» Корпоративные продукты McAfee / Networks Associates (NAI)

Привет всем, подскажите пожалуйста, что именно нужно создать и где (если я правильно понять то создавать нужно в Task'ах) чтобы:

1. На компьютеры на которых еще нет агента он установился. (раньше руками запускал установку агента, но достало чесно говоря, и кто может подскажите что будет если на комп где уже стоит агент поставвить его по новой?)

2. И ежедневно выполнялось обновление баз на стороне клиениа. (на сервер базы закачиваються + для общего развития настроил репликацию на расшаренный ресурс.)

3. Если у меня стоит ePo 3.6.1, на клиентах 8.5.0i - патч 1 - что мне нужно сделать чтобы обновить антивирь до сегодняшней свежести.

4. На новый комп установить сам антивирь с патчами (хотя это не так принципиально)


В идеале хотелось бы получить следующую картину, включил комп в домен, подождал 20 мин. ни чего с компом не делая, на выходе получил комп с антивирем и агентом, который раз в сутки обновляет базы антивирусов.

Кто осилит???

Если используется VSE 8.5 в Unmanaged режиме, то так ли это, что при его деинсталляции или во время установки патчей настоятельно рекомендуется вручную отключать защиту от измений (от остановки процессов VSE).

Например сегодня при попытке деинсталяции VSE 8.5+patch 5 через установку и удаление программ
на компьютере Core2 6550/2048/Maxtor/GF8600/XP SP2 Pro Rus 32bit
возник
BSOD с текстом приблизительно:
Driver_Unloaded_without_cancelling_pending_operations
stop: 0x000000CE
mfeapfk.sys
После перезапуска OS значек McAfee остался, но он стал без патчей и AV баз. Также он изчез из установки и удаления программ. Пришлось накатить поверх McAfee VSE 8.5 с интегрированным patch5. Вроде завелся. Потом позволил себя деинсталлировать.

На другом компьютере в прошлом, когда ставил patch 5 на VSE8.5+patch4 произошло зависание процесса инсталляции т.д. Тогда также не отключал перед установкой защиту от изменений.

То есть защиту от остановки сервисов McAfee перед вручную (EPO не используется) деинсталляцией и установкой патчей надо отключать?

В репозитории ePO 4.0 лежит FramePkg.exe. Но собран он видимо сервером в незапамятные времена при установке ePO и содержит внутри себя SiteList.xml содержащий старый IP сервера ePO.
В результате при первоначальной установке агент пробует ломиться на старый IP где его никто не ждет, затем это исправляется при поиске сервера по DNS-имени, но все таки очень это не нравиться.
Как можно заставить ePO пересобрать FramePkg.exe???

Добавлено:
SergIRBIS

Я осилю Примерно так и работает только с ePO 4.0.
Установка -самое лучшее что придумал - это скрипт загрузки, при загрузке компа с помощьюу групповой политики запускается скрипт который проверяет наличии на машине службы агента, если такой нет запускает установку агента.

Остальное очень долго рассказывать лучше почитать хелп по ePO он очень понятный и логичный. Для 3.6 - он где то в папке гуда ePO установлено. Для 4.0 могу скинуть в формате pdf. Небольшой минус и то и другое на английском.

R3G3Oxl3

Это может показаться наглым, но можно ли вас попросить выложить текст срипта оч. сократило бы время получения результата... (не силен в программировании даже скриптов.)


А вообще мне тогда не понятно, а как обновлять антивирь если он установлен и нужно пач поставить, тоже скриптом ?

Ситуация такая: агента можно поставить щелкнув по домену и выбрав установить агента правда если на половине компов уже стоит агент начинается каша где-то поставилось где-то нет, и + где агент стоял начинает комп подвисать и потом не корректно работает...

SergIRBIS
ответы по очереди:
1. Продукт централизованного управления ePolicy Orchestrator от версии 3,5 до 4,0 поддерживает систему автоматической установки агента (а если настроено, то потянет за собой и установку VSE, MASE, etc.) на машины которые были вот вот заведены в домен и обнаружены как "Rogues" - "Жулики". Сейчас в версии 4,0 это немного по-другому, но можно этого добиться.

Цитата:

что будет если на комп где уже стоит агент поставвить его по новой?

ничего страшного не будет, обновятся настройки, политики и т.д.
2. Создать Task "Update Agents", выбрать Daily, время и т.д.
3. Имеется в виду обновиться до Patch5? Тогда нуно добавить пакеты Patch5 на сервер еРО, он сам его обновит всех клиентов до нужной версии.
4. Send Agent Install или Deploy Agent, но не забыть перед этим создать таск Deployment!

Цитата:

В идеале хотелось бы получить следующую картину, включил комп в домен, подождал 20 мин. ни чего с компом не делая, на выходе получил комп с антивирем и агентом, который раз в сутки обновляет базы антивирусов.

Мы все давно уже так и работаем!
alx19
Работаю строго через еРО, по поводу "ручками" - не приходилось...
R3G3Oxl3
По идеи FramePkg должен сам обноситься после удачного соединения с сайтом с обновлениями, или создай заново Distributed Repository в Software.

Rossiyanka

Спасибо за ответ я где-то в ветке натыкался на ваш развернутый ответ по похожему вопросу, но тогда не до этого было а сейчас несколько часов поисав не нашел то что хотелось бы, в четверг пошаманю с инструкцией и с этим топиком..... надеюсь все настрою но если что то уж извените будем засорять эфир

Кстати очень интересует вопрос кто может знать сколько стоит ePo + VSE 8.5i (шт.200-300) просто не очень хочется такой вопрос задавать софтовым конторам а изучить порядок цен для представлению начальству хотелось бы......

Rosiyanka
Вопрос с перепаковкой я решил, проблема была в том что в репозитории самого ePO (Master Repository) лежала старая сборка. сделал следующим образом положил все службы МкАфее удалил FramePkg.exe и Framework.z из папки репозитория (ручками с помощью проводника, а не через веб-консоль). Запустил службы они создали новые сборки.

SergIRBIS
Вот скрипт CMAInstall.wsf:

<job id="Install McAfee Common Management Agent">

<script language="VBScript">
    Option Explicit
    On Error Resume Next

'------------------- E-MAIL Settings ----------------------------
Const MailRecipient = "admin_emails@domain.com"
Const SMTPServer = "mail.domain.com"
'--------------------------------------------------------------------
    
    Dim wshShell, objWMIService, colItems, objItem, objNetwork, objMessage
    Dim CMAExists, CMARunning
    Dim SendMail, MailBody
    
    'init variables
    CMAExists = False
    CMARunning = False
    SendMail = False
    MailBody = ""
    Set wshShell = CreateObject("WScript.Shell")
    Set objNetwork = CreateObject("WScript.Network")
    Set objMessage = CreateObject("CDO.Message")
    
    ' CMA exists???
    Set objWMIService = GetObject("winmgmts:\\.\root\CIMV2")
    Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_Service",,48)
    For Each objItem In colItems
        If objItem.Name = "McAfeeFramework" Then
            If CStr(objItem.State) = "Running" Then
                CMARunning = True
            End If
            CMAExists = True
            Exit For
        End If
    Next
    
    If Not CMAExists Then
        wshShell.Run "FramePkg.exe /Install=Agent /ForceInstall /Silent",0,False
        MailBody = MailBody + "- CMA service don't exists. Start CMA install." + vbCrLf
        SendMail = True
    Else
        If Not CMARunning Then
            MailBody = MailBody + "CMA service exists, but not running!"
            SendMail = True
        End If
    End If
    
    
    If SendMail Then
        'initialize mail
        objMessage.From = objNetwork.ComputerName + "<McAfee@domain.com>"
        objMessage.To = MailRecipient
        objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/sendusing")=2
        objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = SMTPServer
        objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
        objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate")=0
        objMessage.Configuration.Fields.Update
        
        objMessage.Subject = "CMA - " + objNetwork.ComputerName
        objMessage.TextBody = MailBody
        objMessage.Send
    End If
</script>
</job>

Скрипт делает простые вещи:
- проверят есть ли среди служб служба с названием "McAfeeFramework" и находится ли она в состоянии "Запушена";
- если службы нет - запускается инсталяция агента (FramePkg.exe с параметрами)
- если запущена инсталяция или служба не работает (остановлена или задисейблена), то отправляется отчет по электронной почте руководствуясь параметрами указанными в начале скрипта.

FramePkg.exe должен лежать в той же папке, что и скрипт. Я кладу оба в папку объекта групповой политик предназначенную лдя скриптов.

R3G3Oxl3

Цитата:

для решения таких проблем был продукт Prescan 1.0.2

C некоторых пор, тоже очень интересует этот вопрос. У вас как, нашлось решение? В принципе, Prescan к епо4 прикручивается или нет? А то можно было-бы просто базы подсовывать...

Цитата:

агент пробует ломиться на старый IP где его никто не ждет

Это меня тоже достало...

Цитата:

А вообще мне тогда не понятно, а как обновлять антивирь если он установлен и нужно пач поставить, тоже скриптом ?

Конечно нет, скриптом вам нужно только установить на машины агента, после того как он установиться вы можете управлять машинами с помощью ePO создавать задачи на развертывание-удаление антивируса или др. продуктов, задачи на обновление (МкАфее рекомендует пользоваться Gloabl Updating вместе таких задач) и т.п. и т.д.
То есть еще раз повторюсь, скрипт нужен ТОЛЬКО для установки самого агента ePO.
Почему скрипт? Почему не встроенный функционал ePO? Потому что в итоге так удобнее, функциональнее, надежнее и безопаснее. Каждая машина при каждой своей загрузке самопроверяется и при необходимости инициирует установку агента, пропустить ее невозможно.


Добавлено:

Цитата:

Цитата:
агент пробует ломиться на старый IP где его никто не ждет

Это меня тоже достало...

как я это решил см. выше. Ответ на вопрос кстати был найден здесь https://knowledge.mcafee.com/SupportSite/supportcentral/supportcentral.do?id=m1

ogamy

Цитата:

Prescan к епо4 прикручивается или нет?

прикручивается! Но настроек не имеет!

Цитата:

прикручивается! Но настроек не имеет!

Уже проверил((( Абыдна. Rogue System Detection 2.0 Beta есть, а Prescan нет. Жаль...

Добрый день.
Поможите чем можите. Есть небольшая сеть и защищена она симантеком, что еня очень удручает. Хотелось бы узнать как можно с помощью МкАфи по возможности все сторонне защитится и что именно и где выкачать?!
Заранее благодарен.

korsair
Во - первых нужно исходить из того что у тебя в конторе установлено и от чего ты хочешь защититься. Опиши свою информационную систему, что крутиться, есть ли домен, какой почтовик, прокси и т.д. Потом подберем необходимые продукты от McAfee, их ведь так много!

Сорри. Ни туда запостил.

Имеется: 2 файловых сервера, парк 10 машинок... почтового сервера нет.
Инет через один сервак раздается всем пользователям. прокси пока нет, но планируется, пока выбираю что поудобнее.
Хотелось чтобы было:
файловый антивирус, т.к. манагеры постоянно с флешками работают
защита от атак
если есть такая возможжность то сканирование инет трафика на лету, чтобы нехорошие вещи не могли проникнуть в сеть
ну и удобный файрволл тоже было бы очень здорово

з.ы. есть такие юзвери которые частенько умудряются троянов хватать... ((( и инет не отрубишь и постоянно контроллировать сложно. (начальство)

McAfee ePolicy Orchestrator [?]
а как можно попасть в эту тему?

korsair
1. Для не большой организации пойдет McAfee ProtectionPilot. Варезник тут
2. Если будет прокси, то тогда только под ИСУ - McAfee SecurityShield for Microsoft® ISA Server.
3. Файер - McAfee Desktop FireWall
4. Для машин антивирусник - McAfee.VirusScan.Enterprise.v8.5.0i
5. К нему же - McAfee AntiSpyware Enterprise Module Version 8.5
6. Ну и все патчи к продуктам по этим же линкам, удачи!
muchbrains
Продукт обсуждать тут, а там ведь варезник!

R3G3Oxl3

За скрипт конечно спасибо, жаль только, что у меня пользователи не Админы, и у них нет прав на установку программ но с этим как нибудь разбиремся...... а так вроде в порядке....

Будем мучать дальше пока что все в порядке,

to Rossiyanka

ОГРОМЕННОЕ спс за инфу, и еще вопросик: есть ли для всего этого русификатор. Иногда пользователи пугаются программулин на буржуйском языке.
Интересно а сколько это все может стоить? примерн для 15 компов?

з.ы.
Цитата:

Русскоязычный сайт http://www.mcafee.ru/products/mcafee/

Англоязычный сайт http://www.mcafeesecurity.com/us/products/enterprise_productlist.asp

линки не работают...

korsair
А не все ли равно пользователям на каком языке программа, управлять и работать с ней будешь ведь ты? Но если так настаиваешь тогда только на VSE в шапке.

Цитата:

линки не работают...

mcafee.com

Цитата:

Интересно а сколько это все может стоить? примерн для 15 компов?

вся инфа у партнеров, напр. softline.ru

R3G3Oxl3

все таки у меня что-то работает не так как хотелось бы.

Инженеры которые настраивают компы вводят его в домен потом устанавливают mcaffe, но после того как они ввели комп в домен у них стартует Ваш скрипт и ставит или нет агента (почему пишу ставит или нет, потому что в службах я не вижу той службы которую скрипт ищет, но после установки антивируса и перезагрузки я получаю письмо о том что все в порядке стоит и не жужжит (немного доработал скрипт для теста)).

Однако политики не применяються, вобщем не совсем понятно чтопроисходит...... если запустить ручками ехе то все в порядке ...... что это может быть?

Или нужно обязательно сначала ставить антивирь а после этого запускать скрипт ?

Только что обнаружил, что в Access Protection Policies, если на машине установлена VM, то появляются политики Virtual Machin Protection. Но! на ЕПО 4 этого нет, не совсем понятно как этим управлять?.. Как добавить эти политики на сервак? Искал в Extensions-After и просто в Extensions, но епо говорит, что у меня все установленно...

Добавлено:
Поиск по knowledge-base ничего не дал

SergIRBIS
С оснастке Службы эта служба называется McAfee Framework Service

Добавлено:
Почему неприменяются политики и т.п. надо смотреть логи клиента (http://computer:8081)

R3G3Oxl3

Я не знаю может проблема не в этом была а в чем то другом но после того как я добавил () в строчке "wshShell.Run("FramePkg.exe /Install=Agent /ForceInstall /Silent"),0,False" все стало работать нормально

А вариант с отправкой писем меня просто поразил в возможностях информатизации (почту я не давно поднял поэтому "+" еще не рассматривал ), Отчеты по компам отслеживание различных запущеных процессов и так далее....... огромное спасибо за скрипт, дал огромное поле для деятельности.


ВОПРОС: "У меня скачиваються обновления антивиря по 50 метров это нормально?"

Цитата:

Интересно а сколько это все может стоить? примерн для 15 компов?

35$ host +15$ support на один год, потом только суппорт

Rossiyanka
Есть домен, на сервере (он же контроллер домена) - ISA2006, Exchange, SAV9. Хочу SAV убрать и поставить McAffee... Какие продукты мне нужны? Как я понял, на саму ISA машину ставится McAfee SecurityShield for Microsoft® ISA Server? И он защищает только ее? А на клиентские машины надо ставить McAfee.VirusScan.Enterprise.v8.5.0i? Откуда клиенты будут брать обновления, и как вообще с обновлениями баз дело обстоит?

hardkid007
Для серверной платформы хош ePolicy поставь, хош ProtectionPilot!
McAfee SecurityShield будет защищать входящий инет трафик и все что с ним связано! А сами машинки, а также сервера будут защищены VSE 8.5. Централизованное управление антивирусными средствами: установка ПО, обновления ПО, установка патчей и контроль производится через ePolicy Orchestrator или McAfee ProtectionPilot. Обновление баз производиться по расписанию самого сервера, после его закачки - распространяется на все машинки домена, можно тоже по расписанию! Вот вроде бы и все! Да, кстати, на Exchange есть GroupShield with anti-spam plugin! Удачи!

Rossiyanka
То есть, в моем случае надо ставить:
1. На сервер (на нем же ИСА): Protection Pilot + SecurityShield + VSE8.5
2. На клиенты: VSE 8.5

Насчет обновлений баз вопрос подразумевал следующее - это всё корпоративные "вечные" версии, или подписки на год, или нужны какие-то ключи?

Просьба внести ясность сегодня. Осталась ночь для экспериментов - завтра надо ставить.

Спасибо.

hardkid007
1. VSE8.5 на сервере будет защищать локально, SecurityShield будет защищать канал, Protection Pilot работать со всеми машинами домена, обеспечивать их локальную защиту, получается ставь все вместе, если нет отдельного сервака.
2. да

Уже пять лет работает и без проблем, активация никакая не нужна, продукты с офф. грантов!
Почитай доки как разворачивать систему!

Подскажите где удаляется global unique identifier (GUID) агента Mcafee, установленного на Windows XP Sp2?
P.S Вопрос снимается, нашел. https://knowledge.mcafee.com/SupportSite/dynamickc.do?sliceId=SAL_Public&command=show&forward=nonthreadedKC&externalId=KB40636