In den letzten zwei Monaten habe ich auf einem VDI-Refresh-Engagement gearbeitet, an denen Technologien wie VMware Horizon View 5.2, VCN (vShield) und McAfee Verschieben, agentenlose Lösung. Der Kunde verwendet die zuvor eine Standard-Agent-Lösung McAfee, mit der in jedem virtuellen Windows-Desktop installierten Agenten. Allerdings besitzen sie die Lizenz für die agentenlose Lösung, und dachte, dass dies eine geeignete Zeit, dies zu untersuchen, um die Umwelt zu optimieren und die beste Leistung bieten, während sie weiterhin ihre virtuellen Desktops zu schützen.
Mit der agentenlose Lösung eine virtuelle Security-Appliance ist auf jedem Host ausgeführt werden, und führt alle Scan sowie Definition und Richtlinien-Updates. Dies reduziert die Last auf dem Host in Bezug auf Speicher und CPU, und auch die virtuellen Windows-Desktop, da es keine Anforderung für das Mittel ist in Windows installiert werden. Die Vorteile liegen auf der Hand, mit einem erhöhten virtuellen Desktop-Leistung und Anti-Viren-Updates und Scannen Stürme, eine Sache der Vergangenheit. Sie können auch die Lösung aus dem McAfee ePolicy Orchestrator verwalten.
Deshalb wird nach der Forschung und eine Probezeit, setzte ich die agentenlose Lösung, und ich dachte, dass ich den Prozess und Macken \ Probleme dokumentieren würde ich auf dem Weg zu finden, falls ein künftiges Engagement diese oder eine ähnliche agentenlose Lösung beinhaltet. Ich hoffe, dass auch andere diese nützlich finden können?
Zunächst einmal kann die McAfee Verschieben Lösung und Produktführer finden Sie hier:
Sie können auch andere externe Referenzen am Ende dieses Beitrags überprüfen.
Die folgende Grafik wird aus der obigen Anleitung von McAfee übernommen und die Komponenten in der Lösung beteiligt skizzieren.
Hinweis: Sicherstellen, dass das Upgrade-Bundle, wie oben genannt wird, sonst werden Sie eine Fehlermeldung erhalten, wenn sie versuchen vShield zu aktualisieren. Ich hatte die Datei nach dem Download umbenennen, um diese gearbeitet, um sicherzustellen. Dieses Problem wurde Dokument von einem anderen Blogger.
Es gibt ein paar von VMware KB-Artikel um diesen Prozess zu unterstützen.
Nach dem VCN (vShield Manager) 5.1.2a aktualisiert wurde, war es Zeit, die vShield Endpoint-Komponente auf jedem ESXi-Host zu installieren. Sie können die Best Practices Guide von hier überprüfen
In Vorbereitung auf die McAfee Verschieben virtueller Security Appliances (VSA) auf jedem ESXi-Host, McAfee ePolicy Orchestrator-Software, die für die Lösung als Management-Station fungiert muss bereitgestellt werden. Die neueste Version 5.01 wurde heruntergeladen und installiert auf Windows Server 2008. Diese vom Kunden durchgeführt wurde, aber es ist ein einfacher Prozess, entweder eine SQL Express oder dedizierten SQL Server-Installation, abhängig von der Größe der Umgebung wählen. Weitere Informationen finden Sie in der Dokumentation von McAfee oder externe Referenzen am Ende des Beitrags.
Im Anschluss an die ePO-Einsatz, müssen Sie "Produkterweiterungen" installieren, um die Funktionalität der ePO-Software zu erweitern und für den Umzug agentenlose Lösung ermöglichen.
Hinweis: Wenn Sie die Details Abschluss im Abschnitt Eigenschaften der Vorlage Deploy OVF ich einige dieser Einstellungen nicht gefunden nach der Bereitstellung der VM zutraf. Zum Beispiel, wenn Sie ein neues Admin-Kennwort für das svaadmin Konto aus irgendeinem Grund das Kennwort ein, wenn nicht zuerst Es gelten die VSA am Konsolenbildschirm einrichten, Sie immer noch das Standardkennwort admin verwenden müssen.
Auch Einstellungen wie die vShield und ePO galt auch nicht, und ich musste neu eingeben diese über die Konsole.
Die VM-basierten Scan-Konfiguration ermöglichen eine weitere granulare Kontrolle, zu einer Gruppe von virtuellen Maschinen geschützt, und dann Richtlinien für diese Gruppen gelten. Sie müssen die entsprechenden Data Center Connector für vSphere zu installieren, die entdeckt und importiert beide laufen und gestoppt Maschine Instanzen von VMware vCenter auf die McAfee ePO-Server. Dieses Produkt integriert das Management-Funktion von McAfee ePO mit dem VMware vCenter Server und zeigt die importierten virtuellen Maschinen und deren Schutzstatus auf McAfee ePO.
Fehlerbehebung
"Keine Route zum Host '
Das fand ich ein Setup-Problem zu sein, nach einem schnellen Ping-Test des Gerätes, die versagt, ich doppelt das Gerät geprüft VM. Beim ersten Einsatz der OVF-Vorlage, ich falsch konfiguriert ist, das Management-Netzwerk, und ausgewählt, um die nächste VLAN in der Liste. Nachdem schnell die VM Bearbeitung und die richtige vNetwork- Auswahl, konnte ich mein Gerät ping und mit vShield Manager registrieren.
Sie können Linux-Befehle wie "Schwanz" verwenden, um die Protokolle zu überprüfen -
Die Protokolle sind ziemlich selbsterklärend, in meiner Erfahrung habe ich den mcafee_agent_registration.log und mvsvc.log, während der Fehlersuche Kommunikation vom Gerät auf dem ePO-Server.
Move-AV-Gerät - VM-Ressourcen
Die Standard-Einsatz der VM wird für 2 GB und 2 vCPU standardmäßig konfiguriert. Ich konnte keine Größen Führung innerhalb der Dokumentation finden, zum Beispiel empfohlenen Spezifikationen für 50+ VMs pro Host oder mehr als 100 VMs pro Host. Die Dokumentation erklärt ein Minimum der obigen Konfiguration. Daher anfänglich eingesetzten ich mit den Standardwerten.
On-Demand-Scans, in dem das Gerät alle VMs auf dem Host zu scannen, kann für ein Fenster Ihrer Wahl geplant werden (vorzugsweise aus der Produktion Stunden). Die On-Demand-Scan-Einstellung ist standardmäßig deaktiviert. Ich ermöglichte, das zu sehen, wie das Gerät und Host während einer Testperiode durchgeführt.
CPU - Ressourcen des Gerätes wurden im On-Demand-Scans ausgereizt, die standardmäßig maximal zwei VMs durchsucht. Sie können diese Einstellung ändern, aber wenn Sie die Anzahl gleichzeitiger Scans zu erhöhen, würde ich raten, eventuell bei der Suche das Verschieben Gerät bis 4 vCPU erhöhen. Solange On-Demand-Scans aus der Produktion Stunden auftreten, ein 4 vCPU Verschieben Gerät mit, die ohne Zweifel die volle Nutzung dieser vCPUs machen (obwohl ich nicht getestet), nicht anderen virtuellen Desktops, die auf dem Host beeinflussen sollte in Bezug auf die ESXi-Co-Scheduling.
RAM - Das Betriebssystem des Gerätes neigt um 1,5 GB RAM, aber wenn Scans On-Demand zu konsumieren statt, die VM alle RAM verfügbar verwendet. Gegen Ende des Scanfenster, fand ich ein paar verschiedene Geräte nur eingesperrt und stürzte ab. Der Host ausgeführt wurde mit rund 50 VMs.
Ich empfehle Erhöhung dies zumindest bis zu 4 GB RAM, möglicherweise 6GB oder 8 GB abhängig von der VM \ Host-Verhältnis.
Ungeschützte-Status
Innerhalb von vShield Manager, Service-VMs (Geräte von Endpoint verwaltet werden), sollte aus dem Inventar nicht sichtbar sein, als Management-Operationen werden nicht unterstützt. Allerdings entdeckte ich ein paar Verschieben Geräte, die unter der Übersichtsseite als Services "Ungeschützt" sichtbar und zeigt, waren.
Ich konnte keine Fehler oder Alarme in den Protokollen von vShield Manager oder über die vShield Registerkarte auf jedem Host in vCenter finden den Client. Von hier aus war der Endpoint-Status auch gut. Doch von der Seite Allgemein, bemerkte ich die "Service-Virtual Machines" Liste als leer. Andere Gastgeber waren die Auflistung der Service-VM.
Die Anmeldung in McAfee ePolicy Orchestrator, zeigten alle Geräte in Verbindung steht und innerhalb der Compliance. Allerdings habe ich aus jedem dieser drei Verschieben Geräte haben bemerkt, die "Bedrohungsereignisse" im ePO war relativ leer für die letzten paar Tage, im Vergleich zu den anderen verschieben Geräte.
Daher dieses Problem zu lösen, hatte ich das Verschieben Gerät von vShield Manager abzumelden, und dann das Gerät wieder zu registrieren.
Aus dem Verschieben-Appliance-Konsole als svaadmin anmelden und den folgenden Befehl ausführen, um die Setup-Konfigurationsskript auszuführen
Führen Sie den SVA-config Befehl erneut (verwenden Sie Tab), geben Sie "Nein" für andere Elemente konfigurieren.
Dieses Mal, wenn für vShield aufgefordert, wählen Sie "Register" und die Details liefern.
Warten auf ein oder zwei Minuten für die Registrierung abzuschließen, dann zu vShield Manager schnell wechseln und den VM-Auswahl zeigt "Operationen auf dieser virtuellen Maschine nicht unterstützt". Warten Sie eine Minute, und die VM aus dem Inventar verschwinden (was ein gutes Zeichen ist!).
Um alle Komponenten zu überprüfen, in vShield Manager, unter dem Inventar, klicken Sie auf Datacenter. Unter Allgemein überprüfen auf jedem Host die Service-VMs (Move Geräte) werden erkannt und ausgeführt wird. Auch überprüfen Endpoint wird für alle Hosts aktiviert.
Externe Referenzen