Funzionalità di blocco/hooking delle applicazioni di Host Intrusion Prevention 8.0
Articoli tecnici ID:
KB71794
Ultima modifica: 13/04/2017
Ambiente
McAfee Host Intrusion Prevention (Host IPS) 8.0
Per informazioni su piattaforme, ambienti e sistemi operativi supportati da Host IPS 8.0, consultare l'articolo KB70778. Riepilogo
Host IPS 8.0 non include un modulo di blocco delle applicazioni separato, ma questa funzionalità può essere usata con il modulo Host IPS.
Le firme di Host IPS 6010 e 6011 sono incluse nella policy delle regole IPS McAfee Default:
- Firma Host IPS 6010 - Protezione generica da hooking applicazioni
- Firma Host IPS 6011 - Protezione generica da richiamo di applicazioni
Per impostazione predefinita, entrambe le firme sono disattivate.
Entrambe le firme 6010 e 6011 ‘consentono’ per impostazione predefinita quanto segue:
- Tutti gli eseguibili avviati da explorer.exe, quando explorer.exe si trova nella radice del sistema
- Tutti gli eseguibili avviati con contesto dell’utente NT AUTHORITY\\SYSTEM", "NT Authority\\LOCAL SERVICE" e "NT Authority\\NETWORK SERVICE
- Tutti gli eseguibili avviati con i seguenti SDN:
- {CN=McAfee, Inc., OU=IIS, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=McAfee, Inc., L=Santa Clara, S=California, C=US}
- {CN="McAfee, Inc.", OU=Engineering, OU=Digital ID Class 3 - Microsoft Software Validation v2, O="McAfee, Inc.", L=Santa Clara, S=Oregon, C=US}
- {CN=MCAFEE INTERNATIONAL LTD., OU=R&D, OU=DIGITAL ID CLASS 3 - MICROSOFT SOFTWARE VALIDATION V2, O=MCAFEE INTERNATIONAL LTD., L=HOVE, S=EAST SUSSEX, C=GB}
- {CN=MICROSOFT WINDOWS, OU=MOPR, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=MICROSOFT WINDOWS COMPONENT PUBLISHER, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=GOOGLE INC, OU=DIGITAL ID CLASS 3 - NETSCAPE OBJECT SIGNING, O=GOOGLE INC, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US}
Problema
Alcuni eseguibili sono consentiti con le esclusioni.
Soluzione
Per bloccare un eseguibile specifico escluso, gli utenti devono creare firme personalizzate Host IPS separate.
Inserimento di un eseguibile in una blacklist
Per creare una policy con regole di blocco delle applicazioni per impedire l’esecuzione di un eseguibile (blacklist):
- Creare una nuova firma IPS personalizzata usando una sottoregola specificata con:
Tipo di regola = Programma
Operazione = Esegui eseguibile di destinazione
- Aggiungere un nuovo eseguibile di destinazione con i criteri di corrispondenza appropriati. I criteri possono comprendere uno qualsiasi dei seguenti elementi:
- percorso dell'eseguibile
- descrizione del file
- hash MD5
- firma digitale Oggetto nome distinto
Inseguire un eseguibile nella whitelist
Per creare una policy con regole di blocco delle applicazioni che consenta l’esecuzione solo degli eseguibili specificati, ma blocchi tutti gli altri eseguibili (whitelist):
- Attivare e configurare la firma 6011 di Host IPS su una gravità tale da mappare una reazione di blocco.
- Aggiungere un’eccezione alla firma 6011 e specificare tutti gli eseguibili consentiti con i relativi criteri di corrispondenza (che possono includere percorso dell'eseguibile, descrizione del file, hash MD5 e/o firma digitale Oggetto nome distinto).
Blacklist per applicazioni di hooking degli eseguibili
Per creare una policy con regole di blocco delle applicazioni che impedisca a un eseguibile specifico di stabilire associazioni con altri eseguibili:
- Creare una nuova firma IPS personalizzata usando due sottoregole:
- Per la prima sottoregola, scegliere Tipo di regola = Programma, operazione = Apri con accesso per creare un thread. Aggiungere un nuovo eseguibile con i criteri di corrispondenza appropriati (che possono includere percorso/nome dell’eseguibile, descrizione del file, hash MD5 o firma digitale Oggetto nome distinto).
- Per la seconda sottoregola, scegliere Tipo di regola = Hook, operazione = Stabilisci associazione con DLL. Aggiungere gli stessi eseguibili della prima sottoregola.
NOTA: in questa situazione si aggiunge un eseguibile, non un eseguibile di destinazione, come invece si farebbe per impedire l'esecuzione di un eseguibile.
Whitelist per applicazioni di hooking degli eseguibili
Per creare una policy con regole di blocco delle applicazioni che consenta a un eseguibile di associare altri eseguibili, ma blocchi l'associazione da parte di tutti gli altri eseguibili:
- Attivare e configurare la firma 6010 di Host IPS su una gravità tale da mappare una reazione di blocco.
- Aggiungere un’eccezione alla firma 6010 e specificare tutti gli eseguibili consentiti con i relativi criteri di corrispondenza (che possono includere percorso/nome dell'eseguibile, descrizione del file, hash MD5 o firma digitale Oggetto nome distinto).
NOTA: in questa situazione, l’utente specifica un eseguibile, non un eseguibile di destinazione, come farebbe per la firma 6011 (per consentire l’esecuzione di un eseguibile).
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|
