Versionshinweise McAfee Application Control 7.0.0

Transkript

1 Versionshinweise Über diese Version Wichtigste Neuerungen dieser Version Informationen zu Funktionen Installationsanweisungen Behobene Probleme Bekannte Probleme Quellen für Produktinformationen Produktdokumentation Über diese Version Dieses Dokument enthält wichtige Informationen über die aktuelle Version. Es wird dringend empfohlen, das gesamte Dokument zu lesen. Diese Version von McAfee Application Control ist nur für die Windows-Plattform verfügbar und enthält: Solidcore-Erweiterung Solidcore-Client Wir haben diese Version zur Verwendung mit den folgenden McAfee epolicy Orchestrator (McAfee epo ) -Versionen entwickelt: Hinweis Die Ausführung nach Reputation wird nur in McAfee epo und höheren Versionen unterstützt. Wichtigste Neuerungen dieser Version Diese Version enthält viele Verbesserungen und Fehlerbehebungen. Dies sind die wichtigsten Neuerungen. Ausführung nach Reputation mithilfe von McAfee Threat Intelligence Exchange (TIE) und McAfee Global Threat Intelligence (McAfee GTI) basierend auf der Datei- und Zertifikat-Reputation. Unterbrechungsfreier Geschäftsbetrieb durch automatisches Zulassen oder Blockieren der Ausführung entsprechend der Reputation einer Anwendung. Verbesserte Klassifizierung für Anwendungen basierend auf verfügbaren Informationen zur Datei- und Zertifikat- Reputation von Reputationsquellen. Option zum Senden ausführbarer Dateien mit unbekannter Reputation zur Analyse an McAfee Advanced Threat Defense. Unterstützung bei Entscheidungen bzgl. blockierter Anwendungen durch Kontext wie MD5, SHA-1-Prüfsumme, Verweigerungsgrund, übergeordneter Prozess und Dateityp auf der Seite Solidcore-Ereignisse. Anzeigen von Anwendungskontext und einfache Richtlinienerstellung über die Seite Solidcore-Ereignisse mit nur einem Klick möglich.

2 Verwalten von Skiplistenregeln über die McAfee epo-konsole. Techniken zum Speicherschutz für die aktuellen Windows-Plattformen. Unterstützung für Windows 10 und Windows 10 IoT (Internet of Things, Internet der Dinge) Enterprise. Direktes Upgrade von Solidcore-Client bis Möglichkeit zum Verwalten von Application Control bis mit der Solidcore-Erweiterung in McAfee epo bis Eingestellte Unterstützung für ticketbasierte Erzwingung. Fehlerbehebung für mehrere Probleme. Weitere Informationen finden Sie im Abschnitt Behobene Probleme. Weitere Informationen zu den neuen Funktionen finden Sie unter Informationen zu Funktionen. Informationen zu Funktionen Hier finden Sie die Details zu den neuen Funktionen in dieser Version. Ausführung nach Reputation Speicherschutz für die aktuellen Windows-Plattformen Unterstützung für Windows 10 Verbesserte Benutzerfreundlichkeit Weitere Informationen zu diesen Funktionen finden Sie im Produkthandbuch zu McAfee Change Control und McAfee Application Control Ausführung nach Reputation In dieser Version wurde die Ausführung nach Reputation für Dateien implementiert. Application Control kann Reputationsinformationen für Dateien und Zertifikate von mehreren Quellen wie dem McAfee Threat Intelligence Exchange (TIE)-Server-Modul und dem McAfee Global Threat Intelligence (McAfee GTI)-Server abrufen. Die Reputationsinformationen in der McAfee epo-konsole helfen Ihnen, rasche und fundierte Entscheidungen für Binärdateien und Zertifikate in Ihrem Unternehmen zu treffen. Die Reputationsinformationen stehen Administratoren zur Verfügung und senken ihren Arbeitsaufwand. Sie ermöglichen das schnelle Definieren von Richtlinien für das Unternehmen auf dem McAfee epo-server. Auf den Endpunkten erlaubt die Integration eine Ausführung nach Reputation. Wenn Sie eine Datei auf einem Endpunkt ausführen, ruft die Software deren Reputation und die Reputation sämtlicher mit der Datei verknüpften Zertifikate ab, um zu ermitteln, ob die Dateiausführung zugelassen oder gesperrt werden soll. Die für Ihr Unternehmen konfigurierten Einstellungen legen fest, welche Reputationswerte zugelassen und welche gesperrt sind. Vertrauenswürdige Dateien Wenn die Reputation für eine Binärdatei oder ein verknüpftes Zertifikat "Vertrauenswürdig" lautet, ist die Ausführung der Datei zulässig, sofern sie nicht durch eine vordefinierte Sperrregel blockiert wird. Bösartige Dateien Wenn die Reputation für eine Binärdatei oder ein verknüpftes Zertifikat "Bösartig" lautet, wird die Ausführung der Binärdatei nicht zugelassen. Unbekannt Wenn die Reputation für eine Binärdatei oder ein verknüpftes Zertifikat "Unbekannt" lautet, wird über die Ausführung nicht mithilfe der Reputation entschieden. Application Control führt mehrere weitere Prüfungen durch, um zu bestimmen, ob die Datei zugelassen oder blockiert werden soll. Weitere Informationen zu diesen Prüfungen finden Sie im Produkthandbuch zu McAfee Change Control und unter Von Application Control für eine Datei durchgeführte Prüfungen. Hinweis Die Ausführung nach Reputation wird auf allen Windows-Plattformen außer Windows Vista und Windows 2008 unterstützt. Die Ausführung nach Reputation ist auf UNIX- Plattformen nicht verfügbar.

3 Je nach Konfiguration wird die Software regelmäßig mit folgenden Quellen synchronisiert: TIE Der TIE Server ist ein lokaler Reputations-Server, der mit mehreren Reputationsquellen kommuniziert. Er kombiniert effektiv intelligente Daten aus globalen Quellen mit lokalen Bedrohungsabwehrdaten und benutzerdefiniertem Organisationswissen, um aggregierte Reputationswerte bereitzustellen. Der TIE Server kommuniziert mit McAfee GTI, McAfee Advanced Threat Defense oder Drittanbieter-Feeds, die lokale Bedrohungsabwehrdaten aus bestehenden oder Echtzeit-Ereignisdaten von Endpunkten, Gateways und anderen Sicherheitskomponenten einschließen. Weitere Informationen zum TIE Server finden Sie im Threat Intelligence Exchange-Produkthandbuch für Ihre Version der Software. McAfee GTI Der McAfee GTI-Datei-Reputationsdienst ist ein Cloud-basierter Dienst, der als Reputationsquelle fungiert. Application Control wird in regelmäßigen Abständen mit dem McAfee GTI-Server synchronisiert, um Bewertungen für Binärdateien und Zertifikate abzurufen. Voraussetzungen Folgende Voraussetzungen sind für die Verwendung der Ausführung nach Reputation in Ihrem Unternehmen erforderlich. Verwenden des TIE Servers Stellen Sie sicher, dass die McAfee epo-software (Version oder höher) in Ihrer Umgebung installiert ist. Siehe das McAfee epolicy Orchestrator-Installationshandbuch für Ihre Version der Software. Vergewissern Sie sich, dass McAfee Agent (Version 5.0 oder höher) auf den Endpunkten in Ihrer Umgebung installiert ist. Siehe das McAfee Agent-Produkthandbuch für Ihre Version der Software. Installieren und konfigurieren Sie den TIE Server (Version oder höher). Weitere Informationen finden Sie im McAfee Threat Intelligence Exchange-Installationshandbuch für Ihre Version der Software. Lesen Sie im Handbuch den Abschnitt Voraussetzungen, um eine erfolgreiche Installation sicherzustellen. Installieren Sie die McAfee Data Exchange Layer (DXL)-Software (Broker und Client) Version 2.0 in McAfee epo. Siehe das McAfee Threat Intelligence Exchange-Installationshandbuch für Ihre Version der Software. Stellen Sie den DXL Client auf allen Endpunkten bereit. Siehe das McAfee Threat Intelligence Exchange- Installationshandbuch für Ihre Version der Software. Installieren Sie die Version der Solidcore-Erweiterung, oder führen Sie ein Upgrade darauf durch. Weitere Informationen finden Sie unter Installationsanweisungen. Wir empfehlen, dass Sie zuerst den TIE Server sowie die DXL-Software installieren und konfigurieren und dann die Solidcore-Erweiterung installieren bzw. aktualisieren. Wenn Sie zuerst die Solidcore-Erweiterung installieren bzw. aktualisieren, müssen Sie das Plug-In der Solidcore-Erweiterung nach der Installation und Konfiguration des TIE Servers und der DXL-Software neu starten. Installieren Sie die Version des Solidcore-Clients, oder führen Sie ein Upgrade darauf durch. Weitere Informationen finden Sie in den Versionshinweisen unter Installationsanweisungen. Wir empfehlen, dass Sie zuerst den DXL Client auf den Endpunkten bereitstellen und dann den Solidcore- Client installieren bzw. aktualisieren. Wenn Sie jedoch zuerst den Solidcore-Client installieren bzw. aktualisieren, müssen Sie den McAfee Solidifier-Dienst (scsrvc.exe) auf den Endpunkten nach der Bereitstellung des DXL Clients neu starten. (Optional) Stellen Sie die Advanced Threat Defense-Version bereit, um unbekannte Dateien zur Ermittlung der Reputation mithilfe der Sandbox-Technologie zu senden. Verwenden des GTI- Wenn der TIE Server nicht konfiguriert oder in Ihrem Unternehmen nicht verfügbar ist, können Sie die Ausführung nach Reputation auf dem McAfee GTI-Server verwenden. Der McAfee GTI-Server ist in Ihrem

4 Servers Unternehmen vorkonfiguriert, und Sie müssen keine Einstellungen ändern. Speicherschutz für die aktuellen Windows-Plattformen Für folgende Plattformen stehen jetzt Techniken zum Speicherschutz zur Verfügung: Technik zum Speicherschutz CASP Critical Address Space Protection (kritischer Adressbereichsschutz, mp-casp) NX No execute (mpnx) Erzwungene DLL- Verlagerung (mp-vasr-forcedrelocation) Neue Plattformen 32-Bit-Versionen von Windows Server 2008, Windows Vista, Windows 7, Windows Embedded 7, Windows 8, Windows Embedded 8, Windows 8.1, Windows Embedded 8.1, Windows 10 und Windows 10 IoT Enterprise 64-Bit-Versionen von Windows Server 2008, Windows Server 2008 R2, Windows Vista, Windows 7, Windows Embedded 7, Windows 8, Windows Embedded 8, Windows 8.1, Windows Embedded 8.1, Windows 10, Windows IoT Enterprise 10, Windows Server 2012 und Windows Server 2012 R2 32- und 64-Bit-Versionen von Windows Server 2008, Windows Server 2008 R2, Windows Vista, Windows 7, Windows Embedded 7, Windows 8, Windows Embedded 8, Windows 8.1, Windows Embedded 8.1, Windows 10, Windows IoT Enterprise 10, Windows Server 2012 und Windows Server 2012 R2 Unterstützung für Windows 10 Folgende Plattformen werden jetzt unterstützt. Windows 10 Windows 10 IoT Enterprise Verbesserte Benutzerfreundlichkeit Die folgenden erheblichen Verbesserungen wurden vorgenommen, um mehr Benutzerfreundlichkeit zu gewährleisten. Verwalten von Skiplistenregeln über die McAfee epo-konsole. Unterstützung bei Entscheidungen bzgl. blockierter Anwendungen durch Kontext wie MD5, SHA-1-Prüfsumme, Verweigerungsgrund, übergeordneter Prozess und Dateityp auf der Seite Solidcore-Ereignisse. Anzeigen von Anwendungskontext und einfache Richtlinienerstellung über die Seite Solidcore-Ereignisse mit nur einem Klick möglich. Installationsanweisungen Diese Informationen zur Installation und Aktualisierung beziehen sich auf die Version Systemanforderungen Die Systemanforderungen für diese Produktversion finden Sie im McAfee KnowledgeBase-Artikel KB Unterstützte Plattformen Diese Version ist für alle unterstützten Microsoft Windows-Plattformen verfügbar. Ab dieser Version gibt es keine Unterstützung mehr für Windows XP- und Windows Server 2003-Plattformen. Unterstützte McAfee epo-versionen Installation und Upgrade der Solidcore-Erweiterung wird auf den McAfee epo-versionen 5.1 und 5.3 unterstützt. Die Installation der Solidcore-Erweiterung in McAfee epo 4.6 wird nicht unterstützt. Upgrade-Support Komponente Details

5 Solidcore- Erweiterung Diese Version unterstützt Upgrades von den folgenden Versionen der Solidcore-Erweiterung: 6.0.0, , 6.1.1, 6.1.2, 6.1.3, Hinweis Bei einem Upgrade auf die Solidcore-Erweiterung kann die Migration länger als gewöhnlich dauern. Je nach Volumen der Inventardaten in Ihrer Umgebung kann die Fertigstellung des Tasks einige Stunden oder einen ganzen Tag dauern. Weitere Informationen finden Sie im Artikel KB Wenn Sie die Solidcore-Erweiterung von oder einer späteren Version (aber vor ) aktualisieren, müssen Sie die folgenden Schritte durchführen. 1 Führen Sie ein Upgrade der Solidcore-Erweiterung auf eine Version zwischen und durch. 2 Führen Sie ein Upgrade von McAfee epo auf oder höher durch. 3 Führen Sie ein Upgrade der Solidcore-Erweiterung von einer beliebigen Version zwischen und auf durch. Solidcore- Client Diese Version unterstützt Upgrades von den folgenden Versionen des Solidcore-Clients: 6.1.0, 6.1.1, 6.1.2, Wichtig Wenn Sie ein Upgrade des Solidcore-Clients von einer älteren Version durchführen, müssen Sie zuerst ein Upgrade auf Version und dann auf durchführen. Behobene Probleme Die folgenden Probleme wurden in dieser Version des Produkts behoben. Eine Liste der Probleme, die in vorherigen Versionen behoben wurden, finden Sie in den Versionshinweisen zur jeweiligen Version. Solidcore-Erweiterung Solidcore-Version HotFix-Build-Nummer Beschreibung Dienstanfragenummer Alle (vor 7.0.0) Wenn Sie den Server-Task Solidcore: Image-Abweichung ausführen in McAfee epo ausführen, um das Inventar eines Endpunkts mit dem Inventar zu vergleichen, das von einem designierten Gold-System abgerufen wird, schlägt der Server- Task fehl und ein interner Serverfehler wird angezeigt. Alle (vor 7.0.0) N/V Apache Tomcat 5.0 kann abstürzen, wenn die Solidcore-Erweiterung in McAfee epo installiert ist

6 Alle (vor 7.0.0) N/V Im Produkthandbuch zu McAfee Change Control und Application Control fehlen Informationen zur Ausführung einer Binärdatei, für die Sperrregeln vorhanden sind. Alle (vor 7.0.0) N/V MARService.exe wurde als Aktualisierungsprogramm zur McAfee-Regelgruppe hinzugefügt Solidcore-Client Solidcore- Version Betriebssystem HotFix-Build- Nummer Beschreibung Dienstanfragenummer 6.1.0, 6.1.1, 6.1.2, und Windows (alle , , , , Beim Anwenden von Windows-Aktualisierungen vom 13. Oktober 2015 (Microsoft Security Bulletin MS15-111) oder 10. November 2015 (Microsoft Security Bulletin MS15-115) auf einem System, auf dem Application Control aktiviert ist, könnte die Eingabeaufforderung (cmd.exe) fehlschlagen , , , 6.1.1, 6.1.2, und Windows 7 und niedriger , , , , Unter Windows 7 und älteren Plattformen ist Application Control möglicherweise mit sämtlichen McAfee- Produkten, die SysCore oder höher verwenden, nicht kompatibel , 6.1.1, 6.1.2, und Windows (alle , , , , Wenn auf 32-Bit-Systemen von Windows ein in Assembly-Sprache geschriebener Code die Systemaufruf- Bibliotheksfunktion aufruft, könnte das System einen Bluescreen-Fehler anzeigen Windows (alle Wenn das Inventar auf einem System beschädigt ist, könnte dies zu einer Neustartschleife führen. Dieses Problem tritt auf, weil der FIPS-Treiber

7 (Federal Information Processing Standard) auf dem System nicht geladen wird, sodass Application Control das beschädigte Inventar nicht erkennen kann Windows (alle Beim Erstellen einer Windows-Sicherung auf einem System, auf dem Application Control aktiviert ist, reagiert das System möglicherweise nicht mehr und und und Windows Server 2012 R Beim Ausführen von Adobe InDesign auf einem System, auf dem Application Control aktiviert ist, reagiert das System möglicherweise nicht mehr und zeigt eine Fehlerprüfung an Auf einem System, auf dem die MP-CASP-Funktion aktiviert ist, wird ein Arbeitsspeicherverlust beobachtet. Dieses Problem tritt aufgrund der Inkompatibilität zwischen der MP-CASP-Funktion und einer Windows-API auf Beim Öffnen einer Datei auf einem Windows- Server 2012 R2-System, auf dem Application Control aktiviert ist, sucht die Software fälschlicherweise nach einem Pfad zum Bereitstellungspunktordner. Dadurch kann es zu einem Kernel-Stack-Overflow kommen, woraufhin das System nicht mehr reagiert und , Wenn McAfee Agent 5.0 oder McAfee VirusScan Enterprise 8.8 (HF ) und Application Control beide auf dem System installiert sind, reagiert das System unter Umständen nicht mehr, wenn Application Control aktiviert ist. Die Ursache ist eine Inkompatibilität zwischen ,

8 SysCore 15.3 und Application Control, insbesondere wenn andere installierte Anwendungen in kurzen Pfadnamen eine Tilde (~) verwenden und , Beim Installieren von Application Control wird der Zertifikateordner im Application Control- Installationsverzeichnis nicht erstellt und Windows 8 und Windows 8.1 (64 Bit) Auf einem System, auf dem Application Control aktiviert ist, kann es zu einer erheblichen Verzögerung beim Systemstart kommen Auf einem System, auf dem Application Control aktiviert ist, reagieren Microsoft.Net-basierte Websites unter Umständen nicht mehr Beim Deinstallieren von Software auf einem System, auf dem Application Control installiert ist, zeigt das System möglicherweise einen Bluescreen-Fehler an. Dieses Problem tritt aufgrund einer RACE- Bedingung auf Wenn auf einem System, auf dem Application Control bereits installiert ist, versucht wird, die gleiche Version der Software mithilfe von McAfee epo erneut zu installieren, schlägt der Client-Task für die Produktbereitstellung fehl, und im Windows- Anwendungsprotokoll wird der Fehler 1603: Schwerwiegender Fehler während der Installation angezeigt Beim Installieren oder Aktualisieren von Software auf einem System, auf dem Application Control ,

9 installiert ist, zeigt das System möglicherweise einen Bluescreen-Fehler an Auf einem System, auf dem Application Control aktiviert ist, könnte sich die Zahl der Eingabe- oder Ausgabevorgänge für die Festplatte häufig so erhöhen, dass sich die Systemleistung verlangsamt Beim Erstellen der Whitelist auf einem System werden Dateien, die Application Control nicht öffnen kann, in der Whitelist als "zurückgestellt" gekennzeichnet. Die Anzahl der zurückgestellten Dateien wurde zur Verfeinerung der Whitelist reduziert Beim Entladen des Application Control-Plug- Ins auf einem System stürzt McTray.exe möglicherweise ab Das System (auf dem Application Control aktiviert ist) reagiert unter Umständen nicht mehr und zeigt die Fehlerprüfung 0x22 an, wenn die folgenden Optionen im Driver Verifier-Tool aktiviert sind: Spezieller Pool Poolnachverfolgung Deadlock-Erkennung Sicherheitsüberprüfungen Sonstige Prüfungen Beim Installieren von Software auf einem System, auf dem Application Control installiert ist, zeigt das System möglicherweise einen Bluescreen-Fehler

10 an. Dieses Problem tritt aufgrund einer RACE- Bedingung auf Windows (alle N/V Wenn die Kommunikation mit dem TIE Server zeitweise unterbrochen ist, werden alle ausgelassenen Benachrichtigungen nach Fortsetzung der Kommunikation fälschlicherweise nicht synchronisiert Windows (alle N/V Wenn Sie ein Upgrade von Application Control von Version auf durchführen, tritt ein Prüfsummenkonflikt für Dateien in der Whitelist auf Bekannte Probleme Eine Liste der bekannten Probleme in dieser Produktversion finden Sie im folgenden McAfee KnowledgeBase-Artikel: KB Quellen für Produktinformationen Im ServicePortal finden Sie Informationen zu veröffentlichten Produkten, unter anderem die Produktdokumentation und technische Hilfsartikel. Vorgehensweise 1 Rufen Sie das ServicePortal unter auf, und klicken Sie auf die Registerkarte Knowledge Center. 2 Klicken Sie im Fenster Knowledge Base unter Inhaltsquelle auf Produktdokumentation. 3 Wählen Sie ein Produkt aus, und klicken Sie dann auf Suchen, um eine Liste der gewünschten Dokumente anzuzeigen. Produktdokumentation Für jedes Produkt von McAfee steht ein umfassender Dokumentationssatz zur Verfügung. Dokument Konfiguration Beschreibung McAfee Change Control und Produkthandbuch Verwaltet Informationen zum Konfigurieren, Verwenden und Warten des Produkts. McAfee Change Control und Hilfe Verwaltet Informationen zum Konfigurieren, Verwenden und Warten des Produkts. Enthält auch kontextbezogene Hilfe für alle produktspezifischen Seiten und Optionen der McAfee epo- Benutzeroberfläche. McAfee Change Control und Installationshandbuch Verwaltet Informationen zum Installieren, Aktualisieren und Deinstallieren des Produkts. Produkthandbuch Standalone Informationen zum Verwenden und Warten des Produkts.

11 McAfee Change Control und Installationshandbuch Standalone Informationen zum Installieren, Aktualisieren und Deinstallieren des Produkts. Handbuch zur Befehlszeilenschnittstelle Standalone Alle Application Control-Befehle, die beim Verwenden der Befehlszeilenschnittstelle (CLI) verfügbar sind. Copyright 2016 McAfee, Inc. Intel und das Intel-Logo sind Marken oder eingetragene Marken der Intel Corporation. McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, Inc. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.