o ePolicy Orchestrator (ePO) oferece suporte ao uso de um instalador de pacote único para ajudar a distribuição do McAfee Agent. Este pacote é separado dos mecanismos de distribuição padrão do ePO. Destina-se a facilitar a instalação do agente usando scripts de logon ou outros processos automatizados.
Como o McAfee Agent Installer requer um nível de privilégio mais alto do que a maioria dos usuários conectados, o binário do instalador deve ter uma maneira de elevar seu nível de privilégio. Para contornar essa limitação, você pode incorporar credenciais no pacote do instalador binário. As credenciais incorporadas permitem que o binário instale o software com êxito.
Important Como um pacote do instalador criado para essa finalidade tem credenciais incorporadas, o acesso a ela deve ser severamente restrito. Use os pacotes do instalador com credenciais incorporadas somente em situações específicas em que outro método de distribuição não esteja disponível.
Se você precisar usar um pacote do instalador com credenciais incorporadas, implemente as seguintes precauções de segurança:
- Usar uma conta que não é de administrador
Crie uma conta com acesso somente ao grupo de administradores locais nos clientes pretendidos. A McAfee recomenda que você use uma conta diferente da que você normalmente usa para as operações.
- Altere suas senhas com frequência
Quando você altera sua senha, ela invalida os binários remanescentes com credenciais incorporadas.
A McAfee recomenda que você altere essa senha e crie um novo binário de distribuição. Você deve empreender essa ação pelo menos semanalmente.
- Desativar a conta quando não estiver em uso
Se você distribuir em vários sistemas em lotes, considere a possibilidade de desativar a conta quando não houver nenhuma distribuição sendo executada. A desativação da conta impede que as credenciais sejam usadas.
- Limitar o acesso da conta
A conta do instalador requer somente direitos de administrador local para os sistemas clientes. Ele não deve ter direitos de acesso a servidores de chave, como:
- Active Directory principal
- Servidores de arquivos
- Servidores de impressão
- Considere não usar esse método em ativos de chave
Quando possível, não use um pacote com credenciais incorporadas nos ativos principais do servidor. Um administrador pode instalar o pacote diretamente no sistema.
- Ativar registros de auditoria de segurança
Ativar e monitor o uso desta conta. Se a conta for usada corretamente, ela exibirá somente um único logon para os clientes pretendidos no momento da distribuição. Investigue imediatamente qualquer outra tentativa de acesso por essa conta.
