ePolicy Orchestrator controleren in tien stappen

ePolicy Orchestrator controleren in tien stappen

DearBytesBlogePolicy Orchestrator controleren in tien stappen

dinsdag 3 maart 2015

Wat is ePolicy Orchestrator?

ePolicy Orchestrator screenshotHet belangrijkste product dat Intel Security voert is zonder twijfel ePolicy Orchestrator. ePO maakt het mogelijk om vanuit één enkel console de meeste producten van McAfee te beheren door beleid te definiëren, producten uit te rollen en over die producten te rapporteren. Goed gebruik van ePolicy Orchestrator, ofwel ePO is dus een essentieel onderdeel van een goed beveiligd netwerk.

In de praktijk kom ik nogal eens zaken tegen die niet goed zijn geregeld, maar die eenvoudig op te lossen zijn met een aantal simpele stappen. In veel gevallen komen problemen voort uit tijdgebrek, maar niet zelden zijn ze een gevolg van gebrek aan kennis of een set-it-and-forget-it mentaliteit onder beheerders. Toegegeven, het belang van correct gebruik van ePO groeit naarmate u meer producten gebruikt. Maar zelfs wanneer u de meest standaard installatie van ePO in huis hebt en uitsluitend Virusscan Enterprise beheert, is het van groot belang om te weten wat er in uw netwerk gebeurt.

ePolicy Orchestrator is een van de meest waardevolle wapens in uw arsenaal tegen beveiligingsincidenten; het geeft u de ogen, oren en handen die u nodig hebt om uw omgeving te beheersen.

Maar ePO is net zo waardevol als de kwaliteit van de implementatie en misconfiguratie of onbeschikbaarheid staan gelijk aan situational blindness.

ePolicy Orchestrator controleren

In dit artikel geef ik een aantal handvatten om effectiviteit van ePO te verbeteren zodat uw organisatie meer rendement haalt uit haar investering door 10 belangrijke zaken te controleren. In willekeurige volgorde:

1. Draait de Event Parser service?

ePolicy Orchestrator bestaat aan de serverkant uit drie losse services:

  • De ePO Server service, verantwoordelijk voor het direct afhandelen van Agent-to-Server communicatie;
  • De Event Parser service, verantwoordelijk voor het invoegen van nieuw gegenereerde client events in de ePO database;
  • De ePO Server Application Server service, waarin alle logica plaatsvindt en waarmee u tevens ePO kunt beheren.

Onder bepaalde omstandigheden, met name wanneer er een probleem is met de database, is het mogelijk dat de Event Parser service stopt. Daardoor worden geen nieuwe gebeurtenissen meer toegevoegd aan de database en daarmee bent u in essentie blind. Controleer of de Event Parser service draait en corrigeer eventuele problemen wanneer dit niet het geval is.

2. Gebruikt u de laatste versie van de McAfee Agent?

Op dit moment is de laatste versie van de McAfee Agent versie 5.0. Het gebruik van een oudere agent is toegestaan, maar upgraden is doorgaans een goed idee. Bekijk wel eerst de known issues voor McAfee Agent 5.0. Wanneer u McAfee Agent 4.5 of ouder gebruikt is een directe upgrade niet mogelijk en moet u eerst upgraden naar versie 4.6 (maar liever 4.8), voordat u kunt upgraden naar Agent 5.0. Let erop dat u zowel de extension (EPOAGENTMETA.zip), de key updater (AgentKeyUpdate.zip) en het installatiepakket (MAA500WIN.zip) aan ePO toevoegt voor de upgrade. Gebruik niet MAA500WIN_Embedded.zip wanneer het niet nodig is om een installatiepakket te distribueren dat onder een user account moet worden geïnstalleerd.

Nieuw in versie 5.0 is de peer-to-peer functionaliteit die endpoints met elkaar laat communiceren om updates uit te wisselen, zodat de ePO Server wordt ontzien. Deze communicatie is broadcast-gebaseerd en kan in netwerken met strikte switchconfiguraties leiden tot het sluiten van poorten doordat clients hardware adressen proberen te resolven van alle systemen in het VLAN. Bedenk of u de peer-to-peer functionaliteit nodig hebt en schakel het indien mogelijk uit.

3. Gebruikt u Rogue System Detection?

Rogue System Detection helpt u om de dekking van McAfee Agents in het netwerk te vergroten. In oudere versies van ePolicy Orchestrator werd Rogue System Detection automatisch geïnstalleerd met ePO, maar tegenwoordig is het een apart te installeren module. Wanneer u geen Rogue System Detection gebruikt is het te overwegen om dat wel te doen, met name wanneer u systemen hebt die niet in Active Directory zijn opgenomen (of niet worden meegenomen met de synchronisatie tussen AD en ePO) maar waarop wel een McAfee Agent zou moeten draaien. Rogue System Detection is alleen van toegevoegde waarde wanneer de resultaten ook worden gebruikt.

Rogue System Detection werkt door te luisteren naar broadcast (layer 2) verkeer. Wanneer de Rogue System sensor verkeer ziet dat afkomstig is van een MAC adres dat zich niet in de ePO database bevindt, is dat een rogue system. Dat kan bijvoorbeeld een printer, een router of een switch zijn. In dat geval voegt u het systeem toe aan de Rogue System Detection Exceptions. Wanneer het een endpoint betreft kunt u op een Rogue System een McAfee Agent installeren.

4. Beschikt ePO over de laatste security patches?

Recent is een aantal kwetsbaarheden bekendgemaakt die van toepassing zijn op onder meer OpenSSL. McAfee heeft hiervoor patches uitgebracht. Voor ePolicy Orchestrator 5.1.1 zijn inmiddels maar liefst zeven hotfixes beschikbaar, waarvan de laatste is uitgebracht op 3 maart 2015. Het is belangrijk om deze hotfixes te installeren conform de procedures in de release notes. Ik adviseer om de hotfixes te installeren in de volgorde waarin ze zijn uitgebracht. Dit geldt ook voor de Agent Handlers, maar daarover hieronder meer.

5. Gebruikt u een Agent Handler in DMZ?

Wanneer u een Agent Handler in de DMZ gebruikt om de ePO Server functionaliteit op het internet beschikbaar te maken voor beheer van bijvoorbeeld laptops buiten het netwerk, brengt dat bepaalde risico’s met zich mee. Gebruik uitsluitend een Agent Handler in de DMZ wanneer het absoluut nodig is om systemen buiten het netwerk te beheren en, als het ook maar even kan, vermijd het gebruik van publiek bereikbare Agent Handlers in de DMZ. De Agent Handler is een applicatie die internet-facing is, maar aan de binnenkant verbinding maakt met de ePO server en zelfs direct met de SQL server. De ePO server verbinding is op basis van een global administrator account en de SQL server verbinding is op basis van een domein- of SQL Server account met ten minste DB Owner rechten op de ePO database. De vulnerabilities die recent bekend zijn geworden, zijn eveneens van toepassing op de Agent Handler, waardoor de functionaliteit geboden door de Agent Handler wordt overschaduwd door de vulnerabilities die bekend zijn voor de Agent Handler. Het beste advies dat ik kan geven is om het gebruik van een Agent Handler in DMZ geheel te vermijden, maar als het per sé nodig is om de ePO Server op het internet bereikbaar te maken is het van groot belang dat u zo spoedig mogelijk de security patches voor ePO installeert.

6. Wordt de database opgeruimd?

ePO slaat in de database allerlei verschillende zaken op: Client Events, het Server Task Log, Threat Events en het Audit Log. Afhankelijk van een aantal omstandigheden kan de hoeveelheid events behoorlijke vormen aannemen. Wanneer het niet nodig is om te rapporteren op gebeurtenissen ouder dan een bepaalde periode, dan raad ik u aan om een server task te maken die alle events ouder dan de bewaartermijn verwijdert uit de database. Daarmee blijft de afmeting van de ePO database onder controle. Tijdens een upgrade van ePO zal de setup wizard de events in de database doorlopen en upgraden naar de nieuwe versie van ePO. Wanneer u meer events hebt dan nodig is, duurt de upgrade langer dan noodzakelijk. In extreme gevallen kan dat ertoe leiden dat het uitvoeren van een upgrade tot een paar dagen in beslag neemt.

7. Zijn update taken in overeenstemming met elkaar?

Voor het goed uitvoeren van updates is het van belang dat binnen uw ePO server gebruik wordt gemaakt van een goed doordachte update strategie. Allereerst is het nodig dat de ePO Server de updates binnenhaalt nadat ze door McAfee zijn uitgebracht, en deze updates repliceert naar eventuele distributed repositories (indien van toepassing). Daarna moeten de clients de updates binnenhalen door een client task van het type product update te draaien. Het is dus van belang dat de planning van taken op de verschillende niveau’s aansluiting vindt, bijvoorbeeld:

  • ’s Nachts om 01.00 uur worden door de ePO Server de updates gedownload en gerepliceerd;
  • ’s Nachts om 03.00 uur worden de updates overal geïnstalleerd (product update client task);
  • In de product update client task is Run Missed Task aangevinkt met een 5 minute delay.

8. Heeft het SQL Server service account DBO op de database (en nergens anders?)

ePO heeft op verschillende momenten toegang nodig tot derde componenten, zoals bijvoorbeeld de SQL Server voor de database, de endpoints voor Agent Deployment en de Domain Controller voor synchronisatie van computers en gebruikers van LDAP naar ePO. Het is helaas met enige regelmaat dat ik situaties aantref waarin dezelfde accounts worden toegepast voor meerdere van deze zaken, wat al snel leidt tot een overmaat aan privileges. Het is absoluut aan te bevelen om gebruik te maken van drie service accounts:

  • Een LDAP service account met Domain User rechten voor de LDAP koppeling;
  • Een SQL service account met Domain User rechten en DBOwner op de ePO Database;
  • En een Deployment service account met Local Administrator rechten voor deployment van Agents op endpoints en servers (domain admin ligt voor de hand, maar het kan specifieker).

9. Maakt u gebruik van functiescheiding d.m.v. ePO admin/user accounts?

Wanneer meerdere beheerders gebruikmaken van ePolicy Orchestrator is het eenvoudig om functiescheiding aan te brengen. Ook opent dit de deur naar user-based auditing, waarmee het mogelijk wordt om de activiteiten van beheerders te controleren. U kunt in ePO accounts aanmaken die zijn gekoppeld aan user accounts in active directory, zodat beheerders met hun domeinwachtwoord kunnen inloggen, waarna ze beschikken over een select aantal privileges.

10. Maakt u gebruik van een Database Snapshot server task?

ePO 4.6 en 5.1 hebben standaard een database snapshot taak die standaard niet is enabled. Deze taak maakt, binnen de database, een kopie van de gehele database voor disaster recovery doeleinden. Wanneer u deze taak inschakelt en de database van ePO raakt op een later moment ernstig beschadigd, stelt de snapshot van de database u in staat om een installatie van ePO uit te voeren op basis van de bestaande database. Dat scheelt dus het geheel opnieuw inrichten van ePO en zorgt voor een kortere onbeschikbaarheid.

ePO server review

Dit artikel behandelt een aantal aspecten dat van toepassing is op bijna iedere ePO installatie en is zo algemeen mogelijk van aard. Natuurlijk is er nog veel meer te vertellen over ePO en de vele aspecten van de configuratie. DearBytes kan uw ePO server reviewen en indien gewenst optimaliseren op alle mogelijke punten. Voor meer informatie neemt u contact op via onderstaand formulier of met uw account manager.