Servicepacks, patches, HotFixes, onderhoudsreleases en de patchreleasecyclus
Laatst gewijzigd: 15-10-2021
Omgeving
Samenvatting
Als McAfee voor een specifiek probleem een HotFix moet maken, is deze gebaseerd op de code voor de meest recente productpatch en moet u een upgrade naar deze patch uitvoeren.
Inhoud
- Patchreleasecyclus
- McAfee-producten (exclusief Network Security Platform)
- Patch-ondersteuning
- Momenteel komen nieuwe patchversies voor VirusScan Enterprise en Host Intrusion Prevention tegelijk met nieuwe updates voor Windows 10. Dit kan in de toekomst veranderen, als er een efficiënter schema vereist wordt.
- SiteAdvisor geeft tweemaal per jaar een patch uit, namelijk in het eerste en het derde kwartaal.
- ePolicy Orchestrator geeft tweemaal per jaar een patch uit, Vraag bij uw ondersteuningsvertegenwoordiger informatie over het huidige uitgifteschema van ePolicy Orchestrator.
- McAfee Agent geeft tweemaal per jaar een patch uit, Vraag bij uw ondersteuningsvertegenwoordiger informatie over het huidige uitgifteschema van McAfee Agent.
Elke patch wordt in twee fasen uitgebracht. De fasen zijn beheerde Release To Support (RTS) en Release to World (RTW).
De cyclus voor een beheerde release duurt ongeveer vier weken.
De patch wordt alleen uitgebracht voor klanten die specifieke problemen hebben gemeld en klanten die hebben aangegeven deel te willen nemen aan onze gefaseerde distributiecycli. Tijdens de eerste fase van de beheerde release wordt van RTS-klanten die eerder problemen hebben gemeld verwacht dat ze de RTS-patches implementeren en binnen twee weken bevestigen of de problemen zijn opgelost. Alle opgeloste problemen worden bevestigd vóórdat de RTS algemeen beschikbaar komt, tijdens de laatste twee weken durende fase van de beheerde release, voor klanten die ervoor gekozen hebben hieraan deel te nemen.
Release to World (RTW)
Intel Security doet er alles aan om zich aan de bovenstaande planning voor patchreleases te houden. Indien de kwaliteit van de patch niet voldoet aan de minimale vereisten voor Intel Security-releases, wordt de datum aangepast. Als de releasedatum van een patch is verschoven, brengt Intel Security haar klanten hiervan via SNS op de hoogte en wordt de nieuwe releasedatum gepost op de ServicePortal-pagina voor patchdownloads.
OPMERKING: tussen elke patchrelease voorziet Intel Security haar klanten van HotFixes voor het oplossen van kritieke problemen. Deze HotFixes zijn dan ook onderdeel van de volgende geplande patch.
De onderstaande producten zijn systeembeveiligingsproducten:
- ePolicy Orchestrator
- Host Intrusion Prevention
- McAfee Agent
- SiteAdvisor Enterprise
- VirusScan Enterprise
Patches en HotFixes worden voornamelijk door Intel Security uitgebracht om problemen die zijn gerapporteerd door klanten op te lossen, maar ze kunnen ook andere fixes en productaanpassingen bevatten. Ze worden pas uitgebracht als ze aan alle vereisten voldoen. Productaanpassingen en opgeloste problemen (bijvoorbeeld gerapporteerd door klanten) worden gedocumenteerd in de releaseopmerkingen bij elke HotFix of patchrelease.
Patch
Wanneer er in een live omgeving een kritieke fout wordt gedetecteerd en geverifieerd, wordt er een HotFix gemaakt. Een HotFix is een pakket waarmee een specifieke versie van een product wordt bijgewerkt. Dit pakket bevat meestal een fix voor één probleem.
Servicepacks worden gepost op de productdownloadsite.
OPMERKING: voor toegang hebt u een geldig grantnummer nodig. In KB56057 vindt u aanvullende informatie over de Productdownload-site van McAfee en alternatieve locaties voor sommige producten.
Het productkwaliteitsteam is verantwoordelijk voor de beoordeling van een HotFix of patch. De beoordelingen zijn als volgt:
Verplicht |
|
Kritiek |
|
Prioriteit Hoog |
|
Aanbevolen |
|
Wat is een oudere patch?
Een patch die ouder is dan de huidige of meest recente patch voor het product is een oudere patch.
Wat kan ik van de technische ondersteuning verwachten?
Technische ondersteuning adviseert klanten bij het testen van problemen met de huidige of meest recente patch, als het gemelde incident voorkomt in een omgeving met een oudere patch.
OPMERKING: het is een goed gebruik om de meest recente patch in uw omgeving uit te voeren, omdat deze de laatste fixes die beschikbaar zijn voor het product bevatten. Een bevestiging dat een probleem ook optreedt met de meest recente patch is waardevol voor het begrip van de aard van een probleem.
Waarom moet ik bij de tijd blijven?
Patchreleases lossen problemen op met zakelijke producten die vanuit het bedrijfsleven worden gerapporteerd. Ze kunnen productfuncties toevoegen, ondersteuning bieden voor besturingssystemen en de beveiliging van producten verbeteren om malware en kwaadwillende gebruikers te bestrijden. Het niet regelmatig toepassen van patches vergroot het risico voor uw omgeving.
Het patchen van productkwetsbaarheden moet speciaal worden vermeld (bijvoorbeeld SB10151 en SB10158). Deze twee voorbeelden vereisen patch 7 of hoger. Voor veel klanten kan dat een enorme sprong zijn in het patchniveau, met een risicovolle upgrade (zie ‘Hoe beoordeel ik het risico van patches’), maar dit kan worden beperkt door de hulp die wordt geboden in KB87328 - Ondersteunde upgradepaden voor McAfee Agent, VirusScan Enterprise en Host Intrusion Prevention.
Hoe blijf ik bij de tijd?
Via de Support Notification Service (SNS) worden meldingen naar klanten gestuurd, om ze te informeren wanneer nieuwe releases beschikbaar zijn. Intel Security verwacht van u dat u de releaseschema's van Microsoft Windows volgt om ondersteuning te blijven ontvangen voor nieuwe besturingssystemen. U wordt aangeraden om de installatie van een nieuwe patch in te plannen en uit te proberen zodra deze beschikbaar komt.
U kunt patches downloaden vanaf de productdownloadsite (een geldig grantnummer is verplicht - https://www.trellix.com/nl-nl/downloads/my-products.html), het softwarebeheer ePolicy Orchestrator en de Support Service Portal (https://supportm.trellix.com). Oudere patches kunt u krijgen bij de Technische ondersteuning, indien nodig.
Wat zijn de beperkingen van patch-upgrades?
Vanaf patch 8 voor zowel VSE als Host IPS-producten kan Intel Security alleen patchupdates ondersteunen van de laatste vier patchreleases. Patch 8 is beschikbaar om patch 4 en hoger bij te werken, en patch 9 kan patch 5 en hoger bijwerken. Als er nog meer beperkingen zijn voor een bepaalde patchrelease, zullen deze worden beschreven in de opmerkingen bij de patchrelease.
Hoe beoordeel ik het risico van patches?
Softwaretechnologie kan in iedere patch anders zijn vanwege toevoegingen aan de ondersteuning voor het besturingssysteem en doorgaande beveiligingsverbeteringen. Deze wijzigingen kunnen problemen met interoperabiliteit met software van derde partijen blootleggen, of andere softwaregebreken die specifiek zijn voor een bepaalde omgeving. Om het risico te kunnen inschatten, bevestigt u de build van %windir%\system32\drivers\MFEHIDK.SYS die momenteel in uw omgeving is geïmplementeerd, vergeleken met de build die met de nieuwe patch zal worden geïnstalleerd. U gebruikt momenteel bijvoorbeeld MFEHIDK.SYS versie 15.4.0.645 en een nieuwe patch installeert mogelijk versie 15.5.0.377. Het verschil is hier slechts een kleine versie-upgrade (in het versienummer te zien als [groot].[klein].0.[build]). Het risico kan als volgt worden gemeten, gebaseerd op het verschil:
- Groot versieverschil = wijziging met hoog risico voor de omgeving
- Klein versieverschil van 1 = wijziging met gematigd risico voor de omgeving
- Klein versieverschil van 2 of meer = wijziging met hoog risico voor de omgeving
- Alleen buildnummer verschilt = wijziging met laag risico voor de omgeving
Hoe beperk ik het risico van patches die Intel Security aanbeveelt volgens de beste praktijken voor het gebruik van software?
Dit moet sommige of alle van de volgende omvatten:
- Een testplan voor het testen van softwarefunctionaliteit in uw eigen omgeving en met uw eigen toepassingen.
- Een pilotprogramma gericht op een groep gebruikers die kennis hebben van de aanstaande wijziging en die gebreken kunnen rapporteren, zodat u deze kunt onderzoeken voordat de patch in het groot wordt geïmplementeerd.
- Installeer regelmatig nieuwe patches (zie ‘Hoe beoordeel ik het risico van patches?’). Met een kleiner verschil tussen patches verkleint u het eventuele risico van het toepassen van patches.
Moet ik het systeem opnieuw opstarten? Zie de releaseopmerkingen van de patch voor specifieke informatie, maar over het algemeen is het niet nodig om het systeem opnieuw op te starten na een patch.
Als u de geïnstalleerde versie van MFEHIDK.SYS wilt downgraden (een nieuwere versie/patch verwijderen of een oudere versie/patch installeren), is opnieuw opstarten verplicht na het verwijderen van de software.
Als opnieuw opstarten wordt aanbevolen, kan dit worden uitgesteld tot een handige of geplande periode, maar let wel op dat hoe langer u het opnieuw opstarten uitstelt, hoe hoger het risico wordt om een storing te krijgen.
Terug naar inhoudsopgave
Id vorig document (Secured)
ontkenning
Betrokken producten
Talen:
Dit artikel is beschikbaar in de volgende talen: