Главная

Sunday, 1 March 2020

McAfee из командной строки.

Всем привет.

В новом  McAfee ENS 10.7 много нового и полезного:
• Enhanced Remediation – отчет изменений подозрительных процессов (Rollback)
• Real Protect enhanced script scanning – улучшенная защита от fileless атак
• Story Graph – визуализация сработок на атаки (еРО\Threat Event Log)
• Command Line Scanner (amcfg) – запуск ODS с CLI / bat / MAR / EDR
• Update command line interface (amcfg) – обновления с CLI / bat / MAR / EDR
• On-demand scan CPU throttling – настройка утилизации CPU при сканировании
• Reputation source configuration – выбор между GTI + TIE либо один из двух
• Log all files scanned by ODS – лог файлов проверенных ODS

Меня лично порадовало наличие механизма  CLI для выполнения ряда задач. Например ситуация - используя модуль Application Cоntrol мы имеем полный контроль над запуском сторонних процессов, которые не входят в белый список. Но для обновления штатного софта это список надо либо пополнять либо временно отключать  Application Cоntrol. Что имеем? Обычно выполняются программы только из белого списка и известные McAfee по репутационной базе, которая сверяется с mcafee.com. Т.е., к примеру, обновления для Windows будут устанавливаться без проблем, а вот обновления для MEDoc – нет.

Для обновления MEDoc нужно перевести его хост в режим обновления, после этого все новые программы попадут в Белый список.

Перевести в режим Update можно 2-мя способами - из ePO и из командной строки. Сегодня оценим простоту выполнения это операции из командной строки.


Итак, на сервере MEDoc в командной строке с правами администратора выполняем:
sadmin recover

Происходит запрос пароля - вводим пароль, который дал вам ваш администратор McAfee.

Далее:
sadmin bu  или sadmin begin-update

Вот мы и перевели сервер в режим Update.
Можно устанавливать обновления для MEDoc.

После завершения обновления выполняем шаги обратно:
sadmin end-update
sadmin lockdown

Все. Проверить текущий статус Application Cоntrol можно командной sadmin status.
Успехов.

No comments:

Post a Comment

А что вы думаете по этому поводу?