Application Control 7.0.0 Notes de publication
Transcription
Application Control 7.0.0 Notes de publication
Notes de publication McAfee Application Control 7.0.0 • A propos de cette distribution • Principales nouveautés de la version • Détails des fonctionnalités • Instructions d'installation • Problèmes résolus • Problèmes connus • Accès à la documentation sur le produit ◦ Documentation sur les produits A propos de cette distribution Ce document contient des informations importantes au sujet de cette distribution. Nous vous recommandons vivement de le lire dans son intégralité. Cette version de McAfee ® Application Control est uniquement disponible sous Windows et inclut : • Solidcore extension 7.0.0–270 • Client Solidcore 7.0.0–646 Nous avons développé cette version pour l'utilisation avec les versions suivantes de McAfee ® ePolicy Orchestrator ® (McAfee ePO™) : • 5.1.0–5.1.3 • 5.3.0 • 5.3.1 Remarque La fonctionnalité d'exécution basée sur la réputation est uniquement prise en charge sur McAfee ePO 5.1.1 et versions ultérieures. Principales nouveautés de la version Cette version contient de nombreuses améliorations et corrections de bogue. Voici les principales nouveautés de la version. • Exécution basée sur la réputation à l'aide de McAfee ® Threat Intelligence Exchange (TIE) et McAfee ® Global Threat Intelligence™ (McAfee GTI) en fonction de la réputation des fichiers et des certificats. • Continuité homogène des activités via l'autorisation ou le blocage automatique de l'exécution en fonction de la réputation d'une application. • Amélioration de la classification des applications en fonction des informations de réputation des fichiers et certificats disponibles à partir des sources de réputation. • Option d'envoi de fichiers exécutables avec une réputation inconnue à McAfee ® Advanced Threat Defense à des fins d'analyse. • Contexte supplémentaire, tel que MD5, somme de contrôle SHA-1, motif de refus, processus parent et type de fichier pour les applications bloquées sur la page Evénements Solidcore pour vous aider à prendre des décisions. • Capacité de clic unique depuis la page Evénements Solidcore pour afficher le contexte de l'application et simplifier la création de stratégies. • Prise en charge de la gestion des règles de listes d'omission depuis la console McAfee ePO. • Techniques de protection de la mémoire pour les plates-formes Windows les plus récentes. • Prise en charge de Windows 10 et Windows 10 IoT (Internet of Things) Enterprise. • Mise à niveau directe depuis le client Solidcore 6.1.0–6.2.0. • Capacité de gestion de Application Control 6.1.0–7.0.0 à l'aide de l'extension Solidcore 7.0.0 sur McAfee ePO 5.1.0–5.3.1. • Fin de la prise en charge de la mise en œuvre basée sur les tickets. • Résolution de plusieurs problèmes. Pour des informations détaillées, reportez-vous à la section Problèmes résolus. Pour plus d'informations sur les nouvelles fonctionnalités, reportez-vous aux Détails des fonctionnalités. Détails des fonctionnalités Voici les détails sur les nouvelles fonctionnalités incluses dans cette version. • Exécution basée sur la réputation • Protection de la mémoire pour les dernières plates-formes Windows • Prise en charge de Windows 10 • Expérience utilisateur (UX) améliorée Pour obtenir des informations détaillées sur ces fonctionnalités, reportez-vous au Guide produit de McAfee Change Control et McAfee Application Control 7.0.0. Exécution basée sur la réputation Dans cette version, nous avons mis en œuvre l'exécution des fichiers basée sur la réputation. Application Control peut fonctionner avec plusieurs sources, telles que le module de serveur McAfee ® Threat Intelligence Exchange (TIE) et le serveur McAfee ® Global Threat Intelligence™ (McAfee GTI), afin d'extraire les informations de réputation pour les fichiers et les certificats. Dans la console McAfee ePO, les informations de réputation vous permettent de prendre des décisions rapides et informées pour les fichiers binaires et les certificats de votre entreprise. Les informations de réputation, disponibles pour les administrateurs, réduisent les efforts des administrateurs et leur permettent de définir rapidement des stratégies pour l'entreprise sur le serveur McAfee ePO. Sur les postes clients, cette intégration autorise l'exécution basée sur la réputation. Lorsque vous exécutez un fichier sur un poste client, le logiciel récupère sa réputation et la réputation de tous les certificats associés au fichier pour déterminer s'il doit autoriser ou interdire l'exécution du fichier. Les paramètres configurés pour votre entreprise déterminent les valeurs de réputation autorisées et interdites. • Fichiers approuvés : si un fichier binaire ou son certificat associé présente une réputation approuvée, le fichier est autorisé à s'exécuter, sauf s'il est bloqué par une règle d'interdiction prédéfinie. • Fichiers malveillants : si un fichier binaire ou son certificat associé présente une réputation malveillante, il n'est pas autorisé à s'exécuter. • Inconnu : si un fichier binaire ou son certificat associé présente une réputation inconnue, la réputation n'est pas utilisée pour déterminer l'exécution. Application Control effectue plusieurs autres vérifications pour déterminer si le fichier doit être autorisé ou bloqué. Pour obtenir des informations détaillées sur les vérifications, reportez-vous à la section Vérifier qu'Application Control s'exécute pour un fichier du Guide produit de McAfee Change Control et McAfee Application Control 7.0.0. Remarque L'exécution basée sur la réputation est disponible sur toutes les plates-formes prises en charge, à l'exception de Windows Vista et Windows 2008. L'exécution basée sur la réputation n'est pas disponible sur les plates-formes UNIX. En fonction de la configuration, le logiciel se synchronise régulièrement avec ces sources : TIE Le serveur TIE est un serveur de réputation local qui communique avec plusieurs sources de réputation. Il combine et assemble efficacement des renseignements issus de sources globales avec des renseignements locaux sur les menaces et des connaissances organisationnelles pour fournir des valeurs de réputation agrégées. Le serveur TIE peut communiquer avec McAfee GTI, McAfee ® Advanced Threat Defense ou des transmissions tierces qui incluent des renseignements locaux sur les menaces issus des données d'événements en temps réel et existantes fournies par les postes clients, les passerelles et autres composants de sécurité. Pour plus d'informations sur le serveur TIE, reportez-vous au Guide produit de Threat Intelligence Exchange correspondant à votre version du logiciel. McAfee GTI Le service de réputation des fichiers McAfee GTI est un service cloud fonctionnant comme une source de réputation. Application Control se synchronise régulièrement avec le serveur McAfee GTI afin d'extraire les évaluations des fichiers binaires et des certificats. Configuration requise Voici les conditions requises pour utiliser la fonctionnalité d'exécution basée sur la réputation dans votre entreprise. Utilisation du serveur TIE • Assurez-vous que le logiciel McAfee ePO (version 5.1.1 ou version ultérieure) est installé dans votre environnement. Reportez-vous au Guide d'installation du logiciel McAfee ePolicy Orchestrator correspondant à votre version du logiciel. • Assurez-vous que McAfee ® Agent (version 5.0 ou ultérieure) est installé sur les postes clients dans votre environnement. Reportez-vous au Guide produit de McAfee Agent correspondant à votre version du logiciel. • Installez et configurez le serveur TIE (version 1.2.0-141 ou version ultérieure). Pour plus d'informations, reportez-vous au Guide d'installation de McAfee Threat Intelligence Exchange correspondant à votre version du logiciel. Consultez la section Configuration requise du guide pour vous assurer que votre installation est réussie. • Installez le logiciel McAfee ® Data Exchange Layer (DXL) (broker et client) version 2.0 sur McAfee ePO. Reportez-vous au Guide d'installation de McAfee Threat Intelligence Exchange correspondant à votre version du logiciel. • Déployez le client DXL sur tous les postes clients. Reportez-vous au Guide d'installation de McAfee Threat Intelligence Exchange correspondant à votre version du logiciel. • Installez ou mettez à niveau vers l'extension Solidcore version 7.0.0-270. Pour plus d'informations, reportez-vous aux Instructions d'installation. Nous vous recommandons de commencer par installer et configurer le serveur TIE et le logiciel DXL, puis d'installer ou mettre à niveau l'extension Solidcore. Si vous commencez par installer ou mettre à niveau l'extension Solidcore, vous devez redémarrer le plug-in de l'extension Solidcore après l'installation et la configuration du serveur TIE et du logiciel DXL. • Installez ou mettez à niveau vers la version 7.0.0-646 du client Solidcore. Pour plus d'informations, reportez-vous aux Instructions d'installation incluses dans les notes de publication. Nous vous recommandons de commencer par déployer le client DXL sur les postes clients, puis d'installer ou de mettre à niveau le client Solidcore. Toutefois, si vous commencez par installer ou mettre à niveau le client Solidcore, vous devez redémarrer le service McAfee Solidifier (scsrvc.exe) sur les postes clients après le déploiement du client DXL. • (Facultatif) Déployez Advanced Threat Defense version 3.4.6.83 pour soumettre des fichiers inconnus au calcul de réputation à l'aide de la technologie de sandbox. Utilisation du serveur GTI Si le serveur TIE n'est pas configuré ou n'est pas disponible dans votre entreprise, vous pouvez utiliser la fonctionnalité d'exécution basée sur la réputation sur le serveur McAfee GTI. Le serveur McAfee GTI est préconfiguré dans votre entreprise et vous n'avez pas besoin de modifier de paramètre. Protection de la mémoire pour les dernières plates-formes Windows Nous avons ajouté la prise en charge des techniques de protection de la mémoire sur les plates-formes suivantes : Technique de protection de la mémoire Nouvelles plates-formes CASP : Critical Address Space Protection (Protection de l'espace d'adressage critique) (mp-casp) 32 bits : Windows Server 2008, Windows Vista, Windows 7, Windows Embedded 7, Windows 8, Windows Embedded 8, Windows 8.1, Windows Embedded 8.1, Windows 10 et Windows 10 IoT Enterprise NX : No eXecute (mp-nx) 64 bits : Windows Server 2008, Windows Server 2008 R2, Windows Vista, Windows 7, Windows Embedded 7, Windows 8, Windows Embedded 8, Windows 8.1, Windows Embedded 8.1, Windows 10, Windows 10 IoT Enterprise, Windows Server 2012 et Windows Server 2012 R2 Repositionnement forcé de DLL 32 bits et 64 bits : Windows Server 2008, Windows Server 2008 R2, Windows Vista, Windows 7, Windows Embedded 7, Windows 8, Windows Embedded 8, Windows 8.1, Windows Embedded 8.1, Windows 10, Windows 10 IoT Enterprise, Windows Server 2012 et Windows Server 2012 R2 (mp-vasr-forced-relocation) Prise en charge de Windows 10 Nous avons ajouté la prise en charge des plates-formes suivantes. • Windows 10 • Windows 10 IoT Enterprise Améliorations de l'expérience utilisateur Nous avons apporté les améliorations significatives suivantes à l'expérience utilisateur. • Prise en charge de la gestion des règles de listes d'omission depuis la console McAfee ePO. • Contexte supplémentaire, tel que MD5, somme de contrôle SHA-1, motif de refus, processus parent et type de fichier pour les applications bloquées sur la page Evénements Solidcore pour vous aider à prendre des décisions. • Capacité de clic unique depuis la page Evénements Solidcore pour afficher le contexte de l'application et simplifier la création de stratégies. Instructions d'installation Les informations contenues dans le présent document sont spécifiques à l'installation et à la mise à niveau de la version 7.0.0. Configuration requise Pour consulter la configuration système requise par cette version, reportez-vous à l'article KB73341 de la base de connaissances McAfee. Plates-formes prises en charge Cette version est disponible sur toutes les plates-formes Microsoft Windows prises en charge. A compter de cette version, nous avons mis fin à la prise en charge des plates-formes Windows XP et Windows Server 2003. Versions de McAfee ePO prises en charge L'installation et la mise à niveau de l'extension Solidcore 7.0.0 sont prises en charge sur les versions 5.1 et 5.3 de McAfee ePO. L'installation de l'extension Solidcore 7.0.0 n'est pas prise en charge sur McAfee ePO 4.6. Mises à niveau prises en charge Composant Détails Extension Solidcore Cette version prend en charge la mise à niveau à partir des versions de l'extension Solidcore suivantes : • 6.0.0, 6.0.1 • 6.1.0, 6.1.1, 6.1.2, 6.1.3, 6.1.4 • 6.2.0 Remarque Lors de la mise à niveau vers l'extension Solidcore 7.0.0, la tâche de migration peut prendre plus de temps que d'habitude. Elle peut durer de quelques heures à un jour en fonction du volume des données d'inventaire présentes dans votre environnement. Pour plus d'informations, reportez-vous à l'article KB84651. Si vous procédez à la mise à niveau depuis l'extension Solidcore 6.0.0 ou une version ultérieure mais antérieure à la version 6.1.2-150, vous devez suivre ces étapes. Client Solidcore 1 Mettez à niveau l'extension Solidcore vers toute version comprise entre 6.1.2-150 et 6.2.0. 2 Mettez à niveau McAfee ePO vers la version 5.1.0 ou une version ultérieure. 3 Mettez à niveau l'extension Solidcore à partir de toute version comprise entre 6.1.2-150 et 6.2.0 vers la version 7.0.0. Cette version prend en charge la mise à niveau à partir des versions du client Solidcore suivantes : • 6.1.0, 6.1.1, 6.1.2, 6.1.3 • 6.2.0 Important Si vous effectuez la mise à niveau du client Solidcore à partir d'une version plus ancienne, vous devez d'abord effectuer la mise à niveau vers la version 6.1.0, puis vers la version 7.0.0. Problèmes résolus Les problèmes suivants sont résolus dans la présente distribution de ce produit. Pour obtenir une liste des problèmes résolus dans les distributions précédentes, consultez les notes de distribution de la distribution spécifique. Extension Solidcore Version de Solidcore Toutes (antérieures à la version 7.0.0) Numéro de version du HotFix 6.1.3-141 Description Lorsque vous exécutez la tâche serveur Solidcore : Exécuter la déviation d'image depuis McAfee ePO pour comparer l'inventaire d'un poste client à celui récupéré à partir d'un système de référence désigné, la tâche serveur échoue et une erreur de serveur interne s'affiche. Numéro de demande de service 4–9801160231 Toutes (antérieures à la version 7.0.0) S.O. Le logiciel Apache Tomcat 5.0 est susceptible de se bloquer lorsque l'extension Solidcore est installée sur McAfee ePO. 4–11507718238 Toutes (antérieures à la version 7.0.0) S.O. Dans le Guide produit de McAfee Change Control et Application Control 6.2.0, les informations sur l'exécution d'un fichier binaire pour lequel des règles d'interdiction existent sont manquantes. 4-9314196991 Toutes (antérieures à la version 7.0.0) S.O. Nous avons ajouté MARService.exe comme programme de mise à jour au groupe de règles McAfee. 1119783 Client Solidcore Numéro de demande de service Version de Solidcore Système d'exploitation Numéro de version du HotFix 6.1.0, 6.1.1, 6.1.2, 6.1.3 et 6.2.0 Windows (toutes les versions) 6.1.0-706, 6.1.1404, 6.1.2-449, 6.1.3-436, 6.2.0-498 Lorsque vous appliquez les mises à jour Windows publiées le 13 octobre 2015 (Microsoft Security Bulletin MS15-111) ou le 10 novembre 2015 (Microsoft Security Bulletin MS15-115) sur un système sur lequel Application Control est activé, le démarrage de l'invite de commande (cmd.exe) peut échouer. 4–11350657154, 4– 11312642891, 4– 11385243211 6.1.0, 6.1.1, 6.1.2, 6.1.3 et 6.2.0 Windows 7 et version antérieure 6.1.0-706, 6.1.1404, 6.1.2-449, 6.1.3-441, 6.2.0-505 Sur les plates-formes Windows 7 et versions antérieures, une incompatibilité existe entre Application Control et tous les produits McAfee qui utilisent SysCore 15.4.0.622.9 ou version ultérieure. 1101321 6.1.0, 6.1.1, 6.1.2, 6.1.3 et 6.2.0 Windows (toutes les versions) 6.1.0-706, 6.1.1404, 6.1.2-449, 6.1.3-441, 6.2.0-505 Sur un système Windows 32 bits, lorsqu'un code rédigé dans le langage 1096765 Description assembleur appelle la fonction de bibliothèque Syscall avec certains arguments, le système peut afficher une erreur d'écran bleu. 6.1.3 Windows (toutes les versions) 6.1.3-432 Lorsque l'inventaire est corrompu sur un système, le système peut redémarrer en boucle. Ce problème se produit en raison de l'échec du chargement du pilote FIPS (Federal Information Processing Standard) sur le système, ce qui rend la détection de l'inventaire corrompu par Application Control plus difficile. 4–9922780391 6.1.3 Windows (toutes les versions) 6.1.3-432 Lors de la création d'une sauvegarde Windows sur un système sur lequel Application Control est activé, le système peut arrêter de répondre. 4–10570835111 6.1.3 et 6.2.0 Windows (toutes les versions) 6.2.0-458 Sur un système sur lequel Application Control est activé, lorsque vous exécutez le logiciel Adobe InDesign, le système peut arrêter de répondre et afficher une vérification de bogue. 4–8732179009 6.1.3 et 6.2.0 Windows (toutes les versions) 6.1.3-419 Une fuite de mémoire est observée sur un système sur lequel la fonctionnalité MPCASP est activée. Ce problème se produit en raison d'une incompatibilité entre la fonctionnalité MPCASP et une API Windows. 4–8265690411 6.1.3 et 6.2.0 Windows Server 2012 R2 6.1.3-419 Lorsque vous ouvrez un fichier sur le 4–8276697516 système Windows Server 2012 R2 sur lequel Application Control est activé, le logiciel vérifie par erreur un chemin d'accès au dossier de point de montage. Ce problème peut provoquer le débordement de la pile de noyau et le système peut arrêter de répondre. 6.1.3 et 6.2.0 Windows (toutes les versions) 6.2.0-458, 6.1.3-419 Si McAfee Agent 5.0 ou McAfee ® 4–8178687291, 4– 8655201924 VirusScan® Enterprise 8.8 (HF 929019) coexistent avec le logiciel Application Control sur le système, le système peut arrêter de répondre si Application Control est activé. Ce problème se produit en raison d'une incompatibilité entre Syscore 15.3 et Application Control et en particulier lorsque d'autres applications installées utilisent le tilde (~) dans les noms de chemin courts. 6.1.3 et 6.2.0 Windows (toutes les versions) 6.2.0-458, 6.1.3-419 Lorsque vous installez Application Control, le dossier de certificats dans le répertoire d'installation d'Application Control n'est pas créé. 4–8588887705 6.1.3 et 6.2.0 Windows 8 et Windows 8.1 (64 bits) 6.2.0-461 Sur un système sur lequel Application Control est activé, vous pouvez remarquer un retard significatif lors du démarrage du système. 4–9561698971 6.2.0 Windows (toutes les versions) 6.2.0-476 Sur un système sur lequel Application Control est activé, les 4–9799684551, 4– 9267979485 sites web basés sur Microsoft .Net peuvent s'arrêter de fonctionner. 6.2.0 Windows (toutes les versions) 6.2.0-480 Lors de la désinstallation du logiciel sur le système sur lequel Application Control est installé, le système peut afficher une erreur d'écran bleu. Ce problème se produit en raison d'une condition de concurrence. 4–10227043671 6.2.0 Windows (toutes les versions) 6.2.0-458 Sur un système sur lequel le logiciel Application Control est déjà installé, lorsque vous essayez de réinstaller la même version du logiciel à l'aide de McAfee ePO, la tâche client de déploiement de produit échoue et l'erreur 1603 : une erreur irrécupérable s’est produite lors de l'installation s'affiche dans le journal des applications Windows. 4–7760620724 6.2.0 Windows (toutes les versions) 6.2.0-476 Lors de l'installation ou de la mise à niveau du logiciel sur le système sur lequel Application Control est activé, le système peut afficher une erreur d'écran bleu. 4–9552120301 6.2.0 Windows (toutes les versions) 6.2.0-476 Sur un système sur lequel Application Control est activé, les opérations d'entrée et sortie (E/S) du disque peuvent augmenter fréquemment et affecter les performances du système. 4–9870950991 6.2.0 Windows (toutes les versions) 6.2.0-480 Lors de la création de la liste blanche sur un système, les fichiers 1090044 qu'Application Control ne peut pas ouvrir sont marqués comme reportés dans la liste blanche. Nous avons réduit le nombre de fichiers reportés pour épurer la liste blanche. 6.2.0 Windows (toutes les versions) 6.2.0-493 6.2.0 Windows (toutes les versions) 6.2.0-493 McTray.exe peut se bloquer lors du déchargement du plug-in Application Control sur un système. Le système (sur lequel Application Control est activé) peut arrêter de répondre avec la vérification de bogue 0x22, lorsque ces options sont activées dans l'outil Vérificateur de pilotes : • Pool spécial • Suivi de pool • Détection de blocage • Vérifications de sécurité • Vérifications diverses 4–10144566446 4–10303308701 6.2.0 Windows (toutes les versions) 6.2.0-693 Lors de l'installation du logiciel sur un système sur lequel Application Control est activé, le système peut afficher une erreur d'écran bleu. Ce problème se produit en raison d'une condition de concurrence. 4–10532941211 7.0.0-626 Windows (toutes les versions) S.O. Si la communication avec le serveur TIE est temporairement suspendue, lorsqu'elle reprend, les notifications 1111630 manquées ne sont pas synchronisées par erreur. 7.0.0-626 Windows (toutes les versions) S.O. Lorsque vous mettez à niveau Application Control de la version 6.1.2-449 vers la version 7.0.0626, des problèmes de concordance de somme de contrôle se produisent pour les fichiers dans la liste blanche. 1117853 Problèmes connus Pour obtenir une liste des problèmes connus de cette distribution du produit, consultez cet article de la McAfee KnowledgeBase : KB85710. Accès à la documentation sur le produit Sur le ServicePortal , vous pouvez trouver des informations relatives au produit mis sur le marché, dont de la documentation, des articles techniques, etc. Procédure 1 Accédez au ServicePortal à l'adresse https://support.mcafee.com et cliquez sur l'onglet Centre de connaissances . 2 Dans le volet Base de connaissances sous Type de contenu , cliquez sur Documentation relative aux produits. 3 Sélectionnez un produit et une version, puis cliquez sur Rechercher pour afficher une liste de documents. Documentation sur les produits Chaque produit McAfee dispose d'un ensemble complet de documents. Document Configuration Description Guide produit de McAfee Change Control et McAfee Application Control 7.0.0 Managé Informations destinées à faciliter la configuration, l'utilisation et la gestion du produit. Aide de McAfee Change Control et McAfee Application Control 7.0.0 Managé Informations destinées à faciliter la configuration, l'utilisation et la gestion du produit. Inclut également de l'aide contextuelle sur toutes les options et pages de l'interface du produit dans McAfee ePO. Guide d'installation de McAfee Change Control et McAfee Application Control 7.0.0 Managé Informations destinées à faciliter l'installation, la mise à niveau et la désinstallation du produit. Guide produit de McAfee Application Control 7.0.0 Autonome Informations destinées à faciliter l'utilisation et la gestion du produit. Guide d'installation de McAfee Change Control et McAfee Application Control 7.0.0 Autonome Informations destinées à faciliter l'installation, la mise à niveau et la désinstallation du produit. Guide d'interface de ligne de commande de McAfee Autonome Toutes les commandes Application Control disponibles dans l'interface de ligne de commande (CLI). Application Control 7.0.0 Copyright © 2016 McAfee, Inc. www.intelsecurity.com Intel et le logo Intel sont des marques commerciales ou des marques commerciales déposées d'Intel Corporation. McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.