ePolicy Orchestrator (ePO) supporta l'utilizzo di un unico programma di installazione del pacchetto per aiutare l'implementazione di MA. Questo pacchetto è separato dai meccanismi di distribuzione standard di ePO. Ha lo scopo di facilitare agent l'installazione utilizzando script di accesso o altri processi automatici.
Poiché il programma di installazione MA richiede un livello di privilegio superiore rispetto alla maggior parte degli utenti connessi, il file binario del programma di installazione deve avere un modo per elevare il livello di privilegio. Per ovviare a questa limitazione, è possibile incorporare le credenziali nel pacchetto del programma di installazione binario. Le credenziali incorporate consentono al file binario di installare correttamente il software.
IMPORTANTE: Poiché un pacchetto del programma di installazione creato a tale scopo dispone di credenziali incorporate, l'accesso a esso deve essere fortemente limitato. Utilizzare i pacchetti del programma di installazione con credenziali incorporate solo in situazioni specifiche in cui non è disponibile un altro metodo di distribuzione.
Se è necessario utilizzare un pacchetto del programma di installazione con credenziali incorporate, implementare le seguenti precauzioni di sicurezza:
- Utilizzo di un account non amministratore
Creare un account con accesso solo al gruppo Administrators locale nei client desiderati. Si consiglia di utilizzare un account diverso da quello utilizzato normalmente per le operazioni.
- Modifica delle password spesso
Quando si modifica il password, l'utente invalida i file binari persistenti con credenziali incorporate.
Si consiglia di modificare questo password e creare un nuovo file binario di distribuzione. È necessario intraprendere questa azione almeno settimanalmente.
- Disattiva l'account quando non è in uso
Se si esegue la distribuzione in più sistemi in batch, considerare la disattivazione dell'account quando non sono state eseguite distribuzioni. La disattivazione dell'account impedisce l'utilizzo delle credenziali.
- Ulteriore limitazione dell'accesso dell'account
L'account del programma di installazione richiede solo i diritti di amministratore locale per i sistemi client. Non deve disporre dei diritti per accedere ai server chiave, ad esempio:
- Active Directory Master
- File server
- Server di stampa
- Si consiglia di non utilizzare questo metodo sulle risorse principali
Quando possibile, non utilizzare un pacchetto con credenziali incorporate sulle risorse del server di chiavi. Un amministratore può installare il pacchetto direttamente nel sistema.
- Attiva registri di verifica della sicurezza
Attivare e monitorare l'utilizzo di questo account. Se l'account viene utilizzato correttamente, viene visualizzato solo un unico accesso ai client desiderati al momento della distribuzione. Esaminare immediatamente eventuali altri tentativi di accesso da parte di questo account.