Funzionalità di blocco/aggancio delle applicazioni con Host Intrusion Prevention 8.0
Articoli tecnici ID:
KB71794
Ultima modifica: 06/11/2020
Ambiente
McAfee Host Intrusion Prevention (host IPS) 8.0
Per informazioni su host IPS 8.0 piattaforme, ambienti e sistemi operativi supportati, consultare KB70778.
Riepilogo
Host IPS 8.0 non non Includi un modulo di blocco applicazioni separato. Fornisce questa funzionalità utilizzando il modulo Host IPS.
Firme host IPS 6010 e 6011 sono inclusi nel McAfee regole IPS predefinite policy:
- Host IPS Signature 6010-protezione di hook di applicazioni generiche
- Host IPS Signature 6011-protezione di chiamata applicazioni generiche
Entrambe le firme sono disattivate per impostazione predefinita.
Entrambe le firme 6010 e 6011' Consenti ' quanto segue per impostazione predefinita:
- Qualsiasi eseguibile avviato da Explorer. exe dove Explorer. exe risiede nella cartella principale del sistema
- Qualsiasi eseguibile avviato con il contesto utente NT AUTHORITY\\SYSTEM", "NT Authority\\LOCAL SERVICE" e "NT Authority\\NETWORK SERVICE
- Qualsiasi eseguibile avviato con il seguente SDNs:
- {CN=McAfee, Inc., OU=IIS, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=McAfee, Inc., L=Santa Clara, S=California, C=US}
- {CN="McAfee, Inc.", OU=Engineering, OU=Digital ID Class 3 - Microsoft Software Validation v2, O="McAfee, Inc.", L=Santa Clara, S=Oregon, C=US}
- {CN=MCAFEE INTERNATIONAL LTD., OU=R&D, OU=DIGITAL ID CLASS 3 - MICROSOFT SOFTWARE VALIDATION V2, O=MCAFEE INTERNATIONAL LTD., L=HOVE, S=EAST SUSSEX, C=GB}
- {CN=MICROSOFT WINDOWS, OU=MOPR, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=MICROSOFT WINDOWS COMPONENT PUBLISHER, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=GOOGLE INC, OU=DIGITAL ID CLASS 3 - NETSCAPE OBJECT SIGNING, O=GOOGLE INC, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US}
Problema
Alcuni eseguibili sono consentiti mediante esclusioni.
Soluzione
Gli utenti devono creare firme personalizzate Host IPS separate per bloccare in modo specifico un eseguibile escluso.
Blacklist di un eseguibile
Per creare una regola di blocco delle applicazioni policy per impedire l'esecuzione di un eseguibile (blacklist):
- Creare una firma personalizzata IPS utilizzando una sottoregola specificata con:
Tipo di regola = Programma
Operazione = Esegui esecuzione destinazione
- Aggiungere un nuovo eseguibile di destinazione con i criteri di corrispondenza appropriati. Può includere uno dei seguenti elementi:
- Percorso eseguibile
- Descrizione file
- hash MD5
- Nome distinto oggetto firma digitale
Whitelist di un eseguibile
Per creare una regola di blocco delle applicazioni policy che consente l'esecuzione di solo eseguibili specificati, ma blocca tutti gli altri (whitelist):
- Attivazione e configurazione di host IPS firma 6011 a una gravità che esegue il mapping a una reazione di prevenzione.
- Aggiungere un'eccezione alla Signature 6011 e specificare gli eseguibili consentiti con i criteri di corrispondenza appropriati. I criteri possono includere nome del percorso dell'eseguibile, descrizione del file, hash MD5 e nome distinto dell'oggetto della firma digitale.
Aggancio dell'eseguibile blacklist
Per creare una regola di blocco delle applicazioni policy che impedisca a un eseguibile specifico di associare qualsiasi altro eseguibile:
- Creare una firma personalizzata IPS utilizzando due sottoregole:
- La prima sottoregola deve avere Tipo di regola = Programma, operazione = Apri con accesso per creare thread. Aggiungere un nuovo eseguibile con i criteri di corrispondenza appropriati. I criteri possono includere il nome del percorso eseguibile, la descrizione del file, il hash MD5 o il nome distinto dell'oggetto della firma digitale.
- La seconda sottoregola deve avere Tipo di regola = Hook, operazione = Hook di una DLL. Aggiungere lo stesso eseguibile della prima sottoregola.
Nota In questo scenario, si aggiunge un eseguibile, non un eseguibile di destinazione come si farebbe per impedire l'esecuzione di un eseguibile.
Aggancio dell'eseguibile whitelist
Per creare una regola di blocco delle applicazioni policy che consente a un eseguibile di associare altri eseguibili, ma blocca tutti gli altri eseguibili dall'aggancio di altri eseguibili:
- Attivazione e configurazione di host IPS firma 6010 a una gravità che viene mappata a un impedire reazione.
- Aggiungere un'eccezione alla Signature 6010 e specificare gli eseguibili consentiti con i criteri di corrispondenza appropriati. I criteri possono includere il nome del percorso eseguibile, la descrizione del file, il hash MD5 o il nome distinto dell'oggetto della firma digitale.
Nota In questo scenario, si sta specificando un eseguibile, non un eseguibile di destinazione come specificato per Signature 6011 (per consentire l'esecuzione di un eseguibile).
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|