principal.
Como é que os grupos e sistemas onde é aplicada uma política são afetados
quando a política é modificada no Catálogo de políticas?
Todos os grupos e sistemas onde é aplicada uma política recebem qualquer modificação efetuada à
política na próxima comunicação entre o agente e o servidor. A política é depois imposta em cada
intervalo de imposição da política.
Atribuí uma nova política, mas não está a ser imposta nos sistemas geridos.
Porquê?
As atribuições da nova política não são impostas até à próxima comunicação entre o agente e o
servidor.
Guia do produto
331
D
Colei as atribuições da política de um grupo ou sistema (origem) noutro (destino),
mas as políticas atribuídas à localização destino não são as mesmas que as da
localização de origem. Por que não?
Quando copia e cola atribuições de política, apenas as atribuições verdadeiras são coladas. Se a
localização de origem estava a herdar uma política que selecionou para copiar, foi a característica da
herança que foi colada no destino, por isso o destino depois herda a política (para essa categoria de
política particular) a partir da principal, que poderá ser uma política diferente daquela que foi herdada
na origem.
Se configurar uma regra de resposta para deteções de vírus, tenho de receber
alguma mensagem de notificação para cada evento recebido durante um surto?
Não. Pode configurar regras de modo que uma notificação possa ser enviada uma vez por quantidade
de eventos especificados dentro de uma quantidade especificada de tempo ou enviada num máximo
de uma vez numa quantidade especificada de tempo.
Posso criar uma regra que crie notificações para vários destinatários?
Sim. Pode introduzir vários endereços de correio eletrónico para destinatários no assistente Criador de
respostas.
Posso criar uma regra que crie vários tipos de notificações?
Sim. ePolicy Orchestrator As notificações suportam qualquer combinação dos seguintes destinos de
notificação para cada regra:
332
•
Correio eletrónico (incluindo SMTP padrão, SMS e pager de texto)
•
Servidores SNMP (via traps SNMP)
•
Qualquer ferramenta externa instalada no servidor do McAfee ePO
•
Problemas
•
Tarefas de servidor agendadas
Guia do produto
Índice
A
ação alterar ramo 214
ação Aplicar etiqueta 131
ação Executar os critérios de etiquetas 131
ação Iniciar agora 111
ação Testar a ordenação 111
ação Verificar integridade do IP 113
acerca deste guia 11
Active Directory
aplicar conjuntos de permissões 42
configurar a autorização do Windows 44
contentores, mapeamento para grupos da árvore de
sistema 121
estratégias de implementação 42
início de sessão do utilizador 41
sincronização de sistemas apenas 111
adicionar comentários a problemas 285
administradores
acerca de 56
criar grupos 106
gerir contas de utilizador 39
permissões 56
sites de origem, configurar 66
administradores globais
permissão necessária para a Recuperação de desastres 296
administradores, globais, consulte administradores
agendar
aplicar etiquetas baseadas em critérios 136
Instantâneo de recuperação de desastres 304
tarefas do servidor com sintaxe Cron 221
agendar tarefas do servidor
partilha de políticas 204
agente
agrupamento 98
agrupar por regras de atribuição 99
capacidade de reencaminhamento 147
capacidade de reencaminhamento, ativar 149
capacidade de reencaminhamento, desativar 148
chamadas de ativação 142
configurar as definições de proxy do 70
configurar políticas para utilizar repositórios 71
consultas fornecidas pelo 153
converter para SuperAgent 144
GUID e localização na árvore de sistema 114
agente
implementação 180
manutenção 139
McAfee Agent, componentes do ePolicy Orchestrator 15
primeira chamada ao servidor 114
respostas e reencaminhamento de eventos 232
agentes inativos 151
agregação, consulte notificações
agrupamento, consulte notificações
árvore de sistema
agrupar agentes 101
chamadas de ativação de grupos e manuais 142
criação, automatizada 108
Árvore de sistema
atribuir políticas a um grupo 190
conjuntos de permissões 107
estrutura 105
necessidades de acesso 107
ordenação baseada em critérios 111
povoar grupos 115
Árvore de sistemas
definida 106
eliminar sistemas a partir de 106
Grupo Perdidos e achados 106
grupos principais e herança 107
grupos subordinados e herança 107
o nível de A minha organização 105
ASCI (Consulte o intervalo de comunicação entre o agente e o
servidor) 140
assistente Criador de etiquetas 131
Assistente Criador de respostas 239
assistente Criador de tarefas do servidor 136
assistente Novo grupo
criar novos grupos 262
ativar a capacidade de reencaminhamento do agente 149
bloquear 185
Catálogo de políticas 185
copiar e colar 192, 193
grupo, atribuir a 190
imposição desativada, ver 201
sistemas, atribuir a 190, 191
ver 200, 201
Guia do produto
333
Índice
atribuição de processadores
editar prioridade 97, 100
gerir 97
visualizar resumo 97
atribuir problemas 285
atualização do ficheiro DAT
agendar uma tarefa 212
considerações para criar tarefas 212
implementação 208
registar manualmente a entrada 227
repositório principal 64
sites de origem 66
tarefa diária 212
verificar versões 213
atualização do motor
agendar uma tarefa 212
repositório principal 64
sites de origem 66
Atualização do motor
pacotes de implementação 208
atualização global
ativar 218
descrição do processo 217
requisitos 217
atualizações
agendar uma tarefa de atualização 212
assinatura e segurança do pacote 206
considerações para criar tarefas 212
pacotes de implementação 208
pacotes e dependências 206
sites de origem e 61
tarefas cliente 212
atualizações de produtos
assinatura e segurança do pacote 206
implementar 208
registar manualmente a entrada de pacotes 226
sites de origem e 61
tipos de pacote suportados 206
atualizações globais
conteúdos 71
atualizar
agendar uma tarefa de atualização 212
automaticamente, com a atualização global 218
DATs e motor 208
global, processo 217
tarefas de implementação 206
autenticação
configurar para Windows 44
autenticação com certificado
assinado por autoridade de certificação de terceiros 52
atualizar o ficheiro CRL 48
334
autenticação com certificado
converter ficheiro PVK para ficheiro PEM 55
criar um certificado auto-assinado 52
modificar autenticação do servidor baseada em certificado
47
utilizar comandos OpenSSL 54
autenticação de certificados de cliente
ativar 47
configurar o ePolicy Orchestrator 46
configurar utilizadores 48
desactivar 47
estratégias para utilização 46
introdução a 45
resolução de problemas 49
autenticação Windows
ativar 43
estratégias 42
autenticação, configurar para Windows 41
autorização
estratégias 42
B
base de dados
definir funções do utilizador 320
restaurar o SQL 304
base de dados SQL
agendar instantâneo 304
descrição geral da cópia de segurança 300
descrição geral da recuperação 302
ferramentas de gestão 319
plano de manutenção para criar cópia de segurança da
base de dados SQL 325
processo de criação de cópia de segurança e de restauro
308
Recuperação de desastres 296
restaurar a base de dados 304
Tarefa de manutenção SQL, utilizada para desfragmentar
os dados da tabela 324
bases de dados
agendar instantâneo 304
consulta de vários servidores 265
consultas e obtenção de dados 252
desfragmentar dados da tabela 324
editar informações 326
ferramentas de gestão 319
manter 323
plano de manutenção para criar cópia de segurança da
base de dados SQL 325
portas e comunicação 20
308
recuperar 323
Guia do produto
Índice
C
capacidade de reencaminhamento 147, 148
capacidade de reencaminhamento, ativar 149
capacidade de reencaminhamento, desativar 148
Catálogo de etiquetas 131
Catálogo de políticas
página, visualizar 183
trabalhar com 186
certificado de segurança
autoridade de certificação (AC) 49
criar um certificado auto-assinado 52
instalar 51
certificado do servidor
remover 47
substituir 50
certificados SSL
acerca 49
chamadas de ativação
acerca 141
manual 142
para grupos da árvore de sistema 142
SuperAgents e 142, 143
tarefas 141
chave de licença 38
chaves, consulte chaves de segurança
Chaves ASSC, Ver chaves de comunicação segura entre o
agente e o servidor 127
chaves de comunicação segura entre o agente e o servidor
com Transferir sistemas 127
exportar e importar chaves 91
chaves de segurança
ASSC, trabalhar com 161
chaves principais em ambientes de vários servidores 159
comunicação segura entre o agente e o servidor (ASSC)
157, 161
definições do servidor 20
geral 157
gerir 159
para conteúdo de outros repositórios 158
privadas e públicas 158
utilizar uma chave principal 159
comparar políticas 202
comparar tarefas cliente 216
componentes
ePolicy Orchestrator, acerca de 15
repositórios, acerca 61
Servidor McAfee ePO, acerca de 15
comunicação entre o agente e o servidor
acerca 139
chaves de comunicação segura (ASSC) 161
gerir 154
ordenação da árvore de sistema 112
acerca 157
trabalhar com chaves 161
utilizar pares de chaves diferentes para servidores 164
utilizar um par de chaves 163
ver sistemas que utilizam um par de chaves 163
configuração
descrição geral 31
funcionalidades essenciais 34
lista de sistemas nos grupos de etiquetas 261
configuração automática 33
configurar 25
conformidade
criar uma consulta para 266
gerar eventos 266
aplicar aos grupos do Active Directory 42
Árvore de sistema 107
atribuir a relatórios 274
exemplo 56
exportar e importar 57, 59
gerir 57
interação com utilizadores e grupos 56
mapear para grupos do Active Directory 41
trabalhar com 57
consultas 91
acerca 252
ações em resultados 252
agendadas 257
agente 153
agregar, de vários servidores 265
alterar grupos 262
configurar 254
criar uma consulta de conformidade 266
executar existentes 257
exportadas como relatórios 252
exportar para outros formatos 264
filtros 253
formatos de relatório 252
grupo de consultas pessoal 262
permissões 251
personalizadas, gerir 255
resultados como monitores do painel 252
resultados como tabelas 253
subação 257
tipo de resultado 265
tipos de gráficos 253
trabalhar com 254
utilizar numa tarefa do servidor 266
utilizar resultados para excluir etiquetas nos sistemas 134
contactos
respostas e 239
Guia do produto
335
Índice
contas
tipos de utilizador 39
contas de utilizador
alterar palavras-passe 39
gerir 39
tipos 39
convenções e ícones utilizados neste guia 11
converter agentes em SuperAgents. 144
credenciais
colocar em cache a implementação 155
modificar registos da base de dados 279
credenciais de implementação do agente 155
acerca 253
criar consultas personalizadas 251, 255
tipos de resultado 253
Criador de relatórios
criação de relatórios personalizados 251
criar problemas 284
critérios de ordenação
baseado em etiquetas 109, 113, 120
baseados no endereço IP 120
configurar 120
endereço IP 113
grupos, automatizada 109
ordenação de sistemas em grupos 111
para grupos 120
critérios de ordenação baseados em etiquetas 109, 113
D
definições de proxy
agente 70
configurar para o repositório principal 69
atualização global 218
atualizações globais 71
categorias predefinidas 20
certificados SSL 49
definições de proxy 38
Internet Explorer 70
notificações 231
portas e comunicação 20
proxy e repositórios principais 61
tipos de 20
Desativar a capacidade de reencaminhamento do agente 148
Diretório (Consulte Árvore de sistema) 121
documentação
convenções tipográficas e ícones 11
destinatários deste guia 11
específica do produto, localizar 12
domínios NT
atualizar grupos sincronizados 126
importar para grupos criados manualmente 123
336
domínios NT
sincronização 111, 123
duplicar entradas na árvore de sistema 123
E
editar problemas 285
editar registos do servidor da base de dados 279
elementos de relatório
configurar gráficos 272
configurar imagens 271
configurar tabelas 272
configurar texto 271
remover 273
reordenar 274
eliminar problemas 285
Emissão de tickets com o McAfee ePO 287
endereço IP
como critérios de agrupamento 108
critérios de ordenação 115, 120
intervalo, como critério de ordenação 120
IPv6 28
máscara de sub-rede, como critério de ordenação 120
ordenar 113
verificar sobreposição do IP 113
adicionar a sites fidedignos 278
Como funciona o software 16
funcionalidades essenciais 35
iniciar e terminar sessão 19
introdução 13
ligação à consola remota 329
escalabilidade
acerca 27
horizontal 27
planear 27
utilizar processadores de agentes 28
utilizar vários servidores 27
vertical 27
etiquetas 91
aplicação manual de 135
aplicar 136
baseados em critérios 111
criar com o assistente Criador de etiquetas 131
criar, eliminar e modificar subgrupos 133
critérios de ordenação de grupo 109
editar, eliminar, exportar e mover 132
excluir sistemas da aplicação de etiquetas automática 134
etiquetas baseadas em critérios
aplicar 136
ordenar 120
etiquetas, subgrupos
criar, eliminar e modificar 133
eventos
determinar quais os que são reencaminhados 236
Guia do produto
Índice
eventos (continuação)
eventos de conformidade 266
filtragem, definições do servidor 20
intervalos de notificação 237
reencaminhamento e notificações 233
eventos da política
responder a 150
exportar
acerca 90
atribuições de política 91
conjuntos de permissões 57, 59
consultas 91
etiquetas 91
objetos da tarefa cliente 91
painéis 91
políticas 91
relatórios 276
repositórios 91
respostas 91, 235
sistemas 91
tarefas 91
exportar sistemas 118
F
Ferramenta de migração de dados
utilizada na verificação de compatibilidade do produto 169
ficheiro CRL, atualizar em Autenticação baseada em certificado
48
ficheiros da lista de repositórios
acerca 65
adicionar o repositório distribuído ao 75
exportar para 82
importar a partir do 83
prioridade dos processadores de agentes 95
SiteList.xml, utilizações 65
trabalhar com 81
ficheiros da sitelist 95
ficheiros DAT
Consulte também ficheiros de definição de deteção
avaliar 214
eliminar do repositório 226
ramos do repositório 227
ficheiros de definição de deteção 15
ficheiros de extensão
instalar 225
ficheiros de registo
registo de tarefas de servidor 290
filtros
definições de filtragem de eventos 20
definir para regras de resposta 238
lista 22
resultados da consulta 253
Frase de acesso da encriptação do armazenamento de chaves
definir 309
funcionalidades, ePolicy Orchestrator
componentes 15
G
gestão de políticas
criar consultas 198
trabalhar com tarefas cliente 214
utilizar grupos 106
gestão de problemas 283
gestão de segurança 103
gestão em nuvem
Como funciona o software 16
gestor de software 167
acerca 167
compatibilidade do produto 169
conteúdos 167
Gestor de software
registar entrada de extensões 168
registar entrada de pacotes 168
remover extensões 168
remover pacotes 168
software de avaliação 168
software licenciado 168
gráficos (consulte consultas) 253
Grupo A minha organização na Árvore de sistemas 105
Grupo Perdidos e achados 106
grupos
atualizar manualmente com domínios NT 126
catch-all 114
colar atribuições de política 193
configurar critérios para ordenação 120
controlar acesso 56
criar manualmente 116
critérios de ordenação 119
definida 106
importar domínios NT 123
imposição da política de um produto 191
mover sistemas manualmente 126
ordenação, automatizada 109
políticas, herança de 107
sistemas operativos e 108
utilizar endereço IP para definir 108
ver a atribuição de política 201
grupos catch-all 114
grupos de processadores
acerca 95
criar 97
editar definições 98
eliminar 98
Guia do produto
337
Índice
H
herança
definida 107
e definições da política 185
interrompida, repor 202
ver políticas 202
herança interrompida
criar consultas 198
hierarquia de SuperAgents 146
I
identificador exclusivo global - (global unique identifier) (GUID)
114
implementação
Consulte também implementação do produto
agente 180
atualização global 218
instalar produtos 209, 210
pacotes suportados 206
produto e atualização, primeira vez 208
produtos e atualizações 208
segurança do pacote 206
tarefas 206
tarefas, para sistemas geridos 209
implementação do produto
criar 177
em comparação com o método de implementação por
tarefa cliente 173
métodos 173
monitorização e modificação 179
sobre a monitorização e modificação 176
usar, configuração automática 33
importar
atribuições de política 91
conjuntos de permissões 57, 59
consultas 91
etiquetas 91
noções básicas 90
objetos da tarefa cliente 91
painéis 91
políticas 91
relatórios 276
repositórios 91
respostas 91, 235
sistemas 91
tarefas 91
imposição (consulte imposição da política) 191
imposição da política
ativar e desativar 191
de um produto 191, 192
quando são impostas as políticas 183
ver atribuições onde desativada 201
338
instalação
planear 27
instalação do produto
configurar tarefas de implementação 209, 210
instalar ficheiros de extensão 225
Instantâneo
agendar predefinições 304
criar 305
Criar a partir do Painel 305
criar a partir do Web API 306
Detalhes do registo de tarefas de servidor 305
monitor do painel 296
parte da Recuperação de desastres 295
registos guardados na base de dados 300
instantâneos
configurar 304
interface
barra de favoritos 19
menu 19
navegação 19
interface,
Menu 20
Internet Explorer
configurar as definições de proxy 70
transferências bloqueadas 278
Intervalo do evento de notificação 237
intervalos
entre notificações 237
L
largura de banda
considerações para o reencaminhamento de eventos 236
considerações para tarefas de extração 219
repositórios distribuídos e 61
tarefas de replicação 220
largura de banda da rede (Consulte organização da árvore de
sistema) 108
ligação à consola remota 329
Ligações da McAfee, monitor predefinido 248
ligações LAN e limites geográficos 108
ligações VPN e limites geográficos 108
ligações WAN e limites geográficos 108
limitação, consulte notificações
limites (Consulte organização da árvore de sistema) 108
limites geográficos, vantagens de 108
linha da tabela, selecionar caixas de verificação 23
Lista de compatibilidade do produto
configurar a origem da transferência 171
listas
filtrar 22
procurar 22
Localização rápida 22
Guia do produto
Índice
M
O
McAfee Agent
propriedades visualizar 153
SuperAgent 149
McAfee Agent (consulte agente) 15
McAfee Product Improvement Program
configurar 222
remover o programa 223
McAfee ServicePortal, aceder 12
melhores práticas
bloqueio de atribuição de política 185
criação da árvore de sistema 115
duplicar políticas antes de atribuir 185
implementação do produto 206
importar contentores do Active Directory 121
intervalo de comunicação entre o agente e o servidor 139
mensagem
início de sessão personalizada 40
mensagens de início de sessão 40
mensagens de início de sessão personalizadas 40
Menu
navegar na interface 20
ordenação da árvore de sistema
ativar 120, 121
comunicação entre o agente e o servidor 112
critérios baseados em etiquetas 113
definições do sistema e servidor 20, 112
endereço IP 113
ordenar os sistemas uma vez 112
ordenar subgrupos 114
predefinições 114
organização da árvore de sistema
considerações ao planear 107
criar grupos 115
duplicar entradas 123
ficheiros de texto, importar sistemas e grupos 118
importar contentores do Active Directory 121
importar sistemas e grupos 117, 119
largura de banda da rede 108
limites na rede 108
mapeamento de grupos para contentores do Active
Directory 121
mover sistemas para grupos manualmente 126
sistemas operativos 108
utilizar subgrupos 123
Microsoft Windows Resource Kit 118
modo de avaliação 38
monitores
configurar 246
monitores do painel
configurar 246
mover e redimensionar 247
trabalhar com 246
monitores, Recuperação de desastres
Estado do Instantâneo 296
motores
eliminar do repositório 226
ramos do repositório 227
N
navegação
baseada em menu 19
navegação baseada em menu 19
navegação,
barra de navegação 20
baseada em menu 20
Menu 20
necessidades de acesso da árvore de sistema 107
notificações
atribuir permissões 234
como funcionam 230
destinatários 230
limitação, agregação e agrupamento 230
reencaminhamento de eventos 233
servidores SNMP 88, 235
P
pacotes
configurar a tarefa de implementação 210
mover entre ramos no repositório 227
segurança do 206
pacotes de idioma (Consulte agente) 108
pacotes de implementação do produto
atualizações 206
pacotes suportados 206
registar entrada 226
segurança e assinatura do pacote 206
pacotes selecionados
desativar a replicação dos 78
evitar replicação de 77
painéis 91
conceder permissões a 244
configurar 243
configurar monitores 246
configurar para relatórios exportados 276
criar instantâneo 305
gerir 244
importar e exportar 245
introdução 243
monitores predefinidos 248
mover e redimensionar monitores 247
predefinições 250
trabalhar com 243
Guia do produto
339
Índice
palavras-passe
alterar nas contas de utilizador 39
formatos suportados 45
partilha de políticas
atribuir 203
designar 204
registar servidor 203
utilizar servidor registado 203
utilizar tarefas do servidor 203, 204
vários servidores McAfee ePO 204
permissões
a painéis 244
administrador 56
atribuir às respostas 234
atribuir para notificações 234
consultas 251
SQL 320
Pesquisa de sistemas rápida, monitor predefinido 248
plano de manutenção, servidores SQL 322
Política McAfee Default
perguntas mais frequentes 331
política predefinida
políticas 91
acerca 183
alterar o proprietário 188
atribuir e gerir 187
categorias 183
como são aplicadas aos sistemas 185
comparar 202
configurar 187
controlar na página Catálogo de políticas 186
definições, ver 200
gerir, na página Catálogo de políticas 186
herança 185
herança de grupos, ver 202
herança interrompida, repor 202
importar e exportar 183, 189, 190
partilha entre servidores McAfee ePO 188
propriedade 185, 201
responder a eventos 150
resposta automática 150
trabalhar com o catálogo de políticas 186
utilizar etiquetas para atribuir 197
ver 183, 199
verificar alterações 153
políticas aplicadas
criar consultas 198
políticas baseadas no sistema
acerca 196
critérios 196
políticas baseadas no utilizador
acerca 196
critérios 196
340
porta de comunicação do agente 155
portas
comunicação do agente 155
definições do servidor e comunicação 20
problemas
acerca 283
adicionar comentários 285
atribuir 285
criar 284
criar automaticamente a partir de respostas 284
editar 285
eliminar 285
gerir 283
trabalhar com 283
ver detalhes 285
problemas, remover
problemas resolvidos 286
problemas resolvidos numa agenda 286
processadores
agrupar agentes 101
criar grupos 97
mover agentes 98
prioridade 95
processadores de agentes
como funcionam 93
configurar e gerir 96
escalabilidade 28
prioridade de atribuição 100
quando não utilizar 28
quando utilizar 28
vários 93
acerca 93
atribuir agentes 96
modos de autenticação 93
mover agentes 98
prioridade no ficheiro sitelist 95
para a base de dados SQL 308
plano de manutenção para base dados SQL 325
product improvement program
configurar 222
remover o programa 223
projetos de implementação de produtos
acerca de 173
propriedades
McAfee Agent, ver a partir da consola 153
produto 152
sistema 152
verificar alterações de política 153
propriedades do produto 152
Guia do produto
Índice
R
ramo anterior
definido 64
guardar versões do pacote 226
mover pacotes DAT e do motor para 226
ramo atual
a registar a entrada de pacotes de atualização 227
definido 64
ramo Avaliação
definido 64
usar para novos DATs e motor 214
ramos
ação alterar ramo 214
anterior 226
atual 227
avaliação 214
eliminar pacotes DAT e de motor 226
mover manualmente pacotes 227
tipos, repositórios 64
recomendações da McAfee
agendar tarefas de replicação 220
avaliar limites para organização 108
criar uma tarefa do servidor de dados de agregação 265
implementar agentes ao importar domínios grandes 123
lançamento faseado para implementação do produto 206
planear a árvore de sistema 107
utilizar atualização global 217
utilizar endereço IP para ordenar 108
utilize critérios de ordenação baseados em etiquetas 109
Recomendações da McAfee
duplicar políticas antes da atribuição 185
componentes 296
configurar instantâneos 304
Frase de acesso da encriptação do armazenamento de
chaves 296
informações necessárias para 300
Instantâneo 295
o que é 295
tarefa do servidor 304
recuperação para o servidor original 302
registar servidores da base de dados 89
acerca 289
remover automaticamente 290
utilizado com a Implementação de produto 177
ver e remover o histórico de ações 289
acerca 292
ver e remover 293
registo de tarefas de servidor
acerca 222
ver, filtrar e remover tarefas 291
regras
configurar contactos para respostas 239
configurar para notificações, servidores SNMP 236
predefinidas para notificações 231
regras de atribuição
agentes e processadores 99
regras de atribuição de política 194
acerca 194, 195
baseadas no sistema 194
baseadas no utilizador 194
criar 197
critérios da regra 194
e políticas multiponto 195
editar prioridade 197
eliminar e editar 197
importar e exportar 197
políticas baseadas no sistema 196
políticas baseadas no utilizador 196
prioridade 195
visualizar resumo 197
regras de notificação
importar ficheiros .MIB 236
predefinições 231
regras de resposta
criar e editar 237
definir filtros 238
definir limiares 238
página Descrição 238
relatórios 241
acerca 267
adicionar a um grupo 274
adicionar elementos 270
agendar 275
cabeçalhos e rodapés 273
configurar 254
configurar elementos da imagem 271
configurar elementos da tabela 272
configurar elementos de texto 271
configurar elementos do gráfico 272
configurar modelo e localização de 276
criar 251, 269
editar existentes 269
eliminar 277
estrutura e tamanho da página 267
executar 275
executar com uma tarefa do servidor 275
exportar e importar 276
formatos 252
remover elementos 273
reordenar elementos 274
resultados da consulta exportados 252
trabalhar com 268
ver saída 274
remover problemas resolvidos 286
manualmente 286
Guia do produto
341
Índice
remover registos do servidor da base de dados 279
replicação
desativar a replicação dos pacotes selecionados 78
evitar para pacotes selecionados 77
atualizar com tarefas de extração 219
chaves de segurança em ambientes de vários servidores
159
componentes do ePolicy Orchestrator 15
par de chaves para conteúdo não assinado 158
repositórios 91
chaves de segurança 157, 159
como é que funcionam em conjunto 66
conceito 61
criar repositório do SuperAgent 72
dispor a hierarquia do SuperAgent 146
importar a partir dos ficheiros da lista de repositórios 83
não geridos, copiar conteúdo 80
principal, configurar as definições proxy 69
ramos 64, 214, 227
replicação e seleção 220
site de origem 61
tipos de 61
UNC 79
repositórios da partilha UNC
acerca 63
ativar partilha de pasta 78
criar e configurar 74
editar 78
Repositórios da partilha UNC
utilizar
recomendações 79
repositórios distribuídos
acerca 61, 63
adicionar ao ePolicy Orchestrator 75
como é que os agentes selecionam 220
componentes do ePolicy Orchestrator 15
eliminar 79
eliminar repositórios do SuperAgent 74
largura de banda limitada e 61
não geridos 63
não geridos, copiar conteúdo 80
pasta, criar 75
replicar pacotes para repositórios do SuperAgent 73
SuperAgent, tarefas 72
tipos 63
repositórios distribuídos locais 80
acerca 63
criar 72
eliminar 74
342
replicar pacotes 73
requisitos da atualização global 217
tarefas 72
repositórios FTP
acerca 63
editar 78
repositórios HTTP
acerca 63
editar 78
repositórios não geridos 63
repositórios principais
acerca 61
comunicar com sites de origem 69
configurar as definições de proxy 69
utilizar tarefas de replicação 220
resolução de problemas
autenticação de certificados de cliente 49
implementação do produto 206
verificar propriedades do McAfee Agent e dos produtos 153
respostas 91, 235
atribuir permissões 234
configurar 232, 233, 239
configurar para criar problemas automaticamente 284
contactos para 239
planear 231
reencaminhamento de eventos 232
regras que acionam 239
servidores SNMP 235
respostas automáticas 150, 229
S
ServicePortal, localizar documentação sobre o produto 12
Serviços de Informação Internet (IIS) da Microsoft 63
servidores
atualização de hardware utilizando a Recuperação de
desastres 295
base de dados 278
definições e controlo do comportamento 20
descrição geral da configuração 31
importar e exportar consultas 263
importar e exportar políticas 183
importar políticas a partir de 190
par de chaves do repositório principal 158
partilhar objetos entre 89
partilhar políticas 188
Permissões SQL 320
Guia do produto
Índice
servidores (continuação)
308
quando utilizar mais do que um 27
Recuperação de desastres 296, 300
registar servidores McAfee ePO adicionais 85
registo de tarefas de servidor, acerca 222
Servidor McAfee ePO, componentes 15
servidores LDAP, registar 87
SNMP, e notificações 235
SNMP, e respostas 235
tipos de servidor suportados 85
tipos que pode registar 85
transferir sistemas 128
servidores da base de dados
editar registos 279
registar 89
remover 279
trabalhar com 279
utilização 278
servidores de correio eletrónico
configurar respostas 233
servidores LDAP
estratégias de autenticação 42
servidores LDAP, registar 87
servidores registados
adicionar servidores SNMP 88
ativar partilha de políticas 203
registar 85
servidores LDAP, adicionar 87
suportados pelo ePolicy Orchestrator 85
servidores SNMP
Consulte também respostas
registar 88
servidores SQL, consulte bases de dados
Servidores SQL
considerações sobre o plano de manutenção 322
editar informações 326
sincronização
ação Sincronizar agora 109
Active Directory 111
agendar 125
domínios NT 111
excluir contentores do Active Directory 110
impedir entradas duplicadas 111
implementar agentes automaticamente 110
predefinições 114
sistemas apenas, com o Active Directory 111
sistemas e estruturas 110
sincronização da árvore de sistema
agendar 125
para estrutura do Active Directory 121
sincronização de domínio 108
sincronização do Active Directory
ação Sincronizar agora 109
sincronização do Active Directory
eliminar sistemas 109, 110
limites e 108
para estrutura da árvore de sistema 121
processamento de entradas duplicadas 109
sistemas e estrutura 110
tarefas 109
tipos 110
sistemas 91
atribuir políticas a 190, 191
colar atribuições de política 193
exportar a partir da árvore de sistema 118
imposição da política de um produto 192
ordenar em grupos 121
propriedades 152
ver a atribuição de política 201
sistemas geridos
atribuição de política 201
atualização global e 61
comunicação entre o agente e o servidor 139
consulta de agregação 265
gestão de políticas em 183
instalar produtos em 210
tarefas de implementação de 209
tarefas para 209
sistemas operativos
agrupamento 108
filtros para regra de resposta 238
sistemas legados (Windows 95, Windows 98) 108
sites
comutar origem e recuperação 68
eliminar origem ou recuperação 69
recuperação 61, 66
sites de origem
acerca 61
atualizações de produtos e 61
comutar para recuperação 68
configurar 66
criar 67
eliminar 69
importar a partir de SiteMgr.xml 83
pacotes de atualização 208
recuperação 61
sites de recuperação
acerca 61
comutar para origem 68
configurar 66
eliminar 69
Software do ePolicy Orchestrator
acerca 15
SPIPE 139
Guia do produto
343
Índice
sub-redes, como critérios de agrupamento 108
subgrupos
gestão de políticas 123
SuperAgents
acerca de 143
caching 145
chamadas de ativação 142, 143
chamadas de ativação para grupos da árvore de sistema
142
converter agentes 144
hierarquia 146
repositórios distribuídos 63
suporte técnico, encontrar informações do produto 12
T
tarefa do servidor de dados de agregação 265
tarefas cliente
acerca 205
catálogo de tarefas de cliente 205
comparar 216
criar 215
editar definições para 215
eliminar 216
em comparação com projetos de implementação de
produtos 173
executar imediatamente 151
objetos 205
partilhar 205
trabalhar com 214
tarefas cliente, a pedido 151
tarefas de extração
atualizar repositório principal 219
considerações para agendamento 219
tarefas de replicação
atualizar repositório principal 220
completa vs. incremental 220
344
tarefas de replicação
tarefas do servidor
acerca 217
agendar com sintaxe Cron 221
agendar uma consulta 257
Consulta com uma subação 257
dados de agregação 265
executar relatórios 275
ficheiro de registo, remover 291
permitir sintaxe Cron 221
sincronizar domínio/AD 109
substituir certificado do servidor 50
tipos de servidor
suportados pelo ePolicy Orchestrator 85
U
utilitário NETDOM.EXE, criar um ficheiro de texto 118
utilitários
NETDOM.EXE, criar um ficheiro de texto 118
utilizadores
V
vários servidores McAfee ePO
ver detalhes do problema 285
Vista de gestão dinâmica (DMV) 324
W
Windows
autenticação, configurar 41, 44
Autorização, configurar 44
Guia do produto
0B06

ePolicy Orchestrator 5.1.0 Software Guia do produto

Transcrição

Documentos relacionados

Configuração do Proxy no Internet Explorer - Multiweb

CONEXÃO DOMÉSTICA – GOOGLE CHROME 1

Como acessar rede UFPR de casa

CONFIGURAÇÃO DO MOZILLA FIREFOX PARA ABRIR

Como entrar no ambiente do Yahoo Grupos?

McAfee Endpoint Protection Advanced Suite Data Sheet

McAfee VirusScan Mobile Security

Abertura de Chamados para Problemas Técnicos Equipamentos HP

McAfee Complete Data Protection Data Sheet

What is new for IBM Business Partners in Global Partner Portal 3.0