ePolicy Orchestrator (ePO) は、単一のパッケージ インストーラの使用をサポートし、McAfee Agent の展開を支援します。 このパッケージは、標準の ePO 展開メカニズムとは別物です。 これは、ログオンスクリプトまたはその他の自動化されたプロセスを使用してエージェントのインストールを容易にすることを目的としています。
McAfee Agent のインストーラは、ほとんどのログオンしているユーザーよりも高い特権レベルを必要とするため、インストーラ バイナリには特権レベルを上げる方法が必要です。 この制限に対応するため、バイナリ インストーラー パッケージに認証情報を埋め込むことができます。 埋め込まれた認証情報は、バイナリがソフトウェアを正常にインストールすることを可能にします。
重要: この目的のために作成されたインストーラパッケージには認証情報が埋め込まれているため、アクセスは厳しく制限されなければなりません。 他の展開方法が利用できない特定の状況でのみ、認証情報が埋め込まれたインストーラパッケージを使用してください。
認証情報付きのインストーラー パッケージを使用する必要がある場合は、以下のセキュリティ上の予防措置を実装する必要があります。
- 管理者以外のアカウントを使用する
対象となるクライアントのローカル管理者グループのみにアクセスできるアカウントを作成します。 McAfee では、普段操作に使用しているアカウントとは別のアカウントを使用することを推奨しています。
- パスワードを頻繁に変更する
パスワードを変更すると、認証情報が埋め込まれたバイナリを無効にします。
McAfee では、このパスワードを変更し、新しい配布バイナリを作成することをお勧めします。 最低でも週に1度はこれを実行しなければなりません。
- 使用していないときはアカウントを無効にする
複数のシステムに一括してデプロイする場合は、デプロイが実行されていないときにアカウントを無効にすることを検討してください。 アカウントを無効にすると、認証情報が使用されなくなります。
- アカウントのアクセスをさらに制限する
インストーラアカウントには、クライアントシステムのローカル管理者権限のみが必要です。 次のような主要なサーバーへのアクセス権を持っていてはいけません:
- Active Directory マスター
- ファイルサーバー
- プリントサーバー
- 主要な資産にはこの方法をこの方法を使用しないでください
可能であれば、主要なサーバー資産に埋め込まれた認証情報を含むパッケージは使用しないでください。 管理者は、パッケージをシステムに直接インストールすることができます。
- セキュリティ監査ログを有効にする
このアカウントの使用を有効にして監視します。 アカウントが正しく使用されている場合は、展開時に意図したクライアントへのログオンが 1 回だけ表示されます。 このアカウントによる他のアクセスの試みを直ちに調査してください。