0 返信 最新の回答 日時: Aug 28, 2012 2:19 AM ユーザー:morozumi

    DAT6807/6808問題の解決方法

       

      • 問題内容:

      VirusScan Enterprise (VSE) 8.8.xDAT 6807 (日本時間8/18リリース) または6808 (日本時間8/19リリース)

      適用すると、下記いずれかの事象が発生する場合があることが確認されています。 

       

      DAT 6807または6808を適用されたことがある場合、DAT 6809が適用できる、またはMalware検出が

      できるか否かに関わらず、本問題による影響を受けていますので、いずれかのHotfix(793781/793640)

      適用して問題を修正してください。

       

      • 現象:
      1. オンアクセススキャンプロセス(Mcshield.exe)は起動しているものの、ウィルススキャンが動作しない。
      2. オンアクセススキャンプロセス(Mcshield.exe)が起動しない。
      3. 下記のEventWindows OSのシステムイベントへログされる。

       

      • -      512
      • -      514
      • -      516
      • -      519

       

       

      • 影響範囲:

      VSE8.8の環境でDAT6807/6808を適用したことがある全てのコンピュータが対象

      1. VSE8.8の環境でDAT6807より前のバージョンからDAT6809以降のバージョンへ直接更新(差分/完全DAT

      のどちらの方法でも可)された場合は、この問題の影響を受けません

       

      2. これはVSE8.8でのみ発生する問題です。、その他のコーポレート向けEndpoint Anti Malware製品は

      影響を受けません

       

       

      • 原因:

      調査中

       

       

      • 対応方法:

       

      1. ePolicy Orchestratorを使用している場合

      事前確認で影響を受けたノードを特定し、個別にHotfix適用をする必要があります。

      特定方法およびHotfix適用方法については下記を参照ください。

       

      •  特定方法

      VSE 6807 & 6808 Integrity Reporterツールを使用て、Hotfixを適用するべきコンピュータを特定します。

                    ※下記のFAQ:VE12082001およびVE12082402からそれぞれ、HotfixおよびReporterツールを

                     ダウンロードしておきます。

      Integrity Reporterツールは ePO を導入している環境のみ使用できます。

      ePO を使用していない環境の場合は、Hotfixを適用すべき端末の特定はできませんので、すべての端末に

      Hotfix 793781/793640いずれかのHotfixを適用する必要があります。(OS再起動が必要)

       

       

      • ①    ePOコンソールへログイン後、メニューレポートクエリとレポート より、アクションボタンを

      押し、定義のインポートメニューを立ち上げて、” ePO46_Query_6807-6808_Remediation_Status

      .xml”を指定して、レポートクエリ内へインポートします。

      • ②    ePOサーバコンソールより、メニューソフトウェアマスタリポジトリを選択し、VSE88INT2007.zip

      チェックインします。

      • ③    メニューシステムシステムツリーを選択し、検査ツールを適用するサイトまたはグループを選択し、

      割り当て済みのクライアントタスクタブをクリックします。

      • ④    アクション新しいクライアントタスクの割り当てボタンをおして、クランアントタスクビルダを立ち上げ、

      製品:”McAfee Agent”, タスクの種類:”製品配備”, タスク名:”タスクの新規作成をクリックし、任意の

      タスク名を付与した後に引き続き、対象プラットフォーム:”Windows”、製品とコンポーネント: “VSE 6807

      & 6808 DAT Integrity Reporter2.0.0.7”を選択した上で保存ボタンを押して、製品配備ポリシーを保存

      します。(クランアントタスク割り当てビルダへ自動的に戻ります。)

      • ⑤    タスク名で④で作成したタスクを選択して、次へを押した後、製品配備タスクを実行するスケジュールを

      任意で設定します。

      • ⑥    クライアントのスケジュール実行で上記で作成したツールの起動後、エージェント-サーバ間通信または

      エージェントウェークアップコールを実施して検査ツールの実行結果をePOサーバへアップロードさせます。

      • ⑦    メニューレポート-クエリとレポートを選択し、6807-6808 Remediation Statusクエリを実施すると、

      下記リストのステータスがePOサーバへアップロードがされ、各クライアントの分析結果が確認可能です。

                   

      分析結果の意味について

      Hotfix Required

      このシステムにはHot Fix適用が必要です

      Hotfix Not Required

      このシステムは 6807/6808 DATの影響を受けてません

      Hotfix Applied DAT Update Required

      このシステムは修正されてますが DAT を最新にする必要があります

      Hotfix Applied

      このシステムにはHot Fix適用済です

      Missing AVDatVersion Key

      必要なレジストリ情報が確認できずHot Fixが実行できません

      w/Reboot Required

      付加されたイベント分析データによると、このシステムは再起動が必要です。

      McShield Not Running

      付加されたイベント分析データによると、このシステムは再起動が必要です。

       

      付加されたイベント分析データによるとこのシステムは再起動が必要です

       

        1-2Hotifx適用方法

      • ①    ePOサーバコンソールより、メニューソフトウェアマスタリポジトリを選択し、パッケージのチェックイン

      押して、Hotfix 793781/793640のいづれか片方のHotfixをリポジトリへチェックインします。

      お客様の環境に応じて必要となる Hotfix のみをチェックインしてください。

      もし Hotfix 793640 をチェックインしている環境で、Hotfix 793781 を配備する場合、793640 はリポジトリから

      削除してください

      • ②    メニューシステムシステムツリーを選択し、Hotfixをインストールするサイトまたはグループを選択し、

      割り当て済みのクライアントタスクタブをクリックします。

      • ③    アクション新しいクライアントタスクの割り当てボタンをおして、クランアントタスクビルダを立ち上げ、

      製品:”McAfee Agent”, タスクの種類:”アップデート”, タスク名:”タスクの新規作成をクリックし、任意の

      タスク名を付与した後に引き続き、パッケージの種類:”VirusScan Enterprise 8.8.0”へチェックマークを付けて

      保存ボタンを押します。(クランアントタスク割り当てビルダへ自動的に戻ります)

      • ④    タスク名で③で作成したタスクを選択して、次へを押した後、製品配備タスクを実行するスケジュールを

      任意で設定します。

      • ⑤    エージェント-サーバ間通信またはエージェントウェークアップコールを実施して、上記で作成したアップデートタスク

      ポリシーをクライアントで配布します。

      • ⑥    設定されたスケジュールポリシーに基づいた、アップデートタスク実行時にHotfixがローカルへインストールされます。

       

       ※注意事項

      - 管理台数の多い環境では、事前準備&Hotfix適用手順をサイクルで複数回実施する必要があるかもしれません。

      -  Hotfix 793781 DATが含まれず、ローカルDATを使用しての問題修正が実施されるため、非常にコンパクト

      (1.44MB)な修正モジュールです。

      半面、ローカルDATファイルに問題がある場合には、Hotfix内に格納されているダミーDAT (1111)を使用して

      問題の修復が実施されます。このダミーDATにはMalwareを検出する機能が一切含まれていませんので、

      ダミーDAT (1111)を使用して修正がされた場合には、Agent updateの実施などでFull DATの適用が必要に なります。

       

      DAT1111が適用されているコンピュータを特定する場合には、ePOレポートクエリ機能で”VSE:現在のDAT

      適用状況等を実行することでコンピュータを特定することが可能です。

       

      1. Standalone VSE88の場合

       

      Integrity Reporterツールは ePO を導入している環境のみ使用できます。

      ePO を使用していない環境の場合は、Hotfixを適用すべき端末の特定はできませんので、すべての端末に

      Hotfix 793781/793640いずれかのHotfixを適用する必要があります。(OS再起動が必要)

       

       

      その他: 関連情報ナレッジ

      VSE 8.8.x において、DAT 6807/6808が問題を引き起こします

      http://www.mcafee.com/japan/pqa/aMcAfeeVse.asp?ancQno=VE12082001&ancProd=McAfeeV se

       

      VE12082001に関するよくあるご質問 - VSE 8.8.x において、DAT 6807/6808が問題を引き起こします

      http://www.mcafee.com/japan/pqa/aMcAfeeVse.asp?ancQno=VE12082301&ancProd=McAfeeV se

       

      VSE 6807 & 6808 DAT Integrity Reporter

      http://www.mcafee.com/japan/pqa/aMcAfeeVse.asp?ancQno=VE12082402&ancProd=McAfeeV se

       

      AVDatVersion のレジストリが存在しない場合、6807/6808 DAT 障害用のHotfixパッケージの実行に失敗します

      http://www.mcafee.com/japan/pqa/aMcAfeeVse.asp?ancQno=VE12082401&ancProd=McAfeeV se