ePolicy Orchestrator (ePO) admite el uso de un único instalador de paquetes para facilitar el despliegue de MA. Este paquete es independiente de los mecanismos de despliegue estándar de ePO. Está pensada para facilitar la instalación del agente mediante secuencias de comandos de inicio de sesión u otros procesos automatizados.
Dado que el instalador MA requiere un nivel de privilegios superior al de los usuarios más registrados, el archivo binario del instalador debe tener una forma de elevar su nivel de privilegios. Para solucionar esta limitación, puede incrustar credenciales en el paquete del instalador binario. Las credenciales incrustadas permiten al archivo binario instalar correctamente el software.
IMPORTANTE: Dado que un paquete de instalador creado para este propósito tiene credenciales incrustadas, el acceso a ella debe estar rigurosamente restringido. Utilice paquetes de instalador con credenciales incrustadas solo en situaciones concretas en las que no esté disponible otro método de despliegue.
Si debe utilizar un paquete de instalador con credenciales incrustadas, implemente las siguientes precauciones de seguridad:
- Utilizar una cuenta que no sea de administrador
Cree una cuenta con acceso solo al grupo de administradores locales en los clientes previstos. Le recomendamos que utilice una cuenta diferente de la que utiliza normalmente para las operaciones.
- Cambiar las contraseñas con frecuencia
Cuando se cambia la contraseña, ésta invalida los archivos binarios persistentes con credenciales incrustadas.
Se recomienda cambiar esta contraseña y crear un nuevo archivo binario de distribución. Debe llevar a cabo esta acción al menos una vez a la semana.
- Desactivar la cuenta cuando no esté en uso
Si va a desplegar en varios sistemas por lotes, considere la posibilidad de desactivar la cuenta cuando no se realice ningún despliegue. La desactivación de la cuenta impide que se utilicen las credenciales.
- Limitar aún más el acceso a la cuenta
La cuenta de instalador solo requiere derechos de administrador local en los sistemas cliente. Mustn't tienen derechos para acceder a servidores de claves como:
- Active Directory principal
- Servidores de archivos
- Servidores de impresión
- Considere la posibilidad de no utilizar este método en activos clave.
Cuando sea posible, no utilice un paquete con credenciales incrustadas en los activos del servidor principal. Un administrador puede instalar el paquete directamente en el sistema.
- Seleccionar registros de auditoría de seguridad
Active y monitor el uso de esta cuenta. Si la cuenta se utiliza correctamente, solo se muestra un inicio de sesión único a los clientes previstos en el momento dla implementaciónInvestigue de inmediato cualquier otro intento de acceso por parte de esta cuenta.