Detalles de ubicación del registro de host IPS "rotación de archivo de registro" actualizado.
Se han agregado secciones expansibles.
Este artículo es una lista consolidada de preguntas y respuestas habituales. Está destinada a usuarios que son nuevos para el producto, pero que pueden ser de uso para todos los usuarios.:
NOTA: Este artículo trata las preguntas generales relacionadas con host IPS.
Haga clic para expandir la sección que desee ver:
Eventos IPS y IPS de cliente
Firma IPS eventos son uno de los generadores de llamadas principales para host IPS. Normalmente, estas consultas son el resultado de los desencadenadores de eventos de firma IPS. En general, host IPS ofrece la protección IPS y de firewall para sistemas Endpoint como parte de una estrategia de protección por capas. Además de host IPS, la estrategia de protección por capas debe incluir:
firewall de Network Gateway o sistemas de intrusión
O
Aplicación de filtrado, Endpoint antivirus y endpoints antimalware
El contenido de firma IPS de host proporciona seguridad para protegerse de los conocidos y desconocidos (Zero-Day) vulnerabilidades del sistema. Zero-Day es la brecha entre los sistemas sin parche y la aplicación de actualizaciones de seguridad publicadas para las vulnerabilidades confirmadas. El contenido de host IPS contiene un desbordamiento de búfer genérico y otros mecanismos de firma genéricos para proteger los sistemas durante este período. No obstante, McAfee recomienda aplicar actualizaciones de seguridad del sistema operativo y de la aplicación tan rápido como sea práctico en su entorno. Esta acción puede reducir las detecciones firma IPS frecuentes o repetidas.
McAfee aconseja lo siguiente:
Siga un método general para revisar las actualizaciones de seguridad del sistema operativo y de las aplicaciones específicas.
Aplicar parches a sistemas y aplicaciones de forma mensual o regular.
Revise las actualizaciones de firma IPS de host mensuales para ver si existen actualizaciones de seguridad de proveedores específicas que se publican. Puede desactivar de forma segura host asignación de firmas IPS directamente a las actualizaciones de seguridad disponibles para los proveedores en los sistemas actualizados.
Revise el contenido de firma y los parches del sistema con actualizaciones de seguridad disponibles cada mes para reducir la probabilidad de que haya falsos positivos excesivos en sistemas ya actualizados.
Utilice el siguiente método general cuando evalúe firma IPS eventos:
Identifique el número de firma que se está activando.
Revise la información de Descripción del número de firma IPS de la Directiva reglas IPS en ePolicy Orchestrator (ePO).
Revise los vínculos de descripción de referencia de CVE, en caso de que se incluyan en la información de descripción de la firma.
Identifique si se vinculan los boletines de seguridad de Microsoft de TechNet para la vulnerabilidad aplicable. E identifique si hay Microsoft actualizaciones de seguridad disponibles que resuelvan la vulnerabilidad.
Verifique si los sistemas que comunican el evento IPS tienen aplicadas las actualizaciones de seguridad Microsoft, tal y como se indica anteriormente:
Si es así, es posible que la firma IPS aplicable esté desactivada en los sistemas en los que se hayan aplicado las actualizaciones de seguridad Microsoft asociadas.
En caso contrario, McAfee recomienda aplicar las actualizaciones de seguridad de Microsoft aplicables a los sistemas afectados en cuanto sea posible.
Si no se indica ningún vínculo de descripción de CVE para la firma IPS de activación, revise todos los detalles avanzados del evento de IPS recibido.
Identifique si los desencadenadores de eventos se correlacionan con el uso o proceso normales de la empresa.
Identifique si los sistemas que experimentan el evento tienen aplicadas las últimas actualizaciones de seguridad Microsoft.
Identifique si el evento IPS es específico para un proceso de terceros, como Adobe, un proceso u otra herramienta. Si es así, revise todas las actualizaciones de seguridad aplicables del proveedor y asegúrese de que se aplican a los sistemas.
Si la firma sigue activa tras aplicarse una actualización de seguridad de proveedor aplicable, considere el evento como falso positivo. Desactive la firma en los sistemas actualizados o cree una excepción IPS para que los sistemas actualizados detengan todas las detecciones de firmas adicionales.
Si no hay disponible ninguna actualización de seguridad de proveedor aplicable, determine si los sistemas afectados tienen definiciones antivirus y antimalware actuales para VirusScan u otra aplicación de Endpoint Protection instalada. Realice un análisis completo en los sistemas afectados.
Determine si los sistemas afectados están protegidos por otras medidas de seguridad del perímetro, como la detección de intrusiones en la red.
Active el registro de depuración detallado mediante la activación Infracciones de seguridad de registro para host IPS de forma que pueda recopilar información avanzada en la HipShield.log. Ve KB54473 para obtener información relevante sobre las infracciones de seguridad de IPS en la HipShield.log.
Póngase en contacto con Soporte técnico para más análisis.
Reglas de firewall y firewall de cliente
Ajustes generales firewall preguntas de configuración de directivas incluyen qué reglas de firewall deben configurarse en los sistemas Endpoint. Las directivas de Enterprise Customer firewall típicas varían de conjuntos de reglas simples que utilizan grupos con reconocimiento de conexión y ubicación, a directivas de reglas complejas que definen hashes ejecutables de procesos, que abarcan cientos de reglas de firewall entrante y saliente. Las directivas de firewall grandes agregan complejidad para la administración y pueden contribuir a reducir el rendimiento en sistemas de especificaciones inferiores. Los conjuntos de reglas de gran tamaño también pueden agregar sobrecarga de rendimiento en el servidor de ePO durante las configuraciones de directivas y una mayor sobrecarga para el McAfee Agent durante los intervalos de implementación de directivas.
Host IPS 8.0 firewall incluye varias funciones que permiten configuraciones de directivas simplificadas:
Host IPS 8.0 incluye plantillas de reglas de la Directiva de firewall predeterminadas simplificadas en las que puede basar su Directiva. McAfee recomienda utilizar conjuntos de reglas simplificados mediante las firewall con seguimiento de estado, las redes de confianza y las aplicaciones de confianza para directivas de red corporativas internas.
El firewall se considera un con seguimiento firewall, lo que reduce la necesidad de demasiadas reglas entrantes de firewall. Las directivas de reglas pueden ser mucho más simplificadas. La tabla de Estados firewall almacena de forma dinámica información sobre las conexiones de tráfico saliente activo del sistema. El filtro reglas de la tabla de estado de firewall y permite el tráfico devuelto asociado, lo que anula la necesidad de definir conjuntos de reglas entrantes complejos.
El uso de grupos con reconocimiento de ubicación define aún más los conjuntos de reglas para usuarios remotos de la LAN normal. Puede configurar conjuntos de reglas simplificados en un grupo con reconocimiento de ubicación. Esta acción permite a los usuarios remotos conectarse mediante una VPN corporativa y, a continuación, utilizar las reglas de firewall normales.
Redes de confianza: Muestra las direcciones IP y las redes, incluidas las excepciones TrustedSource, que son seguras para la comunicación. Las redes de confianza pueden incluir direcciones IP individuales o intervalos de direcciones IP. La enumeración de las redes como de confianza elimina o reduce la necesidad de IPS de red excepciones y más reglas de firewall. (Solo para clientes Windows.)
Aplicaciones de confianza: Muestra las aplicaciones que son seguras y no tienen vulnerabilidades conocidas. Marcar las aplicaciones como de confianza elimina o reduce la necesidad de excepciones IPS y de más reglas firewall. Al igual que la Directiva reglas IPS, esta categoría de Directiva puede contener varias instancias de directivas. (Para clientes de plataformas Windows y no Windows).
Modo de adaptación de Firewall: Una ayuda para ajustar firewall.
NOTA: Usar solo el modo de adaptación temporalmente en unos pocos sistemas para ajustar las reglas de firewall. Este modo puede crear muchas reglas de cliente en los sistemas finales. Por lo tanto, también puede crear una sobrecarga significativa para el servidor de ePO al procesar una gran firewall reglas adaptables del cliente. McAfee recomienda limitar el modo de adaptación para firewalls a unos pocos sistemas durante un tiempo limitado como ayuda en la optimización de la Directiva de firewall.
Revise las reglas de adaptación de cliente a diario o, como mínimo, semanalmente, mientras que los sistemas de destino tienen activado el modo de adaptación. Después de desplegar inicialmente el modo de adaptación para los firewalls, desactive el modo de adaptación en los sistemas de destino con la Conservar reglas de cliente opción no seleccionada. Esta acción garantiza que se purguen todas las reglas de cliente aprendida en el sistema de destino. En la consola de ePO, revise la firewall reglas de cliente. Identificar las reglas que aplicar a una directiva de reglas de firewall de ajuste en el sistema final antes de volver a activar la firewall con el modo de adaptación. Lleve a cabo estos pasos iterativos para conseguir un directiva de reglas de firewall final antes del despliegue en todos los sistemas. El modo de adaptación podría no reconocer cierto tráfico de red relacionado con las aplicaciones y es posible que tenga que configurar las reglas de firewall manualmente. Póngase en contacto con su proveedor de aplicaciones para obtener información sobre las configuraciones de firewall específicas de las aplicaciones para garantizar la funcionalidad.
Instalación, instalación, desinstalación y despliegue mediante ePO
La mayoría de las llamadas de soporte de esta categoría constan de preguntas que se abordan en el Host Intrusion Prevention 8.0 Guía de instalación.
McAfee recomienda que compruebe minuciosamente y de forma exhaustiva las nuevas instalaciones de aplicaciones de seguridad para sus entornos de producción antes de desplegarlas en todos los sistemas. Aunque McAfee prueba y valida exhaustivamente los productos de seguridad antes de la versión, se aplica lo mismo antes de desplegar host IPS en todos los nodos de un entorno empresarial. Los productos y las infraestructuras de red de terceros adaptan las nuevas funciones de seguridad a un ritmo más rápido debido a los avances tecnológicos. La interoperabilidad de productos sigue siendo un objetivo móvil para todos los proveedores y las imágenes de clientes base se deben validar con los cambios en los productos. Después de validar host IPS en entornos de prueba o piloto, McAfee recomienda un enfoque de producción piloto o por fases para el despliegue de producción empresarial.
Error de instalación nueva
Host IPS se ha desplegado con IPS y las funciones de firewall están desactivadas de forma predeterminada. McAfee recomienda seleccione los sistemas que representan las aplicaciones y configuraciones de todos los grupos de su entorno. Si dispone de imágenes estandarizadas, es más fácil validar host IPS en su entorno. Si tiene sistemas distintos, es posible que tenga dificultades a la hora de validar la interoperabilidad. Es más fácil para Soporte técnico resolver problemas de interoperabilidad antes del despliegue en toda la empresa, en lugar de resolver problemas críticos que se encuentran después o durante el despliegue en toda la empresa.
¿Qué sucede si tengo un problema con software de terceros?
Los problemas que implican software de terceros pueden producirse, especialmente cuando implican a terceros seguridad software. Consulte los siguientes artículos:
Para obtener información sobre cómo solucionar problemas de una aplicación o un tráfico orientado a red que el host IPS firewall bloquea, consulte KB67055.
Para obtener información sobre una aplicación de terceros que deja de funcionar o se ve perjudicada después de instalar host IPS o actualizar el contenido, consulte KB67056.
IMPORTANTE: Si Contacta con Soporte técnico para un problema que no puede resolver, también debe atraer al proveedor de terceros para que lo analice en paralelo con McAfee. Muchos problemas de interoperabilidad requieren resolución por parte del proveedor de terceros y no McAfee. McAfee se compromete a trabajar estrechamente con proveedores de terceros para resolver cualquier problema de interoperabilidad.
¿Qué hace que host IPS sea un producto de 64 bits?
Host IPS 8.0 instala los archivos binarios de 32 bits y de 64 bits en los sistemas x64. Los archivos binarios de los productos de 64 bits se instalan en una subcarpeta x64 desde la ruta de instalación. Otros archivos binarios, tales como los controladores, se instalan en los lugares adecuados del sistema de archivos de Windows. El producto no se adhiere a las directrices de instalación de los archivos de 64 bits en la sección \program carpeta de archivos, pero el producto es compatible de forma nativa con x64.
¿Qué se ejecuta en el modo de compatibilidad de 32 bits en los sistemas x64?
Algunas aplicaciones de terceros se ejecutan como 32 bits, por lo que host IPS 8.0 carga los motores IPS de 32 bits adecuados para ellos.
¿Por qué debo instalar McAfee Agent en portátiles que rara vez se conectan a la red?
McAfee Agent es un agente de ePO que proporciona la implementación de directivas. Después de instalar el agente y recibir la Directiva, que está configurada en el servidor de ePO, la Directiva definida se implementa en el intervalo de implementación de directivas que definió si el portátil está encendido o fuera de la red. Esta acción garantiza que la configuración de su empresa para los productos McAfee siempre esté en su sitio.
¿Puedo utilizar host IPS 8.0 para bloquear el acceso a los dispositivos USB?
No con eficacia. Es posible bloquear el acceso a dispositivos USB mediante una firma IPS personalizada con host IPS 8.x. No obstante, existen limitaciones de seguridad al utilizar un firma IPS.
Para obtener información sobre cómo impedir que los usuarios se conecten a un dispositivo de almacenamiento USB, consulte Microsoft artículo de soporte 823732 en support.microsoft.com/kb/823732.
¿Por qué host IPS 8.0 los paquetes de parches incrementales (MSP) más grandes que la instalación de host IPS completa que incluye el parche?
Los paquetes MSP continúan siendo mayores porque cada vez que McAfee publica un nuevo parche, el MSP debe contener la información necesaria para ampliar todos los parches previamente publicados y la versión de disponibilidad general del producto. Debido a este requisito, existe una transformación (MST) incrustada en el MSP para cada una de estas versiones anteriores, en lugar de una copia de los nuevos archivos.
La transformación de MST es básicamente una MSI diff Esto toma una MSI conocida anteriormente y la actualiza a la última MSI en la que se basó el parche. Debido a que las tablas de MSI contienen datos binarios para elementos como el código de acción personalizada incrustado y algunas de nuestras utilidades de soporte (por ejemplo, clientcontrol.exe), estas diferencias de MSI pueden ser grandes, lo que hace que cada parche subsiguiente crezca.
¿Cómo puedo instalación de host IPS 8.0 ¿local o con soluciones de terceros?
Extraiga los archivos de instalación del archivo. zip en una carpeta temporal, ejecute Setup.exey, a continuación, complete la instalación.Setup. exe es compatible con muchas de las opciones de línea de comandos de MSI.
¿Cómo instalo host IPS mediante ePO?
Agregue el paquete de instalación al repositorio y, a continuación, cree o modifique una tarea de despliegue. La tarea de despliegue también le permite especificar opciones de línea de comandos. Esta capacidad le permite realizar cambios simples en la instalación, como no instalación de una función concreta. Para obtener una lista completa de opciones, consulte laHost Intrusion Prevention 8.0 Guía de instalación.
¿Por qué se instala el producto en la carpeta archivos de programa (x86)?
Host IPS instala tanto archivos binarios de 32 bits como de 64 bits en sistemas x64. Los archivos binarios de los productos de 64 bits se instalan en una subcarpeta x64 desde la ruta de instalación. Otros archivos binarios, tales como los controladores, se instalan en los lugares adecuados del sistema de archivos de Windows. El producto no se adhiere a las directrices de instalación de los archivos de 64 bits en la sección \program carpeta de archivos, pero el producto es compatible de forma nativa con x64.
¿Existe algún contenido de firma de host IPS en el paquete de instalación?
Host IPS se suministra con contenido de firma 8.0.0.3709, que permite que host IPS funcione tras una instalación si no se puede contactar con un servidor de ePO para las actualizaciones de firmas. McAfee recomienda configurar una tarea de actualización planificada periódicamente para incluir el contenido de firmas de host IPS para los sistemas instalados.
¿Con qué frecuencia se actualiza el contenido de host IPS?
Host IPS se actualiza al repositorio común el segundo martes de cada mes a las 8 de la tarde. GMT. El segundo martes de cada mes es también cuando se publican Microsoft Windows actualizaciones de seguridad (también conocido como Microsoft martes de parches).
¿Tengo que reiniciar tras la instalación?
En el caso de los nuevos sistemas, no es necesario reiniciar para empezar a utilizar host IPS 8.0. Salvo McAfee recomienda reiniciar para garantizar un entorno de Windows más limpio.
NOTA: Si amplía host IPS 7.0 es posible que tenga que reiniciar los sistemas, dependiendo de su sistema operativo. McAfee recomienda que se valide con respecto a sus imágenes concretas.
¿Cómo Quito host IPS?
Puede eliminar host IPS mediante una tarea de despliegue de ePO o de forma local mediante Programas y características o Aplicaciones & funciones, en función de su versión de Windows. Debe desactivar protección IPS en el sistema antes de eliminar host IPS de forma local.
¿Cómo agrego varias direcciones IP para las reglas de firewall?
Puede definir un nuevo elemento de "red" en el catálogo de host IPS. Puede definir el contenedor de objetos de red con una o varias direcciones IP, una subred, una subred local, un intervalo IP, un FQDN, cualquier servidor local, cualquier IPv4 o cualquier IPv6 como de confianza. Una vez que haya definido un objeto del catálogo de redes, puede utilizar este objeto de catálogo en las opciones de red de reglas de firewall; para ello, haga clic en Agregar desde catálogo al editar reglas de firewall. Si las direcciones IP deben cambiar para cualquier regla que utilice el objeto de catálogo, puede actualizar las direcciones IP del objeto del catálogo de red desde el catálogo de host IPS. Todas las reglas de firewall que hacen referencia al objeto de catálogo reciben las direcciones IP de red actualizadas.
¿Cómo se detiene el servicio de host IPS?
Host IPS utiliza un mecanismo de autoprotección para evitar que los administradores puedan detener el servicio. Se controla mediante la Directiva IPS y la autoprotección está desactivada cuando IPS está desactivado. También es posible desactivar IPS de forma local mediante el icono de la bandeja de la interfaz de usuario del cliente de host IPS. Necesita una contraseña de administrador de host IPS para desbloquear la interfaz de usuario del cliente y desactivar el IPS.
¿Cómo se configura el bloqueo de aplicaciones en host IPS 8.0?
La función de bloqueo de aplicaciones se ha eliminado para host IPS 8.0, pero puede configurar el bloqueo de aplicaciones y la protección de enlace mediante las firmas IPS 6010 y 6011. Para obtener más información, consulte KB71794.
¿Cómo puedo investigar los problemas de rendimiento?
Existen varios enfoques para investigar los problemas de rendimiento. Realice las acciones de los siguientes pasos de forma secuencial para ayudar a identificar el problema. Tras identificar el problema, puede llevar a cabo los pasos adecuados para resolverlo. Los siguientes pasos están pensados como directrices en lugar de instrucciones completas. Aparecen más herramientas en EL KB72766.
Manager de tareas: Pulse CTRL + MAYÚS + ESC para abrir la Manager de tareas. Ordenar por la columna CPU para ver qué procesos están utilizando la CPU. NOTA: El número es un porcentaje de todos los procesadores o núcleos disponibles. Por lo tanto, un 25% en un sistema con cuatro CPU significaría que un proceso se ha enlazado a uno de los núcleos, lo que suele indicar un problema. Puede investigar más después de identificar los procesos que provocan un conflicto.
Monitor de rendimiento: Utilice el monitor de rendimiento (PerfMon) para transmitir los detalles de la cantidad de CPU utilizada y durante cuánto tiempo. Esta acción le proporciona información sobre cómo afecta al sistema o a los usuarios. Utilice PerfMon para monitor el proceso, el procesador y la memoria del objeto de rendimiento, y capturar todos los contadores e instancias. McAfee le aconseja utilizar una tasa de muestreo de un segundo para la mayoría de los problemas que se produzcan en una breve ventana de tiempo o que sean predecibles. Para reducir el tamaño potencial del registro generado, puede utilizar menos contadores específicos en lugar de capturarlo todo. Este enfoque permite que la captura se ejecute durante periodos de tiempo más largos sin necesidad de crear un archivo de registro difícil de manejar.
Herramienta supervisión de rendimiento de Windows (XPerf): En Microsoft vista y los sistemas operativos más recientes, Microsoft proporciona una potente herramienta que ofrece información detallada sobre un problema de rendimiento, incluida la API a la que se llama más. Los proveedores suelen utilizar esta información en un nivel de ingeniería o de desarrollo, donde se puede acceder a los archivos de símbolos para el código fuente. Esta información ayuda a clarificar las rutas de código que se están utilizando.
Generador de perfiles de VSE (cuando VSE también se ejecuta en el sistema): El generador de perfiles de VSE proporciona visibilidad sobre lo que hace el producto, por ejemplo, qué archivos se están analizando. Esta herramienta proporciona una forma de generar informes que pueden ayudarle a comprender los datos recopilados.
IMPORTANTE: McAfee recomienda trabajar con Soporte técnico si no se abordan los problemas de rendimiento después de seguir los pasos anteriores.
¿Por qué el servidor de ePO utiliza tanta CPU cuando la tarea servidor de Traductor de propiedades se está ejecutando?
La tarea servidor de ePO Traductor de propiedades de host IPS se ejecuta cada 15 minutos de forma predeterminada. Esta tarea convierte las propiedades del cliente del sistema en reglas de cliente adaptables que se muestran en las fichas reglas de cliente de la pantalla de generación de informes de eventos de host IPS. Un procesamiento excesivo de las reglas de cliente puede provocar un mayor consumo de CPU para los procesos relacionados con ePO. Además, las propiedades con formato incorrecto recopiladas en el sistema final podrían provocar errores de Traductor de propiedades. Host IPS 8.0 El parche 4 y la extensión posterior muestran la siguiente alerta cuando activar el modo de adaptación en la Directiva opciones de Firewall:
McAfee recommends that you enable Adaptive Mode on selected systems for a limited amount
of time only. Enabling Adaptive Mode on many systems for a long time can significantly
impact performance for the Host IPS Property Translator server task on ePolicy Orchestrator.
Para obtener más información, consulte los siguientes artículos relacionados:
KB80102: la consola de ePolicy Orchestrator deja de responder o se tarda varios minutos en abrirse al editar Host Intrusion Prevention 8.0 Catalog
KB71607: Se ha detectado una cadena de regla excesivamente incorrecta detectada, fecha no analizable u otros mensajes de Traductor de propiedades de host IPS (en ePolicy Orchestrator 5.x Orion. log)
KB71520—Host Intrusion Prevention 8.0 error en el traductor de propiedades al obtener un código postal
¿Cómo puedo evitar que el firewall bloqueara el tráfico no IP?
El firewall no reconoce algunos tipos de tráfico no IP, por lo que se bloquean a menos que se especifiquen en una regla de firewall. Además, los modos de adaptación y aprendizaje no detectan y crean de forma dinámica reglas de firewall para protocolos no IP. Para evitar que se descarten los protocolos no IP, seleccione Permitir tráfico para protocolos no admitidos en la Directiva opciones de Firewall y, a continuación, compruebe el registro de actividades para el Protocolo no IP entrante/saliente permitido: 0xXXX, donde 0xXXX indica el número de Ethernet IANA del Protocolo (véase http://www.iana.org/assignments/ethernet-numbers). Utilice esta información para determinar el tráfico no IP necesario y crear una regla de firewall que lo permita.
¿Cómo funciona el protección IPS de hosts?
Host protección IPS supervisa las llamadas del sistema ejecutables realizadas mediante interfaces de programación de aplicaciones (API) en el sistema protegido. Estas llamadas del sistema se realizan a y desde el sistema operativo kernel para el procesamiento de recursos. La supervisión de host IPS detecta anomalías en las llamadas del sistema y bloquea o registra esas llamadas para su análisis. Host IPS utiliza varios motores de clase de supervisión para conseguir este objetivo. Para obtener información sobre las clases de desbordamiento del búfer, archivos, enganche, Ilegal uso de la API, Ilegal uso, ISAPI, programa, registro, servicios y motor de SQL, consulte la Host Intrusion Prevention 8.0 Guía del producto.
¿Cómo Protección contra desbordamiento del búfer recurso?
Protección contra desbordamiento del búfer (BOP) supervisa los ejecutables y las API del sistema protegido. Comprueba la ejecución de código de un desbordamiento del búfer o una saturación del búfer. BOP no evita que se produzca el desbordamiento, pero detiene la ejecución de código que se produce a partir de esa saturación. Este exploit método es común y lo utiliza malware las aplicaciones vulnerables para obtener acceso a los datos o al sistema, así como a propagarse a sí mismo.
La protección se produce gracias a los enlaces de nivel kernel, también conocidos como parches del kernel de diversas tablas del sistema, ejecución remota de código mediante las pruebas de seguridad antes de volver a la programación planificada anteriormente. Esta función tiene una compatibilidad limitada con las plataformas de 64 bits, ya que la kernel permite aplicar parches limitadas. Puede hacer que este BOP sea redundante si la prevención de ejecución de datos está en su lugar. Para obtener información sobre los detalles de cobertura de las plataformas Windows compatibles, consulte KB51504.
El artículo al que se hace referencia solo está disponible para los usuarios registrados en ServicePortal.
Escriba el ID del artículo en el campo de búsqueda en la página de inicio.
Haga clic en Buscar o pulse Intro.
¿Qué es la protección de IPS de red?
El controlador de filtro de protección IPS de red inspecciona los datos que se comunican entre el sistema protegido y la red. Los paquetes se examinan frente a perfiles de ataque maliciosos. Si se identifica un ataque, los datos infractores se descartan o se bloquea su paso a través del sistema. Host IPS contiene una lista predeterminada de firmas de IPS de red para plataformas Windows. Puede editar el nivel de gravedad, el estado de registro y la configuración de creación de reglas de cliente de estas firmas. No obstante, no puede Agregar firmas de red personalizadas. Las firmas de red hacen lo siguiente:
Proteger los sistemas situados en dirección descendente en un segmento de red
Proteger los servidores y los sistemas que se conectan a ellos
Protección frente a ataques de denegación de servicio en la red y ataques orientados al ancho de banda que deniegan o degradan el tráfico de red
Es la especificación de interfaz del controlador de filtro de Firewall de host IPS (NDIS) 5.0 o NDIS 6.0?
NDIS es la API para los adaptadores de red y los controladores de filtro de red que funcionan en sistemas operativos Microsoft. Microsoft y 3COM Corporation desarrollaron por primera vez esta especificación. Windows 7, Windows Vista, Windows Server 2008 y los sistemas operativos más recientes utilizan NDIS 6.x API. Estos sistemas operativos también proporcionan compatibilidad con versiones anteriores para NDIS 5.x filtre los controladores a través de una capa de compatibilidad de Microsoft.
Host IPS 8.0 incluye dos versiones del controlador de firewall:
Se crea un controlador de firewall en NDIS 6.x Especificación de vista y sistemas operativos más recientes.
El otro controlador de firewall se crea en NDIS 5.x Especificación para Windows XP y Windows 2003.
NOTA: McAfee recomienda ejecutar host IPS 8.0 en vista y sistemas operativos más recientes cuando resulta práctico porque NDIS 6.x los controladores ejecutan la interfaz de programación actualizada en vista y los sistemas operativos más recientes.
Microsoft dejó de proporcionar soporte para Windows XP SP3 el 8 de abril de 2014. Para obtener los mejores resultados y un nivel de seguridad óptimo, amplíe su sistema operativo a una versión compatible. Para obtener información detallada, consulte el artículo KB78434.
Microsoft dejó de proporcionar soporte para Windows Server 2003 el 14 de julio de 2015. A partir del final de 2015, el único producto McAfee compatible con Windows Server 2003 SP2 es Application y Change control.
¿Qué es el motor HTTP de host IPS?
Host IPS 8.0 El motor HTTP consta de dos componentes: un código auxiliar y un motor. El código auxiliar es un contenedor delgado que carga IIS, que carga entonces el motor HTTP principal en función de los valores de los controles almacenados en el registro. El motor HTTP utiliza un código auxiliar para que los cambios de directiva relacionados con el motor HTTP no requieran el reinicio de IIS. Cuando el motor HTTP está desactivado en la solución de problemas de IPS, elimina la entrada de IIS. El motor genera consultas desde la solicitud HTTP y la pasa al cliente HIP para que coincidan. En función de si la solicitud está bloqueada, entonces se permite que la solicitud HTTP continúe. No se incluye ningún dato de publicación en la sección de datos sin procesar. La sección de datos sin procesar contiene las variables de encabezado de todas las versiones de IIS.
¿Qué servicios de host IPS deben utilizar un cliente para que el software funcione correctamente?
Asegúrese de que los siguientes servicios estén activos para proporcionar protección de prevención de intrusiones con uno o ambos protocolos IPS y firewall:
Servicio de McAfee Host Intrusion Prevention (FireSvc.exe)
McAfee servicio principal de Firewall (mfefire.exe): no se inicia automáticamente con host IPS 8.0 Parche 6 y posteriores. Ve KB85374.
Servicio de protección de confianza de validación de McAfee (mfevtps.exe)
McAfee Host Intrusion Prevention servicio de llamada a procedimiento local (LPC) (HipMgmt.exe): agregado con host IPS 8.0 Parche 3 y posteriores. Ve KB81474.
Los siguientes servicios están activos cuando se llama:
Servicio del icono del área de notificación de McAfee Host Intrusion Prevention (FireTray.exe)
McAfee Host Intrusion Prevention consola de cliente (McAfeeFire.exe)
¿Dónde se encuentran los archivos de registro?
Todos los archivos de registro se encuentran en la C:\ProgramData\McAfee\Host Intrusion Prevention\ directorio del sistema cliente.
¿Qué archivos de registro están asociados con el componente de host IPS?
El archivo de registro principal del componente host IPS es HipShield.log. Este archivo de registro crece hasta 128 MB y gira con una copia de seguridad. Lo DWORD texto log_rotate_size_kbasí log_rotate_countcontrolar el giro del archivo de registro. Las entradas se encuentran en lo siguiente:
Lo log_rotate_count la clave determina el número de archivos de registro de copia de seguridad que conservar y la DWORD texto log_rotate_size_kb es el tamaño aproximado en KB de un archivo de registro de copia de seguridad, donde 0 significa que la rotación del registro está desactivada. Cuando el log_rotate_size_kb se supera el tamaño especificado, el archivo se cierra y se le cambia el nombre con el sufijo ,1. Si existe un archivo con ese nombre, el sufijo se incrementa en uno. Cuando se alcanza el número de archivos de copia de seguridad especificado, se elimina el más antiguo.
Qué buscar en HipShield.log?
Una ejecución del componente de host IPS comienza con una sentencia banner que identifica la ejecución de la compilación, así como la marca de fecha y hora de la sesión. Cada entrada de la HipShield el registro muestra una marca de fecha y hora, seguida de una indicación sobre si estos datos son informativos, de depuración o de error. Los datos contenidos en el HipShield es ad hoc y difiere entre partes del componente de host IPS. Áreas de interés clave:
Las líneas que empiezan por In install modules new Describa la copia de archivos como parte del inicio del componente host IPS. Si no se copian estos archivos, se evita el inicio del componente host IPS.
Una línea que empiece por Scrutinizer initialized successfully indica que el componente host IPS se ha cargado correctamente a través de la inicialización del examinador. Esta acción depende de que los archivos mencionados anteriormente se hayan copiado correctamente.
Una línea que empiece por New Process: PID = indica que el componente de host IPS puede monitor la creación de procesos.
Una línea que empiece porIIS - Startindica que comienza la supervisión de IIS.
Una línea que empiece por Scrutinizer started successfully ACTIVATED status indica que la Scrutinizer se ha iniciado correctamente.
Una línea que empiece por Hooking xxx indica que se está realizando el enlace de procesos. El número xxx indica el PID (ID de proceso) del proceso que se está enlazando.
Una serie de líneas que empiezan por Processing Buffer xxx.scn está notificando los resultados del procesamiento del analizador de scanfile xxx.scn, donde xxx es un nombre como EnterceptMgmtServer, tal y como se muestra arriba. Aquí se indican los errores del procesamiento de analizadores de archivos de análisis.
Líneas con el formato signature=111 level=2, log=True informar de que se ha cargado una firma individual. El ID de firma y el nivel se incluyen con una indicación de si el registro está activado para esta firma.
NOTA: Lo Shield.dbasí except.dblos archivos se crean en el mismo directorio que los registros solo cuando está activada la depuración. Estos archivos contienen un volcado de las reglas y excepciones que se envían al kernel después de la AgentNT.dll ha procesado el contenido.
¿Qué archivos de registro están asociados con el componente firewall?
FireSvc.log
(Registro de servicio principal)
Registro de nivel de depuración
Salida de coincidencia de ubicación
Salida de calificación de TrustedSource conexión
Errores/advertencias
HipMgtPlugin.log
(McAfee Agent registro del complemento)
Registro de nivel de depuración
Estadísticas de tiempo de implementación de directivas
Errores/advertencias
FireTray.log / McTrayHip.log
(Registro de bandeja)
Registro de nivel de depuración
Errores/advertencias
FireUI.log
(Registro de IU de cliente)
Registro de nivel de depuración
Errores/advertencias
Estos archivos de registro crecen hasta alcanzar el tamaño máximo predeterminado de 100 MB. Si requiere archivos de registro más grandes o más pequeños, puede controlar el tamaño agregando el siguiente valor de registro: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]
Para establecer el tamaño del registro, consulte la sección "¿qué archivos de registro están asociados con el componente firewall?" de la Host Intrusion Prevention 8.0 Guía del producto.
¿Qué es la utilidad de línea de comandos ClientControl?
Esta utilidad de línea de comandos ayuda a automatizar las ampliaciones y otras tareas de mantenimiento si utiliza software de terceros para desplegar host IPS en los clientes. Puede incluirlo en los scripts de instalación y mantenimiento para desactivar temporalmente protección IPS y activar las funciones de registro. Para obtener más información, consulte la Host IPS 8.0 Utilidad ClientControl. exe documentos.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.