Loading...

ナレッジセンター


VSE 8.8.x において、DAT 6807/6808が問題を引き起こします
技術的な記事 ID:  KB80931
最終更新:  2014/02/13

概要

環境:
 

McAfee VirusScan Enterprise 8.8 (すべてのパッチ・バージョンが対象)
DAT6807, 6808

概要:

最終更新日時 2012/08/22 PM7:00(US時間)
よくあるご質問につきましては、KB80930 を参照ください。

問題点:

重大: VSE8.8を使用している場合で、DAT 6807または6808をまだ適用していない場合には、DAT 6807または6808を適用せずに、DAT 6809 以降のDATを直接適用してください。

マカフィーは、DAT 6807および6808に問題を見つけました。これは、VirusScan Enterprise (VSE) 8.8.xにおいて、問題を引き起こします。
特に、これらのDATは、McShield.exe に影響し、オンアクセス・スキャンに問題を発生させます。

DAT 6807または6808を適用されたことがある場合は、DAT 6809が適用できたか否かに関わらず、本問題による影響を受けています。このため、DAT 6807または6808を適用されたことがある場合は、下記の解決策を実施することを強く推奨します。

以下の現象が、この問題の影響を受けている環境で発生します:

  • オンアクセス・スキャン( McShield.exe) は、動作しているように見えます。プロセスは稼働していて、Windows Task Managerから見ることができます。
  • プロセス・エクスプローラ(Process Explorer)では、 MfeRuntime*.DAT ファイルがどのファイル・ハンドラからもオープンがされていないことが表示されます。
  • DATは、6807以降へのアップデートに成功しています。DATは、所定の場所にコピーされていますが、 McShield.exeにロードされていません。
  • 影響を受けたシステムではWindowsシステムイベント上へ下記のmfehidkのようなマカフィープロセスに関するイベントが複数回ログされる場合があります。
    • 512
    • 514
    • 516
    • 519

    イベントログの例
    Event Type: Warning
    Event Source: mfehidk
    Event Category: (256)
    Event ID: 516
    Date:  <Date>
    Time:  <time>
    User:  N/A
    Computer: <name>
    Description:
    プロセス **\MCSHIELD.EXE pid (1160) には、署名のないコードまたは破壊されたコードが含まれていますが、McAfee ドライバでの特権操作の実行を許可されました。

     
  • DATバージョンのレジストリ(registry)の値は、同期されていません:
    • 以下の場所にあるDATのバージョンは、古く(6807あるいは6808)なっています:

      32-bit systems
      HKLM\Software\McAfee\AVEngine\AvDATVersion

      64-bit systems
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\AVEngine\AvDATVersion

    • 以下の場所にあるDATのバージョンは、最新にアップデートされています:
      HKLM\Software\Network Associates\ePolicy Orchestrator\Application Plugins\Viruscan8800\DATVersio
  • ePolicy Orchestrator (ePO) コンソールへは問題のあるコンピュータのシステム属性として以下のDAT/Engine のバージョン情報が報告されます:
    DAT Date 0/0/0
    DAT Version 0.0000
    Engine Version 0.0000
解決策1:

この問題を修正するため、以下のいずれかのHotfixを入手のうえ、問題が発生している環境へ適用してください。
(このHotfixは必須(Mandatory)となります)

  • VSE 8.8 Hotfix 793781
    本hotfixには必要最低限のDATが含まれています。本Hotfix を適用した端末は、即座に完全な DAT 更新が必要となります。
  • VSE 8.8 Hotfix 793640
    本hotfixは完全な6809 DATを含んでいるためHotfix 793781より大きなファイルサイズです。本Hotfixで修復されたシステムでは、差分DAT更新が必要になります。

    注意: これらhotfixは、SuperDATとして動作しますが、ePOサーバには “製品またはアップデート”としてチェックインしてください。

このHotfixは、以下の場所からダウンロードできます:

リリースノートはこちらからダウンロードできます:

重要: Hotfix 793640は、約100MB のサイズがあります。展開に当たっては、大規模な環境においてネットワークの帯域を圧迫する可能性がありますので、ネットワーク経由でのHotfix適用につきまして充分ご注意ください。

2つのHotfixのうち展開したいHotfixのみをチェックインしてください。両方のHotfixが同時にePOのリポジトリに存在しないようにしてください。

標準手順
  1. Hotfixファイルを、ハードドライブ上のテンポラリ・フォルダーに展開します。
  2. hotfixの実行ファイル (.EXE) をダブルクリックします。
  3. インストレーション・ウイザードの指示に従ってください。

ePolicy Orchestratorのチェックインおよび展開方法

  1. ePolicy Orchestrator コンソールを開き、リポジトリにhotfixの .zip パッケージを追加します。このインストレーションパッケージ・タイプは、製品またはアップデート (.zip) です。

    リポジトリにパッケージを追加する方法につきましては、ePolicy Orchestratorオンライン・ヘルプのパッケージの手動チェックイン セクション、あるいは、該当バージョンのePOの製品ガイドを参照してください。

    重要: 2つのHotfixのうち展開したい(もしくは展開中の)Hotfixのみをチェックインしてください。Hotfix 793781とHotfix 793640が同時にePOのリポジトリに存在しないようにしてください。すでにHotfix 793640がチェックインされている場合には、Hotfix 793781をチェックインする前に、リポジトリからHotfix 793640を削除してください。

     
  2. エージェントアップデートタスクを用いて、該当のクライアントへHotfixを展開します。”パッチとサービスパック” にて、VirusScan Enterprise 8.8.0 が選択されていることを確認してください。

    重要: もし SuperDATを選択した場合には、Hotfixは適用されません。
解決策2:

DAT 6807 または 6808を適用していない場合には、DAT 6809 以降のDATを直接適用してください。

サードパーティツールを使用したHotfix展開

このHotfixは、管理者あるいはローカルシステム認証を使用したサードパーティのソフトウェア配布ツールを使用して配布することができます。
またサイレントでインストレーションを実行する場合には、/SILENT スイッチ (例: VSE88HF793640.exe /SILENT)を追加してください。

帯域幅の狭いサイトへの対策:

Hotfix793781は多くの帯域を使用する問題を緩和させるために作成されました。帯域への懸念があるお客様にはHotfix 793640の代わりにHotfix793781を展開することを推奨いたします。ただし、Hotfix 793781にて修復されるシステムでは修復の過程にて完全なDAT更新が必要になることにご注意ください。

帯域の使用を削減するには、以下のいくつかの方法があります:

  • Hotfixを一度にすべてのシステムに展開せずに、 いくつかのグループごとに異なるアップデートタスクスケジュール設定をそれぞれ割り当てることでHotfixのダウンロードにかかる帯域使用量を調整する。
  • 一定期間に1つのグループにタスクが配布されるようにランダムな間隔を使用する。
  • WWで複数の拠点で同一のスケジュールタスクを使用してアップデートを実施されている場合、ローカル時間でアップデートタスクが実施されるように設定することでそれぞれ異なった時間帯でアップデートが実施されるようになります。(デフォルト設定ではローカル時間が選択されています)
  • 拠点内のネットワークLANトラフィックでのみHotfixを適用するよう、ePO上で分散リポジトリを作成し構成する。なおその際にはアップデートタスクが実施される前にマスターリポジトリから分散リポジトリへパッケージを必ず複製してください。
    またデフォルトではクライアントアップデートタスクは、ネットワーク上で最も近いリポジトリとの間で行われます。

Hotfixが正しくインストールされたかどうかの確認:

適用後には全てをシステムリブートし、修正が正しく適用されているかを確認してください。

以下の項目をチェックすることで、Hotfixが正常に適用されているかを確認することができます:

  • Hotfix適用後、ePOサーバへクライアントの製品プロパティ情報が送信されると、ePOサーバ上のクライアント製品プロパティ情報の“修正”フィールドには以下のようにhotfixの番号が表示さるようになります。

    793640 = Hotfix 739640 (larger package) によって修復された時
    793781 = Hotfix 793781 (smaller package) によって修復された時

    “修正”フィールドに上記のどちらかもしくは両方の番号が表示された場合には、クライアントシステムにてhotfixが正しく適用されました。同様に、SQLでsystem propertyを検索することで、どのノードがHotfixを正しくインストレーションできたかのレポートを入手できます。
    SQLのクエリの作成方法については、KB67406を参照して下さい。

    注意: すでにHotfix 739640 (larger package)が適用されているシステム上で、 Hotfix 793781が実行されることがあるかもしれません。この場合、双方のHotfixの番号がePOへレポートされます。この現象が発生しても悪影響はございません。

     
  • ローカル・システム上で下記レジストリキーの値にHotfix_793640もしくはHotfix_793781がエントリーされているかをチェックします。

    32ビットシステム: HKEY_Local_Machine\Software\McAfee\DesktopProtection
    64ビットシステム: HKEY_Local_Machine\Software\Wow6432Node\McAfee\DesktopProtection

注意:

  • 6807以前のDATを使用しているノードでは、 このHotfixを適用する必要がありません。この場合には793640もしくは793781としてのプロパティ情報は表示されません。
  • 応答のないMcAfee Agent のノードでは、スタンドアロン(ローカル)インストレーションが必要になります。
関連情報:

Mandatory Security Hotfixインストレーションに関するFAQ:

重要:

よくあるご質問につきましては、KB80930 にてまとめて掲載しておりますので、こちらを参照ください。

・この問題を確認するための方法はありますか?
ePO経由でデータ分析を提供するためのVSE 6807 & 6809 Integrity Reporterツールをご用意いたしました。このデータは再起動が必要なシステムも識別します。

このツールを入手するために、以下のドキュメントをご覧ください。

VSE 6807 & 6809 Integrity Reporterツール

・Userアカウントを使用してHotfixをインストールすることができますか?
いいえ、Hotfixのインストールには、管理者あるいはシステムアカウント特権が必要です。

・Hotfixを適用する必要があるシステムは、どのように確認することができますか?あるいは、すべてのシステムに適用が必要ですか?
DAT 6806 のシステムはDAT 6809もしくはそれ以降に直接アップデートすることができます。
また、前述したIntegirty Reporterツールを利用して、Hotfixが必要となるシステムを特定することもできます。

・Hotfix 793781 パッケージは何をしますか?
Hotfix 793781 は大きなサイズの Hotfix 793640 と同じ修正を VirusScan Enterprise に適用します。但し、このパッケージには 6809 のDAT が含まれていません。 Hotfix 適用が必要な端末は、ダミーとなる DAT (バージョン 1111) が適用されます。この Hotfix を適用した端末は、即座に完全 DATでの 更新が必要となります。

・Hotfix 793781、Hotfix 793640 どちらを使用すべきですか?
Hotfix 793781 は Hotfix 793640 と同様に、 DAT 6807 または 6808 の影響を受けた端末を改善しますが、DAT 6809 は含まれていません。まだどちらの Hotfix も適用していないお客様で、帯域幅を制限したい場合には Hotfix 793781 の適用を推奨します。

・両方の Hotfix を自身の ePO リポジトリに入れる必要がありますか?
いいえ、お客様の環境に応じて必要となる Hotfix のみをチェックインすることを推奨します。すでに Hotfix 793640 をチェックインしている環境で、Hotfix 793781 を配備する場合、793640 はリポジトリから削除してください。

・Hotfix 793781 を適用後、何が起こりますか?
Hotfix 793781 を適用後、DAT のバージョンが 1111 としてレポートされたすべての端末は最新の DAT に上げるため、完全なサイズのDAT を受け取る必要があります。デフォルトでは、アップデートはスケジュールされた次のアップデートタスク実行時に実施されます。
すべての端末が最新の保護を提供できるよう、できる限り早くアップデートのスケジュールを設定することを推奨します。

注意: 完全な DAT パッケージは、アップデート実行時にダウンロードされます。端末は一旦完全な DAT が適用されると、次回から差分更新となります。ePO から DAT のコンプライアンスレポートを使用することで、 DAT 1111 の端末を特定することができ、完全な DAT を受け取った端末の数を集計することができます。

・Hotfix 793781をインストールしたシステムを再起動する必要はありますか?
McShieldサービスが稼働していない場合、システムを再起動する必要があります。
また、前述したIntegirty Reporterツールを利用して、再起動が必要となるシステムを特定することもできます。

・Hotfixパッケージの実行が失敗に終わるシステムがありますが、どのように修復すればよいでしょうか?
レジストリの値に誤りがあるために適用が失敗する報告を受けております。詳細な情報はKB80929をご確認ください。

以前のドキュメント ID

VE12082001

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.