Tarkistusversio B McAfee epolicy Orchestrator 5.3.3 Julkaisutiedot Sisällys Tietoja tästä julkaisusta Parannukset Ratkaistut ongelmat Tunnetut ongelmat Asennusohjeet Tuotetietojen saaminen sähköpostitse Tuotedokumentaation etsiminen Tietoja tästä julkaisusta Tämä asiakirja sisältää tärkeitä tietoja nykyisestä julkaisuversiosta. Suosittelemme, että luet koko asiakirjan. Koontiversio 5.3.3 Tarkoitus Tämä julkaisu sisältää kaikki McAfee epolicy Orchestrator (McAfee epo ) 5.3.3 -korjaukset ja -parannukset sekä korjaa myös seuraavan ongelman: Kun McAfee epo palautetaan järjestelmäpalautuksen tilannevedoksesta, McAfee epo -sovelluspalvelimen palvelu (Tomcat) latautuu nyt nopeammin. (1240977) Päivityspolut Julkaisuhetkellä seuraavat versiot ovat päivitettävissä McAfee epo 5.3.3 -versioon: McAfee epo 4.6.9 McAfee epo 5.1.3 McAfee epo 5.1.0 McAfee epo 5.3.1 1
McAfee epo 5.1.1 McAfee epo 5.3.2 McAfee epo 5.1.2 Päivitetyt komponentit Nykyinen versio päivittää nämä komponentit. Komponentti Uusi versio Apache HTTP Server 2.4.26 Apache Tomcat 7.0.79 Java Runtime 1.8.0_144 OpenSSL 1.0.2k Tuetut ympäristöt Nykyinen versio on yhteensopiva näiden ympäristöjen kanssa. Käyttöjärjestelmän ja agenttien käsittelijän tuki Windows 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Tietokanta Microsoft SQL Server ja SQL Express Edition 2008 SP1 Microsoft SQL Server ja SQL Express Edition 2008 R2 Microsoft SQL Server ja SQL Express Edition 2012 Microsoft SQL Server ja SQL Express Edition 2014 Microsoft SQL Server ja SQL Express Edition 2016 Selaintuki Internet Explorer 8.0 tai uudemmat (yhteensopivuustilan täydellinen tuki) Firefox 24.0 ja uudemmat Chrome 30.0 ja uudemmat Safari 7.0 ja uudemmat Microsoft Edge (Spartan-selain) Tämä McAfee epo 5.3.3 -versio edellyttää TLS 1.1- tai 1.2-tuen ottamista käyttöön selaimessasi. 2
Parannukset Tuotteen nykyinen julkaisuversio sisältää nämä parannukset. Oracle Java SDK korvattu AZUL JAVA SDK:lla Nykyisessä versiossa Oracle Java SDK on korvattu AZUL Java SDK:lla McAfee epo -ohjelmistossa. SQL Express 2008 poistettu McAfee epo -asennusohjemasta Vanhentunut SQL Express -versio on poistettu asennuspaketista lataamisen ja asentamisen nopeuttamiseksi. Jos haluat käyttää Microsoft SQL Express -ohjelmistoa arvioimisessa, voit ladata uusimman version Microsoftilta. Muutoksia Ohjelmistojen hallinta -käyttöliittymässä Ohjelmistojen hallinta -käyttöliittymään tehdyt muutokset näkyvät tässä kuvassa. Lisätty Käyttöoikeusavain, Muokkaa -linkki voit siirtyä Muokkaa käyttöoikeusavainta -sivulle napsauttamalla Tuoteluokat-puurakenteen alaosassa Käyttöoikeusavain-kohdan vieressä Muokkaa. Täällä voit muokata ohjelmiston käyttöoikeusavainta ja tallentaa sen. Komponentin kuvauksessa aiemmin näkyneet toimenpiteet on siirretty siniseen palkkiin komponenttiluettelotaulukon yläpuolelle. Muutoksia Päätietovarasto-käyttöliittymässä Päätietovarasto-käyttöliittymään tehdyt muutokset näkyvät tässä kuvassa. 3
Valintaruutuja lisätty voit tehdä muutoksia useisiin paketteihin kerralla napsauttamalla niiden vieressä näkyviä valintaruutuja ja valitsemalla toiminnon Toiminnot-kohdasta. Valmiiksi määritetty suodattaa nyt paketin tyypin mukaan tietovarastohaaran sijasta. Toiminnot-luetteloon on lisätty Luo käyttöönottotehtävä -toiminto tuotteen käyttöönottoprojektin luontia varten. Lisätty Pikahaku-suodatin voit etsiä paketteja luettelosta kirjoittamalla Komponentit-luettelon yläpuolelle merkkijonon ja napsauttamalla Käytä-painiketta. Muutoksia Tuotteen käyttöönotto -käyttöliittymässä Uusi käyttöönotto -käyttöliittymään tehdyt muutokset näkyvät tässä kuvassa. 4
Valitse käyttöönottotyyppi määritysasetukset on poistettu. Asetus määritetään nykyään automaattisesti. Valitse ohjelmisto -kohdassa + ja on korvattu osan alaosassa näkyvällä + Lisää toinen paketti -linkillä. Järjestelmien valintavaihtoehdot voidaan näyttää Valitse järjestelmät-, Valitse yksittäiset järjestelmät- ja Valitse tunnuksen tai ryhmän mukaan -kohdissa. 5
Valitse käyttöönotto lisättiin. Sen sisältö: Automaattinen päivitys aiemmin Valitse käyttöönottotyyppi -kohdassa. Salli käyttäjien lykätä tätä käyttöönottoa (vain Windows) aiemmin Valitse järjestelmät -kohdassa. Sallittujen lykkäysten enimmäismäärä aiemmin Valitse järjestelmät -osassa. Lykkäysmahdollisuus päättyy, kun on kulunut (sekuntia) aiemmin Valitse järjestelmät -osassa. Näytä tämä teksti aiemmin Valitse järjestelmät -osassa. Valitse aloitusaika -vaihtoehdon sanamuoto muutettu muotoon Alkamisaika. Muutokset Koontinäytöt-käyttöliittymässä Koontinäytöt-käyttöliittymään tehdyt muutokset näkyvät tässä kuvassa. Otsikkopalkissa Kirjaudu ulos -kohdan vieressä näkyy kellokuvake. Punainen kuvake ilmaisee, että ohjelmistopäivityksiä on ladattavissa. Kuvake on oletusarvoisesti harmaa. Kun napsautat kuvaketta, Ohjelmistojen hallinta -sivu tulee näyttöön. Näet ohjelmistopäivityksen tilan viemällä osoittimen kellokuvakkeen päälle. Tietokanta Tietokantanäkymien määrää on vähennetty nykyisessä versiossa tietokantataulukoita on vähemmän. Ratkaistut ongelmat Tuotteen nykyisessä julkaisuversiossa on ratkaistu nämä ongelmat. Luettelo aiemmissa julkaisuversioissa korjatuista ongelmista on kunkin version julkaisutiedoissa. 6
Tietoturvakorjaukset Tässä versiossa korjataan hyödynnettävissä oleva SQL-injektiohaavoittuvuus. (1178482) Tässä versiossa on korjattu XMLE External Entity -hyökkäysvektorihaavoittuvuus. (1172163) Tässä versiossa OpenSSL päivitetään tasolle 1.0.2k useiden haavoittuvuuksien korjaamiseksi. Lisätietoja on artikkelissa McAfee SB10197, epolicy Orchestrator is vulnerable to Sweet32 vulnerability (CVE-2016-2183). (1179805) Tässä versiossa korjataan useita sivustojenvälisten komentosarjojen (XSS) haavoittuvuuksia. (1164201, 1129029, 1176815, 1164200, 1191816, 1146936) Tässä versiossa RSA BSAFE -kirjastot päivitetään useiden haavoittuvuuksien korjaamiseksi. (1165495, 1143825, 1126375, 1206799, 1156886) Tässä versiossa parannetaan REST API -istuntojen suojausta. (1192801) Tässä versiossa korjataan clickjacking-hyökkäysvektorihaavoittuvuus. Lisätietoja on julkaisussa McAfee epo Sustaining Statement SSC1605241. (1136306) Tässä versiossa korjataan hyökkäyshaavoittuvuus tiedostojen lähettämisessä. Lisätietoja on julkaisussa McAfee Security Bulletin SB10196. (1192756) Tietokantaan tallennettua sitemgr.xml-tiedostoa ei välttämättä enää kirjoiteta McAfee epo -asennushakemistoon. (1181918) Tässä versiossa Apache Tomcat Server.xml -tiedoston salakirjoitus päivitettiin suojatummaksi. (1082477, 1184229) Tässä versiossa tiedostot allekirjoitetaan SHA-2-varmenteella. (1172676) Tietyissä selaimissa valtuustiedot agenttien push-asennuksissa tallennetaan palvelintehtävään, joka voidaan tallentaa välimuistiin ja näyttää pelkkänä tekstinä. Tässä versiossa ongelma korjataan, joten valtuustiedot eivät enää näy. (118936) McAfee epo käytti Apache Http Server -versiota 2.4.16. Tässä versiossa käytetään Apache Http Server -versiota 2.4.25. (1192216) Tässä versiossa korjataan Windows Alternate Data Streams -haavoittuvuus. (1199165) SQL-injektio getbyquery-käyttöönotossa tunnisteiden valitsemisen työnkulkua varten korjattiin. (1199537) Tämä julkaisu korjaa useita Apache HTTP Serverin haavoittuvuuksia. (1203850) Tässä versiossa korjataan sokea komento -injektiohaavoittuvuus. (1204296) Tässä versiossa lisätään TLS 1.2 -tuki McAfee epo:n lähteville yhteyksille. (1177554) Asiakas- ja palvelintehtävät Jos jokin palvelintehtävä jaettujen käytäntöjen synkronoimiseksi McAfee epo -palvelinten välillä ei onnistunut synkronoimaan jonkin McAfee epo -palvelintietokannan käytäntöjä, mihinkään palvelimeen ei saatu yhteyttä. Synkronointivirhe ei enää aiheuta yhteysvirheitä. (1164882) Palvelintehtäviä, jotka on määritetty suorittamaan kyselyn tuloksiin perustuvia työasematehtäviä, ei enää merkitä epäonnistuneiksi, jos kysely ei tuota tuloksia. (1190210) Tietokanta SQL-tietokannan TempDB-tietokanta ei enää täyty kauan kestävillä pienillä kyselyillä, mikä aiheutti tietokanavayhteysvirheitä ja muita oireita. (1194021) McAfee epo -tietokannassa luotiin useita objekteja, joissa QUOTED_IDENTIFIER oli OFF. Tämä ei yleensä aiheuttanut ongelmaa. Nyt kaikki QUOTED_IDENTIFIER ovat ON. (1190626) 7
Kyselyt ja raportit Tapahtui odottamaton virhe ei enää tule näyttöön kun kyselyä suoritettaessa ja tietojen tullessa näyttöön valitset tietorivin ja napsautat Näytä liittyvät järjestelmät. (1168845) McAfee epo -konsolissa suoritettavat kyselyt eivät enää jumiudu, vaan ne palauttavat tuloksia aina. (1184150) Suoritettaessa tiettyjä kyselyjä McAfee epo -konsolissa tulokset palautetaan samalla tavalla kuin suoritettaessa sama kysely SQL-tietokannan avulla. (1147149, 1154903) Mukautettu logo raportin otsikossa skaalautuu oikein sivun kokoon nähden. (1111758) Kyselyt ja raportit -sivulla sama ryhmä ei enää näy kahdesti Omat ryhmät -kohdassa Järjestelmäpuussa. (1161177) Päivitykset ja asentaminen McAfee epo -versioon 5.3.2 päivittämisen jälkeen sovelluspalvelin (tomcat) ei enää kaadu replikoidessa UNC-tietovarastoon. (1183834, 1184383) Päivitykset eivät enää epäonnistu VerifyMFSSCoreStarted.cmd:n suorittamisen jälkeen. (1149615) Kun McAfee epo palautetaan järjestelmäpalautuksen tilannevedoksesta, McAfee epo -sovelluspalvelimen palvelu (Tomcat) latautuu nyt nopeammin. (1240977) Käyttöliittymä Luotaessa Yksinkertaistettu käyttöönotto -tehtävää Tuotteen käyttöönotto -sivulla näkyy oikea päiväys Alkamispäivä -kohdassa. (1178734) Tunnusluettelon esikatselu -sivulla Palauta x manuaalisesti tunnistemerkittyä ja poissuljettua järjestelmää -vaihtoehto ei enää ole käytettävissä jos luot tunnuksen ilman ehtoja ja tietokoneobjektin manuaalisesti sekä määrität tunnuksen tietokoneelle. (1192233) Muut korjaukset Tarkastajille ei enää anneta yleisen järjestelmänvalvojan oikeuksia, kun on päivitetty versiosta 4.6.x versioon 5.1.x tai kun käyttöoikeudet on viety versiosta 4.6.x versioon 5.1.x. (1165842) Enää ei tapahdu virhettä muodostettaessa server.keystorea uudelleen, mikä voi aiheuttaa suuren prosessorikuormituksen jäsennettäessä HDLP-tapahtumia eventparser.exen avulla. (1145404) Tapahtumajäsennin ei enää kaadu useita kertoja eikä lopulta jumiudu ja lopeta tapahtumien jäsentämistä. (1145604) Jos tapahtumajäsennin näytti COM Error 0x8007000E, source=(null), desc=(null), msg=not enough storage is available to complete this operation -ilmoituksen tapahtumajäsentimen lokissa, se sulkeutui ja käynnistyi uudelleen uudella ProcessID-tunnuksella jatkuvasti ja lopulta jumiutui. Tätä ei enää tapahdu. (1145604) Käytettäessä API-komentoa checkinpackage muulla kuin yleisen järjestelmänvalvojan tilillä näyttöön ei enää tule valtuutusvirheilmoitusta. (1146906) Kokeiltaessa lajittelua Järjestelmäpuussa näkyivät vain järjestelmät, joissa lajittelu on käytössä. Nyt kaikki järjestelmät näkyvät. (1166071) McAfee epo ei enää anna väärää käytäntöä poikkeustapauksissa, jossa käytetään järjestelmäpohjaisia käytäntömäärityksiä. (1161057) Tallennettu menettely EPODirSort_SearchCreateComputer yhdistää valvontalokimerkinnät, ja oikea käyttäjä näytetään lisättäessä uutta järjestelmää Järjestelmäpuuhun. (1127969) DXL-käyttöönoton jälkeen valvontalokissa ei enää näy Excess Notify Agent -virheitä. (1149282) 8
Palvelintehtäväsivun tuleminen näyttöön ei enää kestä 2 3 minuuttia tietyissä tilanteissa. (1157280) Jos Käyttömäärityssääntö-ehtojen määritysehtoihin tehdään muutoksia, pitkät pyyntöparametrit eivät enää aiheuta odottamattomia virheitä. (1162479) Vietäessä McAfee Endpoint Encryption 7.X -version paketin ja laajennusten tiedot McAfee epo -ohjelmistoon, valvontalokeissa ei enää näy useita Poista käytäntöobjekti: "EE-järjestelmä -..." -merkintöjä. (1163797) Jos Apachelta loppuu muisti, tietokanavapyyntöjen käsittelyssä ei enää ilmaannu virhettä, joka aiheutti virheitä agentti palvelin-viestinnässä sekä Yhteysvirhe- ja Palvelin varattu -virheilmoituksia. (1165874) Agenttien LDAP-sijainti näkyy nyt Järjestelmäpuussa. (1166479) Uudet käyttäjäkäytännöt tulevat näkyviin nopeammin. (1166555) Orion-lokissa ei enää näy SQL-poikkeusta noudettaessa tiettyjen laajennusten tuoteasetuksia. (1167417) Kun yleinen tarkastajan käyttöoikeusjoukko on noudettu, käyttäjille ei enää myönnetä tiettyjä yleisen järjestelmänvalvojan käyttöoikeuksia. (1169577) Jos McAfee Agentin mukautetut ominaisuudet määritetään komennolla msaconfig -CustomProps3 "MyCustomProp3" ja agentti aktivoidaan tai ominaisuudet kerätään ja lähetetään McAfee Agentista, Toiminto Agentti Määritä kuvaus ei enää poista määritettyjä mukautettuja ominaisuuksia. (1192911) Muokattaessa käytäntöjä ne eivät enää näy kahdesti, kun käytännön nimi on muutettu tai käytäntö on monistettu, kunnes näyttö päivitetään. (1116241) Uusia käyttäjiä voi nyt selata käyttäjäpohjaisessa käytäntömäärityssäännössä Internet Explorer 11 -selaimen avulla. (1130526) Kun käyttöoikeusjoukko on tuotu, tuotekäytännöt tai tehtävät eivät enää ole käyttäjän käytettävissä. (1135467) Käyttöönottotehtävään määritettyjä ohitustunnisteita ei enää poisteta. (1138683) Muokattaessa käytäntöjä Tallenna- ja OK-painikkeet ovat käytettävissä odotetusti. (1144868) Viivytä tehtävää -asetus säilyy, kun asiakastehtävät käynnistetään ajoitetusti. (1160942) McAfee epo -pääkäyttäjät eivät voi enää saada McAfee epo -luku- tai kirjoitusoikeuksia manipuloimalla URL-osoitetta. (1164199) Kun työasemaan on asennettu McAfee, McAfee Agentin push-asennus vanheni heti eikä asennusta yritetty. Nyt asennus käynnistyy oikein. (1167998) Kun päätietovaraston suojausavainpaketit on tuotu, tietovarastoja ei enää merkitä virheellisesti allekirjoittamattomiksi. (1169042) Jos lueteltavissa oli useita Windows NT -käyttäjiä, tehtävän omistajuussivun avautuminen kesti 20 30 minuuttia. Nyt se avautuu nopeasti. (1169803) Active Directory -synkronoinnin aikana tietyt tietokoneet eivät enää näy odottamattomissa sijainneissa Järjestelmäpuussa. (1171403, 1198592) McAfee epo ei enää asenna eikä vaadi Microsoft Visual C++ 2005 Redistributable Package -pakettia. (1183184) McAfee epo:n päivittämisen jälkeen valvontalokissa ei enää näy Excess Notify Agent -virheitä. (1183215) Agentti palvelin-viestintä ei enää epäonnistu liian suuren yhteyksien määrän vuoksi suoritettaessa AD-synkronointitehtävää, jossa synkronoidaan useita tietokoneobjekteja. (1195175) Palvelintehtävät eivät enää pysähdy, kun McAfee epo -palvelin on offline-tilassa. Tehtävät jatkuvat seuraavassa palvelimessa. (1198424) 9
Kaikki järjestelmänvalvojat näkevät manuaalisesti määritetyt käyttöoikeusjoukot. (1110599) Käyttäjän lisääminen UserDirectoryyn tai poistaminen siitä ei enää suju hitaasti. (1124003) LDAP-synkronointipalvelintehtävä ei enää poista käyttäjä- tai ryhmätapahtumia käyttäjiltä, joihin muut ryhmät viittaavat. (1203000) Tunnetut ongelmat Tämän tuoteversion tunnetut ongelmat on esitetty seuraavassa McAfee KnowledgeBase -artikkelissa: KB82675. Asennusohjeet Tuotteen nykyisellä versiolla on tiettyjä asennusvaatimuksia ja parhaita käytäntöjä. Lisätietoja epolicy Orchestrator -ohjelmiston asentamisesta tai päivittämisestä on McAfee epolicy Orchestratorin asennusoppaassa. Paras käytäntö: suorita Pre-Installation Auditor Ennen McAfee epo:n päivittämistä suorita McAfee epo Pre-Installation Auditor päivitysongelmien estämiseksi tai niiden mahdollisuuden vähentämiseksi. Tarkistustyökalun suorittaminen automatisoi monet päivitykseen liittyvät vahvistustehtävät. Tehtävä 1 Lataa McAfee epo Pre-Installation Auditor McAfee epo -lataussivulta: secure.mcafee.com/apps/downloads/my-products/login.aspx 2 Käynnistä työkalu kaksoisnapsauttamalla epip.exe-tiedostoa ja noudattamalla näyttöön tulevia kehotuksia. Lisätietoja on McAfee epo Pre-Installation Auditor -työkalun julkaisutiedoissa. Asennus- ja päivittämisvaatimukset, jos käytössä on SSL-yhteys SQLpalvelimeen Jos McAfee epo 5.3.3 -palvelimen ja SQL-tietokannan välillä käytetään SSL-yhteyttä, asennus tai päivitys voi epäonnistua. Tässä McAfee epo -versiossa RSA-kirjastot on päivitetty. Ne asettavat lisävaatimuksia tietokantayhteyden suojaamiseksi. Uusien yhteensopivuusvaatimuksien täyttämiseksi asennamcafee epo -palvelimeen ja SQL-palvelimeen kaikki saatavilla olevat Windows-päivitykset ennen asentamisen tai päivittämisen aloittamista. Lisätietoja on McAfee KB87731 -artikkelissa Installation or upgrade to epolicy Orchestrator 5.3.3 and 5.9 fails when using SSL connection for SQL Server. TLS 1.1- tai 1.2-tuen ottaminen käyttöön selaimessa Tämä McAfee epo 5.3.3 -versio edellyttää TLS 1.1- tai 1.2-tuen ottamista käyttöön selaimessasi. Selaimen ja McAfee epo -palvelimen välisen tietoliikenteen suojaaminen edellyttää, että TLS 1.1- tai 1.2-tuki otetaan käyttöön selaimessasi. Katso lisätietoja TLS 1.1- tai 1.2-tuen ottamisesta käyttöön selaimen ohjeista. 10
Tuotetietojen saaminen sähköpostitse Support Notification Service -palvelu (SNS) toimittaa hyödyllisiä tuotetietoja, hälytyksiä ja parhaita käytäntöjä, jotka auttavat parantamaan McAfee-tuotteittesi toimintaa ja suojausominaisuuksia. Saat SNS-ilmoituksia rekisteröitymällä ja valitsemalla tuotetietoasetukset SNS Subscription Centerissä osoitteessa https://sns.secure.mcafee.com/signup_login. Tuotedokumentaation etsiminen ServicePortalista löydät julkaistuihin tuotteisiin liittyviä tietoja, kuten tuotteiden käyttöoppaita, teknisiä artikkeleita ja muita resursseja. Tehtävä 1 Siirry ServicePortaliin osoitteessa https://support.mcafee.com ja valitse Knowledge Center (Tietämyskeskus) -välilehti. 2 Valitse Knowledge Base (Tietämyskanta) -ruudun Content Source (Sisältölähde) -osiosta Product Documentation (Tuotedokumentaatio). 3 Valitse tuote ja versio ja valitse sitten Search (Hae). Asiakirjojen luettelo tulee näkyviin. Copyright 2018 McAfee LLC McAfee ja McAfee-logo ovat McAfee LLC:n tai sen tytäryhtiöiden tavaramerkkejä tai rekisteröityjä tavaramerkkejä Yhdysvalloissa ja muissa maissa. Muut merkit ja tuotemerkit voivat olla muiden omaisuutta. 0B27