Notes de publication

McAfee ePolicy Orchestrator 5.9.1

Sommaire A propos de cette version Nouveautés Problèmes résolus Problèmes connus Informations sur l'installation Obtention d'informations produit par e-mail Où trouver la documentation produit

A propos de cette versionCe document contient des informations importantes sur la version actuelle. Nous vous recommandons de lirela totalité du document.

Build de la version : 5.9.1

Objet

Cette version ajoute des améliorations et résout des problèmes signalés dans la version précédente.

Evaluation : obligatoire

Obligatoire Critique Haute priorité Recommandé

• Requis pour tous les environnements.

• L'échec de l'application d'une mise à jour obligatoire peut entraîner une faille de sécurité.

• Les patchs et HotFix obligatoires éliminent les vulnérabilités susceptibles de nuire au fonctionnement duproduit et de compromettre la sécurité.

• Vous devez appliquer ces mises à jour pour que le produit reste viable et pris en charge.

1

Pour plus d'informations, reportez-vous à l'article KB51560.

Mise à niveau

Au moment de la publication de cette documentation, il est possible de mettre à niveau McAfee®

ePolicyOrchestrator

®

(McAfee®

ePO™

) la version 5.9.1 à partir des versions suivantes :

• McAfee ePO 5.1.3 • McAfee ePO 5.3.3

• McAfee ePO 5.3.1 • McAfee ePO 5.9.0

• McAfee ePO 5.3.2

Pour plus d'informations sur les séquences de mise à niveau prises en charge pour McAfee ePO, consultezl'article KB86693.

Composants mis à jour

La version actuelle met à niveau les composants ci-dessous.

• Serveur HTTP Apache 2.4.28

• Apache Tomcat 7.0.82

• Java Runtime Environment 1.8.0_152

• OpenSSL 1.0.2l

Plates-formes prises en charge

La version actuelle est compatible avec les plates-formes ci-dessous.

Systèmes d'exploitation et gestionnaires d'agents pris en charge

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

• Windows Server 2016

Base de données

• Microsoft SQL Server et SQL Express Edition 2008 SP1

• Microsoft SQL Server et SQL Express Edition 2008 R2

• Microsoft SQL Server et SQL Express Edition 2012

• Microsoft SQL Server et SQL Express Edition 2014

• Microsoft SQL Server et SQL Express Edition 2016

Navigateurs pris en charge

• Internet Explorer 8.0 ou version ultérieure (avec prise en charge complète du mode de compatibilité)

• Firefox 24.0 ou version ultérieure

• Chrome 30.0 ou version ultérieure

2

• Safari 7.0 ou version ultérieure

• Microsoft Edge (navigateur Spartan)

Cette version de McAfee ePO requiert l'activation de la prise en charge du protocole TLS 1.1 ou 1.2 dans votrenavigateur.

Pour plus d'informations sur les plates-formes, environnements et systèmes d'exploitation pris en charge pourMcAfee ePO, consultez l'article KB51569.

NouveautésLa version actuelle du produit inclut les améliorations et les modifications ci-dessous.

Remplacement du JRE Oracle par le JRE Azul Zulu

Le JRE Oracle a été remplacé par le JRE Azul Zulu dans la version actuelle de McAfee ePO.

Suppression de SQL Server Express dans le programme d'installation de McAfee ePO

Le programme d'installation McAfee ePO ne fournit plus d'option d'installation de SQL Server Express. Lelogiciel SQL Server Express peut toujours être utilisé avec McAfee ePO, mais il doit être installé séparément.

Modifications apportées à l'interface du Gestionnaire de logiciels

Le graphique ci-dessous indique les modifications apportées à l'interface du Gestionnaire de logiciels.

3

Ajout d'un lien Modifier dans la Clé de licence : dans la partie inférieure de l'arborescence Catégories deproduits, en regard de Clé de licence, cliquez sur Modifier pour accéder à la page Clé de licence :Modifier. Vous pouvez alors modifier votre clé de licence logicielle et l'enregistrer.

Les actions préalablement indiquées dans la description du composant ont été déplacées vers la barrede couleur bleue qui se trouve au-dessus du tableau de la liste des composants.

Modifications apportées à l'interface de déploiement de produit

Le graphique ci-dessous indique les modifications apportées à l'interface du Nouveau déploiement.

4

Sélection du type de déploiement : ces paramètres de configuration ont été supprimés et laconfiguration est maintenant automatique.

Dans Sélectionnez les logiciels, les signes + et – ont été remplacés par le lien + Ajouter un package situédans la partie inférieure de la section.

Dans la section Sélectionnez les systèmes, cliquez sur Sélectionner des systèmes et sur Sélectionner parmarqueur ou groupe pour afficher les options de sélection de systèmes.

La section Sélectionner un déploiement a été ajoutée. Elle inclut les options suivantes :• Mise à jour automatique : préalablement incluse dans la section Sélectionnez le type de déploiement.

• Autoriser les utilisateurs finaux à reporter ce déploiement (Windows uniquement) : préalablement incluse dans lasection Sélectionnez les systèmes.

• Nombre maximum de reports autorisés : préalablement incluse dans la section Sélectionnez les systèmes.

• L'option de report expire après (secondes) : préalablement incluse dans la section Sélectionnez lessystèmes.

• Afficher ce texte : préalablement incluse dans la section Sélectionnez les systèmes.

La section Sélectionnez l'heure de début a été renommée Début.

Modifications apportées à l'interface des Tableaux de bord

Le graphique ci-dessous indique les modifications apportées à l'interface des Tableaux de bord.

Une icône en forme de cloche s'affiche dans la barre de titre, en regard de l'option Déconnexion.Lorsqu'elle est rouge, elle indique que des mises à jour des logiciels sont disponibles au téléchargement.Par défaut, cette icône est grise. Cliquez dessus pour afficher la page Gestionnaire de logiciels. Passez lecurseur dessus pour afficher l'état de la mise à jour des logiciels.

Base de données

Aplatissement des vues de base de données : le nombre de tables de base de données a été réduit dans laversion actuelle.

5

Problèmes résolusLes problèmes suivants ont été corrigés dans la version actuelle du produit. Pour obtenir la liste des problèmesrésolus dans les versions antérieures, consultez les Notes de publication correspondant à la version concernée.

Correctifs de sécurité

Référence Description du problème

1176825 Cette version corrige plusieurs vulnérabilités par exécution de scripts intersites (XSS).

1179499 Cette version met à jour les bibliothèques RSA Crypto-J et RSA SSL-J.

1192218 Cette version met à jour Apache HTTP Server 2.4.27.

1193405 Cette version signe les fichiers avec un certificat SHA-2.

1196591 Cette version met à jour OpenSSL vers la version 1.0.2k afin de corriger plusieurs vulnérabilités.Pour plus d'informations, reportez-vous au bulletin de sécurité McAfee SB10197 ePolicyOrchestrator is vulnerable to Sweet32 vulnerability (CVE-2016-2183) (ePolicy Orchestratoraccessible à la vulnérabilité Sweet32).

1210887 Cette version ajoute la prise en charge de TLS 1.2 pour les connexions sortantes depuis McAfeeePO.

1212417 Cette version corrige une vulnérabilité CVE-2007-6750.

1213891 L'authentification Windows fonctionne maintenant correctement après la désactivation de SMBv1.

Tâches client et serveur

Référence Description du problème

1147067 Lorsqu'une tâche client est créée ou modifiée par un utilisateur qui ne possède pas de droitsd'administration, le groupe Propriétaire n'est plus défini de manière incorrecte sur Administrateurs.

1182958 Vous pouvez maintenant exécuter une commande externe en tant qu'action de tâche serveursans que l'action suivante ne démarre avant la fin de la commande.

1190211 Les tâches serveur configurées pour exécuter des tâches client à partir des résultats d'unerequête ne sont plus répertoriées comme ayant échoué lorsque la requête ne renvoie aucunrésultat.

1198430 Désormais, lorsque plusieurs serveurs McAfee ePO sont enregistrés avec activation du partage destratégie, la tâche serveur Synchroniser les stratégies partagées se poursuit si elle ne parvient pas à seconnecter à un serveur enregistré.

1209063 Les tâches client n'héritent plus des paramètres du niveau Mon organisation lorsque l'héritage estrompu dans un groupe inférieur.

1209066 Dans certains cas, l'enregistrement d'une stratégie empêche la console McAfee ePO de répondrependant 15 minutes. Cette version résout ce problème.

1211700 Le paramètre d'exécution aléatoire dans la sous-action sous les tâches serveur Réactivation del'agent, Exécuter une tâche client maintenant et Nouvelle affectation de tâche client est désormais mis enœuvre correctement.

1211789 L'ouverture d'une tâche client ne met plus trop de temps.

1212397 Si le nom de la tâche client que vous tentez de créer est déjà utilisé, un avertissement vous estenvoyé et le bouton Enregistrer est désactivé.

6

Base de données

Référence Description du problème

1185912 La console McAfee ePO ne met plus de temps à modifier ou à enregistrer certaines requêtespersonnalisées en raison de l'indexation inappropriée de la table EPOServerEventsMT dans labase de données.

1195177 Lorsqu'une tâche de synchronisation avec Active Directory se synchronise avec un nombre élevéde systèmes, le serveur McAfee ePO peut atteindre un état de connexion maximum, refusantalors les nouvelles demandes de communication agent-serveur jusqu'à ce que la tâche soitterminée. Cette version résout ce problème.

1210653 Vous pouvez désormais correctement convertir l'heure UTC en heure EST.

1211146 Si le serveur SQL Server exécute des transactions prolongées, la base de données temporaire SQLpeut atteindre une taille élevée, voire arriver à saturation et entraîner l'augmentation de la tailledes tables de canal de données dans la base de données. Cette version résout ce problème.

Gestion des stratégies, marqueurs et clés

Référence Description du problème

1154375 Dans le navigateur Firefox, McAfee ePO ouvre maintenant la page Modifier l'affectation lorsque vousenregistrez une affectation de stratégie sur un seul terminal.

1179253 Dans le Catalogue de marqueurs, les marqueurs sont désormais appliqués correctement après avoirété créés.

1196882 Les chaînes de texte s'affichent maintenant correctement dans la page Comparaison de stratégies.

1202501 La synchronisation avec Active Directory ne crée plus d'entrées en double lorsque le système setrouve dans l'Arborescence des systèmes et que l'option Laisser les systèmes à leur emplacement actueldans l'Arborescence des systèmes est sélectionnée.

1203516 Les marqueurs définis pour être appliqués à chaque communication agent-serveur d'aprèsl'adresse IP sont désormais correctement appliqués.

1206256 Les marqueurs avec des caractères à double octet sont désormais correctement appliqués auxterminaux.

1207218 Les informations sur le propriétaire de la stratégie s'affichent maintenant correctement sousHéritage bloqué.

1209077 L'application d'un marqueur à l'aide d'une comparaison Contient un modèle ne génère plus d'erreurL'expression symbolique dans le marqueur avec l'ID x ne correspond pas.

Requêtes et rapports

Référence Description du problème

1175417 L'exécution d'une requête comme utilisateur non administrateur ne génère plus de messaged'erreur Une erreur s'est produite lors de l'extraction des donnéesdemandées..

1193656 Les entrées de requête en double incluent désormais le nom de requête approprié.

1187446 Les requêtes qui s'exécutent dans la console McAfee ePO ne se bloquent plus et renvoienttoujours des résultats.

1199459 Désormais, la version de produit s'affiche correctement après l'exécution de la requête Graphiqueà barres et renvoie les résultats.

1205176 Dans la page Détails du système, la version McAfee Agent installée s'affiche maintenant et nonEPOAGENT.

1206036 Dans l'onglet Actions du Générateur de tâches serveur, si la requête Tentatives de désinstallation d'agent aucours des 7 derniers jours est présélectionnée, l'option Sous-actions est maintenant activée.

7

Référence Description du problème

1208404 Lors de l'exportation des données à partir de certaines requêtes et de certains rapports vers unfichier XML, le fichier XML ne contient plus de retours chariot et sauts de ligne redondants.

1213873 La requête Graphique à secteurs s'exécute maintenant correctement dans une requêteautonome.

1216109 Sur la page Système : Détails, l'option DAT Version (VirusScan Enterprise) s'affiche désormaiscorrectement.

Arborescence des systèmes

Référence Description du problème

1156776 Les conteneurs exclus ne sont plus ajoutés à l'Arborescence des systèmes au cours d'unesynchronisation avec Active Directory.

1160948 Les systèmes en double ne s'affichent plus fréquemment dans l'Arborescence des systèmes.

1164286 Sélectionner Arborescence des systèmes | Sélectionner un ordinateur | Action | Afficher les événements clientne génère plus d'erreur La ressource demandée est introuvable..

1166161 Tous les systèmes sont désormais visibles lorsque vous testez le tri des systèmes dansl'Arborescence des systèmes avec désactivation ou activation du tri.

1192912 Les champs de propriété personnalisés restent maintenant visibles après la saisie d'une nouvellevaleur.

1198853 Lors de l'exécution d'une synchronisation avec Active Directory, certains systèmes n'apparaissentplus à un emplacement inattendu dans l'Arborescence des systèmes.

1209069 Le chemin d'accès est désormais correct dans l'Arborescence des systèmes pour la requête Tâcheclient appliquée.

1218697 L'Arborescence des systèmes déplace désormais les systèmes vers le dossier approprié lorsque letri est désactivé.

Mises à niveau et installation

Référence Description du problème

1181912 Les ensembles d'autorisations avec des autorisations Réviseur global ne sont plus modifiés aprèsla mise à niveau de la version 5.3.3 à la version 5.9.0.

1184484 Le chemin d'installation de McAfee Agent s'affiche maintenant correctement comme Program Files\McAfee\Agent si vous êtes connecté au système français.

1190740 Le chemin d'installation par défaut de McAfee Agent 5.x s'affiche désormais correctement commeProgram Files\McAfee\Agent et non comme Program Files\McAfee\Common Framework.

1197173 Les mises à niveau n'échouent plus, car les utilisateurs SQL Server ne doivent plus disposer dedroits d'administrateur système.

1217643 Dans certains cas, les combinaisons de certificats 1024 et de listes de suites de chiffrementprovoquaient des échecs de connexion, qui entraînaient des problèmes de mise à niveau. Cetteversion résout ce problème.

Interface utilisateur

Référence Description du problème

1186589 Le texte de migration traduit s'affiche maintenant de manière cohérente dans la section Certificatracine du Gestionnaire de certificats.

1192234 Dans la page d'aperçu Catalogue de marqueurs, l'option Réinitialiser X systèmes exclus et marquésmanuellement est maintenant grisée si vous créez un marqueur sans critère, que vous créezmanuellement un objet ordinateur, et que vous affectez le marqueur à l'ordinateur.

8

Référence Description du problème

1196845 Le titre Créer une tâche dans la fenêtre pop-up est maintenant traduit et s'affiche correctement.

1211077 Un espace est désormais inséré entre déploiement et continu dans la page Nouveau déploiement.

1211766 Dans l'Arborescence des systèmes, la taille de l'option Evénements de menace au cours des 2 dernièressemaines est désormais correcte.

Divers

Référence Description du problème

1165844 Les réviseurs ne se voient plus attribuer les autorisations Administrateur global après la mise àniveau de la version 4.6.x à la version 5.1.x, ou après l'exportation d'autorisations de laversion 4.6.x à la version 5.1.x.

1165876 La condition Apache de mémoire insuffisante n'entraîne plus l'échec du traitement des demandesdu canal de données, qui, à son tour, entraînait l'échec de la communication agent-serveur avecl'affichage des messages d'erreur Connexion refusée et Serveur occupé.

1182940 Cette version remplace le JRE Oracle par le JRE Azul Zulu.

1186330 Le serveur d'application McAfee ePO (Tomcat) ne se bloque plus lors de l'exécution d'une tâche desynchronisation avec Active Directory et lorsque la tâche ne parvient pas à se connecter auserveur LDAP.

1190396 Dans McAfee® Endpoint Security, les e-mails de réponse automatique contenant la variable{threatActionTaken} renvoient désormais la valeur appropriée.

1196946 Si vous supprimez une tâche serveur, elle n'apparaît plus dans la File d'attente des tâches de la basede données, et le processus n'essaie plus de valider la tâche serveur supprimée toutes lesminutes.

1203183 L'option Exécuter à chaque mise en œuvre de stratégies (Windows uniquement) n'est plus disponible. Cettefonctionnalité a été supprimée dans McAfee Agent 5.0.

1204151 Le serveur d'application McAfee ePO (Tomcat) ne se bloque plus lors de la réplication vers desréférentiels distribués en raison d'une corruption du tas Java.

1209055 L'archivage d'un fichier Extra.DAT ne génère plus d'erreurs de troncation des données dans lejournal Orion.

1209343 La création d'une réponse automatique avec plusieurs groupes utilisant le filtre Défini au niveau desuivie de l'ajout de deux groupes avec un opérateur Ou ne génère plus le message d'erreurImpossible de continuer à modifier cette réponse, car son état n'est pasvalide. Cliquez sur OK pour revenir à la page Réponses.

1209946 Les propriétés personnalisées sont maintenant toujours supprimées dans McAfee ePOlorsqu'elles sont supprimées du terminal.

1210469 Un utilisateur détenant des autorisations Réviseur global peut désormais consulter les détails desévénements de client.

1219115 Cette version résout un problème lié au gestionnaire d'agents qui entraînait parfois une conditionde mémoire insuffisante au niveau du serveur Apache en cas d'erreur de pointeur nul. Unredémarrage du serveur Apache était alors nécessaire pour rétablir la communicationagent-serveur.

Problèmes connusPour obtenir une liste des problèmes connus de cette distribution du produit, consultez cet article de la McAfeeKnowledgeBase : KB87673.

9

Informations sur l'installationLa version actuelle du produit inclut des exigences et meilleures pratiques spécifiques en matière d'installation.

Pour plus d'informations sur l'installation ou la mise à niveau du logiciel ePolicy Orchestrator, consultez le Guided'installation de McAfee ePolicy Orchestrator.

Meilleure pratique : exécution de Pre-Installation AuditorAvant de mettre à niveau McAfee ePO, exécutez McAfee ePO Pre-Installation Auditor afin de réduire oud'empêcher les problèmes liés à la mise à niveau.

L'exécution de l'auditeur automatise de nombreuses tâches de vérification incluses dans le processus de mise àniveau.

Procédure1 Téléchargez McAfee ePO Pre-Installation Auditor à partir de la page de téléchargement McAfee ePO :

secure.mcafee.com/apps/downloads/my-products/login.aspx

2 Double-cliquez sur le fichier ePIP.exe pour démarrer l'auditeur, puis suivez les instructions des invites.

Pour plus d'informations, consultez les Notes de publication de McAfee ePO Pre-Installation Auditor.

Mettre à niveau McAfee ePO dans un cluster WindowsSi vous mettez à niveau McAfee ePO dans un cluster Windows, vous devez supprimer les certificats du disquequorum.

La suppression des certificats permet d'éviter les échecs de démarrage du service en cas de basculement (voirle problème 1213758).

Supprimez les fichiers suivants de <EPO>\Apache2\conf\ssl.crt :

• ahCert.crt

• ahpriv.Key

• mfscabundler.cer

Exigences applicables à l'installation ou à la mise à niveau en casd'utilisation d'une connexion SSL vers le serveur SQL ServerL'installation ou la mise à niveau risque d'échouer si vous utilisez une connexion SSL entre le serveur McAfeeePO 5.9.1 et la base de données SQL.

Les bibliothèques RSA ont été mises à jour dans cette version de McAfee ePO ; elles présentent des exigencesde sécurité supplémentaires au niveau de la communication avec la base de données. Pour satisfaire auxnouvelles exigences de compatibilité, installez toutes les mises à jour Windows disponibles sur leserveur McAfee ePO et sur le serveur SQL Server avant de démarrer l'installation ou la mise à niveau.

Pour plus d'informations, reportez-vous à l'article KB87731.

Activation du protocole TLS 1.1 ou 1.2 dans votre navigateurCette version 5.9.1 de McAfee ePO requiert l'activation de la prise en charge du protocole TLS 1.1 ou 1.2 dansvotre navigateur.

Pour renforcer la sécurité des communications entre votre navigateur web et votre serveur McAfee ePO, vousdevez activer la prise en charge du protocole TLS 1.1 ou 1.2 dans votre navigateur.

10

Pour activer la prise en charge du protocole TLS 1.1 ou 1.2, consultez la documentation correspondant à votrenavigateur.

Obtention d'informations produit par e-mailLe service SNS (Support Notification Service) met à disposition des actualités, des alertes et des meilleurespratiques précieuses liées aux produits pour vous aider à améliorer le fonctionnement et les capacités deprotection de vos produits McAfee.

Pour recevoir des notifications par e-mail SNS, accédez au SNS Subscription Center (Centre d'abonnement SNS),à l'adresse https://sns.secure.mcafee.com/signup_login, inscrivez-vous, puis sélectionnez les options de votrechoix concernant les informations de produit.

Où trouver la documentation produitConsultez la page docs.mcafee.com pour trouver la documentation relative à ce produit.

Consultez la page support.mcafee.com pour trouver du contenu d’aide relatif aux nouveaux produits, y comprisles articles techniques.

Copyright © 2017 McAfee, LLC

McAfee et le logo McAfee sont des marques commerciales ou des marques déposées de McAfee, LLC ou de ses filiales aux Etats-Unis et dansd'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.

0-03