Konfiguration McAfee Application Control · PDF fileKonfiguration McAfee Application Control Inbetriebnahmehandbuch, 07/2011, A5E03658594-01 3 Inhaltsverzeichnis 1 Vorwort

� Konfiguration McAfee Application

�Control

___________________

___________________

___________________

___________________

SIMATIC

Prozessleitsystem PCS 7Konfiguration McAfee Application Control

Inbetriebnahmehandbuch

07/2011 A5E03658594-01

Vorwort 1

Whitelisting 2

Administration 3

Verwendung von McAfee Application Control mit PCS 7 und WinCC

4

Updateinstallation 5

Rechtliche Hinweise

Rechtliche Hinweise Warnhinweiskonzept

Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.

GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

ACHTUNG bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird.

Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein.

Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden.

Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes:

WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden.

Marken Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann.

Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten.

Siemens AG

Industry Sector Postfach 48 48 90026 NÜRNBERG DEUTSCHLAND

A5E03658594-01 Ⓟ 11/2011

Copyright © Siemens AG 2011.Änderungen vorbehalten

Konfiguration McAfee Application Control Inbetriebnahmehandbuch, 07/2011, A5E03658594-01 3

Inhaltsverzeichnis

1 Vorwort ...................................................................................................................................................... 7

2 Whitelisting ................................................................................................................................................ 9

2.1 Einleitung .......................................................................................................................................9

2.2 McAfee Application Control..........................................................................................................10

3 Administration.......................................................................................................................................... 11

3.1 Administration ..............................................................................................................................11

3.2 Lokale Verwaltung von McAfee Application Control ....................................................................11

3.3 Zentrale Verwaltung mittels McAfee ePO....................................................................................12

4 Verwendung von McAfee Application Control mit PCS 7 und WinCC...................................................... 15

4.1 Installationsvorbereitungen ..........................................................................................................15

4.2 Lokale Verwaltung .......................................................................................................................16 4.2.1 AC Administrator ..........................................................................................................................16 4.2.2 Installation und Konfiguration.......................................................................................................17

4.3 Zentrale Verwaltung mit McAfee ePolicy Orchestrator ................................................................22 4.3.1 Installation und Konfiguration des McAfee ePO Server ..............................................................22 4.3.2 Installation des Solidcore Extension Package.............................................................................32 4.3.3 Installation der Lizenz für Solidcore bzw. McAfee Application Control........................................38 4.3.4 Installation der McAfee Solidcore Clients ....................................................................................41 4.3.5 Hinzufügen des Solidcore Agent Deployment Package zum ePO Repository............................41 4.3.6 Aufnahme der Clientsysteme in die ePO Konsole.......................................................................46 4.3.7 Installation des Solidcore Agent auf den Clients .........................................................................53 4.3.8 Aktivierung des Solidcore Agent auf den Clients.........................................................................56 4.3.9 Weitere Clienttasks ......................................................................................................................59

5 Updateinstallation .................................................................................................................................... 61

5.1 Updateinstallation ........................................................................................................................61

5.2 Lokale Verwaltung .......................................................................................................................62

Inhaltsverzeichnis

Konfiguration McAfee Application Control 4 Inbetriebnahmehandbuch, 07/2011, A5E03658594-01


Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.

GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

ACHTUNG bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird.

Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein.

Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden.

Vorwort


Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes:

WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden.

Marken Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann.

Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten.


Vorwort 1Zweck der Dokumentation

Diese Dokumentation beschreibt die Verwendung von McAfee Application Control im SIMATIC PCS 7 und WinCC Umfeld, die Installation sowie die empfohlenen Anpassungen von McAfee Application Control nach der Installation.

Erforderliche Kenntnisse Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC PCS 7 bzw. WinCC tätig sind. Administrationskenntnisse und IT-Techniken für Microsoft Windows Betriebssysteme werden vorausgesetzt.

Gültigkeitsbereich der Dokumentation Die Dokumentation ist gültig für prozessleittechnische Anlagen, die mit der jeweiligen Produktversion von SIMATIC PCS 7 bzw. WinCC realisiert sind.

ACHTUNG Beachten Sie, dass von McAfee Integrity Control nur die Funktionalität des Whitelisting (McAfee Application Control) nur für bestimmte Produktversionen freigegeben ist.

Weitere Informationen hierzu finden Sie im Internet unter folgender Adresse:

http://support.automation.siemens.com/WW/view/de/10154608

http://support.automation.siemens.com/WW/view/de/10154608�

Vorwort



Whitelisting 22.1 Einleitung

Der Einsatz von Whitelisting-Technologien in einem Prozessleitsystem ist nur dann effektiv, wenn er Teil eines umfassenden Sicherheitskonzeptes ist. Der alleinige Einsatz von Whitelisting-Technologien kann ein Prozessleitsystem nicht vor feindlichen Angriffen schützen.

Wir empfehlen daher grundsätzlich die Beachtung des Sicherheitskonzepts PCS 7 / WinCC das im Internet verfügbar ist:

http://support.automation.siemens.com

Whitelisting ist im Zusammenhang mit dem oben genannten Sicherheitskonzept als zusätzliche Sicherheitsmaßnahme (additional layer of defence) zu sehen und somit ein zusätzliches Mittel, um dem zunehmenden Angriffsrisiko entgegenzuwirken.

Der Ansatz des Whitelistings besteht darin, dass allen Anwendungen (Applikationen) misstraut wird, außer denen, die bei einer Prüfung als vertrauenswürdig eingestuft wurden. D.h. es wird eine Positivliste (weiße Liste à Whitelist) gepflegt. Diese Positivliste enthält somit die Anwendungen / Applikationen, die sich als unbedenklich eingestuft wurden und somit auf dem Computersystem ausgeführt werden dürfen.

Damit ist das Prinzip des Whitelisting das genaue Gegenteil von Blacklisting, das mit einer Liste bzw. eine Definition von "nicht-vertrauenswürdigen" Anwendungen (Negativliste à schwarze Liste à Blacklist) arbeitet. Ein Beispiel für Blacklisting ist ein konventioneller Virenscanner, der mit einer Blacklist, den Virenpattern, arbeitet. Da sich die Anzahl von "nicht-vertrauenswürdigen" Anwendungen ständig vergrößert, muss diese Blacklist auch ständig angepasst werden. D.h. dass für einen Virenscanner auch immer eine aktuelle Blacklist (Virenpattern) zur Verfügung stehen muss. Nur "Anwendungen" und Angriffsmuster, die in dieser Blacklist eingetragen sind, kann der Virenscanner als "Schadsoftware" erkennen.

Da Whitelisting mit einer Positivliste arbeitet, ist ein ständiges Anpassen an neue Bedrohungen in Form von Schadsoftware nicht notwendig.

http://support.automation.siemens.com/�

Whitelisting 2.2 McAfee Application Control


2.2 McAfee Application Control Mit McAfee Application Control können nicht autorisierte Anwendungen auf Servern und Workstations blockiert werden. D.h. dass nach der Installation und Aktivierung von McAfee Application Control auf einem Computersystem, alle ausführbaren Dateien vor Veränderung geschützt sind und verhindert wird, dass unbekannte (nicht auf der Whitelist vorhandene) ausführbare Dateien gestartet werden können. Anders als bei einfachen Whitelisting-Konzepten verwendet McAfee Application Control ein dynamisches Vertrauenswürdigkeitsmodell. Damit sind langwierige manuelle Aktualisierungen von Listen genehmigter Anwendungen hinfällig. Aktualisierungen können auf unterschiedliche Weise eingebracht werden:

● Durch vertrauenswürdige Benutzer (Benutzer/User)

● Durch vertrauenswürdige Hersteller (Zertifikat)

● Von einem vertrauenswürdigen Verzeichnis

● Durch Binärdatei

● Mittels Updater (Aktualisierungsprogramme z.B. WSUS, Virenscanner, …)

Des Weiteren bringt McAfee Application Control eine Funktion mit, die den Speicher überwacht, einen Schutz vor Buffer Overflow hat und Dateien schützt, die im Speicher laufen.

VORSICHT McAfee Application Control ist Bestandteil von McAfee Integrity Control.

Zu McAfee Integrity Control gehören aktuell die Komponenten McAfee Application Control und McAfee Change Control. Im SIMATIC PCS 7 und WinCC Umfeld ist ausschließlich die Funktionalität des Whitelisting - McAfee Application Control freigegeben.

Aus diesem Grund beschränkt sich die vorliegende Dokumentation ausschließlich auf diese Funktionalität.

Für SIEMENS Kunden ist das McAfee Application Control jedoch nach wie vor als separate Software von McAfee bzw. deren Distributoren beziehbar.


Administration 33.1 Administration

Die Verwaltung bzw. Administration von McAfee Application Control kann auf unterschiedliche Weise erfolgen:

● Lokal auf einem Computersystem (Standalone)

● Zentral über McAfee ePolicy Orchestrator (ePO)

Die Entscheidung, zentral oder lokal, sollte aufgrund der Anzahl der zu pflegenden Systeme getroffen werden.

Unabhängig von der Art der Verwaltung ist die folgende Vorgehensweise:

Nach der Installation von McAfee Application Control auf einem Rechner muss zuerst ein "solidify" des Rechners ausgeführt werden, d.h. alle angeschlossenen lokalen Laufwerke werden nach ausführbaren Dateien durchsucht. Die Dauer dieser Prozedur ist abhängig von der Datenmenge und der Rechnerleistung und kann mehrere Stunden dauern. Bei aktueller Hardware mit WinCC 7.0.2 Server Installation und normalen Projekten dauert dies ca. 20-30 Minuten. Nachdem McAfee Application Control aktiviert wurde, muss ein Neustart des Rechners durchgeführt werden. Alle während des Scans gefundenen, ausführbaren Dateien (exe, com, dll, bat, usw.) werden nun vor Änderung (Umbenennung, Löschung, usw.) geschützt. Es können keine neuen Dateien ausgeführt werden.

3.2 Lokale Verwaltung von McAfee Application Control Die lokale Verwaltung erfolgt ausschließlich über die Kommandozeile. Die Befehle sind verständlich und selbsterklärend, des Weiteren bietet McAfee sehr gute Dokumentationen. McAfee Application Control kann gut über bat-Dateien oder Skripte gesteuert werden.

Administration 3.3 Zentrale Verwaltung mittels McAfee ePO


3.3 Zentrale Verwaltung mittels McAfee ePO

Architektur McAfee ePO sollte auf einem eigenen Computer mit aktueller Hardware installiert werden. Gibt es in der Anlage bereits einen Infrastruktur-Rechner (z.B. WSUS, Virenscan-Server) kann McAfee ePO auch dort installiert werden. McAfee ePO darf nicht auf einem Automatisierungsgerät oder einem Domänen Kontroller installiert werden.



Die zentrale Verwaltung, also die Installation, Konfiguration und Überwachung erfolgt über McAfee ePO (McAfee ePolicy Orchestrator), einem Management Tool das alle McAfee Produkte verwalten kann, aber auch viele zum Teil kostenlose Netzwerkmanagement- und Netzwerküberwachungsfunktionalitäten mit sich bringt.

Ähnlich wie bei einer Active Directory Domäne gilt auch hier, ab ca. 10 verwalteten Systemen sollte eine zentrale Verwaltung genutzt werden.

Alle lokalen McAfee Application Control Befehle und Optionen sind auch remote über die ePO verfügbar, zum Teil über vordefinierte Tasks, der Rest über remote Kommandozeilen Optionen. Die ePO bietet, im Vergleich zur lokalen Verwaltung, eine bessere Überwachung und ein übersichtlicheres Eventmanagement.




Verwendung von McAfee Application Control mit PCS 7 und WinCC 4

Im Folgenden werden Hinweise und Besonderheiten bei der Verwendung von McAfee Application Control im SIMATIC PCS 7 & WinCC Umfeld beschrieben.

Grundlage hierfür waren McAfee ePolicy Orchestrator (ePO) 4.5 (ePO Agent 4.0), McAfee Application Control 5.1.

4.1 Installationsvorbereitungen Nachdem McAfee Application Control auf einem Gerät installiert und aktiviert ist, können keine neuen Programme ausgeführt werden und bestehende Programme können nicht verändert (update) werden. Die folgenden Schritte sollten, bei der Integration bzw. vor der Installation von McAfee Application Control, befolgt werden:

1. Die Anlage sollte nach den Empfehlungen des Sicherheitskonzeptes PCS 7 & WinCC aufgebaut sein, um vor und während der Integration von McAfee Application Control, das Risiko durch Schadprogramme so gering wie möglich zu halten.

2. Betriebssystem installieren und konfigurieren.

3. Benötigte Programme und Komponenten installieren.

4. Alle verfügbaren Security Updates für das Betriebssystem und die Programme installieren.

5. Installation eines Virenscanners und Update der neuesten Virensignatur Dateien.

6. Die Verbindung zu externen/fremden Netzwerken sollte getrennt werden (z.B. an der Front-Firewall).

7. Kompletter Virenscann des Gerätes.

8. Installation von McAfee Application Control entweder lokal oder mittels ePO (siehe nachfolgende Beschreibung).

9. "solidify" aller lokalen Festplatten und Partitionen, d.h. das Computersystem wird auf ausführbare Programme gescannt und zukünftig können nur noch diese Programme ausgeführt werden. (siehe nachfolgende Beschreibung).

10. Aktivieren von McAfee Application Control und Neustart des Gerätes.

Verwendung von McAfee Application Control mit PCS 7 und WinCC 4.2 Lokale Verwaltung


4.2 Lokale Verwaltung

4.2.1 AC Administrator

AC Administrator McAfee Application Control kann mittels eines Passworts so geschützt werden, dass auch ein lokaler Administrator McAfee Application Control nicht mehr abschalten kann, das heißt der "AC Administrator" kann unabhängig vom lokalen Windows Administrator eingerichtet werden.



4.2.2 Installation und Konfiguration

Installation und Konfiguration Zur Installation von McAfee Application Control lokal auf einem Computersystem gehen Sie wie folgt vor:

● Führen Sie das Setup für McAfee Application Control aus und folgen den Dialogen. Alle Default Einstellungen können übernommen werden, es sind keine Änderungen notwendig.

Anschließend sollte ein "solidify" aller Festplatten und Partitionen ausgeführt werden.

Gehen Sie dafür wie folgt vor:

● Öffnen Sie nach der Installation die McAfee Application Control Befehlszeile Start > Programme > McAfee > Solidifier > McAfee Solidifier-Befehlszeile



Dadurch wird die Solidifier-Befehlszeile geöffnet:

● Das Solidifizieren starten Sie mit dem Befehl "sadmin solidify" bzw. "sadmin so"



Dadurch werden alle Partitionen und alle lokalen Festplatten des Computersystems nach ausführbaren Dateien (Anwendungen) wie z.B. exe, com, bat, dll, usw. aber auch nach Java, Active-X-Steuerelemente, Scripts, usw. gescannt. Die bei diesem Scan gefundenen Dateien werden von McAfee Application Control für eine spätere Verwendung signiert und autorisiert. Dies beinhaltet auch den Schutz vor nachträglicher Änderung wie z.B. Löschen oder Umbenennen.

Nach dem Beenden des "Solidifizieren" können Sie in der Solidifier-Befehlszeile sehen, wie viel Dateien pro Partition bzw. Festplatte insgesamt gescannt wurden und wie viel Dateien dabei autorisiert wurden.



Nach dem "Solidifizieren" müssen Sie McAfee Application Control aktivieren. Geben Sie dazu in der Solidifier-Befehlszeile den Befehl "sadmin enable" ein. Dadurch wird die McAfee Solidifier-Steuerung beim nächsten Neustart aktiviert.



Danach müssen Sie den Rechner neu starten. Nach dem Neustart können Sie mit Hilfe des Befehls "sadmin status" in der Solidifier-Befehlszeile den Status von McAfee Solidifier abfragen.

Somit ist das Computersystem d.h. alle darauf befindlichen Anwendungen vor Änderungen wie z.B. löschen oder umbenennen geschützt.

Wie Sie gewollte Änderungen dennoch durchführen können, wird im Kapitel "Updateinstallation (Seite 61)" beschrieben.

Verwendung von McAfee Application Control mit PCS 7 und WinCC 4.3 Zentrale Verwaltung mit McAfee ePolicy Orchestrator


4.3 Zentrale Verwaltung mit McAfee ePolicy Orchestrator

4.3.1 Installation und Konfiguration des McAfee ePO Server

Installation und Konfiguration des McAfee ePO Server McAfee ePolicy Orchestrator ist ein umfangreiches Softwarepaket, mit dem eine Vielzahl verschiedener Programme (u.a. auch der Virenscanner von McAfee) verwaltet werden können, des Weiteren ist es ebenfalls ein Netzwerkmanagement Tool. Um mit McAfee ePolicy Orchestrator zu arbeiten sind tiefer gehende Kenntnisse der Software notwendig. Für den Fall, dass noch keine Erfahrungen mit McAfee ePolicy Orchestrator vorhanden sind, sollten Sie sich intensiv mit den, von McAfee angebotenen, Dokumentationen und Tutorials beschäftigen.

Nachfolgend wird die Installation und die Konfiguration für McAfee ePolicy Orchestrator beschrieben, die sich wie folgt gliedert:

● Installation des McAfee ePolicy Orchestrator 4.6

● Installation des Solidcore Extension Package

● Installation der Lizenz für Solidcore bzw. McAfee Application Control

Installation des McAfee ePolicy Orchestrator (ePO) Installieren Sie den McAfee ePO auf einem separaten Rechner mit aktueller Hardware. Die Systemanforderungen entnehmen Sie bitte der folgenden Aufstellung:

Unterstützte Plattformen

● Server-Betriebssystem: 32 Bit

– Windows Server 2008 mit Service Pack 2 (SP2) Standard, Enterprise oder Datacenter

– Windows Server 2003 mit SP2 Standard, Enterprise oder Datacenter

● Server-Betriebssystem: 64 Bit


– Windows Server 2008 R2 Standard, Enterprise oder Datacenter

– Windows Server 2008 for Small Business Premium


● Browser

– Firefox 3.5

– Firefox 3.6

– Internet Explorer 7.0

– Internet Explorer 8.0



● Netzwerkunterstützung

– IPv4

– IPv6

● Virtuelle Server

– VMware ESX 3.5.x Update 4

– VMware ESX 4.0 Update 1

– Citrix XenServer 5.5 Update 2

– Windows Server 2008 R2 Hyper-V

● Datenbank (32 Bit und 64 Bit)

– SQL Server 2008 mit SP1/SP2/R2 Standard, Enterprise, Workgroup, Express

– SQL Server 2005 mit SP3 Standard, Enterprise, Workgroup, Express

● Zusätzliche Anforderungen

– 1,5 GB freier Festplattenspeicher (2 GB empfohlen)

– 1 GB Arbeitsspeicher (2 bis 4 GB empfohlen)

– Mindestens Intel Premium 4-Prozessor, 1,3 GHz oder schneller

– Monitor: 1024 x 768, 256 Farben, VGA

– NIC: 100 Mbit/s oder schneller

– Dateisystem: NTFS empfohlen

– Bei Verwaltung von mehr als 250 Systemen wird ein eigener Server empfohlen.

– IP-Adresse: McAfee empfiehlt eine statische IP-Adresse



1. Die Installation des McAfee ePO starten Sie indem Sie die Datei "setup.exe" ausführen.

2. Die Setupanforderungen werden angezeigt. Folgen Sie den Anweisungen in diesem Dialog.

3. Mit "Weiter" wird der InstallShield-Assistent für den McAfee ePO gestartet.



4. Wählen Sie den gewünschten Setup-Typ für den SQL-Server aus.

5. Wählen Sie aus, welcher Datenbankserver verwendet werden soll.



6. Im folgenden Dialog "Zielordner" wird Ihnen ein Zielordner zur Installation vorgeschlagen. Diesen können Sie mit der Schaltfläche "Ändern…" ändern.



7. Im Dialog "Datenbankinformationen" müssen Sie Daten wie z.B. Datenbankserver und Authentifizierungsdetails, die der ePO zum Zugriff auf die Datenbank verwendet, festlegen. Im Feld "Domäne" geben Sie entweder den Namen der Domain oder wenn der Rechner nicht in einer Domäne ist, den Computer Namen an.



8. Legen Sie Im Dialog "HTTP-Portinformationen" die Portnummern, über die der ePO Server mit den Agents kommuniziert fest.

9. Mit "Weiter" wird ein Dialog angezeigt, in dem Ihnen nochmals eine Zusammenfassung

der Installationseinstellungen angezeigt.



10. Legen Sie im darauf folgenden Dialog "Informationen zum globalen Administator" den Administrator-Benutzernamen und das –Kennwort für den ePO fest.

11. Geben Sie im Dialogfeld "Lizenzschlüssel eingeben" Ihren ePO-Lizenzschlüssel ein.



12. Bestätigen Sie im folgenden Dialog das "McAfee End User License Agreement", wenn Sie damit einverstanden sind, durch die Auswahl der Option "I accept the terms in the license agreement".



13. Durch klicken auf die Schaltfläche "Installieren" startet der Installationsprozess, der einige Minuten dauern kann. Mit der Schaltfläche "Fertig stellen" im Dialog "InstallShield-Assistent abgeschlossen" wird der Installationsvorgang abgeschlossen.



4.3.2 Installation des Solidcore Extension Package

Installation des Solidcore Extension Package Nachdem der McAfee ePolicy Orchestrator installiert wurde, müssen Sie das "Solidcore Extension Package" installieren. Gehen Sie dabei wie folgt vor:

1. Starten Sie den McAfee ePO über Start > Programme > McAfee > ePolicy Orchestrator > McAfee ePolicy Orchestrator 4.6.0-Konsole starten



2. Geben Sie im Anmeldedialog den Benutzernamen und das Kennwort, das Sie bei der Installation des ePO angegeben haben ein.



3. Wählen Sie in der ePO 4.6 Konsole Menü > Software > Erweiterungen



4. In dem darauf folgenden Dialog "Erweiterung installieren" wählen Sie mit Hilfe der Schaltfläche "Browse" das Solidcore Extension Package mit dem Namen SOLIDCORE_5.0.0.ZIP aus.



5. Klicken Sie in der darauf folgenden Zusammenfassung auf die Schaltfläche "OK"



6. Überprüfen Sie, ob in der Liste der installierten Erweiterungen, das soeben installierte "Solidcore Extension Package" erscheint.



4.3.3 Installation der Lizenz für Solidcore bzw. McAfee Application Control

Installation der Lizenz für Solidcore bzw. McAfee Application Control Installieren Sie den gültigen Application Control Lizenzschlüssel. Gehen Sie dafür wie folgt vor:

1. Wählen Sie in der ePO 4.6 Konsole Menü > Konfiguration > Servereinstellungen



2. Im darauf folgenden Fenster wählen Sie zuerst im linken Bereich den Menüpunkt "Solidcore" und klicken Sie anschließend auf die Schaltfläche "Bearbeiten".



3. Geben Sie im Fenster "Solidcore bearbeiten - Lizenzinformationen" Ihren gültigen Application Control Lizenzschlüssel ein und klicken Sie anschließend auf die Schaltfläche "Speichern".

Somit ist die Installation des McAfee ePolicy Orchestrator Server abgeschlossen.

Fahren Sie nun mit der Installation der McAfee Solidcore Clients fort.



4.3.4 Installation der McAfee Solidcore Clients Die Installation des McAfee Solidcore Agents auf den Clients gliedert sich in die folgenden Schritte:

● Hinzufügen des Solidcore Agent Deployment Package zum ePO Repository

● Aufnahme der Clientsysteme in die ePO Konsole

● Installation des Solidcore Agent auf den Clients

● Aktivierung des Solidcore Agent auf den Clients

4.3.5 Hinzufügen des Solidcore Agent Deployment Package zum ePO Repository

Hinzufügen des Solidcore Agent Deployment Package zum ePO Repository Um das Solidcore Agent Deployment Package der ePO Software Repository hinzuzufügen, gehen Sie wie folgt vor:

1. Wählen Sie in der ePO 4.6 Konsole Menü > Software > Master-Repository



2. Im Fenster "Pakete im Master-Repository" wählen Sie mit der Schaltfläche "Aktionen" die Aktion "Paket einchecken" aus.



3. Wählen Sie als Pakettyp "Produkt oder Aktualisierung (.ZIP)" aus. Über die Schaltfläche "Browse…" haben Sie die Möglichkeit das Solidcore Agent Package auszuwählen.



4. Mit der Schaltfläche "Weiter" gelangen Sie zu den Paketoptionen.

Bestätigen Sie die folgenden Informationen:

– Paketinfos: Hier muss der richtige Namen, Version, Typ und Sprache erscheinen.

– Zweig: Hier muss "Aktuell" ausgewählt sein.

– Paketsignatur: Hier muss erkennbar sein, dass das Paket signiert ist.



5. Bestätigen Sie die Paketoptionen mit der Schaltfläche "Speichern". Im darauf folgenden Fenster "Pakete im Master-Repository" muss dann das Solidcore Agent Package aufgelistet sein.



4.3.6 Aufnahme der Clientsysteme in die ePO Konsole

Aufnahme der Clientsysteme in die ePO Konsole Bevor Sie den Solidcore Agent auf den Clients installieren, müssen Sie alle Clients als neue Systeme in die ePO Konsole aufnehmen. Dazu gehen Sie wie folgt vor:

1. Wählen Sie in der ePO 4.6 Konsole Menü > Systeme > Systemstruktur



2. Es öffnet sich das Fenster "Systemstruktur"



3. Sie haben die Möglichkeit Ihre Clients in verschiedenen Untergruppen zu strukturieren. Um eine neue Untergruppe anzulegen klicken Sie auf die Schaltfläche "Systemstrukturaktionen" und wählen im darauf erscheinenden Menü den Menüpunkt "Neue Untergruppe".



4. Geben Sie einen Namen für die neu zu erstellende Untergruppe ein.



5. In dieser neuen Untergruppe können Sie anschließend neue Systeme aufnehmen. Klicken Sie dazu auf die Schaltfläche "Systemstrukturaktionen" und wählen im darauf erscheinenden Menü den Menüpunkt "Neue Systeme".



6. Im folgenden Fenster "Neue Systeme" geben Sie die folgenden Daten ein:

– Systeme auf diese Weise hinzufügen: Agenten pushen und Systeme zur aktuellen Gruppe (…) hinzufügen.

– Hinzuzufügende Systeme: Systemnamen des/der hinzuzufügenden Systeme

– Agentenversion: McAfee Agent for Windows 4.6.0 (Aktuell)

– Installationspfad: <PROGRAM_FILES_DIR>\McAfee\Common Framework

– Anmeldeinformationen für Agenteninstallation: Domäne:Domänenname oder Workgroup-Namen Benutzername:Benutzername Kennwort:Passwort

– Anzahl der Versuche: 0 = beliebig viele Versuche

– Wiederholungsintervall: 30 Sekunden

– Abbrechen nach: 5 Minuten

– Verbindung herstellen über: Alle Agentensteuerungen



7. Bestätigen Sie die Angaben mit der Schaltfläche "OK"

Wiederholen Sie die Punkte 5-7 und ggf. die Punkte 1-4 bis Sie alle Clients in die ePO Konsole aufgenommen haben.



4.3.7 Installation des Solidcore Agent auf den Clients

Installation des Solidcore Agent auf den Client Nachdem alle Clients in die McAfee ePO Konsole aufgenommen wurden, können Sie den Solidcore Agent auf den Clients installieren. Dazu gehen Sie wie folgt vor:

1. Wählen Sie im Fenster "Systemstruktur" das Menü "Zugewiesene Client-Tasks " aus.

Klicken Sie anschließend auf die Schaltfläche "Aktionen" und wählen Sie "Neue Client-Task-Zuweisung".

2. Wählen Sie im darauf folgenden Fenster unter "Produkt" McAfee Agent, wählen Sie unter

"Task-Typ" Produktausbringung und klicken Sie auf "Neuen Task erstellen". Wählen Sie bei Tags die Option "Diesen Task an alle Computer senden" aus.



3. Geben Sie im darauf folgenden Fenster dem neuen Task einen Namen und einen Hinweistext. Wählen Sie bei:

– "Zielplattformen",

"Windows"

– "Produkte und Komponenten"

"Solidcore Agent für Windows 5.1.1.xxx".

– klicken Sie anschließend auf "Speichern"

4. Wählen Sie nun unter "Task-Name" Ihren Task aus und klicken Sie auf "Weiter".



5. Hier planen Sie die Ausführung des Tasks auf dem Client. Wählen Sie dazu als Planungsstatus die Option "Aktiviert" aus. Aus der Auswahlliste für den Planungstyp wählen Sie "Sofort ausführen" aus.

6. Mit "Weiter" gelangen Sie in ein Fenster, in dem Ihnen die Einstellungen zu diesem

neuen Clienttask nochmals angezeigt werden. Überprüfen Sie die gemachten Einstellungen. Um Korrekturen durchzuführen benutzen Sie die Schaltfläche "Zurück" so oft, bis Sie in dem Fenster sind, in dem die zu korrigierende Einstellung ist. Wenn alle Einstellungen in Ordnung sind, klicken Sie auf die Schaltfläche "Speichern".

7. Die Clients beginnen selbständig mit der Installation des Solidcore Agents. Den Status

können Sie in der "Systemstruktur" beobachten.



4.3.8 Aktivierung des Solidcore Agent auf den Clients

Aktivierung des Solidcore Agent auf den Clients Wenn der Solidcore Agent auf allen Clients installiert ist, müssen Sie McAfee Application Control bzw. Solidcore auf den Clients aktivieren. Vor dem Aktivieren muss aber, genau wie bei der lokalen Verwaltung, ein "solidity" ausgeführt werden, um die Whitelist zu erstellen. Diese Aktion, das Solidifizieren und Aktivieren von Solidcore auf den Clients, leiten Sie mit einer Clienttask ein. Um diese Clienttask zu erstellen, gehen Sie wie folgt vor:

1. Wählen Sie im Fenster "Systemstruktur" das Menü "Zugewiesene Client-Tasks" aus.

Klicken Sie anschließend auf die Schaltfläche "Aktionen" und wählen Sie "Neue Client-Task-Zuweisung".



2. Wählen Sie im darauf folgenden Fenster unter "Produkt" Solidcore 5.1.1, wählen Sie unter Task-Typ", SC: Aktivieren und klicken Sie auf "Neuen Task erstellen". Wählen Sie bei Tags die Option "Diesen Task an alle Computer senden" aus.

3. Geben Sie hier die Aufgaben an, die dieser neue Task ausführen soll. Für den

Menüpunkt "Aktivieren" wählen Sie "Application Control" aus und mit der Auswahl "Durchführen des ersten Scans zur Erstellung der Whitelist" geben Sie an, dass der Solidcore Agent den Client Solidifizieren soll. Bei "Neu starten" wählen Sie "Neustart für diesen Task erzwingen" aus. Klicken Sie auf "Speichern"



4. Wählen Sie unter "Task-Name" Ihren Task aus und klicken Sie auf "Weiter".

5. Mit "Weiter" gelangen Sie in das Planfenster des neuen Tasks. Hier planen Sie die

Ausführung des Tasks auf dem Client. Wählen Sie dazu als Planungsstatus die Option "Aktiviert" aus. Wählen Sie aus der Auswahlliste für den Planungstyp "Sofort ausführen" aus.

6. Mit "Weiter" gelangen Sie in ein Fenster, in dem Ihnen die Einstellungen zu diesem

neuen Clienttask nochmals angezeigt werden. Überprüfen Sie die gemachten Einstellungen. Um Korrekturen durchzuführen benutzen Sie die Schaltfläche "Zurück" so oft, bis Sie in dem Fenster sind, in dem die zu korrigierende Einstellung ist. Wenn alle Einstellungen in Ordnung sind, klicken Sie auf die Schaltfläche "Speichern".

7. Die Clients beginnen selbständig mit dem Scan (Solidifizieren) um die Whitelist zu erstellen. Anschließend wird Application Control aktiviert und entsprechend der Angabe beim Menüpunkt "Neu starten" der Client vom Solidcore Agent neu gestartet. Den Status können Sie in der "Systemstruktur" beobachten.



4.3.9 Weitere Clienttasks Auf die oben beschriebene Art und Weise lassen sich noch weitere Clienttasks erstellen, um den Solidcore Agent auf den Client zu Steuern. Beispielsweise können Sie den Solidcore Agent auf dem Client / auf den Clients deaktivieren (SC: Deaktivieren (Solidcore 5.1.1). Gehen Sie dazu genau so vor wie oben beschrieben und wählen beim Menüpunkt "Typ" den entsprechenden Clienttasktyp aus.




Updateinstallation 55.1 Updateinstallation

Auf einem mit McAfee Application Control geschützten Computer können nur autorisierte Anwendungen ausgeführt werden. Unter bestimmten Umständen ist es aber notwendig, dass neue Applikationen auf einem Computer installiert werden müssen oder dass für vorhandene und somit autorisierte Applikationen ein Update bzw. Hotfix installiert werden muss.

Beispiele für ein solches Szenario wären:

● Installation von Microsoft Sicherheitsupdates oder Wichtige Updates im Rahmen eines Patch-Managements.

● Installation von neuen, aktuellen Viren-Pattern oder die Aktualisierung der Virenscann-Engine.

● Installation von Hotfixes für SIMATIC Produkte.

● Nachträgliche Installation von Diagnosetools.

Um nachträglich neue Anwendungen zu autorisieren, gibt es im McAfee Application Control verschiedene Möglichkeiten bzw. unterschiedliche Vorgehensweisen:

● Durch eine definierte Datei (Binärdatei)

● Durch vertrauenswürdige Benutzer (Benutzer/User)

● Durch vertrauenswürdige Herausgeber (Zertifikat)

● Von einem vertrauenswürdigen Verzeichnis

● Installationsprogramme

● Mittels Updater (Aktualisierungsprogramme z.B. WSUS, Virenscanner, …)

Die am meisten genutzte Möglichkeit ist die Verwendung von Aktualisierungsprogrammen sogenannten "Updater". "Updater" sind Programme mit deren Hilfe, bereits registrierte Dateien verändert bzw. neue Dateien zur "Whitelist" hinzugefügt werden können. Dies ist zum Beispiel notwendig, um Windows Updates zu nutzen.

Die Vorgehensweise ist abhängig davon, wie Sie das System verwalten.

Updateinstallation 5.2 Lokale Verwaltung


5.2 Lokale Verwaltung

Lokale Verwaltung Bei der lokalen Verwaltung von McAfee Application Control gibt es zur Freischaltung von Sicherheitsmaßnahmen wie z.B. Windows Update (Patchmanagement) oder Virenscanner, die regelmäßig das System aktualisieren, eine Batch-Datei namens "finetune.bat", die unter "C:\Programme\McAfee\Solidcore" zu finden ist. Dieses Script hilft, selbsterklärend, dabei Programme wie z.B. WSUS Updateclients für Aktualisierungen frei zu schalten.

Um sich die Liste der autorisierten Aktualisierungsprogramme anzeigen zu lassen geben Sie in der McAfee Solidifier-Befehlszeile den Befehl "sadmin updaters list" ein.



Um einen vorhandenes Aktualisierungsprogramm hinzuzufügen gehen Sie wie folgt vor:

1. Wenn Sie in der McAfee Solidifier-Befehlszeile die Datei "finetune.bat" eingeben, listet die Batchdatei alle möglichen Aktualisierungsprogramme auf:



2. Um ein Aktualisierungsprogramm hinzuzufügen geben Sie den Befehl

C:\Program Files\McAfee\Solidcore\finetune.bat ADD E-WSUSServer ein. Mit diesem Befehl fügen Sie den Windows Server Update Service 2.0 SP1 als Aktualisierungsprogramm der Liste der updater auf dem Rechner hinzu. D.h. dass Änderungen an dem Rechner zukünftig von McAfee Application Control auch akzeptiert werden, wenn Sie durch WSUS 2.0SP1 auseführt werden.



3. Wenn Sie sich nach der Ausführung dieses Schrittes die Liste der autorisierten Aktualisierungsprogramme anzeigen lassen (sadmin updaters list) ist dieser Liste der WSUS hinzugefügt worden.

Das Aktualisierungsprogramm für den Virenscanner von McAfee fügen Sie mit dem Befehl C:\Program Files\McAfee\Solidcore\finetune.bat ADD A-McAfee hinzu.



Documents

Konfiguration McAfee Application Control · PDF fileKonfiguration McAfee Application Control Inbetriebnahmehandbuch, 07/2011, A5E03658594-01 3 Inhaltsverzeichnis 1 Vorwort