McAfee Endpoint Security

Transcrição

1 Notas de versão McAfee Endpoint Security Conteúdo Sobre esta versão Novidades Problemas solucionados Informações sobre a instalação Problemas conhecidos Obtenção de informações sobre o produto por Onde localizar a documentação do produto Sobre esta versão Este documento contém informações importantes sobre esta versão. Recomendamos que você leia todo o documento. Não oferecemos suporte ao upgrade automático de versões de pré-lançamento do software. Para fazer upgrade para uma versão de produção do software, primeiro desinstale a versão existente. Data de lançamento November 13, 2017 Compilação da versão Endpoint Security Configurações em Comum do Endpoint Security extensão Prevenção contra ameaças do Endpoint Security extensão Firewall do Endpoint Security extensão Controle da Web do Endpoint Security extensão

2 Proteção adaptável contra ameaças do Endpoint Security extensão Endpoint Security Assistente de migração extensão Endpoint Security Designer de pacotes Esta versão foi desenvolvida para uso com: McAfee Endpoint Security 10.5.x McAfee epolicy Orchestrator (McAfee epo ) e posterior McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Notas importantes sobre esta versão O Endpoint Security lista esses produtos e versões no repositório mestre do servidor McAfee epo. Produto Versão Versão secundária Patch do Configurações em Comum do Endpoint Security Configurações em Comum do Endpoint Security Patch da Prevenção contra ameaças do Endpoint Security Prevenção contra ameaças do Endpoint Security Patch do Firewall do Endpoint Security Firewall do Endpoint Security Patch do Controle da Web do Endpoint Security Controle da Web do Endpoint Security Proteção adaptável contra ameaças do Endpoint Security Endpoint Security O item lista os produtos e versões na caixa de diálogo Sobre do McAfee Agent e do Endpoint Security, além das propriedades do produto McAfee epo. Produto Versão Configurações em Comum do Endpoint Security Prevenção contra ameaças do Endpoint Security Firewall do Endpoint Security Controle da Web do Endpoint Security Proteção adaptável contra ameaças do Endpoint Security Finalidade Esta versão do McAfee Endpoint Security contém melhorias e correções, incluindo: Suporte ao Microsoft Windows 10 Fall Creators Update Melhorias da instalação Maior estabilidade Tecnologia Rede de prevenção a intrusões (IPS de rede) e as Regras de especialistas quanto à prevenção de exploração, que expandem a funcionalidade de prevenção a intrusões Recomendamos que você verifique essa atualização em grupos piloto e de teste antes da distribuição em massa. 2

3 Classificação - Crítico Obrigatório Crítico Prioridade Recomendado Crítico para todos os ambientes. A não realização de uma atualização importante pode resultar em graves consequências aos negócios. Um hotfix para um problema de gravidade 1 ou 2 é considerado crítico. Para obter mais informações, consulte KB Novidades A versão atual do produto inclui estes aprimoramentos e alterações. Suporte ao novo produto Microsoft Microsoft Windows 10 Fall Creators Update Microsoft Windows Server 2016 RS3 Instalação, upgrade e aprimoramentos da migração VSCore 15.7 com InstallAll distribui todos os níveis dos drivers do kernel necessários para a prestação de serviços de segurança, por exemplo, regular o acesso aos registros, processos e à memória, referente aos produtos que usam VSCore. Isso evita incompatibilidade entre versões mais recentes e mais antigas dos drivers. Atualização do Designer de pacotes do Endpoint Security adiciona a capacidade de selecionar arquivos executáveis que serão incluídos nos pacotes de distribuição personalizados. (McAfee epo somente local) Atualização do Assistente de migração adiciona a capacidade de migrar a configuração de IPS de rede no McAfee Host IPS, se ele estiver ativado e por quanto tempo será a retenção de hosts bloqueados. (McAfee epo somente local) O Suporte para o Endpoint Upgrade Assistant 1.5 McAfee Endpoint Upgrade Assistant é uma extensão do McAfee epo que simplifica e automatiza as tarefas necessárias para fazer upgrade. Ele analisa os pontos de extremidade no ambiente do McAfee epo, detecta os produtos McAfee compatíveis instalados e define os requisitos mínimos para o upgrade das versões atualizadas dos produtos. (McAfee epo somente local) Use o Endpoint Upgrade Assistant para simplificar o tempo de preparação e planejamento para fazer upgrade, reduzir reinicializações necessárias e falhas de desinstalação, além de criar e rastrear o status das tarefas de distribuição. Use o recurso Fazer upgrade de automação para fazer upgrade de todos os produtos McAfee com tarefa única de distribuição. Para os clientes que não usam o McAfee epo nas implantações, a nova versão adiciona a capacidade de fazer upgrade usando o Endpoint Upgrade Assistant. A nova ferramenta Package Creator cria instaladores do produto para distribuição com as ferramentas de terceiros. Para obter ajuda ao utilizar o Endpoint Upgrade Assistant e o Package Creator, consulte PD

4 Aprimoramentos Em Comum Adiciona a opção de selecionar um idioma para o log de atividades. Adiciona a capacidade de definir o tamanho de um banco de dados de evento, de 50 a 999 MB. O padrão é 50 MB. Adiciona a capacidade de incluir o certificado de um aplicativo de terceiros como um processo confiável, por meio do McAfee epo. Prevenção contra ameaças Melhorias da Prevenção de exploração Regras de especialista fornecem parâmetros adicionais e permitem muito mais flexibilidade do que as regras personalizadas criadas na política de proteção de acesso. As Regras de especialista em regras são baseadas nas regras personalizadas, baseadas em textos, criadas na política de Prevenção de exploração, na Prevenção contra ameaças. A Prevenção contra ameaças impõe as Regras de especialista no sistema do cliente da mesma forma que qualquer outra regra. A Prevenção de exploração inclui dois tipos de regras de especialista: Regras baseadas em AAC protege os itens dos arquivos, processos e do Registro. Regras baseadas no McAfee Host IPS evita o estouro de buffer e o uso ilegal de API, além de proteger os serviços do Windows. Prática recomendada: antes da criação das Regras de especialista, familiarize-se com a linguagem de programação Tcl e compreenda a sintaxe proprietária da McAfee ao usar as Regras de especialista. Para obter mais informações sobre as Regras de especialista, incluindo as estruturas de sintaxe e os exemplos, consulte PD Para assistir vídeos sobre a utilização das Regras de especialista, consulte KB IPS de rede monitora a atividade da rede, a fim de proteger os sistemas do cliente contra ameaças. O driver do filtro de proteção do IPS de rede inspeciona todos os dados que fluem entre o sistema do cliente e a rede e não realiza ações especificadas em ataques conhecidos. O IPS de rede também permite que você bloqueie automaticamente os hosts de invasores de rede por um período especificado, mesmo se a ação referente à assinatura do IPS de rede não estiver definida como Bloquear. É possível ver a lista de hosts bloqueados no Cliente do Endpoint Security, na categoria Prevenção de exploração, nas configurações da Prevenção contra ameaças. Novas assinaturas de proteção O conteúdo da Prevenção de exploração inclui as novas assinaturas a seguir, que você pode gerenciar na seção Assinaturas da política Prevenção de exploração: ID da assinatura Descrição Tipo 1157 Dispositivo de Armazenamento USB inserido Registro 6088 O DLL do Microsoft Office implantou uma vulnerabilidade Arquivo 6089 Vulnerabilidade de carga lateral do DLL do Microsoft Office Arquivo 6093 O DLL do Microsoft OneNote implantou uma vulnerabilidade de carga lateral Arquivo 6094 Vulnerabilidade de carga lateral do DLL do Adobe Acrobat Reader Arquivo Prevenção contra ameaças Melhorias da Varredura ao acessar Atualização da varredura ao acessar adiciona a opção para desativar a varredura de leitura/gravação dos volumes Shadow Copy (cópia de sombra) aos usuários do sistema. Por padrão, essa opção não será selecionada. 4

5 Atualização da varredura dos anexos de s a opção Varrer anexos de s agora se chama Detectar anexos de suspeitos. Melhorias da Proteção adaptável contra ameaças Sensibilidade Real Protect adiciona a capacidade de configurar o nível de sensibilidade a ser usado com a varredura baseada no cliente ao determinar se um arquivo corresponde a um malware conhecido. Componentes atualizados VSCore SysCore AMCore O conteúdo do AMCore 3125 ou de versões superiores é necessário. McAfee Agent McAfee Anti-Malware Engine 5900 Problemas solucionados A versão atual do produto resolve esses problemas. Para obter uma lista de problemas corrigidos em versões anteriores, consulte as Notas da versão específica. Os problemas resolvidos abrangem todas as plataformas de gerenciamento. Migração Referência Resolução Os grupos contendo regras em duplicidade no Catálogo do IPS de Host foram migrados com êxito para o Catálogo do Firewall As políticas de Rede confiável do McAfee Host IPS que contêm a versão 6 do protocolo IP das sub-redes já foi migrada corretamente para a política do Endpoint Security. Em Comum Referência Resolução Agora, você poderá configurar o tamanho do banco de dados de eventos de 50 a 999 MB Eventos de autoproteção agora informam a versão correta do produto ao McAfee epo, ao armazenar corretamente e recuperar as informações do Registro Uma instalação do Endpoint Security não terá mais falhas na presença do McAfee Drive Encryption, devido à incapacidade de gravar no HKEY_CURRENT_USER\Software\McAfee \Endpoint\Common\BusinessoBjectRegistry\SystemInfo\ Uma restauração de sistema do Windows não terá mais falhas nos sistemas onde o Endpoint Security estiver instalado. 5

6 Referência Resolução O TIC deixará de ser interrompido quando o log de depuração da Proteção adaptável contra ameaças estiver ativada. O LoggerBL.xml será atualizado no instalador e sempre substituirá o arquivo no sistema. Isso significa que as configurações do agente de log serão substituídas pelos padrões até que a imposição de política retorne as configurações definidas O Endpoint Security agora distribui com êxito os pacotes de instalação, correção e hotfix quando estiverem no mesmo repositório do McAfee epo. Prevenção contra ameaças Referência Resolução Os sistemas do Windows deixarão de exibir periodicamente o prompt da Central de ações do Windows para ativar o software de segurança da McAfee As varreduras por solicitação agora funcionam com êxito com as exclusões de programas potencialmente indesejados Não haverá mais falhas no dllhost.exe após a implantação de uma imagem Sysprep ou a execução de uma pesquisa de Cortana em um sistema Windows 10 Creators Update quando a Prevenção de exploração estiver ativada Uma atualização no armazenamento em cache dos arquivos de rede agora impede que ocorra um atraso de impressão O McShield.exe deixará de ter um consumo alto de CPU O McShield.exe deixará de ter um alto uso de CPU ao abrir aplicativos O instalador da Prevenção contra ameaças deixará de remover a versão 9 do IBM Lotus Notes durante a atualização para o Endpoint Security Os itens colocados em quarentena com os valores de tempo inválidos deixarão de causar falhas à Prevenção contra ameaças e agora a Prevenção contra ameaças aparecerá no Cliente do Endpoint Security, na janela Sobre A versão correta do conteúdo AMCore agora aparece no Cliente do Endpoint Security e no McAfee epo após uma atualização O McShield.exe deixará de ter um alto uso de CPU ao salvar políticas A instalação do Hotfix 2 do Endpoint Security a partir da linha de comando não apresenta mais falhas na primeira tentativa O Gerenciador de eventos agora exclui os arquivos de banco de dados de eventos corrompidos e os substitui por novos arquivos do banco de dados de eventos As atualizações no conteúdo da Prevenção de exploração deixarão de sobrescrever as regras personalizadas da política Regras de proteção de aplicativos Os serviços de Websense agora iniciam com êxito após a reinicialização de um sistema com o Endpoint Security instalado. Firewall Referência Resolução O Firewall do Endpoint Security agora será iniciado depois que um sistema reiniciar corretamente com o estado correto e deixe de bloquear pacotes quando o Firewall tiver sido desativado no menu de contexto antes de reiniciar Somente uma instância de um local agora aparecerá no Catálogo do Firewall, independentemente de quantos grupos contenham a localização. 6

7 Referência Resolução Os Grupos de reconhecimento de local agora Trabalham em conjunto com os túneis de Big IP VPN As Regras de firewall do Catálogo de políticas agora funcionam corretamente, quando adicionadas aos grupos apresentados em uma política de Firewall O Firewall do Endpoint Security deixou de bloquear o processo, quando o as IDs do processo não são retornados do Firecore e continua para a próxima regra com êxito Um thread não trava mais no Firewall do Endpoint Security. Isso o impedia de aplicar políticas Os Grupos de reconhecimento de localização passou a funcionar corretamente nos sistemas com dois adaptadores Ethernet Os Grupos de reconhecimento de localização funcionam com endereços IP definidos no Registro e deixarão de causar alto consumo de CPU por parte de mfefw.exe. Não será mais possível aumentar o número de locais de correspondência a cada imposição de política. Para reduzir o número de locais, desative a configuração Reter as regras atuais existentes e adicionadas pelo usuário e as Regras de modo adaptável quando esta política for aplicada na política Opções do Firewall A acessibilidade de domínio agora se conecta com êxito ao domínio do alias nas configurações em que o servidor não conseguiu fazer o download dos certificados do Cliente do Endpoint Security O Mfefw.exe deixou de apresentar um alto uso de CPU prolongado Proteção adaptável contra ameaças Referência Resolução Os arquivos marcados como Conhecidos e confiáveis pela reputação do Enterprise não serão mais processados pelas regras de Confinamento dinâmico de aplicativos (DAC) A Proteção adaptável contra ameaças não enviará mais aplicativos e telemetria de DLL incorretos ao servidor TIE (Threat Intelligence Exchange) quando essa telemetria já tiver sido enviada O DAC deixará de bloquear os arquivos confiáveis quando os arquivos forem abertos em um caminho UNC A Proteção adaptável contra ameaças deixará de bloquear os arquivos marcados como Conhecidos e confiáveis pela reputação do Enterprise. Controle da Web Referência Resolução O Controle da Web deixou de impor as políticas vazias baseadas em usuário aos usuários do domínio quando nenhuma regra de atribuição de política estiver configurada no McAfee epo O driver mfeavfk agora está em um estado correto após a instalação do Endpoint Security e os componentes instalados agora são corretamente exibidos no relatórios do McAfee epo. Informações sobre a instalação Use essa informação enquanto instala o Endpoint Security. Prática recomendada: reinicie o sistema cliente após a instalação dessa versão do produto. 7

8 Requisitos Esta versão instala o Endpoint Security nos sistemas do Windows, em todos os tipos de gerenciamento. For a complete list of current system requirements, see KB É necessário fazer check-in no pacote de correção comum doendpoint Security Em Comum referente ao Repositório mestre do servidor do McAfee epo antes de fazer check-in nos demais pacotes de correção de módulo do Endpoint Security. Suporte para upgrade Os módulos do Endpoint Security aceitam o upgrade somente da versão secundária lançada anteriormente. Para obter o desempenho e a proteção ideais, recomendamos fazer o upgrade de todos os módulos do Endpoint Security para a mesma versão. Informações importantes sobre a Prevenção de exploração O pacote de instalação do Endpoint Security inclui o Conteúdo de prevenção de exploração da McAfee Essa versão do conteúdo adiciona suporte às novas assinaturas digitais usadas pelo Endpoint Security A instalação atualiza o conteúdo em sistemas que executam o Endpoint Security com as versões anteriores do conteúdo. Software de gerenciamento McAfee epo McAfee epo McAfee epo McAfee epo Cloud Para ver as mais recentes informações de licenças de gerenciamento de direitos do Endpoint Security, consulte KB Patch do McAfee Agent ( ) (mínimo) McAfee Agent ou versões posteriores (recomendado) Nos sistemas que executam uma versão anterior do McAfee Agent: Nos sistemas gerenciados pelo McAfee epo, faça o upgrade do McAfee Agent manualmente antes da distribuição. Nos sistemas gerenciados pelo McAfee epo Cloud, nenhuma ação é necessária. O novo agente é instalado automaticamente nos sistemas gerenciados a partir do URL de instalação do McAfee epo Cloud enviado aos usuários. Em sistemas autogerenciados, nenhuma ação é necessária para fazer o upgrade da versão 4.0 e posterior. Para versões anteriores, faça o upgrade do McAfee Agent manualmente. Produtos legados compatíveis (exigidos somente para migração) A migração oferece suporte para todos os níveis de patch desses produtos legados. McAfee VirusScan Enterprise 8.8 McAfee VirusScan Enterprise for Linux McAfee Host Intrusion Prevention 8.0 8

9 McAfee SiteAdvisor Enterprise 3.5 McAfee Endpoint Protection for Mac 2.3 ou McAfee VirusScan for Mac 9.8 Produtos e plataformas que não têm mais suporte McAfee Agent Windows Server 2008 McAfee Agent Windows Vista Service Pack 2 (SP2) McAfee Agent Problemas conhecidos Para obter uma lista de problemas conhecidos nesta versão de produto, consulte KB Atualizações na documentação Algumas atualizações feitas no Endpoint Security não estão refletidas no guia de produto ou na Ajuda. Documentação Informações incorretas Informações atualizadas Guia do produto e Ajuda do McAfee Endpoint Security e Ajuda do módulo Em Comum Informações ausentes seção Registro de eventos, opção Limitar o tamanho (em MB) do banco de dados do evento Limita o tamanho dos bancos de dados de eventos para o tamanho máximo especificado (entre 50 MB e 999 MB). O padrão é 50 MB. Este texto será incluído na próxima versão da documentação. Guia do produto McAfee Endpoint Security e Ajuda da Prevenção contra ameaças, tópico Prevenção de exploração Informações ausentes seção Prevenção de intrusão na rede, opção Ativar Prevenção de intrusão na rede e a opção Bloquear automaticamente os invasores da rede Ativar a opção Prevenção de intrusão na rede permite Prevenção de intrusões na rede (NIPS) e impõe as assinaturas de IPS de rede. A seleção dessa opção expõe as assinaturas de IPS de rede na lista Assinaturas. Opção Bloquear automaticamente os invasores da rede bloqueia hosts invasores por um determinado número de segundos. Selecione essa opção para bloquear todas as tentativas de ações de hosts de invasores, mesmo se a ação da assinatura do IPS de rede não estiver definida como Bloquear. Número de segundos (de 1 a 9999) para bloquear especifica o número de segundos para bloquear os intrusos automaticamente. Bloquear automaticamente invasores de rede Este texto será incluído na próxima versão da documentação. 9

10 Documentação Informações incorretas Informações atualizadas Guia do produtomcafee Endpoint Security e Ajuda da Prevenção contra ameaças, tópico Varredura ao acessar Guia do produtomcafee Endpoint Security e Ajuda da Prevenção contra ameaças, tópico Varredura ao acessar Informações ausentes opção Desativar varredura de leitura/gravação dos volumes de Cópias de Sombra para o processo SYSTEM Informações ao acessar Detectar anexos de suspeitos (anteriormente chamados de Varredura de anexos de ). (somente Windows) Desativar varreduras de leitura/gravação dos VSC (Volumes de Cópias de Sombra) somente pelo processo SYSTEM (PID 4). A Prevenção contra ameaças continua a varrer todos os outros acessos aos volumes VSC por todos os outros processos (que não seja SYSTEM), com base nas configurações da Varredura ao acessar. Essa opção fornece um desempenho aprimorado. (Desativado por padrão) Este texto será incluído na próxima versão da documentação. Varre e detecta arquivos suspeitos salvos no disco por aplicativos de cliente de , como o Outlook ou o Windows Mail. Essa opção ativa a detecção agressiva de anexo de usando assinaturas heurísticas, que detectam a maioria dos arquivos executáveis, scripts e arquivos.jar por política, e não busca de malware. Selecione esta opção para varrer todos os downloads, incluindo arquivos mortos e seus conteúdos e arquivos com codificação MIME. Arquivos mortos são examinados em dois níveis. Esta opção também impede que arquivos executáveis e scripts obtidos por download por clientes de sejam executados. Se uma atualização de cliente de faz o download de um arquivo executável, a atualização pode não funcionar. Embora esta opção não afete os anexos obtidos por download do baseado no navegador, a varredura ao acessar examina os downloads. Desativar esta opção não impede que o mecanismo de varredura ao acessar verifique os anexos de desativa apenas as assinaturas heurísticas adicionais. (Desativado por padrão) Este texto será incluído na próxima versão da documentação. Guia do produto McAfee Endpoint Security e Ajuda da Prevenção contra ameaças, tópico Varredura por solicitação e tópico Tarefas do cliente de varredura personalizada por solicitação Informações ausentes opção Arquivos migrados para o armazenamento Esta opção não se aplica a arquivos armazenados no Microsoft OneDrive. O mecanismo de varredura por solicitação não faz download de arquivos do OneDrive nem varre arquivos que ainda não foram obtidos por download. Este texto será incluído na próxima versão da documentação. 10

11 Documentação Informações incorretas Informações atualizadas Guia de produto do McAfee Endpoint Security e Ajuda da Proteção adaptável contra ameaças Ajuda, tópico Opções Informações ausentes seção Varredura do Real Protect, opção Nível de sensibilidade Configura o nível de sensibilidade a ser usado com a varredura no cliente ao determinar se o arquivo corresponde a um malware conhecido. Baixo Médio - padrão Alto Quanto mais alto for o nível de sensibilidade, maior será o número de correspondências de malware. Porém, permitir mais detecções pode resultar em mais falsos positivos. Este texto será incluído na próxima versão da documentação. Guia de instalação do McAfee Endpoint Security Guia de migração do McAfee Endpoint Security Anexo A Instalação da Proteção adaptável contra ameaças (somente para não gerenciado) Informações ausentes tópico Notas de migração para as configurações das Regras de IPS (McAfee epo somente local) Removido. As informações sobre os requisitos do sistema e a configuração do produto serão integradas em outros tópicos na próxima versão da documentação. Uma seção sobre a configuração de IPS de rede que será migrada foi adicionada. Obtenção de informações sobre o produto por O Support Notification Service (SNS) informa sobre novidades de produtos, alertas e práticas recomendadas para ajudar você a aumentar a funcionalidade e os recursos de proteção de seus produtos da McAfee. Para receber avisos de do SNS, vá para a SNS Subscription Center (Central de assinatura do SNS) em para registrar e selecionar as opções de informação do produto. Onde localizar a documentação do produto Vá para docs.mcafee.com para localizar a documentação do produto para este produto. Vá para support.mcafee.com para localizar o conteúdo de suporte em produtos lançados, incluindo artigos técnicos. Informações adicionais do Endpoint Security Para obter mais informações sobre como trabalhar com o Endpoint Security, acesse o McAfee Endpoint Security Expert Center em Para ver as perguntas mais frequentes sobre o Endpoint Security, incluindo informações sobre instalação, práticas recomendadas de configuração, dicas de solução de problemas e outros assuntos, consulte o KB

12 Copyright 2017 McAfee, LLC McAfee e o logotipo da McAfee são marcas ou marcas registradas da McAfee, LLC ou de suas subsidiárias nos EUA e em outros países. Outras marcas podem ser declaradas propriedade de terceiros. 0-12