Häufig gestellte Fragen zu Host Intrusion Prevention 8.0
Technische Artikel ID:
KB73399
Zuletzt geändert am: 26.01.2021
Zuletzt geändert am: 26.01.2021
Umgebung
McAfee Host Intrusion Prevention (Host IPS) 8.0
Zusammenfassung
Dieser Artikel ist eine zusammengefasste Liste der Antworten auf häufig gestellte Fragen. Er richtet sich hauptsächlich an Benutzer, die mit dem Produkt nicht vertraut sind, kann jedoch auch für alle anderen Benutzer hilfreich sein.
HINWEIS: In diesem Artikel geht es um allgemeine Fragen zu Host IPS.
HINWEIS: In diesem Artikel geht es um allgemeine Fragen zu Host IPS.
Allgemeines Unterstützte Betriebssysteme und Informationen zu verschiedenen anderen Themen. Häufigste Probleme Die von Kunden am häufigsten geschilderten Probleme bzw. gestellte Fragen. Definiert nach Bereich/Unterbereich. Häufigste bei Service-Anfragen gestellte Fragen bzw. geschilderte Probleme des Monats Die in diesem Monat von Kunden im Rahmen von Service-Anfragen am häufigsten geschilderten Probleme bzw. gestellten Fragen. Definiert nach Bereich/Unterbereich. Kompatibilität Interaktion mit anderen Produkten und anderer Software. Installation/Upgrade Informationen bezüglich Installation, Entfernen bzw. Durchführung eines Upgrades. Konfiguration Umfasst bewährte Methoden, Optimierung und Konfiguration. Funktionen Eigenschaften und Funktionen des Produkts, u. a. Buffer Overflow, Host IPS-Schutz, Netzwerk-IPS und Firewall.
Welche Umgebungen werden von Host IPS 8.0 unterstützt?
Informationen zu den unterstützten Umgebungen finden Sie in KB70778.
Wie oft wird der Inhalt von Host IPS aktualisiert?
Host IPS wird immer am zweiten Dienstag des Monats um 20:00 Uhr (GMT) im allgemeinen Repository aktualisiert.
Dies ist der Tag, an dem auch die Sicherheitsaktualisierungen von Microsoft Windows veröffentlicht werden (der sogenannte "Microsoft Patch Tuesday").
Warum sind die Pakete für den inkrementellen Patch von Host IPS 8.0 (MSP) größer als das Paket für die vollständige Installation von Host IPS, in der der Patch bereits enthalten ist?
Die MSP-Pakete werden in der Tat immer größer, dies liegt an ihrer Struktur. Jedes Mal, wenn Intel Security einen neuen Patch veröffentlicht, muss der MSP alle erforderlichen Informationen für das Upgrade jeder einzelnen bislang veröffentlichten Patch-Version sowie der RTW-Version des Produkts enthalten. Aus diesem Grund ist für jede dieser vorherigen Versionen nicht einfach eine Kopie der neuen Dateien, sondern eine Transform-Datei (MST) in das MSP-Paket eingebettet.
Bei dieser MST-Datei handelt es sich im Prinzip um eine MSI-Ergänzung, die eine bereits bekannte MSI-Version auf diejenige MSI-Version aktualisiert, auf der der Patch basiert. Da die MSI-Tabellen Binärdaten für beispielsweise den eingebetteten benutzerdefinierten Aktivierungscode und einige unserer Support-Dienstprogramme (z. B. clientcontrol.exe) enthalten, können diese MSI-Ergänzungen sehr umfangreich sein, wodurch jeder nachfolgende Patch größer wird als der vorherige.
Zurück zum Inhalt
Häufigste Probleme
Client-IPS – Häufig gestellte Fragen zu IPS-Ereignissen
Einer der häufigsten Gründe für Anrufe bezüglich Host IPS sind Ereignisse im Zusammenhang mit der IPS-Signatur. Diese Anfragen beziehen sich meist auf Auslöser von IPS-Signaturereignissen. Host IPS bietet im Rahmen einer mehrschichtigen Schutzstrategie IPS- und Firewall-Schutz für Endpunktsysteme. Neben Host IPS sollte diese mehrschichtige Schutzstrategie auch einen Eindringungsschutz in Form von Firewall- oder Filtersystemen für Netzwerk-Gateways sowie einen Antiviren- und Anti-Malware-Schutz für Endpunktsysteme umfassen.
Das System wird mithilfe der Host IPS-Signaturinhalte vor bekannten und vor zu diesem Zeitpunkt noch unbekannten ("Zero-Day") Bedrohungen geschützt. "Zero-Day" bezeichnet hier den Zeitraum von der Erkennung einer Schwachstelle bis zur Anwendung der veröffentlichten Sicherheitsaktualisierung für die bestätigte Schwachstelle. Host IPS bietet allgemeine Signaturverfahren, z. B. für Buffer Overflows, die das System während eines solchen Zero-Day-Zeitraums absichern. Alle für das Betriebssystem und die vorhandenen Anwendungen vorgesehenen Sicherheitsaktualisierungen sollten immer schnellstmöglich in der Arbeitsumgebung durchgeführt werden, um die Häufigkeit bzw. Wiederholungsrate von IPS-Signatur-Entdeckungen zu verringern.
Es empfiehlt sich, einen allgemeinen Ablaufplan zur Überprüfung der für Betriebssystem und vorhandene Anwendungen vorgesehenen Sicherheitsaktualisierungen aufzustellen und zu befolgen und außerdem monatlich bzw. in regelmäßigen Abständen alle jeweils verfügbaren Patches zu installieren. Außerdem sollten Sie die monatlichen Aktualisierungen der Host IPS-Signaturen auf Übereinstimmung mit den entsprechenden veröffentlichten Sicherheitsaktualisierungen der jeweiligen Anbieter überprüfen. Host IPS-Signaturen, die sich direkt den vom Anbieter veröffentlichten Sicherheitsaktualisierungen zuordnen lassen, können auf aktualisierten Systemen ohne Gefahr deaktiviert werden. Es empfiehlt sich, einmal monatlich die aktivierten Signaturinhalte sowie die Installation verfügbarer Sicherheitsaktualisierungen zu überprüfen, um die Wahrscheinlichkeit von Fehlalarmen bei bereits aktualisierten Systemen zu verringern.
Gehen Sie zur Auswertung der IPS-Signaturereignisse entsprechend der folgenden allgemeinen Vorgehensweise vor:
- Ermitteln Sie, welche Signaturnummer ausgelöst wurde.
- Lesen Sie die in den Richtlinien für IPS-Regeln in ePolicy Orchestrator (ePO) enthaltenen Informationen zu dieser IPS-Signaturnummer.
- Lesen Sie die weiterführenden CVE-Beschreibungen, sofern in den Erläuterungen dieser Signatur entsprechende Links enthalten sind.
- Sehen Sie nach, ob für die entsprechende Schwachstelle Links zu Sicherheits-Bulletins von Microsoft TechNet vorhanden sind, und informieren Sie sich, ob von Microsoft bereits Sicherheitsaktualisierungen zur Beseitigung dieser Schwachstelle veröffentlicht wurden.
- Überprüfen Sie, ob auf den Systemen, die ein IPS-Ereignis melden, ggf. verfügbare Microsoft-Sicherheitsaktualisierungen durchgeführt wurden (wie oben beschrieben).
- Ist dies der Fall, dann ist auf den Systemen, auf denen die entsprechenden Sicherheitsaktualisierungen durchgeführt wurden, möglicherweise die jeweilige IPS-Signatur deaktiviert.
- Ist dies nicht der Fall, sollten Sie die entsprechenden Microsoft-Sicherheitsaktualisierungen der betroffenen Systeme schnellstmöglich installieren.
- Sind für die auslösende IPS-Signatur keine Links zu CVE-Beschreibungen angegeben, lesen Sie alle ausführlichen Detailinformationen des IPS-Ereignisses.
- Ermitteln Sie, ob die Ereignisauslösung mit der regulären geschäftlichen Nutzung bzw. mit Routineabläufen zusammenhängt.
- Überprüfen Sie, ob für die betroffenen Systeme alle aktuellen Microsoft-Sicherheitsaktualisierungen durchgeführt wurden.
- Ermitteln Sie, ob das IPS-Ereignis im Zusammenhang mit einem bestimmten Prozess eines Drittanbieters (z. B. Adobe) oder einer nicht von Microsoft stammenden Anwendung (bzw. Prozess/Tool) auftritt. Ist dies der Fall, so überprüfen Sie alle entsprechenden Sicherheitsaktualisierungen dieses Anbieters, und sorgen Sie dafür, dass die Aktualisierungen auf den Systemen durchgeführt werden.
- Wenn die Signatur auch nach Anwendung der entsprechenden Anbieter-Sicherheitsaktualisierung weiterhin ausgelöst wird, können Sie das Ereignis als False-Positive einordnen. Deaktivieren Sie hierfür die Signatur für die aktualisierten Systeme, oder erstellen Sie für diese Systeme eine IPS-Ausnahme, um weitere Signaturentdeckungen zu verhindern.
- Wenn keine passende Sicherheitsaktualisierung des Anbieters vorhanden ist, ermitteln Sie, ob die betroffenen Systeme über aktuelle Antiviren- und Anti-Malware-Definition für VirusScan verfügen oder ob eine andere Schutzanwendung für Endpunkte installiert ist. Führen Sie auf den betroffenen Systemen einen vollständigen Scan durch.
- Ermitteln Sie, ob die betroffenen Systeme über anderweitige Systemschutzmaßnahmen verfügen, z. B. über eine Anwendung zur Erkennung von Netzwerk-Eindringungsversuchen.
- Aktivieren Sie die ausführliche Protokollierung der Fehlerbehebung durch Aktivierung der Option Sicherheitsverletzungen protokollieren für Host IPS, dann werden in der Protokolldatei HipShield.log umfassende Informationen erfasst. Welche Informationen in der Datei HipShield.log hinsichtlich IPS-Sicherheitsverletzungen relevant sind, können Sie KB54473 entnehmen.
- Weitere Informationen können Sie beim technischen Support erfragen.
Client-Firewall – Häufig gestellte Fragen zu Firewall-Regeln
Häufig werden Fragen bezüglich der Firewall-Richtlinienkonfiguration gestellt, darunter auch die Frage, welche Firewall-Regeln auf Endpunktsystemen konfiguriert sein sollten. Die typischen Firewall-Richtlinien von Unternehmenskunden reichen von sehr einfachen Regelsätzen, die mit verbindungs-/standortbewussten Gruppen arbeiten, bis hin zu hochkomplexen Regelrichtlinien, in denen prozessbasierte Hashes ausführbarer Dateien definiert sind, die wiederum Hunderte von Firewall-Regeln für eingehenden und ausgehenden Datenverkehr umfassen. Umfangreiche Firewall-Richtlinien lassen die Verwaltung komplizierter werden und können bei schwächeren Systemen die Leistung beeinträchtigen. Außerdem können komplexe Regelsätze während der Richtlinienkonfigurationsabläufe den ePO-Server stark belasten und während der Richtlinienerzwingungsintervalle den McAfee Agent zusätzlich belasten.
Die Host IPS 8.0-Firewall bietet verschiedene Funktionen, die die Richtlinienkonfiguration vereinfachen:
- Host IPS 8.0 enthält Vorlagen für vereinfachte standardmäßige Firewall-Richtlinienregeln, die Sie als Grundlage für eigene Richtlinien nutzen können. Es empfiehlt sich, einfache Regelsätze zu verwenden, um die Vorteile von statusbehafteter Firewall, vertrauenswürdigen Netzwerken und vertrauenswürdigen Anwendungen so umfassend wie möglich für die Richtlinien interner Firmennetzwerke zu nutzen.
- Da es sich um eine statusbehaftete Firewall handelt, sind weniger Firewall-Regeln für eingehenden Datenverkehr erforderlich. Auf diese Weise können die Richtlinien für Regeln erheblich vereinfacht werden. In der Firewall-Statustabelle werden Informationen zu aktiven Verbindungen mit vom System ausgehendem Datenverkehr dynamisch gespeichert. Anhand der Regeln der Firewall-Statustabelle wird der dazugehörige eingehende Datenverkehr gefiltert und entsprechend durchgelassen. Dies macht das Definieren umfangreicher und komplexer Regelsätze für eingehenden Datenverkehr überflüssig.
- Durch Nutzung standortbewusster Gruppen können auch Regelsätze für Benutzer definiert werden, die sich außerhalb der Reichweite des normalen LANs befinden und mit Remote-Zugriff arbeiten. Innerhalb einer standortbewussten Gruppe können dann vereinfachte Regelsätze konfiguriert werden, sodass Remote-Benutzer sich erst über das Unternehmens-VPN verbinden und anschließend mit den normalen Firewall-Regeln arbeiten können.
- Die Richtlinie Vertrauenswürdige Netzwerke listet die IP-Adressen und Netzwerke auf, einschließlich der TrustedSource-Ausnahmen, über die eine sichere Kommunikation erfolgen kann. Vertrauenswürdige Netzwerke können einzelne IP-Adressen oder ganze IP-Adressbereiche umfassen. Wenn Netzwerke als vertrauenswürdig eingestuft werden, sind weniger oder keine Netzwerk-IPS-Ausnahmen und zusätzliche Firewall-Regeln erforderlich. (Nur für Windows-Clients.)
- Die Richtlinie Vertrauenswürdige Anwendungen listet Anwendungen auf, die sicher sind und keine bekannten Schwachstellen aufweisen. Wenn Anwendungen als vertrauenswürdig markiert werden, sind weniger oder keine IPS-Ausnahmen und zusätzliche Firewall-Regeln mehr erforderlich. Diese Richtlinienkategorie kann ebenso wie die Richtlinie 'IPS-Regeln' mehrere Richtlinieninstanzen enthalten. (Für Clients auf Windows- und Nicht-Windows-Plattformen.)
- Die Firewall-Option Adaptiver Modus erleichtert das Optimieren der Firewall.
HINWEIS: Verwenden Sie den adaptiven Modus zur Optimierung der Firewall-Regeln nur vorübergehend und nur auf wenigen Systemen. Dieser Modus kann auf Endpunktsystemen eine hohe Anzahl von Client-Regeln erzeugen und den ePO-Server zudem erheblich belasten, wenn dieser eine zu hohe Anzahl von adaptiven Firewall-Client-Regeln verarbeiten muss. Intel Security empfiehlt deshalb, den Einsatz des adaptiven Modus für Firewalls auf einige wenige Systeme und einen begrenzten Zeitraum zu beschränken und ihn ausschließlich als Unterstützung beim Optimieren der Firewall-Richtlinien zu nutzen.
Führen Sie täglich oder zumindest wöchentlich eine Überprüfung der adaptiven Client-Regeln durch, bei der auf den Zielsystemen der adaptive Modus aktiviert sein muss. Deaktivieren Sie auf den Zielsystemen nach der Erstbereitstellung des adaptiven Modus für Firewalls diesen adaptiven Modus durch Deaktivieren der Option Client-Ausnahmen beibehalten wieder, damit alle erlernten Client-Regeln auf dem Zielsystem bereinigt werden. Überprüfen Sie über die ePO-Konsole die Client-Firewall-Regeln, und bestimmen Sie, welche Regeln auf dem Endpunktsystem für die Richtlinie für Firewall-Regeln zur Optimierung angewendet werden sollen. Reaktivieren Sie die Firewall anschließend im adaptiven Modus. Führen Sie diese iterativen Schritte zur Erstellung einer endgültigen Richtlinie für Firewall-Regeln durch, bevor die Bereitstellung auf alle Systeme erfolgt. Möglicherweise werden Teile des mit Anwendungen zusammenhängenden Netzwerk-Datenverkehrs im adaptiven Modus nicht erkannt. In diesem Fall müssen die Firewall-Regeln dann manuell konfiguriert werden. Um die korrekte Funktion von Anwendungen sicherzustellen, erfragen Sie beim jeweiligen Anbieter ggf. Informationen zu möglicherweise vorhandenen anwendungsspezifischen Firewall-Konfigurationen.
Installation, Einrichtung, Deinstallation/Häufig gestellte Fragen – Bereitstellung über ePO
Die meisten Support-Anfragen in dieser Kategorie beinhalten Fragestellungen, die im Host Intrusion Prevention 8.0-Installationshandbuch (PD22891) erörtert werden.
Sie sollten jede Neuinstallation von Sicherheitsanwendungen erst gründlich in Bezug auf die Produktionsumgebung testen und eine Basislinie erstellen, bevor Sie sie für alle Systeme bereitstellen. Intel Security führt bei seinen Sicherheitsprodukten vor der Veröffentlichung zwar umfangreiche Tests und Überprüfungen durch, dennoch sollte die beschriebene Vorgehensweise bei der Bereitstellung von Host IPS für alle Knoten einer Unternehmensumgebung angewendet werden. Aufgrund des schnellen technologischen Fortschritts beinhalten Produkte und Netzwerkinfrastrukturen von Drittanbietern immer mehr neue Sicherheitsfunktionen. Die Kompatibilität verschiedener Produkte untereinander stellt alle Anbieter immer wieder vor neue Herausforderungen, daher sollten bei jeder Produktveränderung unbedingt die Basiskunden-Images überprüft werden. Nach der erfolgreichen Prüfung von Host IPS in einer Test- oder Pilotumgebung sollte die Software entweder zunächst als Pilotprojekt oder phasenweise in der Produktionsumgebung des Unternehmens bereitgestellt werden.
Client-Firewall/Firewall-Regeln funktionieren nicht
Informationen zur Fehlerbehebung finden Sie im Abschnitt zu Software anderer Anbieter.
Installation, Einrichtung, Deinstallation/Neuinstallation – Fehlgeschlagen
Die Bereitstellung von Host IPS erfolgt standardmäßig mit deaktivierten IPS- und Firewall-Funktionen. Sie sollten Systeme auswählen, die repräsentativ für die Anwendungen und Konfigurationen aller Gruppen in der Umgebung sind. Wenn Sie über standardisierte Images verfügen, erleichtert dies die Validierung von Host IPS für Ihre Umgebung. Sind Ihre Systeme hingegen sehr unterschiedlich, ist die Prüfung der Kompatibilität aller Komponenten deutlich komplizierter. Die Behebung von Kompatibilitätsproblemen vor der unternehmensweiten Bereitstellung ist für den technischen Support wesentlich einfacher als die Behebung komplexer Probleme, die sich erst während oder nach der unternehmensweiten Bereitstellung zeigen.
Zurück zum Inhalt
Wie kann ich für meine Firewall-Regeln mehrere IP-Adressen hinzufügen?
Sie können im Host IPS-Katalog ein neues Netzwerkelement definieren. Für diesen Netzwerkobjekt-Container können eine oder mehrere IP-Adressen, ein Subnetz, ein lokales Subnetz, ein IP-Bereich, ein FQDN sowie beliebige lokale, IPv4- oder IPv6-Adressen als vertrauenswürdig eingestuft werden.
Nach der Festlegung eines solchen Katalog-Netzwerkobjekts können Sie dieses Katalogobjekt in den Firewall-Regeln und Netzwerkoptionen verwenden, indem Sie beim Bearbeiten von Firewall-Regeln auf die Option 'Aus Katalog hinzufügen' klicken. Wenn bei Regeln, die das Katalogobjekt nutzen, Änderungsbedarf hinsichtlich der IP-Adresszuweisung besteht, aktualisieren Sie im Host IPS-Katalog einfach die betreffenden IP-Adressen des entsprechenden Katalog-Netzwerkobjekts. Anschließend verfügen alle Firewall-Regeln, die auf dieses Katalogobjekt verweisen, über die aktuellen Netzwerk-IP-Adressen.
Zurück zum Inhalt
Zurück zum Inhalt
Kompatibilität
Was soll ich bei Problemen mit einer anderen Software von einem Drittanbieter unternehmen?
Es können Probleme im Zusammenhang mit Software von Drittanbietern auftreten, insbesondere, wenn es sich dabei um Sicherheits-Software handelt. Hilfe finden Sie in den folgenden Artikeln:
- KB67055: How to troubleshoot a network facing application or traffic is blocked by Host Intrusion Prevention firewall (Fehlerbehebung bei einer auf das Netzwerk zugreifenden Anwendung bzw. bei Blockierung des Datenverkehrs durch die Firewall von Host Intrusion Prevention)
- KB67056: Third-party application stops working or is impaired after Host Intrusion Prevention is installed or content is updated (Anwendung eines Drittanbieters funktioniert nach Installation von Host Intrusion Prevention bzw. nach Aktualisierung der Inhalte nicht mehr oder nur noch eingeschränkt)
Wenn Sie ein nicht behebbares Problem eskalieren, ist es wichtig, dass Sie parallel zur Analyse durch Intel Security auch eine Analyse durch den entsprechenden Drittanbieter anfordern. Kompatibilitätsprobleme müssen häufig durch den Drittanbieter und nicht durch Intel Security behoben werden. Intel Security ist bestrebt, jegliche Kompatibilitätsprobleme durch enge Zusammenarbeit mit Drittanbietern zu lösen.
Wann wird eine 64-Bit-Version erhältlich sein?
Host IPS 8.0 wird auf unterstützten 64-Bit-Betriebssystemen vollständig unterstützt.
Inwiefern ist Host IPS ein 64-Bit-Produkt?
Auf x64-Systemen installiert Host IPS 8.0 sowohl 32-Bit- als auch 64-Bit-Binärdateien. Die 64-Bit-Produktbinärdateien werden in einem x64-Unterordner im Installationspfad installiert. Andere Binärdateien, zum Beispiel Treiber, werden an den entsprechenden Stellen im Windows-Dateisystem installiert. Die Installationsrichtlinien für 64-Bit-Dateien im Ordner \Programme werden vom Produkt zwar nicht berücksichtigt, es bietet jedoch native x64-Unterstützung.
Welche Komponenten werden auf x64-Systemen im 32-Bit-Kompatibilitätsmodus ausgeführt?
Einige Anwendungen von Drittanbietern werden als 32-Bit-Anwendung ausgeführt. Für diese Anwendungen lädt Host IPS 8.0 die entsprechenden 32-Bit-IPS-Module.
Welche virtualisierten Plattformen werden von Host IPS 8.0 unterstützt?
Informationen hierzu finden Sie in KB70778: Unterstützte Plattformen, Umgebungen und Betriebssysteme für Host Intrusion Prevention 8.0.
Welche VPN-Versionen werden von Host IPS 8.0 unterstützt?
Informationen hierzu finden Sie in KB70778: Unterstützte Plattformen, Umgebungen und Betriebssysteme für Host Intrusion Prevention 8.0.
Warum sollte man den McAfee (ePO) Agent auch auf Laptops installieren, die fast nie auf das Netzwerk zugreifen?
Der ePO-Agent erzwingt die Anwendung der Richtlinien. Nachdem Sie den Agenten installiert haben und dieser die auf dem ePO-Server konfigurierte Richtlinie empfangen hat, wird die von Ihnen definierte Richtlinie im festgelegten Richtlinienerzwingungsintervall erzwungen, unabhängig davon, ob der Laptop sich jeweils gerade im Netzwerk befindet. Auf diese Weise wird sichergestellt, dass die Unternehmenseinstellungen für Ihre McAfee-Produkte ungeachtet Ihres derzeitigen Standorts auch tatsächlich umgesetzt werden.
Kann ich mit Host IPS 8.0 den Zugriff auf USB-Geräte blockieren?
Nur unzureichend. Mit Host IPS 8.x kann zwar mittels einer benutzerdefinierten IPS-Signatur der Zugriff auf USB-Geräte blockiert werden, jedoch bestehen derzeit bei der Verwendung einer IPS-Signatur Einschränkungen hinsichtlich der Sicherheit.
Für das zuverlässige Blockieren von USB-Geräten empfiehlt Intel Security McAfee Data Loss Prevention (https://www.mcafee.com/de/products/data-protection/index.aspx).
In Support-Artikel 823732 von Microsoft wird erläutert, wie Sie verhindern können, dass Benutzer eine Verbindung mit einem USB-Speichergerät herstellen: support.microsoft.com/kb/823732.
Zurück zum Inhalt
Warum sollte ich ein Upgrade von Host IPS 7.0 auf Host IPS 8.0 durchführen?
Eine Auflistung der neuen und optimierten Funktionen von Host IPS 8.0 finden Sie in PD22892. Die bekannten Probleme sind in KB72749 aufgeführt.
Wie lade ich Host IPS 8.0 herunter?
Informationen zum Herunterladen von McAfee-Produkten, Sicherheitsaktualisierungen, Patches und HotFixes finden Sie in KB56057.
Wie installiere ich Host IPS 8.0 lokal bzw. anhand von Drittanbieter-Software-Lösungen?
Extrahieren Sie die Installationsdateien aus der ZIP-Datei in einen temporären Ordner, führen Sie die Datei Setup.exe aus, und schließen Sie die Installation dann ab.
HINWEIS: Setup.exe unterstützt viele der MSI-Befehlszeilenoptionen. Weitere Informationen hierzu finden Sie in KB51689.
Wie installiere ich Host IPS über ePO?
Fügen Sie das Installationspaket Ihrem Repository hinzu, und erstellen bzw. bearbeiten Sie dann einen Bereitstellungs-Task. Weitere Informationen finden Sie im Produkthandbuch für ePolicy Orchestrator 5.3.0 (PD25504).
HINWEIS: Im Bereitstellungs-Task können auch Befehlszeilenoptionen angegeben werden. Somit können Sie einfache Änderungen an der Installation vornehmen, zum Beispiel eine bestimmte Funktion nicht installieren. Eine vollständige Liste aller Optionen finden Sie im Installationshandbuch für Host Intrusion Prevention 8.0 (PD22891).
Warum wird das Produkt im Ordner 'Program Files (x86)' installiert?
Auf x64-Systemen installiert Host IPS sowohl 32-Bit- als auch 64-Bit-Binärdateien. Die 64-Bit-Produktbinärdateien werden in einem x64-Unterordner im Installationspfad installiert. Andere Binärdateien, zum Beispiel Treiber, werden an den entsprechenden Stellen im Windows-Dateisystem installiert. Die Installationsrichtlinien für 64-Bit-Dateien im Ordner \Programme werden vom Produkt zwar nicht berücksichtigt, es bietet jedoch native x64-Unterstützung.
Enthält das Installationspaket Host IPS-Signaturinhalte?
Host IPS wird mit Signaturinhalten (Version 8.0.0.3709) ausgeliefert. So kann Host IPS direkt nach der Installation auf jeden Fall arbeiten, auch wenn keine Verbindung mit einem ePO-Server zur Aktualisierung der Signaturen möglich ist. Sie sollten einen regelmäßigen Aktualisierungs-Task konfigurieren, der die Host IPS-Signaturinhalte für die installierten Systeme umfasst.
Muss nach der Installation ein Neustart durchgeführt werden?
Bei Neuinstallationen ist kein Neustart erforderlich, um den Funktionsumfang von Host IPS 8.0 nutzen zu können. Sie sollten trotzdem einen Neustart durchzuführen, damit die Windows-Umgebung möglichst reibungslos funktioniert.
Wenn Sie ein Upgrade von Host IPS 7.0 durchführen, ist je nach Betriebssystem möglicherweise ein Neustart erforderlich. Sie sollten dies für die bei Ihnen verwendeten Images individuell prüfen und entscheiden.
Wie entferne ich das Produkt vom System?
Sie können Host IPS mithilfe eines ePO-Bereitstellungs-Tasks entfernen oder die Entfernung lokal unter Programme und Funktionen bzw. Apps & Features (je nach Windows-Version) vornehmen. Vor dem lokalen Entfernen von Host IPS müssen Sie auf dem System den IPS-Schutz deaktivieren.
Wie führe ich ein Rollback für die Host IPS-Signaturinhalte durch?
Informationen zum Rollback für Host IPS-Signaturinhalte finden Sie in KB53092.
Wird meine Produktversion noch unterstützt?
Informationen zum Ende des Lebenszyklus und der Einstellung des Supports finden Sie unter www.mcafee.com/us/support/support-eol.aspx
Zurück zum Inhalt
Gibt es im Zusammenhang mit Host IPS bewährte Methoden?
Ja. Lesen Sie hierzu bitte den Abschnitt "Best Practices for Quick Success" (Bewährte Methoden für schnellen Erfolg) im Host Intrusion Prevention 8.0 Installation Guide (Installationshandbuch für Host Intrusion Prevention 8.0, PD22891).
Wie kann ich überprüfen, ob Host IPS auf dem System ausgeführt wird?
In Artikel KB58370 wird erläutert, wie Sie überprüfen können, ob Host IPS auf dem System ausgeführt wird.
Wie halte ich den Host IPS-Dienst an?
Host IPS verfügt über einen Selbstschutzmechanismus, der es selbst Administratoren nicht erlaubt, den Dienst anzuhalten. Dieser Mechanismus wird von der IPS-Richtlinie gesteuert, sodass der Selbstschutz erst bei der Deaktivierung des IPS abgeschaltet wird. Sie können IPS auch über das Taskleistensymbol für die Host IPS-Client-Benutzeroberfläche lokal deaktivieren. Zur Deaktivierung von IPS muss die Client-Benutzeroberfläche unter Angabe des Host IPS-Administratorkennworts entsperrt werden.
Wie aktiviere ich die Protokollierung für Host IPS?
Informationen zur Protokollierung und Fehlerbehebung auf Windows-Systemen finden Sie in Artikel KB72869; Informationen zur Protokollierung auf Systemen, die unter anderen Betriebssystemen als Windows laufen, sind in Artikel KB53490 enthalten.
Wie wird die Protokollierung des Schutzes beim Systemstart für Host IPS aktiviert?
Informationen zur Protokollierung des IPS-Schutzes beim Systemstart finden Sie in KB72834.
Wie kann ich die Reaktion von IPS auf Sicherheitsereignisse überprüfen?
Die Überprüfung der Reaktion von IPS auf Sicherheitsereignisse wird in Artikel KB54473 beschrieben.
Wie löse ich auf Systemen, die unter einem anderen Betriebssystem als Windows laufen, zu Testzwecken eine Signatur aus?
Informationen zum Auslösen einer Host IPS-Signatur zu Testzwecken finden Sie in KB73807.
Wie konfiguriere ich mit Host IPS 8.0 eine Anwendungsblockierung?
Host IPS 8.0 enthält keine Funktion zur Anwendungsblockierung mehr. Sie können jedoch mithilfe der IPS-Signaturen 6010 und 6011 Anwendungsblockierung und Hooking-Schutz konfigurieren. Weitere Informationen hierzu finden Sie in KB71794.
Wie kann ich Leistungsprobleme untersuchen?
Für die Untersuchung von Leistungsproblemen gibt es unterschiedliche Herangehensweisen. Führen Sie die folgenden Schritte nacheinander aus, um die mögliche Ursache des Problems herauszufinden. Nachdem Sie das Problem identifiziert haben, können Sie die entsprechenden Behebungsmaßnahmen ergreifen. Die folgenden Schritte stellen keine umfassende Anleitung dar, sondern sind vielmehr als Orientierungshilfe zu verstehen. Im Internet finden Sie zusätzliche Informationen zur Verwendung der erwähnten Tools. Weitere Tools sind in KB72766 aufgeführt.
Ja. Lesen Sie hierzu bitte den Abschnitt "Best Practices for Quick Success" (Bewährte Methoden für schnellen Erfolg) im Host Intrusion Prevention 8.0 Installation Guide (Installationshandbuch für Host Intrusion Prevention 8.0, PD22891).
Wie kann ich überprüfen, ob Host IPS auf dem System ausgeführt wird?
In Artikel KB58370 wird erläutert, wie Sie überprüfen können, ob Host IPS auf dem System ausgeführt wird.
Wie halte ich den Host IPS-Dienst an?
Host IPS verfügt über einen Selbstschutzmechanismus, der es selbst Administratoren nicht erlaubt, den Dienst anzuhalten. Dieser Mechanismus wird von der IPS-Richtlinie gesteuert, sodass der Selbstschutz erst bei der Deaktivierung des IPS abgeschaltet wird. Sie können IPS auch über das Taskleistensymbol für die Host IPS-Client-Benutzeroberfläche lokal deaktivieren. Zur Deaktivierung von IPS muss die Client-Benutzeroberfläche unter Angabe des Host IPS-Administratorkennworts entsperrt werden.
Wie aktiviere ich die Protokollierung für Host IPS?
Informationen zur Protokollierung und Fehlerbehebung auf Windows-Systemen finden Sie in Artikel KB72869; Informationen zur Protokollierung auf Systemen, die unter anderen Betriebssystemen als Windows laufen, sind in Artikel KB53490 enthalten.
Wie wird die Protokollierung des Schutzes beim Systemstart für Host IPS aktiviert?
Informationen zur Protokollierung des IPS-Schutzes beim Systemstart finden Sie in KB72834.
Wie kann ich die Reaktion von IPS auf Sicherheitsereignisse überprüfen?
Die Überprüfung der Reaktion von IPS auf Sicherheitsereignisse wird in Artikel KB54473 beschrieben.
Wie löse ich auf Systemen, die unter einem anderen Betriebssystem als Windows laufen, zu Testzwecken eine Signatur aus?
Informationen zum Auslösen einer Host IPS-Signatur zu Testzwecken finden Sie in KB73807.
Wie konfiguriere ich mit Host IPS 8.0 eine Anwendungsblockierung?
Host IPS 8.0 enthält keine Funktion zur Anwendungsblockierung mehr. Sie können jedoch mithilfe der IPS-Signaturen 6010 und 6011 Anwendungsblockierung und Hooking-Schutz konfigurieren. Weitere Informationen hierzu finden Sie in KB71794.
Wie kann ich Leistungsprobleme untersuchen?
Für die Untersuchung von Leistungsproblemen gibt es unterschiedliche Herangehensweisen. Führen Sie die folgenden Schritte nacheinander aus, um die mögliche Ursache des Problems herauszufinden. Nachdem Sie das Problem identifiziert haben, können Sie die entsprechenden Behebungsmaßnahmen ergreifen. Die folgenden Schritte stellen keine umfassende Anleitung dar, sondern sind vielmehr als Orientierungshilfe zu verstehen. Im Internet finden Sie zusätzliche Informationen zur Verwendung der erwähnten Tools. Weitere Tools sind in KB72766 aufgeführt.
- Task-Manager: Drücken Sie STRG+UMSCHALT+ESC, um den Task-Manager zu öffnen. Sortieren Sie nach der CPU-Spalte, um zu sehen, welche Prozesse die CPU auslasten. Beachten Sie, dass es sich bei der Zahl um einen Prozentsatz aller verfügbaren Prozessoren oder Kerne handelt. Bei einem System mit vier CPUs würden 25 Prozent bedeuten, dass ein Prozess einen der Kerne vollständig auslastet, was üblicherweise auf ein Problem hindeutet. Nachdem Sie den problematischen Prozess bzw. die problematischen Prozesse erkannt haben, können Sie diese weiter untersuchen.
- Leistungsüberwachung: Ermitteln Sie mithilfe der Leistungsüberwachung (PerfMon) detaillierte Angaben zu Ausmaß und Dauer der CPU-Auslastung. Auf diese Weise können Sie sich ein Bild darüber machen, in welchem Ausmaß das System und/oder die Benutzer beeinträchtigt werden. Mit dem Tool PerfMon können Sie Prozesse, Prozessor- und Speichernutzung eines Objekts sowie alle Zähler und Instanzen überwachen. Für Probleme, die vorhersehbar oder in einem engen Zeitfenster auftreten, empfiehlt sich eine Sampling-Rate von einer Sekunde. Um die potenzielle Größe des generierten Protokolls zu verringern, können Sie statt aller Zähler nur eine begrenzte Anzahl spezifischerer Zähler auswählen. Auf diese Weise kann die Erfassung über einen längeren Zeitraum ausgeführt werden, ohne eine extrem unübersichtliche Protokolldatei zu erzeugen.
- Windows-Leistungsüberwachungs-Tool (XPerf): In Microsoft Vista und neueren Betriebssystemen steht ein leistungsstarkes Tool zu Verfügung, das detaillierte Informationen zu Leistungsproblemen einschließlich Angabe der am häufigsten aufgerufenen API geben kann. Für gewöhnlich können Anbieter diese Information auf der Konstruktions-/Entwicklungsebene nutzen, da dort der Zugriff auf die Symboldateien für den Quellcode möglich ist. Auf diese Weise ist deutlicher zu erkennen, welche Codepfade ausgeführt werden.
- VSE Profiler (wenn VSE ebenfalls auf dem System ausgeführt wird): VSE Profiler ermöglicht Einblick in die Funktionsabläufe des Produkts, beispielsweise welche Dateien momentan gerade gescannt werden. Außerdem ermöglicht dieses Tool die Erzeugung von Berichten, in denen die erfassten Daten übersichtlich und gut verständlich aufbereitet werden. Weitere Informationen hierzu finden Sie in den Versionshinweisen für Profiler 1.1 (PD22737).
VSE Profiler können Sie auf folgender Website herunterladen: https://support.mcafee.com/ServicePortal/faces/tools/toolsMcAfeeProfiler. Möglicherweise können Sie durch die Erstellung von Ausschlüssen und/oder die Nutzung der Scanprofile Hoch/Niedrig/Standard eine Konfiguration einrichten, die die Leistung verbessert.
WICHTIG: Wenn die Leistungsprobleme sich durch die Ausführung dieser Schritte nicht beheben lassen, sollten Sie sich an den technischen Support wenden.
Warum lastet der ePO-Server die CPU während der Ausführung des Server-Tasks "Eigenschaftenübersetzung" so stark aus?
Der ePO-Server-Task "Eigenschaftenübersetzung" von Host IPS wird standardmäßig alle 15 Minuten ausgeführt und setzt Client-Eigenschaften des Systems in adaptive Client-Regeln um, die anschließend in den Registerkarten für Client-Regeln der Host IPS-Ereignisberichte angezeigt werden. Eine sehr umfangreiche Verarbeitung von Client-Regeln kann dazu führen, dass ePO-bezogene Prozesse die CPU hochgradig auslasten. Außerdem können vom Endpunktsystem erfasste falsch formatierte Eigenschaften Fehler bei der Eigenschaftenübersetzung verursachen.
Bei der Aktualisierung der Host IPS 8.0 Patch 4-Erweiterung (siehe KB78494) wird nun eine Warnmeldung zum adaptiven Modus angezeigt.
Adaptiver Modus
In dieser Version zeigt Host IPS beim Aktivieren des adaptiven Modus in der Richtlinie für Firewall-Optionen die folgende Warnung an:
Intel Security empfiehlt, dass Sie den adaptiven Modus in ausgewählten Systemen nur für einen begrenzten
Zeitraum aktivieren. Das Aktivieren des adaptiven Modus in vielen Systemen über eine längere Zeit kann ernsthafte Auswirkungen
auf die Leistung des Server-Tasks "Host-IPS-Eigenschaftenübersetzung" auf ePolicy Orchestrator haben.
Weitere Informationen hierzu finden Sie in den Host Intrusion Prevention 8.0 Patch 4 Release Notes (Versionshinweise zu Host Intrusion Prevention 8.0, Patch 4, PD25043).
Weitere Informationen finden Sie in den folgenden themenbezogenen Artikeln:
- KB80102: ePolicy Orchestrator console stops responding or takes several minutes to open when editing the Host Intrusion Prevention 8.0 Catalog (Beim Bearbeiten des Host Intrusion Prevention 8.0-Katalogs reagiert die ePolicy Orchestrator-Konsole nicht mehr bzw. öffnet sich erst nach mehreren Minuten)
- KB71607: Excessive Malformed Rule String Detected, Unparseable Date or other Host IPS Property Translator messages (in ePolicy Orchestrator 5.x Orion.log) (Falsch formatierte Regelzeichenfolge erkannt, nicht analysierbares Datum oder andere Fehlermeldungen beim Host IPS-Eigenschaftenübersetzungstask in der ePO 5.x-Datei orion.log)
- KB71520: Host Intrusion Prevention 8.0 property translator error failing on POSTALCODE (Abbruch des Eigenschaftenübersetzungstasks von Host Intrusion Prevention 8.0 bei POSTALCODE)
Wie wird die ausführliche Protokollierung der Fehlerbehebung für Fehler im Zusammenhang mit dem ePO-Server aktiviert?
Informationen zur ausführlichen Orion-Protokollierung finden Sie in KB67068.
Zurück zum Inhalt
Wie funktioniert der Host IPS-Schutz?
Der Host IPS-Schutz überwacht die Aufrufe ausführbarer Systeme, die über APIs (Application Programming Interfaces, Anwendungsprogrammierschnittstellen) auf dem geschützten System erfolgen. Mit diesen Systemaufrufen an den bzw. vom Kernel des Betriebssystems werden Verarbeitungsressourcen angefordert. Wenn die Host IPS-Überwachung in diesen Systemaufrufen Anomalien entdeckt, werden diese Aufrufe entweder blockiert oder zu Analysezwecken protokolliert. Für diesen Zweck nutzt Host IPS verschiedene Klassen von Überwachungsmodulen. Informationen zu den Modulklassen Buffer Overflow, Dateien, Einklinken (Hooking), Unzulässige API-Nutzung, Unzulässige Nutzung, ISAPI, Programm, Registrierung, Dienste und SQL finden Sie im Dokument PD22525, "Host Intrusion Prevention - Writing Custom Signatures" (Host Intrusion Prevention – Schreiben von benutzerdefinierten Signaturen).Wie funktioniert der Buffer Overflow-Schutz?
Der Buffer Overflow-Schutz (BOP) überwacht die ausführbaren Dateien und APIs auf dem System und kontrolliert, ob anhand eines Buffer Overflows bzw. Buffer Overruns Code ausgeführt wird. Der Buffer-Overflow-Schutz verhindert nicht den Überlauf selbst, sondern nur die Ausführung von Code anhand dieses Überlaufs. Dies ist eine gängige Exploit-Methode, mit der Malware Sicherheitsschwachstellen von Anwendungen dazu missbraucht, um sich Zugriff auf Daten oder das System zu verschaffen und/oder sich selbst zu verbreiten.
Daher wird die Codeausführung mittels Hooking auf Kernel-Ebene (in verschiedenen Systemtabellen auch als "Kernel-Patching" bezeichnet) zum Schutz zunächst durch Sicherheitstests geleitet, bevor die eigentlich vorgesehenen Programmfunktionen ablaufen. Diese Funktion wird auf 64-Bit-Plattformen nicht vollständig unterstützt, da der Kernel nur eingeschränktes Patching zulässt. Informationen zu den unterstützten Windows-Plattformen finden Sie in KB51504. Wenn die Datenausführungsverhinderung aktiv ist, wird der Buffer-Overflow-Schutz nicht benötigt.
Der Artikel, auf den verwiesen wird, steht nur registrierten ServicePortal-Benutzern zur Verfügung.
So zeigen Sie Artikel für registrierte Kunden an:
- Melden Sie sich unter http://support.mcafee.com beim ServicePortal an.
- Geben Sie die Artikel-ID auf der Startseite in das Suchfeld ein.
- Klicken Sie auf Suchen, oder drücken Sie die Eingabetaste.
Was ist der Netzwerk-IPS-Schutz?
Der Treiber des Netzwerk-IPS-Schutzfilters kontrolliert die zwischen dem geschützten System und dem Netzwerk ausgetauschten Daten. Die Pakete werden mit Profilen bösartiger Angriffe abgeglichen. Wenn ein Angriff erkannt wird, werden die verdächtigen Daten gelöscht, oder der Eintritt ins System wird blockiert. Host IPS enthält eine Standardliste mit Netzwerk-IPS-Signaturen für Windows-Plattformen. Schweregrad, Protokollstatus und die Einstellung zur Erstellung von Client-Regeln dieser Signaturen können bearbeitet werden, das Hinzufügen benutzerdefinierter Netzwerksignaturen ist derzeit jedoch nicht möglich. Netzwerk-Signaturen erfüllen folgende Funktionen:
Sie schützen Systeme, die sich nachgelagert in einem Netzwerksegment befinden. Sie schützen mit ihnen verbundene Server und Systeme. Sie schützen vor Denial of Service-Angriffen gegen das Netzwerk und gegen bandbreitenorientierte Angriffe, die den Netzwerkverkehr verhindern oder einschränken.
Hat der Treiber des Host IPS-Firewall-Filters die Versionsnummer NDIS 5.0 oder NDIS 6.0?
NDIS (Network Driver Interface Specification) ist die API für Netzwerkkarten und Netzwerkfiltertreiber, die unter Microsoft-Betriebssystemen arbeiten. Diese Spezifikation wurde von Microsoft und 3COM Corporation gemeinsam entwickelt. Windows 7, Windows Vista, Windows Server 2008 und neuere Betriebssysteme nutzen die NDIS 6.x-API. (Dank einer Kompatibilitätsebene von Microsoft sind diese Betriebssysteme aber auch hinsichtlich NDIS 5.x-Filtertreibern abwärtskompatibel.)
Host IPS 8.0 enthält zwei Versionen des Firewall-Treibers:
Einer der Firewall-Treiber basiert auf der NDIS 6.x-Spezifikation für Windows Vista und neuere Betriebssysteme. Der andere Firewall-Treiber basiert auf NDIS 5.x für Windows XP und Windows 2003.
HINWEIS: Sie sollten Host IPS 8.0 nach Möglichkeit unter Windows Vista bzw. neueren Betriebssystemen ausführen, da die NDIS 6.x-Treiber unter Vista und neueren Betriebssystemen mit der aktualisierten Programmieroberfläche arbeiten.
Microsoft hat den erweiterten Support für Windows XP SP3 am 8. April 2014 eingestellt. Sie sollten ein Upgrade auf ein unterstütztes Betriebssystem durchführen, um bestmögliche Ergebnisse zu erreichen und optimale Sicherheit zu genießen. Ausführliche Informationen hierzu finden Sie in KB78434.
Microsoft hat den erweiterten Support für Windows Server 2003 SP2 am 14. Juli 2015 eingestellt. Ab dem Ende des Jahres 2015 ist das einzige McAfee-Produkt, das mit Windows Server 2003 SP2 unterstützt wird, Application and Change Control.
Was ist das Host IPS-HTTP-Modul?
Das Host IPS 8.0-HTTP-Modul besteht aus zwei Komponenten: einem Stub und dem eigentlichen Modul. Der Stub ist ein einfacher Wrapper, die von IIS geladen wird. Diese lädt dann entsprechend den in der Registrierung gespeicherten Steuerungswerten das HTTP-Hauptmodul. Das HTTP-Modul verwendet einen Stub, damit bei Richtlinienänderungen, die sich auf das HTTP-Modul auswirken, kein Neustart von IIS erforderlich ist. Wenn das HTTP-Modul von der IPS-Fehlerbehebung aus deaktiviert wird, wird auch der Eintrag aus IIS entfernt. Das Modul erstellt aus der HTTP-Anfrage Abfragen, leitet die Anfrage zum Abgleich an den HIP-Client weiter und lässt die Frage dann passieren (sofern sie nicht blockiert wurde). Der Rohdatenabschnitt enthält keine POST-Daten. Er enthält alle Header-Variablen für alle IIS-Versionen.
Was ist "TrustedSource" in der Richtlinie "Firewall-Optionen"?
TrustedSource ist ein System zur globalen Reputationsanalyse von Websites, das anhand von Echtzeitanalysen positives und schädliches Verhalten im Internet ermittelt. Weitere Informationen zu TrustedSource finden Sie in KB74925.
Welche Host IPS-Dienste sollten auf einem Client genutzt werden, damit die Software ordnungsgemäß funktioniert?
Für den Eindringungsschutz mit IPS und/oder Firewall müssen folgende Dienste aktiviert sein:Die folgenden Dienste sind nach Aufruf aktiv:
McAfee Host Intrusion Prevention Service (FireSvc.exe) McAfee Firewall Core Service (mfefire.exe) – startet bei Host IPS 8.0, Patch 6 und höher, nicht automatisch. Siehe KB85374.- McAfee Validation Trust Protection Service (mfevtps.exe)
- McAfee Host Intrusion Prevention Local Procedure Call (LPC) Service (HipMgmt.exe) – ab Host IPS 8.0, Patch 3, vorhanden. Siehe KB81474.
- McAfee Host Intrusion Prevention-Dienst für das Taskleistensymbol (FireTray.exe)
- McAfee Host Intrusion Prevention-Client-Konsole (McAfeeFire.exe)
Wie lässt sich verhindern, dass die Firewall Nicht-IP-Datenverkehr blockiert?
Einige Arten von Nicht-IP-Datenverkehr werden, sofern sie nicht explizit in einer Firewall-Regel angegeben sind, von der Firewall nicht erkannt und daher blockiert. Außerdem werden mit den adaptiven und lernfähigen Modi keine Firewall-Regeln für Nicht-IP-Protokolle dynamisch erkannt und erstellt. Um zu verhindern, dass Nicht-IP-Protokolle abgewiesen werden, wählen Sie in der Richtlinie 'Firewall-Optionen' die Option Datenverkehr für nicht unterstützte Protokolle erlauben aus. Anschließend können Sie im Aktivitätsprotokoll die Option 'Zulässiges eingehendes/ausgehendes Nicht-IP-Protokoll: 0xXXX' prüfen, wobei der Wert 0xXXX der IANA-Ethernet-Nummer des Protokolls entspricht (siehe http://www.iana.org/assignments/ethernet-numbers). Ermitteln Sie anhand dieser Informationen den erwünschten Nicht-IP-Datenverkehr, und erstellen Sie eine Firewall-Regel, die diesen zulässt.
Wo befinden sich die Protokolldateien?
Alle Protokolldateien sind im Verzeichnis C:\ProgramData\McAfee\Host Intrusion Prevention\ gespeichert.
Welche Protokolldateien gehören zur Host IPS-Komponente?
Die Hauptprotokolldatei der Host IPS-Komponente ist die Datei HipShield.log. Sie kann bis zu 128 MB groß werden und wird mit einer Sicherung rotiert. Die Rotation von Protokolldateien wird über die DWORD-Einträge log_rotate_size_kb und log_rotate_count im Registrierungsschlüssel [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP] gesteuert.
Der Schlüssel log_rotate_count bestimmt die Anzahl der zu speichernden Sicherungsdateien. Der DWORD-Eintrag log_rotate_size_kb gibt die ungefähre Größe einer Sicherungsprotokolldatei in KB an, wobei 0 heißt, dass die Protokollrotation deaktiviert ist.
Wird die in log_rotate_size_kb angegebene Größe überschritten, wird die Datei geschlossen, und an den Namen wird '.1' angehängt. Ist bereits eine Datei mit diesem Namen vorhanden, wird der Wert um eins erhöht. Sobald die festgelegte Anzahl von Sicherungsdateien erreicht ist, wird die älteste Datei gelöscht.
Was gibt es bei HipShield.log zu beachten?
Die Ausführung der Host IPS-Komponente beginnt mit einer Banner-Anweisung, aus der der ausgeführte Build und der Datums-/Zeitstempel der Sitzung hervorgehen. Jeder Eintrag im HipShield-Protokoll hat einen Datums-/Zeitstempel, gefolgt von der Angabe, ob es um eine Informations-, Debugging- oder Fehlermeldung handelt. Die in der Datei HipShield.log enthaltenen Daten sind Ad-hoc-Daten und variieren je nach Bereich der Host IPS-Komponente. Wichtigste Inhalte:Welche Protokolldateien sind der Firewall-Komponente zugeordnet?
Zeilen, die mit 'In install modules new' beginnen, dienen der Beschreibung der Kopie von Dateien beim Start der Host IPS-Komponente. Werden diese Dateien falsch kopiert, kann die Host IPS-Komponente nicht gestartet werden. Eine mit 'Scrutinizer initialized successfully' beginnende Zeile gibt an, dass die Host IPS-Komponente mit der Initialisierung von Scrutinizer ordnungsgemäß geladen wurde. Voraussetzung dafür ist, dass die oben erwähnten Dateien ordnungsgemäß kopiert wurden. Eine mit 'New Process: Pid=' beginnende Zeile weist darauf hin, dass die Prozesserstellung mit der Host IPS-Komponente überwacht werden kann. Eine mit 'IIS – Start' beginnende Zeile bedeutet, dass die IIS-Überwachung beginnt. Eine mit 'Scrutinizer started successfully ACTIVATED status' beginnende Zeile bedeutet, dass Scrutinizer erfolgreich gestartet wurde. Eine mit 'Hooking xxx' beginnende Zeile gibt an, dass das Prozess-Hooking (Einklinken in den Prozess) begonnen wurde. Dabei entspricht die Zahl xxx der PID (Prozess-ID) des jeweiligen Zielprozesses. Mit 'Processing Buffer xxx.scn' beginnende Zeilen sind die Ergebnisse der Scanner-Verarbeitung von Scan-Datei xxx.scn, wobei 'xxx' einem Namen wie 'EnterceptMgmtServer' entspricht (wie oben gezeigt). Fehler in der Scanner-Verarbeitung von Scan-Dateien werden hier angegeben. Zeilen im Format 'signature=111 level=2, log=True' geben an, dass eine individuelle Signatur geladen wurde. Signatur-ID und Ebene werden zusammen mit einem Hinweis, ob die Protokollierung für diese Signatur aktiviert ist, angegeben.
HINWEIS: Wenn Debugging aktiviert ist, werden Shield.db und except.db bei aktivierter in demselben Verzeichnis wie die Protokolle erstellt. Die Dateien enthalten ein Speicherabbild der Regeln und Ausnahmen, die an den Kernel übertragen werden, nachdem AgentNT.dll den Inhalt verarbeitet hat.
Diese Protokolldateien können bis zu 100 MB groß werden. Wenn Sie größere oder kleinere Protokolldateien benötigen, können Sie die Größe durch Hinzufügen des folgenden Registrierungswerts festlegen: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]
FireSvc.log
(Hauptprotokoll des Dienstes)Protokollierung auf Debug-Ebene
Ausgabe des Speicherortabgleichs
Ausgabe zur TrustedSource-Verbindungsbewertung
Fehler/WarnungenHipMgtPlugin.log
(Protokoll für McAfee Agent-Plug-In)Protokollierung auf Debug-Ebene
Zeitstatistiken zur Richtlinienerzwingung
Fehler/WarnungenFireTray.log / McTrayHip.log
(Protokoll für das Taskleistensymbol)Protokollierung auf Debug-Ebene
Fehler/WarnungenFireUI.log
(Protokoll für die Client-Benutzeroberfläche)Protokollierung auf Debug-Ebene
Fehler/Warnungen
Hinweise zum Festlegen der Protokolldateigröße finden Sie im Abschnitt "Which log files are associated with the firewall component?" (Welche Protokolldateien sind der Firewall-Komponente zugeordnet?) des Host Intrusion Prevention 8.0 Product Guide (Produkthandbuch zu Host Intrusion Prevention 8.0, PD22894).
Was ist das Befehlszeilenprogramm ClientControl?
Dieses Befehlszeilenprogramm unterstützt die Automatisierung von Upgrades und anderen Wartungsaufgaben, wenn Host IPS mithilfe von Software eines Drittanbieters auf Client-Computern bereitgestellt wird. Es kann in Installations- und Wartungsskripts eingebettet werden, um den IPS-Schutz vorübergehend zu deaktivieren und Protokollierungsfunktionen zu aktivieren. Weitere Informationen hierzu finden Sie in der Host Intrusion Prevention 8.0 ClientControl.exe Utility Readme (Readme-Datei für das Host Intrusion Prevention 8.0-Dienstprogramm ClientControl.exe, PD23014).
Zurück zum Inhalt
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified