Software ePolicy Orchestrator 5.1.0 Guida del prodotto

Transcript

Guida del prodotto
Revisione B
Software McAfee ePolicy Orchestrator
5.1.0
COPYRIGHT
Copyright © 2014 McAfee, Inc. Copia non consentita senza autorizzazione.
ATTRIBUZIONI DEI MARCHI
McAfee, il logo McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone, Policy
Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource,
VirusScan, WaveSecure sono marchi o marchi registrati di McAfee, Inc. o sue filiali negli Stati Uniti e altre nazioni. Altri nomi e marchi possono essere
rivendicati come proprietà di terzi.
I nomi di prodotti e funzionalità sono soggetti a modifiche senza preavviso. Per consultare le versioni più recenti di prodotti e funzionalità consultare la
pagina mcafee.com.
INFORMAZIONI SULLA LICENZA
Contratto di licenza
AVVISO AGLI UTENTI: LEGGERE ATTENTAMENTE IL TESTO DEL CONTRATTO RELATIVO ALLA LICENZA ACQUISTATA, CHE STABILISCE LE CONDIZIONI
GENERALI PER L'USO DEL SOFTWARE CONCESSO IN LICENZA. NEL CASO IN CUI NON SI SAPPIA CON ESATTEZZA QUALE TIPO DI LICENZA È STATO
ACQUISTATO, CONSULTARE I DOCUMENTI DI VENDITA E ALTRI DOCUMENTI RELATIVI ALLA CONCESSIONE DELLA LICENZA O ALL'ORDINE DI
ACQUISTO ACCLUSI ALLA CONFEZIONE DEL SOFTWARE O RICEVUTI SEPARATAMENTE IN RELAZIONE ALL'ACQUISTO MEDESIMO (SOTTO FORMA DI
OPUSCOLO, FILE CONTENUTO NEL CD DEL PRODOTTO O FILE DISPONIBILE SUL SITO WEB DAL QUALE È STATO SCARICATO IL SOFTWARE). SE NON SI
ACCETTANO INTEGRALMENTE I TERMINI DEL CONTRATTO, NON INSTALLARE IL SOFTWARE. SE PREVISTO DAL CONTRATTO, L'UTENTE POTRÀ
RESTITUIRE IL PRODOTTO A MCAFEE O AL PUNTO VENDITA DA CUI È STATO ACQUISTATO ED ESSERE INTERAMENTE RIMBORSATO.
2
Software McAfee ePolicy Orchestrator 5.1.0
Guida del prodotto
Sommario
Prefazione
Informazioni sulla guida . . .
Destinatari della guida .
Convenzioni . . . . .
Trova documentazione prodotto
11
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
. .
. .
11
11
11
12
Introduzione al software McAfee ePolicy Orchestrator
1
Protezione delle reti con il software ePolicy Orchestrator
15
Vantaggi del software ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . .
15
Componenti e relativo funzionamento . . . . . . . . . . . . . . . . . . . . . . . . .
16
Funzionamento del software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2
Utilizzo dell'interfaccia di ePolicy Orchestrator
19
Accesso e disconnessione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Navigazione nell'interfaccia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizzo del menu di navigazione di ePolicy Orchestrator . . . . . . . . . . . . . . .
Personalizzazione della barra di navigazione . . . . . . . . . . . . . . . . . . . .
Categorie di impostazioni del server . . . . . . . . . . . . . . . . . . . . . . .
Utilizzo di elenchi e tabelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Applicazione di filtri a un elenco . . . . . . . . . . . . . . . . . . . . . . . . .
Ricerca di elementi elenco specifici . . . . . . . . . . . . . . . . . . . . . . . .
Selezione di caselle di controllo delle righe di tabella . . . . . . . . . . . . . . . .
19
19
20
20
20
22
22
22
23
Impostazione del server di ePolicy Orchestrator
3
Pianificazione della configurazione di ePolicy Orchestrator
27
Considerazioni relative alla scalabilità . . . . . . . . . . . . . . . . . . . . . . . . .
Quando utilizzare più server di McAfee ePO . . . . . . . . . . . . . . . . . . . .
Quando utilizzare più gestori di agent remoti . . . . . . . . . . . . . . . . . . .
Protocolli Internet in un ambiente gestito . . . . . . . . . . . . . . . . . . . . . . . .
4
5
Impostazione del server di McAfee ePO in uso
27
27
28
28
31
Panoramica della configurazione del server . . . . . . . . . . . . . . . . . . . . . . .
Utilizzo della Distribuzione prodotti durante la configurazione automatica . . . . . . . . . . .
31
34
Funzionalità essenziali per la configurazione manuale o la Configurazione guidata . . . . . . . .
Configurazione automatica prodotti . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle funzionalità essenziali . . . . . . . . . . . . . . . . . . . . . . .
Utilizzo di un server proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Immissione della chiave di licenza . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
35
36
39
39
Account utente e set di autorizzazioni
41
Account utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione degli account utente . . . . . . . . . . . . . . . . . . . . . . . . .
41
41
Guida del prodotto
3
Sommario
Creazione di un messaggio di accesso personalizzato . . . . . . . . . . . . . . . .
Configurazione dell'accesso utente ad Active Directory . . . . . . . . . . . . . . .
Formati supportati per nomi utente e password . . . . . . . . . . . . . . . . . .
Pagina File di input (Strumento di importazione assegnazione di policy) . . . . . . . .
Autenticazione del certificato client . . . . . . . . . . . . . . . . . . . . . . . . . .
Quando utilizzare l'autenticazione del certificato client . . . . . . . . . . . . . . . .
Configurazione dell'autenticazione del certificato client di ePolicy Orchestrator . . . . . .
Disattivazione dell’autenticazione basata sul certificato del server di McAfee ePO . . . . .
Disattivazione dell’autenticazione del certificato client del server di McAfee ePO . . . . . .
Configurazione degli utenti per l'autenticazione mediante certificato . . . . . . . . . .
Aggiornamento del file CRL . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problemi relativi all'autenticazione del certificato client . . . . . . . . . . . . . . .
Certificati SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creazione di un certificato autofirmato con OpenSSL . . . . . . . . . . . . . . . .
Altri comandi OpenSSL utili . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conversione di un file PVK esistente in un file PEM . . . . . . . . . . . . . . . . .
Set di autorizzazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interazione tra utenti, gruppi e set di autorizzazioni . . . . . . . . . . . . . . . . .
Utilizzo di set di autorizzazioni . . . . . . . . . . . . . . . . . . . . . . . . .
6
Archivi
63
Tipi di archivio e relativo funzionamento . . . . . . . . . . . . . . . . . . . . . . . .
Tipi di archivi distribuiti . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rami dell'archivio e relative finalità . . . . . . . . . . . . . . . . . . . . . . .
File di elenco degli archivi e relativi utilizzi . . . . . . . . . . . . . . . . . . . .
Interazione degli archivi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prima impostazione degli archivi . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione di siti di origine e di fallback . . . . . . . . . . . . . . . . . . . . . . . . .
Creazione dei siti di origine . . . . . . . . . . . . . . . . . . . . . . . . . . .
Scambio di siti di origine e di fallback . . . . . . . . . . . . . . . . . . . . . .
Modifica dei siti di origine e di fallback . . . . . . . . . . . . . . . . . . . . . .
Eliminazione dei siti di origine o disattivazione dei siti di fallback . . . . . . . . . . . .
Verifica dell'accesso al sito di origine . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle impostazioni proxy . . . . . . . . . . . . . . . . . . . . .
Configurazione delle impostazioni proxy per il McAfee Agent . . . . . . . . . . . . .
Configurazione delle impostazioni per gli aggiornamenti globali . . . . . . . . . . . . . . .
Configurazione delle policy degli agent per l'utilizzo di un archivio distribuito . . . . . . . . . .
Utilizzo di SuperAgent come archivi distribuiti . . . . . . . . . . . . . . . . . . . . . .
Creazione di archivi distribuiti di SuperAgent . . . . . . . . . . . . . . . . . . .
Replica di pacchetti in archivi di SuperAgent . . . . . . . . . . . . . . . . . . . .
Eliminazione degli archivi distribuiti di SuperAgent . . . . . . . . . . . . . . . . .
Creazione e configurazione di archivi in server FTP o HTTP e condivisioni UNC . . . . . . . . .
Creazione di un percorso di cartella . . . . . . . . . . . . . . . . . . . . . . .
Aggiunta dell'archivio distribuito a ePolicy Orchestrator . . . . . . . . . . . . . . .
Come evitare la replica dei pacchetti selezionati . . . . . . . . . . . . . . . . . .
Disattivazione della replica dei pacchetti selezionati . . . . . . . . . . . . . . . . .
Attivazione della condivisione cartelle per gli archivi UNC e HTTP . . . . . . . . . . .
Modifica di archivi distribuiti . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminazione di archivi distribuiti . . . . . . . . . . . . . . . . . . . . . . . .
Utilizzo di condivisioni UNC come archivi distribuiti . . . . . . . . . . . . . . . . . . . .
Utilizzo di archivi distribuiti locali non gestiti . . . . . . . . . . . . . . . . . . . . . . .
Utilizzo dei file di elenco degli archivi . . . . . . . . . . . . . . . . . . . . . . . . . .
Esportazione del file SiteList.xml dell'elenco degli archivi . . . . . . . . . . . . . . .
Esportazione dell'elenco degli archivi per il backup o l'utilizzo da parte di altri server . . .
Importazione di archivi distribuiti dall'elenco degli archivi . . . . . . . . . . . . . .
Importazione di siti di origine dal file SiteMgr.xml . . . . . . . . . . . . . . . . . .
4
42
43
47
47
47
48
48
49
50
50
51
51
52
54
57
57
58
58
59
63
65
66
67
68
68
68
69
70
70
70
71
71
72
73
73
74
74
75
76
76
77
77
79
80
80
80
81
81
82
83
84
84
85
85
Guida del prodotto
Sommario
7
Server registrati
87
Registrazione di server di McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . .
Registrazione di server LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registrazione di server SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registrazione di un server di database . . . . . . . . . . . . . . . . . . . . . . . . .
Condivisione di oggetti tra server . . . . . . . . . . . . . . . . . . . . . . . . . . .
Esportazione di oggetti da ePolicy Orchestrator . . . . . . . . . . . . . . . . . . .
Importazione di elementi in ePolicy Orchestrator . . . . . . . . . . . . . . . . . .
Esportazione di oggetti e dati dal server di McAfee ePO . . . . . . . . . . . . . . .
Esportazione e importazione di chiavi ASSC tra i server di McAfee ePO . . . . . . . . .
8
Gestori degli agent
87
89
90
91
91
92
92
93
93
95
Funzionamento dei Gestori di agent . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Connessione di un gestore degli agent nella DMZ a un server di McAfee ePO in un dominio . . . . 96
Gruppi di gestori e priorità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Gestione dei gestori degli agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Assegnazione di McAfee Agent ai gestori degli agent . . . . . . . . . . . . . . . .
98
Gestione di assegnazioni di gestori degli agent . . . . . . . . . . . . . . . . . . . 98
Creazione di gruppi di gestori degli agent . . . . . . . . . . . . . . . . . . . . . 99
Gestione di gruppi di gestori degli agent . . . . . . . . . . . . . . . . . . . . . 100
Spostamento di agent tra gestori . . . . . . . . . . . . . . . . . . . . . . . . 100
Gestione della protezione di rete
9
La Struttura dei sistemi
105
La struttura della Struttura dei sistemi . . . . . . . . . . . . . . . . . . . . . . . . .
Gruppo Organizzazione . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Il gruppo Smarriti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gruppi della Struttura dei sistemi . . . . . . . . . . . . . . . . . . . . . . . .
Ereditarietà . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Considerazioni relative alla pianificazione della struttura dei sistemi . . . . . . . . . . . . .
Accesso amministratore . . . . . . . . . . . . . . . . . . . . . . . . . . .
Confini ambientali e relativo impatto sull'organizzazione dei sistemi . . . . . . . . . .
Sottoreti e intervalli di indirizzi IP . . . . . . . . . . . . . . . . . . . . . . . .
Sistemi operativi e software . . . . . . . . . . . . . . . . . . . . . . . . . .
Tag e sistemi con caratteristiche simili . . . . . . . . . . . . . . . . . . . . . .
Sincronizzazione di Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipi di sincronizzazione con Active Directory . . . . . . . . . . . . . . . . . . . . . .
Sistemi e struttura . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Solo sistemi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sincronizzazione con domini NT . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ordinamento basato su criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Influenza delle impostazioni sull'ordinamento . . . . . . . . . . . . . . . . . . .
Criteri di ordinamento degli indirizzi IP . . . . . . . . . . . . . . . . . . . . .
Criteri di ordinamento basati su tag . . . . . . . . . . . . . . . . . . . . . . .
Ordine dei gruppi e ordinamento . . . . . . . . . . . . . . . . . . . . . . . .
Gruppi di raccolta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aggiunta di un sistema alla Struttura dei sistemi durante l'ordinamento . . . . . . . .
Creazione e compilazione dei gruppi della struttura dei sistemi . . . . . . . . . . . . . . .
Creazione manuale di gruppi . . . . . . . . . . . . . . . . . . . . . . . . .
Aggiunta manuale di sistemi a un gruppo esistente . . . . . . . . . . . . . . . .
Esportazione di sistemi dalla struttura dei sistemi . . . . . . . . . . . . . . . . .
Importazione di sistemi da un file di testo . . . . . . . . . . . . . . . . . . . .
Ordinamento dei sistemi in gruppi basati su criteri . . . . . . . . . . . . . . . . .
Importazione di contenitori Active Directory . . . . . . . . . . . . . . . . . . .
Importazione di domini NT in un gruppo esistente . . . . . . . . . . . . . . . . .
105
105
106
106
107
107
107
108
108
109
109
109
110
111
111
111
111
113
113
114
114
114
114
115
116
117
118
119
120
122
124
Guida del prodotto
5
Sommario
Pianificazione della sincronizzazione della Struttura dei sistemi . . . . . . . . . . . .
Aggiornamento manuale di un gruppo sincronizzato con un dominio NT . . . . . . . .
Spostamento di sistemi nella struttura dei sistemi . . . . . . . . . . . . . . . . . . . .
Funzionamento di Trasferisci sistemi . . . . . . . . . . . . . . . . . . . . . . . . .
Trasferimento di sistemi tra i server di McAfee ePO . . . . . . . . . . . . . . . . .
10
Tag
131
Creazione di tag utilizzando Creazione nuovo tag . . . . . . . . . . . . . . . . . . . .
Gestione dei tag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creazione, eliminazione e modifica dei sottogruppi di tag . . . . . . . . . . . . . . . . .
Esclusione dei sistemi dall'aggiunta automatica di tag . . . . . . . . . . . . . . . . . .
Applicazione di tag ai sistemi selezionati . . . . . . . . . . . . . . . . . . . . . . . .
Cancella tag dai sistemi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Applicazione di tag basati sui criteri a tutti i sistemi che li soddisfano . . . . . . . . . . . .
Applicazione di tag basati sui criteri in base a una pianificazione . . . . . . . . . . . . . .
11
Comunicazione agent-server
Chiavi di sicurezza
Gestore di prodotti software
Distribuzione prodotti
167
168
169
171
173
Scelta di un metodo di distribuzione dei prodotti . . . . . . . . . . . . . . . . . . . . .
Vantaggi dei progetti di distribuzione dei prodotti . . . . . . . . . . . . . . . . . . . .
Spiegazione della pagina Distribuzione prodotti . . . . . . . . . . . . . . . . . . . . .
Visualizzazione dei registri di verifica della distribuzione dei prodotti . . . . . . . . . . . . .
Distribuzione dei prodotti utilizzando un progetto di distribuzione . . . . . . . . . . . . . .
6
157
158
158
159
159
159
161
161
163
163
164
164
167
Informazioni sul Gestore di prodotti software . . . . . . . . . . . . . . . . . . . . . .
Deposito, aggiornamento e rimozione di software mediante il Gestore di prodotti software . . . .
Controllo della compatibilità del prodotto . . . . . . . . . . . . . . . . . . . . . . . .
Riconfigurazione del download dell'elenco di compatibilità di prodotto . . . . . . . . .
14
139
139
143
147
150
150
151
152
153
154
154
155
157
Chiavi di sicurezza e relativo funzionamento . . . . . . . . . . . . . . . . . . . . . .
Coppia di chiavi dell'archivio principale . . . . . . . . . . . . . . . . . . . . . . . .
Chiavi pubbliche di altri archivi . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione delle chiavi di archivio . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizzo di una coppia di chiavi dell'archivio principale per tutti i server . . . . . . . . .
Utilizzo delle chiavi dell'archivio principale in ambienti con più server . . . . . . . . .
Chiavi di comunicazione sicura agent-server (ASSC) . . . . . . . . . . . . . . . . . . .
Gestione delle chiavi di comunicazione sicura agent-server . . . . . . . . . . . . .
Visualizzazione di sistemi che utilizzano una coppia di chiavi ASSC . . . . . . . . . .
Utilizzo della stessa coppia di chiavi ASSC per tutti i server e gli agent . . . . . . . . .
Utilizzo di una coppia di chiavi ASSC diversa per ogni server di McAfee ePO . . . . . . .
Chiavi di backup e ripristino . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
131
132
133
134
135
135
136
136
139
Utilizzo dell'agent dal server McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . .
Funzionamento della comunicazione agent-server . . . . . . . . . . . . . . . . .
SuperAgent e relativo funzionamento . . . . . . . . . . . . . . . . . . . . . .
Funzionalità di inoltro degli agent . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a eventi di policy . . . . . . . . . . . . . . . . . . . . . . . . . . .
Esecuzione immediata delle attività client . . . . . . . . . . . . . . . . . . . .
Individuazione degli agent inattivi . . . . . . . . . . . . . . . . . . . . . . .
Proprietà del sistema Windows e del prodotto segnalate dall'agent . . . . . . . . . .
Query specificata da McAfee Agent . . . . . . . . . . . . . . . . . . . . . . .
Gestione della comunicazione agent-server . . . . . . . . . . . . . . . . . . . . . . .
Consentire la memorizzazione nella cache delle credenziali di distribuzione degli agent . .
Modifica delle porte di comunicazione dell'agent . . . . . . . . . . . . . . . . .
12
125
126
127
127
128
173
173
176
177
177
Guida del prodotto
Sommario
Monitoraggio e modifica dei progetti di distribuzione . . . . . . . . . . . . . . . . . . .
Esempio di distribuzione di un nuovo McAfee Agent . . . . . . . . . . . . . . . . . . .
15
Gestione delle policy
183
Policy e applicazione delle policy . . . . . . . . . . . . . . . . . . . . . . . . . . .
Applicazione delle policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creazione e gestione di policy . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creazione di una policy dalla pagina Catalogo delle policy . . . . . . . . . . . . . .
Gestione di una policy esistente nella pagina Catalogo delle policy . . . . . . . . . .
Prima configurazione delle policy . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione di policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modifica dei titolari di una policy . . . . . . . . . . . . . . . . . . . . . . . .
Spostamento di policy tra server di McAfee ePO . . . . . . . . . . . . . . . . . .
Assegnazione di una policy a un gruppo della struttura dei sistemi . . . . . . . . . .
Assegnazione di una policy a un sistema gestito . . . . . . . . . . . . . . . . . .
Assegnazione di una policy ai sistemi di un gruppo della struttura dei sistemi . . . . . .
Applicazione di policy per un prodotto in un gruppo della struttura dei sistemi . . . . . .
Applicazione di policy per un prodotto in un sistema . . . . . . . . . . . . . . . .
Copia di assegnazioni di policy . . . . . . . . . . . . . . . . . . . . . . . . .
Pagina Conservazione policy e attività . . . . . . . . . . . . . . . . . . . . . . . . .
Regole di assegnazione di policy . . . . . . . . . . . . . . . . . . . . . . . . . . .
Priorità delle regole di assegnazione di policy . . . . . . . . . . . . . . . . . . .
Informazioni sulle assegnazioni delle policy basate sull'utente . . . . . . . . . . . .
Informazioni sulle assegnazioni delle policy basate sul sistema . . . . . . . . . . . .
Utilizzo di tag per assegnare policy basate sul sistema . . . . . . . . . . . . . . .
Creazione di regole di assegnazione di policy . . . . . . . . . . . . . . . . . . .
Gestione delle regole di assegnazione di policy . . . . . . . . . . . . . . . . . .
Creazione di query di Gestione policy . . . . . . . . . . . . . . . . . . . . . . . . .
Visualizzazione di informazioni sulle policy . . . . . . . . . . . . . . . . . . . . . . .
Visualizzazione di gruppi e sistemi in cui è assegnata una policy . . . . . . . . . . .
Visualizzazione delle impostazioni delle policy . . . . . . . . . . . . . . . . . . .
Visualizzazione dei titolari delle policy . . . . . . . . . . . . . . . . . . . . . .
Visualizzazione delle assegnazioni in cui l'applicazione delle policy è disattivata . . . . .
Visualizzazione di policy assegnate a un gruppo . . . . . . . . . . . . . . . . . .
Visualizzazione di policy assegnate a un sistema specifico . . . . . . . . . . . . . .
Visualizzazione dell'ereditarietà delle policy per un gruppo . . . . . . . . . . . . . .
Visualizzazione e reimpostazione dell'ereditarietà interrotta . . . . . . . . . . . . .
Confronto di policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Condivisione delle policy tra server di McAfee ePO . . . . . . . . . . . . . . . . . . . .
Distribuzione di una policy a più server di McAfee ePO . . . . . . . . . . . . . . . . . .
Registrazione di server per condivisione delle policy . . . . . . . . . . . . . . . .
Designazione delle policy per la condivisione . . . . . . . . . . . . . . . . . . .
Pianificazione delle attività server per la condivisione delle policy . . . . . . . . . . .
16
Attività client
179
180
183
185
186
186
186
187
187
188
188
190
190
191
191
192
192
194
194
195
196
196
197
197
197
198
199
200
200
201
201
201
201
202
202
202
203
203
203
204
204
205
Funzionamento del catalogo delle attività client . . . . . . . . . . . . . . . . . . . . . 205
Attività di distribuzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Pacchetti di distribuzione per prodotti e aggiornamenti . . . . . . . . . . . . . . . 206
Distribuzione di prodotti e aggiornamenti . . . . . . . . . . . . . . . . . . . .
208
Prima configurazione delle distribuzioni di prodotti e aggiornamenti . . . . . . . . . . 208
Tag di distribuzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Utilizzo dell'attività Distribuzione prodotti per distribuire prodotti in sistemi gestiti . . . . . . . 209
Configurazione dell'attività di distribuzione per gruppi di sistemi gestiti . . . . . . . .
209
Configurazione di un'attività di distribuzione per l'installazione dei prodotti in un sistema gestito
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
210
Attività di aggiornamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Guida del prodotto
7
Sommario
Aggiornamento regolare dei sistemi gestiti con un'attività di aggiornamento pianificata . .
Verifica dell'utilizzo della versione più recente dei file DAT da parte dei client . . . . . .
Valutazione di nuovi DAT e motori prima della distribuzione . . . . . . . . . . . . .
Gestione delle attività client . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creazione di attività client . . . . . . . . . . . . . . . . . . . . . . . . . .
Modifica di attività client . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminazione delle attività client . . . . . . . . . . . . . . . . . . . . . . . .
Confronto delle attività client . . . . . . . . . . . . . . . . . . . . . . . . .
17
Attività del server
219
Aggiornamento globale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Distribuzione automatica dei pacchetti di aggiornamento con l'aggiornamento globale . . . . .
Attività di pull . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Attività di replica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Selezione dell'archivio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sintassi cron accettata durante la pianificazione di un'attività del server . . . . . . . . . . .
Visualizzazione delle informazioni sulle attività del server nel registro delle attività server . . . .
Configura Product Improvement Program . . . . . . . . . . . . . . . . . . . . . . .
Disinstalla McAfee Product Improvement Program . . . . . . . . . . . . . . . . . . . .
18
Gestione manuale di pacchetti e aggiornamenti
Gestione dei prodotti . . . . . . . . . . . . . . . . . . .
Deposito manuale dei pacchetti . . . . . . . . . . . . . . .
Eliminazione di pacchetti DAT o del motore dall'archivio principale .
Spostamento manuale di pacchetti di file DAT e motori tra rami . .
Deposito manuale dei pacchetti di aggiornamento di motori, DAT ed
19
212
214
214
214
215
215
216
216
219
220
221
222
222
223
224
225
225
227
. . . .
. . . .
. . . .
. . . .
ExtraDAT
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . 227
.
228
.
228
.
229
. . 229
Eventi e risposte
231
Utilizzo di risposte automatiche . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interazione della funzionalità Risposte automatiche con la struttura dei sistemi . . . . . . . .
Limitazione, aggregazione e raggruppamento . . . . . . . . . . . . . . . . . . .
Regole predefinite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pianificazione delle risposte . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prima configurazione delle risposte . . . . . . . . . . . . . . . . . . . . . . . . . .
Definizione della modalità di inoltro degli eventi . . . . . . . . . . . . . . . . . . . . .
Definizione degli eventi da inoltrare immediatamente . . . . . . . . . . . . . . . .
Definizione degli eventi da inoltrare . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle risposte automatiche . . . . . . . . . . . . . . . . . . . . . . .
Assegnazione di autorizzazioni per le notifiche . . . . . . . . . . . . . . . . . .
Assegnazione di autorizzazioni per le risposte automatiche . . . . . . . . . . . . .
Gestione dei server SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definizione degli eventi da inoltrare al server . . . . . . . . . . . . . . . . . . . . . .
Scelta di un intervallo per gli eventi di notifica . . . . . . . . . . . . . . . . . . . . .
Creazione e modifica delle regole di risposta automatica . . . . . . . . . . . . . . . . .
Descrizione di una regola . . . . . . . . . . . . . . . . . . . . . . . . . . .
Impostazione di filtri per la regola . . . . . . . . . . . . . . . . . . . . . . .
Impostazione di soglie per la regola . . . . . . . . . . . . . . . . . . . . . . .
Configurazione dell’azione per le regole di risposta automatica . . . . . . . . . . . .
231
232
232
233
233
234
234
235
235
235
236
236
237
238
239
239
240
240
241
241
Monitoraggio e reportistica sullo stato della sicurezza
della rete
20
Dashboard
245
Prima configurazione delle dashboard . . . . . . . . . . . . . . . . . . . . . . . . . 245
Utilizzo di dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Gestione di dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
8
Guida del prodotto
Sommario
Esportazione e importazione di dashboard . . . . . . . . . . . . . . . . . . . .
Utilizzo di sistemi di monitoraggio di dashboard . . . . . . . . . . . . . . . . . . . . .
Gestione degli strumenti di monitoraggio delle dashboard . . . . . . . . . . . . . .
Spostamento e ridimensionamento dei monitoraggi dashboard . . . . . . . . . . . .
Dashboard predefinite e relativi strumenti di monitoraggio . . . . . . . . . . . . . . . .
Definizione delle dashboard predefinite e degli intervalli di aggiornamento delle dashboard . . .
21
Query e rapporti
248
248
249
251
251
253
255
Autorizzazioni per query e rapporti . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Informazioni sulle query . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Creazione query . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Prima configurazione delle query e dei rapporti . . . . . . . . . . . . . . . . . . . . . 258
Utilizzo di query . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Gestione di query personalizzate . . . . . . . . . . . . . . . . . . . . . . . . 259
Esecuzione di una query esistente . . . . . . . . . . . . . . . . . . . . . . . 261
Esecuzione di una query in base a una pianificazione . . . . . . . . . . . . . . . . 261
Creazione di una query per elencare i sistemi in base ai tag . . . . . . . . . . . . . 265
Creazione di un gruppo di query . . . . . . . . . . . . . . . . . . . . . . . . 266
Spostamento di una query in un altro gruppo . . . . . . . . . . . . . . . . . . . 266
Esportazione e importazione di query . . . . . . . . . . . . . . . . . . . . . . 267
Esportazione dei risultati delle query in altri formati . . . . . . . . . . . . . . . . 267
Invio di query di raggruppamento a più server . . . . . . . . . . . . . . . . . . . . .
268
Creazione di un'attività server Raggruppa dati . . . . . . . . . . . . . . . . . .
269
Creazione di una query per definire la conformità . . . . . . . . . . . . . . . . . 270
Generazione di eventi di conformità . . . . . . . . . . . . . . . . . . . . . . . 270
Informazioni sui rapporti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Struttura di un rapporto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
271
Utilizzo di rapporti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
Creazione di un nuovo rapporto . . . . . . . . . . . . . . . . . . . . . . . . 273
Modifica di un rapporto esistente . . . . . . . . . . . . . . . . . . . . . . . . 273
Visualizzazione dell'output del rapporto . . . . . . . . . . . . . . . . . . . . . 278
Raggruppamento di rapporti . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Esecuzione di rapporti . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Esecuzione di un rapporto con un'attività server . . . . . . . . . . . . . . . . . . 279
Esportazione e importazione di rapporti . . . . . . . . . . . . . . . . . . . . . 280
Configurazione del modello e del percorso dei rapporti esportati . . . . . . . . . . . 280
Eliminazione di rapporti . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Configurazione di Internet Explorer 8 per l'accettazione automatica dei download di McAfee ePO
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
282
Utilizzo di server di database . . . . . . . . . . . . . . . . . . . . . . . . . . . .
282
Utilizzo di server di database . . . . . . . . . . . . . . . . . . . . . . . . . . . .
283
Modifica della registrazione di un database . . . . . . . . . . . . . . . . . . . . 283
Rimozione di un database registrato . . . . . . . . . . . . . . . . . . . . . .
283
22
Problemi
287
Problemi e relativo funzionamento . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione di problemi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creazione manuale dei problemi di base . . . . . . . . . . . . . . . . . . . . .
Configurazione delle risposte per la creazione automatica di problemi . . . . . . . . .
Gestione dei problemi . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminazione dei problemi chiusi . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminazione manuale dei problemi chiusi . . . . . . . . . . . . . . . . . . . .
Eliminazione dei problemi chiusi in base a una pianificazione . . . . . . . . . . . . .
Gestione dei ticket con McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . .
23
File di registro di ePolicy Orchestrator
287
287
288
289
289
290
290
290
291
293
Guida del prodotto
9
Sommario
Registro di verifica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualizzazione ed eliminazione del registro di verifica . . . . . . . . . . . . . . .
Pianificazione dell'eliminazione del registro di verifica . . . . . . . . . . . . . . . .
Il Registro delle attività server . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione del registro delle attività server . . . . . . . . . . . . . . . . . . . .
Registro eventi di minaccia . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualizzazione ed eliminazione del Registro eventi di minaccia . . . . . . . . . . .
Pianificazione dell'eliminazione del registro eventi di minaccia . . . . . . . . . . . .
24
Disaster recovery
293
293
294
295
295
296
298
298
299
Che cos'è il disaster recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componenti per il disaster recovery . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizzare il comando remoto per individuare il nome e il server del database Microsoft SQL
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizzare Microsoft SQL Server Management Studio per trovare le informazioni sul server di
McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funzionamento del disaster recovery . . . . . . . . . . . . . . . . . . . . . . . . .
Panoramica del backup e dell'istantanea del disaster recovery . . . . . . . . . . . .
Panoramica dell'installazione di ripristino del server di McAfee ePO . . . . . . . . . .
Configurazione di un'istantanea e del database SQL di ripristino . . . . . . . . . . . . . .
Configurazione dell'attività del server per il disaster recovery . . . . . . . . . . . .
Acquisizione di un'istantanea . . . . . . . . . . . . . . . . . . . . . . . . .
Utilizzo di Microsoft SQL per il backup e il ripristino del database . . . . . . . . . . .
Configurazione delle impostazioni del server per il disaster recovery . . . . . . . . . . . .
A
Panoramica delle porte
303
304
304
304
306
308
308
309
312
313
315
Modifica della porta di comunicazione server applicazioni-console . . . . . . . . . . . . . .
Modifica della porta di comunicazione agent-server . . . . . . . . . . . . . . . . . . .
Porte necessarie per le comunicazioni tramite un firewall . . . . . . . . . . . . . . . . .
Riferimento rapido per il traffico . . . . . . . . . . . . . . . . . . . . . . . . . . .
B
299
300
Gestione dei database ePolicy Orchestrator
315
317
320
321
323
Autorizzazioni SQL necessarie per l'installazione di McAfee ePO . . . . . . . . . . . . . . .
Impostazione dei ruoli utente del database . . . . . . . . . . . . . . . . . . . . . . .
Considerazioni per un piano di manutenzione SQL . . . . . . . . . . . . . . . . . . . .
Scelta di un modello di ripristino del database SQL . . . . . . . . . . . . . . . . . . . .
Deframmentazione dei dati di tabella . . . . . . . . . . . . . . . . . . . . . . . . .
Creazione di un piano di manutenzione SQL . . . . . . . . . . . . . . . . . . . . . .
Modifica delle informazioni di connessione a SQL Server . . . . . . . . . . . . . . . . .
324
324
326
327
328
329
330
C
Apertura di una connessione di console remota
333
D
Domande frequenti
335
Domande sulla gestione delle policy . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Domande su eventi e risposte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Indice
10
337
Guida del prodotto
Prefazione
La presente guida fornisce le informazioni necessarie per l'utilizzo del prodotto McAfee acquistato.
Sommario
Informazioni sulla guida
Informazioni sulla guida
Di seguito vengono descritti i destinatari della guida, le convenzioni tipografiche e le icone utilizzate
nella guida, nonché il modo in cui questa è strutturata.
Destinatari della guida
La documentazione McAfee viene studiata e redatta con cura per il pubblico al quale è destinata.
Le informazioni presenti nella guida sono rivolte principalmente ai seguenti destinatari:
•
Amministratori: persone che implementano e applicano il programma di sicurezza dell'azienda.
•
Utenti: coloro che utilizzano il computer su cui è in esecuzione il software e che hanno accesso ad
alcune o a tutte le sue funzionalità.
•
Responsabili della sicurezza: persone che identificano i dati sensibili e riservati e definiscono la
strategia aziendale per la protezione della proprietà intellettuale dell'azienda.
•
Revisori: persone che valutano il prodotto.
Convenzioni
Nella presente guida sono utilizzate le seguenti convenzioni tipografiche e icone.
Titolo del manuale, termine, Titolo di un manuale, capitolo o argomento; un nuovo termine; enfasi.
enfasi
Grassetto
Testo fortemente enfatizzato.
Input dell'utente,
codice, messaggio
Comandi e altro testo immesso dall'utente; un esempio di codice; un
messaggio visualizzato.
Testo dell'interfaccia
Termini dell'interfaccia utente del prodotto quali nomi di opzioni, menu,
pulsanti e finestre di dialogo.
Collegamento ipertestuale
blu
Collegamento a un argomento o a un sito Web esterno.
Nota: informazioni aggiuntive, ad esempio un metodo alternativo per
accedere a un'opzione.
Suggerimento: consigli e raccomandazioni.
Guida del prodotto
11
Prefazione
Importante/Attenzione: avvertenza importante per proteggere il
sistema, l'installazione del software, la rete, l'azienda o i dati.
Avviso: avvertenza di importanza critica per prevenire lesioni personali
durante l'utilizzo di un prodotto hardware.
Dopo il rilascio di un prodotto, le informazioni sul prodotto vengono inserite nel centro informazioni
online di McAfee.
Attività
12
1
Accedere al McAfee ServicePortal all'indirizzo http://support.mcafee.com e fare clic su Centro
informazioni.
2
Inserire un nome prodotto, selezionare una versione e fare clic su Cerca per visualizzare un elenco
di documenti.
Guida del prodotto
Introduzione al software McAfee
ePolicy Orchestrator
Conoscere i componenti di ePolicy Orchestrator e il relativo funzionamento
per potenziare la sicurezza dei sistemi nella rete.
Capitolo 1
Capitolo 2
Guida del prodotto
13
Introduzione al software McAfee ePolicy Orchestrator
14
Guida del prodotto
1
Protezione delle reti con il software
Il software ePolicy Orchestrator è un componente chiave della piattaforma per la gestione della
sicurezza McAfee che consente la gestione unificata di endpoint, rete e sicurezza dei dati. È possibile
ridurre i tempi di risposta agli eventi, rafforzare la protezione e semplificare la gestione di rischio e
sicurezza con le funzionalità di automazione di ePolicy Orchestrator e la visibilità di rete end-to-end.
Sommario
Vantaggi del software ePolicy Orchestrator
Componenti e relativo funzionamento
Funzionamento del software
Vantaggi del software ePolicy Orchestrator
Il software ePolicy Orchestrator è una piattaforma di gestione scalabile ed estendibile che consente di
centralizzare la gestione e l'applicazione delle policy dei prodotti di sicurezza e dei sistemi sui quali
sono installati.
Include inoltre funzionalità complete di reportistica e distribuzione di prodotti, il tutto mediante un
singolo punto di controllo.
Grazie al software ePolicy Orchestrator è possibile eseguire le seguenti attività per la sicurezza di rete:
•
Distribuire prodotti di sicurezza, patch e Service Pack sui sistemi della rete.
•
Gestire i prodotti di sicurezza degli host e della rete distribuiti nei sistemi mediante l'applicazione di
policy di sicurezza e la creazione di attività.
•
Aggiornare file di definizione dei rilevamenti (DAT), motori antivirus e altro contenuto di sicurezza
necessario affinché il prodotto software di sicurezza utilizzato sia in grado di proteggere i sistemi
gestiti.
•
Creare rapporti utilizzando la procedura guidata del sistema di query integrato, in cui sono
visualizzati grafici e tabelle informativi configurati dall’utente contenenti i dati per la protezione
della rete.
Guida del prodotto
15
1
Il software ePolicy Orchestrator è costituito dai componenti riportati di seguito.
•
Server di McAfee ePO: centro dell'ambiente gestito. Il server fornisce policy di sicurezza e
attività, controlla gli aggiornamenti ed elabora gli eventi per tutti i sistemi gestiti.
•
Database: componente di archiviazione centrale per tutti i dati creati e utilizzati da ePolicy
Orchestrator. È possibile scegliere se archiviare il database nel server di McAfee ePO o in un
sistema distinto, a seconda delle specifiche esigenze dell'organizzazione.
•
McAfee Agent : strumento di trasmissione e di imposizione delle informazioni tra il server di
McAfee ePO e ogni sistema gestito. L'agent recupera gli aggiornamenti, garantisce
l'implementazione delle attività, impone le policy e inoltra gli eventi per ogni sistema gestito.
Utilizza un canale di dati sicuro separato per il trasferimento dei dati al server. È anche possibile
configurare un McAfee Agent come SuperAgent.
•
Archivio principale: posizione centrale per tutti gli aggiornamenti e le firme McAfee, che si trova
nel server di McAfee ePO. All'interno dell'archivio principale è possibile recuperare da McAfee o dai
siti di origine definiti dall'utente le firme e gli aggiornamenti specificati dall'utente.
•
Archivi distribuiti: punti di accesso locale disposti in modo strategico in tutto l'ambiente per
consentire agli agent la ricezione di firme, nonché aggiornamenti e installazioni dei prodotti con un
impatto minimo in termini di larghezza di banda. A seconda della modalità di configurazione della
rete è possibile impostare archivi distribuiti di SuperAgent, server HTTP o FTP oppure di
condivisioni UNC.
•
Gestori degli agent remoti: server installabili in vari percorsi di rete per consentire la gestione
dalla comunicazione dell'agent, del bilanciamento del carico e degli aggiornamenti dei prodotti.
Questi gestori comprendono un server Apache e un parser di eventi che consentono di gestire le
esigenze di infrastrutture di rete grandi o complesse grazie a un controllo maggiore della
comunicazione agent-server.
•
Server registrati: consente di registrare altri server con il server di McAfee ePO in uso. I tipi di
server registrati includono:
•
Server LDAP: utilizzato per le regole di assegnazione di policy e per consentire la creazione
automatica di account utente.
•
Server SNMP: utilizzato per ricevere una trap SNMP. Aggiungere le informazioni del server
SNMP in modo che ePolicy Orchestrator riconosca la posizione cui inviare la trap.
•
Server database: utilizzato per estendere gli strumenti di reportistica avanzata forniti con il
software ePolicy Orchestrator.
A seconda delle esigenze specifiche dell'organizzazione e della complessità della rete, è possibile
utilizzare solo alcuni dei componenti illustrati.
Il software ePolicy Orchestrator è progettato in modo da garantire un'estrema flessibilità. Può essere
configurato in numerosi modi diversi, in base alle specifiche esigenze.
Il software segue il modello classico client-server, in cui un sistema client (il sistema) esegue una
chiamata al server per ottenere istruzioni. Per facilitare la chiamata al server, a ogni sistema di una
rete viene distribuita un McAfee Agent. Quando un agent viene distribuito a un sistema, il sistema può
essere gestito dal server McAfee ePO. La comunicazione sicura tra il server e il sistema gestito è il
16
Guida del prodotto
1
legame che collega tutti i componenti del software ePolicy Orchestrator. Nella figura riportata di
seguito è mostrato un esempio della modalità di interrelazione tra il server McAfee ePO e i componenti
nell'ambiente di rete sicuro.
1
Il server McAfee ePO si connette al server di aggiornamento McAfee per scaricare i contenuti di
sicurezza più recenti.
2
Il database ePolicy Orchestrator memorizza tutti i dati sui sistemi gestiti nella rete, tra cui:
3
•
proprietà del sistema
•
informazioni sulle policy
•
struttura di directory
•
tutti gli altri dati rilevanti necessari per mantenere aggiornati i sistemi del server
I McAfee Agent vengono distribuiti ai sistemi per facilitare le seguenti operazioni:
•
applicazione delle policy
•
distribuzioni e aggiornamenti dei prodotti
•
generazione di rapporti sui sistemi gestiti
Guida del prodotto
17
1
18
4
La comunicazione sicura agent-server si verifica a intervalli regolari tra i sistemi e il server. Se in
una rete si installano i gestori di agent, gli agent comunicano con il server tramite i relativi gestori
di agent assegnati.
5
Gli utenti accedono alla console di ePolicy Orchestrator per eseguire attività di gestione della
sicurezza, come l'esecuzione di query per la generazione di rapporti sullo stato della sicurezza o
l'utilizzo delle policy di sicurezza del software gestito.
6
Il server di aggiornamento McAfee ospita il contenuto di sicurezza più recente. In questo modo
ePolicy Orchestrator può eseguire il pull del contenuto a intervalli pianificati.
7
Gli archivi distribuiti dislocati nella rete ospitano il contenuto di sicurezza in locale, in modo che gli
agent possano ricevere aggiornamenti più rapidamente.
8
I gestori degli agent remoti consentono di scalare la rete per gestire più agent con un singolo
server McAfee ePO.
9
Le notifiche di risposta automatica vengono inviate agli amministratori della sicurezza per notificare
gli eventi.
Guida del prodotto
2
Utilizzo dell'interfaccia di ePolicy
Orchestrator
È possibile accedere all'interfaccia di ePolicy Orchestrator per configurare il server McAfee ePO e per
gestire e monitorare la sicurezza di rete.
Sommario
Accesso e disconnessione
Navigazione nell'interfaccia
Utilizzo di elenchi e tabelle
Accesso e disconnessione
Per accedere al software ePolicy Orchestrator, immettere il nome utente e la password nella schermata
di accesso.
Prima di iniziare
Per poter accedere a ePolicy Orchestrator, è necessario che siano stati assegnati un nome
utente e una password.
Sia che ci si connetta al server McAfee ePO tramite una connessione remota che utilizzando l'icona del
server McAfee ePO, la prima schermata visualizzata sarà quella di accesso a ePolicy Orchestrator.
Attività
1
Digitare il nome utente e la password e fare clic su Accesso.
Viene visualizzata la dashboard predefinita del software ePolicy Orchestrator.
2
Per terminare la sessione di ePolicy Orchestrator, fare clic su Disconnetti.
Dopo aver eseguito la disconnessione, la sessione verrà chiusa e non potrà essere aperta da altri
utenti.
L'interfaccia di ePolicy Orchestrator utilizza un modello di navigazione basato su menu con una barra
dei preferiti personalizzabile che consente di accedere rapidamente alla posizione desiderata.
Le sezioni del menu rappresentano le funzionalità di primo livello del server di McAfee ePO. Con
l'aggiunta di nuovi prodotti gestiti al server, le pagine dell'interfaccia associate vengono aggiunte a una
categoria esistente o viene creata una nuova categoria nel menu.
Guida del prodotto
19
2
Utilizzo del menu di navigazione di ePolicy Orchestrator
Aprire il Menu di ePolicy Orchestrator per passare all'interfaccia di ePolicy Orchestrator.
Nel Menu sono presenti categorie che comprendono le varie funzionalità del server di McAfee ePO.
Ogni categoria contiene un elenco delle pagine principali delle funzionalità, associate a un'icona
univoca. Selezionare una categoria in Menu per visualizzare e passare alle pagine principali che
costituiscono tale funzionalità.
Personalizzazione della barra di navigazione
Personalizzare la barra di navigazione per fornire un accesso rapido alle funzionalità utilizzate con
maggiore frequenza.
È possibile decidere quali icone visualizzare nella barra di navigazione trascinando un elemento del
menu sulla barra di navigazione o lontano da essa.
Nei sistemi con una risoluzione dello schermo pari a 1024x768, nella barra di navigazione sono
visualizzate sei icone. Quando si posizionano più di sei icone sulla barra di navigazione, a destra della
barra viene creato un menu extra. Fare clic sulla freccia giù per accedere alle voci del menu non
visualizzate nella barra di navigazione. Le icone visualizzate nella barra di navigazione sono archiviate
come preferenze utente, quindi la barra di navigazione personalizzata di ciascun utente viene
visualizzata indipendentemente dalla console utilizzata per accedere al server.
Categorie di impostazioni del server
Si tratta delle categorie di impostazioni del server predefinite disponibili nel software ePolicy
Orchestrator.
Quando si archivia altro software nel server di McAfee ePO, all'elenco delle categorie di impostazioni
del server vengono aggiunte impostazioni del server specifiche del prodotto. Per informazioni sulle
impostazioni del server specifiche del prodotto, consultare la documentazione del prodotto. È possibile
20
Guida del prodotto
2
modificare le impostazioni del server dall'interfaccia accedendo alla pagina Impostazioni del server nella
sezione Configurazione dell'interfaccia di ePolicy Orchestrator.
Tabella 2-1
Categorie di impostazioni del server predefinite e relative descrizioni
Categoria di
impostazioni del server
Descrizione
Gruppi di Active Directory
Specifica il server LDAP da utilizzare per ciascun dominio.
Accesso utente ad Active Directory Specifica se i membri dei gruppi AD (Active Directory) mappati possono
accedere al server utilizzando le proprie credenziali AD una volta
configurata completamente la funzionalità Accesso utente ad Active
Directory.
Credenziali di distribuzione
dell'agent
Specifica se agli utenti è consentito memorizzare nella cache le
credenziali di distribuzione dell'agent.
Autenticazione basata su
certificato
Specifica se è attivata l'Autenticazione basata su certificato, e le
impostazioni e le configurazioni necessarie per il certificato dell'autorità
di certificazione in uso.
Dashboard
Specifica la dashboard attiva predefinita, assegnata agli account dei
nuovi utenti al momento della relativa creazione, e la frequenza di
aggiornamento predefinita (5 minuti) per i monitoraggi della dashboard.
Disaster Recovery
Attiva e imposta la passphrase di crittografia del keystore di Disaster
Recovery.
Server e-mail
Specifica il server email utilizzato quando ePolicy Orchestrator invia
messaggi email.
Filtraggio eventi
Specifica gli eventi che l'agent deve inoltrare.
Notifiche eventi
Specifica l'intervallo per l'invio di Eventi di notifica ePolicy Orchestrator a
Risposte automatiche.
Aggiornamento globale
Specifica se e come è attivato l'aggiornamento globale.
Chiave di licenza
Specifica la chiave di licenza utilizzata per registrare questo software
ePolicy Orchestrator.
Messaggio di accesso
Specifica un eventuale messaggio di accesso personalizzato visualizzato
agli utenti nell'ambiente quando accedono alla schermata di accesso
della console ePolicy Orchestrator.
Conservazione policy e attività
Specifica se le policy e i dati delle attività client vengono rimossi quando
si elimina l'estensione di gestione del prodotto.
Manutenzione di policy
Specifica se le policy dei prodotti non supportati devono essere visibili o
nascoste. Questa opzione è necessaria solo dopo l'upgrade di ePolicy
Orchestrator da una versione precedente.
Porte
Specifica le porte utilizzate dal server quando comunica con gli agent e il
database.
Stampa ed esportazione
Specifica la modalità di esportazione delle informazioni in altri formati e
il modello delle esportazioni PDF. Specifica inoltre il percorso predefinito
in cui vengono memorizzati i file esportati.
Elenco di compatibilità di prodotto
Indica se l'Elenco di compatibilità di prodotto deve essere scaricato
automaticamente e visualizza le estensioni del prodotto non compatibili.
Product Improvement Program
Specifica se McAfee ePO può raccogliere dati periodicamente e in modo
proattivo dai sistemi client gestiti dal server di McAfee ePO.
Impostazioni proxy
Specifica il tipo di impostazioni proxy configurate per il server di McAfee
ePO.
Chiavi di sicurezza
Specifica e gestisce le chiavi di comunicazione sicura agent-server e le
chiavi dell'archivio.
Certificato del server
Specifica il certificato utilizzato dal server di McAfee ePO per la
comunicazione HTTPS con i browser.
Guida del prodotto
21
2
Tabella 2-1
Categorie di impostazioni del server predefinite e relative descrizioni (segue)
Categoria di
Descrizione
Valutazione di prodotti software
Specifica le informazioni necessarie per consentire l'archiviazione e la
distribuzione del software di prova dal Gestore di prodotti software.
Siti di origine
Specifica i siti di origine cui si connette il server per ottenere
aggiornamenti, nonché i siti da utilizzare come fallback.
Impostazioni dettagli sistema
Specifica le query e le proprietà dei sistemi da visualizzare nella pagina
Dettagli sistema per i sistemi gestiti.
Ordinamento della struttura dei
sistemi
Specifica se e come attivare l'ordinamento della Struttura dei sistemi
nell'ambiente.
Sessione utente
Specifica il periodo di tempo in cui un utente può restare inattivo prima
di essere disconnesso dal sistema.
È possibile utilizzare la funzionalità di ricerca e filtro di ePolicy Orchestrator per ordinare i dati degli
elenchi.
Gli elenchi di dati in ePolicy Orchestrator possono contenere centinaia o migliaia di voci. La ricerca
manuale di voci specifiche in questi elenchi di ePolicy Orchestrator potrebbe essere difficile senza il
filtro Ricerca rapida.
Applicazione di filtri a un elenco
È possibile utilizzare i filtri preimpostati o filtri personalizzati per selezionare righe specifiche negli
elenchi di dati dell'interfaccia di ePolicy Orchestrator.
Attività
Per le definizioni delle opzioni, fare clic su ? nell'interfaccia.
1
Nella barra presente nella parte superiore di un elenco, selezionare il filtro preimpostato o
personalizzato che si desidera utilizzare per applicare filtri all'elenco.
Verranno visualizzate solo le voci che soddisfano i criteri selezionati.
2
Selezionare le caselle di controllo accanto alle voci dell'elenco di particolare interesse e selezionare
Mostra righe selezionate.
Verranno visualizzate solo le righe selezionate.
Ricerca di elementi elenco specifici
Utilizzare il filtro Ricerca rapida per trovare elementi in un elenco di grandi dimensioni.
I nomi delle query predefinite potrebbero essere tradotti nella lingua locale. Quando si comunica con
utenti di altre lingue, tenere presente che i nomi delle query potrebbero essere diversi.
Attività
Per visualizzare la definizione delle opzioni, fare clic su ? nell'interfaccia.
22
1
Immettere i termini da cercare nel campo Ricerca rapida.
2
Fare clic su Applica.
Guida del prodotto
2
Verranno visualizzate solo le voci contenenti i termini immessi nel campo Ricerca rapida.
Fare clic su Cancella per rimuovere le impostazioni di filtro e tornare all'elenco predefinito.
Questo è un esempio di ricerca valida per un elenco di query specifico.
1
Fare clic su Menu | Query e rapporti. Fare clic su Query per visualizzare nell’elenco tutte le query
disponibili in ePolicy Orchestrator.
2
Per limitare l’elenco a query specifiche, ad esempio ai "rilevamenti," in Ricerca rapida digitare rileva
e fare clic su Applica.
Nell'elenco vengono visualizzate queste o altre query:
•
Cronologia di rilevamento malware
•
Rilevamenti odierni per prodotto
Selezione di caselle di controllo delle righe di tabella
Nell'interfaccia utente di ePolicy Orchestrator è possibile eseguire speciali azioni di selezione dalle
righe di tabella e sono disponibili collegamenti che consentono di selezionare caselle di controllo delle
righe di tabella facendo clic con il mouse o facendo clic tenendo premuto il tasto MAIUSC.
In alcune pagine di output nell'interfaccia utente di ePolicy Orchestrator è visualizzata una casella di
controllo accanto a ciascun elemento della tabella. Tali caselle di controllo consentono di selezionare le
singole righe, come gruppi, oppure tutte le righe della tabella.
Nella tabella che segue sono elencate le digitazioni da tastiera utilizzate per selezionare le caselle di
controllo delle righe di tabella.
Per selezionare Azione
Risposta
Righe singole
Fare clic sulle singole righe
Seleziona ogni singola riga in modo indipendente
dalle altre
Gruppo di righe
Fare clic su una casella di
controllo, quindi fare clic
sull'ultima casella di controllo
del gruppo tenendo premuto il
tasto MAIUSC
La prima e l'ultima riga selezionate creano un
gruppo di righe selezionate.
Fare clic sulla prima casella di
controllo in alto nelle
intestazioni di tabella
Seleziona ogni riga della tabella
Tutte le righe
Quando si selezionano contemporaneamente
più di 1.500 righe con la procedura MAIUSC +
clic, si può verificare un picco nell'utilizzo della
CPU e potrebbe essere visualizzato un
messaggio che segnala un errore di script.
Guida del prodotto
23
2
24
Guida del prodotto
Impostazione del server di
L'impostazione del server di ePolicy Orchestrator costituisce il primo
passaggio per la gestione della sicurezza della rete.
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
3
4
5
6
7
8
Archivi
Server registrati
Gestori degli agent
Guida del prodotto
25
Impostazione del server di ePolicy Orchestrator
26
Guida del prodotto
3
Pianificazione della configurazione di
Per utilizzare il server McAfee ePO in modo efficace, è necessario creare un piano completo specifico
per l'ambiente.
Il modo in cui si imposta l'infrastruttura di server e la quantità di operazioni di configurazione
necessarie dipendono dalle specifiche esigenze dell'ambiente di rete. Se tali aspetti vengono esaminati
in anticipo, è possibile ridurre il tempo necessario per essere subito operativi.
Sommario
Considerazioni relative alla scalabilità
Protocolli Internet in un ambiente gestito
Considerazioni relative alla scalabilità
Il modo in cui viene gestita la scalabilità dipende dall’eventuale utilizzo di più server di McAfee ePO, di
più gestori di agent remoti o di entrambi.
Grazie al software ePolicy Orchestrator, è possibile scalare la rete in verticale o in orizzontale.
•
Scalabilità verticale : aggiunta di componenti e upgrade dell'hardware per aumentare la capacità
e la velocità di elaborazione allo scopo di consentire la gestione di distribuzioni sempre più estese.
È possibile ottenere la scalabilità verticale dell'infrastruttura del server di McAfee ePO mediante
l'upgrade dell'hardware del server e l'utilizzo di più server di McAfee ePO nella rete, ciascuno con il
rispettivo database.
•
Scalabilità orizzontale : aumento delle dimensioni della distribuzione gestibile da un unico server
McAfee ePO. È possibile ottenere la scalabilità orizzontale del server mediante l'installazione di più
gestori di agent remoti, ciascuno dei quali comunica con un unico database.
Quando utilizzare più server di McAfee ePO
A seconda delle dimensioni e della struttura dell'organizzazione, può essere necessario utilizzare più
server di McAfee ePO.
Tra gli scenari in cui può essere consigliabile utilizzare più server figurano i seguenti:
•
Si desidera gestire database separati per le diverse unità dell'organizzazione.
•
È necessario che le infrastrutture IT, i gruppi amministrativi e gli ambienti di test siano separati.
•
L'organizzazione si estende su un'area geografica ampia e si serve di una connessione di rete con
una larghezza di banda relativamente limitata, ad esempio una rete WAN, VPN o altre connessioni
lente che solitamente collegano i siti remoti. Per ulteriori informazioni sui requisiti della larghezza di
banda, vedere McAfee ePolicy Orchestrator Hardware Usage and Bandwidth Sizing Guide (Guida
all'utilizzo dell'hardware e alle dimensioni della larghezza di banda).
Guida del prodotto
27
3
Se si utilizzano più server nella rete è necessario gestire un database separato per ciascuno di essi e
raggruppare le informazioni di ogni server nel server e nel database di McAfee ePO principali.
Quando utilizzare più gestori di agent remoti
L'utilizzo di più gestori degli agent remoti consente di gestire grandi distribuzioni senza aggiungere
ulteriori server di McAfee ePO nell'ambiente.
Il gestore di agent è il componente del server responsabile della gestione delle richieste degli agent.
Ogni server di McAfee ePO installato comprende un gestore di agent per impostazione predefinita.
Alcuni scenari nei quali è consigliabile utilizzare più gestori di agent remoti sono i seguenti:
•
Si desidera permettere agli agent di scegliere tra più dispositivi fisici, in modo che possano
continuare a richiamare e ricevere policy, attività e aggiornamenti di prodotto, anche qualora il
server applicazioni non sia disponibile e non si intende inserire il server di McAfee ePO in un cluster.
•
L'infrastruttura ePolicy Orchestrator esistente deve essere ampliata per gestire più agent, più
prodotti o un carico maggiore in seguito a intervalli di comunicazione agent-server (ASCI) più
frequenti.
•
Si desidera utilizzare il server di McAfee ePO per gestire i segmenti di rete disconnessi, come i
sistemi che utilizzano la conversione dell'indirizzo di rete (NAT, Network Address Translation),
oppure in una rete esterna.
Ciò è possibile a condizione che il gestore degli agent disponga di una connessione con larghezza di
banda elevata al database di ePolicy Orchestrator.
Più gestori di agent significano maggiore scalabilità e minore complessità per la gestione di
distribuzioni di grandi dimensioni. Poiché tuttavia i gestori di agent richiedono una connessione di rete
molto veloce, non è consigliabile utilizzarli in determinati scenari, inclusi i casi seguenti:
•
Per sostituire archivi distribuiti. Gli archivi distribuiti sono condivisioni file locali destinate a
mantenere a livello locale il traffico di comunicazione degli agent. Sebbene i gestori di agent siano
dotati di una funzionalità di archiviazione incorporata, richiedono una comunicazione costante con il
database di ePolicy Orchestrator e quindi consumano una grande quantità della larghezza di banda.
•
Per migliorare la replica degli archivi in una connessione WAN. Le comunicazioni costanti con il
database necessarie per la replica negli archivi possono saturare la connessione WAN.
•
Per connettere un segmento di rete disconnesso dove esiste una connettività limitata o irregolare al
database di ePolicy Orchestrator.
ePolicy Orchestrator è un prodotto software compatibile con entrambe le versioni IPv4 e IPv6 di
Internet Protocol.
I server di McAfee ePO funzionano in modalità diverse:
•
Solo IPv4: è supportato solo il formato degli indirizzi IPv4
•
Solo IPv6: è supportato solo il formato degli indirizzi IPv6
•
Modalità mista: sono supportati entrambi i formati degli indirizzi IPv4 e IPv6
La modalità di funzionamento del server di McAfee ePO in uso dipende dalla configurazione della rete.
Ad esempio, se la rete è configurata esclusivamente per gli indirizzi IPv4, il server funzionerà solo
nella modalità IPv4. Allo stesso modo, se la rete è configurata per utilizzare indirizzi nei formati IPv4 o
IPv6, il server funzionerà nella modalità mista.
28
Guida del prodotto
3
Se IPv6 è installato e attivato, il server di McAfee ePO si mette in ascolto solo sugli indirizzi IPv4. Se
IPv6 viene attivato, funziona nella modalità nella quale è configurato.
Se la comunicazione tra il server McAfee ePO e un gestore degli agent avviene tramite IPv6, le
proprietà correlate agli indirizzi, quali indirizzo IP, indirizzo di sottorete e maschera di sottorete,
vengono mostrate nel formato IPv6. Quando vengono trasmesse tra client e server McAfee ePO o
quando vengono visualizzate nell'interfaccia utente o nel file di registro, le proprietà correlate a IPv6
vengono mostrate nella forma estesa e racchiuse tra parentesi.
Ad esempio 3FFE:85B:1F1F::A9:1234 viene visualizzato come: [3FFE:085B:1F1F:
0000:0000:0000:00A9:1234].
Quando si imposta un indirizzo IPv6 per origini FTP o HTTP, non sono necessarie modifiche all'indirizzo.
Tuttavia, quando si imposta un indirizzo IPv6 in caratteri letterali per un'origine UNC, è necessario
utilizzare il formato IPv6 Microsoft in caratteri letterali. Per ulteriori informazioni vedere la
documentazione Microsoft.
Guida del prodotto
29
3
30
Guida del prodotto
4
Impostazione del server di McAfee ePO
in uso
La configurazione delle funzionalità essenziali del server McAfee ePO consente di essere subito
operativi.
Sommario
Panoramica della configurazione del server
Utilizzo della Distribuzione prodotti durante la configurazione automatica
Funzionalità essenziali per la configurazione manuale o la Configurazione guidata
Configurazione automatica prodotti
Configurazione delle funzionalità essenziali
Utilizzo di un server proxy
Immissione della chiave di licenza
Impostare il server McAfee ePO in modo che soddisfi i requisiti specifici del proprio ambiente in diversi
modi.
Di seguito sono elencate le funzionalità principali del server McAfee ePO che è necessario configurare.
•
Gestore di prodotti software: consente di depositare il software di sicurezza nuovo e aggiornato nel server
McAfee ePO e nell'Archivio principale dalla console.
•
Struttura dei sistemi: contiene tutti i sistemi gestiti dal server di McAfee ePO e consente di eseguire
azioni su tali sistemi.
•
Catalogo delle policy: consente di configurare le policy che controllano il software di sicurezza
distribuito nei sistemi gestiti.
•
Catalogo delle attività client: consente di creare, assegnare e pianificare le attività client da
eseguire automaticamente sui sistemi gestiti.
•
McAfee Agent: consente la gestione di un sistema nella rete. Una volta distribuito, l'agent comunica lo
stato e tutti i dati associati tra il server e il sistema gestito. Si tratta del veicolo di distribuzione del
software di sicurezza attraverso il quale vengono applicate le policy e assegnate le attività.
McAfee Agent è un prodotto software indipendente richiesto sul server di McAfee ePO per la gestione
dei sistemi sulla rete. McAfee Agent viene depositato automaticamente nell'Archivio principale
quando si installa inizialmente il software di ePolicy Orchestrator.
È possibile configurare queste funzionalità principali utilizzando:
Guida del prodotto
31
4
•
Distribuzione iniziale prodotti: consente di configurare automaticamente tutte le funzionalità principali.
Vedere la presentazione Benvenuti in ePolicy Orchestrator per acquisire familiarità con il software e il
relativo funzionamento.
•
Configurazione guidata: fornisce istruzioni dettagliate per la configurazione di ogni funzionalità
principale.
•
Processi di configurazione manuale: in questa guida vengono descritti i processi relativi a ogni funzionalità
principale.
La maggior parte degli utenti configura il proprio server McAfee ePO automaticamente. Tuttavia, la
configurazione manuale potrebbe essere più appropriata per gli utenti con determinate limitazioni, ad
esempio:
•
Nessun accesso a Internet
•
Limitazioni per il download diretto nell'infrastruttura critica
•
Processi di distribuzione a fasi che richiedono il rilascio incrementale dei prodotti negli ambienti
critici
•
Organizzazioni di grandi dimensioni con requisiti specifici
In questa tabella è mostrata una panoramica della procedura necessaria per configurare ePolicy
Orchestrator mediante la configurazione guidata.
32
Guida del prodotto
4
Tabella 4-1 Panoramica dei diversi metodi di configurazione
Procedura Distribuzione iniziale prodotti
Procedura Configurazione guidata
1 L'installazione di ePolicy Orchestrator viene
completata e l'utente può avviare il software.
1 L'installazione di ePolicy Orchestrator viene
completata e l'utente può avviare il software.
2 Dalla schermata di accesso accedere
all'interfaccia utente di ePolicy Orchestrator.
Viene visualizzata la pagina della dashboard
Introduzione a ePolicy Orchestrator.
2 Dalla schermata di accesso, accedere
all'interfaccia utente di ePolicy Orchestrator.
Durante la distribuzione iniziale dei prodotti
non viene visualizzata la pagina di
configurazione iniziale dei prodotti. La
mancata visualizzazione della pagina indica
che non è riuscita l'operazione di download o
installazione di un prodotto.
3 Vedere la presentazione Benvenuti in ePolicy
Orchestrator per acquisire familiarità con il
software e il relativo funzionamento.
4 Nella dashboard Distribuzione prodotti verificare
che tutti prodotti e le versioni installate
automaticamente siano corrette e fare clic su
Avvia distribuzione.
5 Utilizzando Distribuisci software accettare le
impostazioni predefinite o configurare le singole
impostazioni, quindi distribuire il software.
6 Completare le operazioni seguenti in base ai
requisiti dell'ambiente:
• Configurare le impostazioni generali del
server.
3 Eseguire la Configurazione guidata di ePolicy
Orchestrator per completare i seguenti processi:
• Aggiungere il software di sicurezza McAfee al
proprio Archivio principale
• Aggiungere sistemi alla Struttura dei sistemi
• Creare e assegnare almeno una policy di
sicurezza ai sistemi gestiti
• Pianificare un'attività di aggiornamento client
• Distribuire i prodotti di sicurezza nei sistemi
gestiti.
L'utilizzo della Configurazione guidata non è
obbligatorio. Ognuno dei passaggi descritti
può infatti essere eseguito manualmente.
4 Completare le operazioni seguenti in base ai
requisiti del proprio ambiente:
• Configurare le impostazioni generali del
server
• Creare gli account utente.
• Configurare i set di autorizzazioni.
• Creare gli account utente.
• Configurare le funzionalità e le impostazioni
avanzate del server.
• Configurare i set di autorizzazioni.
• Impostare componenti aggiuntivi.
• Configurare le funzionalità e le impostazioni
avanzate del server.
Il software ePolicy Orchestrator viene configurato
e può essere utilizzato per proteggere i sistemi.
• Impostare componenti aggiuntivi.
Il software ePolicy Orchestrator viene configurato
e può essere utilizzato per proteggere i sistemi.
Guida del prodotto
33
4
Utilizzo della Distribuzione prodotti durante la configurazione automatica
Utilizzo della Distribuzione prodotti durante la configurazione
automatica
È possibile utilizzare la Distribuzione iniziale prodotti per distribuire e installare rapidamente i prodotti
in ePolicy Orchestrator e nei sistemi gestiti.
Prima di iniziare
Dopo avere installato il software ePolicy Orchestrator, la Configurazione automatica prodotti
inizia a scaricare e a installare i prodotti ai quali la licenza del sito da diritto.
È probabile che l'utente non vedrà mai la Configurazione automatica prodotti, a meno che
non si verifichi un errore.
Di seguito sono elencati i principali passaggi necessari per configurare automaticamente ePolicy
Orchestrator dopo l'installazione iniziale.
Attività
1
Fare clic sull'icona Avvia ePolicy Orchestrator nel desktop del server McAfee ePO per visualizzare la
schermata di Accesso.
2
Digitare le credenziali e selezionare una lingua nella finestra di dialogo Accesso.
Nella dashboard Introduzione a ePolicy Orchestrator viene visualizzata la presentazione Benvenuti
in ePolicy Orchestrator e le dashboard Distribuzione prodotti.
3
Eseguire la presentazione Benvenuto in ePolicy Orchestrator per acquisire familiarità con l'interfaccia
utente e con il processo di configurazione.
Nella dashboard Distribuzione prodotti sono visualizzati tutti i prodotti scaricati e installati
automaticamente da Configurazione automatica prodotti.
4
Verificare che i prodotti installati e le versioni siano corretti e fare clic su Avvia distribuzione.
5
Completare la configurazione di ePolicy Orchestrator eseguendo le attività necessarie:
•
Configurare le impostazioni generali del server: le impostazioni server di questo gruppo
riguardano funzionalità che non è necessario modificare ai fini di un corretto funzionamento del
server, tuttavia è possibile personalizzare alcuni aspetti di tale funzionamento.
•
Creare account utente e configurare i set di autorizzazioni: gli account utente consentono
agli utenti di accedere al server e i set di autorizzazioni concedono diritti e accesso alle
funzionalità di ePolicy Orchestrator.
•
Configurare funzionalità e impostazioni del server avanzate: nel server McAfee ePO sono
disponibili funzionalità avanzate che consentono di automatizzare la gestione della sicurezza
della rete.
•
Impostare componenti aggiuntivi: i componenti aggiuntivi, quali archivi distribuiti, server
registrati e gestori degli agent, sono necessari per poter utilizzare molte funzionalità avanzate
del software ePolicy Orchestrator.
A questo punto il server McAfee ePO è configurato per proteggere i sistemi gestiti.
34
Guida del prodotto
Funzionalità essenziali per la configurazione manuale o la Configurazione guidata
4
Funzionalità essenziali per la configurazione manuale o la
Configurazione guidata
Diverse funzionalità del server McAfee ePO sono essenziali per il suo utilizzo e devono essere
impostate durante la configurazione manuale o la Configurazione guidata. Queste funzionalità sono
necessarie per poter distribuire e gestire il software di sicurezza nei sistemi della rete.
Il software ePolicy Orchestrator viene fornito con lo strumento Configurazione guidata. Questo
strumento è progettato per configurare le funzionalità essenziali e per acquisire dimestichezza con
l'interfaccia di ePolicy Orchestrator. La Configurazione guidata consente di completare i passaggi
necessari per eseguire le operazioni indicate di seguito.
1
Depositare il software di sicurezza McAfee nell'Archivio principale, in modo da consentirne la
distribuzione nei sistemi della rete.
2
Aggiungere i sistemi in uso alla struttura dei sistemi ePolicy Orchestrator per consentirne la
gestione.
3
Creare e assegnare almeno una policy di sicurezza da applicare ai sistemi gestiti.
4
Pianificare un'attività di aggiornamento dei client per garantire che il software di sicurezza sia
sempre aggiornato.
5
Distribuire il software di sicurezza nei sistemi gestiti.
La Configurazione guidata non è obbligatoria. Se questa procedura viene eseguita manualmente,
McAfee consiglia di utilizzare un flusso di lavoro analogo durante il processo di configurazione.
Indipendentemente dal metodo scelto per configurare queste funzionalità, è possibile modificare e
perfezionare la configurazione del server utilizzando lo strumento Configurazione guidata oppure
effettuando l'accesso alle singole pagine direttamente dal menu di McAfee ePO.
Durante una configurazione automatica il server di McAfee ePO scarica e installa tutti i prodotti McAfee
per i quali l'utente dispone di autorizzazione grazie alla licenza del sito.
Nella maggior parte dei casi, durante una configurazione automatica, il processo Configurazione
automatica prodotti non viene mai eseguito. La sua esecuzione ha inizio al termine dell'installazione
del software ePolicy Orchestrator e viene in genere completato prima dell'accesso.
La visualizzazione della pagina Configurazione automatica prodotti quando si esegue inizialmente
l'accesso a ePolicy Orchestrator, indica che si è verificato un errore durante il download o
l'installazione dei prodotti, ad esempio è possibile che si sia interrotta la connessione a Internet.
Prendere nota del prodotto che non si è riuscito a installare e fare clic su Riprova per tentare di nuovo
l'installazione.
Per arrestare l'installazione automatica dei prodotti, fare clic su Arresta. Una finestra di dialogo di
conferma chiede di confermare l'utilizzo di Gestore di prodotti software per l'installazione dei prodotti.
Dopo aver fatto clic su OK nella finestra di dialogo di conferma Arresta configurazione automatica
prodotti, è necessario utilizzare Gestore di prodotti software per installare i prodotti. La funzionalità
Configurazione automatica prodotti è disponibile una sola volta durante la configurazione iniziale.
Se l'installazione di un prodotto continua a non riuscire durante la Configurazione automatica prodotti,
contattare l'Assistenza tecnica McAfee. In alternativa, fare clic su OK per uscire dalla pagina
Configurazione automatica prodotti e iniziare a configurare il server McAfee ePO.
Guida del prodotto
35
4
Per informazioni sullo stato delle future installazioni del prodotto, aprire il Gestore di prodotti software:
Menu | Software | Gestore di prodotti software.
Utilizzare lo strumento Configurazione guidata per configurare funzionalità essenziali. In alternativa, è
possibile utilizzare queste attività come guida durante la configurazione manuale del server McAfee
ePO.
Prima di iniziare
Per configurare manualmente il software ePolicy Orchestrator o per utilizzare la
Configurazione guidata, è necessario interrompere l'esecuzione della Configurazione automatica
prodotti. Questa attività presuppone che alla riga di comando sia stato eseguito il file di
ePolicy Orchestrator Setup.exe con il parametro SKIPAUTOPRODINST=1 per disattivare la
Configurazione automatica prodotti.
Attività
1
Fare clic sull'icona Avvia ePolicy Orchestrator sul desktop del server McAfee ePO per visualizzare la
schermata di Accesso.
2
Digitare il nome utente, la password e selezionare una lingua, se necessaria, quindi fare clic su
Accesso. ePolicy Orchestrator viene avviato con la finestra di dialogo Dashboard visualizzata.
3
Fare clic su Menu | Reportistica | Dashboard, selezionare Configurazione guidata nell'elenco a discesa
Dashboard, quindi fare clic su Avvia.
4
Esaminare la panoramica e le istruzioni della Configurazione guidata, quindi fare clic su Avvia.
5
Nella pagina Selezione software:
6
36
a
Nella categoria prodotto Software non depositato, fare clic su Con licenza o su Valutazione per visualizzare
i prodotti disponibili.
b
Nella tabella Software selezionare il prodotto che si desidera depositare. La descrizione del
prodotto e tutti i componenti disponibili sono visualizzati nella tabella sotto.
c
Fare clic su Deposita tutto per depositare le estensioni del prodotto nel server McAfee ePO e i
pacchetti del prodotto nell'Archivio principale.
d
Una volta che si è terminato il deposito del prodotto software e si è pronti per iniziare il
passaggio successivo, fare clic su Avanti nella parte superiore della schermata.
Nella pagina Selezione sistema:
a
Nella Struttura dei sistemi selezionare il gruppo nel quale aggiungere i sistemi. Se non si dispone di
gruppi personalizzati definiti, selezionare Organizzazione, quindi fare clic su Avanti. Viene aperta la
finestra di dialogo Aggiunta dei sistemi.
b
Selezionare il metodo da utilizzare per aggiungere i sistemi alla Struttura dei sistemi.
Guida del prodotto
4
Aggiungere
sistemi con...
Per...
Quindi...
Sincronizzazione
AD
Sincronizzare il server McAfee ePO 1 Nella finestra di dialogo Sincronizzazione
con il server Active Directory (AD)
AD selezionare il tipo di sincronizzazione
o il controller di dominio (DC). Se
da utilizzare e specificare le impostazioni
uno di questi è in uso
appropriate.
nell'ambiente, la Sincronizzazione
AD rappresenta il modo più rapido
per aggiungere sistemi alla Struttura 2 Fare clic su Sincronizza e Salva per andare al
passaggio successivo.
dei sistemi.
Manuale
Aggiungere manualmente sistemi
alla Struttura dei sistemi
specificandone i nomi o sfogliando
un elenco di sistemi per dominio.
1 Nella pagina Nuovi sistemi fare clic su
Sfoglia per aggiungere singoli sistemi di un
dominio e quindi su OK oppure digitare i
nomi dei sistemi nel campo Sistemi di
destinazione.
2 Fare clic su Aggiungi sistemi per iniziare il
7
Nella pagina Configurazione delle policy:
Selezionare...
Per...
Quindi...
Accetta impostazioni
predefinite
Utilizzare l'impostazione della
policy Impostazioni predefinite
personali per il prodotto
software da distribuire e
continuare la configurazione.
Questo passaggio è completato.
Configura policy
Specificare impostazioni delle
policy personalizzate per
ciascun prodotto software
depositato.
1 Nella finestra di dialogo Configurazione
delle policy, fare clic su OK.
2 Selezionare un prodotto dall'Elenco prodotti e
fare clic su Impostazioni predefinite personali per
modificare le impostazioni delle policy
predefinite.
3 Fare clic su Avanti per procedere al
8
Nella pagina Aggiornamento software:
Guida del prodotto
37
4
Selezionare...
Per...
Quindi...
Crea predefinita
Creare automaticamente
un'attività client di
aggiornamento del
prodotto predefinita da
eseguire ogni giorno alle
24:00.
Questo passaggio è completato.
Imposta pianificazione Configurare manualmente
attività
la pianificazione per
l'attività client di
aggiornamento del
prodotto.
1 Se si utilizza Creazione assegnazioni delle attività client,
specificare un Prodotto e un Nome attività per
l'attività di aggiornamento del prodotto.
Non modificare la selezione effettuata in Tipo
di attività. Tipo di attività deve essere impostato
su Aggiornamento prodotto.
2 Configurare le opzioni Blocca ereditarietà attività e Tag,
quindi fare clic su Avanti.
3 Specificare la pianificazione per l'attività di
aggiornamento, quindi fare clic su Avanti.
4 Rivedere le informazioni di riepilogo, quindi fare
clic su Salva.
9
Nella pagina Distribuzione di prodotti software:
a
Nella Struttura dei sistemi selezionare il percorso contenente i sistemi in cui si desidera
distribuire il software, quindi fare clic su Avanti. Fare clic su OK per continuare.
b
Specificare le impostazioni per la distribuzione di McAfee Agent, quindi fare clic su Distribuisci.
Fare clic su Salta distribuzione agent se si desidera eseguire questa azione in un secondo momento. È
tuttavia necessario distribuire gli agent per poter distribuire altri prodotti software di sicurezza.
c
Selezionare i pacchetti software da distribuire nei sistemi gestiti, quindi fare clic su Distribuisci.
10 Nella pagina Riepilogo configurazione fare clic su Fine per chiudere la Configurazione guidata.
11 Completare la configurazione di ePolicy Orchestrator eseguendo le attività necessarie:
•
Configurare le impostazioni generali del server: le impostazioni server di questo gruppo
riguardano funzionalità che non è necessario modificare ai fini di un corretto funzionamento del
server; è tuttavia possibile personalizzare alcuni aspetti di tale funzionamento.
•
Creare account utente e configurare i set di autorizzazioni: gli account utente consentono
agli utenti di accedere al server, mentre i set di autorizzazioni concedono diritti e accesso alle
funzionalità di ePolicy Orchestrator.
•
Configurare funzionalità e impostazioni del server avanzate: nel server McAfee ePO sono
disponibili funzionalità avanzate che consentono di automatizzare la gestione della sicurezza
della rete.
•
Impostare componenti aggiuntivi: per poter utilizzare molte funzionalità avanzate del
software ePolicy Orchestrator sono necessari componenti aggiuntivi quali archivi distribuiti,
server registrati e Gestori di agent.
A questo punto il server McAfee ePO è configurato per proteggere i sistemi gestiti.
38
Guida del prodotto
4
Se si utilizza un server proxy nell'ambiente di rete, è necessario specificare le impostazioni proxy nella
pagina Impostazioni del server.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Impostazioni proxy nell'elenco Categorie di
impostazioni, quindi fare clic su Modifica.
2
Selezionare Configura manualmente le impostazioni proxy, fornire le informazioni di configurazione specifiche
utilizzate dal server proxy per ciascun set di opzioni, quindi fare clic su Salva.
La chiave di licenza consente di effettuare l'installazione completa del software e di accedere tramite il
Gestore di prodotti software di ePolicy Orchestrator al software McAfee con licenza di proprietà
dell'azienda.
In assenza di una chiave di licenza il prodotto software viene eseguito in modalità di valutazione.
Terminato il periodo di valutazione, il prodotto non funziona più. È possibile aggiungere una chiave di
licenza in qualsiasi momento durante o dopo il periodo di valutazione.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Chiave di licenza nell'elenco Categorie di
2
Digitare la Chiave di licenza acquistata e fare clic su Salva.
Guida del prodotto
39
4
40
Guida del prodotto
5
Ogni account utente è associato a uno o più set di autorizzazioni, che definiscono le azioni consentite
all'utente con il software.
Sommario
Account utente
Autenticazione del certificato client
Set di autorizzazioni
Account utente
Gli account utente consentono di controllare in che modo gli utenti accedono al software e lo
utilizzano. Persino le più piccole installazioni di rete devono specificare e controllare l'accesso degli
utenti alle diverse parti del sistema.
Gli account utente possono essere creati e gestiti in diversi modi. È possibile:
•
Creare gli account utente manualmente, quindi assegnare a ogni account un set di autorizzazioni
appropriato.
•
Configurare il server McAfee ePO in modo che consenta agli utenti di effettuare l'accesso mediante
l'autenticazione Windows.
La possibilità di consentire agli utenti di accedere utilizzando le credenziali Windows è una funzionalità
avanzata che richiede la configurazione e la specifica di più impostazioni e componenti.
Sebbene gli account utente e i set di autorizzazioni siano strettamente correlati, vengono creati e
configurati utilizzando passaggi distinti.
Sommario
Gestione degli account utente
Creazione di un messaggio di accesso personalizzato
Configurazione dell'accesso utente ad Active Directory
Formati supportati per nomi utente e password
Pagina File di input (Strumento di importazione assegnazione di policy)
Gestione degli account utente
È possibile creare, modificare ed eliminare manualmente gli account utente nella pagina Gestione degli
utenti.
Si consiglia di disattivare, invece che di eliminare, lo Stato accesso di un account, fino a quando non si è
certi che tutte le informazioni importanti a esso associate non siano state trasferite ad altri utenti.
Guida del prodotto
41
5
Account utente
Attività
1
Aprire la pagina Gestione degli utenti, fare clic su Menu | Gestione degli utenti | Utenti.
2
Selezionare una delle azioni seguenti.
Azione
Passaggi
Creazione di un
utente
1 Fare clic su Nuovo utente.
2 Digitare un nome utente.
3 Scegliere se attivare o disattivare lo stato di accesso di questo account. Se
l'account è destinato a un utente che non appartiene ancora
all'organizzazione, può essere consigliabile disattivarlo.
4 Scegliere se il nuovo account dovrà utilizzare l'autenticazione McAfee ePO,
l'autenticazione Windows o l'autenticazione basata su certificato e fornire le credenziali
richieste o cercare e selezionare il certificato.
5 Facoltativamente, specificare il nome completo, l'indirizzo e-mail, il numero di
telefono e una descrizione dell'utente nella casella di testo Note.
6 Scegliere di impostare l'utente come amministratore o selezionare i set di
autorizzazioni appropriati per l'utente.
7 Fare clic su Salva per tornare alla scheda Utenti.
Il nuovo utente viene visualizzato nell'elenco Utenti della pagina Gestione degli
utenti.
Modifica di un
utente
1 Dall'elenco Utenti, selezionare l'utente che si desidera modificare, quindi fare
clic su Azione | Modifica.
2 Modificare l'account in base alle esigenze.
3 Fare clic su Salva.
Le modifiche apportate all'utente vengono visualizzate nell'elenco Utenti della
pagina Gestione degli utenti.
Eliminazione di
un utente
1 Dall'elenco Utenti, selezionare l'utente che si desidera eliminare, quindi fare clic
su Azione | Elimina.
2 Quando viene richiesto, fare clic su OK.
Le modifiche apportate all'utente non sono più visualizzate nell'elenco Utenti della
pagina Gestione degli utenti.
Creazione di un messaggio di accesso personalizzato
È possibile creare e visualizzare un messaggio di accesso personalizzato da visualizzare nella pagina
Accesso.
Il messaggio può essere scritto in testo normale o formattato utilizzando HTML. Se si crea un
messaggio in formato HTML, si è responsabili della formattazione e dei caratteri di escape.
Attività
42
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Messaggio di accesso nell'elenco
Categorie di impostazioni, quindi fare clic su Modifica.
2
Selezionare Visualizza messaggio di accesso personalizzato, quindi digitare il messaggio e fare clic su Salva.
Guida del prodotto
Account utente
5
Configurazione dell'accesso utente ad Active Directory
È possibile ridurre il sovraccarico dovuto alla gestione degli account utente e accedere configurando
l'accesso utente ad Active Directory.
Sommario
Gestione degli utenti di ePolicy Orchestrator con Active Directory
Strategie di autenticazione e autorizzazione Windows
Attivazione dell'autenticazione Windows nel server di McAfee ePO
Configurazione dell'autenticazione Windows
Configurazione dell'autorizzazione Windows
Gestione degli utenti di ePolicy Orchestrator con Active Directory
È possibile utilizzare credenziali di autenticazione utente Windows preesistenti per creare
automaticamente utenti ePolicy Orchestrator e assegnare loro autorizzazioni.
Questo processo viene realizzato mediante la mappatura di set di autorizzazioni di ePolicy Orchestrator
a gruppi di Active Directory presenti nell'ambiente. Questa funzionalità è in grado di ridurre il
sovraccarico gestionale determinato dalla presenza nell'organizzazione di un numero elevato di utenti
di ePolicy Orchestrator. Per completare la configurazione, è necessario eseguire la procedura
seguente:
•
Configurare l'autenticazione dell'utente
•
Registrare server LDAP
•
Assegnare set di autorizzazioni al gruppo di Active Directory
Autenticazione degli utenti
Gli utenti di ePolicy Orchestrator possono essere autenticati con l'autenticazione tramite password di
ePolicy Orchestrator o con l'autenticazione Windows. Se si utilizza l'autenticazione Windows, è
possibile specificare se gli utenti vengono autenticati:
•
rispetto al dominio al quale è aggiunto il server di McAfee ePO (impostazione predefinita)
•
rispetto a un elenco di uno o più controller di dominio
•
rispetto a un elenco di uno o più nomi di dominio di tipo DNS
•
utilizzando un server WINS per la ricerca del controller di dominio appropriato
Se si utilizzano controller di dominio, nomi di dominio di tipo DNS o un server WINS, è necessario
configurare l'impostazione del server per l'autenticazione Windows.
Server LDAP registrati
Per consentire l'assegnazione dinamica di set di autorizzazioni agli utenti di Windows, è necessario
registrare server LDAP nel server di McAfee ePO. I set di autorizzazioni assegnati dinamicamente sono
set di autorizzazioni assegnati agli utenti in base all'appartenenza a gruppi di Active Directory.
Gli utenti considerati affidabili mediante trust esterni unidirezionali non sono supportati.
L'account utente utilizzato per registrare il server LDAP in ePolicy Orchestrator deve essere considerato
affidabile mediante un trust transitivo bidirezionale oppure deve esistere fisicamente nel dominio al
quale appartiene il server LDAP.
Guida del prodotto
43
5
Account utente
Autorizzazione Windows
Con l'impostazione server relativa all'autorizzazione Windows si specifica quale server di Active
Directory (AD) venga utilizzato in ePolicy Orchestrator per raccogliere informazioni su utenti e gruppi
di un particolare dominio. È possibile specificare più controller di dominio e server AD. Questa
impostazione server supporta la possibilità di assegnare dinamicamente set di autorizzazioni a utenti
che forniscono credenziali di Windows durante la procedura di accesso.
Con ePolicy Orchestrator è possibile assegnare dinamicamente set di autorizzazioni a utenti autenticati
con Windows anche se l'accesso utente ad Active Directory non è attivato.
Assegnazione di autorizzazioni
È necessario assegnare almeno un set di autorizzazioni a un gruppo di AD diverso dal gruppo primario
di un utente. L'assegnazione dinamica di set di autorizzazioni al gruppo primario di un utente non è
supportata e sfocia nell'applicazione delle sole autorizzazioni assegnate manualmente al singolo
utente. Il gruppo primario predefinito è "Domain Users".
Accesso utente ad Active Directory
Dopo avere configurato le sezioni descritte sopra, è possibile attivare l'impostazione server per la
creazione automatica degli utenti. Tale impostazione consente la creazione automatica di record
utente, se vengono soddisfatte le condizioni seguenti:
•
Gli utenti forniscono credenziali valide, nel formato <dominio\nome>. Ad esempio se un utente
dispone delle credenziali Windows grusso1 ed è membro del dominio Windows denominato ita,
dovrà fornire le credenziali seguenti: ita\grusso1, unitamente alla password corretta.
•
Un server Active Directory contenente informazioni sull'utente è stato registrato in ePolicy
Orchestrator.
•
L'utente è membro di almeno un gruppo locale di dominio o globale di dominio mappato a un set di
autorizzazioni ePolicy Orchestrator.
Strategie di autenticazione e autorizzazione Windows
È possibile seguire diversi approcci per la pianificazione della registrazione dei server LDAP. Se si
prevede un tempo sufficiente per la pianificazione della strategia di registrazione dei server, sarà
possibile ottenere il risultato corretto al primo tentativo e ridurre eventuali problemi di autenticazione
degli utenti.
In teoria questo processo viene eseguito solo una volta e va modificato solo se la topologia di rete
complessiva subisce modifiche. Una volta che i server sono registrati e l'autenticazione Windows è
configurata, non dovrebbe essere necessario modificare tali impostazioni molto spesso.
Differenza tra autenticazione e autorizzazione
L'autenticazione implica la verifica dell'identità di un utente. Il processo consiste nel verificare la
corrispondenza tra le credenziali fornite dall'utente e un elemento considerato autentico. Potrebbe
trattarsi di un account del server di McAfee ePO, delle credenziali Active Directory o di un certificato.
Se si desidera utilizzare l'autenticazione Windows, è necessario esaminare il modo in cui sono
organizzati i domini (o server) contenenti gli account utente.
L'autorizzazione è la fase successiva alla verifica delle credenziali dell'utente, nella quale si applicano i
set di autorizzazioni e si stabiliscono le operazioni che l'utente può eseguire nel sistema. Quando si
utilizza l'autenticazione Windows, è possibile determinare ciò che gli utenti di domini diversi sono
autorizzati a fare. Ciò avviene allegando set di autorizzazioni a gruppi contenuti all'interno dei domini.
44
Guida del prodotto
Account utente
5
Topologia di rete con account utente
L'impegno necessario per configurare in modo completo l'autenticazione e l'autorizzazione Windows
dipende dalla topologia di rete e dalla distribuzione degli account utente nella rete.
•
Se le credenziali dei potenziali utenti sono tutte in un piccolo set di domini (o server) contenuti in
una sola struttura di domini, è sufficiente registrare la radice della struttura.
•
Se gli account utente sono diffusi, sarà necessario registrare un certo numero di server o domini.
Stabilire il numero minimo di sottostrutture di domini (o server) necessari e registrarne le radici.
Cercare di registrarle nell'ordine in cui verranno utilizzate di più. Poiché il processo di
autenticazione procede verso il basso nell'elenco di domini (o server), se i domini utilizzati con
maggiore frequenza occupano la parte superiore dell'elenco, l'autenticazione sarà mediamente più
efficace.
Struttura delle autorizzazioni
Affinché gli utenti possano accedere a un server di McAfee ePO mediante l'autenticazione Windows, è
necessario allegare un set di autorizzazioni al gruppo Active Directory al quale appartiene il loro
account sul relativo dominio. Nel determinare la modalità di assegnazione dei set di autorizzazioni,
tenere presenti le funzionalità seguenti:
•
I set di autorizzazioni possono essere assegnati a più gruppi di Active Directory.
•
I set di autorizzazioni possono essere assegnati dinamicamente solo a un gruppo di Active
Directory completo, non soltanto ad alcuni utenti del gruppo.
Se è necessario assegnare autorizzazioni speciali a un singolo utente, creare un gruppo di Active
Directory ad hoc nel quale è contenuto solo tale utente.
Attivazione dell'autenticazione Windows nel server di McAfee ePO
Per poter utilizzare un livello più avanzato di autenticazione Windows, è necessario preparare il server.
Per attivare la pagina Autenticazione Windows nelle impostazioni del server, è innanzitutto necessario
arrestare il servizio ePolicy Orchestrator. Questa attività deve essere eseguita sul server McAfee ePO.
Attività
1
Dalla console del server selezionare Start | Impostazioni | Pannello di controllo | Strumenti di Amministrazione
2
Selezionare Servizi.
3
Nella finestra Servizi fare clic con il pulsante destro del mouse su McAfee ePolicy Orchestrator Applications
Server e scegliere Arresta.
4
Rinominare Winauth.dll in Winauth.bak.
In un'installazione predefinita questo file si trova in C:\Programmi\McAfee\ePolicy Orchestrator
\Server\bin.
5
Riavviare il server.
Alla successiva apertura della pagina Impostazioni del server viene visualizzata un'opzione Autenticazione
Windows.
Guida del prodotto
45
5
Account utente
Configurazione dell'autenticazione Windows
Esistono diversi metodi per utilizzare le credenziali degli account Windows esistenti in ePolicy
Orchestrator.
Prima di iniziare
È necessario preparare il server per l'autenticazione Windows.
La modalità di configurazione di queste impostazioni deve tener conto dei diversi fattori indicati di
seguito.
•
Eventuale utilizzo di più controller di dominio.
•
Eventuale dislocazione degli utenti in più domini.
•
Eventuale utilizzo di un server WINS per individuare il dominio per il quale gli utenti si stanno
autenticando.
In assenza di configurazioni speciali gli utenti possono autenticarsi con le credenziali Windows per il
dominio cui appartiene il server di McAfee ePO o per qualsiasi dominio che presenti una relazione di
affidabilità bidirezionale con il dominio del server di McAfee ePO. Se il dominio include utenti che non
soddisfano tali criteri, è necessario configurare l'autenticazione Windows.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, quindi selezionare Autenticazione Windows
dall'elenco Categorie di impostazioni.
2
Fare clic su Modifica.
3
Specificare se si desidera utilizzare uno o più domini, uno o più controller di dominio o un server
WINS.
I domini devono essere specificati in formato DNS, ad esempio internaldomain.com. I controller di
dominio e i server WINS devono presentare nomi dominio completi, quale dc.internaldomain
.com.
E' possibile specificare più domini o controller di dominio, ma un solo server WINS. Fare clic su + per
aggiungere altri domini o controller di dominio all'elenco.
4
Fare clic su Salva al termine dell'aggiunta dei server.
Se si specificano domini o controller di dominio, il server di McAfee ePO tenta di autenticare gli utenti
con i server nell'ordine in cui sono elencati partendo dal primo server dell'elenco e continuando verso il
basso fino a quando l'autenticazione non ha esito positivo.
Configurazione dell'autorizzazione Windows
Gli utenti che tentano di accedere a un server McAfee ePO con autenticazione Windows devono
disporre di un set di autorizzazioni assegnato a uno dei gruppi di Active Directory.
Attività
46
1
Fare clic su Menu | Gestione degli utenti | Set di autorizzazioni.
2
Scegliere un set di autorizzazioni esistente dall'elenco Set di autorizzazioni e fare clic su Modifica nella
sezione Nome e utenti o fare clic su Azioni | Nuovo.
3
Selezionare i singoli utenti cui si applica il set di autorizzazioni.
Guida del prodotto
4
Selezionare un Nome server dall'elenco e fare clic su Aggiungi.
5
Nel browser LDAP spostarsi tra i gruppi e selezionare quelli cui si applica il set di autorizzazioni.
5
Se si seleziona un elemento nel riquadro Sfoglia, vengono visualizzati i membri relativi nel riquadro
Gruppi. È possibile selezionare un numero qualsiasi di gruppi per la ricezione dinamica del set di
autorizzazioni. È possibile aggiungere solo i membri di un elemento alla volta. Per aggiungerne un
numero superiore, ripetere i passaggi 4 e 5 in base alle esigenze.
6
Fare clic su Salva.
Il set di autorizzazioni viene applicato a tutti gli utenti dei gruppi specificati, che accedono al server
mediante l'autenticazione Windows.
Formati supportati per nomi utente e password
Esaminare i formati supportati riportati di seguito quando si creano nomi utente e password per i
database SQL.
Sono supportati tutti i caratteri stampabili del set di caratteri ISO8859-1, con le seguenti eccezioni.
Piattaforma
Caratteri non supportati per i nomi utente e le password
McAfee ePO
• Spazi iniziali, spazi finali o password che contengono soli spazi
• Virgolette doppie (")
• Barre rovesciate iniziali (\)
• Due punti nei nomi utente (:)
• Punto e virgola nei nomi utente (;)
Pagina File di input (Strumento di importazione assegnazione
di policy)
Individuare il file XML contenente le assegnazioni di policy da importare.
Tabella 5-1 Definizioni delle opzioni
Opzione
Definizione
File da importare Specifica il file di assegnazione di policy XML da importare. Fare clic su Sfoglia per
selezionare il file.
I client possono utilizzare un certificato digitale come credenziali di autenticazione quando accedono a
un server diMcAfee ePO.
Sommario
Quando utilizzare l'autenticazione del certificato client
Configurazione dell'autenticazione del certificato client di ePolicy Orchestrator
Disattivazione dell’autenticazione basata sul certificato del server di McAfee ePO
Disattivazione dell’autenticazione del certificato client del server di McAfee ePO
Configurazione degli utenti per l'autenticazione mediante certificato
Aggiornamento del file CRL
Problemi relativi all'autenticazione del certificato client
Certificati SSL
Creazione di un certificato autofirmato con OpenSSL
Altri comandi OpenSSL utili
Guida del prodotto
47
5
Conversione di un file PVK esistente in un file PEM
Quando utilizzare l'autenticazione del certificato client
L'autenticazione del certificato client è il metodo più sicuro disponibile, ma non sempre è la scelta
migliore per tutti gli ambienti.
L'autenticazione del certificato client è un'estensione dell'autenticazione della chiave pubblica. Di base
vengono utilizzate le chiavi pubbliche ma rispetto all'autenticazione mediante chiave pubblica è
necessario solo riconoscere come affidabile una terza parte nota come autorità di certificazione (o CA).
I certificati sono documenti digitali che contengono una combinazione di informazioni di identità e
chiavi pubbliche e sono firmati digitalmente dall'autorità di certificazione che verifica la precisione delle
informazioni.
Vantaggi dell'autenticazione mediante certificato
La certificazione basata sul certificato presenta un certo numero di vantaggi rispetto all'autenticazione
basata su password:
•
I certificati hanno una durata predefinita. Ciò impone un riesame periodico delle autorizzazioni di
un utente quando il relativo certificato scade.
•
Se l'accesso di un utente deve essere sospeso o terminato, il certificato può essere aggiunto a un
elenco di revoche di certificati, o CRL, che viene controllato a ogni tentativo di accesso per impedire
l'accesso non autorizzato.
•
L'autenticazione mediante certificato è più facilmente gestibile e scalabile nelle grandi
organizzazioni rispetto ad altre forme di autenticazione poiché devono essere considerate affidabili
solo poche autorità di certificazione, spesso solo una.
Svantaggi dell'autenticazione mediante certificato
L'autenticazione mediante certificato non è indicata per tutti gli ambienti. Tra gli svantaggi di questo
metodo figurano i seguenti:
•
È necessaria un'infrastruttura a chiavi pubbliche, cosa che può significare costi aggiuntivi talvolta
non giustificati dalla maggiore sicurezza conseguita.
•
Richiede ulteriori attività per la gestione dei certificati rispetto all'autenticazione basata su
password.
Configurazione dell'autenticazione del certificato client di
Perché gli utenti possano accedere con l'autenticazione mediante certificato, è necessario che ePolicy
Orchestrator sia configurato correttamente.
Prima di iniziare
È necessario disporre già di un certificato firmato, ricevuto in formato P7B, PKCS12, DER o
PEM.
Attività
48
1
Fare clic su Menu | Configurazione | Impostazioni del server.
2
Selezionare Autenticazione basata su certificato e fare clic su Modifica.
3
Selezionare Attiva autenticazione basata su certificato.
4
Fare clic su Sfoglia accanto a Certificato CA per certificato client (P7B, PEM).
Guida del prodotto
5
5
Cercare e selezionare il file del certificato, quindi fare clic su OK.
6
Nel caso di un file CRL (Certificate Revoked List), fare clic su Sfoglia accanto a questa casella di modifica,
passare al file CRL, quindi fare clic su OK.
7
Fare clic su Salva per salvare tutte le modifiche.
8
Riavviare ePolicy Orchestrator per attivare l'autenticazione mediante certificato.
Disattivazione dell’autenticazione basata sul certificato del
server di McAfee ePO
Per le connessioni SSL i server richiedono i certificati, che forniscono maggiore sicurezza rispetto alle
sessioni HTTP standard.
Prima di iniziare
Per caricare un certificato firmato, è necessario avere già ricevuto un certificato del server
da un'autorità di certificazione.
È possibile creare certificati autofirmati anziché utilizzare certificati firmati esternamente, sebbene
questa procedura comporti un rischio lievemente superiore. Questa attività può essere utilizzata per
configurare inizialmente l'autenticazione basata sul certificato o per modificare una configurazione
esistente con un certificato caricato.
Attività
1
2
3
Selezionare Attiva autenticazione basata su certificato.
4
Fare clic su Sfoglia accanto a Certificato CA per certificato client. Individuare e selezionare il file del
certificato e fare clic su OK.
Dopo avere applicato un file, il prompt cambia in Sostituisci certificato CA corrente.
5
Se è stato fornito un file del certificato PKCS12, immettere una password.
6
Se si desidera fornire un file Elenco certificati revocati (CRL, Certificate Revoked List), fare clic su
Sfoglia accanto a File Elenco certificati revocati (PEM). Individuare e selezionare il file CRL e fare clic su OK.
Il file CRL deve presentarsi nel formato PEM.
7
Selezionare le impostazioni avanzate desiderate.
8
9
Riavviare il server per attivare le modifiche alle impostazioni dell'autenticazione basata sul
certificato.
Guida del prodotto
49
5
Disattivazione dell’autenticazione del certificato client del
server di McAfee ePO
I certificati del server possono e devono essere disattivati se non più utilizzati.
Prima di iniziare
Per poter disattivare i certificati del server, è necessario ce il server sia stato già configurato
per l'autenticazione dei certificati.
Una volta caricato un certificato del server, è solo possibile disattivarlo ma non rimuoverlo.
Attività
1
Aprire la pagina Impostazioni del server selezionando Menu | Configurazione | Impostazioni del server.
2
3
Deselezionare Attiva autenticazione basata su certificato, quindi fare clic su Salva.
Le impostazioni del server sono state modificate, ma è necessario riavviare il server per completare la
modifica della configurazione.
Configurazione degli utenti per l'autenticazione mediante
certificato
Per poter effettuare l'autenticazione con il proprio certificato digitale, gli utenti devono essere
configurati per l'autenticazione mediante certificato.
I certificati utilizzati per l'autenticazione dell'utente vengono in genere acquisiti con una smart card o
un dispositivo simile. Il software incluso nell'hardware della smart card consente di estrarre il file del
certificato. Il file estratto in questione è in genere quello che viene caricato in questa procedura.
Attività
1
Fare clic su Menu | Gestione degli utenti | Utenti.
2
Selezionare un utente e fare clic su Azioni | Modifica.
3
Selezionare Modifica autenticazione o credenziali, quindi Autenticazione basata su certificato.
4
Utilizzare uno di questi metodi per fornire le credenziali.
•
Copiare il campo Nome distinto dal file del certificato e incollarlo nella casella di modifica Campo
Nome distinto oggetto certificato personale.
•
Caricare il file del certificato firmato utilizzando l'autorità di certificazione caricata nella sezione
Configurazione dell'autenticazione del certificato di ePolicy Orchestrator. Fare clic su Sfoglia,
cercare e selezionare il file del certificato sul computer, quindi fare clic su OK.
I certificati utente possono presentare codifica PEM o DER. Il formato del certificato effettivo non è
importante, purché sia conforme a X.509 o PKCS12.
5
Fare clic su Salva per salvare le modifiche alla configurazione dell'utente.
Vengono verificate le informazioni sul certificato specificate e, se non risultano valide, viene generato
un avviso. Da questo punto in poi, quando l'utente tenta di accedere a ePolicy Orchestrator da un
browser per cui è stato installato il certificato dell'utente, il modulo di accesso risulta disattivato e
l'utente viene autenticato immediatamente.
50
Guida del prodotto
5
Aggiornamento del file CRL
E' possibile aggiornare il file CRL (Certificate Revoked List, Elenco certificati revocati) installato nel
server di McAfee ePO per arrestare l'accesso a ePolicy Orchestrator da parte di utenti specifici.
Prima di iniziare
È necessario disporre già di un file CRL in formato ZIP o PEM.
Il file CRL è un elenco degli utenti di ePolicy Orchestrator con accesso revocato in cui è indicato anche
lo stato del relativo certificato digitale. L'elenco comprende certificati revocati, motivi della revoca,
date di rilascio del certificato e autorità di emissione. Quando un utente tenta di accedere al server di
McAfee ePO, viene verificato il file CRL, in base al quale viene consentito o negato l'accesso all'utente
in questione.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni server.
2
3
Per aggiornare il file Certificate Revoked List, fare clic su Sfoglia accanto a questa casella di modifica,
selezionare il file CRL, quindi fare clic su OK.
4
5
Riavviare ePolicy Orchestrator per attivare l'autenticazione mediante certificato.
Per aggiornare il file CRL è anche possibile utilizzare la riga di comando cURL. Alla riga di comando
cURL digitare ad esempio quanto segue.
Per eseguire comandi cURL dalla riga di comando, è necessario che cURL sia installato e che si
disponga dell'accesso remoto al server di McAfee ePO. Per informazioni dettagliate sul download di
cURL e altri esempi, vedere Guida alla redazione di script di ePolicy Orchestrator 5.0.0.
curl -k --cert <cert_amm>.pem --key <chiave_amm>.pem https://<localhost>:<porta>/
remote/console.cert.updatecrl.do -F crlFile=@<crls>.zip
In questo comando:
•
<cert_amm>: nome del file .PEM del certificato client dell'amministratore
•
<chiave_amm>: nome del file .PEM della chiave privata client dell'amministratore
•
<localhost>:<porta>: nome del server di McAfee ePO e numero di porta della comunicazione
•
<crls>: nome del file CRL in formato zip o PEM
A questo punto, il nuovo file CRL viene verificato ogni volta che un utente accede al server di McAfee
ePO per confermare che l'autenticazione del certificato non sia stata revocata.
Problemi relativi all'autenticazione del certificato client
La maggior parte dei problemi di autenticazione dei certificati è provocata da un numero limitato di
circostanze.
Se un utente non è in grado di accedere a ePolicy Orchestrator con il certificato, provare una delle
opzioni seguenti per risolvere il problema:
•
Verificare che l'utente non sia stato disattivato.
•
Verificare che il certificato non sia scaduto o revocato.
•
Verificare che il certificato sia firmato dall'autorità di certificazione corretta.
Guida del prodotto
51
5
•
Verificare che il campo Nome distinto sia corretto nella pagina di configurazione dell'utente.
•
Verificare che il browser fornisca il certificato corretto.
•
Cercare nel registro di verifica eventuali messaggi di autenticazione.
Certificati SSL
I browser supportati da McAfee ePO visualizzano un avviso relativo al certificato SSL di un server se
non possono verificare che sia valido o firmato da una fonte ritenuta affidabile. Per impostazione
predefinita, il server di McAfee ePO utilizza un certificato auto-firmato per la comunicazione SSL con il
browser web che non lo ritiene affidabile. Ciò causa la visualizzazione di un messaggio di avviso ogni
volta che si visita la console McAfee ePO.
Per impedire la visualizzazione di tale messaggio di avviso è necessario effettuare una delle seguenti
operazioni:
•
Aggiungere il certificato del server di McAfee ePO alla raccolta di certificati affidabili utilizzati dal
browser.
Questa operazione deve essere eseguita per ogni browser che interagisce con McAfee ePO. Se il
certificato del browser cambia, è necessario aggiungere di nuovo il certificato del server di McAfee
ePO poiché il certificato inviato dal server non corrisponde più a quello per il quale il browser è stato
configurato.
•
Sostituire il certificato del server di McAfee ePO predefinito con uno valido firmato da un'autorità di
certificazione (CA) considerata affidabile dal browser. Questa è l'opzione ideale. Poiché il certificato
è firmato da un'autorità di certificazione affidabile, non è necessario aggiungerlo a tutti i browser
web dell'organizzazione.
Se il nome host del server cambia, è necessario sostituire il certificato del server con un certificato
diverso, firmato anch'esso da un'autorità di certificazione affidabile.
Per sostituire il certificato del server di McAfee ePO, è necessario prima ottenerne uno possibilmente
firmato da una CA affidabile. È necessario ottenere anche la chiave privata del certificato e la
password (se prevista). Quindi è possibile utilizzare tutti questi file per sostituire il certificato del
server. Per ulteriori informazioni sulla sostituzione dei certificati dei server, vedere Chiavi di sicurezza e
relativo funzionamento.
Il browser McAfee ePO prevede l'utilizzo di file collegati con il seguente formato:
•
Certificato del server: P7B o PEM
•
Chiave privata: PEM
Se il formato del certificato del server o della chiave privata è diverso, deve essere convertito in uno
dei formati supportati prima che certificato o chiave possano essere utilizzare per sostituire il
certificato del server.
Sostituzione del certificato del server
È possibile specificare il certificato del server e la chiave privata utilizzati in ePolicy Orchestrator da
Impostazioni server.
Attività
52
1
Fare clic su Menu | Configurazione | Impostazioni del server, quindi fare clic su Certificato del server nell'elenco
Categorie di impostazioni.
2
Fare clic su Modifica. Verrà visualizzata la pagina Modifica certificato del server.
Guida del prodotto
3
Individuare il file del certificato del server e fare clic su Apri.
4
Individuare il file della chiave privata e fare clic su Apri.
5
Se necessario, digitare la password della chiave privata.
6
Fare clic su Salva.
5
Dopo l'applicazione del nuovo certificato e della chiave privata, è necessario riavviare ePolicy
Orchestrator per rendere effettiva la modifica.
Installazione del certificato di sicurezza quando si utilizza Internet
Explorer
È possibile impedire la visualizzazione del prompt del certificato a ogni accesso installando il certificato
di sicurezza.
Attività
1
Dal browser in uso, avviare ePolicy Orchestrator. Viene visualizzata la pagina Errore certificato:
navigazione bloccata.
2
Fare clic su Continuare con il sito Web (scelta non consigliata) per aprire la pagina di accesso. La barra degli
indirizzi è rossa, a indicare che non è possibile per il browser verificare il certificato di sicurezza.
3
A destra della barra degli indirizzi, fare clic su Errore certificato per visualizzare l'avviso Certificato non
valido.
4
Nella parte inferiore dell'avviso fare clic su Visualizza certificati per aprire la finestra di dialogo Certificato.
Non fare clic su Installa certificato nella scheda Generale, perché così facendo il processo non riuscirà.
5
Selezionare la scheda Percorso certificazione, quindi selezionare Orion_CA_<nomeserver> e fare clic su
Visualizza certificato. Dalla scheda Generale verrà aperta un'altra finestra di dialogo, in cui sono
visualizzate le informazioni sul certificato.
6
Fare clic su Installa certificato per aprire la procedura guidata per l’importazione dei certificati.
7
Fare clic su Avanti per specificare il percorso in cui è memorizzato il certificato.
8
Selezionare Mettere tutti i certificati nel seguente archivio, quindi fare clic su Sfoglia per selezionare un
percorso.
9
Selezionare la cartella Autorità di certificazione principale attendibili nell'elenco, quindi fare clic su OK e infine
su Avanti.
10 Fare clic su Fine. Se viene visualizzata un'avvertenza di protezione, fare clic su Sì.
11 Chiudere il browser.
12 Modificare la destinazione del collegamento sul desktop ePolicy Orchestrator in modo da utilizzare il
nome NetBIOS del server di McAfee ePO anziché "localhost."
13 Riavviare ePolicy Orchestrator.
Quando si esegue l’accesso a ePolicy Orchestrator, non verrà più chiesto di accettare il certificato.
Guida del prodotto
53
5
Installazione del certificato di sicurezza quando si utilizza Firefox 3.5 o
versioni successive
È possibile installare il certificato di sicurezza quando si utilizza Firefox 3.5 o versioni successive, per
evitare che venga visualizzata la finestra di dialogo di avviso ogni volta che si esegue l'accesso.
Attività
1
Dal browser in uso avviare ePolicy Orchestrator. Viene visualizzata la pagina Connessione protetta
non riuscita.
2
Fare clic su O aggiungere un'eccezione nella parte inferiore della pagina. Nella pagina sarà ora
visualizzato il pulsante Aggiungi eccezione.
3
Fare clic su Aggiungi eccezione. Viene visualizzata la finestra di dialogo Aggiungi eccezione sicurezza.
4
Fare clic su Ottieni certificato. Vengono inserite le informazioni del campo Stato certificato e viene
attivato il pulsante Conferma eccezione sicurezza.
5
Assicurarsi che Permanently store this exception (Archivia in modo permanente questa eccezione) sia
selezionato, quindi fare clic su Confirm Security Exception (Conferma eccezione sicurezza).
Quando si esegue l'accesso a ePolicy Orchestrator, non viene più chiesto di accettare il certificato.
Creazione di un certificato autofirmato con OpenSSL
In alcuni casi non è possibile o non si desidera attendere l'autenticazione di un certificato da parte di
un'autorità di certificazione. Un certificato autofirmato può offrire la funzionalità e la sicurezza di base
necessarie durante i test iniziali o per i sistemi utilizzati nelle reti interne.
Prima di iniziare
Per creare un certificato auto-firmato, è necessario installare il software OpenSSL per
Windows, disponibile al seguente indirizzo:
http://www.slproweb.com/products/Win32OpenSSL.html
Per creare un certificato auto-firmato da utilizzare con il server di McAfee ePO, utilizzare il software
OpenSSL per Windows.
Sono disponibili diversi strumenti che è possibile utilizzare per creare un certificato auto-firmato. Questa
attività descrive il processo in cui viene utilizzato OpenSSL.
La struttura dei file utilizzata nella seguente attività è:
OpenSSL non crea le seguenti cartelle per impostazione predefinita. Esse vengono utilizzate in questi
esempi e possono essere create per consentire l'individuazione dei file di output.
54
•
C:\ssl\: cartella di installazione di OpenSSL
•
C:\ssl\certs\: utilizzata per memorizzare i certificati creati
Guida del prodotto
•
C:\ssl\keys\: utilizzata per memorizzare le chiavi create
•
C:\ssl\requests\: utilizzata per memorizzare le richieste di certificazione create.
5
Attività
1
Per generare la chiave di certificato iniziale, digitare il seguente comando alla riga di comando:
C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 1024
Viene visualizzata la schermata seguente.
2
Immettere una passphrase al prompt dei comandi iniziale e verificarla nel secondo prompt.
Annotare la passphrase specificata. Servirà in un momento successivo.
Viene generato il file ca.key che viene memorizzato nel percorso C:\ssl\keys\.
La chiave sarà simile a quella dell'esempio seguente.
3
Per apporre la firma automatica alla chiave di certificato creata, digitare il comando seguente alla
riga di comando:
openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer
Viene visualizzata la schermata seguente.
Guida del prodotto
55
5
Digitare le informazioni necessarie dopo i prompt dei comandi seguenti:
•
Country Name (2 letter code) [AU]:
•
State or Province Name (full name) [Some-State]:
•
Locality Name (eg, city) []:
•
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
•
Organizational Unit Name (eg, section) []:
•
Common Name (eg, YOUR name) []:
A questo prompt digitare il nome del server, ad esempio il nome del server di McAfee ePO.
•
Email Address []:
Il file denominato ca.cer viene generato e memorizzato nel percorso C:\ssl\certs\.
Il certificato autofirmato sarà simile a quello dell'esempio seguente.
Per richiedere la creazione di un certificato firmato da terze parti, ad esempio dall’autorità di
certificazione VeriSign o Microsoft Windows Enterprise, per ePolicy Orchestrator, consultare l'articolo
della KnowledgeBase KB72477.
4
56
Caricare e gestire il certificato nel server di McAfee ePO.
Guida del prodotto
5
Altri comandi OpenSSL utili
È possibile utilizzare altri comandi OpenSSL per estrarre e combinare le chiavi nei certificati PKCS12
generati e per convertire un file PEM di chiave privata protetto da password in un file non protetto da
password.
Comandi da utilizzare con i certificati PKCS12
Utilizzare i comandi seguenti per creare un certificato PKCS12 includendo in un unico file il certificato e
la chiave.
Descrizione
Formato del comando OpenSSL
Creare un certificato e una chiave in
un unico file
openssl req -x509 -nodes -days 365 -newkey rsa:
1024 -config path \openssl.cnf -keyout path
\pkcs12Example.pem -out path \pkcs12Example.pem
Esportare la versione PKCS12 del
certificato
openssl pkcs12 -export -out path
\pkcs12Example.pfx -in path \pkcs12Example.pem -name
" user_name_string "
Utilizzare i comandi seguenti per separare il certificato e la chiave uniti in un certificato PKCS12.
Descrizione
Formato del comando OpenSSL
Estrae la chiave .pem da .pfx openssl pkcs12 -in pkcs12ExampleKey.pfx -out
pkcs12ExampleKey.pem
Rimuove la password dalla
chiave
openssl rsa -in pkcs12ExampleKey.pem -out
pkcs12ExampleKeyNoPW.pem
Il server di ePolicy Orchestrator può quindi utilizzare
pkcs12ExampleCert.pem come certificato e pkcs12ExampleKey.pem
come chiave (o la chiave senza password
pkcs12ExampleKeyNoPW.pem).
Comando per convertire un file PEM di chiave privata protetto da password
Per convertire un file PEM di chiave privata protetto da password in un file non protetto da password,
digitare:
openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem
Nell'esempio precedente "C:\ssl\keys" costituisce i percorsi di input e di output dei nomi file "key.pem"
e "keyNoPassword.pem".
Conversione di un file PVK esistente in un file PEM
Il browser di ePolicy Orchestrator supporta le chiavi private con codifica PEM, in cui sono incluse sia
quelle protette che quelle non protette da password. Utilizzando OpenSSL è possibile convertire una
chiave in formato PVK nel formato PEM.
Prima di iniziare
Per convertire il file in formato PVK, installare il software OpenSSL per Windows, disponibile
al seguente indirizzo:
http://www.slproweb.com/products/Win32OpenSSL.html
Utilizzando il software OpenSSL per Windows convertire il certificato in formato PVK nel formato PEM.
Guida del prodotto
57
5
Attività
1
Per convertire un file PVK creato in precedenza in un file PEM, digitare quanto segue alla riga di
comando.
openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl
\keys\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd
Nell'esempio precedente gli argomenti -passin e passout sono facoltativi.
2
Se richiesto, digitare la password utilizzata quando è stato originariamente creato il file PVK.
Se nell'esempio precedente non è stato utilizzato l'argomento -passout, la chiave in formato PEM
appena creata non è protetta da password.
I set di autorizzazioni controllano il livello di accesso di cui dispongono gli utenti per le funzionalità
disponibili nel prodotto software.
Anche nelle più piccole installazioni di ePolicy Orchestrator è necessario specificare e controllare
l'accesso degli utenti alle varie parti del sistema.
Sommario
Interazione tra utenti, gruppi e set di autorizzazioni
Utilizzo di set di autorizzazioni
Interazione tra utenti, gruppi e set di autorizzazioni
L'accesso agli elementi di ePolicy Orchestrator è controllato dalle interazioni tra gli utenti, i gruppi e i
set di autorizzazioni.
Utenti
Gli utenti rientrano in due categorie generali, ovvero quella degli amministratori, che dispongono di
diritti completi in tutto il sistema, e quella degli utenti normali, cui è possibile assegnare qualsiasi
numero di set di autorizzazioni per definire i relativi livelli di accesso all'interno di ePolicy Orchestrator.
Gli account utente possono essere creati e gestiti in diversi modi. È possibile:
•
creare gli account utente manualmente, quindi assegnare a ogni account un set di autorizzazioni
appropriato;
•
Configurare il server di McAfee ePO in modo da consentire agli utenti di accedervi con
l’autenticazione Windows.
La possibilità di consentire agli utenti di accedere utilizzando le credenziali Windows è una funzionalità
avanzata che richiede la configurazione e la specifica di più impostazioni e componenti. Per ulteriori
informazioni su questa opzione, vedere Gestione degli utenti di ePolicy Orchestrator con Active
Directory.
Sebbene gli account utente e i set di autorizzazioni siano strettamente correlati, vengono creati e
configurati mediante passaggi separati. Per ulteriori informazioni sui set di autorizzazioni, vedere
Gestione dei set di autorizzazioni.
Amministratori
58
Guida del prodotto
5
Gli amministratori dispongono di autorizzazioni per la scrittura e la lettura, nonché di diritti per
eseguire tutte le operazioni. Quando si installa il server, viene creato automaticamente un account di
amministratore. Per impostazione predefinita, il nome utente relativo a tale account è admin. Se
durante l'installazione si modifica il valore predefinito, l'account viene denominato in modo adeguato.
È possibile creare account di amministratore aggiuntivi per gli utenti che richiedono i diritti
corrispondenti.
Le autorizzazioni esclusive degli amministratori includono:
•
creazione, modifica ed eliminazione dei siti di origine e di fallback.
•
modifica delle impostazioni del server;
•
aggiunta ed eliminazione degli account utente;
•
aggiunta, eliminazione e assegnazione di set di autorizzazioni;
•
importazione di eventi nei database di ePolicy Orchestrator e limitazione degli eventi archiviati in
tali database.
Gruppi
Ai gruppi vengono assegnati rapporti e query. Ogni gruppo può essere privato (esclusivo di un utente),
pubblico globale (o condiviso), oppure condiviso con uno o più set di autorizzazioni.
In un set di autorizzazioni viene definito un determinato profilo di accesso, che in genere prevede la
combinazione dei livelli di accesso a diverse parti di ePolicy Orchestrator. Un singolo set di
autorizzazioni può ad esempio garantire la possibilità di leggere il registro di verifica, utilizzare
dashboard pubbliche e condivise, nonché creare e modificare query o rapporti pubblici.
I set di autorizzazioni possono essere assegnati a singoli utenti oppure, se si utilizza Active Directory,
a tutti gli utenti di server Active Directory specifici.
Utilizzo di set di autorizzazioni
È possibile controllare l'accesso utente, nonché creare e modificare i set di autorizzazioni dalla pagina
Set di autorizzazioni.
Attività
•
Gestione dei set di autorizzazioni a pagina 59
Nella pagina Set di autorizzazioni è possibile controllare l’accesso degli utenti, modificare,
esportare e importare set di autorizzazioni.
•
Esportazione e importazione di set di autorizzazioni a pagina 61
Una volta definiti tutti i set di autorizzazioni, il modo più rapido per eseguirne la migrazione
in altri server di McAfee ePO consiste nell'esportarli e importarli in altri server.
Gestione dei set di autorizzazioni
Nella pagina Set di autorizzazioni è possibile controllare l’accesso degli utenti, modificare, esportare e
importare set di autorizzazioni.
Una volta definiti completamente i set di autorizzazioni, il modo più rapido per eseguirne la migrazione
in altri server McAfee ePO consiste nell’esportarli e importarli in altri server.
Guida del prodotto
59
5
Attività
1
Aprire la pagina Set di autorizzazioni: fare clic su Menu | Gestione degli utenti | Set di autorizzazioni.
2
Azione
Passaggi
Creazione di un
nuovo set di
autorizzazioni
1 Fare clic su Azioni | Nuovo.
2 Digitare un nome per il nuovo set di autorizzazioni.
In ePolicy Orchestrator non è possibile utilizzare un nome esistente. Il nome
di ogni set di autorizzazioni deve essere infatti univoco.
3 Per assegnare immediatamente utenti specifici a questo set di
autorizzazioni, selezionare i rispettivi nomi utente nella sezione Utenti.
4 Se si desidera mappare tutti gli utenti di eventuali gruppi di Active Directory
a questo set di autorizzazioni, selezionare il server nell'elenco a discesa Nome
server e fare clic su Aggiungi.
5 Se si desidera rimuovere eventuali server Active Directory aggiunti,
selezionarli nella casella di riepilogo Active Directory e fare clic su Rimuovi.
6 Fare clic su Salva per creare il set di autorizzazioni.
Il set di autorizzazioni è stato creato ma a esso non sono ancora state
assegnate autorizzazioni.
Modifica di un set
di autorizzazioni
esistente
1 Selezionare un set di autorizzazioni da modificare. I dettagli relativi al set di
autorizzazioni vengono visualizzati a destra.
Se un set di autorizzazioni è stato creato da poco, risulta selezionato
automaticamente.
2 Selezionare una categoria di autorizzazioni da modificare facendo clic su
Modifica nella riga corrispondente.
Verranno visualizzate le opzioni appropriate per le autorizzazioni selezionate.
3 Modificare le autorizzazioni in base alle esigenze e fare clic su Salva.
In questo modo viene eseguita la convalida delle modifiche al set di
autorizzazioni nel database.
Non è necessario fare clic su Salva quando si finisce di modificare il set di
autorizzazioni. Le modifiche vengono salvate automaticamente quando si
modificano le singole categorie. Le modifiche apportate vengono salvate
automaticamente nel sistema e verranno propagate nel resto della rete in
base alla configurazione delle policy.
Duplicazione di
un set di
autorizzazioni.
1 Selezionare nell'elenco Set di autorizzazioni un set di autorizzazioni da duplicare
e fare clic su Azioni | Duplica.
2 Digitare un nuovo nome per il set di autorizzazioni duplicato. Per
impostazione predefinita, ePolicy Orchestrator aggiunge la dicitura (copia) al
nome esistente.
In ePolicy Orchestrator non è possibile utilizzare un nome esistente. Il nome
di ogni set di autorizzazioni deve essere infatti univoco.
3 Fare clic su OK.
Il set di autorizzazioni viene duplicato, ma l'originale risulta ancora selezionato
nell'elenco Set di autorizzazioni.
60
Guida del prodotto
5
Azione
Passaggi
Eliminazione di un 1 Selezionare nell'elenco Set di autorizzazioni il set di autorizzazioni che si desidera
set di
eliminare. I dettagli relativi al set di autorizzazioni vengono visualizzati a
autorizzazioni
destra.
2 Fare clic su Azioni | Elimina, quindi su OK nel riquadro Azione.
Il set di autorizzazioni non viene più visualizzato nell'elenco Set di autorizzazioni.
Esportazione di
un set di
autorizzazioni
1 Selezionare i set di autorizzazioni da esportare.
2 Fare clic su Azioni set di autorizzazioni | Esporta tutto.
Il server di McAfee ePO invia un file XML al browser. Ciò che accade in seguito
dipende dalle impostazioni del browser. Per impostazione predefinita, la
maggior parte dei browser richiede il salvataggio del file.
Il file XML contiene solo ruoli per i quali sia stato definito un livello di
autorizzazione. Se, ad esempio, un determinato set di autorizzazioni non
include autorizzazioni per query e rapporti, nel file non verranno visualizzate
voci.
Importazione di
un set di
autorizzazioni
1 Selezionare i set di autorizzazioni da importare.
2 Fare clic su Sfoglia per passare al file XML contenente il set di autorizzazioni
che si desidera importare e selezionarlo.
3 Indicare se per i set di autorizzazioni si desidera mantenere lo stesso nome
di quello dei set che vengono importati selezionando l'opzione appropriata.
Fare clic su OK.
Se ePolicy Orchestrator non è in grado di individuare un set di autorizzazioni
valido nel file indicato, viene visualizzato un messaggio di errore e il
processo di importazione viene interrotto.
I set di autorizzazioni vengono aggiunti al server e visualizzati nell'elenco Set di
autorizzazioni.
Esportazione e importazione di set di autorizzazioni
Una volta definiti tutti i set di autorizzazioni, il modo più rapido per eseguirne la migrazione in altri
server di McAfee ePO consiste nell'esportarli e importarli in altri server.
Attività
1
Per aprire la pagina dei set di autorizzazioni, fare clic su Menu | Gestione degli utenti | Set di autorizzazioni.
2
Guida del prodotto
61
5
Azione
Passaggi
Esportare un set
di autorizzazioni.
1 Selezionare i set di autorizzazioni da esportare.
2 Fare clic su Azioni set di autorizzazioni | Esporta tutto.
Il file XML contiene solo ruoli per i quali sia stato definito un livello di
autorizzazione. Se, ad esempio, un determinato set di autorizzazioni non
include autorizzazioni per query e rapporti, nel file non verranno visualizzate
voci.
Importare un set
di autorizzazioni.
1 Selezionare i set di autorizzazioni da importare.
2 Fare clic su Sfoglia per passare al file XML contenente il set di autorizzazioni
che si desidera importare e selezionarlo.
3 Indicare se per i set di autorizzazioni si desidera mantenere lo stesso nome
di quello dei set che vengono importati selezionando l'opzione appropriata.
Fare clic su OK.
Se ePolicy Orchestrator non riesce a individuare un set di autorizzazioni
valido nel file indicato, viene visualizzato un messaggio di errore e il
processo di importazione viene arrestato.
I set di autorizzazioni vengono aggiunti al server e visualizzati nell'elenco Set di
autorizzazioni.
62
Guida del prodotto
6
Archivi
Gli archivi contengono i pacchetti software per la sicurezza e i relativi aggiornamenti da distribuire ai
sistemi gestiti.
L'efficacia del software per la sicurezza dipende totalmente dagli ultimi aggiornamenti installati. Se i
file DAT installati non sono ad esempio aggiornati, anche il miglior software antivirus non è in grado di
rilevare le nuove minacce. È fondamentale sviluppare una strategia di aggiornamento affidabile per
mantenere il software per la sicurezza sempre aggiornato.
L'architettura degli archivi ePolicy Orchestrator offre la flessibilità necessaria a semplificare e
automatizzare la distribuzione e l'aggiornamento del software in base alle esigenze dell'ambiente. Una
volta definita l'infrastruttura degli archivi, creare le attività di aggiornamento per determinare la
modalità, la posizione e i tempi di aggiornamento del software.
Sommario
Tipi di archivio e relativo funzionamento
Interazione degli archivi
Prima impostazione degli archivi
Gestione di siti di origine e di fallback
Verifica dell'accesso al sito di origine
Configurazione delle impostazioni per gli aggiornamenti globali
Configurazione delle policy degli agent per l'utilizzo di un archivio distribuito
Utilizzo di SuperAgent come archivi distribuiti
Creazione e configurazione di archivi in server FTP o HTTP e condivisioni UNC
Utilizzo di condivisioni UNC come archivi distribuiti
Utilizzo di archivi distribuiti locali non gestiti
Utilizzo dei file di elenco degli archivi
Per fornire prodotti e aggiornamenti in tutta la rete, il prodotto software ePolicy Orchestrator offre vari
tipi di archivio che costituiscono una solida infrastruttura di aggiornamento. Tali archivi offrono la
flessibilità necessaria per sviluppare una strategia di aggiornamento che garantisce che i sistemi siano
sempre aggiornati.
Archivio principale
Nell'archivio principale sono contenute le ultime versioni di software e aggiornamenti di sicurezza per
l'ambiente. Funge da origine per il resto dell'ambiente.
Per impostazione predefinita in ePolicy Orchestrator si utilizzano le impostazioni proxy di Microsoft
Internet Explorer.
Guida del prodotto
63
6
Archivi
Archivi distribuiti
Negli archivi distribuiti sono contenute copie dell'archivio principale. Prendere in considerazione la
possibilità di utilizzare gli archivi distribuiti dislocandoli in modo strategico nella rete, allo scopo di
consentire l'aggiornamento dei sistemi gestiti riducendo al minimo il traffico della rete, in particolar
modo in presenza di connessioni lente.
Quando si aggiorna l'archivio principale, il contenuto viene replicato negli archivi distribuiti mediante
La replica avviene:
•
automaticamente quando nell'archivio principale vengono depositati tipi di pacchetti specifici,
purché sia attivato l'aggiornamento globale
•
in base a una pianificazione ricorrente con attività di replica
•
manualmente, con l'esecuzione di un'attività Replica ora
In una grande organizzazione sono possibili varie posizioni collegate da connessioni a banda larga a
bassa velocità. Con gli archivi distribuiti è possibile ridurre il traffico dell'aggiornamento in presenza di
connessioni a banda larga a bassa velocità oppure in siti remoti con un numero elevato di sistemi
client. Se si crea un archivio distribuito in una posizione remota e si configurano i sistemi in tale
posizione in modo che si aggiornino dall'archivio distribuito, gli aggiornamenti vengono copiati
attraverso la connessione lenta una sola volta nell'archivio distribuito anziché una volta in ciascun
sistema della posizione remota.
Se è attivato l'aggiornamento globale, gli archivi distribuiti aggiornano i sistemi gestiti in modo
automatico, non appena gli aggiornamenti e i pacchetti selezionati vengono depositati nell'archivio
principale. Le attività di aggiornamento non sono necessarie. Perché l'aggiornamento automatico abbia
luogo, tuttavia, è necessario che i SuperAgent siano in esecuzione nell'ambiente. È comunque
necessario creare e configurare archivi e le attività di aggiornamento.
Se gli archivi distribuiti sono impostati in modo che vengano replicati solo i pacchetti selezionati, il
pacchetto appena depositato viene replicato per impostazione predefinita. Per evitare la replica di un
pacchetto appena depositato, deselezionare il pacchetto da ogni archivio distribuito o disattivare
l'attività di replica prima di depositarlo. Per ulteriori informazioni, vedere Come evitare la replica dei
pacchetti selezionati e Disattivazione della replica dei pacchetti selezionati.
Non configurare gli archivi distribuiti in modo che facciano riferimento alla stessa directory dell'archivio
principale. Se ciò accade, i file dell'archivio principale verranno bloccati dagli utenti dell'archivio
distribuito impedendo le operazioni di pull e deposito dei pacchetti e rendendo inutilizzabile l'archivio
principale.
Sito di origine
Il sito di origine fornisce tutti gli aggiornamenti per l'archivio principale. Il sito di origine predefinito è il
sito di aggiornamento McAfeeHttp ma è possibile cambiarlo o creare più siti di origine se necessario. Si
consiglia di utilizzare i siti di aggiornamento McAfeeHttp o McAfeeFtp come sito di origine.
I siti di origine non sono obbligatori. È possibile scaricare gli aggiornamenti manualmente e depositarli
nell'archivio principale. L'impiego di un sito di origine tuttavia consente di automatizzare il processo.
McAfee pubblica gli aggiornamenti software in tali siti con regolarità, i file DAT ad esempio vengono
pubblicati ogni giorno. Aggiornare l'archivio principale con gli aggiornamenti man mano che vengono
resi disponibili.
Per copiare il contenuto dei siti di origine nell'archivio principale, utilizzare le attività di pull.
64
Guida del prodotto
Archivi
6
Nei siti di aggiornamento di McAfee sono disponibili file di definizione dei rilevamenti (DAT) e file dei
motori di scansione, nonché alcuni language pack. Tutti gli altri pacchetti e aggiornamenti, compresi
service pack e patch, devono essere depositati nell'archivio principale manualmente.
Sito di fallback
Il sito di fallback è un sito di origine attivato come sito di backup, dal quale possono essere recuperati
gli aggiornamenti per i sistemi gestiti quando gli archivi consueti non sono accessibili. In occasione di
interruzioni della connettività di rete o di epidemie di virus, ad esempio, l'accesso al percorso stabilito
può risultare difficile. Pertanto in tali situazioni i sistemi gestiti restano aggiornati. Il sito di fallback
predefinito è il sito di aggiornamento McAfeeHttp. È possibile attivare un solo sito di fallback.
Se per l'accesso alla rete da parte dei sistemi gestiti viene utilizzato un server proxy, è necessario
configurare impostazioni delle policy dell'agent di tali sistemi in modo che per l'accesso al sito di
fallback vengono utilizzati server proxy.
Tipi di archivi distribuiti
Il prodotto software ePolicy Orchestrator supporta quattro tipi di archivi distribuiti. Per scegliere il tipo
di archivio distribuito da utilizzare, prendere in considerazione l'ambiente in uso e le relative esigenze.
Non esiste un limite ai tipi utilizzabili, potrebbe essere necessario sceglierne più di uno a seconda della
rete in uso.
SuperAgent, archivi
Utilizzare sistemi che ospitano SuperAgent come archivi distribuiti. Gli archivi di SuperAgent
presentano vari vantaggi rispetto ad altri tipi di archivi distribuiti:
•
I percorsi delle cartelle vengono creati automaticamente nel sistema host prima che l'archivio
venga aggiunto all'elenco di archivi.
•
Gli archivi dei SuperAgent non richiedono ulteriori repliche o l'aggiornamento delle credenziali: le
autorizzazioni per l'account vengono create nel momento in cui l'agent viene convertito in
SuperAgent.
Sebbene la funzionalità delle chiamate di attivazione in broadcast dei SuperAgent richieda un
SuperAgent in ciascun segmento di broadcasting, non si tratta di un requisito per la funzionalità
dell'archivio del SuperAgent. Per i sistemi gestiti è sufficiente accedere al sistema che ospita
l'archivio.
FTP, archivi
Per ospitare un archivio distribuito è possibile utilizzare un server FTP. Per creare il percorso di una
nuova cartella e di un nuovo sito per l'archivio distribuito, utilizzare un prodotto software per server
FTP, ad esempio Microsoft Internet Information Services (IIS). Per informazioni dettagliate, consultare
la documentazione del server web in uso.
HTTP, archivi
Per ospitare un archivio distribuito è possibile utilizzare un server HTTP. Per creare il percorso di una
nuova cartella e di un nuovo sito per l'archivio distribuito, utilizzare un prodotto software per server
HTTP, ad esempio Microsoft Internet Information Services (IIS). Per informazioni dettagliate,
consultare la documentazione del server web in uso.
Guida del prodotto
65
6
Archivi
condivisione UNC, archivi
Per ospitare un archivio distribuito in un server esistente, è possibile creare una cartella condivisa
UNC. Assicurarsi di attivare la condivisione della cartella nella rete, in modo che sia possibile per il
server di McAfee ePO copiarvi file e per gli agent accedervi per eseguire aggiornamenti.
Per accedere alla cartella, è necessario che siano impostate le autorizzazioni appropriate.
Archivi non gestiti
Qualora non fosse possibile utilizzare archivi distribuiti gestiti, gli amministratori di ePolicy
Orchestrator possono creare e aggiornare archivi distribuiti che non vengono gestiti da ePolicy
Orchestrator.
Se un archivio distribuito non è gestito da ePolicy Orchestrator, l'amministratore locale deve
aggiornarlo manualmente.
Una volta creato l'archivio distribuito, utilizzare ePolicy Orchestrator per configurare sistemi gestiti per
uno specifico gruppo della struttura dei sistemi in modo che si aggiornino al suo interno.
Per informazioni sulla configurazione di sistemi non gestiti, fare riferimento all'argomento
sull'attivazione dell'agent in prodotti McAfee non gestiti per fare in modo che questi interagiscano con
ePolicy Orchestrator .
È consigliabile gestire tutti gli archivi distribuiti con ePolicy Orchestrator. In tal modo, ricorrendo
frequentemente all'aggiornamento globale o ad attività di replica pianificate, si può avere la certezza
che l'ambiente gestito sia aggiornato. Utilizzare archivi distribuiti non gestiti solo se la rete o la policy
dell'organizzazione non consentono l'utilizzo di archivi distribuiti gestiti.
Rami dell'archivio e relative finalità
È possibile utilizzare tre rami dell'archivio ePolicy Orchestrator per gestire fino a tre versioni dei
pacchetti nell'archivio principale e in quelli distribuiti.
I rami dell'archivio sono Corrente, Precedente e Valutazione. Per impostazione predefinita, ePolicy
Orchestrator utilizza solo il ramo Corrente. È possibile specificare altri rami durante l'aggiunta di
pacchetti all'archivio principale, nonché quando si eseguono o si pianificano attività di aggiornamento
e distribuzione, per distribuire versioni diverse in parti differenti della rete.
Le attività di aggiornamento possono recuperare aggiornamenti da qualsiasi ramo dell'archivio ma
quando si archiviano pacchetti nell'archivio principale è necessario selezionare un ramo diverso da
Corrente. Se non è configurato un ramo diverso da Corrente, non verrà visualizzata l'opzione che
consente di selezionarlo.
Per utilizzare i rami Valutazione e Precedente per pacchetti diversi da aggiornamenti, è necessario
configurare appositamente le impostazioni del server Pacchetti in archivio. Gli agent della versione 3.6
e precedenti sono in grado di recuperare pacchetti di aggiornamento solo dai rami Valutazione e
Precedente.
Ramo Corrente
Il ramo Corrente è il ramo dell'archivio principale destinato ai pacchetti e agli aggiornamenti più
recenti. I pacchetti di distribuzione dei prodotti possono essere aggiunti solo al ramo Corrente, a meno
che non sia stato attivato il supporto per gli altri rami.
66
Guida del prodotto
Archivi
6
Ramo Valutazione
Prima di distribuire nuovi aggiornamenti di file DAT e di motore nell'intera organizzazione, può essere
opportuno sottoporli a test in un numero limitato di segmenti della rete. Specificare il ramo
Valutazione durante l'archiviazione di nuovi file DAT e di motore nell'archivio principale, quindi
distribuire i file in pochi sistemi di test. Dopo avere monitorato i sistemi di test per diverse ore, è
possibile aggiungere i nuovi file DAT al ramo Corrente e distribuirli nell'intera organizzazione.
Ramo Precedente
Prima di aggiungere nuovi file DAT e di motore nel ramo Corrente, utilizzare il ramo Precedente per
salvare e archiviare i precedenti. In caso di problemi con i nuovi file DAT o di motore nell'ambiente, si
disporrà di una copia di una versione precedente da ridistribuire nei sistemi se necessario. In ePolicy
Orchestrator viene salvata solo la versione immediatamente precedente di ciascun tipo di file.
È possibile popolare il ramo Precedente selezionando Sposta pacchetto esistente nel ramo Precedente quando si
aggiungono nuovi pacchetti all'Archivio principale. L'opzione è disponibile quando si esegue il pull da
un sito di origine e quando si archiviano manualmente i pacchetti nel ramo Corrente.
File di elenco degli archivi e relativi utilizzi
Nel file di elenco degli archivi (SiteList.xml e SiteMgr.xml) sono contenuti i nomi di tutti gli archivi
gestiti.
Nell'elenco degli archivi sono inclusi il percorso e le credenziali di rete crittografate utilizzati dai sistemi
gestiti per la scelta dell'archivio e il recupero degli aggiornamenti. Il server invia l'elenco degli archivi
all'agent durante la comunicazione agent-server.
Se necessario, è possibile esportare l'elenco degli archivi in file esterni (SiteList.xml o SiteMgr.xml).
Utilizzare un file SiteList.xml esportato per:
•
importare in un agent durante l'installazione
Utilizzare un file SiteMgr.xml esportato per:
•
eseguire backup e ripristino di archivi distribuiti e siti di origine se è necessario reinstallare il server
•
importare gli archivi distribuiti e i siti di origine da una precedente installazione del prodotto
Guida del prodotto
67
6
Archivi
Gli archivi interagiscono in un ambiente per distribuire aggiornamenti e software ai sistemi gestiti. Le
dimensioni e la distribuzione geografica di una rete potrebbero richiedere archivi distribuiti.
Figura 6-1 Distribuzione di pacchetti a sistemi da parte di siti e archivi
1
L'Archivio principale esegue regolarmente il pull dei file di aggiornamento del motore e DAT dal sito
di origine.
2
L'Archivio principale replica i pacchetti negli archivi distribuiti nella rete.
3
I sistemi gestiti della rete recuperano gli aggiornamenti da un archivio distribuito. Se non riescono
ad accedere agli archivi distribuiti o all'archivio principale, recuperano gli aggiornamenti dal sito di
fallback.
Prima impostazione degli archivi
Seguire i passaggi generali riportati di seguito per creare archivi per la prima volta.
1
Decidere i tipi di archivi da utilizzare e i relativi percorsi.
2
Creare e precompilare gli archivi.
È possibile modificare i siti di origine e di fallback predefiniti dalle Impostazioni del server. È ad
esempio possibile modificare impostazioni, eliminare siti di origine e di fallback esistenti o passare
dall'uno all'altro.
Per poter definire, modificare o eliminare siti di origine o di fallback, è necessario ricoprire il ruolo di
amministratore o disporre delle autorizzazioni appropriate.
McAfee consiglia di utilizzare i siti di origine e di fallback predefiniti. Se sono necessari siti differenti, è
possibile crearne di nuovi.
68
Guida del prodotto
Archivi
6
Attività
•
Creazione dei siti di origine a pagina 69
Creare un nuovo sito di origine partendo dalle Impostazioni del server.
•
Scambio di siti di origine e di fallback a pagina 70
Utilizzare Impostazioni del server per modificare i siti di origine e di fallback.
•
Modifica dei siti di origine e di fallback a pagina 70
Utilizzare Impostazioni del server per modificare le impostazioni dei siti di origine o di
fallback, quali l'indirizzo URL, il numero di porta e le credenziali di autenticazione dei
download.
•
Eliminazione dei siti di origine o disattivazione dei siti di fallback a pagina 70
Se un sito di origine o di fallback non viene più utilizzato, eliminarlo o disattivarlo.
Creazione dei siti di origine
Creare un nuovo sito di origine partendo dalle Impostazioni del server.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, quindi selezionare Siti di origine.
2
Fare clic su Aggiungi sito di origine. Viene visualizzata la Creazione siti di origine.
3
Nella pagina Descrizione digitare un nome di archivio univoco e selezionare HTTP, UNC o FTP, quindi
fare clic su Avanti.
4
Nella pagina Server fornire l'indirizzo Web e le informazioni sulla porta del sito, quindi fare clic su
Avanti.
Tipo di server HTTP o FTP:
•
•
Nell'elenco a discesa URL selezionare Nome DNS, IPv4 o IPv6 come tipo di indirizzo server, quindi
immettere l'indirizzo.
Opzione
Definizione
Nome DNS
Specifica il nome DNS del server.
IPv4
Specifica l'indirizzo IPv4 del server.
IPv6
Immettere il numero di porta del server: i valori predefiniti per FTP e HTTP sono rispettivamente
21 e 80.
Tipo di server UNC:
•
5
Immettere il percorso della directory di rete in cui si trova l'archivio utilizzando il formato \
\<COMPUTER>\<CARTELLA>.
Nella pagina Credenziali immettere le Credenziali per il download utilizzate nei sistemi gestiti per
connettersi a questo archivio.
Utilizzare le credenziali con autorizzazioni di sola lettura per il server HTTP, il server FTP o la
condivisione UNC che ospita l'archivio.
•
Selezionare Anonimo per utilizzare un account utente sconosciuto.
•
Selezionare FTP o Autenticazione HTTP (se il server richiede l'autenticazione), quindi immettere le
informazioni sull'account utente.
Guida del prodotto
69
6
Archivi
Tipo di server UNC:
•
6
Immettere le informazioni sul dominio e sull'account utente.
Fare clic su Prova credenziali. Dopo alcuni secondi viene visualizzato un messaggio che conferma che il
sito è accessibile per i sistemi che utilizzano le informazioni di autenticazione. Se le credenziali non
sono corrette, controllare le informazioni seguenti:
•
nome utente e password
•
URL o percorso nel riquadro precedente della procedura guidata
•
sito HTTP, FTP o UNC nel sistema
7
Fare clic su Avanti.
8
Esaminare la pagina Riepilogo, quindi fare clic su Salva per aggiungere il sito all'elenco.
Scambio di siti di origine e di fallback
Utilizzare Impostazioni del server per modificare i siti di origine e di fallback.
A seconda della configurazione di rete esistente, si possono scambiare i siti di origine e di fallback se si
ritiene che l'aggiornamento HTTP o FTP sia più efficace.
Attività
1
2
Selezionare Siti di origine, quindi fare clic su Modifica. Viene visualizzata la pagina Modifica siti di
origine.
3
Nell'elenco individuare il sito che si desidera impostare come fallback, quindi fare clic su Attiva
fallback.
Modifica dei siti di origine e di fallback
Utilizzare Impostazioni del server per modificare le impostazioni dei siti di origine o di fallback, quali
l'indirizzo URL, il numero di porta e le credenziali di autenticazione dei download.
Attività
1
2
origine.
3
Individuare il sito nell'elenco, quindi fare clic sul relativo nome.
Viene visualizzata la procedura guidata Creazione siti di origine.
4
Modificare le impostazioni della procedura guidata in base alle esigenze, quindi fare clic su Salva.
Eliminazione dei siti di origine o disattivazione dei siti di
fallback
Se un sito di origine o di fallback non viene più utilizzato, eliminarlo o disattivarlo.
70
Guida del prodotto
Archivi
6
Attività
1
2
origine.
3
Fare clic su Elimina accanto al sito di origine desiderato. Viene visualizzata la finestra di dialogo
Elimina sito di origine.
4
Fare clic su OK.
Il sito viene rimosso dalla pagina Siti di origine.
È necessario accertarsi che l'archivio principale ePolicy Orchestrator e i sistemi gestiti siano in grado di
accedere a Internet quando si utilizzano McAfeeHttp e McAfeeFtp come siti di origine e di fallback.
In questa sezione sono descritte le attività per la configurazione della connessione utilizzata
dall'archivio principale di ePolicy Orchestrator e da McAfee Agent per scaricare il sito direttamente o
tramite proxy. La selezione predefinita è Non utilizzare il proxy.
Attività
•
Configurazione delle impostazioni proxy a pagina 71
Per aggiornare gli archivi, configurare le impostazioni proxy in modo che venga eseguito il
"pull" dei file DAT.
•
Configurazione delle impostazioni proxy per il McAfee Agent a pagina 72
È possibile configurare le impostazioni proxy utilizzate da McAfee Agent per connettersi al
sito di download.
Configurazione delle impostazioni proxy
Per aggiornare gli archivi, configurare le impostazioni proxy in modo che venga eseguito il "pull" dei
file DAT.
Attività
1
2
Dall'elenco di categorie delle impostazioni, selezionare Impostazioni proxy, quindi fare clic su Modifica.
3
Selezionare Configura manualmente le impostazioni proxy.
a
Accanto a Impostazioni server proxy, scegliere se utilizzare un solo server proxy per tutte le
comunicazioni o diversi server proxy come server proxy HTTP e FTP. Digitare quindi l'indirizzo IP
o il nome dominio completo e il numero di porta del server proxy.
Configurare in tale posizione le informazioni relative all'autenticazione proxy HTTP e FTP sia se si
utilizzano i siti di fallback e di origine predefiniti sia se si configurano un sito di origine HTTP e un
sito di fallback FTP (o viceversa) diversi.
b
Accanto a Autenticazione proxy, configurare le impostazioni a seconda che si esegua il "pull"
degli aggiornamenti da archivi HTTP, da archivi FTP o da entrambi.
Guida del prodotto
71
6
Archivi
4
c
Accanto a Esclusioni, selezionare Ignora indirizzi locali, quindi specificare gli archivi distribuiti cui il
server può connettersi direttamente digitando gli indirizzi IP o il nome dominio completo di tali
sistemi, separati da punto e virgola.
d
Accanto a Esclusioni, selezionare Ignora indirizzi locali, quindi specificare gli archivi distribuiti cui il
server può connettersi direttamente digitando gli indirizzi IP o il nome dominio completo di tali
sistemi, separati da punto e virgola.
Fare clic su Salva.
Configurazione delle impostazioni proxy per il McAfee Agent
È possibile configurare le impostazioni proxy utilizzate da McAfee Agent per connettersi al sito di
download.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi dall'elenco Prodotto selezionare McAfee Agent e
dall'elenco Categoria selezionare Archivio.
Viene visualizzato un elenco degli agent configurati per il server di McAfee ePO.
2
Fare clic su Modifica impostazioni per l'agent Impostazioni predefinite personali.
Viene visualizzata la pagina Modifica impostazioni per l'agent Impostazioni predefinite personali.
3
Fare clic sulla scheda Proxy.
Viene visualizzata la pagina Impostazioni proxy.
4
Selezionare Utilizza impostazioni di Internet Explorer (solo Windows) per i sistemi Windows, quindi selezionare
Consenti all'utente di configurare le impostazioni del proxy, se appropriato.
Esistono diversi metodi di configurazione di Internet Explorer per l'uso con i proxy. McAfee fornisce
istruzioni per la configurazione e l'utilizzo dei prodotti McAfee, ma non dei prodotti non McAfee. Per
informazioni sulla configurazione di impostazioni proxy, vedere la Guida in linea di Internet Explorer
e http://support.microsoft.com/kb/226473.
72
5
Selezionare Configura manualmente le impostazioni proxy per configurare manualmente le impostazioni
proxy dell'agent.
6
Digitare l'indirizzo IP o il nome dominio completo e il numero di porta dell'origine HTTP o FTP in cui
l'agent esegue il pull degli aggiornamenti. Selezionare Usa queste impostazioni per tutti i tipi di proxy per
applicare queste impostazioni in modo predefinito per tutti i tipi di proxy.
7
Selezionare Specifica eccezioni per indicare i sistemi che non richiedono l'accesso al proxy. Utilizzare il
punto e virgola per separare le eccezioni.
8
Selezionare Usa autenticazione proxy HTTP o Usa autenticazione proxy FTP, quindi specificare un nome utente e
le credenziali.
9
Fare clic su Salva.
Guida del prodotto
Archivi
6
Gli aggiornamenti globali automatizzano la replica dell'archivio nella rete. È possibile utilizzare
l'impostazione del server Aggiornamento globale per configurare il contenuto distribuito negli archivi
durante un aggiornamento globale.
Gli aggiornamenti globali sono disattivati per impostazione predefinita. McAfee consiglia tuttavia di
attivarli e utilizzarli come parte della strategia di aggiornamento. È possibile specificare un intervallo di
sequenza casuale e i tipi di pacchetto da distribuire durante l'aggiornamento. L'intervallo di sequenza
casuale specifica il periodo in cui vengono aggiornati tutti i sistemi. I sistemi vengono aggiornati in
modo casuale all'interno dell'intervallo specificato.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Aggiornamento globale nell'elenco
2
Impostare lo stato su Attivato e specificare un Intervallo di sequenza casuale compreso tra 0 e 32767
minuti.
3
Specificare i Tipi di pacchetto da includere negli aggiornamenti globali:
•
Tutti i pacchetti: selezionare questa opzione per includere tutti i motori e le firme, nonché tutti i
Service Pack e le patch.
•
Pacchetti selezionati: selezionare questa opzione per limitare le firme e i motori, nonché le patch e i
Service Pack inclusi nell'aggiornamento globale.
Quando si utilizza l'aggiornamento globale, McAfee consiglia di pianificare un'attività di pull regolare
(per aggiornare l'archivio principale) in un'ora in cui il traffico è minimo. Sebbene l'aggiornamento
globale sia molto più rapido di altri metodi, aumenta il traffico di rete. Per ulteriori informazioni
sull'esecuzione degli aggiornamenti globali, vedere Aggiornamento globale nella sezione
Distribuzione di prodotti e aggiornamenti.
Configurazione delle policy degli agent per l'utilizzo di un
archivio distribuito
È possibile personalizzare la modalità di selezione degli archivi distribuiti da parte degli agent in modo
da ridurre l'utilizzo della larghezza di banda.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi selezionare McAfee Agent come Prodotto e Archivio
come Categoria.
2
Fare clic sulla policy dell'agent esistente richiesta.
3
Selezionare la scheda Archivi.
4
In Selezione elenco degli archivi selezionare Usa questo elenco degli archivi o Usa altro elenco degli archivi.
Guida del prodotto
73
6
Archivi
5
In Seleziona archivio per specificare il metodo di ordinamento degli archivi:
•
Tempo di ping: consente di inviare un ping ICMP ai cinque archivi più vicini (in base al valore della
sottorete) e di ordinarli per tempo di risposta.
•
Distanza della sottorete: consente di confrontare gli indirizzi IP dei sistemi client e di tutti gli archivi e
di ordinare gli archivi in base al grado di corrispondenza dei bit. Maggiore è il grado di
corrispondenza tra gli indirizzi IP, più elevata è la posizione dell'archivio nell'elenco.
Se necessario, è possibile impostare l'opzione Numero massimo di hop.
•
Usa ordine nell'elenco degli archivi: consente di selezionare gli archivi in base al relativo ordine
nell'elenco.
6
Nell'elenco Archivio è possibile disattivare gli archivi facendo clic su Disattiva nel campo Azioni
associato all'archivio da disattivare.
7
Nell'elenco Archivio fare clic su Sposta in alto o su Sposta in basso per specificare l'ordine con cui si
desidera che i sistemi client selezionino gli archivi distribuiti.
8
Al termine, fare clic su Salva.
È possibile creare e configurare archivi distribuiti nei sistemi che ospitano SuperAgent. I SuperAgent
possono ridurre il traffico di rete.
Per convertire l'agent in un SuperAgent, è necessario che l'agent faccia parte di un dominio Windows.
Attività
•
Creazione di archivi distribuiti di SuperAgent a pagina 74
Per creare un archivio SuperAgent è necessario che nel sistema SuperAgent sia installato e
in esecuzione un McAfee Agent. Si consiglia di utilizzare archivi SuperAgent con
l’aggiornamento globale.
•
Replica di pacchetti in archivi di SuperAgent a pagina 75
Selezionare i pacchetti specifici degli archivi da replicare negli archivi distribuiti.
•
Eliminazione degli archivi distribuiti di SuperAgent a pagina 76
È possibile rimuovere gli archivi distribuiti di SuperAgent dal sistema host e dall'elenco
degli archivi (SiteList.xml). Le nuove configurazioni diventano effettive durante la
successiva comunicazione agent-server.
Creazione di archivi distribuiti di SuperAgent
Per creare un archivio SuperAgent è necessario che nel sistema SuperAgent sia installato e in
esecuzione un McAfee Agent. Si consiglia di utilizzare archivi SuperAgent con l’aggiornamento globale.
Questa attività parte dal presupposto che sia nota la posizione dei sistemi SuperAgent nella struttura
dei sistemi. Si consiglia di creare un tag SuperAgent in modo da poter individuare facilmente i sistemi
SuperAgent con la pagina Catalogo tag o eseguendo una query.
74
Guida del prodotto
Archivi
6
Attività
1
Nella console ePolicy Orchestrator fare clic su Menu | Policy | Catalogo delle policy, quindi nell’elenco
Prodotto fare clic su McAfee Agent e nell’elenco Categoria selezionare Generale.
Viene visualizzato un elenco delle policy della categoria Generale disponibili che è possibile
utilizzare nel server di McAfee ePO.
2
Creare una nuova policy, duplicarne una esistente o aprirne una già applicata ai sistemi che
ospitano un SuperAgent in cui si desidera inserire gli archivi di SuperAgent.
3
Selezionare la scheda Generale, quindi verificare che sia selezionata l'opzione Converti agent in SuperAgent
(solo per Windows).
4
Selezionare Utilizza sistemi che eseguono SuperAgent come archivi distribuiti, quindi digitare un percorso di
cartella per l'archivio. Si tratta del percorso in cui l'archivio principale copia gli aggiornamenti
durante la replica. È possibile utilizzare un percorso di Windows standard, come C:\SuperAgent
\Repo.
Tutti i file richiesti dal sistema agent vengono forniti da questo percorso grazie al Webserver HTTP
incorporato dell'agent.
5
Fare clic su Salva.
6
Assegnare questa policy a ogni sistema che deve ospitare un archivio di SuperAgent.
La nuova policy viene recuperata la volta successiva in cui l'agent chiama il server. Se non si desidera
attendere il successivo intervallo di comunicazione agent-server, è possibile inviare una chiamata di
attivazione agent ai sistemi. Una volta creato l'archivio distribuito, la cartella specificata viene creata
nel sistema se non è già presente.
Il percorso di rete viene inoltre aggiunto all'elenco degli archivi del file SiteList.xml. In questo modo
il sito può essere aggiornato dai sistemi presenti nell'ambiente gestito.
Replica di pacchetti in archivi di SuperAgent
Selezionare i pacchetti specifici degli archivi da replicare negli archivi distribuiti.
Attività
1
Fare clic su Menu | Software | Archivi distribuiti.
Verrà visualizzato l'elenco di tutti gli archivi distribuiti.
2
Individuare e fare clic sull’archivio SuperAgent.
Viene visualizzata la procedura guidata Creazione archivi distribuiti.
3
Nella pagina Tipi di pacchetto selezionare i tipi di pacchetto necessari.
Accertarsi di selezionare tutti i pacchetti richiesti da eventuali sistemi gestiti in cui l'archivio è
utilizzato. I sistemi gestiti attingono a un unico archivio per tutti i pacchetti. L'attività non riesce per
i sistemi che si aspettano un tipo di pacchetto non presente. Scopo di questa funzionalità è quello di
garantire che i pacchetti utilizzati da pochi sistemi non vengano replicati nell'intero ambiente.
4
Fare clic su Salva.
Guida del prodotto
75
6
Archivi
Eliminazione degli archivi distribuiti di SuperAgent
È possibile rimuovere gli archivi distribuiti di SuperAgent dal sistema host e dall'elenco degli archivi
(SiteList.xml). Le nuove configurazioni diventano effettive durante la successiva comunicazione
agent-server.
Attività
1
Dalla console di ePolicy Orchestrator, fare clic su Menu | Policy | Catalogo delle policy, quindi fare clic sul
nome della policy SuperAgent da modificare.
2
Nella scheda Generale deselezionare Utilizza sistemi che eseguono SuperAgent come archivi distribuiti, quindi fare
clic su Salva.
Per eliminare un numero limitato di archivi distribuiti di SuperAgent esistenti, duplicare la policy del
McAfee Agent assegnata a tali sistemi e deselezionare Utilizza sistemi che eseguono SuperAgent come archivi
distribuiti prima di salvarla. Assegnare la nuova policy in base alle esigenze.
L'archivio di SuperAgent viene eliminato e rimosso dall'elenco degli archivi. L'agent continua invece a
fungere da SuperAgent fino a quando l'opzione Converti agent in SuperAgent rimane selezionata. Gli agent
che non hanno ricevuto un nuovo Sitelist dopo la modifica della policy continuano a ricevere
aggiornamenti dal SuperAgent rimosso.
Creazione e configurazione di archivi in server FTP o HTTP e
condivisioni UNC
È possibile ospitare gli archivi distribuiti nei server FTP, HTTP o nelle condivisioni UNC esistenti.
Sebbene non sia necessario un server dedicato, il sistema deve essere abbastanza affidabile da poter
gestire il carico richiesto quando i sistemi gestiti si connettono per ricevere aggiornamenti.
76
Guida del prodotto
Archivi
6
Attività
•
Creazione di un percorso di cartella a pagina 77
È possibile creare la cartella che deve ospitare il contenuto dell'archivio nel sistema
dell'archivio distribuito. Vengono utilizzate procedure diverse per gli archivi di condivisioni
UNC e gli archivi FTP o HTTP.
•
Aggiunta dell'archivio distribuito a ePolicy Orchestrator a pagina 77
È possibile aggiungere una voce all'elenco degli archivi e specificare la cartella utilizzata dal
nuovo archivio distribuito.
•
Come evitare la replica dei pacchetti selezionati a pagina 79
Se gli archivi distribuiti sono impostati in modo che vengano replicati solo i pacchetti
selezionati, il pacchetto appena depositato viene replicato per impostazione predefinita. I
requisiti di test e convalida potrebbero invece richiedere che alcuni pacchetti non vengano
replicati negli archivi distribuiti.
•
Disattivazione della replica dei pacchetti selezionati a pagina 80
Se gli archivi distribuiti sono impostati in modo che vengano replicati solo i pacchetti
selezionati, il pacchetto appena depositato viene replicato per impostazione predefinita. Per
disattivare la replica imminente di un pacchetto, disattivare l'attività di replica prima di
depositare il pacchetto.
•
Attivazione della condivisione cartelle per gli archivi UNC e HTTP a pagina 80
In un archivio HTTP o UNC distribuito è necessario attivare la cartella di condivisione nella
rete per consentire al server di McAfee ePO di copiare i file nell'archivio.
•
Modifica di archivi distribuiti a pagina 80
È possibile modificare le opzioni di configurazione, autenticazione e selezione dei pacchetti
degli archivi distribuiti in base alle esigenze.
•
Eliminazione di archivi distribuiti a pagina 81
È possibile eliminare archivi distribuiti HTTP, FTP o UNC. L'esecuzione di questa operazione
determina l'eliminazione del contenuto degli archivi distribuiti.
Creazione di un percorso di cartella
È possibile creare la cartella che deve ospitare il contenuto dell'archivio nel sistema dell'archivio
distribuito. Vengono utilizzate procedure diverse per gli archivi di condivisioni UNC e gli archivi FTP o
HTTP.
•
Per gli archivi di condivisioni UNC creare la cartella sul sistema e attivare la condivisione.
•
Per gli archivi FTP o HTTP utilizzare il software del server FTP o HTTP, ad esempio Microsoft Internet
Information Services (IIS), per creare un nuovo percorso di cartella e sito. Per informazioni
dettagliate, consultare la documentazione del server web in uso.
Aggiunta dell'archivio distribuito a ePolicy Orchestrator
È possibile aggiungere una voce all'elenco degli archivi e specificare la cartella utilizzata dal nuovo
archivio distribuito.
Non configurare gli archivi distribuiti in modo che facciano riferimento alla stessa directory dell'archivio
principale. Se ciò accade, i file dell'archivio principale verranno bloccati dagli utenti dell'archivio
distribuito impedendo le operazioni di pull e deposito dei pacchetti e rendendo inutilizzabile l'archivio
principale.
Guida del prodotto
77
6
Archivi
Attività
1
Fare clic su Menu | Software | Archivi distribuiti, quindi su Azioni | Nuovo archivio. Viene visualizzata la
procedura guidata Creazione archivi distribuiti.
2
Nella pagina Descrizione digitare un nome univoco e selezionare HTTP, UNC o FTP, quindi fare clic su
Avanti. Non è necessario che il nome dell'archivio corrisponda a quello del sistema che lo ospita.
3
Nella pagina Server configurare uno dei seguenti tipi di server.
Tipo di server HTTP
•
Dall'elenco a discesa URL selezionare Nome DNS, IPv4 o IPv6 come tipo di indirizzo server, quindi
Opzione
Definizione
Nome DNS
IPv4
IPv6
•
Immettere il numero di porta del server: l'impostazione predefinita per HTTP è 80.
•
Specificare il percorso UNC di replica per la cartella HTTP.
Tipo di server UNC
•
Immettere il percorso della directory di rete in cui si trova l'archivio utilizzando il formato \
\<COMPUTER>\<CARTELLA>.
Tipo di server FTP
•
•
Dall'elenco a discesa URL selezionare Nome DNS, IPv4 o IPv6 come tipo di indirizzo server, quindi
Opzione
Definizione
Nome DNS
IPv4
IPv6
Immettere il numero di porta del server: l'impostazione predefinita per FTP è 21.
4
5
Nella pagina Credenziali:
a
Specificare le Credenziali per il download. Utilizzare le credenziali con autorizzazioni di sola lettura per
il server HTTP, il server FTP o la condivisione UNC che ospita l'archivio.
78
•
Selezionare Anonimo per utilizzare un account utente sconosciuto.
•
Selezionare FTP o Autenticazione HTTP (se il server richiede l'autenticazione), quindi immettere le
informazioni sull'account utente.
Guida del prodotto
Archivi
6
Tipo di server UNC:
b
6
•
Selezionare Usa credenziali dell'account connesso per utilizzare le credenziali dell'utente che ha
effettuato l'accesso.
•
Selezionare Specificare le credenziali per il download, quindi immettere le informazioni sull'account
utente e sul dominio.
Fare clic su Prova credenziali. Dopo alcuni secondi, viene visualizzato un messaggio di conferma che
segnala che il sito è accessibile per i sistemi che utilizzano le informazioni di autenticazione. Se
le credenziali non sono corrette, verificare quanto segue:
•
Nome utente e password
•
•
Sito HTTP, FTP o UNC nel sistema
Immettere le Credenziali di replica.
Il server utilizza queste credenziali quando replica i file DAT, i file del motore o altri aggiornamenti
del prodotto dall'archivio principale all'archivio distribuito. Tali credenziali devono essere dotate
delle autorizzazioni sia in lettura che in scrittura per l'archivio distribuito:
•
Per FTP, immettere le informazioni sull'account utente.
•
Per HTTP o UNC, immettere le informazioni sull'account utente e sul domini.
•
Fare clic su Prova credenziali. Dopo alcuni secondi viene visualizzato un messaggio che conferma
che il sito è accessibile per i sistemi che utilizzano le informazioni di autenticazione. Se le
credenziali non sono corrette, verificare quanto segue:
•
Nome utente e password
•
•
Sito HTTP, FTP o UNC nel sistema
7
Fare clic su Avanti. Viene visualizzata la pagina Tipi di pacchetto.
8
Specificare se si intende replicare tutti i pacchetti o solo i pacchetti selezionati in questo archivio
distribuito, quindi fare clic su Avanti.
•
Se si sceglie l'opzione Pacchetti selezionati, è necessario selezionare manualmente Firme e motori e
Prodotti, patch, Service Pack, ecc. che si desidera replicare.
•
Facoltativamente selezionare Replica DAT legacy.
Verificare che tutti i pacchetti richiesti dai sistemi gestiti che utilizzano questo archivio non siano
deselezionati. Nei sistemi gestiti viene utilizzato un unico archivio per tutti i pacchetti. Se un tipo di
pacchetto richiesto non è presente nell'archivio, l'attività non riesce. Questa funzionalità garantisce
che i pacchetti utilizzati solo da un numero ridotto di sistemi non vengano replicati in tutto
l'ambiente.
9
Rivedere la pagina di riepilogo e fare clic su Salva per aggiungere l'archivio. Il software ePolicy
Orchestrator aggiunge il nuovo archivio distribuito al rispettivo database.
Come evitare la replica dei pacchetti selezionati
pacchetto appena depositato viene replicato per impostazione predefinita. I requisiti di test e convalida
potrebbero invece richiedere che alcuni pacchetti non vengano replicati negli archivi distribuiti.
Guida del prodotto
79
6
Archivi
Attività
1
Fare clic su Menu | Software | Archivi distribuiti e selezionare un archivio. Viene visualizzata la procedura
guidata Creazione archivi distribuiti.
2
Nella pagina Tipi di pacchetto deselezionare il pacchetto di cui non si desidera che venga eseguita
la replica.
3
Fare clic su Salva.
Disattivazione della replica dei pacchetti selezionati
pacchetto appena depositato viene replicato per impostazione predefinita. Per disattivare la replica
imminente di un pacchetto, disattivare l'attività di replica prima di depositare il pacchetto.
Attività
1
Fare clic su Menu | Automazione | Attività server, quindi selezionare Modifica accanto all'attività server di
replica.
Verrà avviata la procedura guidata Creazione attività server.
2
Nella pagina Descrizione selezionare Disattivato come Stato pianificazione, quindi fare clic su Salva.
Attivazione della condivisione cartelle per gli archivi UNC e
HTTP
In un archivio HTTP o UNC distribuito è necessario attivare la cartella di condivisione nella rete per
consentire al server di McAfee ePO di copiare i file nell'archivio.
Lo scopo è unicamente di replica. I sistemi gestiti configurati per l'uso dell'archivio distribuito
utilizzano il protocollo appropriato (HTTP, FTP o Condivisione file di Windows) e non richiedono la
condivisione cartelle.
Attività
1
Nel sistema gestito individuare la cartella creata mediante Esplora risorse.
2
Fare clic con il pulsante destro del mouse sulla cartella, quindi scegliere Condivisione.
3
Nella scheda Condivisione selezionare Condividi cartella.
4
Configurare le autorizzazioni per la condivisione in base alle esigenze.
Per i sistemi aggiornati dall'archivio è necessario l'accesso in sola lettura, ma gli account
amministratore, incluso quello utilizzato dal servizio del server di McAfee ePO devono disporre
dell'accesso in scrittura. Per configurare correttamente le impostazioni di sicurezza relative alle
cartelle condivise, consultare la documentazione di Microsoft Windows.
5
Fare clic su OK.
Modifica di archivi distribuiti
È possibile modificare le opzioni di configurazione, autenticazione e selezione dei pacchetti degli archivi
distribuiti in base alle esigenze.
80
Guida del prodotto
6
Archivi
Attività
1
Fare clic su Menu | Software | Archivi distribuiti e selezionare un archivio.
Viene avviata la procedura guidata Creazione archivi distribuiti, in cui sono visualizzati i dettagli
relativi all’archivio distribuito.
2
Modificare le opzioni di configurazione, autenticazione e selezione dei pacchetti in base alle
esigenze.
3
Fare clic su Salva.
Eliminazione di archivi distribuiti
È possibile eliminare archivi distribuiti HTTP, FTP o UNC. L'esecuzione di questa operazione determina
l'eliminazione del contenuto degli archivi distribuiti.
Attività
1
Fare clic su Menu | Software | Archivi distribuiti e fare clic su Elimina accanto a un archivio.
2
Nella finestra di dialogo Elimina archivio fare clic su OK.
L'eliminazione dell'archivio non determina quella dei pacchetti presenti nel sistema che lo ospita.
Gli archivi eliminati vengono rimossi dall'elenco degli archivi.
Seguire le indicazioni riportate di seguito quando si utilizzano le condivisioni UNC come archivi
distribuiti.
Le condivisioni UNC utilizzano il protocollo SMB (Server Message Block) Microsoft per creare un'unità
condivisa. Creare un nome utente e una password per accedere a tale condivisione.
Configurazione corretta della condivisione
Assicurarsi che la condivisione UNC sia configurata correttamente.
•
Utilizzare un metodo alternativo per scrivere nell'archivio: accedere al server utilizzando
altri metodi, come un'altra condivisione, RDP o in locale, per scrivere nell'archivio. Non combinare
l'archivio da cui si legge con quello in cui si scrive. Le credenziali di lettura sono condivise con gli
endpoint, mentre quelle di scrittura vengono utilizzate esclusivamente dal server McAfee ePO per
aggiornare il contenuto dell'archivio distribuito.
•
Non utilizzare una condivisione sul controller di dominio: creare una condivisione dal
controller di dominio. L'utente locale di un controller di dominio è utente del dominio.
Protezione dell'account utilizzato per la lettura dalla condivisione UNC
Seguire le indicazioni riportate di seguito per verificare che l'account utilizzato per accedere alla
condivisione UNC sia protetto.
Guida del prodotto
81
6
Archivi
•
Concedere all'account della condivisione UNC diritti di sola lettura per tutti gli utenti, ad
eccezione dell'archivio principale del server di McAfee ePO: quando si configura una
condivisione, accertarsi che l'account creato disponga di diritti di sola lettura per la directory e per
le autorizzazioni condivisione. Non concedere l'autorizzazione di scrittura remota nella condivisione
(nemmeno agli amministratori o ad altri account). L'unico account cui è consentito l'accesso è
l'ultimo creato.
L'archivio principale del server di McAfee ePO deve essere in grado di scrivere file nell'account della
condivisione UNC.
•
Creare l'account in locale: creare l'account sulla condivisione file e non sul dominio. Gli account
creati in locale non concedono diritti ai sistemi del dominio.
•
Utilizzare un account specifico: creare un account specifico per la condivisione dei dati
dell'archivio. Non condividerlo con più funzioni.
•
Creare l'account con privilegi limitati: non aggiungere questo account a gruppi non necessari,
inclusi i gruppi "Amministratori" e "Utenti".
•
Disattivare i privilegi che non riguardano l'account: questo account non deve accedere a un
server. Si tratta di un segnaposto per accedere ai file. Esaminare i privilegi dell'account e
disattivare quelli non necessari.
•
Utilizzare una password complessa: utilizzare una password con 8-12 caratteri e più attributi di
carattere (lettere minuscole e maiuscole, simboli e numeri). Si consiglia di utilizzare un generatore
di password casuali per ottenere una password complessa.
Protezione e mantenimento della condivisione UNC
•
Proteggere con un firewall la condivisione: bloccare sempre il traffico non necessario. Si
consiglia di bloccare il traffico in uscita e in entrata. È possibile utilizzare un firewall software sul
server e un firewall hardware sulla rete.
•
Attivare la verifica dei file: attivare sempre i registri di verifica della protezione in modo da
tenere traccia dell'accesso alle condivisioni di rete. In questi registri sono indicati gli utenti che
accedono alla condivisione, nonché la data e le operazioni eseguite.
•
Cambiare le password – Cambiare spesso la password. Assicurarsi che la nuova password sia
complessa e aggiornare la configurazione McAfee ePO con essa.
•
Disattivare l'account e la condivisione se non più in uso: se si passa a un tipo di archivio
diverso da UNC, disattivare o eliminare l'account, quindi chiudere e rimuovere la condivisione.
Copiare i contenuti dall'Archivio principale in un archivio distribuito non gestito.
Una volta creato un archivio non gestito, è necessario configurare manualmente i sistemi gestiti
affinché cerchino i file nell'archivio non gestito.
Attività
1
Copiare tutti i file e le sottodirectory contenuti nella cartella dell'archivio principale del server.
Ad esempio, utilizzando Windows 2008 R2 Server, il percorso predefinito sul server è: C:
\Programmi (x86)\McAfee\ePolicy Orchestrator\DB\Software
2
82
Incollare i file e le sottocartelle copiati nella cartella dell'archivio contenuta nel sistema dell'archivio
distribuito.
Guida del prodotto
6
Archivi
3
Configurare una policy dell'agent per fare in modo che nei sistemi gestiti venga utilizzato il nuovo
archivio distribuito non gestito:
a
Fare clic su Menu | Policy | Catalogo delle policy, quindi selezionare McAfee Agent come Prodotto e Archivio
come Categoria.
b
Fare clic su una policy dell'agent esistente o crearne una nuova.
L'ereditarietà delle policy non può essere interrotta a livello di schede di opzioni che costituiscono
una policy. Pertanto, quando si applica questa policy ai sistemi, accertarsi che solo i sistemi
corretti ricevano ed ereditino la policy per l'utilizzo dell'archivio distribuito non gestito.
c
Nella scheda Archivi, fare clic su Aggiungi.
d
Digitare un nome nel campo di testo Nome archivio.
Non è necessario che sia lo stesso nome del sistema in cui è ospitato l'archivio.
e
In Recupera file da selezionare il tipo di archivio.
f
In Configurazione digitare il percorso dell'archivio utilizzando la sintassi appropriata per il tipo di
archivio.
g
Digitare un numero di porta o confermare la porta predefinita.
h
Configurare le credenziali di autenticazione in base alle esigenze.
i
Fare clic su OK per aggiungere il nuovo archivio distribuito all'elenco.
j
Selezionare il nuovo archivio nell'elenco.
Il tipo Locale indica che non è gestito dal prodotto software ePolicy Orchestrator. Quando
nell'Elenco degli archivi risulta selezionato un archivio non gestito, i pulsanti Modifica ed Elimina sono
disattivati.
k
Fare clic su Salva.
I sistemi nei quali questa policy è applicata ricevono la nuova policy in occasione della comunicazione
agent-server successiva.
È possibile esportare i file SiteList.xml e SiteMgr.xml di elenco degli archivi.
Si tratta dei file seguenti:
Guida del prodotto
83
6
Archivi
•
SiteList.xml: utilizzato dall'agent e dai prodotti supportati.
•
SiteMgr.xml: utilizzato durante la reinstallazione del server di McAfee ePO o per l'importazione in
altri server di McAfee ePO che utilizzano gli stessi archivi distribuiti o gli stessi siti di origine.
Attività
•
Esportazione del file SiteList.xml dell'elenco degli archivi a pagina 84
Utilizzare questa attività per esportare il file dell'elenco degli archivi (SiteList.xml) per la
distribuzione manuale ai sistemi o per l'importazione durante l'installazione dei prodotti
supportati.
•
Esportazione dell'elenco degli archivi per il backup o l'utilizzo da parte di altri server a
pagina 84
Utilizzare il file SiteMgr.xml esportato per ripristinare gli archivi distribuiti e i siti di origine
durante la reinstallazione del server McAfee ePO o se si desidera condividere gli archivi
distribuiti o i siti di origine con un altro server McAfee ePO.
•
Importazione di archivi distribuiti dall'elenco degli archivi a pagina 85
Importare gli archivi distribuiti dal file SiteMgr.xml dopo la reinstallazione di un server
oppure se si desidera che gli stessi archivi distribuiti di un server vengano utilizzati da un
altro server.
•
Importazione di siti di origine dal file SiteMgr.xml a pagina 85
Dopo avere reinstallato un server, e se si desidera che due server utilizzino gli stessi archivi
distribuiti, è possibile importare siti di origine da un file di elenco degli archivi.
Esportazione del file SiteList.xml dell'elenco degli archivi
Utilizzare questa attività per esportare il file dell'elenco degli archivi (SiteList.xml) per la
distribuzione manuale ai sistemi o per l'importazione durante l'installazione dei prodotti supportati.
Attività
1
Fare clic su Menu | Software | Archivio principale, quindi fare clic su Azioni | Esporta sitelist.
Viene visualizzata la finestra di dialogo Download file.
2
Fare clic su Salva, selezionare il percorso in cui salvare il file SiteList.xml, quindi fare clic su Salva.
Una volta esportato questo file, è possibile importarlo durante l'installazione dei prodotti supportati.
Per istruzioni, vedere la Guida all'installazione per il prodotto.
È anche possibile distribuire l'elenco degli archivi ai sistemi gestiti, quindi applicarlo all'agent.
Esportazione dell'elenco degli archivi per il backup o l'utilizzo
da parte di altri server
Utilizzare il file SiteMgr.xml esportato per ripristinare gli archivi distribuiti e i siti di origine durante la
reinstallazione del server McAfee ePO o se si desidera condividere gli archivi distribuiti o i siti di origine
con un altro server McAfee ePO.
Questo file può essere esportato dalle pagine Archivi distribuiti o Siti di origine. Quando si esegue
l'importazione del file in una delle due pagine, vengono tuttavia importati dal file solo gli elementi
elencati nella pagina specifica. Quando questo file viene importato nella pagina Archivi distribuiti, vengono
ad esempio importati solo gli archivi distribuiti del file. Se pertanto si desidera importare sia gli archivi
distribuiti sia i siti di origine, è necessario importare il file due volte, una volta da ogni pagina.
84
Guida del prodotto
Archivi
6
Attività
1
Fare clic su Menu | Software | Archivi distribuiti (o Siti di origine), quindi fare clic su Azioni | Esporta archivi (o
Esporta siti di origine).
Viene visualizzata la finestra di dialogo Download file.
2
Fare clic su Salva, selezionare il percorso in cui salvare il file, quindi fare clic su Salva.
Importazione di archivi distribuiti dall'elenco degli archivi
Importare gli archivi distribuiti dal file SiteMgr.xml dopo la reinstallazione di un server oppure se si
desidera che gli stessi archivi distribuiti di un server vengano utilizzati da un altro server.
Attività
1
Fare clic su Menu | Software | Archivi distribuiti, quindi fare clic su Azioni | Importa archivi.
Verrà visualizzata la pagina Importa archivi.
2
Sfogliare le varie voci e selezionare il file SiteMgr.xml, quindi fare clic su OK. L'archivio distribuito
verrà importato nel server.
3
Fare clic su OK.
Gli archivi selezionati vengono aggiunti all'elenco di archivi sul server.
Importazione di siti di origine dal file SiteMgr.xml
Dopo avere reinstallato un server, e se si desidera che due server utilizzino gli stessi archivi distribuiti,
è possibile importare siti di origine da un file di elenco degli archivi.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, quindi nell’elenco Categorie di impostazioni
selezionare Siti di origine e fare clic su Modifica.
2
Fare clic su Importa.
3
Sfogliare le varie voci e selezionare il file SiteMgr.xml esportato, quindi fare clic su OK.
4
Selezionare i siti di origine da importare nel server, quindi fare clic su OK.
I siti di origine selezionati vengono aggiunti all'elenco di archivi sul server.
Guida del prodotto
85
6
Archivi
86
Guida del prodotto
7
Server registrati
È possibile accedere a ulteriori server registrandoli con il server di McAfee ePO. I server registrati
consentono di integrare il software con altri server esterni. È ad esempio possibile registrare un server
LDAP per effettuare la connessione al server Active Directory in uso.
McAfee ePolicy Orchestrator può comunicare con:
•
Altri server di McAfee ePO
•
server di database remoti aggiuntivi
•
server LDAP
•
server HTTP
Ogni tipo di server registrato supporta o integra le funzionalità di ePolicy Orchestrator e di altri
prodotti ed estensioni McAfee e di terze parti.
Sommario
Registrazione di server di McAfee ePO
Registrazione di server LDAP
Registrazione di server SNMP
Registrazione di un server di database
Condivisione di oggetti tra server
È possibile registrare ulteriori server di McAfee ePO da utilizzare con il server di McAfee ePO principale
per raccogliere o aggregare dati o per consentire il trasferimento dei sistemi gestiti tra i server
registrati.
Prima di iniziare
Per registrare un server di McAfee ePO con un altro, è necessario disporre di informazioni
dettagliate sul database SQL del server di McAfee ePO registrato. È possibile utilizzare il
seguente comando remoto per individuare il nome del database, il nome del server di
database Microsoft SQL e altre informazioni:
https://<nome_server>:<porta>/core/config
Di seguito sono indicate le variabili presenti nel comando remoto.
•
<nome_server>: il nome del server DNS o l'indirizzo IP del server di McAfee ePO remoto
•
<porta>: il numero di porta assegnato del server di McAfee ePO, in genere "8443", a
meno che il server non sia configurato per utilizzare un numero di porta diverso
Guida del prodotto
87
7
Server registrati
Attività
1
Selezionare Menu | Configurazione | Server registrati, quindi fare clic su Nuovo server.
2
Dal menu Tipo di server della pagina Descrizione, selezionare ePO, specificare un nome univoco ed
eventuali note, quindi fare clic su Avanti.
3
Specificare le opzioni riportate di seguito per configurare il server.
Opzione
Definizione
Tipo di autenticazione
Consente di specificare il tipo di autenticazione da utilizzare per il database,
tra cui:
• autenticazione Windows
• Autenticazione SQL
Condivisione attività
client
Consente di specificare se attivare o disattivare l'attività client per il server.
Nome database
Consente di specificare il nome del database.
Porta database
Consente di specificare la porta del database.
Server di database
Consente di specificare il nome del database per il server. È possibile
specificare un database utilizzando il nome DNS o l'indirizzo IP (IPv4 o IPv6).
Versione ePO
Consente di specificare la versione del server di McAfee ePO che si sta
registrando.
Password
Consente di specificare la password per il server.
Condivisione delle
policy
Consente di specificare se attivare o disattivare la condivisione delle policy
per il server.
Istanza SQL Server
Consente di specificare se si tratta del server predefinito o di un'istanza
specifica fornendo il nome dell'istanza.
Prima di connettersi a una specifica istanza SQL con il relativo nome,
verificare che il servizio SQL browser sia in esecuzione. Se il servizio SQL
browser non è in esecuzione, specificare il numero di porta.
Selezionare l'istanza SQL server predefinita e digitare il numero di
porta per la connessione all'istanza SQL server.
Comunicazione SSL con Consente di specificare se il server di ePolicy Orchestrator utilizza la
server di database
comunicazione SSL (Secure Socket Layer) con questo server di database con
una delle seguenti opzioni:
• Prova a utilizzare SSL
• Utilizza sempre SSL
• Non utilizzare mai SSL
Verifica connessione
Consente di verificare la connessione per il server dettagliato.
Se si registra un server con una versione di McAfee ePO diversa, viene
visualizzato un messaggio di avviso puramente informativo: Mancata
corrispondenza della versione.
88
Guida del prodotto
7
Server registrati
Opzione
Definizione
Trasferisci sistemi
Consente di specificare se attivare o disattivare la funzionalità di
trasferimento dei sistemi per il server. Quando questa opzione è attivata,
selezionare Importazione automatica sitelist o Importazione manuale sitelist.
Se si sceglie Importazione manuale sitelist, è possibile che versioni precedenti di
McAfee Agent (versione 4.0 e precedenti) non siano in grado di contattare il
gestore degli agent. Ciò può avvenire quando
• Si trasferiscono i sistemi da questo server di McAfee ePO nel
server di McAfee ePO registrato
• E nella sequenza alfanumerica il nome di un gestore degli agent
precede quello del server di McAfee ePO nella sitelist fornita
• e gli agent precedenti si servono del gestore degli agent
4
Utilizza NTLMv2
Facoltativamente, scegliere il protocollo di autenticazione NT LAN Manager.
Selezionare questa opzione se il server che si sta registrando utilizza questo
protocollo.
Nome utente
Consente di specificare il nome utente per il server.
Fare clic su Salva.
Vedere anche
Funzionamento di Trasferisci sistemi a pagina 127
Esportazione e importazione di chiavi ASSC tra i server di McAfee ePO a pagina 93
Trasferimento di sistemi tra i server di McAfee ePO a pagina 128
È necessario disporre di un server LDAP (Lightweight Directory Access Protocol) registrato per poter
utilizzare Regole di assegnazione di policy, attivare set di autorizzazioni assegnati in modo dinamico e
attivare Accesso utente ad Active Directory.
Attività
1
Selezionare Menu | Configurazione | Server registrati, quindi fare clic su Nuovo server.
2
Dal menu Tipo di server della pagina Descrizione, selezionare Server LDAP, specificare un nome univoco ed
eventuali dettagli, quindi fare clic su Avanti.
3
Specificare se nell'elenco Tipo di server LDAP si intende registrare un server OpenLDAP o Active
Directory.
Nel prosieguo della procedura si presuppone che si stia configurando un server Active Directory.
Quando necessario, sono incluse informazioni specifiche per OpenLDAP.
Guida del prodotto
89
7
Server registrati
4
Specificare un nome di dominio o il nome di un server specifico nella sezione Nome server.
Utilizzare nomi di dominio di tipo DNS, ad esempio dominiointernazionale.com, e nomi di
dominio completi o indirizzi IP per i server, ad esempio server1.dominiointernazionale.com o
192.168.75.101.
Se si utilizzano nomi di dominio, si può contare sul supporto di failover ed è possibile scegliere solo
server di un sito in particolare, se lo si desidera.
Per i server OpenLDAP si utilizzano solo i nomi server. Non è possibile specificare il dominio.
5
Se lo si desidera, selezionare l'opzione Usa catalogo globale.
Questa opzione è deselezionata per impostazione predefinita. Selezionandola, le prestazioni
miglioreranno. Può essere selezionata solo se il dominio registrato è padre dei soli domini locali. Se
sono inclusi domini non locali, la ricerca di riferimenti può provocare un notevole traffico di rete non
locale, con effetti potenzialmente gravi sulle prestazioni.
Usa catalogo globale non è disponibile per server OpenLDAP.
6
Se si sceglie di non utilizzare il catalogo globale, decidere se attivare o non attivare l'opzione Cerca
riferimenti.
La ricerca di riferimenti può peggiorare le prestazioni se determina traffico di rete non locale,
indipendentemente dall'utilizzo del catalogo globale.
7
Scegliere se attivare o non attivare l'opzione Usa SSL quando si comunica con il server.
8
Se si configura un server OpenLDAP, immettere la Porta.
9
Immettere un Nome utente e la Password come indicato.
Queste credenziali sono per un account amministratore nel server. Utilizzare il formato dominio
\nomeutente nei server di Active Directory e il formato cn=Utente,dc=dominio,dc=com nei server
OpenLDAP.
10 Immettere un Nome sito per il server oppure selezionarlo facendo clic su Sfoglia per individuarlo.
11 Fare clic su Connessione di prova per verificare la comunicazione con il server come specificato.
Modificare le informazioni se necessario.
12 Fare clic su Salva per registrare il server.
Per ricevere una trap SNMP, è necessario aggiungere le informazioni del server SNMP in modo che la
destinazione della trap sia nota a ePolicy Orchestrator.
Attività
90
1
Fare clic su Menu | Configurazione | Server registrati, quindi fare clic su Nuovo server.
2
Dal menu Tipo di server della pagina Descrizione, selezionare Server SNMP, specificare un nome ed
eventuali informazioni sul server, quindi fare clic su Avanti.
Guida del prodotto
Server registrati
3
4
7
Nell'elenco a discesa degli URL selezionare uno dei seguenti tipi di indirizzo server, quindi immettere
l'indirizzo:
•
Nome DNS: consente di specificare il nome DNS del server registrato.
•
IPv4: indica l’indirizzo IPv4 del server registrato.
•
IPv6: specifica il nome DNS del server registrato al quale è associato un indirizzo IPv6.
Selezionare la versione del protocollo SNMP utilizzata nel server:
•
Se si seleziona SNMPv1 o SNMPv2c come versione del server SNMP, digitare la stringa community
del server in Sicurezza.
•
Se si seleziona SNMPv3, fornire i dettagli Sicurezza SNMPv3.
5
Fare clic su Invia trap di test per sottoporre a test la configurazione.
6
Fare clic su Salva.
Il server SNMP aggiunto verrà visualizzato nella pagina Server registrati.
Per poter recuperare dati da un server di database, è necessario registrarlo in ePolicy Orchestrator.
Attività
1
Aprire la pagina Server registrati: selezionare Menu | Configurazione | Server registrati, quindi fare clic su
Nuovo server.
2
Selezionare Server database nell'elenco a discesa Tipo di server, immettere un nome per il server e una
descrizione facoltativa, quindi fare clic su Avanti.
3
Scegliere un Tipo di database nell'elenco a discesa di tipi registrati. Indicare se si desidera che tale tipo
di database sia il predefinito.
Se a questo tipo di database è stato già assegnato un database predefinito, viene indicato nella
riga Database predefinito corrente per il tipo di database.
4
Indicare il Fornitore database. Al momento sono supportati solo Microsoft SQL Server e MySQL.
5
Immettere le specifiche della connessione e le credenziali di accesso per il server di database.
6
Per verificare se tutte le informazioni di connessione e le credenziali di accesso sono state immesse
correttamente, fare clic su Connessione di prova.
In un messaggio di stato viene indicato se l'operazione è riuscita o no.
7
Fare clic su Salva.
Il sistema più semplice e rapido per replicare un comportamento da un server di McAfee ePO in un
altro consiste spesso nell'esportare l'elemento che descrive tale comportamento e nell'importarlo
nell'altro server.
Guida del prodotto
91
7
Server registrati
Esportazione di oggetti da ePolicy Orchestrator
Il sistema più semplice e rapido per replicare il comportamento da un server di McAfee ePO in un altro
consiste spesso nell'esportare l'elemento che descrive tale comportamento e nell'importarlo nell'altro
server.
Gli elementi esportati da ePolicy Orchestrator vengono memorizzati in file XML che li descrivono in
dettaglio. Gli oggetti esportati da un server di McAfee ePO vengono visualizzati nel browser come XML.
Le impostazioni del browser determinano le modalità di visualizzazione e salvataggio del contenuto
XML.
Contenuto dei file esportati
Un file esportato presenta in genere un elemento contenitore esterno denominato <list> negli
elementi multipli dell'evento esportati. Se si esporta un singolo oggetto, questo elemento contenitore
esterno può essere denominato come l'oggetto, ad esempio <query>. Eventuale contenuto più
dettagliato varia in base al tipo di elemento esportato.
Elementi esportabili
È possibile esportare gli elementi riportati di seguito. Le estensioni installate potrebbero aggiungere
elementi a questo elenco. Per informazioni dettagliate, consultare la documentazione dell'estensione
specifica.
•
Dashboard
•
•
•
Utenti
•
Query
•
Risposte automatiche
•
Rapporti
Per gli elementi riportati di seguito è possibile esportare una tabella del relativo contenuto corrente.
•
Registro di verifica
•
problemi
Importazione di elementi in ePolicy Orchestrator
È possibile importare in un altro server gli elementi esportati da un server McAfee ePO.
Con ePolicy Orchestrator gli elementi vengono esportati nel formato XML. Nei file XML sono contenute
descrizioni esatte degli elementi esportati.
Importazione di elementi
Per l'importazione di elementi in ePolicy Orchestrator, è necessario rispettare alcune regole:
•
Per impostazione predefinita tutti gli elementi ad eccezione degli utenti vengono importati con
visibilità privata. È possibile applicare altre autorizzazioni durante o dopo l'importazione.
•
Se esiste già un elemento con lo stesso nome, al nome dell'elemento importato viene aggiunta la
dicitura "(importato)" o "(copia)".
•
Gli elementi importati che richiedono un'estensione o un prodotto inesistente nel nuovo server
verranno contrassegnati come non validi.
Con ePolicy Orchestrator verranno importati solo i file XML esportati da ePolicy Orchestrator.
Informazioni dettagliate sull'importazione di elementi di tipo diverso sono reperibili nella
documentazione relativa ai singoli elementi.
92
Guida del prodotto
Server registrati
7
Esportazione di oggetti e dati dal server di McAfee ePO
È possibile utilizzare gli oggetti e i dati esportati per eseguire il backup di dati importanti, nonché per
ripristinare o configurare i server di McAfee ePO presenti nell’ambiente.
È possibile esportare o scaricare la maggior parte degli oggetti e dei dati utilizzati in un server per
poterli visualizzare, modificare o importare in altri server o applicazioni. Nella tabella riportata di
seguito sono elencati i diversi elementi su cui è possibile eseguire azioni. Per visualizzare i dati,
esportare le tabelle come file HTML o PDF. Per utilizzare i dati in altre applicazioni, esportare le tabelle
o i file CSV o XML.
Attività
1
Dalla pagina in cui sono visualizzati gli oggetti o i dati fare clic su Azioni e selezionare un'opzione.
Quando ad esempio si esporta una tabella, selezionare Esporta tabella, quindi fare clic su Avanti.
2
Quando si esporta contenuto scaricabile in più formati, ad esempio i dati di query, viene
visualizzata una pagina Esporta con le opzioni di configurazione. Specificare le preferenze, quindi
fare clic su Esporta.
3
Quando si esportano oggetti o definizioni, come oggetti o definizioni di attività client, si verifica una
delle situazioni riportate di seguito.
•
Viene aperta una finestra del browser nella quale è possibile scegliere Apri o Salva.
•
Viene aperta una pagina Esporta contenente un collegamento al file. Fare clic con il pulsante
destro del mouse sul collegamento per visualizzare il file nel browser o per salvare il file.
Esportazione e importazione di chiavi ASSC tra i server di
McAfee ePO
Per poter trasferire sistemi tra i server di McAfee ePO, è necessario esportare e importare da un server
McAfee ePO all'altro le chiavi di comunicazione sicura agent-server (ASSC).
Le chiavi di comunicazione sicura agent-server vengono utilizzate dagli agent per comunicare in modo
sicuro con il server di McAfee ePO. Se si trasferisce un sistema gestito con un McAfee Agent
crittografato in un server di McAfee ePO diverso senza importare le chiavi client associate, il sistema
trasferito non riesce a connettersi al nuovo server di McAfee ePO.
Per trasferire i sistemi gestiti in entrambe le direzioni, è necessario registrare entrambi i server
reciprocamente ed esportare e importare entrambi gli insiemi di chiavi ASSC.
Se si prova a registrare un server di McAfee ePO e si attiva l'opzione Trasferisci sistemi con l'importazione
automatica sitelist, prima di esportare e importare le chiavi ASSC tra i server di McAfee ePO, viene
visualizzato il messaggio di errore seguente:
ERRORE: È necessario importare le chiavi agent-server principali nel server remoto prima di importare il sitelist.
Andare a Impostazioni del server per esportare le chiavi di sicurezza da questo server. Tenere presente che visitare
questo link adesso comporta la perdita delle modifiche non salvate a questo server registrato.
È necessario importare le chiavi ASSC sia a 1024 bit sia a 2048 bit dal server di McAfee ePO per
registrare e importare correttamente il Sitelist automatico.
Utilizzare questa procedura per esportare e importare le chiavi ASSC da un server a un altro di McAfee
ePO.
Questi passaggi illustrano l'esportazione di chiavi ASSC da un server di McAfee ePO precedente a un
server nuovo di McAfee ePO.
Guida del prodotto
93
7
Server registrati
Attività
1
Nel server precedente di McAfee ePO fare clic su Menu | Configurazione | Impostazioni del server, fare clic
su Chiavi di sicurezza nella colonna Categorie di impostazioni, quindi su Modifica.
Per esportare le due chiavi ASSC, attenersi alla procedura seguente:
a
Per esportare la chiave ASSC da 2048 bit, nella pagina Modifica chiavi di sicurezza, nell'elenco
Chiavi di comunicazione sicura agent-server, selezionare la chiave a 2048 bit, fare clic su Esporta,
quindi nella finestra di dialogo Esporta chiave di comunicazione sicura agent-server fare clic su
OK.
b
Salvare il file .ZIP in una cartella temporanea nel computer locale.
Il nome predefinito del file della chiave ASSC a 2048 bit è sr2048<nome-server>.zip, in cui
<nome-server> è il nome del server di McAfee ePO in uso. Ad esempio, nel nome file
sr2048ePO50_server.zip, "ePO50_server" è il nome del server.
c
2
Per esportare la chiave ASSC a 1024 bit, nella pagina Modifica chiavi di sicurezza, nell'elenco di
chiavi di comunicazione sicura agent-server, selezionare la chiave a 1024 bit, fare clic su Esporta,
nella finestra di dialogo Esporta chiave di comunicazione sicura agent-server fare clic su OK,
quindi salvare il file .ZIP nella stessa cartella temporanea nel computer locale.
Nel server nuovo di McAfee ePO fare clic su Menu | Configurazione | Impostazioni del server, fare clic su
Chiavi di sicurezza nella colonna Categorie di impostazioni, quindi su Modifica.
Per importare le due chiavi ASSC, attenersi alla procedura seguente:
3
a
Nella pagina Modifica chiavi di sicurezza, accanto al gruppo Importa ed esegui il backup delle
chiavi, fare clic su Importa.
b
Dalla pagina Importa chiavi passare alla posizione in cui sono stati salvati i file .ZIP delle chiavi
ASSC a 2048 bit e a 1024 bit esportati al passaggio 1.
c
Nella finestra di dialogo Scegli file da caricare selezionare il file .ZIP della chiave ASSC a 2048 bit.
Nella pagina Importa chiavi, che viene nuovamente visualizzata, fare clic su Avanti.
d
Verificare di aver selezionato la chiave corretta, nella pagina Riepilogo, e fare clic su Salva.
e
Per importare la chiave ASSC a 1024 bit, seguire nuovamente i passaggi da a a d.
Nel server nuovo di McAfee ePO verificare che nell'elenco Chiavi di comunicazione sicura
agent-server siano visualizzate entrambe le chiavi ASSC, a 1024 bit e a 2048 bit, quindi fare clic su
Salva.
Ora che entrambe le chiavi ASSC sono state salvate nel server nuovo di McAfee ePO, è possibile
registrare correttamente il server nuovo con il server precedente di McAfee ePO, quindi utilizzare
Trasferisci sistemi per spostare i sistemi gestiti.
Vedere anche
Registrazione di server di McAfee ePO a pagina 87
94
Guida del prodotto
8
Gestori degli agent
I gestori degli agent instradano la comunicazione tra gli agent e il server di McAfee ePO in uso.
Ogni server di McAfee ePO include un gestore degli agent principale. È possibile installare altri gestori
degli agent nei sistemi di una rete.
L'installazione di più gestori degli agent offre i vantaggi riportati di seguito.
•
Consente di gestire un maggior numero di prodotti e sistemi gestiti da un solo server logico di
McAfee ePO nei casi in cui la CPU nel server di database non sia sovraccarica.
•
Garantisce una comunicazione a tolleranza di errore e con bilanciamento del carico con un numero
elevato di agent, anche se distribuiti in posizioni geografiche diverse.
Sommario
Funzionamento dei Gestori di agent
Connessione di un gestore degli agent nella DMZ a un server di McAfee ePO in un dominio
Gruppi di gestori e priorità
Gestione dei gestori degli agent
Funzionamento dei Gestori di agent
I Gestori di agent distribuiscono il traffico di rete generato dalla comunicazione agent-server
indirizzando gruppi di sistemi o sistemi gestiti per i quali generare rapporti a un gestore degli agent
specifico. In seguito all'assegnazione, un sistema gestito comunica con il gestore degli agent
assegnato anziché con il server di McAfee ePO principale.
Analogamente al server di McAfee ePO, il gestore fornisce sitelist, policy e regole di assegnazione di
policy. Memorizza inoltre nella cache il contenuto dell'archivio principale, in modo che gli agent
possano eseguire il pull dei pacchetti di aggiornamento dei prodotti, dei DAT e di altre informazioni
necessarie.
Quando un agent effettua un controllo con il rispettivo gestore e questo non dispone degli
aggiornamenti necessari, li recupera dall'archivio assegnato e li memorizza nella cache trasferendoli nel
contempo all'agent.
Il gestore degli agent deve essere in grado di autenticare le credenziali di dominio. Se non è possibile,
l'account utilizzato dal gestore degli agent per effettuare l'autenticazione nel database deve utilizzare
l'autenticazione SQL. Per ulteriori informazioni sull'autenticazione Windows e SQL, consultare la
documentazione Microsoft SQL Server.
Per ulteriori informazioni su come cambiare modalità di autenticazione, consultare la documentazione
Microsoft SQL Server. Se invece è possibile, è necessario aggiornare anche le informazioni di
connessione di SQL Server.
Il grafico Sistemi per gestore di agent visualizza tutti i Gestori di agent installati e il numero di agent
gestiti da ogni gestore.
Guida del prodotto
95
8
Gestori degli agent
Connessione di un gestore degli agent nella DMZ a un server di McAfee ePO in un dominio
Quando un gestore degli agent viene disinstallato, non viene visualizzato in questo grafico. Se una
regola di assegnazione dei gestori degli agent assegna in modo esclusivo agent a un gestore, e questo
viene disinstallato, il gestore viene visualizzato nel grafico come Gestore di agent disinstallato insieme al
numero di agent che stanno ancora tentando di contattarlo.
Se i Gestori di agent non vengono installati correttamente, viene visualizzato il messaggio Gestore di
agent disinstallato che indica che il gestore non è in grado di comunicare con alcuni agent. Fare clic
sull'elenco per visualizzare gli agent che non possono comunicare con il gestore.
Più gestori di agent
In una rete possono essere presenti più gestori degli agent. Nel caso di un numero elevato di sistemi
gestiti distribuiti in più aree geografiche o confini politici, è possibile aggiungere un'organizzazione ai
sistemi gestiti assegnando gruppi distinti a gestori diversi.
Connessione di un gestore degli agent nella DMZ a un server di
McAfee ePO in un dominio
Quando il server di McAfee ePO si trova in un dominio, un gestore degli agent installato nell'area DMZ
non può connettersi al database SQL di McAfee ePO in quanto non può utilizzare le credenziali del
dominio.
Per ovviare a questa limitazione, configurare il gestore degli agent per l'uso delle credenziali
dell'account dell'amministratore di sistema (sa) del database SQL.
Attività
1
Attivare l'account dell'amministratore di sistema.
a
Aprire SQL Management Studio, espandere Sicurezza, Account di accesso e fare doppio clic sull'account sa.
b
Nella scheda Generale digitare e confermare la password.
c
Nella scheda Stato impostare Account di accesso su Abilitato, quindi fare clic su OK.
d
Fare clic con il pulsante destro del mouse sul nome istanza del database e scegliere Proprietà.
L'account dell'amministratore di sistema viene abilitato.
2
Modificare l'account dell'amministratore di sistema in modo che si connetta al database McAfee
ePO.
a
Aprire un browser web e andare alla pagina https://localhost:8443/core/config-auth
8443 è la porta di comunicazione della console. Se per accedere alla console McAfee ePO si
utilizza una porta diversa, includere nell'indirizzo il numero di tale porta.
b
Accedere con le credenziali McAfee ePO.
c
Eliminare la voce nel campo Dominio utente, quindi digitare sa.
d
Specificare una password per l'account dell'amministratore di sistema e fare clic su Verifica
connessione.
e
Se il test riesce, fare clic su Applica.
Se il test non riesce, immettere nuovamente la password e fare nuovamente clic su Verifica
connessione
96
Guida del prodotto
Gestori degli agent
8
Il gestore degli agent utilizza le credenziali dell'amministratore di sistema per comunicare con il
database McAfee ePO.
Quando si utilizzano più gestori degli agent nella rete, è possibile raggrupparli e assegnargli un ordine
di priorità per garantire la connettività di rete.
Gruppi di gestori
Se la rete contiene più gestori di agent, è possibile creare gruppi di gestori. È inoltre possibile
applicare priorità ai gestori di un gruppo. La priorità dei gestori indica agli agent con quale gestore
stabilire la comunicazione per primo. Se il gestore con massima priorità non è disponibile, l'agent
esegue il fallback a quello successivo dell'elenco. Queste informazioni sulla priorità sono contenute
nell'elenco degli archivi (file sitelist.xml) di ogni agent. Quando si modificano le assegnazioni dei
gestori, tale file viene aggiornato durante il processo di comunicazione agent-server. Dopo aver
ricevuto le assegnazioni, l'agent attende la successiva comunicazione pianificata per implementarle.
Per aggiornare l'agent immediatamente è possibile eseguire una chiamata di attivazione agent.
Il raggruppamento dei gestori e l'assegnazione della priorità possono essere personalizzati in modo da
soddisfare le esigenze di un ambiente specifico. Di seguito sono illustrati due scenari comuni di
raggruppamento dei gestori.
•
Utilizzo di più gestori per il bilanciamento del carico
Se una rete include un numero elevato di sistemi gestiti per cui si desidera distribuire il carico di
lavoro delle comunicazioni agent-server e di applicazione delle policy, è possibile configurare
l'elenco di gestori in modo che gli agent selezionino casualmente il gestore con cui comunicare.
•
Impostazione di un piano di fallback per garantire la comunicazione agent-server
Si prenda in considerazione uno scenario di sistemi distribuiti in un'ampia area geografica.
L'assegnazione di una priorità a ogni gestore dislocato in tale area consente di specificare il gestore
con cui gli agent devono comunicare e l'ordine di comunicazione. Ciò consente di garantire che i
sistemi gestiti nella rete siano sempre aggiornati mediante la creazione di una comunicazione agent
di fallback, in modo analogo agli archivi di fallback che garantiscono che i nuovi aggiornamenti
siano disponibili per gli agent. Se il gestore con la massima priorità non è disponibile, l'agent
esegue il fallback a quello successivo con la massima priorità.
Oltre ad assegnare la priorità ai gestori di un gruppo è anche possibile impostare la priorità di
assegnazione dei gestori tra più gruppi di gestori. Ciò aggiunge un ulteriore livello di ridondanza
all'ambiente che garantisce che gli agent possano ricevere sempre le informazioni richieste.
File sitelist
L'agent utilizza i file sitelist.xml e sitelist.info per stabilire il gestore con cui comunicare. Ogni volta che
vengono aggiornate le assegnazioni e le priorità dei gestori, questi file vengono aggiornati nel sistema
gestito. Dopo l'aggiornamento di questi file, l'agent implementa la nuova assegnazione o priorità per la
successiva comunicazione agent-server pianificata.
È possibile impostare nella rete gestori degli agent cui assegnare McAfee Agent.
Guida del prodotto
97
8
Gestori degli agent
Attività
•
Assegnazione di McAfee Agent ai gestori degli agent a pagina 98
Assegnare agent a gestori degli agent specifici. I sistemi possono essere assegnati
singolarmente, per gruppo e per sottorete.
•
Gestione di assegnazioni di gestori degli agent a pagina 98
Completare le comuni attività di gestione per le assegnazioni di gestori degli agent.
•
Creazione di gruppi di gestori degli agent a pagina 99
I gruppi di gestori semplificano la gestione di più gestori nella rete e rivestono una certa
importanza nella strategia di fallback.
•
Gestione di gruppi di gestori degli agent a pagina 100
Completare le comuni attività di gestione per i gruppi di gestori degli agent.
•
Spostamento di agent tra gestori a pagina 100
Assegnare agent a gestori degli agent specifici. Per assegnare i sistemi, è possibile
utilizzare regole di assegnazione dei gestore degli agent, priorità per l'assegnazione dei
gestori degli agent oppure, a livello individuale, la struttura dei sistemi.
Assegnazione di McAfee Agent ai gestori degli agent
Assegnare agent a gestori degli agent specifici. I sistemi possono essere assegnati singolarmente, per
gruppo e per sottorete.
Nelle assegnazioni dei gestori è possibile specificare un singolo gestore oppure un elenco di gestori da
utilizzare. L'elenco specificato può essere composto da singoli gestori o da gruppi di gestori.
Attività
1
Fare clic su Menu | Configurazione | Gestori di agent, quindi su Azioni | Nuova assegnazione.
2
Specificare un nome univoco per questa assegnazione.
3
Specificare gli agent per questa assegnazione utilizzando una o entrambe le opzioni di Criteri agent
indicate di seguito.
4
•
Selezionare un Percorso della struttura dei sistemi.
•
Digitare l'indirizzo IP, l'intervallo di indirizzi IP o la maschera di sottorete dei sistemi gestiti nel
campo Sottorete agent.
Specificare la Priorità dei gestori mediante una delle opzioni indicate di seguito.
•
Usa tutti i gestori di agent: gli agent selezionano a caso il gestore con il quale comunicare.
•
Usa elenco dei gestori personalizzato:quando si utilizza un elenco di gestori personalizzato, selezionare
il gestore o il gruppo di gestori nell'elenco a discesa.
Quando si utilizza un elenco dei gestori personalizzato, per aggiungere e rimuovere gestori degli
agent utilizzare rispettivamente + e - (un gestore degli agent può essere incluso in più gruppi).
Utilizzare il quadratino di trascinamento per modificare la priorità dei gestori. La priorità determina il
gestore con il quale gli agent tentano di comunicare per primo.
Gestione di assegnazioni di gestori degli agent
Completare le comuni attività di gestione per le assegnazioni di gestori degli agent.
Per eseguire tali azioni, fare clic su Menu | Configurazione | Gestori di agent, quindi in Regole di assegnazione
gestori fare clic su Azioni.
98
Guida del prodotto
Gestori degli agent
Per
Eseguire questa procedura...
Eliminare
l'assegnazione di un
gestore
Fare clic su Elimina nella riga dell'assegnazione selezionata.
Modificare
l'assegnazione di un
gestore
Fare clic su Modifica per l'assegnazione selezionata. Verrà visualizzata la
pagina Assegnazione gestore di agent, nella quale è possibile specificare:
8
• Nome assegnazione: nome univoco che identifica l'assegnazione del gestore.
• Criteri agent: sistemi inclusi nell'assegnazione. È possibile aggiungere e
rimuovere gruppi della struttura dei sistemi o modificare l'elenco di sistemi
nella casella di testo.
• Priorità dei gestori: specificare se utilizzare tutti i gestori di agent o un elenco
dei gestori personalizzato. Se è selezionata l'opzione Usa tutti i gestori di agent,
gli agent selezionano a caso il gestore con il quale comunicare.
Utilizzare il quadratino di trascinamento per modificare rapidamente la
priorità dei gestori nell'elenco dei gestori personalizzato.
Esportare assegnazioni Fare clic su Esporta. Verrà visualizzata la pagina Scarica assegnazioni gestore
di gestori
di agent nella quale è possibile visualizzare o scaricare il file
AgentHandlerAssignments.xml.
Importare
assegnazioni del
gestore
Fare clic su Importa. Verrà visualizzata la finestra di dialogo Importa
assegnazioni gestore di agent, nella quale è possibile selezionare un file
AgentHandlerAssignments.xml scaricato in precedenza.
Modificare la priorità
delle assegnazioni del
gestore
Fare clic su Modifica priorità. Verrà visualizzata la pagina Assegnazione gestore
di agent | Modifica priorità, nella quale modificare la priorità delle
assegnazioni dei gestori mediante il quadratino di trascinamento.
Vedere il riepilogo dei
dettagli di
assegnazione di un
gestore
Fare clic su > nella riga dell'assegnazione selezionata.
Creazione di gruppi di gestori degli agent
I gruppi di gestori semplificano la gestione di più gestori nella rete e rivestono una certa importanza
nella strategia di fallback.
Attività
1
Fare clic su Menu | Configurazione | Gestori di agent, quindi in Gruppi di gestori fare clic su Nuovo gruppo.
Verrà visualizzata la pagina Aggiungi/Modifica gruppo.
2
Specificare il nome del gruppo e i dettagli dei Gestori inclusi, tra cui:
•
Fare clic su Usa bilanciatore di carico per utilizzare un bilanciatore di carico di un altro produttore,
quindi compilare i campi Nome DNS virtuale e Indirizzo IP virtuale (entrambi obbligatori).
•
Fare clic su Usa elenco dei gestori personalizzato per specificare quali Gestori di agent sono inclusi nel
gruppo.
Quando si utilizza un elenco dei gestori personalizzato, selezionare i gestori nell'elenco a discesa
Gestori inclusi. Utilizzare + e - per aggiungere o rimuovere Gestori di agent aggiuntivi nell'elenco
(è possibile includere un gestore di agent in più gruppi). Utilizzare il quadratino di trascinamento
per modificare la priorità dei gestori. La priorità determina il gestore con il quale gli agent
tentano di comunicare per primo.
3
Fare clic su Salva.
Guida del prodotto
99
8
Gestori degli agent
Gestione di gruppi di gestori degli agent
Completare le comuni attività di gestione per i gruppi di gestori degli agent.
Per eseguire le seguenti azioni, fare clic su Menu | Configurazione | Gestori di agent e selezionare lo strumento
di monitoraggio Gruppi di gestori.
Azione
Passaggi
Eliminare un gruppo
di gestori
Fare clic su Elimina nella riga del gruppo selezionato.
Modificare un gruppo Fare clic sul gruppo di gestori. Verrà visualizzata la pagina Impostazioni
di gestori
gruppo dei gestori di agent, nella quale è possibile specificare:
• Nome DNS virtuale: nome univoco che identifica il gruppo di gestori.
• Indirizzo IP virtuale: indirizzo IP associato al gruppo.
• Gestori inclusi: specificare se utilizzare un bilanciatore di carico di fornitori terzi
o un elenco di gestori personalizzato.
Utilizzare un elenco di gestori personalizzato per specificare con quali
gestori, e in quale ordine, comunicano gli agent assegnati al gruppo.
Attivare o disattivare Fare clic su Attiva o su Disattiva nella riga del gruppo selezionato.
un gruppo di gestori
Spostamento di agent tra gestori
Assegnare agent a gestori degli agent specifici. Per assegnare i sistemi, è possibile utilizzare regole di
assegnazione dei gestore degli agent, priorità per l'assegnazione dei gestori degli agent oppure, a
livello individuale, la struttura dei sistemi.
Attività
•
Raggruppamento di agent mediante le assegnazioni dei gestori degli agent a pagina 100
È possibile creare assegnazioni dei gestori degli agent per raggruppare McAfee Agent.
•
Raggruppamento di agent in base alla priorità delle assegnazioni a pagina 101
È possibile raggruppare gli agent e assegnarli a un gestore degli agent che utilizza la
priorità delle assegnazioni.
•
Raggruppamento di agent mediante la struttura dei sistemi a pagina 102
È possibile raggruppare gli agent e assegnarli a un gestore di agent mediante la struttura
dei sistemi.
Raggruppamento di agent mediante le assegnazioni dei gestori degli agent
È possibile creare assegnazioni dei gestori degli agent per raggruppare McAfee Agent.
Quando si assegnano agent ai gestori di agent, prendere in considerazione la prossimità geografica per
ridurre il traffico di rete non necessario.
100
Guida del prodotto
Gestori degli agent
8
Attività
1
Fare clic su Menu | Configurazione | Gestori di agent, quindi fare clic sulla regola di assegnazione dei
gestori necessaria.
Viene visualizzata la pagina Assegnazione gestore di agent.
Se l'unica assegnazione dell'elenco riguarda le regole di assegnazione predefinite, è necessario
creare una nuova assegnazione.
2
Digitare un nome per il campo Nome assegnazione.
3
È possibile configurare i Criteri agent in base ai percorsi della struttura dei sistemi, alla sottorete
agent o singolarmente come illustrato di seguito.
•
Percorsi della struttura dei sistemi: selezionare il gruppo da Percorso della struttura dei sistemi.
È possibile cercare e selezionare altri gruppi in Selezionare gruppo struttura dei sistemi e
utilizzare + e - per aggiungere e rimuovere i gruppi della struttura dei sistemi visualizzati.
4
•
Sottorete agent: nel campo di testo digitare gli indirizzi IP, gli intervalli IP o le subnet mask.
•
Singolarmente: nel campo di testo digitare l'indirizzo IPv4/IPv6 di un sistema specifico.
È possibile impostare la priorità dei gestori su Usa tutti i gestori di agent o Usa elenco dei gestori personalizzato.
Fare clic su Usa elenco dei gestori personalizzato, quindi modificare il gestore in uno dei modi illustrati di
seguito.
•
Modificare il gestore associato aggiungendone un altro all'elenco ed eliminando il gestore
associato in precedenza.
•
Aggiungere altri gestori all'elenco e impostare la priorità utilizzata dall'agent per comunicare con
i gestori.
Quando si utilizza un elenco dei gestori personalizzato, per aggiungere e rimuovere gestori di
agent utilizzare rispettivamente + e - (un gestore di agent può essere incluso in più gruppi).
Utilizzare il quadratino di trascinamento per modificare la priorità dei gestori. La priorità
determina il gestore con il quale gli agent tentano di comunicare per primo.
5
Fare clic su Salva.
Raggruppamento di agent in base alla priorità delle assegnazioni
È possibile raggruppare gli agent e assegnarli a un gestore degli agent che utilizza la priorità delle
assegnazioni.
utilizzare. L'elenco specificato può essere composto da singoli gestori o da gruppi di gestori. Questo
elenco definisce l'ordine in cui gli agent tentano di comunicare utilizzando un determinato gestore di
agent.
Quando si assegnano sistemi ai gestori di agent, prendere in considerazione la prossimità geografica per
Guida del prodotto
101
8
Gestori degli agent
Attività
1
Fare clic su Menu | Configurazione | Gestori di agent. Viene visualizzata la pagina Gestore di agent.
Se l'unica assegnazione dell'elenco riguarda le regole di assegnazione predefinite, è necessario
creare una nuova assegnazione.
2
Modificare le assegnazioni seguendo la procedura illustrata nell'attività Raggruppamento di agent in
base alle regole di assegnazione.
3
Modificare la priorità o la gerarchia delle assegnazioni in base alle esigenze facendo clic su Azioni |
Modifica priorità.
Lo spostamento di un'assegnazione a una priorità inferiore rispetto a un'altra assegnazione crea una
gerarchia in cui l'assegnazione di livello inferiore fa parte di quella superiore.
4
5
Per modificare la priorità di un'assegnazione, visualizzata nella colonna Priorità a sinistra, eseguire
una delle operazioni riportate di seguito.
•
Utilizzare il quadratino di trascinamento per trascinare la riga di assegnazione verso l'alto o
verso il basso in un'altra posizione nella colonna Priorità.
•
Fare clic su Sposta in alto: in Azioni rapide fare clic su Sposta in alto per impostare automaticamente
la massima priorità per l'assegnazione selezionata.
Una volta configurate correttamente le priorità delle assegnazioni, fare clic su Salva.
Raggruppamento di agent mediante la struttura dei sistemi
È possibile raggruppare gli agent e assegnarli a un gestore di agent mediante la struttura dei sistemi.
Quando si assegnano sistemi ai gestori di agent, prendere in considerazione la prossimità geografica per
Attività
102
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi.
2
Nella colonna Struttura dei sistemi passare al sistema o al gruppo da spostare.
3
Utilizzare il quadratino di trascinamento per spostare i sistemi dal gruppo di sistemi attualmente
configurato nel gruppo di sistemi di destinazione.
4
Fare clic su OK.
Guida del prodotto
Una parte essenziale della protezione dell'organizzazione dalle minacce
consiste nel tenere aggiornati i prodotti McAfee con il contenuto di sicurezza
più recente. È possibile effettuare questa operazione per tutti i sistemi della
rete con l'aiuto del server di McAfee ePO.
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
9
10
11
12
13
14
15
16
17
18
19
Tag
Chiavi di sicurezza
Attività client
Eventi e risposte
Guida del prodotto
103
104
Guida del prodotto
9
La Struttura dei sistemi è una rappresentazione grafica della modalità di organizzazione di una rete
gestita.
Utilizzare il software ePolicy Orchestrator per automatizzare e personalizzare l'organizzazione dei
sistemi. La struttura organizzativa adottata influenza l'ereditarietà delle policy di sicurezza e il modo in
cui vengono applicate nell'ambiente.
Per organizzare la Struttura dei sistemi è possibile utilizzare i metodi seguenti:
•
Sincronizzazione automatica con il server di Active Directory o dei domini NT.
•
Ordinamento basato su criteri, con criteri applicati a sistemi in modo manuale o automatico.
•
Organizzazione manuale dalla console (trascinamento).
Sommario
La struttura della Struttura dei sistemi
Considerazioni relative alla pianificazione della struttura dei sistemi
Sincronizzazione di Active Directory
Tipi di sincronizzazione con Active Directory
Sincronizzazione con domini NT
Ordinamento basato su criteri
Creazione e compilazione dei gruppi della struttura dei sistemi
Spostamento di sistemi nella struttura dei sistemi
Funzionamento di Trasferisci sistemi
La Struttura dei sistemi è una struttura gerarchica che consente di organizzare i sistemi della rete in
gruppi e sottogruppi.
La Struttura dei sistemi predefinita include due gruppi:
•
Organizzazione: il livello principale della Struttura dei sistemi.
•
Smarriti: gruppo di raccolta per tutti i sistemi che non sono stati aggiunti, o non è stato possibile
aggiungere, ad altri gruppi della Struttura dei sistemi.
Gruppo Organizzazione
Nel gruppo Organizzazione, gruppo principale della Struttura dei sistemi, sono contenuti tutti i sistemi
aggiunti alla rete o rilevati nella rete (in modo manuale o automatico).
Nell'attesa che l'utente crei la propria struttura, tutti i sistemi vengono aggiunti al gruppo Smarriti.
Guida del prodotto
105
9
Il gruppo Organizzazione presenta le caratteristiche seguenti:
•
Non può essere eliminato.
•
Non può essere rinominato.
Il gruppo Smarriti
Il gruppo Smarriti è un sottogruppo del gruppo Organizzazione.
A seconda dei metodi specificati dall'utente durante la creazione e la gestione della Struttura dei
sistemi, vengono utilizzate caratteristiche diverse per determinare dove inserire i sistemi. Nel gruppo
Smarriti vengono archiviati sistemi per i quali non è stato possibile determinare il percorso.
Il gruppo Smarriti presenta le seguenti caratteristiche:
•
Non può essere eliminato.
•
Non può essere rinominato.
•
Non è possibile modificare i criteri di ordinamento che ne fanno un gruppo di raccolta, ma è
possibile fornire criteri di ordinamento per i sottogruppi che vengono creati al suo interno.
•
Viene visualizzato sempre alla fine dell'elenco della Struttura dei sistemi e non in ordine alfabetico
con gli altri gruppi di pari livello.
•
Per poter visualizzare i contenuti del gruppo Smarriti, gli utenti devono disporre delle apposite
autorizzazioni.
•
Quando un sistema viene destinato al gruppo Smarriti, viene inserito in un sottogruppo denominato
come dominio del sistema. Se un tale gruppo non esiste, viene creato.
Se si eliminano sistemi dalla Struttura dei sistemi, assicurarsi di selezionare l'opzione che consente di
rimuoverne gli agent. Se gli agent non vengono rimossi, i sistemi eliminati risulteranno ancora nel
gruppo Smarriti poiché gli agent continuano a comunicare con il server.
Gruppi della Struttura dei sistemi
Il gruppo Struttura dei sistemi rappresenta una raccolta di sistemi; tale raggruppamento dipende dalle
esigenze specifiche della rete e del business.
È possibile raggruppare sistemi in base al tipo di computer (ad esempio portatili, server, desktop),
all'area geografica (ad esempio Nord America, Europa), ai confini politici (ad esempio finanza o
sviluppo) o a qualsiasi altro criterio in linea con le proprie esigenze.
I gruppi presentano le caratteristiche seguenti:
•
Vengono creati da amministratori o da utenti con le autorizzazioni appropriate.
•
Possono includere sia sistemi che altri gruppi (sottogruppi).
•
Sono gestiti da un amministratore o da un utente con autorizzazioni appropriate.
Raggruppare sistemi con proprietà o requisiti simili in tali unità consente di gestire le policy dei sistemi
in un unico punto, anziché impostare policy per ogni singolo sistema.
Nell'ambito del processo di pianificazione e prima di creare la Struttura dei sistemi, prendere in
considerazione il modo migliore di organizzare i sistemi in gruppi.
106
Guida del prodotto
9
Ereditarietà
L'ereditarietà è un'importante proprietà che semplifica l'amministrazione di policy e attività. In virtù
dell'ereditarietà i gruppi figlio nella Struttura dei sistemi ereditano le policy impostate per i gruppi
padre.
Ad esempio:
•
Le policy impostate al livello Organizzazione della Struttura dei sistemi vengono ereditate dai
gruppi sottostanti.
•
Le policy di un gruppo vengono ereditate da sottogruppi o singoli sistemi all'interno del gruppo.
L'ereditarietà viene attivata per impostazione predefinita per tutti i gruppi e i singoli sistemi che si
aggiungono alla Struttura dei sistemi. Ciò consente di impostare policy e di pianificare le attività client
in un numero limitato di posti.
Per consentire la personalizzazione, tuttavia, è possibile interrompere l'ereditarietà applicando una
nuova policy in qualsiasi punto della Struttura dei sistemi a condizione che l'utente disponga delle
autorizzazioni appropriate. Per garantire l'ereditarietà, è possibile bloccare le assegnazioni di policy.
Considerazioni relative alla pianificazione della struttura dei
sistemi
Una struttura dei sistemi efficace e ben organizzata può semplificare la manutenzione.
L'organizzazione di una struttura dei sistemi può essere influenzata dalle diverse realtà politiche,
amministrative e di rete specifiche di ogni ambiente.
È pertanto consigliabile pianificare l'organizzazione di tale struttura prima di crearla e compilarla. La
creazione della struttura dei sistemi deve essere eseguita una sola volta, soprattutto nel caso di reti di
grandi dimensioni.
Poiché ogni rete è diversa e richiede policy e gestione specifiche, McAfee consiglia di pianificare una
struttura dei sistemi prima di implementare il software McAfee ePO.
Quando si pianifica una struttura dei sistemi è opportuno tenere conto dell'ambiente,
indipendentemente dai metodi scelti per crearla e precompilarla.
Accesso amministratore
Quando si pianifica l'organizzazione della struttura dei sistemi, è necessario prendere in considerazione
i requisiti di accesso degli utenti che devono gestire i sistemi.
Si supponga ad esempio il caso di un'organizzazione con un'amministrazione di rete molto
decentralizzata, in cui amministratori diversi hanno la responsabilità di parti diverse della rete. Per
motivi di sicurezza, è possibile che non esista un unico account di amministratore che possa accedere
a ogni parte della rete. In questo scenario potrebbe non essere possibile impostare policy e distribuire
agent utilizzando un unico account di amministratore. Potrebbe invece essere necessario organizzare
la struttura dei sistemi in gruppi in base a queste suddivisioni e creare account e set di autorizzazioni.
Valutare gli aspetti seguenti:
•
Chi è responsabile della gestione di quali sistemi?
•
Chi ha bisogno dell'accesso per visualizzare informazioni sui sistemi?
•
Chi non deve disporre dell'accesso ai sistemi e alle rispettive informazioni?
Guida del prodotto
107
9
Queste domande influiscono sia sull'organizzazione della struttura dei sistemi sia sui set di
autorizzazioni che vengono creati e applicati agli account utente.
Confini ambientali e relativo impatto sull'organizzazione dei
sistemi
Il tipo di organizzazione dei sistemi per la gestione dipende dai confini presenti in una rete che
influenzano l'organizzazione della struttura dei sistemi in modo diverso rispetto a quella della topologia
di rete.
McAfee consiglia di valutare questi confini nell'ambito della rete e dell'organizzazione e se debbano
essere presi in considerazione per la definizione dell'organizzazione della struttura dei sistemi.
Confini topologici
Una rete è definita da domini NT o da contenitori Active Directory. Una migliore organizzazione
dell'ambiente di rete semplifica la creazione e la gestione della struttura dei sistemi con le funzionalità
di sincronizzazione.
Confini geografici
La gestione della sicurezza è una questione di equilibrio costante tra la protezione e le prestazioni.
Organizzare la struttura dei sistemi in modo da sfruttare al meglio la larghezza di banda della rete
limitata e tener conto di come il server si connetta a tutte le parti della rete, in special modo ai
percorsi remoti che sono spesso serviti da connessioni WAN o VPN più lente, anziché da connessioni
LAN più veloci. È possibile configurare diversamente le policy di aggiornamento e di comunicazione
agent-server per i siti remoti in modo da ridurre il traffico di rete nelle connessioni più lente.
Confini politici
Molte reti di grandi dimensioni sono suddivise in base a individui o gruppi responsabili della gestione
delle varie parti che le compongono. Talvolta questi confini non coincidono con quelli topologici o
geografici. L'organizzazione della struttura dei sistemi dipende da chi accede ai relativi segmenti e li
gestisce.
Confini funzionali
Alcune reti sono suddivise in base ai ruoli dei relativi utenti, ad esempio addetti alle vendite e alla
progettazione. Anche se la rete non è suddivisa secondo confini funzionali, può essere necessario
organizzare i segmenti della struttura dei sistemi in base alla funzionalità se per gruppi diversi sono
richieste policy differenti.
Un gruppo aziendale può eseguire software specifico che richiede policy di sicurezza speciali, ad
esempio quando si organizzano i server e-mail Exchange in un gruppo e si impostano esclusioni
specifiche per la scansione all'accesso.
Sottoreti e intervalli di indirizzi IP
In molti casi le unità organizzative di una rete utilizzano specifiche sottoreti o intervalli di indirizzi IP e
ciò consente di creare un gruppo per una determinata posizione geografica e impostarvi filtri IP. Se la
rete non si estende in aree geografiche diverse, è possibile utilizzare il percorso di rete, come
l'indirizzo IP, come criterio di raggruppamento principale.
Se possibile, prendere in considerazione l'utilizzo di criteri di ordinamento basati sugli indirizzi IP per
automatizzare la creazione e l'aggiornamento della struttura dei sistemi. Impostare criteri basati su su
maschere di sottorete IP o intervalli di indirizzi IP per i gruppi applicabili nella struttura dei sistemi.
Questi filtri consentono di popolare automaticamente i percorsi con i sistemi appropriati.
108
Guida del prodotto
9
Sistemi operativi e software
Prendere in considerazione la possibilità di raggruppare sistemi con sistemi operativi simili per gestire
più facilmente prodotti e policy specifici del sistema operativo. Se si dispone di sistemi legacy, è
possibile creare un gruppo apposito e distribuire e gestire prodotti di sicurezza in tali sistemi
separatamente. Fornendo ai sistemi un tag corrispondente, inoltre, è possibile ordinarli
automaticamente in un gruppo.
Tag e sistemi con caratteristiche simili
È possibile utilizzare tag e gruppi di tal per automatizzare l'ordinamento in gruppi.
I tag identificano i sistemi con caratteristiche simili. Se è possibile organizzare i gruppi per
caratteristiche, è possibile creare e assegnare tag in base a tali criteri per poi utilizzarli come criteri di
ordinamento di gruppi per assicurarsi che i sistemi vengano posizionati automaticamente nei gruppi
appropriati.
Se possibile, utilizzare criteri di ordinamento basati su tag per popolare automaticamente gruppi con i
sistemi appropriati. Inoltre, per semplificare l'ordinamento dei sistemi, è possibile creare gruppi di tag
nidificati fino a quattro livelli di profondità, con un numero massimo di 1.000 sottogruppi di tag in
ciascun livello. Se, ad esempio, i sistemi sono organizzati per ubicazione geografica, tipo di chassis
(server, workstation o portatile), funzione di sistema (server web, SQL o server applicazioni) e utente,
si potrebbero avere i seguenti gruppi di tag:
Percorso
Tipo di chassis
Piattaforma
Utenti
Los Angeles
Desktop
Windows
Generali
Portatile
Macintosh
Vendite
Formazione
Windows
Contabilità
Gestione
Server
San Francisco
Linux
Aziendali
Windows
Aziendali
SQL
Aziendali
Desktop
Windows
Generali
Portatile
Macintosh
Vendite
Formazione
Windows
Contabilità
Gestione
Server
Linux
Aziendali
Windows
Aziendali
SQL
Aziendali
Se nella rete viene eseguito Active Directory, è possibile utilizzare la sincronizzazione di Active
Directory per creare, compilare e gestire parte della Struttura dei sistemi.
Dopo essere stata definita, la Struttura dei sistemi viene aggiornata con i nuovi sistemi (e
sottocontenitori) presenti nell'Active Directory in uso.
Guida del prodotto
109
9
È possibile sfruttare l'integrazione con Active Directory per eseguire queste attività di gestione del
sistema:
•
Effettuare la sincronizzazione con la struttura di Active Directory mediante l'importazione dei
sistemi e dei sottocontenitori di Active Directory, ad esempio i gruppi della Struttura dei sistemi, e
l'aggiornamento continuo con Active Directory. A ogni sincronizzazione, vengono aggiornati sia i
sistemi che la struttura nella Struttura dei sistemi per riflettere i sistemi e la struttura di Active
Directory.
•
Importare i sistemi dal contenitore Active Directory (e dai rispettivi sottocontenitori) come elenco
semplice nel gruppo sincronizzato.
•
Controllare le operazioni da eseguire con i potenziali sistemi duplicati.
•
Utilizzare la descrizione dei sistemi, che viene importata da Active Directory insieme ai sistemi.
Per integrare la Struttura dei sistemi con la struttura dei sistemi di Active Directory è necessario
attenersi al processo indicato di seguito.
1
Configurare le impostazioni di sincronizzazione in ciascun gruppo che costituisce un punto di
mappatura nella Struttura dei sistemi. Nella stessa posizione specificare se:
•
distribuire agent nei sistemi rilevati
•
Eliminare i sistemi dalla Struttura dei sistemi quando vengono eliminati da Active Directory.
•
Consentire o non consentire voci duplicate di sistemi già esistenti altrove nella Struttura dei
sistemi.
2
Utilizzare l'azione Sincronizza ora per importare i sistemi (e possibilmente la struttura) di Active
Directory nella Struttura dei sistemi in base alle impostazioni di sincronizzazione.
3
Utilizzare un'attività server di sincronizzazione dominio NT/Active Directory per sincronizzare
regolarmente i sistemi (e possibilmente la struttura di Active Directory) con la Struttura dei sistemi
in base alle impostazioni di sincronizzazione.
Vi sono due tipi di sincronizzazione con Active Directory: solo sistemi e sistemi e struttura. Il tipo
utilizzato dipende dal livello di integrazione con Active Directory desiderato.
Con ciascun tipo è possibile controllare la sincronizzazione specificando se:
110
•
Distribuire agent automaticamente in sistemi nuovi in ePolicy Orchestrator. È preferibile non
impostare questa opzione per la sincronizzazione iniziale, se si importa un numero elevato di
sistemi e la larghezza di banda è limitata. Il file MSI dell'agent raggiunge i 6 MB. È tuttavia
consigliabile distribuire gli agent automaticamente in nuovi sistemi rilevati in Active Directory
durante le sincronizzazioni successive.
•
Eliminare sistemi da ePolicy Orchestrator (e rimuoverne gli agent) quando vengono eliminati da
Active Directory.
•
Impedire l'aggiunta di sistemi al gruppo se esistono già in altri punti della struttura dei sistemi. Ciò
garantisce l'assenza di sistemi duplicati se si spostano o ordinano manualmente i sistemi in un altro
percorso.
•
Escludere alcuni contenitori Active Directory dalla sincronizzazione. Tali contenitori e i relativi
sistemi vengono ignorati durante la sincronizzazione.
Guida del prodotto
9
Sistemi e struttura
Quando si utilizza questo tipo di sincronizzazione, le modifiche intervenute nella struttura di Active
Directory vengono riflesse nella struttura dei sistemi in occasione della sincronizzazione successiva.
Quando vengono aggiunti, spostati o rimossi sistemi o contenitori in Active Directory, la stessa
operazione viene eseguita nelle posizioni corrispondenti della struttura dei sistemi.
Quando utilizzare questo tipo di sincronizzazione
Utilizzare questo tipo di sincronizzazione per avere la certezza che la struttura dei sistemi (o sue parti)
si presenti esattamente come la struttura di Active Directory.
Se l'organizzazione di Active Directory soddisfa le esigenze di gestione della sicurezza e si desidera che
la struttura dei sistemi continui a riflettere la struttura di Active Directory mappata, utilizzare questo
tipo di sincronizzazione in occasione della sincronizzazione successiva.
Solo sistemi
Utilizzare questo tipo di sincronizzazione per importare in un gruppo della struttura dei sistemi
mappato i sistemi provenienti da un contenitore Active Directory (compresi quelli in sottocontenitori
non esclusi) in formato di elenco normale. Sarà quindi possibile spostare i sistemi in percorsi
appropriati della struttura dei sistemi assegnando criteri di ordinamento ai gruppi.
Se si sceglie questo tipo di sincronizzazione, accertarsi di selezionare l'opzione che non consente di
aggiungere di nuovo i sistemi se già esistono altrove nella struttura dei sistemi. Ciò al fine di evitare
voci duplicate per sistemi già esistenti nella struttura dei sistemi.
Quando utilizzare questo tipo di sincronizzazione
Si utilizza questo tipo di sincronizzazione quando si utilizza Active Directory come una normale origine
di sistemi per ePolicy Orchestrator ma le esigenze dell'organizzazione per la gestione della sicurezza
non coincidono con l'organizzazione di contenitori e sistemi in Active Directory.
Per compilare la struttura dei sistemi è possibile utilizzare i domini NT come origine. Quando si
sincronizza un gruppo con un dominio NT, tutti i sistemi del dominio vengono inseriti nel gruppo in
formato di elenco semplice. È possibile gestire tali sistemi in un unico gruppo oppure creare
sottogruppi per soddisfare esigenze organizzative più specifiche. Per compilare tali sottogruppi in
modo automatico, servirsi di metodi quale, ad esempio, l'ordinamento automatico.
Quando si spostano i sistemi ad altri gruppi o sottogruppi della struttura dei sistemi, avere cura di
specificare di non aggiungerli se esistono già in altri punti della struttura dei sistemi. Ciò al fine di
evitare voci duplicate per sistemi già esistenti nella struttura dei sistemi.
Diversamente dalla sincronizzazione di Active Directory, con la sincronizzazione con domini NT
vengono sincronizzati solo i nomi dei sistemi, non la descrizione.
Come nelle versioni precedenti di ePolicy Orchestrator, è possibile utilizzare le informazioni sugli
indirizzi IP per ordinare automaticamente i sistemi gestiti in gruppi specifici. È inoltre possibile creare
criteri di ordinamento basati su tag, simili a etichette assegnate ai sistemi. È possibile utilizzare uno o
Guida del prodotto
111
9
entrambi i tipi di criteri per accertarsi che i sistemi si trovino nella posizione desiderata all'interno della
Struttura dei sistemi.
Per essere inseriti in un gruppo, i sistemi devono soddisfarne uno dei criteri di ordinamento.
Dopo aver creato i gruppi e aver impostato i criteri di ordinamento, eseguire un'azione Test
ordinamento per verificare che i criteri e il tipo di ordinamento producano i risultati desiderati.
Una volta aggiunti i criteri di ordinamento ai gruppi, è possibile eseguire l'azione Ordina ora. Tale azione
determina lo spostamento automatico dei sistemi selezionati nel gruppo appropriato. I sistemi che non
soddisfano i criteri di ordinamento di alcun gruppo vengono spostati nel gruppo Smarriti.
I nuovi sistemi che chiamano il server per la prima volta vengono aggiunti automaticamente al gruppo
corretto. Se invece si definiscono criteri di ordinamento in seguito alla comunicazione iniziale
agent-server, è necessario eseguire l'azione Ordina ora su tali sistemi per spostarli subito nel gruppo
appropriato oppure attendere la successiva comunicazione agent-server.
Stato di ordinamento dei sistemi
In qualsiasi sistema o raccolta di sistemi è possibile attivare o disattivare l'ordinamento della Struttura
dei sistemi. Se si disattiva l'ordinamento della Struttura dei sistemi in un sistema, viene escluso dalle
azioni di ordinamento, tranne quando viene eseguita l'azione Test ordinamento. Quando si esegue un test
dell'ordinamento, viene preso in considerazione lo stato di ordinamento della raccolta o del sistema
che può essere spostato o ordinato dalla pagina Test ordinamento.
Impostazioni di ordinamento della struttura dei sistemi sul server di McAfee ePO
Per l'applicazione dell'ordinamento è necessario che questo sia attivato sul server e sui sistemi. Per
impostazione predefinita, l'ordinamento dei sistemi viene attivato una sola volta. Di conseguenza i
sistemi vengono ordinati solo quando viene stabilita la prima comunicazione agent-server (o
successivamente se si applicano modifiche ai sistemi esistenti).
Test dell'ordinamento dei sistemi
Questa funzionalità consente di visualizzare la posizione in cui verranno collocati i sistemi durante
un'azione di ordinamento. Nella pagina Test ordinamento vengono visualizzati i sistemi e i percorsi della
posizione in cui verranno ordinati. Anche se questa pagina non indica lo stato di ordinamento dei
sistemi, consente di collocarli nella posizione identificata selezionandoli (anche quelli con l'ordinamento
disattivato) e facendo clic su Sposta sistemi.
112
Guida del prodotto
9
Influenza delle impostazioni sull'ordinamento
È possibile scegliere tre impostazioni del server che consentono di specificare se e quando ordinare i
sistemi, nonché se sia possibile ordinare i sistemi attivando o disattivando l'ordinamento della
struttura dei sistemi nei sistemi selezionati di tale struttura.
Impostazioni del server
Il server presenta tre impostazioni:
•
Disattiva ordinamento struttura dei sistemi: se l'ordinamento basato su criteri non soddisfa le esigenze in
termini di gestione della sicurezza e si desidera utilizzare altre funzionalità della struttura dei
sistemi (come la sincronizzazione con Active Directory) per organizzare i sistemi, selezionare
questa impostazione per impedire che altri utenti di McAfee ePO configurino erroneamente criteri di
ordinamento per i gruppi e spostino i sistemi in percorsi indesiderati.
•
Ordina sistemi durante ogni comunicazione relativa all'agent-server: i sistemi vengono ordinati di nuovo a ogni
comunicazione agent-server. Quando si modificano i criteri di ordinamento per i gruppi, i sistemi si
spostano nel nuovo gruppo durante la relativa comunicazione agent-server successiva.
•
Ordina sistemi una volta: i sistemi vengono ordinati alla successiva comunicazione agent-server e
vengono contrassegnati per non essere più ordinati in altre comunicazioni agent-server, fino a
quando questa impostazione è selezionata. Un sistema di questo tipo può tuttavia essere ordinato
selezionandolo e facendo clic su Ordina ora.
Impostazioni di sistema
È possibile disattivare o attivare l'ordinamento della struttura dei sistemi per qualsiasi sistema. Se si
disattiva tale funzionalità in un sistema, questo non viene ordinato, indipendentemente da come viene
eseguita l'azione di ordinamento. Questo sistema viene invece ordinato se si esegue l'azione Test
ordinamento. Se si attiva tale funzionalità in un sistema, questo viene ordinato sempre se si esegue
l'azione manuale Ordina ora e può essere ordinato durante la comunicazione agent-server in base alle
impostazioni del server definite per l'ordinamento della struttura dei sistemi.
Criteri di ordinamento degli indirizzi IP
In molte reti le informazioni sulle sottoreti e gli indirizzi IP riflettono le distinzioni all'interno delle
organizzazioni, ad esempio posizioni geografiche o funzioni aziendali. Se l'organizzazione degli indirizzi
IP coincide con le proprie esigenze, prendere in considerazione la possibilità di utilizzare tali
informazioni per creare e aggiornare in toto o in parte la struttura dei sistemi impostando criteri di
ordinamento degli indirizzi IP per tali gruppi.
Nella presente versione di ePolicy Orchestrator questa funzionalità è cambiata e consente ora
l'impostazione casuale di criteri di ordinamento degli indirizzi IP nella struttura. Non è più necessario
accertarsi che i criteri di ordinamento dell'indirizzo IP del gruppo figlio siano un sottoinsieme di quelli
del padre, purché al padre non siano stati assegnati criteri. Una volta eseguita la configurazione, è
possibile ordinare i sistemi a livello di comunicazione agent-server oppure solo quando viene avviata
manualmente un'azione di ordinamento.
I criteri di ordinamento di indirizzi IP non devono sovrapporsi tra gruppi diversi. Ogni intervallo di
indirizzi IP o subnet mask nei criteri di ordinamento di un gruppo deve coprire un set univoco di indirizzi
IP. Se i criteri si sovrappongono, il gruppo nel quale i sistemi confluiscono dipende dall'ordine dei
sottogruppi indicato nella scheda Struttura dei sistemi | Dettagli gruppo. Per controllare se gli indirizzi IP si
sovrappongono, è possibile utilizzare l'azione Verifica integrità IP nella scheda Dettagli gruppo.
Guida del prodotto
113
9
Criteri di ordinamento basati su tag
Oltre a utilizzare informazioni sugli indirizzi IP per ordinare i sistemi nel gruppo appropriato, è possibile
definire criteri di ordinamento basati sui tag assegnati ai sistemi.
I criteri basati su tag possono essere utilizzati con criteri basati su indirizzi IP per l'ordinamento.
Ordine dei gruppi e ordinamento
Per garantire ulteriore flessibilità nella gestione della struttura dei sistemi, è possibile configurare
l'ordine dei sottogruppi di un gruppo, nonché l'ordine con cui essi vengono presi in considerazione per
il posizionamento di un sistema durante l'ordinamento.
Quando più sottogruppi presentano criteri corrispondenti, la modifica di questo ordine può determinare
quella della posizione in cui viene inserito un sistema nella struttura dei sistemi.
Se inoltre si utilizzano gruppi di raccolta, questi devono costituire l'ultimo sottogruppo dell'elenco.
Gruppi di raccolta
I gruppi di raccolta sono gruppi i cui criteri di ordinamento sono impostati su Tutti gli altri nella pagina
Criteri di ordinamento del gruppo. Possono essere gruppi di raccolta solo i sottogruppi che si trovano
nell'ultima posizione dell'ordinamento. Tali gruppi ricevono tutti i sistemi che sono stati ordinati nel
gruppo padre ma non sono stati ordinati in alcuno dei peer del gruppo di raccolta.
Aggiunta di un sistema alla Struttura dei sistemi durante
l'ordinamento
Quando l'agent comunica con il server per la prima volta, questo utilizza un algoritmo per inserire il
sistema nella Struttura dei sistemi. Se non riesce a trovare una posizione appropriata per il sistema, lo
inserisce nel gruppo Smarriti.
In ogni comunicazione agent-server il server tenta di individuare il sistema nella Struttura dei sistemi
mediante il GUID agent (solo i sistemi i cui agent abbiano già chiamato il server per la prima volta
dispongono di un GUID agent nel database). Se viene trovato un sistema corrispondente, quest'ultimo
rimane nella posizione esistente.
In caso contrario, il server utilizza un algoritmo per ordinare i sistemi nei gruppi appropriati. I sistemi
possono essere ordinati in gruppi basati su criteri nella Struttura dei sistemi, indipendentemente dal
livello della struttura in cui si trovano, purché ogni gruppo principale nel percorso non presenti criteri
non corrispondenti. I gruppi principali di un sottogruppo basato su criteri devono presentare criteri
corrispondenti o non devono presentarne affatto.
Il tipo di ordinamento assegnato ai singoli sottogruppi (definito nella scheda Dettagli gruppo) determina
l'ordine con cui vengono considerati dal server quando questo cerca un gruppo con criteri
corrispondenti.
114
1
Il server cerca un sistema senza un GUID agent (ovvero il cui agent non sia mai stato chiamato
prima) con un nome corrispondente all'interno di un gruppo con lo stesso nome del dominio. Se la
ricerca ha esito positivo, il sistema viene inserito nel gruppo in questione. Ciò può verificarsi dopo
la prima sincronizzazione Active Directory o con domini NT o dopo l'aggiunta manuale di sistemi
alla Struttura dei sistemi.
2
Se la ricerca ha esito negativo, il server cerca un gruppo con lo stesso nome del dominio di origine
del sistema. Se non viene trovato alcun gruppo, ne viene creato uno nel gruppo Smarriti e il
sistema viene inserito in questa posizione.
3
Le proprietà del sistema vengono aggiornate.
4
Se è configurato per l'esecuzione dei criteri di ordinamento a ogni comunicazione agent-server, il
server applica tutti i tag basati su criteri al sistema.
Guida del prodotto
9
5
Quello che accade dopo dipende dall'eventuale attivazione dell'ordinamento della Struttura dei
sistemi sia nel server che nel sistema.
•
Se l'ordinamento della Struttura dei sistemi è disattivato nel server o nel sistema, quest'ultimo
rimane nella posizione esistente.
•
Se l'ordinamento della Struttura dei sistemi è attivato nel server e nel sistema, quest'ultimo
viene spostato in base ai criteri di ordinamento nei gruppi della Struttura dei sistemi.
Per impostazione predefinita, l'ordinamento della Struttura dei sistemi è disattivato per i sistemi
aggiunti tramite sincronizzazione Active Directory/dominio NT. Tali sistemi non vengono pertanto
ordinati alla prima comunicazione agent-server.
6
Il server prende in considerazione i criteri di ordinamento di tutti i gruppi di primo livello in base al
tipo di ordinamento specificato nella scheda Dettagli gruppo del gruppo Organizzazione. Il sistema
viene inserito nel primo gruppo con criteri corrispondenti o in un gruppo di raccolta preso in
considerazione.
•
Una volta ordinato in un gruppo, ognuno dei sottogruppi di cui è composto viene preso in
considerazione per i criteri corrispondenti in base al relativo tipo di ordinamento specificato nella
scheda Dettagli gruppo.
•
Ciò continua fino a quando non saranno più presenti sottogruppi con criteri corrispondenti per il
sistema e fino a quando quest'ultimo non verrà inserito nell'ultimo gruppo trovato con criteri
corrispondenti.
7
Se non viene trovato un gruppo di primo livello, vengono presi in considerazione i sottogruppi dei
gruppi di primo livello (senza criteri di ordinamento) in base al relativo ordinamento.
8
Se non viene trovato un gruppo basato su criteri di secondo livello, vengono presi in considerazione
i gruppi basati su criteri di terzo livello dei gruppi senza restrizioni di secondo livello.
Non vengono presi in considerazione i sottogruppi di gruppi con criteri non corrispondenti. Perché i
sottogruppi di un gruppo possano essere presi in considerazione per un sistema, è infatti necessario
che il gruppo presenti criteri corrispondenti o non ne presenti affatto.
9
Questo processo continua fino ai livelli inferiore della Struttura dei sistemi e si conclude solo con
l'ordinamento di un sistema in un gruppo.
Se l'impostazione del server per l'ordinamento della Struttura dei sistemi è configurata per
l'esecuzione dell'ordinamento solo alla prima comunicazione agent-server, viene impostato un
contrassegno sul sistema. Tale contrassegno indica che il sistema non potrà essere più ordinato in
una successiva comunicazione agent-server, a meno che non venga modificata l'impostazione del
server in modo da consentire l'ordinamento a ogni comunicazione agent-server.
10 Se il server non può ordinare il sistema in un gruppo, questo viene inserito nel gruppo Smarriti
all'interno di un sottogruppo denominato come il relativo dominio.
È possibile creare gruppi della struttura dei sistemi e compilare i gruppi con i sistemi, digitando i nomi
NetBIOS dei singoli sistemi o importando i sistemi direttamente dalla rete.
È anche possibile compilare i gruppi trascinando i sistemi selezionati in qualsiasi gruppo della struttura
dei sistemi. Il trascinamento della selezione consente inoltre di spostare i gruppi e i sottogruppi nella
struttura dei sistemi.
Guida del prodotto
115
9
Poiché non esiste un solo sistema per organizzare una struttura dei sistemi e poiché ogni rete è
diversa, l'organizzazione della struttura dei sistemi può essere univoca come il layout di una rete.
Sebbene non sia necessario utilizzare tutti i metodi disponibili, è possibile utilizzarne più di uno.
Se ad esempio si utilizza Active Directory nella rete, prendere in considerazione l'importazione dei
contenitori Active Directory anziché dei domini NT. Se l'organizzazione con Active Directory o domini
NT non è adeguata alla gestione della sicurezza, è possibile creare una struttura dei sistemi in un file
di testo e importarlo nella struttura dei sistemi. Nel caso di reti di dimensioni inferiori è possibile
creare una struttura dei sistemi e aggiungere ogni sistema manualmente.
Attività
•
Creazione manuale di gruppi a pagina 116
Creazione di sottogruppi della Struttura dei sistemi. Inserire i sistemi in tali sottogruppi
digitando i nomi NetBIOS per i singoli sistemi o importando i sistemi direttamente dalla
rete.
•
Aggiunta manuale di sistemi a un gruppo esistente a pagina 117
Importare sistemi da Risorse di rete ai gruppi. È inoltre possibile importare un dominio di
rete o un contenitore Active Directory.
•
Esportazione di sistemi dalla struttura dei sistemi a pagina 118
Esportare in un file .txt un elenco di sistemi dalla struttura dei sistemi in modo da poterlo
utilizzare in seguito. È possibile eseguire l'esportazione a livello di gruppo o sottogruppo
mantenendo nel contempo l'organizzazione della struttura dei sistemi.
•
Importazione di sistemi da un file di testo a pagina 119
Creare un file di testo di sistemi e gruppi da importare nella struttura dei sistemi.
•
Ordinamento dei sistemi in gruppi basati su criteri a pagina 120
Configurare e implementare l'ordinamento dei sistemi in gruppi. Per consentire
l'ordinamento dei sistemi in gruppi, è necessario attivare l'ordinamento su server e sistemi
e configurare i criteri di ordinamento e l'ordine dei gruppi.
•
Importazione di contenitori Active Directory a pagina 122
Importare sistemi da contenitori Active Directory direttamente nella Struttura dei sistemi
effettuando la mappatura dei contenitori di origine Active Directory a gruppi della Struttura dei
sistemi.
•
Importazione di domini NT in un gruppo esistente a pagina 124
Importare sistemi da un dominio NT a un gruppo creato manualmente.
•
Pianificazione della sincronizzazione della Struttura dei sistemi a pagina 125
Pianificare un'attività server con la quale aggiornare la Struttura dei sistemi con le modifiche
apportate nel dominio mappato o nel contenitore Active Directory.
•
Aggiornamento manuale di un gruppo sincronizzato con un dominio NT a pagina 126
Aggiornare un gruppo sincronizzato con le modifiche al dominio NT associato.
Creazione manuale di gruppi
Creazione di sottogruppi della Struttura dei sistemi. Inserire i sistemi in tali sottogruppi digitando i nomi
NetBIOS per i singoli sistemi o importando i sistemi direttamente dalla rete.
116
Guida del prodotto
9
Attività
1
Aprire la finestra di dialogo Nuovi sottogruppi.
a
Fare clic su Menu | Sistemi | Struttura dei sistemi.
b
Selezionare un gruppo.
c
Fare clic su Nuovi sottogruppi.
Creare più sottogruppi alla volta.
2
Digitare un nome, quindi fare clic su OK. Il nuovo gruppo appare nella Struttura dei sistemi.
3
Ripetere la procedura fino a quando non si è pronti a popolare i gruppi con i sistemi. Aggiungere i
sistemi ai gruppi della Struttura dei sistemi effettuando una delle operazioni seguenti:
•
Digitando i nomi dei sistemi manualmente.
•
Importandoli dai domini NT o dai contenitori Active Directory. Per semplificare la manutenzione
è possibile sincronizzare regolarmente un dominio o un contenitore con un gruppo.
•
Impostando criteri di ordinamento basati sull'indirizzo IP o su tag per i gruppi. Quando gli agent
vengono depositati da sistemi con tag e informazioni sull'indirizzo IP corrispondenti, vengono
automaticamente inseriti nel gruppo appropriato.
Aggiunta manuale di sistemi a un gruppo esistente
Importare sistemi da Risorse di rete ai gruppi. È inoltre possibile importare un dominio di rete o un
contenitore Active Directory.
Attività
1
Aprire la pagina Nuovi sistemi.
a
b
Fare clic su Nuovi sistemi.
2
Specificare se si desidera distribuire l'McAfee Agent nei nuovi sistemi e se i sistemi devono essere
aggiunti al gruppo selezionato o a un altro gruppo in base ai criteri di ordinamento.
3
Accanto a Sistemi di destinazione digitare il nome NetBIOS per ciascun sistema nella casella di testo,
separando ogni nome con virgole, spazi o interruzioni di riga. In alternativa, fare clic su Sfoglia per
selezionare i sistemi.
Guida del prodotto
117
9
4
Se è stata selezionata l'opzione Esegui push di agent e aggiungi sistemi al gruppo corrente, è possibile attivare
l'ordinamento automatico della Struttura dei sistemi. Per eseguire questa operazione, applicare i criteri
di ordinamento a tali sistemi.
Specificare le seguenti opzioni:
Opzione
Azione
Versione agent
Selezionare la versione agent da distribuire.
Percorso di installazione
Configurare il percorso di installazione dell'agent o accettare quello
predefinito.
Credenziali per l'installazione agent Digitare credenziali valide per l'installazione dell'agent.
5
Numero di tentativi
Digitare un numero intero utilizzando lo zero per i tentativi continui.
Intervallo tra i tentativi
Digitare il numero di secondi che devono trascorrere tra un tentativo
e l'altro.
Interrompi dopo
Digitare il numero di minuti che devono trascorrere prima che la
connessione venga interrotta.
Esegui push di agent utilizzando
Selezionare un gestore di agent specifico o tutti i gestori di agent.
Fare clic su OK.
Esportazione di sistemi dalla struttura dei sistemi
Esportare in un file .txt un elenco di sistemi dalla struttura dei sistemi in modo da poterlo utilizzare in
seguito. È possibile eseguire l'esportazione a livello di gruppo o sottogruppo mantenendo nel
contempo l'organizzazione della struttura dei sistemi.
Può essere utile disporre di un elenco dei sistemi della struttura dei sistemi. È infatti possibile
importare tale nel server di McAfee ePO per ripristinare rapidamente la struttura e l'organizzazione
precedenti.
Questa attività non prevede la rimozione dei sistemi dalla struttura dei sistemi. Prevede invece la
creazione di un file .txt contenente i nomi e la struttura dei sistemi della struttura dei sistemi.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi. Viene visualizzata la pagina Struttura dei sistemi.
2
Selezionare il gruppo o il sottogruppo contenente i sistemi da esportare, quindi fare clic su Azioni
struttura dei sistemi | Esporta sistemi. Viene visualizzata la pagina Esporta sistemi.
3
Specificare se esportare:
4
•
Tutti i sistemi nel gruppo: vengono esportati i sistemi presenti nel Gruppo di origine specificato, ma non
quelli elencati nei sottogruppi nidificati al di sotto di tale livello.
•
Tutti i sistemi nel gruppo e nei sottogruppi: vengono esportati tutti i sistemi presenti in questo livello e al
di sotto di esso.
Fare clic su OK.
Viene visualizzata la pagina Esporta. È possibile fare clic sul collegamento sistemi per visualizzare
l'elenco di sistemi o fare clic con il pulsante destro del mouse sul collegamento per salvare una
copia del file ExportSystems.txt.
118
Guida del prodotto
9
Importazione di sistemi da un file di testo
Creare un file di testo di sistemi e gruppi da importare nella struttura dei sistemi.
Attività
•
Creazione di un file di testo di gruppi e sistemi a pagina 119
È possibile creare un file di testo dei nomi NetBIOS per i sistemi di rete da importare in un
gruppo. È possibile importare un elenco normale di sistemi oppure organizzare i sistemi in
gruppi.
•
Importazione di sistemi e gruppi da un file di testo a pagina 119
Importare sistemi o gruppi di sistemi nella Struttura dei sistemi da un file di testo creato e
salvato dall'utente.
Creazione di un file di testo di gruppi e sistemi
È possibile creare un file di testo dei nomi NetBIOS per i sistemi di rete da importare in un gruppo. È
possibile importare un elenco normale di sistemi oppure organizzare i sistemi in gruppi.
È possibile definire i gruppi e i relativi sistemi digitandone i nomi in un file di testo, quindi importare le
informazioni in ePolicy Orchestrator. Per le reti di grandi dimensioni, servirsi delle utilità di rete come
NETDOM.EXE, fornite in dotazione con il Microsoft Windows Resource Kit, per generare i file di testo
contenenti gli elenchi completi dei sistemi di una rete. Una volta creato il file, è possibile modificarlo
manualmente per generare gruppi di sistemi, quindi importare l'intera struttura nella struttura dei
sistemi.
Prima di importare il file di testo è necessario utilizzare la sintassi corretta, indipendentemente dal
modo in cui il file viene generato.
Attività
1
Elencare ogni sistema in una riga separata. Per organizzare i sistemi in gruppi, digitare il nome del
gruppo seguito da una barra rovesciata (\), quindi elencare di seguito i sistemi appartenenti al
gruppo specifico, ognuno su una riga distinta.
GruppoA\sistema1
GruppoA\sistema2
GruppoA\GruppoB\sistema3
GruppoC\GruppoD
2
Verificare i nomi dei gruppi e dei sistemi, e la sintassi del file di testo, quindi salvare il file di testo
in una cartella temporanea sul server.
Importazione di sistemi e gruppi da un file di testo
Importare sistemi o gruppi di sistemi nella Struttura dei sistemi da un file di testo creato e salvato
dall'utente.
Attività
1
2
Aprire la pagina Nuovi sistemi.
a
b
Fare clic su Nuovi sistemi.
Selezionare Importa sistemi da un file di testo nel gruppo selezionato, ma non forzare gli agent.
Guida del prodotto
119
9
3
Specificare se il file di importazione contiene:
•
Struttura di sistemi e della struttura dei sistemi
•
Solo sistemi (in formato di elenco normale)
4
Fare clic su Sfoglia, quindi selezionare il file di testo.
5
Specificare l'operazione da eseguire con sistemi già esistenti altrove nella Struttura dei sistemi.
6
Fare clic su OK.
I sistemi verranno importati nel gruppo selezionato nella Struttura dei sistemi. Se in base al file di testo i
sistemi devono essere organizzati in gruppi, il server crea i gruppi e importa i sistemi.
Ordinamento dei sistemi in gruppi basati su criteri
Configurare e implementare l'ordinamento dei sistemi in gruppi. Per consentire l'ordinamento dei
sistemi in gruppi, è necessario attivare l'ordinamento su server e sistemi e configurare i criteri di
ordinamento e l'ordine dei gruppi.
Attività
•
Aggiunta di criteri di ordinamento ai gruppi a pagina 120
I criteri di ordinamento della struttura dei sistemi possono basarsi sui tag o sulle
informazioni dell'indirizzo IP.
•
Attivazione dell’ordinamento della struttura dei sistemi nel server a pagina 121
Per ordinare i sistemi, è necessario che sia attivato l'ordinamento della Struttura dei sistemi
sia sul server sia sui sistemi.
•
Attivazione o disattivazione dell'ordinamento della Struttura dei sistemi nei sistemi a pagina
121
Lo stato di ordinamento di un sistema determina se può essere ordinato in un gruppo
basato su criteri.
•
Ordinamento manuale dei sistemi a pagina 121
Ordinare i sistemi selezionati in gruppi con l'ordinamento basato sui criteri attivato.
Aggiunta di criteri di ordinamento ai gruppi
I criteri di ordinamento della struttura dei sistemi possono basarsi sui tag o sulle informazioni
dell'indirizzo IP.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Dettagli gruppo e selezionare il gruppo desiderato nella
2
Accanto a Criteri di ordinamento fare clic su Modifica. Viene visualizzata la pagina Criteri di ordinamento
relativa al gruppo selezionato.
3
Selezionare Sistemi che soddisfano qualunque criterio tra quelli sotto, cui seguono le selezioni dei criteri.
Sebbene sia possibile configurare più criteri di ordinamento per il gruppo, perché un sistema possa
essere inserito in questo gruppo, è necessario che soddisfi un solo criterio.
120
Guida del prodotto
4
5
9
Configurare il criterio. Di seguito sono indicate le opzioni disponibili.
•
Indirizzi IP: utilizzare questa casella di testo per definire come criteri di ordinamento un intervallo
di indirizzi IP o una maschera di sottorete. Tutti i sistemi i cui indirizzi rientrano nell'intervallo
specificato vengono ordinati in questo gruppo.
•
Tag: aggiungere tag specifici per fare in modo che i sistemi inseriti nel gruppo padre che
includono i tag specificati vengano ordinati in questo gruppo.
Ripetere i passaggi in base alle necessità fino a quando non vengono riconfigurati i criteri di
ordinamento per il gruppo, quindi fare clic su Salva.
Attivazione dell’ordinamento della struttura dei sistemi nel server
Per ordinare i sistemi, è necessario che sia attivato l'ordinamento della Struttura dei sistemi sia sul
server sia sui sistemi.
Nell'attività seguente, se si esegue l'ordinamento solo alla prima comunicazione agent-server, tutti i
sistemi attivati vengono ordinati alla comunicazione agent-server successiva e non vengono mai più
ordinati fino a quando tale opzione rimane selezionata. Questi sistemi possono essere tuttavia ordinati
di nuovo manualmente eseguendo l'azione Ordina ora o modificando questa impostazione in modo da
eseguire l'ordinamento a ogni comunicazione agent-server.
Se si esegue l'ordinamento a ogni comunicazione agent-server, a tutti i sistemi attivati viene applicato
questo ordinamento fino a quando tale opzione rimane selezionata.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, quindi selezionare Ordinamento della struttura dei
sistemi nell’elenco Categorie di impostazioni e fare clic su Modifica.
2
Scegliere se ordinare i sistemi solo alla prima comunicazione agent-server oppure a ogni
Attivazione o disattivazione dell'ordinamento della Struttura dei sistemi
nei sistemi
Lo stato di ordinamento di un sistema determina se può essere ordinato in un gruppo basato su criteri.
È possibile modificare lo stato di ordinamento per i sistemi di qualsiasi tabella di sistemi, ad esempio i
risultati delle query, e anche per i risultati di una query pianificata.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare i sistemi desiderati.
2
Fare clic su Azioni | Gestione directory | Modifica stato ordinamento, quindi scegliere se disattivare o attivare
l'ordinamento della Struttura dei sistemi per i sistemi selezionati.
3
Nella finestra di dialogo Modifica stato ordinamento scegliere se disattivare o attivare l'ordinamento
della struttura dei sistemi per il sistema selezionato.
Tali sistemi vengono ordinati alla successiva comunicazione agent-server, a seconda
dell'impostazione del server definita per l'ordinamento della Struttura dei sistemi. In caso contrario,
possono essere ordinati solo tramite l'azione Ordina ora.
Ordinamento manuale dei sistemi
Ordinare i sistemi selezionati in gruppi con l'ordinamento basato sui criteri attivato.
Guida del prodotto
121
9
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare il gruppo che contiene i
sistemi.
2
Selezionare i sistemi, quindi fare clic su Azioni | Gestione directory | Ordina ora. Viene visualizzata la
finestra di dialogo Ordina ora.
Per visualizzare in anteprima i risultati dell'ordinamento prima di ordinare, fare invece clic su Test
ordinamento. Se tuttavia si spostano sistemi dalla pagina Test ordinamento, verranno ordinati tutti i
sistemi selezionati, anche se l'ordinamento della Struttura dei sistemi è disattivato.
3
Fare clic su OK per ordinare i sistemi.
Importazione di contenitori Active Directory
Importare sistemi da contenitori Active Directory direttamente nella Struttura dei sistemi effettuando la
mappatura dei contenitori di origine Active Directory a gruppi della Struttura dei sistemi.
La mappatura dei contenitori Active Directory a gruppi consente di:
•
eseguire la sincronizzazione tra la Struttura dei sistemi e la struttura di Active Directory in modo che,
quando si aggiungono o rimuovono contenitori da Active Directory, anche il gruppo corrispondente
nella Struttura dei sistemi venga aggiunto o rimosso;
•
eliminare i sistemi dalla Struttura dei sistemi quando vengono eliminati da Active Directory;
•
impedire la creazione di voci duplicate di sistemi nella Struttura dei sistemi quando esistono già in altri
gruppi.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Dettagli gruppo, quindi selezionare un gruppo nella Struttura
dei sistemi alla quale si desidera mappare un contenitore Active Directory.
Non è possibile sincronizzare il gruppo Smarriti della Struttura dei sistemi.
122
2
Accanto a Tipo di sincronizzazione, fare clic su Modifica. Verrà visualizzata la pagina Impostazioni di
sincronizzazione relativa al gruppo selezionato.
3
Accanto a Tipo di sincronizzazione selezionare Active Directory. Verranno visualizzate le opzioni di
sincronizzazione di Active Directory.
4
Selezionare il tipo di sincronizzazione con Active Directory che si desidera avvenga tra questo
gruppo e il contenitore Active Directory (e i relativi sottocontenitori):
•
Struttura di sistemi e contenitori: selezionare questa opzione se si desidera che il gruppo rifletta
effettivamente la struttura di Active Directory. Una volta sincronizzata, la Struttura dei sistemi sotto
il gruppo viene modificata per riflettere quella del contenitore Active Directory alla quale è
mappata. Quando i contenitori vengono aggiunti o rimossi da Active Directory, vengono aggiunti
o rimossi anche dalla Struttura dei sistemi. Quando i sistemi vengono aggiunti, spostati o rimossi da
Active Directory, vengono aggiunti, spostati o rimossi anche dalla Struttura dei sistemi.
•
Solo sistemi: selezionare questa opzione se si desidera che i sistemi provenienti dal contenitore
Active Directory (nonché i sottocontenitori non esclusi) popolino solo ed esclusivamente il
gruppo. Durante il mirroring di Active Directory non vengono creati sottogruppi.
Guida del prodotto
9
5
Specificare se si desidera creare un'immissione duplicata per i sistemi che esistono in un altro
gruppo della Struttura dei sistemi.
Se si utilizza la sincronizzazione Active Directory come punto di partenza per la gestione della
sicurezza e si intende utilizzare la funzionalità di gestione della Struttura dei sistemi dopo aver mappato i
sistemi, non selezionare questa opzione.
6
Nella sezione Dominio Active Directory, è possibile:
•
Digitare il nome di dominio completo del dominio Active Directory.
•
Eseguire una selezione in un elenco di server LDAP già registrati.
7
Accanto a Contenitore fare clic su Aggiungi e selezionare un contenitore di origine nella finestra di
dialogo Selezionare il contenitore Active Directory, quindi fare clic su OK.
8
Per escludere sottocontenitori specifici, fare clic su Aggiungi accanto a Eccezioni e selezionare un
sottocontenitore da escludere, quindi fare clic su OK.
9
Specificare se distribuire McAfee Agent automaticamente in nuovi sistemi. Se si opta per questa
opzione, configurare le impostazioni di distribuzione.
McAfee consiglia di non distribuire McAfee Agent durante l'importazione iniziale se il contenitore è di
grandi dimensioni. Se si distribuisce il pacchetto di McAfee Agent da 3,62 MB in più sistemi
contemporaneamente, possono verificarsi problemi a livello di traffico della rete. È preferibile
importare prima il contenitore, quindi distribuire McAfee Agent a gruppi di sistemi alla volta anziché
a tutti i sistemi contemporaneamente. Prendere in considerazione la possibilità di accedere di nuovo
a questa pagina e di selezionare questa opzione dopo la distribuzione iniziale di McAfee Agent, per
fare in modo che McAfee Agent venga installato automaticamente nei nuovi sistemi aggiunti ad
Active Directory.
10 Specificare se eliminare sistemi dalla Struttura dei sistemi quando vengono eliminati dal dominio Active
Directory. Facoltativamente, specificare se rimuovere gli agent dai sistemi eliminati.
11 Per sincronizzare immediatamente il gruppo con Active Directory, fare clic su Sincronizza ora.
Se si fa clic su Sincronizza ora le modifiche apportate alle impostazioni di sincronizzazione vengono
salvate prima della sincronizzazione del gruppo. Se è stata attivata una regola di notifica della
sincronizzazione Active Directory, viene generato un evento per ogni sistema aggiunto o rimosso.
Questi eventi vengono visualizzati nel Registro di verifica e possono essere sottoposti a query. Se sono
stati distribuiti agent nei sistemi aggiunti, la distribuzione viene avviata in ogni sistema aggiunto. Al
termine della sincronizzazione, il campo Ultima sincronizzazione viene aggiornato con l'indicazione
dell'ora e della data in cui la sincronizzazione è terminata e non con quelle in cui in cui sono state
completate le distribuzioni degli agent.
È possibile pianificare un'attività server di sincronizzazione dominio NT/Active Directory per la prima
sincronizzazione. Questa attività server è utile se si distribuiscono agent in nuovi sistemi in
occasione della prima sincronizzazione, quando la larghezza di banda costituisce un problema
rilevante.
12 Al termine della sincronizzazione, visualizzare i risultati nella Struttura dei sistemi.
Quando i sistemi vengono importati, distribuire gli agent se in precedenza non è stata selezionata la
distribuzione automatica.
Prendere in considerazione la possibilità di impostare un'attività server ricorrente di sincronizzazione
dominio NT/Active Directory per mantenere aggiornata la Struttura dei sistemi con le eventuali modifiche
apportate ai contenitori Active Directory.
Guida del prodotto
123
9
Importazione di domini NT in un gruppo esistente
Importare sistemi da un dominio NT a un gruppo creato manualmente.
È possibile popolare i gruppi automaticamente sincronizzando interi domini NT con gruppi specificati.
Questo approccio costituisce un metodo semplice per aggiungere tutti i sistemi della rete alla Struttura
dei sistemi in una sola volta sotto forma di un normale elenco senza descrizione dei sistemi.
Se il dominio è di grandi dimensioni, è possibile creare sottogruppi per facilitare la gestione o
l'organizzazione delle policy. A questo scopo, si importa innanzitutto il dominio in un gruppo della
Struttura dei sistemi, quindi si creano manualmente sottogruppi logici.
Per gestire le stesse policy in più domini, importare ciascun dominio in un sottogruppo sotto lo stesso
gruppo. I sottogruppi erediteranno le policy impostate per il gruppo di primo livello.
Quando si utilizza questo metodo:
•
nei sottogruppi impostare criteri di ordinamento per indirizzo IP o tag allo scopo di ordinare in
modo automatico i sistemi importati
•
pianificare un'attività server ricorrente di sincronizzazione dominio NT/Active Directory per
semplificare la manutenzione.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Dettagli gruppo e selezionare o creare un gruppo nella
2
Accanto a Tipo di sincronizzazione, fare clic su Modifica. Verrà visualizzata la pagina Impostazioni di
sincronizzazione relativa al gruppo selezionato.
3
Accanto a Tipo di sincronizzazione selezionare Dominio NT. Verranno visualizzate le impostazioni di
sincronizzazione del dominio.
4
Accanto a Sistemi che esistono altrove nella struttura dei sistemi, selezionare l'operazione da eseguire con
sistemi già esistenti altrove nella Struttura dei sistemi.
Si consiglia di non selezionare Aggiungi sistemi al gruppo sincronizzato e lasciali nella posizione corrente nella struttura
dei sistemi, soprattutto se si sta utilizzando la sincronizzazione con il dominio NT solo come punto di
partenza per la gestione della sicurezza.
5
Accanto a Dominio fare clic su Sfoglia e selezionare il dominio NT da mappare al gruppo, quindi fare
clic su OK. In alternativa, digitare il nome del dominio direttamente nella casella di testo.
Nel digitare il nome del dominio, non specificare il nome di dominio completo.
6
Specificare se distribuire McAfee Agent automaticamente in nuovi sistemi. Se si opta per questa
opzione, configurare le impostazioni di distribuzione.
Si consiglia di non distribuire McAfee Agent durante l'importazione iniziale se il dominio è di grandi
dimensioni. Se si distribuisce il pacchetto di McAfee Agent da 3,62 MB in più sistemi
contemporaneamente, possono verificarsi problemi a livello di traffico della rete. È preferibile
importare prima il dominio, quindi distribuire l'agent a gruppi più piccoli di sistemi alla volta invece
che a tutti i sistemi contemporaneamente. Al termine della distribuzione di McAfee Agent, prendere
in considerazione la possibilità di accedere di nuovo a questa pagina dopo la distribuzione iniziale
dell'agent. In questo modo, McAfee Agent viene installato automaticamente in qualsiasi nuovo
sistema aggiunto al gruppo (o nei relativi sottogruppi) mediante la sincronizzazione dei domini.
7
124
Specificare se eliminare sistemi dalla Struttura dei sistemi quando questi vengono eliminati dal dominio
NT. Facoltativamente, è possibile specificare se rimuovere gli agent dai sistemi eliminati.
Guida del prodotto
9
8
Per sincronizzare immediatamente il gruppo con il dominio, fare clic su Sincronizza ora, quindi
attendere che i sistemi del dominio vengano aggiunti al gruppo.
Se si fa clic su Sincronizza ora le modifiche apportate alle impostazioni di sincronizzazione vengono
salvate prima della sincronizzazione del gruppo. Se è stata attivata una regola di notifica della
sincronizzazione con un dominio NT, viene generato un evento per ogni sistema aggiunto o rimosso.
Questi eventi vengono visualizzati nel Registro di verifica e possono essere sottoposti a query. Se si è
scelto di distribuire gli agent ai sistemi aggiunti, la distribuzione viene avviata in ogni sistema
aggiunto. Al termine della sincronizzazione, l'ora dell'Ultima sincronizzazione viene aggiornata. Vengono
indicate l'ora e la data in cui è terminata la sincronizzazione, non quelle del completamento delle
distribuzioni di agent.
9
Se si desidera sincronizzare il gruppo con il dominio manualmente, fare clic su Confronta e aggiorna.
Se si fa clic su Confronta e aggiorna, vengono salvate tutte le modifiche apportate alle impostazioni di
sincronizzazione.
a
Se si intende rimuovere alcuni sistemi dal gruppo con questa pagina, specificare se rimuovere
anche gli agent alla rimozione del sistema.
b
Se necessario, selezionare i sistemi da aggiungere al gruppo e da rimuovere dal gruppo, quindi
fare clic su Aggiorna gruppo per aggiungere i sistemi selezionati. Viene visualizzata la pagina
Impostazione di sincronizzazione.
10 Fare clic su Salva, quindi visualizzare i risultati nella Struttura dei sistemi se è stato fatto clic su Sincronizza
ora o su Aggiorna gruppo.
Dopo l'aggiunta dei sistemi alla Struttura dei sistemi, distribuire gli agent se in precedenza si è scelto di
non distribuire agent nell'ambito della sincronizzazione.
Prendere in considerazione la possibilità di impostare un'attività server ricorrente di sincronizzazione
dominio NT/Active Directory per mantenere aggiornato il gruppo con nuovi sistemi presenti nel dominio
NT.
Pianificazione della sincronizzazione della Struttura dei sistemi
Pianificare un'attività server con la quale aggiornare la Struttura dei sistemi con le modifiche apportate nel
dominio mappato o nel contenitore Active Directory.
A seconda delle impostazioni di sincronizzazione di un gruppo, questa attività:
•
vengono aggiunti nuovi sistemi nella rete al gruppo specificato
•
vengono aggiunti nuovi gruppi corrispondenti quando si creano nuovi contenitori Active Directory
•
vengono eliminati gruppi corrispondenti quando si rimuovono contenitori Active Directory
•
vengono distribuiti agent in nuovi sistemi
•
vengono rimossi sistemi che non si trovano più nel dominio o nel contenitore
•
vengono applicate policy e attività del sito o gruppo a nuovi sistemi
•
impedisce o consente la creazione di voci duplicate di sistemi tuttora esistenti nella struttura dei sistemi
che sono stati spostati in altri percorsi.
L'agent non può essere distribuito a tutti i sistemi operativi in questo modo. Per alcuni sistemi potrebbe
essere necessario distribuire l'agent manualmente.
Guida del prodotto
125
9
Attività
1
Aprire la Creazione attività server.
a
Fare clic su Menu | Automazione | Attività server
b
Fare clic su Azioni | Nuova attività.
2
Nella pagina Descrizione, assegnare un nome all'attività e specificare se attivarla dopo la creazione,
quindi fare clic su Avanti. Viene visualizzata la pagina Azioni.
3
Nell'elenco a discesa selezionare Sincronizzazione Active Directory/dominio NT.
4
Specificare se sincronizzare tutti i gruppi o gruppi selezionati. Se si intende sincronizzare solo
alcuni gruppi, fare clic su Seleziona gruppi sincronizzati e selezionare specifici gruppi.
5
Fare clic su Avanti per aprire la pagina Pianificazione.
6
Pianificare l'attività, quindi fare clic su Avanti.
7
Controllare le informazioni sull'attività, quindi fare clic su Salva.
Oltre a eseguire l'attività all'ora pianificata, è possibile eseguirla immediatamente facendo clic su
Esegui accanto all'attività nella pagina Attività server.
Aggiornamento manuale di un gruppo sincronizzato con un
dominio NT
Aggiornare un gruppo sincronizzato con le modifiche al dominio NT associato.
L'aggiornamento include le modifiche seguenti:
•
Aggiunge sistemi attualmente nel dominio.
•
Rimuove dalla struttura dei sistemi che non sono più presenti nel dominio
•
Rimuove agent da tutti i sistemi che non appartengono più al dominio specificato
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Dettagli gruppo, quindi selezionare il gruppo mappato sul
dominio NT.
2
Accanto a Tipo di sincronizzazione fare clic su Modifica. Verrà visualizzata la pagina delle impostazioni di
sincronizzazione.
3
Selezionare Dominio NT, quindi fare clic su Confronta e aggiorna nella parte inferiore della pagina. Verrà
visualizzata la finestra Confronta e aggiorna manualmente.
4
Se si rimuovono sistemi dal gruppo, specificare se rimuovere agent dai sistemi rimossi.
5
Fare clic su Aggiungi tutto o su Aggiungi per importare sistemi dal dominio di rete al gruppo selezionato.
Fare clic su Rimuovi tutto o Rimuovi per eliminare sistemi dal gruppo selezionato.
6
126
Fare clic su Aggiorna gruppo al termine.
Guida del prodotto
9
Spostare i sistemi da un gruppo all'altro nella struttura dei sistemi. È possibile spostare sistemi da
qualsiasi pagina in cui è visualizzata una tabella di sistemi, compresi i risultati di una query.
Oltre alla procedura seguente, è possibile trascinare sistemi dalla tabella Sistemi a qualsiasi gruppo
della struttura dei sistemi.
Nonostante si disponga di una struttura dei sistemi perfettamente organizzata che rispecchia la
gerarchia della rete e sebbene si utilizzino attività e strumenti automatizzati per sincronizzare
regolarmente la struttura dei sistemi, può sorgere l'esigenza di spostare manualmente i sistemi da un
gruppo all'altro. Può ad esempio essere necessario spostare periodicamente sistemi dal gruppo
Smarriti.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare i sistemi.
2
Fare clic su Azioni | Gestione directory | Sposta sistemi. Verrà visualizzata la pagina Seleziona nuovo
gruppo.
3
Specificare se attivare o disattivare l'ordinamento della struttura dei sistemi sui sistemi selezionati
quando vengono spostati.
4
Selezionare il gruppo nel quale posizionare i sistemi e fare clic su OK.
Il comando Trasferisci sistemi consente di spostare i sistemi gestiti tra i server di McAfee ePO
registrati.
Potrebbe essere necessario trasferire i sistemi gestiti quando si effettua l'upgrade dell'hardware del
server e del sistema operativo o se si effettua l'upgrade dell'hardware del server e della versione del
software McAfee ePO.
Nella figura vengono illustrati i processi principali necessari per trasferire sistemi da un server a un
altro di McAfee ePO.
Figura 9-1 Processi del trasferimento di sistemi
Guida del prodotto
127
9
Per trasferire sistemi gestiti da un server a un altro di McAfee ePO sono necessari sei processi,
mostrati nella figura precedente.
1
Esportare le chiavi di comunicazione sicura agent-server (ASSC): nel server precedente di
McAfee ePO utilizzare Menu | Impostazioni del server | Chiavi di sicurezza.
2
Importare le chiavi ASSC: nel nuovo server di McAfee ePO utilizzare Menu | Impostazioni del server |
Chiavi di sicurezza.
3
Registrare il server di McAfee ePO secondario: nel server precedente di McAfee ePO utilizzare
Menu | Configurazione | Server registrati.
4
Spostare i sistemi nel server di McAfee ePO secondario : nel server precedente di McAfee
ePO utilizzare Menu | Struttura dei sistemi | Sistemi e Azioni | Agent | Trasferisci sistemi.
5
Verificare che i sistemi siano arrivati: nel nuovo server di McAfee ePO utilizzare Menu | Struttura
dei sistemi | Sistemi.
6
Verificare che i sistemi siano stati spostati: nel server precedente di McAfee ePO utilizzare
Menu | Struttura dei sistemi | Sistemi.
Vedere anche
Trasferimento di sistemi tra i server di McAfee ePO
È possibile utilizzare Trasferisci sistemi per spostare i sistemi gestiti tra i server di McAfee ePO
registrati.
Prima di iniziare
Prima di poter spostare i sistemi gestiti tra due server di McAfee ePO, ad esempio tra un
server di McAfee ePO precedente e uno nuovo, sono necessarie le modifiche riportate di
seguito a entrambe le configurazioni di McAfee ePO.
Questa procedura consente un trasferimento bidirezionale. Se si preferisce consentire solo
un trasferimento unidirezionale, non è necessario importare le chiavi di comunicazione
agent-server (ASSC) dal nuovo server di McAfee ePO nel server di McAfee ePO precedente.
•
•
Collegare le chiavi di comunicazione sicura agent-server tra i due server di McAfee ePO.
1
Esportare le chiavi ASSC da entrambi i server.
2
Importare le chiavi ASSC dal server precedente nel nuovo server.
3
Importare le chiavi ASSC dal nuovo server nel server precedente.
Registrare i server di McAfee ePO precedente e nuovo in modo che sia possibile
trasferire i sistemi tra l'uno e l'altro.
Assicurarsi di attivare Trasferisci sistemi e selezionare Importazione automatica sitelist
nella pagina Dettagli della pagina Creazione server registrati.
La procedura descritta in questa attività illustra il trasferimento dei sistemi da un server di McAfee ePO
precedente in un nuovo server.
128
Guida del prodotto
9
Attività
1
Nel server di McAfee ePO precedente fare clic su Menu | Sistemi | Struttura dei sistemi, quindi selezionare
i sistemi da trasferire.
2
Fare clic su Azioni | Agent | Trasferisci sistemi.
3
Nella finestra di dialogo Trasferisci sistemi selezionare il nuovo server di McAfee ePO nel menu a
discesa e fare clic su OK.
Se un sistema gestito è stato contrassegnato per il trasferimento, è necessario che trascorrano due
intervalli di comunicazione agent-server perché venga visualizzato nella Struttura dei sistemi del
server di destinazione. Il tempo necessario per completare entrambi gli intervalli di comunicazione
agent-server dipende dalla configurazione. L'intervallo predefinito per la comunicazione agent-server
è di un'ora.
Vedere anche
Guida del prodotto
129
9
130
Guida del prodotto
10
Tag
Utilizzare i tag per identificare e ordinare i sistemi. I tag e i gruppi di tag consentono di selezionare
gruppi di sistemi e di semplificare la creazione di attività e query.
Sommario
Creazione di tag utilizzando Creazione nuovo tag
Gestione dei tag
Creazione, eliminazione e modifica dei sottogruppi di tag
Esclusione dei sistemi dall'aggiunta automatica di tag
Applicazione di tag ai sistemi selezionati
Cancella tag dai sistemi
Applicazione di tag basati sui criteri a tutti i sistemi che li soddisfano
Applicazione di tag basati sui criteri in base a una pianificazione
Creazione di tag utilizzando Creazione nuovo tag
Utilizzare Creazione nuovo tag per creare tag rapidamente.
I tag possono utilizzare criteri che vengono valutati rispetto a ogni sistema:
•
automaticamente a ogni comunicazione agent-server
•
quando viene intrapresa l'azione Esegui criteri di applicazione tag;
•
manualmente nei sistemi selezionati, indipendentemente dai criteri, con l'azione Applica tag.
I tag senza criteri possono essere applicati solo manualmente ai sistemi selezionati.
Attività
1
Aprire Creazione nuovo tag: fare clic su Menu | Sistemi | Catalogo tag | Nuovo tag.
2
Nella pagina Descrizione, digitare un nome e una descrizione significativa, quindi fare clic su Avanti.
Viene visualizzata la pagina Criteri.
3
Selezionare e configurare i criteri, quindi fare clic su Avanti. Viene visualizzata la pagina Valutazione.
Per applicare il tag automaticamente, è necessario configurare i rispettivi criteri.
Guida del prodotto
131
10
Tag
Gestione dei tag
4
Scegliere se i sistemi devono essere valutati in base ai criteri del tag solo quando si esegue l'azione
Esegui criteri di applicazione o anche a ogni comunicazione agent-server, quindi fare clic su Avanti. Viene
visualizzata la pagina Anteprima.
Queste opzioni non sono disponibili se non sono stati configurati criteri. Quando i sistemi vengono
valutati in base ai criteri di un tag, il tag viene applicato ai sistemi che soddisfano tali criteri e che
non stati esclusi dal tag.
5
Verificare le informazioni presenti in questa pagina, quindi fare clic su Salva.
Se il tag presenta criteri, in questa pagina viene visualizzato il numero di sistemi che lo riceveranno
una volta eseguita la valutazione in base ai rispettivi criteri.
Il tag viene aggiunto al gruppo di tag selezionato nella Struttura tag della pagina Catalogo tag.
Gestione dei tag
Dopo aver creato tag utilizzando Creazione nuovo tag, è possibile modificare, eliminare e spostare il
tag, o i tag, tra gruppi di tag utilizzando l'elenco Azioni.
Utilizzare la procedura riportata di seguito per modificare, eliminare, esportare o spostare un tag o più
tag.
Attività
132
1
Fare clic su Menu | Sistemi | Catalogo tag.
2
Dall'elenco Tag, selezionare un tag o più tag, fare clic su Azioni e selezionare una delle seguenti
azioni dall'elenco.
Guida del prodotto
Tag
Azione
10
Passaggi
Modifica tag Da Modifica creazione tag:
1 Nella pagina Descrizione, digitare un nome e una descrizione significativa, quindi fare
clic su Avanti. Viene visualizzata la pagina Criteri.
2 Selezionare e configurare i criteri, quindi fare clic su Avanti. Viene visualizzata la
pagina Valutazione.
Per applicare il tag automaticamente, è necessario configurare i rispettivi criteri.
3 Scegliere se i sistemi devono essere valutati in base ai criteri del tag solo quando si
esegue l'azione Esegui criteri di applicazione tag o anche a ogni comunicazione agent-server,
quindi fare clic su Avanti. Viene visualizzata la pagina Anteprima.
Queste opzioni non sono disponibili se non sono stati configurati criteri. Quando i
sistemi vengono valutati in base ai criteri di un tag, il tag viene applicato ai sistemi
che soddisfano tali criteri e che non stati esclusi dal tag.
4 Verificare le informazioni presenti in questa pagina, quindi fare clic su Salva.
Se il tag presenta criteri, in questa pagina viene visualizzato il numero di sistemi che
lo riceveranno una volta eseguita la valutazione in base ai rispettivi criteri.
Il tag viene aggiornato nel gruppo di tag selezionato nella Struttura tag della pagina
Catalogo tag.
Elimina tag
Quando si fa clic su Elimina, viene visualizzata la finestra di dialogo di conferma. Fare
clic su OK per eliminare il tag.
Esporta tag Quando si fa clic su Esporta tabella, viene visualizzata la pagina Esporta dati.
Sposta tag
Dalla finestra Sposta tag:
1 Selezionare il gruppo di tag in cui si desidera che vengano visualizzati i tag.
2 Fare clic su OK per completare lo spostamento di tag.
È anche possibile trascinare i tag nei gruppi di tag nella Struttura tag.
I sottogruppi di tag consentono di nidificare gruppi di tag fino a quattro livelli di profondità, con un
massimo di 1000 sottogruppi di tag in un singolo gruppo padre. Tali gruppi di tag consentono di
utilizzare un ordinamento basato sui criteri per aggiungere automaticamente i sistemi ai gruppi
corretti.
Per creare, eliminare o modificare un sottogruppo di tag, attenersi alla procedura che segue.
Attività
1
Fare clic su Menu | Sistemi | Catalogo tag.
2
Nella pagina Catalogo tag selezionare una delle azioni elencate di seguito.
Guida del prodotto
133
10
Tag
Azione
Passaggi
Creare un
sottogruppo di
tag
1 Nell'elenco gerarchico Struttura tag selezionare il gruppo di tag, o il gruppo di
tag padre, in cui si desidera creare il nuovo sottogruppo di tag.
Tag personali è il gruppo di tag di livello superiore predefinito aggiunto durante
l'installazione di ePolicy Orchestrator.
2 Fare clic su Nuovo sottogruppo per visualizzare la finestra di dialogo Nuovo
sottogruppo.
3 Nel campo Nome digitare un nome descrittivo per il nuovo sottogruppo di tag.
4 Al termine, fare clic su OK per creare il nuovo sottogruppo di tag.
Rinominare un
sottogruppo di
tag
1 Nell'elenco gerarchico Struttura tag selezionare il sottogruppo di tag da
rinominare.
2 Fare clic su Azioni struttura tag | Rinomina gruppo per visualizzare la finestra di
dialogo Rinomina sottogruppo.
3 Nel campo Nome digitare il nuovo nome per il sottogruppo di tag.
4 Al termine, fare clic su OK per rinominare il sottogruppo di tag.
Eliminare un
sottogruppo di
tag
1 Nell'elenco gerarchico Struttura tag selezionare il sottogruppo di tag da
eliminare.
2 Fare clic su Azioni | Elimina per visualizzare la finestra di dialogo di conferma
Azione: Elimina.
3 Se si è certi di voler eliminare il sottogruppo di tag, fare clic su OK per
procedere alla rimozione.
È possibile impedire che a determinati sistemi vengano applicati tag specifici
In alternativa, è possibile utilizzare una query per raccogliere i sistemi, quindi escludere i tag da tali
sistemi nei risultati della query.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare il gruppo che contiene i
sistemi nella Struttura dei sistemi.
2
Selezionare uno o più sistemi nella tabella Sistemi, quindi fare clic su Azioni | Tag | Escludi tag.
3
Nella finestra di dialogo Escludi tag selezionare il gruppo di tag, il tag da escludere, quindi fare clic su
OK.
Per limitare l'elenco di tag specifici, digitare il nome del tag nella casella di testo sotto Tag.
134
Guida del prodotto
Tag
4
10
Per verificare che i sistemi siano stati esclusi dal tag:
a
Aprire la pagina Dettagli tag, fare clic su Menu | Sistemi | Catalogo tag, quindi selezionare il tag o un
gruppo di tag nell'elenco di tag.
b
Accanto a Sistemi con tag, fare clic sul link relativo al numero di sistemi esclusi dall'applicazione di
tag basata su criteri. Viene visualizzata la pagina Sistemi esclusi dal tag.
c
Verificare che i sistemi siano presenti nell'elenco.
È possibile applicare manualmente un tag ai sistemi selezionati nella Struttura dei sistemi.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare il gruppo contenente i sistemi
desiderati.
2
Selezionare i sistemi, quindi fare clic su Azioni | Tag | Applica tag.
3
Nella finestra di dialogo Applica tag selezionare il gruppo di tag, il tag da applicare, quindi fare clic su
OK.
4
Verificare che i tag siano stati applicati:
a
Fare clic su Menu | Sistemi | Catalogo tag, quindi selezionare un tag o un gruppo di tag nell'elenco di
tag.
b
Nel riquadro dei dettagli, accanto a Sistemi con tag, fare clic sul link corrispondente al numero dei
sistemi ai quali è stato applicato manualmente il tag. Viene visualizzata la pagina Sistemi con tag
applicato manualmente.
c
Cancella tag dai sistemi
Rimuovi tag dai sistemi selezionati.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare il gruppo contenente i sistemi
desiderati.
2
Selezionare i sistemi, quindi fare clic su Azioni | Tag | Cancella tag.
3
Nella finestra di dialogo Cancella tag eseguire uno di questi passaggi, quindi fare clic su OK.
•
Rimuovere un tag specifico: selezionare il gruppo di tag, quindi selezionare il tag.
•
Rimuovere tutti i tag: selezionare Cancella tutto.
Guida del prodotto
135
10
Tag
Applicazione di tag basati sui criteri a tutti i sistemi che li soddisfano
4
Verificare che i tag siano stati applicati:
a
tag.
b
Nel riquadro dei dettagli, accanto a Sistemi con tag, fare clic sul link corrispondente al numero dei
sistemi ai quali è stato applicato manualmente il tag. Viene visualizzata la pagina Sistemi con tag
applicato manualmente.
c
Applicazione di tag basati sui criteri a tutti i sistemi che li
soddisfano
È possibile applicare un tag basato sui criteri a tutti i sistemi non esclusi che soddisfano i criteri
specificati.
Attività
1
Fare clic su Menu | Sistemi | Catalogo tag, quindi selezionare un tag o un gruppo di tag nell'elenco Tag .
2
Fare clic su Azioni | Esegui criteri di applicazione tag.
3
Nel riquqsro Azione specificare se si desidera reimpostare i sistemi con tag applicati manualmente e i
sistemi esclusi.
Questa reimpostazione rimuove il tag dai sistemi che non soddisfano i criteri, mentre lo applica ai
sistemi che soddisfano i criteri ma sono stati esclusi dalla possibilità di ricevere il tag.
4
Fare clic su OK.
5
Verificare che ai sistemi sia stato applicato il tag:
a
tag.
b
Nel riquadro dei dettagli, accanto a Sistemi con tag, fare clic sul link corrispondente al numero di
sistemi ai quali è stato applicato il tag in base ai criteri. Viene visualizzata la pagina Sistemi con tag
applicato in base a criteri.
c
Il tag viene applicato a tutti i sistemi che ne soddisfano i criteri.
Applicazione di tag basati sui criteri in base a una
pianificazione
È possibile pianificare un'attività regolare che applichi un tag a tutti i sistemi che ne soddisfano i
criteri.
136
Guida del prodotto
Tag
10
Attività
1
Fare clic su Menu | Automazione | Attività server, quindi su Azioni | Nuova attività. Viene visualizzata la pagina
Creazione attività server.
2
Nella pagina Descrizione denominare e descrivere l'attività e specificare se deve essere attivata
dopo essere stata creata, quindi fare clic su Avanti. Viene visualizzata la pagina Azioni.
3
Selezionare Esegui criteri di applicazione tag dall'elenco a discesa, quindi selezionare il tag desiderato
dall'elenco a discesa Tag.
4
Specificare se si desidera reimpostare i sistemi con tag applicati manualmente e i sistemi esclusi.
Questa reimpostazione rimuove il tag dai sistemi che non soddisfano i criteri, mentre lo applica ai
sistemi che soddisfano i criteri ma sono stati esclusi dalla possibilità di ricevere il tag.
5
Fare clic su Avanti per aprire la pagina Pianificazione.
6
Pianificare l'attività in base al numero di esecuzioni desiderato, quindi fare clic su Avanti.
7
Controllare le impostazioni dell'attività e fare clic su Salva.
L'attività server viene aggiunta all'elenco nella pagina Attività server. Se è stata selezionata l'opzione
relativa all'attivazione dell'attività nella procedura guidata Creazione attività server, questa viene
eseguita all'ora pianificata.
Guida del prodotto
137
10
Tag
138
Guida del prodotto
11
I sistemi client utilizzano McAfee Agent per comunicare con il server di McAfee ePO. Monitorare e
gestire gli agent dalla console di ePolicy Orchestrator.
Sommario
Utilizzo dell'agent dal server McAfee ePO
Gestione della comunicazione agent-server
L'interfaccia di McAfee ePO contiene pagine in cui è possibile configurare attività e policy dell'agent e
visualizzare le proprietà del sistema, le proprietà dell'agent e altre informazioni sui prodotti McAfee.
Sommario
Funzionamento della comunicazione agent-server
SuperAgent e relativo funzionamento
Funzionalità di inoltro degli agent
Risposta a eventi di policy
Esecuzione immediata delle attività client
Individuazione degli agent inattivi
Proprietà del sistema Windows e del prodotto segnalate dall'agent
Query specificata da McAfee Agent
Funzionamento della comunicazione agent-server
Per garantire che le impostazioni siano aggiornate, che gli eventi vengano inviati e così via, McAfee
Agent deve comunicare periodicamente con il server di McAfee ePO.
Queste comunicazioni vengono definite comunicazione agent-server. Durante ogni comunicazione
agent-server, McAfee Agent raccoglie le proprietà correnti del sistema e gli eventi non ancora inviati,
per inviarli al server. Il server invia policy e attività nuove o modificate a McAfee Agent, nonché
l'elenco degli archivi se è stato modificato dopo l'ultima comunicazione agent-server. McAfee Agent
forza le nuove policy in locale nei sistemi gestiti e apporta eventuali modifiche alle attività o
all'archivio.
Il server di McAfee ePO utilizza un protocollo di rete TLS (Transport Layer Security) per proteggere le
trasmissioni di rete.
Guida del prodotto
139
11
Alla prima installazione di McAfee Agent, il server viene chiamato con tempistiche casuali entro sei
secondi. Successivamente McAfee Agent effettuerà una chiamata nel caso in cui si verifichi una delle
seguenti situazioni:
•
Sia trascorso l'intervallo di comunicazione agent-server.
•
Vengano inviate chiamate di attivazione di McAfee Agent dal server di McAfee ePO o dai gestori
degli agent.
•
Un'attività di attivazione pianificata sui sistemi client.
•
Comunicazione avviata manualmente dal sistema gestito
•
Vengano inviate chiamate di attivazione di McAfee Agent dal server di McAfee ePO.
Intervallo di comunicazione agent-server
L'intervallo di comunicazione agent-server (ASCI) determina la frequenza con cui McAfee Agent
richiama il server di McAfee ePO.
L'intervallo di comunicazione agent-server viene impostato nella scheda Generale della pagina McAfee
AgentPolicy. Con l'impostazione predefinita di 60 minuti, l'agent contatta il server di McAfee ePO una
volta all'ora. Se si decide di modificare l'intervallo, tenere presente che l'agent esegue le seguenti
azioni per ogni ASCI:
•
Raccoglie e invia le relative proprietà.
•
Invia gli eventi che si sono verificati dopo l'ultima comunicazione agent-server.
•
Applica le policy.
•
Riceve nuove policy e attività. Questa azione potrebbe attivarne altre che consumano risorse.
Sebbene queste attività non sovraccarichino alcun computer, una serie di fattori può determinare una
significativa richiesta cumulativa nella rete, nei server di McAfee ePO o nei gestori degli agent, inclusi i
seguenti.
•
Il numero di sistemi gestiti da ePolicy Orchestrator
•
La presenza nell'organizzazione di rigidi requisiti di risposta alle minacce
•
L'ampia distribuzione del percorso di rete o fisico dei client in relazione ai server o ai gestori degli
agent
•
L'insufficienza di larghezza di banda disponibile
In genere, se l'ambiente include queste variabili, è opportuno eseguire le comunicazioni agent-server
con minor frequenza. Per i singoli client con funzioni critiche, può essere opportuno impostare un
intervallo più frequente.
Gestione delle interruzioni di comunicazione tra agent e server
La gestione delle interruzioni risolve i problemi che impediscono la connessione di un sistema a un
Possono verificarsi interruzioni di comunicazione per vari motivi. L'algoritmo di connessione
agent-server è progettato per eseguire nuovi tentativi di comunicazione se il primo ha esito negativo.
McAfee Agentscorre i seguenti metodi di connessione sei volte o finché non viene restituito un set di
risposte.
140
Guida del prodotto
1
Indirizzo IP
2
Nome di dominio completo
3
NetBIOS
11
L'agent seleziona ripetutamente questi tre metodi di connessione nell'ordine indicato fino a un
massimo di sei volte, per un totale di 18 tentativi di connessione. Tra un tentativo di connessione e
l'altro non si verificano ritardi. Il ciclo viene interrotto nel momento in cui un tentativo di connessione
restituisce uno dei valori seguenti:
•
Nessun errore
•
Download non riuscito
•
Caricamento non riuscito
•
Chiusura dell'agent in corso
•
Trasferimento interrotto
•
Server occupato (codice stato del server di McAfee ePO)
•
Caricamento riuscito (codice stato del server di McAfee ePO)
•
Necessità di nuove chiavi per l'agent
•
Nessun pacchetto in arrivo (codice stato del server di McAfee ePO)
•
Rigenerazione GUID richiesta dall'agent (codice stato del server di McAfee ePO)
Se vengono restituiti altri risultati, ad esempio una connessione rifiutata, una connessione non
riuscita, un timeout di connessione o altri errori, l'agent eseguirà immediatamente un nuovo tentativo
utilizzando il metodo di connessione nell'elenco fino al successivo ASCI.
Chiamate di attivazione e attività
Una Una chiamata di attivazione del McAfee Agent attiva una comunicazione agent-server immediata
anziché attendere che sia trascorso l'intervallo di comunicazione agent-server (ASCI) corrente.
L'attività client di attivazione dell'agent è supportata solo su piattaforme Windows. Utilizzare Azioni
struttura dei sistemi per attivare gli agent in sistemi operativi Macintosh e basati su Unix.
Esistono due modi per generare una chiamata di attivazione:
•
Manualmente dal server: si tratta dell'approccio più comune e richiede l'apertura della porta di
comunicazione dell'attivazione agent.
•
Con una pianificazione stabilita dall'amministratore: si tratta di un approccio utile nel caso in
cui la comunicazione agent-server manuale sia disattivata dalla policy. L'amministratore può creare
e distribuire un' attivitàdi attivazione, in cui viene attivato l'agent e viene avviata una
Di seguito sono riportati alcuni motivi per generare una chiamata di attivazione agent:
Guida del prodotto
141
11
•
Viene apportata una modifica alla policy che si desidera applicare immediatamente, senza
attendere la scadenza dell'ASCI pianificato.
•
È stata creata una nuova attività che si desidera eseguire immediatamente. Esegui attività ora
consente di creare un'attività, assegnarla ai sistemi client specificati e inviare chiamate di
attivazione.
•
Una query ha generato un rapporto che indica che un client non è conforme e pertanto si desidera
testarne lo stato durante una procedura di risoluzione dei problemi.
Se in un sistema Windows un determinato agent è stato convertito in un SuperAgent, è in grado di
generare chiamate di attivazione ai segmenti di broadcasting della rete designati. I SuperAgent
distribuiscono l'impatto della chiamata di attivazione agent nella larghezza di banda.
Invio di chiamate di attivazione manuali a singoli sistemi
L'invio manuale della chiamata di attivazione di un agent o un SuperAgent ai sistemi nella Struttura dei
sistemi risulta utile se sono state apportate modifiche alla policy e si desidera che gli agent richiedano di
inviare o ricevere informazioni aggiornate prima della successiva comunicazione agent-server.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi, quindi selezionare il gruppo contenente i sistemi di
destinazione.
2
Selezionare i sistemi dall'elenco, quindi fare clic su Azioni | Agent | Attiva agent.
3
Verificare che i sistemi selezionati siano visualizzati nella sezione Sistemi di destinazione.
4
Accanto a Tipo di chiamata di attivazione scegliere il tipo di chiamata da inviare: Chiamata di attivazione agent o
Chiamata di attivazione SuperAgent.
5
Accettare il valore predefinito di Generazione casuale pari a 0 minuti o digitare un valore diverso da 0 a
60 minuti. Valutare il numero di sistemi che ricevono la chiamata di attivazione nel momento esatto
in cui viene inviata e la larghezza di banda disponibile. Se si digita 0, gli agent rispondono
immediatamente.
6
Per inviare le proprietà incrementali del prodotto come risultato della chiamata di attivazione,
deselezionare Recupera proprietà complete prodotto.... Per impostazione predefinita, vengono inviate le
proprietà complete del prodotto.
7
Per aggiornare tutte le policy e le attività nel corso di questa chiamata di attivazione, selezionare
Forza aggiornamento completo di policy e attività.
8
Immettere valori per le impostazioni Numero di tentativi, Intervallo tra i tentativi e Interrompi dopo per questa
chiamata di attivazione se non si desidera utilizzare i valori predefiniti.
9
Scegliere se si desidera attivare l'agent mediante Tutti i gestori di agent o Ultimi gestori di agent connessi.
10 Fare clic su OK per inviare la chiamata di attivazione agent o SuperAgent.
Invio di chiamate di attivazione manuali a un gruppo
È possibile inviare la chiamata di attivazione di un agent o un SuperAgent a un intero gruppo della
Struttura dei sistemi in un'unica attività. Si tratta di una funzionalità utile se sono state apportate
modifiche alle policy e si desidera che gli agent richiedano l'invio o la ricezione delle informazioni
aggiornate prima della successiva comunicazione agent-server.
142
Guida del prodotto
11
Attività
1
2
Selezionare il gruppo di destinazione dalla struttura dei sistemi e fare clic sulla scheda Dettagli gruppo.
3
Fare clic su Azioni | Attiva agent.
4
Verificare che il gruppo sia visualizzato accanto a Gruppo di destinazione.
5
Scegliere a quali sistemi inviare la chiamata di attivazione agent: Tutti i sistemi in questo gruppo o Tutti i
sistemi in questo gruppo e nei sottogruppi.
6
Accanto a Tipo scegliere il tipo di chiamata da inviare: Chiamata di attivazione agent o Chiamata di attivazione
SuperAgent.
7
Accettare il valore predefinito di Generazione casuale pari a 0 minuti o digitare un valore diverso da 0 a
60 minuti. Se si digita 0, gli agent si riattivano immediatamente.
8
Per inviare le proprietà minime del prodotto come risultato della chiamata di attivazione,
deselezionare Ottieni le proprietà complete del prodotto.... Per impostazione predefinita, vengono inviate le
proprietà complete del prodotto.
9
Per aggiornare tutte le policy e le attività nel corso di questa chiamata di attivazione, selezionare
Forza aggiornamento completo di policy e attività.
10 Fare clic su OK per inviare la chiamata di attivazione agent o SuperAgent.
SuperAgent e relativo funzionamento
Un SuperAgent è un agent che agisce da intermediario tra il server McAfee ePO e altri agent presenti
nello stesso segmento di trasmissione di rete. Solo convertire gli agent Windows possono essere
convertiti in SuperAgent.
Il SuperAgent memorizza nella cache le informazioni ricevute da un server McAfee ePO, l'Archivio
principale o un Archivio distribuito in mirroring e lo distribuisce agli agent nella propria sottorete della
rete. La funzionalità LazyCaching consente ai SuperAgent di recuperare i dati dai server McAfee ePO
solo quando viene richiesto da un nodo di agent locale. È possibile risparmiare ulteriore larghezza di
banda e ridurre al minimo il traffico della rete WAN creando una gerarchia di SuperAgent da utilizzare
insieme alla funzionalità LazyCaching.
Un SuperAgent trasmette inoltre in broadcasting chiamate di attivazione ad altri agent situati nella
stessa sottorete della rete. Il SuperAgent riceve una chiamata di attivazione dal server McAfee ePO,
quindi attiva gli agent nella propria sottorete.
Si tratta di un'alternativa all'invio di normali chiamate di attivazione agent a ogni agent della rete o
all'invio di un'attività di attivazione agent a ogni computer.
SuperAgent e chiamate di attivazione broadcasting
Utilizzare le chiamate di attivazione agent per avviare la comunicazione agent-server prendendo in
considerazione la conversione di un agent su ogni segmento di broadcasting della rete in un
SuperAgent.
I SuperAgent distribuiscono il carico a banda larga di chiamate di attivazione simultanee. Anziché
inviare le chiamate di attivazione agent dal server a ogni agent, il server invia la chiamata di
attivazione SuperAgent ai SuperAgent nel segmento selezionato della struttura del sistema.
Guida del prodotto
143
11
Il processo è il seguente:
1
Il server invia una chiamata di attivazione a tutti i SuperAgent.
2
I SuperAgent trasmettono in broadcasting una chiamata di attivazione a tutti gli agent nello stesso
segmento di broadcasting.
3
Tutti gli agent notificati (agent regolari notificati da un SuperAgent e tutti i SuperAgent) scambiano
dati con il server di McAfee ePO o il gestore degli agent.
Se si invia una chiamata di attivazione SuperAgent, agli agent sprovvisti di un SuperAgent operativo
nel segmento di broadcasting non viene richiesto di comunicare con il server.
Suggerimenti per la distribuzione dei SuperAgent
Per distribuire un numero sufficiente di SuperAgent nei percorsi appropriati, è necessario per prima
cosa determinare i segmenti di broadcasting nel proprio ambiente e selezionare un sistema
(preferibilmente un server) in ogni segmento affinché ospiti un SuperAgent. Se si utilizzano
SuperAgent, verificare che a tutti gli agent sia assegnato un SuperAgent.
Le chiamate di attivazione agent e SuperAgent utilizzano gli stessi canali protetti. Verificare che le
seguenti porte non siano bloccate da un firewall nel client:
•
Porta di comunicazione per l'attivazione agent (per impostazione predefinita 8081).
•
Porta di comunicazione per il broadcasting agent (per impostazione predefinita 8082).
Conversione degli agent in SuperAgent
Nel corso del processo globale di aggiornamento, quando il SuperAgent riceve un aggiornamento dal
server di McAfee ePO, invia chiamate di attivazione a tutti gli agent della sua rete. Configurare le
impostazioni delle policy del SuperAgent in modo da convertire un agent in un SuperAgent.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare un gruppo nella sezione
Struttura dei sistemi. Nel riquadro dei dettagli vengono visualizzati tutti i sistemi appartenenti al
gruppo specifico.
2
Selezionare un sistema e fare clic su Azioni | Agent | Modifica policy su sistema singolo. Viene visualizzata la
pagina Assegnazione di policy relativa al sistema specifico.
3
Dall'elenco a discesa dei prodotti, selezionare McAfee Agent. Vengono elencate le categorie di policy
appartenenti a McAfee Agent, con la policy assegnata dal sistema.
4
Se la policy è ereditata, selezionare Blocca ereditarietà e assegna la policy e le impostazioni a partire da questo
punto.
5
Dall'elenco a discesa Policy assegnata, selezionare una policy Generale.
Da questa posizione è possibile modificare la policy selezionata oppure crearne una nuova.
144
6
Specificare se si desidera impedire l'assegnazione di una policy diversa ai sistemi che la ereditano.
7
Nella scheda SuperAgent, selezionare Converti agent in SuperAgent per attivare la trasmissione delle
chiamate di attivazione.
8
Fare clic su Salva.
9
Inviare una chiamata di attivazione agent.
Guida del prodotto
11
Memorizzazione nella cache interruzioni di comunicazione di SuperAgent
Il SuperAgent memorizza nella cache i contenuti del proprio archivio in modo da ridurre l'utilizzo della
rete WAN.
Se un agent è stato convertito in un SuperAgent, può memorizzare contenuti nella cache dal proprio
server McAfee ePO, dall'archivio distribuito o da altri SuperAgent oppure da altri SuperAgent per
distribuirli a livello locale ad altri agent, riducendo la larghezza di banda WAN. A tale scopo, attivare
LazyCaching nella pagina delle opzioni delle policy di McAfee Agent | SuperAgent, a cui è possibile accedere
da Menu | Policy | Catalogo delle policy.
I SuperAgent non possono memorizzare nella cache i contenuti degli archivi HTTP o FTP di McAfee.
Funzionamento della cache
Quando un sistema client richiede contenuti per la prima volta, il SuperAgent assegnato al sistema li
memorizza nella cache. Da questo momento in poi la cache verrà aggiornata ogni volta che
nell'Archivio principale è disponibile una versione più recente del pacchetto richiesto. Quando viene
creata una struttura gerarchica di SuperAgent, il SuperAgent figlio riceve l'aggiornamento dei
contenuti richiesti dalla cache del rispettivo elemento padre.
Il SuperAgent archivierà esclusivamente i contenuti richiesti dagli agent a esso assegnati, in quanto
non esegue il "pull" di alcun contenuto dagli archivi finché non verrà richiesto da un client. In questo
modo viene ridotto al minimo il traffico tra il SuperAgent e gli archivi. Mentre il SuperAgent recupera i
contenuti dall'archivio, le richieste del sistema client per tali contenuti vengono sospese.
Il SuperAgent deve disporre dell'accesso all'archivio. Senza l'accesso, gli agent che ricevono
aggiornamenti dal SuperAgent non riceveranno mai nuovi contenuti. Verificare che la policy del
SuperAgent includa l'accesso all'archivio.
Gli agent configurati per l'utilizzo del SuperAgent come archivio ricevono i contenuti memorizzati nella
cache nell'archivio SuperAgent invece che direttamente dal server McAfee ePO. Le prestazioni del
sistema dell'agent risultano pertanto migliorate, grazie alla capacità di mantenere in locale la maggior
parte del traffico di rete per il SuperAgent e i relativi client.
Se il SuperAgent viene riconfigurato per l'utilizzo di un nuovo archivio, la cache viene aggiornata per
riflettere il nuovo archivio.
Eliminazione della cache
I SuperAgent eliminano i contenuti dalla propria cache in due situazioni.
•
Se l'Intervallo di controllo di nuovi contenuti dell'archivio è scaduto dall'ultima volta in cui sono
stati richiesti aggiornamenti, il SuperAgent scarica gli aggiornamenti dall'archivio principale, li
elabora ed elimina completamente la cache se sono disponibili nuovi contenuti.
•
Se si verifica un aggiornamento globale, i SuperAgent ricevono una chiamata di attivazione che
elimina tutti i contenuti nella cache.
•
Per impostazione predefinita il contenuto dei SuperAgent viene eliminato ogni 30 minuti.
Lo svuotamento della cache del SuperAgent comporta anche l'eliminazione di ogni file del
relativo archivio non elencato in Replica.log, inclusi eventuali file personali all'interno
della cartella.
•
Si sconsiglia di utilizzare la memorizzazione nella cache dei SuperAgent insieme alla
replica degli archivi.
Guida del prodotto
145
11
Gestione delle interruzioni di comunicazione
Quando un SuperAgent riceve una richiesta di contenuti potenzialmente obsoleti, il SuperAgent tenta
di contattare il server di McAfee ePO per controllare se siano disponibili nuovi contenuti. Se si verifica
il timeout dei tentativi di connessione, il SuperAgent distribuisce i contenuti dal proprio archivio, al fine
di garantire che il richiedente riceva contenuti, anche se obsoleti.
La memorizzazione nella cache del SuperAgent non deve essere utilizzata contestualmente agli
aggiornamenti globali. Entrambe le funzionalità svolgono la stessa attività nell'ambiente gestito, ovvero
mantengono aggiornati gli archivi distribuiti. Non si tratta, tuttavia, di funzionalità complementari.
Utilizzare la memorizzazione nella cache del SuperAgent se la limitazione dell'utilizzo della larghezza di
banda costituisce un aspetto di primaria importanza. Utilizzare gli aggiornamenti globali se è essenziale
eseguire aggiornamenti aziendali rapidi.
Gerarchia di SuperAgent
Una gerarchia di SuperAgents può fungere da intermediaria per gli agent nella stessa rete con un
utilizzo minimo del traffico di rete.
A SuperAgent memorizza nella cache gli aggiornamenti dei contenuti dal server o dall'archivio
distribuito di McAfee ePO e li distribuisce agli agent della rete riducendo il traffico della rete WAN. È
sempre preferibile disporre di più SuperAgent per gestire il carico di rete.
Attivare la funzionalità Lazy caching prima di configurare la gerarchia di SuperAgent.
Creazione di una gerarchia di SuperAgent
Utilizzo della policy Archivio per creare la gerarchia. McAfee consiglia di creare una gerarchia di tre
livelli di SuperAgent nella rete.
La creazione di una gerarchia di SuperAgent consente di evitare il download ripetitivo
dell'aggiornamento di contenuto dal server o dall'archivio distribuito di McAfee ePO. Ad esempio, in
una rete client con due SuperAgent (SuperAgent 1 e SuperAgent 2) e un archivio distribuito,
configurare la gerarchia in modo tale che i sistemi clienti ricevano gli aggiornamenti di contenuto dal
SuperAgent 1. Il SuperAgent 1 riceve e memorizza nella cache gli aggiornamenti da SuperAgent 2,
quindi il SuperAgent 2 riceve e memorizza nella cache gli aggiornamenti dall'archivio distribuito.
I SuperAgent non possono memorizzare nella cache i contenuti degli archivi HTTP o FTP di McAfee.
Quando si crea una gerarchia, verificare che non formi un ciclo di SuperAgent; ad esempio, il
SuperAgent 1 viene configurato in modo da eseguire il "pull" degli aggiornamenti provenienti dal
SuperAgent 2, il SuperAgent 2 viene configurato in modo da eseguire il "pull" degli aggiornamenti dal
SuperAgent 3 e il SuperAgent 3 viene a sua volta configurato per eseguire il "pull" degli aggiornamenti
provenienti dal SuperAgent 1.
Per assicurarsi che il SuperAgent principale sia aggiornato con l'ultimo aggiornamento di contenuti, è
necessario che il broadcasting delle chiamate di attivazione del SuperAgent sia attivato.
Se i SuperAgent non forniscono agli agent l'ultimo aggiornamento di contenuti, gli agent rifiutano
l'aggiornamento di contenuti ricevuto dal SuperAgent ed eseguono il fallback nel successivo archivio
configurato nella policy.
Organizzazione dei SuperAgent in una gerarchia
È possibile modificare le policy delle categorie Generale e Archivio per attivare e impostare una
gerarchia di SuperAgent.
146
Guida del prodotto
11
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi nel menu a discesaProdotto selezionare McAfee Agent
e nel menu a discesa Categoria selezionare Generale.
2
Fare clic sulla policy Impostazioni predefinite personali per iniziare a modificare la policy. Per creare una
policy, fare clic su Azioni | Nuova policy.
Non è possibile modificare la policy McAfee Default.
3
Nella scheda SuperAgent selezionare Converti agent in SuperAgent per convertire l'agent in un SuperAgent e
aggiornarne l'archivio con il contenuto più recente.
4
Selezionare Utilizza sistemi che eseguono SuperAgent come archivi distribuiti per utilizzare i sistemi che ospitano
i SuperAgent come archivi di aggiornamento per i sistemi inclusi nel relativo segmento di
broadcasting, quindi specificare il Percorso archivio.
5
Selezionare Attiva memorizzazione nella cache lenta per consentire ai SuperAgent di memorizzare il
contenuto nella cache quando viene ricevuto dal server McAfee ePO.
6
Fare clic su Salva.
Nella pagina Catalogo delle policy sono elencate le policy della categoria Generale.
7
Modificare la Categoria in Archivio, quindi fare clic sulla policy Impostazioni predefinite personali per iniziare a
modificare la policy. Se si desidera creare una policy, fare clic su Azioni | Nuova policy.
8
Nella scheda Archivi selezionare Usa ordine nell'elenco degli archivi.
9
Fare clic su Consenti automaticamente ai client di accedere agli archivi appena aggiunti per aggiungere nuovi archivi
SuperAgent all'elenco, quindi fare clic su Sposta in alto per organizzare i SuperAgent in una gerarchia.
Organizzare la gerarchia degli archivi in modo che il SuperAgent principale si trovi sempre in cima
all'elenco degli archivi.
Dopo aver impostato la gerarchia di SuperAgent è possibile creare ed eseguire l'attività Statistiche
di McAfee Agent per raccogliere i dati per un rapporto relativo alla larghezza di banda della rete
risparmiata.
Funzionalità di inoltro degli agent
Se la configurazione di rete blocca la comunicazione tra il McAfee Agent e il server di McAfee ePO,
l'agent non può ricevere aggiornamenti di contenuti e policy, né inviare eventi.
È possibile attivare la capacità di inoltro sugli agent che si connettono direttamente al server di McAfee
ePO o sui gestori degli agent per stabilire un ponte di comunicazione tra i sistemi client e il server di
McAfee ePO. Per preservare il bilanciamento del carico della rete è possibile configurare più agent
come RelayServer.
•
È possibile attivare la capacità di inoltro su McAfee Agent 4.8 o versioni successive.
•
Il server di McAfee ePO può avviare la comunicazione, ad esempio mostrare registri
agent, solo con un agent direttamente connesso.
•
La capacità di inoltro non è supportata sui sistemi AIX.
Guida del prodotto
147
11
Comunicazione mediante i RelayServer
L'attivazione della funzionalità di inoltro nella rete converte un McAfee Agent in un RelayServer. Un
McAfee Agent con funzionalità di inoltro può accedere al server McAfee ePO.
Quando un McAfee Agent non riesce a connettersi al server McAfee ePO, trasmette un messaggio in
broadcast per rilevare tutti i McAfee Agent con funzionalità di inoltro nella relativa rete. I RelayServer
rispondono al messaggio e il McAfee Agent stabilisce una connessione al primo RelayServer che
risponde.
Successivamente, se un McAfee Agent non riesce a connettersi al server McAfee ePO, tenta di
connettersi al RelayServer che ha risposto per primo al messaggio di rilevamento. Il McAfee Agent
rileva i RelayServer nella rete a ogni comunicazione agent-server e memorizza nella cache i dettagli
dei primi cinque RelayServer univoci che hanno risposto al messaggio di rilevamento. Se il RelayServer
corrente non riesce a connettersi al server McAfee ePO o non dispone dell'aggiornamento di contenuti
necessario, il McAfee Agent si connette al successivo RelayServer disponibile nella relativa cache.
In un sistema client Windows, dopo aver attivato la funzionalità di inoltro tramite la policy, viene
installato un nuovo servizio MfeServiceMgr.exe. Avviare o arrestare questo servizio per controllare la
funzionalità di inoltro nel sistema client.
Dopo che il McAfee Agent ha completato il caricamento o il download del contenuto dal server McAfee
ePO, il RelayServer si disconnette dal McAfee Agent e dal server McAfee ePO.
Considerazioni importanti
•
Per rilevare i RelayServer nella rete al McAfee Agent è necessario il protocollo UDP (User Datagram
Protocol).
•
Un RelayServer si connette solo ai server elencati nel relativo file SiteList.xml. Si consiglia di
includere il file sitelist.xml del RelayServer come superset dei Sitelist di tutti i McAfee Agent
configurati per connettersi tramite questo RelayServer.
Attivazione della funzionalità di inoltro
Configurazione e assegnazione di policy per attivare la funzionalità di inoltro per un agent.
Se si attiva un sistema non Windows come RelayServer, aggiungere manualmente un'eccezione per il
processo cmamesh e la porta gestore servizio a iptables e ip6tables.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare un gruppo in Struttura dei
sistemi. Nel riquadro dei dettagli vengono visualizzati tutti i sistemi appartenenti al gruppo
specifico.
2
Selezionare un sistema, quindi fare clic su Azioni | Agent | Modifica policy su sistema singolo. Viene
visualizzata la pagina Assegnazione di policy relativa al sistema specifico.
3
4
Se la policy è ereditata, selezionare Blocca ereditarietà e assegna la policy e le impostazioni a partire da questo
punto.
5
Dall'elenco a discesa Policy assegnata, selezionare una policy Generale.
Da questa posizione è possibile modificare la policy selezionata oppure crearne una nuova.
6
148
Specificare se si desidera impedire l'assegnazione di una policy diversa ai sistemi che la ereditano.
Guida del prodotto
7
11
Nella scheda SuperAgent, selezionare Attiva RelayServer per attivare la funzionalità di inoltro.
•
Configurare la Porta gestore servizio su 8083.
•
McAfee consiglia di attivare la funzionalità all'interno della rete dell'organizzazione.
•
I RelayServer non possono connettersi ai server di McAfee ePO utilizzando le
impostazioni proxy.
8
Fare clic su Salva.
9
Invio di una chiamata di attivazione agent.
•
Dopo il primo ASCI lo stato del RelayServer viene aggiornato nella pagina Proprietà
McAfee Agent o nell'interfaccia utente di McTray del sistema client.
•
Su un sistema client Windows, il file di registro SvcMgr_<nome sistema>.log viene
salvato in C:\ProgramData\McAfee\Common Framework\DB.
Raccolta statistiche di McAfee Agent
È possibile eseguire l'attività client Statistiche di McAfee Agent nei nodi gestiti per raccogliere
statistiche sulla gerarchia di McAfee Agent.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare un gruppo nella Struttura dei
sistemi. Nel riquadro dei dettagli vengono visualizzati tutti i sistemi appartenenti al gruppo specifico.
2
Selezionare un sistema, quindi fare clic su Azioni | Agent | Modifica attività su un sistema singolo. Viene
visualizzata l'attività client assegnata a quel sistema.
3
Fare clic su Azioni | Nuova assegnazione delle attività client.
4
Selezionare McAfee Agent dall'elenco dei prodotti, quindi selezionare Statistiche McAfee Agent come Tipo di
attività.
5
Fare clic su Crea nuova attività. Viene visualizzata la pagina della nuova attività client.
6
Selezionare l'opzione desiderata e fare clic su Salva.
Dopo aver distribuito l'attività nel sistema client e aver segnalato lo stato a ePolicy Orchestrator, le
statistiche vengono reimpostate su 0.
Disattivazione della funzionalità di inoltro
È possibile utilizzare la policy Generale per disattivare la funzionalità di inoltro in McAfee Agent.
Attività
1
sistemi. Nel riquadro dei dettagli vengono visualizzati tutti i sistemi appartenenti al gruppo specifico.
2
Selezionare il sistema in cui è stata attivata la funzionalità di inoltro, quindi fare clic su Azioni | Agent
| Modifica policy su sistema singolo. Viene visualizzata la pagina Assegnazione di policy relativa al sistema
specifico.
Guida del prodotto
149
11
3
4
Dall'elenco a discesa Policy assegnata, selezionare la policy Generale applicata sul sistema client.
5
Nella scheda SuperAgent, deselezionare Attiva RelayServer per disattivare la funzionalità di inoltro sul
sistema client.
6
Fare clic su Salva.
7
Inviare una chiamata di attivazione dell'agent.
Risposta a eventi di policy
Impostazione di una risposta automatica in ePolicy Orchestrator filtrato per visualizzare solo gli eventi
di policy.
Attività
1
Fare clic su Menu | Automazione | Risposte automatiche per visualizzare la pagina Risposte automatiche.
2
Fare clic su Azioni | Nuova risposta.
3
Immettere un nome per la risposta e una descrizione facoltativa.
4
Selezionare Eventi di notifica ePO per il gruppo di eventi e Client, Minaccia o Server per il tipo di evento.
5
Fare clic su Attivato per abilitare la risposta e quindi su Avanti.
6
Selezionare Descrizione evento in Proprietà disponibili.
7
Fare clic su ... nella riga Descrizione evento e scegliere una delle seguenti opzioni:
•
Errore durante la raccolta delle proprietà da parte dell'agente per ogni singolo prodotto: questo evento viene
generato e inoltrato nel momento in cui si verifica il primo errore in una raccolta di proprietà.
Non viene generato un evento successivo con esito positivo. Ogni singolo prodotto con errori
genera un evento separato.
•
Errore durante la forzatura di policy da parte dell'agent per ogni singolo prodotto: questo evento viene generato e
inoltrato nel momento in cui si verifica il primo errore in una forzatura di policy. Non viene
generato un evento successivo con esito positivo. Ogni singolo prodotto con errori genera un
evento separato.
8
Immettere le informazioni rimanenti nel filtro in base alle esigenze, quindi fare clic su Avanti.
9
Selezionare le opzioni Aggregazione, Raggruppamento e Limitazione in base alle esigenze.
10 Scegliere un tipo di azione e immettere il comportamento desiderato a seconda del tipo di azione,
11 Esaminare il riepilogo del comportamento della risposta. Se corretto, fare clic su Salva.
La risposta automatica che eseguirà l'azione descritta nel caso in cui si verifichi un evento di policy.
Esecuzione immediata delle attività client
Quando ePolicy Orchestrator comunica con McAfee Agent, è possibile eseguire immediatamente
attività client utilizzando l'azione Esegui attività client ora.
McAfee Agent mette in coda le attività pianificate per l'esecuzione, anziché eseguirle immediatamente.
Un'attività può essere messa in coda immediatamente, tuttavia l'esecuzione viene avviata solo se nella
150
Guida del prodotto
11
coda non sono già presenti altre attività. Le attività create nell'ambito della procedura Esegui attività client
ora vengono eseguite e al termine l'attività viene eliminata dal client.
La procedura Esegui attività client ora è supportata solo nei sistemi client Windows.
Attività
1
2
Selezionare uno o più sistemi in cui eseguire un'attività.
3
Fare clic su Azioni | Agent | Esegui attività client ora.
4
Selezionare McAfee Agent come prodotto e il tipo di attività.
5
Per eseguire un'attività esistente, fare clic su Nome attività, quindi su Esegui attività ora.
6
Per definire una nuova attività, fare clic su Crea nuova attività.
a
Immettere le informazioni appropriate per l'attività in fase di creazione.
Se durante la procedura si crea un'attività McAfee Agent Distribuzione prodotti o Aggiornamento prodotto,
una delle azioni disponibili è Esegui a ogni applicazione delle policy. Questa opzione non ha alcun effetto,
dal momento che l'attività viene eliminata dopo il completamento.
Viene visualizzata la pagina Stato esecuzione attività client, dove è mostrato lo stato di tutte le attività in
esecuzione. Una volta completate le attività, i risultati saranno disponibili nel Registro di verifica e nel
Registro delle attività server.
Individuazione degli agent inattivi
Un agent è considerato inattivo se non ha comunicato con il server McAfee ePO nel periodo di tempo
specificato dall'utente.
Alcuni agent potrebbero essere stati disabilitati o disinstallati dagli utenti. In altri casi, il sistema che
ospita l'agent potrebbe essere stato rimosso dalla rete. McAfee consiglia di eseguire ricerche
settimanali dei sistemi con agent inattivi.
Attività
1
Fare clic su Menu | Creazione di rapporti | Query e rapporti.
2
Nell'elenco Gruppi selezionare il gruppo condiviso McAfee Agent.
3
Fare clic su Esegui nella riga Agent inattivi per eseguire la query.
La configurazione predefinita di questa query cerca i sistemi che non hanno comunicato con il
server McAfee ePO nell'ultimo mese. È possibile specificare ore, giorni, settimane, trimestri o anni.
Se si individuano agent inattivi, esaminare i registri attività per rilevare eventuali problemi che
possono interferire con la comunicazione agent-server. I risultati della query consentono di
intraprendere diverse azioni per quanto riguarda i sistemi identificati, compresi il ping, l'eliminazione,
l'attivazione e la ridistribuzione di un agent.
Guida del prodotto
151
11
Proprietà del sistema Windows e del prodotto segnalate
dall'agent
McAfee Agent segnala le proprietà di sistema a ePolicy Orchestrator dai relativi sistemi gestiti. Le
proprietà segnalate dipendono dal sistema operativo. Di seguito sono elencate le proprietà segnalate
da Windows.
Proprietà del sistema
In questo elenco sono riportati i dati del sistema segnalati a ePolicy Orchestrator dai sistemi operativi
dei nodi in uso. Rivedere i dettagli del sistema prima di concludere che le proprietà del sistema
riportate sono errate.
GUID agent
È un sistema operativo a 64 bit
Versione del sistema operativo
Numero di serie CPU
Ultimo errore di sequenza
Errori di sequenza
Velocità CPU (MHz)
È un portatile
Chiave server
Tipo di CPU
Ultima comunicazione
Indirizzo di sottorete
Proprietà personalizzate 1-4
Indirizzo MAC
Maschera di sottorete
Tipo di comunicazione
Stato gestito
Descrizione sistema
Lingua predefinita
Tipo di gestione
Percorso sistema
Descrizione
Numero di CPU
Nome sistema
Nome DNS
Sistema operativo
Ordinamento della struttura dei sistemi
Nome di dominio
Numero di build del sistema operativo
Tag
Tag esclusi
Identificatore OEM del sistema operativo
Fuso orario
Spazio libero su disco
Piattaforma sistema operativo
Da trasferire
Memoria libera
Versione Service Pack del sistema operativo
Spazio totale su disco
Spazio libero su disco di sistema
Tipo di sistema operativo
Memoria fisica totale
Prodotti installati
Spazio su disco utilizzato
Indirizzo IP
Nome utente
Indirizzo IPX
Vdi
Proprietà agent
Ciascun prodotto McAfee stabilisce le proprietà segnalate a ePolicy Orchestrator e, di queste, quali
sono incluse in un set di proprietà minime. In questo elenco sono indicati i tipi di dati del prodotto
segnalati a ePolicy Orchestrator dal software McAfee installato nel sistema. Se si rilevano errori nei
valori segnalati, rivedere i dettagli dei prodotti prima di concludere che la segnalazione è errata.
152
Guida del prodotto
GUID agent
Percorso installato
Hash chiave di comunicazione sicura agent-server
Lingua
Intervallo di comunicazione agent-server
Ultimo stato applicazione delle policy
Chiamata di attivazione agent
Ultimo stato raccolta proprietà
Porta di comunicazione per l'attivazione dell'agent
Stato licenza
Nodo cluster
Richiedi azione all'utente quando è necessario un riavvio
Stato servizio cluster
Intervallo di applicazione delle policy
Nome cluster
Versione prodotto
Host cluster
Versione plug-in
Nodi membri cluster
Supporto di esecuzione immediata
Percorso risorse quorum cluster
Service Pack
Indirizzo IP cluster
Mostra icona della barra delle applicazioni McAfee
Versione DAT
RelayServer
Versione motore
Funzionalità SuperAgent
Forza riavvio automatico dopo
Archivio SuperAgent
Versione HotFix/patch
SuperAgent - Directory archivio
11
Porta di comunicazione attivazione SuperAgent
Visualizzazione delle proprietà dell'McAfee Agent e dei prodotti
Una frequente attività di risoluzione dei problemi consiste nel verificare che le modifiche apportate alle
policy corrispondano alle proprietà recuperate da un sistema.
Attività
1
2
Nella scheda Sistemi fare clic sulla riga corrispondente al sistema che si desidera esaminare.
Vengono visualizzate le informazioni sulle proprietà del sistema, sui prodotti installati e sull'agent. La
parte superiore della pagina Informazioni di sistema contiene le finestre Riepilogo, Proprietà ed Eventi di
minaccia. Sono visualizzate, inoltre, le schede Proprietà sistema, Prodotti, Eventi di minaccia, McAfee Agent e Voci
correlate.
Query specificata da McAfee Agent
McAfee Agent aggiunge alcune query standard all'ambiente di ePolicy Orchestrator.
Le seguenti query vengono installate nel gruppo condiviso di McAfee Agent.
Tabella 11-1 Query specificate da McAfee Agent
Query
Descrizione
Riepilogo di comunicazione
agent
Un grafico a torta di sistemi gestiti che indica se gli agent hanno
comunicato con il server McAfee ePO durante l'ultimo giorno.
Stato gestore di agent
Grafico a torta che indica lo stato di comunicazione del gestore degli
agent nell'ultima ora.
Guida del prodotto
153
11
Tabella 11-1 Query specificate da McAfee Agent (segue)
Query
Descrizione
Informazioni statistiche agent
Grafico a barre che visualizza le statistiche seguenti sugli agent:
• Numero di connessioni non riuscite ai RelayServer
• Numero di tentativi di connessione al RelayServer effettuati dopo il
numero massimo di connessioni consentite
• Larghezza di banda della rete risparmiata grazie all'uso della
gerarchia del SuperAgent
Riepilogo delle versioni degli
agent
Grafico a torta degli agent installati per numero di versione su
sistemi gestiti.
Agent inattivi
Tabella contenente tutti i sistemi gestiti i cui agent non hanno
comunicato nell'ultimo mese.
Nodi gestiti con errori
Grafico a barre per un singolo gruppo in cui è visualizzato il numero
nell'applicazione delle policy ai massimo di nodi gestiti (specificati nella procedura guidata Creazione
singoli prodotti
query) che presentano almeno un errore nell'applicazione delle
policy.
È possibile eseguire una query per gli errori di applicazione delle
policy dei prodotti gestiti sul server McAfee ePO 5.0 o versione
successiva.
Nodi gestiti con errori nella
raccolta delle proprietà dei
singoli prodotti
Grafico a barre per un singolo gruppo in cui è visualizzato il numero
massimo di nodi gestiti (specificati nella procedura guidata Creazione
query) che presentano almeno un errore nella raccolta di proprietà.
È possibile eseguire una query per gli errori di raccolta delle
proprietà dei prodotti gestiti sul server McAfee ePO 5.0 o versione
successiva.
Utilizzo di percentuali e archivi Grafico a barre che indica l'utilizzo dei singoli archivi espresso come
percentuale di tutti gli archivi.
Utilizzo di archivi in base al
"pull" di file DAT e del motore
Grafico a barre in pila che indica il "pull" di file DAT e del motore per
archivio.
Sistemi per gestore di agent
Grafico a torta che indica il numero di sistemi gestiti per gestore degli
agent.
Modificare le impostazioni di ePolicy Orchestrator per adattare la comunicazione agent-server alle
esigenze dell'ambiente in uso.
Consentire la memorizzazione nella cache delle credenziali di
distribuzione degli agent
Per distribuire correttamente gli agent dal server di McAfee ePO in uso ai sistemi della rete, gli
amministratori devono fornire le credenziali. È possibile scegliere se consentire la memorizzazione
nella cache delle credenziali di distribuzione dell’agent per ciascun utente.
Se si memorizzano nella cache le credenziali di un utente, tale utente potrà distribuire gli agent senza
che sia necessario fornirle nuovamente. Le credenziali vengono memorizzate nella cache per singolo
utente, pertanto un utente che non abbia precedentemente fornito le credenziali non può distribuire gli
agent se non dopo aver fornito le credenziali.
154
Guida del prodotto
11
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Credenziali di distribuzione dell'agent
nell'elenco Categorie di impostazioni, quindi fare clic su Modifica.
2
Selezionare la casella di controllo per consentire la memorizzazione nella cache delle credenziali di
distribuzione degli agent.
Modifica delle porte di comunicazione dell'agent
È possibile modificare alcune delle porte utilizzate per la comunicazione dell’agent nel server di McAfee
ePO.
È possibile modificare le impostazioni per le porte di comunicazione dell'agent indicate di seguito.
•
Porta di comunicazione sicura agent-server
•
Porta di comunicazione per l'attivazione dell'agent
•
Porta di comunicazione in broadcast dell'agent
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Porte nell'elenco Categorie di
2
Specificare se si desidera attivare la porta 443 come porta sicura per le comunicazioni agent-server,
digitare le porte da utilizzare per le chiamate di attivazione e per il broadcast dell'agent, quindi fare
clic su Salva.
Guida del prodotto
155
11
156
Guida del prodotto
12
Chiavi di sicurezza
Si utilizzano chiavi di sicurezza per verificare e autenticare la comunicazione e il contenuto all'interno
dell'ambiente ePolicy Orchestrator gestito.
Sommario
Chiavi di sicurezza e relativo funzionamento
Coppia di chiavi dell'archivio principale
Chiavi pubbliche di altri archivi
Gestione delle chiavi di archivio
Chiavi di comunicazione sicura agent-server (ASSC)
Chiavi di backup e ripristino
Chiavi di sicurezza e relativo funzionamento
Il server McAfee ePO è basato su tre coppie di chiavi di sicurezza.
Le tre coppie di chiavi di sicurezza vengono utilizzate per:
•
Autenticare la comunicazione agent-server.
•
Verificare il contenuto degli archivi locali.
•
Verificare il contenuto degli archivi remoti.
Per ogni coppia, la chiave segreta viene utilizzata per firmare messaggi o pacchetti all'origine mentre
la chiave pubblica viene utilizzata per verificare messaggi o pacchetti alla destinazione.
•
Durante la prima comunicazione tra agent e server, la chiave pubblica dell'agent viene inviata al
server.
•
In seguito la chiave pubblica dell'agent viene utilizzata per verificare messaggi firmati con la chiave
segreta dell'agent.
•
La chiave segreta del server viene utilizzata per firmare i messaggi del server destinati all'agent.
•
La chiave pubblica del server viene utilizzata dall'agent per verificare il messaggio del server.
•
Sono possibili più coppie di chiavi di comunicazione sicura ma solo una può essere designata come
chiave principale.
•
Quando viene eseguita l'attività di aggiornamento della chiave agent client. (McAfee ePO Agent Key
Updater), gli agent che utilizzano chiavi pubbliche diverse ricevono la chiave pubblica corrente.
•
Quando si effettua l'upgrade, le chiavi esistenti vengono migrate nel server McAfee ePO.
Guida del prodotto
157
12
Chiavi di sicurezza
Coppie di chiavi dell'archivio principale locale
•
La chiave segreta dell'archivio viene utilizzata per firmare il pacchetto prima che venga depositato
nell'archivio.
•
La chiave pubblica dell'archivio verifica il contenuto del pacchetto in archivio.
•
Ogni volta che viene eseguita l'attività di aggiornamento del client, l'agent recupera il contenuto
nuovo disponibile.
•
Questa coppia di chiavi è univoca per ciascun server.
•
L'esportazione e l'importazione di chiavi tra server consente di utilizzare la stessa coppia di chiavi in
un ambiente con più server.
Altre coppie di chiavi degli archivi
•
La chiave segreta di un'origine affidabile viene utilizzata per firmarne il contenuto quando tale
contenuto viene pubblicato nell'archivio remoto. Fonti affidabili sono ad esempio il sito di download
di McAfee e l'archivio McAfee Security Innovation Alliance (SIA).
Se questa chiave viene eliminata, non è possibile eseguire un pull neanche se si importa una chiave
da un altro server. Prima di sovrascrivere o eliminare la chiave, avere cura di eseguirne il backup in
una posizione sicura.
•
La chiave pubblica di McAfee Agent verifica il contenuto recuperato dall'archivio remoto.
Con la chiave privata dell'archivio principale viene firmato tutto il contenuto senza firma dell'archivio
principale. Si tratta di una funzionalità degli agent a partire dalla versione 4.0.
Gli agent 4.0 e versioni successive utilizzano la chiave pubblica per verificare il contenuto dell'archivio
proveniente dall'archivio principale nel server di McAfee ePO. Se il contenuto è senza firma o la firma è
ottenuta con una chiave privata di un archivio sconosciuto, il contenuto scaricato viene considerato
non valido e quindi eliminato.
Questa coppia di chiavi è univoca per ciascun server installato. Mediante l'esportazione e
l'importazione di chiavi, tuttavia, è possibile utilizzare la stessa coppia di chiavi in un ambiente con più
server. In questo modo si garantisce che gli agent possano sempre connettersi a uno degli archivi
principali, anche quando un altro archivio è inattivo.
Chiavi pubbliche di altri archivi
Chiavi diverse dalla coppia di chiavi principali sono chiavi pubbliche utilizzate dagli agent per verificare
il contenuto di altri archivi principali esistenti nell'ambiente o provenienti da siti di origine McAfee.
Ciascun agent che faccia riferimento al server utilizza le chiavi riportate nell'elenco Chiavi pubbliche di altri
archivi per verificare il contenuto proveniente da altri server McAfee ePO dell'organizzazione o da origini
McAfee.
Se un agent scarica contenuto proveniente da un'origine per la quale non dispone della chiave
pubblica appropriata, ne elimina il contenuto.
Si tratta di una nuova funzionalità e solo gli agent versione 4.0 e successive sono in grado di utilizzare
i nuovi protocolli.
158
Guida del prodotto
Chiavi di sicurezza
12
È possibile gestire le chiavi di archivio utilizzando queste attività.
Attività
•
Utilizzo di una coppia di chiavi dell'archivio principale per tutti i server a pagina 159
È possibile fare in modo che in un ambiente con più server tutti i server di McAfee ePO e gli
agent utilizzino la stessa coppia di chiavi dell'archivio principale utilizzando Impostazioni
server.
•
Utilizzo delle chiavi dell'archivio principale in ambienti con più server a pagina 159
È possibile assicurarsi che gli agent possano utilizzare il contenuto proveniente da un server
McAfee ePO nell'ambiente in uso utilizzando Impostazioni server.
Utilizzo di una coppia di chiavi dell'archivio principale per tutti i
server
È possibile fare in modo che in un ambiente con più server tutti i server di McAfee ePO e gli agent
utilizzino la stessa coppia di chiavi dell'archivio principale utilizzando Impostazioni server.
Innanzitutto si esporta la coppia di chiavi che si desidera venga utilizzata da tutti i server, quindi si
importa la coppia di chiavi in tutti gli altri server dell'ambiente.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Chiavi di sicurezza nell'elenco Categorie
di impostazioni, quindi fare clic su Modifica.
Viene visualizzata la pagina Modifica chiavi di sicurezza.
2
Accanto a Coppia di chiavi dell'archivio principale locale fare clic su Esporta coppia di chiavi.
3
Fare clic su OK. Verrà visualizzata la finestra di dialogo Download file.
4
Fare clic su Salva, passare a un percorso accessibile da parte degli altri server nel quale salvare il file
zip contenente i file delle chiavi per la comunicazione sicura, quindi fare clic su Salva.
5
Accanto a Importa ed esegui il backup delle chiavi fare clic su Importa.
6
Individuare il file ZIP contenente i file delle chiavi dell'archivio principale esportati, quindi fare clic
su Avanti.
7
Verificare che si tratti delle chiavi che si desidera importare e fare clic su Salva.
La coppia di chiavi dell'archivio principale importata sostituisce la coppia di chiavi esistente nel server.
Gli agent iniziano a utilizzare la nuova coppia di chiavi dopo l'esecuzione dell'attività di aggiornamento
agent successiva. Dopo la sostituzione della coppia di chiavi dell'archivio principale, è necessario
eseguire una comunicazione sicura agent-server prima che gli agent possano utilizzare la nuova
chiave.
Utilizzo delle chiavi dell'archivio principale in ambienti con più
server
È possibile assicurarsi che gli agent possano utilizzare il contenuto proveniente da un server McAfee
ePO nell'ambiente in uso utilizzando Impostazioni server.
Tutto il contenuto senza firma depositato nell'archivio viene firmato con la chiave privata dell'archivio
principale. Per convalidare il contenuto richiamato dagli archivi dell'organizzazione o dai siti di origine
McAfee, gli agent si servono delle chiavi pubbliche degli archivi.
Guida del prodotto
159
12
Chiavi di sicurezza
La coppia di chiavi dell'archivio principale è univoca per ogni installazione di ePolicy Orchestrator. Se si
utilizzano più server, a ciascuno è associata una chiave diversa. Se gli agent sono in grado di scaricare
contenuto proveniente da archivi principali diversi, è necessario accertarsi che lo riconoscano come
valido.
Ciò può avvenire in due modi:
•
Utilizzando la stessa coppia di chiavi dell'archivio principale per tutti i server e gli agent.
•
Avendo cura di configurare gli agent in modo che riconoscano la chiave pubblica dell'archivio
utilizzata nell'ambiente.
Questa attività esporta la coppia di chiavi da un server McAfee ePO a un server McAfee ePO di
destinazione quindi, nel server McAfee ePO di destinazione, importa e sovrascrive la coppia di chiavi
esistente.
Attività
160
1
Nel server McAfee ePO con la coppia di chiavi dell'archivio principale fare clic su Menu | Configurazione
| Impostazioni server, selezionare Chiavi di sicurezza nell'elenco Categorie di impostazioni, quindi fare clic su
Modifica.
2
Accanto a Coppia di chiavi dell'archivio principale locale fare clic su Esporta coppia di chiavi, quindi su OK.
3
Nella finestra di dialogo Download file fare clic su Salva.
4
Cercare una posizione nel server McAfee ePO di destinazione in cui salvare il file zip. Se necessario,
modificare il nome del file, quindi fare clic su Salva.
5
Nel server McAfee ePO in cui si desidera caricare la coppia di chiavi dell'archivio principale fare clic
su Menu | Configurazione | Impostazioni del server, selezionare Chiavi di sicurezza nell'elenco Categorie di
6
Nella pagina Modifica chiavi di sicurezza:
a
Accanto a Importa ed esegui il backup delle chiavi fare clic su Importa.
b
Accanto a Selezionare il file individuare e selezionare la coppia di chiavi principale salvata, quindi
c
Se le informazioni di riepilogo sembrano corrette, fare clic su Salva. La nuova coppia di chiavi
principale verrà visualizzata nell'elenco accanto a Chiavi di comunicazione sicura agent-server.
7
Dall'elenco, selezionare il file importato nei passaggi precedenti, quindi fare clic su Rendi principale. La
coppia di chiavi principale esistente verrà così sostituita dalla nuova coppia di chiavi appena
importata.
8
Fare clic su Salva per completare il processo.
Guida del prodotto
Chiavi di sicurezza
12
Gli agent utilizzano le chiavi ASSC per comunicare in modo sicuro con il server.
È possibile impostare qualsiasi coppia di chiavi ASSC come principale, ovvero la coppia di chiavi
attualmente assegnata a tutti gli agent distribuiti. Gli agent esistenti che utilizzano altre chiavi
nell'elenco Chiavi di comunicazione sicura agent-server non utilizzeranno la nuova chiave principale, a meno che
non venga eseguita un'attività di aggiornamento della chiave dell'agent client precedentemente
pianificata.
Verificare che tutti gli agent abbiano effettuato l'aggiornamento alla nuova chiave principale prima di
eliminare le chiavi meno recenti.
Non sono supportate le versioni di agent per Windows precedenti alla 4.0.
Gestione delle chiavi di comunicazione sicura agent-server
È possibile generare, esportare, importare o eliminare le chiavi di comunicazione sicura agent-server
(ASSC) dalla pagina Impostazioni server.
Attività
1
2
Aprire la pagina Modifica chiavi di sicurezza.
a
b
Nell'elenco Categorie di impostazioni selezionare Chiavi di sicurezza.
Guida del prodotto
161
12
Chiavi di sicurezza
Azione
Passaggi
Generare e
Generare nuove coppie di chiavi ASSC.
utilizzare
1 Accanto all'elenco Chiavi di comunicazione sicura agent-server fare clic su Nuova chiave.
nuove coppie
Nella finestra di dialogo digitare il nome della chiave di sicurezza.
di chiavi
ASSC
2 Se si desidera che gli agent esistenti utilizzino la nuova chiave, selezionarla
nell'elenco, quindi fare clic su Rendi principale. Gli agent iniziano a utilizzare la
nuova chiave dopo il completamento della successiva attività di aggiornamento di
McAfee Agent.
Verificare la disponibilità di un pacchetto Agent Key Updater per ogni versione di
McAfee Agent gestita tramite il server McAfee ePO. Se, ad esempio, il server
McAfee ePO gestisce gli agent 4.6, verificare che il pacchetto 4.6 Agent Key
Updater sia stato archiviato nell'archivio principale.
Nelle installazioni di grandi dimensioni generare e utilizzare nuove coppie di chiavi
principali solo per motivi specifici. È consigliabile eseguire questa procedura in
fasi in modo che sia possibile monitorare con più attenzione l'avanzamento.
3 Quando tutti gli agent non utilizzano più la chiave precedente, eliminarla.
Nell'elenco di chiavi, a destra di ogni chiave, viene visualizzato il numero di agent
che attualmente la utilizzano.
4 Eseguire il backup di tutte le chiavi.
Esportare le
chiavi ASSC
Esportare le chiavi ASSC da un server McAfee ePO in un altro server McAfee ePO,
per consentire agli agent di accedere al nuovo server McAfee ePO.
1 Nell'elenco Chiavi di comunicazione sicura agent-server selezionare una chiave, quindi fare
clic su Esporta.
2 Fare clic su OK.
Il browser richiede di scaricare il file sr<NomeServer>.zip nel percorso
specificato.
Se è stato specificato un percorso predefinito per tutti i download del browser, è
possibile che il file venga salvato automaticamente in tale percorso.
Importare
chiavi ASSC
Importare le chiavi ASSC esportate da un altro server McAfee ePO. Questa
procedura consente agli agent di tale server di accedere a questo server McAfee
ePO.
1 Fare clic su Importa.
2 Individuare e selezionare la chiave nel percorso in cui è stata salvata (per
impostazione predefinita si tratta del desktop), quindi fare clic su Apri.
3 Fare clic su Avanti e rivedere le informazioni visualizzate nella pagina Importa
chiavi.
162
Guida del prodotto
Chiavi di sicurezza
12
Azione
Passaggi
Designare
una coppia di
chiavi ASSC
come
principale
Cambiare la coppia di chiavi, inclusa nell'elenco Chiavi di comunicazione sicura agent-server,
che viene specificata come principale. Dopo aver importato o generato una nuova
coppia di chiavi, specificare una coppia di chiavi principale.
1 Nell'elenco Chiavi di comunicazione sicura agent-server selezionare una chiave, quindi fare
clic su Rendi principale.
2 Creare un'attività di aggiornamento per consentire l'esecuzione immediata degli
agent, in modo che questi vengano aggiornati dopo la successiva comunicazione
agent-server.
Verificare che il pacchetto Agent Key Updater venga archiviato nell'archivio
principale di ePolicy Orchestrator. Gli agent iniziano a utilizzare la nuova coppia di
chiavi al termine dell'attività di aggiornamento successiva per McAfee Agent. È
possibile vedere in qualsiasi momento quali agenti utilizzano le coppie di chiavi di
comunicazione sicura agent-server dell'elenco.
3 Eseguire il backup di tutte le chiavi.
Eliminare
chiavi ASSC
Non eliminare le chiavi attualmente utilizzate dagli agent. In caso contrario, gli
agent non potranno comunicare con il server McAfee ePO.
1 Nell'elenco Chiavi di comunicazione sicura agent-server selezionare la chiave da
rimuovere, quindi fare clic su Elimina.
2 Fare clic su OK per eliminare la coppia di chiavi dal server.
Visualizzazione di sistemi che utilizzano una coppia di chiavi
ASSC
È possibile visualizzare i sistemi i cui agent utilizzano una specifica coppia di chiavi di comunicazione
sicura agent-server nell'elenco Chiavi di comunicazione sicura agent-server.
Quando una specifica coppia di chiavi viene designata come principale, può essere necessario vedere i
sistemi nei quali si utilizza ancora la coppia di chiavi precedente. Eliminare una coppia di chiavi solo
dopo avere appurato che nessun agent la sta ancora utilizzando.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Chiavi di sicurezza dall'elenco Categorie
2
Nell'elenco Chiavi di comunicazione sicura agent-server selezionare una chiave, quindi fare clic su Visualizza
agent.
Nella pagina Sistemi che utilizzano questa chiave sono elencati tutti i sistemi i cui agent utilizzano la chiave
selezionata.
Utilizzo della stessa coppia di chiavi ASSC per tutti i server e gli
agent
È possibile verificare che i server e gli agent McAfee ePO utilizzino la stessa coppia di chiavi di
comunicazione sicura agent-server (ASSC).
Se nell'ambiente è presente un numero elevato di sistemi gestiti, McAfee consiglia di eseguire questo
processo in varie fasi per monitorare gli aggiornamenti degli agent.
Guida del prodotto
163
12
Chiavi di sicurezza
Attività
1
Creare un'attività di aggiornamento dell'agent.
2
Esportare le chiavi scelte dal server McAfee ePO selezionato.
3
Importare le chiavi esportate in tutti gli altri server.
4
Designare la chiave importata come principale in tutti i server.
5
Eseguire due chiamate di attivazione agent.
6
Quando tutti gli agent utilizzano le nuove chiavi, eliminare eventuali chiavi inutilizzate.
7
Eseguire il backup di tutte le chiavi.
Utilizzo di una coppia di chiavi ASSC diversa per ogni server di
McAfee ePO
È possibile utilizzare una coppia di chiavi ASSC diversa per ogni server di McAfee ePO e garantire che
tutti gli agent possano comunicare con i server di McAfee ePO richiesti in un ambiente in cui ogni
server deve presentare una coppia di chiavi di comunicazione sicura agent-server univoca.
Gli agent possono comunicare con un solo server alla volta. Il server di McAfee ePO può disporre di più
chiavi per comunicare con agent diversi, mentre non vale il contrario. Gli agent non possono disporre di
più chiavi per comunicare con più server di McAfee ePO.
Attività
1
Per ciascun server di McAfee ePO presente nell'ambiente, esportare la coppia di chiavi di
comunicazione sicura agent-server principale in un percorso temporaneo.
2
Importare ciascuna di queste coppie di chiavi in ogni server di McAfee ePO.
Eseguire periodicamente il backup di tutte le chiavi di sicurezza e creare sempre una copia di backup
prima di apportare modifiche alle impostazioni di gestione delle chiavi.
Archiviare la copia di backup in un percorso di rete sicuro per agevolare il ripristino delle chiavi nel
caso non previsto in cui se ne perda qualcuna dal server di McAfee ePO.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni server, selezionare Chiavi di sicurezza nell'elenco Categorie di
Viene visualizzata la pagina Modifica chiavi di sicurezza.
2
164
Guida del prodotto
Chiavi di sicurezza
Azione
Passaggi
Backup di
tutte le chiavi
di sicurezza.
1 Fare clic su Esegui backup di tutti accanto alla parte inferiore della pagina.
12
Viene visualizzata la finestra di dialogo Esegui backup keystore.
2 Facoltativamente, è possibile immettere una password per crittografare il file di
keystore in formato ZIP oppure fare clic su OK per salvare i file come testo non
crittografato.
3 Nella finestra di dialogo Download file fare clic su Salva per creare un file ZIP di
tutte le chiavi di sicurezza.
Viene visualizzata la finestra di dialogo Salva con nome.
4 Individuare un percorso di rete sicuro in cui archiviare il file ZIP, quindi fare clic
su Salva.
Ripristino
delle chiavi di
sicurezza.
1 Fare clic su Ripristina tutti nella parte inferiore della pagina.
Viene visualizzata la pagina Ripristina chiavi di sicurezza.
2 Individuare il file ZIP contenente le chiavi di sicurezza, selezionarlo e fare clic su
Avanti.
Viene visualizzata la pagina di riepilogo della procedura guidata Ripristina chiavi
di sicurezza.
3 Individuare le chiavi con le quali sostituire la chiave esistente, quindi fare clic su
Avanti.
4 Fare clic su Ripristina.
Viene visualizzata di nuovo la pagina Modifica chiavi di sicurezza.
5 Individuare un percorso di rete sicuro in cui archiviare il file ZIP, quindi fare clic
su Salva.
Ripristino
delle chiavi di
sicurezza da
un file di
backup.
Viene visualizzata la pagina Ripristina chiavi di sicurezza.
2 Individuare il file ZIP contenente le chiavi di sicurezza, selezionarlo e fare clic su
Avanti.
Viene visualizzata la pagina di riepilogo della procedura guidata Ripristina chiavi
di sicurezza.
3 Individuare e selezionare il file ZIP di backup, quindi fare clic su Avanti.
Viene visualizzata la procedura guidata Ripristina chiavi di sicurezza.
5 Individuare e selezionare il file ZIP di backup, quindi fare clic su Avanti.
6 Verificare che le chiavi contenute in questo file siano quelle con le quali si
desidera sovrascrivere le chiavi esistenti, quindi fare clic su Ripristina tutti.
Guida del prodotto
165
12
Chiavi di sicurezza
166
Guida del prodotto
13
Utilizzare il Gestore di prodotti software per esaminare e acquisire il software e i componenti software
McAfee.
Sommario
Informazioni sul Gestore di prodotti software
Deposito, aggiornamento e rimozione di software mediante il Gestore di prodotti software
Controllo della compatibilità del prodotto
Informazioni sul Gestore di prodotti software
Il Gestore di prodotti software elimina l'esigenza di accedere al sito web per il download dei prodotti
McAfee per ottenere nuovi prodotti e aggiornamenti software McAfee.
Il Gestore di prodotti software consente di scaricare:
•
Software in licenza
•
Software di valutazione
•
Aggiornamenti software
•
Documentazione del prodotto
I file DAT e motore non sono disponibili nel Gestore di prodotti software.
Software in licenza
Software in licenza è qualsiasi prodotto software che l'organizzazione ha acquistato da McAfee.
Quando si visualizza il Gestore di prodotti software nella console di ePolicy Orchestrator, i prodotti
software con licenza non ancora installati nel server risultano elencati nella categoria di prodotto
Prodotti software non depositati. Il numero visualizzato accanto a ciascuna sottocategoria nell'elenco Categorie
prodotti indica la quantità dei prodotti disponibili.
Software di valutazione
I prodotti software per i quali l'organizzazione non dispone al momento di una licenza rientrano nella
definizione di software di valutazione. È possibile installare il prodotto software di valutazione nel
server, ma le sue funzionalità potrebbero essere disponibili con restrizioni finché non si acquista una
licenza.
Aggiornamenti software
Quando viene reso disponibile un nuovo aggiornamento per il prodotto software in uso, è possibile
utilizzare il Gestore di prodotti software per depositare nuovi pacchetti ed estensioni. Gli
aggiornamenti software disponibili sono elencati nella categoria Aggiornamenti disponibili.
Guida del prodotto
167
13
Deposito, aggiornamento e rimozione di software mediante il Gestore di prodotti software
Documentazione del prodotto
Il Gestore di prodotti software consente di ottenere la documentazione di prodotti nuovi e aggiornati.
Le estensioni della Guida possono essere installate automaticamente. Anche la documentazione in
formato PDF e HTML, come Guide dei prodotti e Note di rilascio, può essere scaricata dal Gestore di
prodotti software.
Informazioni sulle dipendenze dei componenti software
Molti dei prodotti software che è possibile installare per l'uso con il server di McAfee ePO presentano
dipendenze predefinite in altri componenti. Le dipendenze delle estensioni dei prodotti vengono
installate automaticamente. Per tutti gli altri componenti dei prodotti, è necessario esaminare l'elenco
delle dipendenze nella pagina dei dettagli dei componenti e installarli per primi.
Deposito, aggiornamento e rimozione di software mediante il
Il Gestore di prodotti software consente di eseguire il deposito, l'aggiornamento e la rimozione di
componenti di prodotti gestiti dal server.
Con il Gestore di prodotti software è possibile accedere a prodotti software con licenza e di
valutazione.
La disponibilità del software e la relativa appartenenza alla categoria Con licenza o Valutazione dipendono
dalla chiave di licenza di cui si è in possesso. Per ulteriori informazioni, contattare l'amministratore.
Attività
1
Fare clic su Menu | Software | Gestore di prodotti software.
2
Nella pagina Gestore di prodotti software, elenco Categorie prodotti, selezionare una delle categorie seguenti
oppure utilizzare la casella di ricerca per trovare il prodotto software desiderato:
•
Aggiornamenti disponibili: sono elencati gli aggiornamenti disponibili per i componenti software con
licenza già installati o depositati nel server di McAfee ePO.
•
Prodotti software depositati: vengono visualizzati tutti i prodotti software (sia Con licenza che in
Valutazione) installati o depositati nel server.
Se di recente è stata aggiunta la licenza per un prodotto e questo è nello stato Valutazione, fare
clic su Aggiorna per aggiornare il conteggio dei prodotti con licenza e visualizzare il prodotto come
Con licenza in Prodotti software depositati.
3
168
•
Prodotti software non depositati: vengono visualizzati i prodotti software disponibili ma non installati
nel server.
•
Prodotti software (per etichetta): i prodotti software sono visualizzati in base alla funzione descritta
nelle suite di prodotti McAfee.
Dopo avere individuato il prodotto software corretto, fare clic su:
•
Scarica per scaricare la documentazione del prodotto in un percorso della rete.
•
Deposita per eseguire il deposito di un'estensione del prodotto o di un pacchetto nel server.
Guida del prodotto
4
•
Aggiorna per aggiornare un pacchetto o un'estensione attualmente installati o depositati nel
server.
•
Rimuovi per disinstallare un pacchetto o un'estensione attualmente installati o depositati nel
server.
13
Nella pagina Riepilogo deposito prodotti software rivedere e accettare i dettagli del prodotto e il contratto
di licenza per l'utente finale (EULA, End User License Agreement), quindi fare clic su OK per
completare l'operazione.
È possibile configurare una verifica della compatibilità di prodotto per scaricare automaticamente un elenco di
compatibilità di prodotto da McAfee. Questo elenco permette di conoscere i prodotti che non sono più
compatibili nel proprio ambiente ePolicy Orchestrator.
ePolicy Orchestrator esegue questa verifica tutte le volte che l'installazione e l'avvio di un'estensione
potrebbero lasciare il server in uno stato indesiderato. Questa verifica viene eseguita nelle situazioni
elencate di seguito:
•
Durante un upgrade da una versione precedente di ePolicy Orchestrator alla versione 5.1 o a una
successiva.
•
Quando viene installata un'estensione dal menu Estensioni.
•
Prima che una nuova estensione venga recuperata dal Gestore di prodotti software.
•
Quando si riceve un nuovo elenco di compatibilità da McAfee.
•
Quando si esegue lo Strumento per la migrazione dei dati. Per dettagli, consultare la McAfee ePolicy
Orchestrator Guida all'installazione del software 5.1.0.
Verifica della compatibilità di prodotto
La verifica della compatibilità di prodotto utilizza un file XML, denominato Elenco di compatibilità di prodotto, per
stabilire quali estensioni del prodotto risultano non compatibili con una versione di ePolicy
Orchestrator.
Nel pacchetto software ePolicy Orchestrator scaricato dal sito Web di McAfee è incluso un elenco
iniziale. Quando si esegue l'installazione di ePolicy Orchestrator durante un'installazione o un upgrade,
ePolicy Orchestrator recupera automaticamente l'elenco più aggiornato di estensioni compatibili da
un'origine McAfee affidabile su Internet. Se l'origine Internet non è disponibile o non è possibile
verificare l'elenco, ePolicy Orchestrator utilizza la versione più recente disponibile.
Il server di McAfee ePO aggiorna in background una volta al giorno un file di piccole dimensioni, l'Elenco
di compatibilità di prodotto.
Remediation
Quando si visualizza l'elenco di estensioni incompatibili mediante il programma di installazione o l'utilità
di compatibilità dell'upgrade di ePolicy Orchestrator, l'utente riceve una notifica nel caso in cui sia disponibile
un'estensione di sostituzione.
Durante l'upgrade possono a volte verificarsi le seguenti situazioni:
Guida del prodotto
169
13
•
Un'estensione blocca l'upgrade e deve essere rimossa o sostituita prima di poter proseguire con
l'upgrade.
•
Un'estensione viene disattivata, ma è necessario aggiornarla al termine dell'upgrade di ePolicy
Orchestrator.
Per ulteriori dettagli, vedere Estensioni bloccate o disattivate.
Disattivazione degli aggiornamenti automatici
È possibile disattivare gli aggiornamenti automatici dell'elenco di compatibilità di prodotto per impedire il
download di un nuovo elenco.
Il download dell'elenco si verifica come parte di un'attività in background oppure quando viene
aggiornato il contenuto del Gestore di prodotti software. Questa impostazione risulta particolarmente utile
quando il server di McAfee ePO non dispone dell'accesso in ingresso a Internet. Per informazioni
dettagliate, vedere Modifica del download dell'elenco di compatibilità del prodotto.
La riattivazione dell'impostazione relativa al download dell'elenco di compatibilità di prodotto comporta la
riattivazione anche degli aggiornamenti automatici del Gestore di prodotti software dell'elenco di compatibilità di
prodotto.
Utilizzo di un elenco di compatibilità di prodotto scaricato manualmente
Potrebbe essere necessario utilizzare un elenco di compatibilità di prodotto scaricato manualmente, ad
esempio se il server di McAfee ePO non dispone di accesso a Internet.
L'elenco può essere scaricato manualmente nelle circostanze seguenti:
•
Quando si installa ePolicy Orchestrator. Per informazioni dettagliate, vedere Estensioni bloccate o
disattivate.
•
Quando si utilizza Impostazioni del server | Elenco di compatibilità di prodotto per caricare manualmente un
elenco di compatibilità di prodotto. Questo elenco ha effetto immediatamente dopo il caricamento.
Disattivare l'aggiornamento automatico dell'elenco per impedire che l'elenco di compatibilità di prodotto
scaricato manualmente venga sovrascritto. Per informazioni dettagliate, vedere Modifica del
download dell'elenco di compatibilità del prodotto.
•
Fare clic su ProductCompatibilityList.xml per scaricare manualmente l'elenco.
Estensioni bloccate o disattivate
Se un'estensione è bloccata nell'elenco di compatibilità di prodotto, impedisce l'upgrade del software ePolicy
Orchestrator. Se un'estensione è disattivata, non blocca l'upgrade ma impedisce l'inizializzazione
dell'estensione dopo l'upgrade fino a quando non viene installata un'estensione di sostituzione nota.
Opzioni della riga di comando per l'installazione dell'elenco di compatibilità di
prodotto
È possibile utilizzare queste opzioni della riga di comando con il comando setup.exe per configurare i
download dell'elenco di compatibilità di prodotto.
170
Guida del prodotto
13
Opzione
Definizione
setup.exe DISABLEPRODCOMPATUPDATE=1
Disattiva automaticamente il
download dell'elenco di compatibilità di
prodotto dal sito web McAfee.
setup.exe
PRODCOMPATXML=<nome_file_completo_con_percorso>
Specifica un file alternativo dell'elenco
di compatibilità di prodotto.
Le due opzioni della riga di comando possono essere utilizzate insieme in una stringa di comando.
Riconfigurazione del download dell'elenco di compatibilità di
prodotto
È possibile scaricare l'elenco di compatibilità di prodotto da Internet oppure utilizzare un elenco
scaricato manualmente per identificare i prodotti che non sono più compatibili nell'ambiente di ePolicy
Orchestrator in uso.
Prima di iniziare
Qualsiasi elenco di compatibilità di prodotto scaricato deve disporre di un file XML valido
fornito da McAfee.
Se si apportano modifiche al file XML dell'elenco di compatibilità di prodotto, il file viene
invalidato.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni server, selezionare Elenco compatibilità prodotto nell'elenco
Viene visualizzata una tabella con l'elenco delle estensioni non compatibili nella pagina di apertura.
2
Fare clic su Disattivato per arrestare i download automatici e periodici dell'elenco di compatibilità di
prodotto da McAfee.
3
Fare clic su Sfoglia e passare all'Elenco compatibilità prodotto, quindi fare clic su Salva.
Dopo aver disattivato il download automatico dell'elenco di compatibilità di prodotto, il server McAfee
ePO utilizza lo stesso elenco fino a quando viene caricato un nuovo elenco o si connette il server a
Internet e si attiva il download automatico.
Guida del prodotto
171
13
172
Guida del prodotto
14
ePolicy Orchestrator semplifica il processo di distribuzione dei prodotti di sicurezza ai sistemi gestiti
della rete fornendo un'interfaccia utente per configurare e pianificare le distribuzioni.
Per distribuire i prodotti utilizzando ePolicy Orchestrator è possibile adottare due metodi:
•
Progetti di Distribuzione prodotti, che semplificano il processo di distribuzione e forniscono ulteriori
funzionalità.
•
Oggetti attività client e attività creati e gestiti singolarmente.
Sommario
Scelta di un metodo di distribuzione dei prodotti
Vantaggi dei progetti di distribuzione dei prodotti
Spiegazione della pagina Distribuzione prodotti
Visualizzazione dei registri di verifica della distribuzione dei prodotti
Distribuzione dei prodotti utilizzando un progetto di distribuzione
Monitoraggio e modifica dei progetti di distribuzione
Esempio di distribuzione di un nuovo McAfee Agent
Scelta di un metodo di distribuzione dei prodotti
La scelta del metodo di distribuzione dei prodotti da utilizzare dipende dalle impostazioni configurate.
I progetti Distribuzione prodotti offrono un flusso di lavoro semplificato e funzionalità migliorate per la
distribuzione dei prodotti nei sistemi gestiti tramite ePolicy Orchestrator. Non è tuttavia possibile
utilizzare un progetto Distribuzione prodotti per intraprendere azioni o gestire attività o oggetti attività
client creati in una versione del software precedente alla 5.0.
Se si desidera mantenere e continuare a utilizzare gli oggetti e le attività client creati all'esterno di un
progetto Distribuzione prodotti , è necessario utilizzare le interfacce di assegnazione e della libreria degli
oggetti attività client. È possibile mantenere gli oggetti e le attività esistenti utilizzando nel contempo
l'interfaccia del progetto Distribuzione prodotti per creare nuove distribuzioni.
I progetti di distribuzione dei prodotti riducono il tempo e il sovraccarico necessari per pianificare e
gestire le distribuzioni nella rete, semplificando in tal modo il processo di distribuzione dei prodotti di
sicurezza ai sistemi gestiti.
I progetti di distribuzione dei prodotti snelliscono il processo di distribuzione consolidando gran parte
dei passaggi necessari per creare e gestire le singole attività di distribuzione dei prodotti. Consentono
inoltre di:
Guida del prodotto
173
14
•
Eseguire una distribuzione senza interruzioni: ciò consente di configurare un progetto di
distribuzione in modo che, quando si aggiungono nuovi sistemi che soddisfano i criteri specificati, i
prodotti vengano distribuiti automaticamente.
•
Arrestare una distribuzione in esecuzione: è possibile arrestare una distribuzione già avviata,
se necessario. Successivamente è possibile riprenderla al momento opportuno.
•
Disinstallare un prodotto già distribuito: se, una volta completato un progetto di distribuzione,
si desidera disinstallare il prodotto associato dai sistemi assegnati al progetto, selezionare
Disinstalla nell'elenco Azione.
La tabella che segue presenta un confronto tra due metodi di distribuzione dei prodotti, ovvero di
singoli oggetti attività client e di progetti di distribuzione dei prodotti.
Tabella 14-1 Confronto tra i metodi di distribuzione dei prodotti
Oggetti attività
client
Confronto tra le
funzioni
Progetto di distribuzione dei prodotti
Nome e descrizione
Uguale
Nome e descrizione
Raccolta del software
dei prodotti da
distribuire
Uguale
Raccolta del software dei prodotti da distribuire
Utilizzo di tag per la
selezione dei sistemi
di destinazione
Migliorata nel
progetto di
distribuzione dei
prodotti
Selezionare quando si verifica la distribuzione:
• Continua: le distribuzioni di questo tipo utilizzano
gruppi della struttura dei sistemi o tag che
consentono di spostare i sistemi in quei gruppi o di
assegnare tag ai sistemi a cui applicare la
distribuzione.
• Fissa: le distribuzioni fisse utilizzano un insieme di
sistemi fisso o definito. La selezione di sistemi viene
effettuata utilizzando le tabelle di output delle query
della struttura dei sistemi o dei sistemi gestiti.
Pianificazione della
distribuzione
Simile
La pianificazione della distribuzione semplificata
consente di eseguire la distribuzione immediatamente
o una sola volta a un orario pianificato.
Non disponibile
Nuova nel progetto di Monitorare lo stato della distribuzione corrente, ad
distribuzione dei
esempio le distribuzioni pianificate ma non avviate, in
prodotti
corso, arrestate, sospese o completate.
Non disponibile
Nuova nel progetto di Visualizzare un'istantanea cronologica dei dati sul
distribuzione dei
numero di sistemi che ricevono la distribuzione.
prodotti
Solo per le distribuzioni fisse.
174
Guida del prodotto
14
Tabella 14-1 Confronto tra i metodi di distribuzione dei prodotti (segue)
Oggetti attività
client
Confronto tra le
funzioni
Progetto di distribuzione dei prodotti
Non disponibile
Nuova nel progetto di Visualizzare lo stato di singole distribuzioni di sistemi,
distribuzione dei
ad esempio sistemi installati, in sospeso e non riusciti.
prodotti
Non disponibile
Nuova nel progetto di Modificare un'assegnazione di distribuzione esistente
distribuzione dei
utilizzando:
prodotti
• Crea nuovo per la modifica di una distribuzione
esistente
• Modifica
• Duplica
• Elimina
• Arresta e Sospendi distribuzione
• Continua e Riprendi distribuzione
• Disinstalla
Guida del prodotto
175
14
La pagina Distribuzione prodotti rappresenta una posizione unica in cui è possibile creare, monitorare
e gestire i progetti di distribuzione dei prodotti.
La pagina è suddivisa in due aree principali (le aree 1 e 2 nell'immagine riportata di seguito), con la
seconda area ulteriormente suddivisa in cinque aree più piccole.
Figura 14-1 Pagina Distribuzione prodotti
Le aree principali sono:
1
Riepilogo distribuzione: riporta un elenco delle distribuzioni dei prodotti e consente di filtrarle in
base al tipo e allo stato e di visualizzarne rapidamente l'avanzamento. Facendo clic su una
distribuzione, vengono visualizzati i relativi dettagli nell'area Dettagli distribuzione.
Un'icona a forma di punto esclamativo indica che è in corso la disinstallazione della distribuzione,
oppure che il pacchetto utilizzato dalla distribuzione è stato spostato o eliminato.
2
176
Dettagli distribuzione: elenca i dettagli della distribuzione selezionata e include le aree indicate di
seguito.
Guida del prodotto
Visualizzazione dei registri di verifica della distribuzione dei prodotti
14
2a Monitoraggio stato: la visualizzazione dello stato e dell'avanzamento varia a seconda del tipo
di distribuzione e del rispettivo stato, come indicato di seguito.
• Per le distribuzioni continue viene visualizzato un calendario, se la distribuzione è in
sospeso, oppure un grafico a barre durante la distribuzione.
• Per le distribuzioni fisse viene visualizzato un calendario, se la distribuzione è in sospeso,
oppure un grafico a barre se è selezionata l'opzione Corrente oppure un istogramma, se è
selezionata l'opzione Durata.
2b Dettagli: consente di visualizzare lo stato e i dettagli della configurazione della distribuzione.
Se necessario, è possibile aprire la pagina Modifica distribuzione facendo clic suVisualizza dettagli
attività.
2c Nome sistema: visualizza un elenco di sistemi di destinazione che ricevono la distribuzione a cui è
possibile applicare filtri. I sistemi visualizzati variano a seconda del tipo di distribuzione e della
modalità di selezione dei sistemi, ovvero singolarmente, come tag, come gruppi di strutture
dei sistemi o tabelle di output di query.
Facendo clic su Azioni sistema, viene visualizzato l'elenco filtrato dei sistemi in una finestra di
dialogo con un numero maggiore di dettagli. Questa opzione consente di eseguire azioni sui
sistemi, ad esempio aggiornamenti e attivazioni.
2d Stato: visualizza una barra di stato a tre sezioni che indica l'avanzamento della distribuzione e
il relativo stato.
2e Tag: visualizza i tag associati alla riga di sistemi.
Visualizzazione dei registri di verifica della distribuzione dei
prodotti
I registri di verifica dei progetti di distribuzione contengono record di tutte le distribuzioni di prodotti
effettuate dalla console mediante la funzionalità Distribuzione prodotto.
Le voci dei registri di verifica vengono visualizzate in una tabella che può essere ordinata nell'area dei
dettagli di distribuzione della pagina Distribuzione prodotti, nonché nella pagina Registro di verifica,
che contiene voci di registro di tutte le azioni utente verificabili. Questi registri possono essere
utilizzati per rintracciare, creare, modificare, duplicare, eliminare e disinstallare distribuzioni di
prodotti. Fare clic su una voce del registro per visualizzarne i dettagli.
Distribuzione dei prodotti utilizzando un progetto di
distribuzione
La distribuzione dei prodotti di sicurezza ai sistemi gestiti mediante un progetto di distribuzione
consente di selezionare facilmente i prodotti da distribuire e i sistemi di destinazione, nonché di
pianificare la distribuzione.
Attività
1
Fare clic su Menu | Software | Distribuzione prodotto.
2
Fare clic su Nuova distribuzione per aprire la pagina Nuova distribuzione e avviare un nuovo progetto.
3
Digitare un nome e una descrizione per questa distribuzione. Il nome viene visualizzato nella
pagina Distribuzione prodotti dopo aver salvato la distribuzione.
Guida del prodotto
177
14
Distribuzione dei prodotti utilizzando un progetto di distribuzione
4
5
Scegliere il tipo di distribuzione:
•
Continua: consente di utilizzare gruppi o della Struttura dei sistemi o tag per configurare i sistemi
che ricevono la distribuzione. Ciò consente a questi sistemi di cambiare nel corso del tempo
mano a mano che vengono aggiunti o rimossi dai gruppi o tag.
•
Fissa: consente di utilizzare un insieme di sistemi fisso o definito per ricevere la distribuzione. La
selezione dei sistemi viene effettuata utilizzando l'output delle tabelle delle query della Struttura
dei sistemi o dei Sistemi gestiti.
Per specificare il software da distribuire, selezionare un prodotto dall'elenco Pacchetto. Fare clic su +
o su - per aggiungere o rimuovere pacchetti.
Il software deve essere depositato nell'Archivio principale prima di poter essere distribuito. I campi
Lingua e Ramo vengono compilati automaticamente, in base alla posizione e alla lingua specificate
nell'Archivio principale.
6
Nel campo di testo Riga di comando specificare le opzioni di installazione della riga di comando
desiderate. Per informazioni sulle opzioni della riga di comando, vedere la documentazione del
prodotto relativa al software distribuito.
7
Nella sezione Selezionare i sistemi, fare clic su Seleziona sistemi per aprire la finestra di dialogo Selezione
sistema.
La finestra di dialogo Selezione sistema è un filtro che consente di selezionare gruppi nella Struttura
dei sistemi, Tag o un sottoinsieme di sistemi raggruppati o con tag. Le selezioni effettuate in ogni
scheda di questa finestra di dialogo sono concatenate per filtrare l'insieme completo dei sistemi di
destinazione per una distribuzione.
Se ad esempio la Struttura dei sistemi contiene il "Gruppo A", che include sia server che
workstation, è possibile selezionare come destinazione l'intero gruppo, solo i server o le
workstation (se presentano i tag appropriati) o un sottoinsieme di entrambi i tipi di sistema del
gruppo A.
Le distribuzioni fisse presentano un limite di 500 sistemi per la ricezione della distribuzione.
Se necessario, configurare quanto segue:
8
9
•
Esegui a ogni applicazione di policy (solo Windows)
•
Consenti agli utenti finali di posticipare questa distribuzione (solo Windows)
•
Numero massimo di posticipazioni consentite
•
L'opzione di posticipazione scade dopo
•
Visualizza questo testo
Selezionare una pianificazione o un orario di inizio per la distribuzione:
•
Esegui subito: l'attività di distribuzione viene avviata durante il successivo ASCI.
•
Solo una volta: viene aperta l'utilità di pianificazione che consente di configurare la data e l'ora di
inizio, nonché la sequenza casuale.
Al termine, fare clic su Salva nella parte superiore della pagina. Viene visualizzata la pagina
Distribuzione prodotto con il nuovo progetto aggiunto all'elenco delle distribuzioni.
Dopo aver creato un progetto di distribuzione, viene automaticamente creata un'attività client con le
impostazioni di distribuzione.
178
Guida del prodotto
14
Utilizzare la pagina Distribuzione prodotto per creare, modificare e rintracciare i progetti di
distribuzione.
Nell'attività riportata di seguito i primi passaggi descrivono l'utilizzo dell'interfaccia per selezionare e
monitorare un progetto di distribuzione esistente, mentre gli ultimi passaggi descrivono la selezione di
Azioni per modificare il progetto di distribuzione.
Attività
1
Fare clic su Menu | Software | Distribuzione prodotto. Viene visualizzata la pagina Distribuzione prodotto.
2
Filtrare l'elenco dei progetti di distribuzione utilizzando una delle opzioni seguenti o entrambe:
•
Tipo: applica alle distribuzioni visualizzate il filtro Tutte, Continua o Fissa.
•
Stato: applica alle distribuzioni visualizzate il filtro Tutte, Completata, In corso, In sospeso, In
esecuzione o Arrestata.
3
Fare clic su una distribuzione nell'elenco sul lato sinistro nella pagina per visualizzarne i dettagli sul
lato destro.
4
Utilizzare la sezione di avanzamento della visualizzazione dei dettagli per visualizzare uno degli
elementi seguenti:
5
•
Il calendario, che indica la data di inizio delle distribuzioni continue e fisse in sospeso.
•
L'istogramma, che visualizza i sistemi e il tempo necessario per il completamento delle
distribuzioni fisse.
•
La barra di stato, che visualizza la distribuzione di sistemi e lo stato di avanzamento della
disinstallazione.
Fare clic su Azioni e selezionare una delle opzioni seguenti per modificare una distribuzione:
•
Modifica
•
Riprendi
•
Elimina
•
Arresta
•
Duplica
•
Disinstalla
•
Segna come completata
6
Nella sezione dei dettagli fare clic su Visualizza dettagli attività per aprire la pagina Modifica distribuzione, in
cui è possibile visualizzare e modificare le impostazioni della distribuzione.
7
Nella tabella Sistemi fare clic su una delle opzioni seguenti nell'elenco Filtro per visualizzare sistemi
diversi:
Le opzioni dell'elenco variano in base allo stato corrente della distribuzione.
•
Durante la disinstallazione, i filtri includono: Tutte, Pacchetti rimossi, In sospeso e Non riuscita
•
Durante la disinstallazione, i filtri includono: Tutte, Installazione riuscita, In sospeso e Non riuscita
Guida del prodotto
179
14
8
Nella tabella Sistemi è possibile eseguire le operazioni seguenti:
•
Verificare lo stato di ogni riga dei sistemi di destinazione nella colonna Stato. Una barra di stato
a tre sezioni indica lo stato di avanzamento della distribuzione.
•
Verificare i tag associati ai sistemi di destinazione nella colonna Tag.
•
Fare clic su Azioni sistema per visualizzare l'elenco dei sistemi in una nuova pagina in cui è
possibile eseguire azioni specifiche del sistema sui sistemi selezionati.
Dopo l'installazione iniziale di ePolicy Orchestrator e la distribuzione di McAfee Agent, qualsiasi
distribuzione aggiuntiva di McAfee Agent deve essere creata utilizzando un progetto di Distribuzione
prodotti oppure manualmente utilizzando un oggetto Attività client.
Prima di iniziare
Prima di avviare questa attività di esempio per distribuire McAfee Agent for Linux, è
necessario avere già aggiunto le piattaforme Linux alla ePolicy Orchestrator Struttura dei
sistemi.
La distribuzione dell'agent rappresenta il primo passo quando si installa per la prima volta e si inizia a
utilizzare e ePolicy Orchestrator il McAfee Agent iniziale distribuito viene aggiornato in modo invisibile
all'utente ogni volta che è disponibile una nuova versione. Tuttavia, se i sistemi della rete gestita
includono più di un sistema operativo per tipo di piattaforma, tali sistemi richiedono un McAfee Agent
diverso. Ad esempio, poiché la maggior parte dei sistemi gestiti ePolicy Orchestrator utilizzano le
piattaforme del sistema operativo Windows, se la rete include alcune piattaforme Linux, è necessario
che sia installato McAfee Agent for Linux.
Per informazioni dettagliate sulla funzionalità, sull'interfaccia utente e sulle opzioni, vedere
Distribuzione prodotti e la Guida.
Questa attività descrive:
•
la creazione del progetto di Distribuzione prodotti di McAfee Agent for Linux;
•
la conferma dell'avvenuta distribuzione dell'agent da parte del progetto;
•
la conferma che le piattaforme Linux sono gestite da ePolicy Orchestrator.
Attività
1
Per creare il nuovo progetto Distribuzione prodotti, fare clic su Menu | Software | Distribuzione prodotti |
Nuova distribuzione.
2
Nella pagina Nuova distribuzione, configurare le impostazioni riportate di seguito.
Opzione
Descrizione
Nome e
Descrizione
Digitare un Nome e una Descrizione per questa distribuzione. Digitare, ad esempio,
distribuzione di Linux McAfee Agent.
Il nome viene visualizzato nella pagina Distribuzione dopo aver salvato la
distribuzione.
Tipo
Dall'elenco, selezionare Continua.
Questo tipo utilizza i gruppi della Struttura dei sistemi o i tag per configurare i
sistemi che ricevono la distribuzione. Ciò consente a questi sistemi di cambiare nel
corso del tempo mano a mano che vengono aggiunti o rimossi dai gruppi o tag.
180
Guida del prodotto
14
Opzione
Descrizione
Pacchetto
Selezionare McAfee Agent for Linux dall'elenco.
Lingua e Ramo
Se necessario, selezionare la Lingua e il Ramo, se non si utilizzano i valori predefiniti.
Riga di comando
Nel campo di testo, specificare le eventuali opzioni di installazione mediante riga di
comando. Per informazioni dettagliate sulle opzioni della riga di comando, vedere
la Guida del prodotto di McAfee Agent .
Selezionare i
sistemi
Fare clic su Seleziona sistemi per aprire la finestra di dialogo Selezione sistema.
La finestra di dialogo Selezione sistema è un filtro che consente di selezionare gruppi
nella struttura dei sistemi, tag o un sottoinsieme di sistemi raggruppati o con tag.
Le selezioni effettuate in ogni scheda di questa finestra di dialogo sono
concatenate per filtrare l'insieme completo dei sistemi di destinazione per una
distribuzione.
Se, ad esempio, una struttura dei sistemi contiene "Sistemi Linux", che includono
sia server che workstation, è possibile selezionare come destinazione l'intero
gruppo, solo i server o le workstation (se presentano i tag appropriati) o un
sottoinsieme di entrambi i tipi di sistemi Linux.
Se necessario, configurare quanto segue:
• Esegui a ogni applicazione delle policy (solo Windows)
• Consenti agli utenti finali di posticipare questa distribuzione (solo Windows)
• Numero massimo di posticipazioni consentite
• L'opzione di posticipazione scade dopo
• Visualizza questo testo
Selezionare un
orario di inizio
Selezionare una pianificazione o un orario di inizio per la distribuzione:
• Esegui subito: l'attività di distribuzione viene avviata durante il successivo ASCI.
• Solo una volta: viene aperta l'utilità di pianificazione che consente di configurare la
data e l'ora di inizio, nonché la sequenza casuale.
Salva
Al termine, fare clic su Salva nella parte superiore della pagina. La pagina
Distribuzione prodotti viene visualizzata con il nuovo progetto aggiunto all'elenco delle
distribuzioni.
Dopo aver creato un progetto di distribuzione, viene automaticamente creata un'attività client con
le impostazioni di distribuzione.
3
Nella pagina Distribuzione prodotti, controllare le informazioni riportate di seguito per verificare il
corretto funzionamento del progetto di Distribuzione prodotti di McAfee Agent.
Opzione
Descrizione
Riepilogo
distribuzione
Fare clic sul progetto Distribuzione prodotti distribuzione Linux McAfee Agent creato nel
passaggio precedente e sulla visualizzazione dei dettagli nel lato destro della
pagina.
Poiché si tratta di una distribuzione continua, il simbolo dell'infinito
visualizzato in In corso.
Dettagli
distribuzione
viene
Consente di:
• Fare clic su Azioni per modificare la distribuzione selezionata.
• Visualizzare l'Avanzamento, lo Stato e i Dettagli della distribuzione selezionata.
• Visualizzare i Sistemi, le Azioni sistema, lo Stato e i Tag associati alla distribuzione
selezionata.
Guida del prodotto
181
14
Dopo aver completato questo processo di esempio, le piattaforme Linux aggiunte alla Struttura dei sistemi
presentano un'installazione di McAfee Agent for Linux e ora devono essere gestite da ePolicy
Orchestrator.
182
Guida del prodotto
15
Le policy garantiscono la configurazione corretta delle funzionalità di un prodotto nei sistemi gestiti.
La gestione dei prodotti da un'unica posizione costituisce una funzionalità centrale di ePolicy
Orchestrator e viene effettuata tramite l'imposizione delle policy del prodotto. Le policy garantiscono la
configurazione corretta delle funzionalità di un prodotto. Le attività client sono azioni pianificate che
vengono eseguite in sistemi gestiti che ospitano prodotti software sul lato client.
Sommario
Policy e applicazione delle policy
Applicazione delle policy
Creazione e gestione di policy
Prima configurazione delle policy
Gestione di policy
Pagina Conservazione policy e attività
Regole di assegnazione di policy
Creazione di query di Gestione policy
Visualizzazione di informazioni sulle policy
Condivisione delle policy tra server di McAfee ePO
Distribuzione di una policy a più server di McAfee ePO
Una policy policy è una raccolta di impostazioni create e configurate dall'utente e poi applicate. Le
policy garantiscono che i prodotti software di sicurezza gestiti vengano configurati e che vengano
eseguiti in modo conforme.
Alcune impostazioni delle policy sono uguali alle impostazioni che si configurano nell'interfaccia del
prodotto installato nel sistema gestito. Altre impostazioni delle policy costituiscono l'interfaccia
principale per la configurazione del prodotto o componente. La console di ePolicy Orchestrator
consente di configurare le impostazioni delle policy di tutti i prodotti e di tutti i sistemi da una
posizione centrale.
Categorie di policy
Le impostazioni delle policy della maggior parte dei prodotti sono raggruppate per categoria. Ogni
categoria di policy fa riferimento a uno specifico sottoinsieme di impostazioni delle policy. Le policy
vengono create per categoria. Nella pagina Catalogo delle policy, le policy sono visualizzate per prodotto e
categoria. Quando si apre una policy esistente o si crea una policy, le impostazioni della policy
vengono organizzate in schede.
Guida del prodotto
183
15
Visualizzazione delle policy
Per visualizzare tutte le policy che sono state create per categoria di policy, fare clic su Menu | Policy |
Catalogo delle policy, quindi selezionare un Prodotto e una Categoria dagli elenchi a discesa. Nella pagina
Catalogo delle policy gli utenti possono visualizzare solo le policy dei prodotti per i quali dispongono di
autorizzazioni.
Per vedere quali policy, per prodotto, vengono applicate a un gruppo specifico della Struttura dei sistemi,
fare clic su Menu | Sistemi | Struttura dei sistemi | Policy assegnate, selezionare un gruppo, quindi selezionare
un Prodotto dall'elenco a discesa.
Per ogni categoria esiste una policy McAfee Default. Non è possibile eliminare, modificare, esportare o
rinominare tali policy ma è possibile copiarle e modificare la copia.
Impostazione dell'applicazione delle policy
Per ogni prodotto o componente gestito, specificare se l'agent applica tutte le policy selezionate o
nessuna.
Nella pagina Policy assegnate, specificare se applicare policy per prodotti o componenti nel gruppo
selezionato.
Nella pagina Catalogo policy è possibile visualizzare le assegnazioni delle policy, il relativo ambito di
applicazione e se sono applicate. È inoltre possibile bloccare l'applicazione delle policy per impedire
modifiche all'applicazione al di sotto del nodo bloccato.
Se l'applicazione delle policy è disattivata, i sistemi del gruppo specificato non ricevono elenchi di siti
aggiornati durante una comunicazione agent-server. Di conseguenza è possibile che i sistemi gestiti del
gruppo non funzionino come previsto. Se ad esempio si configura la comunicazione dei sistemi gestiti
con il gestore degli agent A ma l'applicazione delle policy viene disattivata, i sistemi gestiti non
riceveranno il nuovo elenco di siti con tali informazioni quindi faranno riferimento a un gestore degli
agent diverso indicato in un elenco di siti scaduto.
Momento di applicazione delle policy
Quando si riconfigurano le impostazioni delle policy, le nuove impostazioni vengono consegnate, e
applicate, ai sistemi gestiti in occasione della successiva comunicazione agent-server. La di tale
comunicazione è determinata dalle impostazioni Intervallo di comunicazione agent-server (ASCI) nella scheda
Generale delle pagine delle policy di McAfee Agent o dalla pianificazione dell'attività client McAfee Agent
Attivazione (a seconda del modo in cui si implementa la comunicazione agent-server). Per impostazione
predefinita l'intervallo tra una comunicazione e l'altra è di 60 minuti.
Una volta che le impostazioni delle policy sono attive nel sistema gestito, l'agent continua ad applicarle
localmente a intervalli regolari. Questo intervallo di applicazione è determinato dall'impostazione
Intervallo di applicazione delle policy nella scheda Generale delle pagine delle policy di McAfee Agent. Per
impostazione predefinita l'intervallo è di cinque minuti.
Le impostazioni delle policy per i prodotti McAfee vengono applicate immediatamente in occasione
dell'intervallo di applicazione delle policy e in occasione di ogni comunicazione agent-server se hanno
subito modifiche.
Importazione ed esportazione di policy
Se si dispone di più server, è possibile esportare e importare policy tra di loro utilizzando file XML. In
tale ambiente, creare una policy una volta sola.
È possibile esportare e importare singole policy oppure tutte le policy di un dato prodotto.
184
Guida del prodotto
15
Questa funzionalità può inoltre essere utilizzata per eseguire il backup delle policy in caso di
reinstallazione del server.
Condivisione delle policy
La condivisione delle policy rappresenta un altro metodo per trasferire le policy tra server. La
condivisione delle policy consente di gestire policy su un server e di utilizzarle su un numero
notevolmente superiore di altri server tramite la console McAfee ePO.
Le policy vengono applicate ai sistemi con due metodi: ereditarietà o assegnazione.
Ereditarietà
L'ereditarietà determina se le impostazioni delle policy e le attività client di un gruppo o sistema
provengono dal padre. Per impostazione predefinita l'ereditarietà è attivata nell'intera Struttura dei sistemi.
Quando si interrompe l'ereditarietà assegnando una nuova policy in un punto qualsiasi della Struttura dei
sistemi, tutti i gruppi e i sistemi figlio erediteranno la policy da questo punto di assegnazione, se
impostati in tal senso.
Assegnazione
È possibile assegnare qualsiasi policy del Catalogo delle policy a qualsiasi gruppo o sistema, purché si
disponga delle autorizzazioni appropriate. L'assegnazione consente di definire le impostazioni delle
policy una volta per una specifica esigenza e di applicare la policy in più percorsi.
Quando si assegna una nuova policy a un particolare gruppo della Struttura dei sistemi, tutti i gruppi e i
sistemi figlio erediteranno la policy da questo punto di assegnazione, se impostati in tal senso.
Blocco dell'assegnazione
È possibile bloccare l'assegnazione di una policy in qualsiasi gruppo o sistema, purché si disponga
delle autorizzazioni appropriate. Il blocco dell'assegnazione impedisce ad altri utenti:
•
con le autorizzazioni appropriate allo stesso livello della Struttura dei sistemi, di sostituire
inavvertitamente una policy;
•
con autorizzazioni inferiori (o le stesse autorizzazioni ma a un livello inferiore della Struttura dei
sistemi), di sostituire la policy.
Il blocco dell'assegnazione viene ereditato con le impostazioni della policy.
Il blocco dell'assegnazione è utile quando si desidera assegnare una determinata policy al livello
superiore della Struttura dei sistemi e garantisce che nessun altro utente la sostituisca in altri punti della
Il blocco dell'assegnazione blocca solo l'assegnazione della policy, non impedisce al titolare della policy
di modificarne le impostazioni. Pertanto, se si intende bloccare l'assegnazione di una policy, accertarsi
di esserne il titolare.
Proprietà della policy
Tutte le policy relative a prodotti e funzionalità per i quali si dispone delle autorizzazioni sono
disponibili nella pagina Catalogo delle policy. Per impedire agli utenti di modificare le policy di altri utenti, a
ogni policy viene assegnato un titolare, ovvero l'utente che l'ha creata.
Guida del prodotto
185
15
La proprietà garantisce che nessuno possa modificare o eliminare una policy tranne l'autore o un
amministratore. Qualsiasi utente con le autorizzazioni appropriate può assegnare una policy nella
pagina Catalogo delle policy ma solo il titolare o un amministratore può modificarla.
È necessario tenere presente che se si assegna a sistemi gestiti una policy di cui non si è il titolare, nel
momento in cui il legittimo titolare la modifica, tutti i sistemi ai quali la policy è assegnata riceveranno
le modifiche. Pertanto, se si desidera utilizzare una policy di un altro utente, McAfee consiglia di
duplicarla prima, quindi di assegnare il duplicato ai percorsi desiderati. Ciò conferisce all'utente la
proprietà della policy assegnata.
È possibile specificare più utenti come titolari di una singola policy.
Creare e gestire una policy dalla pagina Catalogo delle policy
Attività
•
Creazione di una policy dalla pagina Catalogo delle policy a pagina 186
Le policy personalizzate create mediante il Catalogo delle policy non vengono assegnate ad
alcun gruppo o sistema. È possibile creare policy prima o dopo la distribuzione di un
prodotto.
•
Gestione di una policy esistente nella pagina Catalogo delle policy a pagina 186
È possibile modificare, duplicare, rinominare o eliminare una policy.
Creazione di una policy dalla pagina Catalogo delle policy
Le policy personalizzate create mediante il Catalogo delle policy non vengono assegnate ad alcun
gruppo o sistema. È possibile creare policy prima o dopo la distribuzione di un prodotto.
Attività
1
Aprire la finestra di dialogo Nuova policy.
a
Fare clic su Menu | Policy | Catalogo delle policy.
b
Selezionare il prodotto e la categoria negli elenchi a discesa.
Tutte le policy create per la categoria selezionata vengono visualizzate nel riquadro Dettagli.
c
Fare clic su Nuova policy.
2
Selezionare dall'elenco a discesa Crea una policy basata su questa policy esistente la policy che si desidera
duplicare.
3
Digitare un nome per la nuova policy e fare clic su OK.
Viene visualizzata la procedura guidata Impostazioni policy.
4
Modificare le impostazioni relative alla policy su ogni scheda in base alle esigenze.
5
Fare clic su Salva.
Gestione di una policy esistente nella pagina Catalogo delle
policy
È possibile modificare, duplicare, rinominare o eliminare una policy.
186
Guida del prodotto
15
Attività
1
Per selezionare una policy esistente, fare clic su Menu | Policy | Catalogo delle policy, quindi selezionare il
Prodotto e la Categoria dagli elenchi a discesa.
Tutte le policy create per la categoria selezionata vengono visualizzate nel riquadro dei dettagli.
2
Selezionare il prodotto e la categoria dagli elenchi per la policy da modificare.
3
Azione
Passaggi
Modifica delle
impostazioni di una
policy
1 Individuare la policy da modificare, quindi fare clic sul relativo nome.
Duplicazione di una
policy
1 Individuare la policy da duplicare, quindi fare clic su Duplica nella
relativa riga.
2 Modificare le impostazioni in base alle esigenze, quindi fare clic su Salva.
Viene visualizzata la finestra di dialogo Duplica policy esistente.
2 Digitare il nome della nuova policy nel campo, quindi fare clic su OK.
La nuova policy viene visualizzata nella pagina Catalogo delle policy.
3 Fare clic sulla nuova policy nell'elenco.
4 Modificare le impostazioni in base alle esigenze, quindi fare clic su Salva.
La policy duplicata viene visualizzata nel riquadro dei dettagli con il
nuovo nome e le nuove impostazioni.
Ridenominazione di
una policy
1 Individuare la policy da rinominare, quindi fare clic su Rinomina nella
relativa riga.
Verrà visualizzata la finestra di dialogo Rinomina policy.
2 Digitare un nuovo nome per la policy esistente e fare clic su OK.
La policy rinominata viene visualizzata nel riquadro dei dettagli.
Eliminazione di una
policy
1 Individuare una policy, quindi fare clic su Elimina nella relativa riga.
2 Fare clic su OK quando richiesto.
La policy eliminata viene rimossa dal riquadro dei dettagli.
Seguire i passaggi generali riportati di seguito per configurare le policy per la prima volta.
1
Pianificare policy di prodotto per i segmenti della propria struttura dei sistemi
2
Creare e assegnare policy a gruppi e sistemi.
Gestione di policy
Assegnare e gestire le policy nell'ambiente di lavoro.
Guida del prodotto
187
15
Gestione di policy
Attività
•
Modifica dei titolari di una policy a pagina 188
Per impostazione predefinita, la proprietà di una policy viene assegnata all'utente che l'ha
creata. Se si dispone delle autorizzazioni richieste, è possibile modificare la proprietà di una
policy.
•
Spostamento di policy tra server di McAfee ePO a pagina 188
Per spostare le policy tra server di McAfee ePO, è necessario esportare la policy in un file
XML dalla pagina Catalogo delle policy del server di origine, quindi importarla nella pagina
Catalogo delle policy nel server di destinazione.
•
Assegnazione di una policy a un gruppo della struttura dei sistemi a pagina 190
È possibile assegnare una policy a un gruppo specifico della struttura dei sistemi. Le policy
possono essere assegnate prima o dopo la distribuzione di un prodotto.
•
Assegnazione di una policy a un sistema gestito a pagina 190
È possibile assegnare una policy a un sistema gestito specifico. Le policy possono essere
assegnate prima o dopo la distribuzione di un prodotto.
•
Assegnazione di una policy ai sistemi di un gruppo della struttura dei sistemi a pagina 191
È possibile assegnare una policy a più sistemi gestiti di un gruppo. Le policy possono essere
assegnate prima o dopo la distribuzione di un prodotto.
•
Applicazione di policy per un prodotto in un gruppo della struttura dei sistemi a pagina 191
È possibile attivare o disattivare l'applicazione delle policy per un prodotto in un gruppo.
L'applicazione delle policy è attivata per impostazione predefinita e viene ereditata nella
•
Applicazione di policy per un prodotto in un sistema a pagina 192
È possibile attivare o disattivare l'applicazione delle policy per un prodotto in un sistema
gestito. L'applicazione delle policy è attivata per impostazione predefinita e viene ereditata
nella struttura dei sistemi.
•
Copia di assegnazioni di policy a pagina 192
È possibile copiare le assegnazioni di policy da un gruppo o un sistema in un altro. Si tratta
di un modo semplice per condividere più assegnazioni tra gruppi e sistemi provenienti da
parti diverse della struttura dei sistemi.
Modifica dei titolari di una policy
Per impostazione predefinita, la proprietà di una policy viene assegnata all'utente che l'ha creata. Se si
dispone delle autorizzazioni richieste, è possibile modificare la proprietà di una policy.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi selezionare il Prodotto e la Categoria.
2
Individuare la policy desiderata e fare clic sul rispettivo titolare.
Viene visualizzata la pagina Proprietà della policy.
3
Selezionare i titolari della policy dall’elenco e fare clic su OK.
Spostamento di policy tra server di McAfee ePO
Per spostare le policy tra server di McAfee ePO, è necessario esportare la policy in un file XML dalla
pagina Catalogo delle policy del server di origine, quindi importarla nella pagina Catalogo delle policy
nel server di destinazione.
188
Guida del prodotto
Gestione di policy
15
Attività
•
Esportazione di una singola policy a pagina 189
È possibile esportare una singola policy in un file XML, quindi utilizzare tale file per
importare la policy in un altro server di McAfee ePO oppure conservarlo come backup della
policy.
•
Esportazione di tutte le policy di un prodotto a pagina 189
È possibile esportare tutte le policy di un prodotto in un file XML. Utilizzare tale file per
importare la policy in un altro server di McAfee ePO oppure conservarlo come backup delle
policy.
•
Importazione di policy a pagina 190
È possibile importare un file XML di policy. La procedura di importazione è la stessa per
l'esportazione di una sola policy e per l'esportazione di tutte le policy denominate.
Esportazione di una singola policy
È possibile esportare una singola policy in un file XML, quindi utilizzare tale file per importare la policy
in un altro server di McAfee ePO oppure conservarlo come backup della policy.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi selezionare Prodotto e Categoria dagli elenchi a
discesa.
Tutte le policy create per la categoria selezionata vengono visualizzate nel riquadro Dettagli.
2
Individuare la policy e accanto, fare clic su Esporta.
Viene visualizzata la pagina Esporta.
3
Fare clic con il pulsante destro del mouse sul collegamento da scaricare e salvare il file.
4
Assegnare un nome al file XML della policy e salvarlo.
Se si intende importare il file in un server di McAfee ePO diverso, assicurarsi che questa posizione
sia accessibile al server di McAfee ePO di destinazione.
Esportazione di tutte le policy di un prodotto
È possibile esportare tutte le policy di un prodotto in un file XML. Utilizzare tale file per importare la
policy in un altro server di McAfee ePO oppure conservarlo come backup delle policy.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi selezionare il Prodotto e la Categoria.
2
Fare clic su Esporta accanto a Policy prodotto. Viene visualizzata la pagina Esporta.
3
Fare clic con il pulsante destro del mouse sul collegamento da scaricare e salvare il file.
Se si intende importare il file in un server di McAfee ePO diverso, assicurarsi che questa posizione
sia accessibile al server di McAfee ePO di destinazione.
Guida del prodotto
189
15
Gestione di policy
Importazione di policy
È possibile importare un file XML di policy. La procedura di importazione è la stessa per l'esportazione
di una sola policy e per l'esportazione di tutte le policy denominate.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi fare clic su Importa accanto a Policy prodotto.
2
Sfogliare le varie voci e selezionare il file XML di policy, quindi fare clic su OK.
3
Selezionare le policy che si desidera importare e fare clic su OK.
Le policy verranno aggiunte al catalogo.
Assegnazione di una policy a un gruppo della struttura dei
sistemi
È possibile assegnare una policy a un gruppo specifico della struttura dei sistemi. Le policy possono
essere assegnate prima o dopo la distribuzione di un prodotto.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Policy assegnate, quindi selezionare un prodotto.
Nel riquadro dei dettagli vengono visualizzate, suddivise per categoria, le singole policy assegnate.
2
Individuare la categoria di policy desiderata e fare clic su Modifica assegnazione.
3
Se la policy è ereditata, selezionare Blocca ereditarietà e assegna la policy e le impostazioni a partire da questo punto
accanto all'opzione Eredita da.
4
Selezionare la policy dall’elenco a discesa Policy assegnata.
Da questa posizione è inoltre possibile modificare le impostazioni della policy selezionata oppure
creare una policy.
5
Specificare se si desidera bloccare l'ereditarietà della policy.
In questo modo si impedisce l'assegnazione di una policy diversa ai sistemi che la ereditano.
6
Fare clic su Salva.
Assegnazione di una policy a un sistema gestito
È possibile assegnare una policy a un sistema gestito specifico. Le policy possono essere assegnate
prima o dopo la distribuzione di un prodotto.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare un gruppo in Struttura dei
sistemi.
Nel riquadro dei dettagli vengono visualizzati tutti i sistemi che si trovano nel gruppo selezionato,
ma non quelli dei relativi sottogruppi.
2
Selezionare un sistema, quindi fare clic su Azioni | Agent | Modifica policy su sistema singolo.
Viene visualizzata la pagina Assegnazione di policy relativa al sistema specifico.
190
Guida del prodotto
Gestione di policy
3
15
Selezionare un prodotto.
Vengono elencate le categorie del prodotto selezionato con la policy assegnata dal sistema.
4
Individuare la categoria di policy desiderata e fare clic su Modifica assegnazioni.
5
Se la policy è ereditata, selezionare Blocca ereditarietà e assegna la policy e le impostazioni a partire da questo punto
accanto all'opzione Eredita da.
6
Selezionare la policy dall’elenco a discesa Policy assegnata.
Da questa posizione è inoltre possibile modificare le impostazioni della policy selezionata oppure
creare una policy.
7
In questo modo si impedisce l'assegnazione di una policy diversa ai sistemi che la ereditano.
8
Fare clic su Salva.
Assegnazione di una policy ai sistemi di un gruppo della
struttura dei sistemi
È possibile assegnare una policy a più sistemi gestiti di un gruppo. Le policy possono essere assegnate
prima o dopo la distribuzione di un prodotto.
Attività
1
sistemi.
Nel riquadro dei dettagli vengono visualizzati tutti i sistemi che si trovano nel gruppo selezionato,
ma non quelli dei relativi sottogruppi.
2
Selezionare i sistemi desiderati, quindi fare clic su Azioni | Agent | Imposta policy ed ereditarietà.
Viene visualizzata la pagina Assegna policy.
3
Selezionare il Prodotto, la Categoria e la Policy negli elenchi a discesa.
4
Selezionare Reimposta ereditarietà oppure Interrompi ereditarietà, quindi fare clic su Salva.
Applicazione di policy per un prodotto in un gruppo della
È possibile attivare o disattivare l'applicazione delle policy per un prodotto in un gruppo. L'applicazione
delle policy è attivata per impostazione predefinita e viene ereditata nella struttura dei sistemi.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Policy assegnate, quindi selezionare un gruppo nella
2
Selezionare il prodotto desiderato e fare clic sul link accanto a Stato applicazione.
Viene visualizzata la pagina Applicazione.
3
Per modificare lo stato di applicazione, selezionare Blocca ereditarietà e assegna la policy e le impostazioni a
partire da questo punto.
4
Accanto a Stato applicazione, selezionare Applicazione o Non applicazione in base alle esigenze.
Guida del prodotto
191
15
Gestione di policy
5
Il blocco dell'ereditarietà per l'applicazione delle policy impedisce l'interruzione dell'applicazione per
i gruppi e i sistemi che ereditano questa policy.
6
Fare clic su Salva.
Applicazione di policy per un prodotto in un sistema
È possibile attivare o disattivare l'applicazione delle policy per un prodotto in un sistema gestito.
L'applicazione delle policy è attivata per impostazione predefinita e viene ereditata nella struttura dei
sistemi.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare in Struttura dei sistemi il gruppo
cui appartiene il sistema.
Nel riquadro dei dettagli viene visualizzato l'elenco dei sistemi che appartengono a tale gruppo.
2
Selezionare un sistema, quindi fare clic su Azioni | Modifica policy su sistema singolo.
Viene visualizzata la pagina Assegnazione di policy.
3
Selezionare un prodotto e fare clic su Applicazione accanto a Stato applicazione.
Viene visualizzata la pagina Applicazione.
4
Per modificare lo stato dell'applicazione, è necessario prima selezionare Blocca ereditarietà e assegna la
policy e le impostazioni a partire da questo punto.
5
Accanto a Stato applicazione, selezionare Applicazione o Non applicazione in base alle esigenze.
6
Fare clic su Salva.
Copia di assegnazioni di policy
È possibile copiare le assegnazioni di policy da un gruppo o un sistema in un altro. Si tratta di un
modo semplice per condividere più assegnazioni tra gruppi e sistemi provenienti da parti diverse della
Attività
•
Copia delle assegnazioni di policy da un gruppo a pagina 192
È possibile copiare le assegnazioni di policy da un gruppo della struttura dei sistemi in un
altro.
•
Copia delle assegnazioni di policy da un sistema a pagina 193
Copia delle assegnazioni di policy da un sistema specifico
•
Come incollare assegnazioni di policy in un gruppo a pagina 193
È possibile incollare assegnazioni di policy in un gruppo dopo averle copiate da un gruppo o
un sistema.
•
Come incollare assegnazioni di policy in un sistema specifico a pagina 193
È possibile incollare assegnazioni di policy in un sistema specifico dopo averle copiate da un
gruppo o un sistema.
Copia delle assegnazioni di policy da un gruppo
È possibile copiare le assegnazioni di policy da un gruppo della struttura dei sistemi in un altro.
192
Guida del prodotto
Gestione di policy
15
Attività
1
2
Fare clic su Azioni | Copia assegnazioni.
3
Selezionare i prodotti o le funzionalità per cui copiare le assegnazioni di policy, quindi fare clic su
OK.
Copia delle assegnazioni di policy da un sistema
Copia delle assegnazioni di policy da un sistema specifico
Attività
1
sistemi.
I sistemi appartenenti al gruppo selezionato vengono visualizzati nel riquadro dei dettagli.
2
Selezionare un sistema, quindi fare clic su Azioni | Agent | Modifica policy su sistema singolo.
3
Fare clic su Azioni | Copia assegnazioni, selezionare i prodotti o le funzionalità per i quali si desidera
copiare le assegnazioni di policy e fare clic su OK.
Come incollare assegnazioni di policy in un gruppo
È possibile incollare assegnazioni di policy in un gruppo dopo averle copiate da un gruppo o un
sistema.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Policy assegnate, quindi selezionare il gruppo desiderato
nella Struttura dei sistemi.
2
Nel riquadro dei dettagli fare clic su Azioni e selezionare Incolla assegnazioni.
Se al gruppo sono state già assegnate policy per alcune categorie, viene visualizzata la pagina
Sostituisci assegnazioni delle policy.
Mentre si incollano le assegnazioni di policy, nell’elenco viene visualizzata la policy Applica policy e attività
che controlla lo stato di applicazione di altre policy.
3
Selezionare le categorie di policy che si desidera sostituire con le policy copiate, quindi fare clic su
OK.
Come incollare assegnazioni di policy in un sistema specifico
È possibile incollare assegnazioni di policy in un sistema specifico dopo averle copiate da un gruppo o
un sistema.
Attività
1
sistemi.
Tutti i sistemi appartenenti al gruppo selezionato vengono visualizzati nel riquadro dei dettagli.
Guida del prodotto
193
15
2
Selezionare il sistema nel quale incollare le assegnazioni di policy, quindi fare clic su Azioni | Agent |
Modifica policy su sistema singolo.
3
Nel riquadro dei dettagli fare clic su Azioni | Incolla assegnazioni.
Se al sistema sono state già assegnate policy per alcune categorie, viene visualizzata la pagina
Sostituisci assegnazioni delle policy.
Mentre si incollano le assegnazioni di policy, nell’elenco viene visualizzata la policy Applica policy e attività
che controlla lo stato di applicazione di altre policy.
4
Confermare la sostituzione delle assegnazioni.
Utilizzare questa pagina per specificare se le policy e i dati delle attività client devono essere rimossi
quando si elimina un'estensione di gestione prodotto.
Tabella 15-1
Definizioni delle opzioni
Opzione
Definizione
Conservazione policy e
attività
Consente di specificare se le policy e i dati delle attività client devono
essere rimossi quando si elimina un'estensione di gestione prodotto. Di
seguito sono indicate le opzioni disponibili.
• Mantieni dati attività client e policy
• Rimuovi dati attività client e policy: l'impostazione predefinita prevede la
rimozione dei dati di attività client e policy.
Le regole di assegnazione di policy riducono il sovraccarico generato dalla gestione di numerose policy
per singoli utenti o sistemi che soddisfano criteri specifici mantenendo policy più generiche nella
Questo livello di granularità nell'assegnazione di policy limita il numero di istanze di ereditarietà
interrotta nella struttura dei sistemi, necessarie per gestire le impostazioni delle policy richieste da
determinati utenti o sistemi. Le assegnazioni di policy possono essere basate su criteri specifici
dell'utente o del sistema:
194
•
Policy basate sugli utenti: policy che includono almeno un criterio specifico dell'utente. È ad
esempio possibile creare una regola di assegnazione di policy da applicare a tutti gli utenti del
gruppo addetto alla progettazione. È quindi possibile creare un'altra regola di assegnazione di
policy per i membri del reparto IT in modo che possano accedere a qualsiasi computer della rete di
progettazione con i diritti di accesso necessari per risolvere i problemi rilevati in un sistema
specifico di tale rete. Le policy basate sugli utenti possono anche includere criteri basati sul
sistema.
•
Policy basate sul sistema: policy che includono solo criteri basati sul sistema. È ad esempio
possibile creare una regola di assegnazione di policy da applicare a tutti i server di una rete in base
ai tag applicati o a tutti i sistemi presenti in una posizione specifica nella struttura dei sistemi. Le
policy basate sul sistema non possono includere criteri basati sull'utente.
Guida del prodotto
15
Priorità delle regole di assegnazione di policy
È possibile fissare priorità per le regole di assegnazione di policy allo scopo di semplificare la gestione
dell'assegnazione di policy. Quando si assegna la priorità a una regola, questa viene applicata prima di
altre assegnazioni con priorità inferiore.
In alcuni casi è possibile che alcune impostazioni delle regole vengano sostituite. Si consideri ad
esempio il caso di un utente o di un sistema incluso in due regole di assegnazione di policy, le regole A
e B. La regola A ha il livello di priorità 1 e consente agli utenti inclusi di accedere senza limiti al
contenuto di Internet. La regola B ha il livello di priorità 2 e limita notevolmente l'accesso al contenuto
di Internet da parte dello stesso utente. In questo scenario viene applicata la regola A poiché ha la
priorità più elevata. Di conseguenza, l'utente usufruisce di un accesso illimitato al contenuto di
Internet.
Funzionamento delle policy per più percorsi con la priorità delle regole di
assegnazione di policy
La priorità delle regole non viene presa in considerazione per le policy per più percorsi. Quando si
applica una sola regola contenente policy per più percorsi della stessa categoria di prodotti, tutte le
impostazioni delle policy per più percorsi vengono riunite. Allo stesso modo, se si applicano più regole
contenenti impostazioni di policy per più percorsi, vengono riunite tutte le impostazioni di ciascuna
policy per più percorsi. Di conseguenza, la policy applicata è una combinazione delle impostazioni delle
singole regole.
Quando si esegue l'aggregazione di policy per più percorsi, queste devono essere tutte dello stesso
tipo: basate sull'utente o basate sul sistema. Le policy per più percorsi assegnate con le regole di
assegnazione di policy, tuttavia, non vengono aggregate con policy per più percorsi assegnate nella
struttura dei sistemi. Le policy per più percorsi assegnate con regole di assegnazione di policy hanno
la priorità sulle policy assegnate nella struttura dei sistemi. Le policy basate sull'utente, inoltre, hanno
la priorità sulle policy basate sul sistema. Si consideri lo scenario seguente nel quale:
Tipo di policy
Tipo di assegnazione
Nome
policy
Impostazioni delle policy
Policy generica
Policy assegnata nella
A
Impedisce l'accesso a Internet da tutti i
sistemi ai quali è assegnata la policy.
Basata sul
sistema
Regola di assegnazione di
policy
B
Consente l'accesso a Internet dai sistemi
con tag "Portatile".
Basata
sull’utente
Regola di assegnazione di
policy
C
Consente l'accesso a Internet illimitato a
tutti gli utenti nel gruppo di utenti
amministratori da tutti i sistemi.
Scenario: uso di policy per più percorsi per controllare l'accesso a Internet
Nella struttura dei sistemi è presente un gruppo denominato "Engineering" composto da sistemi con
tag "Server" o "Portatile". Nella struttura dei sistemi la policy A è assegnata a tutti i sistemi del
gruppo. Se si assegna la policy B a qualsiasi percorso della struttura dei sistemi sopra il gruppo
Engineering mediante una regola di assegnazione di policy, le impostazioni della policy A vengono
sostituite e ai sistemi con tag "Portatile" viene concesso l'accesso a Internet. Se si assegna la policy C
a un gruppo qualsiasi della struttura dei sistemi sopra il gruppo Engineering, si concede agli utenti del
gruppo di utenti amministratori di accedere a Internet da tutti i sistemi, compresi quelli nel gruppo
Engineering con tag "Server".
Esclusione di oggetti Active Directory dalle policy aggregate
Poiché le regole che consistono in policy per più percorsi vengono applicate a sistemi assegnati
indipendentemente dalla priorità, può essere necessario in alcuni casi impedire l'aggregazione delle
impostazioni delle policy. Per impedire l'aggregazione di impostazioni di policy per più percorsi basate
Guida del prodotto
195
15
sull'utente in presenza di più regole di assegnazione di policy, è possibile escludere un utente (o altri
oggetti Active Directory quali un gruppo o un'unità organizzativa) quando si crea la regola. Per ulteriori
informazioni sulle policy per più percorsi che è possibile utilizzare nelle regole di assegnazione di
policy, fare riferimento alla documentazione del prodotto gestito in uso.
Informazioni sulle assegnazioni delle policy basate sull'utente
Le regole di assegnazione di policy basate sull'utente consentono di creare assegnazioni di policy
specifiche.
Tali assegnazioni vengono applicate al sistema di destinazione quando un utente effettua l'accesso.
In un sistema gestito l'agent conserva un record degli utenti che accedono alla rete. Viene eseguito il
push delle assegnazioni delle policy create per ciascun utente nel sistema al quale accede l'utente
stesso e durante ogni comunicazione agent-server le assegnazioni vengono memorizzate nella cache.
McAfee ePO applica a ciascun utente le policy assegnate.
Quando un utente accede per la prima volta a un sistema gestito, può verificarsi un leggero ritardo
prima che McAfee Agent contatti il server assegnato per le assegnazioni delle policy specifiche
dell’utente. In questo intervallo di tempo, l'utente ha accesso solo alla funzionalità consentita dalla
policy predefinita del computer, che generalmente è quella più sicura.
Per utilizzare le assegnazioni di policy basate sull'utente, registrare e configurare un server LDAP
registrato da utilizzare con il server di McAfee ePO.
Informazioni sulla migrazione delle regole legacy di assegnazione delle policy
Le regole di assegnazione delle policy create utilizzando la versione 4.5 del server di McAfee ePO sono
basate sull'utente per impostazione predefinita. Per le regole legacy di assegnazione di policy migrate
per le quali non sono specificati criteri basati sull'utente, le regole vengono considerate come basate
sull'utente. Quando si crea una nuova regola di assegnazione di policy basata sull'utente, specificare
almeno un criterio basato sull'utente.
L’applicazione delle regole legacy di assegnazione di policy basate sull’utente migrate comporta
l’esecuzione da parte del server di McAfee ePO in uso di una ricerca nel server LDAP di tutti i sistemi
gestiti presenti nella rete a ogni intervallo di comunicazione agent-server.
Informazioni sulle assegnazioni delle policy basate sul sistema
Le policy basate sul sistema consentono di assegnare policy ai sistemi utilizzando criteri specifici.
È possibile assegnare una policy basata sul sistema utilizzando i due tipi di criteri specifici indicati di
seguito.
•
Percorso della struttura dei sistemi: tutte le regole di assegnazione delle policy richiedono la
specifica del percorso della struttura dei sistemi.
•
Tag: le policy vengono assegnate ai sistemi in base ai tag applicati.
Dopo aver definito e applicato un tag ai sistemi, è possibile creare una regola di assegnazione delle
policy per assegnare le policy a qualsiasi sistema che includa tale tag. Questa funzionalità risulta utile
nei casi in cui si desideri che a tutti i sistemi di un determinato tipo vengano assegnate le stesse policy
di sicurezza, indipendentemente dal rispettivo percorso nella struttura dei sistemi.
196
Guida del prodotto
15
Utilizzo di tag per assegnare policy basate sul sistema
Utilizzo di tag per semplificare l'automazione dell'assegnazione di policy.
Le policy basate sul sistema che specificano tag come criteri funzionano nello stesso modo delle policy
basate sull'utente. Vengono assegnate in base a criteri di selezione da definire mediante la Creazione
assegnazioni di policy. A ciascun sistema al quale si applica un tag è possibile applicare una specifica policy
in base al tag.
Scenario: creazione di nuovi SuperAgent mediante tag
Si supponga di avere deciso di creare un nuovo set di SuperAgent nell'ambiente ma che non si
disponga del tempo necessario per identificare manualmente i sistemi della Struttura dei sistemi nei quali
tali SuperAgent verranno ospitati. Si può invece utilizzare la procedura Creazione tag per assegnare a
tutti i sistemi che soddisfano uno specifico set di criteri un nuovo tag denominato "èSuperAgent". Una
volta creato il tag, è possibile creare una Regola di assegnazione di policy in base alla quale applicare le
impostazioni delle policy SuperAgent a ogni sistema con tag "èSuperAgent".
Una volta creato il tag, è possibile utilizzare l'azione Esegui criteri di applicazione tag dalla pagina Catalogo tag e
a ogni sistema con il nuovo tag che effettua una chiamata con la frequenza che gli è propria viene
assegnata una nuova policy basata sulla Regola di assegnazione di policy èSuperAgent.
Creazione di regole di assegnazione di policy
Tali regole consentono di applicare le policy per gli utenti o i sistemi in base ai criteri della regola
configurati.
Attività
1
2
Aprire Creazione assegnazioni di policy.
a
Fare clic su Menu | Policy | Regole di assegnazione di policy.
b
Fare clic su Nuova regola di assegnazione.
Specificare i dettagli per la regola di assegnazione di policy, inclusi:
•
Un Nome e una Descrizione univoci.
•
Il Tipo di regola. Il tipo di regola specificato determina i criteri disponibili nella pagina Criteri di
selezione.
Per impostazione predefinita, la priorità per le nuove regole di assegnazione di policy viene attribuita
in modo sequenziale in base al numero di regole esistenti. Dopo aver creato la regola, è possibile
modificare la priorità facendo clic su Modifica priorità nella pagina Regole di assegnazione di policy.
3
4
Fare clic su Aggiungi policy per selezionare le policy che devono essere applicate da questa regola di
assegnazione di policy.
5
6
Specificare i criteri da utilizzare in questa regola. La selezione dei criteri determina i sistemi o gli
utenti cui viene assegnata la policy.
7
Esaminare il riepilogo e fare clic su Salva.
Gestione delle regole di assegnazione di policy
È possibile eseguire attività di gestione quando si utilizzano regole di assegnazione di policy.
Guida del prodotto
197
15
Attività
1
Fare clic su Menu | Policy | Regole di assegnazione di policy. Selezionare l’azione da eseguire nel menu Azioni
o nella colonna Azioni.
2
Selezionare una delle azioni seguenti:
Azione
Passaggi
Eliminare una regola di
Fare clic su Elimina nella riga dell'assegnazione selezionata.
Modifica di una regola di
Fare clic sull'assegnazione selezionata. Verrà visualizzata la procedura
guidata Creazione assegnazioni di policy. Svolgere tutta la procedura
guidata per modificare la regola di assegnazione di policy.
Esportazione delle regole
di assegnazione di policy
Fare clic su Esporta. Verrà visualizzata la pagina Scarica regole di
assegnazioni di policy, in cui è possibile visualizzare o scaricare il file
PolicyAssignmentRules.xml.
Importazione delle regole
di assegnazione di policy
Fare clic su Importa. Viene visualizzata la finestra di dialogo Importa
regole di assegnazione di policy dalla quale è possibile selezionare un
file PolicyAssignmentRules.xml scaricato in precedenza. Viene
chiesto di scegliere le regole da includere nel file da importare. È
possibile selezionare le regole da importare e, se nel file alcune regole
hanno lo stesso nome delle regole già incluse nell'elenco Regole di
assegnazione di policy, è possibile scegliere quali mantenere.
Modifica della priorità di
una regola di
Fare clic su Modifica priorità. Verrà visualizzata la pagina Modifica
priorità, nella quale modificare la priorità delle regole di assegnazione
di policy mediante il quadratino di trascinamento.
Visualizzare il riepilogo di
una regola di
Fare clic su > nella riga dell'assegnazione selezionata.
È possibile recuperare le policy assegnate a un sistema gestito o le policy con ereditarietà interrotta
nella gerarchia dei sistemi.
È possibile creare una delle query di Gestione policy indicate di seguito.
•
Policy applicate: consentono di recuperare le policy assegnate a sistemi gestiti specificati.
•
Ereditarietà interrotta: consentono di recuperare informazioni sulle policy con ereditarietà interrotta
nella gerarchia dei sistemi.
Attività
1
Fare clic su Menu | Reportistica | Query e rapporti, quindi fare clic su Azioni | Nuovo.
Viene visualizzata la procedura guidata Creazione query.
198
2
Nella pagina Tipo di risultato selezionare Gestione policy dall'elenco Gruppo funzionalità.
3
Selezionare uno dei tipi di risultato riportati di seguito, quindi fare clic su Avanti per visualizzare la
pagina Grafico.
•
Attività client applicate
•
Policy applicate
Guida del prodotto
4
•
Ereditarietà interrotta dell'assegnazione delle attività client
•
Ereditarietà interrotta dell'assegnazione di policy
15
Selezionare il tipo di grafico o tabella per la visualizzazione dei risultati principali della query, quindi
Viene visualizzata la pagina Colonne.
Se si seleziona Grafico a torta booleano, è necessario configurare i criteri da includere nella query.
5
Selezionare le colonne da includere nella query, quindi fare clic su Avanti.
Viene visualizzata la pagina Filtro.
6
Selezionare le proprietà per limitare il numero di risultati della ricerca, quindi fare clic su Esegui.
Nella pagina Query non salvata vengono visualizzati i risultati della query, su cui è possibile
eseguire operazioni.
Le proprietà selezionate vengono visualizzate nel riquadro dei contenuti, dove sono disponibili gli
operatori necessari per specificare i criteri che consentono di limitare la quantità di dati restituiti per
una determinata proprietà.
7
8
Nella pagina Query non salvata eseguire le azioni disponibili sugli elementi di qualsiasi tabella o
tabella drill-down.
•
Se la query non restituisce i risultati previsti, fare clic su Modifica query per tornare a Creazione
query e modificare i dettagli della query in questione.
•
Se non si desidera salvare la query, fare clic su Chiudi.
•
Se si intende utilizzare di nuovo la query, fare clic su Salva e procedere al passaggio successivo.
Nella pagina Salva query digitare un nome per la query, aggiungere eventuali note e selezionare
una delle opzioni indicate di seguito.
•
•
9
Nuovo gruppo: digitare un nome per il nuovo gruppo e selezionare una delle opzioni seguenti:
•
Gruppo Privato (Gruppi personali)
•
Gruppo Pubblico (Gruppi condivisi)
Gruppo esistente: selezionare il gruppo dall'elenco Gruppi condivisi.
Fare clic su Salva.
È possibile visualizzare informazioni dettagliate sulle policy, inclusi i titolari, le assegnazioni e
l'ereditarietà delle policy.
Guida del prodotto
199
15
Attività
•
Visualizzazione di gruppi e sistemi in cui è assegnata una policy a pagina 200
È possibile visualizzare i gruppi e i sistemi in cui è assegnata una policy. Nell'elenco sono
indicati solo i punti di assegnazione, non ogni gruppo o sistema che eredita la policy.
•
Visualizzazione delle impostazioni delle policy a pagina 200
È possibile visualizzare i dettagli di una policy assegnata a un sistema o a una categoria di
prodotti.
•
Visualizzazione dei titolari delle policy a pagina 201
È possibile visualizzare i titolari di una policy.
•
Visualizzazione delle assegnazioni in cui l'applicazione delle policy è disattivata a pagina
201
È possibile visualizzare le assegnazioni in cui l'applicazione delle policy per categoria di
policy è disattivata
•
Visualizzazione di policy assegnate a un gruppo a pagina 201
È possibile visualizzare le policy assegnate a un gruppo della struttura dei sistemi, ordinate
per prodotto.
•
Visualizzazione di policy assegnate a un sistema specifico a pagina 201
È possibile visualizzare le policy dei prodotti assegnate a un sistema della struttura dei
sistemi.
•
Visualizzazione dell'ereditarietà delle policy per un gruppo a pagina 202
È possibile visualizzare l'ereditarietà delle policy per un gruppo specifico.
•
Visualizzazione e reimpostazione dell'ereditarietà interrotta a pagina 202
È possibile identificare i gruppi e i sistemi in cui l'ereditarietà delle policy è interrotta.
•
Confronto di policy a pagina 202
È possibile confrontare le policy utilizzando Confronto policy, che consente di determinare
quali impostazioni sono diverse e quali sono uguali.
Visualizzazione di gruppi e sistemi in cui è assegnata una policy
È possibile visualizzare i gruppi e i sistemi in cui è assegnata una policy. Nell'elenco sono indicati solo i
punti di assegnazione, non ogni gruppo o sistema che eredita la policy.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi selezionare un prodotto e una categoria.
2
In Assegnazioni, sulla riga della policy desiderata, fare clic sul link che indica il numero di gruppi o
sistemi ai quali è assegnata la policy (ad esempio 6 assegnazioni).
Nella pagina Assegnazioni, viene visualizzato ciascun gruppo o sistema in cui è assegnata la policy
con il nome e il tipo di nodo.
Visualizzazione delle impostazioni delle policy
È possibile visualizzare i dettagli di una policy assegnata a un sistema o a una categoria di prodotti.
Attività
1
200
Guida del prodotto
2
15
Fare clic accanto a una policy.
Vengono visualizzate le pagine delle policy e le rispettive impostazioni.
È possibile vedere queste stesse informazioni anche quando si accede alle policy assegnate di un
gruppo specifico. Per accedere a queste informazioni, fare clic su Menu | Sistemi | Struttura dei sistemi |
Policy assegnate, quindi fare clic sul link della policy selezionata nella colonna Policy.
Visualizzazione dei titolari delle policy
È possibile visualizzare i titolari di una policy.
Attività
1
2
I titolari della policy vengono visualizzati in Titolare.
Visualizzazione delle assegnazioni in cui l'applicazione delle
policy è disattivata
È possibile visualizzare le assegnazioni in cui l'applicazione delle policy per categoria di policy è
disattivata
Attività
1
2
Fare clic sul link accanto a Stato applicazione prodotto, che indica il numero di assegnazioni, se presenti,
in cui l'applicazione è disattivata.
Verrà visualizzata la pagina Applicazione per <nome della policy>.
3
Fare clic su qualsiasi elemento dell'elenco per passare alla pagina Policy assegnate.
Visualizzazione di policy assegnate a un gruppo
È possibile visualizzare le policy assegnate a un gruppo della struttura dei sistemi, ordinate per
prodotto.
Attività
1
Tutte le policy assegnate, organizzate per prodotto, vengono visualizzate nel riquadro dei dettagli.
2
Fare clic su una policy per visualizzarne le impostazioni.
Visualizzazione di policy assegnate a un sistema specifico
È possibile visualizzare le policy dei prodotti assegnate a un sistema della struttura dei sistemi.
Guida del prodotto
201
15
Attività
1
sistemi.
Nel riquadro dei dettagli vengono visualizzati tutti i sistemi appartenenti al gruppo selezionato.
2
Selezionare il sistema, quindi fare clic su Azioni | Agent | Modifica policy su sistema singolo.
3
Selezionare il prodotto.
Verranno visualizzate le policy del prodotto assegnate al sistema.
4
Fare clic su una policy per visualizzarne le impostazioni.
Visualizzazione dell'ereditarietà delle policy per un gruppo
È possibile visualizzare l'ereditarietà delle policy per un gruppo specifico.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Policy assegnate.
2
Nella riga della policy, sotto Eredita da, è visualizzato il nome del gruppo dal quale viene ereditata la
policy.
Visualizzazione e reimpostazione dell'ereditarietà interrotta
È possibile identificare i gruppi e i sistemi in cui l'ereditarietà delle policy è interrotta.
Attività
1
Fare clic su Menu | Sistemi | Struttura dei sistemi | Policy assegnate.
Nella riga della policy, sotto Ereditarietà interrotta, è visualizzato il numero di gruppi e sistemi in cui
l'ereditarietà della policy è interrotta.
Si tratta del numero di gruppi o sistemi in cui l'ereditarietà della policy è interrotta, non del numero
di sistemi che non ereditano la policy. Se solo un gruppo non eredita la policy, ad esempio, viene
visualizzata la dicitura 1 non eredita, indipendentemente dal numero di sistemi nel gruppo.
2
Fare clic sul link che indica il numero di gruppi o sistemi figlio in cui l'ereditarietà è interrotta.
Nella pagina Visualizza ereditarietà interrotta verrà visualizzato l'elenco dei nomi di tali gruppi e sistemi.
3
Per ripristinare l'ereditarietà, selezionare la casella di controllo accanto al nome del gruppo o del
sistema desiderato, quindi fare clic su Azioni e selezionare Reimposta ereditarietà.
Confronto di policy
È possibile confrontare le policy utilizzando Confronto policy, che consente di determinare quali
impostazioni sono diverse e quali sono uguali.
Molti dei valori e delle variabili disponibili nella pagina Confronto policy sono specifici di ciascun
prodotto. Per altre opzioni non incluse nella tabella, consultare la documentazione relativa al prodotto
che fornisce la policy che si desidera confrontare.
202
Guida del prodotto
15
Attività
1
Fare clic su Menu | Confronto policy, quindi selezionare le impostazioni di un prodotto, una categoria e
Mostra dagli elenchi corrispondenti.
Queste impostazioni vengono compilate automaticamente nelle policy per confrontare gli elenchi
Policy 1 e Policy 2.
2
Selezionare le policy da confrontare nella riga Confronto policy dagli elenchi delle colonne Policy 1 e
Policy 2.
Nelle prime due righe della tabella è visualizzato il numero di impostazioni diverse e il numero di
impostazioni identiche. È inoltre possibile modificare l'impostazione Mostra per ridurre i dati
visualizzati, da Tutte le impostazioni delle policy a Differenze tra policy e Corrispondenze tra policy.
3
Fare clic su Stampa per aprire una visualizzazione di facile utilizzo che consente di stampare il
confronto.
La condivisione delle policy consente agli amministratori di designare policy sviluppate in un server da
trasmettere agli altri server per l'implementazione.
Gli amministratori devono eseguire solo tre passaggi per condividere le policy tra i server.
1
designare la policy da condividere
2
registrare i server che condivideranno la policy
3
pianificare un'attività server per distribuire la policy condivisa.
È possibile configurare la condivisione di policy da utilizzare con più server di McAfee ePO. Si consiglia
di completare le attività seguenti nella sequenza indicata.
Se è necessario modificare la policy dopo la messa in condivisione, modificarla ed eseguire di nuovo
l'attività delle policy condivise. È consigliabile informare gli amministratori locali della modifica
apportata.
Attività
•
Registrazione di server per condivisione delle policy a pagina 203
È possibile registrare i server per condividere una policy.
•
Designazione delle policy per la condivisione a pagina 204
È possibile designare una policy per la condivisione tra più server di McAfee ePO.
•
Pianificazione delle attività server per la condivisione delle policy a pagina 204
È possibile pianificare un'attività server che determini la condivisione delle policy tra vari
Registrazione di server per condivisione delle policy
È possibile registrare i server per condividere una policy.
Guida del prodotto
203
15
Attività
1
Fare clic su Menu | Configurazione | Server registrati e selezionare Nuovo server. Nella procedura guidata
Creazione server registrati viene visualizzata la pagina Descrizione.
2
Nel menu Tipo di server selezionare ePO, specificare il nome ed eventuali note, quindi fare clic su
Avanti. Viene visualizzata la pagina Dettagli.
3
Specificare eventuali dettagli per il server e fare clic su Attiva nel campo Condivisione policy, quindi fare
clic su Salva.
Designazione delle policy per la condivisione
È possibile designare una policy per la condivisione tra più server di McAfee ePO.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi sul menu Prodotto e selezionare il prodotto di cui si
desidera condividere la policy.
2
Nella colonna Azioni della policy da condividere, fare clic su Condividi.
Il push delle policy condivise viene eseguito automaticamente ai server di McAfee ePO per i quali è
stata attivata la condivisione delle policy. Quando si fa clic su Condividi nel passaggio 2, viene eseguito
immediatamente il push delle policy a tutti i server di McAfee ePO registrati per i quali è stata attivata
la condivisione delle policy. In modo analogo viene eseguito anche il push delle modifiche alle policy
condivise.
Pianificazione delle attività server per la condivisione delle
policy
È possibile pianificare un'attività server che determini la condivisione delle policy tra vari server di
McAfee ePO.
Attività
1
Fare clic su Menu | Automazione | Attività server, quindi su Azioni | Nuova attività. Verrà avviata la procedura
guidata Creazione attività server.
2
Nella pagina Descrizione, specificare il nome dell'attività ed eventuali note, quindi fare clic su Avanti.
Viene visualizzata la pagina Azioni.
Le nuove attività server sono attivate per impostazione predefinita. Se si desidera che un'attività
non sia attivata, selezionare Disattivato nel campo Stato pianificazione.
204
3
Dal menu a discesa Azioni, selezionare Condividi policy, quindi fare clic su Avanti. Viene visualizzata la
pagina Pianificazione.
4
Specificare la pianificazione per l'attività, quindi fare clic su Avanti. Verrà visualizzata la pagina
Riepilogo.
5
Rivedere le informazioni di riepilogo, quindi fare clic su Salva.
Guida del prodotto
16
Attività client
È possibile creare e pianificare attività client per automatizzare la gestione dei sistemi nella rete.
Le attività client disponibili dipendono dai file estensione installati nel server di McAfee ePO.
Le attività client vengono in genere utilizzate per gli scopi riportati di seguito.
•
Distribuzione dei prodotti
•
Funzionalità dei prodotti (ad esempio l'attività di scansione su richiesta di VirusScan Enterprise)
•
Upgrade e aggiornamenti
Per informazioni sulle attività client disponibili e sulla relativa funzionalità, consultare la
documentazione relativa ai prodotti gestiti.
Sommario
Funzionamento del catalogo delle attività client
Attività di distribuzione
Utilizzo dell'attività Distribuzione prodotti per distribuire prodotti in sistemi gestiti
Attività di aggiornamento
Gestione delle attività client
Funzionamento del catalogo delle attività client
Utilizzare il catalogo delle attività client per creare oggetti attività client che è possibile riutilizzare per
gestire i sistemi nella rete.
Il catalogo delle attività client applica il concetto di oggetti logici alle attività client di ePolicy
Orchestrator. È possibile creare oggetti attività client per vari scopi, senza che sia necessario
assegnarli immediatamente. Tali oggetti possono essere di conseguenza gestiti come componenti
riutilizzabili nell'assegnazione e nella pianificazione delle attività client.
Le attività client possono essere assegnate in qualsiasi livello della struttura dei sistemi e vengono
ereditate da gruppi e sistemi presenti in livelli inferiori della struttura. Come avviene per le policy e le
assegnazioni di policy, è possibile interrompere l'ereditarietà per un’attività client assegnata.
È possibile condividere gli oggetti attività client in più server di McAfee ePO registrati nell’ambiente.
Quando tali oggetti sono impostati per la condivisione, ogni server registrato riceve una copia dopo
l'esecuzione dell'attività server Condividi attività client. A ogni esecuzione dell'attività vengono aggiornate
tutte le modifiche a essa apportate. Quando un oggetto attività client viene condiviso, solo il
proprietario può modificarne le impostazioni.
L'amministratore del server di destinazione che riceve un'attività condivisa non è il titolare di tale
attività. Nessuno degli utenti del server di destinazione è titolare degli oggetti attività condivisa ricevuti
dalla destinazione.
Guida del prodotto
205
16
Attività client
Le attività di distribuzione sono attività client utilizzate per distribuire i prodotti di sicurezza gestiti ai
sistemi client gestiti dall'Archivio principale.
È possibile creare e gestire i singoli oggetti attività di distribuzione utilizzando il catalogo delle attività
client, quindi assegnare gli oggetti in modo che vengano eseguiti su gruppi o sistemi singoli. In
alternativa, è possibile creare progetti di Distribuzione prodotti per implementare i prodotti nei sistemi. I
progetti di Distribuzione prodotti automatizzano il processo di creazione e pianificazione dei singoli oggetti
attività client. Forniscono inoltre ulteriori funzionalità di gestione automatica.
Considerazioni importanti
Quando si decide la modalità di definizione delle fasi della Distribuzione prodotti, tenere conto di quanto
segue:
•
La dimensione dei pacchetti e la larghezza di banda disponibile tra l'Archivio principale e i sistemi
gestiti. Oltre a determinare un potenziale sovraccarico del server McAfee ePO o della rete, la
distribuzione di prodotti a un numero di sistemi molto elevato può rendere più complessa la
risoluzione dei problemi.
•
Un'implementazione in fasi per installare prodotti in gruppi di sistemi simultaneamente. Se i
collegamenti di rete sono rapidi, provare a eseguire la distribuzione contemporaneamente a varie
centinaia di client. Nel caso di connessioni di rete più lente o meno affidabili, provare a eseguire la
distribuzione a gruppi più piccoli. Quando si esegue la distribuzione a ogni gruppo, è possibile
monitorare l'operazione, eseguire report per confermare la corretta esecuzione delle installazioni e
risolvere tutti i problemi rilevati nei singoli sistemi.
Distribuzione di prodotti ai sistemi selezionati
Se si esegue la distribuzione di prodotti o componenti McAfee installati in una sottorete dei sistemi
gestiti:
1
utilizzare un tag per identificare i sistemi
2
spostare i sistemi con tag in un gruppo
3
Configurare un'attività client Distribuzione prodotti per il gruppo.
Pacchetti di distribuzione per prodotti e aggiornamenti
L'infrastruttura di distribuzione del software ePolicy Orchestrator supporta la distribuzione di prodotti e
componenti, nonché l'aggiornamento di entrambi.
Ogni prodotto McAfee che può essere distribuito tramite ePolicy Orchestrator include un file zip del
pacchetto di distribuzione del prodotto. Il file zip contiene i file di installazione del prodotto, compressi
in un formato sicuro. Una volta depositati i pacchetti nell'archivio principale, ePolicy Orchestrator ne
consente la distribuzione a qualsiasi sistema gestito.
Questi file zip vengono utilizzati per i pacchetti di aggiornamento del motore e di definizione dei
rilevamenti (detection definition, DAT).
È possibile configurare le impostazioni delle policy del prodotto prima o dopo la distribuzione. McAfee
consiglia di eseguire questa operazione prima della distribuzione del prodotto ai sistemi di rete in
modo da risparmiare tempo e garantire la protezione immediata dei sistemi.
Questi tipi di pacchetto possono essere depositati nell'archivio principale con attività di pull o
manualmente.
206
Guida del prodotto
Attività client
16
Tipi di pacchetto supportati
Tipo di pacchetto
Descrizione
Origine
File SuperDAT
(SDAT.exe)
I file SuperDAT contengono sia i file DAT
che quelli del motore all'interno di un
unico pacchetto di aggiornamento. In caso
di problemi di larghezza di banda, McAfee
consiglia di aggiornare i file DAT e quelli
del motore separatamente.
Sito Web McAfee. Scaricare i file
SuperDAT e depositarli
manualmente nell'archivio
principale.
I file ExtraDAT consentono di gestire una
o più minacce specifiche comparse dalla
pubblicazione dell'ultimo file DAT. Se la
minaccia presenta un livello elevato di
gravità, distribuire l'ExtraDAT
immediatamente, anziché attendere
l'aggiunta della firma al successivo file
DAT. I file ExtraDAT provengono dal sito
Web McAfee. Possono essere distribuiti
tramite ePolicy Orchestrator. Le attività di
pull non consentono di recuperali.
Sito Web McAfee. Scaricare i file
DAT supplementari e depositarli
manualmente nell'archivio
principale.
Un pacchetto di distribuzione del prodotto
contiene il software di installazione di un
prodotto McAfee.
File zip del prodotto scaricato o
CD del prodotto. Depositare
manualmente i pacchetti di
distribuzione dei prodotti
nell'archivio principale. Per
informazioni su percorsi
specifici, consultare la
documentazione relativa al
prodotto.
Un pacchetto per le lingue supportate
dall'agent contiene i file necessari per
visualizzare le informazioni sull'agent
nella lingua locale.
Archivio principale: depositato
al momento dell'installazione.
Per le versioni future dell'agent,
è necessario depositare
manualmente i pacchetti per le
lingue supportate dall'agent
nell'archivio principale.
Tipo di file: SDAT.exe
File di definizione dei
rilevamenti
supplementari
(ExtraDAT)
Tipo di file: ExtraDAT
Pacchetti di
aggiornamento e
distribuzione dei
prodotti
Tipo di file: zip
Pacchetti per le lingue
supportate dall'agent
Tipo di file: zip
Firma e sicurezza dei pacchetti
Tutti i pacchetti creati e distribuiti da McAfee sono firmati con una coppia di chiavi che prevede l'uso
del sistema di verifica delle firme DSA (Digital Signature Algorithm) e sono crittografati con il sistema
3DES a 168 bit. Per crittografare e decrittografare i dati riservati si utilizza una chiave.
L'utente riceve una notifica se i pacchetti depositati non sono firmati da McAfee. Se si ritiene valido il
contenuto del pacchetto, procedere con l'operazione di deposito. La procedura di protezione di questi
pacchetti è analoga a quella illustrata in precedenza, ma la firma viene apposta da ePolicy
Orchestrator al momento del deposito.
Le firme digitali garantiscono che i pacchetti siano stati creati da McAfee o depositati dall'utente, e che
non siano stati alterati o danneggiati. L'agent ritiene affidabili solo i file di pacchetto firmati da ePolicy
Orchestrator o McAfee. In questo modo la rete viene protetta dalla ricezione di pacchetti provenienti
da origini senza firma o non affidabili.
Ordine e dipendenze dei pacchetti
Se l'aggiornamento di un prodotto dipende da un altro, è necessario depositare i pacchetti di
aggiornamento nell'archivio principale nell'ordine richiesto. Se ad esempio la Patch 2 richiede la Patch
1, è necessario depositare la Patch 1 prima della Patch 2. I pacchetti non possono essere riordinati una
volta depositati. È necessario rimuoverli e depositarli di nuovo nell'ordine corretto. Se si deposita un
pacchetto che ne sostituisce uno esistente, quest'ultimo viene rimosso automaticamente.
Guida del prodotto
207
16
Attività client
Distribuzione di prodotti e aggiornamenti
L'infrastruttura degli archivi McAfee ePO consente di distribuire il prodotto e aggiornare i pacchetti nei
sistemi gestiti da una posizione centrale. Sebbene venga utilizzato lo stesso archivio, vi sono alcune
differenze.
Distribuzione dei prodotti e pacchetti di aggiornamento
Pacchetti di distribuzione prodotti
Pacchetti di aggiornamento
Devono essere archiviati manualmente
nell'archivio principale.
I pacchetti di aggiornamento di file DAT e del motore
possono essere copiati automaticamente dal sito di
origine mediante un'attività di "pull". Tutti gli altri
pacchetti di aggiornamento devono essere archiviati
manualmente nell'archivio principale.
Possono essere replicati nell'archivio
principale e installati automaticamente nei
sistemi gestiti con un'attività di
distribuzione.
Possono essere replicati nell'archivio principale e
installati automaticamente nei sistemi gestiti con un
aggiornamento globale.
Se non si implementa l'aggiornamento
globale per la distribuzione di prodotti, è
necessario configurare e pianificare
un'attività di distribuzione con la quale il
pacchetto viene recuperato dai sistemi
gestiti.
Se non si implementa l'aggiornamento globale per
l'aggiornamento di prodotti, è necessario configurare e
pianificare un'attività client di aggiornamento con la
quale il pacchetto viene recuperato dai sistemi gestiti.
Processo di distribuzione di prodotti e di aggiornamento
Per distribuire pacchetti di aggiornamento di file DAT e del motore, attenersi alla procedura generale
seguente.
1
Depositare il pacchetto di aggiornamento nell'archivio principale con un'attività di pull oppure
manualmente.
2
Effettuare una delle seguenti operazioni:
•
Se si utilizza l'aggiornamento globale, creare e pianificare un'attività di aggiornamento per i
sistemi portatili che lasciano la rete.
•
Se non si utilizza l'aggiornamento globale, effettuare le attività seguenti.
1
Utilizzare un'attività di replica per copiare il contenuto dell'archivio principale.
2
Creare e pianificare un'attività di aggiornamento con la quale gli agent recuperino e installino
l'aggiornamento nei sistemi gestiti.
Prima configurazione delle distribuzioni di prodotti e
aggiornamenti
Seguire la procedura seguente per garantire il completamento delle distribuzioni dei prodotti e degli
aggiornamenti.
Quando si distribuiscono i prodotti per la prima volta:
208
1
configurare le attività server per il pull e la replica degli archivi
2
depositare i pacchetti dei prodotti e degli aggiornamenti nell'archivio principale utilizzando Gestore
di prodotti software
3
configurare le attività client di aggiornamento e distribuzione dei prodotti
Guida del prodotto
Attività client
16
Tag di distribuzione
Quando viene creata un'attività di distribuzione, viene creato automaticamente un tag con il nome
dell'attività, che viene poi applicato ai sistemi ai quali è applicata l'attività.
Questi tag vengono aggiunti al gruppo Tag di distribuzione nella pagina Catalogo tag ogniqualvolta viene
creata e applicata sui sistemi un'attività di distribuzione. Questo gruppo è di sola lettura e i relativi tag
non possono essere applicati, modificati, eliminati o utilizzati manualmente nella configurazione di
criteri per il filtro dei sistemi.
Utilizzo dell'attività Distribuzione prodotti per distribuire
prodotti in sistemi gestiti
È possibile distribuire prodotti in sistemi gestiti con l'attività client di distribuzione dei prodotti.
È possibile creare questa attività per un solo sistema o per gruppi della struttura dei sistemi.
Attività
•
Configurazione dell'attività di distribuzione per gruppi di sistemi gestiti a pagina 209
È possibile configurare l'attività di distribuzione prodotti per distribuire prodotti in gruppi di
sistemi gestiti nella Struttura dei sistemi.
•
Configurazione di un'attività di distribuzione per l'installazione dei prodotti in un sistema
gestito a pagina 210
È possibile distribuire i prodotti in un singolo sistema mediante un'attività di distribuzione
dei prodotti.
Configurazione dell'attività di distribuzione per gruppi di
sistemi gestiti
È possibile configurare l'attività di distribuzione prodotti per distribuire prodotti in gruppi di sistemi
gestiti nella Struttura dei sistemi.
Attività
1
Aprire la finestra di dialogo Nuova attività.
a
Fare clic su Menu | Policy | Catalogo delle attività client.
b
In Tipi di attività client, selezionare McAfee Agent | Distribuzione prodotti.
c
Fare clic su Nuova attività.
2
Verificare che Distribuzione prodotti sia selezionata, quindi fare clic su OK.
3
Digitare un nome per l'attività creata e aggiungere eventuali note.
4
Accanto a Piattaforme di destinazione selezionare i tipi di piattaforma da utilizzare per la distribuzione.
Guida del prodotto
209
16
Attività client
5
Accanto a Prodotti e componenti impostare quanto segue:
•
Selezionare un prodotto nel primo elenco a discesa. I prodotti elencati sono quelli depositati
nell'Archivio principale. Se il prodotto che si desidera distribuire non è incluso nell'elenco,
depositarne il pacchetto.
•
Impostare Azione su Installa, quindi selezionare la Lingua del pacchetto e il Ramo.
•
Per specificare le opzioni di installazione della riga di comando, digitarle nel campo di testo Riga
di comando. Per informazioni sulle opzioni della riga di comando del prodotto installato, consultare
la documentazione relativa al prodotto.
È possibile fare clic su + o – per aggiungere o rimuovere prodotti e componenti nell'elenco
visualizzato.
6
Accanto a Opzioni scegliere se eseguire questa attività per ogni processo di applicazione delle policy
(solo per Windows) e fare clic su Salva.
7
Fare clic su Menu | Sistemi | Struttura dei sistemi | Attività client assegnate, quindi selezionare il gruppo
desiderato nella Struttura dei sistemi.
8
Selezionare Distribuzione prodotti (McAfee Agent) per il filtro Preimpostazione.
Nel riquadro dei dettagli vengono visualizzate le attività client assegnate per ciascuna categoria
selezionata.
9
Fare clic su Azioni | Nuove assegnazioni delle attività client.
10 Nella pagina Selezionare l'attività scegliere come Prodotto l'opzione McAfee Agent e come Tipo di attività
l'opzione Distribuzione prodotti, quindi selezionare l'attività creata per la distribuzione del prodotto.
11 Accanto a Tag selezionare le piattaforme sulle quali si stanno distribuendo i pacchetti, quindi fare
clic su Avanti:
•
Invia questa attività a tutti i computer
•
Invia questa attività solo ai computer che rispondono ai criteri seguenti: fare clic su modifica accanto ai criteri da
configurare, selezionare il gruppo di tag, selezionare i tag da utilizzare nei criteri, quindi fare clic
su OK.
12 Nella pagina Pianificazione indicare se la pianificazione è attivata e specificarne i dettagli, quindi fare
clic su Avanti.
13 Esaminare il riepilogo e fare clic su Salva.
Configurazione di un'attività di distribuzione per l'installazione
dei prodotti in un sistema gestito
È possibile distribuire i prodotti in un singolo sistema mediante un'attività di distribuzione dei prodotti.
Creare un'attività client di distribuzione dei prodotti per un singolo sistema quando il sistema richiede:
•
un prodotto installato non richiesto da altri sistemi dello stesso gruppo;
•
una pianificazione diversa da quella degli altri sistemi del gruppo, se ad esempio un sistema rientra
in un fuso orario diverso rispetto a quello dei relativi peer.
210
Guida del prodotto
Attività client
16
Attività
1
a
b
c
2
Verificare che Distribuzione prodotti sia selezionata, quindi fare clic su OK.
3
4
Accanto a Piattaforme di destinazione selezionare i tipi di piattaforma da utilizzare per la distribuzione.
5
Accanto a Prodotti e componenti impostare quanto segue:
•
Selezionare un prodotto nel primo elenco a discesa. I prodotti elencati sono quelli per i quali è
stato già depositato un pacchetto nell'Archivio principale. Se il prodotto che si desidera
distribuire non è incluso nell'elenco, depositarne il pacchetto.
•
Impostare Azione su Installa, quindi selezionare la Lingua del pacchetto e il Ramo.
•
Per specificare le opzioni di installazione della riga di comando, digitarle nel campo di testo Riga
di comando. Per informazioni sulle opzioni della riga di comando del prodotto installato, consultare
la documentazione relativa al prodotto.
È possibile fare clic su + o – per aggiungere o rimuovere prodotti e componenti nell'elenco
visualizzato.
6
Accanto a Opzioni scegliere se eseguire questa attività per ogni processo di applicazione delle policy
(solo per Windows), quindi fare clic su Salva.
7
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, selezionare il sistema nel quale si desidera
distribuire l'aggiornamento del prodotto, quindi fare clic su Azioni | Agent | Modifica attività su sistema
singolo.
8
9
Nella pagina Selezionare l'attività scegliere come Prodotto l'opzione McAfee Agent e come Tipo di attività
l'opzione Distribuzione prodotti, quindi selezionare l'attività creata per la distribuzione del prodotto.
10 Accanto a Tag selezionare le piattaforme in cui si stanno distribuendo i pacchetti, quindi fare clic su
Avanti:
•
•
su OK.
11 Nella pagina Pianificazione indicare se la pianificazione è attivata e specificarne i dettagli, quindi
Guida del prodotto
211
16
Attività client
Se non si utilizza l'aggiornamento globale, è opportuno stabilire quando dovrà essere eseguita la
ricerca di aggiornamenti da parte degli agent dei sistemi gestiti.
È possibile creare e configurare attività client di aggiornamento per controllare quando e come i
sistemi gestiti ricevono i pacchetti di aggiornamento. Se non si utilizza l'aggiornamento globale, la
creazione di queste attività è l'unico modo per controllare l'aggiornamento di client con il prodotto
Se invece si utilizza l'aggiornamento globale, questa attività non è necessaria, sebbene sia possibile
creare un'attività giornaliera a fini di ridondanza.
Considerazioni per la creazione di attività client di aggiornamento
Nel pianificare le attività client di aggiornamento, prendere in considerazione i punti seguenti:
•
Creare un'attività client di aggiornamento quotidiana al livello principale della struttura dei sistemi
in modo che venga ereditata da tutti i sistemi. Se l'organizzazione è estesa, è possibile stabilire
intervalli di sequenza casuale per mitigare l'impatto sulla larghezza di banda. Inoltre, per reti di
grandi dimensioni con uffici che risiedono in aree con fusi orari diversi, è possibile equilibrare il
carico della rete eseguendo l'attività all'ora locale del sistema gestito anziché contemporaneamente
per tutti i sistemi.
•
Se si utilizzano attività di replica pianificate, pianificare l'attività di aggiornamento in modo che
venga eseguita almeno un'ora dopo quella di replica.
•
Eseguire attività di aggiornamento per file DAT e del motore almeno una volta al giorno. Alcuni
sistemi gestiti potrebbero essere disconnessi dalla rete e non rientrare nell'attività pianificata.
L'esecuzione frequente dell'attività garantisce che l'aggiornamento venga ricevuto nei sistemi.
•
Aumentare al massimo l'efficienza della larghezza di banda e creare varie attività di aggiornamento
client pianificate che aggiornano componenti separati e vengono eseguite in momenti diversi. È ad
esempio possibile creare un'attività per aggiornare solo file DAT e poi crearne un'altra per
aggiornare sia file DAT che file del motore su base settimanale o mensile (i pacchetti motori
vengono resi disponibili con minor frequenza).
•
Creare e pianificare ulteriori attività per aggiornare prodotti nei quali non si utilizza l'agent per
Windows.
•
Creare un'attività per aggiornare le applicazioni principali della workstation, per garantire che tutte
le applicazioni ricevano i file di aggiornamento. Pianificare di questa attività in modo che venga
eseguita una o più volte al giorno.
Aggiornamento regolare dei sistemi gestiti con un'attività di
aggiornamento pianificata
Creazione e configurazione di attività di aggiornamento. Se si utilizza l'aggiornamento globale, è
consigliabile eseguire quotidianamente un'attività client di aggiornamento per avere la certezza che i
sistemi siano aggiornati con i file DAT e del motore più recenti.
Attività
1
212
a
b
c
Guida del prodotto
Attività client
16
2
Verificare che sia selezionata l'opzione Aggiornamento prodotto, quindi fare clic su OK.
3
4
Accanto alla finestra di dialogo Aggiornamento in corso specificare se si desidera che gli utenti siano
messi a conoscenza dell'aggiornamento in corso e se si intende consentire loro di scegliere se
rinviare il processo.
5
Accanto a Tipi di pacchetto selezionare una delle opzioni riportate di seguito, quindi fare clic su Salva.
•
Tutti i pacchetti
•
Pacchetti selezionati : se questa opzione è selezionata, è necessario stabilire quali elementi includere
tra quelli riportati di seguito.
•
Firme e motori
Se quando si configurano firme e motori singoli si seleziona Motore e si deseleziona DAT,
quando il nuovo motore viene aggiornato, viene aggiornato automaticamente anche un
nuovo file DAT per garantire una protezione completa.
•
Patch e Service Pack
6
Fare clic su Menu | Sistemi | Struttura dei sistemi | Sistemi, quindi selezionare il sistema in cui si desidera
distribuire l'aggiornamento del prodotto e fare clic su Azioni | Agent | Modifica attività su sistema singolo.
7
8
Nella pagina Selezionare l'attività effettuare le selezioni indicate di seguito.
Opzione
Selezione
Prodotto
McAfee Agent
Tipo di attività
Quindi selezionare l'attività creata per la distribuzione dell'aggiornamento del prodotto.
9
Accanto a Tag selezionare le piattaforme sulle quali si stanno distribuendo i pacchetti, quindi fare
clic su Avanti:
•
•
su OK.
10 Nella pagina Pianificazione indicare se la pianificazione è attivata e specificarne i dettagli, quindi fare
clic su Avanti.
L'attività viene aggiunta all'elenco di attività client per i gruppi e i sistemi ai quali si applica. Gli agent
riceveranno le informazioni relative alla nuova attività di aggiornamento in occasione della successiva
comunicazione con il server. Se l'attività di aggiornamento è attivata, verrà eseguita nel giorno e
nell'ora successivi pianificati.
Per ogni sistema l'aggiornamento viene eseguito dall'archivio appropriato, a seconda della
configurazione delle policy dell'agent del client.
Guida del prodotto
213
16
Attività client
Verifica dell'utilizzo della versione più recente dei file DAT da
parte dei client
È possibile verificare la versione dei file DAT nei sistemi gestiti mediante le query.
•
Fare clic su Menu | Reportistica | Query, selezionare VSE: distribuzione DAT nell'elenco Query, quindi fare clic
su Azioni | Esegui.
Per ulteriori informazioni su questa query, consultare la documentazione di VirusScan Enterprise.
Valutazione di nuovi DAT e motori prima della distribuzione
Può essere necessario eseguire il test dei file DAT e del motore in alcuni sistemi prima di distribuirli
all'intera organizzazione. È possibile eseguire il test dei pacchetti di aggiornamento utilizzando il ramo
Valutazione dell’archivio principale.
Nel software ePolicy Orchestrator sono disponibili tre rami dell'archivio preposti all'esecuzione di tale
operazione.
Attività
1
Creare un'attività di “pull” dell'archivio pianificata che copi i pacchetti di aggiornamento nel ramo
Valutazione dell'archivio principale. Pianificarne l'esecuzione dopo il rilascio dei file DAT aggiornati
da parte di McAfee.
2
Creare o selezionare nella struttura dei sistemi un gruppo che funga da gruppo di valutazione,
quindi creare una policy McAfee Agent in modo che i sistemi utilizzino solo il ramo Valutazione
(nella sezione Selezione aggiornamenti ramo dell'archivio della scheda Aggiornamenti).
Le policy diventano effettive alla successiva chiamata di McAfee Agent al server. La volta successiva
in cui l'agent viene aggiornato, le recupera dal ramo Valutazione.
3
Creare un'attività client di aggiornamento pianificata per i sistemi di valutazione che aggiorni i file
DAT e del motore dal ramo Valutazione dell'archivio. Pianificarne l'esecuzione a una o due ore dopo
l'inizio pianificato dell'attività di “pull” dell'archivio.
L'attività di aggiornamento della valutazione creata al livello del gruppo di valutazione ne determina
l'esecuzione solo per quel gruppo.
4
Monitorare i sistemi del gruppo di valutazione fino a quando si ritiene necessario.
5
Spostare i pacchetti dal ramo Valutazione nel ramo Corrente dell'archivio principale. Fare clic su
Menu | Software | Archivio principale per aprire la pagina Archivio principale.
L'aggiunta al ramo Corrente li rende disponibili nell'ambiente di produzione. La volta successiva in
cui viene eseguita un'attività client di aggiornamento che recupera i pacchetti dal ramo Corrente, i
nuovi file DAT e del motore vengono distribuiti ai sistemi che la utilizzano.
Creare e gestire le attività client.
214
Guida del prodotto
Attività client
16
Attività
•
Creazione di attività client a pagina 215
Utilizzare le attività client per distribuire automaticamente il software dei prodotti, eseguire
aggiornamenti dei prodotti e così via. La procedura è simile per tutte le attività client.
•
Modifica di attività client a pagina 215
È possibile modificare le informazioni di pianificazione o le impostazioni delle attività client
configurate in precedenza.
•
Eliminazione delle attività client a pagina 216
È possibile eliminare le attività client configurate in precedenza.
•
Confronto delle attività client a pagina 216
È possibile confrontare attività client simili utilizzando lo strumento Confronto attività client. Ciò
consente di determinare quali impostazioni sono diverse e quali sono identiche.
Creazione di attività client
Utilizzare le attività client per distribuire automaticamente il software dei prodotti, eseguire
aggiornamenti dei prodotti e così via. La procedura è simile per tutte le attività client.
In alcuni casi è necessario creare una nuova assegnazione di un'attività client per associare un'attività
client a un gruppo della struttura dei sistemi.
Attività
1
2
a
b
c
Selezionare un tipo di attività dall'elenco, fare clic su OK. Viene visualizzata la procedura guidata
Creazione attività client.
Selezionare ad esempio Aggiornamento prodotto.
3
Digitare un nome per l'attività creata, aggiungere una descrizione, quindi configurare le
impostazioni specifiche del tipo di attività creato.
Le opzioni di configurazione variano in base al tipo di attività selezionato.
4
Controllare le impostazioni dell'attività e fare clic su Salva.
L'attività viene aggiunta all'elenco di attività client relativo al tipo di attività client selezionato.
Modifica di attività client
È possibile modificare le informazioni di pianificazione o le impostazioni delle attività client configurate
in precedenza.
Guida del prodotto
215
16
Attività client
Attività
1
Fare clic su Menu | Policy | Catalogo delle attività client. Viene visualizzata la finestra di dialogo Catalogo
delle attività client.
2
Selezionare il tipo di attività client nella struttura di navigazione a sinistra. Vengono visualizzate le
attività disponibili nella finestra a destra.
3
Fare doppio clic sul nome dell'attività client per visualizzarla nella finestra di dialogo Catalogo delle
attività client.
4
Modificare le impostazioni dell'attività in base alle esigenze, quindi fare clic su Salva.
I sistemi gestiti ricevono tali modifiche alla successiva comunicazione agent-server.
Eliminazione delle attività client
È possibile eliminare le attività client configurate in precedenza.
Attività
1
Fare clic su Menu | Policy | Catalogo delle attività client per visualizzare la casella di dialogo Catalogo delle
attività client.
2
Selezionare il tipo di attività client nella struttura di navigazione a sinistra. Vengono visualizzate le
attività disponibili nella finestra a destra.
3
Nella colonna Azioni, fare clic su Elimina accanto all’attività client.
4
Fare clic su OK.
Confronto delle attività client
È possibile confrontare attività client simili utilizzando lo strumento Confronto attività client. Ciò consente di
determinare quali impostazioni sono diverse e quali sono identiche.
Molti dei valori e delle variabili disponibili in questa pagina sono specifici di ciascun prodotto. Per altre
opzioni non incluse nella tabella indicata di seguito, consultare la documentazione relativa al prodotto
che fornisce l'attività client che si desidera confrontare.
Attività
1
Fare clic su Menu | Confronto attività client, quindi selezionare le impostazioni Prodotto, Tipo di attività client e
Mostra negli elenchi corrispondenti.
Queste impostazioni vengono compilate nelle attività client per confrontare gli elenchi Attività client 1 e
Attività client 2.
2
Selezionare le attività client da confrontare nella riga Confronta attività client negli elenchi di colonne
Attività client 1 e Attività client 2.
Le prime due righe della tabella visualizzano il numero di impostazioni che sono diverse e il numero
di impostazioni identiche. Per ridurre la quantità di dati visualizzati è anche possibile modificare
l'impostazione Mostra da Impostazioni di tutte le attività client in Differenze tra attività client e Corrispondenze tra attività
client.
216
Guida del prodotto
Attività client
3
16
Fare clic su Stampa per aprire una visualizzazione per la stampa di questo confronto.
Guida del prodotto
217
16
Attività client
218
Guida del prodotto
17
Le attività server sono azioni configurabili che vengono eseguite nel server di McAfee ePO in base a
una pianificazione. Avvalersi delle attività server per automatizzare attività server ripetitive che è
necessario eseguire nel server.
Per impostazione predefinita, ePolicy Orchestrator include attività server e azioni preconfigurate.
Anche la maggior parte dei prodotti software aggiuntivi gestiti con il server di McAfee ePO aggiunge
attività server preconfigurate.
Sommario
Distribuzione automatica dei pacchetti di aggiornamento con l'aggiornamento globale
Attività di pull
Attività di replica
Selezione dell'archivio
Sintassi cron accettata durante la pianificazione di un'attività del server
Visualizzazione delle informazioni sulle attività del server nel registro delle attività server
Configura Product Improvement Program
Disinstalla McAfee Product Improvement Program
L'aggiornamento globale rende automatica la replica agli archivi distribuiti e mantiene aggiornato il
sistema corrente. Le attività di replica e aggiornamento non sono obbligatorie. Un aggiornamento
globale viene avviato dall'operazione di archiviazione del contenuto in un archivio principale. Nella
maggior parte degli ambienti l'intero processo si conclude entro un'ora.
È inoltre possibile specificare i pacchetti e gli aggiornamenti che avviano un aggiornamento globale.
Quando tuttavia si specifica che solo determinati contenuti avviano un aggiornamento globale,
assicurarsi di creare un'attività di replica per distribuire il contenuto non selezionato per l'avvio di un
aggiornamento globale.
Quando si utilizza l'aggiornamento globale, McAfee consiglia di pianificare un'attività di “pull” regolare
(per aggiornare l'archivio principale) in un'ora in cui il traffico di rete è minimo. Sebbene
l'aggiornamento globale sia molto più rapido di altri metodi, aumenta il traffico di rete.
Processo di aggiornamento globale
1
Il contenuto viene depositato nell'archivio principale.
2
Il server esegue una replica incrementale in tutti gli archivi distribuiti.
3
Il server esegue una chiamata di attivazione SuperAgent a tutti i SuperAgent presenti
nell'ambiente.
Guida del prodotto
219
17
Distribuzione automatica dei pacchetti di aggiornamento con l'aggiornamento globale
4
Il SuperAgent esegue il broadcasting di un messaggio di aggiornamento globale a tutti gli
SuperAgent presenti nella sottorete.
5
Al momento della ricezione del broadcasting, all'agent viene fornita la versione minima del catalogo
necessaria per l'aggiornamento.
6
L'agent cerca negli archivi distribuiti un sito con questa versione minima del catalogo.
7
Una volta trovato l'archivio adatto, l'agent esegue l'attività di aggiornamento.
Se l'agent non riceve il broadcasting, ad esempio se il computer client è spento o non è disponibile
alcun SuperAgent, al successivo ASCI viene fornita la versione minima del catalogo e viene avviato il
processo.
Se l'agent riceve la notifica da un SuperAgent, gli viene fornito l'elenco dei pacchetti aggiornati. Se
l'agent trova la nuova versione del catalogo al successivo intervallo di comunicazione agent-server, non
gli viene fornito l'elenco dei pacchetti da aggiornare e procede pertanto all'aggiornamento di tutti i
pacchetti disponibili.
Requisiti
Per implementare l'aggiornamento globale è necessario soddisfare i requisiti seguenti:
•
Un SuperAgent deve utilizzare la stessa chiave di comunicazione sicura agent-server degli agent
che ne ricevono la chiamata di attivazione.
•
È necessario che sia installato un SuperAgent in ogni segmento di broadcasting. I sistemi gestiti
non possono ricevere una chiamata di attivazione SuperAgent se non sono presenti SuperAgent
nello stesso segmento di broadcasting. L'aggiornamento globale prevede l'uso della chiamata di
attivazione SuperAgent per avvisare gli agent della disponibilità di nuovi aggiornamenti.
•
È necessario che in tutto l'ambiente siano installati e configurati archivi distribuiti. McAfee consiglia
gli archivi di SuperAgent che, tuttavia, non sono obbligatori. L'aggiornamento globale funziona con
tutti i tipi di archivi distribuiti.
•
Se si utilizzano archivi di SuperAgent, è necessario che i sistemi gestiti siano in grado di accedere
all'archivio da cui vengono aggiornati. Sebbene sia necessario un SuperAgent in ogni segmento di
broadcasting per consentire la ricezione della chiamata di attivazione ai sistemi, gli archivi di
SuperAgent non sono obbligatori in ogni segmento di broadcasting.
Distribuzione automatica dei pacchetti di aggiornamento con
l'aggiornamento globale
È possibile attivare l'aggiornamento globale nel server per distribuire automaticamente i pacchetti di
aggiornamento specificati dall'utente ai sistemi gestiti.
Attività
220
1
Fare clic su Menu | Configurazione | Impostazioni server, selezionare Aggiornamento globale, quindi fare clic su
Modifica nella parte inferiore della pagina.
2
Nella pagina Modifica aggiornamento globale, accanto a Stato selezionare Attivato.
Guida del prodotto
Attività di pull
3
17
Modificare il valore di Intervallo di sequenza casuale se desiderato.
L'aggiornamento di ogni client si verifica in base a un valore selezionato casualmente nell'intervallo
di sequenza casuale per consentire una distribuzione del carico di rete. L'impostazione predefinita
corrisponde a 20 minuti.
Se ad esempio si aggiornano 1000 client utilizzando l'intervallo di sequenza casuale predefinito pari
a 20 minuti, durante l'intervallo vengono aggiornati circa 50 client al minuto. In questo modo viene
ridotto il carico sulla rete e sul server. Senza l'utilizzo dell'intervallo di sequenza casuale, viene
tentato l'aggiornamento simultaneo dei 1000 client.
4
Accanto a Tipi di pacchetto selezionare i pacchetti che avviano un aggiornamento.
L'aggiornamento globale prevede l'avvio di un aggiornamento solo se i nuovi pacchetti dei
componenti specificati in questa posizione vengono depositati nell'archivio principale o spostati in
un altro ramo. Selezionare i componenti attentamente.
•
Firme e motori: selezionare Contenuto Host Intrusion Prevention se necessario.
La selezione di un tipo di pacchetto determina cosa avvia un aggiornamento globale e non cosa
viene aggiornato durante il processo di aggiornamento globale stesso. Gli agent ricevono un elenco
di pacchetti aggiornati durante il processo di aggiornamento globale, che utilizzano per installare
solo gli aggiornamenti necessari. Gli agent aggiornano ad esempio solo i pacchetti modificati
dall'ultimo aggiornamento e non quelli che risultano non modificati.
5
Al termine, fare clic su Salva.
Dopo essere stato attivato, l'aggiornamento globale avvia un aggiornamento la volta successiva che
uno dei pacchetti selezionati viene depositato o spostato in un altro ramo.
Per avviare l'aggiornamento automatico, eseguire un'attività Esegui pull ora e pianificare un'attività
server Pull dell'archivio ricorrente.
Attività di pull
Utilizzare le attività di "pull" per aggiornare l'archivio principale con pacchetti di aggiornamento di file
DAT e del motore dal sito di origine.
I file DAT e del motore devono essere aggiornati spesso. McAfee rilascia file DAT nuovi ogni giorno e i
file del motore con una frequenza minore. Distribuire i pacchetti nei sistemi gestiti il prima possibile
per proteggerli dalle minacce più recenti.
È possibile specificare quali pacchetti copiare dal sito di origine nell'archivio principale.
I file ExtraDAT devono essere depositati manualmente nell'archivio principale. Essi sono disponibili sul
sito web McAfee.
Un'attività server di "pull" dell'archivio pianificata viene eseguita automaticamente e regolarmente
negli orari e nei giorni specificati dall'utente. È ad esempio possibile pianificare un'attività di "pull"
dell'archivio settimanale alle 5:00 del mattino ogni giovedì.
È inoltre possibile utilizzare l'attività Esegui pull ora per verificare immediatamente la presenza di
aggiornamenti nell'archivio principale, ad esempio quando McAfee avvisa dell'esistenza di un virus che
si diffonde molto rapidamente e rilascia un nuovo file DAT di protezione contro di esso.
Se l'attività di pull non riesce, è necessario verificare manualmente l'esistenza di pacchetti nell'archivio
principale.
Una volta aggiornato l'archivio principale, è possibile distribuire gli aggiornamenti ai sistemi in modo
automatico con l'aggiornamento globale o con le attività di replica.
Guida del prodotto
221
17
Considerazioni per la pianificazione di un'attività di pull
Per la pianificazione delle attività di pull, prendere in considerazione i punti seguenti:
•
Larghezza di banda e utilizzo della rete: se si ricorre all'aggiornamento globale, come da
raccomandazione, pianificare l'esecuzione dell'attività di pull nei momenti in cui l'utilizzo della
larghezza di banda da parte delle altre risorse è minimo. Con l'aggiornamento globale i file di
aggiornamento vengono distribuiti automaticamente al termine dell'attività di pull.
•
Frequenza dell'attività: i file DAT vengono rilasciati giornalmente ma potrebbe essere preferibile
non utilizzare le risorse ogni giorno per l'aggiornamento.
•
Attività di replica e aggiornamento: pianificare le attività di replica e di aggiornamento client
per avere la certezza che i file di aggiornamento vengano distribuiti in tutto l'ambiente.
Utilizzare le attività di replica per copiare il contenuto dell'archivio principale negli archivi distribuiti.
Alcuni sistemi non ricevono il contenuto dell'archivio principale, a meno che questo non sia stato
replicato in tutti gli archivi distribuiti. Accertarsi che tutti gli archivi distribuiti siano aggiornati.
Se per tutti gli aggiornamenti da eseguire si utilizza l'aggiornamento globale, le attività di replica
potrebbero non essere necessarie nell'ambiente, sebbene siano consigliate ai fini della ridondanza. Se
tuttavia non si prevede di utilizzare l'aggiornamento globale per gli aggiornamenti da eseguire, è
necessario pianificare un'attività server Replica archivio o eseguire un'attività Replica ora.
La pianificazione di attività server Replica archivio regolari è il modo migliore per avere la certezza che
gli archivi distribuiti siano aggiornati. Se si pianificano attività di replica giornaliere, i sistemi gestiti
saranno sicuramente sempre aggiornati. L'utilizzo delle attività Replica archivio consente di
automatizzare la replica negli archivi distribuiti.
Talvolta è preferibile depositare nell'archivio principale i file che si desidera replicare immediatamente
negli archivi distribuiti, anziché attendere la replica pianificata successiva. Eseguire l'attività Replica
ora per aggiornare gli archivi distribuiti manualmente.
Differenza tra replica completa e incrementale
Quando si crea un'attività di replica, selezionare Replica incrementale o Replica completa. Con la replica
incrementale si utilizza meno larghezza di banda e nell'archivio principale vengono copiati solo i nuovi
aggiornamenti, non ancora presenti nell'archivio distribuito. Con la replica completa viene copiato tutto
il contenuto dell'archivio principale.
Si consiglia di pianificare un'attività di replica incrementale giornaliera. Pianificare un'attività di replica
completa settimanale se è possibile eliminare file dall'archivio distribuito senza ricorrere alla funzionalità
di replica del prodotto software ePolicy Orchestrator.
Selezione dell'archivio
I nuovi archivi distribuiti vengono aggiunti al file di elenco degli archivi, nel quale sono contenuti tutti
gli archivi distribuiti disponibili. Tale file viene aggiornato dagli agent dei sistemi gestiti in occasione di
ogni comunicazione tra agent e server di McAfee ePO. La selezione dell'archivio avviene ogni volta che
222
Guida del prodotto
Sintassi cron accettata durante la pianificazione di un'attività del server
17
viene avviato il servizio dell'agent (Servizio McAfee Framework) e quando l'elenco degli archivi subisce
modifiche.
La replica selettiva conferisce un maggiore controllo sull'aggiornamento dei singoli archivi. Nel
pianificare le attività di replica, è possibile scegliere quanto segue:
•
Specifici archivi distribuiti cui applicare l'attività. La replica in archivi distribuiti diversi in momenti
differenti riduce l'impatto sulle risorse della larghezza di banda. Questi archivi possono essere
specificati quando si crea o modifica l'attività di replica.
•
Specifici file e firme replicati negli archivi distribuiti. Selezionando solo i tipi di file necessari in
ciascun sistema da depositare nell'archivio distribuito, si riduce l'impatto sulle risorse della
larghezza di banda. Quando si definiscono o modificano gli archivi distribuiti, è possibile scegliere i
pacchetti che si desidera replicare nell'archivio distribuito.
Questa funzionalità è specifica per l'aggiornamento dei prodotti installati in vari sistemi dell'ambiente,
ad esempio Virus Scan Enterprise. Consente di distribuire solo questi aggiornamenti agli archivi
distribuiti utilizzati in tali sistemi.
Modalità di selezione degli archivi da parte degli agent
Per impostazione predefinita gli agent hanno la possibilità di eseguire l'aggiornamento da qualsiasi
archivio del file di elenco degli archivi. L'agent può ricorrere a un ping ICMP della rete o a un algoritmo
per il confronto degli indirizzi di sottorete per trovare l'archivio distribuito con il tempo di risposta più
rapido. In genere si tratta dell'archivio distribuito più vicino al sistema nella rete.
È inoltre possibile esercitare uno stretto controllo sugli archivi distribuiti utilizzati dagli agent per
l'aggiornamento attivando o disattivando gli archivi distribuiti nelle impostazioni delle policy degli
agent. Non è consigliabile disattivare gli archivi nelle impostazioni delle policy. Se si consente agli
agent di eseguire l'aggiornamento da qualsiasi archivio distribuito, si garantisce che ricevano gli
aggiornamenti.
Sintassi cron accettata durante la pianificazione di un'attività
del server
La sintassi cron è costituita da sei o sette campi separati da uno spazio. Nella tabella riportata di
seguito è descritta dettagliatamente la sintassi cron accettata, suddivisa per campo e in ordine
decrescente. La maggior parte della sintassi cron è accettabile, tuttavia alcuni casi non sono
supportati. Non è ad esempio possibile specificare un valore sia per il giorno della settimana che per il
giorno del mese.
Nome campo
Valori consentiti
Caratteri speciali consentiti
Secondi
0–59
,-*/
Minuti
0–59
,-*/
Ore
0–23
,-*/
Giorno del mese
1–31
,-*?/LWC
Mese
1 - 12 oppure JAN - DEC
,-*/
Giorno della settimana
1 - 7 oppure SUN - SAT
,-*?/LC#
Anno (facoltativo)
Vuoto oppure 1970 - 2099
,-*/
Guida del prodotto
223
17
Visualizzazione delle informazioni sulle attività del server nel registro delle attività server
Caratteri speciali consentiti
•
Sono consentite le virgole (,) per specificare valori aggiuntivi. Ad esempio, "5,10,30" oppure
"MON,WED,FRI".
•
Vengono utilizzati gli asterischi (*) per indicare "ogni". Ad esempio, "*" nel campo dei minuti indica
"ogni minuto".
•
È consentito l'uso dei punti interrogativi (?) per indicare un valore indeterminato nei campi Giorno
della settimana o Giorno del mese.
Il punto interrogativo può essere utilizzato in uno solo dei due campi.
•
Le barre (/) identificano gli incrementi. Ad esempio, "5/15" nel campo dei minuti indica che
l'attività viene eseguita nei minuti 5, 20, 35 e 50.
•
La lettera "L" indica "ultimo" nei campi Giorno della settimana o Giorno del mese. Ad esempio, "0
15 10 ? * 6L" indica l'ultimo venerdì di ogni mese alle 10.15.
•
La lettera "W" indica "giorno della settimana". Pertanto, se si specifica il valore "15W" per Giorno del
mese, si intende il giorno della settimana più vicino al 15 del mese. È inoltre possibile specificare
"LW", ovvero l'ultimo giorno della settimana del mese.
•
Il simbolo "#" identifica l'"ennesimo" giorno del mese. Ad esempio, "6#3" nel campo Giorno della
settimana indica il terzo venerdì di ogni mese, "2#1" indica il primo lunedì e "4#5" indica il quinto
mercoledì.
Se nel mese non esiste il quinto mercoledì, l'attività non viene eseguita.
Visualizzazione delle informazioni sulle attività del server nel
registro delle attività server
È possibile esaminare il registro delle attività server per ottenere informazioni sulle attività del server.
Il registro delle attività server indica lo stato dell'attività ed eventuali errori che potrebbero essersi
verificati.
•
Informazioni di accesso sulle attività del server: fare clic su Menu | Automazione | Registro delle attività
server.
Vengono visualizzate le informazioni sulle attività seguenti:
224
•
Data di inizio e durata dell'attività
•
Eventuali errori o avvisi e i rispettivi codici
•
Stato di ciascun pacchetto depositato nell'archivio principale
•
Informazioni su tutti i nuovi pacchetti che vengono depositati nell'archivio principale
•
Stato dell'attività per ciascun sito (quando è espanso)
•
Eventuali errori o avvisi, i rispettivi codici e il sito al quale si applicano
Guida del prodotto
17
Il programma McAfee Product Improvement Program consente di migliorare i prodotti McAfee.
Raccoglie dati periodicamente e in modo proattivo dai sistemi client gestiti dal server McAfee ePO.
McAfee Product Improvement Program raccoglie i tipi di dati seguenti:
•
Ambiente di sistema (informazioni sul software e sull'hardware)
•
Efficacia delle funzionalità dei prodotti McAfee installati
•
Errori di prodotti McAfee ed eventi Windows correlati
Attività
1
Fare clic su Menu | Configurazione | Impostazioni server, selezionare Product Improvement Program tra le Categorie
2
Selezionare Sì per consentire a McAfee di raccogliere dati di utilizzo e diagnostica anonimi, quindi
fare clic su Salva.
Fare clic qui per ulteriori informazioni sul McAfee Product Improvement Program.
McAfee Product Improvement Program può essere disinstallato in qualsiasi momento.
Attività
1
Effettuare l'accesso al server McAfee ePO come amministratore.
2
Fare clic su Menu | Policy | Catalogo delle attività client, selezionare McAfee Agent | Distribuzione prodotti come Tipi
di attività client, quindi fare clic su Azioni | Nuova attività.
3
Creare una nuova attività per disinstallare McAfee Product Improvement Program dai sistemi client
necessari.
4
Assegnare l'attività ai sistemi client e inviare una chiamata di attivazione agent.
5
Fare clic su Menu | Software | Archivio principale, fare clic su Elimina accanto al pacchetto McAfeeMcAfee
Product Improvement Program, quindi fare clic su OK.
6
Fare clic su Menu | Software | Estensioni, quindi selezionare McAfee Product Improvement Program.
7
Fare clic su Rimuovi, quindi su OK.
Guida del prodotto
225
17
226
Guida del prodotto
18
Gestione manuale di pacchetti e
aggiornamenti
Quando, oltre alle attività normalmente pianificate si ha l'esigenza di implementare nuovi prodotti, è
possibile depositarli manualmente.
Sommario
Gestione dei prodotti
Deposito manuale dei pacchetti
Eliminazione di pacchetti DAT o del motore dall'archivio principale
Spostamento manuale di pacchetti di file DAT e motori tra rami
Deposito manuale dei pacchetti di aggiornamento di motori, DAT ed ExtraDAT
Gestione dei prodotti
Per consentire la gestione di un prodotto in ePolicy Orchestrator, è necessario installare l'estensione
del prodotto stesso.
Prima di iniziare
Assicurarsi che il file di estensione si trovi in una posizione accessibile nella rete.
Attività
1
Dalla console di ePolicy Orchestrator fare clic su Menu | Software | Estensioni | Installa estensione.
Durante l'aggiornamento dell'archivio principale è possibile aggiornare una sola attività alla volta. Se
si tenta di installare un'estensione contemporaneamente all'esecuzione dell'aggiornamento di un
archivio principale, viene visualizzato il seguente errore:
Impossibile installare l'estensione com.mcafee.core.cdm. Eccezione comando: Impossibile depositare il
pacchetto selezionato durante l'esecuzione dell'attività di pull.
Attendere che l'aggiornamento dell'archivio principale sia completato e provare a
installare di nuovo l'estensione.
2
Cercare e selezionare il file di estensione, quindi fare clic su OK.
3
Verificare che il nome del prodotto sia presente nell'elenco Estensioni.
Guida del prodotto
227
18
Depositare i pacchetti di distribuzione nell'Archivio principale per distribuirli tramite il software ePolicy
Orchestrator.
Attività
1
Aprire la procedura guidata Deposita pacchetto.
a
Fare clic su Menu | Software | Archivio principale.
b
Fare clic su Deposita pacchetto.
2
Selezionare il tipo di pacchetto, quindi cercare e selezionare il file del pacchetto.
3
4
Confermare o configurare le opzioni riportate di seguito.
•
Informazioni pacchetto: consente di verificare che si tratti del pacchetto corretto.
•
Ramo: selezionare il ramo. Se l'ambiente in uso richiede il test dei nuovi pacchetti prima di
distribuirli nell'ambiente di produzione, McAfee consiglia di utilizzare il ramo Valutazione ogni volta
che si depositano pacchetti. Una volta completato il test dei pacchetti, è possibile spostarli nel
ramo Corrente facendo clic su Menu | Software | Archivio principale.
•
Opzioni: è possibile selezionare l'opzione riportata di seguito.
•
•
5
Sposta il pacchetto esistente nel ramo Precedente: quando questa opzione è selezionata, i pacchetti
vengono spostati nell'archivio principale dal ramo Corrente nel ramo Precedente durante il
deposito di un pacchetto dello stesso tipo più recente. Disponibile solo quando si seleziona
Corrente in Ramo.
Firma pacchetto: indica se si tratta di un pacchetto McAfee o di terzi parti.
Fare clic su Salva per depositare il pacchetto, quindi attendere che venga depositato.
Il nuovo pacchetto viene visualizzato nell'elenco Pacchetti nell'archivio principale della scheda Archivio principale.
Eliminazione di pacchetti DAT o del motore dall'archivio
principale
È possibile eliminare i pacchetti DAT o del motore dall'archivio principale. I nuovi pacchetti di
aggiornamento depositati regolarmente sostituiscono le versioni precedenti o ne determinano lo
spostamento nel ramo Precedente, qualora si utilizzi il ramo Precedente.
Attività
228
1
2
Nella riga del pacchetto, fare clic su Elimina.
3
Fare clic su OK.
Guida del prodotto
18
È possibile spostare manualmente pacchetti tra i rami Valutazione, Corrente e Precedente dopo averli
depositati nell’archivio principale.
Attività
1
2
Nella riga del pacchetto, fare clic su Modifica ramo.
3
Specificare se spostare o copiare il pacchetto in un altro ramo.
4
Selezionare il ramo che riceve il pacchetto.
®
Se nella rete è presente McAfee® NetShield , selezionare Support NetShield for NetWare.
5
Fare clic su OK.
Deposito manuale dei pacchetti di aggiornamento di motori,
DAT ed ExtraDAT
Depositare i pacchetti di aggiornamento nell'Archivio principale per distribuirli mediante il software
ePolicy Orchestrator. Alcuni pacchetti possono essere depositati solo manualmente.
Attività
1
Aprire la procedura guidata Deposita pacchetto.
a
b
Fare clic su Deposita pacchetto.
2
Selezionare il tipo di pacchetto, cercare il file del pacchetto desiderato, quindi fare clic su Avanti.
3
Selezionare un ramo:
•
Corrente: per utilizzare i pacchetti senza prima verificarli.
•
Valutazione: consente di eseguire prima il test dei pacchetti in un ambiente di laboratorio.
Una volta completato il test dei pacchetti, è possibile spostarli nel ramo Corrente facendo clic su
Menu | Software | Archivio principale.
•
Precedente: per utilizzare la versione precedente per ricevere il pacchetto.
4
Accanto a Opzioni selezionare Sposta il pacchetto esistente nel ramo Precedente per spostare il pacchetto
esistente (dello stesso tipo di quello che si sta depositando) nel ramo Precedente.
5
Fare clic su Salva per depositare il pacchetto. Attendere che il pacchetto venga depositato.
Il nuovo pacchetto viene visualizzato nell'elenco Pacchetti nell'archivio principale della pagina Archivio principale.
Guida del prodotto
229
18
Deposito manuale dei pacchetti di aggiornamento di motori, DAT ed ExtraDAT
230
Guida del prodotto
19
Eventi e risposte
È possibile configurare il server di McAfee ePO in modo che venga attivata un'azione in risposta a
eventi di minaccia, client o server.
Sommario
Utilizzo di risposte automatiche
Interazione della funzionalità Risposte automatiche con la struttura dei sistemi
Pianificazione delle risposte
Prima configurazione delle risposte
Definizione della modalità di inoltro degli eventi
Configurazione delle risposte automatiche
Definizione degli eventi da inoltrare al server
Scelta di un intervallo per gli eventi di notifica
Creazione e modifica delle regole di risposta automatica
Utilizzo di risposte automatiche
Il set completo di tipi di evento per i quali è possibile configurare una risposta automatica dipende dai
prodotti software gestiti con il server di McAfee ePO.
Per impostazione predefinita la risposta può includere le azioni seguenti:
•
creazione di problemi
•
esecuzione di comandi di sistema
•
esecuzione di attività server
•
invio di messaggi e-mail
•
esecuzione di comandi esterni
•
invio di trap SNMP
La possibilità di specificare categorie di eventi che determinano la generazione di un messaggio di
notifica e la frequenza con la quale tali messaggi vengono inviati è altamente configurabile.
Questa funzionalità è stata concepita per creare notifiche e azioni configurate dall'utente quando
vengono soddisfatte le condizioni di una regola, tra le quali, a titolo esemplificativo:
•
Rilevamento di minacce da parte del prodotto software antivirus: sebbene siano supportati molti
prodotti software antivirus, tra gli eventi di VirusScan Enterprise è incluso l'indirizzo IP dell'autore
dell'attacco in modo da isolare il sistema responsabile dell'infezione del resto dell'ambiente.
•
Epidemie: ad esempio, nello spazio di cinque minuti vengono ricevuti 1000 eventi di virus rilevati.
•
Conformità di alto livello degli eventi del server di McAfee ePO. Ad esempio l’aggiornamento di un
archivio o un’attività di replica non riusciti.
Guida del prodotto
231
19
Eventi e risposte
Interazione della funzionalità Risposte automatiche con la struttura dei sistemi
Interazione della funzionalità Risposte automatiche con la
Prima di pianificare l'implementazione di Risposte automatiche, è necessario conoscerne il
funzionamento con la struttura dei sistemi.
Questa funzionalità non segue il modello di ereditarietà utilizzato per l'applicazione delle policy.
Risposte automatiche utilizza eventi che si verificano nei sistemi dell'ambiente in uso che vengono
consegnati al server e regole di risposta configurate associate al gruppo contenente i sistemi
interessati e ogni elemento padre superiore. Se vengono soddisfatte le condizioni di tali regole,
vengono intraprese le azioni designate in base alle configurazioni della regola specifica.
Ciò consente di configurare regole indipendenti a livelli diversi della struttura dei sistemi. Tali regole
possono avere:
•
soglie diverse per l'invio di un messaggio di notifica, ad esempio l'amministratore di un
determinato gruppo desidera ricevere notifica in caso di rilevamento di virus su 100 sistemi del
gruppo nell'arco di 10 minuti, mentre un amministratore non desidera ricevere notifica, a meno che
non vengano rilevati virus su 1.000 sistemi all'interno dell'intero ambiente nello stesso intervallo di
tempo.
•
destinatari diversi per il messaggio di notifica, ad esempio un amministratore di un
determinato gruppo desidera ricevere notifica solo se all'interno del gruppo si verifica un numero di
eventi di rilevamento di virus specificato, mentre un amministratore desidera che venga inviata
notifica a ciascun amministratore di gruppo se all'interno dell'intera struttura dei sistemi si verifica
un numero di eventi di rilevamento di virus specificato.
Gli eventi server non sono filtrati in base al percorso della struttura dei sistemi.
Limitazione, aggregazione e raggruppamento
È possibile configurare il momento di invio di messaggi di notifica impostando soglie basate su
Aggregazione, Limitazione o Raggruppamento.
Aggregazione
Si utilizza l'aggregazione per determinare le soglie di eventi che determinano l'invio di un messaggio di
notifica da parte della regola. È ad esempio possibile configurare la stessa regola per inviare un
messaggio di notifica quando nel server arrivano 1000 eventi di rilevamento virus da sistemi diversi
nello spazio di un'ora o ogni volta che arrivano 100 eventi di rilevamento virus da qualsiasi sistema.
Limitazione
Dopo avere configurato la regola per la notifica di una possibile epidemia, utilizzare la limitazione per
fare in modo di non ricevere troppi messaggi di notifica. Se la rete amministrata è estesa, si possono
ricevere decine di migliaia di eventi nello spazio di un'ora, creando migliaia di messaggi di notifica in
virtù della regola. Le risposte consentono di limitare il numero di messaggi di notifica ricevuti in base a
una singola regola. È ad esempio possibile specificare nella stessa regola che non si desidera ricevere
più di un messaggio di notifica all'ora.
Raggruppamento
Si utilizza il raggruppamento per riunire più eventi aggregati. Gli eventi con la stessa gravità, ad
esempio, possono essere riuniti in un singolo gruppo. Il raggruppamento consente all'amministratore
di intraprendere azioni contemporanee su tutti gli eventi con stesso livello di gravità o superiore.
Consente inoltre di stabilire una priorità tra gli eventi generati in sistemi gestiti o in server.
232
Guida del prodotto
Eventi e risposte
19
Regole predefinite
È possibile attivare le regole predefinite di ePolicy Orchestrator in modo da utilizzarle subito mentre si
acquisisce maggiore dimestichezza con la funzionalità.
Prima di attivare le regole predefinite:
•
Specificare il server e-mail (fare clic su Menu | Configurazione | Impostazioni del server) da cui vengono
inviati i messaggi di notifica.
•
Verificare che l'indirizzo e-mail del destinatario sia quello che deve ricevere i messaggi e-mail.
Questo indirizzo viene configurato nella pagina Azioni della procedura guidata.
Tabella 19-1 Regole di notifica predefinite
Nome regola
Eventi associati
Configurazioni
Operazione di
aggiornamento o replica
archivio distribuito non
riuscita
Operazione di
archivio distribuito non
riuscita
Viene inviato un messaggio di notifica quando
un'operazione di aggiornamento o replica ha
esito negativo.
Malware rilevato
Tutti gli eventi di prodotti
sconosciuti
Viene inviato un messaggio di notifica:
• quando il numero di eventi è di almeno 1000
in un'ora.
• al massimo una volta ogni due ore.
• con l'indirizzo IP del sistema di origine, i nomi
delle minacce reali, le informazioni sui
prodotti effettivi, se disponibili, e molti altri
parametri.
• quando il numero del valore distinto
selezionato è 500.
Operazione di
archivio principale non
riuscita
Operazione di
archivio principale non
riuscita
Viene inviato un messaggio di notifica quando
un'operazione di aggiornamento o replica ha
esito negativo.
Rilevato computer non
conforme
Eventi di rilevamento
computer non conforme
Viene inviato un messaggio di notifica quando si
ricevono eventi dall'attività server Genera
evento di conformità.
Prima di creare regole per l'invio di notifiche, è possibile risparmiare tempo con la pianificazione.
Definire una pianificazione per gli elementi seguenti.
•
Tipo e gruppo di eventi (prodotto e server) che attivano i messaggi di notifica nell'ambiente.
•
Destinatario dei messaggi di notifica. Potrebbe ad esempio non essere necessario notificare
all'amministratore del gruppo B una replica non riuscita nel gruppo A mentre è opportuno
informare tutti gli amministratori che un file infetto è stato scoperto nel gruppo A.
•
Tipi e livelli di soglia che si desidera impostare per ogni regola. Potrebbe essere opportuno ad
esempio non ricevere un messaggio e-mail ogni volta che un file infetto viene rilevato durante
un'epidemia e specificare al contrario che un tale messaggio venga inviato al massimo ogni cinque
minuti, indipendentemente dalla frequenza con la quale l'evento viene ricevuto nel server.
Guida del prodotto
233
19
Eventi e risposte
•
Comandi o eseguibili registrati che si desidera eseguire quando vengono soddisfatte le condizioni di
una regola.
•
Attività server che si desidera eseguire quando vengono soddisfatte le condizioni di una regola.
Seguire i passaggi generali riportati di seguito per configurare eventi e risposte automatiche per la
prima volta.
Quando si crea una nuova regola di risposta automatica per la prima volta:
1
Conoscere le risposte automatiche e il relativo funzionamento con la struttura dei sistemi e la rete.
2
Pianificare l'implementazione. Quali utenti devono essere informati su determinati eventi?
3
Preparare i componenti e le autorizzazioni utilizzati con le risposte automatiche, tra cui:
•
Autorizzazioni per risposte automatiche: creare o modificare set di autorizzazioni e
accertarsi che vengano assegnati agli utenti diMcAfee ePO.
•
Server e-mail: configurare il server e-mail (SMTP) in Impostazioni server.
•
Elenco di contatti e-mail: specificare l'elenco dal quale si selezionano i destinatari dei
messaggi di notifica in Contatti.
•
Eseguibili registrati: specificare un elenco di eseguibili registrati da eseguire quando vengono
soddisfatte le condizioni di una regola.
•
Attività server: creare attività server da utilizzare come azioni da eseguire come risultato di
una regola di risposta.
•
Server SNMP: specificare un elenco di server SNMP da utilizzare durante la creazione di regole.
È possibile configurare regole per l'invio di trap SNMP a server SNMP quando vengono
soddisfatte le condizioni per l'invio di un messaggio di notifica.
Definizione della modalità di inoltro degli eventi
È possibile determinare quando inoltrare gli eventi e quali eventi inoltrare immediatamente.
Il server riceve notifiche degli eventi dagli agent. È possibile configurare le policy di McAfee Agent per
inoltrare al server gli eventi immediatamente o solo in corrispondenza degli intervalli di comunicazioni
agent-server.
Se si sceglie di inviare gli eventi immediatamente (secondo l'impostazione predefinita), McAfee Agent
inoltra tutti gli eventi non appena li riceve.
L'intervallo predefinito per l'elaborazione delle notifiche degli eventi è di un minuto. Di conseguenza è
possibile che si verifichi un ritardo prima dell'elaborazione degli eventi. È possibile modificare l’intervallo
predefinito nelle impostazioni del server Notifiche eventi (Menu | Configurazione | Server).
Se si sceglie di non inviare tutti gli eventi immediatamente, McAfee Agent inoltra subito solo gli eventi
designati come priorità elevata per il prodotto distribuito. Gli altri eventi vengono inviati solo in
corrispondenza della comunicazione agent-server.
234
Guida del prodotto
Eventi e risposte
19
Attività
•
Definizione degli eventi da inoltrare immediatamente a pagina 235
È possibile determinare se inoltrare immediatamente gli eventi o solo durante la
•
Definizione degli eventi da inoltrare a pagina 235
Nella pagina Impostazioni del server è possibile determinare gli eventi da inoltrare al server.
Definizione degli eventi da inoltrare immediatamente
È possibile determinare se inoltrare immediatamente gli eventi o solo durante la comunicazione
agent-server.
Se la policy attualmente applicata non è impostata per il caricamento immediato degli eventi,
modificarla o creare una nuova policy McAfee Agent. Questa impostazione viene configurata nella
pagina Registro eventi di minaccia.
Attività
1
Fare clic su Menu | Policy | Catalogo delle policy, quindi selezionare McAfee Agent come Prodotto e Generale
come Categoria.
2
Fare clic su una policy dell'agent esistente.
3
Nella scheda Eventi selezionare Attiva inoltro evento con priorità.
4
Selezionare la gravità dell'evento.
Gli eventi con la gravità selezionata (e superiore) vengono inoltrati immediatamente al server.
5
Per regolare il traffico, digitare un valore in Intervallo fra caricamenti (minuti).
6
Per regolare le dimensioni del traffico, digitare un valore per il Numero massimo di eventi per caricamento.
7
Fare clic su Salva.
Definizione degli eventi da inoltrare
Nella pagina Impostazioni del server è possibile determinare gli eventi da inoltrare al server.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Filtraggio eventi, quindi fare clic su
Modifica.
2
Selezionare gli eventi, quindi fare clic su Salva.
Queste impostazioni diventano attive dopo la chiamata di tutti gli agent.
Configurare le risorse necessarie per sfruttare completamente le risposte automatiche.
Guida del prodotto
235
19
Eventi e risposte
Attività
•
Assegnazione di autorizzazioni per le notifiche a pagina 236
Le autorizzazioni per le notifiche consentono agli utenti di visualizzare, creare e modificare
gli eseguibili registrati.
•
Assegnazione di autorizzazioni per le risposte automatiche a pagina 236
Le autorizzazioni per le risposte consentono agli utenti di creare regole di risposte per tipi e
gruppi di eventi diversi.
•
Gestione dei server SNMP a pagina 237
È possibile configurare le risposte per utilizzare il server SNMP (Simple Network
Management Protocol).
Assegnazione di autorizzazioni per le notifiche
Le autorizzazioni per le notifiche consentono agli utenti di visualizzare, creare e modificare gli
eseguibili registrati.
Attività
1
Fare clic su Menu | Gestione degli utenti | Set di autorizzazioni, quindi creare un set di autorizzazioni o
selezionarne uno esistente.
2
Accanto a Notifiche eventi fare clic su Modifica.
3
Selezionare l’autorizzazione per le notifiche desiderata:
•
Nessuna autorizzazione
•
Visualizza eseguibili registrati
•
Crea e modifica eseguibili registrati
•
Visualizza regole e notifiche per l'intera struttura dei sistemi (sostituisce le autorizzazioni di accesso gruppo della struttura
dei sistemi)
4
Fare clic su Salva.
5
Se è stato creato un set di autorizzazioni, fare clic su Menu | Gestione degli utenti | Utenti.
6
Selezionare un utente a cui assegnare il nuovo set di autorizzazioni e fare clic su Modifica.
7
Accanto a Set di autorizzazioni, selezionare la casella di controllo corrispondente al set di autorizzazioni
che include le autorizzazioni per le notifiche desiderate e fare clic su Salva.
Assegnazione di autorizzazioni per le risposte automatiche
Le autorizzazioni per le risposte consentono agli utenti di creare regole di risposte per tipi e gruppi di
eventi diversi.
Per creare una regola di risposta, gli utenti devono disporre delle autorizzazioni per le seguenti
funzionalità.
236
•
Registro eventi di minaccia
•
Struttura dei sistemi
•
Attività server
•
Sistemi rilevati
Guida del prodotto
Eventi e risposte
19
Attività
1
Fare clic su Menu | Gestione degli utenti | Set di autorizzazioni, quindi creare un nuovo set di autorizzazioni o
selezionarne uno esistente.
2
Accanto a Risposta automatica fare clic su Modifica.
3
Selezionare un’autorizzazione per la risposta automatica:
•
Nessuna autorizzazione
•
Visualizza risposte; visualizza i risultati della risposta nel Registro delle attività server
•
Crea, modifica, visualizza e annulla risposte; visualizza i risultati della risposta nel Registro delle attività server
4
Fare clic su Salva.
5
Se è stato creato un set di autorizzazioni, fare clic su Menu | Gestione degli utenti | Utenti.
6
Selezionare un utente a cui assegnare il nuovo set di autorizzazioni e fare clic su Modifica.
7
Accanto a Set di autorizzazioni, selezionare la casella di controllo corrispondente al set di autorizzazioni
che include le autorizzazioni per la risposta automatica desiderate e fare clic su Salva.
Gestione dei server SNMP
È possibile configurare le risposte per utilizzare il server SNMP (Simple Network Management
Protocol).
È possibile configurare le risposte in modo che vengano inviate trap SNMP al server SNMP. In questo
modo sarà possibile ricevere trap SNMP nella stessa posizione in cui viene utilizzata l'applicazione di
gestione della rete per visualizzare informazioni dettagliate sui sistemi dell'ambiente.
Per configurare questa funzionalità non è necessario svolgere altre configurazioni o avviare servizi.
Attività
•
Modifica dei server SNMP a pagina 237
È possibile modificare le voci del server SNMP esistenti.
•
Eliminazione di un server SNMP a pagina 237
È possibile eliminare un server SNMP dall’elenco Server registrati.
Modifica dei server SNMP
È possibile modificare le voci del server SNMP esistenti.
Attività
1
Fare clic su Menu | Configurazione | Server registrati.
2
Dall’elenco dei server registrati, selezionare un server SNMP e fare clic su Azioni | Modifica.
3
Modificare le informazioni sul server in base alle esigenze e fare clic su Salva.
Eliminazione di un server SNMP
È possibile eliminare un server SNMP dall’elenco Server registrati.
Guida del prodotto
237
19
Eventi e risposte
Attività
1
Fare clic su Menu | Configurazione | Server registrati.
2
Dall’elenco dei server registrati, selezionare un server SNMP e fare clic su Azioni | Elimina.
3
Quando richiesto, fare clic su Sì.
Il server SNMP viene rimosso dall’elenco Server registrati.
Importazione di file .MIB
Importare i file mib prima di impostare le regole per inviare messaggi di notifica a un server SNMP
mediante una trap SNMP.
È necessario importare tre file .mib da \Programmi\McAfee\ePolicy Orchestrator\MIB. I file devono
essere importati nell'ordine seguente:
1
NAI-MIB.mib
2
TVD-MIB.mib
3
EPO-MIB.mib
Questi file consentono al programma di gestione della rete di decodificare i dati contenuti nelle trap
SNMP in testo significativo. Il file EPO-MIB.mib dipende dagli altri due file per definire le trap seguenti:
•
epoThreatEvent: questa trap viene inviata quando è attivata la risposta automatica per un evento
di minaccia di McAfee ePO. Contiene variabili che corrispondono alle proprietà dell'evento di
minaccia.
•
epoStatusEvent: questa trap viene inviata quando è attivata la risposta automatica per un evento
di stato di McAfee ePO. Contiene variabili che corrispondono alle proprietà di un evento di stato
(server).
•
epoClientStatusEvent: questa trap viene inviata quando è attivata la risposta automatica per un
evento di stato del client di McAfee ePO. Contiene variabili che corrispondono alle proprietà
dell'evento di stato del client.
•
epoTestEvent: trap di test inviata quando si fa clic su Invia trap di test nelle pagine Nuovo server
SNMP o Modifica server SNMP.
Per istruzioni su importazione e implementazione dei file .mib, vedere la documentazione di prodotto
per il programma di gestione della rete in uso.
È possibile determinare quali eventi inoltrare al server utilizzando le impostazioni del server e il
filtraggio degli eventi.
Prima di iniziare
Queste impostazioni influenzano la larghezza di banda utilizzata nell'ambiente, nonché i
risultati delle query basate su eventi.
238
Guida del prodotto
Eventi e risposte
19
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Filtraggio eventi, quindi fare clic su
Modifica nella parte inferiore della pagina. Viene visualizzata la pagina Modifica filtraggio eventi.
2
Selezionare gli eventi che l'agent deve inoltrare al server, quindi fare clic su Salva.
Le modifiche apportate a queste impostazioni diventano effettive dopo che tutti gli agent hanno
comunicato con il server di McAfee ePO.
Questa impostazione determina la frequenza con cui gli eventi di notifica ePO vengono inviati al
sistema di risposta automatica.
Sono disponibili tre tipi di eventi di notifica:
•
Eventi client: eventi che si verificano nei sistemi gestiti, come la riuscita dell’aggiornamento di un
prodotto.
•
Eventi di minaccia: eventi che indicano il rilevamento di una possibile minaccia, ad esempio il
rilevamento di un virus.
•
Eventi del server: eventi che si verificano nel server, ad esempio la mancata riuscita di un’operazione
di “pull” dell’archivio.
È possibile attivare una risposta automatica solo dopo la ricezione di una notifica dal parte del sistema
di risposta automatica. McAfee consiglia di specificare un intervallo relativamente breve per l’invio
degli eventi di notifica. McAfee consiglia inoltre un intervallo di valutazione con una frequenza tale da
garantire che il sistema di risposta automatica sia in grado di rispondere a un evento in modo
tempestivo, ma da evitare nel contempo un utilizzo eccessivo della larghezza di banda.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Notifiche eventi nell'elenco Categorie di
2
Specificare un valore compreso tra 1 e 9999 minuti per l'Intervallo di valutazione (1 per impostazione
predefinita), quindi fare clic su Salva.
È possibile definire quando e come è prevista una risposta all’evento che si verifica nel server o in un
sistema gestito.
Le regole di risposta automatica non presentano un ordine di dipendenza.
Guida del prodotto
239
19
Eventi e risposte
Attività
•
Descrizione di una regola a pagina 240
Quando si crea una nuova regola, è possibile aggiungere una descrizione, specificare la
lingua, specificare il tipo di evento e il gruppo che attiva la risposta, nonché attivare o
disattivare la regola.
•
Impostazione di filtri per la regola a pagina 240
Impostare i filtri per la regola di risposta nella pagina Filtri della procedura guidata Creazione
risposte.
•
Impostazione di soglie per la regola a pagina 241
Nella pagina Aggregazione della procedura guidata Creazione risposte è possibile definire il
momento in cui l’evento attiva la regola.
•
Configurazione dell’azione per le regole di risposta automatica a pagina 241
Nella pagina Risposte della procedura guidata Creazione risposte è possibile configurare le
risposte che vengono attivate da una regola.
Descrizione di una regola
Quando si crea una nuova regola, è possibile aggiungere una descrizione, specificare la lingua,
specificare il tipo di evento e il gruppo che attiva la risposta, nonché attivare o disattivare la regola.
Attività
1
Fare clic su Menu | Automazione | Risposte automatiche, quindi selezionare Azioni | Nuova risposta o Modifica
accanto a una regola esistente.
2
Nella pagina Descrizione digitare un nome univoco ed eventuali note per la regola.
I nomi delle regole in ogni server devono essere univoci. Se ad esempio un utente crea una regola
denominata Avviso di emergenza, nessun altro utente può creare una regola con quel nome.
3
Dal menu Lingua selezionare la lingua utilizzata dalla regola.
4
Selezionare il Gruppo eventi e il Tipo di evento che attivano questa risposta.
5
Selezionare Attivato o Disattivato accanto allo Stato della regola.
6
Impostazione di filtri per la regola
Impostare i filtri per la regola di risposta nella pagina Filtri della procedura guidata Creazione risposte.
Attività
1
Nell'elenco Proprietà disponibili selezionare una proprietà e specificare il valore con cui filtrare il
risultato della risposta.
Le proprietà disponibili dipendono dal tipo di evento e dal gruppo di eventi selezionati nella pagina
Descrizione della procedura guidata.
2
240
Guida del prodotto
Eventi e risposte
19
Impostazione di soglie per la regola
Nella pagina Aggregazione della procedura guidata Creazione risposte è possibile definire il momento in cui
l’evento attiva la regola.
Le soglie di una regola sono una combinazione di aggregazione, limitazione e raggruppamento.
Attività
1
Accanto ad Aggregazione selezionare Attiva la risposta specificata per ogni evento o Attiva la risposta specificata se si
verificano più eventi entro un lasso di tempo definito. Se si sceglie la seconda opzione, definire il lasso di
tempo in minuti, ore o giorni.
2
Se si seleziona Attiva la risposta specificata se si verificano più eventi entro, è possibile scegliere di attivare una
risposta quando vengono soddisfatte le condizioni specificate. Tali condizioni sono una
combinazione di:
•
Quando il numero di valori distinti per la proprietà di un evento corrisponde almeno a un determinato valore: questa
condizione viene utilizzata quando si seleziona un valore distinto di frequenza per la proprietà
dell'evento.
•
Quando il numero di eventi è almeno: digitare un numero definito di eventi.
È possibile selezionare un'opzione o entrambe. Ad esempio, è possibile impostare la regola in base
alla quale attivare la risposta se il valore distinto di frequenza della proprietà dell'evento selezionata
supera 300 oppure quando il numero di eventi supera 3.000, a seconda di quale delle due soglie
viene superata per prima.
3
Accanto a Raggruppamento specificare se raggruppare gli eventi aggregati. Se si sceglie di
raggruppare gli eventi aggregati, specificare la proprietà dell'evento in base alla quale vengono
raggruppati.
4
Se necessario, accanto a Limitazione selezionare Attiva la risposta specificata al massimo una volta ogni e definire
il lasso di tempo che deve trascorrere prima che la regola invii di nuovo messaggi di notifica.
Il lasso di tempo può essere definito in minuti, ore o giorni.
5
Configurazione dell’azione per le regole di risposta automatica
Nella pagina Risposte della procedura guidata Creazione risposte è possibile configurare le risposte che
vengono attivate da una regola.
È possibile configurare una regola che attivi più azioni utilizzando i pulsanti + e -, situati accanto
all'elenco a discesa relativo al tipo di notifica.
Attività
1
Se si desidera inviare il messaggio di notifica come e-mail o SMS al cercapersone, selezionare Invia
e-mail nell’elenco a discesa.
a
Accanto a Destinatari fare clic su ... e selezionare i destinatari per il messaggio. Questo elenco dei
destinatari disponibili viene ricavato da Contatti (Menu | Gestione degli utenti | Contatti). In alternativa,
è possibile digitare manualmente gli indirizzi e-mail, separati da una virgola.
b
Selezionare la priorità dell'e-mail di notifica.
c
Digitare l'Oggetto del messaggio. Facoltativamente è possibile inserire una delle variabili
disponibili direttamente nell'oggetto.
Guida del prodotto
241
19
Eventi e risposte
2
d
Digitare il testo da visualizzare nel Corpo del messaggio. Facoltativamente è possibile inserire
una delle variabili disponibili direttamente nel corpo.
e
Fare clic su Avanti se non si desidera procedere nell'aggiunta o su + per aggiungere un'altra
notifica.
Se si desidera inviare il messaggio di notifica come trap SNMP, selezionare Invia trap SNMP nell’elenco
a discesa.
a
Selezionare un server SNMP nell'elenco a discesa.
b
Selezionare il tipo di valore da inviare nella trap SNMP.
•
Valore
•
Numero di valori distinti
•
Elenco di valori distinti
•
Elenco di tutti i valori
Alcuni eventi non includono queste informazioni. Se la selezione effettuata non viene
visualizzata, le informazioni non erano disponibili nel file evento.
c
3
4
5
6
notifica.
Se si desidera che la notifica esegua un comando esterno, selezionare Esegui comando esterno
nell’elenco a discesa.
a
Selezionare Eseguibili registrati e digitare qualsiasi argomento per il comando.
b
notifica.
Se si desidera che la notifica crei un problema, selezionare Crea problema nell'elenco a discesa.
a
Selezionare il tipo di problema da creare.
b
Digitare un nome univoco ed eventuali note per il problema. Facoltativamente è possibile
inserire una delle variabili disponibili direttamente nel nome e nella descrizione.
c
Selezionare i valori di Stato, Priorità, Gravità e Soluzione per il problema dall'elenco a discesa
corrispondente.
d
Digitare il nome dell'assegnatario nella casella di testo.
e
notifica.
Se si desidera che la notifica esegua un'attività pianificata, selezionare Esegui attività server nell'elenco
a discesa.
a
Selezionare l'attività da eseguire dall'elenco a discesa Attività da eseguire.
b
notifica.
Nella pagina Riepilogo verificare le informazioni e fare clic su Salva.
La nuova regola di risposta viene visualizzata nell'elenco Risposte.
242
Guida del prodotto
Monitoraggio e reportistica sullo
stato della sicurezza della rete
Per monitorare a colpo d'occhio lo stato della sicurezza critico e riferire i
risultati del monitoraggio agli interessati e ai responsabili delle decisioni
sotto forma query e rapporti preconfigurati o personalizzabili, è possibile
utilizzare dashboard personalizzate.
Capitolo
Capitolo
Capitolo
Capitolo
Capitolo
20
21
22
23
24
Dashboard
Query e rapporti
Problemi
Disaster recovery
Guida del prodotto
243
Monitoraggio e reportistica sullo stato della sicurezza della rete
244
Guida del prodotto
20
Dashboard
Tenere costantemente l'ambiente sotto controllo è un'attività difficile. Le dashboard vengono in aiuto.
Le dashboard sono raccolte di strumenti di monitoraggio e possono essere, ad esempio, una query
basata su grafici.
Il comportamento e l'aspetto di uno strumento di monitoraggio devono essere configurati
singolarmente.
Per utilizzare, creare, modificare ed eliminare le dashboard, gli utenti devono disporre delle
autorizzazioni appropriate.
Sommario
Prima configurazione delle dashboard
Utilizzo di dashboard
Utilizzo di sistemi di monitoraggio di dashboard
Dashboard predefinite e relativi strumenti di monitoraggio
Definizione delle dashboard predefinite e degli intervalli di aggiornamento delle dashboard
Prima configurazione delle dashboard
I passaggi generali riportati di seguito descrivono il processo che ha luogo quando si configurano le
dashboard per la prima volta.
1
Il server McAfee ePO è dotato di una dashboard predefinita che viene visualizzata se
precedentemente non è mai stata caricata una dashboard.
2
Creare tutte le dashboard e i relativi strumenti di monitoraggio di cui si necessita.
3
Al successivo avvio di ePolicy Orchestrator, viene caricata l'ultima dashboard utilizzata.
Le dashboard possono essere create, modificate, duplicate, esportate e altro ancora allo scopo di
monitorare l'ambiente a colpo d'occhio.
Utilizzare queste attività per operare con le dashboard.
Non è possibile modificare o eliminare le dashboard e le query predefinite fornite con ePolicy
Orchestrator. Per modificarle, è possibile duplicare, rinominare e successivamente modificare la
dashboard o la query rinominata.
Guida del prodotto
245
20
Dashboard
Attività
•
Gestione di dashboard a pagina 246
È possibile creare, modificare, duplicare, eliminare e assegnare autorizzazioni alle
dashboard.
•
Esportazione e importazione di dashboard a pagina 248
Dopo aver completato la definizione di dashboard e strumenti di monitoraggio, il sistema
più rapido per trasferirli in altri server di McAfee ePO consiste nell'esportarli e importarli in
tali server.
Gestione di dashboard
È possibile creare, modificare, duplicare, eliminare e assegnare autorizzazioni alle dashboard.
Prima di iniziare
Per modificare una dashboard è necessario disporre di autorizzazioni di scrittura
appropriate.
Attività
246
1
Fare clic su Menu | Reportistica | Dashboard, per passare alla pagina Dashboard.
2
Guida del prodotto
Dashboard
Azione
20
Passaggi
Creazione di una Per creare una vista diversa in un ambiente, è possibile creare una nuova
dashboard
dashboard.
1 Fare clic su Azioni dashboard | Nuovo.
2 Digitare un nome, selezionare un’opzione di visibilità della dashboard e fare
clic su OK.
Viene visualizzata una nuova dashboard vuota, cui è possibile aggiungere
strumenti di monitoraggio in base alle esigenze.
Modifica e
assegnazione
delle
autorizzazioni a
una dashboard
Le dashboard sono visibili solo agli utenti che dispongono delle autorizzazioni
appropriate. Per le dashboard vengono assegnate autorizzazioni identiche a
quelle assegnate per le query o i rapporti. Possono essere completamente
private, completamente pubbliche oppure condivise con uno o più set di
autorizzazioni.
1 Fare clic su Azioni dashboard | Modifica.
2 Selezionare un'autorizzazione:
• Non condividere questa dashboard
• Condividi questa dashboard con chiunque
• Condividi questa dashboard con i set di autorizzazioni seguenti
Insieme a questa opzione è possibile scegliere anche uno o più set di
autorizzazioni.
3 Fare clic su OK per modificare la dashboard.
È possibile creare una dashboard con autorizzazioni per qualsiasi numero di
query incluse nella dashboard. Ciò consente agli utenti che dispongono
dell'accesso ai dati sottostanti di vedere la query quando aprono la dashboard.
Gli utenti che non dispongono dell'accesso ai dati sottostanti riceveranno un
messaggio che segnala che non hanno l'autorizzazione per accedere alla query.
Se si tratta di una query privata dell'autore della dashboard, questa potrà
essere modificata o rimossa dalla dashboard solo dall'autore stesso.
Duplicazione di
una dashboard
Talvolta il sistema più facile per creare una nuova dashboard consiste nel
copiarne una esistente simile a quella desiderata.
1 Fare clic su Azioni dashboard | Duplica.
2 ePolicy Orchestrator nomina il duplicato aggiungendo la dicitura "(copia)" al
nome esistente. Se si desidera modificare questo nome, eseguire l'operazione
e fare clic suOK.
Viene ora visualizzata la dashboard duplicata.
Il duplicato è una copia esatta della dashboard originale, incluse tutte le
autorizzazioni. Viene modificato solo il nome.
Eliminazione di
una dashboard
1 Fare clic su Azioni dashboard | Elimina.
2 Fare clic su OK per eliminare la dashboard.
Viene eliminata la dashboard desiderata e viene visualizzata quella predefinita
di sistema. Agli utenti cui è stata visualizzata questa dashboard per ultima, al
successivo accesso verrà visualizzata la dashboard predefinita di sistema.
Guida del prodotto
247
20
Dashboard
Esportazione e importazione di dashboard
Dopo aver completato la definizione di dashboard e strumenti di monitoraggio, il sistema più rapido
per trasferirli in altri server di McAfee ePO consiste nell'esportarli e importarli in tali server.
Prima di iniziare
Per importare una dashboard, è necessario accedere a una dashboard esportata
precedentemente contenuta in un file XML.
Una dashboard esportata come file XML può essere importata nello stesso sistema o in un sistema
diverso.
Attività
1
Fare clic su Menu | Reportistica | Dashboard.
2
Selezionare una delle azioni riportate di seguito.
Azione
Passaggi
Esporta
dashboard
1 Fare clic su Azioni dashboard | Esporta.
Nel browser viene effettuato un tentativo di download di un file XML in base alle
impostazioni configurate.
2 Salvare il file XML esportato in un percorso appropriato.
Importa
dashboard
1 Fare clic su Azioni dashboard | Importa.
Viene visualizzata la finestra di dialogo Importa dashboard.
2 Fare clic su Sfoglia e selezionare il file XML contenente una dashboard esportata.
Fare clic su Apri.
Verrà visualizzata la finestra di dialogo di conferma Importa dashboard. Vengono
visualizzati il nome della dashboard nel file e la denominazione che verrà utilizzata
nel sistema. Per impostazione predefinita si tratta del nome della dashboard così
come è stato esportato, a cui viene aggiunta la dicitura (importato).
4 Fare clic su OK. Se non si desidera importare la dashboard, fare clic su Chiudi.
La dashboard importata verrà visualizzata. Indipendentemente dalle autorizzazioni
esistenti al momento dell'esportazione, le dashboard importate ricevono
autorizzazioni private. Dopo l'importazione è necessario impostare le autorizzazioni in
modo esplicito.
È possibile personalizzare e modificare gli strumenti di monitoraggio della dashboard.
Utilizzare questa attività per operare con gli strumenti di monitoraggio della dashboard.
Attività
248
•
Gestione degli strumenti di monitoraggio delle dashboard a pagina 249
È possibile creare, aggiungere e rimuovere strumenti di monitoraggio nelle dashboard.
•
Spostamento e ridimensionamento dei monitoraggi dashboard a pagina 251
Gli strumenti di monitoraggio possono essere spostati e ridimensionati allo scopo di
utilizzare in modo efficace lo spazio dello schermo.
Guida del prodotto
Dashboard
20
Gestione degli strumenti di monitoraggio delle dashboard
È possibile creare, aggiungere e rimuovere strumenti di monitoraggio nelle dashboard.
Prima di iniziare
È necessario disporre di autorizzazioni di scrittura per la dashboard che si desidera
modificare.
Attività
1
Fare clic su Menu | Reportistica | Dashboard. Selezionare una dashboard nell'elenco a discesa Dashboard.
2
Guida del prodotto
249
20
Dashboard
Azione
Passaggi
Aggiungere uno
strumento di
monitoraggio.
1 Fare clic su Aggiungi monitor.
Viene visualizzata la Galleria di strumenti di monitoraggio nella parte superiore della
schermata.
2 Selezionare una categoria di strumenti di monitoraggio nell'elenco a discesa
Visualizza.
Gli strumenti di monitoraggio disponibili nella categoria scelta vengono
visualizzati nella galleria.
3 Trascinare uno strumento di monitoraggio sulla dashboard. Spostando il
cursore sulla dashboard, viene evidenziata la più vicina posizione di rilascio
disponibile. Rilasciare lo strumento di monitoraggio nella posizione
desiderata.
Viene visualizzata la finestra di dialogo Nuovo monitor.
4 Configurare lo strumento di monitoraggio in base alle esigenze (ogni
strumento presenta un insieme di opzioni di configurazione specifico) e fare
clic su OK.
5 Dopo avere aggiunto gli strumenti di monitoraggio a questa dashboard, fare
clic su Salva modifiche per salvare la dashboard appena configurata.
6 Al termine delle modifiche, fare clic su Chiudi.
Se si aggiunge a una dashboard lo strumento di monitoraggio Visualizzatore di URL
personalizzato che include contenuto Adobe Flash o controlli ActiveX, è possibile
che il contenuto nasconda i menu di ePolicy Orchestrator rendendo inaccessibile
parte di essi.
Modificare uno
strumento di
monitoraggio.
Ogni tipo di strumento di monitoraggio supporta diverse opzioni di
configurazione. Uno strumento di monitoraggio di query consente ad esempio
di modificare l'intervallo di aggiornamento, del database e della query.
1 Scegliere uno strumento di monitoraggio da gestire, fare clic sulla freccia
nell'angolo superiore sinistro corrispondente e selezionare Modifica monitor.
Viene visualizzata la finestra di dialogo per la configurazione dello strumento
di monitoraggio.
2 Dopo avere completato la modifica delle impostazioni dello strumento di
monitoraggio, fare clic su OK. Se si decide di non apportare modifiche, fare
clic su Annulla.
3 Se si decide di mantenere le modifiche risultanti nella dashboard, fare clic su
Salva. In caso contrario, fare clic su Ignora.
Rimuovere uno
strumento di
monitoraggio.
1 Scegliere uno strumento di monitoraggio da rimuovere, fare clic sulla freccia
nell'angolo superiore sinistro corrispondente e selezionare Rimuovi monitor.
Viene visualizzata la finestra di dialogo per la configurazione dello strumento
di monitoraggio.
2 Dopo avere modificato la dashboard, fare clic su Salva modifiche. Per ripristinare
lo stato precedente della dashboard, fare clic su Ignora modifiche.
250
Guida del prodotto
Dashboard
20
Spostamento e ridimensionamento dei monitoraggi dashboard
Gli strumenti di monitoraggio possono essere spostati e ridimensionati allo scopo di utilizzare in modo
efficace lo spazio dello schermo.
Prima di iniziare
È necessario disporre di autorizzazioni di scrittura per la dashboard che si desidera
modificare.
È possibile modificare le dimensioni di molti strumenti di monitoraggio della dashboard. Se lo
strumento di monitoraggio evidenzia piccole righe diagonali nell'angolo inferiore destro, è possibile
ridimensionarlo. Gli strumenti di monitoraggio vengono spostati e ridimensionati mediante
trascinamento della selezione all'interno della dashboard corrente.
Attività
1
Spostare o ridimensionare uno strumento di monitoraggio dashboard:
•
Per spostare uno strumento di monitoraggio dashboard:
1
Trascinare lo strumento di monitoraggio sulla posizione desiderata agendo sulla barra del
titolo.
Man mano che si sposta il cursore, il contorno dello strumento di monitoraggio si sposta sulla
posizione più vicina possibile.
2
Quando il contorno raggiunge la posizione desiderata, rilasciare lo strumento di
monitoraggio.
Se si tenta di rilasciare lo strumento di monitoraggio su una posizione non valida, riassume
la posizione originale.
•
Per ridimensionare uno strumento di monitoraggio dashboard:
1
Trascinare l'icona di ridimensionamento posizionata nell'angolo inferiore destro dello
strumento di monitoraggio su una posizione appropriata.
Man mano che si sposta il cursore, il contorno dello strumento di monitoraggio cambia forma
per assumere la dimensione supportata più vicina alla posizione corrente del cursore. Gli
strumenti di monitoraggio possono applicare una dimensione minima o massima.
2
Quando il contorno assume la dimensione desiderata, rilasciare lo strumento di
monitoraggio.
Se si tenta di imporre allo strumento di monitoraggio una forma non supportata nella
posizione corrente dello strumento di monitoraggio, viene ripristinata la dimensione
originale.
2
Fare clic su Salva modifiche. Per ripristinare la configurazione precedente, fare clic su Ignora modifiche.
ePolicy Orchestrator viene fornito con diverse dashboard predefinite, ciascuna delle quali presenta
propri monitor predefiniti.
Tutte le dashboard, eccetto quella predefinita (in genere Riepilogo McAfee ePO) sono gestite
dall'amministratore che ha installato ePolicy Orchestrator. L'amministratore che ha eseguito
l'installazione deve modificare le autorizzazioni nelle dashboard aggiuntive prima che gli altri utenti di
McAfee ePO possano visualizzarle.
Guida del prodotto
251
20
Dashboard
Dashboard Verifica
La dashboard Verifica offre una panoramica delle attività correlate all'accesso, che si verificano nel
server di McAfee ePO. Di seguito sono riportati gli strumenti di monitoraggio inclusi in questa
dashboard.
•
Tentativi di accesso non riusciti negli ultimi 30 giorni: consente di visualizzare un elenco di tutti i tentativi di
accesso non riusciti, raggruppati per utente, negli ultimi 30 giorni.
•
Tentativi di accesso riusciti negli ultimi 30 giorni: consente di visualizzare un elenco di tutti i tentativi di
accesso riusciti, raggruppati per utente, negli ultimi 30 giorni.
•
Cronologia modifica assegnazioni di policy per utente: consente di visualizzare un rapporto di tutte le
assegnazioni di policy, raggruppate per utente, eseguite negli ultimi 30 giorni, secondo quanto
indicato nel registro di verifica.
•
Modifiche configurazione per utente: consente di visualizzare un rapporto di tutte le azioni considerate
riservate, raggruppate per utente, eseguite negli ultimi 30 giorni, secondo quanto indicato nel
registro di verifica.
•
Configurazioni server per utente: consente di visualizzare un rapporto di tutte le azioni di configurazione
server, raggruppate per utente, eseguite negli ultimi 30 giorni, secondo quanto indicato nel registro
di verifica.
•
Ricerca rapida dei sistemi: è possibile cercare i sistemi in base al relativo nome, all'indirizzo IP,
all'indirizzo MAC, al nome utente o al GUID agent.
Dashboard Riepilogo McAfee ePO
La dashboard Riepilogo McAfee ePO è un insieme di monitor che forniscono informazioni dettagliate e link
a ulteriori informazioni da McAfee. I monitor inclusi in questa dashboard sono:
•
Sistemi per gruppo di primo livello: consente di visualizzare un grafico a barre dei sistemi gestiti,
organizzati in base al gruppo di primo livello della struttura dei sistemi.
•
•
Link McAfee: visualizza i link all'assistenza tecnica, agli strumenti di escalation, alla Virus Information
Library di McAfee e così via.
•
Riepilogo conformità McAfee Agent e VirusScan Enterprise (for Windows): visualizza un grafico a torta booleano dei
sistemi gestiti nell'ambiente, conformi o non conformi, in base alla versione di VirusScan Enterprise
(for Windows), McAfee Agent e dei file DAT.
•
Cronologia di rilevamento malware: consente di visualizzare un grafico a linee dei rilevamenti di virus
interni nell'ultimo trimestre.
Dashboard Esecutiva
La dashboard Esecutiva fornisce un insieme di monitor che forniscono report dettagliati sulle minacce
alla sicurezza, con link a informazioni McAfee di prodotto più specifiche. Di seguito sono riportati gli
strumenti di monitoraggio inclusi in questa dashboard.
252
Guida del prodotto
Dashboard
20
•
Cronologia di rilevamento malware: consente di visualizzare un grafico a linee dei rilevamenti di virus
interni nell'ultimo trimestre.
•
Distribuzioni prodotto nelle ultime 24 ore: consente di visualizzare un grafico a torta booleano di tutte le
distribuzioni di prodotto effettuate nelle ultime 24 ore. Le distribuzioni eseguite correttamente
vengono visualizzate in verde.
•
Aggiornamenti prodotto nelle ultime 24 ore: consente di visualizzare un grafico a torta booleano di tutti gli
aggiornamenti di prodotto effettuati nelle ultime 24 ore. Gli aggiornamenti eseguiti correttamente
vengono visualizzati in verde.
Dashboard Distribuzione prodotti
La dashboard Distribuzione prodotti fornisce una panoramica delle attività di distribuzione e aggiornamento
di prodotto eseguite nella rete. I monitor inclusi in questa dashboard sono:
•
Distribuzioni prodotto nelle ultime 24 ore: consente di visualizzare un grafico a torta booleano di tutte le
distribuzioni di prodotto effettuate nelle ultime 24 ore. Le distribuzioni eseguite correttamente
vengono visualizzate in verde.
•
Aggiornamenti prodotto nelle ultime 24 ore: consente di visualizzare un grafico a torta booleano di tutti gli
aggiornamenti di prodotto effettuati nelle ultime 24 ore. Gli aggiornamenti eseguiti correttamente
vengono visualizzati in verde.
•
Distribuzioni prodotto non riuscite nelle ultime 24 ore: visualizza un grafico a barre per un singolo gruppo di
tutte le distribuzioni di prodotto non riuscite nelle ultime 24 ore.
•
•
Aggiornamenti prodotto non riusciti nelle ultime 24 ore: consente di visualizzare un grafico a barre per un
singolo gruppo di tutti gli aggiornamenti di prodotto non riusciti nelle ultime 24 ore, raggruppati in
base al codice prodotto.
•
Tentativi di disinstallazione agent negli ultimi 7 giorni: consente di visualizzare un grafico a barre di tutti gli
eventi client di disinstallazione agent degli ultimi 7 giorni, raggruppati per giorno.
Definizione delle dashboard predefinite e degli intervalli di
aggiornamento delle dashboard
L'impostazione server Dashboard specifica la dashboard predefinita visualizzata quando si accede al
server, nonché la frequenza di aggiornamento di tutte le dashboard.
È possibile specificare quale dashboard debba essere visualizzata al primo accesso al server McAfee
ePO mappandola al set di autorizzazioni dell'utente. La mappatura delle dashboard ai set di
autorizzazioni garantisce agli utenti ai quali è stato assegnato un ruolo particolare la possibilità di
vedere immediatamente le informazioni di cui necessitano. Se gli utenti sono autorizzati a vedere
dashboard diverse dalla predefinita, ogni volta che passano alla pagina Dashboard visualizzeranno la
dashboard più recente.
Grazie all'impostazione server Dashboard, è possibile eseguire le azioni seguenti:
Guida del prodotto
253
20
Dashboard
•
Configurare la dashboard visualizzata per gli utenti che appartengono a un set di autorizzazioni per
il quale non è prevista una dashboard predefinita
•
Controllare la frequenza di aggiornamento automatico delle dashboard
Le dashboard vengono aggiornate automaticamente. Ogni volta che si verifica un aggiornamento,
viene eseguita la query sottostante e i risultati vengono visualizzati nella dashboard. Quando i
risultati della query contengono una grande quantità di dati, un intervallo di aggiornamento breve
può ripercuotersi sulla larghezza di banda disponibile. Si consiglia di scegliere un intervallo di
aggiornamento (5 minuti per impostazione predefinita) tale da garantire la visualizzazione di
informazioni precise e puntuali senza un inutile consumo di risorse di rete.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, selezionare Dashboard nell'elenco Categorie di
2
Selezionare un set di autorizzazioni e una dashboard predefinita dai menu.
Utilizzare
e
per aggiungere o rimuovere più dashboard per ciascun set di autorizzazioni o
per eseguire assegnazioni per più set di autorizzazioni.
3
254
Specificare un valore compreso tra 1 minuto e 60 ore per l'intervallo di aggiornamento del
monitoraggio della dashboard (5 minuti per impostazione predefinita), quindi fare clic su Salva.
Guida del prodotto
21
Query e rapporti
ePolicy Orchestrator viene fornito con proprie funzionalità di query e reportistica, che sono
estremamente personalizzabili, flessibili e facili da usare.
Sono incluse le procedure guidate Creazione query e Creazione rapporti, con le quali creare ed eseguire query
e rapporti che generano dati configurati dall'utente, visualizzati in grafici e tabelle anch'essi configurati
dall'utente. I dati per tali query e rapporti possono essere ottenuti da qualsiasi database interno o
esterno registrato nel sistema ePolicy Orchestrator.
Oltre ai sistemi di query e reportistica, è possibile utilizzare i registri riportati di seguito per raccogliere
informazioni sulle attività che si verificano nel server McAfee ePO e in tutta la rete:
•
•
Registro delle attività server
•
Per semplificare l'utilizzo di queste funzionalità da parte dell'utente, il software ePolicy Orchestrator
include una serie di query predefinite che forniscono le stesse informazioni dei rapporti predefiniti delle
versioni precedenti.
Sommario
Autorizzazioni per query e rapporti
Informazioni sulle query
Creazione query
Prima configurazione delle query e dei rapporti
Utilizzo di query
Invio di query di raggruppamento a più server
Informazioni sui rapporti
Struttura di un rapporto
Utilizzo di rapporti
Utilizzo di server di database
Pagina Modifica gruppo di query
Pagina Nuovo gruppo di query
Pagina Salva query (procedura guidata Query)
Autorizzazioni per query e rapporti
È possibile limitare l’accesso a query e rapporti in vari modi.
Per eseguire una query o un rapporto, sono necessarie autorizzazioni non solo per la query o il
rapporto in sé ma anche per i set di funzionalità associati ai tipi di risultati. Le pagine dei risultati di
una query forniranno l'accesso solo alle azioni consentite in base al set di autorizzazioni di cui si
dispone.
Guida del prodotto
255
21
Query e rapporti
I gruppi e i set di autorizzazioni controllano l'accesso a query e rapporti. Tutte le query e i rapporti
devono appartenere a un gruppo e l'accesso a una query o a un rapporto è controllato dal livello di
autorizzazione del gruppo. I gruppi di query e rapporti dispongono dei seguenti livelli di
autorizzazione:
•
Privato: il gruppo è disponibile solo per l'utente che l'ha creato.
•
Pubblico: il gruppo è condiviso a livello globale.
•
Dal set di autorizzazioni: il gruppo è disponibile solo per gli utenti cui sono stati assegnati i set di
autorizzazioni selezionati.
I set di autorizzazioni presentano quattro livelli di accesso a query o rapporti, ovvero:
•
Nessuna autorizzazione: la scheda Query o Rapporto non è disponibile per gli utenti privi di autorizzazione.
•
Usa query pubbliche: viene concessa l'autorizzazione a utilizzare qualsiasi query o rapporto inserito in
un Gruppo pubblico.
•
Usa gruppi pubblici; crea e modifica query personali: vengono concesse le autorizzazioni per utilizzare
qualsiasi query o gruppo inserito in un Gruppo pubblico, nonché la possibilità di utilizzare Creazione query
per creare e modificare query e rapporti nei Gruppi privati.
•
Modifica query pubbliche; crea e modifica query personali; rendi pubbliche le query personali: vengono autorizzati
l'utilizzo e la modifica di query e rapporti inseriti in Gruppi pubblici, la creazione e la modifica di query
o rapporti in Gruppi privati, nonché la possibilità di spostare query o rapporti da Gruppi privati a Pubblico o
Gruppi condivisi.
Le query sono essenzialmente domande poste a ePolicy Orchestrator le cui risposte vengono restituite
sotto forma di grafici e tabelle.
Le query possono essere utilizzate singolarmente per ottenere risposte immediate. I risultati delle
query possono essere esportati in diversi formati, che possono essere scaricati o inviati come allegati
di messaggi e-mail. Molte query possono inoltre essere utilizzate come strumenti di monitoraggio della
dashboard, poiché garantiscono un monitoraggio in tempo pressoché reale. Le query possono inoltre
essere riunite in rapporti, per ottenere una visione più ampia e a livello di sistema del prodotto
Non è possibile modificare o eliminare le dashboard e le query predefinite fornite con ePolicy
Orchestrator. Per modificarle, è possibile duplicare, rinominare e successivamente modificare la
dashboard o la query rinominata.
Risultati delle query fruibili
I risultati delle query sono ora fruibili. I risultati visualizzati in tabelle (e in tabelle drill-down) sono
associati a varie azioni, disponibili per gli elementi selezionati nella tabella. In una tabella di risultati di
query, ad esempio, è possibile distribuire agent in sistemi. Le azioni sono disponibili nella parte
inferiore della pagina dei risultati.
Query come strumenti di monitoraggio della dashboard
Molte query (ad eccezione di quelle per le quali i risultati iniziali vengono visualizzati in una tabella)
possono essere utilizzate come strumenti di monitoraggio della dashboard. Gli strumenti di
monitoraggio della dashboard vengono aggiornati automaticamente in base alla frequenza configurata
dall'utente (ogni cinque minuti per impostazione predefinita).
256
Guida del prodotto
Query e rapporti
Creazione query
21
Esportazione dei risultati
I risultati delle query possono essere esportati in quattro diversi formati. I risultati esportati sono dati
cronologici e non vengono aggiornati come avviene con altri strumenti di monitoraggio utilizzati per la
dashboard. Analogamente a quanto avviene con i risultati delle query e gli strumenti di monitoraggio
basati su query visualizzati nella console, è possibile esaminare i file in formato HTML esportati per
accedere a informazioni più dettagliate.
Diversamente dai risultati delle query nella console, i dati contenuti nei rapporti esportati non sono
fruibili.
I rapporti sono disponibili in vari formati:
•
CSV: consente di utilizzare i dati in un'applicazione per l'elaborazione di fogli elettronici (ad
esempio Microsoft Excel).
•
XML: consente di modificare i dati per altre finalità.
•
HTML: consente di visualizzare i risultati esportati come pagina web.
•
PDF: consente di stampare i risultati.
Combinazione di query in rapporti
I rapporti possono contenere innumerevoli query, immagini, parti di testo statico e altri elementi.
Possono essere eseguiti su richiesta o a intervalli regolari pianificati per la generazione di un file PDF
da visualizzare esternamente a ePolicy Orchestrator.
Condivisione di query tra server
È possibile importare ed esportare qualsiasi query che può in tal modo essere condivisa tra server. In
un ambiente con più server è sufficiente creare le query una volta sola.
Recupero dei dati da origini diverse
Con le query è possibile recuperare i dati da qualsiasi server registrato, tra cui database esterni a
Creazione query
In ePolicy Orchestrator è disponibile una semplice procedura guidata composta da quattro passaggi
che consente di creare e modificare query personalizzate. Utilizzarla per configurare i dati recuperati e
visualizzati nonché le relative modalità di visualizzazione.
Tipi di risultato
I primi elementi che si selezionano nella procedura guidata Creazione query in un gruppo di
funzionalità sono lo schema e il tipo di risultato. La scelta effettuata identifica la provenienza e il tipo
di dati recuperati dalla query e determina le opzioni disponibili nel prosieguo della procedura guidata.
Tipi di grafico
In ePolicy Orchestrator sono disponibili vari grafici e tabelle per la visualizzazione dei dati recuperati.
Insieme alle relative tabelle drill-down, si tratta di elementi estremamente configurabili.
Le tabelle non includono tabelle drill-down.
I tipi di grafico sono:
Guida del prodotto
257
21
Query e rapporti
Tabella 21-1 Gruppi di tipi di grafico
Tipo
Grafico o tabella
Barra
• Grafico a barre
• Grafico a barre raggruppate
• Grafico a barre in pila
Torta
• Grafico a torta booleano
• Grafico a torta
Bolla
• Grafico a bolle
Riepilogo
• Tabella di riepilogo multigruppo
• Tabella di riepilogo per un singolo gruppo
Riga
• Grafico a linee multiple
• Grafico a linea singola
Elenco
• Tabella
Colonne di tabella
Specificare le colonne della tabella. Se si seleziona Tabella come visualizzazione principale dei dati,
viene configurata la tabella semplice. Se si seleziona un tipo di grafico come visualizzazione principale
dei dati, viene configurata la tabella drill-down.
I risultati di query visualizzati in una tabella ammettono l'esecuzione di azioni. Se ad esempio nella
tabella sono visualizzati sistemi, è possibile distribuire o attivare agent di tali sistemi direttamente
dalla tabella.
Filtri
Specificare criteri selezionando proprietà e operatori per limitare la quantità di dati recuperati dalla
query.
Seguire i passaggi generali riportati di seguito per configurare query e rapporti per la prima volta.
1
Conoscere le funzionalità di query, rapporti e della Creazione query.
2
Esaminare query e rapporti predefiniti e modificarli in base alle esigenze.
3
Creare query e rapporti ad hoc per le esigenze non soddisfatte dalle query predefinite.
Utilizzo di query
Le query possono essere create, eseguite, esportate, duplicate e altro in base alle esigenze.
258
Guida del prodotto
Query e rapporti
Utilizzo di query
21
Attività
•
Gestione di query personalizzate a pagina 259
È possibile creare, duplicare, modificare ed eliminare query in base alle esigenze specifiche.
•
Esecuzione di una query esistente a pagina 261
È possibile eseguire query salvate su richiesta.
•
Esecuzione di una query in base a una pianificazione a pagina 261
Le attività server consentono di eseguire query con regolarità. Le query possono avere
azioni secondarie che consentono di eseguire diverse attività, come inviare i risultati della
query via e-mail o utilizzare i tag.
•
Creazione di una query per elencare i sistemi in base ai tag a pagina 265
È possibile eseguire una query in base a una pianificazione per creare un elenco che
visualizza, applica o cancella tag nei sistemi basati sui tag selezionati.
•
Creazione di un gruppo di query a pagina 266
I gruppi di query consentono di salvare le query o i rapporti impedendo ad altri utenti di
accedervi.
•
Spostamento di una query in un altro gruppo a pagina 266
È possibile modificare le autorizzazioni di una query spostandola in un altro gruppo.
•
Esportazione e importazione di query a pagina 267
È possibile esportare e importare le query per garantire che server McAfee ePO diversi
utilizzino lo stesso metodo di recupero dei dati.
•
Esportazione dei risultati delle query in altri formati a pagina 267
I risultati delle query possono essere esportati in diversi formati, quali HTML, PDF, CSV e
XML.
Gestione di query personalizzate
È possibile creare, duplicare, modificare ed eliminare query in base alle esigenze specifiche.
Attività
1
Fare clic su Menu | Reportistica | Query e rapporti per visualizzare la pagina Query e rapporti.
2
Guida del prodotto
259
21
Query e rapporti
Utilizzo di query
Azione
Passaggi
Creare una query 1 Fare clic su Azioni | Nuova per visualizzare la pagina Creazione query.
personalizzata.
2 Nella pagina Tipo di risultato selezionare il Gruppo funzionalità e il Tipo di risultato per
la query, quindi fare clic su Avanti.
3 Selezionare il tipo di grafico o tabella per la visualizzazione dei risultati
principali della query, quindi fare clic su Avanti.
Se si seleziona Grafico a torta booleano, è necessario configurare i criteri da
includere nella query prima di procedere.
4 Selezionare le colonne da includere nella query, quindi fare clic su Avanti.
Se nella pagina Grafico è stato selezionato Tabella, le colonne che vengono
selezionate in questa fase corrispondono alle colonne della tabella. In caso
contrario, si tratta delle colonne che costituiscono la tabella dei dettagli della
query.
5 Selezionare le proprietà che consentono di limitare il numero di risultati della
ricerca, quindi fare clic su Esegui. Nella pagina Query non salvata vengono
visualizzati i risultati della query, da cui è possibile eseguire le azioni
disponibili sugli elementi di qualsiasi tabella o tabella drill-down.
Le proprietà selezionate vengono visualizzate nel riquadro dei contenuti,
dove sono disponibili gli operatori necessari per specificare i criteri utilizzati
per limitare la quantità di dati restituiti per una determinata proprietà.
• Se la query non restituisce i risultati previsti, fare clic su Modifica query per
tornare a Creazione query e modificare i dettagli della query in questione.
• Se non si desidera salvare la query, fare clic su Chiudi.
• Se si intende utilizzare la query in futuro, fare clic su Salva e procedere al
6 Viene visualizzata la pagina Salva query. Digitare un nome per la query,
aggiungere eventuali note e selezionare una delle opzioni riportate di
seguito.
• Nuovo gruppo: digitare un nome per il nuovo gruppo e selezionare una delle
opzioni seguenti:
• Gruppo Privato (Gruppi personali)
• Gruppo Pubblico (Gruppi condivisi)
• Gruppo esistente: selezionare il gruppo nell'elenco Gruppi condivisi.
La nuova query viene visualizzata nell'elenco Query.
Duplicare una
query.
1 Selezionare nell'elenco una query da duplicare e fare clic su Azioni | Duplica.
2 Nella finestra di dialogo Duplica digitare un nome da assegnare alla query
duplicata e selezionare un gruppo cui è destinata una copia della query,
quindi fare clic su OK.
La query duplicata viene visualizzata nell'elenco Query.
260
Guida del prodotto
Query e rapporti
Utilizzo di query
21
Azione
Passaggi
Modificare una
query.
1 Selezionare nell'elenco una query da modificare e fare clic su Azioni | Modifica.
Viene visualizzata la pagina Tipo di grafico della pagina Creazione query.
2 Modificare le impostazioni della query e al termine fare clic su Salva.
La query modificata viene visualizzata nell'elenco Query.
Eliminare una
query.
1 Selezionare nell'elenco una query da eliminare e fare clic su Azioni | Elimina.
2 Quando viene visualizzata la finestra di dialogo di conferma, fare clic su Sì.
La query non è più visualizzata nell'elenco Query. Se la query è stata utilizzata
da rapporti o attività server, questi risultano non validi fino a quando non si
rimuove il riferimento alla query eliminata.
Esecuzione di una query esistente
È possibile eseguire query salvate su richiesta.
Attività
1
Fare clic su Menu | Reportistica | Query e rapporti, quindi selezionare una query nell'elenco Query.
2
Fare clic su Azioni | Esegui. Vengono visualizzati i risultati delle query. Esaminare approfonditamente
il rapporto e intraprendere le azioni necessarie sugli elementi.
Le azioni disponibili variano in funzione delle autorizzazioni di cui dispone l'utente.
3
Al termine, fare clic su Chiudi.
Esecuzione di una query in base a una pianificazione
Le attività server consentono di eseguire query con regolarità. Le query possono avere azioni
secondarie che consentono di eseguire diverse attività, come inviare i risultati della query via e-mail o
utilizzare i tag.
Attività
1
Fare clic su Menu | Automazione | Attività server, quindi su Azioni | Nuova attività.
2
Nella pagina Descrizione assegnare un nome all'attività e descriverla, quindi fare clic su Avanti.
3
Selezionare Esegui query dal menu a discesa Azioni.
4
Nell'elenco Query selezionare la query che si desidera eseguire.
5
Selezionare la lingua nella quale visualizzare i risultati.
Guida del prodotto
261
21
Query e rapporti
Utilizzo di query
6
Nell'elenco Azioni secondarie selezionare un'azione secondaria da intraprendere in base ai risultati. Le
azioni secondarie disponibili variano in base alle autorizzazioni di cui dispone l'utente e dai prodotti
gestiti dal server di McAfee ePO in uso. Di seguito sono riportate le query incorporate e le azioni
secondarie disponibili in Gruppi.
Categoria
Query
Azioni secondarie
Gestione di agent
Query Comunicazione agent
Invia file via email
Riepilogo versioni agent
Agent inattivi
Applica tag
Assegna policy
Modifica stato ordinamento
Cancella conteggio errori sequenza per GUID agent
Cancella tag
Elimina sistemi
Escludi tag
Comando DC invio file
Sposta GUID agent nell'elenco duplicati ed elimina
sistemi
Sposta sistemi
Riordina sistemi
Comando DC di esempio
Imposta proprietà utente
Nodi gestiti con errori nell'applicazione delle
policy ai singoli prodotti
Nodi gestiti con errori nella raccolta delle
proprietà dei singoli prodotti
Utilizzo di percentuali e archivi
Utilizzo di archivi in base al "pull" di file DAT e Invia file via email
del motore
Rilevamenti
Assegnazione di
policy
Distribuzione
prodotti
262
Cronologia di rilevamento malware
Rilevamenti odierni per prodotto
Attività client applicate
Policy applicate per nome prodotto
Policy applicate per McAfee Agent
Ereditarietà interrotta dell'assegnazione delle
attività client
Cronologia modifica assegnazioni di policy
per utente (30 giorni)
Tentativi di disinstallazione agent negli ultimi
7 giorni
Distribuzioni prodotto non riuscite nelle
ultime 24 ore
Aggiornamenti prodotto non riusciti nelle
ultime 24 ore
Guida del prodotto
Query e rapporti
Utilizzo di query
Categoria
Gestione di sistemi
Query
Azioni secondarie
Nuovi agent aggiunti a ePO alla settimana
Andamento distribuzioni prodotto riusciti
(2401) e non riusciti (2402) negli ultimi 2 mesi
Aggiornamenti prodotto nelle ultime 24 ore
Nomi di sistema duplicati
Applica tag
21
Assegna policy
Cancella tag
Elimina sistemi
Escludi tag
sistemi
Sposta sistemi
Riordina sistemi
Sistemi per gruppo di primo livello
Sistemi con numero elevato di errori di
sequenza
Applica tag
Assegna policy
Cancella tag
Elimina sistemi
Escludi tag
sistemi
Sposta sistemi
Riordina sistemi
Sistemi senza errori di sequenza recenti
Applica tag
Assegna policy
Cancella tag
Guida del prodotto
263
21
Query e rapporti
Utilizzo di query
Categoria
Query
Azioni secondarie
Elimina sistemi
Escludi tag
sistemi
Sposta sistemi
Riordina sistemi
Sistemi non gestiti
Applica tag
Assegna policy
Cancella tag
Elimina sistemi
Escludi tag
sistemi
Sposta sistemi
Riordina sistemi
Eventi di minaccia
Verifica utente
Tutti gli eventi di minaccia per gruppo di
Descrizione di eventi di minaccia nelle ultime
24 ore
Eventi di minaccia nelle ultime 2 settimane
Modifiche configurazione per utente (30
giorni)
Tentativi di accesso non riusciti negli ultimi
30 giorni
Azioni utente non riuscite nella console ePO
negli ultimi 30 giorni
Configurazioni server per utente (30 giorni)
Tentativi di accesso riusciti negli ultimi 30
giorni
Non si deve selezionare necessariamente una sola azione per i risultati della query. Fare clic sul
pulsante + per aggiungere altre azioni da intraprendere sui risultati della query. Organizzare le azioni
nell'ordine in cui si desidera che vengano eseguite sui risultati della query.
264
Guida del prodotto
Query e rapporti
Utilizzo di query
7
8
Pianificare l'attività in base alle esigenze, quindi fare clic su Avanti.
9
Verificare la configurazione dell'attività, quindi fare clic su Salva.
21
L'attività viene aggiunta all'elenco nella pagina Attività server. Se è attivata (impostazione predefinita),
viene eseguita in occasione dell'ora pianificata successiva. Se è disattivata, viene eseguita solo se si fa
clic sul pulsante adiacente Esegui nella pagina Attività server.
Creazione di una query per elencare i sistemi in base ai tag
È possibile eseguire una query in base a una pianificazione per creare un elenco che visualizza, applica
o cancella tag nei sistemi basati sui tag selezionati.
Attività
1
Fare clic su Menu | Automazione | Attività server, quindi fare clic Azioni | Nuova attività.
2
Nella pagina Descrizione assegnare un nome e una descrizione all'attività e fare clic su Avanti.
3
Nel menu a discesa Azioni selezionare Esegui query.
4
Nel campo Query selezionare una delle query indicate di seguito nella scheda Gruppi McAfee, quindi
fare clic su OK.
•
Agent inattivi
•
Nomi di sistema duplicati
•
Sistemi con numero elevato di errori di sequenza
•
Sistemi senza errori di sequenza recenti
•
Sistemi non gestiti
5
Selezionare la lingua nella quale visualizzare i risultati.
6
Nell'elenco Azioni secondarie selezionare una delle azioni secondarie elencate di seguito come azione
da intraprendere in base ai risultati.
7
•
Applica tag: applica il tag selezionato ai sistemi restituiti dalla query.
•
Cancella tag: consente di cancellare il tag selezionato dai sistemi restituiti dalla query. Selezionare
Cancella tutto per rimuovere tutti i tag dai sistemi elencati nei risultati della query.
•
Escludi tag: esclude i sistemi dai risultati della query ai quali è applicato il tag selezionato.
Nella finestra Seleziona tag selezionare un gruppo di tag nella Struttura di gruppi di tag e, facoltativamente,
filtrare l'elenco di tag utilizzando la casella di testo Tag.
Non si deve selezionare necessariamente una sola azione per i risultati della query. Fare clic sul
pulsante + per aggiungere altre azioni da intraprendere sui risultati della query. Organizzare le azioni
nell'ordine in cui si desidera che vengano eseguite sui risultati della query. Ad esempio è possibile
applicare il tag Server e quindi rimuovere il tag Workstation. È inoltre possibile aggiungere altre
azioni secondarie, come assegnare una policy ai sistemi.
8
9
10 Verificare la configurazione dell'attività, quindi fare clic su Salva.
Guida del prodotto
265
21
Query e rapporti
Utilizzo di query
L'attività viene aggiunta all'elenco nella pagina Attività server. Se è attivata (impostazione predefinita),
viene eseguita in occasione dell'ora pianificata successiva. Se invece è disattivata, viene eseguita solo
facendo clic su Esegui accanto all'attività nella pagina Attività server.
Creazione di un gruppo di query
I gruppi di query consentono di salvare le query o i rapporti impedendo ad altri utenti di accedervi.
La creazione di un gruppo consente di suddividere in categorie query e rapporti in base alla
funzionalità nonché di controllare l'accesso. L'elenco dei gruppi visualizzati nel software ePolicy
Orchestrator è dato dalla combinazione dei gruppi creati e dei gruppi per i quali si dispone
dell'autorizzazione di visualizzazione.
È anche possibile creare gruppi di query private durante il salvataggio di una query personalizzata.
Attività
1
Fare clic su Menu | Reportistica | Query e rapporti, quindi fare clic su Azioni gruppo | Nuovo gruppo.
2
Nella pagina Nuovo gruppo digitare il nome di un gruppo.
3
Dall'elenco Visibilità del gruppo selezionare una delle voci riportate di seguito.
•
Gruppo Privato: consente di aggiungere il nuovo gruppo al di sotto di Gruppi personali.
•
Gruppo Pubblico: consente di aggiungere il nuovo gruppo al di sotto di Gruppi condivisi. Le query e i
rapporti del gruppo possono essere visualizzati da qualsiasi utente con accesso alle query e ai
rapporti pubblici.
•
Condiviso dal set di autorizzazioni: consente di aggiungere il nuovo gruppo al di sotto di Gruppi condivisi.
Ai rapporti e alle query di questo gruppo possono accedere solo gli utenti cui sono stati
assegnati i set di autorizzazioni selezionati.
Gli amministratori dispongono di accesso completo a tutte le query dei gruppi Condiviso dal set di
autorizzazioni e Pubblico.
4
Fare clic su Salva.
Spostamento di una query in un altro gruppo
È possibile modificare le autorizzazioni di una query spostandola in un altro gruppo.
Attività
1
Fare clic su Menu | Reportistica | Query e rapporti. Nell'elenco Query selezionare la query che si desidera
spostare.
2
Fare clic su Azioni e selezionare una delle opzioni seguenti:
3
266
•
Sposta in un altro gruppo: selezionare il gruppo dal menu Seleziona gruppo di destinazione.
•
Duplica: specificare un nuovo nome e selezionare il gruppo dal menu Gruppo a cui inviare la copia.
Fare clic su OK.
Guida del prodotto
Query e rapporti
Utilizzo di query
21
Esportazione e importazione di query
È possibile esportare e importare le query per garantire che server McAfee ePO diversi utilizzino lo
stesso metodo di recupero dei dati.
Attività
1
Aprire la pagina Query selezionando Menu | Reportistica | Query e rapporti, quindi selezionare la scheda
Query.
2
Azione
Passaggi
Esportazione di
una query
1 Selezionare il gruppo che contiene la query da esportare nell'elenco Gruppi,
quindi selezionare la query da esportare.
2 Fare clic su Azioni | Esporta definizioni.
Il file XML esportato contiene una descrizione completa di tutte le impostazioni
necessarie per replicare la query esportata.
Importazione di
una query
1 Fare clic su Azioni | Importa definizioni.
2 Fare clic su Sfoglia per passare al file XML contenente la dashboard che si
desidera importare e selezionare tale file.
3 Selezionare un gruppo nuovo o esistente per la query. Nel caso di un gruppo
nuovo, assegnarvi un nome e specificare se è privato o pubblico. Nel caso di
un gruppo esistente, selezionare il gruppo al quale verrà aggiunta la query
importata.
Verrà visualizzata una schermata di conferma con le informazioni sulla query
presente nel file XML e sul nome che le verrà assegnato dopo l'importazione.
Se nel file selezionato non vi sono query valide, viene visualizzato un
messaggio di errore.
5 Fare clic su OK per finalizzare l'importazione.
La query appena importata acquisisce le autorizzazioni del gruppo nel quale è
stata importata.
Esportazione dei risultati delle query in altri formati
I risultati delle query possono essere esportati in diversi formati, quali HTML, PDF, CSV e XML.
L'esportazione dei risultati delle query si differenzia dalla creazione di un rapporto per un paio di
aspetti. Innanzitutto, a differenza di un rapporto, nell'output non è possibile inserire informazioni
aggiuntive. Esso può contenere solo i dati risultanti. Sono inoltre supportati più formati. Dal momento
che è prevista la possibilità di utilizzare i risultati delle query esportati in ulteriori attività di
elaborazione, sono supportati formati elettronici come XML e CSV. I rapporti sono concepiti per essere
leggibili e vengono pertanto generati solo come file PDF.
A differenza dei risultati delle query nella console, sui dati esportati non è possibile eseguire azioni.
Guida del prodotto
267
21
Query e rapporti
Attività
1
Fare clic su Menu | Reportistica | Query e rapporti, quindi selezionare una o più query.
È anche possibile eseguire la query dalla pagina Query e fare clic su Opzioni | Esporta dati dalla pagina
dei risultati della query per accedere alla pagina Esporta.
2
Fare clic su Azioni | Esporta dati.
Viene visualizzata la pagina Esporta.
3
Selezionare i dati da esportare. Per le query basate su grafico, selezionare Solo dati grafico o Dati grafico
e tabelle drill-down.
4
Scegliere se esportare i file di dati singolarmente o in un unico file di archivio (zip).
5
Selezionare il formato del file esportato.
6
7
•
CSV: questo formato consente di utilizzare i dati in un'applicazione per l'elaborazione di fogli di
calcolo (ad esempio Microsoft Excel).
•
XML: utilizzare questo formato per modificare i dati per altri scopi.
•
HTML: utilizzare questo formato di rapporto per visualizzare i risultati esportati come pagina
Web.
•
PDF: utilizzare questo formato di rapporto quando si desidera stampare i risultati.
Se si esegue l'esportazione in un file PDF, configurare le impostazioni riportate di seguito.
•
Selezionare il Formato pagina e l'Orientamento pagina.
•
Facoltativo: selezionare Mostra criteri filtro.
•
Facoltativo: selezionare Includi un frontespizio con il seguente testo e inserire il testo necessario.
Scegliere se inviare i file via e-mail sotto forma di allegati ai destinatari selezionati o salvarli in un
percorso sul server per il quale viene fornito un collegamento. Il file può essere aperto o salvato in
un altro percorso facendo clic con il pulsante destro del mouse su di esso.
Quando si digitano più indirizzi e-mail per i destinatari, è necessario separarli con virgola o punto e
virgola.
8
Fare clic su Esporta.
I file vengono creati e inviati via e-mail come allegati ai destinatari o si viene reindirizzati a una pagina
in cui è possibile accedervi dai collegamenti disponibili.
ePolicy Orchestrator consente di eseguire query per il recupero di dati riepilogativi da più database.
Per questo tipo di query, utilizzare i tipi di risultati seguenti nella procedura guidata Creazione query:
268
Guida del prodotto
Query e rapporti
•
Eventi di minaccia raggruppati
•
Sistemi gestiti raggruppati
•
Eventi client raggruppati
•
Policy applicate raggruppate
•
Cronologia conformità raggruppata
21
I comandi delle azioni non possono essere generati dai tipi di risultati del raggruppamento.
Funzionamento
Per raggruppare i dati a uso delle query di raggruppamento, è necessario registrare ogni server
(compreso il server locale) che si desidera includere nella query.
Dopo la registrazione dei server, si passa a configurare le attività server di raggruppamento dati nel
server di reportistica (server che esegue la reportistica per più server). Le attività server di
raggruppamento dei dati recuperano le informazioni da tutti i database interessati dalla reportistica e
compilano le tabelle EPORollup_ nel server di reportistica. Le query di raggruppamento attingono da
queste tabelle di database nel server di reportistica.
Prima di eseguire una query Cronologia di conformità raggruppata, è fondamentale eseguire due
azioni preparatorie in ciascun server di cui si desidera includere i dati:
•
Creazione di una query per definire la conformità
•
Generazione di un evento di conformità
Creazione di un'attività server Raggruppa dati
Le attività server Raggruppa dati ricavano i dati contemporaneamente da più server.
Prima di iniziare
È innanzitutto necessario registrare ogni server di reportistica ePolicy Orchestrator da
includere nella reportistica di raggruppamento. La registrazione di tutti i server è necessaria
per raccogliere dati di riepilogo da questi e precompilare le tabelle EPORollup_ del server
della reportistica di raggruppamento.
La registrazione del server di reportistica è necessaria anche se i relativi dati di riepilogo
devono essere inclusi nella reportistica di raggruppamento.
Attività
1
2
Nella pagina Descrizione digitare un nome e una descrizione per l'attività, scegliere se attivarla,
3
Fare clic su Azioni e selezionare Raggruppa dati.
4
Dal menu a discesa Raggruppa dati da: selezionare Tutti i server registrati o Seleziona server registrati.
5
Se nel passaggio precedente si sceglie Seleziona server registrati, fare clic su Seleziona e scegliere i server
di cui si desidera recuperare i dati nella finestra di dialogo Seleziona server registrati. Fare clic su OK.
Guida del prodotto
269
21
Query e rapporti
6
Selezionare il tipo di dati da raggruppare. Per selezionare più tipi di dati, fare clic su + alla fine
dell'intestazione della tabella.
È inoltre possibile configurare i tipi di dati Eventi di minaccia, Eventi client e Policy applicate per
includere le proprietà aggiuntive Elimina, Filtro e Metodo di raggruppamento. A tale scopo, fare clic
su Configura nella riga che descrive le proprietà aggiuntive disponibili.
7
Viene visualizzata la pagina Pianificazione.
8
Viene visualizzata la pagina Riepilogo.
Se si generano rapporti sui dati cronologici di conformità raggruppati, verificare che l'unità di tempo
della query Cronologia conformità raggruppata corrisponda al tipo di pianificazione delle attività
server Genera evento di conformità sui server registrati.
9
Esaminare le impostazioni e fare clic su Salva.
Creazione di una query per definire la conformità
Le query di conformità sono necessarie nei server di McAfee ePO i cui dati vengono utilizzati nelle
query di raggruppamento.
Attività
1
Fare clic su Menu | Reportistica | Query e rapporti, quindi fare clic su Azioni | Nuovo.
2
Nella pagina Tipo di risultato selezionare Gestione di sistemi come Gruppo funzionalità e Sistemi gestiti come
Tipi di risultato, quindi fare clic su Avanti.
3
Selezionare Grafico a torta booleano dall'elenco Visualizza risultati come, quindi fare clic su Configura criteri.
4
Selezionare le proprietà da includere nella query, quindi impostare gli operatori e i valori per ogni
proprietà. Fare clic su OK. Quando viene visualizzata la pagina Grafico, fare clic su Avanti.
Queste proprietà definiscono la conformità per i sistemi gestiti dal server di McAfee ePO.
5
Selezionare le colonne da includere nella query, quindi fare clic su Avanti.
6
Selezionare i filtri da applicare alla query e fare clic su Esegui, quindi su Salva.
Generazione di eventi di conformità
Gli eventi di conformità vengono utilizzati nelle query di raggruppamento per eseguire l'aggregazione
dei dati in un singolo rapporto.
Attività
270
1
2
Nella pagina Descrizione digitare un nome per la nuova attività, quindi fare clic su Avanti.
3
Selezionare Esegui query dal menu a discesa Azioni.
4
Fare clic su Sfoglia (...) accanto al campo Query e selezionare una query. Viene visualizzata la
finestra di dialogo Selezionare una query dall'elenco con la scheda Gruppi personali attiva.
Guida del prodotto
Query e rapporti
21
5
Selezionare la query di definizione della conformità. Può essere una query predefinita, come
Riepilogo conformità McAfee Agent nella sezione Gruppi McAfee, o una query creata dall'utente, come
quella descritta in Creazione di una query per definire la conformità.
6
Dal menu a discesa Azioni secondarie selezionare Genera evento di conformità e specificare la percentuale o
il numero di sistemi di destinazione, quindi fare clic su Avanti.
Gli eventi possono essere generati mediante l'attività Genera evento di conformità se il livello di non
conformità supera un valore in percentuale impostato o il numero di sistemi definito.
7
Pianificare l'esecuzione dell'attività per l'intervallo di tempo necessario per la generazione di
rapporti Cronologia conformità. Se la conformità deve ad esempio essere registrata su base
settimanale, pianificare l'esecuzione settimanale dell'attività. Fare clic su Avanti.
8
Esaminare i dettagli, quindi fare clic su Salva.
I rapporti consentono di combinare query e altri elementi in documenti PDF fornendo informazioni
dettagliate da analizzare.
È possibile eseguire rapporti per rilevare lo stato dell'ambiente (vulnerabilità, utilizzo, eventi e così via)
e apportare le modifiche necessarie per preservarne la sicurezza.
Le query forniscono informazioni sibili, ma è possibile utilizzarle solo quando si interagisce con un
server McAfee ePO. I rapporti consentono di riunire una o più query in un solo documento PDF per
un'analisi offline più mirata.
I rapporti sono documenti configurabili nei quali sono contenuti dati di una o più query, richiamati da
uno o più database. I risultati più recenti eseguiti per ogni rapporto sono archiviati nel sistema e sono
immediatamente disponibili per la visualizzazione.
È possibile limitare l'accesso ai rapporti mediante il ricorso a gruppi e set di autorizzazioni,
esattamente come avviene per limitare l'accesso alle query. Per i rapporti e le query si possono
utilizzare gli stessi gruppi e poiché i rapporti sono essenzialmente costituiti da query ciò consente un
controllo coerente degli accessi.
Struttura di un rapporto
I rapporti sono costituiti da un certo numero di elementi contenuti all'interno di un formato di base.
Pur essendo altamente personalizzabili, i rapporti sono caratterizzati da una struttura di base
contenente tutti i vari tipi di elementi.
Formato pagina e orientamento
Attualmente ePolicy Orchestrator supporta sei combinazioni di formato pagina e orientamento, ovvero:
Formati pagina:
•
Lettera USA (8,5" x 11")
•
Legale USA (8,5" x 14")
•
A4 (210 mm x 297 mm)
Guida del prodotto
271
21
Query e rapporti
Orientamento:
•
Orizzontale
•
Verticale
Intestazioni e piè di pagina
Anche per le intestazioni e i piè di pagina è possibile utilizzare un sistema predefinito oppure eseguire
varie personalizzazioni, ad esempio i logo. Gli elementi attualmente supportati per intestazioni e piè di
pagina sono:
•
Logo
•
Nome utente
•
data/ora
•
Testo personalizzato
•
numero di pagina
Elementi di pagina
Gli elementi della pagina forniscono il contenuto del rapporto. Possono essere organizzati in qualsiasi
ordine e duplicati se necessario. Gli elementi di pagina forniti in ePolicy Orchestrator sono i seguenti:
•
Immagini
•
Tabelle di query
•
Testo statico
•
Grafici delle query
•
Interruzioni di pagina
È possibile creare, modificare e gestire i rapporti che combinano query e altri elementi in documenti
PDF dettagliati.
Questi documenti possono fornire una grande quantità di dati utili ma è necessario completare alcune
attività per creare una raccolta di rapporti fruibili da parte dell'utente.
272
Guida del prodotto
Query e rapporti
21
Attività
•
Creazione di un nuovo rapporto a pagina 273
È possibile creare nuovi rapporti e memorizzarli in ePolicy Orchestrator.
•
Modifica di un rapporto esistente a pagina 273
È possibile modificare il contenuto o l'ordine di presentazione di un rapporto esistente.
•
Visualizzazione dell'output del rapporto a pagina 278
Visualizzare l'ultima versione eseguita di ogni rapporto.
•
Raggruppamento di rapporti a pagina 278
Ogni rapporto deve essere assegnato a un gruppo.
•
Esecuzione di rapporti a pagina 279
È necessario eseguire rapporti per poter esaminare i relativi risultati.
•
Esecuzione di un rapporto con un'attività server a pagina 279
I rapporti possono essere eseguiti automaticamente mediante attività server.
•
Esportazione e importazione di rapporti a pagina 280
Poiché i rapporti possono contenere informazioni molto strutturate, la loro esportazione e
importazione da un server all'altro consente di eseguire in modo uniforme il recupero dei
dati e la reportistica da qualsiasi server di McAfee ePO.
•
Configurazione del modello e del percorso dei rapporti esportati a pagina 280
È possibile definire l'aspetto e il percorso di archiviazione delle tabelle e delle dashboard
esportate come documenti.
•
Eliminazione di rapporti a pagina 281
È possibile eliminare i rapporti non più utilizzati.
•
Configurazione di Internet Explorer 8 per l'accettazione automatica dei download di McAfee
ePO a pagina 282
È possibile che, come misura di sicurezza, Microsoft Internet Explorer blocchi i download
automatici di ePolicy Orchestrator. Questo comportamento può essere modificato variando
un'impostazione nella configurazione di Internet Explorer.
Creazione di un nuovo rapporto
È possibile creare nuovi rapporti e memorizzarli in ePolicy Orchestrator.
Attività
1
Fare clic su Menu | Reportistica | Query e rapporti, quindi selezionare la scheda Rapporto.
2
Fare clic su Azioni | Nuovo.
Viene visualizzata una pagina Layout rapporto vuota.
3
Fare clic su Nome, descrizione e gruppo. Assegnare al rapporto il nome desiderato, associare
facoltativamente a esso una descrizione e selezionare un gruppo appropriato. Fare clic su OK.
4
E' ora possibile aggiungere, rimuovere, ordinare nuovamente gli elementi, personalizzare
l'intestazione e il piè di pagina, nonché modificare il layout di pagina. Per verificare l'avanzamento
delle operazioni è possibile fare clic su Esegui per eseguire il rapporto.
5
Al termine dell'operazione, fare clic su Salva.
Modifica di un rapporto esistente
È possibile modificare il contenuto o l'ordine di presentazione di un rapporto esistente.
Se si sta creando un nuovo rapporto, si arriverà a tale schermata dopo aver fatto clic su Nuovo Rapporto.
Guida del prodotto
273
21
Query e rapporti
Attività
1
2
Scegliere un rapporto dall'elenco selezionando la casella di controllo accanto al relativo nome.
3
Fare clic su Modifica.
Viene visualizzata la pagina Layout rapporto.
A questo punto è possibile eseguire sul rapporto una delle attività seguenti.
Attività
•
Aggiunta di elementi a un rapporto a pagina 274
È possibile aggiungere nuovi elementi a un rapporto esistente.
•
Configurazione degli elementi immagine dei rapporti a pagina 275
È possibile caricare nuove immagini e modificare le immagini utilizzate in un rapporto.
•
Configurazione degli elementi testo dei rapporti a pagina 275
È possibile inserire testo statico in un rapporto per spiegarne il contenuto.
•
Configurazione degli elementi tabella per le query nei rapporti a pagina 276
La visualizzazione ideale di alcune query all'interno di un rapporto è sotto forma di tabella.
•
Configurazione degli elementi grafico della query nei rapporti a pagina 276
La visualizzazione ideale di alcune query all'interno di un rapporto è sotto forma di grafico.
•
Personalizzazione delle intestazioni e dei piè di pagina dei rapporti a pagina 277
Le intestazioni e i piè di pagina forniscono informazioni sul rapporto.
•
Rimozione di elementi da un rapporto a pagina 277
Se alcuni elementi di un rapporto non sono più necessari, è possibile rimuoverli.
•
Riordino di elementi in un rapporto a pagina 278
È possibile modificare l'ordine degli elementi in un rapporto.
Aggiunta di elementi a un rapporto
È possibile aggiungere nuovi elementi a un rapporto esistente.
Prima di iniziare
Per eseguire questa attività, è necessario che nella pagina Layout rapporto sia presente un
rapporto aperto.
Attività
1
Selezionare un elemento nella Toolbox e trascinarlo sul Layout rapporto.
2
Quando l'elemento si trova nella posizione desiderata, rilasciarlo.
Gli elementi del rapporto diversi da Interruzione di pagina richiedono la configurazione. Viene
visualizzata la pagina di configurazione dell'elemento.
3
274
Dopo avere configurato l'elemento, fare clic su OK.
Guida del prodotto
Query e rapporti
21
Configurazione degli elementi immagine dei rapporti
È possibile caricare nuove immagini e modificare le immagini utilizzate in un rapporto.
Prima di iniziare
È necessario che sia aperto un rapporto nella pagina Layout rapporto.
Attività
1
Per configurare un'immagine già presente in un rapporto, fare clic sulla freccia nell'angolo superiore
sinistro dell'immagine. Fare clic su Configura.
Viene visualizzata la pagina Configura immagine. Se si aggiunge un'immagine al rapporto, viene
visualizzata la pagina Configura immagine subito dopo il rilascio dell'elemento Immagine nel rapporto.
2
Per utilizzare un’immagine esistente, selezionarla dalla galleria.
3
Per utilizzare un’immagine nuova, fare clic su Sfoglia e selezionare l’immagine dal computer. Fare clic
su OK.
4
Per specificare la larghezza di un’immagine, immetterla nel campo Larghezza immagine.
Per impostazione predefinita, l'immagine viene visualizzata con la larghezza precedente e non
viene ridimensionata, a meno che non superi la larghezza disponibile nella pagina. In tal caso,
viene ridimensionata in base alla larghezza disponibile, ma vengono mantenute le proporzioni.
5
Scegliere se si desidera allineare l'immagine a sinistra, al centro o a destra.
6
Fare clic su OK.
Configurazione degli elementi testo dei rapporti
È possibile inserire testo statico in un rapporto per spiegarne il contenuto.
Prima di iniziare
Attività
1
Per configurare un testo già presente in un rapporto, fare clic sulla freccia nell'angolo superiore
sinistro dell'elemento testo. Fare clic su Configura.
Viene visualizzata la pagina Configura testo. Se si aggiunge nuovo testo al rapporto, viene visualizzata
la pagina Configura testo subito dopo il rilascio dell'elemento Testo nel rapporto.
2
Modificare il testo esistente nella casella di modifica Testo o aggiungerne di nuovo.
3
Modificare la dimensione carattere in base alle esigenze.
L'impostazione predefinita è tipo 12 pt.
4
Selezionare l'allineamento del testo: a sinistra, al centro o a destra.
5
Fare clic su OK.
Il testo immesso viene visualizzato nell'elemento testo all'interno del layout del rapporto.
Guida del prodotto
275
21
Query e rapporti
Configurazione degli elementi tabella per le query nei rapporti
La visualizzazione ideale di alcune query all'interno di un rapporto è sotto forma di tabella.
Prima di iniziare
Attività
1
Per configurare una tabella già presente in un rapporto, fare clic sulla freccia nell'angolo superiore
sinistro della tabella. Fare clic su Configura.
Viene visualizzata la pagina Configura tabella query. Se si aggiunge una nuova tabella della query al
rapporto, viene visualizzata la pagina Configura tabella query subito dopo il rilascio dell'elemento Tabella
query nel rapporto.
2
Selezionare una query dall'elenco a discesa Query.
3
Selezionare dall'elenco a discesa Database il database su cui eseguire la query.
4
Scegliere la dimensione carattere utilizzata per visualizzare i dati della tabella.
L'impostazione predefinita è tipo 8pt.
5
Fare clic su OK.
Configurazione degli elementi grafico della query nei rapporti
La visualizzazione ideale di alcune query all'interno di un rapporto è sotto forma di grafico.
Prima di iniziare
Attività
1
Per configurare un grafico già presente in un rapporto, fare clic sulla freccia nell'angolo superiore
sinistro del grafico. Fare clic su Configura.
Viene visualizzata la pagina Configura grafico della query. Se si aggiunge un nuovo grafico della query al
rapporto, viene visualizzata la pagina Configura grafico della query subito dopo il rilascio dell'elemento
Tabella query nel rapporto.
2
Selezionare una query dall'elenco a discesa Query.
3
Scegliere se visualizzare solo il grafico, solo la legenda o una combinazione dei due elementi.
4
Se si sceglie di visualizzare entrambi, scegliere il posizionamento di un elemento rispetto all'altro.
5
Selezionare la dimensione carattere utilizzata per visualizzare la legenda.
L'impostazione predefinita è tipo 8 pt.
6
Selezionare l'altezza dell'immagine del grafico in pixel.
L'impostazione predefinita corrisponde a un terzo dell'altezza della pagina.
7
276
Fare clic su OK.
Guida del prodotto
Query e rapporti
21
Personalizzazione delle intestazioni e dei piè di pagina dei rapporti
Le intestazioni e i piè di pagina forniscono informazioni sul rapporto.
Le intestazioni e i piè di pagina possono contenere campi di dati diversi in sei posizioni fisse, di cui tre
in ciascuna.
L'intestazione contiene un logo allineato a sinistra e due campi allineati a destra, uno al di sopra
dell'altro. Questi campi possono contenere uno dei quattro valori seguenti:
•
nessun valore
•
data/ora
•
numero di pagina
•
nome utente dell'utente che esegue il rapporto
Il piè di pagina contiene tre campi, di cui uno allineato a sinistra, uno al centro e uno allineato a
destra. Questi tre campi possono contenere gli stessi valori elencati in precedenza, ma anche testo
personalizzato.
Attività
1
Fare clic su Menu | Reportistica | Query. Selezionare la scheda Rapporto.
2
Selezionare un rapporto e fare clic su Azioni | Modifica.
3
Fare clic su Intestazione e piè di pagina.
4
Per impostazione predefinita, i rapporti utilizzano l'impostazione di sistema per le intestazioni e i
piè di pagina. Se non si desidera utilizzarla, deselezionare Usa impostazione del server predefinita.
Per modificare le impostazioni di sistema per intestazioni e piè di pagina, fare clic su Menu |
Configurazione | Impostazioni del server, quindi selezionare Stampa ed esportazione e fare clic su Modifica.
5
Per cambiare il logo, fare clic su Modifica logo.
a
Se il logo deve contenere testo, selezionare Testo e immettere il testo desiderato nella casella di
modifica.
b
Per caricare un nuovo logo, selezionare Immagine, cercare e selezionare l'immagine nel computer,
quindi fare clic su OK.
c
Per utilizzare un logo caricato in precedenza, selezionarlo.
d
Fare clic su Salva.
6
Modificare i campi dell'intestazione e del piè di pagina in base ai dati desiderati, quindi fare clic su
OK.
7
Fare clic su Salva per salvare le modifiche al rapporto.
Rimozione di elementi da un rapporto
Se alcuni elementi di un rapporto non sono più necessari, è possibile rimuoverli.
Attività
1
2
Guida del prodotto
277
21
Query e rapporti
3
Fare clic sulla freccia nell'angolo superiore sinistro dell'elemento che si desidera eliminare, quindi
fare clic su Rimuovi.
L'elemento viene rimosso dal rapporto.
4
Per salvare le modifiche apportate al rapporto, fare clic su Salva.
Riordino di elementi in un rapporto
È possibile modificare l'ordine degli elementi in un rapporto.
Attività
1
2
Selezionare un rapporto nell'elenco, quindi fare clic su Azioni | Modifica.
3
Per spostare un elemento, fare clic sulla barra del titolo dell'elemento e trascinarla su una nuova
posizione.
Man mano che si sposta il cursore nel rapporto, l'elemento trascinato cambia posizione. Se il
cursore si sofferma su una posizione non valida, a entrambi i lati del rapporto vengono visualizzate
barre rosse.
4
Quando l'elemento raggiunge la posizione desiderata, rilasciarlo.
5
Visualizzazione dell'output del rapporto
Visualizzare l'ultima versione eseguita di ogni rapporto.
Ogni volta che viene eseguito un rapporto, i risultati vengono archiviati nel server e visualizzati
nell'elenco dei rapporti.
A ogni esecuzione di un rapporto, i risultati precedenti vengono cancellati e non possono essere
recuperati. Se è importante confrontare esecuzioni diverse dello stesso rapporto, è consigliabile
archiviarne l'output in un altro percorso.
Attività
1
2
Nell'elenco dei rapporti è presente la colonna Risultato ultima esecuzione. Ogni voce di questa colonna è
un link che consente di richiamare il PDF risultante dall'ultima esecuzione riuscita del rapporto. Fare
clic su un link di questa colonna per recuperare un rapporto.
Si apre un PDF all'interno del browser, il cui comportamento dipende dalla configurazione impostata
per quel tipo di file.
Raggruppamento di rapporti
Ogni rapporto deve essere assegnato a un gruppo.
I rapporti vengono assegnati a un gruppo quando vengono creati inizialmente, ma questa
assegnazione può essere modificata in seguito. In genere, il raggruppamento dei rapporti ha come
scopo la raccolta di rapporti simili o la gestione di autorizzazioni per determinati rapporti.
278
Guida del prodotto
Query e rapporti
21
Attività
1
2
3
Fare clic su Nome, descrizione e gruppo.
4
Selezionare un gruppo dall'elenco a discesa Gruppo rapporti e fare clic su OK.
5
Quando si seleziona il gruppo scelto dall'elenco Gruppi nel riquadro a sinistra della finestra del rapporto,
questo viene visualizzato nell'elenco dei rapporti.
Esecuzione di rapporti
È necessario eseguire rapporti per poter esaminare i relativi risultati.
All'interno di ePolicy Orchestrator i rapporti possono essere eseguiti in tre diverse posizioni:
•
Nell'elenco dei rapporti
•
In un'attività server
•
Nella pagina Layout rapporto, durante la creazione di un rapporto nuovo o la modifica di uno
esistente.
Negli argomenti seguenti viene descritta l'esecuzione dei rapporti all'interno dell'elenco dei rapporti.
Attività
1
2
Selezionare un rapporto nell'elenco e fare clic su Azioni | Esegui.
Al termine dell'esecuzione del rapporto, il PDF risultante viene inviato al browser nel quale è
possibile visualizzarlo o scaricarlo in base alle impostazioni correnti.
Per alcuni rapporti sono necessari vari minuti. In un dato momento possono essere in esecuzione più
rapporti ma non è possibile avviarne più di uno alla volta mediante l'interfaccia. Al termine
dell'esecuzione del rapporto, la colonna Risultato ultima esecuzione dell'elenco dei rapporti viene aggiornata
con un link al PDF contenente i risultati stessi.
Esecuzione di un rapporto con un'attività server
I rapporti possono essere eseguiti automaticamente mediante attività server.
Se si desidera eseguire un rapporto senza dover intervenire manualmente, il metodo migliore consiste
nel ricorrere a un'attività server con la quale viene creata una nuova attività server che consente
esecuzioni automatiche e pianificate di un dato rapporto.
Attività
1
2
Assegnare all'attività un Nome appropriato e, se lo si desidera, delle Note e specificare se l'attività
dispone di uno Stato pianificazione. Fare clic su Avanti.
Se si desidera che l'attività venga eseguita automaticamente, impostare Stato pianificazione su Attivato.
Guida del prodotto
279
21
Query e rapporti
3
Nell'elenco a discesa Azioni scegliere Esegui rapporto. Selezionare il rapporto da eseguire e la lingua di
destinazione. Fare clic su Avanti.
4
Scegliere il Tipo di pianificazione (frequenza), la Data di inizio, la Data di fine e l'ora di Pianificazione per
l'esecuzione del rapporto. Fare clic su Avanti.
Le informazioni di pianificazione verranno utilizzate solo se si attiva Stato pianificazione.
5
Fare clic su Salva per salvare l'attività server.
La nuova attività verrà ora visualizzata nell'elenco Attività server.
Esportazione e importazione di rapporti
Poiché i rapporti possono contenere informazioni molto strutturate, la loro esportazione e importazione
da un server all'altro consente di eseguire in modo uniforme il recupero dei dati e la reportistica da
qualsiasi server di McAfee ePO.
Attività
1
Aprire la pagina Query selezionando Menu | Reportistica | Query e rapporti, quindi selezionare la scheda
Rapporto.
2
Azione
Passaggi
Esportazione di
un rapporto
1 Selezionare il gruppo che contiene i rapporti da esportare dall'elenco Gruppi.
2 Selezionare i rapporti da esportare e fare clic su Azioni | Esporta.
Il rapporto esportato contiene le definizioni di tutti gli elementi in esso presente,
quali le definizioni di database esterni, le query, la grafica e altri elementi.
Importazione di
un rapporto
1 Nella pagina Rapporto fare clic su Azioni | Importa.
2 Fare clic su Sfoglia per passare al XML contenente il rapporto che si desidera
importare e selezionare tale file.
3 Selezionare un gruppo nuovo o esistente per il rapporto. Nel caso di un
gruppo nuovo, assegnarvi un nome e specificare se è privato o pubblico. Nel
caso di un gruppo esistente, selezionare il gruppo al quale verrà aggiunto il
rapporto importato.
4 Fare clic su OK.
5 Fare clic su Importa per finalizzare l'importazione.
I rapporti appena importati acquisiscono le autorizzazioni del gruppo nel quale
sono stati importati.
Configurazione del modello e del percorso dei rapporti esportati
È possibile definire l'aspetto e il percorso di archiviazione delle tabelle e delle dashboard esportate
come documenti.
L'utilizzo dell'impostazione del server Stampa ed esportazione consente di configurare gli elementi
riportati di seguito.
280
Guida del prodotto
Query e rapporti
21
•
Intestazioni e piè di pagina, inclusi un logo personalizzato, il nome, la numerazione delle pagine e
così via.
•
Il formato e l'orientamento delle pagine per la stampa.
•
La directory in cui memorizzare le tabelle e le dashboard esportate.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni del server, quindi selezionare Stampa ed esportazione
nell'elenco Impostazioni.
2
Fare clic su Modifica. Viene visualizzata la pagina Modifica stampa ed esportazione.
3
Nella sezione Intestazioni e piè di pagina per documenti esportati fare clic su Modifica logo per aprire la pagina
Modifica logo.
a
b
Selezionare Testo e digitare il testo da includere nell'intestazione del documento o effettuare una
delle operazioni riportate di seguito.
•
Selezionare Immagine e scegliere il file di immagine, ad esempio il logo aziendale.
•
Selezionare il logo McAfee predefinito.
Fare clic su OK per tornare alla pagina Modifica stampa ed esportazione.
4
Selezionare dagli elenchi a discesa i metadati da visualizzare nell'intestazione e nel piè di pagina.
5
Selezionare un Formato pagina e un Orientamento pagina.
6
Digitare un nuovo percorso o accettare il percorso predefinito in cui verranno salvati i documenti
esportati.
7
Fare clic su Salva.
Eliminazione di rapporti
È possibile eliminare i rapporti non più utilizzati.
Prima di iniziare
Per eliminare un rapporto, è necessario disporre di autorizzazioni di modifica appropriate.
Attività
1
2
Selezionare uno o più rapporti da eliminare dall'elenco dei rapporti.
3
Fare clic su Azioni | Elimina. Per procedere, fare clic su Sì.
I rapporti vengono eliminati. Tutte le attività server che fanno riferimento ai rapporti eliminati non
sono più valide.
Guida del prodotto
281
21
Query e rapporti
Configurazione di Internet Explorer 8 per l'accettazione
automatica dei download di McAfee ePO
È possibile che, come misura di sicurezza, Microsoft Internet Explorer blocchi i download automatici di
ePolicy Orchestrator. Questo comportamento può essere modificato variando un'impostazione nella
configurazione di Internet Explorer.
In ePolicy Orchestrator determinate operazioni, quale l'esecuzione di un rapporto o l'esportazione di
informazioni in un file XML, possono determinare la notifica in Internet Explorer 8 del blocco di un
download.
In Internet Explorer questa notifica viene visualizzata in una barra gialla al di sotto della barra delle
schede e contiene il testo Per facilitare la protezione, è stato bloccato il download di
file dal sito. Fare clic qui per ulteriori opzioni. Se si fa clic sul messaggio, per questa
volta è possibile effettuare il download del file bloccato. Il messaggio viene tuttavia visualizzato
nuovamente la volta successiva in cui ePolicy Orchestrator tenta di inviare un file. Per eliminare il
messaggio in modo permanente, effettuare le operazioni riportate di seguito.
Attività
1
In Internet Explorer 8 selezionare Strumenti | Opzioni Internet.
2
Selezionare la scheda Sicurezza e fare clic su Intranet locale.
Se il server McAfee ePO è stato impostato come sito affidabile, fare clic su Siti affidabili anziché su
Intranet locale.
3
Fare clic su Livello personalizzato.
4
Scorrere verso il basso fino all'opzione Richiesta di conferma automatica per download di file e impostarla su
Attiva. Fare clic su OK, quindi su Sì per confermare la scelta effettuata.
5
Fare clic su OK per chiudere la finestra di dialogo Opzioni Internet.
Se si tenta di eseguire di nuovo l'operazione iniziale, il download del file richiesto viene eseguito senza
che venga visualizzata la barra di attenzione gialla.
ePolicy Orchestrator è in grado di recuperare dati non solo dai relativi database ma anche da quelli
forniti da alcune estensioni.
Potrebbe essere necessario registrare più tipi di server diversi per eseguire le attività all'interno di
ePolicy Orchestrator. Potrebbero essere inclusi i server di autenticazione, i cataloghi Active Directory, i
server McAfee ePO e i server di database che funzionano con estensioni specifiche installate.
Tipi di database
Un'estensione può registrare un tipo di database, noto anche come schema o struttura, in ePolicy
Orchestrator. In tal caso l'estensione fornisce dati per query, rapporti, strumenti di monitoraggio della
dashboard e attività server. Per utilizzare tali dati è innanzitutto necessario registrare il server in
282
Guida del prodotto
Query e rapporti
21
Server di database
Un server di database è la combinazione di un server e di un tipo di database installato su quel server.
Un server può ospitare più di un tipo di database e un tipo di database può essere installato su più
server. Ciascuna specifica combinazione dei due deve essere registrata separatamente e viene definita
server di database.
Dopo la registrazione di un server di database, è possibile recuperare dati dal database sotto forma di
query, rapporti, strumenti di monitoraggio della dashboard e attività server. Se si registra più di un
database dello stesso tipo, è necessario selezionarne uno come predefinito per quel tipo di database.
I server di database possono essere registrati, modificati, visualizzati ed eliminati.
Attività
•
Modifica della registrazione di un database a pagina 283
Se le informazioni sulla connessione o le credenziali di accesso di un server di database
subiscono cambiamenti, è necessario modificare la registrazione in modo che rifletta lo
stato corrente.
•
Rimozione di un database registrato a pagina 283
Quando i database non sono più necessari, è possibile rimuoverli dal sistema.
Modifica della registrazione di un database
Se le informazioni sulla connessione o le credenziali di accesso di un server di database subiscono
cambiamenti, è necessario modificare la registrazione in modo che rifletta lo stato corrente.
Attività
1
Aprire la pagina Server registrati selezionando Menu | Configurazione | Server registrati.
2
Selezionare un database da modificare, quindi fare clic su Azioni | Modifica.
3
Modificare il nome o le note del server, quindi fare clic su Avanti.
4
Modificare opportunamente le informazioni. Se è necessario verificare la connessione al database,
fare clic su Connessione di prova.
5
Fare clic su Salva per salvare le modifiche.
Rimozione di un database registrato
Quando i database non sono più necessari, è possibile rimuoverli dal sistema.
Attività
1
Aprire la pagina Server registrati: selezionare Menu | Configurazione | Server registrati.
2
Selezionare un database da eliminare, quindi fare clic su Azioni | Elimina.
3
Nella finestra di dialogo di conferma visualizzata fare clic su Sì per eliminare il database.
Guida del prodotto
283
21
Query e rapporti
Il database è stato eliminato. Query, rapporti o altri elementi in ePolicy Orchestrator che utilizzavano il
database eliminato verranno contrassegnati come non validi a meno che non vengano aggiornati e
associati a un altro database.
In questa pagina è possibile modificare le impostazioni del gruppo di query.
Opzione
Definizione
Nome gruppo
Indica il nome del gruppo di query.
Visibilità del gruppo Indica la visibilità del gruppo di query per un utente, tra cui:
• Privato (Query personali): il gruppo di query è visibile solo agli utenti che hanno
eseguito l'accesso.
• Pubblico (Query condivise): il gruppo di query è visibile a tutti gli utenti.
• Condiviso dal set di autorizzazioni (Query condivise): il gruppo di query è visibile agli utenti
con autorizzazioni specifiche.
Vedere anche
Informazioni sui rapporti a pagina 271
Struttura di un rapporto a pagina 271
Utilizzo di rapporti a pagina 272
Pagina Nuovo gruppo di query
In questa pagina è possibile creare un nuovo gruppo di query.
Opzione
Definizione
Nome gruppo
Indica il nome del gruppo di query.
Visibilità del gruppo Indica la visibilità del gruppo di query per un utente, tra cui:
• Privato (query personali): il gruppo di query è visibile solo agli utenti che hanno
eseguito l'accesso.
• Pubblico (query condivise): il gruppo di query è visibile a tutti gli utenti.
• Condiviso dal set di autorizzazioni (query condivise): il gruppo di query è visibile agli utenti
con autorizzazioni specifiche.
Vedere anche
Prima configurazione delle query e dei rapporti a pagina 258
Utilizzo di rapporti a pagina 272
284
Guida del prodotto
Query e rapporti
21
In questa pagina è possibile salvare una query nuova o modificata.
Opzione Definizione
Nome
Consente di digitare il nome della query.
Note
Consente di digitare una descrizione o informazioni sulla query.
Gruppo
Indica la configurazione del gruppo, tra cui:
• Nuovo gruppo: consente di digitare il nome del nuovo gruppo.
• Privato (gruppi privati): il gruppo di query è visibile solo agli utenti che hanno eseguito
l'accesso.
• Pubblico (gruppi condivisi): il gruppo di query è visibile a tutti gli utenti.
• Gruppo esistente: consente di selezionare uno dei gruppi disponibili dall'elenco.
Vedere anche
Prima configurazione delle query e dei rapporti a pagina 258
Guida del prodotto
285
21
Query e rapporti
286
Guida del prodotto
22
Problemi
I problemi sono attività che possono essere ordinate per priorità, assegnate e rintracciate.
Sommario
Problemi e relativo funzionamento
Gestione di problemi
Eliminazione dei problemi chiusi
Gestione dei ticket con McAfee ePO
Problemi e relativo funzionamento
Il modo in cui i problemi vengono gestiti è definito dagli utenti in possesso delle autorizzazioni
appropriate e dalle estensioni del prodotto gestito installate.
Lo stato, la priorità, la gravità, la risoluzione, l'assegnatario e la scadenza di un problema sono tutte
caratteristiche definite dall'utente che possono essere modificate in qualsiasi momento. È inoltre
possibile specificare risposte predefinite ai problemi nella pagina Risposte automatiche. Tali impostazioni
predefinite vengono applicate automaticamente al momento della creazione di un problema, in base
alla risposta configurata dall'utente. Le risposte ammettono inoltre l'aggregazione di più eventi in un
solo problema per evitare che il server di McAfee ePO venga congestionato da un numero elevato di
problemi.
I problemi possono essere eliminati manualmente. I problemi chiusi possono essere eliminati
manualmente in base all'età e automaticamente mediante un'attività server configurata dall'utente.
È possibile creare, assegnare, visualizzare informazioni dettagliate, modificare ed eliminare problemi.
Attività
•
Creazione manuale dei problemi di base a pagina 288
I problemi di base possono essere creati manualmente, quelli non di base devono essere
creati automaticamente.
•
Configurazione delle risposte per la creazione automatica di problemi a pagina 289
È possibile utilizzare le risposte per creare automaticamente problemi quando si verificano
determinati eventi.
•
Gestione dei problemi a pagina 289
È possibile aggiungere commenti, assegnare, eliminare, modificare e visualizzare dettagli di
problemi.
Guida del prodotto
287
22
Problemi
Creazione manuale dei problemi di base
I problemi di base possono essere creati manualmente, quelli non di base devono essere creati
automaticamente.
Attività
1
Fare clic su Menu | Automazione | Problemi, quindi fare clic su Azioni | Nuovo problema.
2
Nella finestra di dialogo Nuovo problema selezionare Base dall'elenco a discesa Crea problema di tipo, quindi
fare clic su OK.
3
Configurare il nuovo problema.
Utilizzare Per
Nome
Digitare un nome significativo per il problema.
Descrizione
Digitare una descrizione significativa per il problema.
Stato
Assegnare uno stato al problema:
• Sconosciuto
• Risolto
• Nuovo
• Chiuso
• Assegna
Priorità
Gravità
Soluzione
Assegnare una priorità al problema:
• Sconosciuto
• Medio
• Minimo
• Alto
• Basso
• Massimo
Assegnare una gravità al problema:
• Sconosciuto
• Medio
• Minimo
• Alto
• Basso
• Massimo
Assegnare una soluzione al problema: La soluzione al problema può essere assegnata
dopo la relativa elaborazione:
• Nessuno
• Corretto
• Ignorato
• Senza correzione
Assegnatario Digitare il nome utente della persona assegnata al problema o sceglierlo facendo clic
su ....
Scadenza
4
288
Scegliere se il problema ha una scadenza e, in tal caso, assegnare una data e un'ora
per tale scadenza. Non sono consentite date di scadenza nel passato.
Fare clic su Salva.
Guida del prodotto
Problemi
22
Configurazione delle risposte per la creazione automatica di
problemi
È possibile utilizzare le risposte per creare automaticamente problemi quando si verificano determinati
eventi.
Attività
1
Fare clic su Menu | Automazione | Risposte automatiche, quindi fare clic su Azioni e selezionare Nuova risposta.
Viene visualizzata la pagina Descrizione di Creazione risposte.
2
Completare i campi, quindi fare clic su Avanti.
3
Selezionare le proprietà per limitare il numero di eventi che attivano la risposta, quindi fare clic su
Avanti.
4
Selezionare la frequenza degli eventi richiesti per generare una risposta, un metodo per
raggruppare gli eventi e il periodo massimo entro il quale deve verificarsi la risposta, quindi fare
clic su Avanti.
5
Selezionare Crea problema dall'elenco a discesa, quindi scegliere il tipo di problema da creare.
Da questa scelta dipendono le opzioni visualizzate nella pagina.
6
Digitare il nome e la descrizione del problema. Facoltativamente selezionare una o più variabili per
il nome e la descrizione.
Questa funzionalità offre alcune variabili che forniscono le informazioni necessarie per risolvere il
problema.
7
Digitare o selezionare eventuali opzioni aggiuntive per la risposta e fare clic su Avanti.
8
Esaminare i dettagli della risposta, quindi fare clic su Salva.
Gestione dei problemi
È possibile aggiungere commenti, assegnare, eliminare, modificare e visualizzare dettagli di problemi.
Attività
1
Fare clic su Menu | Automazione | Problemi.
2
Eseguire le attività desiderate.
Attività
Aggiunta di commenti
a problemi
1 Selezionare la casella di controllo accanto a ciascun problema che si
desidera commentare, quindi fare clic su Azione | Aggiungi commento.
2 Nel riquadro Aggiungi commento digitare il commento che si desidera
aggiungere ai problemi selezionati.
3 Fare clic su OK per aggiungere il commento.
Assegnazione di
problemi
Selezionare la casella di controllo accanto a ciascun problema che si
desidera assegnare, quindi fare clic su Assegna a utente.
Visualizzare colonne
Fare clic su Azioni | Scegli colonne. Selezionare le colonne di dati da
necessarie nella pagina visualizzare nella pagina Problemi.
Problemi
Guida del prodotto
289
22
Problemi
Attività
Eliminazione di
problemi
1 Selezionare la casella di controllo accanto a ciascun problema che si
desidera eliminare, quindi fare clic su Elimina.
2 Fare clic su OK in Azione per eliminare i problemi selezionati.
Modifica di problemi
1 Selezionare la casella di controllo accanto a un problema e fare clic su
Modifica.
2 Modificare il problema in base alle esigenze.
Esportazione
dell'elenco di problemi
Fare clic su Azioni | Esporta tabella. Verrà visualizzata la pagina Esporta. Nella
pagina Esporta è possibile specificare il formato dei file da esportare
nonché la modalità di compressione (ad esempio in file zip) e l'operazione
da eseguire con i file (ad esempio inviarli per e-mail sotto forma di
allegati).
Visualizzazione di
dettagli dei problemi
Fare clic su un problema.
Verrà visualizzata la pagina Dettagli problema. In questa pagina sono
visualizzate tutte le impostazioni del problema nonché il Registro attività
problemi.
È possibile eliminare dal database i problemi chiusi per cancellarli definitivamente.
Attività
•
Eliminazione manuale dei problemi chiusi a pagina 290
Se l'eliminazione dei problemi chiusi dal database avviene con regolarità, si evita che
questo si riempia eccessivamente.
•
Eliminazione dei problemi chiusi in base a una pianificazione a pagina 290
È possibile pianificare un'attività per l'eliminazione periodica dei problemi chiusi dal
database allo scopo di mantenere ridotte le dimensioni del database.
Eliminazione manuale dei problemi chiusi
Se l'eliminazione dei problemi chiusi dal database avviene con regolarità, si evita che questo si riempia
eccessivamente.
Attività
1
Fare clic su Menu | Automazione | Problemi, quindi su Azioni | Elimina.
2
Nella finestra di dialogo Elimina digitare un numero, quindi selezionare un'unità di tempo.
3
Fare clic su OK per eliminare problemi chiusi precedenti alla data specificata.
Questa funzione interessa tutti i problemi chiusi, non solo quelli della visualizzazione corrente.
Eliminazione dei problemi chiusi in base a una pianificazione
È possibile pianificare un'attività per l'eliminazione periodica dei problemi chiusi dal database allo
scopo di mantenere ridotte le dimensioni del database.
290
Guida del prodotto
Problemi
22
Attività
1
2
Immettere il nome e la descrizione dell'attività server.
3
Attivare o disattivare la pianificazione per l'attività server.
L'attività server viene eseguita solo se attivata.
4
Verrà visualizzata la pagina Azioni.
5
Nell'elenco a discesa selezionare Elimina problemi chiusi.
6
Digitare un numero, quindi selezionare un'unità di tempo.
7
8
Pianificare l'attività server, quindi fare clic su Avanti.
9
Leggere i dettagli dell'attività server, quindi fare clic su Salva.
I problemi chiusi verranno eliminati in corrispondenza dell'ora dell'attività pianificata.
Per integrare la gestione automatica dei ticket con McAfee ePO, l'utente o i servizi professionali di
McAfee possono utilizzare API con problema per configurare un server remoto.
Per informazioni d'uso dettagliate ed esempi relativi alle API Web, consultare la guida alla redazione di
script di McAfee ePolicy Orchestrator 5.1.0.
Guida del prodotto
291
22
Problemi
292
Guida del prodotto
23
Il server McAfee ePO gestisce file di registro relativi alla cronologia dei vari tipi di eventi e azioni in
corso nel sistema.
Sommario
Il Registro delle attività server
Il registro di verifica consente di gestire e accedere a un record di tutte le azioni utente di McAfee ePO.
Le voci del registro di verifica sono visualizzate in una tabella che può essere ordinata. Per maggiore
flessibilità, è anche possibile filtrare il registro in modo che vengano visualizzate solo azioni non
riuscite o solo voci comprese entro una determinata età.
Il registro di verifica è composto da sette colonne:
•
Azione: nome dell'azione tentata dall'utente di McAfee ePO.
•
Ora di fine: ora in cui l'azione è terminata.
•
Dettagli: ulteriori informazioni sull'azione.
•
Priorità: importanza dell'azione.
•
Ora di inizio: ora in cui l'azione ha avuto inizio.
•
Riuscito: indica se l'azione è stata completata correttamente.
•
Nome utente: nome utente dell'account utente connesso, utilizzato per intraprendere l'azione.
Le voci del registro di verifica possono essere sottoposte a query. È possibile creare query su tali dati
con la procedura guidata Creazione query oppure utilizzare le query predefinite. La query Tentativi di
accesso non riusciti, ad esempio, consente di recuperare una tabella con tutti i tentativi di accesso non
riusciti.
Visualizzazione ed eliminazione del registro di verifica
È possibile visualizzare ed eliminare una cronologia delle azioni dell'amministratore.
Quando si visualizza il registro di verifica, i dati disponibili dipendono dalla frequenza e dall'età in base
alle quali viene eliminato.
Quando si elimina il registro di verifica, i record vengono eliminati in modo definitivo.
Guida del prodotto
293
23
Attività
1
Fare clic su Menu | Gestione degli utenti | Registro di verifica. Vengono visualizzati i registri di verifica.
2
Azione
Passaggi
Visualizzare il
registro di verifica.
1 Fare clic su un titolo di colonna per ordinare la tabella in base a tale colonna (in
ordine alfabetico).
2 Nell'elenco a discesa Filtro selezionare un'opzione per limitare la quantità di dati
visibili. È possibile rimuovere tutte le azioni tranne quelle non riuscite oppure
mostrare solo le azioni che si sono verificate in un lasso di tempo specificato.
3 Fare clic su una voce qualsiasi per visualizzarne i dettagli.
Eliminare il registro 1 Fare clic su Azioni | Elimina.
di verifica.
2 Nella finestra di dialogo Elimina, accanto a Elimina record più vecchi di digitare un
numero e selezionare un'unità di tempo.
3 Fare clic su OK.
Tutti i record dei registri di verifica vengono eliminati in modo permanente.
Pianificazione dell'eliminazione del registro di verifica
È possibile eliminare automaticamente il registro di verifica con un'attività server pianificata.
Attività
294
1
Fare clic su Menu | Automazione | Attività server, quindi su Azioni | Nuova attività. Verrà aperta la procedura
guidata Creazione attività server con la pagina Descrizione in primo piano.
2
Assegnare un nome all'attività, fornirne una descrizione e fare clic su Attivato dopo Stato
pianificazione.
3
Fare clic su Avanti. Viene visualizzata la pagina Azioni.
4
Selezionare Elimina registro di verifica nell'elenco a discesa.
5
Prima di eliminare le voci del registro di verifica, digitare un numero dopo Elimina record più vecchi di e
selezionare l'unità di tempo da utilizzare.
6
Fare clic su Avanti. Viene visualizzata la pagina Pianificazione.
7
Pianificare l'attività in base alle esigenze, quindi fare clic su Avanti. Viene visualizzata la pagina
Riepilogo.
8
Esaminare i dettagli dell'attività, quindi fare clic su Salva.
Guida del prodotto
23
Il Registro delle attività server segnala gli eventi che si verificano sul server McAfee ePO.
Nel Registro delle attività server è possibile visualizzare i risultati dettagliati delle attività server
pianificate che sono in esecuzione o che sono state eseguite sul server.
Le voci del registro forniscono informazioni dettagliate su:
•
riuscita o l'insuccesso dell'attività
•
eventuali sottoattività eseguite durante l'esecuzione dell'attività pianificata
È inoltre possibile concludere un'attività attualmente in corso.
Gestione del registro delle attività server
Aprire il registro delle attività server per visualizzare, filtrare ed eliminare i registri delle attività in
base alle esigenze.
Lo stato di ogni attività server viene visualizzato nella colonna Stato:
•
In attesa: attività in attesa del completamento di un'altra attività.
•
In corso: attività avviata ma non ancora completata.
•
In pausa: attività messa in pausa da un'azione Attività server.
•
Arrestata: attività arrestata da un'azione Attività server.
•
Non riuscita: attività avviata ma non completata correttamente.
•
Completata: attività completata correttamente.
•
Interruzione in sospeso: è stata inviata una richiesta di interruzione.
•
Interrotto: attività interrotta manualmente prima del completamento.
Attività
1
Fare clic su Menu | Automazione | Registro delle attività server. Viene visualizzata la pagina Registro delle
attività server.
2
Guida del prodotto
295
23
Azione
Passaggi
Visualizzazione del
registro delle attività
server
1 Fare clic sul titolo di una colonna qualsiasi per ordinare gli eventi.
2 Selezionare uno dei registri delle attività, fare clic suAzioni e selezionare
una delle opzioni seguenti per modificare il registro delle attività server:
• Scegli colonne: consente di visualizzare la pagina Seleziona colonne da
visualizzare.
• Esporta tabella: consente di visualizzare la pagina Esporta.
• Elimina: consente di visualizzare la finestra di dialogo Elimina. Digitare un
numero e un'unità di tempo per determinare il numero di voci del
registro delle attività da eliminare, quindi fare clic su OK.
• Interrompi attività: consente di arrestare un'attività in corso.
Filtraggio del registro
delle attività server
Selezionare un filtro dall’elenco a discesa Filtro.
Eliminazione del registro
delle attività server
1 Fare clic su Azioni | Elimina.
2 Nella finestra di dialogo Elimina, digitare un numero di giorni, settimane,
mesi o anni. Gli elementi più vecchi dell'età indicata verranno eliminati.
3 Fare clic su OK.
3
Fare clic sul titolo di una colonna qualsiasi per ordinare gli eventi.
4
Selezionare uno dei registri delle attività, fare clic suAzioni e selezionare una delle opzioni seguenti
per modificare il registro delle attività server:
•
Scegli colonne: consente di visualizzare la pagina Seleziona colonne da visualizzare.
•
Esporta tabella: consente di visualizzare la pagina Esporta.
•
Elimina: consente di visualizzare la finestra di dialogo Elimina. Digitare un numero e un'unità di
tempo per determinare il numero di voci del registro delle attività da eliminare, quindi fare clic
su OK.
•
Interrompi attività: consente di arrestare un'attività in corso.
Il registro eventi di minaccia consente di vedere e scorrere rapidamente gli eventi del database. Può
essere eliminato solo in base all'età.
È possibile scegliere le colonne da visualizzare nella tabella, che può essere ordinata. È possibile
scegliere tra vari dati evento da utilizzare come colonne.
A seconda dei prodotti da gestire, è possibile inoltre intraprendere determinate azioni sugli eventi. Le
azioni sono disponibili nel menu Azioni nella parte inferiore della pagina.
Formato comune per gli eventi
In molti prodotti gestiti viene ora utilizzato un formato comune per gli eventi. I campi di tale formato
possono essere utilizzati come colonne del registro eventi di minaccia, ovvero:
296
•
Azione intrapresa: azione intrapresa dal prodotto in risposta alla minaccia.
•
GUID agent: identificatore univoco dell'agent dal quale è stato inoltrato l'evento.
•
Versione DAT: versione DAT nel sistema da cui è stato inviato l'evento.
Guida del prodotto
23
•
Nome host prodotto per il rilevamento: nome del sistema in cui è ospitato il prodotto per il rilevamento.
•
ID prodotto per il rilevamento: ID del prodotto per il rilevamento.
•
Indirizzo IPv4 prodotto per il rilevamento: indirizzo IPv4 del sistema nel quale è ospitato il prodotto per il
rilevamento (se applicabile).
•
Indirizzo IPv6 prodotto per il rilevamento: indirizzo IPv6 del sistema nel quale è ospitato il prodotto per il
rilevamento (se applicabile).
•
Indirizzo MAC prodotto per il rilevamento: indirizzo MAC del sistema in cui è ospitato il prodotto per il
rilevamento.
•
Nome prodotto per il rilevamento: nome del prodotto gestito per il rilevamento.
•
Versione prodotto per il rilevamento: numero di versione del prodotto per il rilevamento.
•
Versione motore: numero di versione del motore del prodotto per il rilevamento (se applicabile).
•
Categoria evento: categoria dell'evento. Le categorie possibili dipendono dal prodotto.
•
Ora di generazione evento (UTC): ora espressa in UTC (tempo universale coordinato) in cui l'evento è stato
rilevato.
•
ID evento: identificatore univoco dell'evento.
•
Ora di ricezione evento (UTC): ora espressa in UTC (tempo universale coordinato) in cui l'evento è stato
ricevuto nel server McAfee ePO.
•
Percorso file: percorso del file del sistema da cui è stato inviato l'evento.
•
Nome host: nome del sistema da cui è stato inviato l'evento.
•
Indirizzo IPv4: indirizzo IPv4 del sistema da cui è stato inviato l'evento.
•
Indirizzo IPv6: indirizzo IPv6 del sistema da cui è stato inviato l'evento.
•
Indirizzo MAC: indirizzo MAC del sistema da cui è stato inviato l'evento.
•
Protocollo di rete: protocollo di destinazione della minaccia per classi di minacce basate sulla rete.
•
Numero porta: porta di destinazione della minaccia per classi di minacce basate sulla rete.
•
Nome processo: nome del processo di destinazione (se applicabile).
•
ID server: ID server dal quale è stato inviato l'evento.
•
Nome minaccia: nome della minaccia.
•
Nome host di origine minaccia: nome del sistema dal quale ha avuto origine la minaccia.
•
Indirizzo IPv4 di origine minaccia: indirizzo IPv4 del sistema dal quale ha avuto origine la minaccia.
•
Indirizzo IPv6 di origine minaccia: indirizzo IPv6 del sistema dal quale ha avuto origine la minaccia.
•
Indirizzo MAC di origine minaccia: indirizzo MAC del sistema dal quale ha avuto origine la minaccia.
•
URL di origine minaccia: URL dal quale ha avuto origine la minaccia.
•
Nome utente di origine minaccia: nome dell'utente dal quale ha avuto origine la minaccia.
•
Tipo di minaccia: classe della minaccia.
•
Nome utente: nome utente o indirizzo e-mail di origine della minaccia.
Guida del prodotto
297
23
Visualizzazione ed eliminazione del Registro eventi di minaccia
È necessario visualizzare ed eliminare periodicamente gli eventi di minaccia.
Attività
1
Fare clic su Menu | Reportistica | Registro eventi di minaccia.
2
Azione
Passaggi
Visualizza
Registro eventi
di minaccia.
1 Fare clic sul titolo di una colonna qualsiasi per ordinare gli eventi. È anche
possibile fare clic su Azioni | Scegli colonne: viene visualizzata la pagina Seleziona
colonne da visualizzare.
2 Nell'elenco Colonne disponibili selezionare le varie colonne di tabella che
rispondono alle esigenze e fare clic su Salva.
3 Selezionare gli eventi nella tabella e fare clic su Azioni, quindi selezionare Mostra
sistemi correlati per vedere i dettagli dei sistemi che hanno inviato gli eventi
selezionati.
Elimina eventi di 1 Fare clic su Azioni | Elimina.
minaccia.
2 Nella finestra di dialogo Elimina, accanto a Elimina record più vecchi di digitare un
numero e selezionare un'unità di tempo.
3 Fare clic su OK.
I record più vecchi dell'età specificata vengono eliminati in modo definitivo.
Pianificazione dell'eliminazione del registro eventi di minaccia
È possibile creare un'attività server per l'eliminazione automatica del registro eventi di minaccia.
Attività
298
1
Fare clic su Menu | Automazione | Attività server, quindi su Azioni | Nuova attività. Verrà aperta la procedura
guidata Creazione attività server con la pagina Descrizione in primo piano.
2
Assegnare un nome all'attività, fornirne una descrizione e fare clic su Attivato dopo Stato pianificazione.
3
Fare clic su Avanti. Viene visualizzata la pagina Azioni.
4
Selezionare Elimina registro eventi di minaccia nell'elenco a discesa.
5
Specificare se eliminare in base all'età o a partire dai risultati di query. Se si elimina in base a una
query, è necessario selezionare una query riportata in una tabella di eventi.
6
Fare clic su Avanti. Viene visualizzata la pagina Pianificazione.
7
Pianificare l'attività in base alle esigenze, quindi fare clic su Avanti. Viene visualizzata la pagina
Riepilogo.
8
Esaminare i dettagli dell'attività, quindi fare clic su Salva.
Guida del prodotto
24
Disaster recovery
Disaster Recovery consente di aeffettuare un ripristino rapido o di reinstallare il software ePolicy
Orchestrator. Disaster Recovery utilizza una funzionalità Istantanea che consente di salvare
periodicamente la configurazione, le estensioni, le chiavi e altri elementi di ePolicy Orchestrator nei
record delle istantanee del database ePolicy Orchestrator.
Sommario
Che cos'è il disaster recovery
Componenti per il disaster recovery
Funzionamento del disaster recovery
Configurazione di un'istantanea e del database SQL di ripristino
Configurazione delle impostazioni del server per il disaster recovery
Che cos'è il disaster recovery
La funzionalità disaster recovery di ePolicy Orchestrator utilizza un processo di istantanea per salvare
specifici record di database del server di McAfee ePO nel database Microsoft SQL di ePolicy
Orchestrator.
I record salvati dall'istantanea contengono tutta la configurazione di ePolicy Orchestrator nel momento
preciso in cui è stata acquisita l'istantanea. Dopo che i record dell'istantanea sono stati salvati nel
database, è possibile utilizzare la funzionalità di backup di Microsoft SQL per salvare l'intero database
di ePolicy Orchestrator e ripristinarlo in un altro server SQL per un ripristino diePolicy Orchestrator.
Esempi di connessione del database SQL di ripristino
Utilizzando il server del database SQL di ePolicy Orchestrator ripristinato, che include l'istantanea del
disaster recovery, è possibile connetterlo a:
•
Hardware del server di McAfee ePO ripristinato con indirizzo IP e nome server originali. Ciò
consente di eseguire il ripristino, ad esempio, da un upgrade del software ePolicy Orchestrator non
riuscito.
•
Nuovo hardware del server di McAfee ePO con indirizzo IP e nome server originali. Ciò consente di
effettuare l'upgrade o il ripristino dell'hardware per server e di riprendere rapidamente la gestione
dei sistemi di rete.
•
Nuovo hardware del server di McAfee ePO con un nuovo nome server e un nuovo indirizzo IP. Ciò
consente, ad esempio, di spostare il server da un dominio a un altro.
Questo esempio può fornire una soluzione temporanea di gestione della rete mentre si ricostruisce e
si reinstalla l'hardware e il software del server di McAfee ePO nel rispettivo dominio originale.
•
Hardware del server di McAfee ePO nuovo o ripristinato con più schede di interfaccia di rete (NIC,
Network Interface Card). È necessario verificare che sia configurato l'indirizzo IP corretto per la
scheda di interfaccia di rete del server di McAfee ePO.
Guida del prodotto
299
24
Disaster recovery
L'istantanea viene configurata, a seconda della versione del database SQL, per essere eseguita
automaticamente ogni giorno. Se si configura uno script per l'esecuzione automatica del backup SQL e
per la copia del file di backup SQL nel server di database SQL di ripristino, sarà più semplice
ripristinare il server di McAfee ePO. Inoltre è possibile acquisire manualmente un'istantanea o eseguire
gli script per salvare ed eseguire il backup di modifiche di ePolicy Orchestrator particolarmente
complesse o importanti in modo rapido.
Lo strumento di monitoraggio Istantanea del disaster recovery, presente nella dashboard di ePolicy
Orchestrator, consente di gestire e monitorare le istantanee in un'unica posizione.
Vedere anche
Utilizzare il comando remoto per individuare il nome e il server del database Microsoft SQL a
pagina 303
McAfee ePO a pagina 304
Panoramica del backup e dell'istantanea del disaster recovery a pagina 304
Panoramica dell'installazione di ripristino del server di McAfee ePO a pagina 306
Configurazione dell'attività del server per il disaster recovery a pagina 308
L’utilizzo del disaster recovery per ripristinare il software ePolicy Orchestrator richiede determinati
componenti hardware e software, nonché privilegi di accesso e informazioni.
Sono necessarie due piattaforme hardware di server:
300
Guida del prodotto
Disaster recovery
24
•
Hardware del server di McAfee ePO esistente, definito anche server principale di McAfee ePO.
•
Hardware del server SQL duplicato, denominato server di ripristino, che esegue una versione di
Microsoft SQL che corrisponde al database del server principale di McAfee ePO. È necessario
mantenere sempre aggiornato questo server di ripristino con la configurazione più recente del
server di database SQL principale di McAfee ePO utilizzando i processi di backup di Microsoft SQL e
Istantanea.
Per evitare problemi di backup e ripristino, è necessario che le versioni SQL e dell'hardware del
server principale e di quello di ripristino corrispondano.
Strumento di monitoraggio dashboard Istantanea
Lo strumento di monitoraggio Istantanea server presente nella dashboard di ePolicy Orchestrator
consente di gestire e monitorare le istantanee in un’unica posizione.
Se lo strumento di monitoraggio Istantanea non viene visualizzato nella dashboard, creare una nuova
dashboard e aggiungere lo strumento di monitoraggio per il disaster recovery.
Figura 24-1 Strumento di monitoraggio Istantanea della dashboard per il disaster recovery
Lo strumento di monitoraggio Istantanea server consente di:
•
Fare clic su Acquisisci istantanea per salvare manualmente un'istantanea del server McAfee ePO.
•
Fare clic su Dettagli dell'ultima esecuzione per aprire la pagina Dettagli registro delle attività server. In questa
pagina vengono visualizzate informazioni e messaggi di registro sull'ultima istantanea salvata.
•
Confermare la data e l’ora in cui l'ultima istantanea è stata salvata nel database SQL, accanto a Ora
ultima esecuzione.
•
Fare clic sul link Disaster Recovery per avviare la pagina della Guida con le informazioni sul disaster
recovery.
Il colore e il titolo dello strumento di monitoraggio Istantanea indicano lo stato dell’istantanea più
recente. Esempio:
•
Blu, Salvataggio istantanea nel database: il processo di istantanea è in corso.
•
Verde, Istantanea salvata nel database: il processo di istantanea è stato completato e
l’istantanea è stata aggiornata.
Guida del prodotto
301
24
Disaster recovery
•
Rosso, Istantanea non riuscita: si è verificato un errore durante il processo di istantanea.
•
Grigio, Nessuna istantanea disponibile: non sono state salvate istantaneedel disaster recovery.
•
Arancione, Istantanea non aggiornata: sono state apportate modifiche alla configurazione e
non è stata salvata un’istantanea recente. Le modifiche che possono attivare uno stato Istantanea
non aggiornata includono:
•
Modifiche all'estensione, come aggiornamenti, rimozioni, eliminazioni, upgrade o downgrade.
•
Modifiche alla cartella Keystore.
•
Modifiche alla cartella conf.
•
Modifiche alla passphrase del disaster recovery nelle impostazioni del server.
Attività del server Istantanee del disaster recovery
Si può utilizzare l’attività del server istantanee del disaster recovery per disattivare e attivare la
pianificazione delle attività del server istantanee.
La pianificazione delle attività del server istantanee è, per impostazione predefinita, attivata per il
database Microsoft SQL Server e disattivata per il database Microsoft SQL Server Express Edition.
Requisiti per il disaster recovery
Per utilizzare il disaster recovery sono necessari l'hardware, il software e le informazioni elencate nella
tabella riportata di seguito.
Requisito
Descrizione
Requisiti hardware
Hardware del server
McAfee ePO principale
I requisiti dell'hardware del server dipendono dal numero di sistemi
gestiti.
È possibile che il server di McAfee ePO e il database di SQL Server siano
installati sullo stesso hardware del server o su hardware separati. Per
informazioni dettagliate sui requisiti hardware, consultare la Guida
all'installazione software di ePolicy Orchestrator 5.1.0.
Hardware del server di
ripristino di McAfee ePO
L'hardware di questo server dovrebbe essere quanto più possibile simile
a quello del server principale di McAfee ePO.
Server McAfee ePO
principale
Questo server principale deve essere attivo e in esecuzione con
un’istantanea recente salvata nel database SQL.
Database SQL principale
Il database SQL principale memorizza la configurazione del server di
McAfee ePO, le informazioni relative al client e i record delle istantanee
del disaster recovery.
Requisiti software
File di backup del database Utilizzando Microsoft SQL Server Management Studio o la riga di
SQL principale
comando BACKUP (Transact-SQL) è possibile creare un file di backup del
database principale che include i record delle istantanee.
Software del database SQL Utilizzando Microsoft SQL Server Management Studio o la riga di
di ripristino
comando RESTORE (Transact-SQL) è possibile ripristinare il database
principale che include i record delle istantanee nel server del database
SQL di ripristino, per duplicare la configurazione del database SQL
principale.
Software ePolicy
Orchestrator
Questo software, scaricato dal sito Web McAfee, consente di installare e
configurare il server di ripristino di McAfee ePO.
Informazioni necessarie
302
Guida del prodotto
Disaster recovery
24
Requisito
Descrizione
Passphrase cifratura
keystore per il disaster
recovery
Questa passphrase è stata aggiunta durante l'installazione iniziale del
software ePolicy Orchestrator e decrittografa le informazioni riservate
memorizzate nell’istantanea del disaster recovery.
Privilegi amministrativi
Sono necessari i privilegi che consentono di accedere sia al server
principale che a quello di ripristino, nonché al database SQL, come ad
esempio DBOwner e DBCreator.
Le ultime informazioni
note in merito a indirizzo
IP, nome DNS o nome
NetBIOS del server
principale di McAfee ePO
Se si modifica una di queste informazioni durante il ripristino del server
di McAfee ePO, assicurarsi che i McAfee Agent siano in grado di
individuare il server. A questo scopo, il modo più semplice consiste nel
creare un record CNAME (Canonical Name; nome canonico) in DNS che
indirizzi le richieste provenienti dai precedenti indirizzo IP, nome DNS o
nome NetBIOS del server principale di McAfee ePO alle nuove
informazioni per il server di ripristino di McAfee ePO.
Vedere anche
Utilizzare il comando remoto per individuare il nome e il server del database Microsoft SQL a
pagina 303
McAfee ePO a pagina 304
Panoramica del backup e dell'istantanea del disaster recovery a pagina 304
Panoramica dell'installazione di ripristino del server di McAfee ePO a pagina 306
Utilizzare il comando remoto per individuare il nome e il server
del database Microsoft SQL
Il seguente comando remoto di ePolicy Orchestrator consente di stabilire il nome e il server del
database Microsoft SQL.
Attività
1
Digitare questo comando remoto nella barra degli indirizzi del browser:
https://localhost:8443/core/config
In questo comando:
2
•
localhost: è il nome del server di McAfee ePO.
•
:8443: è il numero di porta predefinito del server di McAfee ePO. Il server potrebbe essere
configurato per utilizzare un numero di porta diverso.
Salvare le informazioni seguenti visualizzate nella pagina Configura impostazioni database:
•
Nome host o indirizzo IP
•
Nome database
Guida del prodotto
303
24
Disaster recovery
Utilizzare Microsoft SQL Server Management Studio per trovare
le informazioni sul server di McAfee ePO
Da Microsoft SQL Server Management Studio, individuare le informazioni esistenti sul server di McAfee
ePO.
Attività
1
Utilizzare una connessione desktop remoto per accedere al nome host o all'indirizzo IP del server
del database Microsoft SQL.
2
Aprire Microsoft SQL Server Management Studio e stabilire una connessione al server SQL.
3
Dall'elenco Esplora oggetti, fare clic su <Nome server database> | Database | <Nome database> | Tabelle.
4
Scorrere verso il basso fino alla tabella EPOServerInfo, fare clic con il pulsante destro del mouse sul
nome della tabella e selezionare Modifica prime 200 righe dall'elenco.
5
Trovare e salvare le informazioni in questi record di database.
•
ePOVersion: ad esempio, 5.1.0
•
LastKnownTCPIP: ad esempio, 172.10.10.10
•
DNSName: ad esempio,
epo-2k8-epo51.server.com
•
RmdSecureHttpPort: ad esempio, 8443
•
ComputerName: ad esempio, EPO-2K8-EPO51
Assicurarsi di avere queste informazioni a portata di mano qualora fosse necessario ripristinare il
Per reinstallare rapidamente il software ePolicy Orchestrator, sono necessarie istantanee periodiche
della configurazione di ePolicy Orchestrator. È quindi necessario eseguire il backup e il ripristino del
database in un server di ripristino, e reinstallare il software ePolicy Orchestrator utilizzando l'opzione
Ripristina.
Vedere anche
Creazione di istantanee dalla dashboard a pagina 309
Acquisizione di un'istantanea da un'API Web a pagina 310
Utilizzo di Microsoft SQL per il backup e il ripristino del database a pagina 312
Panoramica del backup e dell'istantanea del disaster recovery
I processi di istantanea del disaster recovery, di backup del database SQL e di copia creano un
database di ePolicy Orchestrator duplicato in un server di database SQL di ripristino.
In questa sezione viene presentata una panoramica dei processi di istantanea del disaster recovery, di
backup del database SQL e di copia. Per ulteriori informazioni, vedere:
304
Guida del prodotto
Disaster recovery
•
Acquisizione di un'istantanea
•
Utilizzo di Microsoft SQL per il backup e il ripristino del database
24
La figura che segue illustra una panoramica del processo di disaster recovery del software ePolicy
Orchestrator e dell'hardware coinvolto in tale processo.
Nella figura il database SQL viene installato nello stesso hardware per server del server di McAfee ePO.
Il server di McAfee ePO e il database SQL potrebbero essere installati in hardware per server diversi.
Figura 24-2 Backup e istantanea del disaster recovery del server di McAfee ePO
La configurazione del disaster recovery del software ePolicy Orchestrator prevede l'esecuzione di
questi passaggi generali nel server principale di McAfee ePO:
1
Acquisire un'istantanea della configurazione del server di McAfee ePO e salvarla nel database SQL
principale. Questa operazione può essere eseguita manualmente oppure utilizzando un'attività
predefinita fornita per questo scopo.
Quando viene acquisita l'istantanea, vengono salvati i file di database seguenti:
•
C:\Programmi\McAfee\ePolicy Orchestrator\Server\extensions: percorso predefinito delle
informazioni sull'estensione del software ePolicy Orchestrator.
•
C:\Programmi\McAfee\ePolicy Orchestrator\Server\conf: percorso predefinito dei file richiesti
utilizzato dalle estensioni del software ePolicy Orchestrator.
•
C:\Programmi\McAfee\ePolicy Orchestrator\Server\keystore: queste chiavi sono specifiche degli
archivi e della comunicazione tra agent e server ePolicy Orchestrator.
Guida del prodotto
305
24
Disaster recovery
•
C:\Programmi\McAfee\ePolicy Orchestrator\Server\DB\Keystore: percorso predefinito dei
certificati del server di installazione del prodotto McAfee.
•
C:\Programmi\McAfee\ePolicy Orchestrator\Server\DB\Software: percorso predefinito dei file di
installazione del prodotto McAfee.
I record delle istantanee del disaster recovery salvati includono i percorsi configurati dall'utente
per gli eseguibili registrati. Il backup dei file eseguibili registrati non viene eseguito ed è
necessario sostituire tali file quando si ripristina il server di McAfee ePO. Dopo avere ripristinato
il server di McAfee ePO, eventuali eseguibili registrati con percorsi interrotti sono indicati in
rosso nella pagina Eseguibili registrati.
Dopo il ripristino del server di McAfee ePO, è necessario eseguire il test dei percorsi degli
eseguibili registrati. Anche se non sono visualizzati in rosso, alcuni percorsi degli eseguibili
registrati possono generare errore a causa dei problemi di dipendenza a essi correlati.
2
Eseguire il backup del database SQL utilizzando Microsoft SQL Server Management Studio o il
processo della riga di comando BACKUP (Transact-SQL).
3
Copiare il file di backup del database SQL creato al passaggio 2 nel server SQL di ripristino
duplicato.
Il completamento dei passaggi 2 e 3 è fondamentale per copiare le istantanee dal server SQL
principale al server SQL di ripristino per poter utilizzare la funzionalità disaster recovery.
In questo modo viene completato il processo di backup e istantanea del disaster recovery del server di
McAfee ePO. Non è necessario continuare con l'installazione di ripristino del server di McAfee ePO
illustrata di seguito, a meno che non si abbia intenzione di reinstallare il software ePolicy Orchestrator.
Panoramica dell'installazione di ripristino del server di McAfee
ePO
La reinstallazione del software ePolicy Orchestrator costituisce l'ultimo passaggio della procedura di
ripristino rapido del server di McAfee ePO.
Di seguito è riportata una panoramica della reinstallazione del software ePolicy Orchestrator nel server
di ripristino McAfee ePO. Per informazioni dettagliate, vedere la Guida all’installazione.
306
Guida del prodotto
Disaster recovery
24
Nella figura che segue viene presentata una panoramica della reinstallazione del server di McAfee ePO.
Nella figura il database SQL viene installato nello stesso hardware per server del server di McAfee ePO.
Il server di McAfee ePO e il database SQL potrebbero essere installati in hardware per server diversi.
Figura 24-3 Installazione di ripristino del server di McAfee ePO
L'installazione del software ePolicy Orchestrator che prevede l'utilizzo del file delle istantanee del
disaster recovery include l'esecuzione nel server di ripristino di McAfee ePO dei passaggi generali
seguenti:
1
Individuare il file di backup del database SQL, copiato al passaggio 3 della sezione precedente, e
utilizzare Microsoft SQL Server Management Studio o il processo della riga di comando RESTORE
(Transact-SQL) per ripristinare la configurazione del server SQL principale nel server SQL di
ripristino.
2
Durante l'installazione del software del database di ePolicy Orchestrator effettuare le operazioni
seguenti:
a
Nella finestra di dialogo iniziale del software fare clic su Ripristina ePO da un'istantanea di database del
disaster recovery esistente.
b
Selezionare Microsoft SQL Server per collegare il software ePolicy Orchestrator al database SQL di
ripristino la cui configurazione del server principale di McAfee ePO è stata ripristinata al
passaggio 1.
Dopo che l'installazione del software ePolicy Orchestrator è stata avviata, anziché creare nuovi
record nel database, nella configurazione del software vengono utilizzati i record di database salvati
durante il processo di istantanea.
3
Se sono state modificate le ultime informazioni note in merito a indirizzo IP, nome DNS o nome
NetBIOS del server principale di McAfee ePO, quando si crea il server di ripristino di McAfee ePO,
gliMcAfee Agent non saranno in grado di connettersi al server di McAfee ePO ripristinato. Il modo
più semplice per ovviare a questo problema consiste nel creare un record CNAME in DNS che
indirizzi le richieste dall'indirizzo IP, dal nome DNS o dal nome NetBIOS precedente del server
McAfee ePO principale alle nuove informazioni relative al server di ripristino diMcAfee ePO.
Vedere Che cos'è il disaster recovery per vari esempi di ripristino della connessione del database
SQL al server di McAfee ePO.
Guida del prodotto
307
24
Disaster recovery
A questo punto il server di ripristino di McAfee ePO viene eseguito con una configurazione
perfettamente identica a quella del server principale. I client possono connettersi al server di ripristino
e sarà possibile gestirli esattamente come prima della rimozione del server principale di McAfee ePO.
Per reinstallare rapidamente un server di McAfee ePO, è necessario configurare un'istantanea del
disaster recovery da salvare o verificare che venga salvata un'istantanea nel database SQL. Quindi è
possibile eseguire il backup di tale database SQL, che include l'istantanea, e copiare il file di backup
del database in un server SQL di ripristino.
Per una reinstallazione rapida del server di McAfee ePO sono necessarie le attività seguenti.
Attività
•
Utilizzare l'attività server istantanee disaster recovery per modificare le istantanee
automatiche pianificate della configurazione del server di McAfee ePO salvata nel database
SQL.
•
Acquisizione di un'istantanea a pagina 309
L'acquisizione di istantanee frequenti del disaster recovery del server principale di McAfee
ePO è il primo passaggio necessario per ripristinare rapidamente un server di McAfee ePO.
•
Per salvare l'istantanea di disaster recovery con le informazioni di configurazione del server
di McAfee ePO, utilizzare le procedure di Microsoft SQL Server.
Vedere anche
Configurazione dell'attività del server per il disaster recovery
Utilizzare l'attività server istantanee disaster recovery per modificare le istantanee automatiche
pianificate della configurazione del server di McAfee ePO salvata nel database SQL.
Lo stato preconfigurato dell'attività server istantanee disaster recovery dipende dal database SQL
utilizzato dal server diMcAfee ePO. L'istantanea del disaster recovery è attivata, per impostazione
predefinita, in tutti i server Microsoft SQL Server, ad eccezione di quelli con la versione Express
Edition.
McAfee non consiglia l'attivazione della pianificazione delle istantanee di disaster recovery con le
versioni Microsoft SQL Server Express Edition a causa delle limitazioni relative alle dimensioni dei file di
dati. Le dimensioni massime consentite per i file di dati di Microsoft SQL Server 2005 Express Edition
corrispondono infatti a soli 4 GB e 10 GB per le versioni Microsoft SQL Server 2008 e 2012 Express
Edition.
È possibile eseguire una sola istantanea del disaster recovery alla volta. Se si eseguono più istantanee,
solo l'ultima crea un output e le precedenti vengono sovrascritte.
È possibile modificare l'attività del server per il disaster recovery predefinita, se necessario.
308
Guida del prodotto
Disaster recovery
24
Attività
1
Fare clic su Menu | Attività server, selezionare Server istantanee disaster recovery dall'elenco Attività server,
quindi fare clic su Modifica.
Viene visualizzata la procedura guidata delle attività del server per il disaster recovery.
2
Nella scheda Descrizioni, in Stato pianificazione fare clic su Attivato o Disattivato a seconda delle esigenze.
3
Nella scheda Pianificazione modificare le impostazioni seguenti in base alle esigenze:
•
Tipo di pianificazione: consente di impostare la frequenza con cui salvare l'istantanea.
•
Data di inizio e Data di fine: consente di impostare le date di inizio e di fine in cui salvare le
istantanee o di fare clic su Nessuna data di fine per fare in modo che l'attività venga eseguita
ininterrottamente.
•
Pianificazione: consente di impostare l'orario in cui salvare l'istantanea. Per impostazione
predefinita, l'attività di acquisizione dell'istantanea viene eseguita quotidianamente alle 1:59.
McAfee consiglia di eseguire l'attività del server per il disaster recovery durante le ore fuori
pianificazione in modo da ridurre al minimo le modifiche al database durante il processo di
creazione dell'istantanea.
4
Nella scheda Riepilogo verificare che l'attività del server sia configurata correttamente e fare clic su
Salva.
Acquisizione di un'istantanea
L'acquisizione di istantanee frequenti del disaster recovery del server principale di McAfee ePO è il
primo passaggio necessario per ripristinare rapidamente un server di McAfee ePO.
Dopo aver apportato diverse modifiche di configurazione al software McAfee, è necessario acquisire
manualmente un'istantanea del disaster recovery utilizzando una delle attività seguenti.
Creare un'attività del server istantanee del disaster recovery per automatizzare le istantanee del server.
Attività
•
Utilizzare la Dashboard di ePolicy Orchestrator per effettuare istantanee del disaster
recovery del server McAfee ePO principale e per monitorare il processo delle istantanee con
il progressivo cambiamento dello stato della Dashboard.
•
Utilizzare l'API Web di ePolicy Orchestrator per acquisire istantanee del disaster recovery
del server principale di McAfee ePO. Questa operazione consente di utilizzare una sola
stringa di comando per completare il processo.
Creazione di istantanee dalla dashboard
Utilizzare la Dashboard di ePolicy Orchestrator per effettuare istantanee del disaster recovery del
server McAfee ePO principale e per monitorare il processo delle istantanee con il progressivo
cambiamento dello stato della Dashboard.
Guida del prodotto
309
24
Disaster recovery
Attività
1
Fare clic su Menu | Reportistica | Dashboard per visualizzare lo strumento di monitoraggio Istantanea server
ePO.
Se necessario, fare clic su Aggiungi monitor e selezionare Istantanea server ePO dall'elenco, quindi
trascinarla nella dashboard.
2
Fare clic su Acquisisci istantanea per avviare il salvataggio della configurazione server McAfee ePO.
Durante il processo di acquisizione dell'istantanea, la barra del titolo di Monitor istantanea cambia per
indicare lo stato del processo. Per informazioni sugli indicatori di stato dello strumento di
monitoraggio Istantanea, vedere Strumento di monitoraggio della dashboard Istantanea.
Il completamento del processo di acquisizione dell'istantanea potrebbe richiedere da dieci minuti a
più di un'ora, a seconda della complessità e delle dimensioni della rete gestita di ePolicy
Orchestrator. Tale processo non dovrebbe compromettere le prestazioni del server McAfee ePO.
3
Se necessario, fare clic su Dettagli dell'esecuzione corrente per aprire la pagina Dettagli registro delle attività
server dell'ultima istantanea salvata.
Al termine del processo di acquisizione dell'istantanea, fare clic su Dettagli dell'esecuzione corrente per
aprire la pagina Dettagli registro delle attività server dell'ultima istantanea salvata.
L'ultima istantanea per il disaster recovery viene salvata nel database SQL principale del server McAfee
ePO. È ora possibile eseguire il backup e la copia del database nel server del database SQL di
ripristino.
Acquisizione di un'istantanea da un'API Web
Utilizzare l'API Web di ePolicy Orchestrator per acquisire istantanee del disaster recovery del server
principale di McAfee ePO. Questa operazione consente di utilizzare una sola stringa di comando per
completare il processo.
Tutti i comandi descritti in questa attività vengono digitati nella barra degli indirizzi del browser web
per poter accedere in remoto al server di McAfee ePO.
Prima che venga visualizzato l'output, viene richiesto di immettere il nome utente e la password
dell'amministratore.
Per informazioni d'uso dettagliate ed esempi relativi alle API Web, consultare la McAfee ePolicy
Orchestrator guida alla redazione di script 5.1.0.
Attività
1
Utilizzare il comando della guida dell'API Web di ePolicy Orchestrator indicato di seguito per
determinare i parametri necessari per eseguire l'istantanea:
https://localhost:8443/remote/core.help?command=scheduler.runServerTask
Nel comando precedente:
310
•
localhost:: il nome del server McAfee ePO.
•
8443: porta di destinazione, identificata come "8443" (impostazione predefinita) in questo
esempio.
Guida del prodotto
Disaster recovery
•
/remote/core.help?command=: chiama la Guida in linea dell'API Web
•
scheduler.runServerTask: chiama la Guida in linea dell'attività specifica del server
24
Per il comando runServerTask viene rilevata la distinzione tra maiuscole e minuscole
Il comando dell'esempio precedente restituisce questa pagina della guida.
OK:
scheduler.runServerTask taskName
Esegue un'attività del server e restituisce l'ID del registro delle attività. Utilizzare
l'ID del registro delle attività con il comando
"tasklog.listTaskHistory" per visualizzare lo stato dell'attività in esecuzione.
Restituisce l'
ID del registro delle attività o genera un errore.
Richiede l'autorizzazione per eseguire le attività del server.
Parametri: [taskName (param 1) | taskId]: nome o ID univoco dell'attività
2
Utilizzare il comando seguente per elencare tutte le attività del server e stabilire il parametro
taskName necessario per eseguire l'attività del server istantanee:
https://localhost:8443/remote/scheduler.listAllServerTasks?:output=terse
Il comando di esempio precedente restituisce un elenco simile al seguente. L'elenco esatto
visualizzato varia a seconda delle autorizzazioni di cui si dispone e delle estensioni installate.
3
Utilizzando il nome dell'attività, Server istantanee disaster recovery del passaggio
precedente, eseguire l'attività del server istantanee con il comando seguente:
https://localhost:8443/remote/scheduler.runServerTask?taskName=Disaster%20Recovery
%20Snapshot%20Server
Se l'attività riesce, viene visualizzato un output simile al seguente.
OK: 102
Il completamento del processo di acquisizione dell'istantanea può richiedere da dieci minuti a più di
un'ora, a seconda della complessità e delle dimensioni della rete gestita di ePolicy Orchestrator in
uso. Questo processo non dovrebbe influire sulle prestazioni del server di McAfee ePO.
Guida del prodotto
311
24
Disaster recovery
4
Verificare che l'istantanea dell'attività del server dell'API Web sia stata eseguita correttamente.
a
Utilizzare il comando seguente per trovare l'ID del registro delle attività server istantanee del
disaster recovery:
https://localhost:8443/remote/tasklog.listTaskHistory?taskName=Disaster
%20Recovery%20Snapshot%20Server
Questo comando visualizza tutte le attività del server istantanee del disaster recovery.
Individuare l'attività più recente e prendere nota del numero di ID. Ad esempio, ID: 102 nel
comando seguente:
ID: 102
Nome: Server istantanee disaster recovery
Data di inizio: 07/08/12 11:00:34
Data di fine: 07/08/12 11:01:18
Nome utente: admin
Stato: completato
Origine: utilità di pianificazione
Durata: meno di un minuto
b
Utilizzare il comando seguente e il numero di ID attività 102 per visualizzare tutti i messaggi di
registro delle attività.
https://localhost:8443/remote/tasklog.listMessages?taskLogId=102
Scorrere fino alla fine del messaggio e trovare il testo seguente:
OK:
Data: 07/08/12 11:00:34
Messaggio: Server istantanee salvato nel database
Data: 07/08/12 11:00:34
Messaggio: Avvio salvataggio istantanea server sul database in corso...
. . .
Data: 07/08/12 11:01:18
Messaggio: Istantanea del server salvata nel database
Data: 07/08/12 11:01:18
Messaggio: Server istantanee salvato nel database
Utilizzo di Microsoft SQL per il backup e il ripristino del
database
Per salvare l'istantanea di disaster recovery con le informazioni di configurazione del server di McAfee
ePO, utilizzare le procedure di Microsoft SQL Server.
Prima di iniziare
Per completare questa attività è necessario disporre della connessione e dell'autorizzazione
a copiare i file tra il server SQL principale e quello di ripristino di McAfee ePO. Per maggiori
dettagli, vedere Appendice A: Manutenzione dei ePolicy Orchestratordatabase.
Una volta creata un'istantanea della configurazione del server di McAfee ePO, è necessario:
Attività
1
312
Creare un backup Microsoft SQL Server del database utilizzando:
•
Microsoft SQL Server Management Studio
•
Microsoft Transact-SQL
Guida del prodotto
Disaster recovery
24
Per informazioni dettagliate sul completamento di queste operazioni, consultare la documentazione
di Microsoft SQL Server.
2
Copiare il file di backup creato nel server SQL di ripristino.
3
Ripristinare il backup del database SQL principale che include i record delle istantanee di disaster
recovery utilizzando:
•
Microsoft SQL Server Management Studio
•
Microsoft Transact-SQL
Per informazioni dettagliate sul completamento di queste operazioni, consultare la documentazione
di Microsoft SQL Server.
Viene creato un server SQL duplicato pronto per essere ripristinato, se necessario, mediante la
connessione a una nuova installazione del software ePolicy Orchestrator con l'opzione Ripristina.
Configurazione delle impostazioni del server per il disaster
recovery
È possibile modificare la passphrase cifratura keystore utilizzata quando è stato installato il software
ePolicy Orchestrator e collegarla a un database SQL ripristinato con i record delle istantanee per il
disaster recovery.
Prima di iniziare
Per modificare la passphrase cifratura keystore, è necessario disporre dei diritti di
amministratore.
L’utilizzo del disaster recovery per creare un'istantanea del server di McAfee ePO costituisce un metodo
di ripristino rapido per il server di McAfee ePO.
Per gli amministratori questa impostazione è utile se è stata persa o dimenticata la passphrase cifratura
keystore configurata durante l’installazione del software ePolicy Orchestrator. È possibile modificare la
passphrase esistente senza conoscere quella configurata in precedenza.
Attività
1
Fare clic su Menu | Configurazione | Impostazioni server, selezionare Disaster Recovery da Categorie di impostazioni,
quindi fare clic su Modifica.
2
In Passphrase cifratura keystore fare clic su Modifica passphrase, digitare la nuova passphrase e confermarla.
La passphrase cifratura keystore viene utilizzata per cifrare e decrittografare le informazioni
riservate memorizzate nell'instantanea del server. Tale passphrase è necessaria durante il processo
di ripristino del server di McAfee ePO. Prendere nota della passphrase.
Il database di ePolicy Orchestrator deve essere copiato periodicamente in un server di database
Microsoft SQL Database di ripristino per creare un database di backup effettivo. Per informazioni sui
processi di backup e ripristino del server di database, vedere Configurazione dell'istantanea e ripristino
del database SQL.
Guida del prodotto
313
24
Disaster recovery
314
Guida del prodotto
A
Seguire le indicazioni relative alle porte riportate di seguito quando è necessario personalizzare le
porte utilizzate dal server di McAfee ePO.
Sommario
Modifica della porta di comunicazione server applicazioni-console
Modifica della porta di comunicazione agent-server
Porte necessarie per le comunicazioni tramite un firewall
Riferimento rapido per il traffico
Modifica della porta di comunicazione server applicazioniconsole
Se la porta di comunicazione server applicazioni-console McAfee ePO è in uso da parte di un'altra
applicazione, seguire la procedura illustrata per specificare una porta diversa.
Prima di iniziare
In questo argomento vengono fornite informazioni sull'apertura o sulla modifica del
Registro di sistema. Tali informazioni sono destinate esclusivamente agli amministratori di
sistema e della rete.
•
Le modifiche del Registro di sistema sono irreversibili e, se non eseguite correttamente,
possono provocare un errore di sistema.
•
Prima di procedere, si consiglia vivamente di eseguire un backup del Registro di sistema
e di acquisire informazioni sulle procedure di ripristino. Per ulteriori informazioni,
consultare la documentazione Microsoft.
•
Assicurarsi di eseguire solo file .REG indicati esplicitamente come file di importazione del
Registro di sistema autentici.
Attività
1
Arrestare i servizi McAfee ePO:
a
Chiudere tutte le console McAfee ePO.
b
Fare clic su Start | Esegui, digitare services.msc, quindi fare clic su OK.
Guida del prodotto
315
A
Modifica della porta di comunicazione server applicazioni-console
c
2
Fare clic con il pulsante destro del mouse su ciascuno dei servizi seguenti e scegliere Arresta:
•
Server applicazioni di McAfee ePolicy Orchestrator
•
Parser di eventi di McAfee ePolicy Orchestrator
•
Server di McAfee ePolicy Orchestrator
Nell'editor del Registro di sistema selezionare questa chiave:
McAfee ePO 5.1.0 (64 bit): [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows
\CurrentVersion\Uninstall\{806ACE6E-C694-43FE-A470-160A332D7AF9}]
3
Nel riquadro di destra fare doppio clic su TomcatSecurePort.SQL e modificare i dati del valore in modo
che riflettano il numero di porta richiesto (l'impostazione predefinita è 8443).
4
Fare clic su Start | Esegui, digitare Notepad, quindi fare clic su OK.
5
Incollare le righe seguenti in un documento Blocco note vuoto e sostituire 8443 con il nuovo numero
di porta:
UPDATE EPOServerInfo SET rmdSecureHttpPort =8443
6
Assegnare al file il nome TomcatSecurePort.sql e salvarlo in un percorso temporaneo nel server SQL.
7
Utilizzare Microsoft SQL Server Management Studio per installare il file TomcatSecurePort.SQL
creato.
a
Fare clic su Start | Tutti i programmi | Microsoft SQL Server Management Studio.
b
Nella finestra di dialogo Connetti al server fare clic su Connetti.
c
Espandere Database, quindi selezionare Database ePO.
d
Dalla barra degli strumenti selezionare Nuova query.
e
Fare clic su File | Apri | File..., quindi cercare il file TomcatSecurePort.sql.
f
Selezionare il file e fare clic su Apri | Esegui.
8
Fare clic su Start | Esegui, digitare explorer, quindi fare clic su OK.
9
In Esplora risorse accedere alla directory seguente:
\Programmi (x86)\McAfee\ePolicy Orchestrator\Server\conf\
10 In Blocco note aprire il file Server.XML e sostituire tutte le voci relative alla porta 8443 con il nuovo
numero di porta.
11 Fare clic su Start | Esegui, digitare services.msc, quindi fare clic su OK.
12 Fare clic con il pulsante destro del mouse su ciascuno dei servizi seguenti e scegliere Avvia:
316
•
•
•
Guida del prodotto
A
Seguire la procedura illustrata per modificare la porta di comunicazione agent-server.
Prima di iniziare
In questo argomento vengono fornite informazioni sull'apertura o sulla modifica del
Registro di sistema. Tali informazioni sono destinate esclusivamente agli amministratori di
sistema e della rete.
•
Le modifiche del Registro di sistema sono irreversibili e, se non eseguite correttamente,
possono provocare un errore di sistema.
•
Prima di procedere, si consiglia vivamente di eseguire un backup del Registro di sistema
e di acquisire informazioni sulle procedure di ripristino. Per ulteriori informazioni,
consultare la documentazione Microsoft.
•
Assicurarsi di eseguire solo file .REG indicati esplicitamente come file di importazione del
Registro di sistema autentici.
Attività
1
2
Arrestare i servizi McAfee ePO:
a
Chiudere tutte le console McAfee ePO.
b
Fare clic su Start | Esegui, digitare services.msc, quindi fare clic su OK.
c
•
•
•
Modificare il valore della porta nel Registro di sistema:
a
Fare clic su Start | Esegui, digitare regedit, quindi fare clic su OK.
b
Passare alla chiave che corrisponde alla versione di McAfee ePO in uso:
McAfee ePO 5.1: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows
\CurrentVersion\Uninstall\{806ACE6E-C694-43FE-A470-160A332D7AF9}]
3
Modificare il valore della stringa AgentPort in modo che rifletta la porta appropriata. Il valore
predefinito per questa porta è 80, quindi chiudere l'editor del Registro di sistema.
4
Modificare il valore nel database McAfee ePO:
a
Fare clic su Start | Esegui, digitare notepad e fare clic su OK.
b
Aggiungere le righe seguenti al documento Blocco note vuoto.
UPDATE EPOServerInfo SET
ServerHTTPPort=80
c
Salvare il file come DefaultAgentPort.SQL in un percorso temporaneo nel server SQL.
Guida del prodotto
317
A
5
d
Per utilizzare Microsoft SQL Server Management Studio per installare il file
DefaultAgentPort.sql, fare clic su Start | Tutti i programmi | Microsoft SQL Server Management Studio.
e
f
g
h
Fare clic su File | Apri | File..., quindi cercare il file DefaultAgent.SQL.
i
Incollare le righe seguenti in un documento Blocco note vuoto e sostituire 8443 con il nuovo numero
di porta:
UPDATE EPOServerInfo SET rmdSecureHttpPort =8443
6
Assegnare al file il nome TomcatSecurePort.SQL e salvarlo in un percorso temporaneo nel server SQL.
7
Utilizzare Microsoft SQL Server Management Studio per installare il file TomcatSecurePort.SQL.
8
a
Fare clic su Start | Tutti i programmi | Microsoft SQL Server Management Studio.
b
c
d
e
Fare clic su File | Apri | File..., quindi cercare il file TomcatSecurePort.SQL.
f
Modificare il valore della porta nei file di configurazione di McAfee ePO:
a
Fare clic su Start | Esegui, digitare explorer e fare clic su OK.
b
Passare a C:\Programmi (x86)\McAfee\ePolicy Orchestrator\DB\....
c
Utilizzando Blocco note, aprire il file Server.ini e cambiare il valore di HTTPPort=80 in modo che
rifletta il nuovo numero, quindi salvare il file.
d
Utilizzando un editor di testo, aprire il file Siteinfo.ini e cambiare il valore di HTTPPort=80 in modo
che rifletta il nuovo numero, quindi salvare il file.
e
Passare a C:\Programmi (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\..., aprire httpd.conf e modificare le
righe seguenti in modo che riflettano il nuovo numero di porta:
Listen 80
ServerName<NomeServer>: 80
9
Se si utilizzano VirtualHost, modificare:
NameVirtualHost *:80
<VirtualHost *:80>
10 Salvare il file e chiudere l'editor di testo.
318
Guida del prodotto
A
11 Riavviare i servizi McAfee ePO:
a
Fare clic su Start | Esegui, digitare services.msc e fare clic su OK.
b
•
•
12 (Facoltativo) modificare le impostazioni sui gestori degli agent remoti:
a
Accertarsi che tutte le console McAfee ePO siano chiuse, quindi fare clic su Start | Esegui, digitare
services.msc e fare clic su OK.
b
Fare clic con il pulsante destro del mouse su ciascuno dei servizi seguenti e scegliere Arresta.
•
•
È possibile che questo server sia presente nell'elenco come MCAFEEAPACHESRV se dopo
l'installazione del gestore degli agent il server non è stato riavviato.
13 Passare a C:\Programmi (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\..., utilizzando un editor di testo aprire
httpd.conf e modificare le righe seguenti in modo che riflettano il nuovo numero di porta:
Listen 80
ServerName<NomeServer>: 80
Se si utilizzano VirtualHost, modificare:
NameVirtualHost *:80
<VirtualHost *:80>
14 Salvare il file e chiudere l'editor di testo.
15 Fare clic su Start | Esegui, digitare services.msc e fare clic su OK.
16 Fare clic con il pulsante destro del mouse su ciascuno dei servizi seguenti e scegliere Arresta.
•
•
È possibile che questo server sia presente nell'elenco come MCAFEEAPACHESRV se dopo
l'installazione del gestore degli agent il server non è stato riavviato.
Se precedentemente sono stato distribuiti agent ai client, reinstallare l'agent in tutti il client
utilizzando l'opzione /forceinstall per sovrascrivere il file Sitelist.xml esistente. Per ulteriori
informazioni su versioni specifiche di McAfee Agent che consentono il corretto funzionamento
dell'opzione /forceinstall, vedere l'articolo KB60555 della McAfee KnowledgeBase.
Guida del prodotto
319
A
Queste porte consentono di configurare un firewall per consentire il traffico verso e dal server di
McAfee ePO.
Termini rilevanti
•
Bidirezionale: la connessione può essere avviata da una delle due direzioni.
•
In ingresso: la connessione viene avviata da un sistema remoto.
•
In uscita: la connessione viene avviata da un sistema locale.
Tabella A-1
Server di McAfee ePO
Porta
Predefinita Descrizione
Direzione traffico
Porta di
comunicazione
agent-server
80
Porta TCP aperta dal servizio del
server di McAfee ePO per la
ricezione delle richieste dagli
agent.
Bidirezionale tra il gestore
degli agent e il server di
McAfee ePO, in ingresso dal
McAfee Agent ai gestori
degli agent e al server di
McAfee ePO.
Comunicazione degli
agent su SSL (solo
per gli agent 4.5 e
versioni successive)
443
Per impostazione predefinita, gli
agent 4.5 devono comunicare
tramite SSL (la porta predefinita è
443). Questa porta viene utilizzata
anche per la comunicazione del
gestore degli agent remoto con
l'archivio principale di McAfee ePO.
Connessione in ingresso al
server di McAfee ePO dagli
agent o dai gestori degli
agent all'archivio principale.
Connessione in ingresso:
• Dall'agent a McAfee ePO
• Dal gestore degli agent
all'archivio principale
• Da McAfee ePO all'archivio
principale
• Dall'agent al gestore degli
agent
320
Porta di
comunicazione per
l'attivazione
dell'agent Porta
dell'archivio
SuperAgent
8081
Porta TCP aperta dagli agent per la
ricezione delle richieste di
attivazione dell'agent dal server di
McAfee ePO. Porta TCP aperta per
la replica del contenuto
dell'archivio in un archivio
SuperAgent.
Porta di
comunicazione in
broadcast dell'agent
8082
Porta UDP aperta dal SuperAgent
Connessione in uscita dal
per inoltrare messaggi dal server di SuperAgent ad altri agent.
McAfee ePO e dal gestore degli
agent.
Porta di
comunicazione
console-server
applicazioni
8443
Porta HTTPS aperta dal servizio del Connessione in ingresso al
server applicazioni di McAfee ePO
server di McAfee ePO dalla
per consentire l'accesso alla
console di McAfee ePO.
console del browser web.
Porta di
comunicazione
autenticata
client-server
8444
Utilizzata dal gestore degli agent
per comunicare con il server di
McAfee ePO e ottenere le
informazioni necessarie, ad
esempio i server LDAP.
server di McAfee ePO e dal
gestore degli agent al
McAfee Agent.
Connessione in uscita dai
gestori degli agent remoti al
Guida del prodotto
Tabella A-1
A
Server di McAfee ePO (segue)
Porta
Predefinita Descrizione
Direzione traffico
Porta TCP server
SQL
1433
Porta TCP utilizzata per comunicare
con il server SQL. Questa porta
viene specificata o determinata
automaticamente durante il
processo di installazione.
gestore degli agent al server
SQL.
Porta UDP server
SQL
1434
Porta UDP utilizzata per richiedere
la porta TCP utilizzata dall'istanza
SQL che ospita il database McAfee
ePO.
SQL.
Porta del server
LDAP predefinita
389
Connessione LDAP per la ricerca di
computer, utenti, gruppi e unità
organizzative per le policy basate
sull'utente.
LDAP.
Porta del server
636
LDAP SSL predefinita
Le policy basate sull'utente
utilizzano la connessione LDAP per
cercare utenti, gruppi e unità
organizzative.
LDAP.
Utilizzare le informazioni riportate di seguito relative alla direzione del traffico e alle porte per
configurare un firewall per consentire il traffico verso e dal server di McAfee ePO.
Termini rilevanti
•
Bidirezionale: la connessione può essere avviata da una delle due direzioni.
•
In ingresso: la connessione viene avviata da un sistema remoto.
•
In uscita: la connessione viene avviata da un sistema locale.
Tabella A-2
Gestore degli agent
Porta
predefinita
Protocollo Direzione del traffico sul server
di McAfee ePO
Direzione del traffico sul
gestore degli agent
80
TCP
Connessione bidirezionale verso e
dal server di McAfee ePO.
Connessione bidirezionale verso
e dal gestore degli agent.
389
TCP
Connessione in uscita dal server di
McAfee ePO.
gestore degli agent.
443
TCP
Connessione in ingresso al server di Connessione in ingresso al
McAfee ePO.
636
TCP
McAfee ePO.
1433
TCP
McAfee ePO.
1434
UDP
McAfee ePO.
8081
TCP
McAfee ePO.
Guida del prodotto
321
A
Tabella A-2
Gestore degli agent (segue)
Porta
predefinita
Protocollo Direzione del traffico sul server
di McAfee ePO
Direzione del traffico sul
gestore degli agent
8443
TCP
McAfee ePO.
8444
TCP
Connessione in ingresso al server di Connessione in uscita dal
McAfee ePO.
Tabella A-3
McAfee Agent
Porta predefinita Protocollo Direzione traffico
80
TCP
Connessione in uscita al server di McAfee ePO e al gestore degli
agent.
443
TCP
Connessione in uscita al server di McAfee ePO e al gestore degli
agent.
8081
TCP
Connessione in ingresso dal server di McAfee ePO e dal gestore degli
agent.
Se l'agent è un archivio SuperAgent, la connessione in ingresso
viene stabilita ad altri agent.
8082
UDP
Connessione in ingresso agli agent.
Connessione in ingresso e in uscita da o verso un SuperAgent.
Tabella A-4 SQL Server
Porta predefinita Protocollo Direzione traffico
322
1433
TCP
agent.
1434
UDP
agent.
Guida del prodotto
B
Gestione dei database ePolicy
Orchestrator
Per ottenere prestazioni ottimali e proteggere i dati, è necessario eseguire una manutenzione regolare
dei database di ePolicy Orchestrator.
Utilizzare lo strumento di gestione Microsoft appropriato per la versione di SQL in uso:
Versione di SQL
Strumento di gestione
SQL 2008 e 2012
SQL Server Management Studio
SQL Express
SQL Server Management Studio Express
A seconda della distribuzione del software ePolicy Orchestrator, pianificare alcune ore ogni settimana
da dedicare all'esecuzione regolare di backup e manutenzione del database. Eseguire queste attività
regolarmente ogni settimana o ogni giorno. Non si tratta tuttavia delle uniche attività di manutenzione
disponibili. Per informazioni dettagliate sulle altre attività che è possibile eseguire per la manutenzione
del database, fare riferimento alla documentazione SQL.
Sommario
Autorizzazioni SQL necessarie per l'installazione di McAfee ePO
Impostazione dei ruoli utente del database
Considerazioni per un piano di manutenzione SQL
Scelta di un modello di ripristino del database SQL
Deframmentazione dei dati di tabella
Creazione di un piano di manutenzione SQL
Modifica delle informazioni di connessione a SQL Server
Guida del prodotto
323
B
Se si intende utilizzare un server SQL esistente o installare manualmente un nuovo server SQL sono
necessari ruoli SQL Server specifici.
Per una nuova
installazione di
McAfee ePO...
Utilizzare questi ruoli di server
Durante
l'installazione
Alle credenziali dell'account utente, per l'autenticazione Windows o SQL, è
necessario assegnare i ruoli di server riportati di seguito sulla versione SQL
Server di destinazione.
• public
• dbcreator
Il ruolo server dbcreator è necessario per consentire al programma di
installazione di creare gli oggetti del database McAfee ePO principali richiesti e
di aggiungerli al server SQL di destinazione.
A questo account utente SQL di McAfee ePO viene concessa l'autorizzazione di
ruolo di database db_owner per il database McAfee ePO.
Dopo l'installazione
del database
Il ruolo di server dbcreator può essere rimosso dall'utente SQL di McAfee ePO.
Se si richiama il ruolo di server dbcreator, all'account utente vengono
assegnate solo le autorizzazioni concesse al ruolo di database db_owner per il
database McAfee ePO.
Per un'installazione di
upgrade o patch...
Utilizzare questi ruoli
Durante l'installazione
Alle credenziali dell'account utente, per l'autenticazione Windows o
SQL, è necessario assegnare i ruoli di server riportati di seguito sulla
versione SQL Server di destinazione.
• public
• db_owner
Se non si desidera utilizzare il ruolo di database db_owner, attenersi alla procedura riportata di seguito
per creare un nuovo ruolo di database.
L'account utente utilizzato al posto di db_owner deve disporre di cinque autorizzazioni di ruolo del
database.
324
Guida del prodotto
B
Per...
Utilizzo giornaliero
(consigliato)
L'account utilizzato per le operazioni giornaliere deve disporre dei
seguenti ruoli del database:
• public
• db_owner
Creazione di un nuovo ruolo
del database
Attenersi alla
procedura riportata di
seguito se non si
desidera utilizzare il
ruolo di database
db_owner per
l'accesso utilizzato per
accedere al database
McAfee ePO.
1 Creare un nuovo ruolo di database per il database McAfee ePO:
a Accedere a SQL Management Studio utilizzando un account con
diritti di amministratore.
b Al di sotto del server SQL che ospita il database McAfee ePO
espandere Database, individuare il database McAfee ePO, quindi
espandere Sicurezza | Ruoli.
c Fare clic con il pulsante destro del mouse su Ruoli database, quindi
scegliere Nuovo ruolo database.
d Nel campo Nome ruolo digitare db_execute.
e Fare clic su OK.
2 Concedere autorizzazioni di tipo Esegui al nuovo ruolo:
a In Management Studio fare clic su Nuova query.
b Nell'elenco Database disponibili selezionare il database McAfee ePO.
c Nella finestra delle query immettere il comando: GRANT EXECUTE
TO db_execute
d Fare clic su Esegui per eseguire il comando.
3 Eseguire la mappatura dell'account di accesso ai ruoli di database
richiesti:
a In Management Studio, al di sotto del server SQL che ospita il
database McAfee ePO espandere Sicurezza | Account di accesso.
b Selezionare l'account di accesso che McAfee ePO deve utilizzare
per accedere al database.
c Fare clic con il pulsante destro del mouse sull'account di accesso,
quindi scegliere Proprietà.
d Al di sotto di Selezione pagina selezionare Mapping utenti.
e In Utenti mappati all'account di accesso seguente selezionare il database
McAfee ePO.
f Nel campo relativo all'appartenenza a ruoli del database
selezionare i ruoli fissi a livello di database:
• db_datareader: necessario per eseguire query al contenuto del
database.
• db_datawriter: necessario per inserire o aggiornare il contenuto del
database.
• db_ddladmin: necessario per eseguire le istruzioni DDL
(Data-Definition Language).
• db_execute
• public
Guida del prodotto
325
B
Per...
g In Utenti mappati all'account di accesso seguente selezionare tempdb.
h Nel campo relativo all'appartenenza a ruoli del database
selezionare i seguenti ruoli fissi a livello di database:
• db_datareader
• db_datawriter
• public
i Fare clic su OK.
Il database SQL è integrato in ePolicy Orchestrator. Se non si eseguono le attività di manutenzione e
di backup dei dati in esso contenuti e si verifica un errore, si corre il rischio di perdere la protezione di
rete e la configurazione di ePolicy Orchestrator.
La manutenzione del database SQL di ePolicy Orchestrator include due componenti principali:
•
Disaster recovery di ePolicy Orchestrator
•
Backup e manutenzione del database SQL
Ciascuno di questi componenti è descritto nelle sezioni seguenti.
ePolicy Orchestrator Disaster Recovery
Il processo di ripristino di ePolicy Orchestrator utilizza la funzionalità Istantanea per il disaster recovery per
salvare periodicamente la configurazione, le estensioni, le chiavi e altri elementi di ePolicy
Orchestrator nei record dell'Istantanea per il disaster recovery all'interno del database di ePolicy Orchestrator.
I record salvati dall'Istantanea per il disaster recovery contengono l'intera configurazione di ePolicy
Orchestrator nel momento esatto in cui è stata acquisita l'Istantanea per il disaster recovery.
Per eseguire un ripristino rapido in caso di errore del database, è importante creare periodicamente
Istantanee per il disaster recovery del database di ePolicy Orchestrator, eseguire il backup dei file di database e
copiare il file di backup dal server SQL principale nel server SQL di ripristino.
Backup e manutenzione del database SQL
Il database SQL è il componente di archiviazione centrale per tutti i dati creati e utilizzati in ePolicy
Orchestrator. Archivia le proprietà dei sistemi gestiti, le relative informazioni sulle policy e la struttura
di directory, oltre ad altri dati rilevanti necessari per mantenere aggiornati i sistemi del server. La
manutenzione periodica del database SQL di ePolicy Orchestrator deve rappresentare una priorità ed
includere le attività indicate di seguito.
•
•
326
Gestione dei file di registro (transazioni) e di dati, che deve comprendere:
•
Separazione dei file di registro e di dati
•
Configurazione corretta dell'aumento automatico delle dimensioni
•
Configurazione dell'inizializzazione istantanea dei file
•
Verifica che la riduzione automatica delle dimensioni non sia attivata e che la riduzione delle
dimensioni non sia inclusa nel piano di manutenzione
Deframmentazione degli indici: consultare Deframmentazione dei dati di tabella
Guida del prodotto
B
•
Rilevamento dei danneggiamenti mediante l'attività di verifica dell'integrità del database o DBCC CHECKDB
•
Creazione del backup e gestione dei file
•
Pianificazione dell'esecuzione automatica di queste attività
Fortunatamente, il database SQL include funzionalità, quali Creazione guidata piano di manutenzione e gli script
Transact-SQL, che possono essere configurate per eseguire automaticamente tali attività.
In ePolicy Orchestrator sono disponibili due modelli per la manutenzione dei database Microsoft SQL
Server (SQL Server): Modello di ripristino semplice e Modello di ripristino completo. McAfee consiglia
di utilizzare il modello di ripristino semplice per il database di ePolicy Orchestrator.
Utilizzando il modello di ripristino semplice, SQL Server identifica come Inattivi i record di cui è stato
eseguito il backup. Questa operazione è nota anche come troncamento del registro. Il troncamento
consente a ogni nuova operazione registrata nel registro delle transazioni di sovrascrivere le voci
inattive. In questo modo si evita che il file di registro delle transazioni aumenti di dimensioni.
Utilizzando il modello di ripristino completo, se non viene eseguito un backup periodico del registro
delle transazioni, le dimensioni di tale registro continuano ad aumentare fino a occupare tutto lo
spazio su disco disponibile. Se il database di ePolicy Orchestrator è configurato per l'utilizzo del
modello di ripristino completo, eseguire regolarmente il backup del registro delle transazioni per
limitarne le dimensioni.
Se si utilizza il modello di ripristino semplice, quando si verifica il checkpoint e i record vengono
scaricati nel disco, SQL Server tronca il registro delle transazioni. Questa procedura libera spazio
all'interno del file di registro delle transazioni.
Nel modello di ripristino semplice non viene eseguito il backup del registro delle transazioni ma
vengono eseguiti regolarmente solo backup completi del database di ePolicy Orchestrator.
Nell'eventualità di un disastro, sarà possibile ripristinare solo l'ultimo backup completo. Tutte le
modifiche apportate in seguito all'ultimo backup completo andranno perse.
Per la maggior parte dei clienti Enterprise che utilizzano il modello di ripristino semplice questa
soluzione è accettabile, in quanto le informazioni che si perdono tra i backup sono essenzialmente
informazioni su eventi. Il modello di ripristino completo comporta un ulteriore carico di lavoro
amministrativo costituito dall'esecuzione di backup periodici del registro delle transazioni per il
database diePolicy Orchestrator.
È soprattutto per tale motivo che si consiglia di utilizzare il modello di ripristino semplice per il
Se si utilizza il modello di ripristino completo, verificare di disporre di un buon piano di backup sia per
il database di ePolicy Orchestrator che per il registro delle transazioni. La descrizione dei piani di
backup dei database SQL Server esula dall'ambito della presente guida. Per ulteriori dettagli,
consultare la documentazione di Microsoft SQL Server.
Guida del prodotto
327
B
Uno dei problemi di prestazioni più significativi che riguardano i database è la frammentazione dei dati
di tabella. Per risolvere il problema, è possibile riorganizzare o, se necessario, ricreare i dati di tabella.
La frammentazione dei dati di tabella del database è simile a un indice che si trova alla fine di un
grande libro. Un'unica voce di indice di questo grande libro potrebbe puntare a più pagine sparse in
tutto il libro. Ciò significa che, per trovare le informazioni desiderate, è necessario analizzare ogni
pagina.
Questa situazione è notevolmente diversa rispetto all'indice di un elenco telefonico, in cui i dati sono
archiviati in base a un ordine specifico. Una query tipica eseguita per trovare un nome comune come
"Rossi" può richiedere la consultazione di molte pagine consecutive, che tuttavia seguono un ordine
specifico.
Nel caso di un database si inizia dai dati di tabella, che sono simili a un elenco telefonico, ma andando
avanti i dati somigliano sempre più all'indice di un grande libro.
A volte è necessario riordinare i dati per ricreare l'ordine dell'elenco telefonico. È questa la fase critica
della riorganizzazione o della ricostruzione degli indici. Nel tempo il database diventa sempre più
frammentato, soprattutto se gestisce un ambiente di grandi dimensioni in cui vengono
quotidianamente scritte migliaia di eventi.
La configurazione di un'attività di manutenzione SQL per la riorganizzazione e la ricostruzione
automatica degli indici è fondamentale per assicurare un livello di prestazioni appropriato per il server
di McAfee ePO. È possibile includere la reindicizzazione come parte della pianificazione di backup
regolari in modo da combinare tutto in un'unica attività.
Quando si configura l'attività, non selezionare l’opzione per compattare il database. Si tratta di un
approccio sbagliato adottato da molti amministratori quando creano la propria attività di manutenzione.
Lo svantaggio dell'utilizzo dell'attività di manutenzione SQL consiste nel fatto che tutti gli indici
vengono ricreati o riorganizzati senza tenere conto del livello di frammentazione della tabella. Per
ridurre al minimo il tempo necessario per la ricostruzione e la riorganizzazione di un database di
produzione di grandi dimensioni, si consideri la possibilità di configurare un processo di SQL Server
Agent che eseguirebbe uno script SQL personalizzato per riorganizzare o ricreare in modo selettivo gli
indici in base al rispettivo livello di frammentazione.
È possibile stabilire il livello di frammentazione di un indice eseguendo una query sulla DMV (Dynamic
Management View, vista a gestione dinamica) sys.dm_db_index_physical_stats. Sono disponibili
informazioni online sulla manutenzione del database SQL Server con script SQL di esempio che è
possibile utilizzare per ricreare o riorganizzare gli indici in modo selettivo in base al livello di
frammentazione. Per ulteriori informazioni, fare riferimento all’esempio D dell’articolo
sys.dm_db_index_physical_stats (Transact-SQL) nella libreria Microsoft.
Una regola comune per stabilire se riorganizzare o ricreare i dati di tabella, a seconda della
frammentazione di tabella, è la seguente:
•
Inferiore al 30%: riorganizzare i dati di tabella.
•
Superiore al 30%: ricreare i dati di tabella.
La riorganizzazione dell'indice è un'operazione consigliata che viene eseguita online, pertanto durante il
processo la tabella è disponibile per le query. Per le tabelle con un'elevata percentuale di
frammentazione la decisione più appropriata potrebbe essere la ricostruzione, che deve tuttavia essere
eseguita in modalità offline, a meno che non si utilizzi SQL Server Enterprise Edition.
Per ulteriori informazioni, vedere Riorganizzazione e ricostruzione degli indici nella Libreria Microsoft
online.
328
Guida del prodotto
B
Per eseguire il backup automatico del database di ePolicy Orchestrator, creare un piano di
manutenzione del database SQL utilizzando, ad esempio SQL Server Management Studio.
È necessario utilizzare la funzionalità Istantanea per il disaster recovery di ePolicy Orchestrator per
salvare periodicamente le chiavi, le estensioni, la configurazione e altri elementi di ePolicy Orchestrator
definiti nei record delle istantanee del disaster recovery del database SQL. I record delle istantanee del
disaster recovery, insieme al backup regolare del database, consentono di ripristinare rapidamente da
un eventuale errore dell'hardware che ospita il server di McAfee ePO.
Attività
1
Creare un nuovo piano di manutenzione. Vedere le informazioni fornite da Microsoft nelle pagine
seguenti:
•
Procedura: Avvio della Creazione guidata piano di manutenzione (SQL Server Management
Studio)
•
Creare un piano di manutenzione
Viene avviata la Creazione guidata piano di manutenzione.
2
Digitare il nome di un piano di manutenzione, ad esempio Piani di manutenzione del database
di ePO.
3
Configurare una pianificazione per il piano di manutenzione. Programmare l'esecuzione dell'attività
nelle ore fuori pianificazione. Configurare ad esempio l'esecuzione di un'attività ricorrente con
scadenza settimanale, ovvero ogni sabato alle 21:00, senza alcuna data di fine.
4
Definire le attività di manutenzione seguenti per eseguire:
5
•
Verifica dell'integrità del database
•
Ricostruzione dell'indice
•
Backup completo del database
Definire l'ordine delle attività di manutenzione come segue.
•
Verifica dell'integrità del database
•
Backup completo del database
•
Ricostruzione dell'indice
L'ordine di esecuzione di queste attività è indifferente. McAfee consiglia di eseguire il backup del
database prima del processo di ricostruzione dell'indice. Ciò garantisce la presenza di una copia di
backup funzionante del database nel caso in cui si verifichino problemi durante il processo di
ricostruzione.
6
7
Definire l'attività di verifica dell'integrità del database per includere:
•
Nome del database di ePolicy Orchestrator
•
Inclusione di indici
Definire l'attività di backup completo del database per includere:
•
•
Percorso di backup
Guida del prodotto
329
B
8
Definire l'attività di ricostruzione dell'indice per includere:
•
•
Oggetto: tabelle e viste
•
Impostare la percentuale di spazio disponibile per pagina su 10%:
l'aggiornamento delle statistiche è parte integrante di un'attività di ricostruzione dell'indice con
scansione completa, pertanto non è più necessario eseguire un'attività di aggiornamento delle
statistiche dopo una ricostruzione dell'indice.
9
Definire le opzioni di selezione dei rapporti per includere:
•
Scrittura di un rapporto in un file di testo
•
Selezione di un percorso di cartella
Questa procedura consente di creare un piano di manutenzione per eseguire il backup automatico del
È possibile modificare i dettagli di configurazione della connessione SQL Server utilizzando una
speciale pagina Web di McAfee ePO.
I dettagli di configurazione della connessione vengono modificati quando è necessario modificare le
informazioni dell'account utente in McAfee ePO se si passa alla modalità di autenticazione SQL Server
in SQL Server Enterprise Manager o SQL Server Management Studio. È consigliabile eseguire questa
operazione quando si ha necessità di utilizzare un account utente SQL con privilegi allo scopo di
aumentare la sicurezza di rete.
Se si modificano le impostazioni del database specificando che questo server di McAfee ePO deve
puntare a un database McAfee ePO non esattamente corrispondente, vengono rimosse le estensioni del
prodotto e tutti i dati associati vengono persi. McAfee consiglia di eseguire questa attività solo per
modificare la configurazione del database esistente.
È possibile utilizzare la pagina Web all'indirizzo https://<nomeserver>:<porta>/core/config per
modificare le informazioni del file di configurazione del database. Utilizzare la pagina di configurazione
se è necessario modificare la configurazione della connessione del database. Ad esempio qualsiasi
modifica a nome utente, password, nome server, nome istanza, porta o nome del database.
Informazioni importanti sulla pagina:
•
Autenticazione: se il database è in esecuzione, questa pagina utilizza la normale autenticazione
utente di McAfee ePO e l'accesso è consentito solo a un amministratore. Se il database non è
attivo, è necessaria una connessione dal sistema su cui viene eseguito SQL Server.
•
Per rendere effettive le modifiche alla configurazione, è necessario riavviare i servizi McAfee ePO.
•
Come ultima soluzione, è possibile modificare manualmente il file di configurazione (<directory
installazione ePO>server\conf\orion\db.properties), inserire la password non crittografata,
avviare il server, quindi utilizzare la pagina di configurazione per modificare nuovamente il file di
configurazione del database in cui è archiviata la versione crittografata della passphrase.
330
Guida del prodotto
B
Attività
1
Accedere a McAfee ePO con le credenziali di amministratore.
2
Digitare l'URL seguente nel campo degli indirizzi del browser.
https://<nomeserver>:<porta>/core/config
3
Nella pagina Configura impostazioni database modificare le credenziali o le informazioni di SQL Server in
base alle esigenze.
Tra le altre impostazioni di questa pagina sono incluse:
•
Nome host o indirizzo IP: indica il nome host o l'indirizzo IP del server di database utilizzato.
•
Istanza del server di database: indica il nome dell'istanza del server se il server fa parte di un cluster.
•
Porta del server di database: indica la porta del server utilizzata per la comunicazione tra il server di
McAfee ePO e il server del database SQL. La porta predefinita è 8443.
•
Nome database: indica il nome del database specifico utilizzato in SQL Server.
•
Comunicazione SSL con il server di database: indica se la porta di connessione non utilizza mai, prova a
utilizzare o utilizza sempre SSL.
Fare clic su Verifica connessione per verificare la connessione tra il server di McAfee ePO e il server del
database SQL.
4
Al termine, fare clic su Applica.
5
Riavviare il sistema o i servizi McAfee ePO per rendere effettive le modifiche.
Guida del prodotto
331
B
332
Guida del prodotto
C
Apertura di una connessione di console
remota
Utilizzando l'indirizzo IP o il nome del server di McAfee ePO e il numero della porta di comunicazione
del server, è possibile effettuare la connessione e la configurazione di ePolicy Orchestrator da un
browser Internet supportato.
Quandoci si connette a ePolicy Orchestrator mediante connessione remota, non sono consentite alcune
modifiche alla configurazione. Ad esempio, non è possibile eseguire gli eseguibili registrati da una
connessione remota.
Per configurare una connessione remota è necessario determinare il nome del server di McAfee ePO, o
l'indirizzo IP, e il numero di porta per la comunicazione con il server. All'apertura di ePolicy
Orchestrator dopo aver effettuato l'accesso al server di McAfee ePO fisico, prendere nota dell'indirizzo
visualizzato nel browser. Deve essere simile al seguente:
https://win-2k8-epo51:8443/core/orionSplashScreen.do
In questo URL di esempio:
•
win-2k8-epo51 è il nome del server di McAfee ePO
•
:8443: è il numero della porta di comunicazione console-server applicazioni utilizzato da ePolicy
Orchestrator.
Il numero di porta predefinito è "8443", a meno che non sia stato modificato dall'utente.
Attività
1
Aprire un browser supportato da ePolicy Orchestrator. Per un elenco dei browser supportati,
consultare la McAfee ePolicy OrchestratorGuida all'installazione software.
2
Nella barra degli indirizzi del browser digitare uno degli indirizzi seguenti e premere Invio:
https://<servername>:8443
https://<indirizzoip_del_server>:8443
Ad esempio, https://win-2k8-epo51:8443
3
Accedendo a ePolicy Orchestrator, si stabilisce una connessione di console remota.
Per esempi di comandi estesi da eseguire da una connessione remota alla console, consultare la
ePolicy Orchestratorguida alla redazione di script.
Guida del prodotto
333
C
Apertura di una connessione di console remota
334
Guida del prodotto
D
Domande frequenti
In questa pagina vengono raccolte le risposte alle domande frequenti sul software ePolicy
Orchestrator.
Sommario
Domande sulla gestione delle policy
Domande su eventi e risposte
Domande sulla gestione delle policy
Che cos'è una policy?
Una policy è un sottoinsieme personalizzato di impostazioni del prodotto che corrispondono a una
categoria di policy. Per ogni categoria di policy è possibile creare, modificare o eliminare il numero di
policy con nome desiderato.
Cosa sono le policy McAfee Default e Impostazioni predefinite personali?
Al momento dell'installazione ogni categoria di policy contiene almeno due policy, ovvero McAfee
Default e Impostazioni predefinite personali. Si tratta delle uniche policy presenti nelle prime
installazioni. Le configurazioni di entrambe sono inizialmente identiche.
Sia la policy con nome McAfee Default che quella Impostazioni predefinite personali non possono
infatti essere modificate, rinominate ed eliminate.
Cosa accade ai gruppi e ai sistemi figlio di un gruppo cui è stata assegnata una
nuova policy?
Tutti i gruppi e i sistemi figlio impostati per ereditare una categoria di policy specifica, ereditano la
policy applicata a un gruppo padre.
In che modo i gruppi e i sistemi cui viene applicata una policy vengono influenzati
dalla modifica della policy nel catalogo delle policy?
Tutti i gruppi e i sistemi cui viene applicata una policy ricevono le eventuali modifiche apportate alla
policy alla successiva comunicazione agent-server. La policy viene quindi applicata a ogni intervallo di
applicazione delle policy.
Perché quando si assegna una nuova policy, questa non viene applicata nei sistemi
gestiti?
Le nuove assegnazioni di policy non vengono applicate fino alla successiva comunicazione
agent-server.
Guida del prodotto
335
D
Domande frequenti
Le assegnazioni di policy di un gruppo o sistema (origine) sono state incollate in
un altro (destinazione), ma le policy assegnate al percorso di destinazione non
sono uguali a quelle del percorso di origine. Perché?
Quando si copiano e incollano le assegnazioni di policy, vengono incollate solo le assegnazioni vere. Se
il percorso di origine sta ereditando una policy selezionata per la copia, nella destinazione viene
incollata la caratteristica di ereditarietà. La destinazione eredita pertanto la policy (per quella
determinata categoria di policy) dal relativo elemento padre, che può essere diversa da quella
ereditata nell'origine.
Se si configura una regola di risposta per i rilevamenti dei virus, è prevista la
ricezione di un messaggio di notifica per ogni evento ricevuto durante
un'epidemia.
No. È possibile configurare le regole in modo da inviare una notifica solo una volta per la quantità
specificata di eventi che si verificano entro un determinato periodo oppure al massimo una volta in un
periodo specificato.
È possibile creare una regola che generi notifiche per più destinatari?
Sì. È possibile immettere più indirizzi e-mail dei destinatari nella procedura guidata Creazione risposte.
È possibile creare una regola che generi più tipi di notifica?
Sì. ePolicy Orchestrator le notifiche supportano qualsiasi combinazione delle seguenti destinazioni di
notifica per ogni regola:
336
•
e-mail (inclusi SMS al cercapersone standard, SMS e SMTP standard)
•
server SNMP (tramite trap SNMP)
•
qualsiasi strumento esterno installato nel server di McAfee ePO
•
problemi
•
attività server pianificate
Guida del prodotto
Indice
A
account
tipi di utente 41
account utente
gestione 41
modifica delle password 41
tipi 41
Active Directory
accesso utente 43
applicazione di set di autorizzazioni 44
configurazione dell'autorizzazione Windows 46
contenitori, mappatura su gruppi della struttura dei sistemi
122
implementazione di strategie 44
sincronizzazione di soli sistemi 111
agent
capacità di inoltro 147
chiamate di attivazione 142
configurazione delle policy per l'utilizzo di archivi 73
configurazione di impostazioni proxy per 72
conversione in SuperAgent 144
distribuzione 180
funzionalità di inoltro, attivazione 149
funzionalità di inoltro, disattivazione 148
GUID e posizione nella struttura dei sistemi 114
manutenzione 139
McAfee Agent, componenti di ePolicy Orchestrator 16
prima chiamata al server 114
query specificate da 153
raggruppamento 100
raggruppamento in base alle regole di assegnazione 100
risposte e inoltro di eventi 234
agent inattivi 151
aggiornamenti
attività client 212
considerazioni per la creazione di attività 212
deposito manuale 228
firma e sicurezza dei pacchetti 206
pacchetti di distribuzione 208
pacchetti e dipendenze 206
pianificazione di un'attività di aggiornamento 212
siti di origine 63
aggiornamenti dei prodotti
deposito manuale dei pacchetti 228
aggiornamenti dei prodotti
descrizione processo 208
distribuzione 208
firma e sicurezza dei pacchetti 206
siti di origine 63
tipi di pacchetto supportati 206
aggiornamenti globali
contenuto 73
aggiornamento
automatico, con aggiornamento globale 220
distribuzione, attività 206
file DAT e del motore 208
globale, processo 219
pianificazione di un'attività di aggiornamento 212
aggiornamento globale
attivazione 220
requisiti 219
aggiornamento motore
da siti di origine 68
nell'archivio principale 66
pianificazione di un'attività 212
Aggiornamento motore
pacchetti di distribuzione 208
aggiunta di commenti a problemi 289
aggregazione, vedere notifiche
amministratori
autorizzazioni 58
creazione di gruppi 106
gestione degli account utente 41
informazioni 58
siti di origine, configurazione 68
amministratori globali
autorizzazione necessaria per il disaster recovery 300
Applica tag, azione 131
applicazione delle policy
attivazione e disattivazione 191
momento di applicazione delle policy 183
per un prodotto 191, 192
visualizzazione di assegnazioni in cui è disattivata 201
applicazione, vedere applicazione delle policy 191
Guida del prodotto
337
Indice
archivi 93
chiavi di sicurezza 157, 159
concetto 63
creazione di archivi di SuperAgent 74
disposizione della gerarchia di SuperAgent 146
importazione da file di elenco degli archivi 85
interazione 68
non gestiti, copia del contenuto 82
principali, configurazione delle impostazioni proxy 71
rami 66, 214, 229
replica e selezione 222
sito di origine 63
tipi 63
UNC 81
archivi distribuiti
aggiunta a ePolicy Orchestrator 77
attivazione della condivisione cartelle 80
cartella, creazione 77
creazione e configurazione 76
eliminazione 81
eliminazione di archivi di SuperAgent 76
ePolicy Orchestrator, componenti 16
informazioni 63, 65
larghezza di banda limitata 63
modalità di selezione da parte degli agent 222
modifica di esistenti 80
non gestiti 65
non gestiti, copia del contenuto 82
replica di pacchetti in archivi di SuperAgent 75
SuperAgent, attività 74
tipi 65
archivi distribuiti locali 82
archivi non gestiti 65
archivi principali
comunicazione con i siti di origine 71
configurazione delle impostazioni proxy 71
informazioni 63
utilizzo di attività di replica 222
archivio principale
aggiornamento con attività di pull 221
chiavi di sicurezza in ambienti con più server 159
coppia di chiavi per contenuto senza firma 158
ePolicy Orchestrator, componenti 16
ASCI (vedere intervallo di comunicazione agent-server) 140
ASSC, chiavi, Vedere chiavi di comunicazione sicura agentserver 127
ASSC, comunicazione sicura agent-server
utilizzo delle chiavi 161
assegnazione di gestori
gestione 98
modifica priorità 98, 101
visualizzazione riepilogo 98
applicazione disattivata, visualizzazione 201
338
blocco 185
Catalogo delle policy 185
copia e incolla 192, 193
gruppo, assegnazione 190
sistemi, assegnazione 190, 191
visualizzazione 200, 201
assegnazione di problemi 289
assistenza tecnica, individuazione informazioni prodotto 12
attivazione della funzionalità di inoltro degli agent 149
attività client
catalogo delle attività client 205
condivisione 205
confronto 216
confronto con i progetti di distribuzione dei prodotti 173
creazione 215
eliminazione 216
esecuzione immediata 150
informazioni 205
modifica delle impostazioni 215
oggetti 205
utilizzo 214
attività client, on-demand 150
attività del server
disaster recovery 308
esecuzione di rapporti 279
file di registro, eliminazione di attività 295
informazioni 219
per condivisione di policy 203
pianificazione con la sintassi cron 223
pianificazione di una query 261
query con azione secondaria 261
raggruppamento dati 269
Registro delle attività server 295
Sincronizza domini/AD 109
sintassi cron consentita 223
sostituzione del certificato del server 52
attività di pull
aggiornamento archivio principale 221
considerazioni per la pianificazione 221
attività di replica
aggiornamento archivio principale 222
differenza tra replica completa e incrementale 222
autenticazione
configurazione per Windows 46
autenticazione del certificato client
attivazione 49
configurazione degli utenti 50
configurazione di ePolicy Orchestrator 48
disattivazione 50
introduzione 47
risoluzione dei problemi 51
strategie per l'utilizzo 48
Guida del prodotto
Indice
autenticazione mediante certificato
aggiornamento del file CRL 51
conversione da PVK in un file PEM 57
creazione di un certificato autofirmato 54
firmato da un'autorità di certificazione di terze parti 54
modifica dell'autenticazione del certificato del server 49
utilizzo dei comandi OpenSSL 57
autenticazione Windows
attivazione 45
strategie 44
autenticazione, configurazione per Windows 43
autorizzazione
strategie 44
autorizzazioni
amministratore 58
assegnazione per le notifiche 236
assegnazione per le risposte 236
per le dashboard 246
per query 255
SQL 324
C
capacità di inoltro 147, 148
Catalogo delle policy
pagina, visualizzazione 183
utilizzo 186
Catalogo tag 131
certificati SSL
informazioni 52
certificato del server
rimozione 50
sostituzione 52
certificato di sicurezza
autorità di certificazione 52
creazione di un certificato autofirmato 54
installazione 53, 54
chiamate di attivazione
attività 141
gruppi della struttura del sistema 142
informazioni 141
manuali 142
SuperAgent 142, 143
chiave di licenza 39
chiavi, vedere chiavi di sicurezza
chiavi di comunicazione sicura agent-server
con Trasferisci sistemi 127
esportazione e importazione di chiavi 93
chiavi di sicurezza
chiavi principali in ambienti con più server 159
comunicazione sicura agent-server (ASSC) 157, 161
comunicazione sicura agent-server, utilizzo 161
gestione 159
impostazioni del server 20
informazioni generali 157
chiavi di sicurezza
per il contenuto di altri archivi 158
private e pubbliche 158
utilizzo di una chiave principale 159
componenti
archivi, informazioni 63
ePolicy Orchestrator, informazioni 16
Server di McAfee ePO, informazioni su 16
comunicazione agent-server
chiavi di comunicazione sicura (ASSC) 161
gestione 154
informazioni 139
ordinamento della struttura dei sistemi 113
comunicazione sicura agent-server (ASSC)
informazioni 157
utilizzo di coppie di chiavi diverse per server 164
utilizzo di una sola coppia di chiavi 163
visualizzazione di sistemi che utilizzano una coppia di chiavi
163
condivisione delle policy
assegnazione 203
con server registrato 203
designazione 204
mediante attività server 203, 204
più server di McAfee ePO 204
registrazione di server 203
condivisione UNC, archivi
informazioni 65
modifica 80
utilizzo
suggerimenti 81
configurazione
elenco di sistemi sui gruppi di tag 265
funzionalità essenziali 35
panoramica 31
configurazione automatica 34
panoramica 35
confini geografici, vantaggi 108
confini, vedere organizzazione della struttura dei sistemi 108
conformità
creazione di una query 270
generazione di eventi 270
confronto delle attività client 216
confronto di policy 202
connessione di console remota 333
connessioni LAN e confini geografici 108
connessioni VPN e confini geografici 108
connessioni WAN e confini geografici 108
consigli di McAfee
creazione di un'attività server Raggruppa dati 269
distribuzione di agent durante l'importazione di domini di
grandi dimensioni 124
Guida del prodotto
339
Indice
consigli di McAfee (segue)
DAT, file
implementazione graduale per la distribuzione dei prodotti Vedere anche definizione dei rilevamenti, file
206
pianificazione attività di replica 222
struttura dei sistemi, pianificazione 107
utilizzo dell'aggiornamento globale 219
utilizzo di criteri di ordinamento basati su tag 109
utilizzo di indirizzi IP per l'ordinamento 108
valutazione dei confini per l'organizzazione 108
contatti
risposte e 241
convenzioni e icone utilizzate nella guida 11
conversione agent in SuperAgent 144
Corrente, ramo
definizione 66
deposito dei pacchetti di aggiornamento 229
creazione di problemi 288
Creazione di report
creazione di report personalizzati 255
Creazione query
creazione di query personalizzate 255, 259
informazioni 257
tipi di risultato 257
Creazione risposte, procedura guidata 241
Creazione tag, procedura guidata 131
credenziali
memorizzazione nella cache della distribuzione 154
modifica di registrazioni di database 283
credenziali di distribuzione degli agent 154
criteri di ordinamento
basati su indirizzo IP 120
basati su tag 109, 114, 120
configurazione 120
gruppi, automatico 109
indirizzo IP 113
ordinamento dei sistemi in gruppi 111
per gruppi 120
criteri di ordinamento basati su tag 109, 114
D
dashboard 93
concessione delle autorizzazioni 246
configurazione 245
configurazione degli strumenti di monitoraggio 249
configurazione per rapporti esportati 280
creazione di istantanee 309
gestione 246
importazione ed esportazione 248
impostazioni predefinite 253
introduzione 245
spostamento e ridimensionamento di strumenti di
monitoraggio 251
strumenti di monitoraggio predefiniti 251
utilizzo 245
340
eliminazione dall'archivio 228
rami di archivio 229
valutazione 214
database
deframmentazione dei dati di tabella 328
impostazione dei ruoli utente 324
invio di query a più server 268
manutenzione 327
modifica delle informazioni 330
panoramica del backup 304
panoramica del ripristino 306
pianificazione dell'istantanea 308
piano di manutenzione per il backup del database SQL 329
porte e comunicazione 20
processo di backup e ripristino 312
query e recupero di dati 256
recupero 327
ripristino dell'SQL 308
strumenti di gestione 323
database SQL
attività di manutenzione SQL, utilizzata per deframmentare
i dati di tabella 328
pianificazione dell'istantanea 308
piano di manutenzione per il backup del database SQL 329
ripristino del database 308
strumenti di gestione 323
definizione dei rilevamenti, file 15
Directory (vedi struttura dei sistemi) 122
disaster recovery
attività del server 308
componenti 300
configurazione delle istantanee 308
definizione 299
istantanea 299
panoramica 304
passphrase cifratura keystore 300
Disaster Recovery
informazioni necessarie per 304
disattivazione della funzionalità di inoltro degli agent 148
distribuzione
Vedere anche distribuzione dei prodotti
agent 180
aggiornamento globale 220
attività 206
attività, per sistemi gestiti 209
Guida del prodotto
Indice
distribuzione
Vedere anche distribuzione dei prodotti
(segue)
installazione dei prodotti 209, 210
pacchetti supportati 206
prodotti e aggiornamenti 208
prodotti e aggiornamenti, prima 208
sicurezza dei pacchetti 206
distribuzione dei prodotti
confronto con il metodo di distribuzione delle attività client
173
creazione 177
informazioni su monitoraggio e modifica 176
metodi 173
monitoraggio e modifica 179
utilizzo, configurazione automatica 34
DMV (Dynamic Management View) 328
documentazione
convenzioni tipografiche e icone 11
destinatari della guida 11
specifica del prodotto, reperimento 12
domini NT
aggiornamento di gruppi sincronizzati 126
importazione in gruppi creati manualmente 124
sincronizzazione 111, 124
E
elementi dei rapporti
configurazione dei grafici 276
configurazione del testo 275
configurazione delle immagini 275
configurazione di tabelle 276
rimozione 277
riordino 278
elenchi
filtraggio 22
ricerca 22
Elenco di compatibilità del prodotto
configurazione dell'origine del download 171
panoramica 169
eliminazione di problemi 289
eliminazione di problemi chiusi 290
manuale 290
accesso e disconnessione 19
aggiungi ai siti affidabili 282
connessione di console remota 333
funzionalità essenziali 36
funzionamento del software 16
presentazione 13
ereditarietà
definizione 107
e impostazioni delle policy 185
interrotta, reimpostazione 202
visualizzazione per policy 202
Ereditarietà interrotta
creazione di query 198
Esegui criteri di applicazione tag, azione 131
esportazione
archivi 93
assegnazioni di policy 93
attività 93
dashboard 93
informazioni 92
oggetti attività client 93
policy 93
query 93
rapporti 280
risposte 93, 237
set di autorizzazioni 59, 61
sistemi 93
tag 93
esportazione di sistemi 118
eventi
definizione degli eventi da inoltrare 238
eventi di conformità 270
filtraggio, impostazioni del server 20
inoltro e notifiche 235
notifiche, intervalli 239
eventi di policy
risposta a 150
F
failback al server originale 306
file CRL, aggiornamento nell'autenticazione basata su certificato
51
file DAT, aggiornamento
attività quotidiana 212
considerazioni per la creazione di attività 212
da siti di origine 68
distribuzione 208
nell'archivio principale 66
pianificazione di un'attività 212
verifica delle versioni 214
file di elenco degli archivi
aggiunta di un archivio distribuito 77
esportazione in 84
importazione da 85
informazioni 67
priorità dei gestori di agent 97
SiteList.xml, utilizzi 67
utilizzo 83
file di estensione
installazione 227
file di registro
filtri
elenco 22
Guida del prodotto
341
Indice
filtri (segue)
impostazione di regole di risposte 240
impostazioni di Filtraggio eventi 20
per il registro delle attività server 295
risultati della query 257
FTP, archivi
informazioni 65
modifica 80
funzionalità di inoltro, attivazione 149
funzionalità di inoltro, disattivazione 148
funzionalità, ePolicy Orchestrator
componenti 16
G
gerarchia di SuperAgent 146
gestione cloud
funzionamento del software 16
gestione dei problemi 287
Gestione dei ticket con McAfee ePO 291
gestione della sicurezza 103
gestione delle policy
mediante gruppi 106
utilizzo di attività client 214
Gestore di prodotti software 167
compatibilità del prodotto 169
contenuto 167
deposito di estensioni 168
deposito di pacchetti 168
informazioni 167
rimozione di estensioni 168
rimozione di pacchetti 168
software di valutazione 168
software in licenza 168
gestori
priorità 97
raggruppamento di agent 102
spostamento di agent 100
Gestori degli agent
modalità di autenticazione 95
priorità nel file sitelist 97
gestori di agent
assegnazione di agent 98
configurazione e gestione 97
funzionamento 95
informazioni 95
più 95
priorità delle assegnazioni 101
quando non utilizzarli 28
quando utilizzarli 28
scalabilità 28
342
gestori di agent
spostamento di agent 100
globali, amministratori, vedere amministratori
grafici, vedere query 257
gruppi
aggiornamento manuale con domini NT 126
applicazione delle policy per un prodotto 191
basati su criteri 114
configurazione dei criteri per l'ordinamento 120
controllo dell'accesso 58
creazione manuale 116
criteri di ordinamento 120
definizione 106
importazione di domini NT 124
incollare assegnazioni di policy 193
ordinamento, automatico 109
policy, ereditarietà 107
raccolta 114
sistemi operativi e 109
spostamento manuale di sistemi 127
utilizzo dell'indirizzo IP per la definizione 108
visualizzazione di assegnazioni di policy 201
gruppi di gestori
creazione 99
eliminazione 100
informazioni 97
modifica delle impostazioni 100
gruppi di raccolta 114
gruppo Organizzazione della Struttura dei sistemi 105
gruppo Smarriti 106
GUID (Global Unique Identifier) 114
H
HTTP, archivi
informazioni 65
modifica 80
I
importazione
archivi 93
assegnazioni di policy 93
attività 93
dashboard 93
elementi di base 92
oggetti attività client 93
policy 93
query 93
rapporti 280
risposte 93, 237
set di autorizzazioni 59, 61
sistemi 93
tag 93
Guida del prodotto
Indice
aggiornamenti globali 73
categorie predefinite 20
certificati SSL 52
impostazioni proxy 39
Internet Explorer 72
notifiche 233
porte e comunicazione 20
proxy, e archivi principali 63
tipi 20
Impostazioni predefinite personali, policy
domande frequenti 335
impostazioni proxy
agent 72
configurazione per l'archivio principale 71
indirizzo IP
come criteri di raggruppamento 108
come criterio di ordinamento 120
criteri di ordinamento 115, 120
IPv6 28
maschera di sottorete, come criteri di ordinamento 120
ordinamento 113
verifica sovrapposizione IP 113
informazioni sulla guida 11
installazione 25
pianificazione 27
installazione del prodotto
configurazione delle attività di distribuzione 209, 210
Installazione dei file di estensione 227
interfaccia
barra Preferiti 19
menu 19
Menu 20
navigazione 19
Internet Explorer
configurazione delle impostazioni proxy 72
download bloccati 282
intervalli
tra le notifiche 239
intervallo per gli eventi di notifica 239
istantanea
creazione 309
creazione da un'API web 310
creazione dalla dashboard 309
Dettagli registro delle attività server 309
impostazioni predefinite di pianificazione 308
panoramica 304
parte del disaster recovery 299
record salvati nel database 304
strumento di monitoraggio della dashboard 300
istantanee
configurazione 308
L
larghezza di banda
archivi distribuiti 63
attività di replica 222
considerazioni per le attività di pull 221
considerazioni relative all'inoltro di eventi 238
larghezza di banda della rete, vedere organizzazione della
struttura dei sistemi 108
limitazione, vedere notifiche
Link McAfee, strumento di monitoraggio predefinito 251
M
McAfee Agent
proprietà, visualizzazione 153
statistiche 149
McAfee Agent, vedere agent 16
McAfee Default, policy
McAfee Product Improvement Program
configurazione 225
rimozione del programma 225
McAfee ServicePortal, accesso 12
Menu
navigazione nell'interfaccia 20
messaggi di accesso 42
messaggi di accesso personalizzati 42
messaggio
accesso personalizzato 42
Microsoft Internet Information Services (IIS) 65
Microsoft Windows Resource Kit 119
modalità di valutazione 39
modifica di problemi 289
modifica di registrazioni di server di database 283
Modifica ramo, azione 214
motori
eliminazione dall'archivio 228
rami di archivio 229
N
navigazione
barra di navigazione 20
basata su menu 19, 20
Menu 20
navigazione basata su menu 19
notifiche
assegnazione di autorizzazioni 236
destinatari 232
funzionamento 232
inoltro di eventi 235
limitazione, aggregazione e raggruppamento 232
server SNMP 90, 237
Nuovo gruppo, procedura guidata
creazione di nuovi gruppi 266
Guida del prodotto
343
Indice
O
Ordina ora, azione 111
ordinamento della struttura dei sistemi
attivazione 121
comunicazione agent-server 113
criteri basati tu tag 114
impostazioni del server e di sistema 20, 113
indirizzo IP 113
Ordina sistemi una volta 113
ordinamento dei sottogruppi 114
organizzazione della struttura dei sistemi
con sottogruppi 124
confini nella rete 108
considerazioni relative alla pianificazione 107
file di testo, importazione di sistemi e gruppi 119
importazione di contenitori Active Directory 122
importazione di sistemi e gruppi 117, 119
larghezza di banda della rete 108
mappatura di gruppi su contenitori Active Directory 122
sistemi operativi 109
spostamento manuale di sistemi in gruppi 127
voci duplicate 124
P
pacchetti
configurazione dell'attività di distribuzione 210
sicurezza 206
spostamento tra rami dell'archivio 229
pacchetti di distribuzione dei prodotti
aggiornamenti 206
deposito 228
pacchetti supportati 206
sicurezza e firma dei pacchetti 206
pacchetti selezionati
disattivazione della replica 80
evitare la replica 79
pacchetto per le lingue supportate, vedere agent 108
passphrase cifratura keystore
impostazione 313
password
formati supportati 47
modifica per gli account utente 41
pianificazione
applicazione di tag basati sui criteri 136
attività del server con la sintassi cron 223
istantanea del disaster recovery 308
pianificazione attività server
per condivisione di policy 204
più server di McAfee ePO
condivisione delle policy 204
policy 93
assegnazione e gestione 187
cambiare il titolare 188
categorie 183
condivisione tra server di McAfee ePO 188
configurazione 187
confronto 202
controllo nella pagina Catalogo policy 186
ereditarietà 185
ereditarietà dei gruppi, visualizzazione 202
ereditarietà interrotta, reimpostazione 202
gestione, nella pagina Catalogo delle policy 186
importazione ed esportazione 183, 189, 190
impostazioni, visualizzazione 200
informazioni 183
modalità di applicazione ai sistemi 185
proprietà 185, 201
risposta agli eventi 150
risposta automatica 150
utilizzo con il Catalogo policy 186
utilizzo di tag per l'assegnazione 197
verifica delle modifiche 153
visualizzazione 183, 199
Policy applicate
policy basate sul sistema
criteri 196
informazioni 196
policy basate sull'utente
criteri 196
informazioni 196
porta di comunicazione dell'agent 155
porte
comunicazione agent 155
impostazioni del server e comunicazione 20
Precedente, ramo
definizione 66
salvataggio delle versioni dei pacchetti 228
spostamento di pacchetti DAT e del motore 228
problemi
aggiunta di commenti 289
assegnazione 289
creazione 288
creazione automatica da risposte 289
eliminazione 289
gestione 287
informazioni 287
modifica 289
utilizzo 287
visualizzazione di dettagli 289
piano di manutenzione, SQL Server 326
344
Guida del prodotto
Indice
problemi, eliminazione
problemi chiusi 290
problemi chiusi in base a una pianificazione 290
Procedura guidata Creazione attività server 136
procedure consigliate
blocco assegnazione delle policy 185
creazione della struttura dei sistemi 115
distribuzione dei prodotti 206
duplicazione policy prima dell'assegnazione 185
importazione di contenitori Active Directory 122
intervallo di comunicazione agent-server 139
processo di backup e ripristino
per database SQL 312
piano di manutenzione per il database SQL 329
product improvement program
configurazione 225
rimozione del programma 225
progetti di distribuzione dei prodotti
informazioni 173
proprietà
McAfee Agent, visualizzazione dalla console 153
prodotto 152
sistema 152
verifica delle modifiche alle policy 153
proprietà del prodotto 152
Q
query 93
agent 153
autorizzazioni 255
azione secondaria 261
azioni su risultati 256
cambiamento di gruppo 266
configurazione 258
creazione di una query di conformità 270
esecuzione esistente 261
esportate come rapporti 256
esportazione in altri formati 267
filtri 257
formati di rapporto 256
gruppo di query personale 266
informazioni 256
personalizzate, gestione 259
pianificate 261
raggruppamento, da più server 268
risultati come strumenti di monitoraggio della dashboard
256
risultati sotto forma di tabella 257
tipi di grafico 257
tipo di risultati 268
utilizzo 258
utilizzo dei risultati per escludere i tag dei sistemi 134
utilizzo in un'attività server 270
R
raggruppamento, vedere notifiche
raggruppamento dati, attività server 269
rami
Corrente 229
eliminazione di pacchetti DAT e del motore 228
Modifica ramo, azione 214
Precedente 228
spostamento manuale di pacchetti 229
tipi e archivi 66
Valutazione 214
rapporti 243
aggiunta a un gruppo 278
aggiunta di elementi 274
configurazione 258
configurazione degli elementi immagine 275
configurazione degli elementi testo 275
configurazione del modello e del percorso 280
configurazione di elementi grafico 276
configurazione di elementi tabella 276
creazione 255, 273
eliminazione 281
esecuzione 279
esecuzione con un'attività server 279
esportazione e importazione 280
formati 256
informazioni 271
intestazioni e piè di pagina 277
pianificazione 279
rimozione di elementi 277
riordino di elementi 278
risultati di query esportati 256
struttura e formato pagina 271
utilizzo 272
visualizzazione dell'output 278
registrazione di server di database 91
registro delle attività server
visualizzare, filtrare ed eliminare attività 295
Registro delle attività server
informazioni 224
registro di verifica
utilizzati con Distribuzione prodotti 177
visualizzazione ed eliminazione della cronologia delle azioni
293
eliminazione automatica 294
informazioni 293
informazioni 296
visualizzazione ed eliminazione 298
regole
configurazione di contatti per risposte 241
impostazione per notifiche, server SNMP 238
impostazioni predefinite per le notifiche 233
Guida del prodotto
345
Indice
regole di assegnazione
agent e gestori 100
regole di assegnazione di policy 194
basate sul sistema 194
basate sull'utente 194
creazione 197
criteri delle regole 194
e policy per più percorsi 195
eliminazione e modifica 197
importazione ed esportazione 197
informazioni 194, 195
modifica priorità 197
policy basate sul sistema 196
policy basate sull'utente 196
priorità 195
visualizzazione riepilogo 197
regole di notifica
importazione di file .MIB 238
regole di risposta
creazione e modifica 239
Descrizione, pagina 240
impostazione di filtri 240
impostazione di soglie 241
replica
come evitare la replica dei pacchetti selezionati 79
disattivazione dei pacchetti selezionati 80
requisiti di accesso per la struttura dei sistemi 107
Ricerca rapida 22
Ricerca rapida dei sistemi, strumento di monitoraggio
predefinito 251
riga di tabella, selezione di caselle di controllo 23
rimozione di registrazioni di server di database 283
scalabilità
pianificazione 27
verticale 27
server
condivisione di oggetti tra 91
condivisione di policy 188
coppia di chiavi dell'archivio principale 158
database 282
Disaster Recovery 304
importazione di policy 190
importazione ed esportazione di policy 183
importazione ed esportazione di query 267
impostazioni e controllo del comportamento 20
panoramica della configurazione 31
quando utilizzarne più di uno 27
registrazione di altri server di McAfee ePO 87
Registro delle attività server, informazioni 224
Server di McAfee ePO, componenti 16
server LDAP, registrazione 89
SNMP, e notifiche 237
SNMP, e risposte 237
SQL, autorizzazioni 324
tipi che è possibile registrare 87
tipi di server supportati 87
trasferimento di sistemi 128
upgrade dell'hardware mediante disaster recovery 299
server di database
informazioni sull'utilizzo 282
modifica di registrazioni 283
risoluzione dei problemi
registrazione 91
autenticazione del certificato client 51
rimozione 283
distribuzione dei prodotti 206
utilizzo 283
verifica delle proprietà dell'McAfee Agent e dei prodotti 153
server e-mail
risposte 93, 237
configurazione delle risposte 235
assegnazione di autorizzazioni 236
server LDAP
configurazione 234, 235, 241
strategie di autenticazione 44
configurazione per la creazione automatica di problemi 289
server LDAP, registrazione 89
contatti per 241
server registrati
aggiunta di server SNMP 90
inoltro di eventi 234
attivazione di condivisione policy 203
pianificazione 233
registrazione 87
regole che attivano 241
server LDAP, aggiunta 89
server SNMP 237
supportati da ePolicy Orchestrator 87
risposte automatiche 150, 231
server SNMP
Vedere anche risposte
S
scalabilità
con gestori degli agent 28
con più server 27
informazioni 27
orizzontale 27
346
registrazione 90
server SQL, vedere database
ServicePortal, reperimento della documentazione del prodotto
12
set di autorizzazioni 93
applicazione ai gruppi di Active Directory 44
Guida del prodotto
Indice
set di autorizzazioni 93 (segue)
assegnazione a rapporti 278
esempio 58
esportazione e importazione 59, 61
gestione 59
interazione con utenti e gruppi 58
mappatura a gruppi di Active Directory 43
struttura dei sistemi 107
utilizzo 59
sincronizzazione
Active Directory 111
distribuzione automatica di agent 110
domini NT 111
esclusione di contenitori Active Directory 110
pianificazione 125
prevenzione di voci duplicate 111
Sincronizza ora, azione 109
sistemi e strutture 111
solo sistemi, con Active Directory 111
sincronizzazione dei domini 108
sincronizzazione della struttura dei sistemi
pianificazione 125
rispetto alla struttura di Active Directory 122
sincronizzazione di Active Directory
attività 109
confini e 108
eliminazione di sistemi 109, 110
gestione di voci duplicate 109
rispetto alla struttura dei sistemi 122
Sincronizza ora, azione 109
sistemi e struttura 111
tipi 110
sistemi 93
applicazione delle policy per un prodotto 192
assegnazione di policy 190, 191
esportazione della struttura dei sistemi 118
incollare assegnazioni di policy 193
ordinamento in gruppi 121
proprietà 152
visualizzazione di assegnazioni di policy 201
sistemi gestiti
assegnazione di policy 201
attività 209
attività di distribuzione 209
comunicazione agent-server 139
gestione delle policy 183
installazione dei prodotti 210
invio di query di raggruppamento 268
ordinamento, basato su criteri 111
sistemi operativi
filtri per regole di risposte 240
raggruppamento 109
sistemi legacy (Windows 95, Windows 98) 109
sitelist, file 97
siti
eliminazione di origine o fallback 70
fallback 63, 68
scambio di origine e fallback 70
siti di fallback
configurazione 68
eliminazione 70
informazioni 63
modifica esistenti 70
scambio con origine 70
siti di origine
aggiornamenti dei prodotti 63
configurazione 68
creazione 69
eliminazione 70
fallback 63
importazione da SiteMgr.xml 85
informazioni 63
pacchetti di aggiornamento 208
scambio con fallback 70
Software ePolicy Orchestrator
informazioni 15
sottogruppi
e gestione delle policy 124
sottoreti, come criteri di raggruppamento 108
SPIPE 139
SQL Server
considerazioni sul piano di manutenzione 326
modifica delle informazioni 330
strumenti di monitoraggio
configurazione 249
strumenti di monitoraggio della dashboard
spostamento e ridimensionamento 251
utilizzo 248
strumenti di monitoraggio delle dashboard
configurazione 249
strumenti di monitoraggio, disaster recovery
stato dell'istantanea 300
strumento per la migrazione dei dati
utilizzato per il controllo di compatibilità del prodotto 169
assegnazione di policy a un gruppo 190
creazione, automatizzata 108
ordinamento basato su criteri 111
precompilazione dei gruppi 115
raggruppamento di agent 102
requisiti di accesso 107
set di autorizzazioni 107
Struttura dei sistemi
definizione 106
eliminazione di sistemi 106
Guida del prodotto
347
Indice
Struttura dei sistemi (segue)
gruppi figlio ed ereditarietà 107
gruppi padre ed ereditarietà 107
gruppo Smarriti 106
livello Organizzazione 105
struttura 105
struttura del sistema
gruppi e chiamate di attivazione manuali 142
Suggerimenti di McAfee
duplicazione policy prima dell'assegnazione 185
SuperAgent
archivi distribuiti 65
chiamate di attivazione 142, 143
chiamate di attivazione a gruppi della struttura del sistema
142
conversione agent 144
gerarchia 146
informazioni 143
memorizzazione nella cache 145
SuperAgent, archivi
aggiornamento globale, requisiti 219
attività 74
creazione 74
eliminazione 76
informazioni 65
replica di pacchetti 75
T
tag 93
applicazione 136
applicazione manuale 135
creazione con la procedura guidata Creazione tag 131
creazione, eliminazione e modifica di sottogruppi 133
348
tag 93
criteri di ordinamento di gruppi 109
esclusione dei sistemi dall'aggiunta automatica di tag 134
modifica, eliminazione, esportazione e spostamento 132
ordinamento basato su criteri 120
tag basati sui criteri
applicazione 136
ordinamento 120
tag, sottogruppi
creazione, eliminazione e modifica 133
Test ordinamento, azione 111
tipi di server
supportati da ePolicy Orchestrator 87
U
utenti
set di autorizzazioni e 58
utilità
NETDOM.EXE, creazione di un file di testo 119
utilità NETDOM.EXE, creazione di un file di testo 119
V
Valutazione, ramo
definizione 66
utilizzo per nuovi file DAT e del motore 214
Verifica integrità IP, azione 113
visualizzazione di dettagli dei problemi 289
voci duplicate nella struttura dei sistemi 124
W
Windows
autenticazione, configurazione 43, 46
autorizzazione, configurazione 46
Guida del prodotto
0B04

Software ePolicy Orchestrator 5.1.0 Guida del prodotto

Transcript

Documenti analoghi

Internet Security 2009

VirusScan Plus 2009

Configurare DAP-1360 come un Access Punto utilizzando Mac OS

McAfee All Access - Guida all`installazione per PC

Knowledge Base

McAfee Internet Security 2011

McAfee® VirusScan® Plus con SiteAdvisor™ AntiVirus

McAfee ePolicy Orchestrator 5.3.2

McAfee® Total Protection con SiteAdvisor™ Plus

McAfee VirusScan Plus