Fonctionnalité de blocage d’application avec Host Intrusion Prevention 8.0
Articles techniques ID:
KB71794
Date de la dernière modification : 13/04/2021
Synthèse
Host IPS 8.0 ne pas incluez un module de blocage d’application distinct. Il fournit les fonctionnalités ci-dessous à l’aide du module Host IPS.
Signatures Host IPS 6010 et 6011 sont inclus dans la stratégie règles IPS par défaut de McAfee :
- Host IPS signature 6010-protection de l’accrochage d’application générique
- Host IPS signature 6011-protection de l’invocation des applications génériques
Les deux signatures sont désactivées par défaut.
Les signatures 6010 et 6011 'allow’sont les deux suivantes par défaut :
- Tout fichier exécutable démarré à partir d’explorer. exe où Explorer. exe se trouve dans le dossier racine du système
- Tous les fichiers exécutables démarrés avec le contexte utilisateur NT AUTHORITY\\SYSTEM", "NT Authority\\LOCAL SERVICE" et "NT Authority\\NETWORK SERVICE
- Tous les fichiers exécutables ont démarré avec les SDNs suivantes :
- {CN=McAfee, Inc., OU=IIS, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=McAfee, Inc., L=Santa Clara, S=California, C=US}
- {CN="McAfee, Inc.", OU=Engineering, OU=Digital ID Class 3 - Microsoft Software Validation v2, O="McAfee, Inc.", L=Santa Clara, S=Oregon, C=US}
- {CN=MCAFEE INTERNATIONAL LTD., OU=R&D, OU=DIGITAL ID CLASS 3 - MICROSOFT SOFTWARE VALIDATION V2, O=MCAFEE INTERNATIONAL LTD., L=HOVE, S=EAST SUSSEX, C=GB}
- {CN=MICROSOFT WINDOWS, OU=MOPR, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=MICROSOFT WINDOWS COMPONENT PUBLISHER, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=GOOGLE INC, OU=DIGITAL ID CLASS 3 - NETSCAPE OBJECT SIGNING, O=GOOGLE INC, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US}
Problème
Certains exécutables sont autorisés par le biais d’exclusions.
Solution
Les utilisateurs doivent créer des signatures personnalisées Host IPS distinctes pour bloquer spécifiquement un fichier exécutable exclu.
Création d’une liste de blocage de fichiers exécutables
Pour créer une stratégie de règles de blocage application pour empêcher l’exécution d’un fichier exécutable :
- Créez un signature personnalisé IPS à l’aide d’une sous-règle spécifiée avec :
Type de règle = Programme
Application = Exécuter un fichier exécutable cible
- Ajoutez un nouveau fichier exécutable cible avec les critères de concordance appropriés. Il peut inclure l’un des éléments suivants :
- Chemin d’accès du fichier exécutable
- Description du fichier
- Hachage MD5
- Nom unique de l’objet signature numérique
Création d’une liste d’autorisation des fichiers exécutables
Permet de créer une stratégie règles de blocage de application qui autorise uniquement l’exécution des fichiers exécutables spécifiés, mais bloque toutes les autres :
- Activer et configurer Host IPS signature 6011 à une gravité qui correspond à une réaction de prévention.
- Ajoutez un exception à signature 6011 et spécifiez tous les fichiers exécutables autorisés avec les critères de concordance appropriés. Les critères peuvent inclure le nom du chemin d’accès du fichier exécutable, la description du fichier, le hachage MD5 et le nom unique de l’objet numérique signature.
Création d’une liste de blocage des accroches exécutables
Pour créer une stratégie règles de blocage de application qui empêche un fichier exécutable spécifique de se raccorder un autre fichier exécutable :
- Créez un signature IPS personnalisé à l’aide de deux sous-règles :
- La première sous-règle doit avoir Type de règle = Programmer, application = Ouvrir avec un accès pour créer thread. Ajoutez un nouveau fichier exécutable avec les critères de concordance appropriés. Les critères peuvent inclure le nom du chemin d’accès du fichier exécutable, la description du fichier, le hachage MD5 ou le nom unique de l’objet numérique signature.
- La deuxième sous-règle doit avoir Type de règle = Hameçon, application = Raccorder une DLL. Ajoutez le même fichier exécutable que pour la première sous-règle.
Veuillez Dans ce cas, vous ajoutez un fichier exécutable, et non un fichier exécutable cible, comme vous le ferait pour empêcher l’exécution d’un fichier exécutable.
Création d’une liste d’autorisation de raccordement à un fichier exécutable
Pour créer une stratégie de règles de blocage application qui autorise un fichier exécutable à raccorder d’autres exécutables, mais bloque l’accrochage d’autres fichiers exécutables dans d’autres fichiers exécutables :
- Activer et configurer Host IPS signature 6010 à une gravité qui est mappée à un empêcher réaction.
- Ajoutez un exception à signature 6010 et spécifiez tous les fichiers exécutables autorisés avec les critères de concordance appropriés. Les critères peuvent inclure le nom du chemin d’accès du fichier exécutable, la description du fichier, le hachage MD5 ou le nom unique de l’objet numérique signature.
Veuillez Dans ce cas de figure, vous spécifiez un fichier exécutable, et non un fichier exécutable cible comme vous le spécifiez pour signature 6011 (pour autoriser l’exécution d’un fichier exécutable).
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|
