HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 9 
This ensures that, at any level within the hierarchy, specialized policies can be applied. For example, the 
database servers may need different settings than other servers. Where necessary, additional subgroups can be 
created within the ePO server; for example, if the NTP server may require different HBSS policy settings than 
other Infrastructure servers. 
After analyzing the impact of the possible agent policies, the first targeted client (the cloud.army.mil Web front-
end 172.24.4.29), imported the VM into the ePO UI console manually. This completed successfully and other 
servers were imported where they could be left to run for 72 hours to ensure that no critical services broke due 
to HBSS: CALOCAL001CA (local Windows Certificate Authority); CLOUDAD002CD (secondary DNS and Active 
Directory domain controller); RETINAX001UT (Retina server); and, WSUSXXX001CW (Windows Server Update 
Pdf thumbnails in - software Library cloud:C# PDF Thumbnail Create SDK: Draw thumbnail images for PDF in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Support Thumbnail Generation with Various Options for Quick PDF Navigation
www.rasteredge.com
Pdf thumbnails in - software Library cloud:VB.NET PDF Thumbnail Create SDK: Draw thumbnail images for PDF in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Support Thumbnail Generation with Various Options for Quick PDF Navigation
www.rasteredge.com
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 10 
Services). 
1.2.2.4
Step 2.3: Deploy McAfee Agent to Client Computers 
Still on the targeted first client 172.24.4.29, used the auto-deploy feature from ePO Server UI console 
successfully. Verified that the McAfee Agent pushed successfully: 
Additional agents must be deployed very carefully based on the gathered information and the expected policy 
impact to the services provided by the target client. More information will be covered after the DISA Guide is 
complete; continue to the next section. 
Notes on additional systems deployed: 
SEPMXXX001MV (Symantec Endpoint Protection Manager) – The SEPM service stopped after the HBSS 
agent deployed. Restarting the service brought the system back up. 
CLOUDAD001CD (primary AD controller) – Unable to connect to AD controller after McAfee agent 
installed; rebooting the system repaired. 
software Library cloud:C# HTML5 PDF Viewer SDK to view PDF document online in C#.NET
Ability to show PDF page thumbnails for quick navigation. Easy to search PDF text in whole PDF document. Navigate PDF document with thumbnails. 14. Text Search.
www.rasteredge.com
software Library cloud:VB.NET PDF- View PDF Online with VB.NET HTML5 PDF Viewer
Ability to show PDF page thumbnails for quick navigation. Easy to search PDF text in whole PDF document. Navigate PDF document with thumbnails. 14. Text Search.
www.rasteredge.com
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 11 
Non-domain computers: When deploying, put a ͞.͟ as the domain name and a local administrator (such 
as local Retina scanner account). Shot below: 
After installing to various test systems in ͞log-only͟ mode (no enforcement), deployed to *all* systems as 
shown below: 
software Library cloud:VB.NET PDF File Compress Library: Compress reduce PDF size in vb.
Reduce image resources: Since images are usually or large size, images size reducing can help to reduce PDF file size effectively. Embedded page thumbnails.
www.rasteredge.com
software Library cloud:C# PDF Convert to Jpeg SDK: Convert PDF to JPEG images in C#.net
Support of converting from any single one PDF page and multiple pages. Thumbnails can be created from PDF pages. Support for customizing image size.
www.rasteredge.com
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 12 
Note that the ͞software routers͟ (ROUTERX001RX and ROUTERX002RX) are unmanaged; this is by design as 
those routers are scheduled for eventual disposal to be replaced with hardware routers. 
1.2.2.5
Step 2.5: Deploy SuperAgent Distributed Repository (SADR) 
The SADR is not used in our target environment environment. Continue to the next section. 
1.2.2.6
Step 2.6: Deploy Rogue System Detection (RSD) Sensor 
Each monitored subnet must have the Rogue System Detection (RSD) Sensor installed to at least system on that 
subnet (DISA Guide recommends installation to *two* systems per subnet). As part of the [ENCLAVE] 
deployment the following agents are created to cover each listed subnet: 
Subnet 
Agent 1 
Agent 2 
Notes 
172.20.0.0/17  RDGTWYX001RG  <n/a> 
Remote Desktop Gateway is only system on this 
subnet 
software Library cloud:C# PDF File Compress Library: Compress reduce PDF size in C#.net
Reduce image resources: Since images are usually or large size, images size reducing can help to reduce PDF file size effectively. Embedded page thumbnails.
www.rasteredge.com
software Library cloud:VB.NET PDF - View PDF with WPF PDF Viewer for VB.NET
File: Compress PDF. Page: Create Thumbnails. Page: Insert PDF Pages. Page: Delete Existing PDF Pages. PDF thumbnails for navigation in .NET project.
www.rasteredge.com
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 13 
172.24.1.0/24  KIOSKDS001UT 
NFSSRVR003SN  Kiosk and smaller NFS server physical boxes chosen 
172.28.4.0/24  <n/a> 
<n/a> 
This is a storage-only network; instruct ePO to 
ignore 
172.24.0.0/24  NASSRVR002SX  <n/a> 
This is only server on this subnet (legacy untagged) 
172.24.12.0/22  CAMOUTX020VD  OUTSSVC001VX  cloud.army.mil environments (dev and OutSystems 
tools) 
172.24.4.0/22  CALOCAL001CA  MGSRVR003UX  Two lesser-used systems at random on this subnet 
172.26.4.0/22  <n/a> 
<n/a> 
This is a storage-only network; instruct ePO to 
ignore 
Note that within your own environment, the key is to identify which systems will serve as RSD sensors and to 
*document* these systems. The RSD sensor agents will have customized HBSS policies assigned to them. 
The install process is exactly as described in DISA guide. Recommended to login to each selected system and 
verify the install – issue a ͞Wake Up Agents͟ command from the ePolicy Orchestrator UI to force the systems. 
The result of a successful RSD install is below (log file on installed RSD agent): 
From the ePO UI, the results should be similar to the following: 
software Library cloud:C# PDF Convert to Images SDK: Convert PDF to png, gif images in C#
Converter control easy to create thumbnails from PDF pages. Selection for compressing to multiple image formats. Cut and paste any areas in PDF pages to images.
www.rasteredge.com
software Library cloud:C# WPF PDF Viewer SDK to view PDF document in C#.NET
File: Compress PDF. Page: Create Thumbnails. Page: Insert PDF Pages. Page: Delete Existing PDF Pages. PDF thumbnails for navigation in .NET WPF Console application
www.rasteredge.com
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 14 
Note that some systems such as Software Routers will be explicitly marked as ͞exceptions͟ and unmanaged. 
Otherwise these systems are detected as ͞rogues͟ with a correspondingly lower  ompliant System count. 
Finally, manually move the installed RSD systems to the ͞RSD͟ folder within the System Tree…this ensures that 
only the correct policies get applied to these systems (more relaxed than standard policies): 
Continue to the next section. 
1.2.2.7
Step 3.1: Global Updating 
Follow DISA Guide. 
1.2.2.8
Step 3.2: McAfee Agent Product Update 
Remember to use prefix ͞[ENCLAVE] – ͞ for the ͞Product Update Pulls͟ task. Selected these patches / service 
packs: 
MER for ePO 2.5.3.0 
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 15 
Host Intrustion Prevention 8.8.0 
Host Intrusion Prevention 8.0.0 
Audit Engine Content 1111 
Findings Content 1086 
Assigned to top-level [ENCLAVE] subgroup; created schedule to run at 8:30pm each day on all managed systems 
(local time): 
Continue to next section. 
1.2.2.9
Step 3.3:Daily Incremental Repository Replication Scheduled Task 
Selected each day (Sun-Fri only) at 9pm not to interfere with WSUS. 
1.2.2.10
Step 3.4: Weekly Full Repository Replication Scheduled Task 
Selected 9pm on Saturday not to interfere with WSUS. 
1.2.2.11
Step 3.5: Deploy Asset and HIPS Modules 
For this step, deploy only Asset Baseline Monitor (ABM) 3.5.1.0 (as of 15 AUG 13). Apploy to the top [ENCLAVE] 
subgroup: 
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 16 
After a successful deployment, you should see both McAfee Agent and McAfee Asset Baseline Monitor Agent as 
below: 
Continue to the next section. 
1.2.2.12
Step 3.6: Configure ePO Daily Inactive Agent Task 
For this task, the only thing different is that a new subgroup named ͞Inactive Agents͟ was added to the System 
Tree and the action for a detected inactive agent is to move that system to the ͞Inactive Agents͟ subgroup as 
shown below: 
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 17 
Other than that, follow the DISA Guide. 
1.2.2.13
Module 4: Import Queries/Create Custom Dashboard 
Skipping this as of 15 AUG 13. Custom dashboards are beyond the scope of this article. 
1.2.2.14
Module 5: Change User Credentials 
Modified these instructions slightly to match our target environment͛s standards. Note that these instructions 
are specific to the DISA pre-built image…if using the manual H SS build then the user names are already set as 
documented above. 
1.
Created a local user account for Retina scanner and added to DBA local group: 
HBSS Notes: Part 2 of 2 
ePO Server Configuration 
HBSS Notes 2 of 2 - Configure ePO Server.docx.doc 
Page 18 
2.
Renamed ͞napoleon͟ account (default Administrator account as shipped by DISA pre-built image) to 
͞xAdministrator͟ and set password to strong [ENCLAVE] admin password. Then disabled account as per 
Windows STIG. 
3.
Instructions for the ͞eposql2͟ account are not correct. Here are the specific steps: 
a.
Step 5.1.35: Do *not* enforce password policy on the eposql2 account at this time. 
b.
Step 5.1.34 (typo): There is typo in DISA guide; this step number is repeated. For the instructions to 
restart ͞McAfee ePolicy Orchestrator 4.6.6 Server͟ service, be aware that this can take around 10 
minutes *and* this service automatically starts the ͞McAfee ePolicy Orchestrator 4.6.6 Application 
Server͟ service. 
c.
Step 5.1.35 (typo): As with 5.1.34 above, this step number is a typo in DISA guide. The instruction to 
restart the ͞McAfee ePolicy Orchestrator 4.6.6 Event Parser͟ will fail. The service will fail to start…if 
you look in Application event log you will see ͞Login failed for user ͚eposql2͛͟ which makes perfect 
sense because you just changed this SQL account͛s password above. 
d.
Step 5.1.43: This step has you test the ͞eposql2͟ account settings.  e aware that the SQL account 
will probably be locked out at this point (due to the failure of the McAfee Event Parser service to 
start). Go into SQL Server Management Studio and unlock eposql2 account if necessary. Then verify 
that the ͞Test  onnection͟ function from ͞https://localhost:8005/core/config͟ screen works. (After 
you verify correct operations, go back to SQL Server Management Studio and set the Enforce 
Documents you may be interested
Documents you may be interested