Anti-Virus Scanning Engine のアップデートは、まず手動でインストールが必要な選択式のダウンロードとしてリリースされます。 選択ダウンロードの確認後、最新のエンジンが Auto Update サイトに移動されます。 環境内のすべてのコンピューターを最新のエンジンに更新したくない場合があります。 例えば、テストネットワークで予備テストを実施したり、限定的な配備を行ったりすることが考えられます。
この記事では、ePO 5.x を 最新の投稿エンジンに自動的に更新
しないように設定する方法について説明します。
重要:
- 以下のプロセスは、機能的なセクションに分かれています。 表示されている順序で各セクションを実行します。
- 以下の作業を開始する前に、ePO の Global Updating を一時的に無効にしておく必要があります。
グローバルアップデートは、エンジンを1回の移動で配備します。停止することはできません。 Global Updating および製品とアップデートの早期展開の詳細については、お使いのバージョンの ePolicy Orchestrator Product Guide を参照してください。
すべてのグローバルアップデートを無効にする
- ePO 5.x サーバにログオンします。
- メニュー 、[設定]、[サーバー設定] をクリックします。
-
カテゴリの設定 セクションから、グローバルアップデート をクリックします。
- ページの右下、Edit をクリックします。
- ステータス セクションで、無効 を選択します。
- Save をクリックします。
これらの手順を実行した後に Global Updating を表示すると、Disabled というステータスが表示されます。
既存および新規のエンジンのバージョンへの対応
以下の制御方法によって、いくつかのオプションを使用できます。
- 更新サイトからマスターリポジトリへのプルタスクの動作
- エージェントポリシーとエージェント更新タスクを設定する方法
この記事では次のことを前提としています。
- 6200 は現在使用中の旧エンジン
- 6300 は自動アップデートを防止したい新しいエンジンです
オプション 1
- 6200 Engine をマスター リポジトリの Evaluation ブランチに移動またはチェックインします。
- 6300 Engine、現在の DAT ファイル、およびその他のすべてのパッケージを取得またはチェックインして、現在のマスターリポジトリのブランチ。
上記のアプローチでは、既存のリポジトリプルタスクを変更する必要はありません。 ただし、エンジンを更新するために評価ブランチを使用するには、6200 Engine で保持するすべてのクライアントに ePO Agent の設定ポリシーが変更されている必要があります。
クライアントポリシーを変更するには:
- ePO 5.x コンソールにログオンします。
- [ポリシー カタログ] をクリックします。
- Product ドロップダウンリストで、McAfee Agent を選択します。
- McAfee Agent の変更したい General ポリシーの Updates タブをクリックします。
注意: エージェントのポリシーは、カテゴリを介して保存されます。 更新設定は、 McAfee エージェントポリシーの 一般 カテゴリにあります。
- 各アップデートタイプに使用する Repository Branch で、Engine のオプションを、Current から Evaluation に変更します。
次のエンジン の種類が使用可能です。 使用する製品にとって適切なエンジンを選択してください。
- エンジン (Windows)
- Linux エンジン (Linux)
- Mac エンジン (MacOS)
- [保存] をクリックします。 ポリシーの変更は、通常のエージェント間通信とローカルポリシーの実施中に伝搬されます。
注:
- 新しい Engine がクライアントにプッシュされないようにするために、使用しているすべてのエージェントポリシーを変更する必要があります。 変更されていないポリシーを使用しているエージェントは、更新時に新しいエンジンが配備されます。
- ポリシーの割り当てのクエリを使用して、ポリシーの変更がクライアントに正しく適用されているかどうかを判断できます。
オプション 2
すべての DAT ファイルと 6300 Engine を Evaluation ブランチに引き込みます。 6200 Engine は、マスター リポジトリの Current ブランチに残してください。 リポジトリ プルタスクのブランチ オプションを Current から Evaluation に変更し、変更を保存します。 新しい DAT ファイルを評価版から毎日現在のバージョンに移動します。
この方法では、次のいずれかの操作を行うと、6200 Engineの実行を継続させたいクライアントで、これ以上の変更を行う必要はありません。
通常の ePO 配備可能な DAT パッケージは次の場所にあります。https://www.trellix.com/ja-jp/downloads/security-updates.html?region=us. セキュリティアップデート - DATS、 McAfee ePO と共に使用する DAT パッケージを選択します。 ファイル名は avvepo#####dat.zip で、##### は現在の DAT のバージョンです。 例: avvepo99999dat.zip
注意: プルタスクは、リポジトリ内の DAT ファイルや Engine だけでなく、様々なものを更新します。 たとえば、スパム定義と SCP コンテンツも pull されます。 この追加コンテンツを必要とする他の製品は、リポジトリの現在のブランチにあることを前提としています。 これらの製品の更新は、存在しない場合に失敗する可能性があります。 このため、オプション1は現在配備されている他の製品に対する影響が少なくなるためお勧めします。
ePO 5.x には、Change The Branch For A Package というスケジューラー サーバー タスク タイプがあります。 このタスクを使用すると、DAT ファイルの定期的な移動を自動化できます。 タスクを使用して、DAT を評価からマスターリポジトリの現在のブランチに移動します。
エージェントの選択的更新エントリを修正し、McAfee Fallback リポジトリを削除または無効にする
フォールバックリポジトリには、最新の Engine と DAT ファイルが格納されています。
選択された更新を使用して、更新リストの項目からエンジンを削除するには、次の操作を行います。
- ePO 5.x のコンソールにログオンします。
- システム ツリーをクリックします。
- My Organization が選択されていることを確認し、Assigned Client Tasks タブをクリックします。
-
タスクの種類 = 製品の更新 のタスクを選択します。
- パッケージの種類で、 Engine の選択を解除し、Save をクリックします。
次のエンジン の種類が使用可能です。 使用する製品にとって適切なエンジンを選択してください。
- エンジン (Windows)
- Linux エンジン (Linux)
- Mac エンジン (macOS)
- 構成済みの製品更新タスクごとに、この手順を繰り返します。
注意:
- この変更はタスクの変更は、次のエージェント/サーバー間通信とポリシー施行に適用されます。 そのため、この変更を行う必要があります。以前はリポジトリが最新のファイルで更新され、クライアントエージェント更新タスクが実行される。 クライアントがポリシーを受信する前にエージェント更新タスクを実行すると、設定に関係なくエンジンが適用されます。
- エージェントの更新が外部のフォールバックリポジトリ (McAfeeHttp) にフェイルオーバーした場合、ePO Agent Configuration ポリシーで使用されている方法にかかわらず、クライアントで 6300 Engine が更新されます。 この状況を回避するには、更新リストから適切なフォールバックサイトを無効にします。
- クライアントが使用するリポジトリリストは、ePO Agent 設定ポリシーで設定されています。
- システムツリーのブランチレベルでタスクを編集するよりも、ePO 5.x タスクカタログで親オブジェクトを編集する方がよい場合があります。 タスク カタログ エントリへの変更は、割り当てられているシステム ツリーに自動で反映されます。
McAfee フォールバックリポジトリを無効にする
- ePO 5.x のコンソールにログオンします。
-
ポリシー カタログ をクリックします。
- Product ドロップダウンリストで、McAfee Agent を選択します。
-
カテゴリー = リポジトリの変更するポリシーを選択します。
- リポジトリ一覧から Fallback (McAfeeHttp) と表示されているリポジトリを探し、Disable をクリックします。
- [保存] をクリックします。
- すべての一意のエージェント ポリシーをこの手順で繰り返します。
注:
- エージェントには1つ以上の有効なリポジトリが必要です。
デフォルトで新しい分散リポジトリを除外するオプションを使用する場合は注意が必要です。 現在、このオプションは、コンテンツが編集されたときに既存のリポジトリを無効としてタグ付けします。 このため、デフォルトでマスターリポジトリにエージェントが割り当てられる可能性があります。
- この変更はポリシーの変更は、次のエージェント/サーバー間通信とポリシー施行に適用されます。 そのため、この変更を行う必要があります。以前はリポジトリが最新のファイルで更新され、クライアントエージェント更新タスクが実行される。 クライアントがポリシーを受信する前にエージェント更新タスクが実行されると、エンジンが適用されます。
ネットワーク上の MA 5.x ピアツーピアサーバが新しい Engine を提供する場合、以下を実装してください。
MA 5.x エージェントが ピアツーピア を有効にしたコンテンツアップデートを要求する場合、そのブロードキャストドメイン内でコンテンツアップデートを持つ ピアツーピア サーバを検出しようとします。 ピアツーピア サーバーとして設定されたエージェントが要求を受信するときに、要求されたコンテンツが含まれているかどうかを確認します。 その後、サーバーは要求を行ったエージェントに応答します。 そして、要求元のエージェントは、最初に応答したピアツーピアサーバーからコンテンツをダウンロードする。
ピアツーピアサーバーとして設定されているエージェントが6300エンジンをホスティングしている場合、ピアツーピアを使用するように設定されているすべてのエージェントに対して6300エンジンが提供される場合があります。
注意: MA 5.x.x 以降では、ピアツーピア サービスはデフォルトで enabled です。 この設定がネットワーク上の新しい Engine に役立つかもしれないが、そうしたくないと考える場合。その場合は、次のいずれかを実行する必要があります。
- Disable ピアツーピア.
または
- ピアツーピアサーバーに 6300 Engine のコピーがないことを確認してください。
システムのピアツーピアサービスを無効にするには、次の操作を行います:
- ePO 5.x コンソールにログオンします。
-
メニュー、システム、システムツリー、システムの順にクリックします。
- システム ツリーの下のグループを選択します。 このグループ内のすべてのシステムが詳細ペインに表示されます。
- システムを選択して、アクション、エージェント、単一システム上のポリシーの変更 をクリックします。
- Product ドロップダウンリストから、McAfee Agent を選択します。 McAfee Agent の下のポリシーカテゴリが、システムに割り当てられたポリシーと一緒に表示されます。
- ポリシーが継承されている場合、継承を解除 を選択し、以下のポリシーと設定を割り当てます。
- 割り当てられたポリシーのドロップ ダウン リストから一般的なポリシーを選択します。 この場所から、選択したポリシーを編集したり、ポリシーを作成したりすることができます。
- ポリシーの継承をロックするかどうかを選択して、このポリシーを継承するシステムが別のポリシーを継承しないようにします。
- ピアツーピアタブで、必要に応じて次のオプションを選択します:
- Deselect Enable Peer-to-Peer Communication to stop the McAfee Agent from discovering and using ピアツーピア servers in the network.
- McAfee Agent がピアエージェントにコンテンツを提供しないようにするには、Enable Peer-to-Peer Serving の選択を解除します。
- 保存 をクリックします。
- エージェントウェークアップコールを実行します。