o ePolicy Orchestrator (ePO) oferece suporte ao uso de um instalador de um único pacote para ajudar a distribuição do MA. Este pacote é separado dos mecanismos de distribuição padrão do ePO. Destina-se a facilitar a instalação do agente usando scripts de logon ou outros processos automatizados.
Como o instalador do MA requer um nível de privilégio mais alto do que o dos usuários conectados, o binário do instalador deve ter uma maneira de elevar seu nível de privilégio. Para contornar essa limitação, você pode incorporar credenciais no pacote do instalador binário. As credenciais incorporadas permitem que o binário instale o software com êxito.
IMPORTANTE: Como um pacote do instalador criado para essa finalidade tem credenciais incorporadas, o acesso a ela deve ser severamente restrito. Use os pacotes do instalador com credenciais incorporadas somente em situações específicas em que outro método de distribuição não esteja disponível.
Se você precisar usar um pacote do instalador com credenciais incorporadas, implemente as seguintes precauções de segurança:
- Usar uma conta que não é de administrador
Crie uma conta com acesso somente ao grupo de administradores locais nos clientes pretendidos. Recomendamos que você use uma conta diferente da que normalmente usa para as operações.
- Altere suas senhas com frequência
Quando você altera sua senha, ela invalida os binários remanescentes com credenciais incorporadas.
Recomendamos que você altere essa senha e crie um novo binário de distribuição. Você deve empreender essa ação pelo menos semanalmente.
- Desativar a conta quando não estiver em uso
Se você distribuir em vários sistemas em lotes, considere a possibilidade de desativar a conta quando não houver nenhuma distribuição sendo executada. A desativação da conta impede que as credenciais sejam usadas.
- Limitar o acesso da conta
A conta do instalador requer somente direitos de administrador local para os sistemas clientes. Ele mustn't tem direitos de acesso a servidores de chave, como:
- Active Directory principal
- Servidores de arquivos
- Servidores de impressão
- Considere não usar esse método em ativos de chave
Quando possível, não use um pacote com credenciais incorporadas nos ativos principais do servidor. Um administrador pode instalar o pacote diretamente no sistema.
- Ativar registros de auditoria de segurança
Ativar e monitor o uso desta conta. Se a conta for usada corretamente, ela mostrará somente um único logon para os clientes pretendidos no momento da distribuição. Investigue imediatamente qualquer outra tentativa de acesso por essa conta.