Allgemeines	Unterstützte Betriebssysteme und Informationen zu verschiedenen anderen Themen.
Häufigste Probleme	Die von Kunden am häufigsten geschilderten Probleme bzw. gestellte Fragen. Definiert nach Bereich/Unterbereich.
Häufigste bei Service-Anfragen gestellte Fragen bzw. geschilderte Probleme des Monats	Die in diesem Monat von Kunden im Rahmen von Service-Anfragen am häufigsten geschilderten Probleme bzw. gestellten Fragen. Definiert nach Bereich/Unterbereich.
Kompatibilität	Interaktion mit anderen Produkten und anderer Software.
Installation/Upgrade	Informationen bezüglich Installation, Entfernen bzw. Durchführung eines Upgrades.
Konfiguration	Umfasst bewährte Methoden, Optimierung und Konfiguration.
Funktionen	Eigenschaften und Funktionen des Produkts, u. a. Buffer Overflow, Host IPS-Schutz, Netzwerk-IPS und Firewall.

Welche Umgebungen werden von Host IPS 8.0 unterstützt?
Informationen zu den unterstützten Umgebungen finden Sie in KB70778.


Wie oft wird der Inhalt von Host IPS aktualisiert?
Host IPS wird immer am zweiten Dienstag des Monats um 20:00 Uhr (GMT) im allgemeinen Repository aktualisiert.
Dies ist der Tag, an dem auch die Sicherheitsaktualisierungen von Microsoft Windows veröffentlicht werden (der sogenannte "Microsoft Patch Tuesday").


Warum sind die Pakete für den inkrementellen Patch von Host IPS 8.0 (MSP) größer als das Paket für die vollständige Installation von Host IPS, in der der Patch bereits enthalten ist?
Die MSP-Pakete werden in der Tat immer größer, dies liegt an ihrer Struktur. Jedes Mal, wenn Intel Security einen neuen Patch veröffentlicht, muss der MSP alle erforderlichen Informationen für das Upgrade jeder einzelnen bislang veröffentlichten Patch-Version sowie der RTW-Version des Produkts enthalten. Aus diesem Grund ist für jede dieser vorherigen Versionen nicht einfach eine Kopie der neuen Dateien, sondern eine Transform-Datei (MST) in das MSP-Paket eingebettet.

Bei dieser MST-Datei handelt es sich im Prinzip um eine MSI-Ergänzung, die eine bereits bekannte MSI-Version auf diejenige MSI-Version aktualisiert, auf der der Patch basiert. Da die MSI-Tabellen Binärdaten für beispielsweise den eingebetteten benutzerdefinierten Aktivierungscode und einige unserer Support-Dienstprogramme (z. B. clientcontrol.exe) enthalten, können diese MSI-Ergänzungen sehr umfangreich sein, wodurch jeder nachfolgende Patch größer wird als der vorherige.


Zurück zum Inhalt

Client-IPS – Häufig gestellte Fragen zu IPS-Ereignissen
Einer der häufigsten Gründe für Anrufe bezüglich Host IPS sind Ereignisse im Zusammenhang mit der IPS-Signatur. Diese Anfragen beziehen sich meist auf Auslöser von IPS-Signaturereignissen. Host IPS bietet im Rahmen einer mehrschichtigen Schutzstrategie IPS- und Firewall-Schutz für Endpunktsysteme. Neben Host IPS sollte diese mehrschichtige Schutzstrategie auch einen Eindringungsschutz in Form von Firewall- oder Filtersystemen für Netzwerk-Gateways sowie einen Antiviren- und Anti-Malware-Schutz für Endpunktsysteme umfassen. 

Das System wird mithilfe der Host IPS-Signaturinhalte vor bekannten und vor zu diesem Zeitpunkt noch unbekannten ("Zero-Day") Bedrohungen geschützt. "Zero-Day" bezeichnet hier den Zeitraum von der Erkennung einer Schwachstelle bis zur Anwendung der veröffentlichten Sicherheitsaktualisierung für die bestätigte Schwachstelle. Host IPS bietet allgemeine Signaturverfahren, z. B. für Buffer Overflows, die das System während eines solchen Zero-Day-Zeitraums absichern. Alle für das Betriebssystem und die vorhandenen Anwendungen vorgesehenen Sicherheitsaktualisierungen sollten immer schnellstmöglich in der Arbeitsumgebung durchgeführt werden, um die Häufigkeit bzw. Wiederholungsrate von IPS-Signatur-Entdeckungen zu verringern.  

Es empfiehlt sich, einen allgemeinen Ablaufplan zur Überprüfung der für Betriebssystem und vorhandene Anwendungen vorgesehenen Sicherheitsaktualisierungen aufzustellen und zu befolgen und außerdem monatlich bzw. in regelmäßigen Abständen alle jeweils verfügbaren Patches zu installieren. Außerdem sollten Sie die monatlichen Aktualisierungen der Host IPS-Signaturen auf Übereinstimmung mit den entsprechenden veröffentlichten Sicherheitsaktualisierungen der jeweiligen Anbieter überprüfen. Host IPS-Signaturen, die sich direkt den vom Anbieter veröffentlichten Sicherheitsaktualisierungen zuordnen lassen, können auf aktualisierten Systemen ohne Gefahr deaktiviert werden. Es empfiehlt sich, einmal monatlich die aktivierten Signaturinhalte sowie die Installation verfügbarer Sicherheitsaktualisierungen zu überprüfen, um die Wahrscheinlichkeit von Fehlalarmen bei bereits aktualisierten Systemen zu verringern.

Gehen Sie zur Auswertung der IPS-Signaturereignisse entsprechend der folgenden allgemeinen Vorgehensweise vor:

1. Ermitteln Sie, welche Signaturnummer ausgelöst wurde.
2. Lesen Sie die in den Richtlinien für IPS-Regeln in ePolicy Orchestrator (ePO) enthaltenen Informationen zu dieser IPS-Signaturnummer.
3. Lesen Sie die weiterführenden CVE-Beschreibungen, sofern in den Erläuterungen dieser Signatur entsprechende Links enthalten sind.
4. Sehen Sie nach, ob für die entsprechende Schwachstelle Links zu Sicherheits-Bulletins von Microsoft TechNet vorhanden sind, und informieren Sie sich, ob von Microsoft bereits Sicherheitsaktualisierungen zur Beseitigung dieser Schwachstelle veröffentlicht wurden.
5. Überprüfen Sie, ob auf den Systemen, die ein IPS-Ereignis melden, ggf. verfügbare Microsoft-Sicherheitsaktualisierungen durchgeführt wurden (wie oben beschrieben).
   • Ist dies der Fall, dann ist auf den Systemen, auf denen die entsprechenden Sicherheitsaktualisierungen durchgeführt wurden, möglicherweise die jeweilige IPS-Signatur deaktiviert.
   • Ist dies nicht der Fall, sollten Sie die entsprechenden Microsoft-Sicherheitsaktualisierungen der betroffenen Systeme schnellstmöglich installieren.
6. Sind für die auslösende IPS-Signatur keine Links zu CVE-Beschreibungen angegeben, lesen Sie alle ausführlichen Detailinformationen des IPS-Ereignisses.
7. Ermitteln Sie, ob die Ereignisauslösung mit der regulären geschäftlichen Nutzung bzw. mit Routineabläufen zusammenhängt.
8. Überprüfen Sie, ob für die betroffenen Systeme alle aktuellen Microsoft-Sicherheitsaktualisierungen durchgeführt wurden.
9. Ermitteln Sie, ob das IPS-Ereignis im Zusammenhang mit einem bestimmten Prozess eines Drittanbieters (z. B. Adobe) oder einer nicht von Microsoft stammenden Anwendung (bzw. Prozess/Tool) auftritt. Ist dies der Fall, so überprüfen Sie alle entsprechenden Sicherheitsaktualisierungen dieses Anbieters, und sorgen Sie dafür, dass die Aktualisierungen auf den Systemen durchgeführt werden.
10. Wenn die Signatur auch nach Anwendung der entsprechenden Anbieter-Sicherheitsaktualisierung weiterhin ausgelöst wird, können Sie das Ereignis als False-Positive einordnen. Deaktivieren Sie hierfür die Signatur für die aktualisierten Systeme, oder erstellen Sie für diese Systeme eine IPS-Ausnahme, um weitere Signaturentdeckungen zu verhindern.
11. Wenn keine passende Sicherheitsaktualisierung des Anbieters vorhanden ist, ermitteln Sie, ob die betroffenen Systeme über aktuelle Antiviren- und Anti-Malware-Definition für VirusScan verfügen oder ob eine andere Schutzanwendung für Endpunkte installiert ist. Führen Sie auf den betroffenen Systemen einen vollständigen Scan durch.
12. Ermitteln Sie, ob die betroffenen Systeme über anderweitige Systemschutzmaßnahmen verfügen, z. B. über eine Anwendung zur Erkennung von Netzwerk-Eindringungsversuchen.
13. Aktivieren Sie die ausführliche Protokollierung der Fehlerbehebung durch Aktivierung der Option Sicherheitsverletzungen protokollieren für Host IPS, dann werden in der Protokolldatei HipShield.log umfassende Informationen erfasst. Welche Informationen in der Datei HipShield.log hinsichtlich IPS-Sicherheitsverletzungen relevant sind, können Sie KB54473 entnehmen.
14. Weitere Informationen können Sie beim technischen Support erfragen.

Client-Firewall – Häufig gestellte Fragen zu Firewall-Regeln
Häufig werden Fragen bezüglich der Firewall-Richtlinienkonfiguration gestellt, darunter auch die Frage, welche Firewall-Regeln auf Endpunktsystemen konfiguriert sein sollten. Die typischen Firewall-Richtlinien von Unternehmenskunden reichen von sehr einfachen Regelsätzen, die mit verbindungs-/standortbewussten Gruppen arbeiten, bis hin zu hochkomplexen Regelrichtlinien, in denen prozessbasierte Hashes ausführbarer Dateien definiert sind, die wiederum Hunderte von Firewall-Regeln für eingehenden und ausgehenden Datenverkehr umfassen. Umfangreiche Firewall-Richtlinien lassen die Verwaltung komplizierter werden und können bei schwächeren Systemen die Leistung beeinträchtigen. Außerdem können komplexe Regelsätze während der Richtlinienkonfigurationsabläufe den ePO-Server stark belasten und während der Richtlinienerzwingungsintervalle den McAfee Agent zusätzlich belasten.

Die Host IPS 8.0-Firewall bietet verschiedene Funktionen, die die Richtlinienkonfiguration vereinfachen:

• Host IPS 8.0 enthält Vorlagen für vereinfachte standardmäßige Firewall-Richtlinienregeln, die Sie als Grundlage für eigene Richtlinien nutzen können. Es empfiehlt sich, einfache Regelsätze zu verwenden, um die Vorteile von statusbehafteter Firewall, vertrauenswürdigen Netzwerken und vertrauenswürdigen Anwendungen so umfassend wie möglich für die Richtlinien interner Firmennetzwerke zu nutzen.
• Da es sich um eine statusbehaftete Firewall handelt, sind weniger Firewall-Regeln für eingehenden Datenverkehr erforderlich. Auf diese Weise können die Richtlinien für Regeln erheblich vereinfacht werden. In der Firewall-Statustabelle werden Informationen zu aktiven Verbindungen mit vom System ausgehendem Datenverkehr dynamisch gespeichert. Anhand der Regeln der Firewall-Statustabelle wird der dazugehörige eingehende Datenverkehr gefiltert und entsprechend durchgelassen. Dies macht das Definieren umfangreicher und komplexer Regelsätze für eingehenden Datenverkehr überflüssig.
• Durch Nutzung standortbewusster Gruppen können auch Regelsätze für Benutzer definiert werden, die sich außerhalb der Reichweite des normalen LANs befinden und mit Remote-Zugriff arbeiten. Innerhalb einer standortbewussten Gruppe können dann vereinfachte Regelsätze konfiguriert werden, sodass Remote-Benutzer sich erst über das Unternehmens-VPN verbinden und anschließend mit den normalen Firewall-Regeln arbeiten können.
• Die Richtlinie Vertrauenswürdige Netzwerke listet die IP-Adressen und Netzwerke auf, einschließlich der TrustedSource-Ausnahmen, über die eine sichere Kommunikation erfolgen kann. Vertrauenswürdige Netzwerke können einzelne IP-Adressen oder ganze IP-Adressbereiche umfassen. Wenn Netzwerke als vertrauenswürdig eingestuft werden, sind weniger oder keine Netzwerk-IPS-Ausnahmen und zusätzliche Firewall-Regeln erforderlich. (Nur für Windows-Clients.)
• Die Richtlinie Vertrauenswürdige Anwendungen listet Anwendungen auf, die sicher sind und keine bekannten Schwachstellen aufweisen. Wenn Anwendungen als vertrauenswürdig markiert werden, sind weniger oder keine IPS-Ausnahmen und zusätzliche Firewall-Regeln mehr erforderlich. Diese Richtlinienkategorie kann ebenso wie die Richtlinie 'IPS-Regeln' mehrere Richtlinieninstanzen enthalten. (Für Clients auf Windows- und Nicht-Windows-Plattformen.)
• Die Firewall-Option Adaptiver Modus erleichtert das Optimieren der Firewall. 
  HINWEIS: Verwenden Sie den adaptiven Modus zur Optimierung der Firewall-Regeln nur vorübergehend und nur auf wenigen Systemen. Dieser Modus kann auf Endpunktsystemen eine hohe Anzahl von Client-Regeln erzeugen und den ePO-Server zudem erheblich belasten, wenn dieser eine zu hohe Anzahl von adaptiven Firewall-Client-Regeln verarbeiten muss. Intel Security empfiehlt deshalb, den Einsatz des adaptiven Modus für Firewalls auf einige wenige Systeme und einen begrenzten Zeitraum zu beschränken und ihn ausschließlich als Unterstützung beim Optimieren der Firewall-Richtlinien zu nutzen.
  
  Führen Sie täglich oder zumindest wöchentlich eine Überprüfung der adaptiven Client-Regeln durch, bei der auf den Zielsystemen der adaptive Modus aktiviert sein muss. Deaktivieren Sie auf den Zielsystemen nach der Erstbereitstellung des adaptiven Modus für Firewalls diesen adaptiven Modus durch Deaktivieren der Option Client-Ausnahmen beibehalten wieder, damit alle erlernten Client-Regeln auf dem Zielsystem bereinigt werden. Überprüfen Sie über die ePO-Konsole die Client-Firewall-Regeln, und bestimmen Sie, welche Regeln auf dem Endpunktsystem für die Richtlinie für Firewall-Regeln zur Optimierung angewendet werden sollen. Reaktivieren Sie die Firewall anschließend im adaptiven Modus. Führen Sie diese iterativen Schritte zur Erstellung einer endgültigen Richtlinie für Firewall-Regeln durch, bevor die Bereitstellung auf alle Systeme erfolgt. Möglicherweise werden Teile des mit Anwendungen zusammenhängenden Netzwerk-Datenverkehrs im adaptiven Modus nicht erkannt. In diesem Fall müssen die Firewall-Regeln dann manuell konfiguriert werden. Um die korrekte Funktion von Anwendungen sicherzustellen, erfragen Sie beim jeweiligen Anbieter ggf. Informationen zu möglicherweise vorhandenen anwendungsspezifischen Firewall-Konfigurationen.

Installation, Einrichtung, Deinstallation/Häufig gestellte Fragen – Bereitstellung über ePO
Die meisten Support-Anfragen in dieser Kategorie beinhalten Fragestellungen, die im Host Intrusion Prevention 8.0-Installationshandbuch (PD22891) erörtert werden.

Sie sollten jede Neuinstallation von Sicherheitsanwendungen erst gründlich in Bezug auf die Produktionsumgebung testen und eine Basislinie erstellen, bevor Sie sie für alle Systeme bereitstellen. Intel Security führt bei seinen Sicherheitsprodukten vor der Veröffentlichung zwar umfangreiche Tests und Überprüfungen durch, dennoch sollte die beschriebene Vorgehensweise bei der Bereitstellung von Host IPS für alle Knoten einer Unternehmensumgebung angewendet werden. Aufgrund des schnellen technologischen Fortschritts beinhalten Produkte und Netzwerkinfrastrukturen von Drittanbietern immer mehr neue Sicherheitsfunktionen. Die Kompatibilität verschiedener Produkte untereinander stellt alle Anbieter immer wieder vor neue Herausforderungen, daher sollten bei jeder Produktveränderung unbedingt die Basiskunden-Images überprüft werden. Nach der erfolgreichen Prüfung von Host IPS in einer Test- oder Pilotumgebung sollte die Software entweder zunächst als Pilotprojekt oder phasenweise in der Produktionsumgebung des Unternehmens bereitgestellt werden.


Client-Firewall/Firewall-Regeln funktionieren nicht
Informationen zur Fehlerbehebung finden Sie im Abschnitt zu Software anderer Anbieter.


Installation, Einrichtung, Deinstallation/Neuinstallation – Fehlgeschlagen
Die Bereitstellung von Host IPS erfolgt standardmäßig mit deaktivierten IPS- und Firewall-Funktionen. Sie sollten Systeme auswählen, die repräsentativ für die Anwendungen und Konfigurationen aller Gruppen in der Umgebung sind. Wenn Sie über standardisierte Images verfügen, erleichtert dies die Validierung von Host IPS für Ihre Umgebung. Sind Ihre Systeme hingegen sehr unterschiedlich, ist die Prüfung der Kompatibilität aller Komponenten deutlich komplizierter. Die Behebung von Kompatibilitätsproblemen vor der unternehmensweiten Bereitstellung ist für den technischen Support wesentlich einfacher als die Behebung komplexer Probleme, die sich erst während oder nach der unternehmensweiten Bereitstellung zeigen.

Zurück zum Inhalt

Was soll ich bei Problemen mit einer anderen Software von einem Drittanbieter unternehmen?
Es können Probleme im Zusammenhang mit Software von Drittanbietern auftreten, insbesondere, wenn es sich dabei um Sicherheits-Software handelt. Hilfe finden Sie in den folgenden Artikeln:

• KB67055: How to troubleshoot a network facing application or traffic is blocked by Host Intrusion Prevention firewall (Fehlerbehebung bei einer auf das Netzwerk zugreifenden Anwendung bzw. bei Blockierung des Datenverkehrs durch die Firewall von Host Intrusion Prevention)
• KB67056: Third-party application stops working or is impaired after Host Intrusion Prevention is installed or content is updated (Anwendung eines Drittanbieters funktioniert nach Installation von Host Intrusion Prevention bzw. nach Aktualisierung der Inhalte nicht mehr oder nur noch eingeschränkt)

Wenn Sie ein nicht behebbares Problem eskalieren, ist es wichtig, dass Sie parallel zur Analyse durch Intel Security auch eine Analyse durch den entsprechenden Drittanbieter anfordern. Kompatibilitätsprobleme müssen häufig durch den Drittanbieter und nicht durch Intel Security behoben werden. Intel Security ist bestrebt, jegliche Kompatibilitätsprobleme durch enge Zusammenarbeit mit Drittanbietern zu lösen.


Wann wird eine 64-Bit-Version erhältlich sein?
Host IPS 8.0 wird auf unterstützten 64-Bit-Betriebssystemen vollständig unterstützt.


Inwiefern ist Host IPS ein 64-Bit-Produkt?
Auf x64-Systemen installiert Host IPS 8.0 sowohl 32-Bit- als auch 64-Bit-Binärdateien. Die 64-Bit-Produktbinärdateien werden in einem x64-Unterordner im Installationspfad installiert. Andere Binärdateien, zum Beispiel Treiber, werden an den entsprechenden Stellen im Windows-Dateisystem installiert. Die Installationsrichtlinien für 64-Bit-Dateien im Ordner \Programme werden vom Produkt zwar nicht berücksichtigt, es bietet jedoch native x64-Unterstützung.


Welche Komponenten werden auf x64-Systemen im 32-Bit-Kompatibilitätsmodus ausgeführt?
Einige Anwendungen von Drittanbietern werden als 32-Bit-Anwendung ausgeführt. Für diese Anwendungen lädt Host IPS 8.0 die entsprechenden 32-Bit-IPS-Module.


Welche virtualisierten Plattformen werden von Host IPS 8.0 unterstützt?
Informationen hierzu finden Sie in KB70778: Unterstützte Plattformen, Umgebungen und Betriebssysteme für Host Intrusion Prevention 8.0.


Welche VPN-Versionen werden von Host IPS 8.0 unterstützt?
Informationen hierzu finden Sie in KB70778: Unterstützte Plattformen, Umgebungen und Betriebssysteme für Host Intrusion Prevention 8.0.


Warum sollte man den McAfee (ePO) Agent auch auf Laptops installieren, die fast nie auf das Netzwerk zugreifen?
Der ePO-Agent erzwingt die Anwendung der Richtlinien. Nachdem Sie den Agenten installiert haben und dieser die auf dem ePO-Server konfigurierte Richtlinie empfangen hat, wird die von Ihnen definierte Richtlinie im festgelegten Richtlinienerzwingungsintervall erzwungen, unabhängig davon, ob der Laptop sich jeweils gerade im Netzwerk befindet. Auf diese Weise wird sichergestellt, dass die Unternehmenseinstellungen für Ihre McAfee-Produkte ungeachtet Ihres derzeitigen Standorts auch tatsächlich umgesetzt werden.

 

Kann ich mit Host IPS 8.0 den Zugriff auf USB-Geräte blockieren?
Nur unzureichend. Mit Host IPS 8.x kann zwar mittels einer benutzerdefinierten IPS-Signatur der Zugriff auf USB-Geräte blockiert werden, jedoch bestehen derzeit bei der Verwendung einer IPS-Signatur Einschränkungen hinsichtlich der Sicherheit.

Für das zuverlässige Blockieren von USB-Geräten empfiehlt Intel Security McAfee Data Loss Prevention (https://www.mcafee.com/de/products/data-protection/index.aspx).

In Support-Artikel 823732 von Microsoft wird erläutert, wie Sie verhindern können, dass Benutzer eine Verbindung mit einem USB-Speichergerät herstellen: support.microsoft.com/kb/823732.

Zurück zum Inhalt

 

Warum sollte ich ein Upgrade von Host IPS 7.0 auf Host IPS 8.0 durchführen?
Eine Auflistung der neuen und optimierten Funktionen von Host IPS 8.0 finden Sie in PD22892. Die bekannten Probleme sind in KB72749 aufgeführt.


Wie lade ich Host IPS 8.0 herunter?
Informationen zum Herunterladen von McAfee-Produkten, Sicherheitsaktualisierungen, Patches und HotFixes finden Sie in KB56057.


Wie installiere ich Host IPS 8.0 lokal bzw. anhand von Drittanbieter-Software-Lösungen?
Extrahieren Sie die Installationsdateien aus der ZIP-Datei in einen temporären Ordner, führen Sie die Datei Setup.exe aus, und schließen Sie die Installation dann ab.

HINWEIS: Setup.exe unterstützt viele der MSI-Befehlszeilenoptionen. Weitere Informationen hierzu finden Sie in KB51689.


Wie installiere ich Host IPS über ePO?
Fügen Sie das Installationspaket Ihrem Repository hinzu, und erstellen bzw. bearbeiten Sie dann einen Bereitstellungs-Task. Weitere Informationen finden Sie im Produkthandbuch für ePolicy Orchestrator 5.3.0 (PD25504).

HINWEIS: Im Bereitstellungs-Task können auch Befehlszeilenoptionen angegeben werden. Somit können Sie einfache Änderungen an der Installation vornehmen, zum Beispiel eine bestimmte Funktion nicht installieren. Eine vollständige Liste aller Optionen finden Sie im Installationshandbuch für Host Intrusion Prevention 8.0 (PD22891).


Warum wird das Produkt im Ordner 'Program Files (x86)' installiert?
Auf x64-Systemen installiert Host IPS sowohl 32-Bit- als auch 64-Bit-Binärdateien. Die 64-Bit-Produktbinärdateien werden in einem x64-Unterordner im Installationspfad installiert. Andere Binärdateien, zum Beispiel Treiber, werden an den entsprechenden Stellen im Windows-Dateisystem installiert. Die Installationsrichtlinien für 64-Bit-Dateien im Ordner \Programme werden vom Produkt zwar nicht berücksichtigt, es bietet jedoch native x64-Unterstützung.


Enthält das Installationspaket Host IPS-Signaturinhalte?
Host IPS wird mit Signaturinhalten (Version 8.0.0.3709) ausgeliefert. So kann Host IPS direkt nach der Installation auf jeden Fall arbeiten, auch wenn keine Verbindung mit einem ePO-Server zur Aktualisierung der Signaturen möglich ist. Sie sollten einen regelmäßigen Aktualisierungs-Task konfigurieren, der die Host IPS-Signaturinhalte für die installierten Systeme umfasst.


Muss nach der Installation ein Neustart durchgeführt werden?
Bei Neuinstallationen ist kein Neustart erforderlich, um den Funktionsumfang von Host IPS 8.0 nutzen zu können. Sie sollten trotzdem einen Neustart durchzuführen, damit die Windows-Umgebung möglichst reibungslos funktioniert. 

Wenn Sie ein Upgrade von Host IPS 7.0 durchführen, ist je nach Betriebssystem möglicherweise ein Neustart erforderlich. Sie sollten dies für die bei Ihnen verwendeten Images individuell prüfen und entscheiden.


Wie entferne ich das Produkt vom System?
Sie können Host IPS mithilfe eines ePO-Bereitstellungs-Tasks entfernen oder die Entfernung lokal unter Programme und Funktionen bzw. Apps & Features (je nach Windows-Version) vornehmen. Vor dem lokalen Entfernen von Host IPS müssen Sie auf dem System den IPS-Schutz deaktivieren. 


Wie führe ich ein Rollback für die Host IPS-Signaturinhalte durch?
Informationen zum Rollback für Host IPS-Signaturinhalte finden Sie in KB53092.


Wird meine Produktversion noch unterstützt?
Informationen zum Ende des Lebenszyklus und der Einstellung des Supports finden Sie unter www.mcafee.com/us/support/support-eol.aspx

Zurück zum Inhalt

 

Wie funktioniert der Host IPS-Schutz?
Der Host IPS-Schutz überwacht die Aufrufe ausführbarer Systeme, die über APIs (Application Programming Interfaces, Anwendungsprogrammierschnittstellen) auf dem geschützten System erfolgen. Mit diesen Systemaufrufen an den bzw. vom Kernel des Betriebssystems werden Verarbeitungsressourcen angefordert. Wenn die Host IPS-Überwachung in diesen Systemaufrufen Anomalien entdeckt, werden diese Aufrufe entweder blockiert oder zu Analysezwecken protokolliert. Für diesen Zweck nutzt Host IPS verschiedene Klassen von Überwachungsmodulen. Informationen zu den Modulklassen Buffer Overflow, Dateien, Einklinken (Hooking), Unzulässige API-Nutzung, Unzulässige Nutzung, ISAPI, Programm, Registrierung, Dienste und SQL finden Sie im Dokument PD22525, "Host Intrusion Prevention - Writing Custom Signatures" (Host Intrusion Prevention – Schreiben von benutzerdefinierten Signaturen).

 

Wie funktioniert der Buffer Overflow-Schutz?
Der Buffer Overflow-Schutz (BOP) überwacht die ausführbaren Dateien und APIs auf dem System und kontrolliert, ob anhand eines Buffer Overflows bzw. Buffer Overruns Code ausgeführt wird. Der Buffer-Overflow-Schutz verhindert nicht den Überlauf selbst, sondern nur die Ausführung von Code anhand dieses Überlaufs. Dies ist eine gängige Exploit-Methode, mit der Malware Sicherheitsschwachstellen von Anwendungen dazu missbraucht, um sich Zugriff auf Daten oder das System zu verschaffen und/oder sich selbst zu verbreiten.

Daher wird die Codeausführung mittels Hooking auf Kernel-Ebene (in verschiedenen Systemtabellen auch als "Kernel-Patching" bezeichnet) zum Schutz zunächst durch Sicherheitstests geleitet, bevor die eigentlich vorgesehenen Programmfunktionen ablaufen. Diese Funktion wird auf 64-Bit-Plattformen nicht vollständig unterstützt, da der Kernel nur eingeschränktes Patching zulässt. Informationen zu den unterstützten Windows-Plattformen finden Sie in KB51504. Wenn die Datenausführungsverhinderung aktiv ist, wird der Buffer-Overflow-Schutz nicht benötigt.

Hinweis Die Inhalte, auf die verwiesen wird, sind nur für angemeldete Benutzer im ServicePortal verfügbar. Klicken Sie zum Anzeigen des Inhalts auf den Link, und melden Sie sich bei Aufforderung an.
Was ist der Netzwerk-IPS-Schutz?
Der Treiber des Netzwerk-IPS-Schutzfilters kontrolliert die zwischen dem geschützten System und dem Netzwerk ausgetauschten Daten. Die Pakete werden mit Profilen bösartiger Angriffe abgeglichen. Wenn ein Angriff erkannt wird, werden die verdächtigen Daten gelöscht, oder der Eintritt ins System wird blockiert. Host IPS enthält eine Standardliste mit Netzwerk-IPS-Signaturen für Windows-Plattformen. Schweregrad, Protokollstatus und die Einstellung zur Erstellung von Client-Regeln dieser Signaturen können bearbeitet werden, das Hinzufügen benutzerdefinierter Netzwerksignaturen ist derzeit jedoch nicht möglich. Netzwerk-Signaturen erfüllen folgende Funktionen:

• Sie schützen Systeme, die sich nachgelagert in einem Netzwerksegment befinden.
• Sie schützen mit ihnen verbundene Server und Systeme.
• Sie schützen vor Denial of Service-Angriffen gegen das Netzwerk und gegen bandbreitenorientierte Angriffe, die den Netzwerkverkehr verhindern oder einschränken.

Hat der Treiber des Host IPS-Firewall-Filters die Versionsnummer NDIS 5.0 oder NDIS 6.0?
NDIS (Network Driver Interface Specification) ist die API für Netzwerkkarten und Netzwerkfiltertreiber, die unter Microsoft-Betriebssystemen arbeiten. Diese Spezifikation wurde von Microsoft und 3COM Corporation gemeinsam entwickelt. Windows 7, Windows Vista, Windows Server 2008 und neuere Betriebssysteme nutzen die NDIS 6.x-API. (Dank einer Kompatibilitätsebene von Microsoft sind diese Betriebssysteme aber auch hinsichtlich NDIS 5.x-Filtertreibern abwärtskompatibel.)
 

Host IPS 8.0 enthält zwei Versionen des Firewall-Treibers:

• Einer der Firewall-Treiber basiert auf der NDIS 6.x-Spezifikation für Windows Vista und neuere Betriebssysteme.
• Der andere Firewall-Treiber basiert auf NDIS 5.x für Windows XP und Windows 2003.
  
  HINWEIS: Sie sollten Host IPS 8.0 nach Möglichkeit unter Windows Vista bzw. neueren Betriebssystemen ausführen, da die NDIS 6.x-Treiber unter Vista und neueren Betriebssystemen mit der aktualisierten Programmieroberfläche arbeiten.
  

  Microsoft hat den erweiterten Support für Windows XP SP3 am 8. April 2014 eingestellt. Sie sollten ein Upgrade auf ein unterstütztes Betriebssystem durchführen, um bestmögliche Ergebnisse zu erreichen und optimale Sicherheit zu genießen. Ausführliche Informationen hierzu finden Sie in KB78434.

   
  

  Microsoft hat den erweiterten Support für Windows Server 2003 SP2 am 14. Juli 2015 eingestellt. Ab dem Ende des Jahres 2015 ist das einzige McAfee-Produkt, das mit Windows Server 2003 SP2 unterstützt wird, Application and Change Control.

Was ist das Host IPS-HTTP-Modul?
Das Host IPS 8.0-HTTP-Modul besteht aus zwei Komponenten: einem Stub und dem eigentlichen Modul. Der Stub ist ein einfacher Wrapper, die von IIS geladen wird. Diese lädt dann entsprechend den in der Registrierung gespeicherten Steuerungswerten das HTTP-Hauptmodul. Das HTTP-Modul verwendet einen Stub, damit bei Richtlinienänderungen, die sich auf das HTTP-Modul auswirken, kein Neustart von IIS erforderlich ist. Wenn das HTTP-Modul von der IPS-Fehlerbehebung aus deaktiviert wird, wird auch der Eintrag aus IIS entfernt. Das Modul erstellt aus der HTTP-Anfrage Abfragen, leitet die Anfrage zum Abgleich an den HIP-Client weiter und lässt die Frage dann passieren (sofern sie nicht blockiert wurde). Der Rohdatenabschnitt enthält keine POST-Daten. Er enthält alle Header-Variablen für alle IIS-Versionen.


Was ist "TrustedSource" in der Richtlinie "Firewall-Optionen"?
TrustedSource ist ein System zur globalen Reputationsanalyse von Websites, das anhand von Echtzeitanalysen positives und schädliches Verhalten im Internet ermittelt. Weitere Informationen zu TrustedSource finden Sie in KB74925.


Welche Host IPS-Dienste sollten auf einem Client genutzt werden, damit die Software ordnungsgemäß funktioniert?
Für den Eindringungsschutz mit IPS und/oder Firewall müssen folgende Dienste aktiviert sein:

• McAfee Host Intrusion Prevention Service (FireSvc.exe)
• McAfee Firewall Core Service (mfefire.exe) – startet bei Host IPS 8.0, Patch 6 und höher, nicht automatisch. Siehe KB85374.
• McAfee Validation Trust Protection Service (mfevtps.exe)
• McAfee Host Intrusion Prevention Local Procedure Call (LPC) Service (HipMgmt.exe) – ab Host IPS 8.0, Patch 3, vorhanden. Siehe KB81474.

Die folgenden Dienste sind nach Aufruf aktiv:

• McAfee Host Intrusion Prevention-Dienst für das Taskleistensymbol (FireTray.exe)
• McAfee Host Intrusion Prevention-Client-Konsole (McAfeeFire.exe)

Wie lässt sich verhindern, dass die Firewall Nicht-IP-Datenverkehr blockiert?
Einige Arten von Nicht-IP-Datenverkehr werden, sofern sie nicht explizit in einer Firewall-Regel angegeben sind, von der Firewall nicht erkannt und daher blockiert. Außerdem werden mit den adaptiven und lernfähigen Modi keine Firewall-Regeln für Nicht-IP-Protokolle dynamisch erkannt und erstellt. Um zu verhindern, dass Nicht-IP-Protokolle abgewiesen werden, wählen Sie in der Richtlinie 'Firewall-Optionen' die Option Datenverkehr für nicht unterstützte Protokolle erlauben aus. Anschließend können Sie im Aktivitätsprotokoll die Option 'Zulässiges eingehendes/ausgehendes Nicht-IP-Protokoll: 0xXXX' prüfen, wobei der Wert 0xXXX der IANA-Ethernet-Nummer des Protokolls entspricht (siehe http://www.iana.org/assignments/ethernet-numbers). Ermitteln Sie anhand dieser Informationen den erwünschten Nicht-IP-Datenverkehr, und erstellen Sie eine Firewall-Regel, die diesen zulässt.


Wo befinden sich die Protokolldateien?
Alle Protokolldateien sind im Verzeichnis C:\ProgramData\McAfee\Host Intrusion Prevention\ gespeichert.

Welche Protokolldateien gehören zur Host IPS-Komponente?
Die Hauptprotokolldatei der Host IPS-Komponente ist die Datei HipShield.log. Sie kann bis zu 128 MB groß werden und wird mit einer Sicherung rotiert. Die Rotation von Protokolldateien wird über die DWORD-Einträge log_rotate_size_kb und log_rotate_count im Registrierungsschlüssel [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP] gesteuert.

Der Schlüssel log_rotate_count bestimmt die Anzahl der zu speichernden Sicherungsdateien. Der DWORD-Eintrag log_rotate_size_kb gibt die ungefähre Größe einer Sicherungsprotokolldatei in KB an, wobei 0 heißt, dass die Protokollrotation deaktiviert ist.

Wird die in log_rotate_size_kb angegebene Größe überschritten, wird die Datei geschlossen, und an den Namen wird '.1' angehängt. Ist bereits eine Datei mit diesem Namen vorhanden, wird der Wert um eins erhöht. Sobald die festgelegte Anzahl von Sicherungsdateien erreicht ist, wird die älteste Datei gelöscht.


Was gibt es bei HipShield.log zu beachten?
Die Ausführung der Host IPS-Komponente beginnt mit einer Banner-Anweisung, aus der der ausgeführte Build und der Datums-/Zeitstempel der Sitzung hervorgehen. Jeder Eintrag im HipShield-Protokoll hat einen Datums-/Zeitstempel, gefolgt von der Angabe, ob es um eine Informations-, Debugging- oder Fehlermeldung handelt. Die in der Datei HipShield.log enthaltenen Daten sind Ad-hoc-Daten und variieren je nach Bereich der Host IPS-Komponente. Wichtigste Inhalte:

• Zeilen, die mit 'In install modules new' beginnen, dienen der Beschreibung der Kopie von Dateien beim Start der Host IPS-Komponente. Werden diese Dateien falsch kopiert, kann die Host IPS-Komponente nicht gestartet werden.
• Eine mit 'Scrutinizer initialized successfully' beginnende Zeile gibt an, dass die Host IPS-Komponente mit der Initialisierung von Scrutinizer ordnungsgemäß geladen wurde. Voraussetzung dafür ist, dass die oben erwähnten Dateien ordnungsgemäß kopiert wurden.
• Eine mit 'New Process: Pid=' beginnende Zeile weist darauf hin, dass die Prozesserstellung mit der Host IPS-Komponente überwacht werden kann.
• Eine mit 'IIS – Start' beginnende Zeile bedeutet, dass die IIS-Überwachung beginnt.
• Eine mit 'Scrutinizer started successfully ACTIVATED status' beginnende Zeile bedeutet, dass Scrutinizer erfolgreich gestartet wurde.
• Eine mit 'Hooking xxx' beginnende Zeile gibt an, dass das Prozess-Hooking (Einklinken in den Prozess) begonnen wurde. Dabei entspricht die Zahl xxx der PID (Prozess-ID) des jeweiligen Zielprozesses.
• Mit 'Processing Buffer xxx.scn' beginnende Zeilen sind die Ergebnisse der Scanner-Verarbeitung von Scan-Datei xxx.scn, wobei 'xxx' einem Namen wie 'EnterceptMgmtServer' entspricht (wie oben gezeigt). Fehler in der Scanner-Verarbeitung von Scan-Dateien werden hier angegeben.
• Zeilen im Format 'signature=111 level=2, log=True' geben an, dass eine individuelle Signatur geladen wurde. Signatur-ID und Ebene werden zusammen mit einem Hinweis, ob die Protokollierung für diese Signatur aktiviert ist, angegeben.
  
  HINWEIS: Wenn Debugging aktiviert ist, werden Shield.db und except.db bei aktivierter in demselben Verzeichnis wie die Protokolle erstellt. Die Dateien enthalten ein Speicherabbild der Regeln und Ausnahmen, die an den Kernel übertragen werden, nachdem AgentNT.dll den Inhalt verarbeitet hat.
   

Welche Protokolldateien sind der Firewall-Komponente zugeordnet?

FireSvc.log (Hauptprotokoll des Dienstes)	Protokollierung auf Debug-Ebene Ausgabe des Speicherortabgleichs Ausgabe zur TrustedSource-Verbindungsbewertung Fehler/Warnungen
HipMgtPlugin.log (Protokoll für McAfee Agent-Plug-In)	Protokollierung auf Debug-Ebene Zeitstatistiken zur Richtlinienerzwingung Fehler/Warnungen
FireTray.log / McTrayHip.log (Protokoll für das Taskleistensymbol)	Protokollierung auf Debug-Ebene Fehler/Warnungen
FireUI.log (Protokoll für die Client-Benutzeroberfläche)	Protokollierung auf Debug-Ebene Fehler/Warnungen

Diese Protokolldateien können bis zu 100 MB groß werden. Wenn Sie größere oder kleinere Protokolldateien benötigen, können Sie die Größe durch Hinzufügen des folgenden Registrierungswerts festlegen: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]

Hinweise zum Festlegen der Protokolldateigröße finden Sie im Abschnitt "Which log files are associated with the firewall component?" (Welche Protokolldateien sind der Firewall-Komponente zugeordnet?) des Host Intrusion Prevention 8.0 Product Guide (Produkthandbuch zu Host Intrusion Prevention 8.0, PD22894).


Was ist das Befehlszeilenprogramm ClientControl?
Dieses Befehlszeilenprogramm unterstützt die Automatisierung von Upgrades und anderen Wartungsaufgaben, wenn Host IPS mithilfe von Software eines Drittanbieters auf Client-Computern bereitgestellt wird. Es kann in Installations- und Wartungsskripts eingebettet werden, um den IPS-Schutz vorübergehend zu deaktivieren und Protokollierungsfunktionen zu aktivieren. Weitere Informationen hierzu finden Sie in der Host Intrusion Prevention 8.0 ClientControl.exe Utility Readme (Readme-Datei für das Host Intrusion Prevention 8.0-Dienstprogramm ClientControl.exe, PD23014).

Zurück zum Inhalt