McAfee Policy Enforcer 2.0 发行说明
感谢使用 McAfee® Policy Enforcer 软件版本 2.0。强烈建议通读整篇文档。
目录
此版本中的新增功能
已知问题
已解决的问题
产品信息所在位置
注意
McAfee 不支持该软件预发行版的自动升级。要升级到该软件的生产型发行版,必须首先卸载该软件的现有版本。
此版本中的新增功能
此版本 Policy Enforcer 包含以下新增功能或增强功能:
Cisco NAC 增强功能架构支持
多个实施区域
自动修复
ActiveX 按需扫描程序
有关这些功能的详细信息,请参见《产品指南》或在线帮助。
Cisco NAC 增强功能架构支持
McAfee Policy Enforcer 2.0 支持 Cisco NAC 实施架构版本 2.0。
要在 Cisco NAC 实施架构中使用 McAfee Policy Enforcer,用户必须配置 Cisco 访问控制服务器 (ACS),并启用符合性策略中规则集的 NAC 实施类型。
多个实施区域
非符合性系统在 McAfee Policy Enforcer 1.0 中被隔离到由 VLAN 指定的独立隔离区域,而 McAfee Policy Enforcer 2.0 却可以提供多种已命名的实施区域,可与符合性策略中的不同规则进行关联。
现在可以将系统隔离到特定的 VLAN。此功能可以根据非符合性的级别以及员工与顾客的状态将符合性系统与其他系统分离。此功能可以防止符合性系统受到尚未修复的非符合性系统的影响。
自动修复
在 McAfee Policy Enforcer 1.0 中,非符合性系统的所有修复过程都是手动执行的,而 McAfee Policy Enforcer 2.0 具备了可自动运行的初始化命令和操作,在系统无法遵守符合性规则时可运行这些命令及操作。
自动修复可减少对暴露于风险的系统进行修补所需的时间,也减少了就修复门户问题而拨打的咨询电话量。
此功能在“Add/Edit Rule(添加/编辑规则)”向导的“Set Noncompliance Actions(设置非符合性操作)”页中。
ActiveX 按需扫描程序
在 McAfee Policy Enforcer 1.0 中,无法对运行防火墙的非托管系统进行评估。McAfee Policy Enforcer 2.0 却提供了 ActiveX 按需扫描程序,只要有重新扫描修复门户的需求,管理员便可对其进行扫描。非托管系统上无法由远程扫描程序扫描的用户现在可以下载 ActiveX 扫描程序执行符合性评估。ActiveX 扫描程序将自行卸载。
已知问题
下表描述了自软件发行时所发现的已知问题。有关 ePolicy Orchestrator 软件和 Common Management Agent 软件(CMA,又称 ePO 代理)中的已知问题列表,请参阅《ePolicy Orchestrator 发行说明》(ReadMe.txt) 和《Common Management Agent 发行说明》(ReadMe.txt)。
查看最新发现的问题,请转到 McAfee 知识库。
服务器
本版本不包含独立 MPE 服务器。
由于在开发阶段后期发现 ePO 3.6.1 中存在兼容问题,因此本版本删除了独立 MPE 服务器。独立 MPE 服务器功能用于从 ePO 服务器上卸载处理过程,因此不会影响到产品的总体功能。McAfee 工程部门目前正积极解决这一问题,并将尽快发布独立 MPE 服务器。
[308318]
部署传感器时,“Select computers based on the criteria below(基于下列标准选择计算机)”选项中的“Computer Name(计算机名)”标准无法正常工作。下列过滤器无法正常工作:“是”、“包含”、“开始”和“结束”。
[299478]
部署传感器时,“Select computers based on the criteria below(基于下列标准选择计算机)”选项中的“Most Memory(最大内存)”标准无法工作。
[302706]
“Status(状态)”选项卡|“Systems(系统)”子选项卡的“Scan Result(扫描结果)”列无法以字母排序。
[269657]
在“Status(状态)”选项卡|“Systems(系统)”子选项卡中,如果配置表来查看“Quarantined(隔离)”列,则过滤器条件“Quarantined(隔离)”无法工作。
[304316]
使用“Filter by IP Address(根据 IP 地址过滤)”查看报表时,标准“Between(界于)”无法工作。
[267185]
“Status(状态)”选项卡|“Systems(系统)”子选项卡的“Friendly Name(友好名称)”列有时会显示计算机的 NetBIOS 名称。
[269230]
卸载 McAfee Policy Enforcer 后,“Policy Enforcer Scanner Update Task(Policy Enforcer Scanner 更新任务)”将出现在“Rogue System Detection(测试系统检测)”的“Tasks(任务)”选项卡上。
[269592]
McAfee Policy Enforcer 本地化版本将以英文显示默认规则。
[299012]
如果实施区域的信息发生变化(如新建区域和更改现存区域),并且对带有本地扫描程序的系统上进行了手动实施,扫描程序则有可能会利用旧的实施区域信息或实施到错误的区域,或者根本无法进行实施。
[274822]
如果将以前实施的非符合性系统移动到其他的交换机上,则不会对其重新进行实施。
[275819]
因为只在周一至周五发布日常检测定义 (DAT) 文件,所以建议始终将 McAfee 产品上 DAT 的存在时间设置为至少 2 天,以避免在星期一早上影响所有系统的网络访问或符合性状态。
[268518-TN]
当系统的网络访问模式或交换机端口设置为允许时,该软件就会根据需要将交换机端口的 VLAN 值更改为软件中指定的“允许 VLAN”。执行此更改时不必考虑系统使用的是交换机实施还是自实施。如果系统使用自实施,软件就会根据需要将系统的网络访问模式更改为允许。
[262745-TN]
如果在 McAfee Policy Enforcer 软件外部更改了交换机端口的 VLAN 值,McAfee Policy Enforcer 将使用软件中指定的值覆盖这些值。
要避免该问题,请使用该软件更改 VLAN。有关说明,请参见在线帮助。
[262745-TN]
有关群集的重要安装说明 在群集成员 ePO 服务器计算机上安装 McAfee Policy Enforcer 软件之前,请完成以下操作:
从群集资源列表中删除以下服务:
事件解析器服务 (EVENTPARSER360)。
服务器服务 (APACHE2FOREPO)。
应用程序服务器服务 (SDSERVER360)。
将这些相同服务的“启动类型”设置为“自动”。
安装该软件之后,请遵循《McAfee Policy Enforcer 2.0 安装指南》中“安装须知”下的“ePO 服务器群集”中指出的步骤。
注释
该问题不影响在群集成员计算机上安装独立的 MPE 服务器。
[263012-TN]
要提高性能,建议在运行 VirusScan Enterprise 的扫描程序主机上将 FSAssessment.exe 进程添加为低风险进程。
要将 FSAssessment.exe 添加为低风险进程:
在控制台树中,从“Policy Catalog(策略目录)”下选择“VirusScan Enterprise 8.0.0”,然后选择“On-Access Low-Risk Processes Policies(按访问低风险进程策略)”。
要创建新的命名策略,请单击“Define new policy(定义新策略)”,然后键入描述性的名称,如“低风险进程”。
要编辑现有的命名策略,请单击其名称。
在“Processes(进程)”选项卡上,添加 FSAssessment.exe。
在“Detection(检测)”选项卡上,取消选择“从磁盘读取”。
单击“Apply All(全部应用)”保存当前条目。
如果创建了新的命名策略,请将其分配给托管扫描程序的计算机。
如果已编辑现有的命名策略,则已分配该策略的计算机将在下一次代理到服务器的通信期间接收命名策略。
[267141-TN]
不支持在单字节操作系统(如德语)上安装双字节语言包(如日语)。
[264894, 266599-TN]
如果使用登录脚本映射扫描程序主机上的网络驱动器,建议将相应的文件服务器添加到修复列表。
要将映射的网络驱动器添加到修复列表,请在“Protocol to add(要添加的协议)”中指定“TCP”,在“System to add(要添加的系统)”中指定文件服务器的 IP 地址,并在“Port to add(要添加的端口)”中指定“445”。有关说明,请参见在线帮助中的“Defining the remediation list(定义修复列表)”。
[264431-TN]
此版本软件不支持数据库合并工具。如果使用该工具将多个 ePO 数据库合并到一起,则不会合并这些数据库中的 McAfee Policy Enforcer 事件。
[255538-WNF]
MPE 独立安装不支持带有从多字节字符的路径下安装。
[303492]
允许从“Additional ports to check for an agent“(检查代理的其他端口)”的“Agent port for this ePolicy Orchestrator server(此 ePolicy Orchestrator 服务器的代理端口)”中复制端口号,这是错误的。“Basic Configuration(基本配置)”页(位于“Configuration(配置)”选项卡)上的“Ports to Check for an ePolicy Orchestrator Agent(要检查 ePolicy Orchestrator 代理的端口)”上均出现这两个选项。
要解决此问题,请确保“Additional ports to check for an agent(检查代理的其他端口)”中的端口号列表不包含“Agent port for this ePolicy Orchestrator server(此 ePolicy Orchestrator 服务器的代理端口)”中的端口号。
[263589]
如果自动响应将所选系统标记为例外,这些系统会在被标记成例外之前接受扫描与实施。这样会导致隔离非符合性例外系统。为解决这一问题,请在“System List(系统列表)”中选择这些系统,将其网络访问模式改为“Allow(允许)”。
[255981]
如果将自动响应配置为自动响应的某种操作允许或隔离系统,则在触发自动响应时,无法执行这种操作,系统的网络访问模式也无法更改。
[307928]
在“Basic Configuration(基本配置)”页(“Configuration(配置)”选项卡)上“User Interface Related(相关用户界面)”下面的“Number of items to view per page(每页中要查看的项数)”中输入 1,可能导致软件停止响应。
要解决此问题,请在“Number of items to view per page(每页中要查看的项数)”中指定 2 999。
[262780]
传感器
如果在戴尔系统上安装有 MPE 集成服务器,则软件驱动程序的不兼容性将致使传感器崩溃。建议您不要在运行有集成 MPE 服务器的戴尔系统上安装 MPE 传感器。
[303077]
如果选择 Windows Service 控制面板上的“Restart(重新启动)”将导致 McAfee Policy Enforcer 传感器服务崩溃。如果需要重新启动 McAfee Policy Enforcer 传感器服务,请在选择“Stop(停止)”后隔几秒再选择“Start(启动)”。
[302217]
扫描程序
如果对非托管系统进行了远程扫描,之后又安装了 ePO 代理和扫描程序,则在重新启动主机计算机远程扫描之前,会在每次扫描间隔内对该非托管系统进行本地和远程两次扫描。
[305791]
卸载 ActiveX 扫描程序后,系统中的下列位置会保留留有一个文件的文件夹:<驱动器>:\Documents and Settings\All Users\Application Data\McAfee\Foundscan\Configuration.
[286368]
如果用户登陆前完成扫描过程,并且系统为非符合性系统,则直到下一次计划扫描开始时(默认值为 1 小时)用户才能看到本地消息。这将导致用户没有接到通知便将用户系统从网络中阻断。
[253496]
如果将发送至 URL 添加到“Add/Edit Rule(添加/编辑规则)”向导中的“Noncompliance Actions(非符合性操作)”页中,则当最终用户单击该链接时,MS Office Outlook 2003 将出错。
[268032]
如果扫描程序主机没有运行 Microsoft Internet Explorer 6.0 或更高版本,则无法运行扫描程序安装。在这种情况下,将在 Windows 临时目录(如 C:\Temp)中的 MPEScr100-Msi.log 文件中保存以下条目:McAfee Policy Enforcer Scanner 2.0.0 需要 Internet Explorer 6.0(版本号 6.0.2600.0000)或更高版本。
[248115-WNF]
本地信息对话框显示结果时漏掉了“天”字。例如,“时间不足 6 的 DAT 文件”应显示为“时间不足 6 天的 DAT 文件”。
[262588]
VPN
无法实施非托管 Juniper SSL 系统。VPN 安装包无法安装 Juniper SSL 系统。
[289917]
如果使用检查点 IPSec VPN,建议将默认的安全客户端验证 (SCV) 检查时间从 15 秒增加到 5 分钟,使其与 McAfee Policy Enforcer 的扫描频率和持续时间一致。使用默认的 SCV 检查时间可能导致扫描程序停止响应,因为扫描形成队列的速度大于完成扫描的速度。有关详细信息,请转到 McAfee 知识库中的解决方案 ID KB47200。
要更改默认的 SCV 检查时间,请在各个 VPN 客户端计算机上执行以下注册表更改:
使用以下子键,新建名为 scvstatus_frequency 的“DWORD 值”:
\HKEY_LOCAL_MACHINE\Software\CheckPoint\SecuRemote\SCV
将其值设置为所需的秒数(推荐的时间为 5 分钟或 300 秒)。
重新启动计算机以应用更改。
[267852-WNF]
报表
运行 10 大失败检查项目报告时,“Anti-Virus Products(防病毒产品)”类中的“Minimum Product Version(最低产品版本)”检查无法报告产品名或版本号。
[267119]
非符合性系统的百分比报告可能有误。由于计算机总数的采集不是每天都进行的,所以百分比数可能不正确。
[265626]
可能存在某些情况,系统以前的 DNS 名称和当前的 DNS 名称均显示在报表中;例如,系统加入到其他域或重命名时,就会出现该情况。在系统使用 DNS 服务器注册新的 DNS 名称之前,传感器已将以前的 DNS 名称发送到服务器。下一次检测到该系统时,传感器将报告新的 DNS 名称。
[252485-TN]
杂项
从 McAfee 检索 McAfee Policy Enforcer 内容更新之后,文件将保留在系统的 Windows 临时目录中(例如<驱动器>:\windows\temp)。建议每次进行内容更新后删除这些文件。
[306114]
将自动响应设置为隔离系统可能导致不小心隔离了扫描程序主机。不必为了隔离系统而设置自动响应。
要解决此问题,请不要进行隔离操作来设置自动响应。
[268515]
如果手动从托管计算机,而非 ePO 服务器计算机中删除 McAfee Policy Enforcer 内容,该托管计算机将停止从分布式资料库检索内容。有关详细信息,请转到 McAfee 知识库中的解决方案 ID KB46978。
要解决此问题,请将受影响计算机的以下子键的值减一:
\HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\Scanner\FASLIncludes\Version
\HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\Scanner\MPEMSBCK1000
\Version
\HKEY_LOCAL_MACHINE\SOFTWAREMcAfee\Scanner\MPEPRDCK1000\Version
\HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\Scanner\MPEVIRCK1000\Version
例如,如果 \HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\Scanner\FASLIncludes\Version = 1001,将其更改为 1000。
[249700-WNF]
如果同时使用 McAfee Policy Enforcer 和 McAfee Host Intrusion Prevention 软件,建议使用 McAfee Host Intrusion Prevention 锁定系统,然后使用 McAfee Policy Enforcer 确保系统使用的是 McAfee Host Intrusion Prevention。以这种方式使用这些产品可以降低扫描时间并避免登录延迟。
[268517-TN]
有关英语以外的其他语言,由 McAfee Policy Enforcer 2.0 安装指南| 自定义现有门户 | 步骤 1 中提供的可浏览 RescanCodeForHead.htm 文件的路径有误。正确的路径为:
将门户安装到独立 MPE 服务器:
C:\Program Files\Common Files\McAfee\Tomcat\ WebApps\Portal\Samples
将门户安装到集成有 ePO 的 MPE 服务器:
C:\Program Files\McAfee\ePO\3.6.1\Samples.
[299546]
使用 891。运行 Microsoft Virtual Server 2005 的计算机上的“检测到 VNC 服务器”检查将导致计算机被标记为不符合。Virtual Server 2005 合理使用虚拟网络计算 (VNC)。
[262589]
已解决的问题
问题:“Add or Edit Rule Set(添加或编辑规则集)”页中的“If no rules apply(如果未应用规则)”选项无法工作。 [268401]
解决方法: “If no rules apply(如果未应用规则)选项已删除。
问题:不支持在单字节操作系统(如德语)上安装双字节语言包(如日语)。 [264894, 266599]
解决方法:问题已解决。
问题:安装 McAfee Policy Enforcer 软件 之后,不能从控制台卸载测试系统传感器。[266537]
解决方法:此问题已解决。此外,在使用 McAfee Policy Enforcer 软件 时没必要卸载测试系统检测传感器。
问题:正在被远程扫描的系统被重定向到隔离区域后,将继续重新扫描。 [254916]
解决方法:已解决。
产品信息所在位置
我们的产品文档提供您需要的信息,从安装新产品到维护现有产品应有尽有。产品发布后,有关该产品的其他信息都会输入到 ServicePortal 上提供的在线知识库。
评估阶段
评估和测试此产品。 安装阶段
安装前、安装期间以及安装后。 设置阶段
准备运行此产品。 维护阶段
随时维护该软件。
评估指南
在测试环境中准备、安装以及部署软件的步骤。
常见任务的详细说明。
带宽和性能指南
有关该软件如何影响网络性能、系统性能和产品可伸缩性的数据。
安装指南
在生产环境中准备、安装以及部署软件的步骤。
自述文件
当前发行版中的已知问题。
自上一发行版之后已解决的问题。
对产品或其文档所做的最新更改。
产品指南
针对您的环境自定义软件的步骤。
在线帮助
维护软件的步骤。
参考信息。
产品指南中找到的所有信息。
快速参考卡
常见或不常见的重要任务的详细说明。
知识库
补充产品信息。
已知问题的解决方法:转到 McAfee 知识库。
我们用以下多种方式分发产品文档:
通过 CD。
通过 McAfee 网站(需要 McAfee 技术支持授权号):
http://www.mcafee.com/us/downloads
随 CD 印刷并发行。(通常只包括入门指南和快速参考卡。)
通过 McAfee ServicePortal 网站:
https://mysupport.mcafee.com
软件内部(仅提供在线帮助文件)。
受下列一种或几种美国专利的保护:6,470,384;6,493,756;6,496,875;6,553,377;6,553,378;6,668,289;6,892,241;6,920,558
版权所有© 2006 McAfee, Inc. 保留所有权利。| 使用条款 | 商标 | 联系人
DBN 04-ZH-CN | v4.0
[ 本帖最后由 dsd1982 于 2007-2-6 02:37 编辑 ] |
发表于 2007-2-5 22:26:29
楼主
