Всем привет.
В новом McAfee ENS 10.7 много нового и полезного:
• Enhanced Remediation – отчет изменений подозрительных процессов (Rollback)
• Real Protect enhanced script scanning – улучшенная защита от fileless атак
• Story Graph – визуализация сработок на атаки (еРО\Threat Event Log)
• Command Line Scanner (amcfg) – запуск ODS с CLI / bat / MAR / EDR
• Update command line interface (amcfg) – обновления с CLI / bat / MAR / EDR
• On-demand scan CPU throttling – настройка утилизации CPU при сканировании
• Reputation source configuration – выбор между GTI + TIE либо один из двух
• Log all files scanned by ODS – лог файлов проверенных ODS
Меня лично порадовало наличие механизма CLI для выполнения ряда задач. Например ситуация - используя модуль Application Cоntrol мы имеем полный контроль над запуском сторонних процессов, которые не входят в белый список. Но для обновления штатного софта это список надо либо пополнять либо временно отключать Application Cоntrol. Что имеем? Обычно выполняются программы только из белого списка и известные McAfee по репутационной базе, которая сверяется с mcafee.com. Т.е., к примеру, обновления для Windows будут устанавливаться без проблем, а вот обновления для MEDoc – нет.
Для обновления MEDoc нужно перевести его хост в режим обновления, после этого все новые программы попадут в Белый список.
Перевести в режим Update можно 2-мя способами - из ePO и из командной строки. Сегодня оценим простоту выполнения это операции из командной строки.
Итак, на сервере MEDoc в командной строке с правами администратора выполняем:
sadmin recover
Происходит запрос пароля - вводим пароль, который дал вам ваш администратор McAfee.
Далее:
sadmin bu или sadmin begin-update
Вот мы и перевели сервер в режим Update.
Можно устанавливать обновления для MEDoc.
После завершения обновления выполняем шаги обратно:
sadmin end-update
sadmin lockdown
Все. Проверить текущий статус Application Cоntrol можно командной sadmin status.
Успехов.
No comments:
Post a Comment
А что вы думаете по этому поводу?