Application Control リリース ノート

リリース ノート

McAfee Application Control 7.0.0

• _{このリリースについて} • _{このリリースの概要} • _{機能の詳細} • _{インストール手順} • _{解決された問題点} • _{既知の問題} • _{製品マニュアルの検索}

◦

製品マニュアル

このリリースについて

この資料には、このリリースに関する重要な情報が含まれていますので、ぜひご一読いただくようお願いいたします。

この McAfee® Application Control を使用できるのは Windows プラットフォームのみです。このリリースには、次のコンポーネントが含ま れています。

• _{Solidcore 拡張ファイル 7.0.0–270} • _{Solidcore クライアント 7.0.0–646}

このリリースは、McAfee® ePolicy Orchestrator® (McAfee ePO™) の次のバージョンと一緒に使用できます。 • _{5.1.0 － 5.1.3} • _5.3.0 • _5.3.1 注意 レピュテーション ベースの実行機能は、バージョン 5.1.1 以降の McAfee ePO でのみ使用できます。

このリリースの概要

このリリースでは、多くの機能強化とバグ修正が行われています。 このリリースの概要は次のとおりです。 •

McAfee® Threat Intelligence Exchange (TIE) と McAfee® Global Threat Intelligence™ (McAfee GTI) を使用し、ファイルと証 明書のレピュテーションに従って処理を実行できます。

• _{アプリケーションのレピュテーションに基づいて実行を自動的に許可またはブロックできるので、ビジネスをシームレスに継続できます。}

• _{レピュテーション ソースから取得したファイル/証明書のレピュテーション情報により、アプリケーションの分類機能が向上しています。}

• _{レピュテーションが「不明」の実行ファイルを McAfee® Advanced Threat Defense に送信し、分析を行うことができます。}

• _{[Solidcore イベント] ページで、MD5、SHA-1 チェックサム、拒否理由、親プロセス、ファイル タイプなどの追加コンテキストを使用}

してアプリケーションをブロックできるので、より適切な判断を行うことができます。

• _{[Solidcore イベント] ページで 1 回クリックするだけで、アプリケーションのコンテキストを表示し、ポリシーを簡単に作成できます。}

• _{McAfee ePO コンソールからスキップ リストを管理できます。}

• _{最新の Windows プラットフォームに対応したメモリー保護機能を使用できます。}

• _{Solidcore クライアント 6.1.0–6.2.0 からのアップグレード}

• _{McAfee ePO 5.1.0 から 5.3.1 で Solidcore 拡張ファイル 7.0.0 を使用した Application Control 6.1.0 から 7.0.0 の管理}

• _{チケットベースの施行に対するサポートの終了} • _{複数の問題の修正 詳細については、『解決された問題点』を参照してください。} 新機能の詳細については、『機能の詳細』を参照してください。

機能の詳細

以下では、このリリースの新機能について説明します。 • _{レピュテーション ベースの実行} • _{最新の Windows プラットフォームに対応したメモリー保護} • _{Windows 10 のサポート} • _{ユーザー エクスペリエンス (UX) の強化}

これらの機能の詳細については、『McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド』を参照してください。

レピュテーション ベースの実行

このリリースでは、レピュテーション ベースのファイル実行が実装されました。 Application Control は、 McAfee® Threat Intelligence Exchange (TIE) サーバー モジュール、 McAfee® Global Threat Intelligence™ (McAfee GTI) サーバーなどの複数のソースからファイル と証明書のレピュテーション情報を取得できます。 McAfee ePO コンソールにレピュテーション情報を表示すると、組織内のバイナリ ファイルと証明書の状況を確認し、処理を判断することが できます。 レピュテーション情報を使用すると、McAfee ePO サーバーで組織のポリシーをすぐに定義できるので、管理者の負担が軽減され ます。 この統合により、エンドポイントでレピュテーション ベースの実行が可能になります。 エンドポイントでファイルを実行すると、ファイルに 関連するすべての証明書のレピュテーションが取得され、ファイルの実行を許可するかどうか判断されます。 組織で定義した設定によって、実 行が許可または禁止されるレピュテーション値が決まります。 • _{信用されたファイル － バイナリ ファイルまたは関連する証明書のレピュテーションが「信用」の場合、事前定義の禁止ルールでブロック} されない限り、ファイルの実行が許可されます。 • _{不正なファイル － バイナリ ファイルまたは関連する証明書のレピュテーションが「不正」の場合、バイナリの実行は許可されません。} • _{不明 － バイナリ ファイルまたは関連する証明書のレピュテーションが「不明」の場合、実行の判断にレピュテーションは使用されませ} ん。 Application Control は、別の複数の検査を実行し、ファイルをブロックするかどうか判断します。 この検査の詳細については、 『McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド』の『Application Control がファイルに実行する検 査』を参照してください。 注意 レピュテーション ベースの実行は、Windows NT と Windows 2008 を除き、サポート対象の Windows プラットフォームで使用できます。 UNIX プラットフォームではレピュテーション ベースの実 行を使用できません。 設定に従って、次のソースと定期的に同期します。 TIE TIE サーバーは、ローカルのレピュテーション サーバーで、複数のレピュテーション ソースと通信を行います。 グローバル ソースから取得した情報とローカルの脅威情報を効率良く関連付け、集計したレピュテーション値を提供します。

TIE サーバーは、McAfee GTI、McAfee® Advanced Threat Defense またはサードパーティのフィードに接続し、ローカルの 脅威情報だけでなく、エンドポイント、ゲートウェイ、他のセキュリティ コンポーネントから提供されるイベント データをリア ルタイムで収集します。 TIE サーバーの詳細については、ご使用のバージョンの『Threat Intelligence Exchange 製品ガイ ド』を参照してください。

McAfee

GTI McAfee GTI ファイル レピュテーション サービスは、レピュテーション ソースとして機能するクラウド ベースのサービスです。 Application Control は、McAfee GTI サーバーと定期的に同期し、バイナリ ファイルと証明書の評価を取得します。 前提条件 以下では、組織内でレピュテーション ベースの実行機能を使用する場合の前提条件について説明します。 TIE サー バー の使 用 • _{環境内に、バージョン 5.1.1 以降の McAfee ePO がインストールされている必要があります。 ご使用のバージョンの}

『McAfee ePolicy Orchestrator インストール ガイド』を参照してください。

• _{環境内に、バージョン 5.0 以降の McAfee® Agent がインストールされている必要があります。 ご使用のバージョンの}

『McAfee Agent 製品ガイド』を参照してください。

• _{バージョン 1.2.0-141 以降の TIE サーバーをインストールして設定する必要があります。 詳細については、ご使用のバー}

ジョンの 『McAfee Threat Intelligence Exchange インストール ガイド』を参照してください。 ガイドの『要件』を確認してインストールを行ってください。

• _{McAfee® Data Exchange Layer (DXL) バージョン 2.0 (ブローカーとクライアント) を McAfee ePO にインストールする} 必要があります。 ご使用のバージョンの 『McAfee Threat Intelligence Exchange インストール ガイド』を参照してくださ い。 • _{すべてのエンドポイントに DXL クライアントを配備する必要があります。 ご使用のバージョンの 『McAfee Threat} Intelligence Exchange インストール ガイド』を参照してください。 • _{Solidcore 拡張ファイル バージョン 7.0.0-270 をインストールするか、このバージョンにアップグレードする必要がありま} す。 詳細については、『インストール手順』を参照してください。 TIE サーバーと DXL のインストールと設定を行ってから Solidcore 拡張ファイルのインストールまたはアップグレードを行う ことをお勧めします。 Solidcore 拡張ファイルのインストールまたはアップグレードを先に行った場合には、TIE サーバーと DXL をインストールして設定した後に Solidcore 拡張ファイル プラグインを再起動する必要があります。 • _{Solidcore クライアント バージョン 7.0.0-646 をインストールするか、このバージョンにアップグレードする必要がありま} す。 詳細については、リリース ノートの『インストール手順』を参照してください。 DXL クライアントをエンドポイントに配備してから、Solidcore クライアントのインストールまたはアップグレードを行うこ とをお勧めします。 Solidcore クライアントのインストールまたはアップグレードを先に行った場合には、DXL クライアント の配備後にエンドポイントで McAfee Solidifier サービス (scsrvc.exe) を再起動する必要があります。

• _{(任意) サンドボックス技術を使用して不明なファイルのレピュテーションを計算する場合には、Advanced Threat Defense}

バージョン 3.4.6.83 を配備します。 GTI サー バー の使 用

組織に TIE サーバーが設定されていないか、接続できない場合、McAfee GTI サーバーでレピュテーション ベースの実行機能を使 用できます。 McAfee GTI サーバーは組織にすでに設定されています。特に変更を行う必要はありません。 最新の Windows プラットフォームに対応したメモリー保護 次のプラットフォームのメモリー保護技術に対するサポートが追加されました。 メモリー保護 技術 新しいプラットフォーム CASP － 重要 なアドレス空 間保護 (mp-casp)

32 ビット － Windows Server 2008、Windows Vista、Windows 7、Windows Embedded 7、Windows 8、Windows Embedded 8、Windows 8.1、Windows Embedded 8.1、Windows 10、Windows 10 IoT Enterprise

eXecute

(mp-nx) Embedded 7、Windows 8、Windows Embedded 8、Windows 8.1、Windows Embedded 8.1、Windows10、Windows 10 IoT Enterprise、Windows Server 2012、Windows Server 2012 R2 強制 DLL 再配

置

(mp-vasr- forced-relocation)

32 ビットと 64 ビット －Windows Server 2008、Windows Server 2008 R2、Windows Vista、Windows 7、Windows Embedded 7、Windows 8、Windows Embedded 8、Windows 8.1、Windows Embedded 8.1、Windows 10、Windows 10 IoT Enterprise、Windows Server 2012、Windows Server 2012 R2

Windows 10 のサポート

次のプラットフォームのサポートが追加されました。 • _{Windows 10}

• _{Windows 10 IoT Enterprise} UX の強化 ユーザー エクスペリエンスが大幅に改善されました。 • _{McAfee ePO コンソールからスキップ リストを管理できます。} • _{[Solidcore イベント] ページで、MD5、SHA-1 チェックサム、拒否理由、親プロセス、ファイル タイプなどの追加コンテキストを使用} してアプリケーションをブロックできるので、より適切な判断を行うことができます。 • _{[Solidcore イベント] ページで 1 回クリックするだけで、アプリケーションのコンテキストを表示し、ポリシーを簡単に作成できます。}

インストール手順

以下では、リリース 7.0.0 固有のインストール手順とアップグレード手順について説明します。 システム要件 このリリースのシステム要件については、McAfee KnowledgeBase の記事 KB73341 を参照してください。 対応プラットフォーム このリリースは、サポート対象のすべての Microsoft Windows プラットフォームで使用できます。 このリリースから Windows XP および Windows Server 2003 がサポート対象外になります。

対応の McAfee ePO バージョン

Solidcore 拡張ファイル 7.0.0 をインストールまたはアップグレードするには、McAfee ePO 5.1 または 5.3 が必要です。 Solidcore 拡張 ファイル 7.0.0 は、McAfee ePO 4.6 にインストールできません。 サポートのアップグレード コンポーネ ント 詳細 Solidcore 拡張ファイ ル このリリースは、Solidcore 拡張ファイルの次のバージョンからアップグレードできます。 • _{6.0.0、6.0.1} • _{6.1.0、6.1.1、6.1.2、6.1.3、6.1.4} • _6.2.0 注意 Solidcore 拡張ファイル 7.0.0 にアップグレードする場合、通常よりも移行タスクに時間がかかる場合があります。 環境内 のインベントリ データの量によっては、タスクが完了するまでに 2、3 時間あるいは 1 日かかる場合があります。 詳細につ いては、KB84651 を参照してください。 Solidcore 拡張ファイルを 6.0.0 以降 (ただし、6.1.2-150 より前のバージョン) からアップグレードする場合には、次の

手順に従ってください。 1 Solidcore 拡張ファイルを 6.1.2-150 から 6.2.0 までの任意のバージョンにアップグレードします。 2 McAfee ePO を 5.1.0 以降にアップグレードします。 3 バージョン 6.1.2-150 から 6.2.0 までの Solidcore 拡張ファイルを 7.0.0 にアップグレードします。 Solidcore クライアン ト このリリースは、Solidcore クライアントの次のバージョンからアップグレードできます。 • _{6.1.0、6.1.1、6.1.2、6.1.3} • _6.2.0 重要 古いリリースから Solidcore クライアントをアップグレードする場合には、まずリリース 6.1.0 にアップグレードしてから 7.0.0 にアップグレードしてください。

解決された問題点

このリリースでは、次の問題が解決されています。以前のリリースで解決された問題点については、該当するリリースのリリース ノートを参照 してください。 Solidcore 拡張ファイル Solidcore のバージョン HotFix ビルド番号 説明 サービス リクエスト番号

すべて (7.0.0 より前) 6.1.3-141 McAfee ePO から [Solidcore:

イメージ比較の実行] サーバー タスクを実行して、エンドポイ ントのインベントリと特定の ゴールド システムから取得した インベントリを比較すると、 サーバー タスクが失敗し、内部 サーバー エラーが発生します。 4–9801160231 すべて (7.0.0 より前) 該当なし Solidcore 拡張ファイルを McAfee ePO にインストールす ると、Apache Tomcat 5.0 が クラッシュする場合がありま す。 4-11507718238

すべて (7.0.0 より前) 該当なし 『McAfee Change Control お

よび Application Control 6.2.0 製品ガイド』に、禁止 ルールが存在するバイナリ ファ イルの実行に関する情報が記載 されていません。 4-9314196991 すべて (7.0.0 より前) 該当なし 更新プログラムとして MARService.exe を [McAfee] ルール グループに追 加しました。 1119783 Solidcore クライアント Solidcore のバージョン オペレーティング システム HotFix ビルド番号 説明 サービス リクエスト番号 6.1.0、6.1.1、6.1.2、6.1.3、6.2.0 Windows (すべて) 6.1.0-706、6.1.1- Application Control 4–11350657154、4–

404、6.1.2- 449、6.1.3-436、6.2.0-498 が有効になっているシ ステムに、2015 年 10 月 13 日に公開さ れた Windows 更新 プログラム (Microsoft セキュリ ティ情報 MS15-111) または 2015 年 11 月 10 に公開された更 新プログラム (Microsoft セキュリ ティ情報 MS15-115) を適用すると、コマン ド プロンプト (cmd.exe) が開始で きなくなる場合があり ます。 11312642891、4– 11385243211 6.1.0、6.1.1、6.1.2、6.1.3、6.2.0 Windows 7 以前 6.1.0-706、6.1.1- 404、6.1.2- 449、6.1.3-441、6.2.0-505 Windows 7 以前のプ ラットフォーム で、SysCore 15.4.0.622.9 以降を 使用するすべての McAfee 製品と Application Control の間に互換性がありま せん。 1101321 6.1.0、6.1.1、6.1.2、6.1.3、6.2.0 Windows (すべて) 6.1.0-706、6.1.1- 404、6.1.2- 449、6.1.3-441、6.2.0-505 Windows 32 ビット システムで、アセンブ リ言語のコードが特定 の引数を使用して Syscall ライブラリ関 数を呼び出すと、シス テムでブルースクリー ン エラーが発生する 場合があります。 1096765 6.1.3 Windows (すべて) 6.1.3-432 システムでインベント リが破損すると、シス テムの再起動でループ 状態になる可能性があ ります。 この問題 は、Federal Information Processing Standard (FIPS) ド ライバーの読み込みに 失敗し、Application Control が破損したイ ンベントリを検出でき ないために発生しま す。 4-9922780391

6.1.3 Windows (すべて) 6.1.3-432 Application Control

が有効になっているシ ステムで Windows バックアップを作成す ると、システムが応答 不能になる場合があり 4-10570835111

ます。

6.1.3、6.2.0 Windows (すべて) 6.2.0-458 Application Control

が有効になっているシ ステムで Adobe InDesign を実行する と、システムが応答不 能になり、バグチェッ クが表示される場合が あります。 4-8732179009 6.1.3、6.2.0 Windows (すべて) 6.1.3-419 MP-CASP 機能が有効 になっているシステム でメモリー リークが 発生します。 MP-CASP 機能が Windows API と互換 性がないため、この問 題が発生します。 4-8265690411 6.1.3、6.2.0 Windows Server 2012 R2 6.1.3-419 Application Controlが有効になっている Windows Server 2012 R2 システムで ファイルを開くと、ソ フトウェアが誤ってマ ウント ポイントの フォルダー パスを確 認します。 この問題 が発生すると、カーネ ル スタック オーバー フローが発生し、シス テムが応答不能になる 場合があります。 4-8276697516 6.1.3、6.2.0 Windows (すべて)

6.2.0-458、6.1.3-419 McAfee Agent 5.0_{または McAfee}®

VirusScan® Enterprise 8.8 (HF 929019) と Application Control が共存している環境で Application Control を有効にすると、シス テムが応答不能になる 場合があります。 こ の問題は、Syscore 15.3 と Application Control の間に互換性 がないために発生しま す。特に、インストー ル済みの他のアプリ ケーションで短いパス 名にチルド (~) が使 用されていると発生し ます。 4–8178687291、4– 8655201924 6.1.3、6.2.0 Windows (すべて) 6.2.0-458、6.1.3-419 Application Controlをインストールしたと 4-8588887705

きに、Application Control インストール ディレクトリに証明書 フォルダーが作成され ません。 6.1.3、6.2.0 Windows 8、Windows 8.1 (64 ビット) 6.2.0-461 Application Control が有効になっているシ ステムで、システムの スタートアップに非常 に時間がかかる場合が あります。 4-9561698971 6.2.0 Windows (すべて) 6.2.0-476 システムで Application Control が有効になっている場 合、Microsoft .Net を利用した Web サイ トが動作しない可能性 があります。 4-9799684551、4-9267979485

6.2.0 Windows (すべて) 6.2.0-480 Application Control

がインストールされて いるシステムでソフト ウェアを削除すると、 ブルースクリーン エ ラーが発生する場合が あります。 この問題 は競合条件が原因で発 生します。 4-10227043671

6.2.0 Windows (すべて) 6.2.0-458 Application Control

がすでにインストール されているシステム に、McAfee ePO を 使用して同じバージョ ンを差インストールす ると、製品配備クライ アント タスクが失敗 し、「1603: インス トール中に致命的なエ ラーが発生しました」 エラーが Windows アプリケーション ロ グに記録されます。 4-7760620724

6.2.0 Windows (すべて) 6.2.0-476 Application Control

が有効になっているシ ステムでソフトウェア をインストールまたは アップグレードする と、ブルースクリーン エラーが発生する場合 があります。 4-9552120301

6.2.0 Windows (すべて) 6.2.0-476 Application Control

が有効になっているシ ステムで、ディスクの 入出力 (I/O) 操作が 頻繁に実行され、シス

テムのパフォーマンス が低下する場合があり ます。 6.2.0 Windows (すべて) 6.2.0-480 システムでホワイトリ ストを作成するとき に、Application Control が開くことが できないファイルが 「延期」とマークされ ます。 ホワイトリス トを調整し、遅延ファ イルの数を少なくしま した。 1090044 6.2.0 Windows (すべて) 6.2.0-493 システムで Application Control プラグインの読み込み を解除する と、McTray.exe が クラッシュする場合が あります。 4-10144566446 6.2.0 Windows (すべて) 6.2.0-493 Application Control が有効になっているシ ステムで、ドライバー 検証ツールの次のオプ ションを有効にする と、バグチェック 0x22 が発生し、シス テムが応答不能になる 場合があります。 • _{特別なプール} • _{プールのトラック} • _{デッドロックの検} 出 • _{セキュリティの検} 査 • _{その他の検査} 4-10303308701

6.2.0 Windows (すべて) 6.2.0-693 Application Control

が有効になっているシ ステムでソフトウェア をインストールする と、ブルースクリーン エラーが発生する場合 があります。 この問 題は競合条件が原因で 発生します。 4-10532941211 7.0.0-626 Windows (すべて) 該当なし TIE サーバーとの通信 が一時的に中断する と、通信の再開後に、 欠落した通知が同期さ 1111630

れません。

7.0.0-626 Windows (すべて) 該当なし Application Control

をバージョン 6.1.2-449 から 7.0.0-626 にアップグレードする と、ホワイトリストの ファイルでチャックサ ムの不一致が発生しま す。 1117853

既知の問題

この製品リリースの既知の問題については、McAfee KnowledgeBase の次の記事を参照してください。 KB85710

製品マニュアルの検索

[ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。 タスク

1 [ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。 2 [Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。

3 製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。

製品マニュアル

McAfee 製品には、総合的なドキュメント セットが用意されています。

ドキュメント 設定 説明

『McAfee Change Control および

McAfee Application Control 7.0.0 製品ガ イド』

マ ネー ジド

製品の設定、使用、保守に役立つ情報が記載されています。

『McAfee Change Control および McAfee Application Control 7.0.0 ヘル プ』 マ ネー ジド 製品の設定、使用、保守に役立つ情報が記載されています。 また、McAfee ePO の 製品固有のインターフェース ページとオプションでは、コンテキスト ヘルプを利用 できます。

『McAfee Change Control および

McAfee Application Control 7.0.0 インス トール ガイド』

マ ネー ジド

製品のインストール、アップグレード、削除に役立つ情報が記載されています。

『 McAfee Application Control 7.0.0 製

品ガイド』 スタンド

アロ ン

製品の使用と保守に役立つ情報が記載されています。

『McAfee Change Control および

McAfee Application Control 7.0.0 インス トール ガイド』 スタ ンド アロ ン 製品のインストール、アップグレード、削除に役立つ情報が記載されています。

『 McAfee Application Control 7.0.0 コ

マンドライン インターフェース ガイド』 スタンド

アロ ン

コマンドライン インターフェース (CLI) で使用可能なすべての Application Control コマンドが説明されています。

Copyright © 2016 McAfee, Inc. www.intelsecurity.com

Intel および Intel のロゴは、Intel Corporation における登録商標です。McAfee および McAfee のロゴは、McAfee, Inc. における登録商標です。その他すべての登録商標および商標はそ れぞれの所有者に帰属します。