Funcionalidad de bloqueo/enlace de aplicaciones con Host Intrusion Prevention 8.0
Artículos técnicos ID:
KB71794
Última modificación: 03/11/2020
Entorno
McAfee Host Intrusion Prevention (host IPS) 8.0
Para obtener información sobre host IPS 8.0 plataformas, entornos y sistemas operativos compatibles, consulte KB70778.
Resumen
Host IPS 8.0 sin no incluya un módulo de bloqueo de aplicaciones independiente. Proporciona esta funcionalidad mediante el módulo host IPS.
Firmas de host IPS 6010 así 6011 se incluyen en la Directiva reglas IPS predeterminadas de McAfee:
- Firma de host IPS 6010: protección de enlace de aplicaciones genéricas
- Firma de host IPS 6011: protección de invocación de aplicaciones genérica
Ambas firmas están desactivadas de forma predeterminada.
Ambas firmas 6010 y 6011 ' Allow ' son las siguientes de forma predeterminada:
- Cualquier ejecutable iniciado desde Explorer. exe donde Explorer. exe reside en la carpeta raíz del sistema
- Cualquier ejecutable iniciado con el contexto de usuario NT AUTHORITY\\SYSTEM", "NT Authority\\LOCAL SERVICE" y "NT Authority\\NETWORK SERVICE
- Cualquier ejecutable iniciado con los siguientes SDNs:
- {CN=McAfee, Inc., OU=IIS, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=McAfee, Inc., L=Santa Clara, S=California, C=US}
- {CN="McAfee, Inc.", OU=Engineering, OU=Digital ID Class 3 - Microsoft Software Validation v2, O="McAfee, Inc.", L=Santa Clara, S=Oregon, C=US}
- {CN=MCAFEE INTERNATIONAL LTD., OU=R&D, OU=DIGITAL ID CLASS 3 - MICROSOFT SOFTWARE VALIDATION V2, O=MCAFEE INTERNATIONAL LTD., L=HOVE, S=EAST SUSSEX, C=GB}
- {CN=MICROSOFT WINDOWS, OU=MOPR, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=MICROSOFT WINDOWS COMPONENT PUBLISHER, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=GOOGLE INC, OU=DIGITAL ID CLASS 3 - NETSCAPE OBJECT SIGNING, O=GOOGLE INC, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US}
Problema
Algunos ejecutables se permiten a través de exclusiones.
Solución
Los usuarios deben crear firmas personalizadas de host IPS independientes para bloquear específicamente un ejecutable excluido.
Lista negra de un ejecutable
Para crear una directiva de reglas de bloqueo de aplicaciones que impida la ejecución de un ejecutable (lista negra):
- Cree una firma IPS personalizada mediante una subregla especificada con:
Tipo de regla = Programa
Sesión = Ejecutable de destino de ejecución
- Agregue un nuevo ejecutable de destino con los criterios de coincidencia adecuados. Puede incluir cualquiera de los siguientes elementos:
- Ruta de archivo ejecutable
- Descripción del archivo
- hash MD5
- Nombre distintivo del firmante de firma digital
Lista blanca de un ejecutable
Para crear una directiva de reglas de bloqueo de aplicaciones que permita la ejecución de solo ejecutables especificados, pero bloquea todos los demás (lista blanca):
- Seleccioneción y configuración de host IPS firma 6011 a una gravedad que se asigne a una reacción de prevención.
- Agregue una excepción a la firma 6011 y especifique cualquier ejecutable permitido con los criterios de coincidencia adecuados. Los criterios pueden incluir el nombre de la ruta del ejecutable, la descripción del archivo, el hash MD5 y el nombre distintivo del sujeto de la firma digital.
Lista negra para el enlace de archivos ejecutables
Para crear una directiva de reglas de bloqueo de aplicaciones que evite que un ejecutable específico enlace cualquier otro ejecutable:
- Cree una firma IPS personalizada mediante dos subreglas:
- La primera subregla debe tener Tipo de regla = Aplicación, sesión = Abrir con acceso para crear subproceso. Agregue un nuevo ejecutable con los criterios de coincidencia adecuados. Los criterios pueden incluir el nombre de la ruta del ejecutable, la descripción del archivo, el hash MD5 o el nombre distintivo del sujeto de la firma digital.
- La segunda subregla debe tener Tipo de regla = Tiras, sesión = Enlazar un archivo DLL. Agregue el mismo ejecutable que para la primera subregla.
NOTA: En este caso, va a agregar un ejecutable, no un ejecutable de destino como lo haría para evitar que se ejecute un ejecutable.
Lista blanca de enganche de ejecutables
Permite crear una directiva de reglas de bloqueo de aplicaciones que permita a un ejecutable enlazar otros ejecutables, pero bloquea el resto de ejecutables para que no enganche otros ejecutables:
- Seleccioneción y configuración de host IPS firma 6010 a una gravedad que se asigne a un Prevent reacción.
- Agregue una excepción a la firma 6010 y especifique cualquier ejecutable permitido con los criterios de coincidencia adecuados. Los criterios pueden incluir el nombre de la ruta del ejecutable, la descripción del archivo, el hash MD5 o el nombre distintivo del sujeto de la firma digital.
NOTA: En este caso, está especificando un ejecutable, no una ejecutable de destino tal y como especificaría para la firma 6011 (para permitir que se ejecute un ejecutable).
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|