Guia de produto. Software McAfee epolicy Orchestrator 5.0.0

Transcrição

1 Guia de produto Software McAfee epolicy Orchestrator 5.0.0

2 COPYRIGHT Copyright 2013 McAfee, Inc. Não copiar sem permissão. RECONHECIMENTO DE MARCAS COMERCIAIS McAfee, o logotipo McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure e WormTraq são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. INFORMAÇÕES SOBRE A LICENÇA Contrato de licença AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL APROPRIADO CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO TENHA CONHECIMENTO DO TIPO DE LICENÇA QUE FOI ADQUIRIDO, CONSULTE A DOCUMENTAÇÃO RELATIVA À COMPRA OU À CONCESSÃO DA LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE OU FORNECIDA SEPARADAMENTE (COMO LIVRETO, ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À MCAFEE OU AO LOCAL DA AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL. 2 Software McAfee epolicy Orchestrator Guia de produto

3 Conteúdo Apresentação do software McAfee epolicy Orchestrator 1 Proteção das redes com o software epolicy Orchestrator 13 Benefícios do software epolicy Orchestrator Componentes e suas funções Como o software funciona Utilização da interface do epolicy Orchestrator 17 Navegação na interface Utilização do menu de navegação do epolicy Orchestrator Personalização da barra de navegação Categorias de configurações do servidor Trabalho com listas e tabelas Filtragem de uma lista Pesquisa de itens de lista específicos Seleção de caixas de seleção da linha da tabela Configuração do servidor epolicy Orchestrator 3 Planejamento da sua configuração do epolicy Orchestrator 25 Considerações sobre expansibilidade Quando usar os vários servidores McAfee epo Quando usar diversos Manipuladores de agentes remotos Internet Protocols em um ambiente gerenciado Configuração do McAfee epo servidor 29 Visão geral da configuração do servidor Recursos essenciais Configuração de recursos essenciais Uso de um servidor proxy Digitação da chave de licença s de pós-instalação Contas e conjuntos de permissões do usuário 35 Contas de usuário Tipos de contas de usuário Gerenciamento de contas de usuário Criação de uma mensagem de logon personalizada Configuração de logon do usuário do Active Directory Autenticação do certificado de cliente Quando usar a autenticação de certificado de cliente Configuração da autenticação de certificado de cliente epolicy Orchestrator Modificação da autenticação baseada no certificado do servidor epolicy Orchestrator Desativação da autenticação de certificado de cliente do servidor epolicy Orchestrator Software McAfee epolicy Orchestrator Guia de produto 3

4 Conteúdo Configuração de usuários para autenticação de certificado Atualização do arquivo de lista de certificados revogados Problemas com autenticação de certificados de cliente Certificados SSL Criação de um certificado autoassinado com OpenSSL Outros comandos úteis do OpenSSL Conversão de um arquivo PVK em um arquivo PEM Conjuntos de permissões Como os usuários, grupos e conjuntos de permissões interagem Trabalho com conjuntos de permissões Repositórios 57 Tipos de repositório e suas funções Tipos de repositórios distribuídos Ramificações em repositório e seus objetivos Arquivo da lista de repositórios e seus usos Como os repositórios funcionam em conjunto Configuração de repositórios pela primeira vez Gerenciamento de sites de origem e reserva Criação de sites de origem Alternância entre sites de origem e de reserva Edição de sites de origem e reserva Exclusão de sites de origem ou desativação de sites de reserva Verificação de acesso ao site de origem Definição de configurações de proxy Definição de configurações de proxy do McAfee Agent Definição de configurações de proxy para ameaças de segurança do McAfee Labs Definição de configurações para atualizações globais Uso de SuperAgents como repositórios distribuídos Criação de repositórios distribuídos do SuperAgent Replicação de pacotes em repositórios do SuperAgent Exclusão de repositórios distribuídos do SuperAgent Criação e configuração de repositórios em servidores FTP ou HTTP e compartilhamentos UNC Criação de um local de pasta Adição do repositório distribuído ao epolicy Orchestrator Evitar a replicação de pacotes selecionados Desativação de replicação de pacotes selecionados Ativação de compartilhamento de pasta para repositórios UNC e HTTP Edição de repositórios distribuídos Exclusão de repositórios distribuídos Uso de repositórios distribuídos locais que não são gerenciados Trabalho com arquivos de lista de repositórios Exportação do arquivo da lista de repositórios SiteList.xml Exportação da lista de repositórios para backup ou uso por outros servidores Importação de repositórios distribuídos da lista de repositórios Importação de sites de origem do arquivo SiteMgr.xml Alteração de credenciais em vários repositórios distribuídos Servidores registrados 77 Registro de servidores McAfee epo Registro de servidores LDAP Registro de servidores SNMP Registro de servidor de banco de dados Compartilhamento de objetos entre servidores Exportação de objetos do epolicy Orchestrator Importação de itens para o epolicy Orchestrator Software McAfee epolicy Orchestrator Guia de produto

5 Conteúdo Exportação e importação de funcionalidade entre versões e servidores McAfee epo Exportação de objetos e dados do servidor epolicy Orchestrator Manipuladores de agentes 93 Como funcionam os Manipuladores de agentes Grupos de manipuladores e prioridade Gerenciamento dos Manipuladores de agentes Atribuição do McAfee Agents aos manipuladores de agentes Gerenciamento de atribuições do manipulador de agentes Criação de grupos de manipuladores de agentes Gerenciamento de grupos de manipuladores de agentes Movimentação de agentes entre manipuladores Gerenciamento da sua segurança de rede 9 Árvore de sistemas 103 Estrutura da árvore de sistemas Considerações ao planejar sua árvore de sistemas Acesso do administrador Limites ambientais e seu impacto na organização de sistemas Sub-redes e faixas de endereços IP Sistemas operacionais e software Marcas e sistemas com características similares Sincronização de domínios do Active Directory e do NT Sincronização do Active Directory Sincronização de domínios do NT Classificação baseada em critérios Como as configurações afetam a classificação Critérios de classificação de endereços IP Critérios de classificação baseados em marcas Ordem e classificação de grupos Grupos genéricos Marcas Criação de marcas com o Construtor de marcas Aplicação das marcas baseadas em critérios a uma programação Exclusão de sistemas da marcação automática Aplicação das marcas a sistemas selecionados Aplicação automática de marcas baseadas em critérios em todos os sistemas correspondentes Como um sistema é adicionado à árvore de sistemas quando classificado Ativação da classificação da árvore de sistemas no servidor Criação e preenchimento de grupos da árvore de sistemas Criação manual de grupos Adição manual de sistemas a um grupo existente Exportação de sistemas da árvore de sistemas Importação de sistemas de um arquivo de texto Classificação dos sistemas em grupos com base em critérios Importação de contêineres do Active Directory Importação de domínios do NT para um grupo existente Programação da sincronização da Árvore de sistemas Atualização manual de um grupo sincronizado com um domínio do NT Movimentação de sistemas na árvore de sistemas Transferência de sistemas entre servidores Comunicação agente-servidor 131 Como funciona a comunicação agente-servidor Software McAfee epolicy Orchestrator Guia de produto 5

6 Conteúdo Intervalo de comunicação agente-servidor Como lidar com a interrupção na comunicação agente-servidor s e chamadas de ativação SuperAgents e como eles funcionam SuperAgents e chamadas de ativação de broadcast Conversão de agentes em SuperAgents Cache do SuperAgent e interrupções na comunicação SuperAgent e sua hierarquia Recurso de retransmissão de agente Comunicação por meio de servidores de retransmissão Ativação de recurso de retransmissão Coleta de estatísticas do McAfee Agent Desativação do recurso de retransmissão Resposta a eventos de política Execução imediata de tarefas de cliente Localização de agentes inativos Propriedades de produtos e do sistema do Windows relatadas pelo agente Consultas fornecidas pelo McAfee Agent Permissão de armazenamento em cache de credenciais de distribuição do agente Alteração de portas de comunicação do agente Exibição de propriedades do agente e de produtos Chaves de segurança Chaves de segurança e como funcionam Par de chaves do repositório principal Outras chaves públicas de repositório Gerenciamento de chaves de repositório Chaves de comunicação segura agente-servidor (ASSC) Chaves de backup e restauração Gerenciador de software 157 O que há no Gerenciador de software Inclusão, atualização e remoção de software com o Gerenciador de software Verificação de compatibilidade de produto Reconfiguração de download da Lista de compatibilidade de produto Distribuição de produtos 163 Escolha de um método de distribuição de produtos Benefícios dos projetos de distribuição de produtos A página de distribuição de produtos explicada Exibição de registros de auditoria de Distribuição de produtos Distribuição de produtos usando um projeto de distribuição de produtos Monitoramento e edição de projetos de distribuição Gerenciamento de políticas 171 Políticas e imposição de política Aplicação de políticas Criação e manutenção de políticas Criação de uma política na página Catálogo de políticas Gerenciamento de políticas existentes na página Catálogo de políticas Controle de visibilidade de política do produto incompatível Configuração de políticas pela primeira vez Gerenciamento de políticas Configuração de políticas do agente para usar um repositório distribuído Alteração dos proprietários de uma política Movimentação de políticas entre servidores McAfee epo Atribuição de uma política a um grupo da árvore de sistemas Software McAfee epolicy Orchestrator Guia de produto

7 Conteúdo Atribuição de uma política a um sistema gerenciado Atribuição de uma política a sistemas de um grupo da árvore de sistemas Imposição de políticas para um produto em um grupo da árvore de sistemas Imposição de políticas para um produto em um sistema Cópia de atribuições de políticas Regras de atribuição de políticas Prioridade da regra de atribuição de políticas Sobre atribuições de política com base no usuário Sobre atribuições de política baseada no sistema Uso de marcas para atribuir políticas baseadas no sistema Criação de regras de atribuição de políticas Gerenciamento de regras de atribuição de políticas Criação de consultas de gerenciamento de política Exibição de informações sobre políticas Exibição de grupos e sistemas aos quais uma política foi atribuída Exibição de configurações de políticas Exibição de propriedade de política Exibição de atribuições nas quais a imposição de política está desativada Exibição de políticas atribuídas a um grupo Exibição de políticas atribuídas a um sistema específico Exibição da herança de políticas de um grupo Exibição e redefinição de herança interrompida Comparar políticas Compartilhamento de políticas entre servidores McAfee epo Distribuição da política para vários servidores McAfee epo Registro de servidores para compartilhamento de políticas Designação de políticas para compartilhamento Programação de tarefas do servidor para compartilhar políticas s do cliente e do servidor 195 Configuração de tarefas pela primeira vez s de cliente Como funciona o Catálogo de tarefas de cliente s de distribuição Uso da tarefa Distribuição de produtos para distribuir produtos para os sistemas gerenciados s de atualização Gerenciamento de tarefas de cliente s do servidor Atualização global Distribuição automática de pacotes de atualização com a atualização global s de pull s de replicação Seleção de repositórios Sintaxe do Cron aceita na programação de uma tarefa do servidor Exibição de informações de tarefa de pull e de replicação no registro de tarefas do servidor Configuração do Product Improvement Program Gerenciamento manual de pacotes e atualizações 213 Trazer produtos para gerenciamento Inclusão manual de pacotes Exclusão de pacotes de mecanismos ou DAT do repositório principal Movimentação manual de pacotes DAT e de mecanismo entre ramificações Inclusão manual de pacotes de atualização de mecanismo, DAT e ExtraDAT Eventos e respostas 217 Software McAfee epolicy Orchestrator Guia de produto 7

8 Conteúdo Uso de respostas automáticas Como o recurso Respostas automáticas interage com a árvore de sistemas Limitação, agregação e agrupamento Regras padrão Planejamento de resposta Configuração de respostas pela primeira vez Determinação de como os eventos são encaminhados Determinação de quais eventos são encaminhados imediatamente Determinação de quais eventos são encaminhados Configuração de respostas automáticas Atribuição de permissões a notificações Atribuição de permissões a respostas automáticas Gerenciamento de servidores SNMP Determinação de quais eventos são encaminhados ao servidor Escolha de um intervalo de evento de notificação do epo Criação e edição de regras de resposta automática Descrição da regra Configuração de filtros para a regra Configuração de limites para a regra Configuração da ação para regras de Resposta automática Ameaças de segurança do McAfee Labs 231 Informações sobre ameaças fornecidas pelo McAfee Labs Trabalho com ameaças de segurança do McAfee Labs Configuração da frequência de atualização das ameaças de segurança do McAfee Labs Exibição de notificações sobre ameaças Exclusão de notificações de ameaças Monitoramento e geração de relatórios do status de segurança da sua rede 18 Dashboards 237 Configuração de dashboards pela primeira vez Trabalho com dashboards Gerenciamento de dashboards Exportação e importação de dashboards Trabalho com monitores de dashboard Gerenciamento de monitores de dashboard Movimentação e redimensionamento de monitores de dashboard Dashboards padrão e seus monitores Especificação de dashboards padrão e intervalos de atualização do dashboard Consultas e relatórios 247 Permissões para consulta e relatório Sobre consultas Construtor de consultas Configuração de consultas e relatórios pela primeira vez Trabalho com consultas Gerenciamento de consultas personalizadas Execução de uma consulta existente Execução de uma consulta em uma programação Criação de um grupo de consultas Movimentação de uma consulta para outro grupo Exportação e importação de consultas Exportação de resultados das consultas para outros formatos Consulta de acumulação de vários servidores Software McAfee epolicy Orchestrator Guia de produto

9 Conteúdo Criação de uma tarefa do servidor de dados acumulados Criação de uma consulta para definir conformidade Geração de eventos de conformidade Sobre relatórios Estrutura de um relatório Trabalho com relatórios Criação de um novo relatório Edição de um relatório existente Exibição de saída de relatórios Agrupamento de relatórios Execução de relatórios Execução de um relatório com uma tarefa do servidor Exportação e importação de relatórios Configuração de modelo e local para relatórios exportados Exclusão de relatórios Configuração do Internet Explorer 8 para aceitar automaticamente downloads do McAfee epo Uso de servidores de banco de dados Trabalho com servidores de banco de dados Modificação de um registro de banco de dados Remoção de um banco de dados registrado Problemas e tíquetes 273 Problemas e como funcionam Trabalho com problemas Criação manual de problemas básicos Configuração de respostas para criar problemas automaticamente Gerenciamento de problemas Eliminação de problemas fechados Eliminação manual de problemas fechados Eliminação de problemas fechados em uma programação Tíquetes e como funcionam Formas de adicionar tíquetes a problemas Atribuição de problemas com tíquete registrado a usuários Como tíquetes e problemas com tíquetes registrados são fechados Benefícios da adição de comentários a problemas com tíquetes registrados Como os tíquetes são reabertos Sincronização de problemas com tíquetes registrados Integração a servidores de tíquetes Considerações sobre quando excluir um servidor de tíquetes registrado Campos obrigatórios para mapeamento Amostra de mapeamentos Trabalho com tíquetes Adição de tíquetes a problemas Sincronização de problemas com tíquetes registrados Sincronização de problemas com tíquetes registrados em uma programação Trabalho com servidores de tíquetes Instalação de extensões para o servidor de tíquetes Registro e mapeamento do servidor de tíquetes Configuração de mapeamentos de campo Upgrade de um servidor de tíquetes registrado Arquivos de registro do epolicy Orchestrator 293 O registro de auditoria Exibição e eliminação do registro de auditoria Programação da eliminação do Registro de auditoria Software McAfee epolicy Orchestrator Guia de produto 9

10 Conteúdo O registro de tarefas do servidor Gerenciamento do Registro de tarefas do servidor O registro de eventos de ameaça Exibição e eliminação do Registro de eventos de ameaça Programação da eliminação do Registro de eventos de ameaça Recuperação de desastres 299 O que é a Recuperação de desastres? Componentes da Recuperação de desastres Como funciona a recuperação de desastres Visão geral do Instantâneo de recuperação de desastres e backup Visão geral da instalação da recuperação do servidor McAfee epo Configuração de instantâneos e restauração do banco de dados SQL Configuração da tarefa do servidor de recuperação de desastres Criação de instantâneo Uso do Microsoft SQL para backup e restauração do banco de dados Configurações do servidor de recuperação de desastres Definição das configurações do servidor de recuperação de desastres A Manutenção de bancos de dados do epolicy Orchestrator 315 Considerações para um plano de manutenção SQL Escolha de um modelo de recuperação de banco de dados SQL Desfragmentação de dados de tabela Criação de plano de manutenção SQL Alteração das informações de conexão do SQL Server B Abertura de uma conexão de console remoto 321 C Perguntas frequentes 323 Perguntas sobre gerenciamento de políticas Perguntas sobre eventos e respostas Índice Software McAfee epolicy Orchestrator Guia de produto

11 Apresentação do software McAfee epolicy Orchestrator Conheça os componentes do epolicy Orchestrator e saiba como eles funcionam em conjunto para aumentar a segurança dos sistemas em sua rede. Capítulo 1 Capítulo 2 Proteção das redes com o software epolicy Orchestrator Utilização da interface do epolicy Orchestrator Software McAfee epolicy Orchestrator Guia de produto 11

12 Apresentação do software McAfee epolicy Orchestrator 12 Software McAfee epolicy Orchestrator Guia de produto

13 1 Proteção 1 das redes com o software epolicy Orchestrator O software epolicy Orchestrator é um componente importante da plataforma McAfee Security Management, que fornece gerenciamento unificado de ponto de extremidade, rede e segurança de dados. Reduza os tempos de resposta a incidentes, fortaleça a proteção e simplifique o gerenciamento de riscos e segurança com recursos de automação do epolicy Orchestrator e visibilidade da rede fim a fim. Conteúdo Benefícios do software epolicy Orchestrator Componentes e suas funções Como o software funciona Benefícios do software epolicy Orchestrator O software epolicy Orchestrator é uma plataforma de gerenciamento dimensionável e extensível que possibilita o gerenciamento e a imposição centralizada de políticas para seus produtos de segurança e os sistemas em que eles se encontram. Ele fornece geração de relatórios e recursos de distribuição de produto abrangentes; tudo isso em um único ponto de controle. Com um servidor epolicy Orchestrator, é possível: Distribuir produtos de segurança, patches e service packs para os sistemas em sua rede. Gerenciar o host e os produtos de segurança de rede distribuídos em seus sistemas com a imposição de políticas de segurança, tarefas de cliente e tarefas de servidor. Atualizar os arquivos DAT (definição de detecção), mecanismos antivírus e outros conteúdos de segurança necessários para que o software de segurança possa garantir a segurança dos seus sistemas gerenciados. Componentes e suas funções O software epolicy Orchestrator contém estes componentes. Servidor McAfee epo O centro do ambiente gerenciado. O servidor fornece tarefas e políticas de segurança, controla atualizações e processa eventos para todos os sistemas gerenciados. Banco de dados O componente de armazenamento central para todos os dados criados e utilizados pelo epolicy Orchestrator. Você pode escolher se deseja abrigar o banco de dados no servidor McAfee epo ou em um sistema separado, dependendo das necessidades específicas de sua organização. Software McAfee epolicy Orchestrator Guia de produto 13

14 1 Proteção das redes com o software epolicy Orchestrator Como o software funciona McAfee Agent Um veículo de informações e imposição entre o servidor epolicy Orchestrator e cada sistema gerenciado. O agente recupera atualizações, garante a implementação de tarefas, impõe políticas e encaminha eventos para cada sistema gerenciado. Ele usa um canal de dados seguro separado para transferir os dados para o servidor. Um McAfee Agent também pode ser configurado como um SuperAgent. Repositório principal O local central para todas as atualizações e assinaturas da McAfee que residem no servidor epolicy Orchestrator. O repositório principal recupera atualizações e assinaturas especificadas pelo usuário da McAfee ou dos sites de origem definidos pelo usuário. Repositórios distribuídos Os pontos de acesso locais posicionados estrategicamente em todo o ambiente para que os agentes recebam assinaturas, atualizações de produtos e instalações de produtos com o mínimo de impacto na largura de banda. Dependendo de como a rede está configurada, você pode configurar repositórios distribuídos de compartilhamento de SuperAgent, HTTP, FTP ou UNC. Manipuladores de agentes remotos Um servidor que você pode instalar em vários locais de rede para ajudar a gerenciar a comunicação de agentes, o balanceamento de carga e as atualizações de produto. Os manipuladores de agentes remotos são compostos por um servidor Apache e um analisador de eventos. Eles podem ajudá lo a gerenciar as necessidades de infraestruturas de rede de grande porte ou complexas, permitindo maior controle sobre a comunicação agente servidor. Servidores registrados Usados para registrar outros servidores no servidor epolicy Orchestrator. Os tipos de servidores registrados incluem: Servidor LDAP Usado para Regras de atribuição de políticas e para ativar a criação de contas de usuário automáticas. Servidor SNMP Usado para receber uma interceptação SNMP. Adicione as informações do servidor SNMP para que o epolicy Orchestrator saiba para onde enviar a interceptação. Servidor do banco de dados Usado para estender as ferramentas de geração de relatórios avançada fornecidas com o software epolicy Orchestrator. Servidor de tíquetes Antes que os tíquetes possam ser associados a problemas, é necessário ter um servidor de tíquetes registrado e configurado. O sistema que estiver executando a extensão do tíquete deve ser capaz de resolver os endereços do sistema Service Desk. Dependendo das necessidades de sua organização e da complexidade da rede, talvez seja necessário usar somente alguns desses componentes. Como o software funciona O software McAfee epo foi desenvolvido para ser extremamente flexível. Você pode configurá lo de diversas maneiras para atender às suas necessidades exclusivas. O software segue o modelo clássico cliente servidor, em que um sistema cliente (sistema) faz uma chamada para o seu servidor para obter instruções. Para facilitar essa chamada ao servidor, um McAfee Agent é distribuído a cada sistema na sua rede. Quando um agente é distribuído a um sistema, este pode ser gerenciado pelo seu servidor epolicy Orchestrator. A comunicação segura entre 14 Software McAfee epolicy Orchestrator Guia de produto

15 Proteção das redes com o software epolicy Orchestrator Como o software funciona 1 o servidor e o sistema gerenciado é o elo que conecta todos os componentes do seu software epolicy Orchestrator. A figura abaixo mostra um exemplo de como o seu servidor epolicy Orchestrator e os respectivos componentes se inter relacionam no seu ambiente de rede seguro. 1 O seu servidor epolicy Orchestrator se conecta ao servidor de atualização McAfee para abrir o conteúdo de segurança mais recente. 2 O banco de dados do epolicy Orchestrator armazena todos os dados referentes aos sistemas gerenciados na sua rede, incluindo: Propriedades de sistema Informações de políticas Estrutura de diretórios Todos os outros dados relevantes de que o servidor precisa para manter os seus sistemas atualizados. Software McAfee epolicy Orchestrator Guia de produto 15

16 1 Proteção das redes com o software epolicy Orchestrator Como o software funciona 3 Os McAfee Agents são distribuídos aos seus sistemas para facilitar: Imposição de política Distribuições e atualizações de produtos Geração de relatórios sobre os sistemas gerenciados 4 A comunicação segura agente servidor (ASSC) ocorre em intervalos regulares entre os seus sistemas e o servidor. Se Manipuladores de agente remotos forem instalados na sua rede, os agentes se comunicarão com o servidor por meio dos respectivos Manipuladores de agente atribuídos. 5 Os usuários efetuam logon no console do epolicy Orchestrator para executar tarefas de gerenciamento de segurança, como realizar consultas para relatar o status de segurança ou usar as suas políticas gerenciadas de segurança de software. 6 O servidor de atualização McAfee hospeda o conteúdo de segurança mais recente. Dessa forma, o seu epolicy Orchestrator pode efetuar o pull do conteúdo em intervalos programados. 7 Os repositórios distribuídos inseridos em toda a rede hospedam o conteúdo de segurança localmente. Assim, os agentes podem receber atualizações com mais rapidez. 8 Os Manipuladores de agente remotos ajudam a dimensionar a sua rede para manipular mais agentes com um único servidor epolicy Orchestrator. 9 Os servidores de tíquetes se conectam ao servidor epolicy Orchestrator para ajudar a gerenciar os problemas e tíquetes. 10 O sistema envia notificações de resposta automática aos administradores de segurança para notificá los sobre a ocorrência de um evento. 16 Software McAfee epolicy Orchestrator Guia de produto

17 2 2 Utilização da interface do epolicy Orchestrator Efetue logon na interface do epolicy Orchestrator para configurar o servidor McAfee epo e gerenciar e monitorar a segurança da rede. Conteúdo Navegação na interface Trabalho com listas e tabelas Navegação na interface A interface do epolicy Orchestrator usa um modelo de navegação baseado em menus com uma barra de favoritos que você pode personalizar para ir para onde precisar rapidamente. As seções de menu representam os recursos de nível mais alto do seu servidor epolicy Orchestrator. À medida que você adiciona novos produtos gerenciados ao servidor, as páginas de interface associadas são adicionadas a uma categoria existente, ou uma nova categoria é criada no menu. Utilização do menu de navegação do epolicy Orchestrator Abra o Menu do epolicy Orchestrator para navegar até a interface do epolicy Orchestrator. O Menu usa categorias que abrangem os vários recursos e funcionalidades do seu servidormcafee epo. Cada categoria contém uma lista das principais páginas de recursos associadas a um ícone exclusivo. Selecione uma categoria no Menu para exibir e navegar até as páginas principais que formam o recurso. Software McAfee epolicy Orchestrator Guia de produto 17

18 2 Utilização da interface do epolicy Orchestrator Navegação na interface Personalização da barra de navegação Personalize a barra de navegação para fornecer acesso rápido aos recursos e funcionalidades mais usados. Você pode decidir quais ícones são exibidos na barra de navegação arrastando qualquer item do menu para dentro ou para fora da barra de navegação. Em sistemas com resolução de tela de 1024 x 768, a barra de navegação pode exibir seis ícones. Quando você insere mais de seis ícones na barra de navegação, um menu de estouro é criado no lado direito da barra. Clique na seta para baixo para acessar os itens do menu não exibidos na barra de navegação. Os ícones exibidos na barra de navegação são armazenados como preferências do usuário. Assim, a barra de navegação personalizada de cada usuário é exibida independentemente do console em que efetuarem logon no servidor. Categorias de configurações do servidor Essas são as categorias de configurações padrão do servidor disponíveis no software epolicy Orchestrator. Quando você inclui software adicional no servidor McAfee epo, as configurações do servidor específicas do produto são adicionadas à lista de categorias de configurações do servidor. Para obter informações sobre as configurações do servidor específicas do produto, consulte a documentação do produto associada. Você pode modificar as configurações do servidor navegando até a página Configurações do servidor na seção Configuração da interface do epolicy Orchestrator. 18 Software McAfee epolicy Orchestrator Guia de produto

19 Utilização da interface do epolicy Orchestrator Navegação na interface 2 Tabela 2-1 Categorias de configurações padrão do servidor e suas descrições Categoria de configurações do servidor Grupos do Active Directory Login do usuário do Active Directory Credenciais de distribuição do agente Autenticação baseada em certificado Dashboards Recuperação de desastres Servidor de e mail Filtragem de eventos Notificações de eventos Atualização global Chave de licença Mensagem de login Manutenção de políticas Portas Impressão e exportação Lista de compatibilidade de produto Programa de aperfeiçoamento do produto Configurações de proxy Chaves de segurança Certificado de servidor Avaliação de software Descrição Especifica o servidor LDAP para usar em cada domínio. Especifica se os membros dos grupos do Active Directory (AD) mapeados podem efetuar logon no servidor usando as credenciais do AD após o recurso Login do usuário no Active Directory ter sido totalmente configurado. Especifica se os usuários têm permissão para armazenar em cache as credenciais de distribuição do agente. Especifica se a Autenticação baseada em certificado está ativada e se as configurações necessárias para a CA (autoridade do certificado) estão sendo usadas. Especifica o dashboard ativo padrão atribuído às contas dos novos usuários no momento da criação da conta e a taxa de atualização padrão (5 minutos) para os monitores do dashboard. Ativa e define a senha de criptografia de armazenamento de chaves da Recuperação de desastres. Especifica o servidor de e mail que é usado quando o epolicy Orchestrator envia mensagens de e mail. Especifica os eventos que o agente encaminhará. Especifica o intervalo no qual os Eventos de notificação do epolicy Orchestrator devem ser enviados para as Respostas automáticas. Especifica se e como a atualização global é ativada. Especifica a chave de licença usada para registrar este software epolicy Orchestrator. Especifica a mensagem de login personalizada exibida aos usuários no ambiente, se houver, quando eles navegam até a tela de logon do console do epolicy Orchestrator. Especifica se as políticas para produtos incompatíveis são visíveis ou ocultas. Isso é necessário somente após o upgrade do epolicy Orchestrator de uma versão anterior. Especifica as portas usadas pelo servidor ao se comunicar com agentes e com o banco de dados. Especifica como as informações são exportadas em outros formatos e o modelo para exportação em PDF. Também especifica o local padrão onde os arquivos exportados são armazenados. Especifica se a lista de compatibilidade de produto será baixada automaticamente e exibirá extensões incompatíveis do produto. Especifica se o McAfee pode coletar dados de forma proativa e periódica dos sistemas clientes gerenciados pelo servidor McAfee epo. Especifica os tipos de configurações de proxy definidos para o servidor McAfee epo. Especifica e gerencia as chaves de comunicação segura agente servidor e as chaves de repositório. Especifica o certificado de servidor que o McAfee epo usa na comunicação HTTPS com os navegadores. Especifica as informações necessárias fornecidas para ativar a inclusão e distribuição do software de avaliação do Gerenciador de software. Software McAfee epolicy Orchestrator Guia de produto 19

20 2 Utilização da interface do epolicy Orchestrator Trabalho com listas e tabelas Tabela 2-1 Categorias de configurações padrão do servidor e suas descrições (continuação) Categoria de configurações do servidor Sites de origem Configurações de detalhes do sistema Classificação da árvore de sistemas Sessão de usuários Descrição Especifica com quais sites de origem o servidor se conecta para obter atualizações, bem como quais sites devem ser usados como reserva. Especifica quais propriedades de sistemas e consultas são exibidas na página Detalhes do sistema para os sistemas gerenciados. Especifica se e como a classificação da árvore de sistemas é ativada no ambiente. Especifica o tempo que um usuário pode ficar inativo até ser desconectado pelo sistema. Trabalho com listas e tabelas Use a pesquisa do epolicy Orchestrator e filtre a funcionalidade para classificar os dados da tabela. Filtragem de uma lista As listas na interface do epolicy Orchestrator contêm grande quantidade de informações. Use filtros previamente definidos ou personalizados e a seleção de linhas para limitar a lista a itens pertinentes. Nem todos os filtros estão disponíveis para todas as listas. Na barra na parte superior da lista, selecione o filtro previamente definido ou personalizado para filtrar a lista. Somente os itens que corresponderem aos critérios do filtro serão exibidos. Marque as caixas de seleção ao lado dos itens da lista desejados e marque Mostrar linhas selecionadas. Somente as linhas selecionadas serão exibidas. Pesquisa de itens de lista específicos Use o filtro Localização rápida para encontrar itens em uma lista extensa. Os nomes de consulta padrão podem ser traduzidos para a sua localidade. Ao comunicar se com usuários de outras localidades, lembre se de que os nomes de consulta podem variar. 1 Insira os termos de pesquisa no campo Localização rápida. 2 Clique em Aplicar. Somente os itens com termos inseridos por você no campo Localização rápida serão exibidos. Clique em Limpar para remover o filtro e exibir todos os itens da lista. 20 Software McAfee epolicy Orchestrator Guia de produto

21 Utilização da interface do epolicy Orchestrator Trabalho com listas e tabelas 2 Seleção de caixas de seleção da linha da tabela A epolicy Orchestrator interface do usuário tem ações e atalhos de seleção da linha da tabela que permitem que você selecione as caixas de seleção usando clicar ou Mudar e clicar. Algumas páginas de saída na epolicy Orchestrator interface do usuário exibem uma caixa de seleção ao lado de cada item da lista na tabela. Essas caixas de seleção permitem que você selecione as linhas individualmente, como grupos, ou todas as linhas na tabela. Esta tabela lista os toques de tela usados para selecionar as caixas de seleção da linha da tabela. Para selecionar Ação Resposta Linhas individuais Clicar em linhas individuais Grupo de linhas Clique em uma caixa de seleção, pressione Shift e clique na última caixa de seleção no grupo Seleciona cada linha individual de forma independente A primeira e a última linha selecionada criam um grupo de linhas selecionadas. Se você usar Shift + Clique para selecionar mais de linhas simultaneamente em uma tabela, um pico de utilização de CPU poderá ocorrer e provocar uma mensagem de erro com a descrição de um erro de script. Todas as linhas Clique na parte superior da caixa de seleção nos títulos da tabela Seleciona cada linha na tabela Software McAfee epolicy Orchestrator Guia de produto 21

22 2 Utilização da interface do epolicy Orchestrator Trabalho com listas e tabelas 22 Software McAfee epolicy Orchestrator Guia de produto

23 Configuração do servidor epolicy Orchestrator A configuração do servidor epolicy Orchestrator é a primeira etapa para gerenciar a segurança da rede. Capítulo 3 Capítulo 4 Capítulo 5 Capítulo 6 Capítulo 7 Capítulo 8 Planejamento da sua configuração do epolicy Orchestrator Configuração do McAfee epo servidor Contas e conjuntos de permissões do usuário Repositórios Servidores registrados Manipuladores de agentes Software McAfee epolicy Orchestrator Guia de produto 23

24 Configuração do servidor epolicy Orchestrator 24 Software McAfee epolicy Orchestrator Guia de produto

25 3 3 Planejamento da sua configuração do epolicy Orchestrator Para usar seu servidor epolicy Orchestrator de maneira eficaz, você deve criar um plano abrangente específico para o seu sistema. A maneira como você configura a infraestrutura de servidor e o esforço de configuração necessário dependem das necessidades exclusivas do seu ambiente de rede. A consideração antecipada dessas áreas pode reduzir o tempo necessário para colocação do produto em execução. Conteúdo Considerações sobre expansibilidade Internet Protocols em um ambiente gerenciado Considerações sobre expansibilidade O modo como você gerencia suas necessidades de expansibilidade depende se são utilizados vários servidores epolicy Orchestrator ou vários manipuladores de agentes remotos, ou ambos. Com o software epolicy Orchestrator, você pode ajusta a escala de sua rede verticalmente ou horizontalmente. Dimensionamento vertical Adicionar e fazer upgrade para um hardware maior e mais rápido para gerenciar distribuições cada vez maiores. O ajuste de escala vertical da infraestrutura do servidor epolicy Orchestrator é obtido pelo upgrade de hardware do servidor e pelo uso de vários servidores epolicy Orchestrator em toda a sua rede, cada um com seu próprio banco de dados. Dimensionamento horizontal Obtida pelo aumento do tamanho da distribuição que um único servidor epolicy Orchestrator pode gerenciar. O ajuste de escala horizontal do servidor é obtido pela instalação de vários manipuladores de agentes, cada um se reportando a um único banco de dados. Software McAfee epolicy Orchestrator Guia de produto 25

26 3 Planejamento da sua configuração do epolicy Orchestrator Considerações sobre expansibilidade Quando usar os vários servidores McAfee epo Dependendo do tamanho e da composição da organização, usar vários servidores McAfee epo talvez seja necessário. Estes são alguns cenários nos quais é necessário usar diversos servidores: Você deseja manter bancos de dados separados para unidades distintas de sua organização. Você precisa de infraestruturas de TI, grupos administrativos ou ambientes de teste separados. A sua organização está distribuída em uma grande área geográfica e usa uma conexão de rede com largura de banda relativamente baixa, como WAN, VPN (rede privada virtual) ou outras conexões mais lentas tipicamente encontradas entre locais remotos. Para obter mais informações sobre os requisitos de largura de banda, consulte o Hardware Usage and Bandwidth Sizing Guide (Guia de dimensionamento de largura de banda e uso de hardware do McAfee epolicy Orchestrator) do McAfee epolicy Orchestrator. Para usar vários servidores em sua rede, é preciso manter um banco de dados separado para cada servidor. Você pode acumular informações de cada servidor no banco de dados e no servidor McAfee epo principal. Quando usar diversos Manipuladores de agentes remotos Diversos Manipuladores de agentes remotos o ajudam a gerenciar grandes distribuições sem adicionar servidores McAfee epo ao seu ambiente. O Manipulador de agentes é o componente do servidor responsável pelo gerenciamento de solicitações de agentes. Cada instalação de servidor McAfee epo inclui um Manipulador de agentes por padrão. Estes são alguns cenários nos quais é necessário usar diversos Manipuladores de agentes remotos: Você deseja permitir que agentes escolham entre diversos dispositivos físicos para que eles possam continuar a fazer chamadas e receber atualizações de políticas, tarefas e produtos, mesmo que o servidor de aplicativos esteja indisponível e você não deseje sobrecarregar o servidor epolicy Orchestrator. A infraestrutura existente do epolicy Orchestrator precisa ser expandida para comportar mais agentes, mais produtos ou uma carga maior devido a intervalos mais frequentes de comunicação agente servidor (ASCI). Você deseja usar o servidor epolicy Orchestrator para gerenciar segmentos de rede desconectados, como sistemas que usam NAT (conversão de endereços de rede) ou que estejam em uma rede externa. Isso funciona desde que o Manipulador de agentes tenha uma conexão de alta largura de banda com o banco de dados do epolicy Orchestrator. O uso de diversos Manipuladores de agentes pode proporcionar mais dimensionamento e menos complexidade no gerenciamento de grandes distribuições. Entretanto, como os Manipuladores de agentes requerem uma conexão de rede muito rápida, você não deve usá los em alguns cenários, incluindo: Para substituir repositórios distribuídos. Repositórios distribuídos são compartilhamentos de arquivos locais que têm o objetivo de manter o tráfico da comunicação de agente local. Embora os Manipuladores de agentes tenham um recurso de repositório interno, eles precisam de comunicação constante com o banco de dados do epolicy Orchestrator e, assim, consomem uma quantidade significativamente maior de largura de banda. Para melhorar a replicação do repositório em uma conexão WAN. A comunicação constante com o banco de dados exigida pela replicação do repositório pode saturar a conexão WAN. Para conectar um segmento de rede desconectado que tenha conectividade limitada ou irregular com o banco de dados do epolicy Orchestrator. 26 Software McAfee epolicy Orchestrator Guia de produto

27 Planejamento da sua configuração do epolicy Orchestrator Internet Protocols em um ambiente gerenciado 3 Internet Protocols em um ambiente gerenciado O software epolicy Orchestrator é compatível com as versões IPv4 e IPv6 do Internet Protocol. Os servidores epolicy Orchestrator funcionam em três modos: Somente IPv4 Oferece suporte somente ao formato de endereço IPv4 Somente IPv6 Oferece suporte somente ao formato de endereço IPv6 Modo misto Oferece suporte aos formatos de endereço IPv4 e IPv6 O modo em que o servidor epolicy Orchestrator funciona depende da configuração de rede. Por exemplo, se a rede for configurada para usar somente endereços IPv4, o servidor funcionará somente no modo IPv4. Da mesma forma, se a rede for configurada para usar endereços IPv4 e IPv6, o servidor funcionará no Modo misto. Até que o IPv6 seja instalado e ativado, o servidor epolicy Orchestrator realizará a escuta somente em endereços IPv4. Quando o IPv6 é ativado, ele funciona no modo em que está configurado. Quando o servidor McAfee epo se comunica com um Manipulador de agentes ou com o Rogue System Sensor no IPv6, as propriedades relacionadas a endereço, como endereço IP, endereço de sub rede e máscara de sub rede, são relatadas no formato IPv6. Quando transmitidas entre o cliente e o servidor epolicy Orchestrator, ou quando exibidas na interface do usuário ou no arquivo de registro, as propriedades relacionadas ao IPv6 são exibidas no formato expandido e delimitadas por colchetes. Por exemplo, 3FFE:85B:1F1F::A9:1234 é exibido como [3FFE:085B:1F1F: 0000:0000:0000:00A9:1234]. Ao definir um endereço IPv6 para origens FTP ou HTTP, não é necessário fazer modificações no endereço. No entanto, quando você define um endereço IPv6 literal para uma origem UNC, deve usar o formato Microsoft Literal IPv6. Para obter mais informações, consulte a documentação da Microsoft. Software McAfee epolicy Orchestrator Guia de produto 27

28 3 Planejamento da sua configuração do epolicy Orchestrator Internet Protocols em um ambiente gerenciado 28 Software McAfee epolicy Orchestrator Guia de produto

29 4 Configuração 4 do McAfee epo servidor Entre em funcionamento rapidamente configurando os recursos essenciais do servidormcafee epo. Conteúdo Visão geral da configuração do servidor Recursos essenciais Configuração de recursos essenciais Uso de um servidor proxy Digitação da chave de licença s de pós-instalação Visão geral da configuração do servidor O modo como se configura o servidor epolicy Orchestrator depende das necessidades exclusivas de seu ambiente. Essa visão geral do processo destaca as principais instalações e configurações necessárias ao uso do servidor epolicy Orchestrator. Cada etapa representa um capítulo ou seção deste guia, em que você poderá encontrar informações detalhadas de que precisa para entender os recursos e a funcionalidade do software junto com as tarefas necessárias para implementá los e usá los. Dependendo do tamanho e da complexidade da rede, talvez não seja necessário configurar todos os recursos disponíveis. Visão geral do processo Este processo é uma visão geral de alto nível do processo de configuração do servidor. Muitos itens representam conjuntos de recursos ou áreas funcionais específicas do software epolicy Orchestrator: 1 Configurar recursos essenciais O software epolicy Orchestrator tem alguns recursos essenciais que você deve configurar para que o servidor funcione adequadamente. Use a ferramenta Configuração guiada para configurar os recursos essenciais do servidor McAfee epo. 2 Definir configurações gerais do servidor As configurações do servidor neste grupo afetam a funcionalidade que não precisa ser modificada para que o servidor opere corretamente, mas é possível personalizar alguns aspectos da maneira como o servidor funciona. 3 Criar contas de usuários As contas de usuário oferecem aos usuários uma forma de acesso ao servidor. 4 Configurar conjuntos de permissões Os conjuntos de permissões concedem direitos e acesso aos recursos do epolicy Orchestrator. Software McAfee epolicy Orchestrator Guia de produto 29

30 4 Configuração do McAfee epo servidor Recursos essenciais 5 Definir configurações e recursos avançados do servidor O servidor epolicy Orchestrator oferece recursos e funcionalidades avançadas para ajudar você a automatizar o gerenciamento da segurança de sua rede. 6 Configurar componentes adicionais Os componentes adicionais, como repositórios distribuídos, servidores registrados e Manipuladores de agentes, são necessários para o uso de vários recursos avançados do software epolicy Orchestrator. Recursos essenciais Diversos recursos do servidor McAfee epo são essenciais para o seu uso e devem ser configurados para que você possa distribuir e gerenciar software de segurança nos sistemas em sua rede. Os recursos essenciais do servidor McAfee epo são: Gerenciador de software Permite que você inclua programas de software de segurança novos e atualizados no repositório principal e no servidor epolicy Orchestrator do console. Árvore de sistemas Contém todos os sistemas gerenciados pelo servidor epolicy Orchestrator. Catálogo de políticas Onde você configura as políticas de segurança que controlam o software de segurança distribuído para os sistemas gerenciados. Catálogo de tarefas de cliente Onde você cria, assina e programa tarefas de cliente para automatizar tarefas executadas nos sistemas gerenciados. McAfee Agent Permite o gerenciamento de um sistema na rede. Uma vez distribuído, o agente comunica o status e todos os dados associados de/para o servidor e o sistema gerenciado. É o veículo através do qual o software de segurança é distribuído, as políticas são impostas e as tarefas são atribuídas. O McAfee Agent é um software independente necessário para o servidor epolicy Orchestrator gerenciar os sistemas na rede. O McAfee Agent é incluído no repositório principal automaticamente quando você instala o software McAfee epo. Essa versão do software vem equipada com a ferramenta Configuração guiada do epolicy Orchestrator. Essa ferramenta foi projetada para ajudar você a configurar esses recursos essenciais e a se familiarizar com a interface do epolicy Orchestrator. A Configuração guiada ajuda você a concluir as etapas necessárias para: 1 Incluir o software McAfee Security no repositório principal para que possa ser distribuído para os sistemas na rede. 2 Adicionar seus sistemas à árvore de sistemas do epolicy Orchestrator para que você possa gerenciá los. 3 Criar e atribuir pelo menos uma política de segurança para ser imposta nos sistemas gerenciados. 4 Programar uma tarefa de atualização de cliente para manter seu software de segurança atualizado. 5 Distribuir o software de segurança para os sistemas gerenciados. O uso da Configuração guiada não é obrigatório. Você pode realizar cada uma dessas etapas manualmente. Se você optar por realizar essas etapas manualmente, a McAfee recomenda o uso de um fluxo de trabalho similar durante o processo de configuração. Independente do método escolhido para configurar esses recursos, você pode continuar a modificar e ajustar a configuração do seu servidor usando a ferramenta Configuração guiada ou navegando diretamente até cada página do menu do McAfee epo. 30 Software McAfee epolicy Orchestrator Guia de produto

31 Configuração do McAfee epo servidor Configuração de recursos essenciais 4 Configuração de recursos essenciais Use a ferramenta Configuração guiada, para percorrer as páginas usadas e configurar recursos essenciais. Realize cada etapa da tarefa abaixo para: Selecionar o software de segurança que deseja distribuir nos sistemas de sua rede. Selecionar os sistemas de sua rede que você deseja gerenciar com o seu servidor McAfee epo e adicioná los à árvore de sistemas. Configurar uma política padrão a ser atribuída e imposta a seus sistemas gerenciados. Programar uma tarefa de atualização de produto para garantir que seus sistemas gerenciados tenham as atualizações mais recentes. Distribuir o software de segurança para os sistemas gerenciados. Não é necessário concluir cada etapa e você pode rever qualquer etapa sempre que desejar. No entanto, a McAfee recomenda que você use essa ferramenta de configuração como um assistente e conclua cada etapa na sequência. Isso o ajudará a se familiarizar com as páginas individuais da interface que controlam esses recursos, para que você possa usá las sem a ferramenta de configuração no futuro. 1 No console do epolicy Orchestrator, clique em Menu Geração de relatórios Dashboards, selecione Configuração guiada na lista suspensa Dashboard e clique em Iniciar. 2 Revise a visão geral e as instruções da Configuração guiada e clique em Iniciar. 3 A etapa Seleção de software é aberta. Para concluir esta etapa: a Na categoria de produto Software não incluído, clique em Licenciado ou em Avaliação para exibir os produtos disponíveis. b c d Na tabela Software, selecione o produto que deseja incluir. A descrição do produto e todos os componentes disponíveis são exibidos na tabela abaixo. Clique em Incluir tudo para incluir as extensões de produto do seu servidor do epolicy Orchestrator e os pacotes de produto no seu repositório principal. Clique em Avançar, na parte superior da tela, quando terminar de incluir o software e estiver pronto para começar a próxima etapa. 4 A etapa Seleção de sistemas é aberta. Para concluir esta etapa: a Selecione o grupo na Árvore de sistemas a qual deseja adicionar os sistemas. Caso não tenha grupos personalizados definidos, selecione Minha organização e clique em Avançar. A caixa de diálogo Adição dos sistemas é aberta. b Selecione o método que deseja usar para adicionar seus sistemas à Árvore de sistemas: Software McAfee epolicy Orchestrator Guia de produto 31

32 4 Configuração do McAfee epo servidor Configuração de recursos essenciais Adicione sistemas usando... Sincronização do AD Manual Para... Sincronizar o seu servidor epolicy Orchestrator com seu servidor do Active Directory (AD) ou controlador de domínio (DC). Se estiver usando um deles no ambiente, a opção Sincronização do AD será a maneira mais rápida de adicionar os sistemas à árvore de sistemas. Adicionar seus sistemas manualmente à árvore de sistemas especificando nomes ou procurando em uma lista de sistemas por domínio. Então... 1 Na caixa de diálogo Sincronização do AD, selecione o tipo de sincronização que deseja usar e especifique as configurações apropriadas. 2 Clique em Sincronizar e salvar para passar para a próxima etapa. 1 Na página Novos sistemas, clique em Procurar para adicionar sistemas adicionais de um domínio e clique em OK ou digite nomes de sistemas no campo Sistemas de destino. 2 Clique em Adicionar sistemas para passar para a próxima etapa. 5 A etapa Configuração de política é aberta. Para concluir esta etapa: Selecione... Para... Então... Aceitar padrões Configurar política Usar as configurações de política Meu padrão para o software que será distribuído e continuar com a configuração. Especificar configurações de políticas personalizadas para cada produto de software incluído. Esta etapa foi concluída. 1 Na caixa de diálogo Configuração de política, clique em OK. 2 Selecione um produto na Lista de produtos e clique em Meu padrão para editar as configurações de políticas padrão. 3 Clique em Avançar para passar para a próxima etapa. 6 A etapa Atualização de software é aberta. Para concluir esta etapa: 32 Software McAfee epolicy Orchestrator Guia de produto

33 Configuração do McAfee epo servidor Uso de um servidor proxy 4 Selecione... Para... Então... Criar padrões Definir programação da tarefa Criar automaticamente uma tarefa de cliente de atualização de produto padrão executada diariamente às 12h. Configurar manualmente a programação da sua tarefa de cliente de atualização de produto. Esta etapa foi concluída. 1 Usando o Construtor de atribuições de tarefas de cliente, especifique um Produto e o Nome da tarefa para sua tarefa de atualização de produto. Não altere a seleção Tipo de tarefa. O Tipo de tarefa deve ser definido como Atualização de produto. 2 Configure as opções Bloquear herança de tarefa e Marcas e, em seguida, clique em Avançar. 3 Especifique a programação para a tarefa de atualização e clique em Avançar. 4 Revise o resumo e clique em Salvar. 7 A etapa Distribuição de software é aberta. Para concluir esta etapa: a Selecione a localização na Árvore de sistemas que contenha os sistemas onde você deseja distribuir seu software e clique em Avançar. A caixa de diálogo Distribuição de software é aberta. Clique em OK para continuar. b Especifique as configurações para a distribuição do McAfee Agent e clique em Distribuir. Clique em Ignorar distribuição do agente caso queira aguardar para executar esta ação posteriormente. Entretanto, para distribuir outros softwares de segurança, é necessário distribuir agentes. c A caixa de diálogo Distribuição de software é aberta. Selecione os pacotes de software que deseja distribuir em seus sistemas gerenciados e clique em Distribuir. A caixa de diálogo Resumo da configuração é aberta. Sua configuração foi concluída. Clique em Concluir para fechar a Configuração guiada. Uso de um servidor proxy Se você usar um servidor proxy em seu ambiente de rede, é necessário especificar as configurações de proxy nas configurações do servidor epolicy Orchestrator. 1 Clique em Menu Configuração Configurações do servidor, selecione Configurações de proxy em Categorias de configurações e clique em Editar. 2 Selecione Definir as configurações de proxy manualmente, forneça as informações específicas de configuração que o seu servidor proxy usa para cada conjunto de opções e clique em Salvar. Software McAfee epolicy Orchestrator Guia de produto 33

34 4 Configuração do McAfee epo servidor Digitação da chave de licença Digitação da chave de licença Sua chave de licença lhe confere o direito de uma instalação completa do software e preenche o Gerenciador de software do epolicy Orchestrator com o software da McAfee licenciado de sua empresa. Sem uma chave de licença, o software é executado no modo de avaliação. Quando o período de avaliação expira, o software deixa de funcionar. Você pode adicionar uma chave de licença a qualquer momento durante ou após o período de avaliação. 1 Clique em Menu Configuração Configurações do servidor, selecione Chave de licença nas Categorias de configuração e, em seguida, clique em Editar. 2 Digite a sua Chave de licença e clique em Salvar. s de pós-instalação Após configurar os recursos essenciais do servidor McAfee epo, execute as seguintes tarefas de pós instalação conforme o necessário. Criar contas de usuário e conjuntos de permissões Configurar o login de usuário do Active Directory Configurar a autenticação de certificado Gerenciar as chaves de segurança Configurar os sites de origem e de reserva Configurar os repositórios Configurar os servidores registrados Determinar quais eventos são encaminhados ao servidor Definir as configurações de recuperação de desastres 34 Software McAfee epolicy Orchestrator Guia de produto

35 5 Contas 5 e conjuntos de permissões do usuário Cada conta de usuário é associada a um ou mais conjuntos de permissões, que definem o que o usuário tem permissão de fazer com o software. Conteúdo Contas de usuário Autenticação do certificado de cliente Conjuntos de permissões Contas de usuário As contas de usuário permitem que você controle como os usuários acessam e usam o software. Até mesmo as menores instalações do epolicy Orchestrator precisam especificar e controlar o acesso que os usuários têm a diferentes partes do sistema. Conteúdo Tipos de contas de usuário Gerenciamento de contas de usuário Criação de uma mensagem de logon personalizada Configuração de logon do usuário do Active Directory Tipos de contas de usuário Existem dois tipos de usuários, administradores e usuários com permissões limitadas. As contas de usuário podem ser criadas e gerenciadas de várias maneiras. É possível: Criar contas de usuário manualmente e atribuir cada conta a um conjunto de permissões apropriado. Configurar o servidor epolicy Orchestrator para permitir que os usuários efetuem logon usando a autenticação do Windows. Permitir que os usuários efetuem logon usando as credenciais do Windows é um recursos avançado que requer a configuração e definição de várias configurações e componentes. Para obter mais informações sobre essa opção, consulte Gerenciamento de usuários do epolicy Orchestrator com o Active Directory. Embora as contas de usuários e os conjuntos de permissões estejam estreitamente relacionados, eles são criados e configurados usando etapas separadas. Para obter mais informações sobre os conjuntos de permissões, consulte Configuração de conjuntos de permissões. Software McAfee epolicy Orchestrator Guia de produto 35

36 5 Contas e conjuntos de permissões do usuário Contas de usuário Gerenciamento de contas de usuário Você pode criar, editar e excluir contas de usuário manualmente com a página Gerenciamento de usuários. A McAfee recomenda desativar o Status de login de uma conta, em vez de excluí la, até você ter certeza de que todas as informações importantes associadas à conta tenham sido movidas para outros usuários. 1 Clique em Menu Gerenciamento de usuários Usuários e a página Gerenciamento de usuários será exibida. 2 Selecione uma destas ações. Ação Criar usuário. Etapas Clique em Novo usuário e a página Novo usuário será exibida. 1 Digite um nome do usuário. 2 Escolha ativar ou desativar o status de logon da conta. Se a conta for para alguém que ainda não integra a organização, convém desativá la. 3 Selecione se a nova conta usará a Autenticação do McAfee epo, a Autenticação do Windows ou a Autenticação baseada em certificado e forneça as credenciais necessárias ou procure e selecione o certificado. 4 Opcionalmente, informe o nome completo do usuário, o endereço de e mail, o número de telefone e a descrição na caixa de texto Notas. 5 Escolha tornar o usuário um administrador ou selecione os conjuntos de permissões apropriados para o usuário. 6 Clique em Salvar para voltar à guia Usuários. O novo usuário deve aparecer na lista Usuários da página Gerenciamento de usuários. Editar usuário. Na lista Usuários, selecione o usuário que você deseja editar e clique em Ação Editar para exibir a página Editar usuário. 1 Edite a conta, conforme o necessário. 2 Clique em Salvar. As alterações do usuário devem aparecer na lista Usuários da página Gerenciamento de usuários. Excluir usuário. Na lista Usuários, selecione o usuário que você deseja excluir e clique em Ação Excluir. Uma caixa de diálogo de confirmação será exibida. Clique em OK. O usuário deve desaparecer da lista Usuários da página Gerenciamento de usuários. Criação de uma mensagem de logon personalizada Crie e exiba uma mensagem de logon personalizada para exibição na página Efetuar logon. Sua mensagem pode ser escrita em texto claro ou formatado usando HTML. Se você criar uma mensagem formatada em HTML, será o responsável por toda formatação e saída. 36 Software McAfee epolicy Orchestrator Guia de produto

37 Contas e conjuntos de permissões do usuário Contas de usuário 5 1 Clique em Menu Configuração Configurações do servidor, selecione Mensagem de login em Categorias de configurações e clique em Editar. 2 Selecione Exibir mensagem de login personalizado, digite sua mensagem e clique em Salvar. Configuração de logon do usuário do Active Directory Você pode reduzir a sobrecarga do gerenciamento e acesso de contas de usuário configurando o logon de usuário do Active Directory. Conteúdo Gerenciamento de usuários do epolicy Orchestrator com o Active Directory Estratégias de autenticação e autorização do Windows Configuração da autenticação e autorização do Windows Gerenciamento de usuários do epolicy Orchestrator com o Active Directory Você pode usar credenciais de usuário autenticado do Windows pré existentes para criar usuários do epolicy Orchestrator automaticamente e atribuir permissões a eles. Esse processo é obtido por meio do mapeamento de conjuntos de permissões do epolicy Orchestrator para grupos do Active Directory no seu ambiente. Esse recurso pode reduzir a sobrecarga de gerenciamento quando você tem um grande número de usuários do epolicy Orchestrator na sua organização. Para concluir a configuração, você deve realizar o seguinte processo: Configure a autenticação de usuário. Registre servidores LDAP. Atribua conjuntos de permissões ao grupo do Active Directory. Autenticação de usuário É possível autenticar usuários do epolicy Orchestrator com a autenticação por senha do epolicy Orchestrator ou com a autenticação do Windows. Se você usar a autenticação do Windows, poderá especificar se os usuários devem ser autenticados: No domínio ao qual o seu servidor McAfee epo está associado (padrão). Em uma lista de um ou mais controladores de domínios. Em uma lista de um ou mais nomes de domínio em estilo de DNS. Usando um servidor WINS para procurar o controlador de domínios apropriado. Se você usar controladores de domínios, nomes de domínio em estilo de DNS ou um servidor WINS, deverá definir a configuração de servidor de autenticação do Windows. Servidores LDAP registrados É necessário registrar servidores LDAP no seu servidor McAfee epo para permitir a atribuição dinâmica de conjuntos de permissões para usuários do Windows. Os conjuntos de permissões atribuídos dinamicamente são aqueles atribuídos aos usuários com base nas respectivas associações a grupos do Active Directory. Não é oferecido suporte a usuários confiáveis por meio de confiança externa unidirecional. Software McAfee epolicy Orchestrator Guia de produto 37

38 5 Contas e conjuntos de permissões do usuário Contas de usuário A conta de usuário utilizada para registrar o servidor LDAP no epolicy Orchestrator deve ser confiável por meio de uma confiança transitiva bidirecional, ou deve existir fisicamente no domínio ao qual pertence o servidor LDAP. Autorização do Windows A configuração do servidor para autorização do Windows especifica qual servidor Active Directory (AD) o epolicy Orchestrator utiliza para reunir informações sobre usuários e grupos para um domínio específico. Você pode especificar vários controladores de domínios e servidores AD. Essa configuração do servidor oferece suporte à capacidade de atribuir dinamicamente conjuntos de permissões a usuários que fornecem credenciais do Windows no login. O epolicy Orchestrator pode atribuir dinamicamente conjuntos de permissões a usuários autenticados do Windows mesmo que o Login do Usuário do Active Directory não esteja ativado. Atribuir permissões Você deve atribuir pelo menos um conjunto de permissões a um grupo AD que não seja o Grupo Principal de um usuário. Não é oferecido suporte à atribuição dinâmica de conjuntos de permissões ao Grupo Principal de um usuário, que resulta na aplicação somente das permissões atribuídas manualmente ao usuário. O Grupo Principal padrão é "Usuários do Domínio". Login do usuário do Active Directory Quando você tiver configurado as seções descritas anteriormente, poderá ativar a configuração de servidor Criação automática de usuário. A Criação automática de usuário permite a criação automática de registros de usuário quando as seguintes condições são atendidas: Os usuários fornecem credenciais válidas, usando o formato <domínio\nome>. Por exemplo, um usuário com credenciais do Windows jsmith1, que é membro do domínio do Windows denominado eng, forneceria as seguintes credenciais: eng\jsmith1, juntamente com a senha apropriada. Um servidor do Active Directory que contém informações sobre este usuário foi registrado no epolicy Orchestrator. O usuário é membro de, pelo menos, um grupo Domínio local ou Domínio global que é mapeado para um conjunto de permissões do epolicy Orchestrator. Estratégias de autenticação e autorização do Windows É possível planejar como registrar os servidores LDAP de várias maneiras diferentes. Antecipar o planejamento de sua estratégia de registro de servidor o ajudará a acertar de primeira e reduzir os problemas de autenticação de usuários. Idealmente, esse processo deve ser realizado apenas uma vez e alterado somente se a topologia geral de sua rede mudar. Depois que os servidores são registrados e a autenticação do Windows é configurada, não deve ser necessário modificar essas configurações com frequência. Autenticação vs. autorização A autenticação envolve a verificação da identidade do usuário. Trata se do processo de corresponder as credenciais fornecidas pelo usuário a um item que o sistema confia como autêntico. Esse item poderia ser uma conta de servidor epolicy Orchestrator, credenciais do Active Directory ou um certificado. Se desejar usar a autenticação do Windows, será necessário examinar como os domínios (ou servidores) que contêm suas contas de usuário são organizados. 38 Software McAfee epolicy Orchestrator Guia de produto

39 Contas e conjuntos de permissões do usuário Contas de usuário 5 A autorização ocorre após a verificação das credenciais do usuário. É nessa fase que são aplicados os conjuntos de permissões, determinando o que o usuário pode fazer no sistema. Ao usar a autenticação do Windows, você pode determinar o que usuários de diferentes domínios devem estar autorizados a fazer. Isso é feito anexando conjuntos de permissões a grupos contidos nesses domínios. Topologia da rede da conta de usuário A quantidade de esforço necessária para configurar completamente a autorização e a autenticação do Windows depende da topologia da sua rede e da distribuição de contas de usuário na rede. Se as credenciais dos seus usuários em potencial estão contidas em um pequeno conjunto de domínios (ou servidores) em uma única árvore de domínios, basta registrar a raiz dessa árvore e pronto. Se suas contas de usuário estiverem mais distribuídas, você deverá registrar diversos servidores ou domínios. Determine o número mínimo de sub árvores de domínios (ou servidores) necessárias e registre as raízes dessas árvores. Tente registrá las na ordem em que elas serão mais usadas. Como o processo de autenticação passa pela lista de domínios (ou servidores) na ordem listada, colocar os domínios mais usados no topo da lista aumentará o desempenho médio da autenticação. Estrutura de permissão Para que os usuários possam efetuar logon no servidor epolicy Orchestrator usando a autenticação do Windows, é preciso anexar um conjunto de permissões ao grupo do Active Directory ao qual sua conta pertence em seu domínio. Ao determinar como os conjuntos de permissões devem ser permitidos, mantenha os seguintes recursos em mente: É possível atribuir conjuntos de permissões a diversos grupos do Active Directory. É possível atribuir dinamicamente conjuntos de permissões somente a um grupo inteiro do Active Directory. Eles não podem ser atribuídos a apenas alguns usuários de um grupo. Caso seja necessário atribuir permissões especiais a um usuário individual, isso pode ser feito criando um grupo do Active Directory que contenha somente esse usuário. Configuração da autenticação e autorização do Windows Estas tarefas ajudam a configurar o logon do usuário do Active Directory. s Ativação da autenticação do Windows no servidor McAfee epo na página 39 Antes que mais autenticações avançadas do Windows possam ser usadas, o servidor deve estar preparado. Configuração da autenticação do Windows na página 40 Há várias maneiras de usar as credenciais de conta do Windows existentes no epolicy Orchestrator. Configuração da autorização do Windows na página 41 Os usuários que tentam efetuar logon em um servidor epolicy Orchestrator usando a autenticação do Windows precisam de um conjunto de permissões atribuído a um dos grupos do Active Directory. Ativação da autenticação do Windows no servidor McAfee epo Antes que mais autenticações avançadas do Windows possam ser usadas, o servidor deve estar preparado. Para ativar a página Autenticação do Windows nas configurações do servidor, você deve primeiro parar o serviço do epolicy Orchestrator. Essa tarefa deve ser realizada no próprio servidor McAfee epo. Software McAfee epolicy Orchestrator Guia de produto 39

40 5 Contas e conjuntos de permissões do usuário Contas de usuário 1 No console do servidor, selecione Iniciar Configurações Painel de controle Ferramentas administrativas. 2 Selecione Serviços. 3 Na janela Serviços, clique com botão direito em Servidor de aplicativos McAfee epolicy Orchestrator e selecione Parar. 4 Renomeie Winauth.dll para Winauth.bak. Na instalação padrão, esse arquivo é encontrado em C:\Arquivos de programas\mcafee\epolicy Orchestrator\Server\bin. 5 Reinicie o servidor. Na próxima vez que você abrir a página Configurações do servidor, uma opção Autenticação do Windows será exibida. Configuração da autenticação do Windows Há várias maneiras de usar as credenciais de conta do Windows existentes no epolicy Orchestrator. Antes de iniciar Primeiro, você deve preparar seu servidor para a autenticação do Windows. Como você define essas configurações depende de várias questões: Você deseja usar vários controladores de domínio? Você tem usuários espalhados por diversos domínios? Você deseja usar o servidor WINS para pesquisar em que domínio seus usuários estão fazendo autenticação? Sem qualquer configuração especial, os usuários podem fazer autenticação usando as credenciais do Windows no domínio ao qual o servidor McAfee epo está associado ou em qualquer domínio que tenha uma relação de confiança recíproca com o domínio do servidor McAfee epo. Se você tiver usuários em domínios que não atendem a esse critério, configure a autenticação do Windows. 1 Clique em Menu Configuração Configurações do servidor e selecione Autenticação do Windows na lista Categorias de configurações. 2 Clique em Editar. 3 Especifique se você deseja usar um ou mais domínios, um ou mais controladores de domínio ou um servidor WINS. Os domínios devem ser fornecidos no formato DNS (por ex.: internaldomain.com). Os controladores de domínio e servidores WINS devem ter nomes de domínio totalmente qualificados. (por ex.: dc.internaldomain.com). Você pode especificar vários domínios ou controladores de domínio, mas somente um servidor WINS. Clique em + para adicionar domínios ou controladores de domínio à lista. 4 Clique em Salvar quando houver terminado de adicionar servidores. 40 Software McAfee epolicy Orchestrator Guia de produto

41 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente 5 Se você especificar domínios ou controladores de domínio, o servidor McAfee epo tentará autenticar os usuários com servidores na ordem em que estão listados. Ele começará pelo primeiro servidor na lista e continuará até que a autenticação do usuário seja bem sucedida. Configuração da autorização do Windows Os usuários que tentam efetuar logon em um servidor epolicy Orchestrator usando a autenticação do Windows precisam de um conjunto de permissões atribuído a um dos grupos do Active Directory. 1 Clique em Menu Gerenciamento de usuários Conjuntos de permissões. 2 Escolha um conjunto de permissões existente na lista Conjuntos de permissões e clique em Editar na seção Nome e usuários ou clique em Ações Novo. 3 Selecione qualquer usuário individual ao qual o conjunto de permissões se aplica. 4 Selecione um Nome do servidor na lista e clique em Adicionar. 5 No navegador LDAP, navegue pelos grupos e selecione os grupos aos quais esse conjunto de permissões se aplica. A seleção de um item no painel Procurar exibirá os membros desse item no painel Grupos. Você pode selecionar qualquer número desses grupos para receber o conjunto de permissões dinamicamente. Somente os membros de um item poderão ser adicionados por vez. Se você precisar adicionar mais, repita as etapas 4 e 5 até terminar. 6 Clique em Salvar. O conjunto de permissões agora serão aplicados a todos os usuários dos grupos que você especificou efetuando logon no servidor com a autenticação do Windows. Autenticação do certificado de cliente Os clientes podem usar um certificado digital como credencial de autenticação ao efetuar logon em um servidor McAfee epo. Conteúdo Quando usar a autenticação de certificado de cliente Configuração da autenticação de certificado de cliente epolicy Orchestrator Modificação da autenticação baseada no certificado do servidor epolicy Orchestrator Desativação da autenticação de certificado de cliente do servidor epolicy Orchestrator Configuração de usuários para autenticação de certificado Atualização do arquivo de lista de certificados revogados Problemas com autenticação de certificados de cliente Certificados SSL Criação de um certificado autoassinado com OpenSSL Outros comandos úteis do OpenSSL Conversão de um arquivo PVK em um arquivo PEM Software McAfee epolicy Orchestrator Guia de produto 41

42 5 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente Quando usar a autenticação de certificado de cliente A autenticação de certificado de cliente é o método mais seguro disponível. Entretanto, ela não é a melhor escolha para todos os ambientes. A autenticação de certificado de cliente é uma extensão da autenticação de chave pública. Ela usa chaves públicas como base, mas difere da autenticação de chave pública na necessidade de apenas confiar em um terceiro conhecido como autoridade de certificação (ou CA). Os certificados são documentos digitais que contêm uma combinação de informações de identidade e chaves públicas e que são assinados digitalmente pela CA que verifica se as informações são precisas. Vantagens da autenticação baseada em certificado A autenticação baseada em certificado apresenta diversas vantagens em relação à autenticação por senha: Os certificados têm vidas úteis predefinidas. Isso permite uma revisão periódica forçada das permissões de um usuário quando seu certificado expira. Se o acesso de um usuário precisa ser suspenso ou rescindido, o certificado pode ser adicionado a uma lista de certificados revogados, ou CRL, que é consultada a cada tentativa de logon para evitar acessos não autorizados. A autenticação por certificado é muito mais gerenciável e dimensionável em grandes instituições do que outras formas de autenticação porque apenas uma pequena quantidade de CAs (frequentemente, somente uma) deve ser confiada. Desvantagens da autenticação baseada em certificado Nem todos os ambientes são ideais para a autenticação baseada em certificado. As desvantagens desse método incluem: É necessária uma infraestrutura de chave pública. Isso pode aumentar os custos, o que, em alguns casos, pode não valer a segurança adicional. Requer trabalho adicional para manter os certificados comparados à autenticação baseada em senha. Configuração da autenticação de certificado de cliente epolicy Orchestrator Antes que os usuários possam efetuar logon com autenticação de certificado, o epolicy Orchestrator deve ser configurado adequadamente. Antes de iniciar Você já deve ter recebido um certificado assinado no formato P7B, PKCS12, DER ou PEM. 1 Clique em Menu Configuração Configurações do servidor. 2 Selecione Autenticação baseada em certificado e clique em Editar. 3 Selecione Ativar autenticação baseada em certificado. 4 Clique em Procurar ao lado de Certificado de CA para certificado de cliente (P7B, PEM). 5 Navegue até o arquivo de certificado, selecione o e clique em OK. 6 Se você tiver um arquivo da Lista de certificados revogados (CRL), clique em Procurar ao lado dessa caixa de edição, navegue até o arquivo de lista de certificados revogados e clique em OK. 42 Software McAfee epolicy Orchestrator Guia de produto

43 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente 5 7 Clique em Salvar para salvar todas as alterações. 8 Reinicie o epolicy Orchestrator para ativar a autenticação de certificado. Modificação da autenticação baseada no certificado do servidor epolicy Orchestrator Os servidores requerem certificados para conexões SSL, que fornecem mais segurança do que as sessões HTTP padrão. Antes de iniciar Para fazer upload de um certificado assinado, você deve já ter recebido um certificado de servidor de uma autoridade do certificado (CA). É possível criar certificados autoassinados em vez de usar certificados com assinatura externa, apesar dessa opção implicar em um risco maior. Essa tarefa pode ser usada para configurar inicialmente a autenticação baseada em certificado ou para modificar uma configuração existente com um certificado atualizado. 1 Clique em Menu Configuração Configurações do servidor. 2 Selecione Autenticação baseada em certificado e clique em Editar. 3 Selecione Ativar autenticação baseada em certificado. 4 Clique em Procurar ao lado de Certificado de CA para certificado de cliente. Navegue até o arquivo de certificado, selecione o e clique em OK. Depois que um arquivo for aplicado, o prompt é alterado para Substituir certificado de CA atual. 5 Se você forneceu um arquivo de certificado PKCS12, insira uma senha. 6 Se você desejar fornecer um arquivo CRL (Lista de certificados revogados), clique em Procurar ao lado de Arquivo de Lista de certificados revogados (PEM). Navegue até o arquivo de lista de certificados revogados, selecione o e clique em OK. O arquivo de lista de certificados revogados deve estar em formato PEM. 7 Selecione qualquer configuração avançada, se necessário. 8 Clique em Salvar para salvar todas as alterações. 9 Reinicie o servidor para ativar as alterações nas configurações de autenticação baseada em certificado. Desativação da autenticação de certificado de cliente do servidor epolicy Orchestrator Os certificados do servidor podem e devem ser desativados se não forem mais usados. Antes de iniciar O servidor já deve estar configurado para autenticação do certificado cliente para que você possa desativar os certificados do servidor. Após o upload, o certificado de servidor só poderá ser desativado, não removido. Software McAfee epolicy Orchestrator Guia de produto 43

44 5 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente 1 Abra a página Configurações do servidor selecionando Menu Configuração Configurações do servidor. 2 Selecione Autenticação baseada em certificado e clique em Editar. 3 Desmarque Ativar autenticação baseada em certificado e clique em Salvar. As configurações do servidor foram alteradas, mas você deverá reiniciar o servidor para concluir a alteração de configuração. Configuração de usuários para autenticação de certificado Os usuários devem ter a autenticação de certificado configurada antes de poderem fazer a autenticação com seu certificado digital. Os certificados usados para autenticação de usuário são geralmente adquiridos com um cartão inteligente ou dispositivo similar. O software agregado com hardware de cartão inteligente pode extrair o arquivo de certificado. Esse arquivo de certificado extraído é normalmente o arquivo que sofreu upload nesse procedimento. 1 Clique em Menu Gerenciamento de usuários Usuários. 2 Selecione um usuário e clique em Ações Editar. 3 Selecione Alterar autenticação ou credenciais e, em seguida, selecione Autenticação baseada em certificado. 4 Use um destes métodos para fornecer credenciais. Copie o campo de nome diferenciado do arquivo de certificado e cole o na caixa de edição Campo de DN de assunto de certificado pessoal. Faça upload do arquivo de certificado que foi assinado com o certificado CA obtido por upload na seção Configuração da autenticação de certificado do epolicy Orchestrator. Clique em Procurar, navegue até o arquivo de certificado no seu computador, selecione o e clique em OK. Os certificados de usuário podem ter codificação PEM ou DER. O formato de certificado real não importa desde que esteja em conformidade com X.509 ou PKCS12. 5 Clique em Salvar para salvar as alterações na configuração do usuário. As informações de certificado fornecidas são verificadas e um aviso é enviado, caso sejam inválidas. Desse ponto em diante, quando o usuário tentar efetuar logon no epolicy Orchestrator de um navegador que tenha o certificado do usuário instalado, o formato do logon ficará acinzentado e o usuário será imediatamente autenticado. Atualização do arquivo de lista de certificados revogados É possível atualizar o arquivo de lista de certificados revogados instalado no servidor McAfee epo, para interromper o acesso a epolicy Orchestrator por usuários específicos. Antes de iniciar É necessário ter um arquivo de lista de certificados revogados no formato ZIP ou PEM. 44 Software McAfee epolicy Orchestrator Guia de produto

45 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente 5 O arquivo de lista de certificados revogados é uma lista de usuários epolicy Orchestrator revogados e do status do certificado digital. A lista inclui os certificados revogados, o(s) motivo(s) da revogação, as datas de emissão dos certificados e a entidade de emissão. Quando um usuário tenta acessar o servidor McAfee epo, o arquivo de lista de certificados revogados é verificado e isso permite ou nega acesso ao usuário. 1 Clique em Menu Configuração Configurações do servidor. 2 Selecione Autenticação baseada em certificado e clique em Editar. 3 Para atualizar o arquivo de Lista de certificados revogados, clique em Procurar ao lado dessa caixa de edição, navegue até o arquivo de lista de certificados revogados e clique em OK. 4 Clique em Salvar para salvar todas as alterações. 5 Reinicie o epolicy Orchestrator para ativar a autenticação de certificado. Também é possível usar a linha de comando curl, para atualizar o arquivo de lista de certificados revogados. Por exemplo, na linha de comando curl, digite: Para executar comandos curl a partir da linha de comando, é necessário ter o curl instalado e o acesso remoto ao servidor McAfee epo. Consulte o Guia de scripts do epolicy Orchestrator 5.0.0, para obter os detalhes para o download do curl e outros exemplos. curl k cert <admin_cert>.pem key <admin_key>.pem remote/console.cert.updatecrl.do F crlfile=@<crls>.zip Neste comando: <admin_cert> Nome do arquivo.pem do certificado de cliente do administrador <admin_key> Nome do arquivo.pem da chave privada de cliente do administrador <localhost>:<port> McAfee epo Nome do servidor e número da porta de comunicação <crls> Nome do arquivo de lista de certificados revogados no formato.pem ou.zip Agora o novo arquivo de lista de certificados revogados é verificado toda vez que o usuário acessa o servidor McAfee epo, para confirmar se a autenticação do certificado não foi revogada. Problemas com autenticação de certificados de cliente São poucas as causas possíveis da maioria dos problemas de autenticação com certificados. Se um usuário não conseguir efetuar logon no epolicy Orchestrator com o respectivo certificado, use uma das seguintes opções para resolver o problema: Verifique se o usuário não foi desativado. Verifique se o certificado não expirou ou foi revogado. Verifique se o certificado está assinado com a autoridade do certificado correta. Verifique se o campo de nome diferenciado (DN) está correto na página de configuração do usuário. Verifique se o navegador está fornecendo o certificado correto. Verifique se há mensagens de autenticação no registro de auditoria. Software McAfee epolicy Orchestrator Guia de produto 45

46 5 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente Certificados SSL Os navegadores compatíveis com o McAfee epo mostram um aviso sobre um certificado SSL do servidor, se não for possível verificar se o certificado é válido ou assinado por uma fonte confiável pelo navegador. Por padrão, o servidor McAfee epo usa um certificado autoassinado de comunicação SSL com o navegador da Web, no qual, por padrão, o navegador não confia. Isso faz com que uma mensagem de aviso seja exibida toda vez que você visita o console do McAfee epo. Para que essa mensagem de aviso não seja mais exibida, é necessário executar um dos procedimentos a seguir: Adicione o certificado de servidor do McAfee epo à coleção de certificados confiáveis usada pelo navegador. Isso deve ser feito para cada navegador que interage com o McAfee epo. Se o certificado do navegador for alterado, é necessário adicionar o certificado de servidor do McAfee epo novamente, pois o certificado enviado pelo servidor não corresponde mais com o que o navegador está configurado para usar. Substitua o certificado de servidor McAfee epo padrão por um certificado válido que foi assinado por uma autoridade do certificado (CA) na qual o navegador confia. Essa é a melhor opção. Como o certificado é assinado por uma CA confiável, não é necessário adicionar o certificado a todos os navegadores da Web em sua organização. Se o nome de host do servidor for alterado, é possível substituir o certificado de servidor por outro que também foi assinado por uma CA confiável. Para substituir o certificado de servidor do McAfee epo, é necessário antes obter o certificado de preferência, um certificado que foi assinado por uma CA confiável. Além disso, é necessário obter a chave privada do certificado e sua senha (se houver alguma). Em seguida, você pode usar todos os arquivos para substituir o certificado de servidor. Para obter mais informações sobre a substituição de certificados de servidor, consulte Chaves de segurança e como funcionam. O navegador do McAfee epo espera os arquivos vinculados para usar o seguinte formato: Certificado de servidor P7B ou PEM Chave privada PEM Se o certificado de servidor ou a chave privada não estiver nesses formatos, é necessário converter em um dos formatos compatíveis antes que possa ser usado para substituir o certificado de servidor. Substituição do certificado de servidor Você pode especificar o certificado de servidor e a chave privada usados pelo epolicy Orchestrator em Configurações do servidor. 1 Clique em Menu Configuração Configurações do servidor e, em seguida, clique em Certificado de servidor na lista Categorias de configurações. 2 Clique em Editar. A página Editar certificado de servidor será exibida. 3 Navegue até o arquivo do certificado de servidor e clique em Abrir. 4 Navegue até o arquivo da chave privada e clique em Abrir. 46 Software McAfee epolicy Orchestrator Guia de produto

47 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente 5 5 Se necessário, digite a senha da chave privada. 6 Clique em Salvar. Depois de aplicar o novo certificado e a chave privada, é necessário reiniciar o epolicy Orchestrator para que a alteração seja aplicada. Instalação de um certificado de segurança confiável para o navegador do McAfee epo Você pode instalar um certificado de segurança confiável para o navegador do McAfee epo para que o aviso de certificado de servidor não apareça toda vez que você efetuar logon. s Instalação do certificado de segurança ao usar o Internet Explorer na página 47 Você pode instalar o certificado de segurança ao utilizar versões compatíveis do Internet Explorer para que a caixa de diálogo de aviso não seja exibida toda vez que você efetuar logon. Instalação do certificado de segurança ao usar o Firefox 3.5 ou superior na página 48 Você pode instalar o certificado de segurança ao utilizar o Firefox 3.5 ou superior para que a caixa de diálogo de aviso não seja exibida toda vez que você efetuar logon. Instalação do certificado de segurança ao usar o Internet Explorer Você pode instalar o certificado de segurança ao utilizar versões compatíveis do Internet Explorer para que a caixa de diálogo de aviso não seja exibida toda vez que você efetuar logon. 1 No seu navegador, inicie o epolicy Orchestrator. Será exibida a página Erro do Certificado: Navegação bloqueada. 2 Clique em Continuar neste site (não recomendado) para abrir a página de logon. A barra de endereços está vermelha, indicando que o navegador não pode verificar o certificado de segurança. 3 À direita da barra de endereços, clique em Erro do Certificado para exibir o aviso Certificado Inválido. 4 Na parte inferior do aviso, clique em Exibir certificados para abrir a caixa de diálogo Certificado. Não clique em Instalar Certificado na guia Geral. Se fizer isso, o processo falhará. 5 Selecione a guia Caminho de Certificação, selecione Orion_CA_<nome do servidor> e clique em Exibir Certificado. Será aberta outra caixa de diálogo Certificado na guia Geral, exibindo as Informações sobre o certificado. 6 Clique em Instalar Certificado para abrir o Assistente para Importação de Certificados. 7 Clique em Avançar para especificar onde o certificado está armazenado. 8 Selecione Colocar todos os certificados no repositório a seguir e clique em Procurar para selecionar um local. 9 Selecione a pasta Autoridades de certificação raiz confiáveis na lista e clique em OK. Em seguida, clique em Avançar. 10 Clique em Concluir. Quando for exibido o Aviso de Segurança, clique em Sim. 11 Feche o navegador. Software McAfee epolicy Orchestrator Guia de produto 47

48 5 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente 12 Altere o destino do atalho da área de trabalho do epolicy Orchestrator para usar o nome NetBIOS do servidor epolicy Orchestrator, em vez de "localhost". 13 Reinicie o epolicy Orchestrator. Agora, quando você efetuar logon no epolicy Orchestrator, não será mais solicitado a aceitar o certificado. Instalação do certificado de segurança ao usar o Firefox 3.5 ou superior Você pode instalar o certificado de segurança ao utilizar o Firefox 3.5 ou superior para que a caixa de diálogo de aviso não seja exibida toda vez que você efetuar logon. 1 No seu navegador, inicie o epolicy Orchestrator. Será exibida a página Falha na conexão segura. 2 Clique em Ou você pode adicionar uma exceção na parte inferior da página. Agora a página exibe o botão Adicionar exceção. 3 Clique em Adicionar exceção. Será exibida a caixa de diálogo Adicionar exceção de segurança. 4 Clique em Verificar certificado. As informações de status de certificação são preenchidas, e o botão Confirmar exceção de segurança é ativado. 5 Verifique se a opção Salvar esta exceção permanentemente está selecionada e clique em Confirmar exceção de segurança. Agora, quando você efetuar logon no epolicy Orchestrator, não será mais solicitado a aceitar o certificado. Criação de um certificado autoassinado com OpenSSL Há momentos em que talvez não seja possível ou conveniente esperar que a autoridade de certificação autentique um certificado. Durante o teste inicial ou de sistemas usados em redes internas, um certificado autoassinado pode garantir a segurança e a funcionalidade básicas necessárias. Antes de iniciar Para criar um certificado autoassinado, é preciso instalar o software OpenSSL para Windows. O OpenSSL está disponível em: Para criar e autoassinar um certificado para usar com o servidor McAfee epo, use o software OpenSSL para Windows. Existem várias ferramentas para criar um certificado autoassinado. Esta tarefa descreve o processo de utilização do OpenSSL. A estrutura de arquivos usadas na tarefa é: O OpenSSL não cria essas pastas por padrão. Elas são usadas nos exemplos e podem ser criadas para ajudá lo a encontrar os arquivos de saída. C:\ssl\ Pasta de instalação do OpenSSL C:\ssl\certs\ Usada para armazenar os certificados criados 48 Software McAfee epolicy Orchestrator Guia de produto

49 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente 5 C:\ssl\keys\ Usada para armazenar as chaves criadas C:\ssl\requests\ Usada para armazenar as solicitações de certificação criadas 1 Para gerar a chave de certificado inicial, digite o comando a seguir na linha de comando: C:\ssl\bin>openssl genrsa des3 out C:/ssl/keys/ca.key 1024 A tela a seguir é exibida. 2 Insira uma senha no prompt de comando inicial e confirme a no segundo prompt. Anote a senha especificada. Ela será necessária posteriormente no processo. Os nomes de arquivo ca.key são gerados e armazenados no caminho C:\ssl\keys\. A chave assemelha se ao exemplo a seguir. 3 Para autoassinar a chave de certificado que você criou, digite este comando na linha de comando: openssl req new x509 days 365 key C:/ssl/keys/ca.key out C:/ssl/certs/ca.cer A tela a seguir é exibida. Software McAfee epolicy Orchestrator Guia de produto 49

50 5 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente Digite as informações necessárias após os seguintes prompts de comando: Country Name (2 letter code) [AU]: (Nome do país (código de duas letras) [AU]) State or Province Name (full name) [Some State]: (Nome do Estado ou Província (nome completo) [Qualquer Estado]) Locality Name (eg, city) []: (Nome da localidade (p.ex., cidade) []) Organization Name (eg, company) [Internet Widgits Pty Ltd]: (Nome da organização (p.ex.: empresa) [Internet Widgits Cia. Ltda.]) Organizational Unit Name (eg, section) []: (Nome da unidade organizacional (p.ex.: seção) []) Common Name (eg, YOUR name) []: (Nome comum (p.ex.: SEU nome) []) Nesse prompt de comando, digite o nome do servidor; por exemplo, o nome do seu servidor McAfee epo. Address []: (Endereço de e mail []) O arquivo chamado ca.ce é gerado e armazenado no caminho C:\ssl\certs\. O certificado autoassinado assemelha se ao exemplo a seguir. Para ter um de outro fornecedor, por exemplo, Autoridade de Certificação Corporativa da VeriSign ou do Microsoft Windows, crie um certificado assinado para o epolicy Orchestrator, consulte o artigo da KnowledgeBase KB Software McAfee epolicy Orchestrator Guia de produto

51 Contas e conjuntos de permissões do usuário Autenticação do certificado de cliente 5 4 Para fazer upload e gerenciar o certificado no servidor epolicy Orchestrator, consulte Configuração do epolicy Orchestrator para autenticação de certificado. Outros comandos úteis do OpenSSL Você pode usar outros comandos do OpenSSL para extrair e combinar as chaves nos certificados PKCS12 gerados e para converter uma arquivo PEM de chave privada protegido por senha em um arquivo não protegido por senha. Comandos para usar com certificados PKCS12 Use os comandos a seguir para criar um certificado PKCS12 com o certificado e a chave em um arquivo. Descrição Crie um certificado e uma chave em um arquivo Exporte a versão de PKCS12 do certificado Formato do comando do OpenSSL openssl req x509 nodes days 365 newkey rsa:1024 config path\openssl.cnf keyout path\pkcs12example.pem out path \pkcs12example.pem openssl pkcs12 export out path\pkcs12example.pfx in path \pkcs12example.pem name "user_name_string" Use os comandos a seguir para separar o certificado e a chave de um certificado PKCS12 que os combina. Descrição Formato do comando do OpenSSL Extrai a chave.pem do.pfx openssl pkcs12 in pkcs12examplekey.pfx out pkcs12examplekey.pem Remove a senha na chave openssl rsa in pkcs12examplekey.pem out pkcs12examplekeynopw.pem O epolicy Orchestrator pode usar pkcs12examplecert.pem como certificado e pkcs12examplekey.pem como chave (ou a chave sem senha pkcs12examplekeynopw.pem). Comando para converter um arquivo PEM de chave privada protegido por senha Para converter um arquivo PEM de chave privada protegido por senha em um arquivo não protegido por senha, digite: openssl rsa in C:\ssl\keys\key.pem out C:\ssl\keys\keyNoPassword.pem No exemplo anterior, "C:\ssl\keys" é o caminho de entrada e saída para os nomes de arquivo "key.pem" e "keynopassword.pem". Conversão de um arquivo PVK em um arquivo PEM O navegador do epolicy Orchestrator aceita chaves privadas com codificação PEM. Isso inclui chaves privadas protegidas por senha e não protegidas por senha. Usando o OpenSSL, é possível converter uma chave com formatação PVK em uma com formato PEM. Antes de iniciar Para converter o arquivo com formatação PVK, instale o software OpenSSL para Windows. Está disponível em: Usando o software OpenSSL para Windows, converta o certificado em formato PVK em formato PEM. Software McAfee epolicy Orchestrator Guia de produto 51

52 5 Contas e conjuntos de permissões do usuário Conjuntos de permissões 1 Para converter um arquivo PVK criado anteriormente em um arquivo PEM, digite o seguinte na linha de comando: openssl rsa inform PVK outform PEM in C:\ssl\keys\myPrivateKey.pvk out C:\ssl \keys\myprivatekey.pem passin pass:p@$$w0rd passout pass:p@$$w0rd No exemplo, os argumentos " passin" e " passout" são opcionais. 2 Se solicitado, digite a senha usada quando criou o arquivo PVK. Se o argumento " passout" não for usado no exemplo anterior, a chave com formatação PEM recém criada não será protegida por senha. Conjuntos de permissões Os conjuntos de permissões controlam o nível de acesso dos usuários aos recursos disponíveis no software. Até mesmo as menores instalações do epolicy Orchestrator precisam especificar e controlar o acesso que os usuários têm a diferentes partes do sistema. Conteúdo Como os usuários, grupos e conjuntos de permissões interagem Trabalho com conjuntos de permissões Como os usuários, grupos e conjuntos de permissões interagem O acesso a itens no epolicy Orchestrator é controlado por interações entre usuários, grupos e conjuntos de permissões. Usuários Os usuários são divididos em duas categorias gerais. São administradores, com direitos completos em todo o sistema, ou são usuários comuns. É possível atribuir vários conjuntos de permissões a usuários comuns para definir seus níveis de acesso no epolicy Orchestrator. As contas de usuário podem ser criadas e gerenciadas de várias maneiras. É possível: Criar contas de usuário manualmente e atribuir cada conta a um conjunto de permissões apropriado. Configurar o servidor epolicy Orchestrator para permitir que os usuários efetuem logon usando a autenticação do Windows. Permitir que os usuários efetuem logon usando as credenciais do Windows é um recursos avançado que requer a configuração e definição de várias configurações e componentes. Para obter mais informações sobre essa opção, consulte Gerenciamento de usuários do epolicy Orchestrator com o Active Directory. Embora as contas de usuários e os conjuntos de permissões estejam estreitamente relacionados, eles são criados e configurados em etapas separadas. Para obter mais informações sobre os conjuntos de permissões, consulte Gerenciar conjuntos de permissões. Administradores 52 Software McAfee epolicy Orchestrator Guia de produto

53 Contas e conjuntos de permissões do usuário Conjuntos de permissões 5 Os administradores têm permissões de leitura e gravação e direitos a todas as operações. Ao instalar o servidor, uma conta de administrador é criada automaticamente. Por padrão, o nome do usuário para essa conta é admin. Se o valor padrão for alterado durante a instalação, essa conta será nomeada de acordo. Você pode criar contas de administrador adicionais para pessoas que precisam de direitos de administrador. As permissões exclusivas para administradores incluem: Criar, editar e excluir sites de origem e reserva. Alterar configurações do servidor. Adicionar e excluir contas de usuário. Adicionar, excluir e atribuir conjuntos de permissões. Importar eventos para os bancos de dados do epolicy Orchestrator e limitar os eventos que são armazenados ali. Grupos As consultas e relatórios são atribuídos a grupos. Cada grupo pode ser privado (somente para esse usuário), globalmente público (ou "compartilhado") ou compartilhado com um ou mais conjuntos de permissões. Conjuntos de permissões Um perfil de acesso específico é definido em um conjunto de permissões. Em geral, isso envolve uma combinação de níveis de acesso a várias partes do epolicy Orchestrator. Por exemplo, um único conjunto de permissões pode conceder a capacidade de ler o registro de auditoria, usar dashboards públicos e compartilhados, além de criar e editar consultas ou relatórios públicos. É possível atribuir conjuntos de permissões a usuários específicos ou, se você estiver usando o Active Directory, a todos os usuários de servidores Active Directory específicos. Trabalho com conjuntos de permissões É possível controlar o acesso de usuários, criar e modificar conjuntos de permissões da página Conjuntos de permissões. s Gerenciamento de conjuntos de permissões na página 53 Você pode controlar os conjuntos de permissão de acessar, criar, modificar, exportar e importar dos usuários na página Conjuntos de permissão. Exportação e importação de conjuntos de permissões na página 55 Depois que você definir totalmente os seus conjuntos de permissões, a maneira mais rápida de migrá los para outros servidores McAfee epo é exportá los e importá los para outros servidores. Gerenciamento de conjuntos de permissões Você pode controlar os conjuntos de permissão de acessar, criar, modificar, exportar e importar dos usuários na página Conjuntos de permissão. Depois que você definir totalmente os seus conjuntos de permissões, a maneira mais rápida de migrá los para outros servidores epolicy Orchestrator é exportá los e importá los em outros servidores. Software McAfee epolicy Orchestrator Guia de produto 53

54 5 Contas e conjuntos de permissões do usuário Conjuntos de permissões 1 Para abrir a página do conjunto de permissões, clique em Menu Gerenciamento de usuários Conjuntos de permissões. 2 Selecione uma destas ações. Ação Criar um novo conjunto de permissões. Etapas 1 Clique em Ações Novo. 2 Digite um nome para o novo conjunto de permissões. O epolicy Orchestrator não permite que você use um nome já existente. Cada nome de conjunto de permissões deve ser exclusivo. 3 Se você quiser atribuir imediatamente usuários específicos a esse conjunto de permissões, selecione os nomes do usuário na seção Usuários. 4 Se houver algum grupo do Active Directory cujos usuários você deseje mapear para esse conjunto de permissões, selecione o servidor na lista Nome do servidor e clique em Adicionar. 5 Se você desejar remover algum servidor do Active Directory adicionado, selecione o na caixa de listagem do Active Directory e clique em Remover. 6 Clique em Salvar para criar o conjunto de permissões. A essa altura, você criou o conjunto de permissões, mas ainda não atribuiu permissões a ele. Modificar um conjunto de permissões existente. 1 Selecione um conjunto de permissões para modificação. Seus detalhes serão exibidos à direita. Se você tiver acabado de criar um novo conjunto de permissões, ele já estará selecionado. 2 Para selecionar uma categoria de permissões para modificação, clique em Editar na linha dessa categoria. Serão exibidas as opções apropriadas à categoria de permissões selecionada. 3 Altere as permissões conforme desejar e clique em Salvar. Isso confirmará as alterações do conjunto de permissões no banco de dados. Não será necessário clicar em um botão Salvar quando você concluir a modificação do conjunto de permissões. As alterações são salvas automaticamente quando você modifica cada categoria. As alterações que você faz se refletem imediatamente no sistema e se propagam para o restante da rede de acordo com a sua configuração de políticas. Duplicar conjunto de permissões. 1 Selecione um conjunto de permissões para duplicar na lista Conjuntos de permissões e clique em Ações Duplicar. 2 Digite um novo nome para o conjunto de permissões duplicado. Por padrão, o epolicy Orchestrator acrescenta (cópia) ao nome existente. O epolicy Orchestrator não permite que você use um nome já existente. Cada nome de conjunto de permissões deve ser exclusivo. 3 Clique em OK. O conjunto de permissões é duplicado, mas o original continuará selecionada na lista Conjuntos de permissões. 54 Software McAfee epolicy Orchestrator Guia de produto

55 Contas e conjuntos de permissões do usuário Conjuntos de permissões 5 Ação Excluir conjunto de permissões. Exporte o conjunto de permissões. Etapas 1 Selecione o conjunto de permissões que deseja excluir na lista Conjuntos de permissões. Seus detalhes serão exibidos à direita. 2 Clique em Ações Excluir e em OK no painel Ações. O conjunto de permissões não será mais exibido na lista Conjuntos de permissões. 1 Selecione os conjuntos de permissões que você deseja exportar. 2 Clique em Ações em conjuntos de permissões Exportar tudo. O servidor McAfee epo envia um arquivo XML ao seu navegador. O que acontecerá em seguida vai depender das configurações do seu navegador. Por padrão, a maioria dos navegadores solicitará que você salve o arquivo. O arquivo XML contém somente perfis com algum nível de permissão definido. Se, por exemplo, determinado conjunto de permissões não tiver permissões para consultas e relatórios, nenhuma entrada será exibida no arquivo. Importe o conjunto de permissões. 1 Selecione os conjuntos de permissões que você deseja importar. 2 Clique em Procurar para navegar até o arquivo XML que contém o conjunto de permissões que você deseja importar e selecioná lo. 3 Indique se você deseja ou não manter conjuntos de permissões com o mesmo nome que um conjunto importado selecionando a opção apropriada. Clique em OK. Se o epolicy Orchestrator não localizar um conjunto de permissões válido no arquivo indicado, será exibida uma mensagem de erro, e o processo de importação será interrompido. Os conjuntos de permissões serão adicionados ao servidor e exibidos na lista Conjuntos de permissões. Exportação e importação de conjuntos de permissões Depois que você definir totalmente os seus conjuntos de permissões, a maneira mais rápida de migrá los para outros servidores McAfee epo é exportá los e importá los para outros servidores. 1 Para abrir a página do conjunto de permissões, clique em Menu Gerenciamento de usuários Conjuntos de permissões. 2 Selecione uma destas ações. Software McAfee epolicy Orchestrator Guia de produto 55

56 5 Contas e conjuntos de permissões do usuário Conjuntos de permissões Ação Exporte o conjunto de permissões. Etapas 1 Selecione os conjuntos de permissões que você deseja exportar. 2 Clique em Ações em conjuntos de permissões Exportar tudo. O servidor McAfee epo envia um arquivo XML ao seu navegador. O que acontecerá em seguida vai depender das configurações do seu navegador. Por padrão, a maioria dos navegadores solicitará que você salve o arquivo. O arquivo XML contém somente perfis com algum nível de permissão definido. Se, por exemplo, determinado conjunto de permissões não tiver permissões para consultas e relatórios, nenhuma entrada será exibida no arquivo. Importe o conjunto de permissões. 1 Selecione os conjuntos de permissões que você deseja importar. 2 Clique em Procurar para navegar até o arquivo XML que contém o conjunto de permissões que você deseja importar e selecioná lo. 3 Indique se você deseja ou não manter conjuntos de permissões com o mesmo nome que um conjunto importado selecionando a opção apropriada. Clique em OK. Se o epolicy Orchestrator não localizar um conjunto de permissões válido no arquivo indicado, será exibida uma mensagem de erro, e o processo de importação será interrompido. Os conjuntos de permissões serão adicionados ao servidor e exibidos na lista Conjuntos de permissões. 56 Software McAfee epolicy Orchestrator Guia de produto

57 6 Repositórios Os repositórios abrigam seus pacotes de software de segurança e atualizações para distribuição aos sistemas gerenciados. A eficiência do software de segurança depende das últimas atualizações instaladas. Por exemplo, se os arquivos DAT estiverem desatualizados, mesmo o melhor software antivírus não poderá detectar novas ameaças. É fundamental que você desenvolva uma estratégia de atualização robusta para manter o software de segurança o mais atualizado possível. A arquitetura de repositório do epolicy Orchestrator oferece a flexibilidade para garantir que a distribuição e a atualização de software sejam tão fáceis e automatizadas quanto seu ambiente permitir. Após a infraestrutura de repositórios ser estabelecida, crie tarefas de atualização que determinem como, onde e quando o software será atualizado. Conteúdo Tipos de repositório e suas funções Como os repositórios funcionam em conjunto Configuração de repositórios pela primeira vez Gerenciamento de sites de origem e reserva Verificação de acesso ao site de origem Definição de configurações para atualizações globais Uso de SuperAgents como repositórios distribuídos Criação e configuração de repositórios em servidores FTP ou HTTP e compartilhamentos UNC Uso de repositórios distribuídos locais que não são gerenciados Trabalho com arquivos de lista de repositórios Alteração de credenciais em vários repositórios distribuídos Tipos de repositório e suas funções Para fornecer produtos e atualizações por meio da rede, o software epolicy Orchestrator oferece vários tipos de repositórios que criam uma infraestrutura robusta de atualização. Esses repositórios proporcionam flexibilidade para desenvolver uma estratégia de atualização a fim de garantir que seus sistemas sempre permaneçam atualizados. Repositório principal O repositório principal mantém as versões mais recentes de softwares de segurança e atualizações para o seu ambiente. Esse repositório é a origem para o restante do ambiente. Por padrão, o epolicy Orchestrator usa as configurações de proxy do Microsoft Internet Explorer. Software McAfee epolicy Orchestrator Guia de produto 57

58 6 Repositórios Tipos de repositório e suas funções Repositórios distribuídos Cópias de host dos repositórios distribuídos do conteúdo do repositório principal. Considere o uso de repositórios distribuídos e coloque os em toda a rede estrategicamente, para garantir que os sistemas gerenciados estão atualizados enquanto o tráfego de rede é reduzido, especialmente em conexões lentas. Conforme você atualiza o repositório principal, o epolicy Orchestrator replica o conteúdo nos repositórios distribuídos. A replicação poderá ocorrer: Automaticamente, quando os tipos de pacote especificados forem verificados no repositório principal, desde que a atualização global esteja ativada. Em uma programação recorrente com tarefas de replicação. Manualmente, executando a tarefa Replicar agora. Uma grande organização poderá ter vários locais com conexões de largura de banda limitada entre eles. Repositórios distribuídos ajudam a reduzir o tráfego de atualizações em conexões de baixa largura de banda ou em sites remotos com um grande número de sistemas clientes. Se você criar um repositório distribuído no local remoto e configurar os sistemas no local para atualizar a partir do repositório distribuído, as atualizações serão copiadas na conexão lenta somente uma vez no repositório distribuído em vez de uma vez em cada sistema no local remoto. Se a atualização global for ativada, os repositórios distribuídos atualizam os sistemas gerenciados automaticamente, assim que as atualizações e pacotes selecionados são verificados no repositório principal. As tarefas de atualização não são necessárias. No entanto, é necessário executar o SuperAgents no seu ambiente, se desejar a atualização automática. É necessário criar e configurar repositórios e as tarefas de atualização. Se os repositórios distribuídos forem configurados para replicar somente pacotes selecionados, o pacote recém incluído será replicado por padrão. Para evitar a replicação de um pacote recém incluído, cancele a seleção dele em cada repositório distribuído ou desative a tarefa de replicação antes de incluir o pacote. Para obter informações adicionais, consulte Prevenção de replicação de pacotes selecionados e Desativação de replicação de pacotes selecionados. Não configure repositórios distribuídos para consultar o mesmo diretório que o repositório principal. Isso faz com que os arquivos no repositório principal sejam bloqueados pelos usuários do repositório distribuído, o que pode provocar falhas de pulls e inclusões de pacotes, bem como deixar o repositório principal em estado inutilizável. Site de origem O site de origem oferece todas as atualizações do repositório principal. O site de origem padrão é o site de atualização McAfeeHttp, mas é possível alterar o site de origem ou criar vários sites de origem, caso seja necessário. A McAfee recomenda usar os sites de atualização McAfeeHttp ou McAfeeFtp como site de origem. Os sites de origem não são necessários. É possível fazer download de atualizações manualmente e verificá las no repositório principal. No entanto, o uso de um site de origem automatiza o processo. A McAfee posta atualizações de software nesses sites regularmente. Por exemplo, os arquivos DAT são postados diariamente. Atualize o repositório principal com atualizações, conforme estiverem disponíveis. Use tarefas de pull para copiar conteúdo de sites de origem para o repositório principal. 58 Software McAfee epolicy Orchestrator Guia de produto

59 Repositórios Tipos de repositório e suas funções 6 Os sites de atualização da McAfee oferecem atualizações para definição de detecção (DAT) e arquivos de mecanismo de varredura, bem como alguns pacotes de idioma. É necessário incluir todos os outros pacotes e atualizações, incluindo os pacotes de serviço e patches, no repositório principal manualmente. Site de reserva O site de reserva é um site de origem que foi ativado como site de backup do qual sistemas gerenciados podem recuperar atualizações, quando os repositórios usuais estão inacessíveis. Por exemplo, quando ocorrerem interrupções de rede ou epidemias de vírus, o acesso ao local estabelecido poderá ser dificultado. Portanto, os sistemas gerenciados poderão permanecer atualizados nessas situações. O site de reserva padrão é o site de atualização McAfeeHttp. É possível ativar somente um site de reserva. Se os sistemas gerenciados usarem um servidor proxy para acessar a Internet, é necessário definir as configurações de política do agente desses sistemas, a fim de usar os servidores proxy ao acessar esse site de reserva. Tipos de repositórios distribuídos O software epolicy Orchestrator é compatível com quatro tipos de repositórios distribuídos. Leve em conta o ambiente e suas necessidades ao determinar qual tipo de repositório distribuído usar. Você não está limitado a usar um tipo e poderá precisar de vários, dependendo da rede. Repositórios do SuperAgent Use sistemas que hospedam SuperAgents como repositórios distribuídos. Os repositórios do SuperAgent têm várias vantagens em relação a outros tipos de repositórios distribuídos: Os locais de pasta são criados automaticamente no sistema host antes da adição do repositório à lista de repositórios. Os repositórios do SuperAgent não requerem replicação adicional ou credenciais de atualização as permissões de conta são criadas quando o agente é convertido em um SuperAgent. Embora a funcionalidade de chamadas de ativação de broadcast do SuperAgent exija um SuperAgent em cada segmento de broadcast, isso não é um requisito para a funcionalidade do repositório do SuperAgent. Os sistemas gerenciados precisam somente ter acesso ao sistema que hospeda o repositório. Repositórios FTP Você pode usar um servidor FTP para hospedar um repositório distribuído. Use um software de servidor FTP, como o Microsoft Internet Information Services (IIS), para criar uma nova pasta e local de site para o repositório distribuído. Consulte a documentação do servidor Web para obter detalhes. Repositórios HTTP Você pode usar um servidor HTTP para hospedar um repositório distribuído. Use um software de servidor HTTP, como o Microsoft IIS, para criar uma nova pasta e local de site para o repositório distribuído. Consulte a documentação do servidor Web para obter detalhes. Software McAfee epolicy Orchestrator Guia de produto 59

60 6 Repositórios Tipos de repositório e suas funções Repositórios de compartilhamento UNC Você pode criar uma pasta compartilhada UNC para hospedar um repositório distribuído em um servidor existente. Não deixe de ativar o compartilhamento da pasta em toda a rede, de forma que o servidor McAfee epo possa copiar arquivos nela e os agentes possam acessá la para obter atualizações. As permissões corretas devem ser configuradas para acessar a pasta. Repositórios não gerenciados Se não for possível usar repositórios distribuídos gerenciados, os administradores do epolicy Orchestrator poderão criar e manter repositórios distribuídos que não sejam gerenciados pelo epolicy Orchestrator. Se um repositório distribuído não for gerenciado pelo epolicy Orchestrator, um administrador local deverá manter os arquivos distribuídos atualizados manualmente. Após o repositório distribuído ser criado, use o epolicy Orchestrator para configurar sistemas gerenciados de um grupo específico na árvore de sistemas para atualizá lo. Consulte Ativação do agente em produtos não gerenciados da McAfee para que funcionem com o epolicy Orchestrator a respeito da configuração de sistemas não gerenciados. A McAfee recomenda que você gerencie todos os repositórios distribuídos pelo epolicy Orchestrator. Isso em conjunto com o uso frequente de tarefas de atualização global ou de replicação programada garante que os ambientes gerenciados sejam atualizados. Use repositórios distribuídos não gerenciados somente se a rede ou a política organizacional não permitirem repositórios distribuídos gerenciados. Ramificações em repositório e seus objetivos Você pode usar as três epolicy Orchestrator ramificações em repositório para manter até três versões dos pacotes nos repositórios principais e distribuídos. As ramificações em repositório são atual, anterior e de avaliação. Por padrão, o epolicy Orchestrator usa somente a ramificação atual. É possível especificar ramificações ao adicionar pacotes ao repositório principal. Também é possível especificar ramificações ao executar ou programar tarefas de atualização e distribuição, a fim de distribuir diferentes versões em outras partes da rede. s de atualização podem recuperar atualizações de qualquer ramificação do repositório, mas é necessário selecionar uma ramificação que não seja a ramificação Atual ao incluir pacotes no repositório principal. Se uma ramificação não atual não estiver configurada, a opção para selecionar uma ramificação que não seja a atual não será exibida. Para usar as ramificações de avaliação e anterior dos pacotes que não sejam atualizações, é necessário definir nas configurações do servidor de Pacotes de repositório. A versão 3.6 e versões anteriores do agente podem recuperar pacotes de atualização somente das ramificações de avaliação e anterior. Ramificação atual A ramificação atual é a principal ramificação em repositório dos pacotes e atualizações mais recentes. Os pacotes de distribuição de produtos podem ser adicionados somente à ramificação atual, a menos que a compatibilidade com outras ramificações tenha sido ativada. 60 Software McAfee epolicy Orchestrator Guia de produto

61 Repositórios Tipos de repositório e suas funções 6 Ramificação de avaliação Talvez você deseje testar as novas atualizações de DAT e de mecanismo com um pequeno número de segmentos de rede ou sistemas antes de distribuí los em toda a organização. Especifique a ramificação de avaliação ao incluir novos DATs e mecanismos no repositório principal e, em seguida, distribua os para um pequeno número de sistemas de teste. Depois de monitorar os sistemas de teste por várias horas, é possível adicionar novos DATs à ramificação atual e distribuí los em toda a organização. Ramificação anterior Use a ramificação anterior para salvar e armazenar arquivos DAT e de mecanismo anteriores antes de adicionar novos à ramificação atual. Caso encontre um problema com os novos arquivos DAT e de mecanismo em seu ambiente, você tem uma cópia da versão anterior que pode redistribuir para os sistemas, se for necessário. O epolicy Orchestrator salva somente a versão anterior mais imediata de cada tipo de arquivo. É possível preencher a ramificação anterior selecionando Mover pacotes existentes para a ramificação anterior ao adicionar novos pacotes ao repositório principal. A opção está disponível ao efetuar pull de atualizações de um site de origem e ao incluir pacotes manualmente na ramificação atual. Arquivo da lista de repositórios e seus usos Os arquivos da lista de repositórios (SiteList.xml e SiteMgr.xml) contêm os nomes de todos os repositórios que está gerenciando. A lista de repositórios inclui o local e as credenciais criptografadas da rede que os sistemas gerenciados usam para selecionar o repositório e recuperar atualizações. O servidor envia a lista de repositórios ao agente durante a comunicação agente servidor. Caso seja necessário, é possível exportar a lista de repositórios aos arquivos externos (SiteList.xml ou SiteMgr.xml). Use o arquivo SiteList.xml exportado para: Importar para um agente durante a instalação Usar o arquivo SiteMgr.xml exportado para: Fazer backup e restaurar os repositórios distribuídos e os sites de origem, caso seja necessário reinstalar o servidor. Importar os repositórios distribuídos e os sites de origem de uma instalação anterior do software epolicy Orchestrator. Software McAfee epolicy Orchestrator Guia de produto 61

62 6 Repositórios Como os repositórios funcionam em conjunto Como os repositórios funcionam em conjunto Os repositórios funcionam em conjunto no seu ambiente para fornecer atualizações e software aos sistemas gerenciados. Dependendo do tamanho e da distribuição geográfica da sua rede, talvez você precise de repositórios distribuídos. Figura 6-1 Sites e repositórios que entregam pacotes a sistemas 1 O repositório principal efetua regularmente o pull de arquivos de atualização de DAT e mecanismo do site de origem. 2 O repositório principal replica os pacotes para repositórios distribuídos na rede. 3 Os sistemas gerenciados na rede recuperam atualizações de um repositório distribuído. Se os sistemas gerenciados não puderem acessar os repositórios distribuídos ou o repositório principal, eles recuperarão atualizações do site de reserva. Configuração de repositórios pela primeira vez Siga essas etapas de alto nível ao criar os repositórios pela primeira vez. 1 Decida quais tipos de repositórios usar e seus locais. 2 Crie e preencha os repositórios. Gerenciamento de sites de origem e reserva É possível alterar os sites de origem e reserva padrão nas Configurações do servidor. Por exemplo, é possível editar configurações, excluir sites de origem e reserva existentes ou alternar entre eles. É preciso ser administrador ou ter as permissões apropriadas para definir, alterar ou excluir sites de origem ou reserva. A McAfee recomenda o uso dos sites de origem e reserva padrão. Se você precisar de sites diferentes para esse fim, poderá criar novos. Criação de sites de origem Crie um novo site de origem em Configurações do servidor. 62 Software McAfee epolicy Orchestrator Guia de produto

63 Repositórios Gerenciamento de sites de origem e reserva 6 1 Clique em Menu Configuração Configurações do servidor e selecione Sites de origem. 2 Clique em Adicionar site de origem. O assistente do Construtor de sites de origem é exibido. 3 Na página Descrição, digite um nome de repositório exclusivo e selecione HTTP, UNC ou FTP e clique em Avançar. 4 Na página Servidor, forneça o endereço da Web e a informação de porta do site e clique em Avançar. Tipo de servidor HTTP ou FTP: Na lista suspensa URL, selecione Nome DNS, IPv4 ou IPv6 como o tipo de endereço de servidor e insira o endereço. Opção Nome DNS IPv4 IPv6 Definição Especifica o nome DNS do servidor. Especifica o endereço IPv4 do servidor. Especifica o endereço IPv6 do servidor. Insira o número da porta do servidor: o padrão FTP é 21; o padrão HTTP é 80. Tipo de servidor UNC: Insira o caminho do diretório de rede em que reside o repositório. Use este formato: \ \<COMPUTADOR>\<PASTA>. 5 Na página Credenciais, forneça as Credenciais de download usadas pelos sistemas gerenciados para se conectarem com esse repositório. Use credenciais com permissões somente leitura para o servidor HTTP, o servidor FTP ou o compartilhamento UNC que hospeda o repositório. Tipo de servidor HTTP ou FTP: Selecione Anônimo para usar uma conta de usuário desconhecida. Selecione FTP ou Autenticação HTTP (se o servidor exigir autenticação) e insira as informações da conta de usuário. Tipo de servidor UNC: Insira as informações de domínio e conta de usuário. 6 Clique em Testar credenciais. Após alguns segundos, uma mensagem de confirmação é exibida, declarando que o site está acessível aos sistemas usando informações de autenticação. Se as credenciais estiverem incorretas, verifique o seguinte: Nome do usuário e senha. URL ou caminho no painel anterior do assistente. Site HTTP, FTP ou UNC no sistema. 7 Clique em Avançar. 8 Revise a página Resumo e clique em Salvar para adicionar o site à lista. Software McAfee epolicy Orchestrator Guia de produto 63

64 6 Repositórios Verificação de acesso ao site de origem Alternância entre sites de origem e de reserva Use as Configurações do servidor para alterar os sites de origem e de reserva. Dependendo da configuração de sua rede, talvez você queira alterar os sites de origem e de reserva, se achar que a atualização de HTTP ou FTP funciona melhor. 1 Clique em Menu Configuração Configurações do servidor. 2 Selecione Sites de origem e clique em Editar. A página Editar sites de origem é exibida. 3 Na lista, localize o site que deseja definir como reserva e clique em Ativar reserva. Edição de sites de origem e reserva Use Configurações do servidor para editar as configurações de sites de origem e reserva, como endereço URL, número de porta e credenciais de autenticação de download. 1 Clique em Menu Configuração Configurações do servidor. 2 Selecione Sites de origem e clique em Editar. A página Editar sites de origem é exibida. 3 Localize o site na lista e clique no nome do site. O assistente Construtor de sites de origem é aberto. 4 Edite as configurações na página do assistente, conforme necessário, e clique em Salvar. Exclusão de sites de origem ou desativação de sites de reserva Se um site de origem ou de reserva não estiver mais em uso, exclua o ou desative o. 1 Clique em Menu Configuração Configurações do servidor. 2 Selecione Sites de origem e clique em Editar. A página Editar sites de origem é exibida. 3 Clique em Excluir ao lado do site de origem desejado. A caixa de diálogo Excluir site de origem é exibida. 4 Clique em OK. O site é removido da página Sites de origem. Verificação de acesso ao site de origem Você deve certificar se de que o repositório principal do epolicy Orchestrator, os sistemas gerenciados e o monitor de dashboard Ameaças de segurança do McAfee Labs possam acessar a Internet usando os sites McAfeeHttp e McAfeeFtp como sites de origem e reserva. Esta seção descreve as etapas para configurar o repositório principal do epolicy Orchestrator, o McAfee Agent e as Ameaças de segurança do McAfee Labs para conexão direta ou através do proxy com o site de download. A seleção padrão é Não usar o proxy. 64 Software McAfee epolicy Orchestrator Guia de produto

65 Repositórios Verificação de acesso ao site de origem 6 Definição de configurações de proxy Defina as configurações de proxy para efetuar pull de DATs a fim de atualizar os seus repositórios e atualizar as ameaças de segurança do McAfee Labs. 1 Clique em Menu Configuração Configurações do servidor. A página Configurações do servidor é exibida. 2 Na lista de categorias de configurações, selecione Configurações do proxy e clique em Editar. A página Editar configurações de proxy é exibida. 3 Selecione Definir as configurações de proxy manualmente. 4 Ao lado de Configurações do servidor proxy, selecione quando usar um servidor proxy para todas as comunicações ou diferentes servidores proxy para servidores proxy HTTP e FTP. Em seguida, digite o endereço IP ou o nome de domínio totalmente qualificado e o número da Porta do servidor proxy. Se você estiver usando os sites de origem e reserva padrão ou configurar outro site de origem HTTP e site de reserva FTP, configure as informações de autenticação do proxy HTTP e FTP aqui. 5 Ao lado de Autenticação de proxy, defina as configurações conforme apropriado, dependendo se você efetua pull de atualizações de repositórios HTTP, repositórios FTP ou de ambos. 6 Ao lado de Exclusões, selecione Ignorar endereços locais, especifique os repositórios distribuídos com os quais o servidor poderá se conectar diretamente digitando os endereços IP ou nome de domínio totalmente qualificado desses sistemas, separados por ponto e vírgula. 7 Clique em Salvar. Definição de configurações de proxy do McAfee Agent Defina as configurações de proxy que o McAfee Agent usa para conectar se ao site de download. 1 Clique em Menu Política Catálogo de políticas. Na lista Produto, clique em McAfee Agent e, na lista Categoria, selecione Repositório. Uma lista de agentes configurados para o servidor McAfee epo é exibida. 2 No agente Meu padrão, clique em Editar configurações. A página Editar configurações do agente Meu padrão é exibida. 3 Clique na guia Proxy. A página de Configurações de proxy é exibida. 4 Selecione Usar as configurações do Internet Explorer (somente para Windows) para sistemas Windows e selecione Permitir que o usuário defina as configurações de proxy, se apropriado. Há vários métodos para configurar o Internet Explorer para o uso com proxies. A McAfee fornece instruções para configuração e uso dos produtos da McAfee, mas não fornece instruções para produtos que não são da McAfee. Para obter informações sobre como definir configurações de proxy, consulte a Ajuda do Internet Explorer e Software McAfee epolicy Orchestrator Guia de produto 65

66 6 Repositórios Verificação de acesso ao site de origem 5 Selecione Definir as configurações de proxy manualmente para definir manualmente as configurações de proxy para o agente. 6 Digite o endereço IP ou o nome de domínio totalmente qualificado e o número da porta de origem HTTP ou FTP em que o agente obtém atualizações. Selecione Usar essas configurações para todos os tipos de proxy para tornar estas as configurações padrão para todos os tipos de proxy. 7 Selecione Especificar exceções para designar sistemas que não requerem acesso ao proxy. Use um ponto e vírgula para separar as exceções. 8 Selecione Usar autenticação proxy HTTP ou Usar autenticação proxy FTP e forneça um nome de usuário e credenciais. 9 Clique em Salvar. Definição de configurações de proxy para ameaças de segurança do McAfee Labs Se você não estiver usando as configurações padrão do servidor epolicy Orchestrator, defina as configurações do proxy para as Ameaças de segurança do McAfee Labs. 1 Clique em Menu Configuração Configurações do servidor. 2 Selecione Configurações de proxy e clique em Editar. A página Editar configurações de proxy é exibida. 3 Selecione Definir as configurações de proxy manualmente. 4 Ao lado de Configurações do servidor proxy, selecione quando usar um servidor proxy para todas as comunicações ou diferentes servidores proxy para servidores proxy HTTP e FTP. Em seguida, digite o endereço IP ou o nome de domínio totalmente qualificado e o número da Porta do servidor proxy. Se você estiver usando os sites de origem e reserva padrão ou configurar outro site de origem HTTP e site de reserva FTP, configure as informações de autenticação do proxy HTTP e FTP aqui. 5 Ao lado de Autenticação de proxy, defina as configurações conforme apropriado, dependendo se você efetua pull de atualizações de repositórios HTTP, repositórios FTP ou de ambos. 6 Ao lado de Exclusões, selecione Ignorar endereços locais e especifique quaisquer repositórios distribuídos aos quais o servidor pode se conectar diretamente digitando os endereços IP ou nome de domínio totalmente qualificado desses sistemas, separados por ponto e vírgula. 7 Clique em Salvar. 66 Software McAfee epolicy Orchestrator Guia de produto

67 Repositórios Definição de configurações para atualizações globais 6 Definição de configurações para atualizações globais As atualizações globais automatizam a replicação de repositórios na rede. É possível usar a configuração do servidor de atualização global para definir o conteúdo que será distribuído nos repositórios durante uma atualização global. As atualizações globais são desativadas por padrão. No entanto, a McAfee recomenda que você as ative e use como parte de sua estratégia de atualização. Você pode especificar um intervalo de aleatorização e os tipos de pacote a serem distribuídos durante a atualização. O intervalo de aleatorização especifica o período para a atualização de todos os sistemas. A atualização dos sistemas é feita aleatoriamente no intervalo especificado. 1 Clique em Menu Configuração Configurações do servidor, selecione Atualização global em Categorias de configurações e clique em Editar. 2 Defina o status como Ativado e especifique um Intervalo de aleatorização entre 0 e minutos. 3 Especifique quais Tipos de pacote incluir nas atualizações globais: Todos os pacotes Selecione esta opção para incluir todos os mecanismos e assinaturas e todos os patches e service packs. Pacotes selecionados Selecione esta opção para limitar mecanismos, assinaturas, patches e service packs incluídos na atualização global. Na utilização da atualização global, a McAfee recomenda programar uma tarefa de pull regular (para atualizar o repositório principal) para um horário em que o tráfego de rede for mínimo. Embora a atualização global seja muito mais rápida do que outros métodos, ela aumenta o tráfego de rede durante a atualização. Para obter mais informações sobre como fazer atualizações globais, consulte Atualização global em Distribuição e atualização do produto. Uso de SuperAgents como repositórios distribuídos Crie e configure repositórios distribuídos em sistemas que hospedam SuperAgents. Os SuperAgents podem diminuir o tráfego de rede. Para converter um agente em SuperAgent, ele deve fazer parte de um domínio do Windows. Criação de repositórios distribuídos do SuperAgent Para criar um repositório do SuperAgent, o sistema desejado deve ter um McAfee epo Agent instalado e em execução. A McAfee recomenda o uso dos repositórios do SuperAgent com a atualização global. Esta tarefa presume que você saiba onde os sistemas desejados ficam localizados na Árvore de sistemas. A McAfee recomenda que você crie uma marca SuperAgent para que possa localizar facilmente os sistemas com a página Catálogo de marcas ou através de uma consulta. 1 No console do epo, clique em Menu Política Catálogo de políticas. Na lista Produto, clique em McAfee Agent e, na lista Categoria, selecione Geral. É exibida uma lista de políticas de categorias gerais disponível para uso no servidor epolicy Orchestrator. Software McAfee epolicy Orchestrator Guia de produto 67

68 6 Repositórios Uso de SuperAgents como repositórios distribuídos 2 Crie uma nova política, duplique uma já existente ou abra uma já aplicada aos sistemas que hospedam um SuperAgent onde você deseja hospedar repositórios do SuperAgent. 3 Selecione a guia Geral e verifique se a opção Converter os agentes em SuperAgents (somente para Windows) está marcada. 4 Selecione Usar sistemas executando SuperAgents como repositórios distribuídos e digite um caminho de pasta para o repositório. Esse é o local para onde o repositório principal copia as atualizações durante a replicação. É possível usar as variáveis padrão do Windows, como <PROGRAM_FILES_DIR>. Todos os arquivos solicitados ao sistema do agente são utilizados neste local, com o servidor Web HTTP interno do agente. 5 Clique em Salvar. 6 Atribua essa política a cada sistema que você desejar que hospede um repositório do SuperAgent. Da próxima vez que o agente fizer uma chamada para o servidor, a nova política será recuperada. Se você não quiser aguardar pelo próximo intervalo de comunicação agente servidor, poderá enviar uma chamada de ativação do agente para os sistemas. Quando o repositório distribuído for criado, a pasta especificada será criada no sistema, se já não existir. Além disso, o local na rede será adicionado à lista de repositórios do arquivo SiteList.xml. Isso disponibilizará o site para atualização dos sistemas em todo o seu ambiente gerenciado. Replicação de pacotes em repositórios do SuperAgent Selecione quais pacotes específicos do repositório serão replicados em repositórios distribuídos. 1 Clique em Menu Software Repositórios distribuídos. Uma lista de todos os repositórios distribuídos será exibida. 2 Localize e clique no repositório do SuperAgent desejado. O assistente Construtor de repositórios distribuídos é aberto. 3 Na página Tipos de pacote, selecione os tipos de pacote desejados. Verifique se todos os pacotes necessários pelo sistema gerenciado que está usando o repositório está selecionado. Sistemas gerenciados vão para um repositório de todos os pacotes a tarefa falha nos sistemas que esperam localizar um tipo de pacote não presente. Esse recurso garante que os pacotes usados somente por poucos sistemas não sejam replicados em todo o ambiente. 4 Clique em Salvar. Exclusão de repositórios distribuídos do SuperAgent Remova os repositórios distribuídos do SuperAgent do sistema host e da lista de repositórios (SiteList.xml). As novas configurações entrarão em vigor durante a próxima comunicação agente servidor. 68 Software McAfee epolicy Orchestrator Guia de produto

69 Repositórios Criação e configuração de repositórios em servidores FTP ou HTTP e compartilhamentos UNC 6 1 No console do epolicy Orchestrator, clique em Menu Política Catálogo de políticas e clique no nome da política do SuperAgent que você deseja modificar. 2 Na guia Geral, desmarque Usar sistemas executando SuperAgents como repositórios distribuídos e clique em Salvar. Para excluir um número limitado dos repositórios distribuídos existentes do SuperAgent, duplique a política do McAfee Agent atribuída a esses sistemas e desmarque Usar sistemas executando SuperAgents como repositórios distribuídos antes de salvá la. Atribua essa nova política conforme o necessário. O repositório do SuperAgent é excluído e removido da lista de repositórios. No entanto, o agente continuará funcionando como um SuperAgent, desde que você deixe a opção Converter os agentes em SuperAgents selecionada. Agentes que não receberam uma nova SiteList após a alteração da política continuam a ser atualizados pelo SuperAgent removido. Criação e configuração de repositórios em servidores FTP ou HTTP e compartilhamentos UNC É possível hospedar repositórios distribuídos nos servidores FTP e HTTP ou nos compartilhamentos UNC. Embora seja necessário um servidor dedicado, o sistema deve ser robusto o suficiente para processar a carga quando os sistemas gerenciados se conectarem para obter atualizações; Criação de um local de pasta Crie a pasta que hospeda o conteúdo do repositório no sistema de repositórios distribuídos. Diversos processos são usados para repositórios de compartilhamento UNC e repositórios FTP ou HTTP. Para repositórios de compartilhamento UNC, crie a pasta no sistema e ative o compartilhamento. Para repositórios FTP ou HTTP, use o software de servidor FTP ou HTTP existente, como o Microsoft Internet Information Services (IIS), para criar uma nova pasta e local de site. Consulte a documentação do servidor Web para obter detalhes. Adição do repositório distribuído ao epolicy Orchestrator Adicione uma entrada à lista de repositórios e especifique a pasta usada pelo novo repositório distribuído. Não configure repositórios distribuídos para consultar o mesmo diretório que o repositório principal. Isso faz com que os arquivos no repositório principal sejam bloqueados pelos usuários do repositório distribuído, o que pode provocar falhas de pulls e inclusões de pacotes, bem como deixar o repositório principal em estado inutilizável. 1 Clique em Menu Software Repositórios distribuídos e, em seguida, clique em Ações Novo repositório. O assistente do Construtor de repositórios distribuídos é aberto. 2 Na página Descrição, digite um nome exclusivo e selecione HTTP, UNC ou FTP e clique em Avançar. O nome do repositório não precisa ser o mesmo do sistema que hospeda o repositório. 3 Na página Servidor, configure um dos tipos de servidor a seguir. Software McAfee epolicy Orchestrator Guia de produto 69

70 6 Repositórios Criação e configuração de repositórios em servidores FTP ou HTTP e compartilhamentos UNC Tipo de servidor HTTP Na lista suspensa URL, selecione Nome DNS, IPv4 ou IPv6 como o tipo de endereço de servidor e insira o endereço. Opção Nome DNS IPv4 IPv6 Definição Especifica o nome DNS do servidor. Especifica o endereço IPv4 do servidor. Especifica o endereço IPv6 do servidor. Insira o número da porta do servidor: o padrão HTTP é 80. Especifique o caminho UNC de replicação para sua pasta HTTP. Tipo de servidor UNC Insira o caminho do diretório de rede em que reside o repositório. Use este formato: \ \<COMPUTADOR>\<PASTA>. Tipo de servidor FTP Na lista suspensa URL, selecione Nome DNS, IPv4 ou IPv6 como o tipo de endereço de servidor e insira o endereço. Opção Nome DNS IPv4 IPv6 Definição Especifica o nome DNS do servidor. Especifica o endereço IPv4 do servidor. Especifica o endereço IPv6 do servidor. Insira o número da porta do servidor: o padrão FTP é 21 4 Clique em Avançar. 5 Na página Credenciais: a Insira as Credenciais de download. Use credenciais com permissões somente leitura para o servidor HTTP, o servidor FTP ou o compartilhamento UNC que hospeda o repositório. Tipo de servidor HTTP ou FTP: Selecione Anônimo para usar uma conta de usuário desconhecida. Selecione FTP ou Autenticação HTTP (se o servidor exigir autenticação) e insira as informações da conta de usuário. Tipo de servidor UNC: Selecione Usar credenciais de conta conectada para usar as credenciais do usuário conectado no momento. Selecione Inserir as credenciais de download e forneça as informações de domínio e conta de usuário. b Clique em Testar credenciais. Após alguns segundos, uma mensagem de confirmação é exibida, declarando que o site está acessível aos sistemas usando informações de autenticação. Se as credenciais estiverem incorretas, verifique o seguinte: Nome do usuário e senha URL ou caminho no painel anterior do assistente Site HTTP, FTP ou UNC no sistema 6 Insira as Credenciais para replicação. 70 Software McAfee epolicy Orchestrator Guia de produto

71 Repositórios Criação e configuração de repositórios em servidores FTP ou HTTP e compartilhamentos UNC 6 O servidor usa essas credenciais ao replicar arquivos DAT, arquivos de mecanismo ou outras atualizações de produto do repositório principal no repositório distribuído. Essas credenciais devem ter permissões de leitura e gravação para o repositório distribuído: Para FTP, insira as informações de conta de usuário. Para HTTP ou UNC, insira as informações de domínio e conta de usuário. Clique em Testar credenciais. Após alguns segundos, uma mensagem de confirmação é exibida, declarando que o site está acessível aos sistemas usando informações de autenticação. Se as credenciais estiverem incorretas, verifique o seguinte: Nome do usuário e senha URL ou caminho no painel anterior do assistente Site HTTP, FTP ou UNC no sistema 7 Clique em Avançar. A página Tipos de pacote é exibida. 8 Selecione se deseja replicar todos os pacotes ou os pacotes selecionados nesse repositório distribuído e clique em Avançar. Se você escolher a opção Pacotes selecionados, deverá selecionar manualmente Assinaturas e mecanismos e Produtos, patches (correções), service packs etc. que deseja replicar. Como opção, selecione Replicar DATs legados. Certifique se de que todos os pacotes exigidos pelos sistemas gerenciados usando esse repositório não estejam desmarcados. Os sistemas gerenciados buscam um repositório para todos os pacotes se um tipo de pacote necessário não estiver presente no repositório, a tarefa falhará. Esse recurso garante que os pacotes usados somente por poucos sistemas não sejam replicados por todo o ambiente. 9 Revise a página Resumo e clique em Salvar para adicionar o repositório. O software epolicy Orchestrator adiciona o novo repositório distribuído aos seus bancos de dados. Evitar a replicação de pacotes selecionados Se os repositórios distribuídos forem configurados para replicar somente pacotes selecionados, o pacote recém incluído será replicado por padrão. Dependendo dos seus requisitos para teste e validação, você poderá prevenir a replicação de alguns pacotes nos repositórios distribuídos. Use esta tarefa para prevenir a replicação de um pacote recém incluído. 1 Clique em Menu Software Repositórios distribuídos e clique no repositório desejado. O assistente Construtor de repositórios distribuídos é aberto. 2 Na página Tipos de pacote, desmarque o pacote para o qual você deseja prevenir a replicação. 3 Clique em Salvar. Desativação de replicação de pacotes selecionados Se os repositórios distribuídos forem configurados para replicar somente pacotes selecionados, o pacote recém incluído será replicado por padrão. Para desativar a replicação iminente de um pacote, desative a tarefa de replicação antes de incluir o pacote. Use esta tarefa para desativar a replicação antes de incluir um novo pacote. Software McAfee epolicy Orchestrator Guia de produto 71

72 6 Repositórios Criação e configuração de repositórios em servidores FTP ou HTTP e compartilhamentos UNC 1 Clique em Menu Automação s do servidor e selecione Editar ao lado da tarefa do servidor de replicação desejada. O assistente Construtor de tarefas do servidor é aberto. 2 Na página Descrição, selecione o Status da programação como Desativado e clique em Salvar. Ativação de compartilhamento de pasta para repositórios UNC e HTTP Em um repositório HTTP ou UNC distribuído, é preciso ativar a pasta para compartilhamento na rede, de modo que o servidor epolicy Orchestrator possa copiar arquivos para o repositório. Isso é somente para fins de replicação. Os sistemas gerenciados configurados para usar o repositório distribuído usam o protocolo apropriado (HTTP, FTP ou compartilhamento de arquivos do Windows) e não requerem compartilhamento de pasta. 1 No sistema gerenciado, localize a pasta que você criou usando o Windows Explorer. 2 Clique com o botão direito do mouse na pasta e selecione Compartilhamento. 3 Na guia Compartilhamento, selecione Compartilhar esta pasta. 4 Configure as permissões de compartilhamento conforme necessário. Os sistemas que atualizarem a partir do repositório exigirão somente acesso de leitura, mas as contas de administrador, incluindo a conta usada pelo serviço de servidor epolicy Orchestrator, exigirão acesso de gravação. Consulte a documentação do Microsoft Windows para definir as configurações de segurança apropriadas para pastas compartilhadas. 5 Clique em OK. Edição de repositórios distribuídos Edite as opções distribuídas de configuração de repositório, autenticação e seleção de pacote, conforme o necessário. 1 Clique em Menu Software Repositórios distribuídos e clique no repositório desejado. O assistente Construtor de repositórios distribuídos é aberto exibindo os detalhes do repositório distribuído. 2 Altere as opções de configuração, autenticação e seleção de pacote, conforme necessário. 3 Clique em Salvar. Exclusão de repositórios distribuídos Exclua os repositórios distribuídos HTTP, FTP ou UNC. Esse procedimento também exclui o conteúdo dos repositórios distribuídos. 72 Software McAfee epolicy Orchestrator Guia de produto

73 Repositórios Uso de repositórios distribuídos locais que não são gerenciados 6 1 Clique em Menu Software Repositórios distribuídos e clique em Excluir ao lado do repositório desejado. 2 Na caixa de diálogo Excluir repositório, clique em OK. A exclusão do repositório não exclui os pacotes no sistema que hospeda o repositório. Os repositórios excluídos são removidos da lista de repositórios. Uso de repositórios distribuídos locais que não são gerenciados Copie o conteúdo do repositório principal em um repositório distribuído não gerenciado. Depois que um repositório não gerenciado for criado, você deve configurar manualmente os sistemas gerenciados para acessar o repositório não gerenciado e obter arquivos. 1 Copie todos os arquivos e sub diretórios para a pasta do repositório principal no servidor. Por padrão, este é o local em seu servidor: C:\Arquivos de Programas\McAfee\ePO\4.6.0\DB \Software 2 Cole os arquivos e sub pastas copiadas em na pasta do seu repositório no sistema de repositório distribuído. 3 Configure uma política do agente para sistemas gerenciados para usar o novo repositório distribuído não gerenciado: a Clique em Menu Política Catálogo de políticas e selecione o Produto como McAfee Agent e a Categoria como Repositório. b Clique em uma política do agente existente ou crie uma nova. A herança de políticas não pode ser interrompida no nível de guias de opção que compõem uma política. Portanto, ao aplicar essa política aos sistemas, certifique se de que apenas os sistemas desejados recebam e herdem a política para usar o repositório distribuído não gerenciado. c d e f g h i Na guia Repositórios, clique em Adicionar. A janela Adicionar repositório é aberta. Digite um nome no campo de texto Nome do repositório. O nome não precisa ser o nome do sistema que hospeda o repositório. Em Recuperar arquivos de, selecione o tipo de repositório. Em Configuração, digite o local do repositório usando a sintaxe apropriada para o tipo de repositório. Digite um número de porta ou mantenha a porta padrão. Configure as credenciais de autenticação conforme necessário. Clique em OK para adicionar o novo repositório distribuído à lista. Software McAfee epolicy Orchestrator Guia de produto 73

74 6 Repositórios Trabalho com arquivos de lista de repositórios j k Selecione o novo repositório na lista. O tipo Local indica que ele não é gerenciado pelo software epolicy Orchestrator. Quando um repositório não gerenciado é selecionado na Lista de repositórios, os botões Editar e Excluir são ativados. Clique em Salvar. Qualquer sistema em que essa política for aplicada receberá a nova política na próxima comunicação agente servidor. Trabalho com arquivos de lista de repositórios É possível exportar a lista de repositórios SiteList.xml e os arquivos SiteMgr.xml. São estes os arquivos: SiteList.xml Para uso do agente e de produtos compatíveis. SiteMgr.xml Para uso ao reinstalar o servidor McAfee epo ou para importar para outros servidores McAfee epo que usam os mesmos repositórios distribuídos ou sites de origem. Exportação do arquivo da lista de repositórios SiteList.xml Exporte o arquivo de lista de repositórios (SiteList.xml) para distribuição manual em sistemas ou para importá lo durante a instalação de produtos compatíveis. 1 Clique em Menu Software Repositório principal e em Ações Exportar Sitelist. A caixa de diálogo Fazer download de arquivo é exibida. 2 Clique em Salvar, navegue até o local em que você deseja salvar o arquivo SiteList.xml e, em seguida, clique em Salvar. Depois que você exportar esse arquivo, poderá importá lo durante a instalação de produtos compatíveis. Para obter instruções, consulte o Guia de instalação desse produto. Também é possível distribuir a lista de repositórios a sistemas gerenciados e, em seguida, aplicá la ao agente. Exportação da lista de repositórios para backup ou uso por outros servidores Use esse arquivo SiteMgr.xml exportado para restaurar os repositórios distribuídos e sites de origem quando você reinstalar o servidor McAfee epo ou quando quiser compartilhar esses repositórios ou sites com outro servidor McAfee epo. Você pode exportar esse arquivo de uma destas páginas: Repositórios distribuídos e Sites de origem. No entanto, quando você importar esse arquivo para uma dessas páginas, importará somente os itens do arquivo que estiverem listados nessa página. Por exemplo, quando esse arquivo for importado para a página Repositórios distribuídos, serão importados somente os repositórios distribuídos contidos no arquivo. Por isso, se você quiser importar os repositórios distribuídos e os sites de origem, deverá importar o arquivo duas vezes, uma vez de cada página. 74 Software McAfee epolicy Orchestrator Guia de produto

75 Repositórios Alteração de credenciais em vários repositórios distribuídos 6 1 Clique em Menu Software Repositórios distribuídos ou Sites de origem e clique em Ações Exportar repositórios ou Exportar sites de origem. A caixa de diálogo Fazer download de arquivo é exibida. 2 Clique em Salvar, navegue até o local em que deseja salvar o arquivo e clique em Salvar. Importação de repositórios distribuídos da lista de repositórios Importe repositórios distribuídos do arquivo SiteMgr.xml após reinstalar um servidor ou quando quiser que um servidor use os mesmos repositórios distribuídos de outro servidor. 1 Clique em Menu Software Repositórios distribuídos e em Ações Importar repositórios. Será exibida a página Importar repositórios. 2 Navegue até o arquivo SiteMgr.xml exportado, selecione o e clique em OK. O repositório distribuído é importado para o servidor. 3 Clique em OK. Os repositórios selecionados são adicionados à lista de repositórios neste servidor. Importação de sites de origem do arquivo SiteMgr.xml Após reinstalar um servidor e quando quiser que dois servidores usem os mesmos repositórios distribuídos, importe sites de origem de um arquivo de lista de repositórios. 1 Clique em Menu Configuração Configurações do servidor e, na lista Categorias de configuração, selecione Sites de origem e clique em Editar. A página Editar sites de origem é exibida. 2 Clique em Importar. Será exibida a página Importar repositórios. 3 Navegue até o arquivo SiteMgr.xml exportado, selecione o e clique em OK. Será exibida a página Importar sites de origem. 4 Selecione os sites de origem que você deseja importar para este servidor e, em seguida, clique em OK. Os sites de origem selecionados são adicionados à lista de repositórios neste servidor. Alteração de credenciais em vários repositórios distribuídos Altere as credenciais em vários repositórios distribuídos do mesmo tipo. É um procedimento útil em ambientes onde há muitos repositórios distribuídos. Software McAfee epolicy Orchestrator Guia de produto 75

76 6 Repositórios Alteração de credenciais em vários repositórios distribuídos 1 Clique em Menu Repositórios distribuídos. A página Repositórios distribuídos é exibida. 2 Clique em Ações e selecione Alterar credenciais. O assistente de Alterar credenciais é aberto na página Tipo de repositório. 3 Selecione o tipo de repositório distribuído no qual você deseja alterar credenciais e clique em Avançar. A página Seleção de repositório é exibida. 4 Selecione os repositórios distribuídos desejados e clique em Avançar. A página Credenciais é exibida. 5 Edite as credenciais, conforme o necessário, e clique em Avançar. A página Resumo é exibida. 6 Revise as informações e clique em Salvar. 76 Software McAfee epolicy Orchestrator Guia de produto

77 7 7 Servidores registrados Você pode acessar servidores adicionais registrando os no seu servidor McAfee epo. Os servidores registrados permitem que você integre seu software a outros servidores externos. Por exemplo, registre um servidor LDAP para que se conecte com o servidor do Active Directory. O McAfee epolicy Orchestrator pode se comunicar com: Outros servidores McAfee epo Servidores HTTP Servidores de banco de dados, remotos, adicionais Servidores de tíquetes Servidores LDAP Cada tipo de servidor registrado é complementar a ou compatível com a funcionalidade do epolicy Orchestrator e outros produtos e extensões da McAfee e de terceiros. Conteúdo Registro de servidores McAfee epo Registro de servidores LDAP Registro de servidores SNMP Registro de servidor de banco de dados Compartilhamento de objetos entre servidores Registro de servidores McAfee epo Registre servidores McAfee epo adicionais para uso com o principal servidor McAfee epo, a fim de coletar ou agregar dados. 1 Selecione Menu Configuração Servidores registrados e clique em Novo servidor. 2 No menu Tipo de servidor, na página Descrição, selecione epo, especifique um nome exclusivo e algumas observações e, em seguida, clique em Avançar. 3 Especifique as opções a seguir para configurar o servidor: Software McAfee epolicy Orchestrator Guia de produto 77

78 7 Servidores registrados Registro de servidores McAfee epo Opção Tipo de autenticação Compartilhamento de tarefas de cliente Nome do banco de dados Porta do banco de dados Servidor de banco de dados Versão do epo Senha Compartilhamento de políticas Instância do SQL Server Definição Especifica o tipo de autenticação a ser usado para este banco de dados, como: Autenticação do Windows Autenticação do SQL Especifica se é necessário ativar ou desativar a tarefa de cliente neste servidor. Especifica o nome deste banco de dados. Especifica a porta deste banco de dados. Especifica o nome do banco de dados deste servidor. É possível especificar um banco de dados usando o nome DNS ou o endereço IP (IPv4 ou IPv6). Especifica a versão do servidor McAfee epo que está sendo registrada. Especifica a senha deste servidor. Especifica se o compartilhamento de políticas será ativado ou desativado para este servidor. Permite que você especifique se este é o servidor padrão ou uma instância específica, fornecendo o nome da instância. Verifique se o serviço do navegador SQL está em execução antes de se conectar a uma instância SQL específica usando seu nome de instância. Especifique o número da porta se o serviço do navegador SQL não estiver em execução. Selecione a instância do SQL server padrão e digite o número da porta para se conectar à instância do SQL server. Comunicação SSL com servidor de banco de dados Conexão de teste Transferir sistemas Especifica se o epolicy Orchestrator usa comunicação SSL (Secure Socket Layer) com este servidor de banco de dados, incluindo: Tentar usar SSL Sempre usar SSL Nunca usar SSL Verifica a conexão do servidor detalhado. Especifica se é necessário ativar ou desativar a capacidade de transferir sistemas para este servidor. Quando ativado, selecione Importação automática de Sitelist ou Importação manual de Sitelist. Ao escolher Importação manual de Sitelist, é possível fazer com que versões mais antigas do McAfee Agent (versão 4.0 e anteriores) não consigam contatar o Manipulador de agentes. Isso poderá ocorrer ao Transferir sistemas deste servidor McAfee epo para o servidor McAfee epo registrado e um nome de Manipulador de agentes é exibido com caracteres alfanuméricos antes do nome do servidor McAfee epo no Sitelist fornecido e os agentes mais antigos usam o Manipulador de agentes 78 Software McAfee epolicy Orchestrator Guia de produto

79 Servidores registrados Registro de servidores LDAP 7 Opção Usar NTLMv2 Nome do usuário Definição Escolha o uso do protocolo de autenticação do NT LAN Manager. Selecione esta opção quando o servidor que estiver registrando utilizar esse protocolo. Especifica o nome do usuário deste servidor. 4 Clique em Salvar. Registro de servidores LDAP É necessário ter um servidor LDAP registrado (Lightweight Directory Access Protocol) para usar as Regras de atribuição de políticas, a fim de ativar dinamicamente os conjuntos de permissões atribuídos e o Login do usuário no Active Directory. 1 Selecione Menu Configuração Servidores registrados e clique em Novo servidor. 2 No menu Tipo de servidor, na página Descrição, selecione Servidor LDAP, especifique um nome exclusivo e alguns detalhes e, em seguida, clique em Avançar. 3 Escolha se você está registrando um servidor do OpenLDAP ou Active Directory na lista Tipo de servidor LDAP. O restante dessas instruções suporá que um servidor do Active Directory está sendo configurado. Informações específicas do OpenLDAP são incluídas quando necessárias. 4 Escolha se está especificando um nome do Domínio ou um nome de servidor específico na seção Nome do servidor. Use os nomes do domínio estilo DNS (por exemplo, internaldomain.com) e os nomes de domínio totalmente qualificados ou endereços IP para os servidores. (por exemplo, server1.internaldomain.com ou ) O uso de nomes de domínio é compatível com failover e permite que você escolha somente os servidores de um site específico, se desejar. Os servidores OpenLDAP podem usar somente os nomes de servidor. Eles não podem ser especificados por domínio. 5 Escolha se deseja Usar o catálogo global. Essa opção está desmarcada por padrão. Selecioná la poderá oferecer benefícios de desempenho significantes. Ela deve ser selecionada se o domínio registrado for pai de domínios locais somente. Se domínios não locais forem incluídos, buscar indicações poderá causar um aumento significante do tráfego de rede não local, possivelmente impactando bastante o desempenho. Usar catálogo global não está disponível para servidores OpenLDAP. 6 Se você escolheu não usar o Catálogo global, escolha se deseja Buscar indicações ou não. Buscar indicações poderá provocar problemas de desempenho, se isso levar ao aumento do tráfego de rede não local, sendo o Catálogo global usado ou não. 7 Escolha se deseja ou não Usar SSL ao se comunicar com este servidor. 8 Se estiver configurando um servidor OpenLDAP, digite a Porta. Software McAfee epolicy Orchestrator Guia de produto 79

80 7 Servidores registrados Registro de servidores SNMP 9 Digite o Nome do usuário e a Senha, conforme indicado. Essas credenciais devem ser de uma conta de administrador no servidor. Use o formato domínio \nome_do_usuário nos servidores Active Directory e o formato cn=user,dc=realm,dc=com nos servidores OpenLDAP. 10 Digite o Nome do site do servidor ou selecione o clicando em Procurar e navegue nele. 11 Clique em Conexão de teste para verificar a comunicação com o servidor, conforme especificado. Altere as informações, conforme necessário. 12 Clique em Salvar para registrar o servidor. Registro de servidores SNMP Para receber uma interceptação SNMP, é necessário adicionar as informações do servidor SNMP, para que o epolicy Orchestrator saiba onde enviar a intercepção. 1 Clique em Menu Configuração Servidores registrados e clique em Novo servidor. 2 No menu Tipo de servidor, na página Descrição, selecione Servidor SNMP, forneça o nome e algumas informações adicionais sobre o servidor e clique em Avançar. 3 Na lista suspensa do URL, selecione um dos tipos de endereço do servidor e digite o endereço: Tabela 7-1 Definições de opções Opção Nome DNS IPv4 IPv6 Definição Especifica o nome DNS do servidor registrado. Especifica o endereço IPv4 do servidor registrado. Especifica o nome DNS do servidor registrado que tem um endereço IPv6. 4 Selecione a versão SNMP que o servidor usa: Se você selecionar SNMPv1 ou SNMPv2c como versão do servidor SNMP, digite a cadeia de caracteres da comunidade do servidor em Segurança. Se você selecionar SNMPv3, forneça os detalhes da Segurança do SNMPv3. 5 Clique em Enviar interceptação de teste para testar a configuração. 6 Clique em Salvar. O servidor SNMP adicionado será exibido na página Servidor registrado. Registro de servidor de banco de dados Antes de recuperar um servidor de banco de dados, é necessário registrá lo com epolicy Orchestrator. 80 Software McAfee epolicy Orchestrator Guia de produto

81 Servidores registrados Compartilhamento de objetos entre servidores 7 1 Abra a página Servidores registrados: selecione Menu Configuração Servidores registrados e clique em Novo servidor. 2 Selecione Servidor de banco de dados na lista suspensa Tipo de servidor, digite o nome do servidor e uma descrição opcional e clique em Avançar. 3 Escolha um Tipo de banco de dados na lista suspensa dos tipos registrados. Indique se deseja que esse tipo de banco de dados seja padrão. Se já houver um banco de dados padrão atribuído a esse tipo de banco de dados, ele será indicado na linha Banco de dados padrão atual para o tipo de banco de dados. 4 Indique o Fornecedor do banco de dados. No momento, somente o Microsoft SQL Server e o MySQL são compatíveis. 5 Insira as especificações da conexão e efetue login com as credenciais do servidor de banco de dados. 6 Para verificar se todas as informações da conexão e credenciais de login foram inseridas corretamente, clique em Conexão de teste. Uma mensagem de status indica êxito ou falha. 7 Clique em Salvar. Compartilhamento de objetos entre servidores Em geral, a maneira mais rápida e fácil de replicar o comportamento de um servidor epolicy Orchestrator em outro é exportar o item que descreve o comportamento e importá lo no outro servidor. Exportação de objetos do epolicy Orchestrator Em geral, a maneira mais rápida e fácil de replicar o comportamento de um servidor epolicy Orchestrator em outro é exportar o item que descreve o comportamento e importá lo no outro servidor. Os itens exportados do epolicy Orchestrator são armazenados em arquivos XML que descrevem detalhadamente os itens exportados. Os objetos exportados de um servidor McAfee epo são exibidos no seu navegador como XML. As configurações do navegador determinam como o XML é exibido e salvo. Conteúdo de arquivo exportado Um arquivo exportado contém, em geral, um elemento contêiner externo denominado <lista>, para exportação de vários itens. Se apenas um objeto for exportado, esse elemento poderá ser nomeado de acordo com o objeto. (Por exemplo, <consulta>). Qualquer conteúdo mais detalhado será variável, dependendo do tipo de item exportado. Software McAfee epolicy Orchestrator Guia de produto 81

82 7 Servidores registrados Compartilhamento de objetos entre servidores Itens exportáveis É possível exportar os itens a seguir. As extensões instaladas poderão adicionar itens a essa lista. Verifique a documentação da extensão para obter detalhes. Dashboards s do servidor Conjuntos de permissões Usuários Consultas Respostas automáticas Relatórios Os itens a seguir podem ter uma tabela do respectivo conteúdo atual exportado. Registro de auditoria Problemas Importação de itens para o epolicy Orchestrator É possível importar itens exportados de um servidor epolicy Orchestrator para outro servidor. O epolicy Orchestrator exporta itens para XML. Esses arquivos XML contêm descrições exatas dos itens exportados. Importação de itens Ao importar itens para o epolicy Orchestrator, algumas regras são seguidas: Por padrão, todos os itens, exceto usuários, são importados com visibilidade privada. Você pode aplicar outras permissões durante ou após a importação. Se já existir um item com o mesmo nome, "(importado)" ou "(cópia)" será anexado ao nome do item importado. Os itens importados que exigirem um produto ou extensão que não exista no novo servidor serão marcados como inválidos. O epolicy Orchestrator somente importará arquivos XML exportados pelo epolicy Orchestrator. Detalhes específicos sobre como importar diversos tipos de item podem ser encontrados na documentação dos itens específicos. Exportação e importação de funcionalidade entre versões e servidores McAfee epo Ao transferir dados de um servidor epolicy Orchestrator para outro, existem alguns objetos de dados que podem ser facilmente exportados e importados e alguns têm limitações. As limitações de exportação e importação dependem da versão do software epolicy Orchestrator e se os dados são importados de volta para o mesmo servidor McAfee epo ou para outro. Essas tabelas contêm a funcionalidade e a limitação de exportação e importação de dados. 82 Software McAfee epolicy Orchestrator Guia de produto

83 Servidores registrados Compartilhamento de objetos entre servidores 7 Tabela 7-2 Comparação da exportação entre os servidores McAfee epo 4.5, 4.6 e 5.0 Objeto de dados Atribuições do manipulador de agentes Configurações do Manipulador de agentes Disponível para exportação do McAfee epo......versão versão versão 5.0 Sim Sim Sim Não Não Não Não inclui atribuições do Manipulador de agentes. Respostas automáticas Sim Sim Sim Atribuições de tarefas de cliente Não Sim Sim Objetos de tarefa de cliente Não Sim Sim Contatos Não Não Não Dashboards Não Sim Sim Exceções de sistemas detectados Sim Sim Sim Configurações de sistemas detectados Não inclui exceções de sistemas detectados. Não Não Não Repositórios distribuídos Sim Sim Sim Informações de registro Não (exceto para acumulação) Não (exceto para acumulação) Conjuntos de permissões Não Sim Sim Configurações pessoais Não Não Não Regras de atribuição de políticas Sim Sim Sim Atribuições de políticas Não Sim Sim Objetos de política Sim Sim Sim Consultas Sim Sim Sim Executáveis registrados Não Não Não Servidores registrados Não Não Não Relatórios N/D Sim Sim Chaves de segurança Sim Sim Sim Configurações do servidor Não inclui chaves de segurança e sites de origem. Não Não Não Não (exceto para acumulação) s do servidor Não Sim Sim Sites de origem Sim Sim Sim Árvore de sistemas Sim Sim Sim Catálogo de marcas Sim Sim Sim Sincronização do Active Directory da árvore Não Não Não Software McAfee epolicy Orchestrator Guia de produto 83

84 7 Servidores registrados Compartilhamento de objetos entre servidores Tabela 7-2 Comparação da exportação entre os servidores McAfee epo 4.5, 4.6 e 5.0 (continuação) Objeto de dados Disponível para exportação do McAfee epo......versão versão versão 5.0 Classificação da árvore Não Não Não Opções configuradas pelo usuário Não Não Não Usuários Não Não Não Tabela 7-3 Funcionalidade de exportação do McAfee epo 4.5 para outro servidor 5.0 Objeto de dados Pode ser exportado... Notas Atribuições do Manipulador de agentes Configurações do manipulador de agentes Não inclui atribuições do manipulador de agentes...do servidor McAfee epo para outro servidor McAfee epo 5.0 Sim Não O uso de ID causa a perda do local de atribuição baseado em árvore. As informações do Manipulador de agentes selecionado são perdidas. Não N/D Respostas automáticas Sim Não A importação é rejeitada. Atribuições de tarefas de cliente Não N/D Objetos de tarefa de cliente Não N/D Contatos Não N/D Dashboards Não N/D Exceções de sistemas detectados Configurações de sistemas detectados Não inclui exceções de sistemas detectados. Sim Não Sim N/D Repositórios distribuídos Sim Sim (mas com limitações) Informações de registro Não (exceto para acumulação) Conjuntos de permissões Não N/D Configurações pessoais Não N/D Não (exceto para acumulação) A menos que os repositórios contenham o mesmo conteúdo, a lista de exclusão poderá gerar seleções de pacotes inesperadas. 84 Software McAfee epolicy Orchestrator Guia de produto

85 Servidores registrados Compartilhamento de objetos entre servidores 7 Tabela 7-3 Funcionalidade de exportação do McAfee epo 4.5 para outro servidor 5.0 (continuação) Objeto de dados Pode ser exportado... Notas...do servidor McAfee epo para outro servidor McAfee epo 5.0 Regras de atrib. políticas Sim Não IDs exclusivas contidas nas informações de exportação e na importação são rejeitadas. Atribuições de políticas Não N/D Objetos de política Sim Não A política Repositório do McAfee Agent não pode conter as mesmas configurações para os servidores McAfee epo e os Manipuladores de agentes que os antigos servidores, os Manipuladores de agentes não podem estar presentes e a política pode falhar. Consultas Sim (mas com limitações) Não Executáveis registrados Não N/D Servidores registrados Não N/D Relatórios N/D N/D Chaves de segurança Sim Sim Configurações do servidor Não inclui chaves de segurança e sites de origem. Não N/D Consultas que contêm dados específicos do servidor são incorretas após importação (por exemplo, marca, grupo ou política). s do servidor Não N/D Sites de origem Sim Sim Árvore de sistemas Sim (mas com limitações) Sim (mas com limitações) Arquivo exportado precisa que 'Minha organização\' seja removido de cada linha antes da importação. Catálogo de marcas Sim Não Dados específicos do servidor em marcas específicas indisponibilizam a marca após a importação. Sincronização do Active Directory da árvore Não N/D Classificação da árvore Não N/D Opções configuradas pelo usuário Não N/D Usuários Não N/D Software McAfee epolicy Orchestrator Guia de produto 85

86 7 Servidores registrados Compartilhamento de objetos entre servidores Tabela 7-4 Funcionalidade de exportação do McAfee epo 4.6 para outro servidor 5.0 Objeto de dados Pode ser exportado... Notas Atribuições do Manipulador de agentes Configurações do Manipulador de agentes Não inclui atribuições do Manipulador de agentes....do servidor McAfee epo para outro servidor McAfee epo 5.0 Sim Não O uso de ID causa a perda do local de atribuição baseado em árvore. As informações do Manipulador de agentes selecionado são perdidas. Não N/D Respostas automáticas Sim Não A importação é rejeitada. Atribuições de tarefas de cliente Não N/D Objetos de tarefa de cliente Não N/D Contatos Não N/D Dashboards Não N/D Exceções de sistemas detectados Configurações de sistemas detectados Não inclui exceções de sistemas detectados. Sim Não Sim N/D Repositórios distribuídos Sim Sim (mas com limitações) Informações de registro Não (exceto para acumulação) Conjuntos de permissões Não N/D Configurações pessoais Não N/D Não (exceto para acumulação) A menos que os repositórios contenham o mesmo conteúdo, a lista de exclusão poderá gerar seleções de pacotes inesperadas. Regras de atrib. políticas Sim Não IDs exclusivas contidas nas informações de exportação e na importação são rejeitadas. Atribuições de políticas Não N/D 86 Software McAfee epolicy Orchestrator Guia de produto

87 Servidores registrados Compartilhamento de objetos entre servidores 7 Tabela 7-4 Funcionalidade de exportação do McAfee epo 4.6 para outro servidor 5.0 (continuação) Objeto de dados Pode ser exportado... Notas...do servidor McAfee epo para outro servidor McAfee epo 5.0 Objetos de política Sim Não A política Repositório do McAfee Agent não pode conter as mesmas configurações para os servidores McAfee epo e os manipuladores de agentes que os antigos servidores, os manipuladores de agentes não podem estar presentes e a política pode falhar. Consultas Sim (mas com limitações) Não Executáveis registrados Não N/D Servidores registrados Não N/D Relatórios N/D N/D Chaves de segurança Sim Sim Configurações do servidor Não inclui chaves de segurança e sites de origem. Não N/D Consultas que contêm dados específicos do servidor são incorretas após importação (por exemplo, marca, grupo ou política). s do servidor Não N/D Sites de origem Sim Sim Árvore de sistemas Sim (mas com limitações) Sim (mas com limitações) Arquivo exportado precisa que 'Minha organização\' seja removido de cada linha antes da importação. Catálogo de marcas Sim Não Dados específicos do servidor em marcas indisponibilizam essas marcas após a importação. Sincronização do Active Directory da árvore Não N/D Classificação da árvore Não N/D Opções configuradas pelo usuário Não N/D Usuários Não N/D Software McAfee epolicy Orchestrator Guia de produto 87

88 7 Servidores registrados Compartilhamento de objetos entre servidores Tabela 7-5 Funcionalidade de exportação do McAfee epo 5.0 versus a funcionalidade de importação para outro servidor 5.0 Objeto Pode ser exportado... Notas Atribuições do Manipulador de agentes Configurações do Manipulador de agentes Não inclui atribuições do Manipulador de agentes...do servidor McAfee epo para outro servidor McAfee epo 5.0 Sim Não O uso de ID causa a perda do local de atribuição baseado em árvore. As informações do Manipulador de agentes selecionado são perdidas. Não N/D Respostas automáticas Sim Não O uso de ID para nós aplicáveis da árvore de sistemas causa uma configuração de filtro incorreta ou um erro. Atribuições de tarefas de cliente Sim Sim (mas com limitações) Objetos de tarefa de cliente Sim Sim (mas com limitações) Contatos Não N/D s de herança interrompidas se perdem e atribuições de tarefas duplicadas são criadas se as tarefas forem importadas antes ou após a interrupção da herança. O conteúdo do repositório principal deve corresponder (versões pares) com o servidor original ou as seleções ficam em branco ou não estão presentes. Dashboards Sim Não Consultas que contêm dados específicos do servidor são incorretas após importação (por exemplo, marca, grupo ou política). Exceções de sistemas detectados Configurações de sistemas detectados Não inclui exceções de sistemas detectados. Sim Não Sim (mas com limitações) N/D Categorias de exceção não são exportadas. Repositórios distribuídos Sim Não Lista de exclusões de pacotes é perdida após importação. Informações de registro Não (exceto para acumulação) Não (exceto para acumulação) Conjuntos de permissões Sim Sim (mas com limitações) Os conjuntos de permissões devem ter a mesma estrutura da árvore de sistemas e conteúdo do repositório 88 Software McAfee epolicy Orchestrator Guia de produto

89 Servidores registrados Compartilhamento de objetos entre servidores 7 Tabela 7-5 Funcionalidade de exportação do McAfee epo 5.0 versus a funcionalidade de importação para outro servidor 5.0 (continuação) Objeto Pode ser exportado... Notas...do servidor McAfee epo 5.0 Configurações pessoais Não N/D...para outro servidor McAfee epo 5.0 Regras de atrib. políticas Sim Não IDs fazem os servidores usarem servidores registrados e marcas incorretas. Atribuições de políticas Sim Não Várias atribuições de políticas de vários slots em um nó não são importadas corretamente. Objetos de política Sim Não A política Repositório do McAfee Agent não pode conter as mesmas configurações para os servidores McAfee epo e os Manipuladores de agentes que os antigos servidores, os Manipuladores de agentes não podem estar presentes e a política pode falhar. Consultas Sim (mas com limitações) Não Executáveis registrados Não N/D Servidores registrados Não N/D Consultas com dados específicos do servidor incorretos após a importação. (Por exemplo, marcas, grupo ou política.) Relatórios Sim Não Consultas que contêm dados específicos do servidor são incorretas após importação (por exemplo, marcas, grupo ou política). Chaves de segurança Sim Sim Configurações do servidor Não inclui chaves de segurança e sites de origem. Não N/D s do servidor Sim Sim (mas com limitações) Sites de origem Sim Sim Árvore de sistemas Sim Sim Catálogo de marcas Sim Não Dados específicos do servidor em marcas indisponibilizam as marcas após a importação Sincronização do Active Directory da árvore Não N/D Classificação da árvore Não N/D Opções configuradas pelo usuário Não N/D Usuários Não N/D Software McAfee epolicy Orchestrator Guia de produto 89

90 7 Servidores registrados Compartilhamento de objetos entre servidores Tabela 7-6 Funcionalidade de exportação e importação da tarefa do servidor McAfee epo 5.0 Objeto de tarefa do servidor s que incluem consultas s que incluem caminhos de arquivo Exportável para outro servidor Sim (mas com limitações) Sim (mas com limitações) Notas s duplicadas são criadas para consultas de vários usos entre tarefas quando são importadas em momentos diferentes. Os caminhos dos arquivos devem corresponder nos servidores ou os arquivos não podem ser gravados (por exemplo, os arquivos gravados na unidade D por exportação do servidor falham se o servidor importado não tem unidade D) Pesquisa de sistemas Não IDs usadas para grupos e marcas geram incompatibilidade. Executar critérios de marcação Não IDs usadas para marcas geram incompatibilidade. Executar relatório Não IDs usadas para consultas podem gerar incompatibilidade; consultas podem conter informações específicas do servidor. Executar consulta Atualizar agentes Executar consulta Executar tarefa de cliente agora Executar consulta Mover sistemas Executar consulta Excluir marca Executar consulta Exceções de sistema detectado Executar consulta Distribuir McAfee Agent Executar consulta Limpar marca Executar consulta Atribuir política Executar consulta Aplicar marca Executar consulta Adicionar a árvore de sistemas Sim (mas com limitações) Não Não Não Sim (mas com limitações) Não Não Não Não Não As consultas devem ter o mesmo conteúdo ou a tarefa perde as configurações. As IDs usadas provavelmente geram incompatibilidade. As IDs usadas provavelmente geram incompatibilidade. As IDs usadas provavelmente geram incompatibilidade. A ID usada para seleção de categoria provavelmente gera incompatibilidade Dados específicos do Manipulador de agentes não podem estar disponíveis ao servidor de importação; a senha não é mantida no arquivo exportado. As IDs usadas provavelmente geram incompatibilidade. A ID usada provavelmente gera incompatibilidade e falha de tarefa, mesmo que a política tenha sido importada pela tarefa. As IDs usadas provavelmente geram incompatibilidade. As IDs usadas provavelmente geram incompatibilidade. Acumulação Não Se os servidores registrados são seletivos, as IDs são usadas e podem gerar incompatibilidade; as propriedades de filtragem podem ser específicas ao servidor (Políticas aplicadas). Replicação do repositório Sim (mas com limitações) Os repositórios devem ter o mesmo conteúdo ou a tarefa perde as configurações. Pull de repositório Não ID usada para o site de origem pode gerar problema. Os repositórios devem ter o mesmo conteúdo ou a tarefa perde as configurações. 90 Software McAfee epolicy Orchestrator Guia de produto

91 Servidores registrados Compartilhamento de objetos entre servidores 7 Tabela 7-6 Funcionalidade de exportação e importação da tarefa do servidor McAfee epo 5.0 (continuação) Objeto de tarefa do servidor Eliminar X Exportável para outro servidor Sim (mas com limitações) Notas Se usar uma consulta para eliminar, a ID usada para consulta provavelmente gerará incompatibilidade entre servidores. Exportar consultas Não Consultas podem conter dados específicos do servidor que tornam as consultas incorretas após a importação. Alterar ramificação de pacote Sincronização do Active Directory Sim (mas com limitações) Não Os pacotes devem ter o mesmo conteúdo ou a tarefa perde as configurações. A ID usada para local, mesmo que a estrutura da árvore seja importada, provavelmente gera incompatibilidade. Exportação de objetos e dados do servidor epolicy Orchestrator Você pode usar os objetos e dados exportados para fazer backup de dados importantes e para restaurar ou configurar os servidores epolicy Orchestrator no seu ambiente. É possível exportar ou fazer download da maioria dos objetos e dados utilizados no seu servidor para exibi los, transformá los ou importá los em outro servidor ou aplicativo. A tabela a seguir lista os vários itens que você pode usar. Você pode exportar dados para formatos de exibição, como HTML e PDF, ou exportá los para arquivos CSV ou XML para usar e transformar os dados em outros aplicativos. Tipo de objeto Pode se exportado Pode se importado Respostas automáticas X X xml Objetos de tarefa de cliente X X xml Dashboards X X xml Exceções de sistemas detectados X X txt Definições de conjunto de permissões X X xml Objetos de política X X xml Atribuições de políticas X X xml Definições de consulta X X xml Dados de consulta X vários Relatórios X X xml Repositórios X X xml s do servidor X X xml Listas de sites X X xml Sub redes (na forma de uma lista) X X txt Sistemas (na forma de uma lista, na árvore de sistemas) Tabelas (na forma de um relatório ou lista) X X txt X Marcas X X xml Formato de exportação vários Software McAfee epolicy Orchestrator Guia de produto 91

92 7 Servidores registrados Compartilhamento de objetos entre servidores 1 Na página que exibe os objetos ou dados, clique em Ações e selecione a opção desejada. Por exemplo, ao exportar uma tabela, selecione Exportar tabela e clique em Avançar. 2 Quando você exporta conteúdo cujo download pode ser feito em vários formatos, como Dados de consulta, é aberta uma página Exportar com opções de configuração. Especifique suas preferências e clique em Exportar. 3 Quando você exporta objetos ou definições, como os de tarefa de cliente, ocorre um dos seguintes eventos: É aberta uma caixa de diálogo de navegador, onde você pode optar por Abrir ou Salvar o arquivo. É aberta uma página Exportar contendo um link para o arquivo. Clique com o botão esquerdo no link para exibir o arquivo no seu navegador. Clique com o botão direito no link para salvar o arquivo. 92 Software McAfee epolicy Orchestrator Guia de produto

93 8 Manipuladores 8 de agentes Os manipuladores de agentes roteiam a comunicação entre os agentes e o servidor McAfee epo. Cada servidor McAfee epo contém um manipulador de agentes principal. Manipuladores de agentes adicionais podem ser instalados nos sistemas em toda a rede. A configuração de Manipuladores de agentes adicionais confere os benefícios a seguir. Ajuda a gerenciar um número crescente de produtos e sistemas gerenciados por um único servidor lógico epolicy Orchestrator em situações em que a CPU no servidor de banco de dados não esteja sobrecarregada. Oferece tolerância a falhas e comunicação com balanceamento de carga com muitos agentes, incluindo agentes distribuídos geograficamente. Conteúdo Como funcionam os Manipuladores de agentes Grupos de manipuladores e prioridade Gerenciamento dos Manipuladores de agentes Como funcionam os Manipuladores de agentes Os manipuladores de agentes distribuem o tráfego de rede gerado pela comunicação agente servidor por meio do direcionamento de sistemas gerenciados ou de grupos de sistemas gerenciados para que se comuniquem com um manipulador de agentes específico. Depois de atribuído, o sistema gerenciado se comunica com o manipulador de agentes atribuído, e não com o principal servidor McAfee epo. O manipulador fornece sitelists, políticas e regras de atribuição de políticas atualizadas, exatamente como o servidor McAfee epo. O manipulador também armazena em cache o conteúdo do repositório principal, para que os agentes possam efetuar pull de pacotes de atualização de produto, DATs e outras informações necessárias. Quando um agente realizar a inclusão com o respectivo manipulador, se o manipulador não tiver as atualizações necessárias, ele as recuperará do repositório atribuído e as armazenará em cache, passando a atualização ao agente. O gráfico Sistemas por Manipulador de agentes exibe todos os Manipuladores de agentes instalados e o número de agentes gerenciados por cada Manipulador de agentes. Quando um Manipulador de agentes é desinstalado, ele deixa de ser exibido nesse gráfico. Se uma regra de atribuição de Manipuladores de agentes atribuir agentes de forma exclusiva a um manipulador e se esse manipulador específico for desinstalado, ele será exibido no gráfico como Manipulador de agentes desinstalado seguido do número de agentes que ainda estão tentando contatá lo. Se os Manipuladores de agentes não forem instalados corretamente, será exibida a mensagem Manipulador de agentes desinstalado, que indica que o manipulador não pode se comunicar com alguns agentes. Clique na lista para exibir os agentes que não podem se comunicar com o manipulador. Software McAfee epolicy Orchestrator Guia de produto 93

94 8 Manipuladores de agentes Grupos de manipuladores e prioridade Vários Manipuladores de agentes Você pode ter mais de um Manipulador de agentes na sua rede. É possível ter muitos sistemas gerenciados distribuídos por várias áreas geográficas ou fronteiras políticas. Qualquer que seja o caso, você pode adicionar uma organização aos seus sistemas gerenciados atribuindo grupos distintos a diversos manipuladores. Grupos de manipuladores e prioridade Ao usar vários manipuladores de agentes na rede, agrupe e priorize os para ajudar a garantir a conectividade de rede. Grupos de manipuladores Com vários Manipuladores de agentes na rede, você pode criar grupos de manipuladores. Você também pode aplicar a prioridade aos manipuladores em um grupo. A prioridade dos manipuladores informa aos agentes com qual manipulador devem se comunicar primeiro. Se o manipulador com a maior prioridade não estiver disponível, o agente buscará o próximo manipulador na lista. Essas informações de prioridade estão contidas na lista de repositórios (arquivo sitelist.xml) em cada agente. Quando você altera as atribuições do manipulador, esse arquivo é atualizado como parte do processo de comunicação agente servidor. Após as atribuições serem recebidas, o agente aguarda até que a próxima comunicação programada regularmente as implemente. Você pode realizar uma chamada de ativação do agente imediata para atualizar o agente imediatamente. O agrupamento de manipuladores e a atribuição de prioridades são recursos personalizáveis, possibilitando atender às necessidades do seu ambiente específico. Dois cenários comuns para o agrupamento de manipuladores são: Uso de vários manipuladores para balanceamento de carga Você poderá ter um grande número de sistemas gerenciados na rede, nos quais deseje distribuir a carga de trabalho das comunicações agente servidor e imposição de política. Você pode configurar a lista de manipuladores para que os agentes escolham aleatoriamente com qual manipulador se comunicar. Configuração de um plano de reserva para garantir a comunicação agente servidor Você pode ter sistemas distribuídos em uma ampla área geográfica. Ao atribuir uma prioridade a cada manipulador disperso nesta área, você poderá especificar com qual manipulador o agente se comunicará e em que ordem. Isso pode ajudar a garantir que os sistemas gerenciados na rede continuem atualizados criando uma comunicação de agente de reserva, assim como os repositórios de reserva garantem a disponibilidade de novas atualizações para os agentes. Se o manipulador com a maior prioridade não estiver disponível, o agente buscará o próximo manipulador com a maior prioridade na lista. Além de atribuir a prioridade dos manipuladores em um grupo de manipuladores, você também pode definir a prioridade de atribuição do manipulador em vários grupos de manipuladores. Isso acrescenta mais uma camada de redundância ao ambiente para maior garantia de que os agentes sempre receberão as informações necessárias. Arquivos sitelist Os agentes usam os arquivos sitelist.xml e sitelist.info para decidir com qual manipulador se comunicar. Sempre que as atribuições e prioridades do manipulador são atualizadas, esses arquivos são atualizados no sistema gerenciado. Após a atualização desses arquivos, o agente implementa a nova atribuição ou prioridade na próxima comunicação agente servidor programada. 94 Software McAfee epolicy Orchestrator Guia de produto

95 Manipuladores de agentes Gerenciamento dos Manipuladores de agentes 8 Gerenciamento dos Manipuladores de agentes Configure os Manipuladores de agentes na sua rede e atribua os McAfee Agents a eles. s Atribuição do McAfee Agents aos manipuladores de agentes na página 95 Atribua agentes a manipuladores específicos. Você pode atribuir sistemas individualmente, por grupo e por sub rede. Gerenciamento de atribuições do manipulador de agentes na página 96 Execute as tarefas comuns de gerenciamento para atribuições do manipulador de agentes. Criação de grupos de manipuladores de agentes na página 96 Grupos de manipuladores facilitam o gerenciamento de vários manipuladores em toda a rede e podem desempenhar uma função em sua estratégia de reserva. Gerenciamento de grupos de manipuladores de agentes na página 97 Execute as tarefas comuns de gerenciamento para grupos do manipulador de agentes. Movimentação de agentes entre manipuladores na página 97 Atribua agentes a manipuladores específicos. Você pode atribuir sistemas usando regras de atribuição de Manipulador de agentes, prioridade de atribuição de Manipulador de agentes ou individualmente usando a árvore de sistemas. Atribuição do McAfee Agents aos manipuladores de agentes Atribua agentes a manipuladores específicos. Você pode atribuir sistemas individualmente, por grupo e por sub rede. As atribuições de manipulador podem especificar um manipulador específico ou uma lista de manipuladores a serem utilizados. A lista que você especifica pode ser formada por manipuladores ou por grupos de manipuladores. 1 Clique em Menu Configuração Manipuladores de agentes e, em seguida, clique em Ações Nova atribuição. 2 Especifique um nome exclusivo para essa atribuição. 3 Especifique os agentes para essa atribuição usando uma ou as duas opções de Critério do agente: Navegue até uma Localização na árvore de sistemas. Digite o endereço IP, a faixa de IP ou a máscara da sub rede dos sistemas gerenciados no campo Sub rede de agentes. 4 Especifique a Prioridade dos manipuladores decidindo se deve: Usar todos os manipuladores de agentes Os agentes selecionam aleatoriamente com qual manipulador se comunicarão. Usar lista de manipuladores personalizada Ao usar uma lista de manipuladores personalizada, selecione o manipulador ou grupo de manipuladores no menu suspenso. Ao usar uma lista de manipuladores personalizada, use + e para adicionar e remover mais Manipuladores de agentes (é possível incluir um Manipulador de agentes em mais de um grupo). Use a alça de arrastar e soltar para alterar a prioridade dos manipuladores. A prioridade determina com qual manipulador os agentes tentarão se comunicar primeiramente. Software McAfee epolicy Orchestrator Guia de produto 95

96 8 Manipuladores de agentes Gerenciamento dos Manipuladores de agentes Gerenciamento de atribuições do manipulador de agentes Execute as tarefas comuns de gerenciamento para atribuições do manipulador de agentes. Para executar essas ações, clique em Menu Configuração Manipuladores de agentes e, em Regras de atribuição de manipuladores, clique em Ações. Para fazer isto... Excluir uma atribuição de manipuladores Editar uma atribuição de manipuladores Execute este procedimento... Clique em Excluir na linha da atribuição selecionada. Clique em Editar para a atribuição selecionada. Será aberta a página Atribuição de manipulador de agentes, onde você pode especificar: Nome da atribuição o nome exclusivo que identifica essa atribuição de manipuladores. Critério do agente os sistemas que estão incluídos nessa atribuição. Você pode adicionar e remover grupos na árvore de sistemas ou modificar a lista de sistemas na caixa de texto. Prioridade dos manipuladores indique se deseja usar todos os Manipuladores de agentes ou uma lista de manipuladores personalizada. Quando a opção Usar todos os manipuladores de agentes é selecionada, os agentes selecionam aleatoriamente o manipulador com o qual se comunicarão. Use a alça de arrastar e soltar para alterar rapidamente a prioridade dos manipuladores na sua lista de manipuladores personalizada. Exportar atribuições de manipuladores Importar atribuições de manipuladores Editar a prioridade das atribuições de manipuladores Exibir o resumo dos detalhes de uma atribuição de manipuladores Clique em Exportar. Será aberta a página Fazer download de atribuições de manipulador de agentes, onde você pode exibir ou fazer download do arquivo AgentHandlerAssignments.xml. Clique em Importar. Será aberta a caixa de diálogo Importar atribuições de manipulador de agentes, onde você pode navegar até um arquivo AgentHandlerAssignments.xml obtido anteriormente por download. Clique em Editar prioridade. Será aberta a página Atribuição de manipulador de agentes Editar prioridade, onde você poderá alterar a prioridade das atribuições de manipuladores usando a alça de arrastar e soltar. Clique em > na linha da atribuição selecionada. Criação de grupos de manipuladores de agentes Grupos de manipuladores facilitam o gerenciamento de vários manipuladores em toda a rede e podem desempenhar uma função em sua estratégia de reserva. 1 Clique em Menu Configuração Manipuladores de agentes, Grupos de manipuladores e, em seguida, clique em Novo grupo. A página Adicionar/editar grupo será exibida. 96 Software McAfee epolicy Orchestrator Guia de produto

97 Manipuladores de agentes Gerenciamento dos Manipuladores de agentes 8 2 Especifique o nome do grupo e os detalhes dos Manipuladores incluídos, incluindo: Clique em Usar balanceador de carga para usar um balanceador de carga de terceiro e digite nos campos Nome DNS virtual e Endereço IP virtual (ambos os campos são necessários). Clique em Usar lista de manipuladores personalizada para especificar quais manipuladores de agentes serão incluídos no grupo. Ao usar uma lista de manipuladores personalizada, selecione os manipuladores a partir da lista suspensa Manipuladores incluídos. Use + e para adicionar e remover manipuladores de agentes adicionais da lista (um manipulador de agentes pode ser incluído em mais de um grupo). Use a alça de arrastar e soltar para alterar a prioridade dos manipuladores. A prioridade determina com qual manipulador os agentes tentarão se comunicar primeiramente. 3 Clique em Salvar. Gerenciamento de grupos de manipuladores de agentes Execute as tarefas comuns de gerenciamento para grupos do manipulador de agentes. Para executar essas ações, clique em Menu Configuração Manipuladores de agentes e no monitor Grupos de manipuladores. Para fazer isto... Excluir um grupo de manipuladores Editar um grupo de manipuladores Execute este procedimento... Clique em Excluir na linha do grupo selecionado. Clique no grupo de manipuladores. Será aberta a página Configurações de grupo de Manipuladores de agentes, onde você pode especificar: Nome DNS virtual o nome exclusivo que identifica esse grupo de manipuladores. Endereço IP virtual o endereço IP associado a esse grupo. Manipuladores incluídos indique se deseja usar um balanceador de carga de terceiros ou uma lista de manipuladores personalizada. Use uma lista de manipuladores personalizada para especificar com quais manipuladores, e em qual ordem, os agentes atribuídos a esse grupo se comunicam. Ativar ou desativar um grupo de manipuladores Clique em Ativar ou Desativar na linha do grupo selecionado. Movimentação de agentes entre manipuladores Atribua agentes a manipuladores específicos. Você pode atribuir sistemas usando regras de atribuição de Manipulador de agentes, prioridade de atribuição de Manipulador de agentes ou individualmente usando a árvore de sistemas. As atribuições de manipulador podem especificar um manipulador específico ou uma lista de manipuladores a serem utilizados. A lista que você especifica pode ser formada por manipuladores ou por grupos de manipuladores. s Agrupamento de agentes usando atribuições do Manipulador de agentes na página 98 Crie atribuições do manipulador de agentes para agrupar os McAfee Agents. Agrupamento de agentes por prioridade de atribuição na página 98 Agrupe agentes e atribua os a um manipulador de agentes que utilize prioridade de atribuição. Agrupamento de agentes usando a árvore de sistemas na página 99 Use a árvore de sistemas para agrupar agentes e atribuí los a um Manipulador de agentes. Software McAfee epolicy Orchestrator Guia de produto 97

98 8 Manipuladores de agentes Gerenciamento dos Manipuladores de agentes Agrupamento de agentes usando atribuições do Manipulador de agentes Crie atribuições do manipulador de agentes para agrupar os McAfee Agents. As atribuições de manipulador podem especificar um manipulador específico ou uma lista de manipuladores a serem utilizados. A lista que você especifica pode ser formada por manipuladores ou por grupos de manipuladores. Ao atribuir agentes aos Manipuladores de agentes, considere a proximidade geográfica para reduzir tráfego de rede desnecessário. 1 Clique em Menu Configuração Manipuladores de agentes e, em seguida, clique na Regra de atribuição de manipuladores necessária. Será exibida a página Atribuição de Manipulador de agentes. Se as Regras de atribuição padrão forem a única atribuição na lista, será necessário criar uma nova atribuição. 2 Digite um nome para o Nome da atribuição. 3 Você pode configurar o Critérios do agente por localizações na árvore de sistemas, por sub rede de agentes ou individualmente usando o seguinte: Localizações na árvore de sistemas Selecione o grupo na Localização na árvore de sistemas. Você pode navegar até outros grupos e selecioná los em Selecionar árvore de sistemas e usar + e para adicionar e remover grupos na árvore de sistemas exibidos. Sub rede de agentes No campo de texto, digite endereços IP, intervalos IP ou máscaras de sub rede na caixa de texto. Individualmente No campo de texto, digite o endereço IPv4/IPv6 de um sistema específico. 4 Você pode configurar a Prioridade dos manipuladores para Usar todos os Manipuladores de agentes ou Usar lista de manipuladores personalizada. Clique em Usar lista de manipuladores personalizada e altere o manipulador de uma das seguintes maneiras: Altere o manipulador associado adicionando outro à lista e excluindo o manipulador associado anteriormente. Adicione outros manipuladores à lista e defina a prioridade que o agente usa para se comunicar com os manipuladores. Quando você estiver usando uma lista de manipuladores personalizada, use + e para adicionar e remover outros Manipuladores de agentes da lista (é possível incluir um Manipulador de agentes em mais de um grupo). Use a alça de arrastar e soltar para alterar a prioridade dos manipuladores. A prioridade determina com qual manipulador os agentes tentarão se comunicar primeiramente. 5 Clique em Salvar. Agrupamento de agentes por prioridade de atribuição Agrupe agentes e atribua os a um manipulador de agentes que utilize prioridade de atribuição. As atribuições de manipulador podem especificar um manipulador específico ou uma lista de manipuladores a serem utilizados. A lista que você especifica pode ser formada por manipuladores ou 98 Software McAfee epolicy Orchestrator Guia de produto

99 Manipuladores de agentes Gerenciamento dos Manipuladores de agentes 8 por grupos de manipuladores. Essa lista define a ordem em que os agentes tentam se comunicar usando determinado Manipulador de agentes. Ao atribuir sistemas a Manipuladores de agentes, considere a proximidade geográfica para reduzir tráfego de rede desnecessário. 1 Clique em Menu Configuração Manipuladores de agentes. Será exibida a página Manipulador de agentes. Se as Regras de atribuição padrão forem a única atribuição na lista, será necessário criar uma nova atribuição. 2 Edite atribuições usando as etapas na tarefa Agrupamento de agentes por regras de atribuição. 3 Conforme necessário, modifique a prioridade ou a hierarquia das atribuições clicando em Ações Editar prioridade. Mover uma atribuição para uma prioridade inferior à de outra atribuição cria uma hierarquia, onde, na verdade, a atribuição inferior faz parte da superior. 4 Para alterar a prioridade de uma atribuição, que é mostrada na coluna Prioridade à esquerda, execute um dos seguintes procedimentos: Usar arrastar e soltar use a alça de arrastar e soltar para arrastar a linha da atribuição para cima ou para baixo até outra posição na coluna Prioridade. Clique em Mover para o início nas Ações rápidas, clique em Mover para o início para mover automaticamente a atribuição selecionada para a prioridade mais alta. 5 Quando as prioridades das atribuições estiverem configuradas corretamente, clique em Salvar. Agrupamento de agentes usando a árvore de sistemas Use a árvore de sistemas para agrupar agentes e atribuí los a um Manipulador de agentes. As atribuições de manipulador podem especificar um manipulador específico ou uma lista de manipuladores a serem utilizados. A lista que você especifica pode ser formada por manipuladores ou por grupos de manipuladores. Ao atribuir sistemas a Manipuladores de agentes, considere a proximidade geográfica para reduzir tráfego de rede desnecessário. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas. 2 Na coluna Árvore de sistemas, navegue até o sistema ou grupo que você deseja mover. 3 Use a alça de arrastar e soltar para mover sistemas do grupo configurado no momento para o grupo do sistema de destino. 4 Clique em OK. Software McAfee epolicy Orchestrator Guia de produto 99

100 8 Manipuladores de agentes Gerenciamento dos Manipuladores de agentes 100 Software McAfee epolicy Orchestrator Guia de produto

101 Gerenciamento da sua segurança de rede Uma parte essencial da proteção de sua organização contra ameaças é manter seus produtos McAfee atualizados com os últimos conteúdos de segurança. Seu servidor McAfee epo ajuda você a fazer isso para todos os sistemas em sua rede. Capítulo 9 Capítulo 10 Capítulo 11 Capítulo 12 Capítulo 13 Capítulo 14 Capítulo 15 Capítulo 16 Capítulo 17 Árvore de sistemas Comunicação agente-servidor Gerenciador de software Distribuição de produtos Gerenciamento de políticas s do cliente e do servidor Gerenciamento manual de pacotes e atualizações Eventos e respostas Ameaças de segurança do McAfee Labs Software McAfee epolicy Orchestrator Guia de produto 101

102 Gerenciamento da sua segurança de rede 102 Software McAfee epolicy Orchestrator Guia de produto

103 9 Árvore 9 de sistemas A Árvore de sistemas é uma representação gráfica de como sua rede gerenciada é organizada. Use o software epolicy Orchestrator para automatizar e personalizar a organização de sistemas. A estrutura organizacional que você implementa afeta a maneira como as políticas de segurança são herdadas e impostas em todo o seu ambiente. Você pode organizar a sua árvore de sistemas usando um destes métodos: Sincronização automática com o seu servidor do Active Directory ou servidor de domínios do NT. Classificação baseada em critérios, usando critérios aplicados a sistemas manual ou automaticamente. Organização manual no console (arrastar e soltar). Conteúdo Estrutura da árvore de sistemas Considerações ao planejar sua árvore de sistemas Sincronização de domínios do Active Directory e do NT Classificação baseada em critérios Marcas Como um sistema é adicionado à árvore de sistemas quando classificado Ativação da classificação da árvore de sistemas no servidor Criação e preenchimento de grupos da árvore de sistemas Movimentação de sistemas na árvore de sistemas Transferência de sistemas entre servidores Estrutura da árvore de sistemas A Árvore de sistemas é uma estrutura hierárquica que organiza os sistemas em grupos e subgrupos na rede. A estrutura padrão da árvore de sistemas inclui dois grupos: Minha organização A raiz da árvore de sistemas. Achados e perdidos O grupo genérico de qualquer sistema que não foi ou pôde ser adicionado a outros grupos na árvore de sistemas. Grupo Minha organização O grupo Minha organização, a raiz da árvore de sistemas, contém todos os sistemas adicionados ou excluídos na rede (manual ou automaticamente). Até que você crie sua própria estrutura, todos os sistemas serão adicionados ao grupo de achados e perdidos. Software McAfee epolicy Orchestrator Guia de produto 103

104 9 Árvore de sistemas Estrutura da árvore de sistemas O grupo Minha organização tem as seguintes características: Não pode ser excluído. Não pode ser renomeado. Grupo de achados e perdidos O grupo de achados e perdidos é um subgrupo do grupo Minha organização. Dependendo dos métodos especificados na criação e manutenção da árvore de sistemas, o servidor usa características diferentes para determinar onde os sistemas serão inseridos. O grupo de achados e perdidos armazena os sistemas cujos locais não puderam ser determinados. O grupo de achados e perdidos tem as seguintes características: Não pode ser excluído. Não pode ser renomeado. Seu critério de classificação não pode deixar de ser um grupo genérico (embora você possa fornecer critérios de classificação para os subgrupos criados nele). O grupo sempre é exibido por último na lista e não está em ordem alfabética entre seus pares. Os usuários devem receber permissões do grupo de achados e perdidos para ver seu conteúdo. Quando um sistema é classificado no Achados e perdidos, ele é inserido em um subgrupo nomeado de acordo com o domínio do sistema. Se tal grupo não existir, um será criado. Se você excluir os sistemas da árvore de sistemas, não deixe de selecionar a opção para remover seus agentes. Se o agente não for removido, os sistemas excluídos reaparecerão no grupo de achados e perdidos, pois o agente continua se comunicando com o servidor. Grupos na árvore de sistemas Os grupos na árvore de sistemas representam um conjunto de sistemas. Decidir quais sistemas serão agrupados depende das necessidades exclusivas de sua rede e de seus negócios. É possível agrupar sistemas com base no tipo de máquina (p. ex.: laptops, servidores, desktops), região (p. ex.: América do Norte ou Europa), fronteiras políticas (p. ex.: finanças, desenvolvimento) ou qualquer outro critério compatível com suas necessidades. Os grupos têm as seguintes características: São criados por administradores ou usuários com as devidas permissões. Podem incluir sistemas e outros grupos (subgrupos). São administrados por um administrador ou usuário com as devidas permissões. Agrupar sistemas com propriedades ou requisitos similares nessas unidades permite que você gerencie políticas para sistemas em um único local, em vez de configurar políticas para cada sistema individualmente. Como parte do processo de planejamento, considere a melhor forma de organizar sistemas em grupos antes de construir a árvore de sistemas. 104 Software McAfee epolicy Orchestrator Guia de produto

105 Árvore de sistemas Considerações ao planejar sua árvore de sistemas 9 Herança A herança é uma propriedade importante que simplifica a administração de políticas e tarefas. Em razão da herança, os grupos filho na hierarquia da árvore de sistemas herdam as políticas definidas nos grupos pai. Por exemplo: As políticas definidas no nível Minha organização da árvore de sistemas são herdadas pelos grupos abaixo dele. As políticas de grupos são herdadas por subgrupos ou sistemas individuais naquele grupo. A herança é ativada por padrão para todos os grupos e sistemas individuais adicionados à árvore de sistemas. Isso permite que você defina políticas e programe tarefas de cliente em menos locais. Para permitir a personalização, no entanto, a herança pode ser interrompida pela aplicação de uma nova política em qualquer local da árvore de sistemas (desde que o usuário tenha as permissões adequadas). Você pode bloquear atribuições de política para manter a herança. Considerações ao planejar sua árvore de sistemas Uma árvore de sistemas eficiente e bem planejada pode simplificar a manutenção. Muitas realidades administrativas, de rede e políticas de cada ambiente podem afetar a estruturação da árvore de sistemas. Planeje a organização da árvore de sistemas antes de compilá la e preenchê la. Principalmente no caso de uma rede grande, convém compilar a árvore de sistemas somente uma vez. Como cada rede é diferente e requer políticas diferentes e, possivelmente, gerenciamento diferente a McAfee recomenda o planejamento da árvore de sistemas antes da implementação do software McAfee epo. Independente dos métodos escolhidos para criar e preencher a árvore de sistemas, considere seu ambiente ao planejar a árvore de sistemas. Acesso do administrador Ao planejar a organização de sua árvore de sistemas, considere os requisitos de acesso dos usuários que devem gerenciar os sistemas. Por exemplo, você talvez tenha uma administração de rede muito descentralizada em sua organização, onde diferentes administradores têm responsabilidades sobre diferentes partes da rede. Por motivos de segurança, talvez você não tenha uma conta de administrador com acesso a cada parte da rede. Nesse cenário, talvez você não possa definir políticas e distribuir agentes usando uma única conta de administrador. Em vez disso, provavelmente você precisa organizar a árvore de sistemas em grupos, de acordo com essas divisões, e criar contas e conjuntos de permissões. Considere essas perguntas: Quem é responsável pelo gerenciamento de quais sistemas? Quem requer acesso para exibir informações sobre os sistemas? Quem não deveria ter acesso aos sistemas e informações sobre eles? Essas perguntas impactam tanto a organização da árvore de sistemas quanto os conjuntos de permissões que você criou e aplicou nas contas de usuário. Software McAfee epolicy Orchestrator Guia de produto 105

106 9 Árvore de sistemas Considerações ao planejar sua árvore de sistemas Limites ambientais e seu impacto na organização de sistemas Como você organiza os sistemas para gerenciamento depende dos limites existentes na rede. Esses limites influenciam a organização da árvore de sistemas de forma diferente da organização da topologia da rede. A McAfee recomenda avaliar esses limites na rede e na organização, bem como se eles devem ser considerados ao se definir a organização da árvore de sistemas. Limites topológicos A rede já está definida pelos domínios do NT ou contêineres do Active Directory. Quanto melhor estiver organizado o ambiente da rede, mais fácil será para criar e manter a árvore de sistemas com os recursos de sincronização. Limites geográficos O gerenciamento de segurança é um equilíbrio constante entre proteção e desempenho. Organize a árvore de sistemas para fazer o melhor uso da largura de banda da rede limitada. Leve em conta como o servidor se conecta com todas as partes da rede, especialmente locais remotos que são sempre conectados por meio de conexões WAN ou VPN (rede privada virtual) mais lentas em vez de conexões LAN mais rápidas. Você pode configurar políticas de atualização e de comunicação agente servidor de forma diferente para sites remotos para minimizar o tráfego da rede com conexões mais lentas. Agrupar os sistemas primeiro por região oferece várias vantagens para a configuração de políticas: Você pode configurar políticas de atualização para o grupo de forma que todos os sistemas sejam atualizados a partir de um ou mais repositórios distribuídos de software localizados por perto. Você pode programar as tarefas de cliente para serem executadas em um momento mais adequado ao local do site. Limites políticos Muitas redes grandes são dividas pelos indivíduos ou grupos responsáveis pelo gerenciamento de diferentes partes da rede. Às vezes, esses limites não coincidem com os limites topológicos ou geográficos. Quem acessa e gerencia os segmentos da árvore de sistemas afeta a maneira como são estruturados. Limites funcionais Algumas redes são divididas pelas funções dos que usam a rede; por exemplo, vendas e engenharia. Mesmo se a rede não for dividida pelos limites funcionais, talvez seja necessário organizar os segmentos da árvore de sistemas por funcionalidade, se grupos diferentes requererem políticas diferentes. Um grupo de negócios pode executar um software específico que exija políticas de segurança especiais. Por exemplo, organizar os Exchange Servers de e mail em um grupo e definir exclusões específicas para a varredura ao acessar do McAfee VirusScan Enterprise Sub-redes e faixas de endereços IP Em muitos casos, unidades organizacionais de uma rede usam sub redes específicas ou faixas de IP, de forma que é possível criar um grupo para uma localização geográfica e configurar filtros de IP. Além 106 Software McAfee epolicy Orchestrator Guia de produto

107 Árvore de sistemas Sincronização de domínios do Active Directory e do NT 9 disso, se a rede não for distribuída geograficamente, é possível usar o local na rede, como endereço IP, como principal critério de agrupamento. Se possível, considere o uso de critérios de classificação com base em informações de endereço IP, para automatizar a criação e manutenção da árvore de sistemas. Configure as máscaras de sub rede IP ou os critérios de faixa de endereço IP para grupos aplicáveis com a árvore de sistemas. Esses filtros preenchem automaticamente os locais com os sistemas adequados. Sistemas operacionais e software Considere o agrupamento de sistemas com sistemas operacionais semelhantes para gerenciar mais facilmente políticas e produtos específicos do sistema operacional. Se você tiver sistemas legados, poderá criar um grupo para eles e distribuir e gerenciar produtos de segurança nesses sistemas separadamente. Além disso, ao fornecer a esses sistemas uma marca correspondente, você pode classificá los automaticamente em um grupo. Marcas e sistemas com características similares Você pode usar marcas para classificação automatizada em grupos. As marcas identificam sistemas com características similares. Se você puder organizar seus grupos por características, poderá criar e atribuir marcas com base nesses critérios e usar essas marcas como critérios de classificação de grupos para garantir que os sistemas sejam automaticamente inseridos nos grupos apropriados. Se possível, considere usar critérios de classificação baseados em marcas para preencher automaticamente os grupos com os sistemas apropriados. Sincronização de domínios do Active Directory e do NT O software epolicy Orchestrator pode se integrar aos domínios do Active Directory e do NT como fonte para os sistemas e usar o Active Directory como fonte para a estrutura da árvore de sistemas. Sincronização do Active Directory Se sua rede executa o Active Directory, você pode usar a sincronização do Active Directory para criar, preencher e manter a árvore de sistemas total ou parcialmente. Após definida, a árvore de sistemas é atualizada com qualquer novo sistema (e subcontêineres) no Active Directory. A integração com o Active Directory permite que você: Sincronize se com a estrutura do Active Directory, importando os sistemas e os subcontêineres do Active Directory (como grupos na árvore de sistemas) e os mantendo atualizados com o Active Directory. Em cada sincronização, os sistemas e a estrutura na árvore de sistemas são atualizados para refletir os sistemas e a estrutura do Active Directory. Importe sistemas como uma lista simples do contêiner (e subcontêineres) do Active Directory para o grupo sincronizado. Controle o que fazer com os possíveis sistemas duplicados. Use a descrição do sistema, que é importada do Active Directory com os sistemas. Software McAfee epolicy Orchestrator Guia de produto 107

108 9 Árvore de sistemas Sincronização de domínios do Active Directory e do NT Nas versões anteriores do epolicy Orchestrator, havia duas tarefas: Importação do Active Directory e Descoberta do Active Directory. Agora, use esse processo para integrar a árvore de sistemas à estrutura de sistemas do Active Directory: 1 Defina as configurações de sincronização em cada grupo que for um ponto de mapeamento da árvore de sistemas. No mesmo local, você pode configurar se: Distribui agentes para sistemas descobertos. Exclui sistemas da árvore de sistemas quando forem excluídos do Active Directory. Permite ou não entradas duplicadas dos sistemas que existem em outro local na árvore de sistemas. 2 Use a ação Sincronizar agora para importar os sistemas (e possivelmente a estrutura) do Active Directory para a árvore de sistemas de acordo com as configurações de sincronização. 3 Use a tarefa do servidor de Sincronização do Active Directory/de domínios do NT para sincronizar com regularidade os sistemas (e possivelmente a estrutura) do Active Directory com a árvore de sistemas de acordo com as configurações de sincronização. Tipos de sincronização do Active Directory Existem dois tipos de sincronização do Active Directory (somente sistemas e sistemas e estrutura). Qual você deve usar depende do nível de integração desejada com o Active Directory. Com cada tipo, você controla a sincronização selecionando se deseja: Distribuir agentes automaticamente para sistemas novos no epolicy Orchestrator. Talvez não seja desejável definir essa opção na sincronização inicial se estiver importando um grande número de sistemas com uma largura de banda limitada. O tamanho do MSI do agente é de cerca de 6 MB. Entretanto, você pode desejar distribuir agentes automaticamente para qualquer novo sistema detectado no Active Directory durante a sincronização subsequente. Excluir sistemas do epolicy Orchestrator (e remover seus agentes) quando forem excluídos do Active Directory. Evitar a inclusão de sistemas no grupo de eles existirem em outra parte da Árvore de sistemas. Isso evita a duplicação de sistemas se você mover manualmente ou classificar o sistema em outro local. Excluir da sincronização contêineres específicos do Active Directory. Esses contêineres e seus sistemas serão ignorados durante a sincronização. Sistemas e estrutura Ao usar esse tipo de sincronização, as alterações na estrutura do Active Directory são transferidas para a estrutura da sua árvore de sistemas na próxima sincronização. Quando sistemas ou contêineres são adicionados, movidos ou removidos no Active Directory, eles são adicionados, movidos ou removidos nos locais correspondentes da Árvore de sistemas. Quando usar esse tipo de sincronização Use esse tipo de sincronização para garantir que a Árvore de sistemas (ou partes dela) seja exatamente igual à estrutura do seu Active Directory. Se a organização do Active Directory atender às suas necessidades de gerenciamento de segurança e você desejar que a Árvore de sistemas continue igual à estrutura do Active Directory mapeado, use este tipo de sincronização com a sincronização subsequente. Somente sistemas Use este tipo de sincronização para importar sistemas de um contêiner do Active Directory, incluindo os sistemas em sub contêineres não excluídos, como uma lista simples para um grupo na árvore de 108 Software McAfee epolicy Orchestrator Guia de produto

109 Árvore de sistemas Classificação baseada em critérios 9 sistemas mapeado. Então, você poderá removê los para locais apropriados na Árvore de sistemas por meio da atribuição de critérios de classificação para grupos. Se você optar por esse tipo de sincronização, certifique se de selecionar a opção para não adicionar sistemas novamente se eles existirem em outra parte da Árvore de sistemas. Isso impede que entradas duplicadas de sistemas sejam criadas na árvore de sistemas. Quando usar esse tipo de sincronização Use este tipo de sincronização quando usar o Active Directory como uma fonte regular de sistemas para o epolicy Orchestrator, mas as necessidades organizacionais para o gerenciamento de segurança não coincidirem com os contêineres e os sistemas da organização no Active Directory. Sincronização de domínios do NT Use os seus domínios do NT como uma origem para preencher a sua árvore de sistemas. Quando você sincroniza um grupo com um domínio do NT, todos os sistemas do domínio são inseridos no grupo como uma lista simples. Você pode gerenciar esses sistemas no grupo único ou criar subgrupos para necessidades organizacionais mais detalhadas. Use um método, como classificação automática, para preencher esses subgrupos automaticamente. Se você mover sistemas para outros grupos ou subgrupos da árvore de sistemas, opte por não adicionar os sistemas quando eles já existirem em outra parte da árvore. Isso impede que entradas duplicadas de sistemas sejam criadas na árvore de sistemas. Diferentemente da sincronização do Active Directory, somente os nomes de sistema são sincronizados com a sincronização de domínios do NT. A descrição do sistema não é sincronizada. Classificação baseada em critérios Como nas antigas versões do epolicy Orchestrator, você pode usar informações de endereço IP para classificar automaticamente sistemas gerenciados em grupos específicos. Também é possível criar critérios de classificação baseados em marcas, que são como rótulos atribuídos aos sistemas. Você pode usar um ou outro tipo de critério ou ambos para garantir que os sistemas estão onde você deseja na árvore de sistemas. Os sistemas precisam corresponder somente a um dos critérios de classificação do grupo para serem inseridos em um grupo. Após a criação dos grupos e configuração dos critérios de classificação, execute uma ação Classificação de teste para confirmar se o critério e a ordem de classificação obtêm os resultados desejados. Após adicionar critérios de classificação aos grupos, você pode executar a ação Classificar agora. A ação move os sistemas selecionados para o grupo apropriado automaticamente. Os sistemas que não corresponderem aos critérios de classificação de nenhum grupo serão movidos para Achados e perdidos. Os novos sistemas que fizerem uma chamada para o servidor pela primeira vez serão adicionados automaticamente ao grupo correto. No entanto, se você definir os critérios de classificação após a comunicação inicial agente servidor, deverá executar a ação Classificar agora nesses sistemas para movê los de imediato para o grupo apropriado ou aguardar até a próxima comunicação agente servidor. Software McAfee epolicy Orchestrator Guia de produto 109

110 9 Árvore de sistemas Classificação baseada em critérios Status da classificação de sistemas Em qualquer sistema ou conjunto de sistemas, você pode ativar ou desativar a classificação da árvore de sistemas. Se você desativar a classificação da árvore de sistemas em um sistema, ele será excluído das ações de classificação, exceto quando a ação Classificação de teste for executada. Quando uma classificação de teste é executada, o status da classificação do sistema ou do conjunto é levado em conta e pode ser movido ou classificado na página Classificação de teste. Configurações de classificação da árvore de sistemas no servidor McAfee epo Para que a classificação ocorra, ela deve ser ativada no servidor e nos sistemas. Por padrão, a classificação de sistemas é feita após ser ativada. Como resultado, os sistemas são classificados na primeira comunicação agente servidor (ou em seguida, se forem aplicadas alterações aos sistemas existentes) e não são classificados novamente. Classificação de teste de sistemas Use esse recurso para exibir onde os sistemas seriam inseridos em uma ação de classificação. A página Classificação de teste exibe os sistemas e caminhos para o local em que eles seriam classificados. Embora essa página não exiba o status da classificação dos sistemas, se você selecionar os sistemas na página (mesmo aqueles com a classificação desativada), ao clicar em Mover sistemas, esses sistemas serão inseridos no local identificado. Como as configurações afetam a classificação Você pode escolher três configurações de servidor que determinam se e quando os sistemas são classificados. Além disso, você também pode indicar se cada sistema pode ser classificado ativando ou desativando a classificação da árvore de sistemas em sistemas selecionados na árvore. Configurações do servidor O servidor tem três configurações: Desativar classificação da árvore de sistemas se a classificação baseada em critérios não atender às suas necessidades de gerenciamento de segurança e você quiser usar outros recursos da árvore de sistemas (como a sincronização do Active Directory) para organizar os seus sistemas, selecione esta configuração para impedir que outros usuários do McAfee epo configurem, por engano, critérios de classificação em grupos e movam sistemas para locais indesejáveis. Classificar sistemas em cada comunicação agente servidor os sistemas são classificados novamente em cada comunicação agente servidor. Quando você altera critérios de classificação em grupos, os sistemas são movidos para o novo grupo na próxima comunicação agente servidor. Classificar sistemas uma vez os sistemas são classificados na próxima comunicação agente servidor e marcados para não ser classificados novamente na comunicação agente servidor, desde que esta configuração esteja selecionada. Mesmo assim, você pode classificar esse sistema selecionando o e clicando em Classificar agora. Configurações do sistema Você pode desativar ou ativar a classificação da árvore de sistemas em qualquer sistema. Se você desativar a classificação em um sistema, este não será classificado, independentemente do modo como a ação de classificação for executada. No entanto, a execução da ação Classificação de teste classificará esse sistema. Se a classificação for ativada em um sistema, este será classificado sempre para a ação manual Classificar agora e poderá ser classificado na comunicação agente servidor, dependendo das configurações do servidor para classificação da árvore de sistemas. 110 Software McAfee epolicy Orchestrator Guia de produto

111 Árvore de sistemas Marcas 9 Critérios de classificação de endereços IP Em várias redes, as sub redes e as informações de endereço IP refletem distinções organizacionais, como localização geográfica ou função do cargo. Se a organização do endereço IP coincidir com as suas necessidades, considere a possibilidade de usar essas informações para criar e manter a estrutura da árvore de sistemas, no todo ou em parte, definindo critérios de classificação de endereços IP para esses grupos. Nesta versão do epolicy Orchestrator, essa funcionalidade mudou. Ela agora permite definir critérios de classificação do IP aleatoriamente em toda a árvore. Você não precisa mais assegurar que os critérios de classificação do endereço IP do grupo filho são um subconjunto do endereço UP do pai, desde que não haja critérios atribuídos ao pai. Uma vez configurados, é possível classificar os sistemas na comunicação agente servidor, ou somente quando uma ação de classificação é iniciada manualmente. Os critérios de classificação de endereços IP não devem se sobrepor entre diversos grupos. Cada faixa de IP ou máscara de sub rede nos critérios de classificação de um grupo deve cobrir um conjunto exclusivo de endereços IP. Se os critérios se sobrepuserem, o grupo em que esses sistemas acabarão dependerá da ordem dos subgrupos na guia Árvore de sistemas Detalhes do grupo. Você pode verificar se há sobreposição do IP usando a ação Verificar integridade do IP na guia Detalhes do grupo. Critérios de classificação baseados em marcas Além de usar as informações de endereço IP para classificar sistemas nos grupos apropriados, você pode definir os critérios de classificação com base nas marcas atribuídas aos sistemas. Os critérios baseados em marcas podem ser usados com critérios baseados em endereço IP para realizar a classificação. Ordem e classificação de grupos Para oferecer mais flexibilidade no gerenciamento da árvore de sistemas, você pode configurar a ordem dos subgrupos de um grupo e a ordem em que eles são considerados para o posicionamento de um sistema durante a classificação. Quando vários subgrupos têm critérios correspondentes, a alteração dessa ordem pode alterar a posição que um sistema acabará ocupando na árvore de sistemas. Além disso, se você estiver usando grupos genéricos, eles deverão ser o último subgrupo na lista. Grupos genéricos Os grupos genéricos são grupos cujos critérios de classificação estão definidos como Todos os outros na página Critérios de classificação do grupo. Somente os subgrupos na última posição da ordem de classificação podem ser grupos genéricos. Esses grupos recebem todos os sistemas que foram classificados no grupo pai, mas não foram classificados em qualquer dos pares dos grupos genéricos. Marcas Conteúdo Criação de marcas com o Construtor de marcas Aplicação das marcas baseadas em critérios a uma programação Exclusão de sistemas da marcação automática Aplicação das marcas a sistemas selecionados Aplicação automática de marcas baseadas em critérios em todos os sistemas correspondentes Software McAfee epolicy Orchestrator Guia de produto 111

112 9 Árvore de sistemas Marcas Criação de marcas com o Construtor de marcas Use o novo assistente do Construtor de marcas para criar marcas rapidamente. As marcas podem usar critérios que são avaliados quanto a cada sistema: Automaticamente na comunicação agente servidor. Quando a ação Executar critério de marcação é feita. Manualmente em sistemas selecionados, independente do critério, com a ação Aplicar marcação. Marcas sem critério podem ser aplicadas manualmente apenas em sistemas selecionados. 1 Clique em Menu Sistemas Catálogo de marcas e, em seguida, clique em Ações na marca Nova marca. O assistente do Construtor de marcas é aberto. 2 Na página Descrição, digite um nome e uma descrição relevante e clique em Avançar. A página Critérios é exibida. 3 Selecione e configure os critérios desejados e clique em Avançar. A página Avaliação é exibida. Para aplicar a marca automaticamente, você deve configurar critérios de marcação. 4 Selecione se os sistemas serão avaliados quanto aos critérios de marcação somente quando a ação Executar critério de marcação for realizada ou também em cada comunicação agente servidor e clique em Avançar. A página Visualização é exibida. Essas opções estarão indisponíveis se os critérios não forem configurados. Quando os sistemas são avaliados quanto aos critérios de marcação, a marca é aplicada aos sistemas que correspondem aos critérios e não foram excluídos da marca. 5 Verifique as informações nesta página e clique em Salvar. Se a marca tiver critérios, essa página exibirá o número de sistemas que receberão essa marca quando avaliados quanto a seus critérios. A marca é adicionada à lista de marcas na página Catálogo de marcas. Aplicação das marcas baseadas em critérios a uma programação Programe uma tarefa regular para aplicar uma marca a todos os sistemas correspondentes aos critérios de marcação. 1 Clique em Menu Automação s do servidor e, em seguida, clique em Ações Nova tarefa. A página Construtor de tarefas do servidor é exibida. 2 Na página Descrição, nomeie e descreva a tarefa e selecione se a tarefa deverá ser ativada após sua criação e clique em Avançar. A página Ações é exibida. 3 Selecione Executar critérios de marcação na lista suspensa e, em seguida, selecione uma marca na lista suspensa Marca. 112 Software McAfee epolicy Orchestrator Guia de produto

113 Árvore de sistemas Marcas 9 4 Selecione quando redefinir sistemas excluídos e marcados manualmente. A redefinição manual de sistemas marcados e excluídos remove a marca nos sistemas que não correspondem aos critérios e aplica a marca aos sistemas que correspondem aos critérios, mas foram excluídos da marcação. 5 Clique em Avançar para abrir a página Programar. 6 Programe a tarefa para as horas desejadas e clique em Avançar. 7 Revise as configurações da tarefa e clique em Salvar. A tarefa do servidor é adicionada à lista na página s do servidor. Se você tiver selecionado a ativação da tarefa no assistente do Construtor de tarefas do servidor, ela será executada no próximo horário programado. Exclusão de sistemas da marcação automática Evite sistemas de ter a aplicação de marcas específicas. Como opção, você pode usar uma consulta para coletar sistemas e, em seguida, excluir as marcas desejadas desses sistemas dos resultados da consulta. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e, em seguida, selecione o grupo que contém os sistemas na árvore. 2 Selecione um ou mais sistemas na tabela Sistemas e clique em Ações Marcar Excluir marca. 3 Na caixa de diálogo Excluir marca, selecione, na lista suspensa, a marca desejada a ser excluída dos sistemas selecionados e clique em OK. 4 Verifique se os sistemas foram excluídos da marca: a Clique em Menu Sistemas Catálogo de marcas e selecione a marca desejada na lista de marcas. b c Ao lado de Sistemas com marca no painel de detalhes, clique no link do número de sistemas excluídos da aplicação de marcas com base em critérios. Será exibida a página Sistemas excluídos da marca. Verifique se os sistemas desejados estão na lista. Aplicação das marcas a sistemas selecionados Aplique uma marca manualmente aos sistemas selecionados na árvore de sistemas. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e selecione o grupo que contém o sistema desejado. 2 Selecione os sistemas desejados e clique em Ações Marcar Aplicar marca. 3 Na caixa de diálogo Aplicar marca, selecione a marca desejada na lista suspensa para aplicar aos sistemas selecionados e clique em OK. Software McAfee epolicy Orchestrator Guia de produto 113

114 9 Árvore de sistemas Marcas 4 Verifique se as marcas foram aplicadas: a Clique em Menu Sistemas Catálogo de marcas e selecione a marca desejada na lista de marcas. b c Ao lado de Sistemas com marca no painel de detalhes, clique no link para obter o número de sistemas marcados manualmente. A página Sistemas com marca aplicada manualmente é exibida. Verifique se os sistemas desejados estão na lista. Aplicação automática de marcas baseadas em critérios em todos os sistemas correspondentes Use estas tarefas para aplicar marcas baseadas em critérios automaticamente em todos os sistemas que correspondem aos critérios. s Aplicação das marcas baseadas em critérios a todos os sistemas correspondentes na página 114 Aplique uma marca baseada em critérios a todos os sistemas não excluídos que corresponderem aos critérios especificados. Aplicação das marcas baseadas em critérios a uma programação na página 112 Programe uma tarefa regular para aplicar uma marca a todos os sistemas correspondentes aos critérios de marcação. Aplicação das marcas baseadas em critérios a todos os sistemas correspondentes Aplique uma marca baseada em critérios a todos os sistemas não excluídos que corresponderem aos critérios especificados. 1 Clique em Menu Sistemas Catálogo de marcas e selecione uma marca na lista Marcas. 2 Clique em Ações Executar critério de marcação. 3 No painel Ação, selecione quando redefinir os sistemas marcados e excluídos manualmente. A redefinição manual de sistemas marcados e excluídos remove a marca dos sistemas que não correspondem aos critérios e aplica a marca aos sistemas que correspondem aos critérios, mas foram excluídos da marcação. 4 Clique em OK. 5 Verifique se as marcas foram aplicadas aos sistemas: a Clique em Menu Sistemas Catálogo de marcas e selecione a marca desejada na lista de marcas. b c Ao lado de Sistemas com marca no painel de detalhes, clique no link para obter o número de sistemas com marca aplicada por critério. A página Sistemas com marca aplicada por critério é exibida. Verifique se os sistemas desejados estão na lista. A marca é aplicada a todos os sistemas que correspondem ao critério. 114 Software McAfee epolicy Orchestrator Guia de produto

115 Árvore de sistemas Como um sistema é adicionado à árvore de sistemas quando classificado 9 Aplicação das marcas baseadas em critérios a uma programação Programe uma tarefa regular para aplicar uma marca a todos os sistemas correspondentes aos critérios de marcação. 1 Clique em Menu Automação s do servidor e, em seguida, clique em Ações Nova tarefa. A página Construtor de tarefas do servidor é exibida. 2 Na página Descrição, nomeie e descreva a tarefa e selecione se a tarefa deverá ser ativada após sua criação e clique em Avançar. A página Ações é exibida. 3 Selecione Executar critérios de marcação na lista suspensa e, em seguida, selecione uma marca na lista suspensa Marca. 4 Selecione quando redefinir sistemas excluídos e marcados manualmente. A redefinição manual de sistemas marcados e excluídos remove a marca nos sistemas que não correspondem aos critérios e aplica a marca aos sistemas que correspondem aos critérios, mas foram excluídos da marcação. 5 Clique em Avançar para abrir a página Programar. 6 Programe a tarefa para as horas desejadas e clique em Avançar. 7 Revise as configurações da tarefa e clique em Salvar. A tarefa do servidor é adicionada à lista na página s do servidor. Se você tiver selecionado a ativação da tarefa no assistente do Construtor de tarefas do servidor, ela será executada no próximo horário programado. Como um sistema é adicionado à árvore de sistemas quando classificado Quando o agente se comunica com o servidor pela primeira vez, o servidor usa um algoritmo para inserir o sistema na árvore de sistemas. Quando ele não encontra um local apropriado para o sistema, insere o sistema no grupo de achados e perdidos. Em cada comunicação agente servidor, o servidor tenta localizar o sistema na árvore de sistemas por GUID do agente (somente sistemas cujos agentes fizeram chamadas para o servidor pela primeira vez têm um GUID do agente no banco de dados). Se um sistema correspondente for encontrado, ele será deixado no local em que está. Se um sistema correspondente não for encontrado, o servidor usará um algoritmo para classificar os sistemas em grupos apropriados. Os sistemas poderão ser classificados em qualquer grupo baseado em critérios na árvore de sistemas, seja qual for a profundidade em que esteja na estrutura, desde que cada grupo pai no caminho não tenha critérios não correspondentes. Os grupos pai de um subgrupo baseado em critérios deverão ter critérios correspondentes ou nenhum critério. Software McAfee epolicy Orchestrator Guia de produto 115

116 9 Árvore de sistemas Como um sistema é adicionado à árvore de sistemas quando classificado A ordem de classificação atribuída a cada subgrupo (definida na guia Detalhes do grupo) determina a ordem em que os subgrupos são considerados pelo servidor ao pesquisar um grupo com critérios correspondentes. 1 O servidor pesquisa um sistema sem um GUID do agente (seu agente nunca fez uma chamada antes) com um nome correspondente em um grupo com o mesmo nome do domínio. Se encontrado, o sistema será inserido nesse grupo. Isso pode acontecer após a primeira sincronização de domínios do NT ou do Active Directory ou quando você adiciona manualmente sistemas à árvore de sistemas. 2 Se um sistema correspondente ainda não for encontrado, o servidor pesquisará um grupo com o mesmo nome do domínio onde o sistema se originou. Se tal grupo não for encontrado, será criado um no grupo de achados e perdidos e o sistema será inserido ali. 3 As propriedades serão atualizadas para o sistema. 4 O servidor aplicará todas as marcas baseadas em critérios ao sistema, se o servidor for configurado para executar critérios de classificação a cada comunicação agente servidor. 5 O que acontecerá em seguida depende da ativação da classificação da árvore de sistemas no servidor e no sistema. Se a classificação da árvore de sistemas for desativada no servidor e no sistema, o sistema será deixado onde estiver. Se a classificação da árvore de sistemas for ativada no servidor e no sistema, o sistema será movido com base nos critérios de classificação dos grupos na árvore de sistema. Os sistemas adicionados pela sincronização de domínios do NT ou do Active Directory têm a classificação da árvore de sistemas desativada por padrão, portanto, não são classificados na primeira comunicação agente servidor. 6 O servidor considera os critérios de classificação de todos os grupos de nível mais alto de acordo com a ordem de classificação na guia Detalhes do grupo do grupo Minha organização. O sistema é inserido no primeiro grupo com critérios correspondentes ou em um grupo genérico. Após ser classificado em um grupo, cada um de seus subgrupos são considerados quanto a critérios correspondentes de acordo com a ordem de classificação na guia Detalhes do grupo. Isso continua até que não haja subgrupo com critérios correspondentes para o sistema e este seja inserido no último grupo encontrado com critérios correspondentes. 7 Se tal grupo de nível mais alto não for encontrado, os subgrupos dos grupos de nível mais alto (sem critério de classificação) serão considerados de acordo com sua classificação. 8 Se tal grupo baseado em critérios de segundo nível não for encontrado, os grupos baseados em critérios de terceiro nível dos grupos de segundo nível irrestritos serão considerados. Os subgrupos de grupos com critérios que não corresponderem não serão considerados. Um grupo deve ter critérios correspondentes ou nenhum critério para que seus subgrupos sejam considerados para um sistema. 116 Software McAfee epolicy Orchestrator Guia de produto

117 Árvore de sistemas Ativação da classificação da árvore de sistemas no servidor 9 9 Este processo continua por toda a árvore de sistemas até que um sistema seja classificado em um grupo. Se a configuração do servidor para a classificação da árvore de sistemas for definida para classificar somente na primeira comunicação agente servidor, um sinalizador será estabelecido no sistema. O sinalizador significa que o sistema nunca poderá ser classificado novamente na comunicação agente servidor, a menos que as configurações do servidor sejam alteradas para ativar a classificação a cada comunicação agente servidor. 10 Se o servidor não puder classificar o sistema em nenhum grupo, o sistema será inserido no grupo de achados e perdidos em um subgrupo nomeado de acordo com seu domínio. Ativação da classificação da árvore de sistemas no servidor Para que os sistemas sejam classificados, a classificação da árvore de sistemas deve ser ativada no servidor e nos sistemas desejados. 1 Clique em Menu Configuração Configurações do servidor, selecione Classificação da árvore de sistemas na lista Categorias de configurações e clique em Editar. 2 Selecione se a classificação de sistemas deverá ocorrer somente na primeira comunicação agente servidor ou a cada comunicação agente servidor. Se você tiver selecionado a classificação somente na primeira comunicação agente servidor, todos os sistemas ativados serão classificados na próxima comunicação agente servidor e nunca mais serão classificados novamente enquanto esta opção estiver selecionada. No entanto, esses sistemas poderão ser classificados de novo manualmente executando a ação Classificar agora ou alterando essa configuração para que a classificação ocorra a cada comunicação agente servidor. Se você tiver selecionado a classificação em cada comunicação agente servidor, todos os sistemas ativados serão classificados em cada comunicação agente servidor enquanto esta opção estiver selecionada. Criação e preenchimento de grupos da árvore de sistemas Crie grupos da árvore de sistemas e preencha os grupos com sistemas digitando os nomes NetBIOS para sistemas específicos ou importando os sistemas diretamente da rede. Também é possível preencher grupos arrastando sistemas selecionados para qualquer grupo da árvore de sistemas. O recurso arrastar e soltar também permite que você mova grupos e subgrupos na árvore de sistemas. Não há uma maneira única de organizar a árvore de sistemas e como cada rede é diferente, sua organização da árvore de sistemas pode ser tão exclusiva quanto o layout de sua rede. Embora você não use cada método oferecido, poderá usar mais de um. Por exemplo, se você usar o Active Directory na rede, considere a importação dos contêineres do Active Directory em vez dos domínios do NT. Se sua organização do domínio do NT ou do Active Directory não fizer sentido para o gerenciamento de segurança, você poderá criar sua árvore de sistemas em um arquivo de texto e importá lo para a árvore de sistemas. Se você tiver uma rede pequena, poderá criar a árvore de sistemas à mão e adicionar cada sistema manualmente. Software McAfee epolicy Orchestrator Guia de produto 117

118 9 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas s Criação manual de grupos na página 118 Crie subgrupos da árvore de sistemas manualmente. Você pode preencher esses grupos com sistemas digitando os nomes NetBIOS para sistemas individuais ou importando os sistemas diretamente da rede. Adição manual de sistemas a um grupo existente na página 119 Importe sistemas da vizinhança da rede para grupos. Você também pode importar um domínio de rede ou contêiner do Active Directory. Exportação de sistemas da árvore de sistemas na página 120 Exporte uma lista de sistemas da árvore de sistemas para um arquivo.txt para uso posterior. Exporte no nível do grupo ou subgrupo, preservando a organização da árvore de sistemas. Importação de sistemas de um arquivo de texto na página 120 Crie um arquivo de texto dos sistemas e grupos a serem importados para a árvore de sistemas. Classificação dos sistemas em grupos com base em critérios na página 121 Configure e implemente a classificação em sistemas de grupos. Para classificar sistemas em grupos, a classificação deve ser ativada no servidor e nos sistemas desejados, de forma que os critérios de classificação e a ordem de classificação dos grupos devem ser configurados. Importação de contêineres do Active Directory na página 124 Importe sistemas de contêineres do Active Directory diretamente para a árvore de sistemas, mapeando os contêineres de origem do Active Directory para grupos da árvore de sistemas. Importação de domínios do NT para um grupo existente na página 126 Importe sistemas de um domínio do NT para um grupo criado manualmente. Programação da sincronização da Árvore de sistemas na página 127 Programe uma tarefa do servidor que atualiza a Árvore de sistemas com as mudanças no domínio mapeado ou no contêiner do Active Directory. Atualização manual de um grupo sincronizado com um domínio do NT na página 128 Atualize um grupo sincronizado com alterações no um domínio do NT associado. Criação manual de grupos Crie subgrupos da árvore de sistemas manualmente. Você pode preencher esses grupos com sistemas digitando os nomes NetBIOS para sistemas individuais ou importando os sistemas diretamente da rede. 1 Selecione o grupo desejado na árvore de sistemas sob o qual criar um subgrupo. Em seguida: Na página Detalhes do grupo Menu Sistemas Árvore de sistemas Detalhes do grupo, clique em Ações Novo subgrupo. Na página Árvore de sistemas Menu Sistemas Árvore de sistemas, clique em Ações da árvore de sistemas Novo subgrupo. 2 A caixa de diálogo Novo subgrupo será exibida. Você pode criar mais de um subgrupo por vez. 3 Digite o nome desejado e clique em OK. O novo grupo é exibido na árvore de sistemas. 118 Software McAfee epolicy Orchestrator Guia de produto

119 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas 9 4 Repita quantas vezes forem necessárias até que você esteja pronto para preencher os grupos com os sistemas desejados. Adicione os sistemas à árvore de sistemas e verifique se estão no grupo desejado ao: Digitar os nomes de sistema manualmente. Importá los dos domínios do NT ou dos contêineres do Active Directory. Você pode sincronizar regularmente um domínio ou contêiner com um grupo para facilitar a manutenção. Configurar o critério de classificação baseado no endereço IP ou em marcas nos grupos. Quando os agentes forem incluídos de sistemas com informações de endereço IP ou marcas correspondentes, eles serão inseridos automaticamente nos grupos apropriados. Adição manual de sistemas a um grupo existente Importe sistemas da vizinhança da rede para grupos. Você também pode importar um domínio de rede ou contêiner do Active Directory. 1 Clique em Menu Sistemas Árvore de sistemas e, no menu suspenso Ações da árvore de sistemas, selecione Novos sistemas. A página Novos sistemas é exibida. 2 Selecione quando distribuir o agente nos novos sistemas e se os sistemas serão adicionados ao grupo selecionado ou a um grupo de acordo com os critérios de classificação. 3 Ao lado de Sistemas de destino, digite o nome NetBIOS para cada sistema na caixa de texto, separado por vírgulas, espaços ou quebras de linha. Como alternativa, clique em Procurar para selecionar os sistemas. 4 Se você selecionou Enviar agentes por push e adicionar sistemas ao grupo atual, será possível ativar a classificação automática da árvore de sistemas. Faça isso para aplicar o critério de classificação a esses sistemas. Especifique as seguintes opções: Opção Versão do agente Caminho de instalação Credenciais para instalação do agente Número de tentativas Intervalo das repetições Interromper após Efetuar push do agente usando Ação Selecione a versão do agente para distribuir. Configure o caminho de instalação do agente ou aceite o padrão. Digite as credenciais para instalar o agente. Digite um número inteiro, usando zero para tentativas contínuas. Digite o número de segundos entre as entradas. Digite o número de minutos antes de interromper a conexão. Selecione um manipulador de agentes específico ou todos os manipuladores de agentes. 5 Clique em OK. Software McAfee epolicy Orchestrator Guia de produto 119

120 9 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas Exportação de sistemas da árvore de sistemas Exporte uma lista de sistemas da árvore de sistemas para um arquivo.txt para uso posterior. Exporte no nível do grupo ou subgrupo, preservando a organização da árvore de sistemas. Pode ser útil ter uma lista dos sistemas na sua árvore de sistemas. Você pode importar essa lista para o servidor McAfee epo para restaurar rapidamente a sua organização e estrutura anteriores. Essa tarefa não remove sistemas da sua árvore de sistemas. Ela cria um arquivo.txt que contém os nomes e a estrutura dos sistemas na árvore de sistemas. 1 Clique em Menu Sistemas Árvore de sistemas. Será aberta a página Árvore de sistemas. 2 Selecione o grupo ou subgrupo que contém os sistemas que você deseja exportar e, em seguida, clique em Ações da árvore de sistemas Exportar sistemas. Será aberta a página Exportar sistemas. 3 Indique se deseja exportar: Todos os sistemas deste grupo exporta os sistemas no Grupo de origem especificado, mas não exporta sistemas listados em subgrupos aninhados nesse nível. Todos os sistemas deste grupo e subgrupos exporta todos os sistemas nesse nível ou abaixo dele. 4 Clique em OK. Será aberta a página Exportar. Você pode clicar no link Sistemas para exibir a lista de sistemas ou clicar com o botão direito no link para salvar uma cópia do arquivo ExportSystems.txt. Importação de sistemas de um arquivo de texto Crie um arquivo de texto dos sistemas e grupos a serem importados para a árvore de sistemas. s Criação de um arquivo de texto de grupos e sistemas na página 120 Crie um arquivo de texto dos nomes NetBIOS para os sistemas em rede que serão importados para um grupo. É possível importar uma lista simples de sistemas ou organizar os sistemas em grupos. Importação de sistemas e grupos de um arquivo de texto na página 121 Importe sistemas ou grupos de sistemas de um arquivo de texto que você tenha criado e salvo para a árvore de sistemas. Criação de um arquivo de texto de grupos e sistemas Crie um arquivo de texto dos nomes NetBIOS para os sistemas em rede que serão importados para um grupo. É possível importar uma lista simples de sistemas ou organizar os sistemas em grupos. Defina os grupos e seus sistemas digitando os nomes de grupo e sistema em um arquivo de texto. Em seguida, importe essas informações para o epolicy Orchestrator. No caso de redes grandes, use utilitários de rede, como o NETDOM.EXE, disponíveis com o Microsoft Windows Resource Kit para gerar arquivos de texto contendo listas completas dos sistemas na rede. Uma vez que você tenha o arquivo de texto, edite o manualmente para criar grupos de sistemas e importar toda a estrutura para a árvore de sistemas. Independente de como você gerar o arquivo de texto, deverá usar a sintaxe correta antes de importá lo. 120 Software McAfee epolicy Orchestrator Guia de produto

121 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas 9 1 Liste cada sistema separadamente em sua própria linha. Para organizar os sistemas em grupos, digite o nome do grupo seguido de uma barra invertida (\) e liste os sistemas pertencentes a esse grupo abaixo dele, cada um em uma linha separada. GrupoA\sistema1 GrupoA\sistema2 GrupoA\GrupoB\sistema3 GrupoC\GrupoD 2 Verifique os nomes dos grupos e sistemas e a sintaxe do arquivo de texto e salve o arquivo de texto em uma pasta temporária no servidor. Importação de sistemas e grupos de um arquivo de texto Importe sistemas ou grupos de sistemas de um arquivo de texto que você tenha criado e salvo para a árvore de sistemas. 1 Clique em Menu Sistemas Árvore de sistemas e em Ações da árvore de sistemas e selecione Novos sistemas. A página Novos sistemas é exibida. 2 Selecione Importar sistemas de um arquivo de texto para o grupo selecionado, mas não efetuar push de agentes. 3 Indique se o arquivo de importação contém: Sistemas e a estrutura da árvore de sistemas Somente sistemas (como uma lista simples) 4 Clique em Procurar para selecionar o arquivo de texto. 5 Indique o que deseja fazer com os sistemas que já existem em outro lugar na árvore de sistemas. 6 Clique em OK. Os sistemas são importados para o grupo selecionado na árvore de sistemas. Se o seu arquivo de texto tiver organizado os sistemas em grupos, o servidor criará os grupos e importará os sistemas. Classificação dos sistemas em grupos com base em critérios Configure e implemente a classificação em sistemas de grupos. Para classificar sistemas em grupos, a classificação deve ser ativada no servidor e nos sistemas desejados, de forma que os critérios de classificação e a ordem de classificação dos grupos devem ser configurados. Software McAfee epolicy Orchestrator Guia de produto 121

122 9 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas s Adicionar critério de classificação a grupos na página 122 O critério de classificação para grupos da árvore de sistemas pode basear se em marcas ou informações de endereço IP. Ativação da classificação da árvore de sistemas no servidor na página 117 Para que os sistemas sejam classificados, a classificação da árvore de sistemas deve ser ativada no servidor e nos sistemas desejados. Ativação ou desativação da classificação da árvore de sistemas em sistemas na página 123 O status da classificação de um sistema determina se ele pode ser classificado em um grupo baseado em critérios. Classificação manual de sistemas na página 123 Classifique os sistemas selecionados em grupos com a classificação baseada em critérios ativada. Adicionar critério de classificação a grupos O critério de classificação para grupos da árvore de sistemas pode basear se em marcas ou informações de endereço IP. 1 Clique em Menu Sistemas Árvore de sistemas Detalhes do grupo e selecione o grupo na árvore de sistemas. 2 Ao lado de Critérios de classificação, clique em Editar. A página Critérios de classificação para o grupo selecionado é exibida. 3 Selecione Sistemas que não correspondem a nenhum dos critérios abaixo e, em seguida, as seleções de critério são exibidas. Embora você possa configurar vários critérios de classificação para o grupo, somente um sistema precisará corresponder a um único critério para ser inserido nesse grupo. 4 Configure o critério. As opções incluem: Endereços IP Use essa caixa de texto para definir uma faixa de endereço IP ou máscara de sub rede como critério de classificação. Qualquer sistema cujo endereço estiver nessa faixa será classificado nesse grupo. Marcas Adicione marcas específicas para garantir que os sistemas com tais marcas que entrem no grupo pai sejam classificados nesse grupo. 5 Repita quantas vezes forem necessárias até que o critério de classificação seja reconfigurado para o grupo e clique em Salvar. Ativação da classificação da árvore de sistemas no servidor Para que os sistemas sejam classificados, a classificação da árvore de sistemas deve ser ativada no servidor e nos sistemas desejados. 122 Software McAfee epolicy Orchestrator Guia de produto

123 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas 9 1 Clique em Menu Configuração Configurações do servidor, selecione Classificação da árvore de sistemas na lista Categorias de configurações e clique em Editar. 2 Selecione se a classificação de sistemas deverá ocorrer somente na primeira comunicação agente servidor ou a cada comunicação agente servidor. Se você tiver selecionado a classificação somente na primeira comunicação agente servidor, todos os sistemas ativados serão classificados na próxima comunicação agente servidor e nunca mais serão classificados novamente enquanto esta opção estiver selecionada. No entanto, esses sistemas poderão ser classificados de novo manualmente executando a ação Classificar agora ou alterando essa configuração para que a classificação ocorra a cada comunicação agente servidor. Se você tiver selecionado a classificação em cada comunicação agente servidor, todos os sistemas ativados serão classificados em cada comunicação agente servidor enquanto esta opção estiver selecionada. Ativação ou desativação da classificação da árvore de sistemas em sistemas O status da classificação de um sistema determina se ele pode ser classificado em um grupo baseado em critérios. Você pode alterar o status da classificação nos sistemas em qualquer tabela de sistemas (como resultados de consulta) e também automaticamente nos resultados de uma consulta programada. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e selecione o sistema desejado. 2 Clique em Ações Gerenciamento de diretório Alterar status da classificação e selecione quando ativar ou desativar a classificação da árvore de sistemas em sistemas selecionados. 3 Na caixa de diálogo Alterar status da classificação, selecione quando desativar ou ativar a classificação da árvore de sistemas no sistema selecionado. Dependendo das configurações do servidor para a classificação da árvore de sistemas, esses sistemas serão classificados na próxima comunicação agente servidor. Caso contrário, eles somente poderão ser classificados com a ação Classificar agora. Classificação manual de sistemas Classifique os sistemas selecionados em grupos com a classificação baseada em critérios ativada. Software McAfee epolicy Orchestrator Guia de produto 123

124 9 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e selecione o grupo que contém os sistemas desejados. 2 Selecione os sistemas e clique em Ações Gerenciamento de diretório Classificar agora. A caixa de diálogo Classificar agora será exibida. Se deseja visualizar os resultados da classificação antes de classificar, clique em Classificação de teste. (No entanto, se você mover os sistemas da página Classificação de teste, todos os sistemas selecionados serão classificados, mesmo que a classificação da árvore de sistemas esteja desativada.) 3 Clique em OK para classificar os sistemas. Importação de contêineres do Active Directory Importe sistemas de contêineres do Active Directory diretamente para a árvore de sistemas, mapeando os contêineres de origem do Active Directory para grupos da árvore de sistemas. O mapeamento de contêineres do Active Directory para grupos permite: Sincronizar a estrutura da árvore de sistemas com a estrutura do Active Directory para que, quando os contêineres forem adicionados ou removidos no Active Directory, o grupo correspondente na árvore de sistemas também seja adicionado ou removido. Excluir sistemas da árvore de sistemas quando eles forem excluídos do Active Directory. Impedir a duplicação de entradas de sistemas na árvore de sistemas quando elas já existirem em outros grupos. 1 Clique em Menu Sistemas Árvore de sistemas Detalhes do grupo e selecione um grupo desejado na árvore de sistemas. Este deve ser o grupo para o qual você deseja mapear um contêiner do Active Directory. Não é possível sincronizar o grupo de achados e perdidos da árvore de sistemas. 2 Ao lado de Tipo de sincronização, clique em Editar. A página Configurações de sincronização para o grupo selecionado é exibida. 3 Ao lado de Tipo de sincronização, selecione Active Directory. As opções de sincronização do Active Directory são exibidas. 4 Selecione o tipo de sincronização do Active Directory que você deseja que ocorra entre esse grupo e o contêiner do Active Directory (e seus subcontêineres): Sistemas e a estrutura de contêineres Selecione esta opção se desejar que esse grupo realmente reflita a estrutura do Active Directory. Quando sincronizada, a estrutura da árvore de sistemas neste grupo é modificada para refletir a do contêiner do Active Directory para a qual foi mapeada. Quando os contêineres são adicionados ou removidos do Active Directory, o mesmo ocorre na árvore de sistemas. Quando os sistemas são adicionados, movidos ou removidos do Active Directory, o mesmo ocorre na árvore de sistemas. Somente sistemas Selecione esta opção se você desejar que somente os sistemas do contêiner do Active Directory (e subcontêineres não excluídos) preencham esse grupo e apenas esse grupo. Nenhum subgrupo é criado com o espelhamento do Active Directory. 124 Software McAfee epolicy Orchestrator Guia de produto

125 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas 9 5 Selecione se uma entrada duplicada de sistema será criada ou não para um sistema que já existe em outro grupo da árvore de sistemas. A McAfee não recomenda que esta opção seja selecionada, em especial se você estiver usando somente a sincronização do Active Directory como um ponto de partida para o gerenciamento de segurança e usar outro recurso de gerenciamento da árvore de sistemas (por exemplo, a classificação de marca) para obter maior granularidade organizacional abaixo do ponto de mapeamento. 6 No domínio do Active Directory, você pode: Digitar o nome de domínio totalmente qualificado do Active Directory. Selecionar em uma lista de servidores LDAP já registrados. 7 Ao lado de Contêiner, clique em Adicionar e selecione o contêiner de origem na caixa de diálogo Selecionar contêiner do Active Directory e clique em OK. 8 Para excluir subcontêineres específicos, clique em Adicionar ao lado de Exceções, selecione um subcontêiner para ser excluído e clique em OK. 9 Selecione se os agentes serão distribuídos automaticamente ou não para os novos sistemas. Se distribuídos, não deixe de definir as configurações de distribuição. A McAfee recomenda que você não distribua o agente durante a importação inicial se o contêiner for grande. A distribuição do pacote do agente de 3,62 MB para vários sistemas ao mesmo tempo pode causar problemas de tráfego de rede. Em vez disso, importe o contêiner e distribua um agente por vez para grupos de sistemas, e não simultaneamente. Visite novamente esta página e selecione essa opção após a distribuição inicial do agente para que o agente seja instalado automaticamente nos novos sistemas adicionados ao Active Directory. 10 Selecione se os sistemas serão excluídos ou não da árvore de sistemas quando forem excluídos do domínio do Active Directory. Como opção, escolha se os agentes serão removidos ou não dos sistemas excluídos. 11 Para sincronizar o grupo com o Active Directory imediatamente, clique em Sincronizar agora. Clicando em Sincronizar agora, você salva qualquer alteração nas configurações de sincronização antes de sincronizar o grupo. Se você tiver uma regra de notificação de sincronização do Active Directory ativada, um evento será gerado para cada sistema adicionado ou removido (esses eventos são exibidos no Registro de auditoria e são consultáveis). Se você distribuir agentes para sistemas adicionados, a distribuição será iniciada para cada sistema adicionado. Quando a sincronização for concluída, a hora da Última sincronização será atualizada, exibindo a hora e a data de conclusão da sincronização e não da distribuição de algum agente. Como alternativa, você pode programar uma tarefa do servidor de Sincronização do Active Directory/de domínios do NT para a primeira sincronização. Isso é útil se você estiver distribuindo agentes para novos sistemas na primeira sincronização, quando a largura de banda é a maior preocupação. 12 Quando a sincronização for concluída, exiba os resultados na árvore de sistemas. Após os sistemas serem importados, distribua os agentes para eles, se você não tiver selecionado a opção para fazer isso automaticamente. Além disso, configure uma tarefa recorrente do servidor de Sincronização do Active Directory/de domínios do NT para manter sua árvore de sistemas atualizada com qualquer novo sistema ou alterações organizacionais nos contêineres do Active Directory. Software McAfee epolicy Orchestrator Guia de produto 125

126 9 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas Importação de domínios do NT para um grupo existente Importe sistemas de um domínio do NT para um grupo criado manualmente. Você pode preencher grupos automaticamente sincronizando domínios do NT inteiros com grupos especificados. Essa é uma maneira fácil de adicionar todos os sistemas da rede à árvore de sistemas ao mesmo tempo como uma lista simples, sem descrição de sistema. Se o domínio for muito grande, é possível criar subgrupos para auxiliar no gerenciamento de políticas ou na organização da árvore de sistemas. Para fazer isso, primeiro importe o domínio para um grupo da árvore de sistemas e, em seguida, crie subgrupos lógicos manualmente. Para gerenciar as mesmas políticas em vários domínios, importe cada um deles para um subgrupo no mesmo grupo para que você possa definir políticas que são herdadas por cada subgrupo. Ao usar esse método: Configure critérios de classificação de endereços IP ou marcas em subgrupos para classificar automaticamente os sistemas importados. Programe uma tarefa recorrente de servidor de Sincronização do Active Directory/Domínio do NT para facilitar a manutenção. 1 Clique em Menu Sistemas Árvore de sistemas Detalhes do grupo e selecione ou crie um grupo na árvore de sistemas. 2 Ao lado de Tipo de sincronização, clique em Editar. A página Configurações de sincronização para o grupo selecionado é exibida. 3 Ao lado de Tipo de sincronização, selecione Domínio do NT. Serão exibidas as configurações de sincronização de domínio. 4 Ao lado de Sistemas que existem em outro lugar na árvore de sistemas, indique o que você deseja fazer com sistemas que seriam adicionados durante a sincronização e já existem em outro grupo da árvore. A McAfee não recomenda a seleção da opção Adicionar sistemas ao grupo sincronizado e deixá los na localização atual na árvore de sistemas, especialmente se você estiver usando a sincronização de domínios do NT somente como ponto de partida para o gerenciamento de segurança e usar outras funções de gerenciamento da Árvore de sistemas (por exemplo, classificação de marcas) para obter mais detalhamento organizacional abaixo do ponto de mapeamento. 5 Ao lado de Domínio, clique em Procurar e selecione o domínio do NT a ser mapeado para esse grupo e, em seguida, clique em OK. Você também pode digitar o nome do domínio diretamente na caixa de texto. Ao digitar o nome do domínio, não use o nome totalmente qualificado. 6 Selecione se os agentes serão distribuídos automaticamente ou não para os novos sistemas. Se fizer isso, lembre se de definir as configurações de distribuição. A McAfee recomenda que você não distribua o agente durante a importação inicial se o domínio for grande. A distribuição do pacote do agente de 3,62 MB para vários sistemas ao mesmo tempo pode causar problemas de tráfego de rede. Em vez disso, importe o domínio e, em seguida, distribua o agente para grupos menores de sistemas, um de cada vez, e não para todos ao mesmo tempo. No entanto, quando você terminar de distribuir os agentes, considere a possibilidade de retornar a essa página e selecionar essa opção após a distribuição inicial de agentes, para que ele seja instalado automaticamente nos novos sistemas adicionados ao grupo (ou seus subgrupos) pela sincronização de domínios. 126 Software McAfee epolicy Orchestrator Guia de produto

127 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas 9 7 Indique se deseja excluir os sistemas da árvore de sistemas quando eles forem excluídos do domínio do NT. Você pode optar por remover agentes de sistemas excluídos. 8 Para sincronizar o grupo ao domínio imediatamente, clique em Sincronizar agora e aguarde até que os sistemas do domínio sejam adicionados ao grupo. A opção Sincronizar agora salva as alterações feitas nas configurações de sincronização antes de sincronizar o grupo. Se houver uma regra de notificação de sincronização de domínios do NT ativada, será gerado um evento para cada sistema adicionado ou removido. (Esses eventos são exibidos no Registro de auditoria e podem ser consultados.) Se você tiver optado por distribuir agentes para sistemas adicionados, a distribuição será iniciada para cada um desses sistemas. Quando a sincronização for concluída, o horário da Última sincronização será atualizado. A data e o horário indicam o momento da conclusão da sincronização, e não da distribuição do agente. 9 Se você quiser sincronizar o grupo com o domínio manualmente, clique em Comparar e atualizar. A página Comparar e atualizar manualmente é exibida. A opção Comparar e atualizar salva as alterações feitas nas configurações de sincronização. a b Se você for remover sistemas do grupo com essa página, indique se deseja remover os respectivos agentes quando o sistema for removido. Selecione os sistemas a serem adicionados ao grupo e removidos dele, conforme necessário. Em seguida, clique em Atualizar grupo para adicionar os sistemas selecionados. Será exibida a página Configurações de sincronização. 10 Clique em Salvar e exiba os resultados na árvore de sistemas, caso tenha selecionado Sincronizar agora ou Atualizar grupo. Depois que os sistemas forem adicionados à árvore de sistemas, distribua agentes para eles, caso não tenha optado por distribuí los como parte da sincronização. Além disso, considere a possibilidade de configurar uma tarefa recorrente do servidor Sincronização do Active Directory/Domínio do NT para manter esse grupo atualizado com novos sistemas no domínio do NT. Programação da sincronização da Árvore de sistemas Programe uma tarefa do servidor que atualiza a Árvore de sistemas com as mudanças no domínio mapeado ou no contêiner do Active Directory. Dependendo das configurações de sincronização de um grupo, essa tarefa: Adiciona novos sistemas da rede ao grupo especificado. Adiciona novos grupos correspondentes quando novos contêineres do Active Directory são criados. Exclui os grupos correspondentes quando contêineres do Active Directory são removidos. Distribui agentes para novos sistemas. Remove sistemas que não estão mais no domínio ou no contêiner. Aplica políticas e tarefas do site ou grupo a novos sistemas. Impede ou permite que entradas duplicadas de sistemas que ainda existem na árvore de sistemas sejam movidas para outros locais. O agente não pode ser distribuído para todos os sistemas operacionais desta maneira. Pode ser necessário distribuir o agente manualmente para alguns sistemas. Software McAfee epolicy Orchestrator Guia de produto 127

128 9 Árvore de sistemas Criação e preenchimento de grupos da árvore de sistemas 1 Clique em Menu Automação s do servidor e, em seguida, clique em Ações Nova tarefa. O Construtor de tarefas do servidor é aberto. 2 Na página Descrição, nomeie a tarefa e escolha se ela deve ser ativada após a criação. Em seguida, clique em Avançar. A página Ações é exibida. 3 Na lista suspensa, selecione Sincronização do Active Directory/Domínio do NT. 4 Selecione se deseja sincronizar todos os grupos ou apenas grupos selecionados. Se você estiver sincronizando somente alguns grupos sincronizados, clique em Selecionar grupos sincronizados e escolha os grupos específicos. 5 Clique em Avançar. A página Programação é exibida. 6 Programe a tarefa e clique em Avançar. A página Resumo é exibida. 7 Revise os detalhes da tarefa e clique em Salvar. Além da tarefa executada no horário programado, você pode executar essa tarefa imediatamente clicando em Executar ao lado da tarefa na página s do servidor. Atualização manual de um grupo sincronizado com um domínio do NT Atualize um grupo sincronizado com alterações no um domínio do NT associado. Essa atualização inclui as seguintes alterações: Adiciona sistemas atualmente no domínio. Remove de sua árvore de sistemas os sistemas que não estão mais no domínio. Remove de todos os sistemas agentes que não pertençam mais ao domínio especificado. 1 Clique em Menu Sistemas Árvore de sistemas Detalhes do grupo e selecione o grupo mapeado para o domínio do NT. 2 Ao lado de Tipo de sincronização, clique em Editar. A página Configurações de sincronização é exibida. 3 Selecione o Domínio do NT, e clique em Comparar e atualizar, próximo ao final da página. A página Comparar e atualizar manualmente é exibida. 4 Se você estiver removendo sistemas do grupo, selecione se deseja remover os agentes dos sistemas que forem removidos. 5 Clique em Adicionar tudo ou Adicionar para importar sistemas do domínio de rede para o grupo selecionado. Clique em Remover tudo ou Remover para excluir sistemas do grupo selecionado. 6 Clique em Atualizar grupo após terminar. 128 Software McAfee epolicy Orchestrator Guia de produto

129 Árvore de sistemas Movimentação de sistemas na árvore de sistemas 9 Movimentação de sistemas na árvore de sistemas Mova sistemas de um grupo para outro na árvore de sistemas. Você pode mover sistemas de qualquer página que exiba uma tabela de sistemas, inclusive os resultados de uma consulta. Além das etapas abaixo, você também pode arrastar e soltar sistemas da tabela Sistemas para qualquer grupo da árvore de sistemas. Mesmo que você tenha uma árvore de sistemas perfeitamente organizada que espelhe a sua hierarquia de rede e que você use ferramentas e tarefas automatizadas para sincronizar regularmente a sua árvore de sistemas, talvez precise mover sistemas manualmente entre grupos. Por exemplo, talvez você precise mover periodicamente sistemas do grupo de achados e perdidos. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e, em seguida, navegue até os sistemas e selecione os. 2 Clique em Ações Gerenciamento de diretório Mover sistemas. Será exibida a página Selecionar novo grupo. 3 Indique se deseja ativar ou desativar a classificação da árvore de sistemas nos sistemas selecionados quando eles forem movidos. 4 Selecione o grupo em que deseja inserir os sistemas e clique em OK. Transferência de sistemas entre servidores Antes de transferir sistemas entre servidores McAfee epo, é necessário configurar a chave de comunicação segura agente servidor. Antes de iniciar Configure estes requisitos antes de transferir sistemas entre os servidores McAfee epo: Troque a chave de comunicação segura agente servidor entre os servidores. Essas etapas servem para a transferência bidirecional. Se preferir ativar somente as transferências unidirecionais, não é necessário importar a chave do servidor de destino para o servidor principal. 1 Exporte a chave de comunicação agente servidor de ambos os servidores. 2 Importe a chave de comunicação segura agente servidor do servidor A para o servidor B. 3 Importe a chave de comunicação segura agente servidor do servidor B para o servidor A. Registre o servidor no sistema para o qual você deseja transferir. Certifique se de ativar Transferir sistemas na página Detalhes do Assistente Construtor de servidores registrados. Software McAfee epolicy Orchestrator Guia de produto 129

130 9 Árvore de sistemas Transferência de sistemas entre servidores 1 Clique em Menu Sistemas Árvore de sistemas e selecione os sistemas que deseja transferir. 2 Clique em Ações Agente Transferir sistemas. A caixa de diálogo Transferir sistemas é aberta. 3 Selecione o servidor desejado no menu suspenso e clique em OK. Depois que um sistema gerenciado é marcado para transferência, devem ocorrer duas comunicações agente servidor antes que o sistema seja exibido na Árvore de sistemas do servidor de destino. A quantidade de tempo necessária para concluir as duas comunicações agente servidor depende das suas configurações. O intervalo de comunicação agente servidor padrão é de uma hora. 130 Software McAfee epolicy Orchestrator Guia de produto

131 10 Comunicação agente-servidor A interface do epolicy Orchestrator inclui páginas onde é possível configurar tarefas e políticas do McAfee Agent e exibir as propriedades do sistema, as propriedades do agente e outras informações sobre produtos da McAfee. Conteúdo Como funciona a comunicação agente-servidor SuperAgents e como eles funcionam Recurso de retransmissão de agente Resposta a eventos de política Execução imediata de tarefas de cliente Localização de agentes inativos Propriedades de produtos e do sistema do Windows relatadas pelo agente Consultas fornecidas pelo McAfee Agent Permissão de armazenamento em cache de credenciais de distribuição do agente Alteração de portas de comunicação do agente Exibição de propriedades do agente e de produtos Chaves de segurança Como funciona a comunicação agente-servidor O agente precisa se comunicar periodicamente com um servidor epolicy Orchestrator ou um Manipulador de agentes para garantir que todas as configurações estejam atualizadas, enviar eventos etc. Essas comunicações são conhecidas como comunicação entre o agente e o servidor. Em cada comunicação entre o agente e o servidor, o agente coleta as suas propriedades atuais do sistema, bem como eventos que ainda não foram enviados, e os envia para o servidor. O servidor envia políticas e tarefas novas ou alteradas para o agente e a lista de repositórios caso ela tenha sido alterada desde a última comunicação entre o agente e o servidor. O agente faz cumprir as novas políticas localmente no sistema gerenciado e aplica qualquer alteração de tarefa ou repositório. O servidor epolicy Orchestrator usa um protocolo de rede TLS (Transport Layer Security) padrão do setor para transmissões de rede seguras. Quando o agente é instalado pela primeira vez, ele faz uma chamada para o servidor em um horário aleatório em até seis segundos. Depois disso, o agente faz uma chamada sempre que houver uma das seguintes situações: O intervalo de comunicação entre o agente e o servidor (ASCI) expirar. Chamadas de ativação do agente são enviadas do McAfee epo ou de Gerenciadores de agentes. Uma tarefa de ativação programada é executada nos sistemas clientes. Software McAfee epolicy Orchestrator Guia de produto 131

132 10 Comunicação agente-servidor Como funciona a comunicação agente-servidor A comunicação for iniciada manualmente do sistema gerenciado. Chamadas de ativação do agente enviadas do servidor epolicy Orchestrator Intervalo de comunicação agente-servidor O intervalo de comunicação agente servidor (ASCI) determina a frequência com que o McAfee Agent faz uma chamada ao servidor McAfee epo. O intervalo de comunicação agente servidor é definido na guia Geral da página de Políticas do McAfee Agent. A configuração padrão de 60 minutos significa que o agente entra em contato com o servidor uma vez a cada hora. Ao decidir modificar o intervalo, considere que o agente realiza cada uma das seguintes ações a cada ASCI: Coleta e envia as respectivas propriedades. Envia os eventos não prioritários que ocorreram desde a última comunicação agente servidor. Impõe políticas. O manipulador de agentes ou o servidor epolicy Orchestrator envia novas políticas e tarefas ao cliente. Essa ação pode disparar outras ações que consomem recursos. Embora essas atividades não sobrecarreguem o computador, vários fatores podem causar uma demanda cumulativa significativa na rede, nos servidores McAfee epo ou nos manipuladores de agentes, incluindo: Muitos sistemas gerenciados pelo epolicy Orchestrator. Requisitos rígidos de resposta a ameaças da sua organização. A rede, ou local físico, dos clientes em relação aos servidores ou Manipuladores de agentes é altamente distribuída. Largura de banda disponível inadequada. Normalmente, quando há essas variáveis no ambiente, deseja se executar comunicações entre o agente e o servidor com menos frequência. Para clientes com funções importantes, talvez seja necessário definir um intervalo com mais frequência. Como lidar com a interrupção na comunicação agente-servidor É importante lidar com as interrupções para solucionar problemas que impedem o sistema de se conectar com um servidor McAfee epo. As interrupções na comunicação podem acontecer por vários motivos e o algoritmo de conexão entre o agente e o servidor tem a finalidade de tentar a comunicação novamente em caso de falha na primeira tentativa. O McAfee Agent percorre os seguintes métodos de conexão por seis vezes ou até que uma de várias respostas seja retornada. 1 Endereço IP 2 Nome de domínio totalmente qualificado 3 NetBIOS O agente repete esses três métodos de conexão nessa ordem até seis vezes, em um total de 18 tentativas de conexão. Não há atraso entre as tentativas de conexão. O agente interrompe esse ciclo quando uma tentativa de conexão resulta em: 132 Software McAfee epolicy Orchestrator Guia de produto

133 Comunicação agente-servidor Como funciona a comunicação agente-servidor 10 Sem erros Falha no download Falha no carregamento O agente está sendo desligado Transferência cancelada Servidor ocupado (código do status do servidor McAfee epo) Êxito no upload (código do status do servidor McAfee epo) O agente precisa de novas chaves Sem pacote a ser recebido (código do status do servidor McAfee epo) Agente necessita gerar GUID novamente (código do status do servidor McAfee epo) Outros resultados, como conexão recusada, falha ao conectar, tempo limite da conexão ou outros erros levam o agente a tentar de novo e imediatamente usando o método de conexão da lista até o próximo ASCI se aproximar. s e chamadas de ativação Uma chamada de ativação do McAfee Agent dispara uma Comunicação agente servidor imediata em vez de aguardar a expiração do Intervalo de comunicação agente servidor (ASCI) atual. A tarefa do cliente de ativação do agente é compatível somente nas plataforma Windows. Use as ações da Árvore de sistemas para ativar agentes em sistemas operacionais Macintosh e baseados em UNIX. Há duas maneiras de emitir uma chamada de ativação: Manualmente do servidor Essa é a abordagem mais comum e exige que a porta de comunicação da ativação do agente esteja aberta. Em uma programação definida pelo administrador Essa abordagem é útil quando a comunicação manual agente servidor é desativada pela política. O administrador pode criar e distribuir uma tarefa de ativação, que ativa o agente e inicia a Comunicação agente servidor. Alguns motivos para emitir uma chamada de ativação do agente são: Você fez uma alteração de política que deseja impor imediatamente, sem esperar pela expiração do ASCI programado. Você criou uma nova tarefa que deseja executar imediatamente. A opção Executar tarefa agora cria uma tarefa e a atribui a sistemas cliente específicos e envia chamadas de ativação. Uma consulta gerou um relatório indicando que um cliente não está em conformidade e você deseja testar seu status como parte de um procedimento de solução de problemas. Se você tiver convertido um agente específico de um sistema Windows em um SuperAgent, ele poderá emitir chamadas de ativação para segmentos de broadcast de rede designados. Os SuperAgents distribuem o impacto na largura de banda da chamada de ativação do agente. Envio de chamadas de ativação manuais para sistemas individuais O envio manual de uma chamada de ativação do agente ou do SuperAgent na Árvore de sistemas é útil quando você faz alterações em políticas e deseja que os agentes façam uma chamada para enviar ou receber informações atualizadas antes da próxima comunicação entre o agente e o servidor. Software McAfee epolicy Orchestrator Guia de produto 133

134 10 Comunicação agente-servidor Como funciona a comunicação agente-servidor 1 Clique em Menu Sistemas Árvore de Sistemas e selecione o grupo que contém os sistemas de destino. 2 Selecione os sistemas na lista e clique em Ações Agente Agentes de ativação. 3 Verifique se os sistemas selecionados são exibidos na seção Sistemas de destino. 4 Ao lado de Tipo de chamada de ativação, selecione o envio de uma Chamada de ativação do agente ou Chamada de ativação do SuperAgent, conforme apropriado. 5 Aceite a Aleatorização padrão (0 minutos) ou digite um valor diferente (0 60 minutos). Considere o número de sistemas que estão recebendo a chamada de ativação quando ela é enviada de imediato e o tamanho de largura de banda disponível. Se você digitar 0, os agentes responderão imediatamente. 6 Para enviar as propriedades incrementais do produto, como resultado dessa chamada de ativação, desmarque a opção Obter propriedades completas do produto... O padrão é enviar propriedades completas do produto. 7 Para atualizar todas as políticas e tarefas durante essa chamada de ativação, selecione Forçar atualização de tarefa e política completa. 8 Insira as configurações de Número de tentativas, Intervalo das repetições e Anular após para essa chamada de ativação se você não desejar os valores padrão. 9 Selecione a ativação do agente usando Todos os Manipuladores de agentes ou Manipuladores de agentes conectados por último. 10 Clique em OK para enviar a chamada de ativação do agente ou do SuperAgent. Envio de chamadas de ativação manuais a um grupo Uma chamada de ativação do SuperAgent ou agente pode ser enviada para um grupo inteiro da Árvore de sistemas em uma única tarefa. Isso é útil se você tiver feito alterações em políticas e desejar que os agentes façam uma chamada para enviar ou receber informações atualizadas antes da próxima comunicação entre o agente e o servidor. 1 Clique em Menu Sistemas Árvore de sistemas. 2 Selecione o grupo de destino na Árvore de sistemas e clique na guia Detalhes do grupo. 3 Clique em Ações Agentes de ativação. 4 Verifique se o grupo selecionado é exibido ao lado de Grupo de destino. 5 Selecione o envio de uma chamada de ativação do agente para Todos os sistemas neste grupo ou para Todos os sistemas neste grupo e subgrupos. 6 Ao lado de Tipo, selecione o envio de uma Chamada de ativação do agente ou Chamada de ativação do SuperAgent. 7 Aceite a Aleatorização padrão (0 minutos) ou digite um valor diferente (0 60 minutos). Se você digitar 0, os agentes serão ativados imediatamente. 134 Software McAfee epolicy Orchestrator Guia de produto

135 Comunicação agente-servidor SuperAgents e como eles funcionam 10 8 Para enviar as propriedades mínimas do produto, como resultado dessa chamada de ativação, desmarque Obter propriedades completas do produto... O padrão é enviar propriedades completas do produto. 9 Para atualizar todas as políticas e tarefas durante essa chamada de ativação, selecione Forçar atualização de tarefa e política completa. 10 Clique em OK para enviar a chamada de ativação do agente ou do SuperAgent. SuperAgents e como eles funcionam O SuperAgent é um agente que atua como intermediário entre o servidor McAfee epo e outros agentes no mesmo segmento de broadcast de rede. Somente é possível converter um agente para Windows em SuperAgent. O SuperAgent armazena em cache as informações recebidas de um servidor epolicy Orchestrator, do Repositório principal ou de um Repositório distribuído espelhado e as distribui para os agentes em suas sub redes. O recurso Cache lento permite que os SuperAgents recuperem dados dos servidores epolicy Orchestrator somente quando solicitado por um nó do agente local. A criação de uma hierarquia de SuperAgents, juntamente com o recurso de cache lento, economizam ainda mais a largura de banda e minimizam o tráfego da rede de longa distância. O SuperAgent também difunde chamadas de ativação para outros agentes localizados na mesma sub rede. O SuperAgent recebe uma chamada de ativação do servidor epolicy Orchestrator e, em seguida, ativa os agentes na sub rede. Essa é uma alternativa para enviar chamadas comuns de ativação do agente a cada agente da rede ou para enviar tarefa de ativação do agente a cada computador. SuperAgents e chamadas de ativação de broadcast Use as chamadas de ativação de agente para iniciar a comunicação agente servidor. Leve em consideração a conversão de um agente em cada segmento de broadcast de rede em um SuperAgent. Os SuperAgents distribuem a carga da largura de banda de chamadas de ativação simultâneas. Em vez de enviar chamadas de ativação do agente do servidor para todos os agentes, o servidor envia a chamada de ativação do SuperAgent para os SuperAgents no segmento de Árvore de sistemas selecionado. O processo é: 1 O servidor envia uma chamada de ativação a todos os SuperAgents. 2 Os SuperAgents executam o broadcast da chamada de ativação para todos os agentes no mesmo segmento de broadcast. 3 Todos os agentes notificados (agentes comuns notificados por um SuperAgent e todos os SuperAgents) trocam dados com o servidor epolicy Orchestrator ou com o Manipulador de agentes. Quando uma chamada de ativação do SuperAgent é enviada, os agentes sem um SuperAgent em operação em seu segmento de broadcast não serão solicitados a se comunicar com o servidor. Dicas de distribuição de SuperAgents Para distribuir SuperAgents suficientes nos locais adequados, determine primeiro os segmentos de broadcast no seu ambiente e selecione um sistema (preferencialmente um servidor) em cada segmento que hospedará um SuperAgent. Se você usar SuperAgents, verifique se foi atribuído um SuperAgent a todos os agentes. Software McAfee epolicy Orchestrator Guia de produto 135

136 10 Comunicação agente-servidor SuperAgents e como eles funcionam As chamadas de ativação de agente e de SuperAgent usam os mesmos canais seguros. Verifique se estas portas não estão bloqueadas por um firewall no cliente: A porta de comunicação de ativação do agente (8081 por padrão). A porta de comunicação de broadcast do agente (8082 por padrão). Conversão de agentes em SuperAgents Durante o processo de atualização global, o SuperAgent recebe uma atualização do servidor epolicy Orchestrator. Ele envia chamadas de ativação para todos os agentes nessa rede. Defina as configurações de políticas do SuperAgent para converter um agente em SuperAgent. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e selecione um grupo na árvore de sistemas. Todos os sistemas deste grupo serão exibidos no painel de detalhes. 2 Selecione um sistema e clique em Ações Agente Modificar políticas em um único sistema. A página Atribuição de política para este sistema é exibida. 3 Na lista suspensa de produtos, selecione McAfee Agent. As categorias de políticas no McAfee Agent são listadas com a política atribuída do sistema. 4 Se a política for herdada, selecione Interromper herança e atribuir a política e as configurações a seguir. 5 Na lista suspensa Política atribuída, selecione a política Geral desejada. Nesse local, você pode editar a política selecionada ou criar uma nova política. 6 Indique se deseja bloquear a herança de políticas para impedir que algum sistema que herde essa política tenha outra atribuída em seu lugar. 7 Na guia SuperAgent, selecione Converter agentes em SuperAgents para ativar o broadcast de chamadas de ativação. 8 Clique em Salvar. 9 Envie uma chamada de ativação do agente. Cache do SuperAgent e interrupções na comunicação O SuperAgent armazena em cache o conteúdo do seu repositório de forma específica para minimizar o uso da rede de longa distância (WAN). Se um agente tiver sido convertido em SuperAgent, ele poderá armazenar em cache o conteúdo do servidor McAfee epo, do repositório distribuído ou de outros SuperAgents para distribuir localmente para outros agentes, reduzindo a largura de banda da WAN. Para isso, ative Cache lento na página de opções de política McAfee Agent SuperAgent, que é acessada em Menu Política Catálogo de políticas. Os SuperAgents não podem armazenar em cache o conteúdo dos repositórios HTTP ou FTP da McAfee. Como o cache funciona Quando um sistema cliente solicita conteúdo pela primeira vez, o SuperAgent atribuído a esse sistema armazena o conteúdo em cache. A partir desse momento, o cache será atualizado sempre que uma versão mais nova do pacote solicitado estiver disponível no Repositório principal. Quando uma estrutura hierárquica do SuperAgent for criada, o SuperAgent filho recebe a atualização de conteúdo solicitada do armazenamento em cache do pai. 136 Software McAfee epolicy Orchestrator Guia de produto

137 Comunicação agente-servidor SuperAgents e como eles funcionam 10 É garantido que o SuperAgent somente armazene conteúdo solicitado pelos agentes a ele atribuídos, porque ele não efetua pull de conteúdo dos repositórios quando solicitado por um cliente. Isso diminui o tráfego entre o SuperAgent e os repositórios. Durante a recuperação de conteúdo do repositório pelo SuperAgent, as solicitações desse conteúdo pelo sistema cliente são interrompidas. O SuperAgent deve ter acesso ao repositório. Sem esse acesso, os agentes que recebem atualizações do SuperAgent nunca obtêm conteúdo novo. Verifique se a política do SuperAgent inclui acesso ao repositório. Os agentes configurados para usar o SuperAgent como repositório recebem o conteúdo armazenado em cache no SuperAgent e não diretamente do servidor McAfee epo. Isso aprimora a performance do sistema do agente mantendo a maior parte do tráfego da rede local para o SuperAgent e seus clientes. Quando o SuperAgent é reconfigurado para usar um novo repositório, o cache é atualizado para refletir esse novo repositório. Quando o cache é limpo SuperAgents flush content from their cache in two situations. If the Checking new repository content interval has expired since the last time updates were requested, the SuperAgent downloads updates from the Master Repository, processes them, and completely flushes the cache if any new content is available. When a global update occurs, SuperAgents receive a wake up call that flushes all content in the cache. Os SuperAgents são limpos a cada 30 minutos, por padrão. Quando o SuperAgent limpa o cache, ele exclui todos os arquivos do repositório não listados em Replica.log. Isso inclui todos os arquivos pessoais que você possa ter colocado nessa pasta. O armazenamento em cache do SuperAgent combinado com a replicação do repositório não é recomendado. Como são tratadas as interrupções na comunicação Quando um SuperAgent recebe uma solicitação de conteúdo que possa estar desatualizado, o SuperAgent tenta contatar o servidor McAfee epo para verificar se há novo conteúdo disponível. Se as tentativas de conexão atingirem o tempo limite, o SuperAgent, em vez disso, distribuirá o conteúdo a partir do seu próprio repositório. Isso é feito para garantir que o solicitante receba o conteúdo, mesmo que este esteja desatualizado. O cache do SuperAgent não deve ser usado em conjunto com a atualização global. Ambos os recursos executam a mesma função no seu ambiente gerenciado: manter os repositórios distribuídos atualizados. No entanto, eles não são recursos complementares. Use o cache do SuperAgent quando seu principal objetivo for limitar o uso de largura de banda. Use a Atualização global quando seu principal objetivo for uma atualização empresarial rápida. Software McAfee epolicy Orchestrator Guia de produto 137

138 10 Comunicação agente-servidor SuperAgents e como eles funcionam SuperAgent e sua hierarquia Uma hierarquia do SuperAgent pode servir agentes na mesma rede com o mínimo de utilização de tráfego de rede. O SuperAgent armazena em cache as atualizações do conteúdo do servidor epolicy Orchestrator ou do repositório distribuído e o distribuir para os agentes na rede, reduzindo o tráfego de rede de longa distância. É sempre bom ter mais de um SuperAgent para equilibrar a carga de rede. Verifique se você ativou o cache lento antes de configurar a hierarquia do SuperAgent. Organização do SuperAgent em hierarquia É possível modificar as políticas gerais e de repositório para ativar e definir a hierarquia do SuperAgent. 1 Clique em Menu Política Catálogo de políticas. No menu suspenso Produto, selecione McAfee Agent e, no menu suspenso Categoria, selecione Geral. 2 Clique na política Meu padrão para começar a editar a política. Se você deseja criar uma política, clique em Ações Nova política. A política McAfee Default não pode ser modificada. 3 Na guia SuperAgent, selecione Converter agentes em SuperAgents para converter o agente em SuperAgent e atualize seu repositório com o conteúdo mais recente. 4 Selecione Usar sistemas executando SuperAgents como repositórios distribuídos para usar os sistemas que hospedam SuperAgents como repositórios de atualização para os sistemas em seu segmento de broadcast e informar o caminho do repositório. 5 Selecione Ativar cache lento para permitir que os SuperAgents armazenem o conteúdo em cache quando este for proveniente do servidor McAfee epo. 6 Clique em Salvar. A página Catálogo de políticas apresenta as políticas gerais. 7 Altere a Categoria para Repositório e clique na política Meu padrão para começar a editar a política. Se você deseja criar uma política, clique em Ações Nova política. 8 Na guia Repositórios, selecione Usar ordem na lista de repositórios. 9 Clique em Permitir automaticamente que os clientes acessem repositórios recém adicionados para adicionar novos repositórios do SuperAgent à lista e clique em Mover para cima para organizar SuperAgents em hierarquia. Organize a hierarquia dos repositórios de forma que o SuperAgent pai fique sempre no topo da lista de repositórios. 10 Clique em Salvar. Após configurar a hierarquia do SuperAgent, você pode criar e executar a tarefa Estatísticas do McAfee Agent para coletar uma cópia do relatório da largura de banda de rede. Veja Coleta de estatísticas do McAfee Agent para obter mais detalhes. 138 Software McAfee epolicy Orchestrator Guia de produto

139 Comunicação agente-servidor Recurso de retransmissão de agente 10 Criação de hierarquia de SuperAgents Você pode usar a política de repositório para criar a hierarquia. É recomendável ter uma hierarquia de três níveis de SuperAgents na rede. A criação de uma hierarquia de SuperAgents evita downloads repetitivos da atualização de conteúdo do servidor epolicy Orchestrator ou do repositório distribuído. Por exemplo, em uma rede cliente com dois SuperAgents (SuperAgent 1 e SuperAgent 2) e um repositório distribuído, configure a hierarquia de modo que os sistemas clientes recebam as atualizações de conteúdo do SuperAgent 1. O SuperAgent 1 recebe e armazena em cache as atualizações do SuperAgent 2 que, por sua vez, recebe e armazena em cache as atualizações do repositório distribuído. Os SuperAgents não podem armazenar em cache o conteúdo dos repositórios HTTP ou FTP da McAfee. Ao criar uma hierarquia, certifique se de que ela não forme um ciclo de SuperAgents. Por exemplo, o SuperAgent 1 ser configurado para obter atualizações do SuperAgent 2, o SuperAgent 2 ser configurado para obter atualizações do SuperAgent 3 e este ser configurado para efetuar pull de atualizações do SuperAgent 1. Para garantir que o SuperAgent pai receba a última atualização de conteúdo, a transmissão de chamadas de ativação do SuperAgent precisa estar ativada. Consulte Ativar a transmissão de chamadas de ativação do SuperAgent para obter mais detalhes. Se os SuperAgents não fornecerem aos agentes as últimas atualizações de conteúdo, os agentes rejeitarão a atualização de conteúdo recebida do SuperAgent e buscará o próximo repositório configurado na política. Recurso de retransmissão de agente Se a configuração da sua rede bloquear a comunicação entre o McAfee Agent e o servidor McAfee epo, o agente não poderá receber atualizações de conteúdo e políticas nem enviar eventos. O recurso de retransmissão pode ser ativado em agentes que tenham conectividade direta com o servidor epolicy Orchestrator ou Manipuladores de agentes para promover a comunicação entre os sistemas clientes e o servidor McAfee epo. É possível configurar mais de um agente como servidor de retransmissão para manter o equilíbrio de carga da rede. Você pode ativar o recurso de retransmissão no McAfee Agent 4.8 ou posterior. O servidor epolicy Orchestrator só pode iniciar a comunicação (por exemplo, Mostrar registros do agente) com um agente conectado diretamente. O recurso de retransmissão não é compatível com sistemas AIX. Comunicação por meio de servidores de retransmissão Ativar o recurso de retransmissão na rede converte um agente em servidor de retransmissão. Um agente com recurso de retransmissão pode acessar o servidor epolicy Orchestrator ou o repositório distribuído. Quando um agente falha ao conectar se ao servidor epolicy Orchestrator ou ao manipulador de agentes diretamente, ele difunde uma mensagem para descobrir um agente com recurso de retransmissão nessa rede. Os servidores de retransmissão respondem à mensagem e o agente estabelece conexão com o servidor que respondeu primeiro. Software McAfee epolicy Orchestrator Guia de produto 139

140 10 Comunicação agente-servidor Recurso de retransmissão de agente Se um agente falhar ao conectar se ao servidor epolicy Orchestrator ou ao manipulador de agentes diretamente, ele tentará conectar se ao primeiro servidor de retransmissão que respondeu à mensagem de descoberta. O agente descobre os servidores de retransmissão na rede a cada ASCI e armazena os detalhes dos cinco primeiros servidores de retransmissão únicos que tiverem respondido a mensagem de descoberta. Se ocorrer falha na conexão do servidor de retransmissão atual com o servidor epolicy Orchestrator ou não houver a atualização de conteúdo necessária, o agente se conectará ao próximo servidor de retransmissão disponível nesse cache. Os agentes requerem o protocolo UDP (User Datagram Protocol) para descobrir servidores de retransmissão na rede. O servidor de retransmissão se conecta somente ao servidor epolicy Orchestrator ou aos repositórios distribuídos listados nesse arquivo SiteList.xml. A McAfee recomenda que você inclua o servidor de retransmissão sitelist.xml como um superconjunto das listas de sites de todos os agentes que estiverem configurados para se conectarem por essa retransmissão. Em um sistema cliente Windows, depois que o recurso de retransmissão é ativado por meio da política, é instalado um novo serviço MfeServiceMgr.exe. Esse serviço pode ser iniciado ou interrompido para controlar o recurso de retransmissão no sistema cliente. Depois que o agente tiver concluído o upload ou o download do conteúdo do servidor epolicy Orchestrator, o servidor de retransmissão desconecta o agente e o servidor epolicy Orchestrator. Ativação de recurso de retransmissão Você pode configurar e atribuir políticas para ativar o recurso de retransmissão em um agente. Se você ativar um sistema que não seja Windows como um servidor de retransmissão, certifique se de incluir manualmente uma exceção ao processo cmamesh e a porta do gerenciador de serviços em iptables e ip6tables. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e selecione um grupo na árvore de sistemas. Todos os sistemas deste grupo serão exibidos no painel de detalhes. 2 Selecione um sistema e clique em Ações Agente Modificar políticas em um único sistema. A página Atribuição de política para este sistema é exibida. 3 Na lista suspensa de produtos, selecione McAfee Agent. As categorias de políticas no McAfee Agent são listadas com a política atribuída do sistema. 4 Se a política for herdada, selecione Interromper herança e atribuir a política e as configurações a seguir. 5 Na lista suspensa Política atribuída, selecione a política Geral desejada. Nesse local, você pode editar a política selecionada ou criar uma nova política. 6 Indique se deseja bloquear a herança de políticas para impedir que algum sistema que herde essa política tenha outra atribuída em seu lugar. 140 Software McAfee epolicy Orchestrator Guia de produto

141 Comunicação agente-servidor Recurso de retransmissão de agente 10 7 Na guia SuperAgent, selecione Ativar serviço de retransmissão para ativar o recurso de retransmissão. Não deixe de configurar a Porta do Gerenciador de serviços como A McAfee recomenda ativar o recurso de retransmissão na rede da organização. Os servidores de retransmissão não conseguem se conectar aos servidores epolicy Orchestrator usando configurações de proxy. 8 Clique em Salvar. 9 Envie uma chamada de ativação do agente. Após o primeiro ASCI, o status do serviço de retransmissão é atualizado na página de Propriedades do McAfee Agent ou na UI do McTray, no sistema do cliente. Em um sistema cliente Windows, o arquivo de registro SvcMgr_<nome do sistema>.log é salvo em C:\ProgramData\McAfee\Common Framework\DB. Coleta de estatísticas do McAfee Agent Você pode executar a tarefa de cliente Estatísticas do McAfee Agent nos nós gerenciados para coletar as estatísticas de hierarquia do servidor de retransmissão e do SuperAgent. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e selecione um grupo na Árvore de sistemas. Todos os sistemas neste grupo são exibidos no painel de detalhes. 2 Selecione um sistema e clique em Ações Agente Modificar tarefas em um único sistema. As tarefas de cliente atribuídas para aquele sistema aparecem. 3 Clique em Ações Nova atribuição de tarefas de cliente. A página Construtor de atribuições de tarefas de cliente é exibida. 4 Na lista de produtos, selecione McAfee Agent e Estatísticas do McAfee Agent como o Tipo de tarefa. 5 Clique em Criar nova tarefa. A página Nova tarefa de cliente é exibida. 6 Selecione a opção desejada e clique em Salvar. Opções Estatísticas de servidor de retransmissão Estatísticas de atualização hierárquica do SuperAgent Definição Coleta estas estatísticas dos sistemas clientes: Número de conexões com falha dos servidores de retransmissão para o servidor epolicy Orchestrator ou repositórios distribuídos número de conexões rejeitadas pelo servidor de retransmissão após o número máximo de conexões permitidas Coleta a largura de banda de rede salva pelo uso da hierarquia do SuperAgent Quando a tarefa estiver distribuída no sistema do cliente e o status for relatado para o epolicy Orchestrator, as estatísticas serão redefinidas para 0. Software McAfee epolicy Orchestrator Guia de produto 141

142 10 Comunicação agente-servidor Resposta a eventos de política Desativação do recurso de retransmissão Você pode usar a política Geral para desativar os serviços de retransmissão no agente. 1 Clique em Menu Sistemas Árvore de sistemas Sistemas e selecione um grupo na árvore de sistemas. Todos os sistemas neste grupo são exibidos no painel de detalhes. 2 Selecione o sistema em que o recurso de retransmissão foi desativado e clique em Ações Agente Modificar políticas em um único sistema. A página Atribuição de política referente a esse sistema é exibida. 3 Na lista suspensa de produtos, selecione McAfee Agent. As categorias de política no McAfee Agent são listadas com a política atribuída do sistema. 4 Na lista suspensa Política atribuída, selecione a política Geral imposta no sistema clientes. 5 Na guia SuperAgent, desmarque Ativar serviço de retransmissão para desativar o recurso de retransmissão no sistema cliente. 6 Clique em Salvar. 7 Envie uma chamada de ativação do agente. Resposta a eventos de política Você pode configurar uma resposta automática no epolicy Orchestrator que seja filtrada para ver somente eventos de política. 1 Clique em Menu Automação Respostas automáticas para abrir a página Respostas automáticas. 2 Clique em Ações Nova resposta. 3 Insira um nome para a resposta em Nome e uma descrição opcional em Descrição. 4 Selecione Eventos de notificação do epo para Grupo de eventos e Cliente, Ameaça ou Servidor para Tipo de evento. 5 Clique em Ativado, para ativar a resposta, e em Avançar. 6 Em Propriedades disponíveis, selecione Descrição do evento. 7 Clique em... na linha Descrição do evento e escolha uma das seguintes opções na lista: Opção O agente não coletou propriedades de nenhum produto isolado O agente não impôs a política de nenhum produto isolado Definição Esse evento é gerado e encaminhado na primeira vez em que há falha na coleta de propriedades. Um evento subsequente bem sucedido não é gerado. Cada falha em um produto isolado gera um evento separado. Esse evento é gerado e encaminhado na primeira vez em que há falha na imposição de uma política. Um evento subsequente bem sucedido não é gerado. Cada falha em um produto isolado gera um evento separado. 8 Insira as informações restantes no filtro, conforme o necessário, e clique em Avançar. 9 Selecione as opções Agregação, Agrupamento e Regulagem, conforme o necessário. 142 Software McAfee epolicy Orchestrator Guia de produto

143 Comunicação agente-servidor Execução imediata de tarefas de cliente Escolha um tipo de ação e insira o comportamento desejado, dependendo do tipo de ação, e clique em Avançar. 11 Revise o comportamento de resposta resumido. Se estiver correto, clique em Salvar. Agora, foi criada uma resposta automática que executará a ação descrita quando houver um evento de política. Execução imediata de tarefas de cliente Durante a comunicação entre o epolicy Orchestrator 4.6 e versões posteriores o McAfee Agent 4.6 e versões posteriores, é possível executar tarefas de cliente imediatamente usando o recurso de execução imediata de tarefas. O McAfee Agent coloca tarefas na fila quando elas são programadas para execução em vez de executá las imediatamente. Embora uma tarefa possa ser imediatamente posta na fila, ela somente começa a ser executada quando não há nenhuma outra tarefa na sua frente. As tarefas criadas durante o procedimento Executar tarefa de cliente agora são executadas e excluídas do cliente após sua conclusão. O recurso Executar tarefa de cliente agora é compatível apenas com sistemas clientes do Windows. 1 Clique em Menu Sistemas Árvore de sistemas. 2 Selecione um ou mais sistemas nos quais executar uma tarefa. 3 Clique em Ações Agente Executar tarefa do cliente agora. 4 Selecione Produto como McAfee Agent e o Tipo de tarefa. 5 Para executar uma tarefa existente, clique em Nome da tarefa e em Executar tarefa agora. 6 Para definir uma nova tarefa, clique em Criar nova tarefa. a Insira as informações apropriadas para a tarefa que você estiver criando. Se você criar uma tarefa de Distribuição de produto ou Atualização de produto do McAfee Agent durante esse procedimento, uma das opções disponíveis será Executar a cada imposição de política. Essa opção não surtirá efeito, pois a tarefa será excluída depois que for concluída. A página Status da execução da tarefa do cliente será exibida com o estado de todas as tarefas em execução. Após a conclusão das tarefas, os resultados poderão ser exibidos no Registro de auditoria e no Registro de tarefa do servidor. Localização de agentes inativos Um agente inativo é aquele que não se comunicou com o servidor McAfee epo dentro de um período especificado pelo usuário. Alguns agentes podem ser desativados ou desinstalados pelos usuários. Em outros casos, o sistema que hospeda o agente pode ter sido removido da rede. A McAfee recomenda a execução de pesquisas semanais regulares nos sistemas com esses agentes inativos. Software McAfee epolicy Orchestrator Guia de produto 143

144 10 Comunicação agente-servidor Propriedades de produtos e do sistema do Windows relatadas pelo agente 1 Clique em Menu Relatório Relatórios e consultas. 2 Na lista Grupos, selecione o grupo compartilhado do McAfee Agent. 3 Clique em Executar na linha Agentes inativos para executar a consulta. A configuração padrão desta consulta localiza sistemas que não se comunicaram com o servidor McAfee epo no mês passado. Você pode especificar horas, dias, semanas, trimestres ou anos. Quando você encontrar agentes inativos, revise os registros de atividades para verificar problemas que podem interferir na comunicação agente servidor. Os resultados da consulta permitem a você realizar uma variedade de ações relacionadas aos sistemas identificados, incluindo ping, exclusão, ativação e redistribuição de um agente. Propriedades de produtos e do sistema do Windows relatadas pelo agente O agente relata as propriedades do sistema no epolicy Orchestrator a partir dos sistemas gerenciados. As propriedades relatadas variam de acordo com o sistema operacional. As propriedades aqui listadas são relatadas pelo Windows. Propriedades do sistema Esta lista mostra os dados de sistema relatados para o epolicy Orchestrator por seus sistemas operacionais dos nós. Revise os detalhes no sistema antes de concluir que as propriedades do sistema foram relatadas incorretamente. GUID do agente Número de série da CPU Velocidade da CPU MHz Tipo da CPU Props personalizado 1 4 Tipo de comunicação Idioma padrão Descrição Nome DNS Nome do domínio Marcas excluídas Espaço livre em disco Memória livre Espaço livre na unidade do sistema Produtos instalados Endereço IP Endereço IPX Sistema operacional de 64 bits? Último erro de sequência É um laptop Última comunicação Endereço MAC Estado gerenciado Tipo de gerenciamento Número de CPUs Sistema operacional Número da compilação do SO Identificador OEM do SO Plataforma do SO Versão do Service Pack do SO Tipo do SO Versão do SO Erros de sequência Chave do servidor Endereço da sub rede Máscara da sub rede Descrição do sistema Local do sistema Nome do sistema Classificação da árvore de sistemas Marcas Fuso horário A ser transferido Espaço em disco total Memória física total Espaço em disco usado Nome do usuário Vdi 144 Software McAfee epolicy Orchestrator Guia de produto

145 Comunicação agente-servidor Consultas fornecidas pelo McAfee Agent 10 Propriedades do agente Cada produto da McAfee designa as propriedades que relata ao epolicy Orchestrator e, dessas propriedades, aquelas que são incluídas em um conjunto de propriedades mínimas. Esta lista mostra os tipos de dados de produto que são relatados ao epolicy Orchestrator pelo software da McAfee instalado em seu sistema. Se você encontrar erros nos valores relatados, revise os detalhes dos seus produtos antes de concluir que tenham sido relatados incorretamente. GUID do agente Hash da chave de comunicação segura entre o agente e o servidor Intervalo de comunicação entre o agente e o servidor Chamada de ativação do agente Porta de comunicação de ativação do agente Nó do cluster Estado de serviço do cluster Nome do cluster Host do cluster Nós de membros de cluster Caminho de recurso de quorum de cluster Endereço IP de cluster Versão do DAT Versão do mecanismo Forçar reinicialização automática após Versão do Hotfix/Patch Caminho instalado Idioma Status do último cumprimento de política Status da última coleção de propriedades Status da licença Solicitar que o usuário reinicialize se necessário Intervalo de cumprimento de política Versão do produto Versão do plug in Suporte para Executar agora Service Pack Mostrar o ícone da área de sistema da McAfee SuperAgent como serviço de Retransmissão Funcionalidade do SuperAgent Repositório do SuperAgent Diretório do repositório do SuperAgent Porta de comunicação de ativação do SuperAgent Consultas fornecidas pelo McAfee Agent O McAfee Agent adiciona várias consultas padrão ao ambiente do epolicy Orchestrator. As consultas a seguir estão instaladas no grupo compartilhado do McAfee Agent. Tabela 10-1 Consultas fornecidas pelo McAfee Agent Consulta Resumo da comunicação de agentes Status do Gerenciador de agentes Informações estatísticas do Agent Resumo das versões do agente Descrição Um gráfico de pizza de sistemas gerenciados que indica se os agentes se comunicaram com o servidor McAfee epo no dia anterior. Um gráfico de pizza que exibe o status de comunicação do Gerenciador de agentes na última hora. Um gráfico de barras exibindo as seguintes estatísticas do agente: Número de conexões com falha com os servidores de retransmissão Número de tentativas de conexão com o servidor de retransmissão após o número máximo de conexões permitidas Largura de banda de rede salva pelo uso da hierarquia de SuperAgents Um gráfico de pizza dos agentes instalados por número de versão em sistemas gerenciados. Software McAfee epolicy Orchestrator Guia de produto 145

146 10 Comunicação agente-servidor Permissão de armazenamento em cache de credenciais de distribuição do agente Tabela 10-1 Consultas fornecidas pelo McAfee Agent (continuação) Consulta Agentes inativos Nós gerenciados com falhas na imposição da política do produto independente Descrição Uma tabela que lista todos os sistemas gerenciados cujos agentes não se comunicaram no mês passado. Um gráfico de barras de grupo único que mostra o máximo de nós gerenciados (especificados no assistente Construtor de consultas) com pelo menos uma falha de imposição da política. Você pode fazer consultas sobre falhas na imposição de política do produto independente no servidor McAfee epo 5.0 ou posterior. Nós gerenciados com falhas na coleta de propriedades de produtos independentes Um gráfico de barras de grupo único que mostra o máximo de nós gerenciados (especificados no assistente Construtor de consultas) com pelo menos uma falha na coleta de propriedades. Você pode fazer consultas sobre falhas na coleta de propriedades de produtos independentes no servidor McAfee epo 5.0 ou posterior. Repositórios e porcentagem de utilização Uso de repositórios com base em DAT e Recepção de mecanismo Sistemas por Gerenciador de agentes Um gráfico de pizza que exibe a utilização percentual de cada repositório em relação a todos os repositórios. Um gráfico de barras empilhadas que exibe DAT e Recepção de mecanismo por repositório. Um gráfico de pizza que exibe o número de sistemas gerenciados por Gerenciador de agentes. Permissão de armazenamento em cache de credenciais de distribuição do agente Os administradores devem fornecer as credenciais do cliente para distribuir com êxito agentes do servidor epolicy Orchestrator nos sistemas em rede. Você pode optar por permitir que as credenciais de distribuição do agente sejam armazenadas em cache para cada usuário. Após as credenciais de um usuário serem armazenadas em cache, esse usuário poderá distribuir agentes sem precisar fornecê las novamente. As credenciais são armazenadas em cache por usuário, portanto, um usuário que não tenha fornecido credenciais anteriormente, não poderá distribuir agentes sem fornecer suas próprias credenciais primeiro. 1 Clique em Menu Configuração Configurações do servidor, selecione Credenciais de distribuição do agente em Categorias de configurações e clique em Editar. 2 Marque a caixa de seleção para permitir que as credenciais de distribuição do agente sejam armazenadas em cache. 146 Software McAfee epolicy Orchestrator Guia de produto

147 Comunicação agente-servidor Alteração de portas de comunicação do agente 10 Alteração de portas de comunicação do agente Você pode alterar algumas das portas usadas para comunicação do agente no servidor epolicy Orchestrator. Você pode modificar as configurações para essas portas de comunicação do agente: Porta segura de comunicação agente servidor Porta de comunicação de ativação do agente Porta de comunicação de broadcast do agente 1 Clique em Menu Configuração Configurações do servidor, selecione Portas em Categorias de configurações e clique em Editar. 2 Selecione para ativar a porta 443 como a porta segura para comunicações agente servidor, digite as portas a serem usadas para chamadas de ativação e de broadcast do agente e clique em Salvar. Exibição de propriedades do agente e de produtos Uma tarefa comum de solução de problemas é verificar se as alterações de política feitas correspondem às propriedades recuperadas de um sistema. 1 Clique em Menu Sistemas Árvore de sistemas. 2 Na guia Sistemas, clique na linha correspondente ao sistema que você deseja examinar. As informações sobre as propriedades do sistema, produtos instalados e agente são exibidas. A faixa na parte superior da página Informações sobre o sistema contém as janelas Resumo, Propriedades e Eventos de ameaça. Ela também exibe as guias Propriedades de sistema, Produtos, Eventos de ameaça, McAfee Agent, Rogue System Detection e Itens relacionados. Chaves de segurança As chaves de segurança são utilizadas para verificar e autenticar comunicações e conteúdo no ambiente gerenciado do epolicy Orchestrator. Conteúdo Chaves de segurança e como funcionam Par de chaves do repositório principal Outras chaves públicas de repositório Gerenciamento de chaves de repositório Chaves de comunicação segura agente-servidor (ASSC) Chaves de backup e restauração Software McAfee epolicy Orchestrator Guia de produto 147

148 10 Comunicação agente-servidor Chaves de segurança Chaves de segurança e como funcionam O servidor epolicy Orchestrator conta com três pares de chaves de segurança. Os três pares de segurança são usados para: Autenticar a comunicação agente servidor. Verificar o conteúdo dos repositórios locais. Verificar o conteúdo dos repositórios remotos. Cada chave secreta do par assina mensagens ou pacotes na origem, enquanto a chave pública do par verifica as mensagens ou pacotes na origem. Chaves de comunicação segura agente servidor (ASSC) A primeira vez em que o agente se comunica com o servidor, ele envia sua chave pública para o servidor. A partir daí, o servidor usa a chave pública do agente para verificar mensagens assinadas com a chave secreta do agente. O servidor usa a própria chave secreta para assinar sua mensagem para o agente. O agente usa a chave pública do servidor para verificar a mensagem do servidor. Você pode ter vários pares de chaves de comunicação segura, mas somente um pode ser designado como chave principal. Quando a tarefa do atualizador de chave do agente cliente é executada (McAfee epo Agent Key Updater), os agentes que usam chaves públicas diferentes recebem a chave pública atual. Se estiver fazendo upgrade ou não da versão 4.5 ou 4.6, as chaves existentes serão migradas para o servidor McAfee epo 5.0. Pares de chaves do repositório principal local A chave de repositório secreta assina o pacote antes de ser incluída no repositório. A chave pública de repositório verifica o conteúdo dos pacotes no repositório principal e no repositório distribuído. O agente recupera novo conteúdo disponível cada vez que a tarefa de atualização do cliente é executada. Esse par de chaves é exclusivo para cada servidor. Ao exportar e importar chaves entre servidores, é possível usar o mesmo par de chaves em um ambiente de vários servidores. Outros pares de chaves de repositório A chave secreta de uma fonte confiável assina o conteúdo ao postá lo em seu repositório remoto. Fontes confiáveis incluem o site de downloads da McAfee e o repositório do McAfee Security Innovation Alliance (SIA). Se a chave for excluída, não será possível efetuar pull, mesmo se você importar uma chave de outro servidor. Antes de sobrescrever ou excluir a chave, certifique se de fazer backup em um local seguro. A chave pública do agente verifica o conteúdo que é recuperado do repositório remoto. 148 Software McAfee epolicy Orchestrator Guia de produto

149 Comunicação agente-servidor Chaves de segurança 10 Par de chaves do repositório principal A chave privada do repositório principal assina todo o conteúdo não assinado no repositório principal. Essa chave é um recurso dos agentes 4.0 e de versões posteriores. Os agentes 4.0 e de versões posteriores usam a chave pública para verificar o conteúdo originário do repositório principal neste servidor McAfee epo. Se o conteúdo não estiver assinado ou se estiver assinado com uma chave privada de repositório desconhecida, o conteúdo obtido por download será considerado inválido e será excluído. Esse par de chaves é exclusivo de cada instalação de servidor. No entanto, ao exportar e importar chaves, você pode usar o mesmo par de chaves em um ambiente de vários servidores. Essa é uma medida de reserva que pode ajudar a garantir que os agentes sempre possam se conectar a um dos seus repositórios principais, mesmo quando outro estiver inativo. Outras chaves públicas de repositório As chaves que não fazem parte do par de chaves principal são chaves públicas que os agentes usam para verificar o conteúdo de outros repositórios principais no seu ambiente ou em sites de origem da McAfee. Cada agente que se reporta a esse servidor usa as chaves na lista Outras chaves públicas de repositório para verificar o conteúdo originário de outros servidores McAfee epo na sua organização ou de origens pertencentes à McAfee. Se um agente fizer download de conteúdo proveniente de uma origem em que o agente não tem a chave pública apropriada, o agente descartará o conteúdo. Essas chaves são um recurso novo, e somente os agentes 4.0 e de versões posteriores podem usar os novos protocolos. Gerenciamento de chaves de repositório Você pode gerenciar chaves de repositório usando estas tarefas. s Uso de um par de chaves do repositório principal para todos os servidores na página 149 É possível garantir que todos os servidores e agentes do McAfee epo usem o mesmo par de chaves do repositório principal em um ambiente de vários servidores usando as Configurações do servidor. Uso das chaves do repositório principal em ambientes de vários servidores na página 150 É possível garantir que os agentes possam usar o conteúdo originado de qualquer servidor McAfee epo em seu ambiente usando as Configurações do servidor. Uso de um par de chaves do repositório principal para todos os servidores É possível garantir que todos os servidores e agentes do McAfee epo usem o mesmo par de chaves do repositório principal em um ambiente de vários servidores usando as Configurações do servidor. Isso consiste em primeiro exportar o par de chaves que deseja que todos os servidores usem e então importar esse par para todos os servidores em seu ambiente. 1 Clique em Menu Configuração Configurações do servidor, selecione Chaves de segurança na lista Categorias de configurações e clique em Editar. A página Editar chaves de segurança é exibida. 2 Ao lado de Par de chaves do repositório principal local, clique em Exportar par de chaves. 3 Clique em OK. A caixa de diálogo Fazer download de arquivo é exibida. Software McAfee epolicy Orchestrator Guia de produto 149

150 10 Comunicação agente-servidor Chaves de segurança 4 Clique em Salvar, navegue até um local que pode ser acessado pelos demais servidores, onde você deseja salvar o arquivo zip que contém os arquivos de chave de comunicação segura. Em seguida, clique em Salvar. 5 Ao lado de Importar e fazer backup das chaves, clique em Importar. 6 Navegue até o arquivo zip que contém os arquivos das chaves do repositório principal e clique em Avançar. 7 Verifique se essas são as chaves que você deseja importar e clique em Salvar. O par de chaves do repositório principal importado substitui o par de chaves existente no servidor. Os agentes começam a usar o novo par de chaves depois que a próxima tarefa de atualização de agente for executada. Depois que o par de chaves do repositório principal é alterado, um ASSC deve ser realizado antes que o agente possa usar a nova chave. Uso das chaves do repositório principal em ambientes de vários servidores É possível garantir que os agentes possam usar o conteúdo originado de qualquer servidor McAfee epo em seu ambiente usando as Configurações do servidor. O servidor assina todo o conteúdo não assinado incluído no repositório com a chave privada do repositório principal. Os agentes usam as chaves públicas do repositório para validar o conteúdo recuperado de repositórios na organização ou nos sites de origem da McAfee. O par de chaves do repositório principal é exclusivo para cada instalação do epolicy Orchestrator. Se você usar vários servidores, cada um usará uma chave diferente. Se os agentes puderem fazer download do conteúdo que se origina de diferentes repositórios principais, é necessário assegurar que os agentes reconheçam o conteúdo como válido. É possível assegurar isso de duas maneiras: Use o mesmo par de chaves do repositório principal para todos os servidores e agentes. Verifique se os agentes foram configurados para reconhecer qualquer chave pública de repositório usada em seu ambiente. O processo a seguir exporta o par de chaves de um servidor McAfee epo para o servidor de destino McAfee epo e, em seguida, no servidor de destino McAfee epo, importa e sobrescreve o par de chaves existente. 1 No servidor McAfee epo com o par de chaves do repositório principal, clique em Menu Configuração Configurações do servidor, selecione Chaves de segurança na lista Categorias de configurações e clique em Editar. A página Editar chaves de segurança é exibida. 2 Ao lado de Par de chaves do repositório principal local, clique em Exportar par de chaves. 3 Clique em OK. A caixa de diálogo Fazer download de arquivo é exibida. 4 Clique em Salvar e navegue para um local no servidor de destino McAfee epo para salvar o arquivo zip. 5 Altere o nome do arquivo, caso seja necessário, e clique em Salvar. 150 Software McAfee epolicy Orchestrator Guia de produto

151 Comunicação agente-servidor Chaves de segurança 10 6 No servidor de destino McAfee epo em que você deseja carregar o par de chaves do repositório principal, clique em Menu Configuração Configurações do servidor, selecione Chaves de segurança na lista Categorias de configurações e clique em Editar. A página Editar chaves de segurança é exibida. 7 Ao lado de Importar e fazer backup das chaves, clique em Importar. 8 Ao lado de Selecionar arquivo, navegue para selecionar o arquivo principal do par de chaves e clique em Avançar. 9 Se as informações do resumo forem exibidas corretamente, clique em Salvar. O novo par de chaves principal é exibido na lista ao lado de Chaves de comunicação segura agente servidor. 10 Na lista, selecione o arquivo que você importou nas etapas anteriores e clique em Tornar principal. Isso altera o par de chaves principal existente para o novo par de chaves que você acabou de importar. 11 Clique em Salvar para concluir o processo. Chaves de comunicação segura agente-servidor (ASSC) Os agentes utilizam chaves ASSC para comunicação segura com o servidor. Você pode tornar qualquer par de chaves ASSC o principal, que é o par de chaves atualmente atribuído a todos os agentes distribuídos. Os agentes existentes que usam as chaves na lista Chaves de comunicação agente servidor não mudam para a nova chave principal, a menos que haja uma tarefa do atualizador de chaves de agente cliente programada e executada. Espere até que todos os agentes tenham sido atualizados para a nova chave principal antes de excluir as chaves antigas. Os agentes para Windows anteriores à versão 4.0 não possuem suporte. Trabalho com chaves ASSC Para gerenciar e usar as chaves ASSC em seu ambiente, use essas tarefas. s Gerenciamento de chaves ASSC na página 151 É possível gerar, exportar, importar e excluir chaves ASSC nas Configurações do servidor. Exibição de sistemas que usam um par de chaves ASSC na página 153 É possível exibir os sistemas cujos agentes usam um par de chaves de comunicação segura agente servidor na lista Chaves de comunicação segura agente servidor. Uso do mesmo par de chaves ASSC para todos os servidores e agentes na página 154 Você deve garantir que todos os servidores e agentes do McAfee epo usem o mesmo par de chaves de comunicação segura agente servidor (ASSC). Uso de um par de chaves ASSC diferente para cada servidor McAfee epo na página 154 Você pode usar um par de chaves ASSC diferente para cada servidor McAfee epo, para garantir que todos os agentes possam se comunicar com os servidores McAfee epo necessários em um ambiente em que cada servidor deve ter um único par de chaves de comunicação segura agente servidor. Gerenciamento de chaves ASSC É possível gerar, exportar, importar e excluir chaves ASSC nas Configurações do servidor. Software McAfee epolicy Orchestrator Guia de produto 151

152 10 Comunicação agente-servidor Chaves de segurança 1 Clique em Menu Configuração Configurações do servidor, selecione Chaves de segurança na lista Categorias de configurações. A página Editar chaves de segurança é exibida. 2 Selecione uma destas ações. Ação Gere e use novos pares de chaves ASSC. Etapas Use estes procedimentos para gerar novos pares de chaves de comunicação segura agente servidor. 1 Ao lado da lista Chaves de comunicação segura agente servidor, clique em Nova chave. Na caixa de diálogo, digite o nome da chave de segurança. 2 Se quiser que os agentes existentes usem a nova chave, selecione a na lista e clique em Tornar principal. Os agentes começarão a usar a nova chave após a conclusão da próxima tarefa de atualização de agente. Se o servidor gerencia agentes 4.6, verifique se o pacote do Atualizador de chaves do agente 4.6 foi incluído no repositório principal. Em grandes instalações, a geração e o uso de novos pares de chaves principais devem ser realizados somente quando há um motivo específico para isso. A McAfee recomenda que você execute esse procedimento em fases para que possa monitorar de perto o andamento. 3 Depois que todos os agentes deixarem de usar a chave antiga, exclua a. Na lista de chaves, à direita de cada chave, é exibido o número de agentes que a estão usando no momento. 4 Faça backup de todas as chaves. Exporte as chaves ASSC. Use estes procedimentos para exportar chaves de comunicação segura agente servidor de um servidor McAfee epo para outro servidor McAfee epo, para permitir que os agentes acessem esse novo servidor McAfee epo. 1 Na lista Chaves de comunicação segura agente servidor, selecione uma chave e clique em Exportar. Será exibida a caixa de diálogo Exportar chaves de comunicação agente servidor. 2 Clique em OK. O navegador solicitará que você faça download do arquivo sr<nome do servidor>.zip no local especificado. Dependendo do navegador utilizado, se você tiver especificado um local padrão para todos os downloads, esse arquivo poderá ser salvo automaticamente nesse local. 152 Software McAfee epolicy Orchestrator Guia de produto

153 Comunicação agente-servidor Chaves de segurança 10 Ação Importe chaves ASSC. Etapas Use estes procedimentos para importar chaves de comunicação segura agente servidor (ASSC) que tenham sido exportadas de outro servidor McAfee epo. Esse procedimento permite que os agentes desse servidor acessem este servidor McAfee epo. 1 Clique em Importar. Será exibida a página Importar chaves. 2 Navegue até a chave no local onde você a salvou (por padrão, na área de trabalho), selecione a e clique em Abrir. 3 Clique em Avançar e revise as informações na página Importar chaves. 4 Clique em Salvar. Designe um par de chaves ASSC como principal. Estes procedimentos permitem alterar qual par de chaves, na lista Chaves de comunicação segura agente servidor, é especificado como principal. Faça isso após a importação ou criação de um novo par de chaves. 1 Na lista Chaves de comunicação segura agente servidor, selecione uma chave e clique em Tornar principal. 2 Crie uma tarefa de atualização para ser executada imediatamente para os agentes, de forma que a atualização dos agentes ocorra após a próxima comunicação agente servidor. Verifique se o pacote atualizador da chave do agente foi incluído no repositório principal e replicado para todos os repositórios distribuídos que são gerenciados pelo epolicy Orchestrator. Os agentes começarão a usar o novo par de chaves após a conclusão da próxima tarefa de atualização para o agente. A qualquer momento, você poderá ver quais agentes estão usando quaisquer pares de chaves de comunicação segura agente servidor na lista. 3 Faça backup de todas as chaves. Exclua chaves ASSC. Não exclua qualquer chave atualmente em uso pelos agentes. Se você fizer isso, esses agentes não poderão se comunicar com o servidor. 1 Na lista Chaves de comunicação segura agente servidor, selecione a chave que você deseja remover e clique em Excluir. A caixa de diálogo Excluir chave é exibida. 2 Clique em OK para excluir o par de chaves desse servidor. Exibição de sistemas que usam um par de chaves ASSC É possível exibir os sistemas cujos agentes usam um par de chaves de comunicação segura agente servidor na lista Chaves de comunicação segura agente servidor. Depois de tornar um par de chaves específico o principal, você pode desejar exibir os sistemas que ainda usam o par de chaves anterior. Não exclua um par de chaves até que você saiba que nenhum agente o está usando. 1 Clique em Menu Configuração Configurações do servidor, selecione Chaves de segurança na lista Categorias de configurações e em Editar. A página Editar chaves de segurança é exibida. Software McAfee epolicy Orchestrator Guia de produto 153

154 10 Comunicação agente-servidor Chaves de segurança 2 Na lista Chaves de comunicação segura agente servidor, selecione uma chave e clique em Exibir agentes. A página Sistemas usando esta chave é exibida. A página lista todos os sistemas cujos agentes estão usando a chave selecionada. Uso do mesmo par de chaves ASSC para todos os servidores e agentes Você deve garantir que todos os servidores e agentes do McAfee epo usem o mesmo par de chaves de comunicação segura agente servidor (ASSC). Se você tem um número grande de sistemas gerenciados em seu ambiente, a McAfee recomenda realizar este processo em fases para que você possa monitorar as atualizações de agentes. Use este procedimento para garantir que todos os servidores e agentes do McAfee epo usem o mesmo par de chaves ASSC. 1 Crie uma tarefa de atualização de agente. 2 Exporte as chaves escolhidas do servidor McAfee epo selecionado. 3 Importe as chaves exportadas para todos os demais servidores. 4 Designe a chave importada como a principal em todos os servidores. 5 Realize duas chamadas de ativação de agentes. 6 Quando todos os agentes estiverem usando as novas chaves, exclua as chaves não utilizadas. 7 Faça backup de todas as chaves. Uso de um par de chaves ASSC diferente para cada servidor McAfee epo Você pode usar um par de chaves ASSC diferente para cada servidor McAfee epo, para garantir que todos os agentes possam se comunicar com os servidores McAfee epo necessários em um ambiente em que cada servidor deve ter um único par de chaves de comunicação segura agente servidor. Os agentes podem se comunicar somente com um servidor por vez. O servidor McAfee epo pode ter várias chaves para se comunicar com diferentes agentes, mas o oposto não é verdadeiro. Os agentes não podem ter várias chaves para se comunicar com vários servidores McAfee epo. 1 De cada servidor McAfee epo em seu ambiente, exporte o par de chaves principal de comunicação segura agente servidor para um local temporário. 2 Importe cada um desses pares de chaves para cada servidor McAfee epo. Chaves de backup e restauração Faça backup periodicamente de todas as chaves de segurança e crie sempre um backup antes de alterar as principais configurações de gerenciamento. Armazene o backup em um local seguro na rede para que as chaves possam ser restauradas com facilidade, caso alguma seja perdida inesperadamente no servidor McAfee epo. 154 Software McAfee epolicy Orchestrator Guia de produto

155 Comunicação agente-servidor Chaves de segurança 10 1 Clique em Menu Configuração Configurações do servidor, selecione Chaves de segurança na lista Categorias de configurações e clique em Editar. A página Editar chaves de segurança é exibida. 2 Selecione uma destas ações. Ação Fazer backup de todas as chaves de segurança. Etapas 1 Clique em Fazer backup de tudo próximo à parte inferior da página. A caixa de diálogo Armazenamento de chaves de backup é exibida. 2 Você também pode inserir uma senha para criptografar o arquivo.zip de armazenamento de chaves ou clicar em OK para salvar os arquivos como texto não criptografado. 3 Na caixa de diálogo Download de arquivo, clique em Salvar para criar um arquivo.zip de todas as chaves de segurança. A caixa de diálogo Salvar como é exibida. 4 Navegue até um local seguro na rede para armazenar o arquivo.zip e clique em Salvar. Restaurar chaves de segurança. 1 Clique em Restaurar tudo próximo à parte inferior da página. A página Restaurar chaves de segurança será exibida. 2 Navegue até o arquivo.zip que contém as chaves de segurança, selecione o e clique em Avançar. O assistente Restaurar chaves de segurança será aberto na página Resumo. 3 Navegue até as chaves que vão substituir a chave existente e clique em Avançar. 4 Clique em Restaurar. A página Editar chaves de segurança será exibida novamente. 5 Navegue até um local seguro na rede para armazenar o arquivo.zip e clique em Salvar. Restaurar chaves de segurança a partir de um arquivo de backup. 1 Clique em Restaurar tudo próximo à parte inferior da página. A página Restaurar chaves de segurança será exibida. 2 Navegue até o arquivo.zip que contém as chaves de segurança, selecione o e clique em Avançar. O assistente Restaurar chaves de segurança será aberto na página Resumo. 3 Navegue até o arquivo.zip de backup, selecione o e clique em Avançar. 4 Clique em Restaurar tudo na parte inferior da página. O assistente Restaurar chaves de segurança será aberto. 5 Navegue até o arquivo.zip de backup, selecione o e clique em Avançar. 6 Verifique se as chaves neste arquivo são as que você deseja que sobrescrevam as chaves existentes e clique em Restaurar tudo. Software McAfee epolicy Orchestrator Guia de produto 155

156 10 Comunicação agente-servidor Chaves de segurança 156 Software McAfee epolicy Orchestrator Guia de produto

157 11 Gerenciador de software Use o Gerenciador de software para revisar e obter softwares e componentes de software da McAfee. Conteúdo O que há no Gerenciador de software Inclusão, atualização e remoção de software com o Gerenciador de software Verificação de compatibilidade de produto O que há no Gerenciador de software O Gerenciador de software elimina a necessidade de acessar o site de download de produtos da McAfee para obter o novo software da McAfee e as atualizações do software. Você pode usar o Gerenciador de software para fazer o download de: Software licenciado Software de avaliação Atualizações de software Documentação do produto DATs e mecanismos não estão disponíveis no Gerenciador de software. Software licenciado Um software licenciado é qualquer software que sua organização tenha comprado com a McAfee. Ao exibir o Gerenciador de software no console do epolicy Orchestrator, qualquer software licenciado para sua empresa que ainda não tenha sido instalado no servidor é listado na categoria de produto Software não incluído. O número exibido ao lado de cada sub categoria na lista Categorias de produto indica quantos produtos estão disponíveis. Software de avaliação Um software de avaliação é um software do qual sua organização não possui uma licença no momento. Você pode instalar um software de avaliação em seu servidor, mas a funcionalidade pode ser restrita até que você adquira uma licença do produto. Atualizações de software Quando é lançada uma nova atualização para o software que você está usando, é possível usar o Gerenciador de software para incluir novos pacotes e extensões. As atualizações de software disponíveis são listadas na categoria Atualizações disponíveis. Software McAfee epolicy Orchestrator Guia de produto 157

158 11 Gerenciador de software Inclusão, atualização e remoção de software com o Gerenciador de software Documentação do produto É possível obter documentação nova e atualizada de produtos pelo Gerenciador de software. As extensões de ajuda podem ser instaladas automaticamente. Documentação em PDF e HTML como Guias de produto e Notas da versão também podem ser obtidos pelo Gerenciador de software. Sobre as dependências de componentes do software Muitos dos produtos de software que você pode instalar para uso com seu servidor do McAfee epo têm dependências predefinidas com outros componentes. Dependências de extensões de produtos são instaladas automaticamente. Para todos os demais componentes do produto, você deve revisar a lista de dependências na página de detalhes do componente e instalá las primeiro. Inclusão, atualização e remoção de software com o Gerenciador de software No Gerenciador de software, você pode incluir, atualizar e remover componentes de produto gerenciado da McAfee do seu servidor. É possível acessar software licenciado e de avaliação no Gerenciador de software. A disponibilidade do software e sua categoria Licenciado ou de Avaliação dependem da sua chave de licença. Para obter mais informações, entre em contato com o seu administrador. 1 Clique em Menu Software Gerenciador de software. 2 Na página Gerenciador de software, na lista Categorias de produto, selecione uma das seguintes categorias ou use a caixa de pesquisa para localizar o seu software: Atualizações disponíveis lista as atualizações disponíveis para componentes de software licenciados já instalados ou incluídos neste servidor epolicy Orchestrator. Software incluído exibe todo o software (Licenciado e de Avaliação) instalado ou incluído neste servidor. Se você adicionou recentemente a licença para um produto e ele aparece como Avaliação, clique em Atualizar para atualizar a conta licenciada e exibir o produto como Licenciado, em Software incluído. Software não incluído exibe o software que está disponível, mas não instalado neste servidor. Software (por rótulo) exibe o software por função, conforme descrito pelos pacotes de produtos da McAfee. 3 Quando você encontrar o software correto, clique em: Fazer download para fazer o download da documentação do produto em um local na sua rede. Incluir para incluí lo em um pacote ou extensão do produto neste servidor. Atualizar para atualizar um pacote ou extensão que está instalado ou incluído neste servidor. Remover para desinstalar um pacote ou extensão que está instalado ou incluído neste servidor. 4 Na página Incluir resumo de software, revise e aceite os detalhes do produto e o Contrato de licença de usuário final (EULA) e, em seguida, clique em OK para concluir a operação. 158 Software McAfee epolicy Orchestrator Guia de produto

159 Gerenciador de software Verificação de compatibilidade de produto 11 Verificação de compatibilidade de produto Você pode configurar uma Verificação de compatibilidade de produto para fazer download automaticamente de uma lista de compatibilidade de produto de McAfee. Essa lista identifica produtos que não são mais compatíveis no ambiente do epolicy Orchestrator. O epolicy Orchestrator executa essa verificação a qualquer momento na instalação e inicialização de uma extensão que possa levar o servidor a um estado indesejável. Essa verificação ocorre nas seguintes situações: Durante o upgrade de uma versão anterior do epolicy Orchestrator para 5.0 ou posterior. Quando uma extensão é instalada a partir do menu Extensões. Antes de uma nova extensão ser recuperada do gerenciador de software. Quando uma nova lista de compatibilidade é recebida da McAfee. Quando a ferramenta de migração de dados é executada. Consulte o Guia de instalação do software McAfee epolicy Orchestrator para obter detalhes. Verificação de compatibilidade de produto A Verificação de compatibilidade de produto usa um arquivo XML, Lista de compatibilidade de produto, para determinar as extensões do produto que não são compatíveis com uma versão do epolicy Orchestrator. Uma lista inicial está incluída no pacote de software epolicy Orchestrator obtido por download no site da McAfee. Quando você executa a configuração de epolicy Orchestrator durante uma instalação ou upgrade, o epolicy Orchestrator tenta recuperar automaticamente a lista mais atual de extensões compatíveis de uma origem do McAfee confiável pela Internet. Se a origem na Internet não estiver disponível ou se a lista não puder ser verificada, o epolicy Orchestrator usará a versão mais recente disponível. O servidor epolicy Orchestrator atualiza a Lista de compatibilidade de produto, um pequeno arquivo, em segundo plano uma vez ao dia. Correção Quando você exibir a lista de extensões incompatíveis pelo instalador ou Utilitário de compatibilidade de upgrade do epolicy Orchestrator, receberá uma notificação informando se uma extensão de substituição conhecida está disponível. Em alguns casos durante um upgrade: Uma extensão bloqueia o upgrade e deve ser removida ou substituída para continuar o upgrade. Uma extensão é desativada, mas é necessário atualizar a extensão após a conclusão do upgrade do epolicy Orchestrator. Para obter mais detalhes, consulte Extensões bloqueadas ou desativadas. Desativação de atualizações automáticas Você pode desativar as atualizações automáticas da Lista de compatibilidade de produto para impedir que uma nova lista seja obtida por download. Software McAfee epolicy Orchestrator Guia de produto 159

160 11 Gerenciador de software Verificação de compatibilidade de produto O download ocorre como parte de uma tarefa em segundo plano ou quando o conteúdo do Gerenciador de software é atualizado. Essa configuração é especialmente útil quando o servidor McAfee epo não tem acesso à Internet de entrada. Para obter detalhes, consulte Alteração de download da Lista de compatibilidade de produto. A reativação da configuração de download da Lista de compatibilidade de produto reativa também as atualizações automáticas do Gerenciador de software da Lista de compatibilidade de produto. Uso da Lista de compatibilidade de produto obtida por download manualmente Você pode usar uma Lista de compatibilidade de produto obtida por download manualmente, por exemplo, se o servidor epolicy Orchestrator não tem acesso à Internet. É possível fazer download manualmente da lista: Quando você instala o epolicy Orchestrator. Para obter detalhes, consulte Extensões bloqueadas ou desativadas. Ao usar Configurações do servidor Lista de compatibilidade de produto para fazer upload manualmente de uma Lista de compatibilidade de produto. Essa lista passa a vigorar imediatamente após o upload. A desativação da atualização automática da lista impede a substituição da Lista de compatibilidade de produto obtida por download manualmente. Para obter detalhes, consulte Alteração de download da Lista de compatibilidade de produto. Clique em ProductCompatibilityList.xml para fazer download manualmente da lista. Extensões bloqueadas ou desativadas Se uma extensão estiver bloqueada na Lista de compatibilidade de produto, ela impedirá o upgrade do software epolicy Orchestrator. Se uma extensão estiver desativada, ela não bloqueará o upgrade, mas a extensão não será inicializada após o upgrade até uma extensão substituta conhecida ser instalada. Opções de linha de comando para instalação da Lista de compatibilidade de produto Use essas opções da linha de comando com o comando setup.exe para configurar downloads de Lista de compatibilidade de produto. Opção setup.exe DISABLEPRODCOMPATUPDATE=1 setup.exe PRODCOMPATXML=<full_filename_including_path> Definição Desativa o download automático da Lista de compatibilidade de produto do site do McAfee na Web. Especifica um arquivo alternativo da lista de compatibilidade de produto. Ambas as opções de linha de comando podem ser usadas juntas em uma cadeia de comando. 160 Software McAfee epolicy Orchestrator Guia de produto

161 Gerenciador de software Verificação de compatibilidade de produto 11 Reconfiguração de download da Lista de compatibilidade de produto Você pode fazer download da Lista de compatibilidade de produto na Internet ou usar uma lista obtida por download manualmente para identificar produtos que não são mais compatíveis no ambiente epolicy Orchestrator. Antes de iniciar Toda Lista de compatibilidade de produto obtida por download manualmente deve ter um arquivo XML válido fornecido por McAfee. Se for feita qualquer alteração no arquivo XML da Lista de compatibilidade de produto, o arquivo será invalidado. 1 Clique em Menu Configuração Configurações do servidor, selecione Lista de compatibilidade de produto em Categorias de configurações e clique em Editar. Será exibida uma lista de extensões incompatíveis desativadas em uma tabela na página aberta. 2 Clique em Desativado para interromper o download automático e regular da Lista de compatibilidade de produto de McAfee. 3 Clique em Procurar e navegue até Fazer upload da lista de compatibilidade de produto, em seguida, clique em Salvar. Agora que você desativou o download automático da Lista de compatibilidade de produto, o servidor McAfee epo usará a mesma lista até você fazer upload de uma nova lista ou conectar seu servidor à Internet e ativar o download automático. Software McAfee epolicy Orchestrator Guia de produto 161

162 11 Gerenciador de software Verificação de compatibilidade de produto 162 Software McAfee epolicy Orchestrator Guia de produto

163 12 Distribuição de produtos O epolicy Orchestrator simplifica o processo de distribuição de produtos de segurança nos sistemas gerenciados da rede, por meio de uma interface de usuário para configurar e programar as distribuições. Existem dois processos para a distribuição de produtos usando o epolicy Orchestrator: Os projetos de distribuição de produtos (introduzidos no McAfee epo versão 5.0), que simplificam o processo de distribuição e oferecem funções adicionais. s e objetos de tarefas de cliente criados e gerenciados individualmente. Para obter mais informações sobre esse método, consulte s de distribuição em s do cliente e do servidor. Conteúdo Escolha de um método de distribuição de produtos Benefícios dos projetos de distribuição de produtos A página de distribuição de produtos explicada Exibição de registros de auditoria de Distribuição de produtos Distribuição de produtos usando um projeto de distribuição de produtos Monitoramento e edição de projetos de distribuição Escolha de um método de distribuição de produtos A decisão sobre o método de distribuição de produtos a ser usado depende do que você já configurou. Os projetos de distribuição de produtos oferecem um fluxo de trabalho simplificado e uma funcionalidade maior para a distribuição de produtos em seus sistemas gerenciados do epolicy Orchestrator. Contudo, não é possível usar um projeto de distribuição de produtos para atuar ou gerenciar tarefas e objetos de tarefas de cliente criados em uma versão do software anterior à 5.0. Para manter e continuar usando tarefas e objetos de clientes criados fora de um projeto de distribuição de produtos, use as interfaces de atribuição e a biblioteca de objetos de tarefas de cliente. Você pode manter essas tarefas e objetos enquanto usa a interface do projeto de distribuição de produtos para criar novas distribuições. Para obter mais informações sobre como distribuir produtos usando objetos de tarefas de cliente, consulte s de distribuição em s do cliente e do servidor. Software McAfee epolicy Orchestrator Guia de produto 163

164 12 Distribuição de produtos Benefícios dos projetos de distribuição de produtos Benefícios dos projetos de distribuição de produtos Os projetos de distribuição de produtos simplificam o processo de distribuição de produtos de segurança no sistema gerenciado, pois reduzem o tempo e os custos necessários para programar e manter as distribuições na rede. Os projetos de distribuição de produtos agilizam o processo de distribuição, pois consolidam muitos dos procedimentos necessários para criar e gerenciar as tarefas de distribuição de produtos individualmente. Elas também possibilitam: Executar uma distribuição continuamente Permite configurar o projeto de distribuição para que os produtos possam ser distribuídos automaticamente quando novos sistemas correspondentes aos seus critérios forem adicionados Interromper uma distribuição em execução Se, por algum motivo, você precisar, poderá interromper uma distribuição já iniciada. Depois poderá retomar a distribuição quando estiver pronto. Desinstalar um produto distribuído anteriormente Se um projeto de distribuição estiver concluído e você quiser desinstalar o produto associado dos sistemas atribuídos ao seu projeto, selecione Desinstalar na lista Ação. A tabela a seguir compara os dois processos para distribuição de produtos projetos de distribuição de produtos e objetos de tarefas de clientes individuais. Tabela 12-1 Métodos de distribuição de produtos comparados Objetos de tarefa de cliente Comparação de função Nome e descrição Igual Nome e descrição Conjunto de softwares de produto para distribuição Uso de marcas para selecionar sistemas de destino Igual Aprimorada no projeto de distribuição de produtos Projetos de distribuição de produtos Conjunto de softwares de produto para distribuição Selecione quando a distribuição ocorrer: Contínua As distribuições contínuas usam marcas ou grupos da árvore de sistemas que permitem mover os sistemas para esses grupos ou atribuir marcas do sistema e provocar a aplicação da distribuição a esses sistemas. Fixa As distribuições fixas usam um conjunto de sistemas fixo ou definido. A seleção do sistema é feita pelas tabelas de saída da árvore de sistemas ou da consulta de sistemas gerenciados. Programação da distribuição Não disponível Não disponível Semelhante Nova no projeto de distribuição de produtos Nova no projeto de distribuição de produtos Programa de distribuição simplificada permite executar a distribuição imediatamente ou executá la uma vez em uma hora programada. Monitore o status de distribuição atual; por exemplo, as distribuições programadas,mas não iniciadas, em andamento, interrompidas, pausadas ou concluídas. Exiba um instantâneo histórico dos dados sobre o número de sistemas que recebem a distribuição. Para distribuições fixas apenas. 164 Software McAfee epolicy Orchestrator Guia de produto

165 Distribuição de produtos Benefícios dos projetos de distribuição de produtos 12 Tabela 12-1 Métodos de distribuição de produtos comparados (continuação) Objetos de tarefa de cliente Não disponível Não disponível Comparação de função Nova no projeto de distribuição de produtos Nova no projeto de distribuição de produtos Projetos de distribuição de produtos Exiba o status das distribuições de sistema individuais; por exemplo, sistemas instalados, pendentes e com falha. Modifique uma atribuição de distribuição usando: Criar nova para modificar uma distribuição já existente Editar Duplicar Excluir Parar e Pausar distribuição Continuar e Retomar distribuição Desinstalar Software McAfee epolicy Orchestrator Guia de produto 165

166 12 Distribuição de produtos A página de distribuição de produtos explicada A página de distribuição de produtos explicada A página de distribuição de produtos é um local individual para criar, monitorar e gerenciar seus projetos de distribuição de produtos. A página é dividida em duas áreas principais (áreas 1 e 2 na imagem abaixo), com a área 2 dividida em 5 áreas menores. Figura 12-1 Página Distribuição de produtos explicada As áreas principais são: 1 Resumo de distribuições Lista as distribuições de produtos e permite que você as filtre por tipo e status e exiba seu andamento com rapidez. Se você clicar em uma distribuição, os respectivos detalhes serão exibidos na área de detalhes Distribuição. Um ícone de exclamação indica que a desinstalação de uma distribuição está em andamento ou que o pacote usado pela distribuição foi movido ou excluído. 2 Detalhes da distribuição Lista os detalhes da distribuição selecionada e inclui as seguintes áreas: 166 Software McAfee epolicy Orchestrator Guia de produto