2023年4月27日,Trellix 发布了对 mcafee 产品的多项更新,添加了对 Apple 硅的支持,并实施了新证书。为确保无缝体验,请确保您环境中的所有适用产品都升级到最新的可用版本。
重要说明: 如果您选择继续更新任何产品,
则必须升级所有产品。您不能只升级一个或多个选定的产品。
哪些产品会更新以提供 Apple 硅支持?
- DLP
- EDR客户端
- ENSM
- FRP
- MNE
- PA
- SCP
- 塔
我是否需要立即升级?不能。如果您未准备好升级,则可以选择稍后执行此操作。在您进行升级时,请确保按照下面所述的过程操作。
请记住,在设备上升级某个受影响的产品时,需要升级该设备上的
所有受影响的产品 。
我是否可以执行单独的产品升级?不能。您不能单独升级产品。如果其中一个受影响的产品(TA 或 PA 除外)被升级,则会导致卸载所有其他产品。
此单个升级过程是必需的,因为实施了新的签名证书。
然后,应安装其他受影响产品的最新可用版本。
要移至这些版本,请在基于 Intel
®的或混合环境中,您必须同时更新所有客户端。
在升级之前:
- 查看整个升级过程,并了解所需的挑战和操作。
- 查看您要升级的产品的已知问题和发行说明。在升级之前,请检查这些文档中是否存在安装问题以及要解决的其他特定产品的先决条件和要求。
- 确定需要下载的产品版本。查看下表并根据需要下载。
有关详细信息,请参阅 KB56057-如何下载 Enterprise 产品更新和文档。
重要说明: 如果您选择继续更新任何产品, 则必须升级所有产品。您不能只升级一个或多个选定的产品。
产品 |
要升级到的版本 |
塔
|
5.7.9.139 |
ENSM |
10.7.9:
- 威胁防护版本: 10.7.9.138
- 防火墙版本: 10.7.9.37
- Web 控制版本: 10.7.9.58
- 自适应威胁防护版本: 10.7.9.41
|
DLP |
11.10.0.1776 |
EDR客户端 |
4.1.1.2821 |
SCP |
4.6.0.242 |
MNE
|
5.2.3.11 |
FRP |
5.4.4.92 |
PA |
6.5.5.246 |
升级过程:
- 浅蓝色方框表示在 ePO 部署服务器上执行的操作。
- 较暗的绿色框表示已在您的端点上执行的操作。
- 淡绿色方框表示端点的信息。
- 下面的过程详细介绍了方括号 [x] 中的数字。
- 签入下载的扩展和包,以获取适用产品的 ePO。然后,签入最新的 Dat 和内容更新。
- [1] 验证 msgbus 已签入到 ePO 的证书是否版本 5.7.9.139. 如果 msgbus 证书版本较旧,请检查版本 5.7.9.139 以 ePO。
重要说明:在升级 TA后部署已更新 msgbus 的证书。
- 仅限 JAMF/MDM 用户:
将以下系统扩展 MDM 负载设置添加到您的配置文件中。这些添加确保删除遗留系统扩展:
属性 |
Value |
系统扩展类型 |
可移动系统扩展 |
团队标识符 |
GT8P3H7SPW |
可拆卸系统扩展 |
com.mcafee.CMF.networkextension
com.mcafee.CMF.endpointsecurity |
FMP 涵盖部署过程中的删除。但是,如果配置正确,删除必须由用户/管理员或通过 MDM 配置文件批准。
对于 macOS Big Sur 及更早版本,应通知用户/管理员允许删除,因为配置文件可能无法允许删除遗留扩展,
由于这些操作系统的限制。
此外,为了让产品正常工作,请在配置文件中或由用户/管理员允许以下操作。
属性 |
Value |
系统扩展类型 |
可移动系统扩展 |
团队标识符 |
P2BNL68L2C |
束标识符 |
com.trellix.CMF.networkextension
com.trellix.CMF.endpointsecurity |
最后,通过配置文件添加您的证书。
- 通过 ePO 将 TA 部署到适用的端点。
[2] 策略实施已升级的 TA 及其他产品的问题:
TA 监视器可能会显示代理服务正在运行,但策略强制实施失败。这是因为 TA 代码签名已更新。
关于和控制台页面会显示所有已安装的产品,但是来自其他产品的事件未报告回 ePO。从 ePO 的策略强制实施不会在客户端计算机上发生。
注意: 在更新 ENSM 之前,menulet 图标会显示 McAfee 徽标。
- msgbus 从 ePO 部署证书。
有关详细信息,请参阅 KB95958-Trellix Agent MsgBus cert 更新包 5.7.7.435 或更高版本包含更新的 Musarubra 和 McAfee inc. 证书。
- 从 ePO 部署您的产品:
[3] 建议的产品部署顺序:
- 为所有适用的产品创建单个部署任务。
重要说明: 按以下顺序部署产品:
- ENSM(威胁防御、防火墙、Web 控制、自适应威胁防御)
- DLP
- EDR客户端
- SCP
- MNE
- FRP
- PA
注意事项:
- 如果您有产品的子集,请选择您要部署的产品, 但 要按上述顺序部署它们。
- 支持建议在部署任务上设置随机选择选项,因此任务执行会分布在您的端点上。
- 要处理前一次运行中的任何部署失败,支持建议在部署任务上设置重复选项,以便任务可以在端点执行多次。
- 将 ePO 部署任务推送到端点。
[4] 备份工件和卸载产品:
作为第一款产品升级的一部分,会对所有已安装产品的项目进行备份,除了 MNE 和 PA 之外,还会卸载所有其他产品。升级产品后,会还原这些项目。
- 在客户端上,提供卸载系统扩展的许可。
有关详细信息,请参阅 启用 ENSM 防火墙 10.7.5 和更高版本所需的 "KB93600-同意"。
重要说明: 在客户端上需要管理员同意才能删除软件扩展。
[5] 在客户端上卸载旧的系统扩展:
在非 MDM 部署中,卸载期间,会删除以下 McAfee 品牌的系统扩展:
- com.mcafee.CMF.networkextension
- com.mcafee.CMF.endpointsecurity (适用于已安装 EDR 客户端的情况)
- 在客户端上提供安装新系统扩展的同意:
[6] 安装新的系统扩展
在非 MDM 部署中,在安装期间,允许以下 Trellix 系统扩展通过弹出窗口加载新的扩展:
- com.trellix.CMF.networkextension
- com.trellix.CMF.endpointsecurity (如果安装了 EDR 客户端,系统会提示您)
- NetworkFilterContent
- 为客户端上的特定应用程序提供完全磁盘访问:
[7] 出现提示时,请在客户端的 fmpd, VShieldScanner 和 VShieldScanManager.app 之间提供对磁盘的完全访问权限。
注意:
- 除非接受,否则每10分钟显示 ENSM VShieldScanner 完整磁盘访问提示。
- 已接受后,每30分钟显示 ENSM 系统扩展完整磁盘访问提示。
- [8] 通过 完整磁盘访问 列表为新的扩展和进程提供对磁盘的完全访问权限:
- 单击 系统设置、 隐私 & 安全/Security、 完全磁盘访问。
- 添加 TrellixNetworkExtension 、 TrellixEndpointSecurity 和 masvc 。
有关详细信息,请参阅 KB91109 - 与隐私政策偏好控制的兼容性。
重要说明: 如果 DLP 是第一个要更新的产品,DLP 将不会向您显示有关为其启用完全磁盘访问的 fmpd 通知。
您必须手动启用该 fmpd 进程的完全磁盘访问权限。
- [9] 查看升级过程。请注意以下内容:
- MNE 不会被卸载。在将 MNE 升级到最新版本之前,MNE 功能不起作用。
- 由于此问题,您可能会看到 MNEHost 并 MNEMacTool 停止响应(崩溃)。
- 在升级 MNE 之前,menulet 图标显示红色警报 MAC 存在风险,而控制台显示 MAC 是安全的。
所有其他产品都可以正常工作。
- PA 未卸载,但会升级到所提供的版本。
- 您会看到一个弹出窗口:已添加背景项目。
- 完整弹窗如下:
- 升级完成后,您会在 登录项 下看到条目 FireEye Security Holdings US LLC。 项目的数量取决于您安装的产品。
- [10] 验证产品升级:
升级所有适用的产品后,请检查以下项目以确保所有产品升级成功:
- Menulet 显示 Trellix 徽标。
- Menulet,关于 显示已安装的所有产品及其版本。
- Menulet,控制台 会显示客户端状态、所有已安装的产品及其状态(启用或运行)。