McAfee ePO 3.5
来源:互联网 发布:wifi万能钥匙软件 编辑:程序博客网 时间:2024/05/16 17:06
整合微軟弱點評估、入侵偵測系統事件,監控未管理的電腦
ePolicy Orchestrator(ePO)是一套集中式的安全政策控管系統,提供企業用戶主動的防禦協調機制,McAfee將ePO定位在500個節點以上的中大型企業,管理日趨成長的IT設備、區域分散程度與遠距行動使用者數量,因應現今各種安全威脅需要的多種等級防護與工具,維持系統運作正常。
ePO管理與系統防護相關的更新,利用分散式的儲存庫(Repository)散播McAfee的DAT、防毒引擎、Service Packs、Hotfixes和Patches等更新檔,為了兼顧維持網路流量與效能,McAfee提供快速全域更新(Express Global Updating),以SuperAgents的方式,分散部署更新檔的流量。集中設定與執行安全政策也是ePO很重要的功能之一,ePO能夠自動根據政策,控管更新頻率、設定系統的桌面防火牆、評估微軟更新檔、限制病毒掃描的檔案類型與設定啟發式掃描等。ePO的主控臺可以管理下屬的代理程式,也能同時管理多個ePO伺服器,而跨越不同ePO伺服器的安全政策,透過剪貼(copy and paste)的方式可方便地相互移轉。
除了主動的更新檔政策管理之外,ePO提供40多種預先定義好的報告,包括安全執行摘要到病毒活動、個人防火牆事件和弱點資訊,管理者可以進一步自訂需要的報表內容。加強弱點評估與AD整合
8月發行的3.5版,增加不少新的功能,例如離群系統偵測(Rogue System Detection),可以幫助系統偵測內部網路中未受控管的使用者電腦,進而部署代理程式並套用政策到電腦,避免未受保護與管理的電腦遭到感染,散播威脅。
ePO 3.5同時整合McAfee今年發表的產品 System Compliance Profiler 1.1,快速檢測微軟安全修補程式以及指定應用程式與檔案是否存在,可用來確認用戶端電腦的修補程式和Service Pack 是否過期,避免暴露安全弱點。新版也強化警示功能,管理者可以定義規則,過濾產品和ePO伺服器的事件,收到指定類別事件時,系統會藉由電子郵件、短訊、SNMP陷阱或呼叫器傳送通知給管理者。
舊版ePO中,管理者在系統內須手動匯入Active Directory控管的電腦,新版的Active Directory整合功能,可以在設定初期複製一份AD群組樹狀目錄資料,匯入ePO系統的目錄內,而且會繼續定期收納AD的資料,輪詢AD容器(container),尋找新加入網路、尚未控管的電腦,將未控管的電腦置於ePO系統站臺的遺失/發現區。
新版ePO也能夠設定與管理McAfee Entercept主機型入侵防禦系統,通知規則可接收Entercept的事件,報告存放庫裡面也支援檢視Entercept的報告。使用代理程式的主從式架構
ePO系統架構由伺服器、主控臺和代理程式組成,伺服器裡包含一個儲存庫,存放ePO代理程式從控管的電腦中收集的所有資料;主控臺顯示所有病毒活動和狀態,供系統管理者部署代理程式和產品;代理程式負責連結ePO伺服器與防毒和支援的安全保護產品,並且會在用戶端電腦套用政策。
ePO伺服器包括資料庫、報表產生引擎和軟體存放庫,可儲存用於部署至網路的產品和產品更新。McAfee表示,每個ePO伺服器最多可以管理250000臺電腦。
ePO代理程式安裝在企業想要管理的用戶端電腦和伺服器,蒐集報表需要的資料、目前安裝的產品狀態、套用政策、工作執行及傳回事件,代理程式在用戶端電腦的背景中執行,會從ePO伺服器擷取政策和工作設定的增量變更,然後執行政策。用戶端電腦發生與安全或產品有關活動時,代理程式會通知伺服器,而不會提示用戶端電腦使用者,避免干擾工作。
ePO主控臺相當於整個ePO系統的大腦,內嵌於微軟管理主控臺(MMC)使用介面,管理整個企業的防毒管理、安全保護,及簡易的用戶端電腦狀態檢視報表功能,並且具有設定工作排程的功能,管理者可以針對特定電腦或群組設定排程工作和政策。不過ePO主控臺無法推播代理程式到Novell NetWare伺服器和WebShield Appliance,須手動安裝或透過登入指令碼的方式。
ePO在所有防毒廠商中的全系統管理功能已經相當完整。不過我們在3個裝有Windows XP SP2的電腦部署代理程式,曾經發生部署失敗的狀況,過程中發現ePO伺服器事件檢視內容仍過於簡陋,系統只記錄失敗的訊息,細節隻字未提,無法藉由事件檢視判讀代理程式,系統介面也無法提供進一步的文件協助。我們後來認為問題很有可能出在Windows XP SP2的防火牆上,電腦登入網域後,Windows防火牆的控管須經過群組原則調整,情況變得很複雜。為了讓代理程式可以安裝在Windows XP SP2的用戶端電腦,McAfee應針對XP SP2擬定相關的建置與部署程序,協助管理者或IT人員建置過程中可以自己克服相關問題。豐富的報表協助管理者綜觀全局
如果說ePO主控臺是系統的大腦,報表功能則是ePO的視覺記憶。ePO3.5產生的報表採用Business Objects的Crystal Reports 8.5格式,處理ePO資料庫中的資料。預設報表分為「覆蓋範圍報表」和「病毒感染報表」2大類,除 ePO提供的報表之外,用戶可以借助Crystal Reports自訂專屬的報表範本。
ePO的報表也有專屬的儲存庫,包含預先定義的報表和查詢,以覆蓋範圍報表為例,能夠以圖形的方式詮釋目前防毒政策執行的符合狀況,透過快照的方式顯示電腦目前的防毒保護狀態,系統提供範例包括用戶端部署的防毒產品及安裝的DAT和引擎檔案版本;而病毒感染報表會顯示目前偵測到的病毒,並且列出最常偵測到病毒的電腦、偵測到的病毒及防毒軟體執行的動作。ePO也會從同一分報表中記錄摘要和詳細資訊。
此外系統管理者也可以控制不同ePO使用者檢視的報表資訊,例如全域管理者或站臺檢視者。站臺管理者與檢視者只能產生具有權限的站台內用戶端電腦狀態報表。SuperAgent
為了將網路流量降低,McAfee在通用型的ePO代理程式連線之上,額外設計了一層代理程式架構,稱為「SuperAgent」,可以透過網路傳送喚醒指令,呼叫同一個網段的其他ePO代理程式。
一般而言,ePO伺服器直接傳送喚醒呼叫給每個代理程式,如此會造成內部網路流量的負擔,SuperAgent負責代理ePO伺服器的喚醒呼叫,讓它們喚醒本機區域網路內的其他代理程式,不讓ePO伺服器向每個代理程式傳送呼叫,只傳送到少數的SuperAgent。如此從伺服器傳送的代理程式喚醒流量將會更少,有利於使用低速WAN或VPN連線管理遠端站臺的用戶。文⊙李宗翰
ePolicy Orchestrator(ePO)是一套集中式的安全政策控管系統,提供企業用戶主動的防禦協調機制,McAfee將ePO定位在500個節點以上的中大型企業,管理日趨成長的IT設備、區域分散程度與遠距行動使用者數量,因應現今各種安全威脅需要的多種等級防護與工具,維持系統運作正常。
ePO管理與系統防護相關的更新,利用分散式的儲存庫(Repository)散播McAfee的DAT、防毒引擎、Service Packs、Hotfixes和Patches等更新檔,為了兼顧維持網路流量與效能,McAfee提供快速全域更新(Express Global Updating),以SuperAgents的方式,分散部署更新檔的流量。集中設定與執行安全政策也是ePO很重要的功能之一,ePO能夠自動根據政策,控管更新頻率、設定系統的桌面防火牆、評估微軟更新檔、限制病毒掃描的檔案類型與設定啟發式掃描等。ePO的主控臺可以管理下屬的代理程式,也能同時管理多個ePO伺服器,而跨越不同ePO伺服器的安全政策,透過剪貼(copy and paste)的方式可方便地相互移轉。
除了主動的更新檔政策管理之外,ePO提供40多種預先定義好的報告,包括安全執行摘要到病毒活動、個人防火牆事件和弱點資訊,管理者可以進一步自訂需要的報表內容。加強弱點評估與AD整合
8月發行的3.5版,增加不少新的功能,例如離群系統偵測(Rogue System Detection),可以幫助系統偵測內部網路中未受控管的使用者電腦,進而部署代理程式並套用政策到電腦,避免未受保護與管理的電腦遭到感染,散播威脅。
ePO 3.5同時整合McAfee今年發表的產品 System Compliance Profiler 1.1,快速檢測微軟安全修補程式以及指定應用程式與檔案是否存在,可用來確認用戶端電腦的修補程式和Service Pack 是否過期,避免暴露安全弱點。新版也強化警示功能,管理者可以定義規則,過濾產品和ePO伺服器的事件,收到指定類別事件時,系統會藉由電子郵件、短訊、SNMP陷阱或呼叫器傳送通知給管理者。
舊版ePO中,管理者在系統內須手動匯入Active Directory控管的電腦,新版的Active Directory整合功能,可以在設定初期複製一份AD群組樹狀目錄資料,匯入ePO系統的目錄內,而且會繼續定期收納AD的資料,輪詢AD容器(container),尋找新加入網路、尚未控管的電腦,將未控管的電腦置於ePO系統站臺的遺失/發現區。
新版ePO也能夠設定與管理McAfee Entercept主機型入侵防禦系統,通知規則可接收Entercept的事件,報告存放庫裡面也支援檢視Entercept的報告。使用代理程式的主從式架構
ePO系統架構由伺服器、主控臺和代理程式組成,伺服器裡包含一個儲存庫,存放ePO代理程式從控管的電腦中收集的所有資料;主控臺顯示所有病毒活動和狀態,供系統管理者部署代理程式和產品;代理程式負責連結ePO伺服器與防毒和支援的安全保護產品,並且會在用戶端電腦套用政策。
ePO伺服器包括資料庫、報表產生引擎和軟體存放庫,可儲存用於部署至網路的產品和產品更新。McAfee表示,每個ePO伺服器最多可以管理250000臺電腦。
ePO代理程式安裝在企業想要管理的用戶端電腦和伺服器,蒐集報表需要的資料、目前安裝的產品狀態、套用政策、工作執行及傳回事件,代理程式在用戶端電腦的背景中執行,會從ePO伺服器擷取政策和工作設定的增量變更,然後執行政策。用戶端電腦發生與安全或產品有關活動時,代理程式會通知伺服器,而不會提示用戶端電腦使用者,避免干擾工作。
ePO主控臺相當於整個ePO系統的大腦,內嵌於微軟管理主控臺(MMC)使用介面,管理整個企業的防毒管理、安全保護,及簡易的用戶端電腦狀態檢視報表功能,並且具有設定工作排程的功能,管理者可以針對特定電腦或群組設定排程工作和政策。不過ePO主控臺無法推播代理程式到Novell NetWare伺服器和WebShield Appliance,須手動安裝或透過登入指令碼的方式。
ePO在所有防毒廠商中的全系統管理功能已經相當完整。不過我們在3個裝有Windows XP SP2的電腦部署代理程式,曾經發生部署失敗的狀況,過程中發現ePO伺服器事件檢視內容仍過於簡陋,系統只記錄失敗的訊息,細節隻字未提,無法藉由事件檢視判讀代理程式,系統介面也無法提供進一步的文件協助。我們後來認為問題很有可能出在Windows XP SP2的防火牆上,電腦登入網域後,Windows防火牆的控管須經過群組原則調整,情況變得很複雜。為了讓代理程式可以安裝在Windows XP SP2的用戶端電腦,McAfee應針對XP SP2擬定相關的建置與部署程序,協助管理者或IT人員建置過程中可以自己克服相關問題。豐富的報表協助管理者綜觀全局
如果說ePO主控臺是系統的大腦,報表功能則是ePO的視覺記憶。ePO3.5產生的報表採用Business Objects的Crystal Reports 8.5格式,處理ePO資料庫中的資料。預設報表分為「覆蓋範圍報表」和「病毒感染報表」2大類,除 ePO提供的報表之外,用戶可以借助Crystal Reports自訂專屬的報表範本。
ePO的報表也有專屬的儲存庫,包含預先定義的報表和查詢,以覆蓋範圍報表為例,能夠以圖形的方式詮釋目前防毒政策執行的符合狀況,透過快照的方式顯示電腦目前的防毒保護狀態,系統提供範例包括用戶端部署的防毒產品及安裝的DAT和引擎檔案版本;而病毒感染報表會顯示目前偵測到的病毒,並且列出最常偵測到病毒的電腦、偵測到的病毒及防毒軟體執行的動作。ePO也會從同一分報表中記錄摘要和詳細資訊。
此外系統管理者也可以控制不同ePO使用者檢視的報表資訊,例如全域管理者或站臺檢視者。站臺管理者與檢視者只能產生具有權限的站台內用戶端電腦狀態報表。SuperAgent
為了將網路流量降低,McAfee在通用型的ePO代理程式連線之上,額外設計了一層代理程式架構,稱為「SuperAgent」,可以透過網路傳送喚醒指令,呼叫同一個網段的其他ePO代理程式。
一般而言,ePO伺服器直接傳送喚醒呼叫給每個代理程式,如此會造成內部網路流量的負擔,SuperAgent負責代理ePO伺服器的喚醒呼叫,讓它們喚醒本機區域網路內的其他代理程式,不讓ePO伺服器向每個代理程式傳送呼叫,只傳送到少數的SuperAgent。如此從伺服器傳送的代理程式喚醒流量將會更少,有利於使用低速WAN或VPN連線管理遠端站臺的用戶。文⊙李宗翰
- McAfee ePO 3.5
- Mcafee EPO 故障问题集锦
- McAfee新版ePO管控台纳入数据保护技术
- McAfee EPO3.61更改系统管理员密码后EPO服务启动失败,控制台无法登陆
- McAfee
- Mcafee
- EPO 技术
- epo.c
- EPO技术
- EPO: (入口模糊技术)
- EPO技术简介
- EPO技术资收集
- Mcafee卸载
- 关于 EPO 的一点想法
- EPO 入口点模糊技术
- mtk2503 如何支持使用epo?
- Uninstall Mcafee Antivirus - Mcafee Antivirus Program Uninstaller
- Mcafee 日志查看工具
- 面向对象的设计原则(未完)
- Android模拟器中sd卡的创建和文件的上传
- 架构那点事系列一 - 设计模式前章
- 何为原子 /*Liux 名词解释*/
- setToolTipText(Java component )换行显示的解决办法
- McAfee ePO 3.5
- 实验二
- C++ 中stdafx.h是什么意思
- C指针与数组两种形式的区别
- 实验三
- Android Pmem相关介绍
- 谁是王者?七款主流图形数据库功能对比
- 实验四
- Linux 进程通信 内存映射技术
