ransomware

Durante los últimos dos meses, he estado trabajando en un compromiso de actualización de VDI, que recurran a tecnologías como VMware Horizon View 5.2, vCNS (vShield) y McAfee movimiento, solución sin agente. El cliente utiliza una solución previamente agente estándar McAfee, con el agente instalado en cada escritorio virtual de Windows. Sin embargo son dueños de la licencia para la solución sin agente, y pensé que sería un momento adecuado para investigar esto, para optimizar el medio ambiente y proporcionar el mejor rendimiento, sin dejar de proteger a sus escritorios virtuales.

Con la solución sin agente, un dispositivo de seguridad virtual se ejecuta en cada host, y lleva a cabo todo el escaneo, además de las actualizaciones de definiciones y de política. Esto reduce drásticamente la carga en el host en términos de memoria y CPU, y también el escritorio virtual de Windows, ya que no hay necesidad de que el agente se puede instalar en Windows. Los beneficios son claros, con actualizaciones mayor rendimiento de escritorio virtual y anti-virus y las tormentas de escaneo, una cosa del pasado. También puede administrar la solución del software McAfee ePolicy Orchestrator.

Por lo tanto, después de una investigación y un período de prueba, desplegué la solución sin agente y pensé en documentar el proceso y peculiaridades \ cuestiones que encontré en el camino, en caso de que un futuro compromiso implica esto o una solución sin agentes similares. Espero que otros también pueden encontrar esto útil?

En primer lugar, la solución movimiento McAfee y guía del producto se pueden encontrar aquí:

También puede revisar otras referencias externas al final de este post.

En el gráfico siguiente se toma de la guía anterior de McAfee, y resumen de los elementos que intervienen en la solución.

• El primer paso es el despliegue de vCloud Networking y Seguridad 5.1.2 (vShield Manager), en el grupo de gestión, que es una instancia independiente administrado por un vCenter diferente de los anfitriones escritorios virtuales.
• Descargar el aparato vCNS de VMware.com, e importar el visor óptico y la configuración de los detalles pertinentes de redes utilizando el asistente de implantación a través del cliente de vSphere. Las guías de implementación y administración vCNS se puede encontrar aqui:
• Una vez que el 'Administrador vShield' VM se ha desplegado y está disponible en la red, conectarse a través de la dirección URL del aparato, usando las credenciales por defecto admin y la contraseña por defecto
• Continuar con la configuración desde el menú "Configuración e Informes 'por la izquierda, la configuración del servicio de búsqueda y otros ajustes pertinentes, como NTP y SSL. Servicio de Búsqueda -

• Ahora es el momento de actualizar vCNS de 5.1.2 a 5.1.2a (última versión de mantenimiento)
• Descargar el lote de actualización vShield (de VMware.com) a un lugar donde vShield Manager puede navegar a. El nombre del archivo de lote de actualización debe ser: - VMware vShield-Manager-upgrade-haz-mantenimiento-5.1.2-997359.tar.gz

Nota: Asegúrese de que el lote de actualización se denomina como el anterior, de lo contrario recibirá un error al intentar actualizar vShield. Tenía que cambiar el nombre del archivo después de la descarga, a fin de garantizar que esto funcionó. Este problema ha sido el documento por otro blogger.

• Desde el panel de inventario vShield Manager, haga clic en Configuración e informes.
• Haga clic en la pestaña Actualizaciones.
• Haga clic en Cargar lote de actualización.
• Haga clic en Examinar y seleccione el VMware vShield-Manager-upgrade-haz-mantenimiento-5.1.2-997359.tar.gz archivo.
• Haga clic en Abrir.
• Haga clic en Cargar archivo.
• Haga clic en Instalar para comenzar el proceso de actualización.
• Haga clic en Confirmar instalación. El proceso de actualización se reinicia vShield Manager, por lo que es posible que pierda la conectividad con el vShield Manager. Ninguno de los otros componentes vShield se reinicia.
• Compruebe que la actualización de mantenimiento se ha aplicado

Hay un par de artículos de VMware KB para apoyar este proceso.

• La actualización a vCloud Networking y Seguridad 5.1.2a mejores prácticas (2044458)

• Aplicar el parche 5.1.2-997359 vShield Administrador

Después vCNS (vShield Manager) se actualizó a 5.1.2a, ya era hora de instalar el componente vShield punto final en cada host ESXi. Puede revisar la guía de mejores prácticas de aquí

• Puede llevar a cabo este paso, ya sea del cliente vSphere o vShield Manager. Yo prefiero usar este último, sólo para verificar las cosas desde el punto de vista de vShield Manager. Vaya a su anfitrión (s) y seleccione, usando el menú de inventario por la izquierda y ver el resumen del lado derecho.

• Instalar el componente vShield punto final y esperar a que la verificación de la instalación se ha completado, puede ver las distintas tareas desde el cliente vSphere. Una vez completado con éxito, vas a observar un resultado similar a la de abajo.

• Compruebe el estado final del, incluyendo el registro Eventos.

• Realice este paso para todos los hosts restantes.
• Ahora los vCNS y componentes requeridos (punto final) han sido instalados, los dispositivos de seguridad virtuales McAfee Mover (VSA) ahora se pueden implementar.

En la preparación para los dispositivos McAfee Mover virtuales de seguridad (VSA) en cada host ESXi, el software McAfee ePolicy Orchestrator, que actúa como la estación de administración para la solución tiene que ser desplegado. La última versión 5.01 fue descargado e instalado en Windows Server 2008. Esto se llevó a cabo por el cliente, pero es un proceso simple, la selección de una instalación de SQL Server dedicado, dependiendo del tamaño de su entorno SQL o expreso. Para obtener más información, consulte la documentación de McAfee o referencias externas al final del post.

Tras el despliegue del EPO, es necesario instalar las extensiones de producto '' para ampliar la funcionalidad del software ePO y permitir la solución sin agente Mover.

• Dentro del EPO instalar las extensiones a través de Menú> Software> Extensiones> Instalar extensión de producto de extensión de licencia MOVE-AV-AL_EXT_3.0.0.zip Extensión principal MOVE-AV-AL_License_EXT_3.0.0.zip
• Implementar el VSA utilice McAfee MOVE AV-sin agente OVF (MOVE-AV-AL-OVF_3.0.0.zip)

Nota: Al completar los detalles en la sección Propiedades de la plantilla OVF Implementar, me encontré con algunos de estos ajustes no se aplicaba después de la implementación de la máquina virtual. Por ejemplo, si se establece una nueva contraseña de administrador para la cuenta svaadmin, por alguna razón, esta contraseña no se aplica cuando el primer ajuste de la VSA en la pantalla de la consola, usted todavía tiene que utilizar la contraseña por defecto del administrador.

Además, la configuración, tales como el vShield y EPO no aplicar bien, y tuve que volver a introducir estos a través de la consola.

• Complete la configuración del aparato en la pantalla de la consola desde el cliente vSphere. Corrí por toda la configuración sólo para asegurar que todos los ajustes pertinentes eran correctas, ya que algunos no se aplican (por alguna razón?), Desde el despliegue de la VSA desde el asistente OVF.

• Confirme la configuración se completa a través de la consola, he asegurar la debida configuración e inscrita el aparato con vShield Manager y el servidor de ePO, para permitir que el aparato de comunicación y la función con ambos.
• En la ficha vShield dentro del cliente de vSphere o vShield Manager, confirme el servicio se ha detectado la máquina virtual.

• Iniciar sesión en McAfee ePO (y el árbol del sistema, vaya a la ubicación Mi organización> Perdido y Encontrado> ninguno
• Usted debe ver a su aparato, mover (arrastrar y soltar) el VSA en su propia configuración de Organización, desde aquí podrás aplicar \ Policies asignar y Tareas del cliente. I fijó una carpeta llamada 'ESXi VSA' que contiene todos los aparatos, y las políticas pertinentes se aplican entonces a esta ubicación.

• También puede comprobar el tablero de instrumentos ejecutivo para asegurar que su de VSA están de acuerdo.

• Es posible profundizar aún más a través de 'Cumple' de este tablero de instrumentos, esto mostrará sus VSA. Puedes seleccionar una VSA particular, entonces explorar y ver todas las propiedades y los detalles del sistema.

• Manejo de las políticas a través del Catálogo de directivas. Seleccione Mover sin agentes AV del producto en la lista desplegable. Mi defecto (Scan) y Mi defecto (SVA) son las políticas de gestión y deben ser renombrados en consecuencia.

• Mi política predeterminada (Scan), puede activar o desactivar los siguientes ajustes. Me pareció que la mayoría de las configuraciones predeterminadas a ser bastante correcta, pero deberían ajustarse de acuerdo a cada entorno único. Aquí puede activar el análisis bajo demanda, si se desea, para realizar una exploración de todas las máquinas virtuales protegidas por el VSA en el host, durante una ventana seleccionada.

• Mi política predeterminada (SVA), la ficha Autenticación requiere los detalles relevantes de su vCenter Server y credenciales. Utilice los ajustes de conexión de prueba '' para verificar esta configuración.

• ficha Configuración de escaneo, lo que permite un mayor control de los parámetros de escaneo bajo demanda, que puede activar desde la política predeterminada (Scan). Se pueden ajustar estos como se desea, es posible que desee cambiar la ventana de exploración en tiempo para adaptarse a su medio ambiente. También puede cambiar el intervalo de tiempo de análisis bajo demanda (por defecto es de 7 días).

La configuración de escaneo basada en VM permite un mayor control granular, a las máquinas virtuales protegidas de grupo, y luego aplicar las políticas de estos grupos. Es necesario instalar el conector del centro de datos relevantes para vSphere, que descubre las importaciones y ambos corriendo y se detuvo instancias de máquinas de VMware vCenter con el servidor de McAfee ePO. Este producto se integra la función de administración de McAfee ePO con el servidor de VMware vCenter, y muestra las máquinas virtuales importados y su estado de protección de McAfee ePO.

Solución de problemas

• Me encontré con algunos problemas durante todo el proceso de implementación. Usted puede venir a través del siguiente error al intentar registrar el aparato se mueven con vShield Manager.

"No route to host '

Me pareció que este es un problema de configuración, después de una prueba de ping rápida del aparato que falló, me doble registrado el aparato VM. El despliegue inicial de la plantilla OVF, I mal configurado la red de gestión, y selecciona el siguiente en la lista de VLAN. Después de editar rápidamente la máquina virtual y la selección de la vNetwork correcta, yo era capaz de hacer ping a mi aparato y se registra en el Administrador vShield.

• El siguiente error puede aparecer en el arranque del aparato. Me encontré esperando durante un par de minutos, el aparato podría arrancar y funcionar con normalidad. Verificar de vShield Manager y ePolicy Orchestrator.

• Si hay una razón para inspeccionar los registros de electrodomésticos movimiento, tal vez el aparato no se está comunicando con ePolicy Orchestrator de la configuración inicial, o de los servicios no se iniciará o mostrar una error.Run el siguiente comando ls / opt / McAfee / mover / registro /

Puede utilizar los comandos de Linux como "cola" para inspeccionar los registros -

Los registros son bastante explica por sí mismo, en mi experiencia he utilizado la mcafee_agent_registration.log y mvsvc.log, mientras que la comunicación de localización de averías del aparato al servidor de ePO.

Mover-AV aparato - Recursos VM

La implementación estándar de la máquina virtual, está configurado para 2 GB y 2 CPU virtual por defecto. No he podido encontrar ninguna guía de tamaño dentro de la documentación, por ejemplo, la especificación recomendada para 50+ máquinas virtuales por host o más de 100 máquinas virtuales por host. La documentación declaró un mínimo de la configuración anterior. Por lo tanto, inicialmente desplegué con los valores por defecto.

Análisis bajo demanda, donde el aparato explorará todas las máquinas virtuales en el host, puede ser programado para una ventana de su elección (preferentemente fuera de las horas de producción). La configuración del análisis bajo demanda está desactivado por defecto. He activado esto para ver cómo el aparato y el anfitrión a cabo durante un período de prueba.

CPU - Recursos del aparato fueron al tope en el análisis bajo demanda, que por defecto escanea un máximo de dos máquinas virtuales. Se podría cambiar esta configuración, sin embargo, si se aumenta el número de escaneos concurrentes, aconsejaría posiblemente mirando a incrementar el aparato Mover a 4 CPU virtual. Mientras los análisis bajo demanda se producen fuera de las horas de producción, que tiene un dispositivo de movimiento 4 CPU virtual, lo que sin duda hacer pleno uso de esos vCPU (aunque no lo he probado), no debe afectar a otros escritorios virtuales que se ejecutan en el host en términos de ESXi co-programación.

RAM - El sistema operativo del aparato tiende a consumir alrededor de 1,5 GB de RAM, sin embargo, cuando análisis bajo demanda están teniendo lugar, la máquina virtual utiliza toda la memoria RAM disponible. Hacia el final de la ventana de exploración, me encontré con un par de diferentes aparatos acaba encerrado y se estrelló. El anfitrión se ejecuta con un total de 50 máquinas virtuales.

Recomiendo aumentar este número a al menos 4 GB de RAM, posiblemente, 6 GB u 8 GB dependiendo de la relación VM \ anfitrión.

Estado sin protección

Dentro de vShield Manager, Servicio de máquinas virtuales (aparatos que gestiona Punto Final), no debe ser visible desde el inventario, ya que no son compatibles con las operaciones de gestión. Sin embargo, detecté unos aparatos movimiento que eran visibles y mostrando en la página de resumen como servicios «no protegido».

No pude encontrar cualquier error o alarmas en los registros de vShield Manager, o por medio de la pestaña vShield en cada host vCenter utilizando el cliente. A partir de aquí, el estado de punto final también era bueno. Sin embargo, en la página General, me di cuenta de la lista el "Servicio de máquinas virtuales 'como en blanco. Otros anfitriones fueron enumerando la máquina virtual de servicio.

Inicio de sesión en McAfee ePolicy Orchestrator, mostró todos los dispositivos que se comunican dentro y cumplimiento. Sin embargo, me di cuenta de cada uno de estos tres aparatos de movimiento, el '' Sucesos de amenazas dentro del EPO fue relativamente vacía durante los últimos días, en comparación con los otros artefactos de movimiento.

Por lo tanto, para resolver este problema, tuve que cancelar el registro del aparato de movimiento de vShield Manager, y luego registrar el aparato de nuevo.

Desde la consola del dispositivo Move, iniciar sesión como svaadmin y ejecute el comando siguiente para ejecutar el script de configuración de la instalación

sudo / opt / McAfee / mover / bin / SVA-config Enter "no" para configurar otros elementos, como anfitrión y la red Elija 'anular el registro' para vShield

Ejecute el comando SVA-config otra vez (pestaña uso), introduzca "no" para configurar otros elementos.

Esta vez, cuando se le solicite vShield, elija 'Registro' y el suministro de los datos.

A la espera de un minuto o dos para su registro para completar, a continuación, cambiar rápidamente a vShield Manager y seleccionar la máquina virtual, muestra 'Las operaciones no compatibles con esta máquina virtual ". Espera un minuto, y la máquina virtual desaparecerá del inventario (que es una buena señal!).

Para verificar todos los componentes, dentro de vShield Manager, en el marco del inventario, haga clic en el centro de datos. En General, verifique los fabricantes de vehículos de servicio (Mover aparatos) se detectan y se ejecuta en cada host. Además, el doble punto final de verificación está activada para todos los hosts.

Referencias externas