Archive | March 2014

McAfee Agent – поради

MA

McAfee Agent (МА) є складовою клієнт-серверної архітектури консолі еРО. МА використовується для керування клієнтськими модулями такими як VSE, DLP, Encryption та ін. Для того, щоб система стала керованою і можна було розгортати на неї продукти, спершу необхідно встановити МА.

Функції МА:

  • Синхронізація політик та задач між еРО та кінцевими точками;
  • Розгортання або оновлення встановлених модулів;
  • Передача подій з кінцевої точки на сервер еРО.

Агент може бути встановленим як на Windows, так і на Linux чи Мас. Актуальна версія агенту (на дату публікації цього допису) – McAfee Agent 4.8 patch 2. Перелік платформ, на які можна розгорнути агент можна знайти тут. Для Windows-систем підтримується можливість автоматичного розгортання. На Mac і Linux необхідно частину дій виконати вручу, але можна застосувати скрипти.

Нижче наведу корисні поради по роботі з МА:

 

I – Перелік вимог для автоматичного розгортання MA під Windows:

  1. На сервері еРО і на кінцевій точці у властивостях мережевого підключення мають бути активовані компоненти “Client for Microsoft Networks” та “File and Printer Sharing for Microsoft Networks“;
  2. На кінцевій точці в налаштуваннях брандмауеру мають бути виключення для file sharing та NetBIOS;
  3. На кінцевій точці має бути активована так звана “адмінська шара” тобто ADMIN$ share;
  4. На кінцевій точці мають бути запущені служби “Server” та “Remote Registry“;
  5. Дані облікового запису локального чи доменного адміністратора для розгортання ПЗ.

(Увага!)

Від себе додам такі поради:

Перевірити наявність/доступність ADMIN$ можна на клієнті командою net share, а з сервера еРО спробою звернутися до клієнту \\PC\C$ де PC це ім’я системи, або її IP адреса.

Якщо ADMIN$ на клієнті присутня, а при спробі звернутися до неї сервер еРО видає помилку мережі необхідно зробити наступне:

  • по-перше вимкнути Simple File Sharing (My Computer\Tools\Folder Options\View – прибрати галку навпроти “Use Sharing Wizard”);
  • по-друге переконатися що доступ до file sharing не блокується брандмауером і що у властивостях мережевого з’єднання компоненти file sharing не вимкнуті;
  • по-третє інколи допомагає просто створити пустий каталог на системному розділі і “розшарити” його з параметрами по-замовчуванню (мережевий доступ для групи Everyone, тип доступу: Read);
  • якщо ж усі вище перераховані поради не вирішили проблему, можна скористатися інструкцією по winsock reset.

 

II – Агент розгорнувся, але не з’явився в області System Tray

Актуально для ОС Microsoft, т.к. GUI поки що є тільки для Windows-версій McAfee Agent. Щоб примусово відобразити агент потрібно виконати наступні кроки:

cmdagent_s

  1. запустити консоль cmd від імені адміністратора
  2. перейти у каталог C:\Program Files (x86)\McAfee\Common Framework\
  3. запустити CmdAgent.exe /S

Частіше таке трапляється у випадку, коли ми працюємо з сервером/робочою станцією не напряму, а через RDP. Проте вказану вище команду можна застосовувати і в тому випадку, коли агент прибирається із області System Tray навмисно, політиками.

 

III – Агент розгорнувся, але не відбувається комунікації із сервером еРО

Перевірити що порти по яким здійснюється комунікація між ePO та MA не блокуються брандмауером з обох сторін.

ePO_def_ports

Стандартні мережеві порти встановлюються під час розгортання консолі еРО. Основні з них:

TCP 80 – inbound connections on ePO

TCP 443 – bidirectional between ePO and MA

TCP 8081 – inbound connections on MA

UDP 8082 – inbound connections on MA (broadcast)

 

IV – Розгорнути McAfee Agent на MAC OS

  1. Згенерувати дистрибутив агенту з консолі еРО або скопіювати із каталогу C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Software\Current\EPOAGENT3700MACX\Install409\ файл install.sh
  2. Перенести install.sh на МАС систему, запустити термінал, перейти в каталог з дистрибутивом
  3. Дозволити запуск командою sudo chmod +x install.sh
  4. Встановити агент командою sudo ./install.sh -i

MA_mac1

MA_mac2Після розгортання агент контролюється консольними командами та логом:

Контроль стану sudo /Library/McAfee/cma/bin/cmdagent /C /E /P /F

Лог /Library/McAfee/cma/scratch/etc/log

 

V – Розгорнути McAfee Agent на Linux

  1. Згенерувати відповідний дистрибутив агенту з консолі еРО або скопіювати із каталогу C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Software\Current\EPOAGENT3700LYNX\Install409\ файл install.sh або installdeb.sh (для Debian-like дистрибутивів Linux)
  2. Перенести дистрибутив агенту на Linux систему, відкрити термінал у каталозі з дистрибутивом
  3. За необхідності змінити права власності файлу chown user:wheel install.sh
  4. Дозволити запуск інсталятора chmod 0777 install.sh
  5. Виконати розгортання від імені root або через sudo виконати ./install.sh -i чи sh install.sh -i

MA_linux

Перевірка статусу служби агента /etc/init.d/cma status

Контроль стану /opt/McAfee/cma/bin/CmdAgent /C /E /P /F

Лог /opt/McAfee/cma/scratch/etc/log

Детальна інформація по актуальній версії McAfee Agent доступна у Product Guide.

Advertisements

Рішення McAfee для Apple

mcafee_dlp_mac_work1

Короткий допис про DLP Endpoint for Mac та Management of Native Encryption. Нові продукти McAfee для захисту систем Apple.

Шифрування

З виходом OS X Lion 10.7 Apple запровадила File Vault 2,  вбудований засіб шифрування системи, який на відміну від попередньої версії дозволяв шифрувати не лише домашній каталог користувача, а й жорсткий диск повністю. У версії OS X Mavericks 10.9 розробниками були внесені зміни у механізм шифрування, через які існуюче рішення McAfee Endpoint Encryption for Mac перестало бути сумісним. Для шифрування актуальних версій OS X (10.9 та вище), McAfee своєчасно розробила і випустила нове рішення: Management of Native Encryption (MNE). MNE дозволяє централізовано керувати вбудованим засобом шифрування (File Vault 2) із консолі McAfee ePolicy Orchestrator. Для активації криптографічного захисту необхідно розгорнути на кінцевих точках Apple два пакети: McAfee Agent та MNE. Після запуску процесу шифрування ключ відновлення (recovery key) з кожної системи автоматично пересилається на консоль ePO. Оператор еРО має змогу налаштувати:

  • активувати File Vault / деактивувати File Vault;
  • при переході в режим очікування прибирати з пам’яті ключ;
  • вимоги до складності паролю (preboot authentication);
  • відображати повідомлення при вході в систему/при активації.

Випуск Management of Native Encryption дозволив компанії McAfee досить оперативно забезпечити захист даних на оновлених системах Apple які використовуються в корпоративному сегменті.

Галерея знімків екрану: налаштування MNE

DLP Endpoint

В червні 2013 року відбувся реліз DLP Endpoint 9.3, який дозволив захищати агентом DLP не лише клієнтські версії ОС Windows, але й серверні, включно із термінальними серверами. Наприкінці 2013 взимку McAfee запровадила першу версію DLP Endpoint для систем на базі Mac OS X. Ця версія отримала порядковий номер 9.3.150.

Для розгортання DLP Endpoint for Mac необхідно в консолі еРО оновити розширення та додати відповідний пакет. Керування політиками і перегляд інцидентів здійснюються як і звичайно – через вкладки DLP Policy та DLP Incident Manager.

Оскільки це перший випуск DLP Endpoint для систем Apple, функціонал у нього досить обмежений – наразі доступно лише керування USB пристроями (блокування/примусове переведення в режим read only). Проте слід зазначити, що поява підтримки Apple систем є гарною тенденцією. Головне те, що тепер сфера застосування DLP Endpoint не обмежується Windows. Маючи досвід налаштування та супроводу McAfee DLP варто сподіватися на стрімке розширення функціоналу.

Галерея знімків екрану: DLP Endpoint for Mac

Висновки

Актуальний перелік рішень McAfee для систем Apple виглядає так:

  • Virus Scan for Mac (антивірус);
  • Endpoint Protection for Mac (антивірус+брандмауер+контроль додатків);
  • Management of Native Encryption (шифрування);
  • DLP Endpoint.

Перший випуск DLP та нове рішення для контролю вбудованого криптографічного захисту дозволили компанії McAfee значно посилити свої позиції на платформі Mac. Враховуючи популярність техніки Apple серед керівництва багатьох компаній з одного боку, та сучасну “моду”/тренд BYOD серед рядових працівників, можна говорити про успішний стратегічний крок. Відтепер департамент інформаційної безпеки має змогу забезпечити захист систем Apple на відповідному рівні.

Будьте обачними при використанні високих технологій.

Владислав Радецький

McAfee NDLP Discover

До комплексу McAfee DLP входить модуль Network DLP Discover.
Він може бути розгорнутий у вигляді віртуальної машини у середовищі VMware ESX(i) або у вигляді програмно-апаратного комплексу. Цей модуль призначений для пошуку та ідентифікації конфіденційної інформації на мережевих загальнодоступних каталогах та/або базах даних.

ndlp
Актуальна версія NDLP Discover 9.3.1 може працювати із такими типами джерел:

  • NFS
  • CIFS
  • FTP
  • HTTP/HTTPS
  • MS SharePoint (2007/2010/2013)
  • EMC Documentum (5.3/6.0/6.5)
  • DB2 (5.x, 6.1, 7.x-9.x)
  • MS SQL (2000/2005/2008)
  • MySQL (5.0.x, 5.1)
  • Oracle 8i, 9i, 10g, 11g

При застосуванні модуля NDLP Discover з’являєтеся можливість запланувати сканування мережевих каталогів чи баз даних. Для сканування модулю необхідно вказати тип джерела, IP адресу та облікові дані користувача з правом зчитування інформації. Для мережевих каталогів можна вказати фільтри/виключення. Для баз даних потрібно вказати схему або окрему таблицю чи навіть перелік рядків.

Discover може проводити сканування в декількох режимах:

Classification – структурує дані за типом та атрибутами;
Inventory – надає перелік файлів та каталогів за вказаним шляхом;
Registration – цифрових відбитки з обраних файлів/таблиць;
Discover – пошук документів, з яких попередньо було знято цифрові відбитки;

Порядок роботи з інформацією на мережевих каталогах наступний:

Classifiaction – Inventory – Registration – Discover

Спершу виконується Classification Scan для того, щоб отримати чітку картину по типу контенту та атрибутам файлів. Потім, звужуючи коло пошуку виконують задачу Inventory Scan для отримання переліку документів/директорій. Результати Inventory Scan використовуються для формалізації задачі Registration Scan – фактично, серед результатів Inventory Scan замовник обирає окремі документи або каталоги з документами, з яких необхідно отримати цифрові відбитки для подальшого контролю даного контенту. І тільки після того, як будуть сформовані цифрові відбитки з обраних документів, їх можна буде застосовувати для виконання Discover Scan, щоб знаходити конфіденційну інформацію на мережевих сховищах.

До знайдених документів за результатами Discover Scan можна автоматично чи в ручному режимі (при розгляді інциденту) застосувати так звані «remediation actions» тобто виконати дії над знайденими документами. Модуль Discover підтримує наступні типи дій над документами, що зберігаються на мережевих сховищах:

  • Копіювання чи переміщення файлу у попередньо обрану теку;
  • Видалення документу (у випадку, якщо користувач необачно забув його на загально доступному сховищі);
  • Шифрування документу (у попередніх версіях NDLP для цього застосовувалась відкрита бібліотека openssl, поточний реліз 9.3.1 використовує для шифрування алгоритм McAfee Endpoint Encryption for Files and Removable Media)

Більш детальна інформація по можливостям McAfee NDLP Discover доступна у PDF файлі (ст. 187-194) ndlp_931_pg_a_en-us

Владислав Радецький