Funcionalidad de bloqueo/interceptación de aplicaciones con Host Intrusion Prevention 8.0
Artículos técnicos ID:
KB71794
Última modificación: 13/04/2017
Entorno
McAfee Host Intrusion Prevention (Host IPS) 8.0
Para obtener información sobre plataformas, entornos y sistemas operativos compatibles con Host IPS 8.0, consulte el artículo KB70778. Resumen
Host IPS 8.0 no incluye un módulo independiente de bloqueo de aplicaciones, sino que ofrece esta funcionalidad mediante el módulo de Host IPS.
Las firmas 6010 y 6011 de Host IPS se incluyen en la directiva de reglas IPS predeterminadas de McAfee:
- Firma 6010 de Host IPS: Protección genérica de interceptación de aplicaciones
- Firma 6011 de Host IPS: Protección genérica de invocación de aplicaciones
Las dos firmas se encuentras desactivadas de manera predeterminada.
Las firmas 6010 y 6011 ‘permiten’ lo siguiente de forma predeterminada:
- Cualquier ejecutable iniciado desde explorer.exe cuando este se encuentra en la carpeta raíz del sistema
- Cualquier ejecutable iniciado con el contexto de usuario NT AUTHORITY\\SYSTEM", "NT Authority\\LOCAL SERVICE" y "NT Authority\\NETWORK SERVICE
- Cualquier ejecutable iniciado con las siguientes SDN:
- {CN=McAfee, Inc., OU=IIS, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=McAfee, Inc., L=Santa Clara, S=California, C=US}
- {CN="McAfee, Inc.", OU=Engineering, OU=Digital ID Class 3 - Microsoft Software Validation v2, O="McAfee, Inc.", L=Santa Clara, S=Oregon, C=US}
- {CN=MCAFEE INTERNATIONAL LTD., OU=R&D, OU=DIGITAL ID CLASS 3 - MICROSOFT SOFTWARE VALIDATION V2, O=MCAFEE INTERNATIONAL LTD., L=HOVE, S=EAST SUSSEX, C=GB}
- {CN=MICROSOFT WINDOWS, OU=MOPR, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=MICROSOFT WINDOWS COMPONENT PUBLISHER, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=GOOGLE INC, OU=DIGITAL ID CLASS 3 - NETSCAPE OBJECT SIGNING, O=GOOGLE INC, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US}
Problema
Se permiten algunos archivos ejecutables mediante exclusiones.
Solución
Los usuarios deben crear firmas de Host IPS independientes y personalizadas para bloquear específicamente un ejecutable que se haya excluido.
Poner un ejecutable en lista negra
Crear una directiva de reglas de bloqueo de aplicaciones para evitar que se ejecuten archivos ejecutables (lista negra):
- Cree una nueva firma IPS personalizada con una subregla especificada con:
Tipo de regla = Programa
Operación = Ejecutar el archivo ejecutable de destino
- Agregue un nuevo archivo ejecutable de destino con los criterios de coincidencia correspondientes. Este puede incluir cualquiera de los siguientes elementos:
- nombre de la ruta del ejecutable
- descripción del archivo
- hash MD5
- firma digital con nombre distintivo de asunto
Poner un ejecutable en lista blanca
Para crear una directiva de reglas de bloqueo de aplicaciones que permita ejecutar únicamente los ejecutables especificados y bloquee el resto (lista blanca), siga estos pasos:
- Active y configure la firma 6011 de Host IPS para asignar la gravedad a una reacción de prevención.
- Añada una excepción a la firma 6011 y especifique los ejecutables permitidos con los criterios de coincidencia correspondientes (pueden incluir el nombre de la ruta del ejecutable, la descripción del archivo, el hash MD5 y/o el nombre distintivo de asunto de la firma digital).
Lista negra para la interceptación de ejecutables
Para crear una directiva de reglas de bloqueo de aplicaciones que evite que un ejecutable concreto intercepte a cualquier otro, siga estos pasos:
- Cree una nueva firma IPS personalizada con dos subreglas:
- La primera subregla debe contener tipo de regla = programa, operación = abrir con acceso para crear un subproceso. Agregue un nuevo ejecutable con los criterios de coincidencia correspondientes (pueden incluirse la ruta o el nombre del ejecutable, la descripción del archivo, el hash MD5 o el nombre distintivo de asunto de la firma digital).
- La segunda subregla debe contener tipo de regla = interceptación, operación = interceptar un DLL. Agregue el mismo ejecutable que en la primera subregla.
NOTA: En este caso, está agregando un ejecutable y no un ejecutable de destino, lo que haría para evitar que se ejecute un archivo ejecutable.
Lista blanca para la interceptación de ejecutables
Para crear una directiva de reglas de bloqueo de aplicaciones que permite a un ejecutable interceptar a otros y bloquearlos para que no intercepten a otros:
- Active y configure la firma 6010 de Host IPS para asignar la gravedad a una reacción de prevención.
- Añada una excepción a la firma 6010 y especifique los ejecutables permitidos con los criterios de coincidencia correspondientes (pueden incluir el nombre o la ruta del ejecutable, la descripción del archivo, el hash MD5 o el nombre distintivo de asunto de la firma digital).
NOTA: En este caso, está especificando un ejecutable, en vez de un ejecutable de destino como haría el caso de la firma 6011 (para permitir que se ejecute un ejecutable).
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|
