Use as etapas a seguir para solucionar um aplicativo voltado para a rede ou o tráfego que o firewall do Host Intrusion Prevention está bloqueando:
- Salve os registros de HipShield e FireSvc existentes e exclua os originais. Essa ação redefine os registros.
- Ativar registro completo de IPS e firewall. Exibidas KB72869 para obter informações sobre o registro do Host Intrusion Prevention.
- Abra a interface do usuário do cliente do Host Intrusion Prevention (UI) e desmarque a caixa de Registro de atividades.
- Na guia Opções de Firewall política ou localmente no cliente após desbloquear a interface do usuário do cliente, ativar o Modo adaptável alternativa.
- Teste o problema:
Ele funciona?
Uma regra adaptável é criada? Em caso afirmativo, adicione a regra apropriada à política de firewall de clientes.
- Teste novamente o problema com a política atualizada aplicada.
- Verifique o log de atividades de UI do cliente em busca de bloqueios.
- Pesquisar no FireSvc. log procura PID BLOQUEADA.
- Se não houver blocos e nenhuma regra for criada no modo adaptável, certifique-se de que o cliente esteja executando o patch do host IPS mais recente. Exibidas KB70725 para obter informações sobre a versão do patch e do hotfix.
Usar a regra any-any
- No console do servidor ePO, duplique o Firewall regra a política que está sendo executada.
- Modifique essa nova política, atribua-a ao cliente de teste e crie uma nova regra de Firewall.
- Selecione o seguinte:
IPS de host 8.0:
Guia Descrição>
Nome = Permitir qualquer um
Ação = Permitida
Direção = Destes
Status = Ativado
Guia Opções de rede>
Protocolo de rede = Qualquer protocolo
Guia Opções de transporte>
Protocolos de transporte = Todos os protocolos
Guia aplicativos>
Deixar em branco
Guia programação>
Status do agendamento = Deixar desmarcada (desativada)
- Salvar o Permitir qualquer um regra e mova-o para a parte superior da nova política de firewall duplicada.
- No console do servidor ePO, duplique o Opções de Firewall a política que está sendo executada.
- Modifique essa política recém duplicada, atribua-a ao cliente de teste e modifique os recursos a seguir no Opções de Firewall Policy.
IPS de host 8.0:
"Permitir o tráfego de protocolos incompatíveis" = Ativado
Proteção de inicializa�ão = Desativado
"Ativar a proteção contra falsificação de IP" = Desativado
"Limite de bloqueio de entrada de TrustedSource" = Não bloquear
"Limite de bloqueio de TrustedSource de saída" = Não bloquear
- Para host IPS 8.0, defina o Bloqueio de DNS política para McAfee padrãoou certifique-se de que a política atribuída não tenha entradas de bloqueio de DNS.
- Teste novamente o problema.
Ele funciona?
Se ele funcionar, expanda todos os grupos de regras de firewall na política nomeada e analise cada uma das regras de firewall de cima para baixo. Preste atenção especial às regras que Bloquear como a ação. Com base nessa revisão, mova o Any-any regra para muitas posições no conjunto de regras.
NOTAS:
- Ao analisar as regras várias vezes e testar novamente o problema, você pode determinar qual regra pode estar bloqueando o aplicativo.
- Para host IPS 8.0, outros recursos podem estar bloqueando o tráfego, como TrustedSource Quanto Falsificação de IP avançados. O problema pode ocorrer novamente se você reativar esses recursos. O motivo é que as regras de firewall criadas para esses recursos são processadas antes sua política de regra de Firewall.
IPS de host 8.0: Verifique se os detalhes do aplicativo correspondem aos detalhes do executável de forma apropriada. Por exemplo, o Descrição do arquivo o valor deve ser a descrição exata do aplicativo, e não um valor de comentário para o aplicativo. Exibidas KB71735.
Se uma regra não estiver localizada, adicione a regra apropriada ao conjunto de políticas de firewall e teste-a novamente.
Teste permitindo protocolos não IP
O firewall filtro de especificação da interface de dispositivo de rede (NDIS) talvez não esteja vendo o tráfego. Para garantir que você tenha testado ao permitir protocolos incompatíveis, consulte
KB66899.
Teste desativando a funcionalidade do TrustedSource (host IPS 8.0 somente
O tráfego de rede é processado pelo
TrustedSource-obter classificação firewall regra
antes as outras regras de firewall contidas no
Regras de Firewall política, que pode conter um
Permitir qualquer um firewall regra.
Teste desativando a funcionalidade de falsificação de IP (host IPS 8.0 somente
O tráfego de rede é processado pelo
Falsificação de IP firewall regra
antes as outras regras de firewall contidas no
Regras de Firewall Policy. A política de regras de Firewall pode conter um
Permitir qualquer um firewall regra.
Teste desativando ou desinstalando os drivers NDIS da prevenção contra intrusão do host
OBSERVAÇÃO: As informações contidas no artigo Base de conhecimentos a seguir são apenas para testes. Ele não se destina a ser usado como uma solução para um problema:
KB75917 -Ativar modo FWPassThru.
Solução de problemas avançada
OBSERVAÇÃO: A seguinte solução de problemas avançada pode ser necessária para uma análise mais detalhada. Entre em contato com o Suporte técnico para obter assistência se for necessário um dos itens a seguir.
Teste o problema com o driver Microsoft NDIS Pass by instalado
Um defeito no NDIS pode causar alguns problemas. NDIS é a interface do aplicativo de programação para drivers de dispositivo de rede de terceiros. Para determinar se o NDIS está com defeito, desinstale o Host Intrusion Prevention e instale o Microsoft passagem do driver NDIS. Para solicitar o driver de PassThru NDIS, entre em contato com o Suporte técnico.
IPS de host 8.0: Coleta de dados usando o registro de Microsoft ETL
Exibidas
KB72868 para obter informações sobre como coletar registros de ETL para o Host Intrusion Prevention 8.0 por Windows.
Coletar dados usando o software de captura de rede (por exemplo, Wireshark)
Alguns problemas de firewall avançados também podem exigir um rastreamento de pacote de rede durante a reprodução. Normalmente, dois rastreamentos são gravados: um com o problema e o outro sem o problema. Você pode comparar os rastreamentos para determinar qualquer diferença com o tráfego do pacote de rede:
- Instale o software de captura de rede, por exemplo, Wireshark, no cliente de teste.
- Desmarque e reinicialize todos os logs e o registro de atividades do ClientUI.
- Iniciar a captura de um rastreamento de rede.
- Reproduza o problema.
- Interrompa a captura de rastreamento de rede.
- Clique no botão Port ou Salvar e salve o log de atividades do ClientUI do host IPS.
- Colete o seguinte:
- Rastreamento de rede arquivo
- McAfeeFireLog. txt -Log de atividade de UI do cliente do host IPS
- HipShield. log
- FireSvc. log
- Entre em contato com o Suporte técnico e forneça os registros e os resultados da ferramenta MER completa.
Para entrar em contato com o Suporte técnico, entre no ServicePortal e vá para a página Criar uma solicitação de serviço em
https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Se você for um usuário registrado, digite sua ID de usuário e Senha e clique em Entrar.
- Se não for um usuário registrado, clique em Registrar e preencha os campos obrigatórios. Você receberá um e-mail com as instruções de senha e acesso.
- Identificar o Endereço IP do cliente e o Endereço IP do servidor de rede com o qual o aplicativo está tentando se comunicar.
- Desativar o firewall e criar um segundo rastreamento de rede com tudo funcionando corretamente para comparar o rastreamento de trabalho com o rastreamento fora de funcionamento.
- Se possível, isole o tráfego de rede que pode ter sido bloqueado no primeiro rastreamento, comparando o rastreamento de rede de trabalho e de fora de trabalho. Adicione as regras apropriadas à política.