Host Intrusion Prevention 8.0 中的应用程序阻止/挂接功能
技术文章 ID:
KB71794
上次修改时间: 2017/04/13
环境
McAfee Host Intrusion Prevention (Host IPS) 8.0
有关 Host IPS 8.0 支持的平台、环境以及操作系统的信息,请参阅 KB70778。
摘要
Host IPS 8.0 不包含单独应用程序阻止模块,但通过 Host IPS 模块提供此功能。
Host IPS 签名 6010 和 6011 包含在 McAfee 默认 IPS 规则策略中:
- Host IPS 签名 6010 - 通用应用程序挂接保护
- Host IPS 签名 6011 - 通用应用程序调用保护
默认情况下,两个签名均为禁用状态。
签名 6010 和 6011 默认都“允许”以下各项:
- 任何从 explorer.exe 启动的可执行文件,explorer.exe 位于系统根文件夹
- 任何使用用户上下文 "NT AUTHORITY\\SYSTEM"、"NT Authority\\LOCAL SERVICE" 和 "NT Authority\\NETWORK SERVICE" 启动的可执行文件
- 任何使用以下 SDN 启动的可执行文件:
- {CN=McAfee, Inc., OU=IIS, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=McAfee, Inc., L=Santa Clara, S=California, C=US}
- {CN="McAfee, Inc.", OU=Engineering, OU=Digital ID Class 3 - Microsoft Software Validation v2, O="McAfee, Inc.", L=Santa Clara, S=Oregon, C=US}
- {CN=MCAFEE INTERNATIONAL LTD., OU=R&D, OU=DIGITAL ID CLASS 3 - MICROSOFT SOFTWARE VALIDATION V2, O=MCAFEE INTERNATIONAL LTD., L=HOVE, S=EAST SUSSEX, C=GB}
- {CN=MICROSOFT WINDOWS, OU=MOPR, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=MICROSOFT WINDOWS COMPONENT PUBLISHER, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US}
- {CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US}
- {CN=GOOGLE INC, OU=DIGITAL ID CLASS 3 - NETSCAPE OBJECT SIGNING, O=GOOGLE INC, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US}
解决方案
用户必须创建单独 Host IPS 自定义签名来特别阻止某个被排除的可执行文件。
将可执行文件加入黑名单
创建应用程序阻止规则策略以阻止某个可执行文件运行(黑名单):
- 使用下面指定的子规则创建新的 IPS 自定义签名:
Rule type = Program
Operation = Run target executable
- 使用适当的匹配标准添加新的目标可执行文件。 此方法可包含任何以下项目:
- 可执行文件路径名
- 文件说明
- MD5 哈希
- 数字签名使用者识别名
将可执行文件加入白名单
创建只允许指定可执行文件运行而阻止其他所有可执行文件的应用程序阻止规则策略(白名单):
- 启用 Host IPS 签名 6011 并为其配置一个对应于阻止反应的严重性。
- 添加签名 6011 的例外,并使用适当的匹配标准指定任何允许的可执行文件(可包含可执行文件路径名、文件说明、MD5 哈希及/或数字签名使用者识别名)。
可执行文件挂接黑名单
创建阻止特定可执行文件挂接任何其他可执行文件的应用程序阻止规则策略:
- 使用两个子规则创建新的 IPS 自定义签名:
- 第一个子规则应含有 Rule type = Program、operation = Open with access to create thread。 使用适当的匹配标准添加新的可执行文件(可包含可执行文件路径/名称、文件说明、MD5 哈希或数字签名使用者识别名)。
- 第二个子规则应含有 Rule type = Hook、operation = Hook a DLL。 添加与第一个子规则中相同的可执行文件。
注意:在此案例中,您将添加一个不是您要阻止可执行文件运行时的目标可执行文件的可执行文件。
可执行文件挂接白名单
创建允许可执行文件挂接其他可执行文件但阻止所有其他可执行文件再挂接其他可执行文件的应用程序阻止规则策略:
- 启用 Host IPS 签名 6010 并为其配置一个对应于阻止反应的严重性。
- 添加签名 6010 的例外,并使用适当的匹配标准指定任何允许的可执行文件(可包含可执行文件路径\名称、文件说明、MD5 哈希或数字签名使用者识别名)。
注意:在此案例中,您将指定一个不是您要为签名 6011 指定的目标可执行文件的可执行文件(以允许可执行文件运行)。
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|