McAfee ePolicy Orchestrator 4.0 Produkthandbuch

McAfee ePolicy Orchestrator 4.0 

Produkthandbuch

COPYRIGHT 

Copyright © 2007 McAfee, Inc. Alle Rechte vorbehalten. 

Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten und 

angeschlossenen Unternehmen ganz oder teilweise reproduziert, übertragen, transkribiert, in einem Abrufsystem gespeichert oder in eine andere 

Sprache übersetzt werden. 

MARKEN 

AVERT, EPO, EPOLICY ORCHESTRATOR, FLASHBOX, FOUNDSTONE, GROUPSHIELD, HERCULES, INTRUSHIELD, INTRUSION INTELLIGENCE, 

LINUXSHIELD, MANAGED MAIL PROTECTION, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, MCAFEE.COM, NETSHIELD, 

PORTALSHIELD, PREVENTSYS, PROTECTION-IN-DEPTH STRATEGY, PROTECTIONPILOT, SECURE MESSAGING SERVICE, SECURITYALLIANCE, 

SITEADVISOR, THREATSCAN, TOTAL PROTECTION, VIREX, VIRUSSCAN, WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc., 

und/oder der Tochterunternehmen in den USA und anderen Ländern. Die Farbe McAfee-Rot in Verbindung mit Sicherheit ist ein Merkmal der 

McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum der jeweiligen 

Besitzer. 

INFORMATIONEN ZUR LIZENZ 

Lizenzvertrag 

HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER 

ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT 

WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN 

UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DER BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET 

ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE VON DER SEITE, VON DER SIE AUCH DAS 

SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE NICHT ALLEN BEDINGUNGEN DIESER VEREINBARUNG ZUSTIMMEN, 

INSTALLIEREN SIE DIE SOFTWARE NICHT. FALLS ZUTREFFEND, KÖNNEN SIE DAS PRODUKT GEGEN RÜCKERSTATTUNG DES KAUFPREISES 

AN MCAFEE ODER AN DIE STELLE ZURÜCKGEBEN, AN DER SIE DAS PRODUKT ERWORBEN HABEN. 

Lizenzhinweise 

Informationen hierzu finden Sie in den Versionsinformationen zum Produkt. 

2 

McAfee ePolicy Orchestrator 4.0 - Produkthandbuch

Inhaltsverzeichnis 

Einführung in ePolicy Orchestrator 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 

ePolicy Orchestrator 4.0-Komponenten und ihre Funktion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 

Der ePO-Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 

Der McAfee Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 

Verwenden dieses Handbuchs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 

Zielgruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

Informationen zu McAfee Enterprise-Produkten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

Konfigurieren der ePolicy Orchestrator-Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 

ePO-Benutzerkonten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

Globale Administratoren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

Funktionsweise von Berechtigungssätzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

Kontakte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

Servereinstellungen und was sie steuern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

Verfügbare Servertasks und deren Aufgaben. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

Das Prüfprotokoll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

Das Ereignisprotokoll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

Datenexporte aus Tabellen oder Diagrammen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 

MyAVERT Security Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 

Anmelden und Abmelden von ePO-Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 

Anmelden bei ePO-Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 

Abmelden von ePO-Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 

Anzeigen der Versionsnummer des Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 

Arbeiten mit Benutzerkonten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 

Erstellen von Benutzerkonten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 

Bearbeiten von Benutzerkonten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

Löschen von Benutzerkonten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

Arbeiten mit Berechtigungssätzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

Erstellen von Berechtigungssätzen für Benutzerkonten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

Duplizieren von Berechtigungssätzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 

Bearbeiten von Berechtigungssätzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 

Löschen von Berechtigungssätzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 

McAfee ePolicy Orchestrator 4.0 - Produkthandbuch 

3


Arbeiten mit Kontakten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 

Erstellen von Kontakten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

Bearbeiten von Kontakten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

Löschen von Kontakten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

Arbeiten mit Servereinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

Angeben eines E-Mail-Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 

Konfigurieren der Vorlage und des Speicherorts für exportierte Berichte. . . . . . . . . . . . . . . . . . . . . . 29 

Bestimmen der an den Server weiterzuleitenden Ereignisse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 

Anzeigen und Ändern von Kommunikationsports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 

Arbeiten mit dem Servertask-Protokoll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 

Anzeigen des Servertask-Protokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 

Filtern des Servertask-Protokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 

Bereinigen des Servertask-Protokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 

Arbeiten mit dem Prüfprotokoll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 

Anzeigen des Prüfprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 

Bereinigen des Prüfprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 

Planmäßiges Bereinigen des Prüfprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 

Arbeiten mit dem Ereignisprotokoll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 

Anzeigen des Ereignisprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

Bereinigen von Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

Planmäßiges Bereinigen des Ereignisprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

Arbeiten mit MyAvert Security Threats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 

Konfigurieren des Aktualisierungsintervalls und der Proxyeinstellungen für MyAvert. . . . . . . . . . . . 36 

Anzeigen von Benachrichtigungen über Bedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 

Löschen von Benachrichtigungen über Bedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 

Exportieren von Tabellen und Diagrammen in andere Formate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 

Zulässige Cron-Syntax beim Planen von Servertasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 

Organisieren von Systemen für die Verwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 

Systemstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 

Erwägungen beim Planen der Systemstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 

Administratorzugriff. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 

Gliederung der Umgebung und ihr Einfluss auf die Systemorganisation. . . . . . . . . . . . . . . . . . . . . . . 43 

Subnetze und IP-Adressbereiche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 

Tags und Systeme mit ähnlichen Eigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 

Betriebssysteme und Software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 

Beschreibung und Funktionsweise von Tags. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 

Active Directory- und NT-Domänensynchronisierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 

4 



Active Directory-Synchronisierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 

NT-Domänensynchronisierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 

Kriterienbasierte Sortierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 

Auswirkung von Einstellungen auf die Sortierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 

Kriterien für die IP-Adressensortierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 

Auf Tags basierende Sortierungskriterien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

Gruppenreihenfolge und -sortierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

Erfassungsgruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

Erstes Einordnen eines Systems in der Systemstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

Arbeiten mit Tags. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 

Erstellen von Tags mit dem Tag-Generator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 

Ausschließen von Systemen von der automatischen Kennzeichnung. . . . . . . . . . . . . . . . . . . . . . . . . 53 

Anwenden von Tasks auf ausgewählte Systeme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 

Automatisches Anwenden von kriterienbasierten Tags auf alle übereinstimmenden Systeme. . . . . 54 

Erstellen und Auffüllen von Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 

Manuelles Erstellen von Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

Manuelles Hinzufügen von Systemen zu einer vorhandenen Gruppe. . . . . . . . . . . . . . . . . . . . . . . . . 58 

Importieren von Systemen aus einer Textdatei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 

Sortieren von Systemen in kriterienbasierten Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 

Importieren von Active Directory-Containern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 

Importieren von NT-Domänen in eine vorhandene Gruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 

Geplantes Synchronisieren der Systemstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 

Manuelles Aktualisieren der synchronisierten Gruppe mit einer NT-Domäne. . . . . . . . . . . . . . . . . . . 68 

Manuelles Verschieben von Systemen innerhalb der Systemstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 

Verteilen von Agenten zum Verwalten von Systemen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 

Agenten und SuperAgents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 

Agent-zu-Server-Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 

SuperAgents und Reaktivierungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 

Agentenaktivitätsprotokolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 

Agentenrichtlinieneinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 

Sicherheitsschlüssel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 

Schlüssel für die sichere Agent-zu-Server-Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 

Schlüsselpaar für Master-Repository. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 

Öffentliche Schlüssel für weitere Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 

Methoden zur Agentenverteilung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 

Erstellen von benutzerdefinierten Agenteninstallationspaketen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 

Verteilen von Agenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 


5


Ausbringen des Agenten mit ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 

Installieren des Agenten mit Anmeldeskripts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 

Manuelle Installation des Agenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 

Aktivieren des Agenten auf unverwalteten McAfee-Produkten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 

Installieren des Agenten auf einem Image. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 

Verwenden anderer Ausbringungsprodukte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 

Verteilen des Agenten auf WebShield Appliances und Novell NetWare-Servern. . . . . . . . . . . . . . . . . 86 

Erzwingen der Agentenmeldung beim Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 

Upgrade vorhandener Agenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 

Upgrade von Agenten mithilfe von Anmeldeskripts oder über eine manuelle Installation. . . . . . . . . 87 

Upgrade von Agenten mit ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 

Entfernen des Agenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 

Ausführen von FRMINST.EXE über eine Befehlszeile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 

Entfernen von Agenten beim Löschen von Systemen in der Systemstruktur. . . . . . . . . . . . . . . . . . . 89 

Entfernen von Agenten beim Löschen von Gruppen aus der Systemstruktur. . . . . . . . . . . . . . . . . . . 89 

Entfernen von Agenten von Systemen in Abfrageergebnissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 

Wartung des Agenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 

Senden von manuellen Reaktivierungen an Systeme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 

Senden von manuellen Reaktivierungen an eine Gruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 

Senden von geplanten Reaktivierungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 

Anzeigen des Agentenaktivitätsprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 

Anzeigen der Agenten- und Produkteigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 

Ausführen von Agententasks auf dem verwalteten System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 

Arbeiten mit Sicherheitsschlüsseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 

Agenten-Befehlszeilenoptionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 

Befehlszeilenoptionen für die Agenteninstallation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 

Erstellen von Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 

Repository-Typen und ihre Funktion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 

Typen verteilter Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 

Repository-Zweige und ihre Verwendung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 

Repository-Listendatei und ihre Verwendung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 

Zusammenarbeit von Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 

Sicherstellen des Zugriffs auf die Quellsite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 

Verwenden der Proxyeinstellungen von Internet Explorer für das Master-Repository. . . . . . . . . . . 112 

Konfigurieren von benutzerdefinierten Proxyeinstellungen für das Master-Repository. . . . . . . . . . 113 

Arbeiten mit Quellsites und alternativen Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 

Wechseln von Quellsite und alternativer Site. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 

6 



Erstellen von Quellsites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 

Bearbeiten von Quellsites und alternativen Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 

Löschen von Quellsites oder alternativen Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 

Verwenden von SuperAgents als verteilte Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 

Erstellen von SuperAgent-Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 

Auswählen von Paketen, die in SuperAgent-Repositories repliziert werden. . . . . . . . . . . . . . . . . . . 118 

Löschen von über SuperAgent verteilten Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 

Erstellen und Konfigurieren von FTP-, HTTP- und UNC-Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 

Erstellen eines Ordnerspeicherorts auf einem FTP-Server, HTTP-Server oder einer UNC-Freigabe. 119 

Hinzufügen des verteilten Repositorys zu ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 

Aktivieren der Ordnerfreigabe für UNC- und HTTP-Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 

Bearbeiten von verteilter Repositories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 

Löschen von verteilten Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 

Arbeiten mit den Repository-Listendateien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 

Exportieren der Repository-Listendatei SITELIST.XML. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 

Exportieren der Repository-Listendatei SITEMGR.XML zur Sicherung oder für die 

Verwendung auf anderen Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 

Importieren von verteilten Repositories aus der Datei SITEMGR.XML. . . . . . . . . . . . . . . . . . . . . . . 124 

Importieren von Quellsites aus der Datei SITEMGR.XML. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 

Ändern von Anmeldeinformationen für mehrere verteilte Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 

Verwalten von Produkten mit Richtlinien und Clienttasks. . . . . . . . . . . . . . . . . . . . . . . . . 126 

Erweiterungen und ihre Funktion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 

Richtlinienverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 

Richtlinienanwendung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 

Clienttasks und deren Aufgaben. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 

Hinzufügen von Produkten zur Verwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 

Anzeigen der Richtlinieninformationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 

Anzeigen der Gruppen und Systeme, denen eine Richtlinie zugewiesen ist. . . . . . . . . . . . . . . . . . . 131 

Anzeigen der Einstellungen einer Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 

Anzeigen des Richtlinienbesitzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 

Anzeigen von Zuweisungen, bei denen die Richtlinienerzwingung deaktiviert ist. . . . . . . . . . . . . . 132 

Anzeigen der einer Gruppe zugewiesenen Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 

Anzeigen der einem bestimmten System zugewiesenen Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . 133 

Anzeigen der Richtlinienvererbung für eine Gruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 

Anzeigen und Zurücksetzen unterbrochener Vererbung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 

Arbeiten mit dem Richtlinienkatalog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 

Erstellen einer Richtlinie auf der Seite "Richtlinienkatalog" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 


7


Duplizieren einer Richtlinie auf der Seite "Richtlinienkatalog". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 

Bearbeiten der Einstellungen einer Richtlinie aus dem Richtlinienkatalog. . . . . . . . . . . . . . . . . . . . 136 

Umbenennen einer Richtlinie aus dem Richtlinienkatalog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 

Löschen einer Richtlinie aus dem Richtlinienkatalog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 

Arbeiten mit Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 

Ändern des Besitzers einer Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 

Freigeben von Richtlinien zwischen ePO-Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 

Zuweisen einer Richtlinie zu einer Gruppe der Systemstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 

Zuweisen einer Richtlinie zu einem verwalteten System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 

Zuweisen einer Richtlinie zu mehreren verwalteten Systemen innerhalb einer Gruppe. . . . . . . . . . 140 

Erzwingen von Richtlinien für ein Produkt in einer Gruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 

Erzwingen von Richtlinien für ein Produkt in einem System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 

Kopieren und Einfügen von Zuweisungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 

Arbeiten mit Clienttasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 

Erstellen und Planen von Clienttasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 

Bearbeiten von Clienttasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 

Löschen von Clienttasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 

FAQ (Häufig gestellte Fragen). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 

Ausbringen von Software und Aktualisierungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 

Ausbringungspakete für Produkte und Aktualisierungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 

Ausbringen von Produkten und Aktualisierungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 

Ausbringungstasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 

Aktualisierungstasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 

Globale Aktualisierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 

Abruftasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 

Replizierungstasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 

Repository-Auswahl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 

Servertask-Protokoll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 

Manuelles Einchecken von Paketen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 

Ausbringen von Produkten auf verwaltete Systeme mithilfe des Produktausbringungstasks. . . . . . . . . . . . 156 

Konfigurieren des Ausbringungstasks für Gruppen verwalteter Systeme. . . . . . . . . . . . . . . . . . . . . 156 

Konfigurieren des Ausbringungstasks zum Installieren von Produkten auf einem 

verwalteten System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 

Automatisches Ausbringen von Aktualisierungspaketen per globaler Aktualisierung. . . . . . . . . . . . . . . . . . . 158 

Ausbringen von Aktualisierungspaketen mit Abruf- und Replizierungstasks. . . . . . . . . . . . . . . . . . . . . . . . . . 159 

Verwenden von Abruftasks zum Aktualisieren des Master-Repositorys. . . . . . . . . . . . . . . . . . . . . . . 159 

Replizieren von Paketen aus dem Master-Repository in alle verteilten Repositories. . . . . . . . . . . . 162 

8 



Konfigurieren von Agentenrichtlinien zum Verwenden eines verteilten Repositorys. . . . . . . . . . . . . . . . . . . 164 

Verwenden von lokalen verteilten Repositories, die nicht verwaltet werden. . . . . . . . . . . . . . . . . . . . . . . . . 165 

Manuelles Einchecken von Modul-, DAT- und EXTRA.DAT-Aktualisierungspaketen. . . . . . . . . . . . . . . . . . . . 166 

Regelmäßiges Aktualisieren von verwalteten Systemen mit einem geplanten Aktualisierungstask. . . . . . . . 166 

Bestätigen, dass Clients die neuesten DAT-Dateien verwenden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 

Testen neuer DAT-Dateien und Module vor dem Verteilen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 

Manuelles Verschieben von DAT- und Modulpaketen zwischen Zweigen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

Löschen von DAT- oder Modulpaketen aus dem Master-Repository. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 

Senden von Benachrichtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 

Das Benachrichtigungssystem und seine Funktion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

Beschränkung und Aggregation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

Benachrichtigungsregeln und Systemstrukturszenarien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 

Standardregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 

Planen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 

Bestimmen, wie Ereignisse weitergeleitet werden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 

Bestimmen, welche Ereignisse sofort weitergeleitet werden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 

Bestimmen, welche Ereignisse weitergeleitet werden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 

Einrichten von ePO-Benachrichtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 

Gewähren von angemessenen Berechtigungen für Benachrichtigungen. . . . . . . . . . . . . . . . . . . . . 176 

Arbeiten mit SNMP-Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 

Arbeiten mit registrierten ausführbaren Dateien und externen Befehlen. . . . . . . . . . . . . . . . . . . . . 179 

Erstellen und Bearbeiten von Benachrichtigungsregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 

Beschreiben der Regel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 

Festlegen von Filtern für die Regel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 

Festlegen von Schwellenwerten für die Regel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 

Konfigurieren der Benachrichtigungen für die Regel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 

Anzeigen des Benachrichtigungsverlaufs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 

Konfigurieren des Benachrichtigungsprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 

Anzeigen der Details von Einträgen im Benachrichtigungsprotokoll. . . . . . . . . . . . . . . . . . . . . . . . . 187 

Bereinigen des Benachrichtigungsprotokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 

Produkt- und Komponentenliste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 

FAQ (Häufig gestellte Fragen). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 

Abfragen der Datenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 

Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 

Öffentliche und persönliche Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 

Abfrageberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 

Abfragen-Generator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 


9


Abfragen der Rollups mehrerer Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 

Vorbereitung auf das Abfragen des Rollups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 

Registrieren von ePO-Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 

Erstellen eines Daten-Rollup-Servertasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

Arbeiten mit Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

Erstellen von benutzerdefinierten Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 

Ausführen einer vorhandenen Abfrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

Planmäßiges Ausführen einer Abfrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

Veröffentlichen persönlicher Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 

Duplizieren von Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 

Freigeben einer Abfrage zwischen ePO-Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 

Exportieren von Abfrageergebnissen in andere Formate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 

Standardabfragen und was sie anzeigen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 

Abfrage "MA: Zusammenfassung Agentenkommunikation". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 

Abfrage "MA: Zusammenfassung Agentenversion". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 

Abfrage "ePO: Konformitätsverlauf". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 

Abfrage "ePO: Konformitätsübersicht". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

Abfrage "ePO: Malware-Entdeckungsverlauf". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

Abfrage "ePO: Status der verteilten Repositories". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

Abfrage "ePO: Fehlgeschlagene Benutzeraktionen in ePO-Konsole". . . . . . . . . . . . . . . . . . . . . . . . . 204 

Abfrage "ePO: Fehlgeschlagene Anmeldeversuche". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 

Abfrage "ePO: Konformitätsverlauf für mehrere Server". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 

Abfrage "ePO: Systeme pro Gruppe der obersten Ebene". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

Abfrage "ePO: Als Server gekennzeichnete Systeme". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

Abfrage "ePO: Heutige Entdeckungen pro Produkt". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

Bewerten Ihrer Umgebung mit Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 

Beschreibung und Funktionsweise von Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 

Abfragen als Dashboard-Überwachungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 

Standardmäßige Dashboard-Überwachungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 

Einrichten des Dashboards-Zugriffs und des Dashboard-Verhaltens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

Gewähren von Dashboard-Berechtigungen für Benutzer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

Konfigurieren des Aktualisierungsintervalls für Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

Arbeiten mit Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

Erstellen von Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

Aktivieren eines Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 

Auswählen aller aktiven Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 

Veröffentlichen eines Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 

10 



Anhang: Wartung von ePolicy Orchestrator-Datenbanken. . . . . . . . . . . . . . . . . . . . . . . . . 211 

Ausführen täglicher oder wöchentlicher Datenbankwartung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 

Ausführen der wöchentlichen Wartung von MSDE-Datenbanken. . . . . . . . . . . . . . . . . . . . . . . . . . . 212 

Ausführen der regelmäßigen Wartung von SQL Server-Datenbanken. . . . . . . . . . . . . . . . . . . . . . . . 212 

Regelmäßiges Sichern von ePolicy Orchestrator-Datenbanken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 

Sichern einer SQL-Datenbank – siehe SQL-Dokumentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 

Sichern einer MSDE-Datenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 

Ändern von SQL Server-Informationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 

Wiederherstellen von ePolicy Orchestrator-Datenbanken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 

Wiederherstellen einer SQL-Datenbank – siehe SQL-Dokumentation. . . . . . . . . . . . . . . . . . . . . . . . 215 

Wiederherstellen einer MSDE-Datenbank aus einer Sicherungskopie. . . . . . . . . . . . . . . . . . . . . . . . 215 


11

Einführung in ePolicy Orchestrator 4.0 

ePolicy Orchestrator 4.0 stellt eine skalierbare Plattform zur zentralisierten Richtlinienerwaltung 

und -umsetzung für Sicherheitsprodukte auf den Systemen zur Verfügung, auf denen sie installiert 

sind. Die Software bietet außerdem umfassende Funktionen zur Berichterstellung und zentralen 

Produktausbringung. 

Inhalt 

ePolicy Orchestrator 4.0-Komponenten und ihre Funktion 

Verwenden dieses Handbuchs 

Informationen zu McAfee Enterprise-Produkten 

ePolicy Orchestrator 4.0-Komponenten und ihre 

Funktion 

ePolicy Orchestrator besteht aus den folgenden Komponenten: 

• ePO-Server – Das Zentrum Ihrer verwalteten Umgebung. Der Server liefert 

Sicherheitsrichtlinien und Tasks, steuert Aktualisierungen und verarbeitet Ereignisse für alle 

verwalteten Systeme. 

• Master-Repository – Der zentrale Speicherort für alle McAfee-Aktualisierungen und -Signaturen 

im ePO-Server. Das Master-Repository ruft vom Benutzer angegebene Aktualisierungen und 

Signaturen von McAfee oder benutzerdefinierten Quellsites ab. 

• Verteilte Repositories – Strategisch günstig über Ihre gesamte Umgebung verteilt und 

ermöglichen den verwalteten Systemen den Zugriff auf Signaturen, Produktaktualisierungen 

und Produktinstallationen bei minimaler Belastung des Netzwerks. Je nach Einrichtung Ihres 

Netzwerks können Sie verteilte Repositories für SuperAgent, HTTP-, FTP- oder UNC-Freigabe 

einrichten. 

• McAfee Agent – Ein Hilfsmittel zum Übertragen von Informationen und Erzwingen von 

Richtlinien zwischen dem ePO-Server und den Systemen. Der Agent ruft für jedes verwaltete 

System Aktualisierungen ab, stellt die Implementierung von Tasks sicher, erzwingt Richtlinien 

und leitet Ereignisse weiter. 

Der ePO-Server 

Der ePO-Server bietet Möglichkeiten zur Verwaltung, Berichterstellung und Erzwingung und 

umfasst die folgenden Funktionen: 

• Eine robuste Datenbank, die Informationen zur Ausführung der Produkte auf den Systemen 

im Netzwerk sammelt. 

12 




• Ein Abfragesystem, das die Überwachung des Sicherheitsstatus in Ihrem Unternehmen 

ermöglicht und schnell auf die gesammelten Daten reagiert. 

• Ein Software-Repository, in dem die im Netzwerk ausgebrachten Produkte und 

Produktaktualisierungen (z. B. DAT-Dateien) gespeichert werden. 

Der ePolicy Orchestrator-Server kann die Benutzer zur benutzerdefinierten Richtlinienverwaltung 

in einzelne Gruppen unterteilen. Jeder Server kann bis zu 250.000 Systeme verwalten. 

Der McAfee Agent 

Der Agent wird auf den Systemen installiert, die Sie mit ePolicy Orchestrator verwalten möchten. 

Während der Agent im Hintergrund ausgeführt wird, führt er die folgenden Aufgaben durch: 

• Er sammelt Informationen und Ereignisse von verwalteten Systemen und sendet diese an 

den ePolicy Orchestrator-Server. 

• Er installiert Produkte und Aktualisierungen auf verwalteten Systemen. 

• Er erzwingt auf verwalteten Systemen Richtlinien und Tasks und sendet Ereignisse an den 

ePO-Server zurück. 

Sie können den Agenten (auf Windows-Systemen) von der Konsole aus ausbringen oder das 

Installationspaket des Agenten für eine manuelle oder auf Anmeldeskripts basierte Installation 

auf Ihren Systemen auf einen Wechseldatenträger oder in eine Netzwerkfreigabe kopieren. Auf 

UNIX-Systemen müssen die Agenten manuell installiert werden. 


In diesem Handbuch finden Sie Informationen zur Konfiguration und Verwendung Ihres Produkts. 

Angaben zu den Systemanforderungen und Installationsanleitungen finden Sie im 

Installationshandbuch. 

Die Reihenfolge der Informationen entspricht der Empfehlung von McAfee zum erstmaligen 

Einrichten von ePolicy Orchestrator in einer Produktionsumgebung. Gleichzeitig können diese 

Informationen gezielt aufgerufen werden. 

Richten Sie ePolicy Orchestrator zum ersten Mal ein? 

Dieses Handbuch soll sowohl Administratoren helfen, die erstmals eine ePolicy 

Orchestrator-Umgebung einrichten, als auch fortgeschrittenen Benutzern als Referenz dienen. 

Je nach Umgebung kann sich die Reihenfolge der auszuführenden Arbeiten leicht unterscheiden. 

Wenn Sie ePolicy Orchestrator zum ersten Mal einrichten, sollten Sie wie folgt vorgehen: 

1 Konfigurieren von ePolicy Orchestrator-Servern – Richten Sie Benutzerkonten und 

-Berechtigungen ein, konfigurieren Sie Einstellungen, und machen Sie sich mit der 

Benutzeroberfläche vertraut. 

2 Organisieren von Systemen für die Verwaltung – In der Systemstruktur können Sie alle mit 

ePolicy Orchestrator verwalteten Systeme organisieren und bearbeiten. Vor dem Einrichten 

anderer Funktionen müssen Sie die Systemstruktur mit verwalteten Systemen erstellen. 

3 Verteilen von Agenten – Auf jedem System, das Sie verwalten möchten, muss der McAfee 

Agent installiert sein. In diesem Abschnitt finden Sie detaillierte Informationen zum Verteilen 

und Verwalten von Agenten in Ihrer Umgebung. 


13



4 Erstellen von Repositories – Bevor Sie Produkte, Komponenten oder Aktualisierungen mit 

ePolicy Orchestrator auf den verwalteten Systemen ausbringen, müssen Sie 

Aktualisierungs-Repositories erstellen und konfigurieren. 

5 Verwalten von Produktrichtlinien und Tasks – Bevor Sie Produkte, Komponenten oder 

Aktualisierungen mit ePolicy Orchestrator auf den verwalteten Systemen ausbringen, sollten 

Sie die Richtlinieneinstellungen für diese Produkte und Komponenten konfigurieren. Es ist 

zwar nicht erforderlich, Richtlinieneinstellungen vor der Ausbringung zu konfigurieren, Sie 

stellen dadurch aber sicher, dass die Produkte und Komponenten die gewünschten 

Einstellungen zum frühestmöglichen Zeitpunkt haben. 

6 Ausbringen von Software und Aktualisierungen – Nachdem die Aktualisierungs-Repositories 

und Richtlinieneinstellungen erstellt und konfiguriert wurden, bringen Sie die Produkte, 

Komponenten und Aktualisierungen mit ePolicy Orchestrator auf die gewünschten Systeme 

aus. 

7 Konfigurieren von erweiterten Funktionen – Sobald die verwaltete Umgebung ausgeführt 

wird, können Sie die erweiterten Funktionen von ePolicy Orchestrator konfigurieren und 

implementieren, z. B. Benachrichtigungen, Abfragen und Dashboards. 

Zielgruppe 

Dieses Handbuch wurde in erster Linie für Netzwerkadministratoren geschrieben, die für das 

Sicherheitsprogramm ihres Unternehmens verantwortlich sind. Für dieses Handbuch wird 

vorausgesetzt, dass der Kunde ePolicy Orchestrator bereits in einer Testumgebung installiert 

und getestet hat. 


Die Dokumentation von McAfee stellt Ihnen die Informationen zur Verfügung, die Sie in jeder 

Phase der Produktimplementierung benötigen – vom Testen eines neuen Produkts bis zum 

Verwalten von vorhandenen Produkten. Je nach Produkt sind möglicherweise verschiedene 

Dokumente verfügbar. Nach der Produktveröffentlichung erhalten Sie zusätzliche Informationen 

zu diesem Produkt online in der KnowledgeBase, die Sie über das McAfee ServicePortal erreichen. 

Testphase 

Installationsphase 

Einrichtungsphase 

Wartungsphase 

Wie profitiert meine Firma 

von diesem Produkt? 

Test-Lernprogramm 

Vor, während und nach 

der Installation 

Versionsinformationen 

• Vorgehensweisen zum 

Vorbereiten für, 

• Bekannte Probleme in 

der aktuellen Version 

Installieren und 

• Seit der letzten Version 

Ausbringen von 

behobene Probleme 

Software in einer 

Testumgebung • Änderungen, die in 

• Schrittweise 

Anweisungen für 

typische Aufgaben 

letzter Minute am 

Produkt oder der 

Dokumentation 

vorgenommen wurden 

Installationshandbuch 

• Vorgehensweisen zum 

Vorbereiten für, 

Installieren und 

Einrichtung und Betrieb 

des Produkts 

Warten der Software 

Online-Hilfe 

Produkthandbuch und 

Online-Hilfe 

• Warten der Software 

• Vorgehensweise beim 

• Referenzinformationen 

Einrichten und Anpassen • Alle Informationen des 

der Software an Ihre Produkthandbuchs 

Umgebung 

Kurzanleitung 

Online-Hilfe 

• Ausführliche 

• Vorgehensweise beim Anweisungen für 

Verwalten und 

typische und seltene, 


aber wichtige Aufgaben 

Produkten mit ePolicy KnowledgeBase 

Orchestrator 

(knowledge.mcafee.com) 

• Ausführliche 

Informationen zu den 

Optionen in diesem 

Produkt 

• Versionsinformationen 

und Dokumentation 

14 




Testphase 

Installationsphase 

Einrichtungsphase 

Wartungsphase 


Software in einer 

Produktionsumgebung 

• Zusätzliche 

Produktinformationen 

• Umgehen von 

bekannten Problemen 

Versionsinformationen und Dokumentation für McAfee Enterprise-Produkte 

1 Wechseln Sie zu knowledge.mcafee.com, und klicken Sie unter Useful links (Nützliche 

Links) auf den Link Product Documentation (Produktdokumentation). 

2 Wählen Sie nacheinander den Produktnamen und die Produktversion und in der Liste 

der Dokumente das gewünschte Dokument aus. 


15

Konfigurieren der ePolicy Orchestrator-Server 

Der ePO-Server bildet das Zentrum Ihrer verwalteten Umgebung, von dem aus die 

Systemsicherheit im gesamten Netzwerk verwaltet wird. 

Wenn Ihr Unternehmen sehr groß oder auf mehrere große Standorte verteilt ist, sollten Sie 

gegebenenfalls an jedem Standort einen separaten Server installieren. Wenn Sie das Verwalten 

der Agenten, das Senden von Aktualisierungen und das Replizieren in verteilte Repositories 

innerhalb des lokalen Netzwerkes (LAN) durchführen, können Sie den Netzwerkverkehr 

verringern. Der Netzwerkverkehr wirkt sich stärker auf Ihre Ressourcen aus, wenn die 

Kommunikation über WAN, VPN oder andere langsamere Netzwerke abläuft, die als Verbindung 

zwischen Remotestandorten typisch sind. 

Konfigurieren Sie den ePO-Server zum ersten Mal? 

Wenn Sie den ePO-Server erstmals konfigurieren, gehen Sie wie folgt vor: 

1 Lesen Sie die Konzeptinformationen zu Benutzerkonten, Berechtigungssätzen, 

Servereinstellungen und Servertasks. 

2 Entscheiden Sie, wie die flexiblen Berechtigungssätze bei Benutzerkonten implementiert 

werden sollen. 

3 Erstellen Sie Benutzerkonten und Berechtigungssätze, und weisen Sie die Berechtigungssätze 

nach Bedarf zu. 

4 Richten Sie Ihre Kontaktlisten und den E-Mail-Server ein. 

Inhalt 

ePO-Benutzerkonten 

Funktionsweise von Berechtigungssätzen 

Kontakte 

Servereinstellungen und was sie steuern 

Verfügbare Servertasks und deren Aufgaben 

Das Prüfprotokoll 

Das Ereignisprotokoll 

Datenexporte aus Tabellen oder Diagrammen 

MyAVERT Security Threats 

Anmelden und Abmelden von ePO-Servern 

Anzeigen der Versionsnummer des Servers 

Arbeiten mit Benutzerkonten 

Arbeiten mit Berechtigungssätzen 

Arbeiten mit Kontakten 

16 




Arbeiten mit Servereinstellungen 

Arbeiten mit dem Servertask-Protokoll 

Arbeiten mit dem Prüfprotokoll 

Arbeiten mit dem Ereignisprotokoll 

Arbeiten mit MyAvert Security Threats 

Exportieren von Tabellen und Diagrammen in andere Formate 

Zulässige Cron-Syntax beim Planen von Servertasks 


Benutzerkonten geben Benutzern die Möglichkeit, auf Software zuzugreifen und diese zu 

verwenden. Sie sind mit Berechtigungssätzen verknüpft, die definieren, welche Vorgänge 

Benutzer mit der Software durchführen dürfen. 

Sie müssen Benutzerkonten und Berechtigungssätze so erstellen, dass sie die Anforderungen 

jedes Benutzers erfüllen, der sich am ePO-Server anmeldet. 

Es gibt zwei Arten von Benutzern: globale Administratoren und alle anderen Benutzer. 

Globale Administratoren 

Globale Administratoren besitzen die Berechtigung zum Lesen und Schreiben und zum Ausführen 

aller Vorgänge. Beim Installieren des Servers wird ein globales Administratorkonto mit dem 

Benutzernamen admin erstellt. 

Sie können für Benutzer, die globale Administratorrechte benötigen, weitere globale 

Administratorkonten erstellen. 

Zu den Berechtigungen, die nur globalen Administratoren vorbehalten sind, gehören: 

• Erstellen, Bearbeiten und Löschen von Quellsites und alternativen Sites 

• Ändern von Servereinstellungen 

• Hinzufügen und Löschen von Benutzerkonten 

• Hinzufügen, Löschen und Zuweisen von Berechtigungssätzen 

• Importieren von Ereignissen in ePolicy Orchestrator-Datenbanken und Einschränken der 

Ereignisse, die dort gespeichert werden 

Funktionsweise von Berechtigungssätzen 

Ein Berechtigungssatz ist eine Gruppe von Berechtigungen, die Benutzern gewährt werden 

können, indem sie deren Benutzerkonten zugewiesen werden. Benutzern, die keine globalen 

Administratoren sind (da diese ohnehin alle Berechtigungen für Produkte und Funktionen 

besitzen), können ein oder mehrere Berechtigungssätze zugewiesen werden. 

Berechtigungssätze können Berechtigungen und Zugriff nur gewähren, aber niemals widerrufen. 

Wenn mehrere Berechtigungssätze auf ein Benutzerkonto angewendet werden, summieren sie 

sich. Wenn ein Berechtigungssatz zum Beispiel keine Berechtigungen für Servertasks bietet, 

ein anderer Satz für dasselbe Konto aber alle Berechtigungen für Servertasks gewährt, besitzt 

das Konto alle Berechtigungen für Servertasks. Berücksichtigen Sie dies, wenn Sie die Strategie 

für die Gewährung von Benutzerberechtigungen in Ihrer Umgebung planen. 


17


Kontakte 

Wann werden Berechtigungssätze zugewiesen? 

Globale Administratoren können vorhandene Berechtigungssätze beim Erstellen oder Bearbeiten 

von Benutzerkonten und beim Erstellen oder Bearbeiten von Berechtigungssätzen zuweisen. 

Was geschieht, wenn neue Produkte installiert werden? 

Wenn eine neue Produkterweiterung installiert wird, werden den Berechtigungssätzen unter 

Umständen eine oder mehrere Gruppen von Berechtigungen hinzugefügt. So wird zum Beispiel 

beim Installieren einer VirusScan Enterprise-Erweiterung jedem Berechtigungssatz ein VirusScan 

Enterprise-Abschnitt hinzugefügt. Anfangs wird der neu hinzugefügte Abschnitt in jedem 

Berechtigungssatz nur aufgeführt, ohne dass hierfür bereits Berechtigungen gewährt sind. 

Anschließend können globale Administratoren den Benutzern mittels vorhandener oder neuer 

Berechtigungssätze Berechtigungen gewähren. 

Standardberechtigungssätze 

ePolicy Orchestrator 4.0 wird mit vier Standardberechtigungsätzen geliefert, die Berechtigungen 

für die ePolicy Orchestrator-Funktionen gewähren. Dies sind im Einzelnen: 

• Leitender Prüfer – Gewährt Anzeigeberechtigungen für Dashboards, Ereignisse, Kontakte 

und Informationen im Zusammenhang mit der gesamten Systemstruktur. 

• Globaler Prüfer – Gewährt globalen Anzeigezugriff auf Funktionen, Produkte und die 

Systemstruktur. Ausnahmen: Erweiterungen, zusammengefasste Daten mehrerer Server, 

registrierte Server und Software. 

• Gruppenadministrator – Gewährt Anzeige- und Änderungsberechtigungen für alle ePolicy 

Orchestrator-Funktionen. Benutzer, denen dieser Berechtigungssatz zugewiesen wird, 

benötigen jeweils mindestens einen weiteren Berechtigungssatz, der Zugriff auf erforderliche 

Produkte und Gruppen der Systemstruktur gewährt. 

• Gruppenprüfer – Gewährt Anzeigeberechtigungen für alle ePolicy Orchestrator-Funktionen. 

Benutzer, denen dieser Berechtigungssatz zugewiesen wird, benötigen jeweils mindestens 

einen weiteren Berechtigungssatz, der Zugriff auf erforderliche Produkte und Gruppen der 

Systemstruktur gewährt. 

Kontakte 

Verwalten Sie eine Liste mit E-Mail-Adressen, mit deren Hilfe ePolicy Orchestrator 

E-Mail-Nachrichten als Reaktion auf Ereignisse an angegebene Benutzer sendet. Derzeit wird 

diese Liste von Benachrichtigungen, Abfragen und von der Exportfunktion verwendet. 

Servereinstellungen und was sie steuern 

Das Verhalten des ePolicy Orchestrator-Servers wird durch diverse Einstellungen gesteuert. Die 

meisten Einstellungen können Sie jederzeit ändern. Um jedoch den Namen des Servers oder 

die vom Server für HTTP-Kommunikation verwendete Portnummer zu ändern, müssen Sie die 

Software erneut installieren. 

Typen von ePO-Servereinstellungen sind: 

• E-Mail-Server – Gibt den E-Mail-Server an, den ePolicy Orchestrator beim Senden von 

E-Mail-Nachrichten verwendet. 

18 




• Ereignisfilterung – Gibt an, welche Ereignisse vom Agenten weitergeleitet werden. 

• Globale Aktualisierung – Gibt an, ob und wie die globale Aktualisierung aktiviert ist. 

• MyAvert Security Threats – Gibt Proxyeinstellungen und das Aktualisierungsintervall für den 

MyAvert Security Threats-Dienst an. 

• Ports – Gibt die Ports an, über die der Server mit Agenten und der Datenbank kommuniziert. 

• Drucken und exportieren – Gibt an, wie Informationen in andere Formate exportiert werden, 

und welche Vorlage bei PDF-Exporten verwendet wird. 

• Repository-Pakete – Gibt an, ob Pakete in einen Zweig eingecheckt werden können. Nur 

Agenten nach Version 3.6 können andere Pakete außer Aktualisierungen aus anderen Zweigen 

als dem Zweig "Aktuell" abrufen. 

• Sicherheitsschlüssel – Gibt die Schlüssel für sichere Agent-zu-Server-Kommunikation und 

Repository-Schlüssel an und verwaltet sie. 

• Systemstruktursortierung – Gibt an, ob und wie die Systemstruktursortierung in der Umgebung 

aktiviert ist. 


Hier wird der Standardsatz an Servertasks beschrieben. Ausführliche Informationen zu diesen 

Servertasks finden Sie in den entsprechenden Abschnitten in diesem Handbuch. 

Verbesserungen bei Servertasks 

Servertasks haben jetzt mehr Konfigurationsmöglichkeiten, sodass es nun möglich ist, mehrere 

Aktionen und Unteraktionen innerhalb eines einzelnen Tasks zu verketten. Außerdem können 

sie flexibler geplant werden. 

Servertask-Aktionen 

• Ereignismigration – Wenn Sie von einer ePolicy Orchestrator-Installation einer früheren 

Version aktualisieren, können Sie mit diesem Task Ereignisse aus der alten Datenbank in 

die neue migrieren, sodass Sie auch Ihre alten Verlaufsdaten abfragen können. Es wird 

empfohlen, diesen Task möglichst bald nach der Aktualisierung außerhalb von Spitzenzeiten 

auszuführen. 

• NT Domäne/Active Directory-Synchronisierung – Synchronisiert ausgewählte 

Windows NT-Domänen und Active Directory-Container, die Systemstrukturgruppen zugeordnet 

sind. Dieser Task kann auch manuell durchgeführt werden. 

• Prüfprotokoll bereinigen – Löscht Einträge im Prüfprotokoll, die älter als vom Benutzer 

festgelegt sind. 

• Ereignisprotokoll bereinigen – Löscht Ereignisse anhand von benutzerdefinierten Kriterien 

aus der Datenbank. 

• Benachrichtigungsprotokoll bereinigen – Löscht Einträge anhand von benutzerdefinierten 

Zeitangaben aus dem Benachrichtigungsprotokoll. 

• Servertask-Protokoll bereinigen – Löscht Einträge im Servertask-Protokoll, die älter als vom 

Benutzer festgelegt sind. 

• Repository-Abruf – Ruft Pakete aus der Quellsite ab und legt diese im Master-Repository ab. 

• Repository-Replizierung – Aktualisiert verteilte Repositories aus dem Master-Repository. 


19



• Zusammenfassen der Daten: Verwaltete Systeme – Importiert eine Zusammenfassung von 

Daten aus anderen registrierten ePO-Servern. 

• Zusammenfassen der Daten: Konformitätsverlauf – Importiert eine Zusammenfassung von 

Konformitätsdaten aus anderen registrierten ePO-Servern. 

• Abfrage ausführen – Führt eine ausgewählte Abfrage aus und ermöglicht das Verketten von 

Unteraktionen bezüglich der Abfrageergebnisse. Beispiel: Sie können die Ergebnisse per 

E-Mail an eine beliebige Person senden oder auf allen in den Abfrageergebnissen enthaltenen 

Systemen Agenten ausbringen. 

• Tag-Kriterien ausführen – Testet alle ausgewählten Systeme auf die Kriterien eines 

ausgewählten Tags und wendet das Tag auf alle übereinstimmenden Systeme an. 


Mithilfe des Prüfprotokolls können Sie eine Aufzeichnung aller ePO-Benutzeraktionen aufrufen 

und verwalten. Die Einträge im Prüfprotokoll werden in einer sortierbaren Tabelle angezeigt. 

Zwecks größerer Flexibilität können Sie das Protokoll auch so filtern, dass nur fehlgeschlagene 

Aktionen oder nur Einträge eines bestimmten Alters angezeigt werden. 

Das Prüfprotokoll besteht aus sieben Spalten: 

• Aktion – Der Name der Aktion, die der ePO-Benutzer auszuführen versuchte. 

• Endzeit – Der Zeitpunkt, zu dem die Aktion abgeschlossen wurde. 

• Details – Weitere Informationen zur Aktion. 

• Priorität – Die Bedeutung der Aktion. 

• Startzeit – Der Zeitpunkt, zu dem die Aktion gestartet wurde. 

• Erfolgreich – Gibt an, ob die Aktion erfolgreich abgeschlossen wurde. 

• Benutzername – Der Benutzername des angemeldeten Benutzerkontos, mit dem die Aktion 

ausgeführt wurde. 

Die Einträge im Prüfprotokoll können abgefragt werden. Sie können mit dem Abfrage-Generator 

Abfragen für diese Daten erstellen oder die Standardabfragen für diese Daten verwenden. Die 

Abfrage Fehlgeschlagene Anmeldeversuche ruft beispielsweise eine Tabelle aller 

fehlgeschlagenen Anmeldeversuche ab. 


Mithilfe des Ereignisprotokolls können Sie Ereignisse in der Datenbank schnell anzeigen und 

sortieren. Das Ereignisprotokoll kann nur nach Alter bereinigt werden. 

Sie können wählen, welche Spalten in der sortierbaren Tabelle angezeigt werden sollen. Es 

steht eine Vielzahl von Ereignisdaten als Spalten zur Auswahl. 

Je nach den verwalteten Produkten können Sie auch mit bestimmten Aktionen auf die Ereignisse 

reagieren. Aktionen sind über die Schaltflächen unten auf der Seite verfügbar. 

Einheitliches Ereignisformat 

In allen verwalteten Produkten kommt nun ein einheitliches Ereignisformat zum Einsatz. Die 

Felder dieses Formats können als Spalten im Ereignisprotokoll verwendet werden. Dazu gehören: 

20 




• Ausgeführte Aktion – Die Aktion, die vom Produkt als Reaktion auf die Bedrohung 

ausgeführt wurde. 

• Agenten-GUID – Die eindeutige Kennung des Agenten, der das Ereignis weiterleitete. 

• DAT-Version – Die DAT-Version auf dem System, das das Ereignis sendete. 

• Hostname des entdeckenden Produkts – Der Name des Systems, das als Host des 

entdeckenden Produkts dient. 

• ID des entdeckenden Produkts – Die ID des entdeckenden Produkts. 

• IPv4-Adresse des entdeckenden Produkts – Die IPv4-Adresse des Systems, das als 

Host des entdeckenden Produkts dient (sofern zutreffend). 

• IPv6-Adresse des entdeckenden Produkts – Die IPv6-Adresse des Systems, das als 

Host des entdeckenden Produkts dient (sofern zutreffend). 

• MAC-Adresse des entdeckenden Produkts – Die MAC-Adresse des Systems, das als 

Host des entdeckenden Produkts dient. 

• Name des entdeckenden Produkts – Der Name des entdeckenden verwalteten Produkts. 

• Version des entdeckenden Produkts – Die Versionsnummer des entdeckenden Produkts. 

• Modulversion – Die Versionsnummer des Moduls des entdeckenden Produkts (sofern 

zutreffend). 

• Ereigniskategorie – Die Kategorie des Ereignisses. Die mögliche Kategorien hängen vom 

Produkt ab. 

• Zeit der Ereignisgenerierung (UTC) – Der Zeitpunkt der Ereignisentdeckung in 

koordinierter Weltzeit. 

• Ereignis-ID – Die eindeutige Kennung des Ereignisses. 

• Zeit des Ereignisempfangs (UTC) – Der Zeitpunkt, zu dem das Ereignis vom ePO-Server 

empfangen wurde (in koordinierter Weltzeit). 

• Dateipfad 

• Hostname – Der Name des Systems, das das Ereignis gesendet hat. 

• IPv4-Adresse – Die IPv4-Adresse des Systems, das das Ereignis gesendet hat. 

• IPv6-Adresse – Die IPv6-Adresse des Systems, das das Ereignis gesendet hat. 

• MAC-Adresse – Die MAC-Adresse des Systems, das das Ereignis gesendet hat. 

• Netzwerkprotokoll – Das Bedrohungszielprotokoll für Bedrohungsklassen im Netzwerk. 

• Portnummer – Der Bedrohungszielport für Bedrohungsklassen im Netzwerk. 

• Prozessname – Der Name des Zielprozesses (sofern zutreffend). 

• Server-ID 

• Name der Bedrohung – Der Name der Bedrohung. 

• Hostname der Bedrohungsquelle – Der Name des Systems, von dem die Bedrohung 

stammt. 

• IPv4-Adresse der Bedrohungsquelle – Die IPv4-Adresse des Systems, von dem die 

Bedrohung stammt. 

• IPv6-Adresse der Bedrohungsquelle – Die IPv6-Adresse des Systems, von dem die 



21



• MAC-Adresse der Bedrohungsquelle – Die MAC-Adresse des Systems, von dem die 


• URL der Bedrohungsquelle – Der URL des Systems, von dem die Bedrohung stammt. 

• Benutzername der Bedrohungsquelle – Der Name des Benutzers, von dem die Bedrohung 

stammt. 

• Typ der Bedrohung – Die Klasse der Bedrohung. 

• Benutzername – Der Benutzername oder die E-Mail-Adresse der Bedrohungsquelle. 


Daten aus Diagrammen oder Tabellen in ePolicy Orchestrator können in vier verschiedenen 

Formaten exportiert werden. Bei den exportierten Ergebnissen handelt es sich um Verlaufsdaten. 

Sie werden nicht aktualisiert. 

Im Gegensatz zu Abfrageergebnissen in der Konsole sind Daten in exportierten Berichten nicht 

für Aktionen geeignet. 

Berichte stehen in verschiedenen Formaten zur Verfügung: 

• CSV – Verwenden Sie dieses Format, um die Daten in einer Tabellenkalkulationsanwendung 

(z. B. Microsoft Excel) zu verwenden. 

• XML – Verwenden Sie dieses Format, um die Daten für andere Zwecke zu transformieren. 

• HTML – Verwenden Sie dieses Format, um die exportierten Ergebnisse als Webseite 

anzuzeigen. 

• PDF – Verwenden Sie dieses Format, wenn Sie die Ergebnisse ausdrucken möchten. 

Exportierte Daten können benannt und an jedem Ort gespeichert oder als E-Mail-Anlagen 

gesendet werden. 

MyAVERT Security Threats 

Auf der Seite MyAvert Security Threats werden Sie über die zehn wichtigsten Bedrohungen 

mit mittlerem bis hohem Risiko für geschäftliche Benutzer informiert. Nun müssen Sie nicht 

mehr manuell nach diesen Informationen in der Presse (TV, Radio bzw. Zeitungen), auf 

internationalen Websites, Mailinglisten oder bei anderen Quellen suchen. Sie werden von McAfee 

Avert automatisch über diese Bedrohungen benachrichtigt. 

Schutzstatus und Risikobewertung 

Sie können auf einfache Weise erkennen, ob die neuen DAT- und Moduldateien im Zweig 

"Aktuell" des Master-Repositorys ausreichend Schutz gegen die zehn wichtigsten Bedrohungen 

bieten. Wenn dies nicht der Fall ist, können Sie den höchsten Risikograd neuer Bedrohungen 

bestimmen. 

Schutz verfügbar 

Die DAT- und Moduldateien im Repository schützen bereits gegen alle AVERT bekannten 

Bedrohungen. Um festzustellen, ob alle verwalteten Systeme geschützt sind, fragen Sie die 

Abdeckung der DAT- und Moduldateien ab. 

22 




Schutz für Bedrohungen mit mittlerem bis niedrigem Risiko steht aus 

Die aktualisierte DAT-Datei für Bedrohungen, die von AVERT als mittleres Risiko eingestuft 

wurden, steht noch aus. Es ist jedoch ein aktualisierter Schutz in Form einer ergänzenden 

Virusdefinitionsdatei (EXTRA.DAT) verfügbar. Sie können diese Datei manuell herunterladen, 

wenn Sie vor der nächsten DAT-Datei Schutz benötigen, z. B. bei einem Virenausbruch. 

Schutz für Bedrohungen mit hohem Risiko steht aus 

Die aktualisierte DAT-Datei für Bedrohungen, die von AVERT als hohes Risiko eingestuft wurden, 

steht noch aus. Es ist jedoch ein aktualisierter Schutz in Form einer ergänzenden 

Virusdefinitionsdatei (EXTRA.DAT) verfügbar. Sie können diese Datei manuell herunterladen, 

wenn Sie vor der nächsten DAT-Datei Schutz benötigen, z. B. bei einem Virenausbruch. 


Gehen Sie wie nachfolgend beschrieben vor, um sich bei ePO-Server an- und abzumelden. 

Bevor Sie mit ePolicy Orchestrator arbeiten, müssen Sie sich am ePO-Server mit gültigen 

Kontoinformationen anmelden. 

Aufgaben 

Anmelden bei ePO-Servern 

Abmelden von ePO-Servern 

Anmelden bei ePO-Servern 

Gehen Sie zum Anmelden beim ePO-Server wie nachfolgend beschrieben vor. Sie benötigen 

dazu gültige Anmeldeinformationen. Sie können sich bei mehreren ePO-Servern anmelden, 

indem Sie für jeden ePO-Server einen neue Browsersitzung öffnen. 

Vorgehensweise 

1 Öffnen Sie einen Internetbrowser, und wechseln Sie zum URL des Servers. Das Dialogfeld 

Anmelden an ePolicy Orchestrator-Server wird angezeigt. 

2 Geben Sie den Benutzernamen und das Kennwort eines gültigen Kontos ein. 

HINWEIS: Kennwörter berücksichtigen Groß- und Kleinschreibung. 

3 Wählen Sie die Sprache aus, in der die Software angezeigt werden soll. 

4 Klicken Sie auf Anmelden. 

Abmelden von ePO-Servern 

Gehen Sie zum Abmelden von ePO-Servern wie nachfolgend beschrieben vor. Melden Sie sich 

von ePO-Servern immer ab, wenn Sie mit der Software nicht mehr arbeiten. 


• Zum Abmelden vom Server können Sie oben auf jeder Seite auf Abmelden klicken oder 

einfach den Browser schließen. 


23




Sie können die Versionsnummer, Edition und Lizenzinformationen des ePolicy 

Orchestrator-Servers anzeigen. 

• Zum Anzeigen der Versionsnummer und Ausgabe müssen Sie sich beim gewünschten ePolicy 

Orchestrator-Server anmelden. Diese Informationen werden in der Titelleiste angezeigt. 

• Wechseln Sie zum Anzeigen der Lizenzinformationen zur Anmeldeseite. 

• Wechseln Sie zum Anzeigen von Informationen zur Erweiterungsversion zu Konfiguration | 

Erweiterungen. 

Arbeiten mit Benutzerkonten 

Gehen Sie wie nachfolgend beschrieben vor, um Benutzerkonten zu erstellen und zu verwalten. 

Aufgaben 

Erstellen von Benutzerkonten 

Bearbeiten von Benutzerkonten 

Löschen von Benutzerkonten 

Erstellen von Benutzerkonten 

Gehen Sie wie nachfolgend beschrieben vor, um ein Benutzerkonto zu erstellen. Sie müssen 

als globaler Administrator angemeldet sein, um Benutzerkonten hinzufügen, bearbeiten oder 

löschen zu können. 


Definitionen zu Optionen erhalten Sie, wenn Sie auf der Seite mit den Optionen auf ? klicken. 

1 Wechseln Sie zu Konfiguration | Benutzer. 

2 Klicken Sie auf Neuer Benutzer. Die Seite Neuer Benutzer wird angezeigt. 

3 Geben Sie einen Benutzernamen ein. 

4 Legen Sie fest, ob der Anmeldestatus dieses Kontos aktiviert oder deaktiviert werden soll. 

Wenn das Konto für jemanden gedacht ist, der noch nicht zu Ihrem Unternehmen gehört, 

möchten Sie es vielleicht erst einmal deaktivieren. 

5 Wählen Sie aus, ob das neue Konto ePO-Authentifizierung oder 

Windows-Authentifizierung verwendet, und geben Sie die erforderlichen 

Anmeldeinformationen an. 

6 Optional können Sie im Textfeld Anmerkungen den vollständigen Namen, die 

E-Mail-Adresse, die Telefonnummer und eine Beschreibung des Benutzers eingeben. 

7 Legen Sie fest, ob der Benutzer ein globaler Administrator sein soll, oder wählen Sie für 

den Benutzer die gewünschten Berechtigungssätze aus. 

8 Klicken Sie auf Speichern, um die aktuellen Einträge zu speichern und zur Registerkarte 

Benutzer zurückzukehren. Der neue Benutzer sollte nun in der Liste Benutzer angezeigt 

werden. 

24 




Bearbeiten von Benutzerkonten 

Gehen Sie wie nachfolgend beschrieben vor, um ein Benutzerkonto zu bearbeiten. Globale 

Administratoren können Kennwörter für jedes Benutzerkonto ändern. Andere Benutzer können 

nur die Kennwörter ihrer eigenen Konten ändern. 




2 Wählen Sie in der Liste Benutzer den Benutzer aus, den Sie bearbeiten möchten, und 

klicken Sie dann auf Bearbeiten. 

3 Nehmen Sie die gewünschten Änderungen am Konto vor. 

4 Klicken Sie auf Speichern. 

Löschen von Benutzerkonten 

Gehen Sie wie nachfolgend beschrieben vor, um ein Benutzerkonto zu löschen. Sie müssen als 

globaler Administrator angemeldet sein, um Benutzerkonten löschen zu können. 

HINWEIS: Anstatt ein Konto zu löschen, sollten Sie dessen Anmeldestatusstatus auf 

Deaktiviert setzen, bis Sie sicher sind, dass alle mit dem Konto verbundenen wichtigen 

Informationen nun anderen Benutzern verfügbar sind. 




2 Wählen Sie in der Liste Benutzer den Benutzer aus, den Sie löschen möchten, und klicken 

Sie dann auf Löschen. 

3 Klicken Sie auf OK. 


Gehen Sie wie nachfolgend beschrieben vor, um Berechtigungssätze zu erstellen und zu 

verwalten. 

Aufgaben 

Erstellen von Berechtigungssätzen für Benutzerkonten 

Duplizieren von Berechtigungssätzen 

Bearbeiten von Berechtigungssätzen 

Löschen von Berechtigungssätzen 

Erstellen von Berechtigungssätzen für Benutzerkonten 

Gehen Sie wie nachfolgend beschrieben vor, um einen Berechtigungssatz zu erstellen. 


25



Bevor Sie beginnen 

Sie müssen als globaler Administrator angemeldet sein, um diese Schritte durchführen zu 

können. 



1 Wechseln Sie zu Konfiguration | Berechtigungssätze, und klicken Sie dann auf Neuer 

Berechtigungssatz. 

Abbildung 1: Seite "Neuer Berechtigungssatz" 

2 Geben Sie einen Namen für den Berechtigungssatz ein, und wählen Sie die Benutzer aus, 

denen der Satz zugewiesen werden soll. 

3 Klicken Sie auf Speichern. Die Seite Berechtigungssätze wird angezeigt. 

4 Wählen Sie den neuen Berechtigungssatz in der Liste Berechtigungssätze aus. Detaillierte 

Informationen dazu werden rechts angezeigt. 

5 Klicken Sie neben jedem Abschnitt, in dem Sie Berechtigungen gewähren möchten, auf 

Bearbeiten. 

6 Die Seite Berechtigungssatz bearbeiten wird angezeigt. Wählen Sie dort die 

entsprechenden Optionen aus, und klicken Sie dann auf Speichern. 

7 Wiederholen Sie den Vorgang für alle gewünschten Abschnitte des Berechtigungssatzes. 

Duplizieren von Berechtigungssätzen 

Gehen Sie wie nachfolgend beschrieben vor, um einen Berechtigungssatz zu duplizieren. 

Berechtigungssätze können nur von globalen Administratoren dupliziert werden. 



1 Wechseln Sie zu Konfiguration | Berechtigungssätze, und wählen Sie dann in der 

Liste Berechtigungssätze den Berechtigungssatz aus, den Sie duplizieren möchten. 

Detaillierte Informationen dazu werden rechts angezeigt. 

2 Klicken Sie auf Duplizieren, geben Sie im Bereich Aktion im Feld Neuer Name eine 

Namen ein, und klicken Sie dann auf OK. 

3 Wählen Sie das neue Duplikat in der Liste Berechtigungssätze aus. Detaillierte 


4 Klicken Sie neben jedem Abschnitt, für den Sie Berechtigungen gewähren möchten, auf 

Bearbeiten. 



26 




6 Wiederholen Sie dies für alle Abschnitte des Berechtigungssatzes, für die Sie Berechtigungen 

gewähren möchten. 

Bearbeiten von Berechtigungssätzen 

Gehen Sie wie nachfolgend beschrieben vor, um einen Berechtigungssatz zu bearbeiten. Nur 

globale Administratoren können Berechtigungssätze bearbeiten. 




Liste Berechtigungssätze den Berechtigungssatz aus, den Sie bearbeiten möchten. 

Detaillierte Informationen dazu werden rechts angezeigt. 

2 Klicken Sie neben jedem Abschnitt, in dem Sie Berechtigungen gewähren möchten, auf 

Bearbeiten. 



4 Wiederholen Sie den Vorgang für alle gewünschten Abschnitte des Berechtigungssatzes. 

Löschen von Berechtigungssätzen 

Gehen Sie wie nachfolgend beschrieben vor, um einen Berechtigungssatz zu löschen. 

Berechtigungssätze können nur von globalen Administratoren gelöscht werden. 




Liste Berechtigungssätze den Berechtigungssatz aus, den Sie löschen möchten. Detaillierte 


2 Klicken Sie auf Löschen, und klicken Sie dann im Bereich Aktion auf OK. Der 

Berechtigungssatz wird in der Liste Berechtigungssätze nicht mehr angezeigt. 


Gehen Sie wie nachfolgend beschrieben vor, um Informationen zu E-Mail-Adressen von Personen 

zu erstellen und zu verwalten, die möglicherweise E-Mail-Nachrichten von ePolicy Orchestrator 

erhalten. 

Aufgaben 

Erstellen von Kontakten 

Bearbeiten von Kontakten 

Löschen von Kontakten 


27



Erstellen von Kontakten 

Gehen Sie wie nachfolgend beschrieben vor, um E-Mail-Adressen zu Ihren Kontakten 

hinzuzufügen. 



1 Wechseln Sie zu Konfiguration | Kontakte, und klicken Sie dann auf Neuer Kontakt. 

Abbildung 2: Seite "Neuer Kontakt" 

2 Geben Sie den Vornamen, Nachnamen und die E-Mail-Adresse für den Kontakt ein. 

3 Klicken Sie auf Speichern. Der neue Kontakt wird auf der Seite Kontakte angezeigt. 

Bearbeiten von Kontakten 

Gehen Sie wie nachfolgend beschrieben vor, um Informationen in einem vorhandenen Eintrag 

auf der Seite Kontakte zu ändern. 



1 Wechseln Sie zu Konfiguration | Kontakte, und wählen Sie dann einen Kontakt aus. 

2 Klicken Sie auf Bearbeiten. Die Seite Kontakt bearbeiten wird angezeigt. 

3 Ändern Sie die Informationen nach Bedarf. 


Löschen von Kontakten 

Gehen Sie wie nachfolgend beschrieben vor, um Einträge von der Seite Kontakte zu löschen. 



1 Wechseln Sie zu Konfiguration | Kontakte, und wählen Sie dann einen Kontakt aus. 

2 Klicken Sie auf Löschen, und klicken Sie dann im Bereich Aktion auf OK. Der Kontakt 

wird in der Liste nicht mehr angezeigt. 


Gehen Sie wie nachfolgend beschrieben vor, um Servereinstellungen zu konfigurieren und zu 

verwalten. An dieser Stelle werden nur die allgemeinen Servereinstellungen behandelt. 

28 




Funktionsspezifische Servereinstellungen werden in den Abschnitten zu den jeweiligen Funktionen 

behandelt. Die Servereinstellungen für die Systemstruktursortierung werden zum Beispiel im 

Abschnitt Organisieren von Systemen für die Verwaltung behandelt. 

Aufgaben 

Angeben eines E-Mail-Servers 

Konfigurieren der Vorlage und des Speicherorts für exportierte Berichte 

Bestimmen der an den Server weiterzuleitenden Ereignisse 

Anzeigen und Ändern von Kommunikationsports 

Angeben eines E-Mail-Servers 

Gehen Sie wie nachfolgend beschrieben vor, um einen E-Mail-Server anzugeben, mit dessen 

Hilfe ePolicy Orchestrator E-Mail-Nachrichten senden soll. 



1 Wechseln Sie zu Konfiguration | Servereinstellungen, und klicken Sie dann in der 

Liste Kategorien festlegen auf E-Mail-Server. 

2 Klicken Sie auf Bearbeiten. Die Seite E-Mail-Server: Bearbeiten wird angezeigt. 

3 Geben Sie den SMTP-Servernamen und den SMTP-Serverport ein. 

4 Wählen Sie aus, ob für den E-Mail-Server Authentifizierung erforderlich ist. Wenn dies 

der Fall ist, geben Sie Anmeldeinformationen an. 

5 Geben Sie die E-Mail-Adresse des Absenders für Nachrichten ein, die von ePolicy Orchestrator 

gesendet werden. 

6 Klicken Sie auf Speichern, und wählen Sie dann E-Mail-Server aus. 

7 Geben Sie im Inhaltsbereich neben Test-E-Mail eine gültige E-Mail-Adresse für den 

Empfang von E-Mail-Nachrichten ein, und klicken Sie dann auf Testen, um die Einstellungen 

zu überprüfen. 

Konfigurieren der Vorlage und des Speicherorts für exportierte 

Berichte 

Gehen Sie wie nachfolgend beschrieben vor, um das Erscheinungsbild und den Speicherort für 

Tabellen und Dashboards zu definieren, die Sie als Dokumente exportieren. Sie können folgende 

Eigenschaften konfigurieren: 

• Kopf- und Fußzeilen, einschließlich eines benutzerdefinierten Logos, Name, Seitenzahl, usw. 

• Seitengröße und -ausrichtung zum Drucken 

• Das Verzeichnis, in dem exportierte Tabellen und Dashboards gespeichert werden 



1 Wechseln Sie zu Konfiguration | Servereinstellungen, und wählen Sie dann in der 

Liste Kategorien festlegen den Eintrag Drucken und exportieren aus. 


29



2 Klicken Sie auf Bearbeiten. Die Seite zum Bearbeiten der Einstellungen für das Drucken 

und Exportieren wird angezeigt. 

3 Neben Kopf- und Fußzeilen für exportierte Dokumente: 

a 

b 

c 

d 

Klicken Sie auf Logo bearbeiten, um für die Kopfzeile ein benutzerdefiniertes Bild oder 

Text anzugeben. 

Wählen Sie in den Dropdownlisten die gewünschten Metadaten aus, die in der Kopfund 

der Fußzeile angezeigt werden sollen. 

Wählen Sie eine Seitengröße aus. 

Wählen Sie eine Seitenausrichtung aus. 

4 Geben Sie einen neuen Speicherort ein, oder übernehmen Sie den Standardspeicherort, 

um die exportierten Dokumente zu speichern. 


Bestimmen der an den Server weiterzuleitenden Ereignisse 

Gehen Sie wie nachfolgend beschrieben vor, um zu bestimmen, welche Ereignisse an den Server 

weitergeleitet werden. Diese Auswahl wirkt sich auf die Bandbreite in Ihrer Umgebung sowie 

auf die Ergebnisse ereignisbasierter Abfragen aus. 


Sie müssen als globaler Administrator angemeldet sein, um diese Schritte durchführen zu 

können. 



1 Wechseln Sie zu Konfiguration | Servereinstellungen, wählen Sie Ereignisfilterung 

aus, und klicken Sie dann unten auf der Seite auf Bearbeiten. Die Seite Ereignisfilterung 

bearbeiten wird angezeigt. 

Abbildung 3: Seite "Ereignisfilterung bearbeiten" 

2 Wählen Sie die Ereignisse aus, die der Agent an den Server weiterleiten soll, und klicken 

Sie dann auf Speichern. 

Änderungen an diesen Einstellungen werden wirksam, nachdem alle Agenten mit dem ePO-Server 

kommuniziert haben. 

30 




Anzeigen und Ändern von Kommunikationsports 

Gehen Sie wie nachfolgend beschrieben vor, um die Ports anzuzeigen, über die ePolicy 

Orchestrator mit verteilten Komponenten kommuniziert. Diese Ports wurden ursprünglich bei 

der Installation konfiguriert. Nach der Installation können Sie nur die beiden Ports für die 

Agentenkommunikation ändern. Wenn Sie andere Ports ändern müssen, müssen Sie den Server 

neu installieren und die Ports im Installations-Assistenten neu konfigurieren. 



1 Wechseln Sie zu Konfiguration | Servereinstellungen, wählen Sie Ports aus, und 

klicken Sie dann unten auf der Seite auf Bearbeiten. Die Seite Ports bearbeiten wird 

angezeigt. 

2 Ändern Sie den Port für Agent-zu-Server-Kommunikation oder den Kommunikationsport 

für Agentenübertragung nach Bedarf, und klicken Sie dann auf Speichern. 

HINWEIS: Der Port für Agent-zu-Server-Kommunikation wird für die Kommunikation 

zwischen Agenten und Server verwendet, der Port für Agentenübertragung für 

SuperAgent-Reaktivierungen. 


Gehen Sie wie nachfolgend beschrieben vor, um das Servertask-Protokoll anzuzeigen und zu 

verwalten. 

Aufgaben 

Anzeigen des Servertask-Protokolls 

Filtern des Servertask-Protokolls 

Bereinigen des Servertask-Protokolls 

Anzeigen des Servertask-Protokolls 

Gehen Sie wie nachfolgend beschrieben vor, um den Status von Servertasks und langfristigen 

Aktionen zu überprüfen. 

Der Status jedes Servertasks wird in der Spalte Status angezeigt: 

• Abgeschlossen – Der Task wurde erfolgreich abgeschlossen. 

• Fehlgeschlagen – Der Task wurde gestartet aber nicht erfolgreich abgeschlossen. 

• Wird ausgeführt – Der Task wurde gestartet, aber noch nicht abgeschlossen. 

• Wartet – Diese Meldung wird angezeigt, wenn der Task darauf wartet, dass ein anderer 

Task abgeschlossen wird. 

• Beendet – Der Task wurde vor seinem Abschluss beendet. 



1 Wechseln Sie zu Berichterstellung | Servertask-Protokoll. 


31



2 Klicken Sie auf einen Eintrag im Protokoll, um dessen Details anzuzeigen. 

Abbildung 4: Seite "Servertask-Protokoll Details" 

Filtern des Servertask-Protokolls 

Das Servertask-Protokoll wächst beständig. Sie können es filtern, damit nur die jüngsten 

Aktivitäten angezeigt werden. So können Sie beispielsweise nur die Einträge des vergangenen 

Tages, der letzten 7 Tage oder der letzten 30 Tage anzeigen. Zudem können Sie es nach den 

Taskzuständen "Fehlgeschlagen" oder "Wird ausgeführt" filtern. 



1 Wechseln Sie zu Berichterstellung | Servertask-Protokoll. 

2 Wählen Sie in der Dropdownliste Filter den gewünschten Filter aus. 

Bereinigen des Servertask-Protokolls 

Das Servertask-Protokoll wächst beständig. Sie können es von Elementen bereinigen, die älter 

sind als eine vom Benutzer definierte Anzahl von Tagen, Wochen, Monaten oder Jahren. 



1 Wechseln Sie zu Berichterstellung | Servertask-Protokoll, und klicken Sie dann auf 

Bereinigen. 

2 Geben Sie im Bereich Aktion eine Anzahl von Tagen, Wochen, Monaten oder Jahren ein. 

Alle Elemente, die mindestens so alt sind, werden gelöscht. 



Gehen Sie wie nachfolgend beschrieben vor, um das Prüfprotokoll anzuzeigen und zu bereinigen. 

Im Prüfprotokoll werden Aktionen aufgezeichnet, die von ePO-Benutzern ausgeführt werden. 

32 




Aufgaben 

Anzeigen des Prüfprotokolls 

Bereinigen des Prüfprotokolls 

Planmäßiges Bereinigen des Prüfprotokolls 

Anzeigen des Prüfprotokolls 

Gehen Sie wie nachfolgend beschrieben vor, um einen Verlauf von Administratoraktionen 

anzuzeigen. Welche Daten verfügbar sind, hängt davon ab, wie oft und nach welchem Alter 

das Prüfprotokoll bereinigt wird. 


Sie benötigen die erforderlichen Berechtigungen, um diese Schritte durchführen zu können. 



1 Wechseln Sie zu Berichterstellung | Prüfprotokoll. Die Details zu Administratoraktionen 

werden in einer Tabelle angezeigt. 

Abbildung 5: Seite "Prüfprotokoll" 

2 Klicken Sie auf einen Spaltentitel, um die Tabelle nach der betreffenden Spalte (alphabetisch) 

zu sortieren. 

3 Wählen Sie in der Dropdownliste Filter eine Option aus, um die angezeigte Datenmenge 

einzugrenzen. Sie können alle Aktionen bis auf die fehlgeschlagenen entfernen oder nur 

die Aktionen anzeigen, die in einem ausgewählten Zeitrahmen erfolgten. 

4 Klicken Sie auf einen Eintrag, um dessen Details anzuzeigen. 

Abbildung 6: Seite "Prüfprotokolleintrag Details" 

Bereinigen des Prüfprotokolls 

Gehen Sie wie nachfolgend beschrieben vor, um das Prüfprotokoll zu bereinigen. Datensätze 

im Prüfprotokoll können Sie nur nach Alter bereinigen. Wenn Sie das Prüfprotokoll bereinigen, 

werden die Datensätze dauerhaft gelöscht. 


33







1 Wechseln Sie zu Berichterstellung | Prüfprotokoll. 

2 Klicken Sie auf Bereinigen. 

3 Geben Sie im Bereich Aktion neben Datensätze bereinigen, die älter sind als eine 

Zahl ein, und wählen Sie eine Zeiteinheit aus. 


Alle Datensätze, die den angegebenen Zeitrahmen überschreiten, werden bereinigt. 

Planmäßiges Bereinigen des Prüfprotokolls 

Gehen Sie wie nachfolgend beschrieben vor, um das Prüfprotokoll mit einem geplanten Servertask 

zu bereinigen. 





1 Wechseln Sie zu Automatisierung | Servertasks, und klicken Sie dann auf Neuer Task. 

Die Seite Beschreibung des Assistenten Generator für Servertasks wird angezeigt. 

2 Geben Sie einen Namen und eine Beschreibung für den Task ein, und klicken Sie dann auf 

Weiter. Die Seite Aktionen wird angezeigt. 

3 Wählen Sie in der Dropdownliste die Option Prüfprotokoll bereinigen aus. 

4 Legen Sie fest, ob nach Alter oder anhand von Abfrageergebnissen bereinigt werden soll. 

Wenn Sie nach Abfrage bereinigen, müssen Sie eine Abfrage auswählen, deren Ergebnis 

eine Tabelle mit Prüfprotokolleinträgen ist. 

5 Klicken Sie auf Weiter. Die Seite Plan wird angezeigt. 

6 Planen Sie den Task nach Bedarf, und klicken Sie dann auf Weiter. Die Seite 

Zusammenfassung wird angezeigt. 

7 Überprüfen Sie die einzelnen Angaben zum Task, und klicken Sie dann auf Speichern. 


Gehen Sie wie nachfolgend beschrieben vor, um das Ereignisprotokoll anzuzeigen und zu 

bereinigen. 

Aufgaben 

Anzeigen des Ereignisprotokolls 

Bereinigen von Ereignissen 

34 




Planmäßiges Bereinigen des Ereignisprotokolls 

Anzeigen des Ereignisprotokolls 

Gehen Sie wie nachfolgend beschrieben vor, um das Ereignisprotokoll anzuzeigen. 




1 Wechseln Sie zu Berichterstellung | Ereignisprotokoll. 

2 Klicken Sie auf einen Spaltentitel, um die Ereignisse zu sortieren. In der Dropdownliste 

Optionen können Sie außerdem die Option Spalten auswählen auswählen, um andere 

Tabellenspalten auszuwählen, die Ihren Anforderungen entsprechen. 

3 Wählen Sie Ereignisse in der Tabelle aus, und klicken Sie dann auf Verwandte Systeme 

anzeigen, um die Details der Systeme anzuzeigen, die die ausgewählten Ereignisse 

gesendet haben. 

Bereinigen von Ereignissen 

Gehen Sie wie nachfolgend beschrieben vor, um Ereignisdatensätze aus der Datenbank zu 

bereinigen. Beim Bereinigen von Ereignisdatensätzen werden diese dauerhaft gelöscht. 





1 Wechseln Sie zu Berichterstellung | Ereignisprotokoll. 

2 Klicken Sie auf Bereinigen. 

3 Geben Sie im Bereich Aktion neben Datensätze bereinigen, die älter sind als eine 

Zahl ein, und wählen Sie eine Zeiteinheit aus. 


Datensätze, die das angegebene Alter überschritten haben, werden dauerhaft gelöscht. 

Planmäßiges Bereinigen des Ereignisprotokolls 

Gehen Sie wie nachfolgend beschrieben vor, um das Ereignisprotokoll mit einem geplanten 

Servertask zu bereinigen. 






35







3 Wählen Sie in der Dropdownliste die Option Ereignisprotokoll bereinigen aus. 

Abbildung 7: Servertask-Aktion "Ereignisprotokoll bereinigen" 

4 Legen Sie fest, ob nach Alter oder anhand von Abfrageergebnissen bereinigt werden soll. 

Wenn Sie nach Abfrage bereinigen, müssen Sie eine Abfrage auswählen, deren Ergebnis 

eine Tabelle mit Ereignissen ist. 






Gehen Sie wie nachfolgend beschrieben vor, um Benachrichtigungen über Bedrohungen als 

gelesen oder ungelesen zu kennzeichnen oder sie zu löschen. Die Daten werden nach dem 

Datum sortiert, an dem die Bedrohung entdeckt wurde. Darüber hinaus können Sie auf den 

Namen einer Bedrohung klicken, um Informationen von der McAfee Avert-Website zur jeweiligen 

Bedrohung anzuzeigen. 

HINWEIS: Für jedes Benutzerkonto wird eine eigene MyAvert-Seite angezeigt. Wenn 

Benachrichtigungen über Bedrohungen von einem Benutzer gelöscht oder als gelesen bzw. 

ungelesen gekennzeichnet werden, hat dies keine Auswirkungen darauf, wie diese 

Benachrichtigungen für andere Benutzer angezeigt werden, die sich anmelden. 

Aufgaben 

Konfigurieren des Aktualisierungsintervalls und der Proxyeinstellungen für MyAvert 

Anzeigen von Benachrichtigungen über Bedrohungen 

Löschen von Benachrichtigungen über Bedrohungen 

Konfigurieren des Aktualisierungsintervalls und der 

Proxyeinstellungen für MyAvert 

Gehen Sie wie nachfolgend beschrieben vor, um die Proxyeinstellungen und das 

Aktualisierungsintervall für MyAvert Security Threats zu konfigurieren. 

36 





1 Wechseln Sie zu Konfiguration | Servereinstellungen, wählen Sie MyAvert Security 

Threats aus, und klicken Sie dann auf Bearbeiten. 

2 Legen Sie fest, wie oft die MyAvert-Benachrichtigungen über Bedrohungen aktualisiert 


3 Legen Sie anschließend fest, ob der Zugriff auf diesen Dienst über einen Proxy erfolgen 

soll. Wenn Sie einen Proxy verwenden, geben Sie die erforderlichen Details dafür ein. 

Anzeigen von Benachrichtigungen über Bedrohungen 

Gehen Sie wie nachfolgend beschrieben vor, um Benachrichtigungen über Bedrohungen 

anzuzeigen und Bedrohungen als gelesen oder ungelesen zu kennzeichnen. Sie können 

Bedrohungen nach ihrer Bedeutung filtern oder danach, ob sie als gelesen oder ungelesen 

gekennzeichnet wurden. 



1 Wechseln Sie zu Berichterstellung | MyAvert. 

Abbildung 8: Seite "MyAvert Security Threats" 

2 Wenn Sie die anzeigbaren Benachrichtigungen eingrenzen möchten, wählen Sie in der 

Dropdownliste Filter eine Option aus. 

3 Wenn Sie Benachrichtigungen als gelesen oder ungelesen kennzeichnen möchten, wählen 

Sie die gewünschten Bedrohungen aus, und klicken Sie dann nach Bedarf auf Als gelesen 

markieren oder Als ungelesen markieren. Unter Umständen müssen Sie in der 

Dropdownliste Filter die Option Gelesen oder Ungelesen auswählen, um die zu 

kennzeichnenden Benachrichtigungen anzuzeigen. 

Löschen von Benachrichtigungen über Bedrohungen 

Gehen Sie wie nachfolgend beschrieben vor, um Benachrichtigungen über Bedrohungen auf 

der Seite MyAvert zu löschen. Benachrichtigungen über Bedrohungen, für die der Schutz noch 

aussteht, können Sie nicht löschen. 



1 Wechseln Sie zu Berichterstellung | MyAvert. 

2 Wählen Sie Benachrichtigungen über Bedrohungen aus, für die bereits Schutz verfügbar 

ist, und klicken Sie dann auf Löschen. 


37


Exportieren von Tabellen und Diagrammen in andere Formate 

Exportieren von Tabellen und Diagrammen in 

andere Formate 

Gehen Sie wie nachfolgend beschrieben vor, um Daten für andere Zwecke zu exportieren. Sie 

können in HTML- und PDF-Dateien exportieren, um Formate anzuzeigen, oder in CSV- oder 

XML-Dateien, um die Daten in anderen Anwendungen zu nutzen und zu transformieren. 



1 Wählen Sie auf der Seite mit den Daten (Tabellen oder Diagramme) im Menü Optionen 

die Option Tabelle exportieren oder Daten exportieren aus. Die Seite Exportieren 

wird angezeigt. 

Abbildung 9: Seite "Exportieren" 

2 Legen Sie fest, ob die Datendateien einzeln oder in einer einzigen Archivdatei (ZIP) exportiert 


3 Wählen Sie das Format der exportierten Datei aus. Wählen Sie beim Exportieren in eine 

PDF-Datei die Seitengröße und -ausrichtung aus. 

4 Legen Sie fest, ob die Dateien als E-Mail-Anlagen an ausgewählte Empfänger gesendet 

oder an einem Speicherort auf dem Server gespeichert werden sollen, für den eine 

Verknüpfung bereitgestellt wird. Die Datei können Sie öffnen oder an einem anderen Ort 

speichern, indem Sie mit der rechten Maustaste darauf klicken. 

HINWEIS: Beim Eingeben mehrerer E-Mail-Adressen für Empfänger müssen Sie die Einträge 

mit einem Komma oder Semikolon trennen. 

5 Klicken Sie auf Exportieren. 

Die Dateien werden erstellt und entweder als E-Mail-Anlagen an die Empfänger gesendet, oder 

es wird eine Seite aufgerufen, auf der Sie über Verknüpfungen auf die Dateien zugreifen können. 


Die Cron-Syntax besteht aus sechs oder sieben Feldern, getrennt durch ein Leerzeichen. Zulässige 

Cron-Syntax wird, nach Feldern in absteigender Reihenfolge, in der Tabelle unten aufgeführt. 

Die meisten Cron-Syntaxen sind zulässig, es gibt jedoch einige wenige Fälle, die nicht unterstützt 

werden. Sie können beispielsweise nicht gleichzeitig Werte für den Wochentag und den Tag 

des Monats angeben. 

38 




Feldname 

Sekunden 

Minuten 

Stunden 

Tag des Monats 

Monat 

Wochentag 

Jahr (optional) 

Zulässige Werte 

0 - 59 

0 - 59 

0 - 23 

1 - 31 

1 - 12 oder JAN - DEC 

1 -7 oder SUN - SAT 

Leer oder 1970 - 2099 

Zulässige Sonderzeichen 

, - * / 

, - * / 

, - * / 

, - * ? / L W C 

, - * / 

, - * ? / L C # 

, - * / 

Hinweise zu zulässigen Sonderzeichen 

• Kommas (,) sind zulässig, um zusätzliche Werte anzugeben. Zum Beispiel "5,10,30" oder 

"MON,WED,FRI". 

• Sternchen (*) werden für die Angabe "jede" verwendet. "*" im Feld Minuten bedeutet 

beispielsweise "jede Minute". 

• Fragezeichen (?) sind zulässig, um keinen spezifischen Wert für den Wochentag oder den 

Tag im Monat anzugeben. 

HINWEIS: Sie müssen das Fragezeichen in einem der Felder verwenden, können es jedoch 

nicht gleichzeitig in beiden Feldern verwenden. 

• Schrägstriche (/) kennzeichnen Inkremente. "5/15" im Feld Minuten bedeutet zum Beispiel, 

dass der Task in der 5., 20., 35. und 50. Minute ausgeführt wird. 

• Der Buchstabe "L" bedeutet "letzter" in den Feldern Wochentag und Tag des Monats. "0 

15 10 ?* 6L" bedeutet beispielsweise: der letzte Freitag jeden Monats um 10:15 Uhr. 

• Der Buchstabe "W" steht für "Wochentag". Wenn Sie also als Tag des Monats "15W" erstellen, 

bezeichnet dies den Wochentag, der dem 15. des Monats am nächsten liegt. Außerdem 

können Sie "LW" angeben, was für den letzten Wochentag des Monats steht. 

• Das Rautenzeichen "#" kennzeichnet den "n-ten" Tag des Monats. "6#3" im Feld Wochentag 

bezeichnet beispielsweise den dritten Freitag jeden Monats, "2#1" den ersten Montag und 

"4#5" den fünften Mittwoch. 

HINWEIS: Wenn es im jeweiligen Monat keinen fünften Mittwoch gibt, wird der Task nicht 

ausgeführt. 


39

Organisieren von Systemen für die Verwaltung 

ePolicy Orchestrator 4.0 enthält einige neue Funktionen und Verbesserungen vorhandener 

Funktionen zum Organisieren und Verwalten Ihrer Systeme. 

• Das Verzeichnis wurde durch die Systemstruktur ersetzt. Die Systemstruktur ermöglicht die 

einfache Verwaltung von Richtlinien und Tasks sowie die Organisation von Systemen und 

Gruppen. 

• Tags – Mithilfe dieser neuen Funktion können Sie Beschriftungen erstellen, die manuell oder 

automatisch (anhand von dem Tag zugewiesenen Kriterien) auf Systeme angewendet werden 

können. Sie können Systeme mithilfe von Tags in Gruppen sortieren (z. B. mithilfe der 

IP-Adressensortierung) oder Tags für Kriterien in Abfragen verwenden. 

• NT-Domänen- und Active Directory-Synchronisierung – Diese Funktion ermöglicht folgende 

Vorgänge: 

• Echtes Synchronisieren der Active Directory-Struktur 

• Steuern der Vorgehensweise bei potenziell doppelten Systemeinträgen in der 

Systemstruktur 

• Steuern der Systeme in der Systemstruktur, wenn sie aus der Domäne oder dem Container 

gelöscht werden 

• Automatisches Sortieren von Systemen in Gruppen – Zusätzlich zu den bereits vorhandenen 

Funktionen der IP-Adressensortierung können Sie nun Tags als Sortierungskriterien 

verwenden. Alle Sortierungskriterientypen können entweder einzeln oder zusammen 

verwendet werden. 

In der Systemstruktur befinden sich alle von ePolicy Orchestrator verwalteten Systeme. Sie 

stellt die primäre Schnittstelle für die Verwaltung von Richtlinien und Tasks auf diesen Systemen 

dar. Sie können Systeme in logischen Gruppen organisieren (z. B. funktionelle Abteilung oder 

geographischer Standort) und sie nach IP-Adresse oder Tags sortieren. Sie können für Systeme 

auf jeder Ebene der Systemstruktur Richtlinien verwalten (Produktkonfigurationseinstellungen) 

und Tasks planen (z. B. Virusdefinitionsdateien aktualisieren). 

Bevor Sie die Software so konfigurieren, dass Sie damit die Sicherheitssoftware in Ihrer 

Umgebung ausbringen oder verwalten können, müssen Sie planen, wie Systeme für eine optimale 

Verwaltung organisiert werden sollen. Zudem müssen Sie die Methoden wählen, mit denen 

Systeme in die Systemstruktur gebracht und dort einsortiert werden sollen. 

TIPP: Die Erstellung und Organisation Ihrer Systemstruktur kann von vielen Faktoren beeinflusst 

werden. Sie sollten daher das gesamte Handbuch lesen, bevor Sie mit dem Erstellen Ihrer 

Systemstruktur beginnen. 

Richten Sie die Systemstruktur zum ersten Mal ein? 

Wenn Sie die Systemstruktur erstmals einrichten, gehen Sie wie folgt vor: 

40 




1 Lesen Sie die Konzeptthemen in diesem Abschnitt durch, damit Sie Ihre Systeme mithilfe 

der Systemstruktur und anderer Funktionen effizient organisieren können. 

2 Bewerten Sie die Methoden, mit denen die Systemstruktur aufgefüllt und auf dem aktuellen 

Stand gehalten werden soll. Beispiele hierfür sind die Active Directory-Synchronisierung 

oder die kriterienbasierte Sortierung. 

3 Erstellen Sie die Systemstruktur, und füllen Sie sie auf. 

Inhalt 


Erwägungen beim Planen der Systemstruktur 

Beschreibung und Funktionsweise von Tags 

Active Directory- und NT-Domänensynchronisierung 

Kriterienbasierte Sortierung 

Erstes Einordnen eines Systems in der Systemstruktur 

Arbeiten mit Tags 

Erstellen und Auffüllen von Gruppen 

Manuelles Verschieben von Systemen innerhalb der Systemstruktur 


Die Systemstruktur organisiert verwaltete Systeme in Einheiten, um sie zu überwachen, Richtlinien 

zuzuordnen, Tasks zu planen und Aktionen auszuführen. 

Gruppen 

Die Systemstruktur ist eine hierarchische Struktur, mit der Sie Ihre Systeme zu Einheiten 

zusammenfassen können, die als Gruppen bezeichnet werden. 

Gruppen haben folgende Eigenschaften: 

• Gruppen können von globalen Administratoren oder Benutzern mit den entsprechenden 

Berechtigungen erstellt werden. 

• Gruppen können sowohl Systeme als auch andere Gruppen enthalten. 

• Gruppen werden von einem globalen Administrator oder einem Benutzer mit den 

entsprechenden Berechtigungen verwaltet. 

Durch das Gruppieren von Systemen mit ähnlichen Eigenschaften oder Anforderungen in 

Einheiten können Sie Richtlinien für Systeme zentral verwalten, anstatt die Richtlinien für jedes 

einzelne System individuell festzulegen. 

Zur Planung gehört auch die Organisation der Systeme in Gruppen, bevor Sie mit dem Erstellen 

der Systemstruktur beginnen. 

Sammelgruppe 

Der Systemstrukturstamm (Eigene Organisation) enthält eine Sammelgruppe. Abhängig von 

den Methoden zum Erstellen und Verwalten der Systemstruktur verwendet der Server 

unterschiedliche Eigenschaften, mit denen die Einordnung der Systeme festgelegt wird. Die 

Sammelgruppe speichert Systeme, deren Standort nicht ermittelt werden konnte. 

Die Sammelgruppe hat folgende Eigenschaften: 


41



• Sie kann nicht gelöscht werden. 

• Sie kann nicht umbenannt werden. 

• Ihre Sortierungskriterien können nicht geändert werden. (Sie können jedoch 

Sortierungskriterien für die von Ihnen erstellten Untergruppen der Sammelgruppe festlegen.) 

• Sie wird immer als letztes Element in der Liste angezeigt und innerhalb gleichrangiger 

Elemente nicht alphabetisch geordnet. 

• Alle Benutzer mit Anzeigeberechtigungen für die Systemstruktur können die in die 

Sammelgruppe sortierten Systeme sehen. 

• Wenn ein System in die Sammelgruppe sortiert wird, wird es in eine Untergruppe abgelegt, 

die nach der Domäne des Systems benannt ist. Falls diese Gruppe noch nicht vorhanden 

ist, wird sie erstellt. 

HINWEIS: Wenn Sie Systeme aus der Systemstruktur entfernen, müssen Sie auch deren Agenten 

entfernen. Andernfalls werden diese Systeme weiterhin in der Sammelgruppe angezeigt, da der 

Agent weiterhin mit dem Server kommuniziert. 

Vererbung 

Vererbung ist eine wichtige Eigenschaft, die das Verwalten von Richtlinien und Tasks vereinfacht. 

Durch Vererbung übernehmen in der Systemstrukturhierarchie untergeordnete Gruppen 

Richtlinien, die für ihre übergeordneten Gruppen festgelegt wurden, z. B.: 

• Richtlinien, die auf der Ebene "Eigene Organisation" festgelegt wurden, werden an darunter 

liegende Gruppen vererbt. 

• Untergruppen oder einzelne Systeme erben die Richtlinien ihrer Gruppen. 

Die Vererbung ist standardmäßig für alle Gruppen und einzelnen Systeme aktiviert, die Sie zur 

Systemstruktur hinzufügen. Dadurch müssen Sie an weniger Punkten Richtlinien festlegen und 

Clienttasks planen. 

Die Vererbung kann jedoch bei Bedarf durch Zuordnen einer neuen Richtlinie an einer beliebigen 

Stelle der Systemstruktur unterbrochen werden (vorausgesetzt, der Benutzer verfügt über die 

erforderlichen Berechtigungen). Zur Beibehaltung der Vererbung können Sie 

Richtlinienzuweisungen sperren. 


Eine effiziente und gut organisierte Systemstruktur kann die Wartung vereinfachen. Der Aufbau 

der Systemstruktur wird von vielen administrativen, netzwerkbedingten und politischen 

Gegebenheiten einer Umgebung beeinflusst. Planen Sie daher die Organisation der 

Systemstruktur, bevor Sie sie erstellen und auffüllen. Besonders bei großen Netzwerken wäre 

der Aufwand für das mehrfache Erstellen der Systemstruktur erheblich. 

Da jedes Netzwerk anders ist und unterschiedliche Richtlinien erfordert (möglicherweise sogar 

eine unterschiedliche Verwaltung), sollten Sie die Systemstruktur planen, bevor Sie die Software 

einrichten. 

Unabhängig von den Methoden, die Sie zum Erstellen und Auffüllen der Systemstruktur 

verwenden, sollten Sie beim Planen der Systemstruktur Ihre Umgebung berücksichtigen. 

42 




Administratorzugriff 

Wenn Sie die Organisation der Systemstruktur planen, sollten Sie die Anforderungen an den 

Benutzerzugriff der Personen berücksichtigen, die das System verwalten werden. 

Möglicherweise verfügt Ihr Unternehmen über eine dezentralisierte Netzwerkverwaltung, bei 

der unterschiedliche Administratoren die Verantwortung für unterschiedliche Teile des Netzwerks 

tragen. Aus Sicherheitsgründen dürfen Sie möglicherweise kein globales Administratorkonto 

verwenden, das Zugriff auf alle Teile Ihres Netzwerks hat. In diesem Szenario dürfen Sie mit 

einem einzelnen globalen Administratorkonto keine Richtlinien festlegen und keine Agenten 

ausbringen. Stattdessen müssen Sie die Systemstruktur möglicherweise auf Grundlage der 

Abteilungen in Gruppen organisieren und Konten und Berechtigungssätze erstellen. 

Sie sollten die folgenden Fragen beachten: 

• Wer ist für die Verwaltung welcher Systeme verantwortlich? 

• Wer benötigt Zugriff auf Informationen zu diesen Systemen? 

• Wer sollte Zugriff auf die Systeme und die Informationen dazu besitzen? 

Diese Fragen haben sowohl Einfluss auf die Organisation der Systemstruktur als auch auf die 

Berechtigungssätze, die Sie erstellen und auf Benutzerkonten anwenden. 

Gliederung der Umgebung und ihr Einfluss auf die 

Systemorganisation 

Die Art der Organisation der Systeme für die Verwaltung hängt von der Gliederung ab, die in 

Ihrem Netzwerk gilt. Diese Gliederung beeinflusst den Aufbau der Systemstruktur auf andere 

Weise als den Aufbau Ihrer Netzwerktopologie. 

Sie sollten folgende Gliederungsarten in Ihrem Netzwerk und in Ihrem Unternehmen sowie die 

Frage beurteilen, ob diese beim Aufbau der Systemstruktur berücksichtigt werden müssen. 

Topologische Gliederung 

Das Netzwerk ist bereits durch NT-Domänen oder Active Directory-Container definiert. Je besser 

die Netzwerkumgebung organisiert ist, desto einfacher ist es, die Systemstruktur mit den 

Synchronisierungsfunktionen zu erstellen und zu verwalten. 

Geographische Gliederung 

Die Verwaltung der Sicherheit ist eine ständige Balance zwischen Schutz und Leistung. Bauen 

Sie die Systemstruktur so auf, dass die begrenzte Bandbreite bestmöglich genutzt wird. Beachten 

Sie, wie sich der Server mit allen Teilen Ihres Netzwerks verbindet. Vor allem Remotestandorte 

sind oft nur über langsame WAN- oder VPN-Verbindungen statt schnellerer LAN-Verbindungen 

angeschlossen. Um den Netzwerkverkehr über langsamere Verbindungen zu verringern, sollten 

Sie Richtlinien für Aktualisierung und Agent-zu-Server-Kommunikation für Remotestandorte 

anders konfigurieren. 

Das Anordnen von Systemen nach geographischen Gesichtspunkten bietet verschiedene Vorteile 

beim Konfigurieren von Richtlinien: 

• Sie können Aktualisierungsrichtlinien für die Gruppe so konfigurieren, dass sich alle Systeme 

von mindestens einem nahe gelegenen verteilten Software-Repository aktualisieren. 

• Sie können Clienttasks so planen, dass sie zu Zeiten ausgeführt werden, die für den jeweiligen 

Standort besser geeignet sind. 


43



Politische Gliederung 

Viele große Netzwerke sind nach Personen oder Gruppen unterteilt, die unterschiedliche Teile 

des Netzwerks verwalten. Manchmal stimmt diese Gliederung nicht mit der topologischen oder 

geographischen Gliederung überein. Die Auswahl der Personen, die auf die Segmente der 

Systemstruktur zugreifen und sie verwalten, beeinflusst deren Strukturierung. 

Funktionale Gliederung 

Einige Netzwerke werden nach den Rollen der Netzwerknutzer unterteilt, zum Beispiel die 

Vertriebs- und die Entwicklungsabteilung. Selbst wenn das Netzwerk nicht funktional gegliedert 

ist, müssen Sie Teile der Systemstruktur möglicherweise nach Funktion organisieren, wenn 

verschiedene Gruppen unterschiedliche Richtlinien benötigen. 

Eine Geschäftsgruppe kann spezifische Software verwenden, die spezielle Sicherheitsrichtlinien 

erfordert. Sie können zum Beispiel die E-Mail-Exchange-Server in einer Gruppe anordnen und 

bestimmte Ausschlüsse von Scannen bei Zugriff durch VirusScan Enterprise festlegen. 

Subnetze und IP-Adressbereiche 

In vielen Fällen werden für Organisationseinheiten eines Netzwerks bestimmte Subnetze oder 

IP-Bereiche verwendet, weshalb Sie für einen geographischen Standort eine Gruppe erstellen 

und mindestens einen IP-Filter dafür festlegen können. Wenn Ihr Netzwerk jedoch nicht über 

mehrere geographische Standorte verteilt ist, können Sie als primäres Gliederungskriterium 

Informationen zum Netzwerkstandort verwenden, z. B. IP-Adressen. 

Sie sollten nach Möglichkeit auf IP-Adressinformationen basierende Sortierungskriterien zur 

Automatisierung der Systemstrukturerstellung und -wartung verwenden. Legen Sie Kriterien 

für IP-Subnetzmasken oder IP-Adressbereiche für mögliche Gruppen in der Systemstruktur fest. 

Diese Filter füllen Speicherorte automatisch mit den entsprechenden Systemen auf. 

Tags und Systeme mit ähnlichen Eigenschaften 

Sie können Tags für die automatische Sortierung in Gruppen verwenden. Tags identifizieren 

Systeme mit ähnlichen Eigenschaften. Wenn Sie Ihre Gruppen anhand von Eigenschaften 

organisieren können, haben Sie die Möglichkeit, auf diesen Kriterien basierende Tags zu erstellen 

und zuzuordnen und diese Tags als Gruppensortierungskriterien zu verwenden. Auf diese Weise 

stellen Sie sicher, dass die Systeme automatisch in die entsprechenden Gruppen sortiert werden. 

Sie sollten nach Möglichkeit auf Tags basierende Sortierungskriterien verwenden, um die Gruppen 

mit den entsprechenden Systemen aufzufüllen. 

Betriebssysteme und Software 

Systeme mit ähnlichen Betriebssystemen können Sie in Gruppen zusammenfassen, um das 

Verwalten betriebssystemspezifischer Produkte und Richtlinien zu vereinfachen. Wenn Sie über 

ältere Systeme mit Windows 95 oder Windows 98 verfügen, können Sie dafür eine Gruppe 

erstellen, um Sicherheitsprodukte für diese Systeme separat auszubringen und zu verwalten. 

Indem Sie diesen Systemen ein entsprechendes Tag zuweisen, können Sie sie außerdem 

automatisch in eine Gruppe sortieren. 

44 





Bei Tags handelt es sich um eine neue Funktion von ePolicy Orchestrator 4.0. Sie sind mit 

Beschriftungen vergleichbar, die Sie einem oder mehreren Systemen automatisch (basierend 

auf Kriterien) oder manuell zuordnen können. Sobald die Tags zugeordnet sind, können Sie mit 

ihrer Hilfe Systeme in der Systemstruktur organisieren oder Abfragen ausführen, die eine Liste 

von Systemen zurückgeben, auf denen sich Aktionen durchführen lassen. Mithilfe von Tags als 

Organisationskriterium können Sie Richtlinien anwenden, Tasks zuweisen und eine Reihe von 

Aktionen auf Systeme mit denselben Tags ausführen. 

Eigenschaften von Tags 

Mit Tags können Sie folgende Aktionen durchführen: 

• Anwenden eines oder mehrerer Tags auf mindestens ein System 

• Manuelles Anwenden von Tags 

• Automatisches Anwenden von Tags basierend auf benutzerdefinierten Kriterien, wenn der 

Agent mit dem Server kommuniziert 

• Ausschließen von Systemen von der Tag-Anwendung 

• Ausführen von Abfragen, um Systeme mit bestimmten Tags zu gruppieren und anschließend 

direkt Aktionen auf den Systemen aus der resultierenden Liste durchzuführen 

• Erstellen von Kriterien für die Systemstruktursortierung auf Grundlage von Tags, um Systeme 

automatisch in die gewünschten Systemstrukturgruppen einzuordnen 

Wer kann Tags verwenden? 

Benutzer mit den entsprechenden Berechtigungen können folgende Aktionen durchführen: 

• Erstellen und Bearbeiten von Tags und Tag-Kriterien 

• Anwenden vorhandener Tags auf Systeme in den Gruppen, auf die sie Zugriff haben, bzw. 

Entfernen von Tags 

• Ausschließen von Systemen vom Erhalt bestimmter Tags 

• Anzeigen von Systemen mit bestimmten Tags oder Ausführen von Aktionen für diese Systeme 

mithilfe von Abfragen 

• Verwenden von geplanten Abfragen mit verketteten Tag-Aktionen, um Tags auf den jeweiligen 

Systemen innerhalb der Bereiche der Systemstruktur zu verwalten, auf die sie Zugriff haben 

• Konfigurieren von Sortierungskriterien basierend auf Tags, um sicherzustellen, dass Systeme 

in den entsprechenden Gruppen der Systemstruktur verbleiben 

Tagtypen 

Es gibt zwei Typen von Tags: 

• Tags ohne Kriterien. Diese Tags können nur auf ausgewählte Systeme in der Systemstruktur 

(manuell) oder auf Systeme in der Ergebnisliste einer Abfrage angewendet werden. 

• Kriterienbasierte Tags. Diese Tags werden bei jeder Agent-zu-Server-Kommunikation auf 

alle nicht ausgeschlossenen Systeme angewendet. Sie verwenden Kriterien, die auf den vom 

Agenten gesendeten Eigenschaften basieren, und können auf Anforderung auch auf nicht 

ausgeschlossene Systeme angewendet werden. 


45




ePolicy Orchestrator 4.0 bietet eine verbesserte Integration mit Active Directory- und 

NT-Domänen als Quelle für Systeme und sogar (im Fall von Active Directory) als Quelle für die 

Gliederung der Systemstruktur. 

Active Directory-Synchronisierung 

Wenn das Netzwerk Active Directory ausführt, können Sie die gesamte Systemstruktur oder 

Teile davon mit Active Directory-Synchronisierungseinstellungen erstellen, auffüllen und 

verwalten. Nachdem die Systemstruktur definiert wurde, wird sie mit neuen Systemen (und 

Untercontainern) in Active Directory aktualisiert. 

Die Active Directory-Integration wurde in dieser Version von ePolicy Orchestrator 4.0 verbessert. 

Zusätzlich zu den bereits bekannten Funktionen können Sie nun folgende Vorgänge ausführen: 

• Synchronisierung mit Ihrer Active Directory-Struktur durch Importieren von Systemen und 

Active Directory-Untercontainern (als Systemstrukturgruppen) und Aktualisieren mit Active 

Directory. Bei jeder Synchronisierung werden die Systeme und die Struktur in der 

Systemstruktur aktualisiert, um die Systeme und die Struktur von Active Directory 

widerzuspiegeln. 

• Importieren von Systemen als unsortierte Liste aus dem Active Directory-Container (und 

seinen Untercontainern) in die synchronisierte Gruppe. 

• Steuern der Vorgehensweise bei potenziell doppelten Systemen. 

• Verwenden der Systembeschreibung, die zusammen mit den Systemen aus Active Directory 

importiert wird. 

In früheren Versionen von ePolicy Orchestrator standen zwei Task zur Verfügung: Active Directory 

Import und Active Directory Discovery. Gehen Sie jetzt wie nachfolgend beschrieben vor, um 

die Systemstruktur in Ihre Active Directory-Systemstruktur zu integrieren: 

1 Konfigurieren Sie die Synchronisierungseinstellungen in jeder Gruppe, die einen 

Zuordnungspunkt in der Systemstruktur darstellt. An derselben Stelle können Sie 

konfigurieren, ob: 

2 • Agenten auf entdeckte Systeme ausgebracht werden sollen 

• Systeme beim Löschen in Active Directory auch in der Systemstruktur gelöscht werden 

sollen 

• Doppelte Einträge von Systemen, die bereits an einer anderen Stelle in der 

Systemstruktur vorhanden sind, zugelassen werden sollen 

3 Importieren Sie die Active Directory-Systeme (und gegebenenfalls die Struktur) entsprechend 

den Synchronisierungseinstellungen mit der Aktion "Jetzt synchronisieren" in die 

Systemstruktur. 

4 Verwenden Sie den Servertask "NT-Domänen-/Active Directory-Synchronisierung", um die 

Systeme (und gegebenenfalls die Active Directory-Struktur) entsprechend den 

Synchronisierungseinstellungen regelmäßig mit der Systemstruktur zu synchronisieren. 

Typen der Active Directory-Synchronisierung 

Es gibt zwei Typen der Active Directory-Synchronisierung ("Nur Systeme" sowie "Systeme und 

Struktur"). Je nachdem, wie weit Sie Active Directory integrieren möchten, können Sie sich für 

sich für eine Variante entscheiden. 

46 




Bei beiden Typen steuern Sie die Synchronisierung durch die Auswahl folgender Optionen: 

• Automatisches Ausbringen von Agenten auf Systemen, die in ePolicy Orchestrator neu sind. 

Diese Einstellung sollten Sie nicht für die erste Synchronisierung festlegen, wenn Sie eine 

große Anzahl an Systemen importieren und nur eine begrenzte Bandbreite zur Verfügung 

steht. Das Paket zur Agenteninstallation hat eine Größe von ca. 3,62 MB. Möglicherweise 

möchten Sie Agenten jedoch bei späteren Synchronisierungen automatisch auf neuen 

Systemen ausbringen, die in Active Directory erkannt werden. 

• Löschen von Systemen aus ePolicy Orchestrator (und Entfernen der Agenten), wenn sie in 

Active Directory gelöscht werden. 

• Verhindern, dass Systeme zur Gruppe hinzugefügt werden, wenn sie bereits an einer anderen 

Stelle der Systemstruktur vorhanden sind. Damit stellen Sie sicher, dass beim manuellen 

Verschieben oder Sortieren von Systemen keine doppelten Systeme erstellt werden. 

• Ausschließen bestimmter Active Directory-Container aus der Synchronisierung. Diese Container 

und ihre Systeme werden bei der Synchronisierung ignoriert. 

Systeme und Struktur 

Wenn Sie diesen Synchronisierungstyp verwenden, werden Änderungen an der Active 

Directory-Struktur bei der nächsten Synchronisierung in die Systemstruktur übernommen. Beim 

Hinzufügen, Ändern oder Entfernen von Systemen oder Containern in Active Directory werden 

diese an den entsprechenden Stellen der Systemstruktur ebenfalls hinzugefügt, geändert oder 

entfernt. 

Verwendung dieses Synchronisierungstyps 

Mithilfe dieses Synchronisierungstyps stellen Sie sicher, dass die Systemstruktur (oder Teile 

davon) Ihrer Active Directory-Struktur genau gleichen. 

Wenn die Organisation von Active Directory Ihre Anforderungen an die Sicherheitsverwaltung 

erfüllt und die Systemstruktur weiterhin der zugewiesenen Active Directory-Struktur gleichen 

soll, verwenden Sie diesen Synchronisierungstyp bei nachfolgenden Synchronisierungen. 

Nur Systeme 

Mit diesem Synchronisierungstyp können Sie Systeme aus einem Active Directory-Container 

(und aus nicht ausgeschlossenen Untercontainern) als unsortierte Liste in eine zugewiesene 

Systemstrukturgruppe importieren. Anschließend können Sie die Systeme an die gewünschten 

Stellen in der Systemstruktur verschieben, indem Sie Gruppen Sortierungskriterien zuweisen. 

Wenn Sie sich für diesen Synchronisierungstyp entscheiden, müssen Sie sich vergewissern, 

dass Sie keine Systeme erneut hinzufügen, die bereits an einer anderen Stelle in der 

Systemstruktur vorhanden sind. Auf diese Weise vermeiden Sie doppelte Einträge in der 

Systemstruktur. 

Verwendung dieses Synchronisierungstyps 

Verwenden Sie diesen Synchronisierungstyp, wenn Sie Active Directory als Standardquelle für 

ePolicy Orchestrator verwenden und die Unternehmensanforderungen an die 

Sicherheitsverwaltung sich nicht mit der Organisation der Container und Systeme in Active 

Directory vereinbaren lassen. 


47



NT-Domänensynchronisierung 

Verwenden Sie Ihre NT-Domänen als Ausgangspunkt für das Auffüllen der Systemstruktur. 

Wenn Sie eine Gruppe mit einer NT-Domäne synchronisieren, werden alle Systeme dieser 

Domäne als unsortierte Liste in der Gruppe abgelegt. Sie können diese Systeme in einer einzelnen 

Gruppe verwalten oder zur genaueren Gliederung Untergruppen erstellen. Mithilfe einer Methode 

wie der automatischen Sortierung können Sie diese Untergruppen automatisch auffüllen. 

Wenn Sie Systeme in andere Gruppen oder Untergruppen der Systemstruktur verschieben, 

stellen Sie sicher, dass Sie die Systeme nicht hinzufügen, wenn sie an anderer Stelle der 

Systemstruktur bereits vorhanden sind. 

Anders als bei der Active Directory-Synchronisierung werden bei der 

NT-Domänensynchronisierung nur die Systemnamen synchronisiert. Die Systembeschreibung 

wird nicht synchronisiert. 


Wie in den früheren Versionen von ePolicy Orchestrator können Sie verwaltete Systeme mithilfe 

von IP-Adressinformationen automatisch in bestimmte Gruppen sortieren. Sie können auch auf 

Tags basierende Sortierungskriterien erstellen, die Systemen zugewiesenen Beschriftungen 

ähneln. Um sicherzustellen, dass sich Systeme an der gewünschten Stelle in der Systemstruktur 

befinden, können Sie entweder einen der Kriterientypen oder beide verwenden. 

Systeme müssen nur ein Kriterium der Sortierungskriterien einer Gruppe erfüllen, um der Gruppe 

zugeordnet zu werden. 

Führen Sie nach dem Erstellen von Gruppen und dem Festlegen Ihrer Sortierungskriterien einen 

Sortiertest aus, um zu überprüfen, ob die Kriterien und die Sortierreihenfolge die gewünschten 

Ergebnisse erzielen. 

Sobald Sie Sortierungskriterien zu Ihren Gruppen hinzugefügt haben, können Sie die Aktion 

"Jetzt sortieren" ausführen. Diese Aktion verschiebt die ausgewählten Systeme automatisch in 

die entsprechende Gruppe. Systeme, die den Sortierungskriterien keiner Gruppe entsprechen, 

werden in die Sammelgruppe verschoben. 

Neue Systeme, die sich zum ersten Mal beim Server anmelden, werden automatisch in die 

richtige Gruppe verschoben. Wenn Sie die Sortierungskriterien jedoch nach der ersten 

Agent-zu-Server-Kommunikation definieren, müssen Sie für diese Systeme die Aktion "Jetzt 

sortieren" ausführen, um sie sofort in die entsprechende Gruppe zu verschieben. Sie können 

jedoch auch bis zur nächsten Agent-zu-Server-Kommunikation warten. 

Sortierungsstatus der Systeme 

Sie können die Systemstruktursortierung für jedes System oder für jede Sammlung von Systemen 

aktivieren bzw. deaktivieren. Wenn Sie die Systemstruktursortierung für ein System deaktivieren, 

wird es nicht in die Sortierungsaktionen eingeschlossen. 

Einstellungen der Systemstruktursortierung auf dem ePO-Server 

Die Sortierung kann nur ausgeführt werden, wenn die Sortierfunktion auf dem Server und auf 

den Systemen aktiviert ist. Standardmäßig ist die Sortierung bei jeder 

Agent-zu-Server-Kommunikation aktiviert. 

48 




Systemsortiertest 

Mit dieser Funktion können Sie anzeigen, wo Systeme bei einer Sortierungsaktion abgelegt 

werden würden. Auf der Seite Sortiertest werden die Systeme und die Pfade der Speicherorte 

angezeigt, an denen sie einsortiert werden würden. Zwar wird der Sortierungsstatus der Systeme 

auf dieser Seite nicht angezeigt, doch wenn Sie Systeme auf der Seite auswählen (selbst solche 

mit deaktivierter Sortierung) und auf Systeme verschieben klicken, werden die Systeme am 

angegebenen Speicherort abgelegt. 

Auswirkung von Einstellungen auf die Sortierung 

Sie können zwischen drei Servereinstellungen wählen, die bestimmen, ob und wann Systeme 

sortiert werden. Außerdem können Sie wählen, ob ein System sortiert werden kann, indem Sie 

die Systemstruktursortierung für ausgewählte Systeme in der Systemstruktur aktivieren oder 

deaktivieren. 

Servereinstellungen 

Der Server verfügt über drei Einstellungen: 

• Systemstruktursortierung deaktivieren – Wenn eine kriterienbasierte Sortierung Ihre 

Anforderungen an die Sicherheitsverwaltung nicht erfüllt und Sie Ihre Systeme mit anderen 

Systemstrukturfunktionen (wie der Active Directory-Synchronisierung) organisieren möchten, 

wählen Sie diese Einstellung, damit andere ePO-Benutzer nicht versehentlich 

Sortierungskriterien für Gruppen konfigurieren und Systeme an unerwünschte Speicherorte 

verschieben. 

• Systeme bei jeder Agent-zu-Server-Kommunikation sortieren – Die System werden 

bei jeder Agent-zu-Server-Kommunikation erneut sortiert. Wenn Sie die Sortierungskriterien 

für Gruppen ändern, werden die Systeme bei der nächsten Agent-zu-Server-Kommunikation 

in die neue Gruppe verschoben. 

• System einmal sortieren – Die Systeme werden bei der nächsten 

Agent-zu-Server-Kommunikation sortiert und dann gekennzeichnet, sodass sie so lange nicht 

bei Agent-zu-Server-Kommunikationen sortiert werden, wie diese Einstellung ausgewählt 

ist. Wenn Sie jedoch eines dieser Systeme auswählen und auf Jetzt sortieren klicken, wird 

das System sortiert. 

Systemeinstellungen 

Sie können die Systemstruktursortierung für jedes System deaktivieren oder aktivieren. Falls 

die Systemstruktursortierung auf einem System deaktiviert ist, wird dieses System nicht sortiert, 

unabhängig davon, welche Sortierungsaktionen ausgeführt werden. Bei aktivierter 

Systemstruktursortierung wird das betreffende System immer bei der manuellen Aktion "Jetzt 

sortieren" und, abhängig von den Servereinstellungen für die Systemstruktursortierung, bei der 

Agent-zu-Server-Kommunikation sortiert. 

Kriterien für die IP-Adressensortierung 

In vielen Netzwerken geben die Subnetze und IP-Adressinformationen Hinweise auf die 

Unternehmensstruktur (z. B. auf geographische Standorte oder Aufgaben). Wenn die Organisation 

der IP-Adressen Ihren Anforderungen entspricht, sollten Sie die Systemstruktur oder Teile davon 

mithilfe dieser Informationen erstellen und verwalten, indem Sie Kriterien für die 

IP-Adressensortierung für solche Gruppen festlegen. Diese Funktion wurde in dieser Version 

von ePolicy Orchestrator geändert. Jetzt haben Sie die Möglichkeit, IP-Sortierungskriterien an 


49



jedem beliebigen Punkt in der Struktur festzulegen. Sie müssen nicht mehr darauf achten, dass 

die Kriterien der IP-Adressensortierung der untergeordneten Gruppe eine Teilmenge der Kriterien 

der übergeordneten Gruppe sind (sofern der übergeordneten Gruppe keine Kriterien zugewiesen 

sind). Sobald die Funktion konfiguriert ist, können Sie Systeme bei einer 

Agent-zu-Server-Kommunikation oder nur bei einer manuell ausgelösten Sortierungsaktion 

sortieren. 

Beachten Sie, dass sich die Kriterien für die IP-Adressensortierung zwischen den einzelnen 

Gruppen nicht überschneiden dürfen. Jeder IP-Bereich oder jede IP-Subnetzmaske in den 

Sortierungskriterien einer Gruppe sollte eine eindeutige Menge an IP-Adressen abdecken. Falls 

sich die Kriterien überschneiden, hängt es von der Reihenfolge der Untergruppen auf der 

Registerkarte Gruppen ab, in welche Gruppe diese Systeme sortiert werden. 

Auf Tags basierende Sortierungskriterien 

Sie können nicht nur Systeme mithilfe von IP-Adressinformationen in die entsprechende Gruppe 

sortieren, sondern auch Sortierungskriterien anhand der den Systemen zugewiesenen Tags 

definieren. 

Tag-basierte Kriterien können zusammen mit auf IP-Adressen basierenden Kriterien für die 

Sortierung genutzt werden. 

Gruppenreihenfolge und -sortierung 

Zusätzliche Flexibilität bei der Systemstrukturverwaltung erhalten Sie, indem Sie die Reihenfolge 

der Untergruppen einer Gruppe konfigurieren. Damit legen Sie auch die Reihenfolge fest, in 

der diese Untergruppen beim Sortieren für eine Einordnung des Systems in Betracht gezogen 

werden. Wenn mehrere Untergruppen übereinstimmende Kriterien besitzen, kann die Änderung 

dieser Reihenfolge die Position eines Systems in der Systemstruktur ändern. 

Wenn Sie Erfassungsgruppen verwenden, müssen diese außerdem die letzte Untergruppe in 

der Liste sein. 

Erfassungsgruppen 

Bei Erfassungsgruppen handelt es sich um Gruppen, deren Sortierungskriterien auf der Seite 

Sortierungskriterien der Gruppe auf Alle anderen eingestellt sind. Nur Untergruppen an 

der letzten Stelle der Sortierreihenfolge können Erfassungsgruppen sein. Diese Gruppen erhalten 

alle Systeme, die in die übergeordnete Gruppe, aber in keine der gleichrangigen Gruppen der 

Erfassungsgruppe sortiert wurden. 

Erstes Einordnen eines Systems in der 


Wenn der Agent zum ersten Mal mit dem Server kommuniziert, ordnet der Server das System 

mithilfe eines Algorithmus in die Systemstruktur ein. Systeme, für die kein Speicherort gefunden 

wird, werden in die Sammelgruppe abgelegt. 

50 




Bei der ersten Agent-zu-Server-Kommunikation 

Bei jeder Agent-zu-Server-Kommunikation versucht der Server, das System anhand der 

Agenten-GUID in der Systemstruktur zu finden. (Es verfügen nur die Systeme über eine 

Agenten-GUID in der Datenbank, deren Agenten sich bereits zum ersten Mal beim Server 

gemeldet haben.) Falls ein übereinstimmendes System gefunden wird, verbleibt es in seinem 

vorhandenen Speicherort. 

Wenn kein übereinstimmendes System gefunden wird, sortiert der Server die Systeme mithilfe 

eines Algorithmus in die entsprechenden Gruppen. Die Systeme können in eine beliebige 

kriterienbasierte Gruppe in der Systemstruktur eingeordnet werden, egal wie tief die Gruppe 

in der Struktur angeordnet ist. Voraussetzung dafür ist, dass keine übergeordnete Gruppe des 

Pfads nicht übereinstimmende Kriterien besitzt. Übergeordnete Gruppen einer kriterienbasierten 

Untergruppe müssen entweder keine Kriterien oder übereinstimmende Kriterien haben. 

Beachten Sie, dass durch die Reihenfolge, in der Untergruppen auf der Registerkarte Gruppe 

angeordnet sind, bestimmt wird, in welcher Reihenfolge Untergruppen vom Server berücksichtigt 

werden, wenn er nach einer Gruppe mit übereinstimmenden Kriterien sucht. 

1 Der Server sucht in einer Gruppe, die denselben Namen wie die Domäne trägt, nach einem 

System ohne Agenten-GUID (der Agent des Systems hat sich noch nie gemeldet) mit einem 

übereinstimmenden Namen. Wenn ein System gefunden wird, wird es in diese Gruppe 

eingeordnet. Dieser Vorgang kann bei der ersten Active Directory- oder 

NT-Domänensynchronisierung erfolgen oder wenn Sie Systeme manuell zur Systemstruktur 

hinzugefügt haben. 

2 Wenn kein übereinstimmendes System gefunden wird, sucht der Server nach einer Gruppe, 

die denselben Namen wie die Domäne trägt, aus der das System stammt. Wird keine solche 

Gruppe gefunden, wird sie innerhalb der Sammelgruppe erstellt, und das System wird zu 

dieser Gruppe hinzugefügt. 

3 Die Eigenschaften des Systems werden aktualisiert. 

4 Wenn der Server so konfiguriert ist, dass er die Sortierungskriterien bei jeder 

Agent-zu-Server-Kommunikation ausführt, wendet er alle kriterienbasierten Tags auf das 

System an. 

5 Die weiteren Schritte hängen davon ab, ob die Systemstruktursortierung sowohl auf dem 

Server als auch auf dem System aktiviert ist. 

• Wenn die Systemstruktursortierung entweder auf dem Server oder dem System 

deaktiviert ist, wird das System in seinem derzeitigen Speicherort belassen. 

• Bei aktivierter Systemstruktursortierung auf dem Server und dem System wird das 

System basierend auf den Sortierungskriterien in die Systemstrukturgruppen verschoben. 

HINWEIS: Bei Systemen, die während der Active Directory- oder 

NT-Domänensynchronisation hinzugefügt wurden, ist die Systemstruktursortierung 

standardmäßig deaktiviert. Sie werden also bei der ersten 

Agent-zu-Server-Kommunikation nicht sortiert. 

6 Der Server berücksichtigt die Sortierungskriterien aller übergeordneten Gruppen 

entsprechend der Sortierreihenfolge auf der Registerkarte Gruppe der Gruppe Eigene 

Organisation. Das System wird vom Server zur ersten Gruppe mit übereinstimmenden 

Kriterien oder zu einer Erfassungsgruppe zugeordnet, die er berücksichtigt. 

a 

Sobald ein System einer Gruppe zugeordnet ist, werden alle seine Untergruppen 

entsprechend ihrer Sortierreihenfolge auf der Registerkarte Gruppe auf 

übereinstimmende Kriterien überprüft. 


51



b 

Dieser Vorgang wird so lange ausgeführt, bis keine Untergruppe mit übereinstimmenden 

Kriterien für das System vorhanden ist und es der letzten gefundenen Gruppe mit 

übereinstimmenden Kriterien zugeordnet wird. 

7 Wenn keine übergeordnete Gruppe gefunden wird, werden die Untergruppen von 

übergeordneten Gruppen (ohne Sortierungskriterien) entsprechend ihrer Sortierung 

berücksichtigt. 

8 Wenn keine solche kriterienbasierte Gruppe der zweiten Ebene gefunden wird, werden die 

kriterienbasierten Gruppen der dritten Ebene von uneingeschränkten Gruppen der zweiten 

Ebene berücksichtigt. 

HINWEIS: Untergruppen von Gruppen mit nicht übereinstimmenden Kriterien werden nicht 

berücksichtigt. Eine Gruppe muss übereinstimmende Kriterien oder keine Kriterien besitzen, 

damit ihre Untergruppen für ein System in Betracht gezogen werden. 

9 Dies wird durch die Ebenen der Systemstruktur hinab fortgesetzt, bis ein System in eine 

Gruppe sortiert wird. 

HINWEIS: Wenn die Einstellung der Systemstruktursortierung des Servers so konfiguriert 

ist, dass eine Sortierung nur bei der ersten Agent-zu-Server-Kommunikation erfolgen soll, 

wird das System entsprechend gekennzeichnet. Es kann erst dann wieder sortiert werden, 

wenn die Servereinstellung geändert und die Funktion zur Sortierung bei jeder 

Agent-zu-Server-Kommunikation aktiviert wird. 

10 Wenn der Server das System keiner Gruppe zuordnen kann, wird es in die Sammelgruppe 

innerhalb einer Untergruppe mit dem Namen seiner Domäne eingeordnet. 


Gehen Sie wie nachfolgend beschrieben vor, um Tags zu erstellen und auf Systeme anzuwenden. 

Aufgaben 

Erstellen von Tags mit dem Tag-Generator 

Ausschließen von Systemen von der automatischen Kennzeichnung 

Anwenden von Tasks auf ausgewählte Systeme 

Automatisches Anwenden von kriterienbasierten Tags auf alle übereinstimmenden Systeme 

Erstellen von Tags mit dem Tag-Generator 

Gehen Sie wie nachfolgend beschrieben vor, um Tags mit dem Tag-Generator zu erstellen. Tags 

können Kriterien verwenden, anhand deren jedes System bewertet wird: 

• Automatisch bei Agent-zu-Server-Kommunikation. 

• Wenn die Aktion "Tag-Kriterien ausführen" ausgeführt wird. 

• Manuell auf ausgewählten Systemen mit der Aktion "Tag anwenden", unabhängig von den 

Kriterien. 

Tags ohne Kriterien können nur manuell auf ausgewählte Systeme angewendet werden. 



52 




1 Wechseln Sie zu Systeme | Tag-Katalog, und klicken Sie dann auf Neues Tag. Die 

Seite Beschreibung des Assistenten Tag-Generator wird angezeigt. 

2 Geben Sie einen Namen und eine nützliche Beschreibung ein, und klicken Sie dann auf 

Weiter. Die Seite Kriterien wird angezeigt. 

3 Wählen Sie die gewünschten Kriterien aus, und konfigurieren Sie diese. Klicken Sie 

anschließend auf Weiter. Die Seite Test wird angezeigt. 

HINWEIS: Wenn das Tag automatisch angewendet werden soll, müssen Sie Kriterien für 

das Tag konfigurieren. 

4 Legen Sie fest, ob Systeme nur bei der Aktion "Tag-Kriterien ausführen" oder auch bei 

jeder Agent-zu-Server-Kommunikation anhand der Tag-Kriterien bewertet werden sollen. 

Klicken Sie anschließend auf Weiter. Die Seite Vorschau wird angezeigt. 

HINWEIS: Diese Optionen sind nur verfügbar, wenn Kriterien konfiguriert wurden. Beim 

Bewerten von Systemen anhand von Tag-Kriterien wird das Tag auf Systeme angewendet, 

die die Kriterien erfüllen und nicht von diesem Tag ausgeschlossen wurden. 

5 Überprüfen Sie die Informationen auf dieser Seite, und klicken Sie dann auf Speichern. 

HINWEIS: Wenn das Tag über Kriterien verfügt, wird auf dieser Seite die Anzahl an Systemen 

angezeigt, die dieses Tag beim Bewerten anhand der Tag-Kriterien erhalten. 

Das Tag wird auf der Seite Tag-Katalog zur Tag-Liste hinzugefügt. 

Ausschließen von Systemen von der automatischen 

Kennzeichnung 

Gehen Sie wie nachfolgend beschrieben vor, um Systeme von der Anwendung bestimmter Tags 

auszuschließen. Wahlweise können Sie Systeme auch mit einer Abfrage erfassen und die 

gewünschten Tags dann mithilfe der Abfrageergebnisse von diesen Systemen ausschließen. 



1 Wechseln Sie zu Systeme | Systemstruktur, und wählen Sie dann die Gruppe mit den 

Systemen aus. 

2 Wählen Sie das gewünschte System aus, und klicken Sie anschließend unten auf der Seite 

auf Tag ausschließen. 

HINWEIS: Wenn diese Schaltfläche nicht angezeigt wird, klicken Sie auf Weitere Aktionen. 

3 Wählen Sie auf der Seite Aktion in der Dropdownliste das gewünschte Tag aus, das aus 

den ausgewählten Systemen ausgeschlossen werden soll, und klicken Sie dann auf OK. 

4 Überprüfen Sie die Systeme, die vom Tag ausgeschlossen wurden: 

a 

b 

c 

Wechseln Sie zu Systeme | Tag-Katalog, und wählen Sie dann das gewünschte Tag 

in der Tag-Liste aus. 

Klicken Sie im Detailbereich neben Systeme mit Tag auf den Link, um die Anzahl der 

von der automatischen Kennzeichnung ausgeschlossenen Systeme zu erhalten. Die Seite 

Vom Tag ausgeschlossene Systeme wird angezeigt. 

Vergewissern Sie sich, dass sich die gewünschten Systeme in der Liste befinden. 


53



Anwenden von Tasks auf ausgewählte Systeme 

Gehen Sie wie nachfolgend beschrieben vor, um ein Tag manuell auf ausgewählte Systeme in 

der Systemstruktur anzuwenden. 



1 Wechseln Sie zu Systeme | Systemstruktur, und wählen Sie dann die Gruppe mit dem 

gewünschten System aus. 

2 Wählen Sie das gewünschte System aus, und klicken Sie anschließend unten auf der Seite 

auf Tag anwenden. 

HINWEIS: Wenn diese Schaltfläche nicht angezeigt wird, klicken Sie auf Weitere Aktionen. 

3 Wählen Sie im Bereich Aktion in der Dropdownliste das gewünschte Tag aus, das auf die 

ausgewählten Systeme angewendet werden soll, und klicken Sie dann auf OK. 

4 Überprüfen Sie, ob die Tags angewendet wurden: 

a 

b 

c 




manuell gekennzeichneten Systeme zu erhalten. Die Seite Systeme mit manuell 

angewendetem Tag wird angezeigt. 


Automatisches Anwenden von kriterienbasierten Tags auf alle 

übereinstimmenden Systeme 

Gehen Sie wie nachfolgend beschrieben vor, um kriterienbasierte Tags automatisch auf alle 

Systeme anzuwenden, die die Kriterien erfüllen. 

Aufgaben 

Anwenden von kriterienbasierten Tags auf alle übereinstimmenden Systeme 

Geplantes Anwenden von kriterienbasierten Tags 

Anwenden von kriterienbasierten Tags auf alle übereinstimmenden 

Systeme 

Gehen Sie wie nachfolgend beschrieben vor, um ein kriterienbasiertes Tag auf alle Systeme 

anzuwenden, die die Kriterien erfüllen. Hiervon ausgenommen sind die Systeme, die vom Tag 

ausgeschlossen wurden. 



1 Wechseln Sie zu Systeme | Tag-Katalog, und wählen Sie dann das gewünschte Tag in 

der Liste Tags aus. 

2 Klicken Sie auf Tag-Kriterien ausführen. 

54 




3 Legen Sie im Bereich Aktion fest, ob Sie manuell gekennzeichnete oder ausgeschlossene 

Systeme zurücksetzen möchten. 

HINWEIS: Hiermit wird das Tag auf Systemen entfernt, die nicht mit den Kriterien 

übereinstimmen, und auf alle Systeme angewendet, die den Kriterien entsprechen, aber 

vom Empfang des Tags ausgeschlossen wurden. 


5 Überprüfen Sie, ob das Tag auf die Systeme angewendet wurde: 

a 

b 

c 




Systeme mit nach Kriterien angewendeten Tags zu erhalten. Die Seite Systeme mit 

nach Kriterien angewendetem Tag wird angezeigt. 


Das Tag wird auf alle Systeme angewendet, die seine Kriterien erfüllen. 

Geplantes Anwenden von kriterienbasierten Tags 

Gehen Sie wie nachfolgend beschrieben vor, um einen regelmäßigen Task zu planen, mit dem 

ein Tag auf alle Systeme angewendet wird, die seine Kriterien erfüllen. 




Die Seite Generator für Servertasks wird angezeigt. 

2 Benennen und beschreiben Sie den Task, wählen Sie aus, ob der Task bei der Erstellung 

aktiviert wird, und klicken Sie dann auf Weiter. Die Seite Aktionen wird angezeigt. 

3 Wählen Sie in der Dropdownliste die Option Tag-Kriterien ausführen aus, und wählen 

Sie anschließend in der Dropdownliste der Tags das gewünschte Tag aus. 

Abbildung 10: Servertask-Aktion "Tag-Kriterien ausführen" 

4 Legen Sie fest, ob manuell gekennzeichnete oder ausgeschlossene Systeme zurückgesetzt 


HINWEIS: Hiermit wird das Tag auf Systemen entfernt, die nicht mit den Kriterien 

übereinstimmen, und auf alle Systeme angewendet, die den Kriterien entsprechen, aber 

vom Empfang des Tags ausgeschlossen wurden. 




7 Überprüfen Sie die Taskeinstellungen, und klicken Sie dann auf Speichern. 


55



Der Servertask wird zur Liste auf der Seite Servertasks hinzugefügt. Wenn Sie den Task im 

Assistenten Generator für Servertasks aktiviert haben, wird er zum nächsten geplanten 

Zeitpunkt ausgeführt. 


Gehen Sie wie nachfolgend beschrieben vor, um Gruppen zu erstellen und aufzufüllen. Sie 

können Gruppen mit Systemen auffüllen, indem Sie für einzelne Systeme die NetBIOS-Namen 

eingeben oder Systeme direkt aus dem Netzwerk importieren. 

Es gibt viele verschiedene Möglichkeiten, eine Systemstruktur zu organisieren. Da sich jedes 

Netzwerk unterscheidet, kann Ihre Systemstrukturorganisation ebenso einmalig sein wie Ihr 

Netzwerklayout. Obwohl Sie nicht alle verfügbaren Methoden verwenden werden, können Sie 

mehrere einsetzen. 

Wenn Sie zum Beispiel Active Directory in Ihrem Netzwerk verwenden, können Sie Ihre Active 

Directory-Container anstelle der NT-Domänen importieren. Wenn die Organisation Ihrer Active 

Directory- oder NT-Domänen für die Sicherheitsverwaltung nicht in Frage kommen, können Sie 

die Organisation Ihrer Systemstruktur in einer Textdatei erstellen und sie dann in die 

Systemstruktur importieren. Wenn Ihr Netzwerk kleiner ist, können Sie die Systemstruktur 

manuell erstellen und jedes System manuell importieren. 

Empfohlene Vorgehensweisen 

Obwohl Sie nicht alle vorhandenen Erstellungsmethoden der Systemstruktur verwenden werden, 

ist es ebenso unwahrscheinlich, dass Sie nur eine Methode verwenden. In vielen Fällen stellt 

die von Ihnen gewählte Vorgehensweise einen Kompromiss dar zwischen dem einfachen Erstellen 

und zusätzlichen Strukturen, um die Richtlinienverwaltung effektiv zu gestalten. 

Sie können die Systemstruktur beispielsweise in zwei Stufen erstellen. Erstellen Sie zuerst 

90 Prozent der Systemstruktur, indem Sie ganze NT-Domänen oder Active Directory-Container 

in Gruppen importieren. Anschließend können Sie manuell Untergruppen erstellen, um Systeme 

zusammenzufassen, die ähnliche Antiviren- oder Sicherheitsrichtlinien erfordern. In diesem 

Szenario können Sie für diese Untergruppen Tags und auf Tags basierende Sortierungskriterien 

verwenden, um sicherzustellen, dass die Untergruppen automatisch in die gewünschten Gruppen 

eingeordnet werden. 

Wenn die gesamte oder ein Teil der Systemstruktur die Active Directory-Struktur widerspiegeln 

soll, können Sie die Systemstruktur importieren und regelmäßig mit Active Directory 

synchronisieren. 

Wenn eine NT-Domäne sehr groß ist oder mehrere geographische Standorte umfasst, können 

Sie Untergruppen erstellen und alle enthaltenen Systeme auf ein verteiltes Repository verweisen, 

um die Aktualisierung effizient zu gestalten. Sie können jedoch auch kleinere funktionelle 

Anordnungen erstellen, z. B. für unterschiedliche Betriebssystemtypen oder Geschäftsfunktionen, 

um individuelle Richtlinien zu verwalten. In diesem Szenario können Sie mithilfe von Tags oder 

auf Tags basierenden Sortierungskriterien sicherstellen, dass die Systeme in der Gruppe 

verbleiben. 

Wenn die IP-Adressinformationen in Ihrem Unternehmen mit den Anforderungen an die 

Sicherheitsverwaltung übereinstimmen, sollten Sie Kriterien der IP-Adressensortierung auf diese 

Gruppen anwenden, bevor Sie Agenten ausbringen. Auf diese Weise stellen Sie sicher, dass die 

Systeme automatisch in den richtigen Speicherort verschoben werden, sobald ihre Agenten 

zum ersten Mal den Server kontaktieren. Wenn Sie Tags in Ihrer Umgebung implementieren, 

können Sie auch Tags als Sortierungskriterien für Gruppen oder auch eine Kombination aus 

IP-Adressen- und Tag-basierten Sortierungskriterien verwenden. 

56 




Sie können zwar eine genaue Systemstruktur mit vielen Gruppenebenen erstellen, Sie sollten 

jedoch nur so viele Ebenen erstellen, wie Sie benötigen. In großen Netzwerken ist es nicht 

ungewöhnlich, dass sich Hunderte oder Tausende von Systemen in einem Container befinden. 

Die Verwaltung einer ausgefeilten Systemstruktur ist wesentlich schwieriger als das Zuweisen 

von Richtlinien an wenigen Punkten. 

Obwohl Sie alle Systeme zu einer einzigen Gruppe in der Systemstruktur hinzufügen können, 

erschwert eine solche unsortierte Liste das Festlegen von Richtlinien für unterschiedliche Systeme, 

besonders bei großen Netzwerken. 

Aufgaben 

Manuelles Erstellen von Gruppen 

Manuelles Hinzufügen von Systemen zu einer vorhandenen Gruppe 

Importieren von Systemen aus einer Textdatei 

Sortieren von Systemen in kriterienbasierten Gruppen 

Importieren von Active Directory-Containern 

Importieren von NT-Domänen in eine vorhandene Gruppe 

Geplantes Synchronisieren der Systemstruktur 

Manuelles Aktualisieren der synchronisierten Gruppe mit einer NT-Domäne 

Manuelles Erstellen von Gruppen 

Gehen Sie wie nachfolgend beschrieben vor, um Gruppen manuell zu erstellen. Sie können 

diese Gruppen mit Systemen auffüllen, indem Sie für einzelne Systeme die NetBIOS-Namen 

eingeben oder Systeme direkt aus dem Netzwerk importieren. 



1 Wechseln Sie zu Systeme | Systemstruktur | Gruppe, und wählen Sie dann die 

gewünschte Gruppe in der Systemstruktur aus, unter der eine weitere Gruppe erstellt 

werden soll. 

2 Klicken Sie unten auf der Seite auf Neue Untergruppe. Das Dialogfeld Neue Untergruppe 


3 Geben Sie den gewünschten Namen ein, und klicken Sie dann auf OK. Die neue Gruppe 

wird in der Systemstruktur angezeigt. 

4 Wiederholen Sie diesen Schritt so lange, bis Sie die Gruppen mit den gewünschten Systemen 

auffüllen können. Sie haben folgende Möglichkeiten, Systeme zur Systemstruktur 

hinzuzufügen und sicherzustellen, dass sie in die gewünschten Gruppen eingeordnet werden: 

• Manuelles Eingeben der Systemnamen. 

• Importieren aus NT-Domänen oder Active Directory-Containern. Zur einfacheren 

Verwaltung können Sie eine Domäne oder einen Container regelmäßig mit einer Gruppe 


• Einrichten von IP-Adressen- oder Tag-basierten Sortierungskriterien für die Gruppen. 

Wenn Agenten von Systemen mit übereinstimmenden IP-Adressinformationen oder 

Tags einchecken, werden sie automatisch in die entsprechende Gruppe eingeordnet. 


57



Manuelles Hinzufügen von Systemen zu einer vorhandenen 

Gruppe 

Gehen Sie wie nachfolgend beschrieben vor, um Systeme aus der Netzwerkumgebung in Gruppen 

zu importieren. Sie können auch eine Netzwerkdomäne oder einen Active Directory-Container 

importieren. 



1 Wechseln Sie zu Systeme | Systemstruktur, und klicken Sie dann auf Neue Systeme. 

Die Seite Neue Systeme wird angezeigt. 

Abbildung 11: Seite "Neue Systeme" 

2 Legen Sie fest, ob der Agent auf die neuen Systeme ausgebracht werden soll und ob die 

Systeme zur ausgewählten Gruppe oder entsprechend den Sortierungskriterien zu einer 

Gruppe hinzugefügt werden sollen. 

3 Geben Sie neben Hinzuzufügende Systeme den NetBIOS-Namen für die einzelnen 

Systeme in das Textfeld ein, und trennen Sie diese mit Kommas, Leerzeichen oder 

Zeilenumbrüchen. Klicken Sie alternativ auf Durchsuchen, um die Systeme auszuwählen. 

4 Wenn Sie die Option Agenten ausbringen und Systeme zur aktuellen Gruppe 

hinzufügen ausgewählt haben, können Sie die automatische Systemstruktursortierung 

aktivieren. Hiermit wenden Sie die Sortierungskriterien auf diese Systeme an. 

5 Gehen Sie wie nachfolgend beschrieben vor, wenn Sie Agenten auf die neuen Systeme 

ausbringen möchten. 

a 

b 

c 

d 

Wählen Sie die auszubringende Agentenversion aus. 

Legen Sie fest, ob die Benutzeroberfläche für die Agenteninstallation auf dem System 

angezeigt werden soll. Aktivieren Sie diese Option, wenn die Endbenutzer die 

Installationsoberfläche nicht sehen sollen. 

Konfigurieren Sie den Agenteninstallationspfad, oder übernehmen Sie den Standardpfad. 

Geben Sie gültige Anmeldeinformationen ein, um den Agenten zu installieren. 


Importieren von Systemen aus einer Textdatei 

Gehen Sie wie nachfolgend beschrieben vor, um eine Textdatei mit einer Liste von Systemen 

und Gruppen für den Import in die Systemstruktur zu erstellen. 

58 




Aufgaben 

Erstellen einer Textdatei mit Gruppen und Systemen 

Importieren von Systemen und Gruppen aus einer Textdatei 

Erstellen einer Textdatei mit Gruppen und Systemen 

Gehen Sie wie nachfolgend beschrieben vor, um eine Textdatei mit den NetBIOS-Namen Ihrer 

Netzwerksysteme zu erstellen, die Sie in eine Gruppe importieren möchten. Sie können eine 

unsortierte Liste von Systemen importieren oder die Systeme in Gruppen organisieren und 

anschließend die angegebenen Systeme hinzufügen. Sie können die Textdatei manuell erstellen. 

Bei einem umfangreichen Netzwerk verwenden Sie andere Netzwerkverwaltungstools zum 

Erstellen der Textdatei mit der Liste der Systeme in Ihrem Netzwerk. 

Definieren Sie die Gruppen und deren Systeme, indem Sie die Gruppen- und Systemnamen in 

eine Textdatei eingeben. Importieren Sie diese Informationen dann in ePolicy Orchestrator. Sie 

müssen über Netzwerkdienstprogramme verfügen, z. B. das zum Microsoft Windows Resource 

Kit gehörige NETDOM.EXE, mit dem Sie Textdateien mit vollständigen Listen der Systeme in 

Ihrem Netzwerk erstellen können. Sobald die Textdatei erstellt ist, können Sie sie manuell 

bearbeiten, um Gruppen von Systemen zu erstellen und die gesamte Struktur in die 

Systemstruktur zu importieren. 

Unabhängig davon, wie Sie die Textdatei erstellen, müssen Sie die richtige Syntax verwenden, 

bevor Sie sie importieren. 



1 Jedes System muss auf einer separaten Zeile aufgeführt sein. Um die Systeme in Gruppen 

aufzuteilen, geben Sie den Gruppennamen gefolgt von einem umgekehrten Schrägstrich 

( \ ) ein, und führen Sie darunter die dazu gehörigen Systeme auf, wobei jedes System 

auf einer eigenen Zeile steht. 

GruppeA\System1 




2 Vergewissern Sie sich, dass die Namen der Gruppen und Systeme sowie die Syntax der 

Textdatei korrekt sind. Speichern Sie anschließend die Textdatei in einem temporären 

Ordner auf dem Server. 

Importieren von Systemen und Gruppen aus einer Textdatei 

Gehen Sie wie nachfolgend beschrieben vor, um Systeme oder Systemgruppen aus einer 

Textdatei, die Sie erstellt und gespeichert haben, in die Systemstruktur zu importieren. 





2 Wählen Sie Systeme aus einer Textdatei in die ausgewählte Gruppe importieren, 

aber nicht Agenten ausbringen aus. 


59



3 Klicken Sie auf Durchsuchen, und wählen Sie die Textdatei aus. 

4 Legen Sie fest, wie mit Systemen verfahren werden soll, die bereits an anderen Stellen in 

der Systemstruktur vorhanden sind. 


Die Systeme werden in die ausgewählte Gruppe in der Systemstruktur importiert. Wenn die 

Systeme in der Textdatei in Gruppen sortiert sind, werden vom Server Gruppen erstellt und die 

Systeme importiert. 

Sortieren von Systemen in kriterienbasierten Gruppen 

Gehen Sie wie nachfolgend beschrieben vor, um die Sortierung für die Gruppierung von Systemen 

zu konfigurieren und zu implementieren. Damit Systeme in Gruppen sortiert werden, muss die 

Sortierung auf dem Server und den gewünschten Systemen aktiviert sein. Außerdem müssen 

Sortierungskriterien und die Sortierreihenfolge der Gruppen konfiguriert sein. 

Aufgaben 

Hinzufügen von Sortierungskriterien zu Gruppen 

Aktivieren der Systemstruktursortierung auf dem Server 

Aktivieren und Deaktivieren der Systemstruktursortierung auf Systemen 

Manuelles Sortieren von Systemen 

Hinzufügen von Sortierungskriterien zu Gruppen 

Gehen Sie wie nachfolgend beschrieben vor, um Sortierungskriterien für eine Gruppe zu 

konfigurieren. Sortierungskriterien können auf IP-Adressinformationen oder Tags basieren. 



1 Wechseln Sie zu Systeme | Systemstruktur | Gruppe, und wählen Sie dann die Gruppe 

in der Systemstruktur aus. 

2 Klicken Sie neben Sortierungskriterien auf Bearbeiten. Die Seite Sortierungskriterien 

für die ausgewählte Gruppe wird angezeigt. 

3 Wählen Sie Systeme, die mit einem der unten stehenden Sortierungskriterien 

übereinstimmen aus. Die Kriterienauswahl wird angezeigt. 

HINWEIS: Obwohl Sie mehrere Sortierungskriterien für die Gruppe konfigurieren können, 

muss ein System nur ein einziges Kriterium erfüllen, um in diese Gruppe eingeordnet zu 

werden. 

4 Konfigurieren Sie das Kriterium. Folgende Optionen stehen zur Auswahl: 

• Tags – Fügen Sie spezifische Tags hinzu, damit Systeme mit diesen Tags, die in die 

übergeordnete Gruppe eingeordnet werden, in diese Gruppe sortiert werden. 

• IP-Adressen – Definieren Sie in diesem Textfeld einen IP-Adressbereich oder eine 

IP-Subnetzmaske als Sortierungskriterium. Jedes System, dessen Adresse sich in diesem 

Bereich befindet, wird in diese Gruppe sortiert. 

5 Wiederholen Sie diesen Vorgang so lange, bis die Sortierungskriterien für die Gruppe 

konfiguriert sind, und klicken Sie dann auf Speichern. 

60 




Aktivieren der Systemstruktursortierung auf dem Server 

Gehen Sie wie nachfolgend beschrieben vor, um die Systemstruktursortierung auf dem Server 

zu aktivieren. Die Systeme werden nur sortiert, wenn die Systemstruktursortierung auf dem 

Server und den gewünschten Systemen aktiviert ist. 



1 Wechseln Sie zu Konfiguration | Servereinstellungen, wählen Sie in der Liste 

Kategorien festlegen den Eintrag Systemstruktursortierung aus, und klicken Sie 

dann auf Bearbeiten. 

2 Legen Sie fest, ob Systeme nur bei der ersten oder bei jeder Agent-zu-Server-Kommunikation 

sortiert werden sollen. 

Wenn Sie festgelegt haben, dass nur bei der ersten Agent-zu-Server-Kommunikation sortiert 

werden soll, werden alle aktivierten Systeme bei ihrer nächsten Agent-zu-Server-Kommunikation 

sortiert. Anschließend werden sie so lange nicht sortiert, wie diese Option ausgewählt ist. Sie 

können diese Systeme jedoch manuell erneut sortieren, indem Sie die Aktion "Jetzt sortieren" 

ausführen oder diese Einstellung so ändern, dass bei jeder Agent-zu-Server-Kommunikation 

sortiert wird. 

Wenn Sie festgelegt haben, dass bei jeder Agent-zu-Server-Kommunikation sortiert werden 

soll, werden alle aktivierten Systeme so lange bei jeder Agent-zu-Server-Kommunikation sortiert, 

wie diese Option ausgewählt ist. 

Aktivieren und Deaktivieren der Systemstruktursortierung auf Systemen 

Gehen Sie wie nachfolgend beschrieben vor, um die Systemstruktursortierung auf Systemen 

zu aktivieren oder zu deaktivieren. Der Sortierungsstatus eines Systems bestimmt, ob es in eine 

kriterienbasierte Gruppe sortiert werden kann. Wahlweise können Sie den Sortierungsstatus 

auf Systemen in jeder beliebigen Tabelle mit Systemen (z. B. Abfrageergebnisse) sowie 

automatisch bei den Ergebnissen einer geplanten Abfrage ändern. 



1 Wechseln Sie zu Systeme | Systemstruktur | Systeme, und wählen Sie dann das 

gewünschte System aus. 

2 Klicken Sie auf Sortierungsstatus ändern, und legen Sie dann fest, ob die 

Systemstruktursortierung auf ausgewählten Systemen aktiviert oder deaktiviert werden 

soll. 

HINWEIS: Möglicherweise müssen Sie auf Weitere Aktionen klicken, um auf die Option 

Sortierungsstatus ändern zugreifen zu können. Um den Sortierungsstatus von Systemen 

anzuzeigen, fügen Sie die Spalte zur Seite Systeme hinzu. 

Abbildung 12: Optionen für "Sortierungsstatus ändern" 


61



Je nach der Servereinstellung für die Systemstruktursortierung werden diese Systeme bei der 

nächsten Agent-zu-Server-Kommunikation sortiert. Andernfalls können sie nur mit der Aktion 

"Jetzt sortieren" sortiert werden. 

Manuelles Sortieren von Systemen 

Gehen Sie wie nachfolgend beschrieben vor, um ausgewählte Systeme mit aktivierter 

kriterienbasierter Sortierung in Gruppen zu sortieren. 



1 Wechseln Sie zu Systeme | Systemstruktur | Systeme, und wählen Sie dann die 

Gruppe mit den gewünschten Systemen aus. 

2 Wählen Sie die Systeme aus, und klicken Sie dann auf Jetzt sortieren. Möglicherweise 

müssen Sie auf Weitere Aktionen klicken, um auf diese Option zugreifen zu können. Das 

Dialogfeld Jetzt sortieren wird angezeigt. 

HINWEIS: Wenn Sie vor dem Sortieren eine Vorschau der Ergebnisse anzeigen möchten, 

klicken Sie auf Sortiertest. (Wenn Sie Systeme auf der Seite Sortiertest verschieben, 

werden jedoch alle ausgewählten Systeme sortiert, auch wenn die Systemstruktursortierung 

für sie deaktiviert ist.) 

3 Klicken Sie auf OK, um die Systeme zu sortieren. 

Importieren von Active Directory-Containern 

Gehen Sie wie nachfolgend beschrieben vor, um Systeme aus den Active Directory-Containern 

Ihres Netzwerks direkt in die Systemstruktur zu importieren, indem Sie Gruppen der 

Systemstruktur Active Directory-Quellcontainer zuordnen. Im Gegensatz zu früheren Versionen 

können Sie nun folgende Vorgänge ausführen: 

• Synchronisieren der Systemstruktur mit der Active Directory-Struktur, sodass beim Hinzufügen 

oder Entfernen von Containern in Active Directory die entsprechende Gruppe in der 

Systemstruktur ebenfalls hinzugefügt oder entfernt wird 

• Löschen von Systemen in der Systemstruktur, wenn sie in Active Directory gelöscht werden 

• Vermeiden von doppelten Systemeinträgen in der Systemstruktur, wenn sie bereits in anderen 

Gruppen vorhanden sind 




Die Implementierung dieser Funktion hängt davon ab, ob Sie die Systemstruktur zum ersten 

Mal erstellen oder von einer vorherigen Version mit einer vorhandenen Systemstruktur 

aktualisieren, bei der Sie keine Active Directory-Integration verwenden. 

Wenn Sie eine frühere Version von ePolicy Orchestrator verwendet haben und bereits über eine 

vollständig gefüllte Systemstruktur verfügen, können Sie die Active Directory-Integration dennoch 

nutzen, indem Sie Ihre Systemstrukturgruppen Active Directory-Containern zuordnen. Mit dieser 

Funktion können Sie Zuordnungspunkte zwischen Active Directory-Containern und 

62 




Systemstrukturgruppen erstellen, um alle neu in Active Directory gefundenen Systeme an die 

entsprechenden Stellen der Systemstruktur zu importieren. 



1 Wechseln Sie zu Systeme | Systemstruktur | Gruppe, und wählen Sie dann die 

gewünschte Gruppe in der Systemstruktur aus. Wählen Sie dabei die Gruppe aus, der Sie 

einen Active Directory-Container zuordnen möchten. 

HINWEIS: Die Systemstrukturgruppen Eigene Organisation oder Sammlung können 

nicht synchronisiert werden. 

Abbildung 13: Seite "Synchronisierungseinstellungen" 

2 Klicken Sie neben Synchronisierungstyp auf Bearbeiten. Die Seite 

Synchronisierungseinstellungen für die ausgewählte Gruppe wird angezeigt. 

3 Klicken Sie neben Synchronisierungstyp auf Active Directory. Die Optionen für die 

Active Directory-Synchronisierung werden angezeigt. 

4 Legen Sie den Typ der Active Directory-Synchronisierung fest, die zwischen dieser Gruppe 

und dem gewünschten Active Directory-Container (und seinen Untercontainern) stattfinden 

soll: 

• Systeme und Containerstruktur – Wählen Sie diese Option, wenn diese Gruppe die 

Active Directory-Struktur vollständig widerspiegeln soll. Bei der Synchronisierung wird 

die Systemstruktur dieser Gruppe geändert, um die Struktur des Active 

Directory-Containers widerzuspiegeln, dem sie zugeordnet ist. Container, die in Active 

Directory hinzugefügt oder daraus entfernt werden, werden auch zur Systemstruktur 

hinzugefügt bzw. aus ihr entfernt. Wenn Systeme in Active Directory hinzugefügt, 

verschoben oder entfernt werden, werden sie auch zur Systemstruktur hinzugefügt bzw. 

in ihr vorschoben oder aus ihr entfernt. 

• Nur Systeme synchronisieren – Wählen Sie diese Option, wenn nur diese Gruppe 

ausschließlich mit Systemen aus dem Active Directory-Container (und nicht 

ausgeschlossenen Untercontainern) gefüllt werden soll. Es werden keine Untergruppen 

wie beim Spiegeln von Active Directory erstellt. 

5 Wählen Sie aus, ob für ein System, das bereits in einer anderen Gruppe der Systemstruktur 

vorhanden ist, ein doppelter Eintrag erstellt werden soll. 

TIPP: Die Auswahl dieser Option wird insbesondere dann nicht empfohlen, wenn Sie die 

Active Directory-Synchronisierung nur als Ausgangspunkt für die Sicherheitsverwaltung 

verwenden möchten und für die weitere Feinabstimmung der Organisation unterhalb des 


63



Zuordnungspunkts andere Funktionen zur Systemstrukturverwaltung (z. B. Tag-Sortierung) 

nutzen. 

6 Geben Sie in das Feld Active Directory-Domäne den vollständigen Namen Ihrer Active 

Directory-Domäne ein. 

7 Geben Sie unter Active Directory-Anmeldeinformationen die Anmeldeinformationen 

für Active Directory ein, mit denen ePolicy Orchestrator die Active Directory-Informationen 

abruft. 

8 Klicken Sie neben Container auf Durchsuchen. Wählen Sie im Dialogfeld Active 

Directory-Container auswählen einen Quellcontainer aus, und klicken Sie auf OK. 

9 Klicken Sie zum Ausschließen bestimmter Untercontainer neben Ausschlüsse auf 

Hinzufügen, und wählen Sie die auszuschließenden Untercontainer aus. Klicken Sie 

anschließend auf OK. 

10 Wählen Sie aus, ob Agenten automatisch auf neuen Systemen ausgebracht werden sollen. 

Wenn Sie diese Option auswählen, müssen Sie auch die Ausbringungseinstellungen 

konfigurieren. 

TIPP: Sie sollten den Agenten nicht während des Erstimports eines großen Containers 

ausbringen. Das gleichzeitige Ausbringen des 3,62 MB großen Agentenpakets auf viele 

Systeme kann zu einer Überlastung des Netzwerks führen. Stattdessen sollten Sie den 

Container importieren und den Agenten anschließend in Systemgruppen ausbringen, anstatt 

alle Systeme auf einmal zu kontaktieren. Sie sollten diese Seite erneut aufrufen und diese 

Option nach der ersten Agentenausbringung auswählen, damit der Agent automatisch auf 

neu zu Active Directory hinzugefügten Systemen installiert wird. 

11 Legen Sie fest, ob Systeme beim Löschen in der Active Directory-Domäne auch in der 

Systemstruktur gelöscht werden sollen. 

12 Um die Gruppe sofort mit Active Directory zu synchronisieren, klicken Sie auf Jetzt 


Wenn Sie auf Jetzt synchronisieren klicken, werden alle an den 

Synchronisierungseinstellungen vorgenommenen Änderungen gespeichert, bevor die Gruppe 

synchronisiert wird. Wenn eine Benachrichtigungsregel für die Active 

Directory-Synchronisierung aktiviert ist, wird bei jedem hinzugefügten oder entfernten 

System ein Ereignis generiert. (Diese Ereignisse werden im Benachrichtigungsprotokoll 

angezeigt und können abgefragt werden.) Wenn Sie Agenten auf hinzugefügten Systemen 

ausbringen, wird die Ausbringung für jedes hinzugefügte System ausgeführt. Nach Abschluss 

der Synchronisierung wird das Feld Letzte Synchronisierung aktualisiert. Darin wird die 

Uhrzeit und das Datum der Synchronisierung und nicht der Zeitpunkt von abgeschlossenen 

Agentenausbringungen angezeigt. 

HINWEIS: Wahlweise können Sie für die erste Synchronisierung einen Servertask 

"NT-Domänen-/Active Directory-Synchronisierung" planen. Dies ist besonders dann nützlich, 

wenn Sie Agenten während der ersten Synchronisierung auf neuen Systemen ausbringen 

und die Bandbreite ein Problem darstellt. 

13 Zeigen Sie nach Abschluss der Synchronisierung die Ergebnisse in der Systemstruktur an. 

Bringen Sie nach dem Importieren der Systeme die Agenten auf ihnen aus, sofern Sie keine 

automatische Ausbringung festgelegt haben. Außerdem kann es sinnvoll sein, einen regelmäßigen 

Servertask "NT-Domänen-/Active Directory-Synchronisierung" einzurichten, damit die 

Systemstruktur mit allen neuen Systemen oder Änderungen an der Organisation in Ihren Active 

Directory-Containern aktualisiert wird. 

64 




Importieren von NT-Domänen in eine vorhandene Gruppe 

Gehen Sie wie nachfolgend beschrieben vor, um Systeme aus einer NT-Domäne in eine Gruppe 

zu importieren, die Sie manuell erstellt haben. 

Sie können Gruppen automatisch auffüllen, indem Sie ganze NT-Domänen mit bestimmten 

Gruppen synchronisieren. Mit dieser Vorgehensweise können Sie in einem Schritt sämtliche 

Systeme in Ihrem Netzwerk als unsortierte Liste ohne Systembeschreibung zur Systemstruktur 

hinzufügen. 

Wenn die Domäne sehr groß ist, können Sie Untergruppen erstellen, wodurch die 

Richtlinienverwaltung und die Organisation der Systemstruktur vereinfacht wird. Importieren 

Sie dazu zuerst die Domäne in eine Gruppe der Systemstruktur, und erstellen Sie dann manuell 

logische Untergruppen. 

TIPP: Importieren Sie zum Verwalten derselben Richtlinie in mehreren Domänen jede der 

Domänen in eine Untergruppe innerhalb derselben Gruppe, für die Sie Richtlinien festlegen 

können, die dann von jeder Untergruppe geerbt werden. 

Beachten Sie bei dieser Vorgehensweise Folgendes: 

• Legen Sie für Untergruppen IP-Adressen- oder Tag-basierte Sortierungskriterien fest, um 

die importierten Systeme automatisch zu sortieren. 

• Planen Sie zur einfacheren Wartung einen regelmäßigen Servertask "NT-Domänen-/Active 

Directory-Synchronisierung". 



1 Wechseln Sie zu Systeme | Systemstruktur | Gruppe, und wählen Sie dann eine 

Gruppe in der Systemstruktur aus, oder erstellen Sie eine Gruppe darin. 


Synchronisierungseinstellungen für die ausgewählte Gruppe wird angezeigt. 

Abbildung 14: Seite "Synchronisierungseinstellungen" 

3 Klicken Sie neben Synchronisierungstyp auf NT-Domäne. Die Einstellungen für die 

Domänensynchronisierung werden angezeigt. 

4 Legen Sie neben Systeme, die an anderen Stellen in der Systemstruktur vorhanden 

sind fest, wie mit Systemen verfahren werden soll, die bei der Synchronisierung hinzugefügt 

werden würden, die aber bereits in einer anderen Gruppe der Systemstruktur vorhanden 

sind. 

HINWEIS: Es wird nicht empfohlen, die Option Systeme zur synchronisierten Gruppe 

hinzufügen und sie im aktuellen Speicherort in der Systemstruktur belassen 


65



auszuwählen. Das gilt insbesondere dann, wenn Sie die NT-Domänensynchronisierung nur 

als Ausgangspunkt für die Sicherheitsverwaltung verwenden und für die weitere 

Feinabstimmung der Organisation unterhalb des Zuordnungspunkts andere Funktionen zur 

Systemstrukturverwaltung (z. B. Tag-Sortierung) nutzen. 

5 Klicken Sie neben Domäne auf Durchsuchen, und wählen Sie die NT-Domäne aus, die 

Sie dieser Gruppe zuordnen möchten. Klicken Sie dann auf OK. Alternativ können Sie den 

Namen der Domäne direkt in das Textfeld eingeben. 

HINWEIS: Geben Sie nicht den vollständigen Domänennamen ein. 

6 Wählen Sie aus, ob Agenten automatisch auf neuen Systemen ausgebracht werden sollen. 

Wenn Sie diese Option auswählen, müssen Sie auch die Ausbringungseinstellungen 

konfigurieren. 

TIPP: Sie sollten den Agenten nicht während des Erstimports einer großen Domäne 

ausbringen. Das gleichzeitige Ausbringen des 3,62 MB großen Agentenpakets auf viele 

Systeme kann zu einer Überlastung des Netzwerks führen. Stattdessen sollten Sie die 

Domäne importieren und den Agenten anschließend in kleineren Systemgruppen ausbringen, 

anstatt alle Systeme auf einmal zu kontaktieren. Nachdem die Agenten ausgebracht sind, 

sollten Sie diese Seite erneut aufrufen und diese Option nach der ersten Agentenausbringung 

auswählen, damit der Agent automatisch per Domänensynchronisierung auf allen neu zur 

Gruppe (oder ihren Untergruppen) hinzugefügten Systemen installiert wird. 

7 Legen Sie fest, ob Systeme beim Löschen in der NT-Domäne auch in der Systemstruktur 

gelöscht werden sollen. 

8 Um die Gruppe sofort mit der Domäne zu synchronisieren, klicken Sie auf Jetzt 

synchronisieren, und warten Sie dann, bis die Systeme in der Domäne zur Gruppe 

hinzugefügt wurden. 

HINWEIS: Wenn Sie auf Jetzt synchronisieren klicken, werden an den 

Synchronisierungseinstellungen vorgenommenen Änderungen gespeichert, bevor die Gruppe 

synchronisiert wird. Wenn eine Benachrichtigungsregel für die NT-Domänensynchronisierung 

aktiviert ist, wird bei jedem hinzugefügten oder entfernten System ein Ereignis generiert. 

(Diese Ereignisse werden im Benachrichtigungsprotokoll angezeigt und können abgefragt 

werden.) Wenn Sie Agenten auf hinzugefügten Systemen ausbringen möchten, wird die 

Ausbringung für jedes hinzugefügte System ausgeführt. Nach Abschluss der Synchronisierung 

wird das Feld Letzte Synchronisierung aktualisiert. Dabei wird die Uhrzeit und das Datum 

der letzten Synchronisierung und nicht der abgeschlossenen Agentenausbringungen 

angezeigt. 

9 Klicken Sie zum manuellen Synchronisieren der Gruppe mit der Domäne auf Vergleichen 

und aktualisieren. Die Seite Manuell vergleichen und aktualisieren wird angezeigt. 

HINWEIS: Durch Klicken auf Vergleichen und aktualisieren werden alle Änderungen 

an den Synchronisierungseinstellungen gespeichert. 

a 

b 

Wenn Sie über diese Seite Systeme aus der Gruppe entfernen, müssen Sie festlegen, 

ob deren Agenten beim Entfernen der Systeme ebenfalls entfernt werden sollen. 

Wählen Sie nach Bedarf die Systeme aus, die Sie zur Gruppe hinzufügen bzw. daraus 

entfernen möchten. Klicken Sie dann auf Gruppe aktualisieren, um die ausgewählten 

Systeme hinzuzufügen. Die Seite Synchronisierungseinstellungen wird angezeigt. 

10 Klicken Sie auf Speichern, und zeigen Sie dann die Ergebnisse in der Systemstruktur an, 

wenn Sie auf Jetzt synchronisieren oder Gruppe aktualisieren geklickt haben. 

66 




Bringen Sie nach dem Hinzufügen der Systeme zur Systemstruktur Agenten auf ihnen aus, falls 

Sie nicht festgelegt haben, dass Agenten als Teil der Synchronisierung ausgebracht werden 

sollen. Außerdem kann es sinnvoll sein, einen regelmäßigen Servertask "NT-Domänen-/Active 

Directory-Synchronisierung" einzurichten, damit diese Gruppe mit allen neuen Systemen in der 

NT-Domäne aktualisiert wird. 

Geplantes Synchronisieren der Systemstruktur 

Gehen Sie wie nachfolgend beschrieben vor, um einen Servertask zu planen, der die 

Systemstruktur mit Änderungen in der zugeordneten Domäne oder dem zugeordneten Active 

Directory-Container aktualisiert. Je nach Synchronisierungseinstellungen der Gruppe wird 

Folgendes ausgeführt: 

• Hinzufügen neuer Systeme zur angegebenen Gruppe im Netzwerk 

• Hinzufügen neuer zugehöriger Gruppen, wenn neue Active Directory-Container erstellt werden 

• Löschen zugehöriger Gruppen, wenn Active Directory-Container entfernt werden 

• Ausbringen von Agenten auf neue Systeme 

• Entfernen von Systemen, die sich nicht mehr in der Domäne oder im Container befinden 

• Anwenden von Richtlinien und Tasks der Site oder Gruppe auf neue Systeme 

• Verhindern oder Zulassen doppelter Systemeinträge, die noch in der Systemstruktur 

vorhanden sind, die Sie an andere Stellen verschoben haben 

HINWEIS: Der Agent kann nicht auf allen Betriebssystemen auf diese Weise ausgebracht werden. 

Möglicherweise müssen Sie den Agenten auf einigen Systemen manuell verteilen. 



1 Wechseln Sie zu Automatisierung | Servertasks, und klicken Sie dann unten auf der 

Seite auf Neuer Task. Die Seite Beschreibung des Generators für Servertasks wird 

angezeigt. 

2 Geben Sie einen Namen für den Task an, und legen Sie fest, ob er nach dem Erstellen 

aktiviert werden soll. Klicken Sie dann auf Weiter. Die Seite Aktionen wird angezeigt. 

3 Wählen Sie in der Dropdownliste den Eintrag NT-Domänen-/Active 

Directory-Synchronisierung aus. 

4 Legen Sie fest, ob alle Gruppen oder nur ausgewählte Gruppen synchronisiert werden 

sollen. Wenn Sie nur einige synchronisierte Gruppen synchronisieren möchten, klicken Sie 

auf Synchronisierte Gruppen auswählen, und wählen Sie die gewünschten Gruppen 

aus. 


6 Planen Sie den Task, und klicken Sie dann auf Weiter. Die Seite Zusammenfassung 


7 Überprüfen Sie die Taskdetails, und klicken Sie dann auf Speichern. 

HINWEIS: Sie können den Task nicht nur zur geplanten Zeit ausführen, sondern auch 

sofort, indem Sie auf der Registerkarte Servertasks neben dem Task auf Ausführen 

klicken. 


67



Manuelles Aktualisieren der synchronisierten Gruppe mit einer 

NT-Domäne 

Gehen Sie wie nachfolgend beschrieben vor, um eine synchronisierte Gruppe mit ihrer 

zugewiesenen NT-Domäne zu aktualisieren: 

• Hinzufügen von derzeit in der Domäne vorhandenen Systemen 

• Entfernen von Systemen aus der Systemstruktur, die sich nicht mehr in der Domäne befinden 

• Entfernen von Agenten aus allen Systemen, die sich nicht mehr in der angegebenen Domäne 

befinden 



1 Wechseln Sie zu Systeme | Systemstruktur | Gruppe, und wählen Sie dann die Gruppe 

aus, die der NT-Domäne zugewiesen ist. 


Synchronisierungseinstellungen wird angezeigt. 

3 Klicken Sie unten auf der Seite auf Vergleichen und aktualisieren. Die Seite Manuell 

vergleichen und aktualisieren wird angezeigt. 

4 Legen Sie beim Entfernen von Systemen aus der Gruppe fest, ob die Agenten von entfernten 

Systemen ebenfalls entfernt werden sollen. 

5 Klicken Sie auf Alle hinzufügen bzw. Hinzufügen, um Systeme aus der Netzwerkdomäne 

in die ausgewählte Gruppe zu importieren. 

Klicken Sie auf Alle entfernen bzw. Entfernen, um Systeme aus der ausgewählten Gruppe 

zu entfernen. 

6 Klicken Sie abschließend auf Gruppe aktualisieren. 

Manuelles Verschieben von Systemen innerhalb der 


Gehen Sie wie nachfolgend beschrieben vor, um Systeme aus einer Gruppe in eine andere 

Gruppe in der Systemstruktur zu verschieben. Sie können Systeme von beliebigen Seiten 

verschieben, auf denen eine Tabelle mit Systemen (einschließlich der Ergebnisse einer Abfrage) 

angezeigt wird. 

Selbst wenn Sie Ihre Systemstruktur so gut organisiert haben, dass sie Ihre Netzwerkhierarchie 

genau wiedergibt, und Sie die Systemstruktur regelmäßig mithilfe automatisierter Tasks und 

Tools synchronisieren, müssen Sie möglicherweise Systeme manuell zwischen Gruppen 

verschieben. Beispielsweise könnte es erforderlich sein, dass Sie Systeme in bestimmten 

Abständen aus der Sammelgruppe verschieben müssen. 



1 Wechseln Sie zu Systeme | Systemstruktur | Systeme, suchen Sie die Systeme, und 

wählen Sie sie aus. 

68 




2 Klicken Sie auf Systeme verschieben. Die Seite Neue Gruppe für die (x) 

ausgewählten Systeme wählen wird angezeigt. 

HINWEIS: Möglicherweise müssen Sie auf Weitere Aktionen klicken, um auf diese Aktion 

zugreifen zu können. 

3 Legen Sie fest, ob die Systemstruktursortierung auf den ausgewählten Systemen beim 

Verschieben aktiviert oder deaktiviert werden soll. 

4 Wählen Sie die Gruppe aus, in die die Systeme eingeordnet werden sollen, und klicken Sie 

dann auf OK. 


69

Verteilen von Agenten zum Verwalten von 

Systemen 

Sie können Ihre Netzwerksysteme nur dann effektiv verwalten, wenn auf jedem System ein 

aktiver und aktueller Agent ausgeführt wird. 

Der Agent lässt sich auf mehrere Arten verteilen. Welche Agenten Sie verwenden, ist abhängig 

von: 

• der Beschaffenheit Ihrer Umgebung und 

• davon, ob Sie Agenten aktualisieren oder zum ersten Mal verteilen. 

Verteilen Sie Agenten zum ersten Mal? 

Wenn Sie Agenten erstmals in Ihrer Umgebung ausbringen, gehen Sie wie folgt vor: 

1 Lesen Sie zum Verständnis des Agenten, seiner Richtlinien und Tasks sowie der Methoden 

zu seiner Verteilung dieses Kapitel durch. 

2 Konfigurieren Sie die Einstellungen der Agentenrichtlinie für die Systemstrukturgruppen, 

an die Sie Agenten verteilen. 

3 Verteilen Sie die Agenten mit den gewählten Methoden an die gewünschten Orte. 

Inhalt 

Agenten und SuperAgents 

Agent-zu-Server-Kommunikation 

Agentenaktivitätsprotokolle 

Agentenrichtlinieneinstellungen 

Sicherheitsschlüssel 

Methoden zur Agentenverteilung 

Erstellen von benutzerdefinierten Agenteninstallationspaketen 

Verteilen von Agenten 

Erzwingen der Agentenmeldung beim Server 

Upgrade vorhandener Agenten 

Entfernen des Agenten 

Wartung des Agenten 

Agenten-Befehlszeilenoptionen 

Befehlszeilenoptionen für die Agenteninstallation 

70 


Verteilen von Agenten zum Verwalten von Systemen 



Bei Agenten handelt es sich um die verteilte Komponente von ePolicy Orchestrator, die auf 

jedem System im Netzwerk installiert werden muss, das Sie verwalten möchten. Ein SuperAgent 

ist ein Agent, für den das Übertragen von Reaktivierungen nach Übertragungssegmenten des 

Netzwerks aktiviert ist. SuperAgents können auch als Repository verwendet werden, aus dem 

Produkte und Aktualisierungen verteilt werden. 

Der Agent sammelt Informationen und versendet sie zwischen dem ePO-Server, den 

Aktualisierungs-Repositories, den verwalteten Systemen und den Produkten. Ohne installierten 

Agenten können Systeme nicht von ePolicy Orchestrator verwaltet werden. 

Agenteninstallationsordner 

Der Agenteninstallationsordner befindet sich auf verwalteten Systemen und auf dem Server 

standardmäßig an unterschiedlichen Orten. 

Auf dem Serversystem ist der Agent am folgenden Speicherort installiert: 

\PROGRAMME\MCAFEE\COMMON FRAMEWORK 

Auf dem verwalteten System ist der Agent standardmäßig am folgenden Speicherort installiert, 

wenn er als Teil einer anderen Produktinstallation installiert oder im Push-Verfahren von der 

Konsole zum System gesendet wurde: 

\PROGRAMME\MCAFEE\COMMON FRAMEWORK 

Wenn Sie den Agenten auf einem verwalteten System von Version 2.5.1 aktualisieren, wird der 

neue Agent nach der Deinstallation des vorhandenen Agenten standardmäßig am folgenden 

Speicherort installiert: 

\PROGRAMME\NETWORK ASSOCIATES\COMMON FRAMEWORK 

VORSICHT: Sobald der Agent installiert wurde, können Sie das Installationsverzeichnis nicht 

mehr ändern, ohne ihn zuvor zu entfernen. 

Agentensprachpakete 

Sowohl die standardmäßigen als auch die benutzerdefinierten Agentensprachpakete werden in 

englischer Sprache installiert. Bei Neuinstallationen befinden sie sich standardmäßig im 

Master-Repository. 

Jedes Agentensprachpaket enthält nur die Dateien, die zur Anzeige der Benutzeroberfläche in 

der jeweiligen Sprache benötigt werden. Agentensprachpakete können auf verteilte Repositories 

repliziert werden. 

Nach der ersten Agent-zu-Server-Kommunikation ruft der Agent das neue Paket ab, das der 

verwendeten Ländereinstellung entspricht, und wendet es an. Auf diese Weise rufen die Agenten 

nur Sprachpakete für die Ländereinstellungen ab, die auf den einzelnen verwalteten Systemen 


HINWEIS: Die Benutzeroberfläche wird weiterhin in der aktuellen Sprache angezeigt, bis das 

neue Sprachpaket angewendet wurde. 

Es können mehrere Sprachpakete auf verwalteten Systemen gespeichert werden, damit die 

Benutzer durch eine Änderung der Ländereinstellungen zwischen den Sprachen umschalten 

können. Wenn Ländereinstellungen ausgewählt sind, für die ein Sprachpaket lokal nicht verfügbar 

ist, wird die Benutzeroberfläche in englischer Sprache angezeigt. 

Für folgende Sprachen sind Agentensprachpakete verfügbar: 

• Portugiesisch (Brasilien) 

• Italienisch 


71



• Chinesisch (Vereinfacht) • Japanisch 

• Chinesisch (Traditionell) 

• Koreanisch 

• Englisch • Polnisch 

• Niederländisch 

• Spanisch 

• Französisch (Standard) • Schwedisch 

• Deutsch (Standard) 

Agenteninstallationspakete 

Die Datei FRAMEPKG.EXE wird erstellt, wenn Sie den Server installieren. Dabei handelt es sich 

um ein Installationspaket für Agenten, die an den Server berichten. Das Paket enthält den 

Servernamen, die IP-Adresse, die ASKI-Portnummer sowie andere Informationen, durch die 

der Agent mit dem Server kommunizieren kann. 

Das Agenteninstallationspaket ist standardmäßig am folgenden Speicherort installiert: 

C:\PROGRAMME\MCAFEE\EPO\DB\SOFTWARE\CURRENT\ePOAGENT3000\INSTALL\0409\FRAMEPKG.EXE 

Mit diesem Installationspaket bringt der Server Agenten aus. 

Das standardmäßige Agenteninstallationspaket enthält keine eingebetteten 

Anmeldeinformationen. Wenn es auf dem System ausgeführt wird, wird bei der Installation das 

Konto des aktuell angemeldeten Benutzers verwendet. 


Während der Agent-zu-Server-Kommunikation tauschen Agent und Server mithilfe von 

SPIPE-Informationen aus. SPIPE ist ein proprietäres Netzwerkprotokoll, das von ePolicy 

Orchestrator für sichere Netzwerkübertragungen verwendet wird. Bei jeder Kommunikation 

erfasst der Agent die aktuellen Systemeigenschaften sowie Ereignisse und sendet sie an den 

Server. Der Server wiederum sendet alle neuen oder geänderten Richtlinien und Tasks sowie 

eine Repository-Liste an den Agenten. Der Agent erzwingt die neuen Richtlinien dann lokal auf 

dem verwalteten System. 

Die Agent-zu-Server-Kommunikation kann auf vier unterschiedliche Arten ausgelöst werden: 

• Agent-zu-Server-Kommunikationsintervall (ASKI) 

• Vom Agenten nach seinem Start ausgelöste Kommunikation 

• Agentenreaktivierungen 

• Auf dem verwalteten System manuell ausgelöste Kommunikation 

Agent-zu-Server-Kommunikationsintervall 

Das Agent-zu-Server-Kommunikationsintervall (ASKI) wird auf den McAfee Agent-Richtlinienseiten 

auf der Registerkarte Allgemein eingestellt. Die Einstellung bestimmt, wie oft sich der Agent 

zum Austauschen von Daten und Abrufen aktualisierter Anweisungen beim Server zurückmeldet. 

Standardmäßig ist dieser Wert auf 60 Minuten eingestellt; der Agent meldet sich einmal pro 

Stunde beim Server zurück. 

Bei der Entscheidung, ob diese Richtlinieneinstellung geändert werden soll, müssen Sie die 

Anforderungen zur Abwehr von Bedrohungen, die verfügbare Bandbreite sowie die 

Serverhardware Ihres Unternehmens berücksichtigen. Bedenken Sie, dass die 

ASKI-Kommunikation insbesondere in großen Netzwerken zu einem hohen Aufkommen an 

72 




Netzwerkverkehr führen kann. In diesem Fall verfügen Sie wahrscheinlich an Remotestandorten 

über Agenten, die sich über langsamere Netzwerkverbindungen anmelden. Es ist möglicherweise 

sinnvoll, wenn sich diese Agenten seltener am Server zurückmelden. In der folgenden Tabelle 

werden die empfohlenen ASKI-Werte für gängige Netzwerkverbindungsgeschwindigkeiten 

angegeben. 

Empfohlene ASKI-Einstellungen 

Netzwerkgröße 

Gigabit-LAN 

100 Mbit LAN 

WAN 

DFÜ oder RAS 

10 Mbit LAN 

Wireless LAN 

Empfohlenes ASKI 

60 Minuten 

60 Minuten 

360 Minuten 

360 Minuten 

180 Minuten 

150 Minuten 

HINWEIS: Ausführliche Informationen zum Abstimmen von Bandbreite, Serverhardware und 

ASKI finden Sie im Handbuch ePolicy Orchestrator 4.0 Hardware Sizing and Bandwidth Usage 

Guide (Hardwaredimensionierung und Bandbreitennutzung). 

Vom Agenten nach seinem Start ausgelöste Kommunikation 

Nach der Installation und nachdem der Agentendienst angehalten und erneut gestartet wurde, 

meldet sich der Agent innerhalb von zehn Minuten in einem zufallsgenerierten Intervall beim 

Server. Die nachfolgende Kommunikation findet in dem in der Agentenrichtlinie festgelegten 

ASKI statt (Standardwert sind 60 Minuten). 

Die Kommunikation zwischen dem Agenten und dem Server kann direkt nach der Installation 

durch Ausführen von CMDAGENT.EXE mit der Befehlszeilenoption /P erzwungen werden. 

Reaktivierungen 

Reaktivierungen veranlassen die Agenten, sich beim Server zurückzumelden. Sie können manuell 

gesendet oder als Clienttask geplant werden. Sie sind nützlich, wenn Sie Richtlinien geändert 

oder Aktualisierungen eingecheckt haben, die vor dem nächsten ASKI auf die verwalteten 

Systeme angewendet werden sollen. 

Reaktivierungen können auch anhand der Ergebnisse von Abfragen konfiguriert werden, die im 

Generator für Servertasks geplant werden. 

SuperAgents und Reaktivierungen 

Wenn Sie die Agent-zu-Server-Kommunikation mithilfe von Agentenreaktivierungen auslösen 

möchten, ist es möglicherweise von Vorteil, in jedem Übertragungssegment im Netzwerk einen 

Agenten in einen SuperAgent umzuwandeln. Durch SuperAgents wird die Bandbreitenbelastung 

beim Reaktivieren der Agenten verteilt, was den Netzwerkverkehr verringert. 

Anstatt Agentenreaktivierungen vom Server an jeden Agenten zu senden, sendet der Server 

die SuperAgent-Reaktivierung an SuperAgents im ausgewählten Systemstruktursegment. Wenn 

SuperAgents diese Reaktivierung empfangen, senden sie Reaktivierungen an alle Agenten in 

ihren Übertragungssegmenten des Netzwerks. Dadurch wird der Netzwerkverkehr reduziert. 

Von besonderem Vorteil ist dies in großen Netzwerken, in denen ePolicy Orchestrator die Agenten 


73



an Remotestandorten über WAN- oder VPN-Verbindungen mit niedrigerer Geschwindigkeit 

verwalten kann. 

Abbildung 15: SuperAgent und Reaktivierungen 

1 Der Server sendet die Reaktivierung an alle SuperAgents. 

2 Die SuperAgents senden eine Reaktivierung an alle Agenten im selben Übertragungssegment. 

3 Alle Agenten (reguläre Agenten und SuperAgents) tauschen Daten mit dem Server aus. 

4 Alle Agenten, in deren Übertragungssegment sich kein SuperAgent befindet, werden nicht 

zur Kommunikation mit dem Server aufgefordert. 


Um eine ausreichende Anzahl von SuperAgents an den richtigen Stellen auszubringen, bestimmen 

Sie zunächst die Übertragungssegmente in Ihrer Umgebung. Wählen Sie anschließend in jedem 

Segment ein System (vorzugsweise einen Server) aus, das als SuperAgent-Host dienen soll. 

Denken Sie daran, dass Agenten in Übertragungssegmenten ohne SuperAgents keine 

Reaktivierung empfangen und sich daher nicht beim Server zurückmelden. 

Ähnlich wie bei der regulären Agentenreaktivierung wird bei der SuperAgent-Reaktivierung das 

SPIPE-Protokoll verwendet. Stellen Sie sicher, dass der Kommunikationsport für die 

Agentenreaktivierung (Standard ist Port 8081) und der Kommunikationsport für die 

Agentenübertragung (Standard ist Port 8082) nicht blockiert sind. 

74 





Die Agentenprotokolldateien helfen beim Ermitteln des Agentenstatus oder bei der 

Fehlerbehebung. Die Agentenaktivität wird in zwei Protokolldateien aufgezeichnet. Beide befinden 

sich in den Agenteninstallationsordnern des verwalteten Systems. 

Agentenaktivitätsprotokoll 

Beim Agentenaktivitätsprotokoll handelt es sich um eine XML-Datei mit der Bezeichnung 

"agent_.xml", wobei der NetBIOS-Name des Systems ist, auf dem der 

Agent installiert ist. Diese Protokolldatei zeichnet die Agentenaktivität im Zusammenhang mit 

der Richtlinienumsetzung, der Agent-zu-Server-Kommunikation und der Ereignisweiterleitung 

auf. Für diese Protokolldatei können Sie eine Größenbegrenzung definieren. 

Auf den McAfee Agent-Richtlinienseiten können Sie auf der Registerkarte Protokollieren 

konfigurieren, in welchem Umfang die Agentenaktivität aufgezeichnet wird. 

Detailliertes Agentenaktivitätsprotokoll 

Das ausführliche Agentenaktivitätsprotokoll wird in der Datei AGENT_.LOG 

gespeichert, wobei der NetBIOS-Name des Systems ist, auf dem der Agent installiert 

ist. Zusätzlich zu den im Agentenaktivitätsprotokoll gespeicherten Informationen enthält das 

detaillierte Aktivitätsprotokoll Fehlerbehebungsmeldungen. Für diese Datei gilt eine 

Größenbegrenzung von 1 MB. Wenn diese Protokolldatei 1 MB erreicht, wird eine Sicherungskopie 

erstellt (AGENT__BACKUP.LOG). 


Die Agentenrichtlinieneinstellungen bestimmen die Leistungsfähigkeit und das Verhalten der 

Agenten in der Umgebung. Im Einzelnen geht es um folgende Fragen: 

• Wie oft meldet sich der Agent beim Server zurück? 

• Wie oft erzwingt der Agent Richtlinien auf dem verwalteten System? 

• Wie oft sendet der Agent Ereignisdateien zum Server? 

• Wo ruft der Agent Produkt- und Aktualisierungspakte ab? 

Bevor Sie eine große Anzahl an Agenten im Netzwerk verteilen, sollten Sie gut überlegen, wie 

sich der Agent in den Segmenten der Umgebung verhalten soll. Zwar können Sie die 

Agentenrichtlinie auch nach dem Verteilen der Agenten konfigurieren, doch sollten Sie sie besser 

vor der Verteilung festlegen, um unnötige Auswirkungen auf die Ressourcen zu vermeiden. 

Eine vollständige Beschreibung der Optionen erhalten Sie, wenn Sie auf der Seite mit den 

Optionen auf ? klicken. Einige der wichtigsten Richtlinieneinstellungen werden hier jedoch 

behandelt. 

Weiterleiten von Ereignissen nach Priorität 

Der Agent und die Sicherheitssoftware auf dem verwalteten System generieren im normalen 

Betrieb ständig Softwareereignisse. Dies können verschiedene Ergebnisse sein – von reinen 

Informationen zum regulären Betrieb (z. B. dass der Agent lokal Richtlinien erzwungen hat) bis 

zu kritischen Ereignissen (z. B. dass ein Virus entdeckt und nicht entfernt wurde). Diese Ereignisse 

werden bei jeder Agent-zu-Server-Kommunikation an den Server gesendet und in der Datenbank 

gespeichert. Eine typische Ausbringung von ePolicy Orchestrator in einem großen Netzwerk 


75



kann pro Stunde Tausende solcher Ereignisse generieren. Die meisten dieser Ereignisse werden 

Sie nicht sonderlich interessieren. 

Über schwerwiegendere Ereignisse möchten Sie aber sicherlich sofort informiert werden. Sie 

können den Agenten so konfigurieren, dass Ereignisse, die einen bestimmten Schweregrad 

erreichen oder übertreffen, sofort weitergeleitet werden. (Die jeweiligen Schweregrade werden 

durch das Produkt bestimmt, das die Ereignisse generiert.) Wenn Sie Benachrichtigungen nutzen 

möchten, muss der sofortige Upload von schwerwiegenden Ereignissen aktiviert werden, damit 

diese Funktionen wie vorgesehen arbeiten. 

Den sofortigen Upload von Ereignissen können Sie auf den McAfee Agent-Richtlinienseiten auf 

der Registerkarte Ereignisse aktivieren. 

Vollständige und minimale Eigenschaften 

Der Agent sendet bei jeder Agent-zu-Server-Kommunikation Informationen vom verwalteten 

System zum Server, sodass Sie die Eigenschaften der einzelnen Systeme in ePolicy Orchestrator 

anzeigen können. 

Während der ersten Kommunikation sendet der Agent alle Eigenschaften. Danach sendet der 

Agent nur noch die Eigenschaften, die sich seit der letzten Kommunikation geändert haben. 

Der Agent sendet jedoch sämtliche Eigenschaften erneut, wenn folgende Bedingungen erfüllt 

sind: 

• In der Richtlinie ist festgelegt, dass die vollständigen Eigenschaften gesendet werden, und 

sie wird auf den verwalteten Systemen erzwungen. 

• Die Eigenschaftenversionen des Agenten und des ePO-Servers weisen mehr als zwei 

Unterschiede auf. 

Welche Eigenschaften aufgelistet werden, hängt davon ab, ob Sie auf den McAfee 

Agent-Richtlinienseiten auf der Registerkarte Allgemein das Senden vollständiger oder minimaler 

Eigenschaften ausgewählt haben. 

Vollständige Eigenschaften 

Falls Sie angeben, dass die vollständige Menge der Eigenschaften erfasst werden soll, erfasst 

der Agent die folgenden Eigenschaften: 

• Systemeigenschaften: 

• Informationen zur Systemhardware 

• Informationen zur installierten Software 

• Prozessorgeschwindigkeit 

• Betriebssystem 

• Zeitzone 

• Zeitpunkt (Datum und Uhrzeit) der letzten Aktualisierung der Eigenschaften 

• Produkteigenschaften: 

• Installationspfad 

• Versionsnummer der Virendefinitionsdatei (DAT-Datei) 

• Produktversionsnummer 

• Für das Produkt konfigurierte Richtlinieneinstellungen 

76 




Minimale Eigenschaften 

Wenn Sie festlegen, dass nur minimale Eigenschaften erfasst werden sollen, erfasst der Agent 

nur die folgenden Produkteigenschaften: 

• Installationspfad 

• Versionsnummer der Virendefinitionsdatei (DAT-Datei) 

• Produktversionsnummer 

• Für das Produkt konfigurierte Richtlinieneinstellungen 

Agentenrichtlinie und verteilte Repositories 

Standardmäßig kann der Agent Aktualisierungen aus jedem Repository in seiner 

Repository-Listendatei (SITELIST.XML) durchführen. Der Agent kann eine 

Netzwerk-ICMP-Ping-Abfrage oder die Subnetzadresse des Repositorys verwenden, um aus den 

fünf Repositories mit den besten Abfragewerten in der Liste das verteilte Repository mit der 

kürzesten Reaktionszeit zu ermitteln. Meist ist dies ein verteiltes Repository, das sich in 

unmittelbarer Nähe des Systems im Netzwerk befindet. Zum Beispiel wählt ein verwaltetes 

System an einem Remotestandort, der sich weit entfernt vom ePO-Server befindet, wahrscheinlich 

ein lokales verteiltes Repository aus. Ein Agent hingegen, der sich in demselben LAN wie der 

Server befindet, aktualisiert sich wahrscheinlich direkt über das Master-Repository. 

Wenn Sie genauer kontrollieren müssen, welche verteilten Repositories die Agenten verwenden, 

können Sie auf den McAfee Agent-Richtlinienseiten auf der Registerkarte Repositories 

bestimmte verteilte Repositories aktivieren oder deaktivieren. Wenn die Agenten sich über ein 

beliebiges verteiltes Repository aktualisieren können, wird gewährleistet, dass sie die 

Aktualisierungen von einem beliebigen Repository bekommen. Mithilfe einer 

Netzwerk-ICMP-Ping-Abfrage sollte der Agent aus dem nächstgelegenen verteilten Repository 

aus den fünf Repositories mit den besten Abfragewerten der Repository-Liste aktualisiert werden. 

Der Agent wählt immer dann ein Repository aus, wenn der Agentendienst (McAfee 

Framework-Dienst) gestartet wird oder sich die Repository-Liste ändert. 

Proxyeinstellungen 

Um auf die Aktualisierungssites von McAfee zugreifen zu können, benötigt der Agent 

Internetzugang. Konfigurieren Sie mithilfe der Einstellungen für die Agentenrichtlinie die 

Proxyserver-Einstellungen für die verwalteten Systeme. Auf den McAfee Agent-Richtlinienseiten 

können Sie auf der Registerkarte Proxy folgende Optionen einstellen: 

• Verwenden der Proxyeinstellungen von Internet Explorer 

• Konfigurieren benutzerdefinierter Proxyeinstellungen 

• Deaktivieren der Verwendung von Proxyservern 

Die Standardeinstellung lautet Internet Explorer-Proxyeinstellungen verwenden. Hierdurch 

kann ein Agent den Speicherort des aktuellen Proxyservers und die Anmeldeinformationen 

verwenden, die aktuell in Internet Explorer auf dem System konfiguriert sind. Unter Umständen 

müssen Sie jedoch mithilfe von ePolicy Orchestrator benutzerdefinierte Proxyserver-Einstellungen 

für Systeme im Netzwerk konfigurieren. Dies ist zum Beispiel dann der Fall, wenn Internet 

Explorer nicht auf diesen Systemen installiert ist und einer anderer Browser verwendet wird. 


77




ePolicy Orchestrator und die Agenten verwenden Schlüssel, um die Kommunikation zwischen 

Agent und Server abzusichern und unsignierte Pakete zu signieren und zu überprüfen. 

Änderungen an Schlüsseln werden von Agenten beim nächsten Client-Aktualisierungstask für 

den Agenten aktualisiert. 

Schlüssel für die sichere Agent-zu-Server-Kommunikation 

Mithilfe von ASSC-Schlüsseln (Agent-Server Secure Communication, sichere 

Agent-zu-Server-Kommunikation) können Agenten sicher mit dem Server kommunizieren. Sie 

können jedes beliebige ASSC-Schlüsselpaar als Hauptschlüssel festlegen. Das ist der Schlüssel, 

der den ausgebrachten Agenten aktuell zugewiesen ist. Vorhandene Agenten, die andere 

Schlüssel in der Liste verwenden, wechseln nach der nächsten Aktualisierung zum neuen 

Hauptschlüssel. Löschen Sie ältere Schlüssel erst dann, wenn alle Agenten den neuen 

Hauptschlüssel übernommen haben. 

Agenten, die älter als Version 3.6 sind, verwenden einen Schlüssel für ältere Versionen. Wenn 

Sie von einer früheren Version von ePolicy Orchestrator aktualisieren, kann der Schlüssel für 

ältere Versionen standardmäßig der Hauptschlüssel sein. 

Schlüsselpaar für Master-Repository 

Der private Schlüssel für das Master-Repository signiert alle unsignierten Inhalte im 

Master-Repository. Diese Schlüssel sind für McAfee Agent 4.0 ausgelegt. 

Agenten ab der Version 4.0 verwenden den öffentlichen Schlüssel, um Inhalte zu überprüfen, 

die aus dem Master-Repository auf diesem ePO-Server stammen. Wenn der Inhalt unsigniert 

oder mit einem unbekannten privaten Repository-Schlüssel signiert ist, wird der heruntergeladene 

Inhalt als unzulässig betrachtet und gelöscht. 

Dieses Schlüsselpaar ist für jede Serverinstallation eindeutig. Durch Exportieren und Importieren 

von Schlüsseln können Sie jedoch dasselbe Schlüsselpaar in einer Umgebung mit mehreren 

Servern verwenden. 

Diese Schlüssel sind eine neue Funktion. Nur Agenten ab der Version 4.0 sind mit den neuen 

Protokollen kompatibel. 

Öffentliche Schlüssel für weitere Repositories 

Hierbei handelt es sich um die öffentlichen Schlüssel, mit denen Agenten Inhalte aus anderen 

Master-Repositories in Ihrer Umgebung oder McAfee-Quellsites überprüfen. Jeder Agent, der 

sich bei diesem Server meldet, verwendet die in dieser Liste aufgeführten Schlüssel zum 

Überprüfen von Inhalten, die von anderen ePO-Servern in Ihrem Unternehmen oder aus 

McAfee-eigenen Quellen stammen. 

Wenn ein Agent Inhalte herunterlädt, die aus einer Quelle stammen, für die der Agent keinen 

entsprechenden öffentlichen Schlüssel besitzt, verwirft der Agent den Inhalt. 

Diese Schlüssel sind eine neue Funktion. Nur Agenten ab der Version 4.0 können diese neuen 

Protokolle verwenden. 

78 





Aufgrund der Vielzahl an Szenarien und Anforderungen verschiedener Umgebungen gibt es 

verschiedene Möglichkeiten, mit denen Sie Agenten auf die Systeme verteilen können, die Sie 

verwalten möchten. Bevor Sie sich für eine dieser Methoden entscheiden, sollten Sie sich mit 

allen vertraut machen. 

In der folgenden Tabelle werden die Vorteile und Nachteile der verschiedenen Methoden zum 

Verteilen von Agenten genannt. 

Tabelle 1: Vorteile und Nachteile der Methoden zur Agentenverteilung 

Methode 

Vorteile 

Nachteile 

Ausbringen des Agenten 

beim Erstellen des 

Verzeichnisses 

Ausbringen von Agenten 

mit ePolicy Orchestrator 

Automatisch; keine weiteren Schritte 

erforderlich. 

Dies ist eine effiziente Methode für das 

Verteilen des Agenten. 

Wenn Sie Sites durch Importieren von großen 

NT-Domänen oder Active Directory-Containern 

erstellen, wird unter Umständen zu viel 

Netzwerkverkehr für Ihre Ressourcen generiert. 

Sie müssen Benutzeranmeldeinformationen mit 

Administratorrechten in den gewünschten 

Systemen einbetten. Außerdem müssen Sie 

sicherstellen, dass auf Systemen mit 

Microsoft XP Service Pack 2 die Datei 

FRAMEPKG.EXE in die Ausnahmenliste der 

Firewall eingefügt wurde. 

Verwenden von 

Anmeldeskripts 

Manuelle Installation 

Installieren des Agenten 

auf einem Image 

Hierbei handelt es sich um eine effiziente 

Methode für Umgebungen, in denen sich 

Systeme häufig am Netzwerk anmelden. 

Sie müssen die Arbeit nur einmal 

durchführen, und der Agent wird 

automatisch ausgebracht. 

Diese Methode ist dann effektiv, wenn Sie 

Agenten nicht mit ePolicy Orchestrator 

ausbringen oder wenn viele Systeme 

unter Windows 95 und Windows 98 

laufen und die Datei- und Druckerfreigabe 

auf ihnen nicht aktiviert werden soll. 

Verhindert die negative Auswirkung auf 

die Bandbreite, die andere Arten der 

Verteilung verursachen können. 

Vermindert den Aufwand, indem der Task 

in einen anderen Task integriert wird. 

Systeme, die sich selten am Netzwerk 

anmelden, arbeiten unter Umständen nicht mit 

dem aktuellsten Agenten. 

Diese Methode ist sehr zeitraubend, wenn Sie 

viele Systeme haben. 

Wenn Sie Images nicht konsistent verwenden, 

ist mit dieser Methode keine umfassende 

Deckung gewährleistet. 

Aktivieren des Agenten 

auf unverwalteten 

McAfee-Produkten 

Spart in erheblichem Maße Bandbreite 

und Zeit. 

Der deaktivierte Agent ist möglicherweise 

veraltet, sodass Sie den Agenten mithilfe eines 

Ausbringungstasks auf die aktuelle Version 

aktualisieren müssen. Sie können den 

Agenteninstallationsordner nicht ändern, ohne 

den Agenten zu entfernen und erneut zu 

installieren. Agenten, die Sie aktivieren, können 

sich in einem anderen Ordner befinden als 

Agenten, die Sie mithilfe einer anderen Methode 

im Netzwerk ausbringen. 

Erstellen von benutzerdefinierten 

Agenteninstallationspaketen 

Gehen Sie wie nachfolgend beschrieben vor, um ein benutzerdefiniertes Agenteninstallationspaket 

zu erstellen. 


79



Sollten Sie die Agenten nicht mithilfe der Ausbringungsfunktion von ePolicy Orchestrator 

ausbringen (stattdessen beispielsweise mit Anmeldeskripts oder Ausbringungssoftware von 

Drittanbietern), müssen Sie ein benutzerdefiniertes Agenteninstallationspaket (FRAMEPKG.EXE) 

mit eingebetteten Anmeldeinformationen für das Administratorkonto erstellen, wenn Benutzer 

keine lokalen Administratorrechte haben. Die von Ihnen eingebetteten 

Benutzeranmeldeinformationen werden zum Installieren des Agenten verwendet. 

HINWEIS: Bei Microsoft Windows XP Service Pack 2 und höheren Versionen des Betriebssystems 

sind eingebettete Anmeldeinformationen für das Administratorkonto erst dann zulässig, wenn 

die Paketdatei in die Ausnahmenliste der Windows-Firewall eingefügt wurde. 





2 Wählen Sie neben Systeme auf diese Weise hinzufügen die Option 

Agenteninstallationspaket erstellen und herunterladen aus. 

3 Geben Sie die gewünschten Anmeldeinformationen für Agenteninstallation ein, und 

klicken Sie dann auf OK. 

4 Wenn Sie dazu aufgefordert werden, wählen Sie den Speicherort für das Herunterladen 

und Speichern des Installationspakets aus. 

5 Verteilen Sie das benutzerdefinierte Installationspaket nach Bedarf. 


Verwenden Sie eine der nachfolgend beschriebenen Aufgaben zum Verteilen von Agenten in 

Ihrer Umgebung. Ihr Wahl hängt dabei von den Anforderungen Ihrer Umgebung ab. 

Aufgaben 

Ausbringen des Agenten mit ePolicy Orchestrator 

Installieren des Agenten mit Anmeldeskripts 

Manuelle Installation des Agenten 

Aktivieren des Agenten auf unverwalteten McAfee-Produkten 

Installieren des Agenten auf einem Image 

Verwenden anderer Ausbringungsprodukte 

Verteilen des Agenten auf WebShield Appliances und Novell NetWare-Servern 

Ausbringen des Agenten mit ePolicy Orchestrator 

Gehen Sie wie nachfolgend beschrieben vor, um mithilfe von ePolicy Orchestrator Agenten auf 

Ihre Systeme auszubringen. Bei dieser Vorgehensweise kommt die Push-Technologie von 

Windows NT zum Einsatz. 

Diese Methode wird empfohlen, wenn große Segmente der Systemstruktur bereits gefüllt sind, 

zum Beispiel, wenn Sie Systemstruktursegmente durch den Import von Domänen oder Active 

Directory-Containern erstellt und dabei keine Agenten ausgebracht haben. 

80 





Wenn Sie diese Funktion verwenden möchten, müssen verschiedene Anforderungen erfüllt sein. 

Beispiele: 

• Systeme müssen bereits in der Systemstruktur enthalten sein. 

HINWEIS: Wenn Sie die Systemstruktur noch nicht erstellt haben, können Sie das 

Agenteninstallationspaket auf Systemen ausbringen, während Sie der Systemstruktur Gruppen 

und Systeme hinzufügen. Diese Vorgehensweise wird jedoch nicht empfohlen, wenn Sie die 

Systemstruktur durch Importieren umfangreicher NT-Domänen oder Active Directory-Container 

erstellen. Hierdurch kann zu viel Netzwerkverkehr entstehen. 

• Geben Sie die Anmeldeinformationen für den Domänenadministrator an. Für den Zugriff auf 

den freigegebenen Standardordner Admin$ sind auf einem System 

Domänenadministratorrechte erforderlich. Der ePO-Serverdienst benötigt Zugriff auf diesen 

freigegebenen Ordner, um Agenten und andere Software installieren zu können. 

• Stellen Sie sicher, dass der ePO-Server mit den gewünschten Systemen kommunizieren 

kann. 

Bevor Sie mit einer umfangreichen Agentenausbringung beginnen, überprüfen Sie mithilfe 

von Ping-Befehlen, ob der Server mit einigen Systemen in allen Netzwerksegmenten 

kommunizieren kann. 

Wenn die Zielsysteme auf den Ping-Befehl antworten, bedeutet dies, dass ePolicy Orchestrator 

die Segmente erreicht. 

HINWEIS: Es müssen aber nicht unbedingt Ping-Befehle mit Erfolg vom ePO-Server an die 

verwalteten Systeme gesendet werden, damit der Agent nach seiner Installation mit dem 

Server kommunizieren kann. Dies ist lediglich ein nützlicher Test, mit dessen Hilfe Sie 

feststellen können, ob Sie Agenten vom Server aus ausbringen können. 

• Stellen Sie sicher, dass die freigegebenen Admin$-Ordner auf den gewünschten Systemen 

vom Server aus zugänglich sind. 

Bei diesem Test werden auch die Anmeldeinformationen für das Administratorkonto überprüft, 

da Sie ohne Administratorrechte nicht auf Admin$-Freigaben auf Remotesystemen zugreifen 

können. 

Wenn Sie vom ePO-Server auf Admin$-Freigaben auf den gewünschten Systemen zugreifen 

möchten, wählen Sie Start | Ausführen aus, und geben Sie den Pfad zur 

Admin$-Clientfreigabe ein, indem Sie entweder den Systemnamen oder die IP-Adresse 

angeben. 

Wenn die Systeme ordnungsgemäß über das Netzwerk verbunden sind, umfassen Ihre 

Anmeldeinformationen genügend Rechte. Wenn der freigegebene Ordner Admin$ vorhanden 

ist, sollte ein Dialogfeld von Windows Explorer angezeigt werden. 

• Vergewissern Sie sich, dass die Datei- und Druckerfreigabe aktiviert ist. Standardmäßig ist 

diese Option bei Systemen mit Windows 95, Windows 98 und Windows ME deaktiviert. Falls 

sich Systeme im Netzwerk befinden, auf denen diese Betriebssysteme ausgeführt werden, 

stellen Sie sicher, dass sie von ePolicy Orchestrator verwaltet werden können. Standardmäßig 

erlauben diese Systeme keine ePO-Verwaltung. Um die ePO-Verwaltung dieser Systeme 

zuzulassen, laden Sie die VCREDIST.EXE- und DCOM 1.3-Aktualisierungen von der 

Microsoft-Website herunter, und installieren Sie diese bei Bedarf auf allen Clients. 

• Stellen Sie sicher, dass der Netzwerkzugriff auf Windows XP Home-Systemen aktiviert ist. 

Bringen Sie den Agenten in ePolicy Orchestrator aus, oder installieren Sie ein 

benutzerdefiniertes Agenteninstallationspaket auf Systemen mit Windows XP Home. 


81



Wenn Sie den Netzwerkzugriff auf Systemen aktivieren möchten, auf denen Windows XP 

Home ausgeführt wird, wechseln Sie zu Start | Systemsteuerung | Leistung und 

Wartung | Verwaltung | Lokale Sicherheitsrichtlinie | Sicherheitseinstellungen 

| Lokale Richtlinien | Sicherheitsoptionen | Netzwerkzugriff: Modell für 

gemeinsame Nutzung und Sicherheitsmodell für lokale Konten, und wählen Sie 

anschließend Klassisch – lokale Benutzer authentifizieren sich als sie selbst aus. 



1 Wechseln Sie zu Systeme | Systemstruktur, und wählen Sie die Gruppen oder Systeme 

aus, auf denen Sie den Agenten ausbringen möchten. 

2 Klicken Sie auf Agenten ausbringen. Die Seite McAfee Agent ausbringen wird 

angezeigt. 

Abbildung 16: Seite "McAfee Agent ausbringen" 

3 Wählen Sie in der Dropdownliste die gewünschte Agentenversion aus. 

4 Legen Sie beim Ausbringen von Agenten in eine Gruppe fest, ob Systeme aus deren 

Untergruppen einbezogen werden sollen. 

5 Wählen Sie unter folgenden Möglichkeiten aus: 

• Nur auf Systemen installieren, auf denen noch kein Agent von diesem 

ePO-Server verwaltet wird 

• Benutzeroberfläche für Agenteninstallation nicht anzeigen 

• Installation über vorhandene Version erzwingen 

Diese Option ist nicht verfügbar, wenn Nur auf Systemen installieren, auf denen 

noch kein Agent von diesem ePO-Server verwaltet wird ausgewählt ist. 

HINWEIS: Das Erzwingen der Installation kann erforderlich werden, wenn ein neuer Agent 

Probleme verursacht und die frühere Version erneut installiert werden muss. Diese Option 

wird nur für das Ersetzen von Agenten durch ältere Versionen empfohlen. 

6 Übernehmen Sie den standardmäßigen Installationspfad, oder wählen Sie in der 

Dropdownliste einen aus. 

7 Geben Sie Anmeldeinformationen für Agenteninstallation mit Berechtigungen zum 

Zugriff auf die Systeme an. 

8 Klicken Sie auf OK, um das Agenteninstallationspaket an die ausgewählten Systeme zu 

senden. 

82 




Installieren des Agenten mit Anmeldeskripts 

Gehen Sie wie nachfolgend beschrieben vor, um Netzwerkanmeldeskripts zum Installieren des 

Agenten auf Systemen einzurichten und zu verwenden, die sich am Netzwerk anmelden. 

Die Verwendung von Netzwerkanmeldeskripts ist eine zuverlässige Methode, um sicherzustellen, 

dass auf jedem System, das sich am Netzwerk anmeldet, ein Agent ausgeführt wird. Sie können 

ein Anmeldeskript schreiben, mit dem eine Stapeldatei aufgerufen wird, die überprüft, ob der 

auf den Systemen installierte Agent versucht, sich am Netzwerk anzumelden. Wenn kein Agent 

vorhanden ist, kann er von der Stapeldatei installiert werden, bevor sich das System anmelden 

kann. Der Agent fordert innerhalb von zehn Minuten nach seiner Installation beim Server 

aktualisierte Richtlinien an, und das System wird zur Systemstruktur hinzugefügt. 

Diese Methode empfiehlt sich in folgenden Fällen: 

• Sortierungsfilter oder NT-Domänennamen werden den Segmenten in der Systemstruktur 

zugewiesen. 

• Sie haben bereits eine verwaltete Umgebung und möchten sicherstellen, dass neue Systeme, 

die sich am Netzwerk anmelden, verwaltet werden. 

• Sie haben bereits eine verwaltete Umgebung und möchten sicherstellen, dass auf den 

Systemen eine aktuelle Version des Agenten ausgeführt wird. 


Sie sollten zunächst die Segmente Ihrer Systemstruktur erstellen, die entweder 

Netzwerkdomänennamen oder Sortierungsfilter verwenden, mit denen die erwarteten Systeme 

zu den gewünschten Gruppen hinzugefügt werden. Wenn Sie dies nicht tun, werden alle Systeme 

der Sammelgruppe hinzugefügt, sodass Sie die Systeme später manuell verschieben müssen. 

Die Details des Anmeldeskripts hängen von Ihren Anforderungen ab. Informationen zum 

Schreiben von Anmeldeskripts finden Sie in der Dokumentation Ihres Betriebssystems. Bei den 

hier beschriebenen Schritten wird ein einfaches Beispiel verwendet. 



1 Kopieren Sie das Agenteninstallationspaket FRAMEPKG.EXE von Ihrem Server in einen 

freigegebenen Ordner auf dem Netzwerkserver, auf den alle Systeme zugreifen können. 

Systeme, die sich beim Netzwerk anmelden, werden an diesen Ordner weitergeleitet, damit 

sie bei ihrer Anmeldung das Agenteninstallationspaket ausführen und den Agenten 

installieren. 

Das Agenteninstallationspaket befindet sich standardmäßig an diesem Speicherort: 

C:\PROGRAMME\MCAFEE\EPO\DB\SOFTWARE\CURRENT\ePOAGENT3000\INSTALL\0409\FRAMEPKG.EXE 

2 Erstellen Sie ein benutzerdefiniertes Agenteninstallationspaket mit eingebetteten 

Anmeldeinformationen für einen Administrator. Diese Anmeldeinformationen werden 

benötigt, um den Agenten auf dem System zu installieren. 

3 Erstellen Sie eine Stapeldatei mit Befehlen, die Sie auf den Systemen ausführen möchten, 

wenn diese sich am Netzwerk anmelden. Die Inhalte dieser Stapeldatei können 

unterschiedlich sein. Sie richten sich nach Ihren Anforderungen, haben aber folgende 

Aufgabe: 

• Überprüfen, ob der Agent im angegebenen Verzeichnis installiert wurde 

• Ausführen der Datei FRAMEPKG.EXE, wenn der Agent noch nicht installiert ist 


83



Nachfolgend finden Sie ein Beispiel für eine Stapeldatei, mit der getestet wird, ob der Agent 

installiert ist. Falls nicht, wird der Agent mithilfe der Datei FRAMEPKG.EXE installiert. 

IF EXIST "C:\Windows\System32\ePOAgent\NAIMAS32.EXE" 

\\\\UPDATE$\FRAMEPKG.EXE /FORCEINSTALL /INSTALL=AGENT 

IF EXIST "C:\ePOAgent\FRAMEWORKSERVICE.EXE" GOTO END_BATCH 

\\EigenerServer\Agent\UPDATE$\FRAMEPKG.EXE /FORCEINSTALL /INSTALL=AGENT 

:END_BATCH 

HINWEIS: Je nachdem, welchen Agenteninstallationsort Sie festgelegt haben, sind die 

Installationsordner in Ihrer Verteilung möglicherweise nicht mit denjenigen in diesem 

Beispiel identisch. 

In diesem Beispiel überprüft die Stapeldatei Folgendes: 

• Den standardmäßigen Installationsort des älteren Agenten mit Version 2.5.1. Falls dieser 

vorhanden ist, wird eine Aktualisierung auf die Agentenversion 3.5 durchgeführt. 

• Den standardmäßigen Installationsordner des Agenten mit Version 3.5. Falls dieser nicht 

vorhanden ist, wird der neue Agent installiert. 

4 Speichern Sie die Stapeldatei EPO.BAT auf dem Server mit dem primären Domänencontroller 

(PDC) im Ordner NETLOGON$. Die Stapeldatei wird jedes Mal, wenn sich ein System am 

Netzwerk anmeldet, vom PDC ausgeführt. 

5 Fügen Sie dem Anmeldeskript, das die Stapeldatei auf dem PDC-Server aufruft, eine Zeile 

hinzu. Diese Zeile könnte zum Beispiel folgendermaßen aussehen: 

CALL \\PDC\NETLOGON$\EPO.BAT 

Jedes System, das sich beim Netzwerk anmeldet, führt das Skript aus und installiert den 

Agenten bei der Anmeldung. 

Manuelle Installation des Agenten 

Gehen Sie wie nachfolgend beschrieben vor, um das Installationsprogramm lokal auf einem 

System auszuführen. 

Diese Methode zur Installation von Agenten empfiehlt sich in folgenden Fällen: 

• In Ihrem Unternehmen muss Software manuell auf den Systemen installiert werden. 

• Sie möchten ePolicy Orchestrator nur für die Richtlinienverwaltung verwenden. 

• Sie haben Systeme mit Windows 95, Windows 98 oder Windows ME und möchten die Dateiund 

Druckerfreigabe auf diesen Systemen nicht aktivieren. 

• Sie haben beim Erstellen der Systemstruktursegmente Sortierungsfilter oder 

NT-Domänennamen zugeordnet. 

Sie können den Agenten auf dem System installieren oder das Installationsprogramm 

FRAMEPKG.EXE an die Benutzer verteilen, damit sie das Installationsprogramm selbst ausführen. 

Nach der Installation des Agenten meldet sich dieser beim Server und fügt das neue System in 

die Systemstruktur ein. 



1 Bringen Sie das Agenteninstallationspaket auf dem gewünschten System aus. 

Verteilen Sie die Datei des Agenteninstallationspakets an die Benutzer (mit lokalen 

Administratorrechten), wenn diese den Agenten auf ihren eigenen Systemen installieren 

84 




sollen. Sie können die Datei als E-Mail-Anlage versenden, auf ein Speichermedium kopieren 

oder in einem freigegebenen Netzwerkordner speichern. 

2 Doppelklicken Sie auf FRAMEPKG.EXE, und warten Sie einen Moment, während der Agent 

installiert wird. Der Agent meldet sich innerhalb von zehn Minuten zum ersten Mal beim 

ePO-Server. 

3 Umgehen Sie bei Bedarf das zehnminütige Intervall, indem Sie mithilfe der Befehlszeile 

CMDAGENT/P erzwingen, dass sich der Agent beim Server meldet. 

Aktivieren des Agenten auf unverwalteten McAfee-Produkten 

Gehen Sie wie nachfolgend beschrieben vor, um Agenten in vorhandenen McAfee-Produkten 

in Ihrer Umgebung zu aktivieren. 

Vor dem Kauf von ePolicy Orchestrator haben Sie möglicherweise schon andere McAfee 

Enterprise-Produkte in Ihrem Netzwerk verwendet. Bei einigen der neueren McAfee-Produkte, 

die das Aktualisierungsprogramm AutoUpdate verwenden (z. B. VirusScan Enterprise), ist der 

Agent nach der Installation deaktiviert. Um diese Produkte mit ePolicy Orchestrator zu verwalten, 

können Sie den Agenten aktivieren, der sich bereits auf dem System befindet. 

Wenn Sie den Agenten auf den einzelnen Systemen aktivieren, anstatt das 3,62 MB große 

Agenteninstallationspaket auszubringen, sparen Sie in erheblichem Umfang an 

Netzwerkbandbreite. 

HINWEIS: Sie können den Agenteninstallationsordner nicht ändern, ohne den Agenten zu 

entfernen und erneut zu installieren. Agenten, die Sie aktivieren, können sich in einem anderen 

Ordner befinden als Agenten, die Sie mithilfe einer anderen Methode im Netzwerk ausbringen. 

Durch das Zuordnen von Sortierungsfiltern oder NT-Domänennamen zu den gewünschten 

Systemstruktursegmenten sparen Sie wertvolle Zeit. 

Sie müssen die Repository-Listendatei SITELIST.XML vom ePO-Server auf die gewünschten 

Systeme kopieren. Die Repository-Liste enthält Netzwerkadressdaten, die der Agent benötigt, 

damit er sich nach der Installation beim Server melden kann. 



1 Exportieren Sie die Repository-Liste (Datei SITELIST.XML) von der Seite Master-Repository 

in einen temporären Ordner auf dem System, z. B. C:\TEMP. 

2 Führen Sie auf dem gewünschten System folgenden Befehl aus: 

FRMINST.EXE /INSTALL=AGENT /SITEINFO=C:\TEMP\SITELIST.XML 

/SITEINFO ist der Speicherort der Datei SITELIST.XML, die Sie exportiert haben. 

Verweisen Sie auf die Datei SITELIST.XML im temporären Ordner. Die Datei FRMINST.EXE 

ist standardmäßig am folgenden Speicherort installiert: 

C:\PROGRAMME\MCAFEE\COMMON FRAMEWORK 

HINWEIS: Vorhandene McAfee-Produkte wurden höchstwahrscheinlich mit einer älteren 

Version des Agenten installiert. Diese Agenten werden nicht automatisch auf die neueste 

Version aktualisiert, die sich auf dem ePO-Server befindet. Konfigurieren und aktivieren 

Sie einen Ausbringungstask, der die aktivierten Agenten auf den verwalteten Systemen 

aktualisiert, und führen Sie den Task aus. 


85



Installieren des Agenten auf einem Image 

Mit diesen Informationen können Sie den Agenten auf einem Image installieren. Wenn sich der 

Benutzer zum ersten Mal bei einem System anmeldet, das mit einem allgemeinen, den Agenten 

umfassenden Image angelegt wurde, wird dem System eine eindeutige ID zugewiesen, die als 

globale eindeutige Kennung (Global Unique Identifier, GUID) bezeichnet wird. 

VORSICHT: Bevor Sie ein Image zu diesem Zweck erstellen, löschen Sie den 

GUID-Registrierungswert des Agenten aus dem Registrierungsschlüssel des Agenten. Die GUID 

wird beim ersten ASKI mit dem ePO-Server generiert. 

Diese Methode empfiehlt sich in folgenden Fällen: 

• Ihr Unternehmen verwendet standardisierte Installations-Images für neue Systeme. 

• Auf einige Systeme in Ihrer Umgebung haben Sie nur Zugriff, wenn sie zur Reparatur gebracht 

werden. 

Anweisungen hierzu finden Sie in der Dokumentation des von Ihnen bevorzugten Produkts für 

die Image-Erstellung. 

Verwenden anderer Ausbringungsprodukte 

Möglicherweise verwenden Sie bereits andere Netzwerkprodukte zum Ausbringen von Software. 

Sie können die Agenten mit vielen dieser Tools ausbringen, z. B. Microsoft Systems Management 

Server (SMS), IBM Tivoli oder Novell ZENworks. Konfigurieren Sie das Bereitstellungsprodukt 

Ihrer Wahl so, dass es das Agenteninstallationspaket FRAMEPKG.EXE verteilt, das sich auf dem 

ePO-Server befindet. 

Entsprechende Anweisungen finden Sie in der Dokumentation des gewünschten 

Bereitstellungsprodukts. 

Verteilen des Agenten auf WebShield Appliances und Novell 

NetWare-Servern 

Mit ePolicy Orchestrator können Sie keine Agenten auf WebShield ® Appliances oder Novell 

NetWare-Server ausbringen. Verwenden Sie stattdessen ein Anmeldeskript oder eine manuelle 

Installation. 

Für diese Systeme sind andere Agenten erforderlich, die auf der McAfee-Website zum Download 

zur Verfügung stehen. Diese Agenteninstallationspakete sind standardmäßig nicht auf dem 

ePO-Server installiert. 

Ausführliche Informationen hierzu finden Sie in der Produktdokumentation. 


Gehen Sie wie nachfolgend beschrieben vor, um zu erzwingen, dass sich der Agent sofort beim 

ePO-Server meldet. Sie können diesen Vorgang auf jedem System durchführen, auf dem ein 

Agent installiert ist. Dies ist nützlich, wenn Sie einen Agenten manuell installiert haben. 



86 




1 Öffnen Sie auf dem System, auf dem Sie gerade den Agenten installiert haben, ein 

DOS-Befehlsfenster. Wählen Sie dazu Start | Ausführen aus, geben command ein und 

drücken die EINGABETASTE. 

2 Wechseln Sie im Befehlsfenster zum Installationsordner des Agenten, der die Datei 

CMDAGENT.EXE enthält. 

3 Geben Sie den folgenden Befehl ein: 

CMDAGENT /P 

4 Drücken Sie die EINGABETASTE. Der Agent meldet sich sofort beim Server zurück. 

Wenn sich der Agent zum ersten Mal beim Server meldet, wird das System als verwaltetes 

System zur Systemstruktur hinzugefügt. Wenn Sie die kriterienbasierte Sortierung für die 

Systemstruktur konfiguriert haben, wird das System an dem Speicherort hinzugefügt, der seiner 

IP-Adresse oder seinen Tags entspricht. Andernfalls wird das System zur Sammelgruppe 

hinzugefügt. Sobald das System der Systemstruktur hinzugefügt wurde, können Sie seine 

Richtlinien über ePolicy Orchestrator verwalten. 


Gehen Sie wie nachfolgend beschrieben vor, um ein Upgrade vorhandener Agenten in Ihrer 

Umgebung durchzuführen. 

Wenn Sie bereits mit einer älteren Version von ePolicy Orchestrator gearbeitet und frühere 

Versionen des Agenten in Ihrem Netzwerk haben, können Sie diese Agenten nach der Installation 

des ePO-Servers aktualisieren. Die Vorgehensweise für die Installation hängt davon ab, welche 

ältere Agentenversion bereits auf den verwalteten Systemen ausgeführt wird. 

HINWEIS: Einige frühere Agentenversionen sind in ePolicy Orchestrator 4.0 nicht voll 

funktionsfähig. Um den vollen Funktionsumfang nutzen zu können, müssen Sie den Agenten 

auf Version 3.6 Patch 1 oder höher aktualisieren. 

Aufgaben 

Upgrade von Agenten mithilfe von Anmeldeskripts oder über eine manuelle Installation 

Upgrade von Agenten mit ePolicy Orchestrator 

Upgrade von Agenten mithilfe von Anmeldeskripts oder über 

eine manuelle Installation 

Wenn Sie Agenten oder Produkte nicht mithilfe von ePolicy Orchestrator auf verwalteten 

Systemen ausbringen, können Sie die von Ihnen bevorzugte Verteilungsmethode verwenden, 

um ein Upgrade vorhandener Agenten durchzuführen. Ein Upgrade von Agenten ohne ePolicy 

Orchestrator (z. B. manuell oder mit Netzwerkanmeldeskripts) verläuft genauso wie die erstmalige 

Installation von Agenten. Sie müssen die Installationsdatei FRAMEPKG.EXE verteilen und mithilfe 

der von Ihnen bevorzugten Methode im System starten. 

Upgrade von Agenten mit ePolicy Orchestrator 

Gehen Sie wie nachfolgend beschrieben vor, um mithilfe des Clienttasks für Produktausbringung 

ein Upgrade vorhandener Agenten durchzuführen. Diese Vorgehensweise bietet eine bessere 

Kontrolle darüber, wo und wann das Upgrade durchgeführt wird. Dabei handelt es sich um 


87



denselben Ausbringungstask, mit dem Produkte wie VirusScan Enterprise auf Systemen 

ausgebracht werden können, auf denen bereits Agenten ausgeführt werden. 

Informationen zu empfohlenen Vorgehensweisen 

Mithilfe des Ausbringungstasks können Sie Agenten aktualisieren. McAfee veröffentlicht in 

regelmäßigen Abständen neuere Agentenversionen. Sie können diese neueren Versionen des 

Agenten mit ePolicy Orchestrator ausbringen und verwalten. Sobald das 

Agentenausbringungspaket verfügbar ist, können Sie es von der McAfee-Aktualisierungsseite 

herunterladen und in das Master-Repository einchecken. Verwenden Sie danach den 

Ausbringungstask zum Aktualisieren der Agenten. 

VORSICHT: Das Upgrade des Agenten mithilfe des Ausbringungstasks ist nicht mit dem 

Aktualisieren eines vorhandenen Agenten mithilfe des Client-Aktualisierungstasks vergleichbar. 

Wenn Sie ein Upgrade eines Agenten durchführen, wird eine neue Version des Agenten über 

eine ältere Version installiert. Dies ist zum Beispiel der Fall, wenn Sie den Agenten der Version 3.6 

über den Agenten der Version 3.0 installieren. Mit dem Aktualisierungstask wird eine bereits 

vorhandene Version des Agenten mit zusätzlichen Aktualisierungen wie DAT-Dateien oder 

Patches oder auf eine neue Agentenversion aktualisiert, z. B. von Version 3.0.1 auf Version 3.0.2. 



1 Vergewissern Sie sich, dass das gewünschte Agentenausbringungspaket in das 

Master-Software-Repository eingecheckt ist. 

2 Wechseln Sie zu Systeme | Systemstruktur | Clienttasks, und wählen Sie dann einen 

Teil der Systemstruktur aus, für den Sie ein Upgrade des Agenten durchführen möchten. 

3 Klicken Sie auf Neuer Task. Die Seite Beschreibung des Assistenten 

Clienttask-Generator wird angezeigt. 

4 Benennen Sie den Task, wählen Sie in den Dropdownlisten Produktausbringung (McAfee 

Agent) aus, und klicken Sie anschließend auf Weiter. Die Seite Konfiguration wird 

angezeigt. 

5 Wählen Sie in der Dropdownliste die Agentenversion aus. 

6 Wählen Sie in der Dropdownliste Aktion den Eintrag Installieren aus. 

7 Fügen Sie Befehlszeilenoptionen hinzu. 

8 Wählen Sie aus, ob der Task bei jedem Richtlinienumsetzungsintervall ausgeführt werden 

soll. 

9 Wählen Sie aus, ob ein Aktualisierungstask nach erfolgreichen Ausbringungen ausgeführt 

werden soll, und klicken Sie anschließend auf Weiter. 




Der Task wird überall dort zur Liste von Clienttasks hinzugefügt, wo er in der Systemstruktur 

zugewiesen wurde. 

88 





Gehen Sie wie nachfolgend beschrieben vor, um Agenten von Systemen zu entfernen. 

HINWEIS: Mit dem Produktausbringungstask können Sie keine Agenten entfernen, sondern nur 

Produkte wie VirusScan Enterprise. 

Aufgaben 

Ausführen von FRMINST.EXE über eine Befehlszeile 

Entfernen von Agenten beim Löschen von Systemen in der Systemstruktur 

Entfernen von Agenten beim Löschen von Gruppen aus der Systemstruktur 

Entfernen von Agenten von Systemen in Abfrageergebnissen 

Ausführen von FRMINST.EXE über eine Befehlszeile 

Gehen Sie wie nachfolgend beschrieben vor, um Agenten über eine Befehlszeile zu entfernen. 


• Führen Sie das Agenteninstallationsprogramm (FRMINST.EXE) mit der Befehlszeilenoption 

/REMOVE=AGENT aus. Der Standardspeicherort für diese Datei ist: 


Entfernen von Agenten beim Löschen von Systemen in der 


Gehen Sie wie nachfolgend beschrieben vor, um Agenten von Systemen zu entfernen, die Sie 

aus der Systemstruktur löschen. 



1 Wechseln Sie zu Systeme | Systemstruktur | Systeme, und wählen Sie dann unter 

Systemstruktur die Gruppe mit den zu löschenden Systemen aus. 

2 Wählen Sie die Systeme in der Liste aus, und klicken Sie unten auf der Seite auf Löschen. 

(Möglicherweise müssen Sie zuvor auf Weitere Aktionen klicken.) 

3 Aktivieren Sie im Bereich Aktion das Kontrollkästchen Agenten entfernen, und klicken 

Sie anschließend auf OK. 

Die ausgewählten Systeme werden aus der Systemstruktur gelöscht, und ihre Agenten werden 

bei der nächsten Agent-zu-Server-Kommunikation entfernt. 

Entfernen von Agenten beim Löschen von Gruppen aus der 


Gehen Sie wie nachfolgend beschrieben vor, um Agenten von allen Systemen in einer Gruppe 

zu entfernen, die Sie aus der Systemstruktur löschen. 

VORSICHT: Wenn Sie eine Gruppe löschen, werden alle untergeordneten Gruppen und Systeme 

ebenfalls gelöscht. Wenn Sie beim Löschen von Systemen das Kontrollkästchen Agent von 


89



allen Systemen entfernen aktivieren, entfernt ePolicy Orchestrator die Agenten von allen 

untergeordneten Systemen. 



1 Wechseln Sie zu Systeme | Systemstruktur | Gruppe, und wählen Sie dann unter 

Systemstruktur die gewünschte Gruppe aus. 

2 Klicken Sie unten auf der Seite auf Gruppe löschen. (Möglicherweise müssen Sie zuvor 

auf Weitere Aktionen klicken.) Das Dialogfeld Gruppe löschen wird angezeigt. 

3 Wählen Sie Agent von allen Systemen entfernen aus, und klicken Sie anschließend 

auf OK. 

Die ausgewählten Systeme werden aus der Systemstruktur gelöscht, und ihre Agenten werden 

bei der nächsten Agent-zu-Server-Kommunikation entfernt. 

Entfernen von Agenten von Systemen in Abfrageergebnissen 

Gehen Sie wie nachfolgend beschrieben vor, um Agenten von Systemen zu entfernen, die in 

den Ergebnissen von Abfragen aufgelistet werden (z. B. bei der Abfrage "Zusammenfassung 

Agentenversion"). 



1 Führen Sie die gewünschte Abfrage aus. 

2 Wählen Sie Systeme in den Abfrageergebnissen aus, und klicken Sie unten auf der Seite 

auf Löschen. 

3 Klicken Sie auf der Seite Aktion auf Ja, um zu bestätigen, dass Sie den Agenten entfernen 

möchten. 

Der Agent wird bei der nächsten Agent-zu-Server-Kommunikation deinstalliert. 


Gehen Sie wie nachfolgend beschrieben vor, um sicherzustellen, dass die Agenten in Ihrer 

Umgebung auf dem neuesten Stand sind und erwartungsgemäß arbeiten. Möglicherweise 

müssen Sie diese Aufgaben regelmäßig ausführen. 

Aufgaben 

Senden von manuellen Reaktivierungen an Systeme 

Senden von manuellen Reaktivierungen an eine Gruppe 

Senden von geplanten Reaktivierungen 

Anzeigen des Agentenaktivitätsprotokolls 

Anzeigen der Agenten- und Produkteigenschaften 

Ausführen von Agententasks auf dem verwalteten System 

Arbeiten mit Sicherheitsschlüsseln 

90 




Senden von manuellen Reaktivierungen an Systeme 

Gehen Sie wie nachfolgend beschrieben vor, um manuell Agenten- oder 

SuperAgent-Reaktivierungen an Systeme in der Systemstruktur zu senden. Dies ist nützlich, 

wenn Sie Richtlinien ändern und die Agenten eine Aktualisierung anfordern sollen. 


Vergewissern Sie sich vor dem Senden der Agentenreaktivierung an Systeme, dass die 

Reaktivierungsunterstützung für die Gruppen der Systeme auf den McAfee Agent-Richtlinienseiten 

auf der Registerkarte Allgemein aktiviert und festgelegt wurde (standardmäßig aktiviert). 




Gruppe mit den Systemen aus. 

2 Wählen Sie in der Liste die Systeme aus, und klicken Sie auf Agenten reaktivieren. Die 

Seite McAfee Agent reaktivieren wird angezeigt. 

HINWEIS: Möglicherweise müssen Sie auf Weitere Aktionen klicken, um diese Aktion 

anzuzeigen. 

Abbildung 17: Seite "McAfee Agent reaktivieren" 

3 Vergewissern Sie sich, dass sich die Systeme neben Zielsysteme angezeigt werden. 

4 Legen Sie neben Reaktivierungstyp fest, ob eine Agentenreaktivierung oder eine 

SuperAgent-Reaktivierung gesendet werden soll. 

5 Übernehmen Sie den Standardwert, oder geben Sie ein anderes Intervall für den 

Zufallsgenerator ein (0 – 60 Minuten). Überlegen Sie genau, wie viele Systeme die 

Reaktivierung empfangen und wie viel Bandbreite verfügbar ist. Wenn Sie 0 eingeben, 

reagieren die Agenten sofort. 

6 Bei der regulären Kommunikation sendet der Agent nur die Eigenschaften, die sich seit der 

letzten Agent-zu-Server-Kommunikation geändert haben. Dieser Task ist standardmäßig 

auf Vollständige Produkteigenschaften abrufen eingestellt. Um die vollständigen 

Eigenschaften infolge dieser Reaktivierung zu senden, muss diese Option ausgewählt sein. 

7 Klicken Sie auf OK, um die Agenten- oder SuperAgent-Reaktivierung zu senden. 


91



Senden von manuellen Reaktivierungen an eine Gruppe 

Gehen Sie wie nachfolgend beschrieben vor, um manuell Agenten- oder 

SuperAgent-Reaktivierungen an eine Systemstrukturgruppe zu senden. Dies ist nützlich, wenn 

Sie Richtlinien geändert haben und die Agenten eine Aktualisierung anfordern sollen. 


Vergewissern Sie sich vor dem Senden der Agentenreaktivierung an eine Gruppe, dass die 

Reaktivierungsunterstützung für die Gruppe auf den McAfee Agent-Richtlinienseiten auf der 

Registerkarte Allgemein aktiviert und festgelegt wurde (standardmäßig aktiviert). 



1 Wechseln Sie zu Systeme | Systemstruktur | Gruppe, und wählen Sie dann unter 

Systemstruktur die Gruppe aus. 

2 Klicken Sie auf Agenten reaktivieren. Die Seite McAfee Agent reaktivieren wird 

angezeigt. 

HINWEIS: Möglicherweise müssen Sie auf Weitere Aktionen klicken, um diese Aktion 

anzuzeigen. 

3 Vergewissern Sie sich, dass die Gruppe neben Zielgruppe angezeigt wird. 

4 Wählen Sie aus, ob eine Agentenreaktivierung Allen Systemen in dieser Gruppe oder 

Allen Systemen in dieser Gruppe und Untergruppen gesendet werden soll. 

5 Wählen Sie neben Reaktivierungstyp aus, ob eine Agentenreaktivierung oder eine 

SuperAgent-Reaktivierung gesendet werden soll. 

6 Übernehmen Sie den Standardwert, oder geben Sie ein anderes Intervall für den 

Zufallsgenerator ein (0 – 60 Minuten). Wenn Sie 0 eingeben, reagieren die Agenten 

sofort. 

7 Bei der regulären Kommunikation sendet der Agent nur die Eigenschaften, die sich seit der 

letzten Agent-zu-Server-Kommunikation geändert haben. Dieser Task ist standardmäßig 

auf Vollständige Produkteigenschaften abrufen eingestellt. Um die vollständigen 

Eigenschaften infolge dieser Reaktivierung zu senden, muss diese Option ausgewählt sein. 

8 Klicken Sie auf OK, um die Agenten- oder SuperAgent-Reaktivierung zu senden. 

Senden von geplanten Reaktivierungen 

Gehen Sie wie nachfolgend beschrieben vor, um eine geplante Agentenreaktivierung zu erstellen. 

HINWEIS: SuperAgent-Reaktivierungen können nicht geplant werden. 



1 Wechseln Sie zu System | Systemstruktur | Clienttasks, und wählen Sie aus, an 

welche Gruppe oder Systeme die Agentenreaktivierung gesendet werden soll. 

2 Klicken Sie auf Neuer Task. Die Seite Beschreibung des Assistenten 


92 




3 Benennen Sie den Task, wählen Sie in der Dropdownliste Agentenreaktivierung (McAfee 

Agent) aus, und klicken Sie anschließend auf Weiter. Die Seite Konfiguration wird 

angezeigt. 

4 Legen Sie fest, ob die reaktivierten Agenten vollständige oder minimale Eigenschaften 

senden sollen, und klicken Sie anschließend auf Weiter. 




Nach Abschluss des Vorgangs wird der geplante Task auf der Registerkarte Clienttasks für 

die ausgewählte Systemstrukturgruppe in der Liste der verfügbaren Tasks angezeigt. Wenn der 

Task aktiviert wird, wird er auf Systemen, die den Task erhalten haben, zum nächsten geplanten 

Zeitpunkt ausgeführt. Um zu gewährleisten, dass alle gewünschten Systeme über die 

Taskinformationen verfügen, senden Sie eine manuelle Reaktivierung an die Systeme. 

Anzeigen des Agentenaktivitätsprotokolls 

Gehen Sie wie nachfolgend beschrieben vor, um das Agentenaktivitätsprotokoll anzuzeigen. 

Das Agentenaktivitätsprotokoll zeichnet die Aktivitäten eines Agenten auf. Die Detailebene der 

Protokollierung richtet sich nach den Richtlinieneinstellungen, die Sie auf den McAfee 

Agent-Richtlinienseiten auf der Registerkarte Protokollieren ausgewählt haben. 

Diese Protokolldateien können im verwalteten System oder über die Konsole angezeigt werden. 

Aufgaben 

Anzeigen des Agentenaktivitätsprotokolls auf dem verwalteten System 

Anzeigen des Agentenaktivitätsprotokolls auf dem ePO-Server 

Anzeigen des Agentenaktivitätsprotokolls auf dem verwalteten System 

Gehen Sie wie nachfolgend beschrieben vor, um das Agentenaktivitätsprotokoll in dem 

verwalteten System anzuzeigen, auf dem der Agent installiert ist. 


Definitionen zu den Optionen erhalten Sie, wenn Sie auf der Seite mit den Optionen auf ? 

klicken. 

1 Klicken Sie mit der rechten Maustaste auf das Agentensymbol in der Taskleiste. 

HINWEIS: Das Agentensymbol steht nur dann in der Taskleiste zur Verfügung, wenn auf 

den McAfee Agent-Richtlinienseiten auf der Registerkarte Allgemein die Option 

McAfee-Symbol in der Taskleiste anzeigen (nur Windows) ausgewählt ist. Aktivieren 

Sie diese Option, falls das Symbol nicht angezeigt wird. Nachdem Sie die Inhalte der 

Protokolldatei geprüft haben, können Sie das Symbol wieder ausblenden, indem Sie die 

Option deaktivieren und diese Änderung anwenden. 

2 Wählen Sie im Menü die Option Statusmonitor aus. Im Statusmonitor wird das 

Agentenaktivitätsprotokoll angezeigt. 

3 Schließen Sie nach Abschluss des Vorgangs den Statusmonitor. 


93



Anzeigen des Agentenaktivitätsprotokolls auf dem ePO-Server 

Gehen Sie wie nachfolgend beschrieben vor, um das Agentenaktivitätsprotokoll eines Systems 

auf dem Server anzuzeigen. 




System aus. 

2 Klicken Sie auf Agentenprotokoll anzeigen. 

3 Klicken Sie auf Vorherige, um die Sicherungskopie des detaillierten Protokolls 

"FrameSvc.exe" oder "NaPrdMgr.exe" anzuzeigen. 

HINWEIS: Obwohl die Remoteanzeige von Protokolldateien standardmäßig aktiviert ist, 

können Sie sie für die Protokolldatei deaktivieren. Falls die Remoteanzeige des Protokolls 

nicht möglich ist, prüfen Sie, ob auf den McAfee Agent-Richtlinienseiten auf der Registerkarte 

Protokollieren die Option Remotezugriff auf Protokoll aktivieren aktiviert ist. 

Anzeigen der Agenten- und Produkteigenschaften 

Gehen Sie wie nachfolgend beschrieben vor, um sicherzustellen, dass die Eigenschaften mit 

den durchgeführten Richtlinienänderungen übereinstimmen. Dies ist bei der Fehlerbehebung 

hilfreich. Welche Eigenschaften verfügbar sind, hängt davon ab, ob Sie auf den McAfee 

Agent-Richtlinienseiten das Senden vollständiger oder minimaler Eigenschaften ausgewählt 

haben. 




System aus. 

2 Klicken Sie in der Liste auf das System. Es werden die Eigenschaften des Systems, der 

installierten Produkte und des Agenten angezeigt. 

Ausführen von Agententasks auf dem verwalteten System 

Gehen Sie wie nachfolgend beschrieben vor, um ausgewählte Tasks auf dem System auszuführen, 

auf dem der Agent installiert ist. 

Auf dem verwalteten System mit dem Agenten können Sie einige der Agentenfunktionen anzeigen 

und verwalten. 

HINWEIS: Die Benutzeroberfläche des Agenten steht nur dann auf dem verwalteten System 

zur Verfügung, wenn auf den McAfee Agent-Richtlinienseiten auf der Registerkarte Allgemein 

die Option zum Anzeigen des McAfee-Symbols in der Taskleiste aktiviert ist. 

Aufgaben 

Manuelles Ausführen einer Aktualisierung 

Senden vollständiger Eigenschaften an den ePO-Server 

Sofortiges Senden von Ereignissen an den ePO-Server 

94 




Aktualisieren von Richtlinien 

Erzwingen von Richtlinien 

Anzeigen von Agenteneinstellungen 

Anzeigen von Agenten- und Produktversionsnummern 

Manuelles Ausführen einer Aktualisierung 

Gehen Sie wie nachfolgend beschrieben vor, um eine Aktualisierung auf dem verwalteten System 

auszuführen. 


1 Klicken Sie mit der rechten Maustaste auf das McAfee-Symbol in der Taskleiste. 

2 Wählen Sie McAfee Agent | Jetzt aktualisieren aus. Der Agent führt eine Aktualisierung 

aus dem in der Agentenrichtlinie festgelegten Repository aus. 

Zu den Produktaktualisierungen gehören: 

• Veröffentlichte Patches 

• Plug-In-Dateien für frühere Produkte (DLL-Dateien) 

• Veröffentlichte Service Packs 

• SuperDAT-Pakete (SDAT*.EXE-Dateien) 

• Ergänzende Virusdefinitionsdateien (EXTRA.DAT) 

• Virusdefinitionsdateien (DAT) 

Senden vollständiger Eigenschaften an den ePO-Server 

Gehen Sie wie nachfolgend beschrieben vor, um vollständige Eigenschaften vom verwalteten 

System zum Server zu senden. 


1 Klicken Sie mit der rechten Maustaste auf das McAfee-Symbol in der Taskleiste des 

verwalteten Systems, und wählen Sie dann McAfee Agent | Statusmonitor aus. Das 

Dialogfeld McAfee Agent – Statusmonitor wird angezeigt. 

2 Klicken Sie auf Eigenschaften erfassen und senden. 

Sofortiges Senden von Ereignissen an den ePO-Server 

Gehen Sie wie nachfolgend beschrieben vor, um Ereignisse vom verwalteten System sofort zum 

Server zu senden. 



verwalteten Systems, und wählen Sie dann McAfee Agent | Statusmonitor aus. Das 


2 Klicken Sie auf Ereignisse senden. 


95



Aktualisieren von Richtlinien 

Gehen Sie wie nachfolgend beschrieben vor, um den Agenten auf dem verwalteten System zu 

veranlassen, aktualisierte Richtlinieneinstellungen beim Server anzufordern. 



gewünschten Systems, und wählen Sie dann McAfee Agent | Statusmonitor aus. Das 


2 Klicken Sie auf Neue Richtlinien prüfen. 

Erzwingen von Richtlinien 

Gehen Sie wie nachfolgend beschrieben vor, damit der Agent alle konfigurierten Richtlinien auf 

dem verwalteten System erzwingt. 



gewünschten Systems, und wählen Sie dann McAfee Agent | Statusmonitor aus. Das 


2 Klicken Sie auf Richtlinien erzwingen. 

Anzeigen von Agenteneinstellungen 

Gehen Sie wie nachfolgend beschrieben vor, um die Agenteneinstellungen auf dem verwalteten 

System anzuzeigen. 



verwalteten Systems. 

2 Wählen Sie McAfee Agent | Einstellungen aus. 

Zu den Agenteneinstellungen gehören: 

• Agenten-ID (GUID) 

• Systemname 

• Benutzername des angemeldeten Benutzers 

• Richtlinienumsetzungsintervall 

• ASKI 

Anzeigen von Agenten- und Produktversionsnummern 

Gehen Sie wie nachfolgend beschrieben vor, um die Agenten- und Produktversionsnummern 

auf dem verwalteten System anzuzeigen. Dieser Schritt hilft beim Beheben von Problemen, die 

beim Installieren neuer Agentenversionen auftreten, oder wenn Sie sich davon überzeugen 

möchten, dass die Version des installierten Agenten mit der Version identisch ist, die in den 

Agenteneigenschaften auf dem Server angezeigt wird. 


1 Klicken Sie mit der rechten Maustaste auf das McAfee-Symbol in der Taskleiste. 

96 




2 Wählen Sie McAfee Agent | Info aus. 

Arbeiten mit Sicherheitsschlüsseln 

Gehen Sie wie nachfolgend beschrieben vor, um mit Sicherheitsschlüsseln zu arbeiten und sie 

zu verwalten. 

Aufgaben 

Verwenden von ASSC-Schlüsseln in Umgebungen mit mehreren Servern 

Generieren und Verwenden neuer ASSC-Schlüssel 

Exportieren von ASSC-Schlüsseln, damit Agenten auf mehrere ePO-Server zugreifen können 

Anzeigen von Systemen, die ein ASSC-Schlüsselpaar verwenden 

Festlegen eines ASSC-Schlüsselpaares als Master 

Löschen von ASCC-Schlüsseln 

Verwenden von Schlüsseln für das Master-Repository in Umgebungen mit mehreren Servern 

Sichern und Wiederherstellen von Sicherheitsschlüsseln 

Verwenden von ASSC-Schlüsseln in Umgebungen mit mehreren Servern 

Gehen Sie wie nachfolgend beschrieben vor, um sicherzustellen, dass alle Agenten mit jedem 

erforderlichen Server in der Umgebung kommunizieren können. 

In früheren Versionen von ePolicy Orchestrator durften Agenten zwischen mehreren ePO-Servern 

innerhalb eines Unternehmens einfach wechseln. Durch das Importieren von ASSC-Schlüssel 

in andere ePO-Server können Agenten ab der Version 3.6, die von einem ePO-Quellserver 

verwaltet werden, erfolgreich mit diesen anderen ePO-Servern kommunizieren. 

Zwei Strategien stellen sicher, dass Agenten mit mehreren Servern kommunizieren können. Sie 

können ein gemeinsames ASSC-Hauptschlüsselpaar für alle ePO-Server verwenden oder für 

jeden ePO-Server ein anderes ASSC-Hauptschlüsselpaar verwenden und jeden Server über die 

Schlüssel der anderen Server informieren. 

Aufgaben 

Verwenden desselben ASSC-Schlüsselpaares für alle Server und Agenten 

Verwenden eines anderen ASSC-Schlüsselpaares für jeden ePO-Server 

Verwenden desselben ASSC-Schlüsselpaares für alle Server und Agenten 

Gehen Sie wie nachfolgend beschrieben vor, um sicherzustellen, dass alle ePO-Server und 

Agenten mit demselben ASSC-Schlüsselpaar arbeiten. 



1 Exportieren Sie die gewünschten ASSC-Schlüssel vom gewünschten ePO-Server. 

2 Importieren Sie die ASSC-Schlüssel auf allen anderen Servern. 

3 Legen Sie den importierten Schlüssel auf allen Servern als Master fest. 

4 Führen Sie einen Agenten-Aktualisierungstask aus, damit die neuen Schlüssel sofort von 

allen Agenten verwendet werden. 


97



5 Wenn alle Agenten mit den neuen Schlüsseln arbeiten, können Sie die nicht mehr 

verwendeten Schlüssel löschen. 

6 Sichern Sie alle Schlüssel. 

Verwenden eines anderen ASSC-Schlüsselpaares für jeden ePO-Server 

Gehen Sie wie nachfolgend beschrieben vor, damit in einer Umgebung, in der jeder ePO-Server 

ein eindeutiges ASSC-Schlüsselpaar haben muss, alle Agenten mit jedem erforderlichen Server 

kommunizieren können. 

Sie können dies sicherstellen, indem Sie die erforderlichen Schlüsselpaare auf allen Servern 

importieren, mit denen die Agenten möglicherweise kommunizieren werden. 



1 Exportieren Sie das ASSC-Hauptschlüsselpaar von jedem ePO-Server in Ihrer Umgebung. 

2 Importieren Sie auf jedem Server jedes dieser Schlüsselpaare. 

Generieren und Verwenden neuer ASSC-Schlüssel 

Gehen Sie wie nachfolgend beschrieben vor, um neue ASSC-Schlüssel zu generieren. Wenn Sie 

feststellen, dass ein Schlüssel kompromittiert wurde, müssen Sie einen neuen Schlüssel 

generieren. Sie sollten in regelmäßigen Abständen (z. B. alle drei Monate) neue ASSC-Schlüssel 

erstellen und verwenden. 


Definitionen zu Optionen erhalten Sie, wenn Sie auf der Seite, auf der die Optionen angezeigt 

werden, auf ? klicken. 


Liste Kategorien festlegen den Eintrag Sicherheitsschlüssel aus. 

2 Klicken Sie im Detailbereich auf Bearbeiten. Die Seite Sicherheitsschlüssel: Bearbeiten 


3 Klicken Sie neben der Liste Schlüssel für die sichere Agent-zu-Server-Kommunikation 

auf Neuer Schlüssel. 

4 Wenn der neue Schlüssel von Agenten verwendet werden soll, wählen Sie den Schlüssel 

in der Liste aus, und klicken Sie dann auf Als Master festlegen. 

Agenten ab der Version 3.6 verwenden den neuen Schlüssel nach Abschluss ihres nächsten 

Aktualisierungstasks bei der ersten Kommunikation mit dem Server. 

5 Löschen Sie den alten Schlüssel erst dann, wenn er von keinem Agenten mehr verwendet 

wird. 

Rechts von jedem Schlüssel in der Liste wird angezeigt, von wie vielen Agenten er gerade 

verwendet wird. 


98 




Exportieren von ASSC-Schlüsseln, damit Agenten auf mehrere ePO-Server 

zugreifen können 

Gehen Sie wie nachfolgend beschrieben vor, um Schlüssel für die sichere 

Agent-zu-Server-Kommunikation zu exportieren, damit sie von anderen ePO-Servern in Ihrer 

Umgebung verwendet werden können. 




Liste Kategorien festlegen den Eintrag Sicherheitsschlüssel aus. 

2 Klicken Sie im Detailbereich auf Bearbeiten. 

3 Wählen Sie in der Liste Schlüssel für die sichere Agent-zu-Server-Kommunikation 

den gewünschten Schlüssel aus, und klicken Sie dann auf Exportieren. Das Dialogfeld 

Schlüssel für die sichere Agent-zu-Server-Kommunikation exportieren wird 

angezeigt. 

4 Klicken Sie auf OK. Das Dialogfeld Dateidownload wird angezeigt. 

5 Klicken Sie auf Speichern, und wechseln Sie dann zu dem Speicherort, an dem die ZIP-Datei 

gespeichert werden soll. 

6 Ändern Sie den Namen der Datei nach Bedarf, und klicken Sie dann auf Speichern. 

Anzeigen von Systemen, die ein ASSC-Schlüsselpaar verwenden 

Gehen Sie wie nachfolgend beschrieben vor, um die Systeme anzuzeigen, deren Agenten ein 

bestimmtes ASSC-Schlüsselpaar aus der Liste Schlüssel für die sichere 

Agent-zu-Server-Kommunikation verwenden. Möglicherweise möchten Sie die Systeme 

anzeigen, die nach wie vor das vorherige Schlüsselpaar verwenden, nachdem Sie ein anderes 

Schlüsselpaar als Master festgelegt haben. Löschen Sie ein Schlüsselpaar erst dann, wenn Sie 

wissen, dass es von keinen Agenten mehr verwendet wird. 




Kategorien festlegen den Eintrag Sicherheitsschlüssel aus, und klicken Sie dann auf 

Bearbeiten. 


den gewünschten Schlüssel aus, und klicken Sie dann auf Agenten anzeigen. 

Die Seite Systeme, die diesen Schlüssel verwenden wird angezeigt. Die Seite enthält eine 

normale Tabelle, in der alle Systeme aufgeführt sind, deren Agenten die ausgewählten Schlüssel 

verwenden. Klicken Sie auf ein beliebiges System in der Liste, um dessen Details anzuzeigen, 

oder aktivieren Sie neben den gewünschten Systemen die Kontrollkästchen, um an dem System 

eine der unterhalb der Tabelle verfügbaren Aktionen durchzuführen. 

Festlegen eines ASSC-Schlüsselpaares als Master 

Gehen Sie wie nachfolgend beschrieben vor, um ein anderes Schlüsselpaar aus der Liste 

Schlüssel für die sichere Agent-zu-Server-Kommunikation als Master festzulegen. Führen 

Sie dies nach dem Importieren oder Generieren eines neuen Schlüsselpaares durch. 


99



Legen Sie das Schlüsselpaar für ältere Versionen nur dann als Master fest, wenn sich in Ihrer 

Umgebung keine Agenten der Version 3.6 oder höher befinden. Neuere Versionen können das 

Schlüsselpaar für ältere Versionen nicht verwenden. 





Bearbeiten. 


den gewünschten Schlüssel aus, und klicken Sie dann auf Als Master festlegen. 

3 Erstellen Sie für die Agenten nach Bedarf einen Aktualisierungstask, der sofort ausgeführt 

wird, damit die Agenten nach der nächsten Agent-zu-Server-Kommunikation aktualisiert 

werden. 

HINWEIS: Bevor Sie das vorherige Hauptschlüsselpaar in der Liste löschen, müssen Sie 

warten, bis alle Agenten das neue Hauptschlüsselpaar verwenden. Agenten beginnen das 

neue Schlüsselpaar zu verwenden, sobald der nächste Aktualisierungstask für den jeweiligen 

Agenten abgeschlossen ist. Sie können jederzeit sehen, von welchen Agenten 

ASSC-Schlüsselpaare in der Liste verwendet werden. 


Löschen von ASCC-Schlüsseln 

Gehen Sie wie nachfolgend beschrieben vor, um nicht verwendete ASSC-Schlüssel in der Liste 

Schlüssel für die sichere Agent-zu-Server-Kommunikation zu löschen. 

VORSICHT: Löschen Sie keine Schlüssel, die gerade von Agenten verwendet werden. Andernfalls 

können diese Agenten nicht mit dem Server kommunizieren. 





Bearbeiten. 


den gewünschten Schlüssel aus, und klicken Sie dann auf Löschen. Das Dialogfeld 

Schlüssel löschen wird angezeigt. 

3 Klicken Sie auf OK, um das Schlüsselpaar auf diesem Server zu löschen. 

Verwenden von Schlüsseln für das Master-Repository in Umgebungen 

mit mehreren Servern 

Gehen Sie wie nachfolgend beschrieben vor, um sicherzustellen, dass Agenten (ab der 

Version 3.6) Inhalte aus jedem beliebigen ePO-Server in Ihrer Umgebung verwenden können. 

Der Server signiert alle unsignierten Inhalte, die in das Repository eingecheckt werden, mit 

dem privaten Schlüssel für das Master-Repository. Agenten überprüfen Inhalte, die aus 

Repositories in Ihrem Unternehmen oder McAfee-Quellsites abgerufen werden, mithilfe des 

öffentlichen Schlüssels für das Master-Repository. 

100 




Das Schlüsselpaar für das Master-Repository ist für jede Installation spezifisch. Bei Einsatz 

mehrerer Server verwendet jeder Server einen anderen Schlüssel. Wenn die Agenten Inhalte 

herunterladen, die aus unterschiedlichen Master-Repositories stammen, müssen Sie sicherstellen, 

dass die Inhalte von den Agenten (Version 4.0 oder höher) als zulässig erkannt werden. 

Dazu haben Sie zwei verschiedene Möglichkeiten: 

• Verwenden Sie für alle Server und Agenten dasselbe Schlüsselpaar für das Master-Repository. 

• Stellen Sie sicher, dass Agenten so konfiguriert sind, dass sie alle öffentlichen 

Repository-Schlüssel in Ihrer Umgebung erkennen. 

Aufgaben 

Verwenden eines Schlüsselpaares für das Master-Repository für alle Server 

Sicherstellen, dass Agenten Inhalte von anderen ePO-Servern verwenden können 

Verwenden eines Schlüsselpaares für das Master-Repository für alle Server 

Gehen Sie wie nachfolgend beschrieben vor, um in einer Umgebung mit mehreren Servern 

sicherzustellen, dass alle ePO-Server und Agenten dasselbe Master-Repository-Schlüsselpaar 

verwenden. 



1 Wechseln Sie auf dem Server, dessen SC-Schlüsselpaar (Secure Content, sichere Inhalte) 

auf allen Servern in Ihrer Umgebung verwendet werden soll, zu Konfiguration | 

Servereinstellungen, wählen Sie in der Liste Kategorien festlegen den Eintrag 

Sicherheitsschlüssel aus, und klicken Sie dann auf Bearbeiten. 

2 Klicken Sie neben Schlüsselpaar für lokales Master-Repository auf Schlüsselpaar 

exportieren. Das Dialogfeld Schlüsselpaar für das Master-Repository exportieren 



4 Klicken Sie auf Speichern. Das Dialogfeld Speichern unter wird angezeigt. 

5 Wechseln Sie zu dem Speicherort, in dem Sie die ZIP-Datei mit den SC-Schlüsseldateien 

speichern möchten. (Dies sollte ein Speicherort sein, auf den die anderen Server zugreifen 

können.) Klicken Sie dann auf Speichern. 

6 Wechseln Sie auf den anderen Servern in Ihrer Umgebung zu Konfiguration | 



7 Klicken Sie neben Schlüssel importieren und sichern auf Importieren. Der Assistent 

Schlüssel importieren wird angezeigt. 

8 Wechseln Sie zu der ZIP-Datei, in der sich die Dateien mit den exportierten 

Master-Repository-Schlüsseln befinden, und klicken Sie dann auf Weiter. 

9 Vergewissern Sie sich, dass dies die Schlüssel sind, die Sie importieren möchten, und klicken 

Sie dann auf Speichern. 

Das importierte Schlüsselpaar für das Master-Repository ersetzt das vorhandene Schlüsselpaar 

für das Master-Repository. Agenten verwenden das Schlüsselpaar für das Master-Repository 

nach dem nächsten Agenten-Aktualisierungstask. 


101



Sicherstellen, dass Agenten Inhalte von anderen ePO-Servern verwenden können 

Gehen Sie wie nachfolgend beschrieben vor, um in einer Umgebung mit mehreren Servern 

sicherzustellen, dass Agenten Inhalte von anderen ePO-Servern verwenden können, wenn jeder 

Server einen anderen Schlüssel für das Master-Repository verwendet. 



1 Wechseln Sie auf jedem Server in Ihrer Umgebung zu Konfiguration | 



2 Klicken Sie neben Schlüsselpaar für lokales Master-Repository auf Öffentlichen 

Schlüssel exportieren. Das Dialogfeld Öffentlichen Schlüssel für das 

Master-Repository exportieren wird angezeigt. 



5 Wechseln Sie zu dem Speicherort, in dem Sie die ZIP-Datei mit den Schlüsseldateien 

speichern möchten. (Dies sollte ein Speicherort sein, auf den andere Server zugreifen 

können.) Klicken Sie dann auf Speichern. 

6 Nachdem Sie auf jedem Server den öffentlichen Schlüssel exportiert haben, wechseln Sie 

auf jedem Server zu Konfiguration | Servereinstellungen, wählen Sie in der Liste 


Bearbeiten. 

7 Klicken Sie neben Schlüssel importieren und sichern auf Importieren. Das Dialogfeld 

Schlüssel importieren wird angezeigt. 

8 Wechseln Sie zum Speicherort mit den exportierten ZIP-Dateien, wählen Sie eine aus, und 

klicken Sie dann auf Weiter. 

9 Vergewissern Sie sich, dass es sich um den gewünschten öffentlichen Schlüssel für das 

Master-Repository handelt, und klicken Sie dann auf Speichern. 

10 Wiederholen Sie dies, bis auf jedem Server sämtliche in Ihrer Umgebung verwendeten 

öffentlichen Schlüssel für das Master-Repository importiert sind. 

Nach Abschluss des nächsten Agenten-Aktualisierungstasks werden Inhalte, die mit privaten 

Master-Repository-Schlüsseln aus Ihrer Umgebung signiert wurden, von den Agenten akzeptiert. 

Sichern und Wiederherstellen von Sicherheitsschlüsseln 

Gehen Sie wie nachfolgend beschrieben vor, um die Sicherheitsschlüssel zu sichern und 

wiederherzustellen. Sie sollten alle Sicherheitsschlüssel regelmäßig sichern und sie in einem 

sicheren Netzwerkspeicherort speichern. Auf diese Weise können sie schnell wiederhergestellt 

werden, falls der unwahrscheinliche Fall eintritt, dass sie auf dem ePO-Server verloren gehen. 

HINWEIS: Sie sollten alle Schlüssel sichern, bevor an den wichtigsten Verwaltungseinstellungen 

Änderungen vorgenommen wurden. 

Aufgaben 

Sichern aller Sicherheitsschlüssel 

Wiederherstellen von Sicherheitsschlüsseln aus einer Sicherungsdatei 

102 




Sichern aller Sicherheitsschlüssel 

Gehen Sie wie nachfolgend beschrieben vor, um alle Sicherheitsschlüssel zu sichern, die derzeit 

auf diesem ePO-Server verwaltet werden. 





Bearbeiten. Die Seite Sicherheitsschlüssel bearbeiten wird angezeigt. 

2 Klicken Sie im unteren Teil der Seite auf Alle sichern. Das Dialogfeld Dateidownload 



4 Wechseln Sie zu einem sicheren Netzwerkspeicherort, an dem die ZIP-Datei gespeichert 

werden soll, und klicken Sie anschließend auf Speichern. 

Wiederherstellen von Sicherheitsschlüsseln aus einer Sicherungsdatei 

Gehen Sie wie nachfolgend beschrieben vor, um alle Sicherheitsschlüssel aus einer 

Sicherungsdatei wiederherzustellen. 


Sie müssen bereits eine ZIP-Datei mit Sicherheitskopien aller Schlüssel erstellt haben. 

VORSICHT: Wenn Sie Sicherheitsschlüssel wiederherstellen, werden alle vorhandenen Schlüssel 

entfernt und durch die Schlüssel in der ZIP-Sicherungsdatei ersetzt. Stellen Sie sicher, dass sich 

die benötigten Schlüssel in der Sicherungsdatei befinden. 





Bearbeiten. Die Seite Sicherheitsschlüssel bearbeiten wird angezeigt. 

2 Klicken Sie unten auf der Seite auf Alle wiederherstellen. Der Assistent 

Sicherheitsschlüssel wiederherstellen wird gestartet. 

3 Wechseln Sie zur ZIP-Sicherungsdatei, wählen Sie sie aus, und klicken Sie anschließend 

auf Weiter. 

4 Überprüfen Sie, ob die Schlüssel in dieser Datei mit denjenigen identisch sind, mit denen 

Sie die vorhandenen Schlüssel überschreiben möchten, und klicken Sie anschließend auf 

Wiederherstellen. 


Mit dem Befehls-Agenten (CMDAGENT.EXE) können Sie ausgewählte Agententasks auf dem 

verwalteten System ausführen. Das Programm CMDAGENT.EXE ist zum Zeitpunkt der 

Agenteninstallation auf dem verwalteten System installiert. Führen Sie diese Tasks mithilfe 

dieses Programms oder über das McAfee-Symbol in der Taskleiste lokal auf verwalteten Systemen 

aus. 


103



Die Datei CMDAGENT.EXE befindet sich im Agenteninstallationsordner. Der Standardspeicherort 

ist 


Optionsdefinitionen 

Option 

/C 

/E 

/P 

/S 

Beschreibung 

Führt eine Prüfung auf neue Richtlinien durch. Der Agent nimmt Kontakt zum ePO-Server auf, um 

neue oder aktualisierte Richtlinien abzurufen, und setzt diese nach dem Empfang sofort um. 

Fordert den Agenten zur lokalen Umsetzung von Richtlinien auf. 

Sendet die Eigenschaften und Ereignisse an den ePO-Server. 

Zeigt den Agentenmonitor an. 


Abhängig davon, ob der Agent bereits installiert ist, können Sie Befehlszeilenoptionen verwenden, 

wenn Sie das Agenteninstallationspaket (FRAMEPKG.EXE) oder das Programm zur 

Framework-Installation für den Agenten (FRMINST.EXE) ausführen. 

Sie können diese Befehlszeilenoptionen auch zum Aktualisieren der Agenten auf eine neue 

Version mithilfe eines Ausbringungstasks verwenden. 

In der folgenden Tabelle werden alle Befehlszeilenoptionen für die Agenteninstallation 

beschrieben. Bei diesen Optionen wird nicht zwischen Groß- und Kleinschreibung unterschieden, 

wohl aber bei ihren Werten. 

Befehlszeilenoptionen für FRAMEPKG.EXE und FRMINST.EXE 

Befehl 

/DATADIR 

Beschreibung 

Gibt den Ordner auf dem System an, der für Datendateien des Agenten verwendet 

werden soll. Der Standardspeicherort ist: \All 

Users\Application Data\McAfee\Common Framework. Falls im Betriebssystem 

kein Ordner Dokumente und Einstellungen vorhanden ist, ist der 

Standardspeicherort der Datenordner im Installationsordner des Agenten. 

Beispiel: FRAMEPKG /INSTALL=AGENT 

/DATADIR= 

/DOMAIN/USERNAME/PASSWORD Gibt eine NT-Domäne und Kontoanmeldeinformationen an, die für die Installation 

des Agenten verwendet werden. Das Konto muss über die Rechte zum Starten und 

Beenden von Diensten auf dem gewünschten System verfügen. Falls keine Werte 

angegeben sind, werden die Berechtigungen des aktuell angemeldeten Kontos 

verwendet. Wenn Sie auf dem gewünschten System ein lokales Konto verwenden 

möchten, verwenden Sie den Systemnamen als Domäne. 

Beispiel: FRAMEPKG /INSTALL=AGENT /DOMAIN=Domäne1 

/USERNAME=pmeier /PASSWORD=kennwort 

/FORCEINSTALL 

Gibt an, dass der vorhandene Agent deinstalliert und anschließend der neue Agent 

installiert wird. Verwenden Sie diese Option nur, um das Installationsverzeichnis 

zu ändern oder den Agenten durch eine ältere Version zu ersetzen. Bei Verwendung 

dieser Option wird empfohlen, für die neue Installation ein anderes Verzeichnis 

anzugeben (/INSTDIR). 

Beispiel: FRAMEPKG /INSTALL=AGENT /FORCEINSTALL 

/INSTDIR=c:NeuesAgentenverzeichnis 

104 




Befehl 

/INSTALL=AGENT 

/INSTALL=UPDATER 

/INSTDIR 

/REMOVE=AGENT 

/SILENT oder S 

/SITEINFO 

/USELANGUAGE 

Beschreibung 

Installiert und aktiviert den Agenten. 

Beispiel: FRAMEPKG /INSTALL=AGENT 

Aktiviert die Komponente AutoUpdate 7.0, wenn sie bereits installiert wurde, und 

bewirkt KEINE Änderung, unabhängig davon, ob der Agent aktiviert ist oder nicht. 

Mit dieser Befehlszeilenoption wird der Agent aktualisiert. 

Beispiel: FRAMEPKG /INSTALL=UPDATER 

Gibt den Installationsordner auf dem gewünschten System an. Sie können die 

Systemvariablen von Windows verwenden, z. B. . Falls nichts 

angegeben ist, lautet der standardmäßige Speicherort: 

:\Programme\mcafee\common framework 

Beispiel: FRAMEPKG /INSTALL=AGENT /INSTDIR=C:\ePOAgent 

Deaktiviert den Agenten und entfernt ihn, wenn er nicht verwendet wird. 

Beispiel: FRMINST /REMOVE=AGENT 

Installiert den Agenten im Hintergrund. Hierdurch wird dem Endbenutzer die 

Installations-Benutzeroberfläche nicht angezeigt. 

Beispiel: FRAMEPKG /INSTALL=AGENT /SILENT 

Gibt den Ordnerpfad zu einer bestimmten Repository-Listendatei (SITELIST.XML) 

an. 

Beispiel: FRAMEPKG /INSTALL=AGENT /SITEINFO=C:\SITELIST.xml 

Gibt die Sprachversion des Agenten an, der installiert werden soll. Falls Sie eine 

Ländereinstellung wählen, die nicht zu den 12 Sprachen mit Gebietsschema-IDs 

gehört, wird die Software in Englisch angezeigt. Wenn Sie mehrere Sprachversionen 

installieren, bestimmt die im Betriebssystem ausgewählte Ländereinstellung, welche 

Sprache angezeigt wird. 

Beispiel: FRAMEPKG /INSTALL=AGENT /USELANGUAGE 0404 


105

Erstellen von Repositories 

Sicherheitssoftware ist nur so effektiv wie die zuletzt installierten Aktualisierungen. Wenn zum 

Beispiel die DAT-Dateien veraltet sind, kann die beste Antivirensoftware keine neuen 

Bedrohungen erkennen. Es ist wichtig, eine zuverlässige Aktualisierungsstrategie zu entwickeln, 

damit die Sicherheitssoftware immer so aktuell wie möglich ist. 

Die Software-Repository-Architektur von ePolicy Orchestrator bietet die Flexibilität, die erforderlich 

ist, damit das Ausbringen und Aktualisieren von Software so einfach und automatisch erfolgen 

kann, wie dies die jeweilige Umgebung zulässt. Erstellen Sie nach dem Einrichten der 

Repository-Infrastruktur Aktualisierungstasks, die bestimmen, wie, wo und wann Ihre Software 

aktualisiert wird. 

Erstellen Sie Repositories zum ersten Mal? 

Wenn Sie erstmals Repositories erstellen und einrichten, gehen Sie wie folgt vor: 

1 Machen Sie sich mit dem Zweck der einzelnen Typen von Repositories, Repository-Zweigen 

und Sites vertraut. 

2 Entscheiden Sie, welche Repository-Typen verwendet werden und wo sich diese befinden 

sollen. 

3 Erstellen Sie die Repositories, und füllen Sie sie auf. 

Inhalt 

Repository-Typen und ihre Funktion 

Zusammenarbeit von Repositories 

Sicherstellen des Zugriffs auf die Quellsite 

Arbeiten mit Quellsites und alternativen Sites 

Verwenden von SuperAgents als verteilte Repositories 

Erstellen und Konfigurieren von FTP-, HTTP- und UNC-Repositories 

Arbeiten mit den Repository-Listendateien 

Ändern von Anmeldeinformationen für mehrere verteilte Repositories 


ePolicy Orchestrator stellt verschiedene Typen von Repositories bereit, mit denen sich eine 

robuste Aktualisierungsinfrastruktur aufbauen lässt, um Produkte und Aktualisierungen im 

gesamten Netzwerk verteilen zu können. Diese Typen bieten die Flexibilität zum Entwickeln 

einer Aktualisierungsstrategie, um sicherzustellen, dass Ihre Systeme auf dem neuesten Stand 

bleiben. 

106 




Master-Repository 

Im Master-Repository werden die neuesten Versionen der Sicherheitssoftware und 

Aktualisierungen für Ihre Umgebung verwaltet. Dieses Repository stellt die Quelle für den Rest 

der Umgebung dar. Für jeden ePolicy Orchestrator-Server ist ein Master-Repository vorhanden. 

Das Master-Repository wird bei der Installation konfiguriert. Sie müssen jedoch sicherstellen, 

dass die Einstellungen für den Proxyserver richtig konfiguriert sind. Standardmäßig verwendet 

ePolicy Orchestrator die Proxyeinstellungen von Microsoft Internet Explorer. 

Verteilte Repositories 

In verteilten Repositories sind Kopien der Master-Repository-Inhalte gespeichert. Sie sollten 

verteilte Repositories verwenden und diese strategisch günstig im gesamten Netzwerk verteilen, 

um so sicherzustellen, dass verwaltete Systeme auch dann aktualisiert werden, wenn 

insbesondere über langsame Verbindungen nur minimaler Netzwerkverkehr möglich ist. 

Beim Aktualisieren des Master-Repositorys repliziert ePolicy Orchestrator die Inhalte in die 

verteilten Repositories. 

Eine Replizierung kann bei folgenden Gelegenheiten stattfinden: 

• Automatisch, wenn beim globalen Aktualisieren festgelegte Pakettypen in das 

Master-Repository eingecheckt werden 

• Regelmäßig, beim geplanten Replizieren mit Replizierungstasks 

• Manuell, durch Ausführen des Tasks "Jetzt replizieren" 

In einem großen Unternehmen kann es mehrere Standorte geben, die über Leitungen mit 

begrenzter Bandbreite miteinander verbunden sind. Durch verteilte Repositories wird der 

Aktualisierungsverkehr über Leitungen mit niedrigerer Bandbreite reduziert. Wenn Sie an einem 

Remotestandort ein verteiltes Repository erstellen und die Systeme am Remotestandort so 

konfigurieren, dass sie Aktualisierungen von diesem verteilten Repository abrufen, werden die 

Aktualisierungen nicht an alle Systeme am Remotestandort einzeln, sondern nur einmal (nämlich 

an das verteilte Repository) über die langsame Verbindung kopiert. 

Wenn die globale Aktualisierung aktiviert wurde, aktualisieren verteilte Repositories verwaltete 

Systeme automatisch, sobald bestimmte Aktualisierungen und Pakete in das Master-Repository 

eingecheckt wurden. Sie benötigen keine zusätzliche Zeit zum Erstellen und Konfigurieren von 

Repositories oder Aktualisierungstasks. 

Quellsite 

Die Quellsite stellt alle Aktualisierungen für Ihr Master-Repository bereit. Die standardmäßige 

Quellsite ist die HTTP-Aktualisierungssite von McAfee (HttpSite). Sie können die Quellsite jedoch 

auch ändern oder bei Bedarf mehrere Quellsites konfigurieren. McAfee empfiehlt die HTTP- 

(HttpSite) oder FTP-Aktualisierungssites (FTPSite) von McAfee als Quellsite zu verwenden. 

HINWEIS: Quellsites sind nicht erforderlich. Sie können Aktualisierungen manuell herunterladen 

und in das Master-Repository einchecken. Wenn Sie eine Quellsite verwenden, wird dieser 

Vorgang jedoch automatisch durchgeführt. 

McAfee veröffentlicht auf diesen Sites regelmäßig Softwareaktualisierungen. DAT-Dateien werden 

beispielsweise täglich veröffentlicht. Aktualisieren Sie Ihr Master-Repository mit Aktualisierungen, 

sobald diese verfügbar sind. 

Kopieren Sie mithilfe von Abruftasks Inhalte aus einer Quellsite in das Master-Repository. 

Auf den McAfee-Aktualisierungssites werden nur Aktualisierungen von Virusdefinitionen 

(DAT-Dateien) und Virenscanmodulen sowie einige Sprachpakete bereitgestellt. Alle anderen 

Pakete und Aktualisierungen müssen Sie manuell in Ihr Master-Repository einchecken. 


107



Alternative Site 

Die alternative Site ist eine Quellsite, die als Ausweichmöglichkeit dient, damit verwaltete 

Systeme Aktualisierungen abrufen können, wenn sie auf ihre eigenen Repositories nicht zugreifen 

können. Wenn zum Beispiel das Netzwerk ausfällt oder ein Virus ausbricht, lassen sich die 

standardmäßigen Speicherorte in einigen Fällen nur noch schwierig erreichen. Mithilfe alternativer 

Sites bleiben verwaltete Systeme jedoch auch in solchen Situationen auf dem aktuellen Stand. 

Standardmäßig ist die alternative Site die HTTP-Aktualisierungssite von McAfee (McAfeeHttp). 

Sie können nur eine alternative Site aktivieren. 

Wenn verwaltete Systeme einen Proxyserver für den Zugriff auf das Internet verwenden, müssen 

Sie für diese Systeme die Einstellungen der Agentenrichtlinie so konfigurieren, dass der Zugriff 

auf diese alternative Site über Proxyserver erfolgt. 

Typen verteilter Repositories 

ePolicy Orchestrator unterstützt vier Typen verteilter Repositories. Berücksichtigen Sie bei der 

Entscheidung, welcher Typ verteilter Repositories verwendet werden soll, Ihre Umgebung und 

Ihren Bedarf. Sie müssen sich nicht auf nur einen Typ beschränken. Je nach Netzwerk müssen 

Sie möglicherweise mehrere Typen verwenden. 

SuperAgent-Repositories 

Verwenden Sie Systeme mit SuperAgents als verteilte Repositories. SuperAgent-Repositories 

weisen gegenüber anderen Typen verteilter Repositories einige Vorteile auf: 

• Ordnerpfade werden auf dem Hostsystem automatisch erstellt, bevor das Repository zur 

Repository-Liste hinzugefügt wird. 

• Die Dateifreigabe wird für den Ordner mit dem SuperAgent-Repository automatisch aktiviert. 

• Für SuperAgent-Repositories müssen keine Anmeldeinformationen für Replizierung oder 

Aktualisierung angegeben werden – die Kontoberechtigungen werden erstellt, wenn der 

Agent in einen SuperAgent konvertiert wird. 

TIPP: Damit die SuperAgent-Reaktivierung funktioniert, muss sich in jedem 

Übertragungssegment ein SuperAgent befinden. Für das SuperAgent-Repository ist dies 

dagegen nicht notwendig. Verwaltete Systeme müssen das System mit dem Repository 

lediglich erkennen können. 

• Für die Aktualisierung des SuperAgents und die globale Aktualisierung wird das eigene 

Protokoll SPIPE verwendet. 

TIPP: Sie sollten SuperAgent-Repositories und die globale Aktualisierung zusammen 

verwenden. Auf diese Weise stellen Sie sicher, dass die verwaltete Umgebung immer auf 

dem aktuellen Stand ist. 

FTP-Repositories 

Wenn Sie keine SuperAgent-Repositories verwenden können, können Sie ein verteiltes Repository 

auf einem vorhandenen FTP-Server speichern. Sie können Ihre vorhandene FTP-Serversoftware 

verwenden (z. B. die Microsoft-Internetinformationdienste, IIS), um einen neuen Ordner und 

ein neues Siteverzeichnis für das verteilte Repository zu erstellen. Ausführliche Informationen 

hierzu finden Sie in der Dokumentation zum Webserver. 

108 




HTTP-Repositories 

Wenn Sie keine SuperAgent-Repositories verwenden können, können Sie ein verteiltes Repository 

auf einem vorhandenen HTTP-Server speichern. Sie können Ihre vorhandene 

HTTP-Serversoftware verwenden (z. B. die Microsoft-Internetinformationdienste, IIS), um einen 

neuen Ordner und ein neues Siteverzeichnis für das verteilte Repository zu erstellen. Ausführliche 

Informationen hierzu finden Sie in der Dokumentation zum Webserver. 

UNC-Freigabe-Repositories 

Wenn Sie keine SuperAgent-Repositories verwenden können, können Sie einen freigegebenen 

UNC-Ordner erstellen, um ein verteiltes Repository auf einem vorhandenen Server zu speichern. 

Sie müssen den Ordner im gesamten Netzwerk freigeben, damit Ihr ePolicy Orchestrator-Server 

Dateien in diesen Ordner kopieren kann. 

Nicht verwaltete Repositories 

Wenn Sie keine verwalteten verteilten Repositories verwenden können, können ePolicy 

Orchestrator-Administratoren verteilte Repositories erstellen und verwalten, die nicht von ePolicy 

Orchestrator verwaltet werden. 

Wenn ein verteiltes Repository nicht verwaltet wird, muss ein lokaler Administrator dieses 

Repository manuell auf dem aktuellen Stand halten. 

Nachdem das verteilte Repository erstellt wurde, können Sie mit ePolicy Orchestrator verwaltete 

Systeme einer bestimmten Systemstrukturgruppe so konfigurieren, dass sie von dort 

Aktualisierungen abrufen. 

TIPP: Sie sollten alle verteilten Repositories über ePolicy Orchestrator verwalten. Dadurch und 

durch die Verwendung der globalen Aktualisierung oder von geplanten Replizierungstasks wird 

die Aktualität Ihrer verwalteten Umgebung gewährleistet. Verwenden Sie nicht verwaltete 

verteilte Repositories nur dann, wenn Ihr Netzwerk oder Richtlinien in Ihrem Unternehmen die 

Verwaltung verteilter Repositories nicht zulassen. 

Repository-Zweige und ihre Verwendung 

ePolicy Orchestrator stellt drei Repository-Zweige bereit, damit Sie in Ihren Master- und verteilten 

Repositories drei Versionen aller Pakete verwalten können. Die Repository-Zweige heißen 

"Aktuell", "Vorherige" und "Test". Standardmäßig verwendet ePolicy Orchestrator nur den Zweig 

"Aktuell". Sie können Zweige festlegen, wenn Sie Pakete zum Master-Repository hinzufügen. 

Das Festlegen von Zweigen ist möglich, wenn Sie Aktualisierungs- und Ausbringungstasks 

durchführen oder planen, um verschiedene Versionen an unterschiedliche Punkte im Netzwerk 

zu verteilen. 

Aktualisierungstasks können Aktualisierungen aus allen Zweigen des Repositorys abrufen, 

Ausbringungstasks können aber nur auf den Zweig "Aktuell" zugreifen. 

Um die Zweige "Test" und "Vorherige" für andere Pakete als Aktualisierungen verwenden zu 

können, müssen Sie die entsprechenden Servereinstellungen für die Pakete im Repository 

auswählen. Die Agentenversionen 3.6 und früher können nur Aktualisierungspakete aus den 

Zweigen "Test" und "Vorherige" abrufen. 

Zweig "Aktuell" 

Der Zweig "Aktuell" ist der Repository-Hauptzweig für die neuesten Pakete und Aktualisierungen. 

Produktausbringungspakete können nur zu diesem Zweig hinzugefügt werden. 


109



Zweig "Test" 

Es kann sinnvoll sein, neue DAT- und Modulaktualisierungen vor ihrer Ausbringung im gesamten 

Unternehmen mit einer kleinen Anzahl von Netzwerksegmenten oder Systemen zu testen. Geben 

Sie den Zweig "Test" an, wenn Sie neue DAT- und Moduldateien in das Master-Repository 

einchecken, und bringen Sie sie dann auf einer kleinen Anzahl von Testsystemen aus. Wenn 

Sie die Testsysteme mehrere Stunden lang überwacht haben, können Sie die neuen DAT-Dateien 

zum Zweig "Aktuell" hinzufügen und im gesamten Unternehmen ausbringen. 

Zweig "Vorherige" 

Verwenden Sie den Zweig "Vorherige", um die DAT- und Moduldateien der vorherigen Woche 

zu sichern und zu speichern, bevor Sie neue zum Zweig "Aktuell" hinzufügen. Falls es in Ihrer 

Umgebung zu Problemen mit den neuen DAT- oder Moduldateien kommen sollte, besitzen Sie 

in diesem Fall eine Kopie einer vorherigen Version, die Sie bei Bedarf erneut auf den Systemen 

ausbringen können. ePolicy Orchestrator speichert nur die aktuellste vorherige Version der 

einzelnen Dateitypen. 

Sie können den Zweig "Vorherige" aktivieren, indem Sie beim Hinzufügen neuer Dateien zum 

Master-Repository die Option Vorhandenes Paket in den Zweig "Vorherige" verschieben 

auswählen. Die Option ist verfügbar, wenn Sie Aktualisierungen von einer Quellsite abrufen, 

und wenn Sie Pakete manuell in das Master-Repository einchecken. 

Repository-Listendatei und ihre Verwendung 

Die Repository-Listendatei (SITELIST.XML) enthält die Namen aller Repositories, die Sie 

verwalten. Die Repository-Liste enthält den Speicherort und die verschlüsselten 

Netzwerk-Anmeldeinformationen, die verwaltete Systeme verwenden, um das Repository 

auszuwählen und Aktualisierungen abzurufen. Der Server sendet die Repository-Liste während 

einer Agent-Server-Kommunikation an den Agenten. 

Falls erforderlich, können Sie die Repository-Liste in externe Dateien exportieren (SITELIST.XML 

oder SITEMGR.XML). 

Mit einer exportierten SITELIST.XML-Datei können Sie folgende Aufgaben durchführen: 

• Sichern und Wiederherstellen der Repository-Liste, wenn der Server neu installiert werden 

muss 

• Importieren in ein Produkt während der Installation, z. B. VirusScan Enterprise 

• Importieren in einen Agenten bei der Installation 

• Importieren der Repository-Liste aus einer vorherigen Installation von ePolicy Orchestrator 

oder aus einem anderen McAfee-Produkt 

Mit einer exportierten SITEMGR.XML-Datei können Sie folgende Aufgaben durchführen: 

• Sichern und Wiederherstellen verteilter Repositories und Quellsites, wenn der Server neu 

installiert werden muss 

• Importieren der verteilten Repositories und Quellsites aus einer vorherigen Installation von 

ePolicy Orchestrator 

110 





Die Repositories in Ihrer Umgebung arbeiten zusammen, um Aktualisierungen und Software 

auf die verwalteten Systeme zu übertragen. Unter Umständen sind verteilte Repositories 

erforderlich. 

Abbildung 18: Sites und Repositories, die Pakete an Systeme verteilen 

1 Das Master-Repository ruft regelmäßig DAT- und Moduldateien aus der Quellsite ab. 

2 Das Master-Repository repliziert die Aktualisierungen auf verwaltete Systeme im lokalen 

LAN und auf verteilte Repositories im Netzwerk. 

3 Die verwalteten Systeme im Netzwerk rufen Aktualisierungen aus einem nahe gelegenen 

Repository ab. Wenn verwaltete Systeme nicht auf verteilte Repositories oder das 

Master-Repository zugreifen können, rufen sie Aktualisierungen aus der alternativen Site 

ab. 


Gehen Sie wie nachfolgend beschrieben vor, um sicherzustellen, dass das Master-Repository 

und alle verwalteten Systeme auf das Internet zugreifen können, wenn die Sites "McAfeeHttp" 

und "McAfeeFTP" als Quellsites und alternative Sites verwendet werden. Sie sollten die 

Proxyserver-Einstellungen von Internet Explorer verwenden. 

Sie können auch Proxyserver-Einstellungen über die Konsole konfigurieren. Dies ist 

möglicherweise dann erforderlich, wenn Sie die Proxyeinstellungen von Internet Explorer nicht 

verwenden können, oder wenn Sie keinen Proxyserver verwenden. 


111



Aufgaben 

Verwenden der Proxyeinstellungen von Internet Explorer für das Master-Repository 

Konfigurieren von benutzerdefinierten Proxyeinstellungen für das Master-Repository 

Verwenden der Proxyeinstellungen von Internet Explorer für 

das Master-Repository 

Gehen Sie wie nachfolgend beschrieben vor, um Internet Explorer und ePolicy Orchestrator 

zum Verwenden der Proxyeinstellungen von Internet Explorer zu konfigurieren. Wenn über das 

Internet auf eine Quellsite zugegriffen werden muss (z. B. auf die McAfee-Aktualisierungssites), 

verwendet das Master-Repository Proxyeinstellungen zum Abrufen der Pakete. Wenn in Ihrem 

Unternehmen Proxyserver für die Internetverbindung eingesetzt werden, müssen Sie den 

Proxyserver verwenden. 

ePO ist standardmäßig so konfiguriert, dass die Proxyeinstellungen des auf dem ePO-Server 

installierten Internet Explorer verwendet werden. 

HINWEIS: Wenn die Proxyeinstellungen von Internet Explorer verwendet werden, muss ein 

Benutzer am ePO-Serversystem angemeldet sein, damit die geplanten Tasks ausgeführt werden. 

Wenn Sie nicht möchten, dass ein Konto am Server angemeldet bleibt (auch dann nicht, wenn 

es gesperrt ist), müssen Sie die Proxy-Authentifizierungsinformationen manuell eingeben. 

Aufgaben 

Konfigurieren der Proxyeinstellungen von Internet Explorer 

Konfigurieren von ePolicy Orchestrator zur Verwendung der Proxyeinstellungen von Internet 

Explorer 

Konfigurieren der Proxyeinstellungen von Internet Explorer 

Gehen Sie wie nachfolgend beschrieben vor, um die LAN- und Proxyeinstellungen in Internet 

Explorer zu konfigurieren, wenn Sie nicht vom Serversystem auf das Internet zugreifen. 


Überprüfen Sie vor dem Durchführen dieser Aufgabe, ob diese Einstellungen in Internet Explorer 

richtig konfiguriert sind. Starten Sie Internet Explorer auf dem Server, und wechseln Sie zu 

"www.mcafee.com". Wenn Sie auf diese Site zugreifen können, sind Ihre Proxyeinstellungen 

korrekt. 


1 Starten Sie Internet Explorer. 

2 Klicken Sie in der Menüleiste auf Extras | Internetoptionen. 

3 Klicken Sie auf die Registerkarte Verbindungen, und wählen Sie dann unten im Dialogfeld 

LAN-Einstellungen aus. 

4 Aktivieren Sie im Dialogfeld LAN-Einstellungen die Option Proxyserver für LAN 

verwenden. 

5 Klicken Sie auf Erweitert. Das Dialogfeld Proxyeinstellungen wird angezeigt. 

6 Geben Sie die Proxyinformationen in die entsprechenden Felder ein. Wenn Sie die 

standardmäßigen Quellsites und alternativen Sites verwenden möchten, müssen Sie die 

Informationen für HTTP und FTP eingeben. 

112 




7 Wählen Sie Für alle Protokolle denselben Server verwenden aus, damit sowohl FTP 

als auch HTTP den Proxy korrekt verwenden. 

8 Klicken Sie auf OK, um das Dialogfeld Proxyeinstellungen zu schließen. 

9 Aktivieren Sie Proxyserver für lokale Adressen umgehen. 

10 Klicken Sie auf OK, um das Dialogfeld LAN-Einstellungen zu schließen. 

11 Klicken Sie auf OK, um das Dialogfeld Internetoptionen zu schließen. 

Konfigurieren von ePolicy Orchestrator zur Verwendung der 

Proxyeinstellungen von Internet Explorer 

Gehen Sie wie nachfolgend beschrieben vor, um ePolicy Orchestrator so zu konfigurieren, dass 

es die Proxyeinstellungen von Internet Explorer verwendet. Dies ist die Standardeinstellung. 



1 Wechseln Sie zu Software | Master-Repository, und klicken Sie dann auf 

Proxyeinstellungen konfigurieren. Die Seite Proxyeinstellungen konfigurieren 


Abbildung 19: Seite "Proxyeinstellungen konfigurieren" 

2 Stellen Sie sicher, dass neben Typ die Option Einstellungen von Internet Explorer 

verwenden aktiviert ist. 


Konfigurieren von benutzerdefinierten Proxyeinstellungen für 

das Master-Repository 

Gehen Sie wie nachfolgend beschrieben vor, um benutzerdefinierte Proxyeinstellungen für das 

Master-Repository zu verwenden. Wenn Sie nicht möchten, dass ePolicy Orchestrator die 

Proxyeinstellungen von Internet Explorer verwendet, oder wenn Sie keinen Proxyserver 

verwenden, müssen Sie die Proxyeinstellungen konfigurieren oder festlegen, dass keine 

Proxyeinstellungen verwendet werden. 




113



1 Wechseln Sie zu Software | Master-Repository, und klicken Sie dann auf 

Proxyeinstellungen konfigurieren. Die Seite Proxyeinstellungen konfigurieren 


2 Wählen Sie Proxyeinstellungen manuell konfigurieren aus. 

Wenn Ihr Server keinen Proxy für Internetzugriffe benötigt, wählen Sie Keinen Proxy 

verwenden aus, und klicken Sie dann auf OK. 

3 Nehmen Sie neben Proxyauthentifizierung die entsprechenden Einstellungen vor, je 

nach dem, ob Sie Aktualisierungen aus HTTP-, aus FTP-Repositories oder aus beiden 

abrufen. 

4 Wählen Sie neben Proxyservereinstellungen aus, ob ein Proxyserver für die gesamte 

Kommunikation oder unterschiedliche Proxyserver als HTTP- und FTP-Proxyserver verwendet 

werden sollen. Geben Sie die Adresse (IP-Adresse oder vollständig qualifizierter 

Domänenname) und die Portnummer (Port) des Proxyservers ein. 

HINWEIS: Wenn Sie die standardmäßigen Quell- und alternativen Sites verwenden oder 

eine andere HTTP-Quellsite und Alternative FTP-Site konfigurieren (oder umgekehrt), geben 

Sie hier sowohl die HTTP- als auch die FTP-Proxy-Authentifizierungsinformationen an. 

5 Wählen Sie neben Ausschlüsse die Option Lokale Adressen umgehen aus, und legen 

Sie dann alle verteilten Repositories fest, zu denen der Server direkt eine Verbindung 

herstellen kann, indem Sie die IP-Adressen oder die vollständig qualifizierten Domänennamen 

dieser Systeme eingeben (getrennt durch ein Semikolon). 

6 Klicken Sie auf OK, um diese Einstellungen zu speichern. 


Gehen Sie wie nachfolgend beschrieben vor, um die standardmäßige Quellsite und die alternative 

Site zu ändern. Sie müssen als globaler Administrator angemeldet sein, um eine Quellsite oder 

alternative Site definieren, ändern oder löschen zu können. Sie können Einstellungen bearbeiten, 

vorhandene Quellsites und alternative Sites löschen oder zwischen diesen wechseln. 

Sie sollten die standardmäßigen Quellsites und alternativen Sites verwenden. Wenn Sie hierfür 

andere Sites benötigen, können Sie neue erstellen. 

Aufgaben 

Wechseln von Quellsite und alternativer Site 

Erstellen von Quellsites 

Bearbeiten von Quellsites und alternativen Sites 

Löschen von Quellsites oder alternativen Sites 

Wechseln von Quellsite und alternativer Site 

Gehen Sie wie nachfolgend beschrieben vor, um die Quellsite als alternative Site festzulegen 

und umgekehrt. Je nach Netzwerkkonfiguration empfiehlt sich die HTTP- oder die 

FTP-Aktualisierung. Möglicherweise müssen Sie daher die Quellsite und die alternative Site 

wechseln. 



114 






1 Wechseln Sie zu Software | Quellsites. Es wird eine Liste aller Sites angezeigt, die als 

Quelle oder Alternative verwendet werden können. 

Abbildung 20: Registerkarte "Quellsites" 

2 Suchen Sie in der Liste die Site aus, die als alternative Site werden soll, und klicken Sie 

dann daneben auf Alternative aktivieren. 

Erstellen von Quellsites 

Gehen Sie wie nachfolgend beschrieben vor, um eine neue Quellsite zu erstellen. 





1 Wechseln Sie zu Software | Quellsites, und klicken Sie dann auf Neue Quellsite. Der 

Assistent Quellsite-Generator wird angezeigt. 

2 Geben Sie auf der Seite Beschreibung einen eindeutigen Namen ein, wählen Sie HTTP, 

UNC oder FTP aus, und klicken Sie dann auf Weiter. 

3 Geben Sie auf der Seite Server die Adress- und Portinformationen der Site an, und klicken 

Sie dann auf Weiter. 

• Wenn Sie FTP ausgewählt haben, geben Sie im Feld URL die Webadresse und im Feld 

Port die Nummer des FTP-Ports ein. 

• Wenn Sie HTTP ausgewählt haben, geben Sie im Feld URL die Webadresse und im 

Feld Port die Nummer des HTTP-Ports ein. (Sie können im Textfeld URL auch den 

Servernamen oder die IP-Adresse eingeben.) 

• Wenn Sie UNC ausgewählt haben, geben Sie im Feld UNC-Pfad für die Replizierung 

das Netzwerkverzeichnis ein, in dem die Site gespeichert ist. Verwenden Sie das folgende 

Format: \\\. Sie können diesen Speicherort auch mithilfe 

von Variablen definieren. 

4 Geben Sie auf der Seite Anmeldeinformationen die Anmeldeinformationen zum 

Herunterladen an, mit denen verwaltete Systeme eine Verbindung zu diesem Repository 

herstellen, und klicken Sie dann auf Weiter. Verwenden Sie die Anmeldeinformationen für 

den schreibgeschützten Zugriff auf den HTTP-Server, FTP-Server oder die UNC-Freigabe 

mit der Site. 

• Wenn Sie FTP ausgewählt haben, aktivieren Sie die Option Anonym oder 

FTP-Authentifizierung (wenn der Server eine Authentifizierung erfordert). Geben Sie 

dann die Informationen zum Benutzerkonto in den Feldern Benutzername, Kennwort 

und Kennwort bestätigen ein. 


115



• Wenn Sie HTTP ausgewählt haben, aktivieren Sie die Option Anonym oder 

HTTP-Authentifizierung (wenn der Server eine Authentifizierung erfordert). Geben 

Sie dann die Informationen zum Benutzerkonto in den Feldern Benutzername, 

Kennwort und Kennwort bestätigen ein. 

• Wenn Sie UNC ausgewählt haben, geben Sie die Benutzerkonto-Informationen in die 

Felder Domäne, Benutzername, Kennwort und Kennwort bestätigen ein. 

Klicken Sie auf Anmeldeinformationen testen, um das angegebene Benutzerkonto zu 

testen. 

5 Klicken Sie auf Weiter. Die Seite Zusammenfassung wird angezeigt. 

6 Klicken Sie auf Speichern, um die Site zur Liste hinzuzufügen. 

Bearbeiten von Quellsites und alternativen Sites 

Gehen Sie wie nachfolgend beschrieben vor, um die Einstellungen (wie URL-Adresse, 

Portnummer, Authentifizierungs-Anmeldeinformationen zum Herunterladen) von Quellsites oder 

alternativen Sites zu bearbeiten. 





1 Wechseln Sie zu Software | Quellsites. Es wird eine Liste aller Sites angezeigt, die als 

Quellsite oder alternative Site verwendet werden können. 

Abbildung 21: Registerkarte "Quellsites" 

2 Suchen Sie die Site in der Liste aus, und klicken Sie anschließend daneben auf 

Einstellungen bearbeiten. Der Assistent Quellsite-Generator wird angezeigt. 

3 Bearbeiten Sie die im Assistenten angezeigten Einstellungen nach Bedarf, und klicken Sie 

dann auf Speichern. 

Löschen von Quellsites oder alternativen Sites 

Gehen Sie wie nachfolgend beschrieben vor, um Quellsites oder alternative Sites zu löschen. 





1 Wechseln Sie zu Software | Quellsites, und klicken Sie dann neben der Site auf Löschen. 

Das Dialogfeld Quellsite löschen wird angezeigt. 

116 





Die Site wird von der Seite Quellsites gelöscht. 

Verwenden von SuperAgents als verteilte 

Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um Repositories auf Systemen zu erstellen und zu 

konfigurieren, die als Host für SuperAgents dienen. Diese können erst erstellt werden, nachdem 

Agenten auf die gewünschten Systeme verteilt wurden. 

Aufgaben 

Erstellen von SuperAgent-Repositories 

Auswählen von Paketen, die in SuperAgent-Repositories repliziert werden 

Löschen von über SuperAgent verteilten Repositories 

Erstellen von SuperAgent-Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um ein SuperAgent-Repository zu erstellen. Auf 

dem gewünschten System muss ein ePO Agent installiert sein und ausgeführt werden. Sie sollten 

SuperAgent-Repositories mit aktivierter globaler Aktualisierung verwenden. 

Bei dieser Vorgehensweise wird davon ausgegangen, dass Sie wissen, wo sich die gewünschten 

Systeme in der Systemstruktur befinden. Sie sollten ein "SuperAgent"-Tag erstellen, damit die 

Systeme mithilfe der Seite Tag-Katalog oder durch Ausführen einer Abfrage leicht gefunden 

werden können. 



1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie dann in der 

Dropdownliste Produkt den Eintrag McAfee Agent und in der Dropdownliste Kategorie 

den Eintrag Allgemein aus. 

2 Erstellen Sie eine neue Richtlinie, duplizieren Sie eine vorhandene Richtlinie, oder öffnen 

Sie eine vorhandene Richtlinie, die bereits auf Systeme mit einem SuperAgent angewendet 

wird, auf denen Sie SuperAgent-Repositories hosten möchten. 

3 Wählen Sie die Registerkarte Allgemein aus, und vergewissern Sie sich, dass die Option 

Agenten in SuperAgents konvertieren ausgewählt ist. 

4 Aktivieren Sie Systeme mit SuperAgents als verteilte Repositories verwenden, und 

geben Sie dann einen Ordnerpfad als Speicherort für das Repository ein. Dies ist der 

Speicherort, in den das Master-Repository die Aktualisierungen während der Replizierung 

kopiert. Sie können Standardvariablen von Windows verwenden (z. B. 

). 

HINWEIS: Verwaltete Systeme, die die Aktualisierungsinformationen von diesem 

SuperAgent-Repository beziehen, können auf diesen Ordner zugreifen. Sie müssen die 

Dateifreigabe nicht manuell aktivieren. 



117



6 Weisen Sie diese Richtlinie jedem System zu, das als Host für ein SuperAgent-Repository 

dienen soll. 

Wenn sich der Agent das nächste Mal beim Server meldet, wird die neue Konfiguration abgerufen. 

Beim Erstellen des verteilten Repositorys wird der angegebene Ordner auf dem System erstellt, 

falls dieser nicht bereits vorhanden ist. Wenn ePolicy Orchestrator den angegebenen Ordner 

nicht erstellen kann, wird einer dieser beiden Ordner erstellt: 

• \ ALL USERS\APPLICATION 

DATA\MCAFEE\FRAMEWORK\DB\SOFTWARE 

• \DATA\DB\SOFTWARE 

Außerdem wird der Speicherort zur Repository-Listendatei (SITELIST.XML) hinzugefügt. Auf 

diese Weise kann die Site von Systemen in der verwalteten Umgebung zum Aktualisieren 


Wenn Sie nicht bis zur nächsten Agent-zu-Server-Kommunikation warten möchten, können Sie 

eine Agentenreaktivierung an die gewünschten Systeme senden. 

Auswählen von Paketen, die in SuperAgent-Repositories repliziert 

werden 

Gehen Sie wie nachfolgend beschrieben vor, um auszuwählen, welche Repository-spezifischen 

Pakete in verteilte Repositories repliziert werden. 



1 Wechseln Sie zu Software | Verteilte Repositories. Eine Liste aller verteilten Repositories 


2 Suchen Sie das gewünschte SuperAgent-Repository in der Liste aus, und klicken Sie dann 

unter Aktionen auf Pakettypen bearbeiten. 

3 Wählen Sie die Pakettypen nach Bedarf aus. 

HINWEIS: Achten Sie darauf, dass alle Pakete ausgewählt sind, die von den verwalteten 

Systemen benötigt werden, die dieses Repository verwenden. Verwaltete Systeme greifen 

für alle Pakete auf ein Repository zurück. Wenn ein erwarteter Pakettyp nicht vorhanden 

ist, kann der Task auf Systemen nicht ausgeführt werden. Diese Funktion stellt sicher, dass 

Pakete, die nur von wenigen Systemen verwendet werden, nicht in der gesamten Umgebung 

repliziert werden. 


Löschen von über SuperAgent verteilten Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um über SuperAgent verteilte Repositories aus 

dem Hostsystem und der Repository-Liste (SITELIST.XML) zu entfernen. Neue Konfigurationen 

werden während des nächsten Agent-zu-Server-Kommunikationsintervalls wirksam. 



118 




1 Öffnen Sie die gewünschten McAfee-Agentenrichtlinienseiten (im Bearbeitungsmodus) vom 

gewünschten Zuweisungspunkt in der Systemstruktur oder von der Seite 

Richtlinienkatalog aus. 

2 Deaktivieren Sie auf der Registerkarte Allgemein die Option Systeme mit SuperAgents 

als verteilte Repositories verwenden, und klicken Sie dann auf Speichern. 

HINWEIS: Um eine begrenzte Anzahl vorhandener verteilter SuperAgent-Repositories zu 

löschen, duplizieren Sie die diesen Systemen zugewiesene McAfee Agent-Richtlinie, und 

deaktivieren Sie die Option Systeme mit SuperAgents als verteilte Repositories 

verwenden, bevor Sie sie speichern. Diese neue Richtlinie weisen Sie dann bei Bedarf zu. 

Das SuperAgent-Repository wird gelöscht und aus der Repository-Liste entfernt. Der Agent 

fungiert jedoch so lange als SuperAgent, bis die Option Agenten in SuperAgents konvertieren 

deaktiviert wird. 

Erstellen und Konfigurieren von FTP-, HTTP- und 

UNC-Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um vorhandene FTP- bzw. HTTP-Server oder 

UNC-Freigaben als Host für verteilte Repositories zu verwenden. Sie müssen keinen speziellen 

Server verwenden. Das System muss jedoch leistungsstark genug sein, damit die gewünschte 

Anzahl verwalteter Systeme eine Verbindung für Aktualisierungen herstellen kann. 

Aufgaben 

Erstellen eines Ordnerspeicherorts auf einem FTP-Server, HTTP-Server oder einer UNC-Freigabe 

Hinzufügen des verteilten Repositorys zu ePolicy Orchestrator 

Aktivieren der Ordnerfreigabe für UNC- und HTTP-Repositories 

Bearbeiten von verteilter Repositories 

Löschen von verteilten Repositories 

Erstellen eines Ordnerspeicherorts auf einem FTP-Server, 

HTTP-Server oder einer UNC-Freigabe 

Gehen Sie wie nachfolgend beschrieben vor, um den Ordner für Repository-Inhalte auf dem 

System des verteilten Repositorys zu erstellen. 


• Für UNC-Freigabe-Repositories erstellen Sie den Ordner auf dem System und aktivieren die 

Freigabe. 

• Für FTP- oder HTTP-Repositories können Sie Ihre vorhandene FTP- oder HTTP-Serversoftware 

(z. B. die Microsoft-Internetinformationdienste (IIS)) verwenden, um einen neuen Ordner 

und ein neues Siteverzeichnis zu erstellen. Ausführliche Informationen hierzu finden Sie in 

der Dokumentation zum Webserver. 


119



Hinzufügen des verteilten Repositorys zu ePolicy Orchestrator 

Gehen Sie wie nachfolgend beschrieben vor, um ein neues verteiltes Repository zur 

Repository-Liste hinzuzufügen und es so zu konfigurieren, dass der Ordner verwendet wird, 

den Sie erstellt haben. 



1 Wechseln Sie zu Software | Verteilte Repositories, und klicken Sie auf Neues 

Repository. Der Generator für verteilte Repositories wird angezeigt. 

2 Geben Sie auf der Seite Beschreibung einen eindeutigen Namen ein, wählen Sie HTTP, 

UNC oder FTP aus, und klicken Sie dann auf Weiter. Dieser Name wird in der 

Repository-Liste angezeigt. Bei dem Namen muss es sich nicht um den Namen des Systems 

mit dem Repository handeln. 

3 Geben Sie auf der Seite Server die Adress- und Portinformationen des Repositorys an, 

und klicken Sie dann auf Weiter. 

• Wenn Sie FTP ausgewählt haben, geben Sie im Feld URL die Webadresse und im Feld 

Port die Nummer des FTP-Ports ein. Standard ist 21. 

• Wenn Sie HTTP ausgewählt haben, geben Sie im Feld URL die Webadresse und im 

Feld Port die Nummer des HTTP-Ports ein. Standard ist 80. Geben Sie im Feld 

UNC-Pfad für die Replizierung das Netzwerkverzeichnis ein, in dem das Repository 

gespeichert ist. (Sie können im Textfeld URL auch den Servernamen oder die IP-Adresse 

eingeben.) 

• Wenn Sie UNC ausgewählt haben, geben Sie im Feld UNC-Pfad für die Replizierung 

das Netzwerkverzeichnis ein, in dem das Repository gespeichert ist. Verwenden Sie das 

folgende Format: \\\. Sie können diesen Speicherort 

auch mithilfe von Variablen definieren. 

4 Geben Sie auf der Seite Anmeldeinformationen die Anmeldeinformationen zum 

Herunterladen ein, mit denen verwaltete Systeme eine Verbindung zu diesem Repository 

herstellen können, und klicken Sie dann auf Weiter. Verwenden Sie die 

Anmeldeinformationen für den schreibgeschützten Zugriff auf den HTTP-Server, FTP-Server 

oder die UNC-Freigabe mit dem Repository. 

• Wenn Sie FTP ausgewählt haben, aktivieren Sie die Option Anonym oder 

FTP-Authentifizierung (wenn der Server eine Authentifizierung erfordert). Geben Sie 

dann die Informationen zum Benutzerkonto in den Feldern Benutzername, Kennwort 

und Kennwort bestätigen ein. 

• Wenn Sie HTTP ausgewählt haben, aktivieren Sie die Option Anonym oder 

HTTP-Authentifizierung (wenn der Server eine Authentifizierung erfordert). Geben 

Sie dann die Informationen zum Benutzerkonto in den Feldern Benutzername, 

Kennwort und Kennwort bestätigen ein. 

• Wenn Sie UNC ausgewählt haben, wählen Sie aus, ob die Anmeldeinformationen des 

angemeldeten Kontos verwendet werden sollen, oder geben Sie die Informationen zum 

Benutzerkonto in den Feldern Domäne, Benutzername, Kennwort und Kennwort 

bestätigen ein. 

5 Klicken Sie auf Anmeldeinformationen testen. Nach wenigen Sekunden wird eine 

Meldung mit der Bestätigung angezeigt, dass Systeme, die die 

Authentifizierungsinformationen verwenden, auf die Site zugreifen können. 

Wenn die Anmeldeinformationen falsch sind, überprüfen Sie folgendes: 

120 




• Benutzername und Kennwort 

• URL oder Pfad auf der vorherigen Seite des Assistenten 

• die HTTP-, FTP oder UNC-Site des Systems 

6 Geben Sie die Anmeldeinformationen zum Replizieren ein. Der Server verwendet 

diese Anmeldeinformationen beim Replizieren von DAT-Dateien, Moduldateien oder anderen 

Produktaktualisierungen aus dem Master-Repository in das verteilte Repository. Diese 

Anmeldeinformationen müssen in der Domäne des verteilten Repositorys sowohl Lese- als 

auch Schreibberechtigungen besitzen. 

• Wenn Sie FTP ausgewählt haben, geben Sie die Informationen für das Benutzerkonto 

in die Felder Benutzername, Kennwort und Kennwort bestätigen ein. 

• Wenn Sie HTTP ausgewählt haben und der HTTP-Server Authentifizierung erfordert, 

geben Sie die Informationen zum Benutzerkonto in die Felder Domäne, Benutzername 

und Kennwort ein. 

• Wenn Sie UNC ausgewählt haben, geben Sie die Benutzerkonto-Informationen für das 

Netzwerkverzeichnis in die Felder Domäne, Benutzername, Kennwort und Kennwort 

bestätigen ein. 

7 Klicken Sie auf Anmeldeinformationen testen. Nach wenigen Sekunden wird eine 

Meldung mit der Bestätigung angezeigt, dass Systeme, die die 

Authentifizierungsinformationen verwenden, auf die Site zugreifen können. 

8 Klicken Sie auf Weiter. Die Seite Pakettypen wird angezeigt. 

9 Legen Sie fest, ob alle oder nur ausgewählte Pakete in dieses verteilte Repository repliziert 

werden sollen, und klicken Sie dann auf Weiter. 

HINWEIS: Achten Sie darauf, dass alle Pakete aktiviert sind, die von den verwalteten 

Systemen benötigt werden, die dieses Repository verwenden. Verwaltete Systeme greifen 

für alle Pakete auf ein Repository zurück. Wenn ein erforderlicher Pakettyp im Repository 

nicht vorhanden ist, kann der Task nicht ausgeführt werden. Mithilfe dieser Funktion wird 

sichergestellt, dass Pakete, die nur von wenigen Systemen verwendet werden, nicht in der 

gesamten Umgebung repliziert werden. 

10 Klicken Sie auf Speichern, um das Repository hinzuzufügen. ePolicy Orchestrator fügt das 

neue verteilte Repository zu seiner Datenbank hinzu. 

Aktivieren der Ordnerfreigabe für UNC- und HTTP-Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um einen Ordner in einem über HTTP oder UNC 

verteilten Repository freizugeben. Bei diesen Repositories erfordert ePolicy Orchestrator, dass 

der Ordner im gesamten Netzwerk freigegeben ist, damit Ihr ePolicy Orchestrator-Server Dateien 

hineinkopieren kann. Dies dient nur zu Replizierungszwecken. Verwaltete Systeme, die zum 

Verwenden des verteilten Repositorys konfiguriert sind, nutzen das entsprechende Protokoll 

(HTTP, FTP oder Windows-Dateifreigabe) und benötigen keine Ordnerfreigabe. 


1 Suchen Sie in Windows Explorer den erstellten Ordner auf dem System. 

2 Klicken Sie mit der rechten Maustaste auf den Ordner, wählen Sie Eigenschaften und 

dann die Registerkarte Freigabe aus. 

3 Wählen Sie auf der Registerkarte Freigabe die Option Ordner freigeben aus. 

4 Konfigurieren Sie die Freigabeberechtigungen nach Bedarf. Systeme, die über das Repository 

aktualisiert werden, benötigen nur Lesezugriff, Administratorkonten hingegen (wie das 


121



Konto, das vom ePolicy Orchestrator-Serverdienst verwendet wird) benötigen Schreibzugriff. 

Informationen zum Konfigurieren der entsprechenden Sicherheitseinstellungen für 

freigegebene Ordner finden Sie in der Microsoft Windows-Dokumentation. 


Bearbeiten von verteilter Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um ein verteiltes Repository zu bearbeiten. 



1 Wechseln Sie zu Software | Verteilte Repositories, und klicken Sie dann neben dem 

gewünschten Repository auf Einstellungen bearbeiten. Der Generator für verteilte 

Repositories wird mit den Details zum verteilten Repository geöffnet. 

2 Ändern Sie die Konfigurations-, Authentifizierungs- und Paketauswahloptionen nach Bedarf. 


Löschen von verteilten Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um über FTP, HTTP oder UNC verteilte Repositories 

zu löschen. Dadurch werden diese verteilten Repositories aus der Repository-Liste sowie ihre 

Inhalte entfernt. 





1 Wechseln Sie zu Software | Verteilte Repositories, und klicken Sie dann neben dem 

gewünschten Repository auf Löschen. 

2 Klicken Sie im Dialogfeld Repository löschen auf OK. 

HINWEIS: Beim Löschen des Repositorys werden die Pakete, die sich auf dem System mit 

dem Repository befinden, nicht gelöscht. 


Gehen Sie wie nachfolgend beschrieben vor, um die Datei SITELIST.XML zu exportieren, damit 

sie vom Agenten und den unterstützten Produkten verwendet werden kann, oder um die Datei 

SITEMGR.XML zu exportieren, die bei der erneuten Installation des ePO-Servers oder zum 

Importieren in andere ePO-Server verwendet wird, die die gleichen verteilten Repositories oder 

Quellsites verwenden sollen. 

Aufgaben 

Exportieren der Repository-Listendatei SITELIST.XML 

122 




Exportieren der Repository-Listendatei SITEMGR.XML zur Sicherung oder für die Verwendung 

auf anderen Servern 

Importieren von verteilten Repositories aus der Datei SITEMGR.XML 

Importieren von Quellsites aus der Datei SITEMGR.XML 

Exportieren der Repository-Listendatei SITELIST.XML 

Gehen Sie wie nachfolgend beschrieben vor, um die Repository-Liste (die Datei SITELIST.XML) 

in eine Datei für die manuelle Ausbringung auf Systemen zu exportieren oder während der 

Installation von unterstützten Produkten zu importieren. 





1 Wechseln Sie zu Software | Master-Repository, und klicken sie dann auf Siteliste 

exportieren. Das Dialogfeld Dateidownload wird angezeigt. 


3 Wechseln Sie zu dem Speicherort, an dem die Datei SITELIST.XML gespeichert werden 

soll, und klicken Sie dann auf Speichern. 

Sobald Sie diese Datei exportiert haben, können Sie sie während der Installation von 

unterstützten Produkten importieren. Anweisungen hierzu finden Sie im Installationshandbuch 

für das entsprechende Produkt. 

Sie können die Repository-Liste auch auf verwaltete Systeme verteilen und sie anschließend 

auf den Agenten anwenden. 

Exportieren der Repository-Listendatei SITEMGR.XML zur 

Sicherung oder für die Verwendung auf anderen Servern 

Gehen Sie wie nachfolgend beschrieben vor, um die Liste verteilter Repositories und Quellsites 

in die Datei SITEMGR.XML zu exportieren. Mit dieser Datei können Sie die verteilten Repositories 

und Quellsites wiederherstellen, wenn Sie den ePO-Server erneut installieren oder verteilte 

Repositories oder Quellsites auf einem anderen ePO-Server freigeben möchten. 

Sie können diese Datei auf den Seiten Verteilte Repositories oder Quellsites exportieren. 

Wenn Sie jedoch diese Datei auf einer der beiden Seiten importieren, werden nur diejenigen 

Elemente aus der Datei importiert, die auf dieser Seite aufgeführt sind. Beispiel: Wenn diese 

Datei auf der Seite Verteilte Repositories importiert wird, werden nur die verteilten 

Repositories in der Datei importiert. Wenn Sie also sowohl die verteilten Repositories als auch 

die Quellsites importieren möchten, müssen Sie die Datei jeweils von der entsprechenden Seite 

importieren. 




123





1 Wechseln Sie zu Software | Verteilte Repositories (oder Software | Quellsites), 

und klicken Sie dann auf Repositories exportieren (oder Quellsites exportieren). Das 

Dialogfeld Dateidownload wird angezeigt. 

2 Klicken Sie auf Speichern, und wechseln Sie dann zu dem Speicherort, an dem die Datei 

gespeichert werden soll. Wählen Sie die Datei aus. 

3 Falls erforderlich, können Sie die Datei umbenennen. Klicken Sie anschließend auf 

Speichern. 

Importieren von verteilten Repositories aus der Datei 

SITEMGR.XML 

Gehen Sie wie nachfolgend beschrieben vor, um verteilte Repositories aus einer 

Repository-Listendatei zu importieren. Dieser Schritt ist hilfreich, wenn Sie einen Server erneut 

installiert haben oder möchten, dass ein Server dieselben verteilten Repositories verwendet wie 

ein anderer Server. 





1 Wechseln Sie zu Software | Verteilte Repositories, und klicken Sie dann auf 

Repositories importieren. Das Dialogfeld Repositories importieren wird angezeigt. 

2 Suchen Sie die exportierte Datei SITEMGR.XML, und wählen Sie sie aus. Die Seite 

Repositories importieren wird angezeigt. 

3 Wählen Sie die gewünschten verteilten Repositories aus, die auf diesen Server importiert 

werden sollen, und klicken Sie auf OK. 

Die ausgewählten Repositories werden zur Liste der Repositories auf diesem Server hinzugefügt. 

Importieren von Quellsites aus der Datei SITEMGR.XML 

Gehen Sie wie nachfolgend beschrieben vor, um Quellsites aus einer Repository-Listendatei zu 

importieren. Dieser Schritt ist hilfreich, wenn Sie einen Server erneut installiert haben oder 

möchten, dass ein Server dieselben verteilten Repositories verwendet wie ein anderer Server. 





1 Wechseln Sie zu Software | Quellsites, und klicken Sie dann auf Quellsites importieren. 

Das Dialogfeld Quellsites importieren wird angezeigt. 

124 



Ändern von Anmeldeinformationen für mehrere verteilte Repositories 

2 Suchen Sie die exportierte Datei SITEMGR.XML, und wählen Sie sie aus. Die Seite Quellsites 

importieren wird angezeigt. 

3 Wählen Sie die gewünschten Quellsites aus, die auf diesen Server importiert werden sollen, 

und klicken Sie auf OK. 

Die ausgewählten Quellsites werden zur Liste der Repositories auf diesem Server hinzugefügt. 

Ändern von Anmeldeinformationen für mehrere 

verteilte Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um Anmeldeinformationen für mehrere verteilte 

Repositories des gleichen Typs zu ändern. Diese Vorgehensweise ist hilfreich in Umgebungen 

mit zahlreichen verteilten Repositories. 






Anmeldeinformationen ändern. Die Seite Repository-Typ des Assistenten 

Anmeldeinformationen ändern wird angezeigt. 

2 Wählen Sie den Typ des verteilten Repositorys aus, für das Sie Anmeldinformationen ändern 

möchten, und klicken Sie dann auf Weiter. Die Seite Repository-Auswahl wird angezeigt. 

3 Wählen Sie die gewünschten verteilten Repositories aus, und klicken Sie anschließend auf 

Weiter. Die Seite Anmeldeinformationen wird angezeigt. 

4 Bearbeiten Sie die Anmeldeinformationen nach Bedarf, und klicken Sie dann auf Weiter. 

Die Seite Zusammenfassung wird angezeigt. 

5 Überprüfen Sie die Informationen, und klicken Sie dann auf Speichern. 


125

Verwalten von Produkten mit Richtlinien und 

Clienttasks 

Das Verwalten der Produkte von einer zentralen Stelle aus ist eine Kernfunktion von ePolicy 

Orchestrator und wird über die Kombination von Produktrichtlinien und Clienttasks realisiert. 

Richtlinien stellen sicher, dass die Funktionen von Produkten ordnungsgemäß konfiguriert sind, 

während Clienttasks die geplanten Aktionen darstellen, die auf den verwalteten Systemen 

ausgeführt werden, auf denen sich clientseitige Software befindet. 

Konfigurieren Sie Produktrichtlinien und Tasks zum ersten Mal? 

Wenn Sie Richtlinien und Tasks erstmals konfigurieren, gehen Sie wie folgt vor: 

1 Machen Sie sich mit der Produktverwaltung in ePolicy Orchestrator vertraut. 

2 Planen Sie Produktrichtlinien und Clienttasks für die Segmente in Ihrer Systemstruktur. 

3 Erstellen Sie Richtlinien für Gruppen und Systeme, und weisen Sie sie zu. 

4 Erstellen Sie Clienttasks für Gruppen und Systeme, und weisen Sie sie zu. 

Inhalt 

Erweiterungen und ihre Funktion 

Richtlinienverwaltung 

Richtlinienanwendung 

Clienttasks und deren Aufgaben 

Hinzufügen von Produkten zur Verwaltung 

Anzeigen der Richtlinieninformationen 

Arbeiten mit dem Richtlinienkatalog 

Arbeiten mit Richtlinien 

Arbeiten mit Clienttasks 

FAQ (Häufig gestellte Fragen) 

Erweiterungen und ihre Funktion 

Erweiterungen sind ZIP-Dateien, die Sie auf dem ePO-Server installieren, um weitere 

Sicherheitsprodukte in Ihrer Umgebung zu installieren. Die Erweiterungen enthalten die Dateien, 

Komponenten und Informationen, die zum Verwalten des jeweiligen Produkts erforderlich sind. 

Sie ersetzen die NAP-Dateien der vorherigen Versionen. 

126 


Verwalten von Produkten mit Richtlinien und Clienttasks 


Neue Funktionen durch Erweiterungen 

Wenn Sie eine Erweiterung für ein verwaltetes Produkt installieren, können folgende Funktionen 

hinzugefügt werden: 

• Richtlinienseiten 

• Servertasks 

• Clienttasks 

• Standardabfragen 

• Neue Ergebnistypen, Diagrammtypen und Eigenschaften, die im Abfragen-Generator 

ausgewählt werden können 

• Standard-Dashboards und Dashboard-Überwachungen 

• Funktionsberechtigungen, die Benutzerkonten zugewiesen werden können 

• Weitere produktspezifische Funktionen 

Speicherort der Erweiterungsdateien 

Einige Erweiterungen werden beim Installieren von ePolicy Orchestrator automatisch installiert. 

Wenn Erweiterungen für Produkte nicht standardmäßig installiert werden, finden Sie in der 

Produktinformation auf der Produkt-CD oder im Produkt-Download Informationen zum Namen 

und dem Speicherort der Erweiterungen. 


Eine Richtlinie ist eine Sammlung von Einstellungen, die Sie erstellen, konfigurieren und 

anschließend umsetzen. Mit Richtlinien können Sie gewährleisten, dass die verwaltete 

Sicherheitssoftware nach Ihren Anforderungen konfiguriert ist und funktioniert. Wenn 

beispielsweise Endbenutzer Virenscans deaktivieren, können Sie eine Richtlinie erstellen, die 

den Scan im Richtlinienumsetzungsintervall (standardmäßig 5 Minuten) erneut aktiviert. 

Einige Richtlinieneinstellungen sind mit den Einstellungen identisch, die Sie in der 

Benutzeroberfläche des auf dem verwalteten System installierten Produkts konfigurieren. Andere 

Richtlinieneinstellungen sind das primäre Tool für die Konfiguration des Produkts oder der 

Komponente. Mit der ePolicy Orchestrator-Konsole können Sie die Richtlinieneinstellungen für 

alle Produkte und Systeme zentral konfigurieren. 

Richtlinienkategorien 

Die Richtlinieneinstellungen für die meisten Produkte sind nach Kategorien zusammengefasst. 

Jede Richtlinienkategorie bezieht sich auf eine spezielle Teilgruppe von Richtlinieneinstellungen. 

Richtlinien werden nach Kategorien erstellt. Auf der Seite Richtlinienkatalog werden Richtlinien 

nach dem Produkt und der Kategorie angezeigt. Wenn Sie eine vorhandene Richtlinie öffnen 

oder eine neue Richtlinie erstellen, werden die Richtlinieneinstellungen in Registerkarten 

organisiert. 

Wo werden Richtlinien angezeigt? 

Wechseln Sie zum Anzeigen aller Richtlinien, die zu den einzelnen Richtlinienkategorien erstellt 

wurden, zur Seite Systeme | Richtlinienkatalog, und wählen Sie dann in den Dropdownlisten 

das gewünschte Produkt und die gewünschte Kategorie aus. Auf der Seite Richtlinienkatalog 


127



werden dem Benutzer nur Richtlinien der Produkte angezeigt, für die der Benutzer über 

Berechtigungen verfügt. 

Wenn Sie zu einem jeweiligen Produkt wissen möchten, welche Richtlinien auf eine bestimmte 

Gruppe der Systemstruktur angewendet werden, wechseln Sie zur Seite Systeme | 

Systemstruktur | Richtlinien, wählen Sie die gewünschte Gruppe aus, und wählen Sie dann 

in der Dropdownliste das gewünschte Produkt aus. 

HINWEIS: Für jede Kategorie gibt es eine Richtlinie "McAfee Default". Sie können diese Richtlinien 

nicht löschen, bearbeiten, exportieren oder umbenennen, müssen sie aber auch nicht 

notwendigerweise anwenden. 

Festlegen der Richtlinienerzwingung 

Sie können für jedes verwaltete Produkt oder Komponente festlegen, ob der Agent sämtliche 

oder keine der Richtlinienbestimmungen für dieses Produkt oder diese Komponente erzwingt. 

Auf der Seite Richtlinien können Sie auswählen, ob Richtlinien für Produkte oder Komponenten 

bei der ausgewählten Gruppe erzwungen werden sollen. 

Auf der Seite Richtlinienkatalog können Sie einzelne Zuweisungen für die jeweiligen Richtlinien 

anzeigen, bei denen die Richtlinie angewendet, aber nicht erzwungen wird. 

Wann werden Richtlinien erzwungen? 

Wenn Sie Richtlinieneinstellungen neu konfigurieren, werden die neuen Einstellungen bei der 

nächsten Agent-Server-Kommunikation an die verwalteten Systeme übermittelt und dort 

erzwungen. Die Häufigkeit, in der diese Kommunikation erfolgt, wird mit der Einstellung für das 

Agent-zu-Server-Kommunikationsintervall auf der Registerkarte Allgemein der 

McAfee Agent-Richtlinienseiten oder durch den geplanten Agentenreaktivierungstask bestimmt 

(je nachdem, wie Sie die Agent-zu-Server-Kommunikation implementieren). Standardmäßig ist 

dieses Intervall auf einen Wert von 60 Minuten eingestellt. 

Sobald die Richtlinieneinstellungen auf dem verwalteten System wirksam sind, setzt der Agent 

die Umsetzung der Richtlinieneinstellungen innerhalb eines regulären Intervalls lokal fort. Dieses 

Umsetzungsintervall wird durch die Einstellung Richtlinienumsetzungsintervall auf der 

Registerkarte Allgemein der McAfee Agent-Richtlinienseiten bestimmt. Standardmäßig ist 

dieses Intervall auf einen Wert von 5 Minuten eingestellt. 

Richtlinieneinstellungen für McAfee-Produkte werden im Richtlinienumsetzungsintervall sofort 

und – wenn Richtlinieneinstellungen geändert wurden – bei jeder Agent-zu-Server-Kommunikation 

erzwungen. 

HINWEIS: Die Richtlinien für Norton AntiVirus-Produkte werden jedoch mit einer Verzögerung 

von bis zu drei Minuten nach dem Intervall umgesetzt. Erst aktualisiert der Agent die Datei 

GRC.DAT mit den Richtlinieninformationen, dann liest das Norton AntiVirus-Produkt die 

Richtlinieninformationen aus der Datei GRC.DAT, was etwa alle drei Minuten geschieht. 

Exportieren und Importieren von Richtlinien 

Wenn Sie mehrere Server haben, können Sie Richtlinien zwischen diesen über XML-Dateien 

exportieren und importieren. Auf diese Weise müssen Sie eine Richtlinie nur einmal erstellen. 

Sie können einzelne oder alle Richtlinien für ein bestimmtes Produkt exportieren und importieren. 

Sie können diese Funktion auch dazu verwenden, um Sicherungskopien von Richtlinien zu 

erstellen, wenn Sie den Server neu installieren müssen. 

128 





Richtlinien werden auf jedes System durch Vererbung oder Zuweisung angewendet. 

Vererbung 

Die Richtlinienvererbung bestimmt, ob die Richtlinieneinstellungen und Clienttasks für eine 

Gruppe oder ein System von dessen übergeordnetem Element übernommen werden. In der 

Standardeinstellung ist die Vererbung für die gesamte Systemstruktur aktiviert. 

Wenn Sie diese Vererbung unterbrechen, indem Sie an einer bestimmten Stelle in der 

Systemstruktur eine neue Richtlinie zuweisen, wird diese Richtlinie von allen untergeordneten 

Gruppen und Systemen geerbt, für die festgelegt ist, dass sie die Richtlinie von diesem 

Zuweisungspunkt erben. 

Zuweisung 

Sie können eine Richtlinie im Richtlinienkatalog beliebigen Gruppen oder Systemen zuweisen 

(vorausgesetzt, Sie besitzen die entsprechenden Berechtigungen). Mittels Zuweisung können 

Sie Richtlinieneinstellungen für einen bestimmten Zweck einmal definieren und die Richtlinie 

dann auf mehrere Stellen anwenden. 

Wenn Sie einer bestimmten Gruppe der Systemstruktur eine neue Richtlinie zuweisen, wird 

diese Richtlinie von allen untergeordneten Gruppen und Systemen geerbt, für die festgelegt 

ist, dass sie die Richtlinie von diesem Zuweisungspunkt erben. 

Sperren von Zuweisungen 

Sie können die Zuweisung einer Richtlinie für Gruppen oder Systeme sperren (vorausgesetzt, 

Sie besitzen die entsprechenden Berechtigungen). Durch das Sperren von Zuweisungen wird 

verhindert, dass 

• Benutzer mit entsprechenden Berechtigungen auf derselben Ebene der Systemstruktur 

versehentlich eine Richtlinie austauschen sowie 

• Benutzer mit niedrigeren Berechtigungen (oder denselben Berechtigungen, aber auf einer 

niedrigeren Ebene der Systemstruktur) die Richtlinie austauschen. 

Die Sperrung von Zuweisungen wird mit den Richtlinieneinstellungen vererbt. 

Das Sperren von Zuweisungen ist nützlich, wenn Sie eine bestimmte Richtlinie an der Spitze 

der Systemstruktur zuweisen und dabei sicherstellen möchten, dass diese Richtlinie nicht an 

anderer Stelle in der Systemstruktur durch Benutzer ausgetauscht wird. 

Das Sperren von Zuweisungen sperrt nur die Zuweisung der Richtlinie, verhindert aber nicht, 

dass der Besitzer der Richtlinie Änderungen an den Einstellungen vornehmen kann. Wenn Sie 

eine Richtlinienzuweisung sperren möchten, sollten Sie daher sicherstellen, dass Sie der Besitzer 

der Richtlinie sind. 

Richtlinienbesitz 

Alle Richtlinien für Produkte und Funktionen, für die Sie Berechtigungen besitzen, sind über die 

Seite Richtlinienkatalog verfügbar. Damit Benutzer keine benannten Richtlinien anderer 

Benutzer bearbeiten können, ist jeder Richtlinie ein Besitzer zugewiesen. Dabei handelt es sich 

um den Benutzer, der sie erstellt hat. 

Der Besitz einer Richtlinie gewährleistet, dass eine Richtlinie von niemandem außer dem globalen 

Administrator oder dem Benutzer, der die Richtlinie erstellt hat, geändert oder gelöscht werden 

kann. Jeder Benutzer (mit den entsprechenden Berechtigungen) kann Richtlinien im 


129



Richtlinienkatalog zuweisen, aber nur der Besitzer oder ein globaler Administrator kann sie 

ändern. 

Wenn Sie verwalteten Systemen eine Richtlinie zuweisen, deren Besitzer Sie nicht sind, müssen 

Sie Folgendes beachten: Wird diese benannte Richtlinie durch den Besitzer geändert, werden 

diese Änderungen auf allen Systemen wirksam, denen diese Richtlinie zugewiesen ist. 

Daher sollten Sie, wenn Sie eine Richtlinie verwenden möchten, die sich im Besitz eines anderen 

Benutzers befindet, zunächst ein Duplikat dieser Richtlinie erstellen und dann dieses Duplikat 

an den gewünschten Stellen zuweisen. Auf diese Weise werden Sie Besitzer der zugewiesenen 

Richtlinie. 


Mit ePolicy Orchestrator können Sie Clienttasks erstellen und planen, die auf verwalteten 

Systemen ausgeführt werden. 

Sie können Tasks für die gesamte Systemstruktur, eine bestimmte Gruppe oder ein einzelnes 

System definieren. Ebenso wie Richtlinieneinstellungen werden auch Clienttasks von 

übergeordneten Gruppen in der Systemstruktur geerbt. 

Die auf Ihrem ePO-Server installierten Dateierweiterungen bestimmen, welche Clienttasks 

verfügbar sind. 

Typische Einsatzzwecke für Clienttasks: 

• Produktausbringung 

• Produktfunktionalität (z. B. der Task "Scan auf Anforderung" von VirusScan Enterprise) 

• Upgrades und Aktualisierungen 

Informationen und Anweisungen finden Sie in der Produktdokumentation für Ihre verwalteten 

Produkte. 

Hinzufügen von Produkten zur Verwaltung 

Gehen Sie wie nachfolgend beschrieben vor, um eine Erweiterungsdatei (ZIP-Datei) zu 

installieren. Die Erweiterung für ein Produkt muss installiert werden, damit dieses Produkt von 

ePolicy Orchestrator verwaltet werden kann. 





1 Vergewissern Sie sich, dass über das Netzwerk auf die Seite zugegriffen werden kann. 

2 Wechseln Sie zu Konfiguration | Erweiterungen, und klicken Sie dann auf Erweiterung 

installieren. Das Dialogfeld Erweiterung installieren wird angezeigt. 

3 Suchen und wählen Sie die gewünschte Erweiterungsdatei (ZIP-Datei) aus, und klicken Sie 

dann auf OK. 

4 Überprüfen Sie, ob der Produktname in der Liste Erweiterungen angezeigt wird. 

130 





Gehen Sie wie nachfolgend beschrieben vor, um detaillierte Informationen zu den Richtlinien, 

deren Zuweisungen, Vererbung und Besitzer anzuzeigen. 

Aufgaben 

Anzeigen der Gruppen und Systeme, denen eine Richtlinie zugewiesen ist 

Anzeigen der Einstellungen einer Richtlinie 

Anzeigen des Richtlinienbesitzes 

Anzeigen von Zuweisungen, bei denen die Richtlinienerzwingung deaktiviert ist 

Anzeigen der einer Gruppe zugewiesenen Richtlinien 

Anzeigen der einem bestimmten System zugewiesenen Richtlinien 

Anzeigen der Richtlinienvererbung für eine Gruppe 

Anzeigen und Zurücksetzen unterbrochener Vererbung 

Anzeigen der Gruppen und Systeme, denen eine Richtlinie 

zugewiesen ist 

Gehen Sie wie nachfolgend beschrieben vor, um die Gruppen und Systeme anzuzeigen, denen 

eine Richtlinie zugewiesen ist. In dieser Liste werden nur die Zuweisungspunkte angezeigt, aber 

nicht die einzelnen Knoten oder Systeme, die diese Richtlinie erben. 



1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie dann das gewünschte 

Produkt und die Kategorie aus. Alle für diese Kategorie erstellten Richtlinien werden im 

Detailbereich angezeigt. 

Abbildung 22: Seite "Richtlinienkatalog" 

2 Klicken Sie unter Zuweisungen in der Zeile der gewünschten Richtlinie auf den blauen 

Text, der die Anzahl der Gruppen oder Systeme angibt, denen die Richtlinie zugewiesen 

ist (z. B. 6 Zuweisungen). 

Auf der Seite Zuweisungen werden alle Gruppe oder Systeme, denen die Richtlinie zugewiesen 

ist, mit ihrem Knotennamen und Knotentyp angezeigt. 


131



Anzeigen der Einstellungen einer Richtlinie 

Gehen Sie wie nachfolgend beschrieben vor, um die jeweiligen Einstellungen einer Richtlinie 

anzuzeigen. 




Produkt und die Kategorie aus. Alle für die ausgewählte Kategorie erstellten Richtlinien 

sind im Detailbereich verfügbar. 

2 Klicken Sie neben der gewünschten Richtlinie auf Bearbeiten. Die Richtlinienseiten werden 

mit den Einstellungen der Richtlinie angezeigt. 

HINWEIS: Sie können diese Informationen auch anzeigen, wenn Sie über die Seite Systeme 

| Systemstruktur | Richtlinien auf die einer bestimmten Gruppe zugewiesenen 

Richtlinien zugreifen. 

Anzeigen des Richtlinienbesitzes 

Gehen Sie wie nachfolgend beschrieben vor, um den Besitzer einer Richtlinie anzuzeigen. 




Produkt und die Kategorie aus. Alle für diese Kategorie erstellten Richtlinien werden im 

Detailbereich angezeigt. 

2 Der Besitzer der Richtlinie wird unter Besitzer angezeigt. 

Anzeigen von Zuweisungen, bei denen die Richtlinienerzwingung 

deaktiviert ist 

Gehen Sie wie nachfolgend beschrieben vor, um Zuweisungen anzuzeigen, bei denen die 

Richtlinienerzwingung (pro Richtlinienkategorie) deaktiviert ist. 




Produkt und die Kategorie aus. 

2 Klicken Sie auf den blauen Text neben Erzwingungsstatus für Produkt, der die Anzahl 

der Zuweisungen anzeigt, bei denen die Erzwingung deaktiviert ist (sofern vorhanden). Die 

Seite Zuweisungen mit deaktivierter Richtlinienumsetzung anzeigen wird angezeigt. 

3 Klicken Sie auf ein beliebiges Element in der Liste, um zu dessen Seite Richtlinien zu 

wechseln. 

132 




Anzeigen der einer Gruppe zugewiesenen Richtlinien 

Gehen Sie wie nachfolgend beschrieben vor, um die Richtlinien anzuzeigen, die einer Gruppe 

zugewiesen sind. 



1 Wechseln Sie zu Systeme | Systemstruktur | Richtlinien, und wählen Sie dann die 

Gruppe in der Systemstruktur aus. Im Detailbereich werden alle zugewiesenen Richtlinien 

nach Produkt geordnet angezeigt. 

2 Klicken Sie auf eine beliebige Richtlinie, um deren Einstellungen anzuzeigen. 

Anzeigen der einem bestimmten System zugewiesenen 

Richtlinien 

Gehen Sie wie nachfolgend beschrieben vor, um die Richtlinien anzuzeigen, die einem bestimmten 

System zugewiesen sind. 




gewünschte Gruppe in der Systemstruktur aus. Alle Systeme, die zu der Gruppe gehören, 

werden im Detailbereich angezeigt. 

2 Wählen Sie das System aus, und klicken Sie dann auf Richtlinien auf einem einzelnen 

System ändern. 

3 Wählen Sie das Produkt aus. Die diesem System für das Produkt zugewiesenen Richtlinien 

werden angezeigt. 

4 Klicken Sie auf eine beliebige Richtlinie, um deren Einstellungen anzuzeigen. 

Anzeigen der Richtlinienvererbung für eine Gruppe 

Gehen Sie wie nachfolgend beschrieben vor, um die Richtlinienvererbung für eine bestimmte 

Gruppe anzuzeigen. 



1 Wechseln Sie zu Systeme | Systemstruktur | Richtlinien. Im Detailbereich werden 

alle zugewiesenen Richtlinien nach Produkt geordnet angezeigt. 

2 In der gewünschten Richtlinienzeile unter Erben von ist der Name der Gruppe aufgeführt, 

von der die Richtlinie vererbt wurde. 

Anzeigen und Zurücksetzen unterbrochener Vererbung 

Gehen Sie wie nachfolgend beschrieben vor, um anzuzeigen, an welcher Stelle die 

Richtlinienvererbung unterbrochen wurde. 


133





1 Wechseln Sie zu Systeme | Systemstruktur | Richtlinien. Im Detailbereich werden 

alle zugewiesenen Richtlinien nach Produkt geordnet angezeigt. 

2 In der Zeile mit der gewünschten Richtlinie ist unter Vererbung unterbrochen die Anzahl 

der Gruppen und Systeme aufgeführt, bei denen die Vererbung dieser Richtlinie unterbrochen 

ist. 

HINWEIS: Dies ist die Anzahl der Gruppen bzw. Systeme, bei denen die Richtlinienvererbung 

unterbrochen ist, nicht die Anzahl der Systeme, die die Richtlinie nicht erben. Wenn 

beispielsweise nur eine bestimmte Gruppe die Richtlinie nicht erbt, wird dies durch 1 erbt 

nicht angezeigt, unabhängig von der Anzahl der Systeme innerhalb der Gruppe. 

3 Klicken Sie auf den blauen Text, der die Anzahl der untergeordneten Gruppen oder Systeme 

anzeigt, bei denen die Vererbung unterbrochen ist. Die Seite Unterbrochene Vererbung 

anzeigen wird mit einer Liste der Namen dieser Gruppen und Systeme angezeigt. 

4 Aktivieren Sie zum Zurücksetzen der Vererbung eines dieser Gruppen oder Systeme das 

Kontrollkästchen neben dem Namen, und klicken Sie dann auf Vererbung zurücksetzen. 


Gehen Sie wie nachfolgend beschrieben vor, um Richtlinien auf der Seite Richtlinienkatalog 

zu erstellen und zu verwalten. 

Aufgaben 

Erstellen einer Richtlinie auf der Seite "Richtlinienkatalog" 

Duplizieren einer Richtlinie auf der Seite "Richtlinienkatalog" 

Bearbeiten der Einstellungen einer Richtlinie aus dem Richtlinienkatalog 

Umbenennen einer Richtlinie aus dem Richtlinienkatalog 

Löschen einer Richtlinie aus dem Richtlinienkatalog 

Erstellen einer Richtlinie auf der Seite "Richtlinienkatalog" 

Gehen Sie wie nachfolgend beschrieben vor, um im Richtlinienkatalog eine neue Richtlinie zu 

erstellen. Hier erstellte Richtlinien sind standardmäßig keinen Gruppen oder Systemen 

zugewiesen. Wenn Sie hier eine Richtlinie erstellen, fügen Sie eine benutzerdefinierte Richtlinie 

zum Richtlinienkatalog hinzu. 

Sie können Richtlinien vor oder nach dem Ausbringen eines Produkts erstellen. 

134 





1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie dann in den 

Dropdownlisten das Produkt und die Kategorie aus. Alle für diese Kategorie erstellten 

Richtlinien werden im Detailbereich angezeigt. 

Abbildung 23: Seite "Richtlinienkatalog" 

2 Klicken Sie unten auf der Seite auf Neue Richtlinie. Das Dialogfeld Neue Richtlinie 

erstellen wird angezeigt. 

3 Wählen Sie in der Dropdownliste Richtlinie auf Grundlage dieser vorhandenen 

Richtlinie erstellen die Richtlinie aus, die Sie duplizieren möchten. 

4 Geben Sie im Feld Name der neuen Richtlinie den Namen für die neue Richtlinie ein, 

und klicken Sie anschließend auf OK. Das Dialogfeld zu den Richtlinieneinstellungen wird 

für die neue Richtlinie angezeigt. 

5 Bearbeiten Sie die Richtlinieneinstellungen auf den einzelnen Registerkarten nach Bedarf. 


Duplizieren einer Richtlinie auf der Seite "Richtlinienkatalog" 

Gehen Sie wie nachfolgend beschrieben vor, um eine neue Richtlinie basierend auf einer 

vorhandenen zu erstellen. Wenn Sie beispielsweise bereits eine Richtlinie haben, die der 

gewünschten Richtlinie ähnlich ist, können Sie die vorhandene Richtlinie duplizieren und 

anschließend die erforderlichen Änderungen durchführen. 






2 Suchen Sie die Richtlinie, die Sie duplizieren möchten, und klicken Sie dann in der Zeile 

der Richtlinie auf Duplizieren. Das Dialogfeld Vorhandene Richtlinie duplizieren wird 

angezeigt. 

3 Geben Sie den Namen der neuen Richtlinie in das Feld ein (z. B. Vertrieb Europa), und klicken 

Sie auf OK. Die neue Richtlinie wird auf der Seite Richtlinienkatalog angezeigt. 

4 Klicken Sie in der Liste neben dem Namen der neuen Richtlinie auf Bearbeiten. Die 

Richtlinieneinstellungen werden angezeigt. 

5 Bearbeiten Sie die Einstellungen nach Bedarf, und klicken Sie dann auf Speichern. 


135



Bearbeiten der Einstellungen einer Richtlinie aus dem 

Richtlinienkatalog 

Gehen Sie wie nachfolgend beschrieben vor, um die Einstellungen einer Richtlinie zu ändern. 

Ihr Benutzerkonto muss die entsprechenden Berechtigungen zum Bearbeiten von 

Richtlinieneinstellungen für das gewünschte Produkt besitzen. 






2 Suchen Sie die gewünschte Richtlinie, und klicken Sie dann neben der Richtlinie auf 

Bearbeiten. Die Richtlinieneinstellungen werden angezeigt. 

3 Bearbeiten Sie die Einstellungen nach Bedarf, und klicken Sie dann auf Speichern. 

Umbenennen einer Richtlinie aus dem Richtlinienkatalog 

Gehen Sie wie nachfolgend beschrieben vor, um eine Richtlinie umzubenennen. Ihr Benutzerkonto 

muss die entsprechenden Berechtigungen zum Bearbeiten von Richtlinieneinstellungen für das 

gewünschte Produkt besitzen. 






2 Suchen Sie die gewünschte Richtlinie, und klicken Sie dann in der Zeile der gewünschten 

Richtlinie auf Umbenennen. Das Dialogfeld Richtlinie umbenennen wird angezeigt. 

3 Geben Sie einen neuen Namen für die vorhandene Richtlinie ein, und klicken Sie dann auf 

OK. 

Löschen einer Richtlinie aus dem Richtlinienkatalog 

Gehen Sie wie nachfolgend beschrieben vor, um eine Richtlinie im Richtlinienkatalog zu löschen. 

Wenn Sie eine Richtlinie löschen, erben alle Gruppen und Systeme, auf die diese Richtlinie 

aktuell angewendet wird, die Richtlinie aus ihrer übergeordneten Gruppe. Bevor Sie eine Richtlinie 

löschen, sollten Sie den Gruppen und Systemen, denen diese Richtlinie zugewiesen ist, eine 

andere Richtlinie zuweisen, wenn Sie nicht möchten, dass die Gruppe bzw. das System die 

Richtlinie aus der übergeordneten Gruppe erbt. 

Wenn Sie eine Richtlinie löschen, die auf die Gruppe "Eigene Organisation" angewendet ist, 

wird die McAfee Default-Richtlinie dieser Kategorie angewendet. 



136 







2 Suchen Sie die gewünschte Richtlinie, und klicken Sie dann in der Zeile der Richtlinie auf 

Löschen. 

3 Klicken Sie auf OK, wenn Sie dazu aufgefordert werden. 


Gehen Sie wie nachfolgend beschrieben vor, um die Richtlinien in Ihrer Umgebung zuzuweisen 

und zu verwalten. 

Aufgaben 

Ändern des Besitzers einer Richtlinie 

Freigeben von Richtlinien zwischen ePO-Servern 

Zuweisen einer Richtlinie zu einer Gruppe der Systemstruktur 

Zuweisen einer Richtlinie zu einem verwalteten System 

Zuweisen einer Richtlinie zu mehreren verwalteten Systemen innerhalb einer Gruppe 

Erzwingen von Richtlinien für ein Produkt in einer Gruppe 

Erzwingen von Richtlinien für ein Produkt in einem System 

Kopieren und Einfügen von Zuweisungen 

Ändern des Besitzers einer Richtlinie 

Gehen Sie wie nachfolgend beschrieben vor, um den Besitzer einer Richtlinie zu ändern. 

Standardmäßig ist der Benutzer als Besitzer festgelegt, der die Richtlinie erstellt hat. 



1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie dann das Produkt und 

die Kategorie aus. Alle für diese Kategorie erstellten Richtlinien werden im Detailbereich 

angezeigt. 

2 Suchen Sie die gewünschte Richtlinie, und klicken Sie dann auf den Besitzer der Richtlinie. 

Das Dialogfeld Richtlinienbesitz für wird angezeigt. 

3 Wählen Sie in der Liste die gewünschten Besitzer der Richtlinie aus, und klicken Sie 

anschließend auf OK. 

Freigeben von Richtlinien zwischen ePO-Servern 

Gehen Sie wie nachfolgend beschrieben vor, um Richtlinien zwischen Servern freizugeben. 

Hierfür müssen Sie die Richtlinie auf der Seite Richtlinienkatalog des Quellservers in eine 

XML-Datei exportieren und dann in die Seite Richtlinienkatalog auf dem Zielserver importieren. 

Aufgaben 

Exportieren einer einzelnen Richtlinie 


137



Exportieren aller Richtlinien eines Produkts 

Importieren von Richtlinien 

Exportieren einer einzelnen Richtlinie 

Gehen Sie wie nachfolgend beschrieben vor, um eine Richtlinie in eine XML-Datei zu exportieren. 

Mithilfe dieser Datei können Sie die Richtlinie auf einen anderen ePO-Server importieren oder 

eine Sicherung der Richtlinie aufbewahren. 






2 Suchen Sie die gewünschte Richtlinie, und klicken Sie dann neben der Richtlinie auf 

Exportieren. Die Seite Datei herunterladen wird angezeigt. 

3 Klicken Sie mit der rechten Maustaste auf die Verknüpfung, und wählen Sie Ziel speichern 

unter aus. 

4 Geben Sie den Namen der XML-Datei an, und speichern Sie sie. Stellen Sie sicher, dass der 

ePolicy Orchestrator-Server auf diesen Speicherort zugreifen kann. 

Exportieren aller Richtlinien eines Produkts 

Gehen Sie wie nachfolgend beschrieben vor, um alle Richtlinien eines Produkts in eine XML-Datei 

zu exportieren. Mithilfe dieser Datei können Sie die Richtlinie auf einen anderen ePO-Server 

importieren oder eine Sicherung der Richtlinien aufbewahren. 



1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie dann das Produkt und 

die Kategorie aus. Alle für diese Kategorie erstellten Richtlinien werden im Detailbereich 

angezeigt. 

2 Klicken Sie oben auf der Seite neben Produktrichtlinien auf Exportieren. Die Seite 

Datei herunterladen wird angezeigt. 

3 Klicken Sie mit der rechten Maustaste auf die Verknüpfung, und wählen Sie Ziel speichern 

unter aus. 

4 Geben Sie den Namen der XML-Datei an, und speichern Sie sie am gewünschten Speicherort. 

Stellen Sie sicher, dass der ePolicy Orchestrator-Server auf diesen Speicherort zugreifen 

kann. 

Importieren von Richtlinien 

Gehen Sie wie nachfolgend beschrieben vor, um eine XML-Richtliniendatei zu importieren. Der 

Import verläuft immer gleich, unabhängig davon, ob Sie eine einzelne oder alle benannten 

Richtlinien exportiert haben. 

138 






1 Wechseln Sie zu Systeme | Richtlinienkatalog, und klicken Sie dann oben auf der Seite 

neben Produktrichtlinien auf Importieren. 

2 Suchen und wählen Sie die gewünschte XML-Richtliniendatei aus, und klicken Sie dann auf 

OK. 

Die importierten Richtlinien werden zum Richtlinienkatalog hinzugefügt. 

Zuweisen einer Richtlinie zu einer Gruppe der Systemstruktur 

Gehen Sie wie nachfolgend beschrieben vor, um einer bestimmten Gruppe der Systemstruktur 

eine Richtlinie zuzuweisen. Sie können Richtlinien vor oder nach dem Ausbringen eines Produkts 

zuweisen. 



1 Wechseln Sie zu Systeme | Systemstruktur | Richtlinien, und wählen Sie dann das 

gewünschte Produkt aus. Jede pro Kategorie zugewiesene Richtlinie wird im Detailbereich 

angezeigt. 

2 Suchen Sie die gewünschte Richtlinienkategorie, und klicken Sie dann auf Zuweisung 

bearbeiten. Die Richtlinienzuweisungseite wird angezeigt. 

3 Wenn die Richtlinie geerbt wurde, wählen Sie neben Erben von die Option Vererbung 

unterbrechen und ab hier Richtlinie und Einstellungen zuweisen aus. 

4 Wählen Sie in der Dropdownliste Zugewiesene Richtlinie die gewünschte Richtlinie aus. 

HINWEIS: An dieser Stelle können Sie auch die Einstellungen der ausgewählten Richtlinie 

bearbeiten oder eine neue Richtlinie erstellen. 

5 Legen Sie fest, ob die Richtlinienvererbung gesperrt werden soll. Durch das Sperren der 

Richtlinienvererbung wird verhindert, dass Systemen, die diese Richtlinie erben, eine andere 

Richtlinie zugewiesen wird. 


Zuweisen einer Richtlinie zu einem verwalteten System 

Gehen Sie wie nachfolgend beschrieben vor, um einem bestimmten verwalteten System eine 

Richtlinie zuzuweisen. Sie können Richtlinien vor oder nach dem Ausbringen eines Produkts 

zuweisen. 




Systemstruktur die gewünschte Gruppe aus. Alle Systeme, die sich in dieser Gruppe 

(aber nicht ihren Untergruppen) befinden, werden im Detailbereich angezeigt. 

2 Wählen Sie das gewünschte System aus, und klicken Sie dann auf Richtlinien auf einem 

einzelnen System ändern. Die Seite Richtlinienzuweisung für dieses System wird 

angezeigt. 


139



3 Wählen Sie das gewünschte Produkt aus. Die Richtlinienkategorie für dieses Produkt wird 

mit der Richtlinie aufgeführt, die dem System zugewiesen ist. 

4 Suchen Sie die gewünschte Richtlinienkategorie, und klicken Sie dann auf Zuweisung 

bearbeiten. 

5 Wenn die Richtlinie geerbt wurde, wählen Sie neben Erben von die Option Vererbung 

unterbrechen und ab hier Richtlinie und Einstellungen zuweisen aus. 

6 Wählen Sie in der Dropdownliste Zugewiesene Richtlinie die gewünschte Richtlinie aus. 

HINWEIS: An dieser Stelle können Sie auch die Einstellungen der ausgewählten Richtlinie 

bearbeiten oder eine neue Richtlinie erstellen. 

7 Legen Sie fest, ob die Richtlinienvererbung gesperrt werden soll. 


Zuweisen einer Richtlinie zu mehreren verwalteten Systemen 

innerhalb einer Gruppe 

Gehen Sie wie nachfolgend beschrieben vor, um mehreren verwalteten Systemen innerhalb 

einer Gruppe eine Richtlinie zuzuweisen. Sie können Richtlinien vor oder nach dem Ausbringen 

eines Produkts zuweisen. 




gewünschte Gruppe in der Systemstruktur aus. Alle Systeme, die sich in dieser Gruppe 

(aber nicht ihren Untergruppen) befinden, werden im Detailbereich angezeigt. 

2 Wählen Sie die gewünschten Systeme aus, und klicken Sie dann auf Richtlinie zuweisen. 

Die Richtlininenzuweisungsseite wird angezeigt. 

3 Wählen Sie in den Dropdownlisten die Einträge für Produkt, Kategorie und Richtlinie 

aus, und klicken Sie dann auf Speichern. 

Erzwingen von Richtlinien für ein Produkt in einer Gruppe 

Gehen Sie wie nachfolgend beschrieben vor, um die Richtlinienerzwingung für ein Produkt in 

einer Systemstrukturgruppe zu aktivieren oder zu deaktivieren. Die Richtlinienerzwingung ist 

standardmäßig aktiviert und wird in der Systemstruktur vererbt. 




gewünschte Gruppe in der Systemstruktur aus. 

2 Wählen Sie das gewünschte Produkt aus, und klicken Sie dann auf den blauen Text neben 

Erzwingungsstatus. Die Seite Erzwingen für wird angezeigt. 

3 Wenn Sie den Erzwingungsstatus ändern möchten, müssen Sie zuerst Vererbung 

unterbrechen und ab hier Richtlinie und Einstellungen zuweisen auswählen. 

4 Wählen Sie neben Erzwingungsstatus entsprechend Wird erzwungen oder Wird nicht 

erzwungen aus. 

140 




5 Legen Sie fest, ob die Richtlinienvererbung gesperrt werden soll. Durch das Sperren der 

Richtlinienvererbung wird verhindert, dass Systemen, die diese Richtlinie erben, eine andere 

Richtlinie zugewiesen wird. 


Erzwingen von Richtlinien für ein Produkt in einem System 

Gehen Sie wie nachfolgend beschrieben vor, um die Richtlinienerzwingung für ein Produkt auf 

einem System zu aktivieren oder zu deaktivieren. Die Richtlinienerzwingung ist standardmäßig 

aktiviert und wird in der Systemstruktur vererbt. 




Systemstruktur die Gruppe aus, zu der das System gehört. Alle Systeme, die zu der 

ausgewählten Gruppe gehören, werden im Detailbereich angezeigt. 


einzelnen System ändern. Die Richtlinienzuweisungseite wird angezeigt. 

3 Wählen Sie das gewünschte Produkt aus, und klicken Sie dann auf den blauen Text neben 

Erzwingungsstatus. Die Seite Erzwingen für wird angezeigt. 

4 Wenn Sie den Erzwingungsstatus ändern möchten, müssen Sie zuerst Vererbung 

unterbrechen und ab hier Richtlinie und Einstellungen zuweisen auswählen. 

5 Wählen Sie neben Erzwingungsstatus entsprechend Wird erzwungen oder Wird nicht 

erzwungen aus. 


Kopieren und Einfügen von Zuweisungen 

Gehen Sie wie nachfolgend beschrieben vor, um Richtlinienzuweisungen aus einer Gruppe oder 

einem System zu kopieren und in einer anderen Gruppe bzw. einem anderen System einzufügen. 

Das ist eine einfache Methode, um mehrere Zuweisungen zwischen Gruppen und Systemen an 

unterschiedlichen Stellen der Systemstruktur freizugeben. 

Aufgaben 

Kopieren von Richtlinienzuweisungen aus einer Gruppe 

Kopieren von Richtlinienzuweisungen aus einem System 

Einfügen von Richtlinienzuweisungen in eine Gruppe 

Einfügen von Richtlinienzuweisungen für ein bestimmtes System 

Kopieren von Richtlinienzuweisungen aus einer Gruppe 

Gehen Sie wie nachfolgend beschrieben vor, um Richtlinienzuweisungen aus einer Gruppe in 

der Systemstruktur zu kopieren. 




141



1 Wechseln Sie zu Systeme | Systemstruktur | Richtlinien, und wählen Sie dann unter 

Systemstruktur die gewünschte Gruppe aus. 

2 Klicken Sie im Detailbereich auf Zuweisungen kopieren. 

3 Wählen Sie die Produkte oder Funktionen aus, für die Sie Richtlinienzuweisungen kopieren 

möchten, und klicken Sie dann auf OK. 

Kopieren von Richtlinienzuweisungen aus einem System 

Gehen Sie wie nachfolgend beschrieben vor, um Richtlinienzuweisungen aus einem bestimmten 

System zu kopieren. 




Systemstruktur die gewünschte Gruppe aus. Die Systeme, die zu der ausgewählten 

Gruppe gehören, werden im Detailbereich angezeigt. 


einzelnen System ändern. 

3 Klicken Sie auf Zuweisungen kopieren, wählen Sie die gewünschten Produkte oder 

Funktionen aus, für die Sie Richtlinienzuweisungen kopieren möchten, und klicken Sie dann 

auf OK. 

Einfügen von Richtlinienzuweisungen in eine Gruppe 

Gehen Sie wie nachfolgend beschrieben vor, um Richtlinienzuweisungen in eine Gruppe 

einzufügen. Zuvor müssen Sie Richtlinienzuweisungen aus einer Gruppe oder einem System 

kopiert haben. 





2 Klicken Sie im Detailbereich auf Zuweisungen einfügen. Wenn der Gruppe für einige 

Kategorien Richtlinien zugewiesen sind, wird die Seite Richtlinienzuweisungen außer 

Kraft setzen angezeigt. 

3 Wählen Sie aus, welche Richtlinienkategorien Sie durch die kopierten Richtlinien ersetzen 

möchten, und klicken Sie dann auf OK. 

Einfügen von Richtlinienzuweisungen für ein bestimmtes System 

Gehen Sie wie nachfolgend beschrieben vor, um Richtlinienzuweisungen für ein bestimmtes 

System einzufügen. Zuvor müssen Sie Richtlinienzuweisungen aus einer Gruppe oder einem 

System kopiert haben. 



142 





gewünschte Gruppe der Systemstruktur aus. Alle Systeme, die zu der ausgewählten Gruppe 

gehören, werden im Detailbereich angezeigt. 

2 Wählen Sie das System aus, zu dem Sie Richtlinienzuweisungen einfügen möchten, und 

klicken Sie dann auf Richtlinien auf einem einzelnen System ändern. 

3 Klicken Sie im Detailbereich auf Zuweisungen einfügen. Wenn dem System bereits für 

einige Kategorien Richtlinien zugewiesen sind, wird die Seite Richtlinienzuweisungen 

außer Kraft setzen angezeigt. 

4 Bestätigen Sie das Ersetzen von Zuweisungen. 


Gehen Sie wie nachfolgend beschrieben vor, um Clienttasks zu erstellen und zu verwalten. 

Aufgaben 

Erstellen und Planen von Clienttasks 

Bearbeiten von Clienttasks 

Löschen von Clienttasks 

Erstellen und Planen von Clienttasks 

Gehen Sie wie nachfolgend beschrieben vor, um einen Clienttask zu erstellen und zu planen. 

Dieser Vorgang ist für alle Clienttasks ähnlich. 



1 Wechseln Sie zu Systeme | Systemstruktur | Clienttasks, und wählen Sie dann die 

gewünschte Gruppe in der Systemstruktur aus. Klicken Sie anschließend auf Neuer Task. 

2 Geben Sie einen Namen für den Task ein, den Sie erstellen, fügen Sie Knoten hinzu, und 

wählen Sie dann in den Dropdownlisten das Produkt und den Tasktyp aus, z. B. 

Aktualisieren. 

3 Wählen Sie aus, ob die Planung aktiviert werden soll, und klicken Sie dann auf Weiter. 

Die Seite Konfiguration wird angezeigt. Die auf dieser Seite des Assistenten angezeigten 

Optionen hängen davon ab, welcher Tasktyp ausgewählt wurde. 

4 Konfigurieren Sie die Einstellungen, und klicken Sie dann auf Weiter. Die Seite Plan wird 

angezeigt. 



6 Überprüfen Sie die Taskeinstellungen, und klicken Sie dann auf Speichern. 

Der Task wird zur Liste von Clienttasks für die ausgewählte Gruppe und sämtlicher Gruppen, 

die den Task erben, hinzugefügt. 


143



Bearbeiten von Clienttasks 

Gehen Sie wie nachfolgend beschrieben vor, um Einstellungen von Clienttasks zu bearbeiten 

oder Informationen für vorhandene Tasks zu planen. 





2 Klicken Sie neben dem Task auf Bearbeiten. Der Clienttask-Generator wird angezeigt. 

3 Bearbeiten Sie die Taskeinstellungen nach Bedarf, und klicken Sie dann auf Speichern. 

Die Änderungen werden auf den verwalteten Systemen nach der nächsten 

Agent-zu-Server-Kommunikation wirksam. 

Löschen von Clienttasks 

Gehen Sie wie nachfolgend beschrieben vor, um nicht mehr benötigte Clienttasks zu löschen. 

Sie können außer dem Ausbringungstask jeden von Ihnen erstellten Clienttask löschen. 





2 Klicken Sie neben dem gewünschten Clienttask auf Löschen. 



Was ist eine Richtlinie? 

Eine Richtlinie ist eine benutzerdefinierte Teilmenge von Produkteinstellungen, die einer 

Richtlinienkategorie entsprechen. Sie können so viele benannte Richtlinien erstellen, ändern 

oder löschen, wie es für jede Richtlinienkategorie erforderlich ist. 

Was sind die McAfee Default- und die My Default-Richtlinien? 

Bei der Installation enthält jede Richtlinienkategorie mindestens zwei Richtlinien. Diese haben 

die Namen "McAfee Default" und "My Default". Bei Erstinstallationen sind dies die einzigen 

Richtlinien, die vorhanden sind. Die Konfigurationen sind für beide anfänglich identisch. 

Die benannten McAfee Default-Richtlinien können weder bearbeitet noch umbenannt oder 

gelöscht werden. Die Richtlinien vom Typ "My Default" können bearbeitet, umbenannt und 

gelöscht werden. 

144 




Was geschieht mit den untergeordneten Gruppen und Systemen einer Gruppe, der 

eine neue Richtlinie zugewiesen wird? 

Alle untergeordneten Gruppen und Systeme, für die festgelegt ist, dass sie die jeweilige 

Richtlinienkategorie erben, erben die Richtlinie, die auf eine übergeordnete Gruppe angewendet 

wird. 

Wie wirkt sich die Änderung an einer Richtlinie im Richtlinienkatalog auf die Gruppen 

und Systeme aus, auf die diese Richtlinie angewendet wird? 

Alle Gruppen und Systeme, auf die eine Richtlinie angewendet wird, empfangen an der Richtlinie 

vorgenommene Änderungen bei der nächsten Agent-zu-Server-Kommunikation. Die Richtlinie 

wird dann bei jedem Richtlinienumsetzungsintervall umgesetzt. 

Ich habe eine neue Richtlinie zugewiesen, sie wird aber auf den verwalteten 

Systemen nicht umgesetzt. Warum? 

Neue Richtlinienzuweisungen werden erst bei der nächsten Agent-zu-Server-Kommunikation 

umgesetzt. 

Ich habe Richtlinienzuweisungen aus einem Quellspeicherort (Gruppe oder System) 

kopiert und an einem Zielspeicherort eingefügt, aber die am Zielspeicherort 

zugewiesenen Richtlinien sind mit denen am Quellspeicherort nicht identisch. Warum 

nicht? 

Beim Kopieren und Einfügen von Richtlinienzuweisungen werden nur echte Zuweisungen 

eingefügt. Wenn der Quellspeicherort eine Richtlinie geerbt hat, die Sie zum Kopieren ausgewählt 

haben, wurde am Zielspeicherort nur das Vererbungsmerkmal eingefügt. Daher erbt das Ziel 

dann die Richtlinie (für die jeweilige Richtlinienkategorie) von dem eigenen übergeordneten 

Element, sodass es sich um eine andere Richtlinie als die handeln kann, die an den 

Quellspeicherort vererbt wurde. 


145

Ausbringen von Software und Aktualisierungen 

Zusätzlich zum Verwalten von Sicherheitsprodukten kann ePolicy Orchestrator Produkte auf 

Ihren Netzwerksystemen ausbringen. Verwenden Sie ePolicy Orchestrator zum Ausbringen von 

Produkten und ihren Aktualisierungen. 

Wenn Sie zum Ausbringen von Sicherheitsprodukten und Aktualisierungen andere Tools als 

ePolicy Orchestrator verwenden möchten, können Sie dieses Kapitel überspringen. 

Bringen Sie Pakete zum ersten Mal aus? 

Wenn Sie Pakete erstmals ausbringen, gehen Sie wie folgt vor: 

1 Machen Sie sich mit der Produktausbringung und den Typen von Paketen vertraut, die 

ePolicy Orchestrator ausbringen kann. 

2 Konfigurieren Sie Abruf- und Replizierungstasks. 

3 Konfigurieren Sie Ausbringungs- und Aktualisierungstasks. 

4 Checken Sie Produkt- und Aktualisierungspakete in das Master-Repository ein. 

Inhalt 

Ausbringungspakete für Produkte und Aktualisierungen 

Ausbringen von Produkten und Aktualisierungen 

Manuelles Einchecken von Paketen 

Ausbringen von Produkten auf verwaltete Systeme mithilfe des Produktausbringungstasks 

Automatisches Ausbringen von Aktualisierungspaketen per globaler Aktualisierung 

Ausbringen von Aktualisierungspaketen mit Abruf- und Replizierungstasks 

Konfigurieren von Agentenrichtlinien zum Verwenden eines verteilten Repositorys 

Verwenden von lokalen verteilten Repositories, die nicht verwaltet werden 

Manuelles Einchecken von Modul-, DAT- und EXTRA.DAT-Aktualisierungspaketen 

Regelmäßiges Aktualisieren von verwalteten Systemen mit einem geplanten Aktualisierungstask 

Bestätigen, dass Clients die neuesten DAT-Dateien verwenden 

Testen neuer DAT-Dateien und Module vor dem Verteilen 

Manuelles Verschieben von DAT- und Modulpaketen zwischen Zweigen 

Löschen von DAT- oder Modulpaketen aus dem Master-Repository 

146 




Ausbringungspakete für Produkte und 

Aktualisierungen 

Die ePolicy Orchestrator-Ausbringungsinfrastruktur unterstützt sowohl das Ausbringen als auch 

das Aktualisieren von Produkten und Komponenten. 

Jedes McAfee-Produkt, das von ePolicy Orchestrator ausgebracht werden kann, enthält ein 

Produktausbringungspaket in Form einer ZIP-Datei. Sobald diese Pakete in das Master-Repository 

eingecheckt sind, kann ePolicy Orchestrator sie auf allen verwalteten Systemen ausbringen. 

Die ZIP-Datei enthält die in einem sicheren Format komprimierten Installationsdateien für das 

Produkt. 

ZIP-Dateien werden sowohl für Virusdefinitionsdatein (DAT-Dateien) als auch für 

Modulaktualisierungspakete verwendet. 

Die Produktrichtlinien können vor und nach der Ausbringung konfiguriert werden. Sie sollten 

die Richtlinieneinstellungen jedoch vor dem Ausbringen des Produkts in Ihren Netzwerksystemen 

konfigurieren. Damit sparen Sie Zeit und stellen sicher, dass Ihre Systeme zum frühestmöglichen 

Zeitpunkt geschützt werden. 

Folgende Pakettypen können mithilfe von Abruftasks oder manuell in das Master-Repository 

eingecheckt werden. 

Unterstützte Pakettypen 

Pakettyp 

Virusdefinitionsdateien (DAT) 

Dateityp: ZIP 

Scanmodul 

Dateityp: ZIP 

Beschreibung 

Die normalen, täglich von McAfee 

veröffentlichten DAT-Dateien. 

Das aktualisierte Scanmodul für 

Antivirenprodukte von McAfee, z. B. 

VirusScan Enterprise. Module werden 

normalerweise ein- oder zweimal im 

Jahr aktualisiert. 

Ursprung 

McAfeeFtp- und 

McAfeeHttp-Aktualisierungssites sowie die 

McAfee-Website. Laden Sie die 

DAT-Dateien mithilfe eines Abruftasks 

direkt in das Master-Repository herunter, 

oder laden Sie sie manuell herunter und 

checken sie in das Master-Repository ein. 

McAfeeFtp- und 

McAfeeHttp-Aktualisierungssites sowie die 

McAfee-Website. Laden Sie die 

Moduldateien mithilfe eines Abruftasks 

direkt in das Master-Repository herunter, 

oder laden Sie sie manuell herunter und 

checken sie in das Master-Repository ein. 

SuperDAT-Dateien (SDAT.EXE) 

Dateityp: SDAT.EXE 

Ergänzende 

Virusdefinitionsdateien 

(EXTRA.DAT) 

Dateityp: EXTRA.DAT 

Die SuperDAT-Dateien enthalten sowohl McAfee-Website. Laden Sie die 

DAT- als auch Moduldateien in einem SuperDAT-Dateien herunter, und checken 

Aktualisierungspaket. Bei Problemen Sie sie manuell in das Master-Repository 

mit der Bandbreite sollten Sie DAT- und ein. 

Moduldateien getrennt aktualisieren. 

Die EXTRA.DAT-Dateien beziehen sich McAfee-Website. Laden Sie die 

auf mindestens eine bestimmte ergänzenden Virusdefinitionsdateien 

Bedrohung, die erst nach der zuletzt herunter, und checken Sie sie manuell in 

veröffentlichten DAT-Datei aufgetreten das Master-Repository ein. 

ist. Wenn eine ernsthafte Bedrohung 

vorliegt, sollten Sie die 

EXTRA.DAT-Datei sofort verteilen und 

nicht warten, bis die Signatur zur 

nächsten DAT-Datei hinzugefügt wird. 

EXTRA.DAT-Dateien werden auf der 

McAfee-Website veröffentlicht. Sie 

können sie mithilfe von ePolicy 

Orchestrator verteilen. 


147



Pakettyp 

Produktausbringungspakete 

Dateityp: ZIP 

Agenteninstallationspakete 

Dateityp: ZIP 

Agentensprachpakete 

Dateityp: ZIP 

Beschreibung 

EXTRA.DAT-Dateien werden nicht mit 

Abruftasks abgerufen. 

Produktausbringungspakete enthalten 

die Installationsdateien für ein 

McAfee-Produkt. 

Agenteninstallationspakete enthalten 

die Installationsdateien für den 

Agenten. 

Agentensprachpakete enthalten die 

Dateien, die für das Anzeigen der 

Agenteninformationen in einer 

bestimmten Sprache erforderlich sind. 

Ursprung 

Produkt-CD oder heruntergeladene 

ZIP-Datei. Checken Sie 

Produktausbringungspakete manuell in 

das Master-Repository ein. In der 

Dokumentation für das jeweilige Produkt 

finden Sie die genauen Speicherorte. Nur 

die Ausbringungspakete für den Agenten 

und System Compliance Profiler werden 

bei der Installation des ePO-Servers in das 

Master-Repository eingecheckt. 

Master-Repository; während der 

Installation eingecheckt. Bei zukünftigen 

Agentenversionen müssen die 

Agenteninstallationspakete manuell in das 

Master-Repository eingecheckt werden. 

Master-Repository; während der 

Installation eingecheckt. Bei zukünftigen 

Agentenversionen müssen die 

Agentensprachpakete manuell in das 


Paketsignaturen und Sicherheit 

Alle von McAfee erstellten und verteilten Pakete werden mit einem Schlüsselpaar signiert, wobei 

das DSA-Signaturverifizierungssystem (Digital Signature Algorithm) und die 

168-Bit-3DES-Verschlüsselung zum Einsatz kommen. Schlüssel werden verwendet, um 

vertrauliche Daten zu ver- oder entschlüsseln. 

Sie werden benachrichtigt, wenn Sie Pakete einchecken, die nicht von McAfee signiert sind. 

Wenn Sie den Paketinhalt als gültig und vertrauenswürdig erachten, können Sie jedoch auch 

unsignierte Pakete einchecken. Diese Pakete werden auf dieselbe Weise wie oben beschrieben 

gesichert, werden jedoch beim Einchecken von ePolicy Orchestrator signiert. 

Digitale Signaturen garantieren, dass Pakete von McAfee stammen oder von Ihnen eingecheckt 

wurden und dass sie weder manipuliert noch beschädigt wurden. Der Agent vertraut nur 

Paketdateien, die von ePolicy Orchestrator oder McAfee signiert sind. Dadurch wird verhindert, 

dass in Ihrem Netzwerk Pakete empfangen werden, die nicht signiert sind oder aus nicht 

vertrauenswürdigen Quellen stammen. 

Unterstützung früherer Produkte 

Frühere Produkte verwenden für die Installation von Produktaktualisierungen eine flache 

Verzeichnisstruktur mit den Clienttasks "AutoUpdate" und "AutoUpgrade". Neuere Produkte, 

die AutoUpdate 7.0 nutzen, verwenden dazu eine hierarchische Verzeichnisstruktur und den 

Aktualisierungstask. 

Wenn es sich bei dem Aktualisierungsspeicherort, den Sie für den Task "AutoUpdate" oder 

"AutoUpgrade" angeben, um ein verteiltes Repository handelt, das von ePolicy Orchestrator 

verwaltet wird, müssen Sie die Unterstützung früherer Produkte aktivieren, um das entsprechende 

Paket in das Master-Repository einzuchecken. Dadurch werden die Pakete in beide 

Verzeichnisstrukturen kopiert, und frühere Produkte werden unterstützt. 

148 




Paketreihenfolge und Versionsabhängigkeiten 

Wenn eine Produktaktualisierung von einer anderen abhängig ist, müssen Sie die Pakete in der 

erforderlichen Reihenfolge in das Master-Repository einchecken. Wenn beispielsweise Patch 2 

auf Patch 1 beruht, müssen Sie Patch 1 vor Patch 2 einchecken. Die Reihenfolge der Pakete 

kann nach dem Einchecken nicht mehr geändert werden. Sie müssen sie dann entfernen und 

in der richtigen Reihenfolge erneut einchecken. Wenn Sie ein Paket einchecken, das ein 

vorhandenes Paket ersetzt, wird das vorhandene Paket automatisch entfernt. 


Durch die Repository-Infrastruktur von ePO können Sie Produkt- und Aktualisierungspakete von 

einer zentralen Stelle aus in Ihre verwalteten Systeme ausbringen. Obwohl dieselben Repositories 

verwendet werden, gibt es Unterschiede. 

Vergleich von Produktausbringungs- und Aktualisierungspaketen 


Müssen manuell in das Master-Repository eingecheckt 

werden. 

Können in verteilte Repositories repliziert und während 

einer globalen Aktualisierung in verwalteten Systemen 

installiert werden. 

Aktualisierungspakete 

DAT- und Modulaktualisierungspakete können mit einem 

Abruftask automatisch aus der Quellsite kopiert werden. 

Alle anderen Pakete müssen manuell in das 


Können in verteilte Repositories repliziert und während 

einer globalen Aktualisierung automatisch in verwalteten 

Systemen installiert werden. 

Sofern keine globale Aktualisierung für eine 

Produktausbringung implementiert wird, muss ein 

Ausbringungstask so konfiguriert und geplant werden, 

dass das Paket von den verwalteten Systemen abgerufen 

wird. 

Sofern keine globale Aktualisierung für eine 

Produktaktualisierung implementiert wird, muss ein 

Client-Aktualisierungstask konfiguriert und geplant werden, 

damit das Paket von den verwalteten Systemen abgerufen 

wird. 

Ausbringen und Aktualisieren von Produkten 

Gehen Sie zum Verteilen von DAT- und Modulaktualisierungspaketen wie folgt vor: 

1 Checken Sie das Aktualisierungspaket in das Master-Repository ein, entweder mithilfe eines 

Abruftasks oder manuell. 

2 Bei einer globalen Aktualisierung sind keine weiteren Schritte erforderlich, sofern die globale 

Aktualisierung konfiguriert und aktiviert wurde. 

Wenn Sie keine globale Aktualisierung verwenden, können Sie die Inhalte des 

Master-Repositorys mithilfe eines Replizierungstasks in die verteilten Repositories kopieren. 

3 Wenn Sie die globale Aktualisierung nicht verwenden, erstellen und planen Sie einen 

Aktualisierungs- oder Ausbringungstask, damit die Agenten die Aktualisierung in den 

verwalteten Systemen abrufen und installieren. 

Ausbringungstasks 

Nachdem Sie das Produktausbringungspaket eingecheckt haben, können Sie das Produkt mithilfe 

des Clienttasks für Produktausbringung auf den verwalteten Systemen installieren. Der Task 

installiert jedes Produkt, das über ePolicy Orchestrator ausgebracht werden kann und in das 

Master-Repository eingecheckt wurde. 


149




Sie können den Produktausbringungstask für jede Gruppe und jedes einzelne System ausführen. 

Wenn Sie sich für eine Vorgehensweise für die Produktausbringung entschieden haben, sollten 

Sie die Paketgröße und die verfügbare Netzwerkbandbreite zwischen den Master- oder verteilten 

Repositories und den verwalteten Systemen einschätzen. Zusätzlich zu einer eventuellen 

Überlastung des ePO-Servers oder Ihres Netzwerks kann bei einer Ausbringung auf zu vielen 

Systemen die Fehlerbehebung sehr kompliziert werden. 

Möglicherweise ist es sinnvoll, die Produkte nacheinander auf Systemgruppen zu installieren. 

Wenn Ihre Netzwerkverbindungen schnell sind, versuchen Sie, die Ausbringung jeweils auf 

mehreren hundert Clients gleichzeitig durchzuführen. Bei langsameren oder weniger zuverlässigen 

Netzwerkverbindungen sollten Sie es mit kleineren Gruppen versuchen. Während der Ausbringung 

in der jeweiligen Gruppe sollten Sie die Ausbringung überwachen, Berichte zum Bestätigen 

erfolgreicher Installationen ausführen und Probleme mit einzelnen Systemen beheben. 

Wenn Sie McAfee-Produkte oder -Komponenten ausbringen, die auf einem Teil Ihrer verwalteten 

Systeme installiert sind, gehen Sie wie folgt vor: 

1 Verwenden Sie ein Tag, um diese Systeme zu identifizieren. 

2 Erstellen Sie eine Abfrage zu dem Tag, und führen Sie sie aus, um die Systeme in eine 

Tabelle aufzunehmen. 

3 Bringen Sie die Software auf die Systeme aus. 

Aktualisierungstasks 

Nachdem ein Aktualisierungspaket in das Master-Repository eingecheckt und in die verteilten 

Repositories repliziert wurde, müssen die Agenten auf den verwalteten Systemen erfahren, 

wann sie die Aktualisierungen von den verteilten Repositories abrufen sollen. Dieser Schritt ist 

bei einer globalen Aktualisierung nicht erforderlich. 

Sie können Client-Aktualisierungstasks erstellen und festlegen, wann und wie die 

Aktualisierungspakete von den verwalteten Systemen abgerufen werden. Wenn Sie die globale 

Aktualisierung nicht verwenden, ist das Erstellen dieser Tasks die einzige Möglichkeit, die 

Clientaktualisierung mit ePolicy Orchestrator zu steuern. 

Bei Verwendung der globalen Aktualisierung ist dieser Task nicht erforderlich. Sie können 

dennoch als Absicherung einen täglichen Task erstellen. 

Erwägungen beim Erstellen von Client-Aktualisierungstasks 

Ziehen Sie beim Planen von Client-Aktualisierungstasks Folgendes in Erwägung: 

• Erstellen Sie einen Client-Aktualisierungstask für die tägliche Aktualisierung der DAT- und 

Moduldateien auf der obersten Ebene der Systemstruktur, der von allen Systemen geerbt 

wird. In großen Unternehmen sollten Sie Zufallsintervalle verwenden, damit weniger 

Bandbreite in Anspruch genommen wird. Bei großen Netzwerken mit Niederlassungen in 

verschiedenen Zeitzonen sollte der Task für die einzelnen Systeme zur lokalen Systemzeit 

ausgeführt werden und nicht für alle Systeme gleichzeitig. Auf diese Weise erreichen Sie 

eine bessere Lastenverteilung im Netzwerk. 

• Wenn Sie Replizierungstasks planen, legen Sie den Task so fest, dass er mindestens eine 

Stunde nach dem geplanten Replizierungstask ausgeführt wird. 

• Führen Sie Aktualisierungstasks für DAT- und Moduldateien mindestens einmal täglich aus. 

Durch häufige Aktualisierungen können Sie verhindern, dass verwaltete Systeme, die offline 

sind, einen geplanten Task verpassen. Auf diese Weise wird die rechtzeitige Aktualisierung 

dieser Systeme sichergestellt. 

150 




• Für eine maximale Bandbreiteneffizienz sollten Sie verschiedene geplante 

Client-Aktualisierungstasks erstellen, mit denen separate Komponenten aktualisiert werden 

und die zu unterschiedlichen Zeiten ausgeführt werden. So können Sie beispielsweise einen 

Task erstellen, mit dem nur DAT-Dateien aktualisiert werden, und einen weiteren Task, mit 

dem DAT- und Moduldateien wöchentlich oder monatlich aktualisiert werden. Modulpakete 

werden weniger häufig veröffentlicht. 

• Erstellen und planen Sie weitere Tasks zum Aktualisieren von Produkten, die nicht den 

Windows-Agenten verwenden. 

• Erstellen Sie einen Task zum Aktualisieren der wichtigsten Workstation-Anwendungen (z. B. 

VirusScan Enterprise), um zu gewährleisten, dass alle Anwendungen aktualisiert werden. 

Planen Sie ihn so, dass er täglich oder mehrmals täglich ausgeführt wird. 

Globale Aktualisierung 

Sie sollten für Aktualisierungen die globale Aktualisierung verwenden. Durch die globale 

Aktualisierung wird das Replizieren auf die verteilten Repositories und das Aktualisieren der 

verwalteten Systeme automatisiert. Es sind keine Replizierungs- und Aktualisierungstasks 

erforderlich. Stattdessen wird durch das Einchecken von Inhalten in das Master-Repository eine 

globale Aktualisierung ausgelöst. Dieser Vorgang dauert in den meisten Umgebungen nicht 

länger als eine Stunde. 

Sie können außerdem angeben, durch welche Pakete und Aktualisierungen eine globale 

Aktualisierung ausgelöst wird. Wenn nur bestimmte Inhalte eine globale Aktualisierung auslösen 

sollen, müssen Sie einen Task erstellen, der alle anderen Inhalte repliziert und verteilt. 

HINWEIS: Wenn Sie die globale Aktualisierung verwenden, sollten Sie einen regelmäßigen 

Abruftask (zum Aktualisieren des Master-Repositorys) planen, der bei minimaler 

Netzwerkauslastung ausgeführt wird. Die globale Aktualisierung ist zwar die schnellste 

Aktualisierungsmethode, verursacht dabei jedoch verstärkten Netzwerkverkehr. 

Der Vorgang der globalen Aktualisierung 

Bei der globalen Aktualisierung werden die meisten Umgebungen innerhalb einer Stunde mithilfe 

des folgenden Prozesses aktualisiert: 

1 Inhalte werden in das Master-Repository eingecheckt. 

2 Inhalte des Master-Repositorys werden automatisch in die verteilten Repositories repliziert. 

3 Eine SuperAgent-Reaktivierung mit der Datei SITESTAT.XML wird an alle Agenten gesendet. 

In dieser Datei ist der Inhalt des Master-Repositorys aufgeführt. Wenn die verwalteten 

Systeme ein in der Liste enthaltenes Paket benötigen, ruft der Agent dieses Paket aus dem 

verteilten Repository ab. 

4 Alle Agenten rufen neue Aktualisierungen aus den verteilten Repositories ab. 

Voraussetzungen 

Folgende Voraussetzungen müssen für das Implementieren der globalen Aktualisierung erfüllt 

sein: 

• Auf jedem Übertragungssegment ist ein SuperAgent installiert. Verwaltete Systeme können 

erst dann eine SuperAgent-Reaktivierung empfangen, wenn sich ein SuperAgent im selben 

Übertragungssegment befindet. Bei der globalen Aktualisierung werden 

SuperAgent-Reaktivierungen verwendet, um die Agenten über neu verfügbare 

Aktualisierungen zu benachrichtigen. 


151



• Verteilte Repositories wurden in Ihrer Umgebung eingerichtet und konfiguriert. McAfee 

empfiehlt die Verwendung von SuperAgent-Repositories. Sie sind jedoch nicht erforderlich, 

da die globale Aktualisierung mit allen Arten von verteilten Repositories funktioniert. 

• Wenn Sie SuperAgent-Repositories verwenden, müssen die verwalteten Systeme das 

Repository mit den Aktualisierungen erkennen können. Damit Systeme Reaktivierungen 

empfangen können, muss in jedem Übertragungssegment zwar ein SuperAgent vorhanden 

sein, SuperAgent-Repositories sind jedoch nicht erforderlich. 

Abruftasks 

Abruftasks aktualisieren Ihr Master-Repository mit den DAT- und Modulaktualisierungspaketen 

aus der Quellsite. DAT- und Moduldateien werden häufig aktualisiert. McAfee veröffentlicht 

neue DAT-Dateien täglich und Moduldateien etwas seltener. Bringen Sie diese Pakete so schnell 

wie möglich auf die verwalteten Systeme aus, um diese vor den neuesten Bedrohungen zu 

schützen. 

In dieser Version können Sie festlegen, welche Pakete aus der Quellsite in das Master-Repository 

kopiert werden sollen. 

HINWEIS: EXTRA.DAT-Dateien müssen manuell in das Master-Repository eingecheckt werden. 

Diese Dateien werden auf der McAfee-Website veröffentlicht. 

Repository-Abruf-Servertasks werden automatisch und regelmäßig zu den von Ihnen festgelegten 

Zeiten ausgeführt. So können Sie beispielsweise einen wöchentlichen Repository-Abruftask für 

jeden Donnerstag um 05:00 Uhr planen. 

Sie können den Task "Jetzt abrufen" auch so planen, dass Aktualisierungen sofort in das 

Master-Repository eingecheckt werden, zum Beispiel wenn McAfee Sie vor einem sich schnell 

ausbreitenden Virus warnt und zum Schutz vor diesen Virus eine neue DAT-Datei veröffentlicht. 

Wenn Abruftasks nicht erfolgreich abgeschlossen werden, müssen Sie die Pakete manuell in 

das Master-Repository einchecken. 

Nach dem Aktualisieren des Master-Repositorys können Sie diese Aktualisierungen mit 

Replizierungstasks oder über die globale Aktualisierung automatisch in Ihren Systemen verteilen. 

Erwägungen beim Planen von Abruftasks 

Berücksichtigen Sie beim Planen von Abruftasks Folgendes: 

• Auslastung von Bandbreite und Netzwerk. Wenn Sie (wie empfohlen) die globale 

Aktualisierung verwenden, sollten Sie die Ausführung von Abruftasks bei geringer Auslastung 

des Netzwerks planen. Bei der globalen Aktualisierung werden die Aktualisierungsdateien 

automatisch verteilt, sobald der Abruftask abgeschlossen ist. 

• Häufigkeit des Tasks. DAT-Dateien werden täglich veröffentlicht, was Sie aber möglicherweise 

nicht täglich in Anspruch nehmen. 

• Replizierungs- und Aktualisierungstasks. Planen Sie Replizierungs- und 

Client-Aktualisierungstasks, um die Verteilung der Aktualisierungsdateien in Ihrer Umgebung 

zu gewährleisten. 

Replizierungstasks 

Verwenden Sie Replizierungstasks zum Kopieren von Inhalten des Master-Repositorys in verteilte 

Repositories. Replizieren Sie Inhalte im Master-Repository in alle verteilten Repositories. 

152 




Andernfalls können diese Aktualisierungen von einigen Systemen nicht empfangen werden. 

Stellen Sie sicher, dass alle verteilten Repositories aktuell sind. 

HINWEIS: Wenn Sie alle Aktualisierungen global vornehmen, sind Replizierungstasks für Ihre 

Umgebung unter Umständen nicht erforderlich. Allerdings werden sie zur Absicherung empfohlen. 

Wenn Sie Aktualisierungen dagegen generell nicht global vornehmen, müssen Sie einen 

Servertask vom Typ "Repository-Replizierung" planen oder einen Task vom Typ "Jetzt replizieren" 

ausführen. 

Um zu gewährleisten, dass die verteilten Repositories auf dem neuesten Stand sind, sollten Sie 

regelmäßige Servertasks zur Repository-Replizierung planen. Mit dem Planen von täglichen 

Replizierungstasks stellen Sie sicher, dass die verwalteten Systeme aktuell bleiben. Automatisieren 

Sie die Replizierung in Ihre verteilten Repositories, indem Sie Repository-Replizierungstasks 

verwenden. 

Gelegentlich müssen Sie an Ihrem Master-Repository Änderungen vornehmen, die Sie sofort in 

Ihren verteilten Repositories replizieren möchten, statt auf die nächste geplante Replizierung 

zu warten. Führen Sie in diesem Fall einen Task "Jetzt replizieren" aus, um Ihre verteilten 

Repositories manuell zu aktualisieren. 

Vergleich von vollständiger und inkrementeller Replizierung 

Wählen Sie beim Erstellen eines Replizierungstasks die Inkrementelle Replizierung oder die 

Vollständige Replizierung aus. Bei inkrementeller Replizierung werden nur die neuen 

Aktualisierungen im Master-Repository kopiert, die sich noch nicht im verteilten Repository 

befinden. Dadurch sinkt die Netzwerkbelastung. Bei einer vollständigen Replizierung wird der 

gesamte Inhalt des Master-Repositorys kopiert. 

TIPP: Sie sollten täglich eine inkrementelle Replizierung und wöchentlich eine vollständige 

Replizierung ausführen. Dadurch wird die Effizienz der Netzwerkbandbreite erhöht, da an 

Wochentagen lediglich wesentliche, inkrementelle Änderungen aktualisiert werden. Außerdem 

wird Vollständigkeit gewährleistet. 

Repository-Auswahl 

Neue verteilte Repositories werden zur Repository-Listendatei hinzugefügt, die alle verfügbaren 

verteilten Repositories enthält. Die Agenten der verwalteten Systeme aktualisieren diese Datei 

bei jeder Kommunikation mit dem ePO-Server. Bei jedem Start des Agentendienstes (McAfee 

Framework-Dienst) und bei Änderungen der Repository-Liste wird ein Repository vom Agenten 

ausgewählt. 

Durch die selektive Replizierung kann die Aktualisierung einzelner Repositories besser gesteuert 

werden. Wenn Sie Replizierungstasks planen, haben Sie folgende Möglichkeiten: 

• Wählen Sie bestimmte verteilte Repositories, auf die der Task angewendet werden soll. 

Durch das Replizieren auf verschiedene verteilte Repositories zu unterschiedlichen Uhrzeiten 

wird die erforderliche Bandbreite reduziert. Diese Repositories können beim Erstellen oder 

Bearbeiten des Replizierungstasks angegeben werden. 

• Wählen Sie bestimmte Dateien und Signaturen, die auf verteilte Repositories repliziert werden 

sollen. Wenn Sie auswählen, welche Dateitypen für jedes System erforderlich sind, das sich 

in das verteilte Repository eincheckt, wird die erforderliche Bandbreite reduziert. Wenn Sie 

Ihre verteilten Repositories definieren oder bearbeiten, können Sie festlegen, welche Pakete 

in das verteilte Repository repliziert werden sollen. 

HINWEIS: Diese Funktion ist für das Aktualisieren von Produkten gedacht, die nur auf einem 

Teil der Systeme in Ihrer Umgebung installiert sind, z. B. GroupShield und WebShield. Mithilfe 


153



der Funktion können Sie diese Aktualisierungen auf die verteilten Repositories beschränken, 

die diese Systeme verwenden. 

Auswählen von Repositories durch Agenten 

Standardmäßig können Agenten versuchen, Aktualisierungen von jedem Repository in der 

Repository-Listendatei durchzuführen. Agenten können mithilfe einer Netzwerk-ICMP-Ping-Abfrage 

oder einem Subnetzadressen-Vergleichsalgorithmus das verteilte Repository mit der kürzesten 

Reaktionszeit suchen. Meist ist dies das verteilte Repository, das sich im Netzwerk dem System 

am nächsten befindet. 

Wenn Sie verteilte Repositories in der Agentenrichtlinie aktivieren oder deaktivieren, können 

Sie steuern, welche verteilten Repositories die Agenten zum Aktualisieren verwenden. Sie sollten 

Repositories in den Richtlinieneinstellungen jedoch nicht deaktivieren. Wenn die Agenten sich 

über ein beliebiges verteiltes Repository aktualisieren können, wird gewährleistet, dass sie die 

Aktualisierungen bekommen. 

Servertask-Protokoll 

Das Servertask-Protokoll enthält zusätzlich zu allen Servertasks Informationen zu den Abrufund 

Replizierungstasks. Dem Protokoll können Sie den Status des jeweiligen Tasks und eventuelle 

Fehler entnehmen. 

Informationen zu Replizierungstasks im Servertask-Protokoll 

Folgende Informationen zu Replizierungstasks sind auf der Registerkarte Berichterstellung | 

Servertask-Protokoll verfügbar: 

• Startdatum und Taskdauer 

• Taskstatus für jede Site (wenn erweitert) 

• Eventuelle Fehler und Warnungen (und deren Codes) und für welche Site sie gelten 

Informationen zu Abruftasks im Servertask-Protokoll 

Folgende Informationen zu Abruftasks sind auf der Registerkarte Berichterstellung | 

Servertask-Protokoll verfügbar: 

• Startdatum und Taskdauer 

• Fehler oder Warnungen und die zugehörigen Codes 

• Status der einzelnen Pakete, die in das Master-Repository eingecheckt werden 

• Informationen zu neuen Paketen, die in das Master-Repository eingecheckt werden 


Gehen Sie wie nachfolgend beschrieben vor, um Ausbringungspakete manuell in das 

Master-Repository einzuchecken, damit ePolicy Orchestrator sie ausbringen kann. 



HINWEIS: Sie können keine Pakete einchecken, während Abruf- oder Replizierungstasks 

ausgeführt werden. 

154 






1 Wechseln Sie zu Software | Master-Repository, und klicken Sie dann auf Paket 

einchecken. Der Assistent zum Einchecken von Paketen wird angezeigt. 

Abbildung 24: Registerkarte "Master-Repository" 

2 Wählen Sie den Pakettyp aus, wechseln Sie dann zur gewünschten Paketdatei, und wählen 

Sie sie aus. 

3 Klicken Sie auf Weiter. Die Seite Paketoptionen wird angezeigt. 

4 Wählen Sie neben Zweig den gewünschten Zweig aus. 

Wenn in Ihrer Umgebung neue Pakete vor dem Ausbringen in die Produktionsumgebung 

getestet werden müssen, sollten Sie beim Einchecken von Paketen den Zweig "Test" 

verwenden. Nach Abschluss der Tests können Sie die Pakete auf der Registerkarte 

Software | Master-Repository in den Zweig "Aktuell" verschieben. 

5 Wählen Sie neben Optionen Folgendes aus: 

• NetShield für NetWare unterstützen – Checkt ein Paket für NetShield für NetWare 

ein. 

• Vorhandenes Paket in den Zweig "Vorherige" verschieben – Verschiebt das 

vorhandene Paket vom selben Typ (aber mit unterschiedlicher Version) in den Zweig 

"Vorherige", wenn das neue Paket eingecheckt wird. 

6 Klicken Sie auf Speichern, um mit dem Einchecken des Pakets zu beginnen. Warten Sie, 

während das Paket eingecheckt wird. 

Das neue Paket wird auf der Registerkarte Master-Repository in der Liste Pakete im 

Master-Repository angezeigt. 


155



Ausbringen von Produkten auf verwaltete Systeme 

mithilfe des Produktausbringungstasks 

Gehen Sie wie nachfolgend beschrieben vor, um Produkte mithilfe des Clienttasks für 

Produktausbringung auf verwaltete Systeme auszubringen. In ePolicy Orchestrator 4.0 können 

Sie diesen Task für ein einzelnes System oder für Gruppen in der Systemstruktur erstellen. 

Aufgaben 

Konfigurieren des Ausbringungstasks für Gruppen verwalteter Systeme 

Konfigurieren des Ausbringungstasks zum Installieren von Produkten auf einem verwalteten 

System 

Konfigurieren des Ausbringungstasks für Gruppen verwalteter 

Systeme 

Gehen Sie wie nachfolgend beschrieben vor, um den Produktausbringungstask zum Ausbringen 

von Produkten auf Gruppen verwalteter Systeme in der Systemstruktur zu konfigurieren. 



1 Wechseln Sie zu Systeme | Systemstruktur | Clienttasks, und wählen Sie dann eine 

Gruppe in der Systemstruktur aus. 

2 Klicken Sie auf Neuer Task, benennen Sie den Task, und wählen Sie dann in der 

Dropdownliste Tasktyp den Eintrag Produktausbringung (McAfee Agent) aus. 

3 Geben Sie im Feld Hinweise beschreibende Informationen ein. 

Die hier eingegebenen Informationen sind nur dann sichtbar, wenn Sie den Task bei dieser 

Gruppe oder einer untergeordneten Gruppe öffnen, die den Task aus dieser Gruppe erbt. 

4 Klicken Sie auf Weiter. Die Seite Konfiguration wird angezeigt. 

5 Wählen Sie die gewünschten Plattformen aus, auf denen die Pakete ausgebracht werden 

sollen. 

6 Wählen Sie neben Auszubringende Produkte in der ersten Dropdownliste das gewünschte 

Produkt aus. 

Aufgeführt sind diejenigen Produkte, für die Sie bereits eine PKGCATALOG.Z-Datei in das 

Master-Repository eingecheckt haben. Wenn das Produkt, das Sie ausbringen möchten, 

hier nicht aufgeführt ist, müssen Sie zuerst die PKGCATALOG.Z-Datei dieses Produkts 

einchecken. 

7 Setzen Sie die Aktion auf Installieren, und wählen Sie dann die Sprachversion des Pakets 

aus. 

8 Geben Sie die gewünschten Befehlszeilenoptionen für die Installation in das Textfeld 

Befehlszeile ein. Informationen zu Befehlszeilenoptionen des zu installierenden Produkts 

finden Sie in der Produktdokumentation. 




156 




11 Überprüfen Sie die Details zum Produktausbringungstask, und klicken Sie dann auf 

Speichern. 

Konfigurieren des Ausbringungstasks zum Installieren von 

Produkten auf einem verwalteten System 

Gehen Sie wie nachfolgend beschrieben vor, um Produkte mithilfe des Produktausbringungstasks 

auf einem einzelnen System auszubringen. 

Erstellen Sie einen Clienttask für Produktausbringung für ein einzelnes System, wenn für dieses 

System Folgendes erforderlich ist: 

• Ein installiertes Produkt, das von den anderen Systemen in derselben Gruppe nicht benötigt 

wird 

• Eine andere Planung als bei den anderen Systemen in der Gruppe, wenn sich ein System 

beispielsweise in einer anderen Zeitzone als die anderen gleichrangigen Systeme befindet 



1 Wechseln Sie zu Systeme | Systemstruktur | Systeme, und wählen Sie dann in der 

Systemstruktur die Gruppe aus, die das gewünschte System enthält. 

2 Aktivieren Sie das Kontrollkästchen neben dem gewünschten System. 

3 Klicken Sie auf Tasks auf einem einzelnen System ändern. Eine Liste mit den diesem 

System zugewiesenen Tasks wird angezeigt. 

HINWEIS: Möglicherweise müssen Sie auf Weitere Aktionen klicken, um auf die Option 

Tasks auf einem einzelnen System ändern zugreifen zu können. 

4 Klicken Sie auf Neuer Task. Die Seite Beschreibung des Clienttask-Generators wird 

angezeigt. 

5 Wählen Sie in der Dropdownliste Typ den Eintrag Produktausbringung (McAfee Agent) 

aus. 

6 Geben Sie im Feld Hinweise beschreibende Informationen ein. 

Die hier eingegebenen Informationen werden nur dann angezeigt, wenn Sie den Task auf 

dem System öffnen, für das Sie den Task konfigurieren. 

7 Legen Sie neben Vererbung fest, ob dieses System die Taskplanung und -Einstellungen 

aus der übergeordneten Gruppe der Systemstruktur erben soll. 

8 Wählen Sie in der Dropdownliste Produkt den Eintrag McAfee Agent und anschließend 

in der Dropdownliste Typ den Eintrag Produktausbringung aus. 

9 Klicken Sie auf Weiter. Die Seite Konfiguration wird angezeigt. 

10 Wählen Sie die gewünschten Plattformen aus, auf denen die Pakete ausgebracht werden 

sollen. 

11 Wählen Sie neben Auszubringende Produkte in der ersten Dropdownliste das gewünschte 

Produkt aus. 

Aufgeführt sind diejenigen Produkte, für die Sie bereits eine PKGCATALOG.Z-Datei in das 

Master-Repository eingecheckt haben. Wenn das Produkt, das Sie ausbringen möchten, 

hier nicht aufgeführt ist, müssen Sie zuerst die PKGCATALOG.Z-Datei dieses Produkts 

einchecken. 


157


Automatisches Ausbringen von Aktualisierungspaketen per globaler Aktualisierung 

12 Setzen Sie die Aktion auf Installieren, und wählen Sie dann die Sprachversion des Pakets 

aus. 

13 Geben Sie die gewünschten Befehlszeilenoptionen für die Installation in das Textfeld 

Befehlszeile ein. Informationen zu Befehlszeilenoptionen des zu installierenden Produkts 

finden Sie in der Produktdokumentation. 




16 Überprüfen Sie die Details zum Produktausbringungstask, und klicken Sie dann auf 

Speichern. 

Automatisches Ausbringen von 

Aktualisierungspaketen per globaler Aktualisierung 

Gehen Sie wie nachfolgend beschrieben vor, um die globale Aktualisierung auf dem Server zu 

aktivieren. Bei der globalen Aktualisierung werden vom Benutzer angegebene 

Aktualisierungspakete automatisch auf verwaltete Systeme ausgebracht. 


• Repositories müssen erstellt und für alle Agenten verfügbar sein, die die 

SuperAgent-Reaktivierung erhalten. 

• In jedem Übertragungssegment mit Agenten, die die SuperAgent-Reaktivierung empfangen 

sollen, muss ein SuperAgent vorhanden sein. 

• Nur globale Administratoren können diese Schritte ausführen. 



1 Wechseln Sie zu Konfiguration | Servereinstellungen, wählen Sie Globale 

Aktualisierung aus, und klicken Sie dann unten auf der Seite auf Bearbeiten. 

Abbildung 25: Seite "Globale Aktualisierung bearbeiten" 

2 Wählen Sie auf der Seite Globale Aktualisierung bearbeiten neben Status die Option 

Aktiviert aus. 

3 Ändern Sie das Zufallsintervall bei Bedarf. Die Standardeinstellung beträgt 20 Minuten. 

158 




Jede Clientaktualisierung wird zu einem zufälligen Zeitpunkt innerhalb dieses Zufallsintervalls 

durchgeführt, wodurch die Netzwerkbelastung besser verteilt wird. Wenn Sie zum Beispiel 

1.000 Clients mit dem standardmäßigen Zufallsintervall von 20 Minuten aktualisieren, 

werden in diesem Zeitraum etwa 50 Clients pro Minute aktualisiert, wodurch das Netzwerk 

und der Server entlastet werden. Ohne die Zufallsgenerierung würden alle 1.000 Clients 

gleichzeitig aktualisiert werden. 

4 Wählen Sie neben Pakettypen aus, welche Pakete eine Aktualisierung auslösen. 

Die globale Aktualisierung wird nur dann ausgelöst, wenn für die hier ausgewählten 

Komponenten neue Pakete in das Master-Repository eingecheckt werden oder in einen 

anderen Zweig verschoben werden. Wählen Sie die Komponenten daher sorgfältig aus. 

5 Klicken Sie abschließend auf Speichern. 

Nachdem die globale Aktualisierung aktiviert wurde, wird eine Aktualisierung ausgelöst, 

sobald eines der ausgewählten Pakete eingecheckt oder in einen anderen Zweig verschoben 

wird. 

HINWEIS: Achten Sie darauf, dass ein Task vom Typ "Jetzt abrufen" ausgeführt wird und 

ein regelmäßiger Servertask vom Typ "Repository-Abruf" geplant ist, wenn die automatische 

Aktualisierung fertig konfiguriert ist. 

Ausbringen von Aktualisierungspaketen mit Abrufund 


Gehen Sie wie nachfolgend beschrieben vor, um nach dem Erstellen Ihrer Repository-Infrastruktur 

eine taskbasierte Aktualisierungsstrategie zu implementieren. Wenn Sie die globale Aktualisierung 

in Ihrer Umgebung nicht verwenden, sind Sie auf diese Tasks angewiesen. 


Vergewissern Sie sich, dass Repositories erstellt wurden und sich an Speicherorten befinden, 

auf die die verwalteten Systeme zugreifen können. 

Aufgaben 

Verwenden von Abruftasks zum Aktualisieren des Master-Repositorys 

Replizieren von Paketen aus dem Master-Repository in alle verteilten Repositories 

Verwenden von Abruftasks zum Aktualisieren des 

Master-Repositorys 

Verwenden Sie eine der nachfolgend beschriebenen Aufgaben, um den Inhalt des 

Master-Repositorys von der McAfee-Aktualisierungssite oder einer benutzerkonfigurierten 

Quellsite zu aktualisieren. 

Sie können Abruftasks planen oder sofort ausführen lassen. 


Vergewissern Sie sich, dass die Proxyeinstellungen so konfiguriert wurden, dass das 

Master-Repository auf die Quellsite zugreifen kann. 


159



Aufgaben 

Planmäßiges Ausführen eines Abruftasks 

Ausführen eines Tasks vom Typ "Jetzt abrufen" 

Planmäßiges Ausführen eines Abruftasks 

Gehen Sie wie nachfolgend beschrieben vor, um einen regelmäßigen Abruftask zu planen, der 

das Master-Repository aus der Quellsite aktualisiert. Je nach den Anforderungen des jeweiligen 

Zeitplans oder wenn zu unterschiedlichen Zeiten in verschiedene verteilte Repositories repliziert 

werden soll, müssen Sie dazu möglicherweise mehrere Servertasks erstellen. Für Tasks vom 

Typ "Jetzt abrufen" können Sie nun festlegen, welche Pakete aus der Quellsite kopiert werden 

sollen. 





1 Wechseln Sie zu Software | Master-Repository, und klicken Sie dann unten auf der 

Seite auf Abrufen planen. Die Seite Beschreibung des Assistenten Generator für 

Servertasks wird angezeigt. 

2 Benennen und beschreiben Sie den Task. 

3 Legen Sie fest, ob der Task aktiviert oder deaktiviert werden soll, und klicken Sie dann auf 


Deaktivierte Tasks können manuell, aber nicht zu festgelegten Zeiten ausgeführt werden. 

4 Wählen Sie in der Dropdownliste den Eintrag Repository-Abruf aus. 

Abbildung 26: Servertask-Aktion "Repository-Abruf" 

5 Wählen Sie die Quellsite aus, aus der Inhalte in das Master-Repository abgerufen werden 

sollen. 

6 Wählen Sie den Zweig aus, der die Pakete erhalten soll. 

Wählen Sie Test aus, um die Pakete zunächst in einer Testumgebung zu testen. 

Wählen Sie Aktuell aus, um die Pakete ohne vorherigen Test zu verwenden. 

7 Wählen Sie aus, was abgerufen werden soll: 

• Alle Pakete 

160 




• Ausgewählte Pakete – Wenn Sie diese Option auswählen, müssen Sie auf Pakete 

auswählen klicken und die Pakete festlegen, die beim Ausführen dieses Tasks aus der 

Quellsite abgerufen werden sollen. 

Abbildung 27: Dialogfeld "Verfügbare Quellsite-Pakete" 

8 Wählen Sie gegebenenfalls eine der weiteren folgenden Optionen aus: 

• NetShield für NetWare unterstützen 

• Vorhandene Pakete in den Zweig "Vorherige" verschieben 

9 Klicken Sie auf Weiter. Die Seite Plan des Assistenten wird angezeigt. 



HINWEIS: Die Seite Plan bietet eine größere Flexibilität als die Planungsfunktionen früherer 

Versionen. Außer der genauer abgestuften Planung bei sämtlichen Planungstypen können 

Sie auch Cron-Syntax verwenden, indem Sie den Planungstyp Erweitert auswählen. 

11 Überprüfen Sie die zusammengefassten Informationen, und klicken Sie dann auf Speichern. 

Der geplante Repository-Abruftask wird zur Taskliste auf der Seite Servertasks hinzugefügt. 

Ausführen eines Tasks vom Typ "Jetzt abrufen" 

Gehen Sie wie nachfolgend beschrieben vor, um einen Task vom Typ "Jetzt abrufen" zu starten, 

der das Master-Repository sofort aus der Quellsite aktualisiert. In dieser Version können Sie 

auswählen, welche Pakete aus der Quellsite in das Master-Repository kopiert werden. 


• Sie benötigen die erforderlichen Berechtigungen, um diese Schritte durchführen zu können. 

• Proxyeinstellungen müssen so konfiguriert sein, dass das Master-Repository auf die Quellsite 

zugreifen kann. 



1 Wechseln Sie zu Software | Master-Repository, und klicken Sie dann unten auf der 

Seite auf Jetzt abrufen. Der Assistent Jetzt abrufen wird angezeigt. 

2 Wählen Sie in der Liste der verfügbaren Repositories die Quellsite aus. 

3 Wählen Sie den Repository-Zweig aus, der die Pakete erhält. 

Wählen Sie Test aus, um die Pakete zunächst in einer Testumgebung zu testen. 


161



Wählen Sie Aktuell aus, um die Pakete ohne vorherigen Test zu verwenden. 

4 Wählen Sie NetShield für NetWare unterstützen aus, wenn in Ihrer Umgebung NetShield 

für NetWare ausgeführt wird. 

5 Wählen Sie Vorhandene Pakete in den Zweig "Vorherige" verschieben aus, um die 

aktuellen Paketversionen im Zweig "Aktuell" in den Zweig "Vorherige" zu verschieben. 

6 Klicken Sie auf Weiter. Die Seite Paketauswahl wird angezeigt. 

7 Wählen Sie aus, welche Pakete aus der Quellsite kopiert werden sollen, und klicken Sie 

dann auf Weiter. Die Seite Zusammenfassung wird angezeigt. 

8 Überprüfen Sie die Taskdetails, und klicken Sie dann auf OK, um den Abruftask zu starten. 

Die Seite Servertask-Protokoll wird angezeigt, auf der Sie den Status des Tasks bis zu 

dessen Abschluss verfolgen können. 

Replizieren von Paketen aus dem Master-Repository in alle 

verteilten Repositories 

Gehen Sie wie nachfolgend beschrieben vor, um Inhalte des Master-Repositorys in verteilte 

Repositories zu replizieren. Sie können einen regelmäßig auszuführenden Servertask zur 

Repository-Replizierung planen oder einen Task "Jetzt replizieren" zum sofortigen Replizieren 

ausführen. 

Aufgaben 

Planmäßiges Ausführen eines Servertasks vom Typ "Repository-Replizierung" 

Ausführen eines Tasks vom Typ "Jetzt replizieren" 

Planmäßiges Ausführen eines Servertasks vom Typ 

"Repository-Replizierung" 

Gehen Sie wie nachfolgend beschrieben vor, um einen geplanten Servertask vom Typ 

"Repository-Replizierung" zu erstellen. 



• Ihre verteilten Repositories müssen eingerichtet und zu ePolicy Orchestrator hinzugefügt 

sein. 




Replizierung planen. Die Seite Beschreibung des Assistenten Generator für 

Servertasks wird angezeigt. 


3 Legen Sie fest, ob der Task aktiviert oder deaktiviert werden soll, und klicken Sie dann auf 


Deaktivierte Tasks können manuell, aber nicht zu festgelegten Zeiten ausgeführt werden. 

162 




4 Wählen Sie in der Dropdownliste den Eintrag Repository-Replizierung aus. 

Abbildung 28: Servertask-Aktion "Repository-Replizierung" 

5 Wählen Sie in der Dropdownliste Replizierungstyp den Typ Inkrementell oder 

Vollständig aus. 

Bei Inkrementell werden nur die Unterschiede zwischen dem Master-Repository und den 

verteilten Repositories repliziert. 

Bei Vollständig werden sämtliche Inhalte des Master-Repositorys in die verteilten 

Repositories repliziert. 

6 Wählen Sie neben Replizieren in als Ziel Alle Repositories oder Ausgewählte 

Repositories aus. 

HINWEIS: Wenn Sie Ausgewählte Repositories auswählen, müssen Sie auf Repositories 

auswählen klicken, um festzulegen, welche verteilten Repositories Pakete erhalten, wenn 

dieser Task gestartet wird. 

7 Klicken Sie auf Weiter. Die Seite Plan des Assistenten wird angezeigt. 



HINWEIS: Die Seite Plan bietet eine größere Flexibilität als die Planungsfunktionen früherer 

Versionen. Außer der genauer abgestuften Planung bei sämtlichen Planungstypen können 

Sie auch Cron-Syntax verwenden, indem Sie den Planungstyp Erweitert auswählen. 

9 Überprüfen Sie die zusammengefassten Informationen, und klicken Sie dann auf Speichern. 

Der geplante Repository-Abruftask wird zur Taskliste auf der Seite Servertasks hinzugefügt. 

Ausführen eines Tasks vom Typ "Jetzt replizieren" 

Gehen Sie wie nachfolgend beschrieben vor, um Inhalte aus dem Master-Repository sofort in 

verteilte Repositories zu replizieren. 



• Alle verteilten Repositories, die an der Replizierung teilnehmen, müssen eingerichtet und zu 

ePolicy Orchestrator hinzugefügt werden. 



1 Wechseln Sie zu Software | Verteilte Repositories, und klicken Sie dann auf Jetzt 

replizieren. Der Assistent Jetzt replizieren wird mit der Seite Repositories angezeigt. 


163


Konfigurieren von Agentenrichtlinien zum Verwenden eines verteilten Repositorys 

2 Wählen Sie aus, welche verteilten Repositories an der Replizierung teilnehmen sollen, und 

klicken Sie dann auf Weiter. 

Wenn Sie nicht sicher sind, welche verteilten Repositories aktualisiert werden müssen, 

nehmen Sie die Replizierung in allen vor. 

3 Wählen Sie Inkrementelle Replizierung oder Vollständige Replizierung aus, und 

klicken Sie anschließend auf Weiter. 

HINWEIS: Wenn Sie zum ersten Mal in ein verteiltes Repository replizieren, wird eine 

vollständige Replizierung durchgeführt, auch wenn Sie die inkrementelle Replizierung 

ausgewählt haben. 

4 Klicken Sie auf Replizierung starten, um den Task zu starten. Die Seite 

Servertask-Protokoll wird angezeigt, auf der Sie den Status des Tasks bis zu dessen 

Abschluss verfolgen können. Die Replizierungszeit ist abhängig von den Änderungen im 

Master-Repository und der Anzahl der für die Replizierung ausgewählten verteilten 

Repositories. 

Nach Abschluss des Tasks können Sie einen sofortigen Client-Aktualisierungstask starten, 

damit verwaltete Systeme an anderen Standorten Aktualisierungen aus den verteilten 

Repositories abrufen können. 

Konfigurieren von Agentenrichtlinien zum 

Verwenden eines verteilten Repositorys 

Gehen Sie wie nachfolgend beschrieben vor, um anzupassen, wie Agenten verteilte Repositories 

auswählen. 



1 Wählen Sie auf der Seite Allgemein der McAfee Agent-Richtlinienseiten auf der 

Registerkarte Repositories die Option Diese Repository-Liste verwenden aus. 

2 Legen Sie unter Repository-Auswahl die Methode fest, die zum Sortieren von Repositories 

verwendet werden soll: 

• Ping-Zeit – Sendet einen ICMP-Ping an die (nach dem Subnetzwert) nächstgelegenen 

fünf Repositories und sortiert diese nach der Reaktionszeit. 

• Subnetz-Wert – Vergleicht die IP-Adressen von Clientsystemen und allen Repositories 

und sortiert Repositories anhand der Übereinstimmungen. Je mehr die IP-Adressen 

übereinstimmen, desto höher wird das Repository in der Liste eingestuft. 

• Reihenfolge in der Repository-Liste verwenden – Wählt Repositories auf Grundlage 

ihrer Reihenfolge in der Liste aus. 

3 Deaktivieren Sie Repositories, indem Sie das Kontrollkästchen neben dem jeweiligen Namen 

in der Repository-Liste deaktivieren. 

4 Wenn Sie unter Repository-Auswahl die Option Benutzerdefinierte Liste auswählen, 

klicken Sie auf Nach oben oder Nach unten, um die Reihenfolge festzulegen, in der 

Clientsysteme die verteilten Repositories auswählen sollen. 

5 Klicken Sie abschließend auf Speichern. 

164 



Verwenden von lokalen verteilten Repositories, die nicht verwaltet werden 

Verwenden von lokalen verteilten Repositories, die 

nicht verwaltet werden 

Gehen Sie wie nachfolgend beschrieben vor, um Inhalte aus dem Master-Repository zu kopieren 

und in das nicht verwaltete verteilte Repository einzufügen. Nach dem Erstellen müssen Sie 

verwaltete Systeme manuell so konfigurieren, dass sie Dateien aus dem nicht verwalteten 

Repository abrufen. 



1 Kopieren Sie alle Dateien und Unterverzeichnisse im Ordner des Master-Repositorys auf 

dem Server. Standardmäßig befindet sich dieser an folgendem Speicherort auf Ihrem 

Server: 

C:\Programme\McAfee\ePO\4.0.0\DB\Software 

2 Fügen Sie die kopierten Dateien und Unterordner in den Repository-Ordner auf dem System 

des verteilten Repositorys ein. 

3 Konfigurieren Sie eine Agentenrichtlinie für verwaltete Systeme zum Verwenden des neuen, 

nicht verwalteten verteilten Repositorys: 

a 

b 

c 

d 

e 

f 

g 

h 

i 

j 

k 

Erstellen Sie eine neue Agentenrichtlinie, oder öffnen Sie eine vorhandene zum 

Bearbeiten. 

VORSICHT: Auf den Registerkarten einer Richtlinie können Sie nicht festlegen, dass 

die Richtlinienvererbung unterbrochen wird. Daher müssen Sie sich beim Anwenden 

dieser Richtlinie vergewissern, dass nur die gewünschten Systeme die Richtlinie zum 

Verwenden des nicht verwalteten verteilten Repositorys erhalten und erben. 

Klicken Sie auf die Registerkarte Repositories. 

Klicken Sie neben der Repository-Liste auf Hinzufügen. Die Seite Repository 

hinzufügen wird angezeigt. 

Geben Sie einen Namen in das Textfeld Repository-Name ein. Bei dem Namen muss 

es sich nicht um den Namen des Systems handeln, das als Host für das Repository dient. 

Wählen Sie unter Dateien abrufen von den Typ des Repositorys aus. 

Geben Sie unter Konfiguration den von Ihnen erstellten Speicherort ein. Verwenden 

Sie dazu die entsprechende Syntax für den Repository-Typ. 

Geben Sie eine Portnummer ein, oder behalten Sie den Standardport bei. 

Konfigurieren Sie die Anmeldeinformationen zur Authentifizierung nach Bedarf. 

Klicken Sie auf OK, um das neue verteilte Repository zur Liste hinzuzufügen. 

Wählen Sie das neue Repository in der Liste aus. 

Der Typ Lokal gibt an, dass es nicht von ePolicy Orchestrator verwaltet wird. Wenn in 

der Repository-Liste ein nicht verwaltetes Repository ausgewählt wurde, sind die 

Schaltflächen Bearbeiten und Löschen aktiviert. 

Klicken Sie auf Speichern. 

Jedes System, auf das diese Richtlinie angewendet wird, empfängt die neue Richtlinie bei der 

nächsten Agent-zu-Server-Kommunikation. 


165


Manuelles Einchecken von Modul-, DAT- und EXTRA.DAT-Aktualisierungspaketen 

Manuelles Einchecken von Modul-, DAT- und 

EXTRA.DAT-Aktualisierungspaketen 

Gehen Sie wie nachfolgend beschrieben vor, um Produktaktualisierungspakete manuell in das 

Master-Repository einzuchecken, damit sie anschließend mithilfe von ePolicy Orchestrator 

ausgebracht werden können. Einige Pakete können nur manuell eingecheckt werden. 



HINWEIS: Sie können keine Pakete einchecken, während Abruf- oder Replizierungstasks 

ausgeführt werden. 



1 Wechseln Sie zu Software | Master-Repository, und klicken Sie dann auf Paket 

einchecken. Der Assistent zum Einchecken von Paketen wird angezeigt. 

2 Wählen Sie den Pakettyp aus, wechseln Sie dann zur gewünschten Paketdatei, und wählen 

Sie sie aus. 

3 Klicken Sie auf Weiter. Die Seite Paketoptionen wird angezeigt. 

4 Wählen Sie neben Zweig den gewünschten Zweig aus. 

Wenn neue Pakete in Ihrer Umgebung vor dem Ausbringen getestet werden müssen, sollten 

Sie den Zweig "Test" verwenden. Nach Abschluss der Tests können Sie die Pakete auf der 

Registerkarte Software | Master-Repository in den Zweig "Aktuell" verschieben. 

5 Wählen Sie neben Optionen Folgendes aus: 

• NetShield für NetWare unterstützen – Wählen Sie diese Option aus, wenn Sie ein 

Paket für NetShield für NetWare einchecken. 

• Vorhandenes Paket in den Zweig "Vorherige" verschieben – Wählen Sie diese 

Option aus, wenn das vorhandene Paket (vom selben Typ wie das, das Sie einchecken) 

in den Zweig "Vorherige" verschoben werden soll. 

6 Klicken Sie auf Speichern, um mit dem Einchecken des Pakets zu beginnen. Warten Sie, 

während das Paket eingecheckt wird. 

Das neue Paket wird auf der Seite Master-Repository in der Liste Pakete im 

Master-Repository angezeigt. 

Regelmäßiges Aktualisieren von verwalteten 

Systemen mit einem geplanten Aktualisierungstask 

Gehen Sie wie nachfolgend beschrieben vor, um Aktualisierungstasks zu erstellen und zu 

konfigurieren. Wenn Sie auf die globale Aktualisierung verzichten, sollten Sie einen täglichen 

Client-Aktualisierungstask verwenden, um sicherzustellen, dass Ihre Systeme bezüglich der 

DAT- und Moduldateien auf dem neuesten Stand sind. 

166 



Bestätigen, dass Clients die neuesten DAT-Dateien verwenden 



1 Wechseln Sie zu Systeme | Systemstruktur | Clienttasks, wählen Sie in der 

Systemstruktur die gewünschte Gruppe aus, auf die der Task angewendet werden soll, 

und klicken Sie dann auf Neuer Task. Die Seite Beschreibung des Assistenten 



3 Wählen Sie in der Dropdownliste Typ den Eintrag Aktualisieren (McAfee Agent) aus, 

und klicken Sie dann auf Weiter. Die Seite Konfiguration wird angezeigt. 

4 Legen Sie fest, ob den Endbenutzern das Statusdialogfeld für die Aktualisierung angezeigt 

werden soll. Bei Auswahl dieser Option können Sie den Endbenutzern auch die 

Wahlmöglichkeit geben, die Aktualisierung aufzuschieben. 




7 Überprüfen Sie die Einzelheiten zur Konfiguration des Tasks, und klicken Sie dann auf 

Speichern. 

Der Task wird zur Liste der Clienttasks für die Gruppen und Systeme hinzugefügt, auf die er 

angewendet wurde. Agenten erhalten den neuen Aktualisierungstask bei ihrer nächsten 

Kommunikation mit dem Server. Nach der Aktivierung wird der Task zum nächsten geplanten 

Zeitpunkt ausgeführt. Jedes System wird aus dem entsprechenden Repository aktualisiert, was 

davon abhängt, wie die Richtlinien für den Agenten für diesen Client konfiguriert sind. 

Bestätigen, dass Clients die neuesten DAT-Dateien 

verwenden 

Gehen Sie wie nachfolgend beschrieben vor, um die Version von DAT-Dateien auf verwalteten 

Systemen zu überprüfen. 



• Wechseln Sie zu Berichterstellung | Abfragen, wählen Sie in der Liste Abfragen den 

Eintrag VSE: DAT-Ausbringung aus, und klicken Sie dann auf Ausführen. 

HINWEIS: Weitere Informationen zu dieser Abfrage finden Sie in der VirusScan 

Enterprise-Dokumentation. 

Testen neuer DAT-Dateien und Module vor dem 

Verteilen 

Gehen Sie wie nachfolgend beschrieben vor, um Aktualisierungspakete über den Zweig "Test" 

zu testen. Es ist sinnvoll, die DAT- und Moduldateien vor dem Ausbringen im gesamten 

Unternehmen auf einzelnen Systemen zu testen. 


167


Manuelles Verschieben von DAT- und Modulpaketen zwischen Zweigen 

ePolicy Orchestrator stellt zu diesem Zweck drei Repository-Zweige zur Verfügung. 



1 Erstellen Sie einen geplanten Repository-Abruftask, der Aktualisierungspakete in den Zweig 

"Test" des Master-Repositorys kopiert. Planen Sie ihn so, dass er nach der Veröffentlichung 

neuer DAT-Dateien ausgeführt wird. 

2 Erstellen oder wählen Sie in der Systemstruktur eine Gruppe, die als Testgruppe dienen 

soll, und erstellen Sie eine Agentenrichtlinie, nach der die Systeme nur den Zweig "Test" 

verwenden sollen. (Auf der Registerkarte Aktualisierungen im Abschnitt 

Aktualisierungsauswahl für Repository-Zweig.) 

Die Richtlinien werden wirksam, sobald der Agent den Server kontaktiert. Bei der nächsten 

Aktualisierung ruft der Agent die Aktualisierungen aus dem Zweig "Test" ab. 

3 Erstellen Sie einen geplanten Client-Aktualisierungstask für die Testsysteme, der DAT- und 

Moduldateien aus dem Zweig "Test" des Repositorys aktualisiert. Planen Sie den Task so, 

dass er ein oder zwei Stunden nach dem geplanten Beginn des Repository-Abruftasks 

ausgeführt wird. 

Der erstellte Aktualisierungstask zum Testen auf der Ebene der Testgruppe sorgt dafür, 

dass er nur für diese Gruppe ausgeführt wird. 

4 Überwachen Sie die Systeme in der Testgruppe so lange, bis Sie mit dem Ergebnis zufrieden 

sind. 

5 Verschieben Sie mithilfe der Aktion Zweig wechseln auf der Registerkarte Software | 

Master-Repository die Pakete aus dem Zweig "Test" in den Zweig "Aktuell" des 

Master-Repositorys. Durch Hinzufügen zum Zweig "Aktuell" stehen die Pakete nun Ihrer 

Produktionsumgebung zur Verfügung. Wenn das nächste Mal ein Client-Aktualisierungstask 

Pakete aus dem Zweig "Aktuell" abruft, werden die neuen DAT- und Moduldateien an die 

Systeme verteilt, die den Task verwenden. 

Manuelles Verschieben von DAT- und Modulpaketen 

zwischen Zweigen 

Gehen Sie wie nachfolgend beschrieben vor, um Pakete nach dem Einchecken in das 

Master-Repository manuell zwischen den Zweigen "Test", "Aktuell" und "Vorherige" zu 

verschieben. 



1 Wechseln Sie zu Software | Master-Repository. Die Tabelle Pakete im 

Master-Repository wird angezeigt. 

2 Klicken Sie in der Zeile des gewünschten Paketes auf Zweig wechseln. Die Seite Zweig 

wechseln wird angezeigt. 

3 Wählen Sie aus, ob Sie das Paket in einen anderen Zweig verschieben oder kopieren 

möchten. 

168 



Löschen von DAT- oder Modulpaketen aus dem Master-Repository 

4 Wählen Sie aus, welcher Zweig das Paket erhalten soll. 

HINWEIS: Wenn Sie in Ihrem Netzwerk NetShield für NetWare haben, aktivieren Sie 

NetShield für NetWare unterstützen. 


Löschen von DAT- oder Modulpaketen aus dem 

Master-Repository 

Gehen Sie wie nachfolgend beschrieben vor, um Pakete aus dem Master-Repository zu löschen. 

Wenn Sie neue Aktualisierungspakete häufig einchecken, ersetzen sie die älteren Version oder 

verschieben sie in den Zweig "Vorherige", sofern Sie den Zweig "Vorherige" verwenden. 

Möglicherweise möchten Sie DAT- oder Modulpakete manuell aus dem Master-Repository 

löschen. 





1 Wechseln Sie zu Software | Master-Repository. Die Tabelle Pakete im 

Master-Repository wird angezeigt. 

2 Klicken Sie in der Zeile mit dem gewünschten Paket auf Löschen. Das Dialogfeld Paket 

löschen wird angezeigt. 



169

Senden von Benachrichtigungen 

Die ePolicy Orchestrator-Benachrichtigungsfunktion informiert Sie über Ereignisse, die auf Ihren 

verwalteten Systemen oder auf dem ePolicy Orchestrator-Server auftreten. Sie können in ePolicy 

Orchestrator mit Benachrichtigungsregeln festlegen, dass E-Mail-Nachrichten oder SNMP-Traps 

gesendet und externe Befehle ausgeführt werden sollen, wenn bestimmte Ereignisse vom ePolicy 

Orchestrator-Server empfangen und verarbeitet werden. Es lässt sich genau konfigurieren, bei 

welchen Ereignissen aus welchen Kategorien Benachrichtigungen generiert und mit welcher 

Häufigkeit gesendet werden sollen. 

Diese Funktion dient dazu, bestimmte Personen zu benachrichtigen, wenn die Bedingungen 

einer Regel erfüllt sind. Dazu gehört u. a.: 

• Die Erkennung von Bedrohungen durch Ihre Antivirensoftware. Es werden zwar viele 

Antivirenprodukte unterstützt, bei VirusScan Enterprise jedoch beinhalten Ereignisse auch 

die IP-Adresse der Angriffsquelle, so dass das System, das die übrige Umgebung infiziert, 

isoliert werden kann. 

• Virenausbruch. Beispielsweise kann als Regel definiert werden, dass 1.000 "Virus 

entdeckt"-Ereignisse innerhalb von fünf Minuten empfangen werden. 

• Hohe Übereinstimmung mit ePolicy Orchestrator-Serverereignissen. Beispielsweise wurde 

ein Replizierungstask nicht abgeschlossen. 

Sie können Benachrichtigungsregeln auch so konfigurieren, dass Befehle ausgeführt und 

registrierte ausführbare Dateien gestartet werden, wenn die angegebenen Bedingungen erfüllt 

sind. 

Richten Sie Benachrichtigungen zum ersten Mal ein? 

Wenn Sie Benachrichtigungen erstmals einrichten, gehen Sie wie folgt vor: 

1 Machen Sie sich mit Benachrichtigungen und deren Funktionsweise in der Systemstruktur 

und im Netzwerk vertraut. 

2 Planen Sie die Implementierung. Welche Benutzer müssen über welche Ereignisse informiert 

werden? 

3 Definieren Sie einen SNMP-Server, registrierte ausführbare Dateien und externe Befehle, 

wenn Sie Benachrichtigungsfunktionen implementieren möchten, die diese verwenden. 

4 Erstellen Sie Benachrichtigungsregeln. 

Inhalt 

Das Benachrichtigungssystem und seine Funktion 

Planen 

Bestimmen, wie Ereignisse weitergeleitet werden 

Einrichten von ePO-Benachrichtigungen 

170 




Erstellen und Bearbeiten von Benachrichtigungsregeln 

Anzeigen des Benachrichtigungsverlaufs 

Produkt- und Komponentenliste 



Bevor Sie mit dem Planen der Implementierung von Benachrichtigungen beginnen, sollten Sie 

genau verstehen, wie diese Funktion im Zusammenhang mit ePolicy Orchestrator und der 

Systemstruktur arbeitet. 

HINWEIS: Diese Funktion hält nicht das Vererbungsmodell der Erzwingung von Richtlinien ein. 

Ereignisse, die auf Systemen Ihrer Umgebung auftreten, werden an den Server gesendet. Sie 

lösen die Benachrichtigungsregeln aus (die der Gruppe mit den betroffenen Systemen und den 

übergeordneten Elementen zugeordnet sind). Bei Erfüllung der Bedingungen solcher Regeln 

wird gemäß der Regelkonfiguration eine Benachrichtigung gesendet oder ein externer Befehl 

ausgeführt. 

Auf diese Weise können Sie unabhängige Regeln auf unterschiedlichen Ebenen der 

Systemstruktur konfigurieren. Folgende Eigenschaften können sich für diese Regeln 

unterscheiden: 

• Schwellenwerte für das Senden einer Benachrichtigung. Beispielsweise möchte ein 

Administrator einer bestimmten Gruppe benachrichtigt werden, wenn in der Gruppe innerhalb 

von 10 Minuten auf 100 Systemen Viren entdeckt werden, ein globaler Administrator jedoch 

erst, wenn dies im selben Zeitraum in der gesamten Umgebung auf 1.000 Systemen 

geschieht. 

• Empfänger der Benachrichtigung. Ein Administrator einer bestimmten Gruppe möchte 

beispielsweise nur dann eine Benachrichtigung erhalten, wenn eine bestimmte Anzahl von 

Virusentdeckungen in der Gruppe auftritt. Oder ein globaler Administrator möchte, dass alle 

Gruppenadministratoren eine Benachrichtigung erhalten, wenn eine bestimmte Anzahl von 

Virusentdeckungen in der gesamten Systemstruktur auftritt. 

Beschränkung und Aggregation 

Durch Einstellen von Schwellenwerten, die auf Aggregation und Beschränkung basieren, können 

Sie festlegen, wann Benachrichtigungen gesendet werden. 

Aggregation 

Mit Aggregation können Sie Schwellenwerte für Ereignisse festlegen, ab denen die Regel eine 

Benachrichtigung sendet. Konfigurieren Sie eine Regel zum Beispiel so, dass eine 

Benachrichtigung gesendet wird, wenn der Server innerhalb einer Stunde 100 Virusentdeckungen 

von unterschiedlichen Systemen empfängt und wenn er 1.000 Virusentdeckungen von einem 

System empfangen hat. 

Beschränkung 

Wenn Sie eine Regel konfiguriert haben, um bei einem möglichen Virenausbruch benachrichtigt 

zu werden, können Sie mit Beschränkung sicherstellen, dass Sie nicht unnötig viele 

Benachrichtigungen erhalten. Als Administrator eines umfangreichen Netzwerks erhalten Sie 

möglicherweise Zehntausende Ereignisse innerhalb einer Stunde, die aufgrund einer solchen 


171



Regel Tausende von Benachrichtigungen generieren. Mit dem Benachrichtigungssystem können 

Sie die Anzahl der Benachrichtigungen beschränken, die Sie aufgrund einer einzelnen Regel 

erhalten. Sie können beispielsweise in derselben Regel bestimmen, dass Sie lediglich eine 

Benachrichtigung pro Stunde erhalten möchten. 

Benachrichtigungsregeln und Systemstrukturszenarien 

Die Arbeitsweise dieser Funktion in der Systemstruktur wird anhand zweier Szenarien 

veranschaulicht. 

Bei beiden Szenarien wird angenommen, dass für jede Gruppe der Systemstruktur eine ähnliche 

Regel konfiguriert ist. Die Regeln sind jeweils so konfiguriert, dass bei Erhalt von 

100 Virusentdeckungen von einem Produkt innerhalb von 60 Minuten eine Benachrichtigung 

gesendet wird. In diesen Szenarien sind alle Regeln nach dem Schema 

VirusDetected_ benannt, wobei der in der Systemstruktur 

angezeigte Name der Gruppe ist (z. B. VirusDetected_Untergruppe2c). 

Abbildung 29: Systemstruktur für Benachrichtigungsszenarien 

Szenario 1 

Bei diesem Szenario werden an einem einzigen Tag innerhalb von 60 Minuten 

100 Virusinfektionen in Untergruppe2C entdeckt. 

172 




Die Bedingungen der Regeln VirusDetected_Untergruppe2C, VirusDetected_Gruppe2 

und VirusDetected_EigeneOrganisation sind erfüllt, und daher werden Benachrichtigungen 

entsprechend der Regelkonfiguration versendet (oder registrierte ausführbare Dateien gestartet). 

Szenario 2 

Bei diesem Szenario werden an einem einzigen Tag innerhalb von 60 Minuten 50 Virusinfektionen 

in Untergruppe2C und 50 Virusinfektionen in Untergruppe3B entdeckt. 

Die Bedingungen der Regel VirusDetected_EigeneOrganisation sind erfüllt, und daher 

werden Benachrichtigungen entsprechend der Regelkonfiguration versendet (oder registrierte 

ausführbare Dateien gestartet). Dies ist die einzige Regel, die auf alle 100 Ereignisse angewendet 

werden kann. 

Standardregeln 

ePolicy Orchestrator enthält sechs Standardregeln, die Sie für die sofortige Verwendung aktivieren 

können, während Sie sich mit der Funktion weiter vertraut machen. 

HINWEIS: Sobald diese Funktion aktiviert ist, senden die Standardregeln 

Benachrichtigungsmeldungen an die E-Mail-Adressen, die Sie im ePO-Installations-Assistenten 

angegeben haben. 

Vor dem Aktivieren von Standardregeln sollten Sie die folgenden Schritte ausführen: 

• Geben Sie den E-Mail-Server an (unter Konfiguration | Servereinstellungen), von dem 

die Benachrichtigungsmeldungen gesendet werden. 

• Vergewissern Sie sich, dass Sie die E-Mail-Adresse der Person angeben, die 

E-Mail-Benachrichtigungen empfangen soll. Diese Adresse wird im Assistenten auf der Seite 

Benachrichtigungen festgelegt. 

Standardbenachrichtigungsregeln 

Regelname 

Zugehörige Ereignisse 

Konfigurationen 

Tägliche Benachrichtigung vom 

Typ "Unbekanntes Produkt" 

Tägliche Benachrichtigung vom 

Typ "Unbekannte Kategorie" 

Ereignisse von unbekannten 

Produkten 

Ereignisse einer unbekannten 

Kategorie 

Sendet maximal eine Benachrichtigung am Tag. 

Sendet maximal eine Benachrichtigung am Tag. 

Virus entdeckt und nicht 

entfernt 

Ereignisse vom Typ Virus 

entdeckt und NICHT 

entfernt von einem Produkt 

Sendet eine Benachrichtigung: 

• Die Anzahl der Ereignisse überschreitet den Wert 

1.000 innerhalb einer Stunde. 

• Eine Benachrichtigung wird maximal alle zwei 

Stunden gesendet. 

• Sofern vorhanden werden die IP-Adresse des 

Quellsystems, die Bezeichnung für die aktuelle 

Bedrohung und Informationen zum aktuellen 

Produkt mitgesendet. 

• Die Anzahl der betroffenen Systeme beträgt 

mindestens 500. 

Virus entdeckt (heuristisch) 

und nicht entfernt 

Ereignisse vom Typ Virus 

entdeckt (heuristisch) und 

NICHT entfernt von einem 

Produkt 

Sendet eine Benachrichtigung: 

• Die Anzahl der Ereignisse überschreitet den Wert 

1.000 innerhalb einer Stunde. 

• Eine Benachrichtigung wird maximal alle zwei 

Stunden gesendet. 


173


Planen 

Regelname 

Zugehörige Ereignisse 

Konfigurationen 

• Sofern vorhanden werden die IP-Adresse des 

Quellsystems, die Bezeichnung für die aktuelle 

Bedrohung und Informationen zum aktuellen 

Produkt mitgesendet. 

• Die Anzahl der betroffenen Systeme beträgt 

mindestens 500. 

Fehler beim Aktualisieren oder 

Replizieren des Repositorys 

Fehler beim Aktualisieren oder 

Replizieren des Repositorys 

Sendet eine Benachrichtigung, wenn ein Ereignis 

empfangen wird. 

Nicht konformer Computer 

entdeckt 

Ereignisse vom Typ Nicht 

konformer Computer 

entdeckt. 

Sendet eine Benachrichtigung, wenn ein Ereignis 

vom Servertask "Konformitätsereignis generieren" 

empfangen wird. 

Planen 

Wenn Sie die folgenden Punkte planen, bevor Sie Benachrichtigungsregeln erstellen, kann dies 

eventuell eine Zeitersparnis bedeuten: 

• Welche Ereignistypen (Produkt und Server) sollen in Ihrer Umgebung Benachrichtigungen 

auslösen? 

• Wer sollte welche Benachrichtigungen erhalten? So ist es zum Beispiel nicht notwendig, den 

Administrator von Gruppe B über eine fehlgeschlagene Replizierung in Gruppe A zu 

informieren, es sollten aber alle Administratoren informiert werden, wenn in Gruppe A eine 

infizierte Datei entdeckt wurde. 

• Welche Arten und Ebenen von Grenzwerten möchten Sie für jede Regel festlegen? Eventuell 

möchten Sie zum Beispiel während eines Virenausbruchs nicht bei jeder infizierten Datei 

eine E-Mail-Benachrichtigung erhalten. Stattdessen können Sie auswählen, dass Ihnen eine 

solche Benachrichtigung unabhängig von der Anzahl der vom Server empfangenen Ereignisse 

höchstens alle fünf Minuten zugesendet wird. 

• Welche Befehle oder registrierte ausführbare Dateien sollen ausgeführt werden, wenn die 

Bedingungen einer Regel erfüllt sind? 

Bestimmen, wie Ereignisse weitergeleitet werden 

Gehen Sie wie nachfolgend beschrieben vor, um festzulegen, wann Ereignisse weitergeleitet 

und welche Ereignisse sofort weitergeleitet werden sollen. 

Der Server empfängt Benachrichtigungen von den Agenten. Sie müssen dessen Richtlinien so 

konfigurieren, dass Ereignisse entweder sofort oder bei 

Agent-zu-Server-Kommunikationsintervallen zum Server gesendet werden. 

Wenn Sie auswählen, dass Ereignisse sofort gesendet werden sollen (Standard), leitet der Agent 

alle Ereignisse sofort bei Erhalt weiter. Wenn alle Ereignisse sofort zum Server gesendet werden 

sollen, damit sie von Benachrichtigungen bearbeitet werden können, muss der Agent so 

konfiguriert werden, dass Ereignisse sofort gesendet werden. 

Wenn Ereignisse nicht sofort gesendet werden sollen, leitet der Agent nur die Ereignisse sofort 

weiter, die vom ausstellenden Produkt mit hoher Priorität angegeben wurden. Andere Ereignisse 

werden nur bei der Agent-zu-Server-Kommunikation gesendet. 

174 




Aufgaben 

Bestimmen, welche Ereignisse sofort weitergeleitet werden 

Bestimmen, welche Ereignisse weitergeleitet werden 

Bestimmen, welche Ereignisse sofort weitergeleitet werden 

Gehen Sie wie nachfolgend beschrieben vor, um zu bestimmen, ob Ereignisse sofort oder nur 

während der Agent-zu-Server-Kommunikation weitergeleitet werden sollen. 

Wenn für die aktuell angewendete Richtlinie nicht festgelegt ist, dass Ereignisse sofort 

hochzuladen sind, müssen Sie entweder die derzeit angewendete Richtlinie ändern oder eine 

neue McAfee Agent-Richtlinie erstellen. Diese Einstellung wird auf der Registerkarte Ereignisse 

konfiguriert. 



1 Wählen Sie die gewünschte Agentenrichtlinie aus, und klicken Sie dann auf Ereignisse. 

2 Wählen Sie Weiterleiten von Ereignissen nach Priorität aktivieren aus. 

3 Wählen Sie den Ereignisschweregrad aus. Ereignisse des ausgewählten Schweregrades 

(und höher) werden sofort an den Server weitergeleitet. 

4 Geben Sie ein Intervall zwischen Uploads (in Minuten) ein, um die Häufigkeit des 

anfallenden Datenverkehrs zu regulieren. 

5 Geben Sie zum Regulieren der Datenmengen die Maximale Anzahl von Ereignissen 

pro Upload ein. 


Bestimmen, welche Ereignisse weitergeleitet werden 

Gehen Sie wie nachfolgend beschrieben vor, um zu bestimmen, welche Ereignisse an den Server 

weitergeleitet werden. 



1 Wechseln Sie zu Konfiguration | Servereinstellungen, wählen Sie Ereignisfilterung 

aus, und klicken Sie dann unten auf der Seite auf Bearbeiten. 

2 Wählen Sie die gewünschten Ereignisse aus, und klicken Sie dann auf Speichern. 

Diese Einstellungen werden wirksam, sobald sich sämtliche Agenten beim Server gemeldet 

haben. 


Gehen Sie wie nachfolgend beschrieben vor, um die erforderlichen Ressourcen zu konfigurieren, 

mit denen Sie das Benachrichtigungssystem optimal nutzen können. 

Sie müssen folgende Schritte durchführen, bevor Sie diese Funktion verwenden können: 


175



• Benachrichtigungsberechtigungen – Erstellen oder bearbeiten Sie Berechtigungssätze, und 

stellen Sie sicher, dass sie den richtigen ePO-Benutzern zugewiesen sind. 

• E-Mail-Server – Konfigurieren Sie den E-Mail-Server (SMTP) unter Konfiguration | 

Servereinstellungen. 

• Liste der E-Mail-Kontakte – Geben Sie unter Konfiguration | Kontakte die Liste an, aus 

der Sie die Empfänger der Benachrichtigungen auswählen. 

• SNMP-Server – Geben Sie eine Liste von SNMP-Servern an, die beim Erstellen von Regeln 

verwendet werden sollen. Sie können Regeln konfigurieren, um SNMP-Traps an SNMP-Server 

zu senden, wenn für eine Regel die Bedingungen zum Erstellen einer Benachrichtigung erfüllt 

sind. 

• Externe Befehle – Geben Sie eine Liste mit externen Befehlen an, die ausgeführt werden, 

wenn die Bedingungen einer Regel erfüllt sind. 

Aufgaben 

Gewähren von angemessenen Berechtigungen für Benachrichtigungen 

Arbeiten mit SNMP-Servern 

Arbeiten mit registrierten ausführbaren Dateien und externen Befehlen 

Gewähren von angemessenen Berechtigungen für 

Benachrichtigungen 

Gehen Sie wie nachfolgend beschrieben vor, um sicherzustellen, dass alle gewünschten 

Administratoren über die entsprechenden Berechtigungen für Benachrichtigungen verfügen. 



1 Wechseln Sie zu Konfiguration | Berechtigungssätze. 

2 Klicken Sie auf Neuer Berechtigungssatz, oder wählen Sie einen vorhandenen 

Berechtigungssatz aus. 

3 Klicken Sie neben Benachrichtigungen auf Bearbeiten. 

4 Wählen Sie die gewünschte Berechtigung für Benachrichtigungen aus: 

• Keine Berechtigungen 

• Benachrichtigungsregeln und Benachrichtigungsprotokoll anzeigen 

HINWEIS: Diese Berechtigung gewährt auch die Möglichkeit, SNMP-Server, registrierte 

ausführbare Dateien und externe Befehle anzuzeigen. 

• Benachrichtigungsregeln erstellen und bearbeiten, Benachrichtigungsprotokoll anzeigen 

HINWEIS: Diese Berechtigung gewährt auch die Möglichkeit, SNMP-Server, registrierte 

Server und externe Befehle anzuzeigen. 

• Benachrichtigungsregeln erstellen und bearbeiten, Benachrichtigungsprotokoll anzeigen 

und bereinigen, SNMP-Server und externe Befehle erstellen und bearbeiten 


6 Wiederholen Sie die Schritte 2 bis 4, bis Sie die erforderlichen Berechtigungssätze erstellt 

und bearbeitet haben. 

176 




7 Wenn Sie hierbei einen neuen Berechtigungssatz erstellt haben, wechseln Sie zu 

Konfiguration | Benutzer. 

8 Wählen Sie einen Benutzer aus, dem Sie den neuen Berechtigungssatz zuweisen möchten, 

und klicken Sie dann auf Bearbeiten. 

9 Aktivieren Sie neben Berechtigungssätze das Kontrollkästchen, das sich neben dem 

Berechtigungssatz mit den gewünschten Berechtigungen für Benachrichtigungen befindet, 

und klicken Sie dann auf Speichern. 

10 Wiederholen Sie die Schritte 6 bis 8, bis allen Benutzern die entsprechenden Berechtigungen 

zugewiesen sind. 

Arbeiten mit SNMP-Servern 

Gehen Sie wie nachfolgend beschrieben vor, um festzulegen, dass das Benachrichtigungssystem 

Ihren SNMP-Server verwendet. Sie können das Benachrichtigungssystem so konfigurieren, dass 

SNMP-Traps (Simple Network Management Protocol) an Ihren SNMP-Server gesendet werden. 

Auf diese Weise können Sie SNMP-Traps am selben Ort empfangen, an dem Sie Ihre 

Netzwerkverwaltungssoftware zum Anzeigen von detaillierten Informationen über die Systeme 

in Ihrer Umgebung verwenden. 

HINWEIS: Weitere Konfigurationsschritte oder das Starten eines Dienstes zum Konfigurieren 

dieser Funktion sind nicht erforderlich. 

Aufgaben 

Hinzufügen von SNMP-Servern 

Duplizieren von SNMP-Servern 

Bearbeiten von SNMP-Servern 

Löschen eines SNMP-Servers 

Importieren von MIB-Dateien 

Hinzufügen von SNMP-Servern 

Gehen Sie wie nachfolgend beschrieben vor, um einen SNMP-Server hinzuzufügen. Zum 

Empfangen eines SNMP-Traps müssen Sie die SNMP-Serverinformationen hinzufügen, damit 

ePolicy Orchestrator weiß, wohin der Trap gesendet werden soll. 



1 Wechseln Sie zu Automatisierung | SNMP-Server, und klicken Sie dann unten auf der 

Seite auf Neuer SNMP-Server. Die Seite Neuer SNMP-Server wird angezeigt. 

2 Geben Sie den Namen und die Adresse des SNMP-Servers ein, und klicken Sie anschließend 

auf Speichern. 

Der hinzugefügte SNMP-Server wird in der Liste SNMP-Server angezeigt. 

Duplizieren von SNMP-Servern 

Gehen Sie wie nachfolgend beschrieben vor, um einen vorhandenen SNMP-Server zu duplizieren. 


177





1 Wechseln Sie zu Automatisierung | SNMP-Server, und klicken Sie dann neben dem 

SNMP-Server, auf dem ein neuer Eintrag basieren soll, auf Duplizieren. 

2 Geben Sie einen neuen Namen an, und klicken Sie dann auf Speichern. 

Der neue SNMP-Server wird in der Liste SNMP-Server angezeigt. 

Bearbeiten von SNMP-Servern 

Gehen Sie wie nachfolgend beschrieben vor, um Einträge zu vorhandenen SNMP-Servern zu 

bearbeiten. 




gewünschten SNMP-Server auf Bearbeiten. 

2 Bearbeiten Sie den Namen und die Adresse nach Bedarf, und klicken Sie dann auf 

Speichern. 

Löschen eines SNMP-Servers 

Gehen Sie wie nachfolgend beschrieben vor, um einen SNMP-Server im Benachrichtigungssystem 

zu löschen. 




gewünschten SNMP-Server auf Löschen. 

2 Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass dieser SNMP-Server gelöscht 

werden soll. 

Der SNMP-Server wird aus der Liste SNMP-Server entfernt. 

Importieren von MIB-Dateien 

Gehen Sie wie nachfolgend beschrieben vor, um Regeln einzurichten, mit denen Sie per 

SNMP-Trap Benachrichtigungen an einen SNMP-Server senden. Importieren Sie dazu die Datei 

NAICOMPLETE.MIB unter: 

\Programme\McAfee\ePolicy Orchestrator\MIB 

Mit dieser Datei kann Ihr Netzwerkverwaltungsprogramm die Daten in den SNMP-Traps in 

Klartext umwandeln. 

Weitere Anweisungen zum Importieren und Einrichten von MIB-Dateien finden Sie in der 

Dokumentation Ihres Netzwerkverwaltungsprogramms. 

178 




Arbeiten mit registrierten ausführbaren Dateien und externen 

Befehlen 

Gehen Sie wie nachfolgend beschrieben vor, um externe Befehle zu konfigurieren, indem Sie 

registrierte ausführbare Dateien hinzufügen und diese dann Befehlen zuweisen. Sie können 

Benachrichtigungsregeln konfigurieren, um beim Auslösen der Regel einen externen Befehl 

auszuführen. 


Bevor Sie die Liste mit den externen Befehlen konfigurieren, müssen Sie die registrierten 

ausführbaren Dateien an einem Speicherort auf dem Server speichern, auf den die Regeln 

zeigen können. 

Aufgaben 

Arbeiten mit registrierten ausführbaren Dateien 

Arbeiten mit externen Befehlen 

Arbeiten mit registrierten ausführbaren Dateien 

Gehen Sie wie nachfolgend beschrieben vor, um registrierte ausführbare Dateien hinzuzufügen, 

zu erstellen und zu löschen. 



Sie müssen eine Browsersitzung auf dem ePO-Serversystem verwenden. 

Aufgaben 

Hinzufügen von registrierten ausführbaren Dateien 

Bearbeiten von registrierten ausführbaren Dateien 

Löschen von registrierten ausführbaren Dateien 

Hinzufügen von registrierten ausführbaren Dateien 

Gehen Sie wie nachfolgend beschrieben vor, um registrierte ausführbare Dateien zu den 

verfügbaren Ressourcen hinzuzufügen. Anschließend können Sie Befehle und ihre Argumente 

konfigurieren und sie den registrierten ausführbaren Dateien zuweisen. 






1 Wechseln Sie zu Automatisierung | Registrierte ausführbare Dateien, und klicken 

Sie dann unten auf der Seite auf Neue registrierte ausführbare Datei. Die Seite Neue 

registrierte ausführbare Datei wird angezeigt. 


179



2 Geben Sie einen Namen für die registrierte ausführbare Datei ein. 

3 Geben Sie den Pfad zur registrierten ausführbaren Datei ein, oder wählen Sie die Datei 

aus, für die eine Regel ausgeführt werden soll, wenn sie gestartet wird. Klicken Sie 

anschließend auf Speichern. 

Die neue registrierte ausführbare Datei wird in der Liste Registrierte ausführbare Dateien 

angezeigt. 

Bearbeiten von registrierten ausführbaren Dateien 

Gehen Sie wie nachfolgend beschrieben vor, um einen vorhandenen registrierten ausführbaren 

Eintrag zu bearbeiten. 






Sie dann neben der gewünschten ausführbaren Datei in der Liste auf Bearbeiten. Die 

Seite Registrierte ausführbare Datei bearbeiten wird angezeigt. 

2 Geben Sie den Namen ein, oder wählen Sie eine andere ausführbare Datei im System aus, 

und klicken Sie dann auf Speichern. 

Löschen von registrierten ausführbaren Dateien 

Gehen Sie wie nachfolgend beschrieben vor, um einen registrierten ausführbaren Eintrag zu 

löschen. 



• Sie müssen eine Browsersitzung auf dem ePO-Serversystem verwenden. 



Sie dann neben der gewünschten ausführbaren Datei in der Liste auf Löschen. 

2 Wenn Sie dazu aufgefordert werden, klicken Sie auf OK. 


Arbeiten mit externen Befehlen 

Gehen Sie wie nachfolgend beschrieben vor, um externe Befehle hinzuzufügen, zu erstellen 

und zu löschen, die beim Auslösen von Benachrichtigungsregeln registrierte ausführbare Dateien 

starten. 

Aufgaben 

Hinzufügen von externen Befehlen zur Verwendung mit registrierten ausführbaren Dateien 

Bearbeiten von externen Befehlen 

180 




Löschen von externer Befehle 

Hinzufügen von externen Befehlen zur Verwendung mit registrierten ausführbaren 

Dateien 

Gehen Sie wie nachfolgend beschrieben vor, um Befehle hinzuzufügen und ihre Argumente für 

vorhandene registrierte ausführbare Dateien zu konfigurieren. 





1 Wechseln Sie zu Automatisierung | Externe Befehle, und klicken Sie dann unten auf 

der Seite auf Neuer externer Befehl. Die Seite Neuer externer Befehl wird geöffnet. 

2 Geben Sie den Namen des Befehls ein. 

3 Wählen Sie die gewünschte Registrierte ausführbare Datei aus, der der Befehl 

zugewiesen werden soll. 

4 Geben Sie die gewünschten Argumente für den Befehl ein, fügen Sie mögliche Variablen 

ein, und klicken Sie dann auf Speichern. 

HINWEIS: Das Übertragen von Datenausgaben in eine Textdatei mithilfe externer Zeichen 

(z. B. | und >) wird bei Argumenten nicht unterstützt. Es ist jedoch möglich, wenn die 

Datenausgabe in einer benutzerdefinierten ausführbaren Datei eingeschlossen wird. 

Der neue externe Befehl wird zur Liste Externe Befehle hinzugefügt. 

Bearbeiten von externen Befehlen 

Gehen Sie wie nachfolgend beschrieben vor, um einen vorhandenen externen Befehl zu 

bearbeiten. 





1 Wechseln Sie zu Automatisierung | Externe Befehle, und klicken Sie dann neben dem 

gewünschten Befehl auf Bearbeiten. Die Seite Externen Befehl bearbeiten wird 

geöffnet. 

2 Ändern Sie den Namen des Befehls, wählen Sie eine andere registrierte ausführbare Datei 

aus, oder ändern Sie die Argumente für den Befehl. 


Löschen von externer Befehle 

Gehen Sie wie nachfolgend beschrieben vor, um einen vorhandenen externen Befehl zu löschen. 


181







1 Wechseln Sie zu Automatisierung | Externe Befehle, und klicken Sie dann neben dem 

gewünschten Befehl auf Löschen. 



Erstellen und Bearbeiten von 

Benachrichtigungsregeln 

Gehen Sie wie nachfolgend beschrieben vor, um Benachrichtigungsregeln zu erstellen und zu 

bearbeiten. Mithilfe dieser Regeln können Sie festlegen, wann, wie und an wen 

Benachrichtigungen gesendet werden. 

HINWEIS: Benachrichtigungsregeln weisen keine abhängige Reihenfolge auf. 

Aufgaben 

Beschreiben der Regel 

Festlegen von Filtern für die Regel 

Festlegen von Schwellenwerten für die Regel 

Konfigurieren der Benachrichtigungen für die Regel 

Beschreiben der Regel 

Gehen Sie wie nachfolgend beschrieben vor, um mit dem Erstellen einer Regel zu beginnen. 

Auf der Seite Beschreibung des Generators für Benachrichtigungsregeln können Sie 

Folgendes: 

• Angeben der Systemstrukturgruppe, für die die Regel gelten soll 

• Angeben eines Namens und einer Beschreibung für die Regel 

• Festlegen der Priorität für die Benachrichtigung (nur, wenn sie per E-Mail gesendet wird) 

• Aktivieren oder Deaktivieren der Regel 



182 




1 Wechseln Sie zu Automatisierung | Benachrichtigungsregeln, und klicken Sie dann 

auf Neue Regel, oder klicken Sie neben einer vorhandenen Regel auf Bearbeiten. Der 

Generator für Benachrichtigungsregeln wird mit der Seite Beschreibung angezeigt. 

Abbildung 30: Seite "Benachrichtigungsregeln" 

2 Geben Sie einen eindeutigen Namen für die Regel ein. 

HINWEIS: Regelnamen müssen auf einem Server eindeutig sein. Wenn zum Beispiel ein 

Benutzer eine Regel namens Notfallbenachrichtigung erstellt, darf kein anderer Benutzer 

(einschließlich globaler Administratoren) eine Regel mit diesem Namen erstellen. 

3 Geben Sie eine Beschreibung in das Textfeld Anmerkungen ein. 

4 Klicken Sie neben dem Textfeld Definiert in auf die Schaltfläche zum Durchsuchen [...], 

und wählen Sie dann im Dialogfeld Strukturgruppe auswählen die gewünschte 

Systemstrukturgruppe aus, auf die die Regel angewendet wird. 

5 Weisen Sie der Regel die Priorität Hoch, Mittel oder Niedrig zu. 

HINWEIS: Die Priorität der Regel dient dazu, im Posteingang des Empfängers die 

E-Mail-Benachrichtigung nach Wichtigkeit zu kennzeichnen. Wenn Sie zum Beispiel Hoch 

ausgewählt haben, wird neben der E-Mail-Benachrichtigung ein rotes Ausrufezeichen 

angezeigt und bei Niedrig ein blauer, nach unten zeigender Pfeil. Die Priorität hat auf die 

Regel- oder Ereignisverarbeitung keinerlei Auswirkungen. 

6 Wählen Sie neben Status aus, ob die Regel Aktiviert oder Deaktiviert ist. 

7 Klicken Sie auf Weiter. 

Festlegen von Filtern für die Regel 

Gehen Sie wie nachfolgend beschrieben vor, um die Filter für die Benachrichtigungsregel auf 

der Seite Filter des Generators für Benachrichtigungsregeln festzulegen. 



1 Wählen Sie die Typen von Betriebssystemen aus, deren Ereignisse die Regel auslösen 

können. 

2 Wählen Sie die Produkte aus, deren Ereignisse diese Regel auslösen. 

3 Wählen Sie die Kategorien von Ereignissen aus, die diese Regel auslösen. 

HINWEIS: Beide Auswahlkriterien – die für Produkte und die für Kategorien – müssen 

erfüllt werden, damit die Regel ausgelöst und eine Benachrichtigung gesendet wird. Wenn 


183



Sie zum Beispiel VirusScan und Virus entdeckt und NICHT entfernt auswählen, sendet 

die Regel keine Benachrichtigung bei einem Virus entdeckt und NICHT entfernt-Ereignis 

von Symantec AntiVirus. Wenn es ausschließlich auf die Kategorie ankommen soll, wählen 

Sie Beliebiges Produkt aus. 

4 Legen Sie in Name der Bedrohung das Muster fest, das beim Vergleich der Bedrohungen 

abgeglichen werden soll: 

a 

b 

Wählen Sie in der Dropdownliste einen Operator aus. 

Geben Sie einen beliebigen Text ein, auf den der Operator angewendet werden soll. 

Sie können beispielsweise den Namen eines Virus verwenden. Wählen Sie als Operator 

enthält aus, und geben Sie im Textfeld nimda ein. Dadurch wird gewährleistet, dass 

Ereignisse nach einer Zeile Text durchsucht werden, die den Begriff nimda enthält. 

HINWEIS: Wenn Sie das Filtern nach dem Namen einer Bedrohung auswählen, müssen 

alle Auswahlkriterien – die für Produkte, für Kategorien und für Name der 

Bedrohung – zutreffen, damit die Regel eine Benachrichtigung sendet. 


Festlegen von Schwellenwerten für die Regel 

Gehen Sie wie nachfolgend beschrieben vor, um auf der Seite Schwellenwerte des Generators 

für Benachrichtigungsregeln festzulegen, wann die Regel ausgelöst wird. 

Schwellenwerte von Regeln sind eine Kombination von Aggregation und Beschränkung. 



1 Aktivieren Sie neben Aggregation die Option Für jedes Ereignis eine Benachrichtigung 

senden, oder wählen Sie die Option Benachrichtigung senden beim Auftreten 

mehrerer Ereignisse in, und legen Sie einen entsprechenden Zeitraum fest (in Minuten, 

Stunden oder Tagen). 

2 Bei Auswahl der Option Benachrichtigung senden beim Auftreten mehrerer 

Ereignisse in können Sie festlegen, dass eine Benachrichtigung gesendet werden soll, 

wenn die angegebenen Bedingungen erfüllt sind. Diese sind: 

• Mindestens eine bestimmte Anzahl von Systemen ist betroffen. 

• Mindestens eine bestimmte Anzahl von Ereignissen ist aufgetreten. 

• Beide Bedingungen können gleichzeitig aktiviert werden. 

HINWEIS: Sie können eine oder beide Optionen auswählen. Beispiel: Sie können die Regel 

so festlegen, dass eine Benachrichtigung gesendet wird, wenn die Anzahl der betroffenen 

Systeme 300 überschreitet, oder wenn die Anzahl der Ereignisse 3.000 überschreitet, je 

nachdem, welcher Schwellenwert zuerst überschritten wird. 

3 Wählen Sie neben Beschränkung gegebenenfalls Benachrichtigung nicht häufiger 

senden als alle aus, und legen Sie einen Zeitraum fest, nach dessen Verstreichen wieder 

eine Benachrichtigung gesendet werden kann. Der Zeitraum kann in Minuten, Stunden 

oder Tagen angegeben werden. 


184 




Konfigurieren der Benachrichtigungen für die Regel 

Gehen Sie wie nachfolgend beschrieben vor, um im Generator für Benachrichtigungsregeln 

auf der Seite Benachrichtigungen die Benachrichtigungen zu konfigurieren, die von der Regel 

ausgelöst werden. Dies können E-Mail-Nachrichten, SNMP-Traps oder externe Befehle sein. Die 

Größe der Nachricht richtet sich nach dem Ziel, dem Typ der Nachricht und der Anzahl der 

Empfänger für die Nachricht. 

Mithilfe den Schaltflächen + und – neben der Dropdownliste zum Auswählen des 

Benachrichtigungstyps können Sie die Regel so konfigurieren, dass sie mehrere Nachrichten, 

SNMP-Traps oder externe Befehle auslöst. 



1 Wenn die Benachrichtigung in Form einer E-Mail- oder Text-Pager-Nachricht gesendet 

werden soll, wählen Sie in der Dropdownliste E-Mail-Nachricht aus. 

a 

b 

c 

d 

e 

Klicken Sie neben Empfänger auf die Schaltfläche zum Durchsuchen [...], und wählen 

Sie die Empfänger für die Nachricht aus. Diese Liste verfügbarer Empfänger stammt 

aus den Kontakten (Konfiguration | Kontakte). Alternativ können Sie die 

E-Mail-Adressen manuell eingeben, getrennt durch ein Komma. 

Geben Sie den Betreff für die Nachricht ein. Optional können Sie auch jede verfügbare 

Variable direkt in die Betreffzeile eingeben. 

Geben Sie den Text ein, der im Nachrichtentext der Nachricht angezeigt werden soll. 

Optional können Sie auch jede verfügbare Variable direkt in den Textteil eingeben. 

Wählen Sie die Sprache aus, in der die Variablen aus der Dropdownliste Variablen mit 

deren Werten ersetzen in angezeigt werden sollen. 

Klicken Sie abschließend auf Weiter oder auf +, um eine weitere Benachrichtigung 


2 Wenn die Benachrichtigung in Form eines SNMP-Traps gesendet werden soll, wählen Sie 

in der Dropdownliste SNMP-Trap aus. 

a 

b 

c 

Wählen Sie in der Dropdownliste den gewünschten SNMP-Server aus. 

Wählen Sie die gewünschte Sprache aus, in der die Variablen aus der Dropdownliste 

Variablen mit deren Werten ersetzen in angezeigt werden sollen. 

Wählen Sie die im SNMP-Trap Einzuschließenden Variablen aus. 

• Name der Benachrichtigungsregel • Regelgruppe 

• Regel definiert in 

• Ausgewählte Produkte 

• Ausgewählte Kategorien • Bezeichnung der ausgewählten 

• Uhrzeit des ersten Ereignisses 

Bedrohung oder Regel 

• Ereignisbeschreibungen 

• Ereignis-IDs 

• Tatsächliche Anzahl von Ereignissen • Tatsächliche Anzahl von Systemen 

• Tatsächliche Kategorien 

• Tatsächliche Produkte 

• Quellsysteme 

• Tatsächliche Bezeichnung der 

Bedrohung oder Regel 

• Namen der betroffenen Systeme 

• IP-Adressen der betroffenen Systeme 

• Betroffene Objekte 

• Uhrzeit, zu der Benachrichtigung 

gesendet wurde 


185



d 

• Zusätzliche Informationen 

HINWEIS: Nicht alle Ereignisse beinhalten diese Informationen. Wenn zu einigen der 

von Ihnen ausgewählten Optionen nichts angezeigt wird, dann steht diese Information 

in der Ereignisdatei nicht zur Verfügung. 



3 Wenn die Benachrichtigung einen externen Befehl ausführen soll: 

a 

b 

c 

Wählen Sie den gewünschten externen Befehl in der Dropdownliste Externer Befehl 

aus. 

Wählen Sie die gewünschte Sprache aus, in der die Variablen aus der Dropdownliste 

Variablen mit deren Werten ersetzen in angezeigt werden sollen. 



4 Nachdem Sie auf Weiter geklickt haben, wird die Seite Zusammenfassung angezeigt. 

Überprüfen Sie, ob die Informationen korrekt sind, und klicken Sie dann auf Speichern. 

Die neue Benachrichtigungsregel wird in der Liste Benachrichtigungsregeln angezeigt. 


Gehen Sie wie nachfolgend beschrieben vor, um auf der Seite Benachrichtigungsprotokoll 

auf unterschiedliche Informationstypen zuzugreifen und sie zu bearbeiten. 

Auf dieser Seite können Sie den Verlauf der gesendeten Benachrichtigungen anzeigen. Sie 

können sich entweder eine Zusammenfassung aller gesendeten Benachrichtigungen nach Produkt 

bzw. nach Kategorie oder eine Liste mit bestimmten Benachrichtigungen anzeigen lassen. 

Aufgaben 

Konfigurieren des Benachrichtigungsprotokolls 

Anzeigen der Details von Einträgen im Benachrichtigungsprotokoll 

Bereinigen des Benachrichtigungsprotokolls 

Konfigurieren des Benachrichtigungsprotokolls 

Gehen Sie wie nachfolgend beschrieben vor, um eine Zusammenfassung von nach Produkt, 

Kategorie, Priorität oder Regelname über einen bestimmten Zeitraum für eine bestimmte Stelle 

der Systemstruktur gesendeten Benachrichtigungen zu konfigurieren und anzuzeigen. 

In der vorliegenden Version von ePolicy Orchestrator können die Informationen im 

Benachrichtigungsprotokoll nun als Übersichtstabelle, Kreis- oder Balkendiagramm angezeigt 

werden. 



1 Wechseln Sie zu Berichterstellung | Benachrichtigungsprotokoll. 

2 Wählen Sie in der Dropdownliste Zeitfilter den Zeitraum aus, für den Sie den 

Benachrichtigungsverlauf anzeigen möchten. 

186 




3 Klicken Sie neben dem Textfeld Systemstrukturfilter auf die Schaltfläche zum 

Durchsuchen [...]. Das Dialogfeld Gruppe auswählen, nach der gefiltert werden soll 


4 Wählen Sie die gewünschte Gruppe der Systemstruktur aus, um deren 

Benachrichtigungsverlauf anzuzeigen. 

HINWEIS: Benutzer können den Benachrichtigungsverlauf und Regeln nur für die Teile der 

Systemstruktur anzeigen, für die sie Berechtigungen besitzen. 

5 Wählen Sie in der Dropdownliste Gruppieren nach den Eintrag Produkt, Kategorie, 

Priorität oder Regelname aus. Von dieser Auswahl hängt ab, wie die Protokolleinträge 

beim Anzeigen angeordnet werden. 

6 Wählen Sie in der Dropdownliste Anzeigetyp den Eintrag Übersichtstabelle, 

Kreisdiagramm oder Balkendiagramm aus. Damit legen Sie fest, in welchem Format 

die Daten angezeigt werden. Sie können in jeder dieser Ansichten auf beliebige Elemente 

klicken, um die Details des jeweiligen Elements weiter aufzugliedern. 

7 Mithilfe der Dropdownliste Sortieren nach können Sie die Einträge in der erforderlichen 

Reihenfolge anzeigen. 

Anzeigen der Details von Einträgen im 

Benachrichtigungsprotokoll 

Gehen Sie wie nachfolgend beschrieben vor, um die Details von Benachrichtigungen anzuzeigen. 

Diese Liste kann durch Klicken auf die Spaltenüberschriften sortiert werden. 



1 Konfigurieren Sie das Benachrichtigungsprotokoll nach Bedarf. 

2 Klicken Sie auf das gewünschte Element (Übersichtstabellenzeile, Kreissegment oder Balken) 

der Ansicht. Eine normale Tabelle wird angezeigt, in der alle Benachrichtigungen aufgeführt 

sind, die zum in der ersten Ansicht angeklickten Element gehören. 

HINWEIS: Benutzer können nur Benachrichtigungen für die Knoten der Systemstruktur 

anzeigen, für die sie Berechtigungen besitzen. 

3 Verwenden Sie die Optionen in der Dropdownliste Sortieren nach, um die Liste zu 

sortieren. 

4 Klicken Sie auf eine beliebige Benachrichtigung in der Tabelle, um detaillierte Informationen 

zu dieser Benachrichtigung anzuzeigen. 

Bereinigen des Benachrichtigungsprotokolls 

Gehen Sie wie nachfolgend beschrieben vor, um Benachrichtigungen im 

Benachrichtigungsprotokoll zu bereinigen. Benachrichtigungen können basierend auf ihrem 

Alter bereinigt werden. 

HINWEIS: Beim Bereinigen von Elementen im Benachrichtigungsprotokoll werden alle Einträge 

bereinigt, die die zeitlichen Kriterien erfüllen, unabhängig davon, aus welchem Teil der 

Systemstruktur sie stammen. 


187







1 Wechseln Sie zu Berichterstellung | Benachrichtigungsprotokoll, und klicken Sie 

dann unten auf der Seite auf Bereinigen. Das Dialogfeld Benachrichtigungsprotokolle 

bereinigen wird angezeigt. 

2 Wählen Sie aus, ab welchem Alter (in Tagen, Wochen, Monaten oder Jahren) Elemente 

gelöscht werden sollen. Oder wählen Sie eine auszuführende Abfrage aus, die Sie für diesen 

Zweck erstellt haben. 

Die Einträge im Benachrichtigungsprotokoll, die dieses Kriterium erfüllen, werden dauerhaft 

gelöscht. 


Sie können Regeln konfigurieren, um bei bestimmten Ereigniskategorien zu bestimmten Produkten 

und Komponenten Benachrichtigungen zu generieren. Die folgende Liste zeigt Produkte und 

Komponenten an, für die Regeln konfiguriert werden können sowie alle möglichen 

Ereigniskategorien. 

Unterstützte Produkte und Komponenten 

• Desktop Firewall 

• NetShield für NetWare 

• Host Intrusion Prevention • PortalShield 

• ePO-Server 

• Stinger 

• McAfee Agent • Unbekanntes Produkt 

• GroupShield für Domino 

• Virex 

• GroupShield für Exchange • VirusScan Enterprise 

• System Compliance Profiler 

• Symantec NAV 

• 

• LinuxShield 

SecurityShield 


Wenn ich eine Benachrichtigungsregel für Virenfunde erstelle, erhalte ich dann für 

jedes Ereignis während eines Virenausbruchs eine Benachrichtigung? 

Nein. Regeln können so konfiguriert werden, dass eine Benachrichtigung entweder erst beim 

Auftreten einer bestimmten Anzahl von Ereignissen innerhalb eines bestimmten Zeitraums 

gesendet wird oder dass höchstens eine Benachrichtigung innerhalb eines definierten Zeitraums 

gesendet wird. 

188 




Kann ich eine Regel erstellen, die Benachrichtigungen für mehrere Empfänger 

generiert? 

Ja. Sie können mehrere E-Mail-Adressen für Empfänger im Generator für 

Benachrichtigungsregeln eingeben. 

Kann ich eine Regel erstellen, die mehrere Benachrichtigungstypen generiert? 

Ja. Benachrichtigungen für ePolicy Orchestrator unterstützen jede Kombination der folgenden 

Benachrichtigungsziele für jede Regel: 

• E-Mail (einschließlich Standard-SMTP, SMS und Text-Pager) 

• SNMP-Server (über SNMP-v1-Traps) 

• Externe, auf dem ePolicy Orchestrator-Server installierte Tools 


189

Abfragen der Datenbank 

ePolicy Orchestrator 4.0 verfügt über eigene Fähigkeiten für Abfragen und Berichterstellung. 

Diese lassen sich in hohem Maße vom Benutzer anpassen, bieten Flexibilität und sind 

anwenderfreundlich. Zudem ist der Assistent Abfragen-Generator enthalten, mit dem sich 

Abfragen erstellen und ausführen lassen, deren Ergebnis vom Benutzer konfigurierte Daten in 

Diagrammen und Tabellen sind, die vom Benutzer konfiguriert wurden. 

Damit Sie sofort mit dem Produkt arbeiten können, hat McAfee eine Reihe von Standardabfragen 

integriert, die dieselben Informationen liefern wie die Standardberichte in früheren Versionen. 

Richten Sie Abfragen zum ersten Mal ein? 

Wenn Sie Abfragen erstmals einrichten, gehen Sie wie folgt vor: 

1 Machen Sie sich mit den Funktionen von Abfragen und mit dem Assistenten 

Abfragen-Generator vertraut. 

2 Sehen Sie sich die Standardabfragen an, und bearbeiten Sie sie nach Bedarf. 

3 Erstellen Sie Abfragen für alle Anforderungen, die durch die Standardabfragen nicht 

abgedeckt werden. 

Inhalt 

Abfragen 

Abfragen-Generator 

Abfragen der Rollups mehrerer Server 

Vorbereitung auf das Abfragen des Rollups 

Arbeiten mit Abfragen 

Standardabfragen und was sie anzeigen 

Abfragen 

Abfragen sind konfigurierbare Objekte, die Daten aus Datenbanken abrufen und anzeigen. Die 

Ergebnisse von Abfragen werden in Diagrammen und Tabellen angezeigt. Alle Abfrageergebnisse 

lassen sich in verschiedenen Formaten exportieren, die jeweils heruntergeladen oder als Anlage 

einer E-Mail-Nachricht gesendet werden können. Einige Abfragen können als 

Dashboard-Überwachung verwendet werden. 

An Abfrageergebnissen lassen sich Aktionen durchführen 

An Abfrageergebnissen lassen sich nun Aktionen durchführen. Für die in Tabellen (und 

Aufgliederungstabellen) angezeigten Abfrageergebnisse sind bei ausgewählten Elementen in 

190 



Abfragen 

der Tabelle eine Reihe von Aktionen verfügbar. So können Sie beispielsweise Agenten auf 

Systeme ausbringen, die in einer Tabelle mit Abfrageergebnissen aufgelistet sind. Aktionen 

stehen unten auf der Ergebnisseite zur Verfügung. 

Abfragen als Dashboard-Überwachungen 

Fast jede Abfrage (außer solchen, bei denen die ursprünglichen Ergebnisse mithilfe einer Tabelle 

angezeigt werden) eignet sich als Dashboard-Überwachung. Dashboard-Überwachungen werden 

innerhalb benutzerdefinierter Intervalle (Standard sind fünf Minuten) automatisch aktualisiert. 

Exportierte Ergebnisse 

Abfrageergebnisse lassen sich in vier verschiedenen Formaten exportieren. Bei exportierten 

Ergebnissen handelt es sich um Verlaufsdaten. Sie werden – anders als beim Verwenden von 

Abfragen als Dashboard-Überwachung – nicht aktualisiert. Wie bei den in der Konsole angezeigten 

Abfrageergebnissen und abfragebasierten Überwachungen können Sie HTML-Exporte nach 

detaillierteren Informationen aufgliedern. 

Im Gegensatz zu Abfrageergebnissen in der Konsole sind Daten in exportierten Berichten nicht 

für Aktionen geeignet. 

Berichte stehen in verschiedenen Formaten zur Verfügung: 

• CSV – Verwenden Sie dieses Format, um die Daten in einer Tabellenkalkulationsanwendung 

(z. B. Microsoft Excel) zu verwenden. 

• XML – Verwenden Sie dieses Format, um die Daten für andere Zwecke zu transformieren. 

• HTML – Verwenden Sie dieses Format, um die exportierten Ergebnisse als Webseite 

anzuzeigen. 

• PDF – Verwenden Sie dieses Format, wenn Sie die Ergebnisse ausdrucken möchten. 

Freigeben von Abfragen zwischen Servern 

Jede Abfrage kann importiert und exportiert werden. Hierdurch können Sie Abfragen zwischen 

Servern freigeben. Dadurch müssen Abfragen in Umgebungen mit mehreren Servern nur einmal 

erstellt werden. 

Öffentliche und persönliche Abfragen 

Abfragen können persönlich oder öffentlich sein. Persönliche Abfragen stehen in der Liste Eigene 

Abfragen des Benutzers und sind nur für denjenigen verfügbar, der sie erstellt hat. Öffentliche 

Abfragen sind in der Liste Öffentliche Abfragen aufgeführt und stehen jedem zur Verfügung, 

der über Berechtigungen zum Verwenden öffentlicher Abfragen verfügt. 

Die meisten Standardabfragen stehen nur dem globalen Administrator zur Verfügung. Er muss 

diese Standardabfragen veröffentlichen, damit andere Benutzer darauf zugreifen können. 

Mehrere Abfragen sind standardmäßig öffentlich, sodass sie von Standard-Dashboards verwendet 

werden können. 

Nur Benutzer mit den entsprechenden Berechtigungen können ihre persönlichen Abfragen zu 

öffentlichen Abfragen machen. 

Abfrageberechtigungen 

Mithilfe von Abfrageberechtigungen können Sie Berechtigungssätzen, die einzelnen Benutzern 

zugeordnet sind, bestimmte Stufen von Abfragefunktionen zuweisen. 


191



Zu den verfügbaren Berechtigungen gehören: 

• Keine Berechtigungen – Einem Benutzer ohne Berechtigungen wird die Registerkarte 

Abfrage nicht angezeigt. 

• Öffentliche Abfragen verwenden – Gewährt die Berechtigung zum Verwenden aller 

Abfragen, die von Benutzern mit denselben Berechtigungen erstellt und öffentlich gemacht 

wurden. 

• Öffentliche Abfragen verwenden; persönliche Abfragen erstellen und bearbeiten 

– Gewährt die Berechtigung zum Verwenden aller Abfragen, die von Benutzern mit denselben 

Berechtigungen erstellt und öffentlich gemacht wurden. Außerdem können mit dem 

Abfragen-Generator persönliche Abfragen erstellt und bearbeitet werden. 

• Öffentliche Abfragen bearbeiten; persönliche Abfragen erstellen und bearbeiten; 

persönliche Abfragen veröffentlichen – Gewährt die Berechtigung, öffentliche Abfragen 

zu verwenden und zu bearbeiten sowie persönliche Abfragen zu erstellen und zu bearbeiten. 

Außerdem können persönliche Abfragen jedem beliebigen Benutzer verfügbar gemacht 

werden, der über Zugriff auf öffentliche Abfragen verfügt. 

HINWEIS: Zur Ausführung einiger Abfragen benötigen Sie auch Berechtigungen für die 

Funktionssätze, die den Ergebnistypen zugeordnet sind. Von den Funktionssätzen, für die ein 

Benutzer über Berechtigungen verfügt, hängt auch ab, welche Aktionen in den Ergebnisseiten 

einer Abfrage für die resultierenden Elemente zur Ausführung verfügbar sind. 


ePolicy Orchestrator enthält einen einfachen Assistenten, mit dem Sie benutzerdefinierte Abfragen 

in vier Schritten erstellen und bearbeiten können. Mit dem Assistenten können Sie konfigurieren, 

welche Daten abgerufen und angezeigt werden. Darüber hinaus können Sie angeben, in welcher 

Form sie angezeigt werden. 

Ergebnistypen 

Als Erstes wählen Sie im Assistenten Abfragen-Generator den Ergebnistyp aus. Damit geben 

Sie an, welcher Typ von Daten abgerufen werden soll. Von dieser Auswahl hängt ab, welche 

weiteren Auswahlmöglichkeiten auf den restlichen Seiten des Assistenten zur Verfügung stehen. 

Zu den Ergebnistypen gehören: 

• Prüfprotokolleinträge – Ruft Informationen zu Änderungen und Aktionen ab, die von 

ePO-Benutzern durchgeführt wurden. 

• Konformitätsverlauf – Ruft Informationen zur Anzahl der konformen Systeme innerhalb eines 

Zeitraums ab. Dieser Abfragetyp und seine Ergebnisse hängen von einem Servertask vom 

Typ "Abfrage ausführen" ab, der aus den Ergebnissen einer (booleschen 

Kreisdiagramm-)Abfrage Konformitätsereignisse generiert. Außerdem müssen Sie beim 

Erstellen einer Abfrage dieses Typs darauf achten, dass die Zeiteinheit mit dem geplanten 

Intervall für den Servertask übereinstimmt. Zuerst sollte die boolesche Kreisdiagramm-Abfrage 

erstellt werden, dann der Servertask, der die Konformitätsereignisse generiert, und zum 

Schluss die Konformitätsverlaufsabfrage. 

• Ereignisse – Ruft Informationen zu Ereignissen ab, die von verwalteten Systemen gesendet 

wurden. 

• Verwaltete Systeme – Ruft Informationen zu Systemen ab, auf denen der McAfee Agent 

ausgeführt wird. 

192 




• Benachrichtigungen – Ruft Informationen zu gesendeten Benachrichtigungen ab. 

• Repositories – Ruft Daten zu Repositories und deren Status ab. 

• Konformitätsverlauf mit zusammengefassten Daten – Ruft Informationen zur Anzahl der 

konformen Systeme innerhalb eines Zeitraums von registrierten ePO-Servern ab. Diese 

Abfrage hängt von den momentan auf diesem ePO-Server und den registrierten Servern 

ausgeführten Servertasks ab. 

• Zusammengefasste Daten zu verwalteten Systemen – Ruft zusammengefasste Informationen 

zu Systemen von registrierten ePO-Servern ab. 

Diagrammtypen 

ePolicy Orchestrator verfügt über eine Reihe von Diagrammen und Tabellen zum Anzeigen der 

abgerufenen Daten. Diese Diagramme und Tabellen und deren Aufgliederungstabellen sind in 

hohem Maße konfigurierbar. 

HINWEIS: Aufgliederungstabellen gehören nicht zu den Tabellen. 

Zu den Diagrammtypen gehören: 

• Balkendiagramm 

• Boolesches Kreisdiagramm 

• Diagramm mit gruppierten Balken 

• Gruppierte Übersichtstabelle 

• Liniendiagramm 

• Kreisdiagramm 

• Übersichtstabelle 

• Tabelle 

Tabellenspalten 

Geben Sie Spalten für die Tabelle an. Wenn Sie Tabelle als primäre Ansicht der Daten auswählen, 

wird hierdurch diese Tabelle konfiguriert. Wenn Sie als erste Ansicht der Daten einen 

Diagrammtyp ausgewählt haben, wird hierdurch die Aufgliederungstabelle konfiguriert. 

An den in einer Tabelle angezeigten Abfrageergebnisse lassen sich Aktionen durchführen. Wenn 

die Tabelle beispielsweise mit Systemen aufgefüllt ist, können Sie Agenten für diese Systeme 

direkt aus der Tabelle ausbringen oder reaktivieren. 

Filter 

Legen Sie durch Auswählen von Eigenschaften und Operatoren spezielle Kriterien fest, um die 

von der Abfrage abgerufenen Daten einzuschränken. 


ePolicy Orchestrator 4.0 bietet nun die Möglichkeit zur Ausführung von Abfragen, bei denen 

ein Bericht über eine Zusammenfassung von Daten aus mehreren ePO-Datenbanken erstellt 

wird. Im Assistenten "Abfrage-Generator" gibt es folgende Ergebnistypen, die Sie für diesen 

Abfragetyp verwenden können: 


193



• Verwaltete Systeme mit zusammengefassten Daten 

• Konformitätsverlauf mit zusammengefassten Daten 

An den Abfrageergebnissen dieser Abfragetypen können keine Aktionen durchgeführt werden. 


Zum Zusammenfassen von Daten, die in Rollup-Abfragen verwendet werden sollen, müssen 

Sie jeden Server (einschließlich des lokalen Servers) registrieren, den Sie in die Abfrage 

einbeziehen möchten. 

Nach der Registrierung der Server müssen Sie auf dem Berichterstellungsserver (dem Server, 

auf dem die Berichterstellung für mehrere Server durchgeführt wird) Daten-Rollup-Servertasks 

konfigurieren. Mit Daten-Rollup-Servertasks werden Informationen aus allen in den Bericht 

einfließenden Datenbanken abgerufen und die "eporollup_"-Tabellen auf dem 

Berichterstellungsserver aufgefüllt. 

Die Rollup-Abfragen haben diese Datenbanktabellen auf dem Berichterstellungsserver zum Ziel. 

HINWEIS: Wenn Sie den Abfragetyp "Konformitätsverlauf mit zusammengefassten Daten" 

verwenden, sind auf jedem Server, dessen Daten Sie in den Abfragetyp "Konformitätsverlauf 

mit zusammengefassten Daten" aufnehmen möchten, eine zusätzliche Abfrage (für verwaltete 

Systeme mit einem booleschen Kreisdiagramm) und ein zusätzlicher Servertask vom Typ "Abfrage 

ausführen" erforderlich. 


Gehen Sie wie nachfolgend beschrieben vor, um sicherzustellen, dass die "eporollup_"-Tabellen 

auf dem Berichterstellungsserver aufgefüllt und für die Verwendung von auf den 

Abfrageergebnistypen mit zusammengefassten Daten basierenden Abfragen bereit sind. Diese 

Tasks sollten für jeden Server durchgeführt werden, dessen Daten in die Abfrageergebnisse 

einbezogen werden. 

HINWEIS: Bei Verwendung des Abfragetyps "Konformitätsverlauf mit zusammengefassten 

Daten" muss auf jedem Server eine auf dem booleschen Kreisdiagramm basierende Abfrage 

für verwaltete Systeme erstellt werden. Darüber hinaus muss auf jedem Server ein Servertask 

"Abfrage ausführen" mit einer Unteraktion erstellt werden, damit konformitätsbasierte Ereignisse 

für diese Abfrage generiert werden. 

Aufgaben 

Registrieren von ePO-Servern 

Erstellen eines Daten-Rollup-Servertasks 

Registrieren von ePO-Servern 

Gehen Sie wie nachfolgend beschrieben vor, um die einzelnen ePO-Server bei dem 

Berichterstellungsserver zu registrieren, den Sie in Rollup-Abfragen einbeziehen möchten. Sie 

müssen auch den Berichterstellungsserver registrieren. Durch die Registrierung der Server wird 

sichergestellt, dass die "eporollup_"-Tabellen in der lokalen Datenbank mit Übersichtsdaten von 

jedem Server aufgefüllt werden können. 

194 






1 Wechseln Sie zu Netzwerk | Registrierte Server, und klicken Sie dann auf Neuer 

Server. Der Assistent Generator für registrierten Server wird angezeigt. 

2 Wählen Sie den Servertyp aus, und geben Sie einen Namen und eine Beschreibung ein. 

Klicken Sie anschließend auf Weiter. Die Seite Details wird angezeigt. 

3 Geben Sie die Details des Servers, den zugehörigen Datenbankserver und die 

Anmeldeinformationen für den Zugriff auf den Server an, und klicken Sie auf Speichern. 

Erstellen eines Daten-Rollup-Servertasks 

Gehen Sie wie nachfolgend beschrieben vor, um einen Daten-Rollup-Servertask zu erstellen, 

durch den die erforderlichen Tabellen auf dem Berichterstellungsserver mit Übersichtsdaten 

von registrierten Servern aufgefüllt werden. 


Es wird empfohlen, für jeden registrierten Server einen Servertask für das Zusammenfassen 

von Daten zu erstellen. Dieser Task würde alle gewünschten Aktionen für das Zusammenfassen 

von Daten umfassen, die jeweils nur einen der registrierten Server als Ziel haben. 




Der Assistent Generator für Servertasks wird angezeigt. 

2 Geben Sie einen Namen und eine Beschreibung für den Task ein, und legen Sie fest, ob er 

aktiviert werden soll. Klicken Sie anschließend auf Weiter. Die Seite Aktionen wird 

angezeigt. 

3 Wählen Sie die gewünschten Daten-Rollup-Aktionen sowie den registrierten Server aus, 

auf den diese angewendet werden sollen. 

HINWEIS: Sie sollten einen Servertask pro registriertem Server erstellen und diesen Task 

so konfigurieren, dass beide Daten-Rollup-Aktionen ausgeführt werden. 




HINWEIS: Falls Sie Daten zum Konformitätsverlauf zusammenfassen, vergewissern Sie 

sich, dass die Zeiteinheit der Abfrage "Konformitätsverlauf mit zusammengefassten Daten" 

dem Planungstyp der Servertasks "Konformitätsereignis generieren" auf den registrierten 

Servern entspricht. 

6 Überprüfen Sie die Einstellungen, und klicken Sie dann auf Speichern. 


Gehen Sie wie nachfolgend beschrieben vor, um Abfragen zu erstellen, zu verwenden und zu 

verwalten. 


195



Aufgaben 

Erstellen von benutzerdefinierten Abfragen 

Ausführen einer vorhandenen Abfrage 

Planmäßiges Ausführen einer Abfrage 

Veröffentlichen persönlicher Abfragen 

Duplizieren von Abfragen 

Freigeben einer Abfrage zwischen ePO-Servern 

Erstellen von benutzerdefinierten Abfragen 

Gehen Sie wie nachfolgend beschrieben vor, um benutzerdefinierte Abfragen mit dem 

Abfragen-Generator zu erstellen. Sie können nach Systemeigenschaften, Produkteigenschaften, 

vielen der Protokolldateien, Repositories und mehr abfragen. 



1 Wechseln Sie zu Berichterstellung | Abfragen, und klicken Sie dann auf Neue Abfrage. 

Die Seite Ergebnistyp des Abfragen-Generators wird angezeigt. 

2 Wählen Sie den Datentyp für diese Abfrage aus. Je nachdem, welchen Datentyp Sie 

ausgewählt haben, sind auf den nachfolgenden Seiten des Assistenten unterschiedliche 

Optionen verfügbar. 

3 Klicken Sie auf Weiter. Die Seite Diagramm wird angezeigt. 

4 Wählen Sie den Typ von Diagramm oder Tabelle aus, mit dem die primären Ergebnisse der 

Abfrage dargestellt werden sollen. Je nach Diagrammtyp stehen unterschiedliche 

Konfigurationsoptionen zur Verfügung. 

5 Klicken Sie auf Weiter. Die Seite Spalten wird angezeigt. 

6 Wählen Sie in der Liste Verfügbare Spalten die Eigenschaften aus, die in der 

Ergebnistabelle als Spalten vorhanden sein sollen, und bringen Sie sie mithilfe der 

Pfeilsymbole auf den Spaltenüberschriften in die gewünschte Reihenfolge. 

HINWEIS: Wenn Sie auf der Seite Diagramm die Option Tabelle ausgewählt haben, 

bilden die von Ihnen ausgewählten Spalten die Spalten dieser Tabelle. Andernfalls sind sie 

die Spalten der Aufgliederungstabelle. 

7 Klicken Sie auf Weiter. Die Seite Filter wird angezeigt. 

8 Wählen Sie Eigenschaften aus, um die Suchergebnisse einzugrenzen. Ausgewählte 

Eigenschaften werden im Inhaltsbereich mit Operatoren angezeigt, um Kriterien festzulegen, 

nach denen die für die jeweilige Eigenschaft zurückgegebenen Daten eingegrenzt werden. 

Vergewissern Sie sich, dass durch Ihre Auswahl die Daten bereitgestellt werden, die in den 

im vorherigen Schritt konfigurierten Tabellenspalten angezeigt werden sollen. 

9 Klicken Sie auf Ausführen. Auf der Seite Ungespeicherte Abfrage werden die Ergebnisse 

der Abfrage angezeigt, an denen sich Aktionen durchführen lassen. Sie können daher alle 

verfügbaren Aktionen für Elemente in sämtlichen Tabellen oder Aufgliederungstabellen 

durchführen. 

• Wenn Sie die Abfrage später erneut verwenden möchten, klicken Sie auf Speichern, 

um sie zu Ihrer Liste Eigene Abfragen hinzuzufügen. 

196 




• Wenn die Abfrage nicht die erwarteten Ergebnisse zurückgegeben hat, klicken Sie auf 

Abfrage bearbeiten, um zum Abfrage-Generator zurückzuwechseln und die Abfrage 

zu bearbeiten. 

• Wenn Sie die Abfrage nicht speichern möchten, klicken Sie auf Schließen. 

Ausführen einer vorhandenen Abfrage 

Gehen Sie wie nachfolgend beschrieben vor, um eine vorhandene Abfrage auf der Seite 

Abfragen auszuführen. 



1 Wechseln Sie zu Berichterstellung | Abfragen, und wählen Sie dann in der Liste 

Abfragen eine Abfrage aus. 

2 Klicken Sie auf Ausführen. Die Ergebnisse der Abfrage werden angezeigt. Sie können den 

Bericht weiter aufgliedern und nach Bedarf Aktionen an Elementen durchführen. Welche 

Aktionen verfügbar sind, hängt von den Berechtigungen des Benutzers ab. 

3 Klicken Sie auf Schließen, wenn Sie alle gewünschten Vorgänge durchgeführt haben. 

Planmäßiges Ausführen einer Abfrage 

Gehen Sie wie nachfolgend beschrieben vor, um einen Servertask zu erstellen und zu planen, 

der eine Abfrage ausführt und an den Abfrageergebnissen Aktionen durchführt. 







3 Wählen Sie in der Dropdownliste den Eintrag Abfrage ausführen aus. 

4 Wählen Sie die Abfrage aus, die ausgeführt werden soll. 

5 Wählen Sie die Sprache aus, in der die Ergebnisse angezeigt werden sollen. 

Abbildung 31: Aktionen für Servertasks vom Typ "Abfrage ausführen" 


197



6 Wählen Sie eine Aktion aus, die an den Ergebnissen durchgeführt werden soll. Welche 

Aktionen verfügbar sind, hängt von den Berechtigungen des Benutzers ab. Hierzu gehören: 

• Datei per E-Mail senden – Bei dieser Option werden die Ergebnisse der Abfrage in 

einem vom Benutzer konfigurierten Format (PDF, XML, CSV oder HTML) an einen 

angegebenen Empfänger gesendet. 

• Systeme in andere Gruppe verschieben – Bei dieser Option werden alle in den 

Abfrageergebnissen enthaltenen Systeme in eine Gruppe in der Systemstruktur 

verschoben. Diese Option ist nur für Abfragen gültig, deren Ergebnis eine Tabelle von 

Systemen ist. 

• Sortierungsstatus ändern – Bei dieser Option wird bei allen Systemen in den 

Abfrageergebnissen die Systemstruktursortierung aktiviert oder deaktiviert. Diese Option 

ist nur für Abfragen gültig, deren Ergebnis eine Tabelle von Systemen ist. 

• Tag ausschließen – Bei dieser Option wird ein angegebenes Tag von allen Systemen 

in den Abfrageergebnissen ausgeschlossen. Diese Option ist nur für Abfragen gültig, 

deren Ergebnis eine Tabelle von Systemen ist. 

• Konformitätsereignis generieren – Bei dieser Option wird ein Ereignis generiert, 

wenn ein bestimmter Anteil von Systemen (Prozentsatz oder Anzahl) mit den Kriterien 

in der Abfrage nicht übereinstimmt. Diese Aktion ist zur Verwendung mit 

konformitätsbasierten booleschen Kreisdiagrammen gedacht, die Daten von verwalteten 

Systemen abrufen (z. B. die Standardabfrage "ePO: Konformitätsübersicht"). Die Aktion 

gehört mit zum Ersatz für den in früheren Versionen von ePolicy Orchestrator enthaltenen 

Servertask "Konformitätsprüfung". 

• Repository-Replizierung – Bei dieser Option werden Inhalte des Master-Repositorys 

in die verteilten Repositories in den Abfrageergebnissen repliziert. Dies ist bei Abfragen 

sinnvoll, die eine Liste von veralteten Repositories zurückgeben (z. B. die Standardabfrage 

"ePO: Status des verteilten Repositorys"). Diese Option ist nur für Abfragen gültig, deren 

Ergebnis eine Tabelle von verteilten Repositories ist. 

• Tag löschen – Bei dieser Option wird ein angegebenes Tag von allen Systemen in den 

Abfrageergebnissen entfernt. Diese Option ist nur für Abfragen gültig, deren Ergebnis 

eine Tabelle von Systemen ist. 

• Richtlinie zuweisen – Bei dieser Option wird allen in den Abfrageergebnissen 

enthaltenen Systemen eine angegebene Richtlinie zugewiesen. Diese Option ist nur für 

Abfragen gültig, deren Ergebnis eine Tabelle von Systemen ist. 

• Exportieren in Datei – Bei dieser Option werden die Ergebnisse der Abfrage in einem 

angegebenen Format exportiert. Die exportierte Datei wird an dem Speicherort abgelegt, 

der in den Servereinstellungen auf der Seite Drucken und exportieren angegeben 

wurde. 

• Tag anwenden – Bei dieser Option wird auf alle in den Abfrageergebnissen enthaltenen 

Systeme (die nicht vom Tag ausgeschlossen sind) ein angegebenes Tag angewendet. 

Diese Option ist nur für Abfragen gültig, deren Ergebnis eine Tabelle von Systemen ist. 

• Systembeschreibung festlegen – Bei dieser Option wird für alle in den 

Abfrageergebnissen enthaltenen Systeme die in der Datenbank vorhandene 

Systembeschreibung überschrieben. Diese Option ist nur für Abfragen gültig, deren 

Ergebnis eine Tabelle von Systemen ist. 

• Agenten ausbringen – Bei dieser Option werden auf Systemen in den 

Abfrageergebnissen Agenten ausgebracht (gemäß der Konfiguration auf dieser Seite). 

Diese Option ist nur für Abfragen gültig, deren Ergebnis eine Tabelle von Systemen ist. 

• Agenten reaktivieren – Bei dieser Option wird zu allen in den Abfrageergebnissen 

enthaltenen Systemen eine Agentenreaktivierung gesendet (gemäß der Konfiguration 

198 




auf dieser Seite). Diese Option ist nur für Abfragen gültig, deren Ergebnis eine Tabelle 

von Systemen ist. 

HINWEIS: Sie können auch mehrere Aktionen für die Abfrageergebnisse auswählen. Klicken 

Sie auf die Schaltfläche +, um weitere Aktionen hinzuzufügen, die an den 

Abfrageergebnissen durchgeführt werden sollen. Achten Sie dabei darauf, dass Sie die 

Aktionen in der Reihenfolge anordnen, in der sie an den Abfrageergebnissen durchgeführt 





9 Überprüfen Sie die Konfiguration des Tasks, und klicken Sie dann auf Speichern. 

Der Task wird zur Liste auf der Seite Servertasks hinzugefügt. Wenn der Task aktiviert ist 

(Standardeinstellung), wird er zum nächsten geplanten Zeitpunkt ausgeführt. Ist der Task 

deaktiviert, wird er nur dann ausgeführt, wenn Sie auf der Seite Servertasks neben dem Task 

auf Ausführen klicken. 

Veröffentlichen persönlicher Abfragen 

Gehen Sie wie nachfolgend beschrieben vor, um persönliche Abfragen zu veröffentlichen. Alle 

Benutzer mit entsprechenden Berechtigungen für öffentliche Abfragen können auf persönliche 

Abfragen zugreifen, die Sie veröffentlichen. 





1 Wechseln Sie zu Berichterstellung | Abfragen, und wählen Sie dann in der Liste Eigene 

Abfragen die gewünschte Abfrage aus. 

2 Klicken Sie unten auf der Seite auf Veröffentlichen. 

HINWEIS: Sie müssen möglicherweise auf Weitere Aktionen klicken, um auf die Aktion 

Veröffentlichen zugreifen zu können. 

3 Klicken Sie im Bereich Aktion auf OK, wenn Sie dazu aufgefordert werden. 

Das Abfrage wird zur Liste Öffentliche Abfragen hinzugefügt. Alle Benutzer mit Zugriff auf 

öffentliche Abfragen können nun auf die Abfrage zugreifen. 

Duplizieren von Abfragen 

Gehen Sie wie nachfolgend beschrieben vor, um eine Abfrage basierend auf einer vorhandenen 

zu erstellen. 




Abfragen die gewünschte Abfrage aus. 


199



2 Klicken Sie auf Duplizieren, geben Sie einen Namen für das Duplikat an, und klicken Sie 

dann auf OK. 

3 Wählen Sie die neue Abfrage in der Liste Abfragen aus, und klicken Sie dann auf 

Bearbeiten. Der Abfragen-Generator wird mit den Einstellungen der Abfrage angezeigt, 

die als Quelle zum Erstellen des Duplikats diente. 

4 Nehmen Sie die gewünschten Änderungen an der Abfrage vor, und klicken Sie Ausführen 

und dann auf Speichern. 

Freigeben einer Abfrage zwischen ePO-Servern 

Gehen Sie wie nachfolgend beschrieben vor, um Abfragen zu exportieren und zu importieren, 

um sie auf mehreren Servern zu verwenden. 

Aufgaben 

Exportieren von Abfragen zur Verwendung auf einem anderen ePO-Server 

Importieren von Abfragen 

Exportieren von Abfragen zur Verwendung auf einem anderen ePO-Server 

Gehen Sie wie nachfolgend beschrieben vor, um eine Abfrage in eine XML-Datei zu exportieren, 

die auf einem anderen ePO-Server importiert werden kann. 




Abfragen eine Abfrage aus. 

2 Klicken Sie auf Exportieren, und klicken Sie dann im Bereich Aktion auf OK. Das Dialogfeld 

Dateidownload wird angezeigt. 

3 Klicken Sie auf Speichern, wählen Sie den gewünschten Speicherort für die XML-Datei 

aus, und klicken Sie dann auf OK. 

Die Datei wird am angegebenen Speicherort gespeichert. 

Importieren von Abfragen 

Gehen Sie wie nachfolgend beschrieben vor, um eine Abfrage zu importieren, die aus einem 

anderen ePO-Server exportiert wurde. 



1 Wechseln Sie zu Berichterstellung | Abfragen, und klicken Sie dann auf Abfrage 

importieren. Das Dialogfeld Abfrage importieren wird angezeigt. 

2 Klicken Sie auf Durchsuchen. Das Dialogfeld Datei auswählen wird angezeigt. 

3 Wählen Sie die exportierte Datei aus, und klicken Sie dann auf OK. 


Das Abfrage wird zur Liste Eigene Abfragen hinzugefügt. 

200 




Exportieren von Abfrageergebnissen in andere Formate 

Gehen Sie wie nachfolgend beschrieben vor, um Abfrageergebnisse für andere Zwecke zu 

exportieren. Sie können in HTML- und PDF-Dateien exportieren, um Formate anzuzeigen, oder 

in CSV- oder XML-Dateien, um die Daten in anderen Anwendungen zu nutzen und zu 

transformieren. 



1 Wählen Sie auf der Seite mit den Abfrageergebnissen im Menü Optionen die Optionen 

Tabelle exportieren oder Daten exportieren aus. Die Seite Exportieren wird angezeigt. 

2 Legen Sie fest, ob die Datendateien einzeln oder in einer einzigen Archivdatei (ZIP) exportiert 


3 Wählen Sie bei Bedarf aus, ob nur die Diagrammdaten oder die Diagrammdaten zusammen 

mit den Aufgliederungstabellen exportiert werden sollen. 

4 Wählen Sie das Format der exportierten Datei aus. Wählen Sie beim Exportieren in eine 

PDF-Datei die Seitengröße und -ausrichtung aus. 

5 Legen Sie fest, ob die Dateien als E-Mail-Anlagen an ausgewählte Empfänger gesendet 

oder an einem Speicherort auf dem Server gespeichert werden sollen, für den eine 

Verknüpfung bereitgestellt wird. Die Datei können Sie öffnen oder an einem anderen Ort 

speichern, indem Sie mit der rechten Maustaste darauf klicken. 

HINWEIS: Beim Eingeben mehrerer E-Mail-Adressen für Empfänger müssen Sie die Einträge 

mit einem Komma oder Semikolon trennen. 

6 Klicken Sie auf Exportieren. 

Die Dateien werden erstellt und entweder als E-Mail-Anlagen an die Empfänger gesendet, oder 

es wird eine Seite aufgerufen, auf der Sie über Verknüpfungen auf die Dateien zugreifen können. 


Diese Abfragen können Sie für verschiedene Zwecke und Aufgaben verwenden. In diesem 

Thema wird jede einzelne Standardabfrage beschrieben. Bei der Installation von 

Produkterweiterungen werden möglicherweise deren eigene Standardabfragen hinzugefügt. 

Die Bezeichnungen von Standardabfragen beginnen mit dem Produktakronym. (So beginnen 

z. B. alle VirusScan Enterprise-Abfragen mit "VSE"). In diesem Abschnitt des Dokuments werden 

nur McAfee Agent- und ePO-Abfragen behandelt. Informationen zu den Standardabfragen in 

anderen Produkten finden Sie in der Dokumentation zu diesen Produkten. 

Abfrage "MA: Zusammenfassung Agentenkommunikation" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) ein boolesches Kreisdiagramm 

anzeigen, in dem verwaltete Systeme danach aufgeteilt sind, ob sie innerhalb des letzten Tages 

mit dem Server kommuniziert haben. 


201



Abfrageergebnisse 

Die Ergebnisse der Abfrage werden in Form eines booleschen Kreisdiagramms angezeigt, das 

Sie zu einer Tabelle mit den in den einzelnen Kreissegmenten enthaltenen Systemen weiter 

aufgliedern können. 

Vergleichbarer Bericht in ePolicy Orchestrator 3.6 

Diese Abfrage ersetzt komplett oder teilweise: 

• Info zu Agent-zu-Server-Verbindung 

Abfrage "MA: Zusammenfassung Agentenversion" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) ein Kreisdiagramm anzeigen, in dem 

verwaltete Systeme nach der Version des Agenten, der auf ihnen ausgeführt wird, aufgeschlüsselt 

sind. 


Die Ergebnisse der Abfrage werden in Form eines Kreisdiagramms angezeigt, das Sie zu einer 

Tabelle mit den in den einzelnen Kreissegmenten enthaltenen Systemen weiter aufgliedern 

können. 



• Agentenversionen 

Abfrage "ePO: Konformitätsverlauf" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) den Prozentsatz von Systemen in 

der Umgebung anzeigen, die im zeitlichen Verlauf nicht konform sind. 


Diese Abfrage und ihre Ergebnisse hängen vom Servertask "Konformitätsereignis generieren" 

ab. Lassen Sie diesen Servertask in regelmäßigen Abständen ausführen. Diese Abfrage hängt 

von einer booleschen Kreisdiagramm-Abfrage basierend auf verwalteten Systemen ab (z. B. 

die Standardabfrage "ePO: Konformitätsübersicht"). 


Die Ergebnisse der Abfrage werden in Form eines Liniendiagramms angezeigt. Die Details 

hängen von der definierten Konformität der Abfrage "ePO: Konformitätsübersicht" ab. 



• Übersicht DAT/Definition-Ausbringung 

• DAT/Modul-Abdeckung 

202 




Abfrage "ePO: Konformitätsübersicht" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) anzeigen, welche verwalteten Systeme 

in der Umgebung zu VirusScan Enterprise, McAfee Agent und DAT-Dateien konform oder nicht 

konform sind. 

Diese Abfrage bezieht nur Systeme ein, die in den letzten 24 Stunden mit dem Server 

kommuniziert haben. 


Die Ergebnisse dieser Abfrage werden in Form eines booleschen Kreisdiagramms angezeigt. 

Das eine Kreissegment stellt konforme Systeme dar, das andere nicht konforme Systeme. Die 

Anzahl von Systemen in jedem Segment wird in den Segmentbeschriftungen angezeigt. Sie 

können jedes Segment weiter zu einer Tabelle mit Systemen aufgliedern, in der auch Aktionen 

durchgeführt werden können. 





Abfrage "ePO: Malware-Entdeckungsverlauf" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) ein Liniendiagramm mit den internen 

Virenfunden des vergangenen Quartals anzeigen. 


Die Ergebnisse der Abfrage werden in einem Liniendiagramm angezeigt, in dem Sie die Details 

der Ereignisse und die Systeme, auf denen sie stattgefunden haben, weiter aufgliedern können. 





Abfrage "ePO: Status der verteilten Repositories" 


anzeigen, in dem Ihre verteilten Repositories danach aufgeteilt sind, ob deren letzte Replizierung 

erfolgreich war. 


Die Ergebnisse der Abfrage werden in Form eines booleschen Kreisdiagramms angezeigt, in 

dem Sie die einzelnen Kreissegmente weiter zu einer Tabelle der enthaltenen Repositories mit 

Name, Typ und Status aufgliedern können. 


203



Abfrage "ePO: Fehlgeschlagene Benutzeraktionen in 

ePO-Konsole" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) eine Tabelle mit allen 

fehlgeschlagenen Aktionen aus dem Prüfprotokoll anzeigen. 


Die Ergebnisse der Abfrage werden in einer Tabelle angezeigt, in der Sie die Details der 

überwachten Aktionen, der Ereignisse und die Systeme, auf denen sie stattgefunden haben, 

weiter aufgliedern können. 

Abfrage "ePO: Fehlgeschlagene Anmeldeversuche" 


anzeigen, in dem alle im Prüfprotokoll aufgeführten Anmeldeversuche danach aufgeteilt sind, 

ob sie erfolgreich waren. 


Die Ergebnisse der Abfrage werden in einem booleschem Kreisdiagramm angezeigt, mit dem 

Sie die Details der Ereignisse und der Benutzer, für die sie stattgefunden haben, weiter 

aufgliedern können. 

Abfrage "ePO: Konformitätsverlauf für mehrere Server" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) den Prozentsatz von Systemen in 

den registrierten Servern anzeigen, die im zeitlichen Verlauf nicht konform sind. 


Diese Abfrage und ihre Ergebnisse hängen vom Servertask "Konformitätsverlauf-Rollup" ab. 

Planen Sie den Servertask "Konformitätsverlauf-Rollup" so, dass er in regelmäßigen Abständen 

ausgeführt wird. Außerdem müssen Sie beim Erstellen eines Servertasks dieses Typs darauf 

achten, dass der Planungstyp mit der Zeiteinheit für diese Abfrage übereinstimmt. Standardmäßig 

stimmt die Zeiteinheit der Abfrage mit dem Planungstyp des Standard-Servertasks 

"Zusammenfassen der Daten (lokaler ePO-Server)" überein. 


Diese Abfrage gibt ein Liniendiagramm zurück. Die zugehörigen Details richten sich nach der 

Konfiguration des Servertasks "Konformitätsverlauf-Rollup". 





204 




Abfrage "ePO: Systeme pro Gruppe der obersten Ebene" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) ein Balkendiagramm anzeigen, in 

dem Ihre verwalteten Systeme nach der Gruppe der obersten Ebene in der Systemstruktur 

aufgeschlüsselt sind. 


Die Ergebnisse der Abfrage sind in einem Balkendiagramm dargestellt, in dem Sie die in den 

einzelnen Balken enthaltenen Systeme weiter aufschlüsseln können. 

Abfrage "ePO: Als Server gekennzeichnete Systeme" 


anzeigen, in dem die in Ihrer Umgebung vorhandenen Systeme danach aufgeteilt sind, ob sie 

das "Server"-Tag besitzen. 


Die Ergebnisse der Abfrage werden in einem Balkendiagramm angezeigt, in dem Sie die in den 

einzelnen Segmenten enthaltenen Systeme weiter aufschlüsseln können. 

Abfrage "ePO: Heutige Entdeckungen pro Produkt" 

Mit dieser Abfrage können Sie (in der Standardeinstellung) ein Kreisdiagramm anzeigen, in dem 

die Entdeckungen der letzten 24 Stunden nach dem erkannten Produkt aufgeschlüsselt sind. 


Die Ergebnisse der Abfrage werden in einem Kreisdiagramm angezeigt, mit dem Sie die Details 

der Ereignisse und der Systeme, auf denen sie stattgefunden haben, weiter aufgliedern können. 



• Anzahl der Infektionen für die letzten 24 Stunden 


205

Bewerten Ihrer Umgebung mit Dashboards 

Mit Dashboards können Sie Ihre Umgebung fortlaufend überwachen. Dashboards sind 

Sammlungen von Überwachungen. Das Spektrum der Überwachungen reicht von 

diagrammbasierten Abfragen bis hin zu kleinen Webanwendungen wie MyAvert Security Threats, 

die in einem vom Benutzer konfigurierten Intervall aktualisiert wird. 

Die Benutzer müssen über die entsprechenden Berechtigungen verfügen, um Dashboards 

verwenden und erstellen zu können. 

Richten Sie Dashboards zum ersten Mal ein? 

Wenn Sie Dashboards erstmals einrichten, gehen Sie wie folgt vor: 

1 Lesen Sie zum besseren Verständnis von Dashboards und Dashboard-Überwachungen die 

Konzeptthemen in diesem Abschnitt durch. 

2 Entscheiden Sie, welche standardmäßigen Dashboards und Überwachungen verwendet 


3 Erstellen Sie die erforderlichen Dashboards und deren Überwachungen, und aktivieren Sie 

alle, die als Registerkarten über die Navigationsleiste verfügbar sein sollen. 

Inhalt 

Beschreibung und Funktionsweise von Dashboards 

Einrichten des Dashboards-Zugriffs und des Dashboard-Verhaltens 

Arbeiten mit Dashboards 

Beschreibung und Funktionsweise von Dashboards 

Dashboards sind Sammlungen von Überwachungen, die von Benutzern ausgewählt und 

konfiguriert werden. Sie liefern aktuelle Daten zur Umgebung. 

Abfragen als Dashboard-Überwachungen 

Verwenden Sie beliebige diagrammbasierte Abfragen als Dashboard, die in einem vom Benutzer 

festgelegten Intervall aktualisiert werden, damit Sie Ihre nützlichsten Abfragen auf einem 

aktuellen Dashboard verwenden können. 

Standardmäßige Dashboard-Überwachungen 

Diese Version von ePolicy Orchestrator enthält verschiedene standardmäßige Überwachungen: 

206 



Einrichten des Dashboards-Zugriffs und des Dashboard-Verhaltens 

• MyAvert Threat Threats – Dieser Dienst informiert Sie darüber, welche DAT-Dateien und 

Module verfügbar sind, vor welchen Bedrohungen sie schützen und welche Versionen derzeit 

in Ihrem Master-Repository enthalten sind. 

• Schnelle Systemsuche – Ein textbasiertes Suchfeld, mit dem Sie Systeme nach Systemname, 

IP-Adresse, MAC-Adresse oder Benutzername suchen können. 

• McAfee-Verknüpfungen – Hyperlinks zu McAfee-Sites, darunter zum ePolicy 

Orchestrator-Support, zu Avert Labs WebImmune und zur Avert Labs Threat Library (Avert 

Labs-Bibliothek zu Bedrohungen). 

Einrichten des Dashboards-Zugriffs und des 

Dashboard-Verhaltens 

Gehen Sie wie nachfolgend beschrieben vor, um das Aktualisierungsintervall der Dashboards 

zu konfigurieren und sicherzustellen, dass Benutzer den erforderlichen Zugriff auf Dashboards 

haben. 

Aufgaben 

Gewähren von Dashboard-Berechtigungen für Benutzer 

Konfigurieren des Aktualisierungsintervalls für Dashboards 

Gewähren von Dashboard-Berechtigungen für Benutzer 

Gehen Sie wie nachfolgend beschrieben vor, um Benutzern die erforderlichen Berechtigungen 

für Dashboards zu gewähren. Damit Benutzer auf Dashboards zugreifen und sie verwenden 

können, benötigen sie entsprechende Berechtigungen. 



1 Wechseln Sie zu Konfiguration | Berechtigungssätze, und klicken Sie anschließend 

auf Neuer Berechtigungssatz, oder wählen Sie in der Liste Berechtigungssätze einen 

Berechtigungssatz aus. 

2 Klicken Sie neben Dashboards auf Bearbeiten. Die Seite Berechtigungssatz 

bearbeiten: Dashboards wird angezeigt. 

3 Wählen Sie eine Berechtigung aus: 

• Keine Berechtigungen 

• Öffentliche Dashboards verwenden 

• Öffentliche Dashboards verwenden; persönliche Dashboards erstellen und 

bearbeiten 

• Öffentliche Dashboards bearbeiten; persönliche Dashboards erstellen und 

bearbeiten; persönliche Dashboards zugänglich machen 



207



Konfigurieren des Aktualisierungsintervalls für Dashboards 

Gehen Sie wie nachfolgend beschrieben vor, um zu definieren, in welchem Intervall (nach 

jeweils wie vielen Minuten) die Dashboards der Benutzer aktualisiert werden. Diese Einstellung 

ist für jedes Benutzerkonto individuell. 

Berücksichtigen Sie beim Festlegen dieses Werts, wie viele Benutzer dabei jedes Mal angemeldet 

sein werden, da jeder bei einem Dashboard angemeldete Benutzer beim Aktualisieren der 

Dashboards zusätzliche Systemleistung benötigt. 



1 Wechseln Sie zu Dashboards, und wählen Sie in der Dropdownliste Optionen den Eintrag 

Dashboard-Einstellungen bearbeiten aus. Die Seite Dashboard-Einstellungen wird 

angezeigt. 

2 Geben Sie neben Aktualisierungsintervall der Dashboard-Seiten ein, wie viele Minuten 

zwischen den Aktualisierungen vergehen sollen. 



Gehen Sie wie nachfolgend beschrieben vor, um Dashboards zu erstellen und zu verwalten. 

Aufgaben 

Erstellen von Dashboards 

Aktivieren eines Dashboards 

Auswählen aller aktiven Dashboards 

Veröffentlichen eines Dashboards 

Erstellen von Dashboards 

Gehen Sie wie nachfolgend beschrieben vor, um ein Dashboard zu erstellen. 



208 





Dashboards verwalten aus. Die Seite Dashboards verwalten wird angezeigt. 

Abbildung 32: Seite "Neues Dashboard" 

2 Klicken Sie auf Neues Dashboard. 

3 Geben Sie einen Namen ein, und wählen Sie eine Größe für das Dashboard aus. 

4 Klicken Sie für jeden Monitor auf Neue Überwachung, und wählen Sie anschließend den 

Monitor aus, der im Dashboard angezeigt werden soll. 

5 Klicken Sie auf Speichern, und wählen Sie aus, ob das Dashboard aktiviert werden soll. 

Aktive Dashboards werden auf der Registerkartenleiste der Dashboards angezeigt. 

Aktivieren eines Dashboards 

Gehen Sie wie nachfolgend beschrieben vor, um ein Dashboard zu Ihrem aktiven Satz 



Definitionen zu Optionen erhalten Sie, wenn Sie auf der Seite, auf der die Optionen angezeigt 

werden, auf ? klicken. 

1 Wechseln Sie zu Dashboards, klicken Sie auf Optionen, und wählen Sie dann Dashboards 

verwalten aus. Die Seite Dashboards verwalten wird angezeigt. 

2 Wählen Sie ein Dashboard in der Liste Dashboards aus, und klicken Sie dann auf 

Aktivieren. 


4 Klicken Sie auf Schließen. 

Das ausgewählte Dashboard wird jetzt in der Registerkartenleiste angezeigt. 

Auswählen aller aktiven Dashboards 

Gehen Sie wie nachfolgend beschrieben vor, um alle Dashboards auszuwählen, die Ihren aktiven 

Satz bilden. Sie können auf aktive Dashboards über die Registerkartenleiste unter Dashboards 

zugreifen. 


209






Aktive Dashboards auswählen aus. 

Abbildung 33: Seite "Aktive Dashboards auswählen" 

2 Klicken Sie in der Liste Verfügbare Dashboards auf die gewünschten Dashboards. Diese 

werden zum Inhaltsbereich hinzugefügt. 

3 Wiederholen Sie diesen Vorgang, bis alle gewünschten Dashboards ausgewählt sind. 

4 Ordnen Sie die ausgewählten Dashboards so an, wie sie in der Registerkartenleiste angezeigt 



Die ausgewählten Dashboards werden in der Registerkartenleiste angezeigt, wenn Sie zum 

Abschnitt Dashboards des Produkts wechseln. 

Veröffentlichen eines Dashboards 

Gehen Sie wie nachfolgend beschrieben vor, um ein privates Dashboard zu veröffentlichen. 

Öffentliche Dashboards können von allen Benutzern verwendet werden, die über Berechtigungen 

für öffentliche Dashboards verfügen. 




Dashboards verwalten aus. 

2 Wählen Sie das gewünschte Dashboard in der Liste Dashboards aus, und klicken Sie dann 

auf Veröffentlichen. 


Das Dashboard wird auf der Seite Dashboards verwalten in der Liste Öffentliche 

Dashboards angezeigt. 

210 


Anhang: Wartung von ePolicy 

Orchestrator-Datenbanken 

Unabhängig davon, ob Sie in ePolicy Orchestrator eine MSDE- oder SQL-Datenbank verwenden, 

müssen Sie Ihre Datenbanken regelmäßig warten. Dadurch wird die optimale Leistung der 

Datenbank und der Schutz der darin enthaltenen Daten gewährleistet. 

Je nach der Ausbringung von ePolicy Orchestrator sollten Sie wöchentlich einige Stunden für 

reguläre Datenbanksicherungen und Wartungsaufgaben einplanen. Viele der in diesem Abschnitt 

beschriebenen Aufgaben sollten regelmäßig ausgeführt werden, entweder wöchentlich oder 

täglich. Manche sind nur zu bestimmten Zeiten erforderlich, zum Beispiel dann, wenn Probleme 

auftreten. 

Zur Wartung von ePolicy Orchestrator-Datenbanken können Sie eine Kombination von Tools 

verwenden. Die Entscheidung für die zu verwendenden Tools hängt davon ab, ob Sie eine 

Microsoft Data Engine (MSDE) oder eine SQL Server-Datenbank als ePolicy 

Orchestrator-Datenbank verwenden. Beachten Sie, dass Sie mit Microsoft SQL Server Enterprise 

Manager sowohl MSDE- als auch SQL Server-Datenbanken warten können. 

Inhalt 

Ausführen täglicher oder wöchentlicher Datenbankwartung 

Regelmäßiges Sichern von ePolicy Orchestrator-Datenbanken 

Ändern von SQL Server-Informationen 

Wiederherstellen von ePolicy Orchestrator-Datenbanken 

Ausführen täglicher oder wöchentlicher 

Datenbankwartung 

Führen Sie regelmäßige Wartungsaufgaben aus, damit die Datenbank nicht zu umfangreich 

wird und es nicht zu einem Leistungsabfall kommt. McAfee empfiehlt, diese Aufgaben nach 

Möglichkeit täglich oder zumindest wöchentlich auszuführen. Regelmäßige Wartung trägt dazu 

bei, den Umfang der Datenbank möglichst gering zu halten und damit die Datenbankleistung 

zu verbessern. 

Die Vorgehensweise hängt davon ab, ob sie mit einer MSDE- oder SQL-Datenbank arbeiten. 

Aufgaben 

Ausführen der wöchentlichen Wartung von MSDE-Datenbanken 

Ausführen der regelmäßigen Wartung von SQL Server-Datenbanken 


211

Anhang: Wartung von ePolicy Orchestrator-Datenbanken 

Ausführen täglicher oder wöchentlicher Datenbankwartung 

Ausführen der wöchentlichen Wartung von MSDE-Datenbanken 

Verwenden Sie das Dienstprogramm SQLMAINT.EXE, um Ihre MSDE-Datenbank regelmäßig zu 

säubern und zu warten. Dieses Dienstprogramm ist standardmäßig im MSDE-Installationsordner 

auf dem Server installiert. 

Führen Sie dieses Dienstprogramm mindestens einmal wöchentlich aus. Über das 

Eingabeaufforderungsprogramm SQLMAINT.EXE können Sie Routineaufgaben zur 

Datenbankwartung ausführen. Dieses Dienstprogramm können Sie verwenden, um 

DBCC-Prüfungen auszuführen, eine Datenbank und deren Transaktionsprotokoll zu sichern, 

Statistiken zu aktualisieren und Indizes neu zu erstellen. 

Die einfachen Schritte weiter unten beschreiben nicht alle Möglichkeiten, die das Dienstprogramm 

SQLMAINT zur Wartung von MSDE-Datenbanken bietet, sondern nur das Minimum an Aufgaben, 

die Sie wöchentlich zur Wartung Ihrer Datenbank ausführen sollten. Weitere Informationen zu 

SQLMAINT und den Möglichkeiten des Programms finden Sie auf der Microsoft-Website. 


1 Geben Sie an der Eingabeaufforderung Folgendes ein (Groß- und Kleinschreibung ist zu 

beachten): 

SQLMAINT -S -U -P -D -RebldIdx 5 -RmUnusedSpace 

50 10 -UpdOptiStats 15 

Hierbei ist der Name des Servers; und stehen 

für den Namen und das Kennwort des Benutzerkontos, und ist der Name 

der Datenbank. Der Standard-Datenbankname lautet EPO_, wobei 

für den Namen des ePolicy Orchestrator-Servers steht. 

2 Drücken Sie die EINGABETASTE. 

Ausführen der regelmäßigen Wartung von SQL 

Server-Datenbanken 

Verwenden Sie SQL Enterprise Manager zur regelmäßigen Wartung Ihrer SQL-Datenbank. 

Die folgenden Aufgaben umfassen nicht alle Möglichkeiten zur Wartung Ihrer SQL-Datenbank 

in SQL Enterprise Manager. Weitere Informationen zu Wartungsoptionen finden Sie in Ihrer 

SQL-Dokumentation. 

Das Sichern des Transaktionsprotokolls ist nicht mit der einfachen Wiederherstellung kompatibel. 

Wenn Sie über mehrere Datenbanken mit unterschiedlichen Wiederherstellungsmodellen 

verfügen, können Sie für jedes Wiederherstellungsmodell separate Datenbank-Wartungspläne 

erstellen. Auf diese Weise können Sie einen Schritt zum Sichern Ihrer Transaktionsprotokolle 

ausschließlich für diejenigen Datenbanken einfügen, die nicht das einfache 

Wiederherstellungsmodell verwenden. 

Das einfache Wiederherstellungsmodell wird empfohlen, weil dadurch die Transaktionsprotokolle 

nicht zu umfangreich werden. Bei der einfachen Wiederherstellung werden nach dem Abschließen 

eines Checkpoints die Transaktionsprotokolle, die vor diesem Checkpoint aufgezeichnet wurden, 

aus der aktiven Datenbank gelöscht. Ein Checkpoint entsteht automatisch bei einer Sicherung. 

Sie sollten einen Datenbank-Wartungsplan erstellen, der eine Sicherung der ePO-Datenbank 

zusammen mit einer "einfachen Wiederherstellung" durchführt. Auf diese Weise wird bei einer 

erfolgreichen Sicherung der entsprechende Teil des Transaktionsprotokolls in der aktiven 

Datenbank gelöscht, da eine Sicherungsdatei vorhanden ist und er nicht mehr benötigt wird. 

212 



Regelmäßiges Sichern von ePolicy Orchestrator-Datenbanken 

Stellen Sie das Wiederherstellungsmodell auf "einfach" ein. Diese einmalige Änderung der SQL 

Server-Einstellungen ist äußerst wichtig. MSDE-Datenbanken werden zwar standardmäßig mit 

dem einfachen Wiederherstellungsmodell installiert, SQL Server verwendet jedoch ein anderes 

Wiederherstellungsmodell, mit dem die Säuberung des Transaktionsprotokolls schwieriger ist. 

Dadurch kann das Protokoll an Umfang zunehmen. 

HINWEIS: Wenn Sie die einfache Wiederherstellung nicht verwenden, müssen Sie das 

Transaktionsprotokoll regelmäßig sichern. 

Informationen dazu, wie Sie das Wiederherstellungsmodell auf "einfach" einstellen, finden Sie 

in der SQL- oder MSDE-Dokumentation. 

Regelmäßiges Sichern von ePolicy 


McAfee empfiehlt, die ePolicy Orchestrator-Datenbanken regelmäßig zu sichern, um Ihre Daten 

zu schützen und Datenverluste bei Hardware- und Softwarefehlern zu vermeiden. Unter 

Umständen müssen Sie Dateien aus Sicherungskopien wiederherstellen, zum Beispiel in solchen 

Fällen, in denen eine Neuinstallation des Servers erforderlich ist. 

Wie häufig Sie Sicherungskopien anfertigen, hängt davon ab, wie viele Ihrer Daten Sie entbehren 

können. Die Datenbank sollte mindestens einmal wöchentlich gesichert werden. Falls Sie jedoch 

viele Änderungen an der Ausbringung vornehmen, empfiehlt sich eine tägliche Sicherung. 

Tägliche Sicherungen können auch im Rahmen automatisierter nächtlicher Wartungsaufgaben 

durchgeführt werden. Sie können auch täglich eine inkrementelle Sicherung vornehmen und 

dann einmal pro Woche eine vollständige Sicherungskopie anfertigen. Speichern Sie die 

Sicherungskopie nicht auf demselben Server, auf dem sich Ihre Livedatenbank befindet. Wenn 

Ihr Datenbankserver ausfällt, verlieren Sie sonst auch die Sicherungskopie. 

Die Vorgehensweise richtet sich danach, ob Sie eine SQL- oder eine MSDE-Datenbank sichern. 

Informationen zum Sichern einer SQL Server-Datenbank finden Sie in der SQL 

Server-Dokumentation. 

Aufgaben 

Sichern einer SQL-Datenbank – siehe SQL-Dokumentation 

Sichern einer MSDE-Datenbank 

Sichern einer SQL-Datenbank – siehe SQL-Dokumentation 

Wenn Sie Microsoft SQL Server oder SQL 2005 Express als Datenbank für verwenden, finden 

Sie weitere Informationen in der SQL Server-Produktdokumentation. 

Sichern einer MSDE-Datenbank 

Wenn Sie Microsoft Data Engine (MSDE) als ePolicy Orchestrator-Datenbank verwenden, können 

Sie mit dem Dienstprogramm zur Datenbanksicherung (DBBAK.EXE) die ePolicy 

Orchestrator-MSDE-Datenbanken auf dem Datenbankserver sichern und wiederherstellen. 

TIPP: Das Dienstprogramm zur Datenbanksicherung kann ausgeführt werden, während der 

Serverdienst ausgeführt wird. Sie sollten jedoch den Serverdienst anhalten, bevor Sie mit der 

Sicherung beginnen. 


213



Sie können mit diesem Dienstprogramm MSDE-Datenbanken unter demselben Pfad auf demselben 

Datenbankserver sichern und wiederherstellen. Den Speicherort der Datenbank können Sie 

damit nicht ändern. 


1 Beenden Sie den McAfee ePolicy Orchestrator 4.0 Server-Dienst, und stellen Sie sicher, 

dass der SQL Server-Dienst (MSSQLSERVER) ausgeführt wird. Entsprechende Anweisungen 

finden Sie in der Dokumentation des Betriebssystems. 

2 Schließen Sie ePolicy Orchestrator. 

3 Starten Sie das Dienstprogramm zur Datenbanksicherung (DBBAK.EXE). Der 

Standardspeicherort ist: 

C:\PROGRAMME\MCAFEE\EPO 

4 Geben Sie den Namen des Datenbankservers ein. 

5 Geben Sie den Datenbanknamen ein. 

6 Wählen Sie NT-Authentifizierung oder SQL-Konto aus. 

Wenn Sie die Option SQL-Konto ausgewählt haben, geben Sie Name und Kennwort 

des Benutzers für diese Datenbank ein. 

7 Geben Sie den Pfad der Sicherungsdatei ein. 

8 Klicken Sie auf Sichern. 

9 Klicken Sie auf OK, wenn die Sicherung abgeschlossen wurde. 

10 Starten Sie den McAfee ePolicy Orchestrator 4.0 Server-Dienst, und stellen Sie sicher, 

dass der MSSQLSERVER-Dienst ausgeführt wird. Entsprechende Anweisungen finden Sie 

in der Dokumentation des Betriebssystems. 


Gehen Sie wie nachfolgend beschrieben vor, um die Konfigurationsdetails für SQL 

Server-Verbindungen zu bearbeiten. Dies ist nützlich, um die Informationen des Benutzerkontos 

in ePolicy Orchestrator zu ändern, wenn Sie Änderungen an den SQL 

Server-Authentifizierungsmodi in einem anderen Programm vornehmen, z. B. in SQL Server 

Enterprise Manager. Wenden Sie diese Vorgehensweise an, wenn Sie aus Gründen erhöhter 

Netzwerksicherheit ein SQL-Benutzerkonto mit Berechtigungen benötigen. 

Auf der unten angegebenen Seite können Sie Informationen der Datenbank-Konfigurationsdatei 

anpassen, die früher mit der Datei CFGNAIMS.EXE geändert wurden. 

Wissenswertes zu dieser Seite: 

• Authentifizierung – Wenn die Datenbank ausgeführt wird, wird die normale 

ePO-Benutzerauthentifizierung verwendet, und der Zugriff ist nur für einen globalen 

Administrator möglich. Wenn die Datenbank nicht ausgeführt wird, ist eine Verbindung vom 

System mit dem Server erforderlich. 

• Damit Konfigurationsänderungen wirksam werden, muss der ePO-Server neu gestartet 

werden. 

• Als letztes Mittel können Sie die Konfigurationsdatei per Hand bearbeiten 

(${orion.server.home}/conf/orion/db.properties). Dazu geben Sie das Kennwort in Klartext ein, 

starten den Server und ändern dann auf der Konfigurationsseite die Datenbankkonfiguration, 

in der die verschlüsselte Version der Passphrase gespeichert wird. 

214 





1 Wechseln Sie in ePolicy Orchestrator zu diesem URL: 

http://server/core/config 

2 Führen Sie auf der Seite Datenbankeinstellungen konfigurieren einen Bildlauf nach 

unten durch, und ändern Sie die Anmeldeinformationen nach Bedarf. 

3 Klicken Sie abschließend auf OK. 

4 Starten Sie das System neu, um die Änderungen zu übernehmen. 

Wiederherstellen von ePolicy 


Wenn Sie Ihre Datenbank regelmäßig (wie von McAfee empfohlen) gesichert haben, bereitet 

die Wiederherstellung keine Probleme. Eine Wiederherstellung sollte nicht oft erforderlich sein, 

wenn überhaupt. Außer bei Software- oder Hardwarefehlern müssen Sie die Datenbank aus 

einer Sicherungskopie wiederherstellen, wenn Sie ein Upgrade Ihres Servers oder der 

Datenbankserver-Hardware planen. 

Die Vorgehensweise richtet sich danach, ob Sie eine SQL- oder eine MSDE-Datenbank 

wiederherstellen. Informationen zum Wiederherstellen einer SQL Server-Datenbank finden Sie 

in der SQL Server-Dokumentation. 

Aufgaben 

Wiederherstellen einer SQL-Datenbank – siehe SQL-Dokumentation 

Wiederherstellen einer MSDE-Datenbank aus einer Sicherungskopie 

Wiederherstellen einer SQL-Datenbank – siehe 

SQL-Dokumentation 

Wenn Sie Microsoft SQL Server oder SQL 2005 Express als Datenbank für verwenden, finden 

Sie weitere Informationen in der SQL Server-Produktdokumentation. 

Wiederherstellen einer MSDE-Datenbank aus einer 

Sicherungskopie 

Sie können mit diesem Dienstprogramm MSDE-Datenbanken unter demselben Pfad auf demselben 

Datenbankserver sichern und wiederherstellen. Den Speicherort der Datenbank können Sie 

damit nicht ändern. 


1 Beenden Sie den McAfee ePolicy Orchestrator 4.0 Server-Dienst, und stellen Sie sicher, 

dass der SQL Server-Dienst (MSSQLSERVER) ausgeführt wird. Entsprechende Anweisungen 

finden Sie in der Dokumentation des Betriebssystems. 

2 Schließen Sie alle ePolicy Orchestrator-Konsolen und Remotekonsolen. 


215



3 Starten Sie das Dienstprogramm zur Datenbanksicherung (DBBAK.EXE). Der 

Standardspeicherort ist: 

C:\PROGRAMME\MCAFEE\EPO 

4 Geben Sie den Datenbankserver-Namen ein. 

5 Geben Sie den Datenbanknamen ein. 

6 Wählen Sie NT-Authentifizierung oder SQL-Konto aus. 

Wenn Sie die Option SQL-Konto ausgewählt haben, geben Sie Namen und Kennwort 

des Benutzers für diese Datenbank ein. 

7 Geben Sie den Pfad der Sicherungsdatei ein. 

8 Klicken Sie auf Wiederherstellen. 

9 Wenn Sie gefragt werden, ob Sie die gesamte ePolicy Orchestrator-Datenbank überschreiben 

möchten, klicken Sie auf Ja. 

10 Klicken Sie auf OK, wenn der Wiederherstellungsvorgang erfolgreich abgeschlossen wurde. 

11 Starten Sie den McAfee ePolicy Orchestrator 4.0 Server-Dienst, und stellen Sie sicher, 

dass der MSSQLSERVER-Dienst ausgeführt wird. Entsprechende Anweisungen finden Sie 

in der Dokumentation des Betriebssystems. 

216 


Index 

A 

Abfragen 

Aktionen für Ergebnisse 190 

Ausführen einer vorhandenen 197 

Ausschließen von Tags für Systeme mithilfe der Ergebnisse 53 

Benutzerdefiniert, erstellen 196 

Berechtigungen 191 

Berichtsformate 191 

Diagrammtypen 193 

Duplizieren 199 

Eigene Abfragen (Liste) 191 

Entfernen von Agenten in Ergebnissen 90 

Ergebnisse als Dashboard-Überwachungen 191 

Ergebnisse in Tabellenform 193 

Export in Berichtsform 191 

Exportieren in XML-Datei 200 

Filter 193 

Geplant 197 

Importieren von einem Server 200 

Informationen 190 

Kontakte 18 

Öffentlich und persönlich 191 

Öffentliche Abfragen (Liste) 191 

Registrieren von ePO-Servern 194 

Rollup mehrerer Server 193 

Standardabfragen 201 

Veröffentlichen persönlicher Abfragen 199 

Vorbereitung auf Rollup-Abfragen 194 

Abfragen-Generator (Assistent) 

Ergebnistypen 192 

Erstellen von benutzerdefinierten Abfragen 196 


Abfragenamen 

Als Server gekennzeichnete Systeme 205 

Entdeckungsverlauf 203 

Fehlgeschlagene Anmeldeversuche 204 

Fehlgeschlagene Benutzeraktionen in ePO-Konsole 204 

Heutige Entdeckungen pro Produkt 205 

Konformitätsübersicht 203 

Konformitätsverlauf 202 

Status der verteilten Repositories 203 

Systeme pro Gruppe der obersten Ebene 205 

Verlauf der verwalteten Systeme 204 

Zusammenfassung Agentenkommunikation 201 

Zusammenfassung Agentenversion 202 

Abruftasks 

Aktualisieren des Master-Repositorys 152, 159 

Ausbringen von Aktualisierungen 159 

Erwägungen beim Planen 152 

Jetzt abrufen (Task), auslösen 161 

Servertask-Protokoll 154 

Active Directory-Container 

Agentenausbringung und 80 

Zuordnen zu Systemstrukturgruppen 62 

Active Directory-Synchronisierung 

Gliederung und 43 

Integration in die Systemstruktur 46 

Jetzt synchronisieren (Aktion) 46 

Löschen von Systemen 46 

mit der Systemstruktur 62 

Systeme und Struktur 47 

Tasks 46 

Typen 46 

Umgang mit doppelten Einträgen 46 

Administratoren, globale 41 

Administratorkonten, siehe "Benutzerkonten" 17 

Agent 

Aktivieren in vorhandenen McAfee-Produkten 85 

Ausbringungsmethoden 79, 80 

Befehlszeilenoptionen 103 

Benachrichtigungen und Weiterleiten von Ereignissen 174 

Benutzeroberfläche 94 

Definition 71 

Deinstallation 89 

Eigenschaften, anzeigen 94 

Einstellungen, anzeigen 96 

Entfernen von Systemen in Abfrageergebnissen 90 

Ermittlung des Status 75 

Erster Aufruf des Servers 50 

Erzwingen der Meldungen beim Server 86 

GUID und Speicherort in der Systemstruktur 51 


Konfigurieren von Richtlinien zum Verwenden von Repositories 

164 

McAfee Agent, ePO-Komponenten 12 

Methoden zum Entfernen 89, 90 

Reaktivierungen 91 

Tasks, Ausführen auf verwalteten Systemen 94 

Versionsnummern, anzeigen 96 

Wartung 90 

Zugreifen auf mehrere Server 99 


Generieren neuer ASSC-Schlüssel 98 


Schlüssel für sichere Kommunikation (ASSC) 78 

Agent-zu-Server-Kommunikationsintervall (ASKI) 

Empfohlene Einstellungen 73 

Global Unique Identifiers und 86 

nach dem Agenten-Setup 73 

Agentenabfragen 201, 202 

Agentenaktivitätsprotokolle 75, 93, 94 

Agenteninstallation 

Aktualisierungspakete 87 

Anmeldeinformationen für das Konto 79 

Anmeldeskripts 83 

Befehlszeilenoptionen 104 

Benutzerdefinierte Pakete 79 

CMDAGENT.EXE 103 

Deinstallation 89 

Erzwingen der Meldungen beim Server 86 


217

Index 

Agenteninstallation (Fortsetzung) 

Installieren auf einem Image 86 

Manuell 84 

Netzwerkanmeldeskripts 83 

Paket, Speicherort 72 

Speicherort des Ordners 71 

Sprachpakete 71 

Systemstruktur und 84 

Agentenmonitor 95 

Agentenrichtlinie 

Einstellungen, Informationen 75 

Seiten, Optionen 75 

Agentenupgrade 87 

Agentenverteilung 

Anforderungen für die Ausbringung 80 

Ausbringen in ePolicy Orchestrator 80 

Befehlszeile von FRMINST.EXE 89, 104 

Methoden 79, 80 

Novell NetWare-Server 86 

Tasks 80 

Verwenden von Ausbringungstools von Drittanbietern 86 

WebShield Appliances 86 

Aggregation, siehe "Benachrichtigungen" 171 

Aktualisierung 

Agenten, mit Anmeldeskripts oder manuelle Installation 87 

Agenteninstallationspakete 87 

Aktualisieren von Agenten 87 

Ausbringen von Paketen mit Tasks 159 

Ausbringungspakete 149 

Ausbringungstasks 149 

Automatisch, per globaler Aktualisierung 158 

Clienttasks 150 

DAT-Dateien und Modul 149 

Erwägungen bei der Taskerstellung 150 

global, Prozess 151 

Jetzt abrufen (Task) zum Aktualisieren des Master-Repositorys 

161 

Manuell 95 

Manuelles Ausführen von Tasks 95 

Manuelles Einchecken 154 

Master-Repository mit Abruftasks 159 

Pakete und Abhängigkeiten 149 

Paketsignaturen und Sicherheit 148 

Planen eines Aktualisierungstasks 166 

Prozessbeschreibung 149 

Quellsites und 107 

Aktualisierungen von DAT-Dateien 

Ausbringung 149 

Erwägungen bei der Taskerstellung 150 

im Master-Repository 109 


Planen eines Tasks 166 

Täglicher Task 166 

Überprüfen der Versionen 167 

von der Quellsite 114 

Aktuell (Zweig) 

Definition 109 

Einchecken von Aktualisierungspaketen 166 

für Aktualisierungen 161 

Alternative Sites 

Bearbeiten vorhandener 116 


Konfigurierung 114 

Löschen 116 

Wechseln zur Quellsite 114 

Anmeldeinformationen 

Ändern, für verteilte Repositories 125 

Anmeldeinformationen für Agenteninstallationspaket 79 

ASKI, siehe "Agent-zu-Server-Kommunikationsintervall" 72 

Ausbringung 

Aktualisieren von Agenten 87 

Globale Aktualisierung 158 

Installieren von Produkten 156, 157 

Manuelles Einchecken von Paketen 154 

Paketsicherheit 148 

Produkte und Aktualisierungen 149 

Tasks 149 

Tasks, für verwaltete Systeme 156 

Unterstützte Pakete 147 

Ausbringungstools von Drittanbietern 86 

Ausführbare Dateien 

Arbeiten mit, für Benachrichtigungen 179 

Bearbeiten, Benachrichtigungen und 180 

Benachrichtigungen und externe Befehle 181 

Konfigurieren von externen Befehlen 179 

Liste externer Befehle 181 

Löschen 180 

Registriert, hinzufügen 179 

B 

Bandbreite 

Erwägungen bei Abruftasks 152 

Erwägungen bei der Ereignisweiterleitung 30 

Replizierungstasks und 153 

Verteilte Repositories und 107 

Befehls-Agent (CMDAGENT.EXE) 73, 103 

Befehlszeilenoptionen 

Agent 103 

Benachrichtigungen und registrierte ausführbare Dateien 179 

CMDAGENT.EXE 73, 86, 103 

FRMINST.EXE 85, 89, 104 

Benachrichtigungen 

Ausführbare Dateien, Arbeiten mit 179, 180 

Auslösende Regeln 185 

Beschränkung und Aggregation 171 

Einstellungen für Ereignisweiterleitung und Agenten 75 

Empfänger 171 

Ereignisweiterleitung 174, 175 

Externe Befehle, Arbeiten mit 180, 181 

Funktionsweise 171 

Häufig gestellte Fragen 188 

Konfigurierung 175, 179, 185 

Kontakte 18, 185 

Planen 174 

SNMP-Server 177, 178 

Systemstrukturszenarien 172 

Verlauf, anzeigen 186 

Zuweisen von Berechtigungen 176 

Benachrichtigungsprotokoll 

Anzeigen 186, 187 

Bereinigen von Benachrichtigungen 187 


Benachrichtigungsregeln 

Beschreibung (Seite) 182 

Einrichten von Filtern 183 

Erstellen und Bearbeiten 182 

Festlegen von Schwellenwerten 184 

für Produkte und Komponenten 188 

Importieren von MIB-Dateien 178 

Standardabfragen 173 

218 


Index 

Benutzerkonten 

Ändern von Kennwörtern 25 

Arbeiten mit 24, 25 

Berechtigungssätze und 17 

Erstellen 24 

Erstellen von Berechtigungssätzen 25 


Benutzeroberfläche, Agent 94 

Berechtigungen 

für Abfragen 191 

für Dashboards 207 

Globaler Administrator 17 

Zuweisen für Benachrichtigungen 176 

Berechtigungssätze 

Arbeiten mit 25, 26, 27 

bei der Produktinstallation 18 

Erstellen für Benutzerkonten 25 

Erweiterungen und 18 


Berichte 

Exportierte Abfrageergebnisse 191 

Exportierte Daten 22 

Formate 22, 191 

Konfigurieren der Vorlage und des Speicherorts 29 

Beschränkung, siehe "Benachrichtigungen" 171 

Betriebssysteme 

Ältere Systeme (Windows 95, Windows 98) 44 

Filter für Benachrichtigungsregel 183 

Gruppierung 44 

Microsoft Windows XP Service Pack 2 79 

Windows 95 81 

Windows 98 81 

Windows ME 81 

Windows XP Home 81 

C 

Clienttasks 

Arbeiten mit 143 

Bearbeiten von Einstellungen 144 

Erstellen und Planen 143 


Löschen 144 

D 

Dashboards 

Aktiver Satz 209 

Aktivieren 209 

Auswählen aller Elemente in einem Satz 209 

Diagrammbasierten Abfragen und 206 

Erstellen 208 


Gewähren von Berechtigungen 207 

Konfigurieren des Aktualisierungsintervalls 208 

Konfigurieren für exportierte Berichte 29 

Konfigurieren von Zugriff und Verhalten 207 

Standardüberwachungen 206 

Veröffentlichen 210 

DAT-Dateien 

Löschen aus Repository 169 

Repository-Zweige 168 

Testen 167 

Daten-Rollup (Servertask) 195 

Datenbanken 

Abfragen mehrerer Server 193 

Abfragen und Abrufen von Daten 190 

Datenbanken (Fortsetzung) 

Öffentliche und persönliche Abfragen 191 

Ports und Kommunikation 18 

Registrieren von Servern für Rollup-Abfragen 194 

DCOM 1.3, Aktivieren der ePO-Verwaltung 81 

Diagramme, siehe "Abfragen" 193 

Dienstprogramm NETDOM.EXE, Erstellen einer Textdatei 59 

Dienstprogramme 

NETDOM.EXE, Erstellen einer Textdatei 59 

Domänensynchronisierung 43 

Doppelte Einträge in der Systemstruktur 65 

E 

E-Mail-Adressen, siehe "Kontakte" 18 

E-Mail-Server 

Definieren 29 

Konfigurieren von Benachrichtigungen 175 

Eigenschaften 

Agent, Anzeigen in der Konsole 94 

Senden an ePO-Server 95 

Überprüfen von Richtlinienänderungen 94 

Vollständige und minimale für Systeme 76 

Empfehlungen von McAfee 

Ausbringen von Agenten beim Importieren großer Domänen 66 

Duplizieren von Richtlinien vor dem Zuweisen 130 

Einstellen der Agentenrichtlinie vor der Agentenverteilung 75 

Erstellen eines Servertasks für das Zusammenfassen von Daten 

195 

Erstellen von Systemstruktursegmenten mit Domänennamen oder 

Sortierungsfiltern 83 

Gliederung für die Organisation, beurteilen 43 

Planen der Systemstruktur 42 

Planen von Replizierungstasks 153 

Regelmäßiges Erstellen neuer ASSC-Schlüssel 98 

Sichern der Sicherheitschlüssel 102 

Verwenden globaler Aktualisierung 151 


Agent-zu-Server-Kommunikationsintervall 72 

Agentenverteilung 83 

Aktualisieren von Agenten mit ePO 87 

Anmeldeskripts und Agenteninstallation 83 

Ausbringen von SuperAgents 73 

Duplizieren von Richtlinien vor dem Zuweisen 130 

Erstellen der Systemstruktur 56, 83 

Importieren von Active Directory-Containern 62 

Produktausbringung 150 

Sperren der Richtlinienzuweisung 129 

SuperAgent-Reaktivierungen 73 

Entdeckungen 

pro Produkt (Abfrage) 205 

Verlauf, Abfragen 203 

Ereignisse 

Benachrichtigungsregeln 188 

Bestimmen, welche Ereignisse weitergeleitet werden 30 

Filtern, Servereinstellungen 18 

Kontakte für Benachrichtigungen 18 

Weiterleiten und Benachrichtigungen 175 

Weiterleiten, Agentenkonfiguration und 75 

Erfassungsgruppen 50 

Erweiterungsdateien 

Berechtigungssätze und Installation 18 

Funktionen, die durch verwaltete Produkte hinzugefügt werden 

127 


Installieren 130 


219

Index 

Erweiterungsdateien (Fortsetzung) 

Version, anzeigen 24 

Erzwingen, siehe "Richtlinienerzwingung" 140 

Externe Befehle, siehe "Ausführbare Dateien" 181 

F 

Fehlerbehebung 

Agentenaktivitätsprotokolle 75 

Anzeigen von Produkt- und Agentenversionsnummern 96 

Produktausbringung 150 

Überprüfen der Agenten- und Produkteigenschaften 94 

Filter 

Abfrageergebnisse 193 

Einstellung für Benachrichtigungsregeln 183 

Einstellungen der Ereignisfilterung 18 

für Servertask-Protokoll 32 

FRAMEPKG.EXE 72, 79, 104 

FRMINST.EXE 104 

FTP-Repositories 

Aktivieren der Ordnerfreigabe 121 

Bearbeiten 122 

Erstellen und Konfigurieren 119 


G 

Gebietsschema-IDs, Einstellungen für die Installation 104 

Generator für Benachrichtigungsregeln 185 

Generator für Servertasks 55 

Geographische Gliederung, Vorteile 43 

Gliederung, siehe "Organisation der Systemstruktur" 43 

Global Unique Identifier (GUID) 51, 86 

Globale Administratoren 

Berechtigungen 17 

Erstellen von Benutzerkonten 24 

Erstellen von Gruppen 41 


Zuweisen von Berechtigungssätzen 18 

Globale Aktualisierung 

Aktivieren 158 

Anforderungen 151 

Einstellungen für Ereignisweiterleitung und Agenten 75 


Gruppen 

Abfragen zu 205 

Anzeigen der Richtlinienzuweisung 133 

Betriebssysteme und 44 

Definieren mithilfe der IP-Adresse 44 

Definition 41 

Einfügen von Richtlinienzuweisungen 142 

Erfassungsgruppe 50 

Importieren von NT-Domänen 65 

Konfigurieren von Kriterien für die Sortierung 60 

Kriterienbasiert 51 

Löschen aus der Systemstruktur 89 

Manuelle Erstellung 57 

Manuelles Aktualisieren mit NT-Domänen 68 

Manuelles Verschieben von Systemen 68 

Richtlinien, Vererbung von 42 

Richtlinienerzwingung für ein Produkt 140 

Sortierung, automatisiert 44 

Sortierungskriterien 60 

GUID, siehe "Global Unique Identifier" 86 

H 

HTTP-Repositories 





I 

Internet Explorer 

Konfigurieren von Proxyeinstellungen 112 

Proxyeinstellungen und ePO 113 

IP-Adresse 

als Gruppierungskriterien 44 

Bereich, als Sortierungskriterien 60 

Sortierung 49 

Sortierungskriterien 56, 60 

Subnetzmaske, als Sortierungskriterien 60 

J 

Jetzt replizieren (Task) 163 

Jetzt sortieren (Aktion) 48 

K 

Kennwörter 

Ändern in Benutzerkonten 25 

Anmelden bei ePO-Servern 23 

Installieren von Agenten, Befehlszeilenoptionen 103 

Komponenten 

ePO Agent, Informationen 71 

ePO-Server, Informationen 12 

ePolicy Orchestrator, Informationen 12 

Repositories, Informationen 106 

Konformität 

Übersicht, Abfragen 203 

Verlauf, Abfragen 202 

Kontakte 

Arbeiten mit 27, 28 

Benachrichtigungen und 18, 185 

Konten, siehe "Benutzerkonten" 17 

Kriterienbasierte Tags 

Sortierung 60 

Übernehmen 54, 55 

L 

LAN-Verbindungen und geographische Gliederung 43 

Lokale verteilte Repositories 165 

M 

Master-Repositories 

Abrufen aus der Quellsite 160, 161 

Aktualisieren mit Abruftasks 152 

ePO-Komponenten 12 


Kommunikation mit der Quellsite 111 

Konfigurieren von Proxyeinstellungen 113 


Replizieren in verteilte Repositories 162, 163 

Schlüsselpaar für unsignierte Inhalte 78 

Schlüsselpaare, verwenden 100, 101 

Verwenden der Proxyeinstellungen von Internet Explorer 112 

Verwenden von Replizierungstasks 152 

McAfee Agent, siehe "Agent" 12 

220 


Index 

McAfee Default (Richtlinie) 


McAfee-Verknüpfungen, Standardüberwachung 206 

Microsoft Internetinformationsdienste (IIS) 109 

Microsoft Windows Resource Kit 59 

Modul, aktualisieren 

Ausbringungspakete 149 

im Master-Repository 109 


Planen eines Tasks 166 

von der Quellsite 114 

Module 

Löschen aus Repository 169 

Repository-Zweige 168 

My Default (Richtlinie) 


MyAvert Security Threats, Standardüberwachung 206 

N 

NAP-Dateien, siehe "Erweiterungsdateien" 126 

Netzwerkanmeldeskripts, siehe "Agenteninstallation" 83 

Netzwerkbandbreite, siehe "Organisation der Systemstruktur" 43 

Nicht verwaltete Repositories 109 

Novell NetWare-Server, Agentenausbringung und 86 

NT-Domänen 

Aktualisieren synchronisierter Gruppen 68 

Importieren in manuell erstellte Gruppen 65 

Integration in die Systemstruktur 46 

Synchronisierung 48, 65 

O 

Organisation der Systemstruktur 

Betriebssysteme 44 

Doppelte Einträge 65 

Erstellen von Gruppen 56 

Erwägungen beim Planen 42 

Gliederung im Netzwerk 43 

Importieren von Active Directory-Containern 62 

Importieren von Systemen und Gruppen 58, 59 

Manuelles Verschieben von Systemen in Gruppen 68 

Netzwerkbandbreite 43 

Textdateien, Importieren von Systemen und Gruppen 58 

Verwenden von Untergruppen 65 

Zuordnen von Gruppen zu Active Directory-Containern 62 

P 

Pakete 

Ausbringen von Aktualisierungen mit Tasks 159 

Konfigurieren des Ausbringungstasks 157 


Sicherheit 78, 148 

Verschieben zwischen Zweigen im Repository 168 

Planen 

Anwenden von kriterienbasierten Tags 55 

Clienttasks 143 

Repository-Abruf (Task) 160 

Repository-Replizierung (Task) 162 

Ports 

Kommunikationsports, arbeiten mit 31, 97 

Neukonfigurieren 97 

Servereinstellungen 18 

Servereinstellungen und Kommunikation 18 

Produktaktualisierungen 

Ausbringen 149 

Produktaktualisierungen (Fortsetzung) 


Paketsignaturen und Sicherheit 148 


Quellsites und 107 

Unterstützte Pakettypen 147 

Unterstützung früherer Produkte 148 


Aktualisierung 148 

Einchecken 154 


Sicherheit und Paketsignaturen 148 

Unterstützte Pakete 147 

Produktinstallation 

Einstellungen für die Gebietsschema-ID 104 

Erweiterungen und Berechtigungssätze 18 

Installieren von Erweiterungsdateien 130 

Konfigurieren von Ausbringungstasks 156, 157 

Produktversionsnummer, anzeigen 96 

Proxyeinstellungen 

Internet Explorer, Verwendung für Master-Repository 112 

Konfigurieren für das Master-Repository 113 

Konfigurieren von ePO für Internet Explorer 113 

Prüfprotokoll 19, 192, 204 

Q 

Quellsites 

Abrufen 160, 161 

Aktualisierungspakete und 149 

Alternative Site 108 


Erstellen von Quellsites 115 

Importieren aus "SITEMGR.XML" 124 



Löschen 116 

Produktaktualisierungen und 107 

Wechseln zur alternativen Site 114 

R 

Reaktivierungen 

an Systemstrukturgruppen 92 

Geplant 92 

Manuell 91 

Sendezeitpunkt 73 

SuperAgents und 73, 91 

Regeln 

Einrichten für Benachrichtigungen, SNMP-Server 178 

Konfigurieren von Kontakten für Benachrichtigungen 185 

Standards für Benachrichtigungen 173 

Registrierte ausführbare Dateien, siehe "Ausführbare Dateien" 179 


Aktualisieren des Master-Repositorys 152 

Ausbringen von Aktualisierungen 159 

Jetzt replizieren (Task) aus dem Master-Repository 163 

Kopieren von Inhalten des Master-Repositorys 162 

Planen der Repository-Replizierung 162 

Servertask-Protokoll 154 

Vergleich von vollständiger und inkrementeller Replizierung 153 

Repositories 

Alternative Site 108, 114 

Art und Weise ihrer Zusammenarbeit 111 


Erstellen eines SuperAgent-Repositorys 117 

Importieren aus Repository-Listendateien 124 


221

Index 

Repositories (Fortsetzung) 

Löschen von Quellsites oder alternativen Sites 116 

Master, Konfigurieren von Proxyeinstellungen 113 

Nicht verwaltet, Kopieren von Inhalten 165 

Planen eines Abruftasks 160 

Planen eines Replizierungstasks 162 

Quellsite 107, 161 

Replizierung und Auswahl 153 

Replizierungstasks 163 

Typen 106 

Wechseln von Quellsite und alternativer Site 114 

Zweige 109, 167, 168 

Repository-Listendateien 


Exportieren 123 

Hinzufügen eines verteilten Repositorys 120 

Importieren 124 


SITELIST.XML, Verwendung 110 

Richtlinien 

Aktualisierungseinstellungen 96 

Ändern des Besitzers 137 

Anwenden auf Systeme 129 


Arbeiten mit dem Richtlinienkatalog 134 

Besitz 129, 132 

Einstellungen, anzeigen 132 

Erzwingen 96 

Freigeben zwischen ePO-Servern 137 

Gruppenvererbung, anzeigen 133 


Importieren und Exportieren 128, 138 


Kategorien 127 

Steuern auf der Seite "Richtlinienkatalog" 134, 135, 136 

Überprüfen von Änderungen 94 

Unterbrochene Vererbung, zurücksetzen 133 

Vererbung 129 

Zuweisen und Verwalten 137 

Richtlinienerzwingung 

Aktivieren und Deaktivieren 140 

Anzeigen von Zuweisungen mit deaktivierter Umsetzung 132 

Erzwingen von Richtlinien 128 

für ein Produkt 140, 141 

Richtlinienkatalog 


Seite, anzeigen 127 


Arbeiten mit Clienttasks 143 

mit Gruppen 41 

Richtlinienzuweisung 


Deaktivierte Erzwingung, anzeigen 132 

Gruppe, zuweisen 139 

Kopieren und Einfügen 141, 142 

Richtlinienkatalog 129 

Sperren 129 

Systeme, zuweisen 139, 140 

Rollup-Abfragen, siehe "Abfragen" 194 

S 

Schlüssel, siehe "Sicherheitsschlüssel" 97 

Schnelle Systemsuche, Standardüberwachung 206 

Server 

Abfragen zu 204, 205 

Server (Fortsetzung) 

An- und Abmelden 23 

Anzeigen der Versionsnummer 24 

Einführung 12 

Einstellungen und Steuern des Verhaltens 18 

ePO-Server, Komponenten 12 

Freigeben von Richtlinien 137 

Importieren und Exportieren von Abfragen 200 

Importieren und Exportieren von Richtlinien 128 

Importieren von Richtlinien 138 

Lizenzinformationen, anzeigen 24 

Registrieren, für Abfragen 194 

Rollup-Abfragen 194 

Schlüsselpaar für Master-Repository 78 

Servertask-Protokoll, Informationen 154 

SNMP, und Benachrichtigungen 177, 178 

Tasks, Planen der Repository-Replizierung 162 

Verwenden von Inhalten von anderen Servern 102 

Verwenden von Sicherheitsschlüsselpaaren 98 

Servereinstellungen 


ASSC-Schlüssel und 98 

Benachrichtigungen 173 

Globale Aktualisierung 158 

Internet Explorer 112 

Ports und Kommunikation 18 

Proxy und Master-Repositories 107 

Typen 18 

Servertask-Protokoll 


Bereinigen 32 

Filtern nach jüngsten Aktivitäten 32 


Jetzt abrufen (Task) 161 

Jetzt replizieren (Task) 163 

Überprüfen des Status von Tasks 31 

Servertasks 

Daten-Rollup 195 

Definieren von E-Mail-Servern 29 

Domänen/Active Directory, synchronisieren 46 

Planen einer Abfrage 197 

Protokolldatei, bereinigen 32 

Repository-Abruf, geplant 160 

Repository-Replizierung 162 

Typen und Definitionen 19 


Agent-zu-Server-Kommunikation 78 


Exportieren in Agenten 99 

Festlegen eines Schlüsselpaares als Master 99 

für Inhalte aus anderen Repositories 78 

Generieren und Verwenden 98 

Löschen von ASSC 100 

Privat und öffentlich 78 

Servereinstellungen 18 

Sichern und Wiederherstellen 102 

Systeme, die einen ASSC-Schlüssel verwenden 99 

Verwenden von Schlüsselpaaren für Server 97, 98 

SNMP-Server, siehe "Benachrichtigungen" 177 

Sortiertest (Aktion) 48 

Sortierungskriterien 

Auf IP-Adressen basierend 60 

für Gruppen 60 

Gruppen, automatisiert 44 

IP-Adresse 49 


222 


Index 

Sortierungskriterien (Fortsetzung) 

Sortieren von Systemen in Gruppen 48 

Tag-basiert 44, 50, 60 

SPIPE 72 

Sprachpakete, siehe "Agent" 43 

SQL-Server, siehe "Datenbanken" 44 

Subnetze, als Gruppierungskriterien 44 

SuperAgent-Repositories 

Anforderungen für globale Aktualisierungen 151 

Erstellen 117 


Löschen 118 

Replizieren von Paketen 118 

Tasks 117 

SuperAgents 

als Repositories 71 

Reaktivierungen 73, 91 

Reaktivierungen an Systemstrukturgruppen 92 

Verteilte Repositories 108 

Synchronisierung 

Active Directory und 47 

Ausschließen von Active Directory-Containern 46 

Automatisches Ausbringen von Agenten 46 

Importieren von Systemen 47 

Jetzt synchronisieren (Aktion) 46 

NT-Domänen 48 

Planen 67 

Standard 51 

Systeme und Strukturen 47 

Verhindern doppelter Einträge 47 

Systeme 

Anzeigen der Richtlinienzuweisung 133 

Eigenschaften, vollständige und minimale 76 

Einfügen von Richtlinienzuweisungen 142 

Richtlinienerzwingung für ein Produkt 141 

Sortieren in Gruppen 62 

Zuweisen von Richtlinien 139, 140 


Anforderungen für den Zugriff 43 

Auffüllen von Gruppen 56 

Berechtigungssätze 43 

Definition 41 

Eigene Organisation (Ebene) 41, 42 

Entfernen von Agenten 89 

Erstellung, automatisiert 44 

Gruppen und manuelle Reaktivierungen 92 

Kriterienbasierte Sortierung 48 

Löschen von Systemen 41, 89 

Übergeordnete Gruppen und Vererbung 42 

Untergeordnete Gruppen und Vererbung 42 

Zuweisen von Richtlinien zu einer Gruppe 139 

Systemstruktursortierung 

Aktivieren 61 

bei Agent-zu-Server-Kommunikation 49 

Reihenfolge von Untergruppen 50 

Server- und Systemeinstellungen 18, 49 

Standardeinstellungen 51 

System einmal sortieren 49 

Tag-basierte Kriterien 50 

Systemstruktursynchronisierung 

Active Directory-Integration 46 

mit der Active Directory-Struktur 62 

NT-Domänenintegration 46 

Planen 67 

T 

Tabellen und Diagramme 

Berichtsformate 22 

Export in Berichtsform 22 

Tag anwenden (Aktion) 52 

Tag-basierte Sortierungskriterien 44, 50 

Tag-Generator 52 

Tag-Katalog 52 

Tag-Kriterien ausführen (Aktion) 52 

Tags 


Ausschließen von Systemen von der automatischen Kennzeichnung 

53 

Berechtigungen für 45 

Definition 45 

Erstellen mit dem Tag-Generator 52 

Gruppensortierungskriterien 44 

Kriterienbasiert 45, 48 

Kriterienbasierte Sortierung 60 

manuelle Anwendung von 54 

Ohne Kriterien 45 

Typen 45 

Übernehmen 54, 55 

Test (Zweig) 


Verwenden für neue DAT-Dateien und das Modul 167 

U 

Überwachungen, siehe "Dashboards" 206 

UNC-Freigabe-Repositories 





Untergruppen 

Kriterienbasiert 51 

Richtlinienverwaltung und 65 

V 

VCREDIST.EXE, Aktivieren der ePO-Verwaltung 81 

Vererbung 

Anzeigen für Richtlinien 133 

Definition 42 

Richtlinieneinstellungen und 129 

Unterbrochene, zurücksetzen 133 

Veröffentlichen (Aktion) 199 

Verteilte Repositories 


Ändern von Anmeldeinformationen 125 

Auswählen durch Agenten 154 


Begrenzte Bandbreite und 107 

ePO-Komponenten 12 


Hinzufügen zu ePO 120 


Löschen 122 

Löschen von SuperAgent-Repositories 118 

Nicht verwaltet 109 

Nicht verwaltet, Kopieren von Inhalten 165 

Ordner, erstellen 119 

Replizieren in 162, 163 

Replizieren von Paketen in SuperAgent-Repositories 118 

Statusabfragen 203 

SuperAgent (Tasks) 117 


223

Index 

Verteilte Repositories (Fortsetzung) 

Typen 108 

Verwaltete Systeme 

Abfragen des Rollups 193 

Agent-zu-Server-Kommunikation 72 

Agentenreaktivierungen 73 

Agentenrichtlinieneinstellungen 75 

Anzeigen des Agentenaktivitätsprotokolls 93 

Ausbringungstasks 156 

Globale Aktualisierung und 107 

Installieren von Produkten 157 

Manuelles Ausführen eines Aktualisierungstasks 95 

Richtlinienverwaltung 127 

Richtlinienzuweisung 133 

Sortierung, kriterienbasiert 48 

Tasks 156 

Verzeichnis, siehe "Systemstruktur" 62 

Vorherige (Zweig) 


Speichern von Paketversionen 154 

Vorherige (Zweig) (Fortsetzung) 

Verschieben von DAT- und Modulpaketen 169 

VPN-Verbindungen und geographische Gliederung 43 

W 

WAN-Verbindungen und geographische Gliederung 43 

WebShield Appliances, Agentenausbringung und 86 

Windows, siehe "Betriebssysteme" 81 

Z 

Zweig wechseln (Aktion) 167 

Zweige 

Aktuell 161, 166 

Manuelles Verschieben von Paketen 168 

Test 167 

Typen, und Repositories 109 

Verschieben oder Löschen von DAT- und Modulpaketen 169 

Vorherige 154 

Zweig wechseln (Aktion) 167 

224

McAfee ePolicy Orchestrator 4.0 Produkthandbuch

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?