Información general	Sistemas operativos compatibles e información relacionada con otros temas.
Problemas principales	Principales problemas y preguntas de los clientes. Definido por área/subárea.
Principales problemas y preguntas del mes relacionados con solicitudes de servicio	Principales problemas y preguntas del mes de los clientes relacionados con solicitudes de servicio. Definido por área/subárea.
Compatibilidad	Interacción entre otros productos y el software.
Instalación/Ampliación	Información acerca de la instalación, la eliminación y la ampliación.
Configuración	Incluye prácticas recomendadas, optimización y configuración.
Funcionalidad	Las características y funciones del producto incluyen: desbordamiento del búfer, protección de Host IPS, IPS de red y firewall.

¿Con qué entornos es compatible Host IPS 8.0?
Para obtener información detallada sobre los entornos compatibles, consulte el artículo KB70778.


¿Con qué frecuencia se actualiza el contenido de Host IPS?
Host IPS se actualiza al repositorio común el segundo martes de cada mes a las 20:00 GMT.
El segundo martes de cada mes (conocido como "el martes de los parches de Microsoft" o "Microsoft Patch Tuesday") también se publican las actualizaciones de seguridad de Microsoft Windows.


¿Por qué el tamaño de los paquetes de parches incrementales (MSP) de Host IPS 8.0 es mayor que el de la instalación completa de Host IPS que incluye el parche?
Existe una causa justificada por la que los paquetes de MSP siguen teniendo un tamaño mayor. Cada vez que Intel Security publica un nuevo parche, el MSP debe contener la información necesaria para ampliar cada parche y cada versión para todo el mundo del producto publicados anteriormente. Por ello, hay un archivo de transformación (MST) incrustado en el MSP para cada una de las versiones anteriores y no simplemente una copia de los nuevos archivos.

El archivo de transformación MST es, básicamente, un diff del archivo MSI que utilizará un MSI conocido anteriormente y lo actualizará al último MSI en el que se ha basado el parche. Dado que las tablas de MSI contienen datos binarios para cuestiones como el código de activación personalizado incrustado y algunas de nuestras utilidades de soporte (por ejemplo, clientcontrol.exe), estas diferencias entre los MSI pueden ser bastante grandes y causar que cada parche posterior tenga un tamaño mayor.


Volver a Contenidos

Cliente IPS/Preguntas frecuentes: Eventos de IPS
Los eventos de firma IPS son uno de los mayores generadores de llamadas de Host IPS. Normalmente, estas consultas son el resultado de los desencadenantes de eventos de firma IPS. En general, Host IPS ofrece protección IPS y por firewall para sistemas de endpoint como parte de una estrategia de protección por capas. Esta estrategia de protección por capas debería incluir un firewall de gateway de red/sistemas de intrusión o filtrado, antivirus de endpoint y aplicaciones antimalware de endpoint, además de Host IPS.

El contenido de la firma de Host IPS proporciona seguridad para protegerle contra vulnerabilidades conocidas y desconocidas (día cero) del sistema. Se conoce como "día cero" el período de tiempo que transcurre desde que el sistema se encuentra sin parche hasta que se aplican las actualizaciones de seguridad publicadas para vulnerabilidades confirmadas. El contenido de Host IPS incluye desbordamiento del búfer y otros mecanismos de firma genéricos para proteger los sistemas durante este período del día cero. Sin embargo, se recomienda aplicar todas las actualizaciones de seguridad del sistema operativo y de las aplicaciones en el entorno en cuanto sea posible para reducir las detecciones de firmas IPS frecuentes o repetidas.  

Intel Security le recomienda seguir una metodología general para revisar las actualizaciones de seguridad y los parches del sistema operativo y de las aplicaciones cada mes o de forma regular. También se recomienda que revise mensualmente las actualizaciones de firma de Host IPS para asegurarse de que se corresponden con las actualizaciones de seguridad que publica el proveedor específico. La asignación de firmas de Host IPS directamente a las actualizaciones de seguridad disponibles para el proveedor se puede desactivar de forma segura en los sistemas actualizados. Se recomienda que revise todos los meses el contenido de las firmas activadas y los parches del sistema con actualizaciones de seguridad disponibles para reducir la probabilidad del exceso de falsos positivos en sistemas ya actualizados.

Utilice la siguiente metodología general a la hora de evaluar eventos de firma IPS:

1. Identifique el número de la firma que se está desencadenando.
2. Revise la información de la descripción del número de firma IPS de la directiva de reglas de IPS en ePolicy Orchestrator (ePO).
3. Revise los vínculos de descripción de CVE de referencia, si se incluyen en la información de la descripción de esa firma.
4. Determine si se ha vinculado algún boletín de seguridad Technet de Microsoft a la vulnerabilidad en cuestión y si se ha publicado alguna actualización de seguridad de Microsoft para resolverla.
5. Verifique si los sistemas que informan del evento de IPS disponen de alguna actualización de seguridad de Microsoft aplicada (como se menciona anteriormente):
   • En ese caso, la firma de IPS aplicable se puede desactivar en los sistemas que tengan aplicadas las actualizaciones de seguridad de Microsoft asociadas.
   • Si no, se recomienda que aplique las actualizaciones de seguridad de Microsoft pertinentes a los sistemas afectados en cuanto pueda.
6. Si no se observa ningún vínculo de descripción de CVE para la firma IPS desencadenante, revise todos los detalles avanzados del evento de IPS recibido.
7. Identifique si los desencadenantes de eventos se corresponden con los procesos o usos normales de la empresa.
8. Identifique si todos los sistemas que experimentan el evento tienen aplicadas las últimas actualizaciones de seguridad de Microsoft.
9. Identifique si el evento de IPS es específico de un proceso de terceros como, por ejemplo, una aplicación, proceso o herramienta de Adobe u otros que no sean de Microsoft. En ese caso, revise todas las actualizaciones de seguridad pertinentes del proveedor y asegúrese de que se aplican en los sistemas.
10. Si la firma se sigue desencadenando después de aplicar una actualización de seguridad del proveedor pertinente, considere el evento como un falso positivo y desactive la firma en los sistemas actualizados o cree una excepción IPS para que los sistemas actualizados dejen de detectar firmas.
11. Si no hay ninguna actualización de seguridad pertinente del proveedor disponible, determine si los sistemas implicados disponen de definiciones de antivirus y antimalware actuales para VirusScan o cualquier otra aplicación de protección de endpoints instalada. Realice un análisis completo de los sistemas implicados.
12. Determine si los sistemas implicados están protegidos por otras medidas de seguridad del perímetro como, por ejemplo, la detección de intrusiones en la red.
13. Permita un registro de depuración minucioso mediante la activación de Infracciones de seguridad de los registros para Host IPS de modo que se pueda recopilar información avanzada en el registro HipShield.log. Consulte el artículo KB54473 para obtener información relativa a las infracciones de seguridad de IPS en el HipShield.log.
14. Póngase en contacto con el servicio de soporte técnico si desea realizar un análisis más exhaustivo.

Firewall de cliente/Preguntas frecuentes: Asistencia de reglas del firewall
Las preguntas de configuración de directivas de firewall son comunes, incluidas las reglas de firewall que se deben configurar en los sistemas de endpoint. Normalmente, las directivas de firewall de los clientes de empresa varían desde conjuntos de reglas muy simples que se aprovechan de los grupos para conexión/ubicación hasta directivas de reglas muy complejas que definen hashes de archivos ejecutables de procesos que engloban cientos de reglas de firewall entrantes/salientes. Las grandes directivas de firewall complican la administración y pueden contribuir a la disminución del rendimiento en sistemas con especificaciones menores. Los grandes conjuntos de reglas también pueden provocar una sobrecarga del rendimiento del servidor de ePO durante la configuración de directivas e incrementar la sobrecarga de McAfee Agent durante los intervalos de implementación de directivas.

El firewall de Host IPS 8.0 incluye varias funciones que permiten la configuración de directivas simplificadas:

• Host IPS 8.0 incluye plantillas simplificadas de reglas de directivas de firewall predeterminadas para que base su directiva en ellas. Se recomienda que utilice conjuntos de reglas simplificadas para aprovecharse del firewall con seguimiento de estado, además de las redes y aplicaciones de confianza siempre que lo permitan las directivas de red internas de la empresa.
• Se considera que el firewall tiene seguimiento de estado, lo que reduce la necesidad de disponer de muchas reglas entrantes de este. Las directivas de reglas se pueden simplificar mucho más. La tabla de estado del firewall almacena dinámicamente la información acerca de las conexiones de tráfico saliente del sistema. Las reglas de la tabla de estado del firewall filtran y permiten el tráfico de retorno asociado. Esto revoca la necesidad de definir grandes y complejos conjuntos de reglas entrantes.
• El uso de grupos que reconocen la ubicación define aún más conjuntos de reglas para los usuarios remotos de la LAN normal. Se pueden configurar conjuntos de reglas simplificados dentro de un grupo que reconoce la ubicación, lo que permite a los usuarios remotos conectarse mediante el VPN de la empresa y utilizar las reglas de firewall normales.
• Redes de confianza: Enumeran direcciones IP y redes, incluidas las excepciones de TrustedSource cuya comunicación es segura. Las redes de confianza pueden incluir direcciones IP individuales o intervalos. Marcar las redes como "De confianza" elimina o reduce la necesidad de excepciones de IPS de red y de reglas adicionales del firewall. (Solo para clientes de Windows).
• Aplicaciones de confianza: Enumera las aplicaciones que son seguras y no tienen vulnerabilidades conocidas. Marcar las aplicaciones como "De confianza" elimina o reduce la necesidad de excepciones de IPS y de reglas adicionales del firewall. Al igual que la directiva de reglas de IPS, esta categoría de directivas puede contener varias instancias de directivas. (Para clientes con y sin Windows).
• Modo de adaptación del firewall: Una ayuda para ajustar el firewall.
  NOTA: Use el modo de adaptación temporalmente solo en unos pocos sistemas para ayudar a ajustar las reglas de firewall. Este modo puede crear una gran cantidad de reglas de cliente en sistemas finales y también puede crear una sobrecarga significativa en el servidor de ePO durante el procesamiento de muchas reglas de adaptación de firewall para cliente. Se recomienda limitar el modo de adaptación para firewalls a unos pocos sistemas y durante un período de tiempo limitado como ayuda para ajustar la directiva de firewall.
  
  Revise las reglas de adaptación de cliente diariamente o, como mínimo, semanalmente mientras que los sistemas de destino tienen el modo de adaptación activado. Después del despliegue inicial del modo de adaptación para firewalls, desactívelo en los sistemas de destino con la opción Conservar reglas de cliente desactivada para asegurarse de que se purgan todas las reglas de cliente aprendidas en el sistema de destino. Desde la consola de ePO, revise las reglas de firewall para cliente e identifique las reglas que se aplicarán al ajuste de las directivas de reglas de firewall del sistema de destino antes de volver a activar el firewall en el modo de adaptación. Realice estos pasos iterativos para obtener una directiva de reglas de firewall final antes del despliegue en todos los sistemas. Es posible que el modo de adaptación no reconozca parte del tráfico de red relacionado con las aplicaciones y tenga que configurar las reglas de firewall manualmente. Consulte con su proveedor de aplicaciones la información acerca de las configuraciones del firewall específicas de cada aplicación para asegurar su funcionalidad.

Instalación, configuración, desinstalación/Preguntas frecuentes: Despliegue con ePO
Muchas de las llamadas de soporte que pertenecen a esta categoría son acerca de preguntas que se responden en la guía de instalación de Host Intrusion Prevention 8.0 (artículo PD22891).

Se recomienda que pruebe exhaustivamente y establezca una línea de referencia para cualquier nueva instalación de aplicaciones de seguridad en su entorno de producción antes del despliegue en todos los sistemas. Aunque Intel Security pruebe y valide exhaustivamente los productos de seguridad antes de publicarlos, se debe hacer lo mismo antes de desplegar Host IPS en todos los nodos de un entorno empresarial. Los productos e infraestructuras de red de terceros están adaptando nuevas funciones de seguridad a un ritmo elevado debido a los avances de la tecnología. La interoperabilidad de los productos sigue siendo un objetivo difícil de alcanzar para los proveedores y es esencial que se validen las imágenes base de los clientes con los cambios de cualquier producto. Después de validar Host IPS en un entorno piloto o de prueba, se recomienda realizar una prueba piloto del despliegue en el área de producción o efectuar el despliegue por fases.


Firewall de cliente/Reglas de firewall que no funcionan
Consulte la sección de software de terceros para obtener información acerca de la solución de problemas.


Instalación, configuración, desinstalación/NUEVA instalación: Error
Host IPS se despliega con las funciones de IPS y firewall desactivadas de forma predeterminada. Se recomienda que seleccione sistemas que representen las aplicaciones y configuraciones de todos los grupos de su entorno. Si dispone de imágenes estandarizadas, es más fácil validar Host IPS en su entorno. Si sus sistemas no son iguales, se encontrará con más dificultades a la hora de validar la interoperabilidad. Es más fácil para el servicio de soporte técnico resolver problemas de interoperabilidad antes del despliegue en toda la empresa que resolver problemas críticos durante o después de tal despliegue.

Volver a Contenidos

¿Y si tengo un problema con otro software de terceros?
Se pueden producir problemas con software de terceros, especialmente con el relacionado con la seguridad. Para obtener ayuda, consulte los siguientes artículos:

• KB67055: How to troubleshoot a network facing application or traffic is blocked by Host Intrusion Prevention firewall (Solución de problemas en una red que se encuentra con aplicaciones o tráfico bloqueados por el firewall de Host Intrusion Prevention)
• KB67056: Third-party application stops working or is impaired after Host Intrusion Prevention is installed or content is updated (Una aplicación de terceros deja de funcionar o queda afectada después de que se instale Host Intrusion Prevention o se actualice el contenido)

Si tiene que escalar un problema que no tiene solución, es importante que también involucre al proveedor de terceros para que realice un análisis en paralelo con Intel Security. Muchos de los problemas de interoperabilidad requieren una resolución por parte del proveedor de terceros y no por parte de Intel Security. Intel Security se compromete a trabajar codo con codo con los proveedores de terceros para resolver cualquier problema de interoperabilidad.


¿Cuándo habrá una versión de 64 bits?
Host IPS 8.0 es totalmente compatible con los sistemas operativos compatibles de 64 bits.


¿Qué hace que Host IPS sea un producto de 64 bits?
Host IPS 8.0 instala los archivos binarios de 32 y 64 bits en los sistemas x64. Los archivos binarios del producto de 64 bits se instalan en una subcarpeta x64 de la ruta de instalación. Otros archivos binarios, como los controladores, se instalan en el lugar apropiado del sistema de archivos de Windows. El producto no se adhiere a las directrices de instalación de los archivos de 64 bits en la carpeta \archivos de programa, pero el producto es compatible con x64 de forma nativa.


¿Qué se ejecuta en el modo de compatibilidad de 32 bits en sistemas x64?
Algunas aplicaciones de terceros se ejecutan en 32 bits. Por lo tanto, Host IPS 8.0 carga los motores adecuados de IPS de 32 bits para ellas.


¿Qué plataformas virtualizadas son compatibles con Host IPS 8.0?
Consulte el artículo KB70778: Plataformas, entornos y sistemas operativos compatibles con Host Intrusion Prevention 8.0.


¿Qué versiones de VPN son compatibles con Host IPS 8.0?
Consulte el artículo KB70778: Plataformas, entornos y sistemas operativos compatibles con Host Intrusion Prevention 8.0.


¿Por qué debería instalar McAfee (ePO) Agent en portátiles que apenas se conectan a la red?
El agente de ePO proporciona implementación de directivas. Después de instalar el agente y de recibir su directiva configurada en el servidor de ePO, la directiva que definió se implementará en el intervalo de implementación de directivas que estableció tanto si el portátil se encuentra en la red como si se encuentra fuera de ella. Así se asegura de que la configuración de los productos de McAfee de su empresa está en su sitio sin importar desde dónde se conecte.

 

¿Puedo utilizar Host IPS 8.0 para bloquear el acceso a dispositivos USB?
Sí, pero no es eficaz. Se puede bloquear el acceso a los dispositivos USB mediante una firma IPS personalizada con Host IPS 8.x. Sin embargo, actualmente hay limitaciones de seguridad a la hora de usar una firma IPS.

Para bloquear de forma eficaz dispositivos USB, se recomienda McAfee Data Loss Prevention (http://www.mcafee.com/us/products/data-protection/index.aspx).

Si desea información sobre cómo impedir que los usuarios se conecten a un dispositivo de almacenamiento USB, consulte el artículo de soporte de Microsoft 823732 en support.microsoft.com/kb/823732.

Volver a Contenidos

 

¿Por qué debería ampliar de Host IPS 7.0 a Host IPS 8.0?
Para ver las mejoras y novedades de Host IPS 8.0, consulte el artículo PD22892. Para ver los problemas conocidos, consulte el artículo KB72749.


¿Cómo descargo Host IPS 8.0?
Para obtener información detallada acerca de la descarga de productos de McAfee, actualizaciones de seguridad, parches o hotfix, consulte el artículo KB56057.


¿Cómo instalo Host IPS 8.0 localmente o con soluciones de terceros?
Extraiga los archivos de instalación del archivo .zip en una carpeta temporal, ejecute Setup.exe y complete la instalación.

NOTA: Setup.exe es compatible con muchas de las opciones de la línea de comandos MSI. Para obtener más información, consulte el artículo KB51689.


¿Cómo instalo Host IPS con ePO?
Agregue el paquete de instalación a su repositorio y cree o modifique una tarea de despliegue. Para obtener más información, consulte Guía del producto de ePolicy Orchestrator 5.3.0 (PD25504).

NOTA: La tarea de despliegue también permite especificar opciones de la línea de comandos. Esto le permite realizar cambios simples en la instalación como, por ejemplo, no instalar una función en particular. Para obtener una lista completa de opciones, consulte la guía de instalación de Host Intrusion Prevention 8.0 (PD22891).


¿Por qué se instala el producto en la carpeta Archivos de programa (x86)?
Host IPS instala los archivos binarios de 32 y 64 bits en los sistemas x64. Los archivos binarios del producto de 64 bits se instalan en una subcarpeta x64 de la ruta de instalación. Otros archivos binarios, como los controladores, se instalan en el lugar apropiado del sistema de archivos de Windows. El producto no se adhiere a las directrices de instalación de los archivos de 64 bits en la carpeta \archivos de programa, pero el producto es compatible con x64 de forma nativa.


¿Existe algún contenido de firma de Host IPS en el paquete de instalación?
Host IPS se envía con el contenido de firma 8.0.0.3709. Esto permite a Host IPS seguir funcionando después de una instalación en caso de que no se pueda contactar con el servidor de ePO para obtener actualizaciones de firmas. Se recomienda configurar una tarea planificada de actualización frecuente para incluir el contenido de las firmas de Host IPS en los sistemas instalados.


¿Tengo que reiniciar después de la instalación?
En los sistemas nuevos, no es necesario reiniciar para comenzar a aprovechar las funcionalidades de Host IPS 8.0. Sin embargo, se recomienda reiniciar para garantizar que el entorno de Windows sea más limpio. 

Para ampliar los sistemas con Host IPS 7.0, es posible que tenga que reiniciar, dependiendo del sistema operativo. Se recomienda validarlo con sus imágenes específicas.


¿Cómo quito el producto?
Puede quitar Host IPS con una tarea de despliegue de ePO o localmente en Programas y funciones o Aplicaciones y funciones (según la versión de Windows). Debe desactivar la protección IPS en el sistema antes de quitar Host IPS localmente. 


¿Cómo revierto el contenido de las firmas de Host IPS?
Consulte el artículo KB53092 para obtener información acerca de cómo revertir el contenido de las firmas de Host IPS.


¿Es compatible mi versión del producto?
Para obtener información sobre el fin del ciclo de vida y el fin de servicio, diríjase a: www.mcafee.com/us/support/support-eol.aspx

Volver al contenido

 

¿Cómo funciona la protección de Host IPS?
La protección de Host IPS supervisa las llamadas ejecutables del sistema que utilizan interfaces de programación de la aplicación (API) en el sistema protegido. Estas llamadas del sistema las recibe/realiza el kernel del sistema operativo para procesar los recursos. La supervisión de Host IPS detecta anomalías en las llamadas del sistema y las bloquea o registra para analizarlas. Host IPS utiliza varios motores de supervisión Clase para llevar esto a cabo. Si desea información sobre desbordamiento del búfer, archivos, interceptación, uso ilegal de API, uso ilegal, ISAPI, programa, registro, servicios y clases de motor SQL, consulte el artículo PD22525: Host Intrusion Prevention - Writing Custom Signatures (Host Intrusion Prevention: Escritura de firmas personalizadas).

 

¿Cómo funciona la protección contra desbordamiento del búfer?
La protección contra desbordamiento del búfer (BOP) supervisa los archivos ejecutables y las API del sistema protegido y comprueba la ejecución de código de un desbordamiento o una saturación del búfer. BOP no evita que se produzca la saturación, pero detiene la ejecución del código de esta. Este es un método común para aprovecharse de una vulnerabilidad; lo utiliza el malware en aplicaciones vulnerables para obtener acceso a los datos o al sistema y para autopropagarse.

La protección se consigue mediante el desvío de la ejecución del código por parte de los enlaces en el kernel (también conocidos como parches del kernel de varias tablas del sistema) a nuestras pruebas de seguridad antes de volver a su programación planificada. Esta función tiene una compatibilidad limitada con plataformas de 64 bits, ya que su kernel permite unos parches limitados. Para obtener información relacionada con los detalles de la cobertura de compatibilidad de las plataformas con Windows, consulte el artículo KB51504. Puede hacer que esta BOP sea redundante si dispone de prevención de la ejecución de datos.

El artículo al que se hace referencia solo está disponible para los usuarios registrados en ServicePortal.

Para ver los artículos registrados:

1. Inicie sesión en ServicePortal en http://support.mcafee.com.
2. Escriba el ID del artículo en el campo de búsqueda en la página de inicio.
3. Haga clic en Buscar o pulse Intro.

¿Qué es la protección IPS de red?
El controlador del filtro de protección IPS de red inspecciona la comunicación de datos entre el sistema protegido y la red. Los paquetes se examinan ante perfiles de ataques maliciosos. Si se identifica un ataque, los datos se descartan o se les bloquea el paso al sistema. Host IPS contiene una lista predeterminada de firmas IPS de red para plataformas con Windows. Puede editar el nivel de gravedad, el estado del registro y la configuración de creación de reglas de cliente de esas firmas, pero en este momento no puede añadir firmas de red personalizadas. Las firmas de red hacen lo siguiente:

• Protegen los siguientes sistemas de un segmento de red
• Protegen los servidores y los sistemas que se conectan a ellos
• Protegen contra ataques de denegación de servicio de red y ataques contra el ancho de banda que deniegan o degradan el tráfico de red

¿El controlador del filtro del firewall de Host IPS es NDIS 5.0 o NDIS 6.0?
La especificación de la interfaz del controlador de red es la API de los adaptadores de red y los controladores del filtro de red que operan en sistemas de Microsoft. Esta especificación se desarrolló originalmente de forma conjunta entre Microsoft y 3COM Corporation. Windows 7, Windows Vista, Windows Server 2008 y los sistemas operativos nuevos utilizan la API NDIS 6.x (estos sistemas operativos también ofrecen compatibilidad con las versiones anteriores de los controladores del filtro NDIS 5.x mediante una capa de compatibilidad de Microsoft).
 

Host IPS 8.0 incluye dos versiones del controlador del firewall:

• Hay un controlador del firewall integrado en la especificación de NDIS 6.x para Vista y los sistemas operativos más nuevos.
• El otro controlador de firewall está integrado en la especificación de NDIS 5.x para Windows XP y Windows 2003.
  
  NOTA: Se recomienda que ejecute Host IPS 8.0 en Vista y en los sistemas operativos más nuevos cuando le resulte útil porque los controladores de NDIS 6.x ejecutan la interfaz de programación actualizada en ellos.
  

  Microsoft dejó de proporcionar soporte para Windows XP SP3 el 8 de abril de 2014. Para obtener los mejores resultados y un nivel de seguridad óptimo, amplíe su sistema operativo a una versión compatible. Para obtener información detallada, consulte el artículo KB78434.

  
  

  Microsoft dejó de proporcionar soporte para Windows Server 2003 SP2 el 14 de julio de 2015. Desde finales de 2015, el único software de McAfee compatible con Windows Server 2003 SP2 es Application Control y Change Control. Para obtener información detallada, consulte el artículo KB81563. 

¿Qué es el motor HTTP de Host IPS?
El motor HTTP de Host IPS 8.0 consta de dos componentes: un stub y un motor. El stub es un wrapper fino que carga el IIS, que a su vez carga el principal motor HTTP dependiendo de los valores de control almacenados en el registro. El motor HTTP utiliza un stub, por lo que los cambios de la directiva relacionados con el motor HTTP no requieren que se reinicie el IIS. Al desactivar el motor HTTP en la solución de problemas de IPS, se quita la entrada del IIS. El motor genera consultas a partir de la solicitud HTTP y la pasa al cliente de HIP para que coincidan. A continuación, dependiendo de si la solicitud está bloqueada, permite seguir la solicitud HTTP. En la sección de datos sin procesar, no se incluye ningún dato POST. La sección de datos sin procesar contiene todas las variables de encabezado para todas las versiones del IIS.


¿Qué es TrustedSource en la directiva de opciones del firewall?
TrustedSource es un sistema de inteligencia de reputación global en Internet que determina el buen o mal comportamiento en Internet mediante análisis en tiempo real. Para obtener más información sobre TrustedSource, consulte el artículo KB74925.


¿Qué servicios de Host IPS debería utilizar como cliente para que el software funcione adecuadamente?
Asegúrese de que están activos los siguientes servicios para que le proporcionen protección contra intrusiones mediante IPS o firewall (o los dos):

• McAfee Host Intrusion Prevention Service (FireSvc.exe)
• McAfee Firewall Core Service (mfefire.exe) no se inicia automáticamente con Host IPS 8.0 parche 6 (y posteriores). Consulte el artículo KB85374.
• Servicio McAfee Validation Trust Protection (mfevtps.exe)
• Servicio de llamada a procedimiento local (LPC) de McAfee Host Intrusion Prevention (HipMgmt.exe): añadido con Host IPS 8.0 parche 3 (y posteriores). Consulte el artículo KB81474.

Los siguientes servicios se activan cuando se les llama:

• Servicio del icono de la bandeja del sistema de McAfee Host Intrusion Prevention (FireTray.exe)
• Consola de cliente de McAfee Host Intrusion Prevention (McAfeeFire.exe)

¿Cómo evito que el firewall bloquee el tráfico no IP?
A menos que se indique específicamente en una regla de firewall, este no reconoce algunos tipos de tráfico no IP y, por lo tanto, los bloquea. Además, los modos adaptativo y de aprendizaje no detectan y crean dinámicamente reglas del firewall para protocolos no IP. Para evitar que se omitan los protocolos no IP, seleccione Permitir tráfico de protocolos no compatibles en la directiva de opciones del firewall. Después compruebe el registro de actividad y busque el protocolo no IP permitido entrante/saliente: 0xXXX, donde 0xXXX indica el número del protocolo de IANA Ethernet (consulte http://www.iana.org/assignments/ethernet-numbers). Utilice esta información para determinar el tráfico no IP necesario y cree una regla del firewall que lo permita.


¿Dónde se encuentran los archivos de registro?
Todos los archivos de registro se encuentran en el directorio C:\ProgramData\McAfee\Host Intrusion Prevention\ del sistema cliente.

¿Qué archivos de registro se asocian con el componente de Host IPS?
El archivo de registro principal del componente de Host IPS es HipShield.log. Este archivo de registro crece hasta los 128 MB y rota con cada copia de seguridad. La rotación del archivo de registro la controlan las entradas DWORD log_rotate_size_kb y log_rotate_count de la clave de registro [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP].

La clave log_rotate_count determina el número de archivos de registro de copias de seguridad que se guardarán y DWORD entrylog_rotate_size_kb es el tamaño aproximado en KB del archivo de registro de la copia de seguridad, donde 0 significa que la rotación del registro está desactivada.

Cuando se supera el tamaño especificado en log_rotate_size_kb, el archivo se cierra y se renombra con el sufijo'.1'. Si ya existe un archivo con ese nombre, el sufijo se incrementa en uno. Cuando se alcanza el número de archivos de copia de seguridad especificado, se borra el más antiguo.


¿Qué debería buscar en HipShield.log?
La ejecución del componente de Host IPS comienza con una indicación que identifica la compilación y la fecha/hora de la sesión. Cada entrada del registro HipShield muestra una fecha/hora diferentes, seguidas de una indicación de si se trata de datos informativos, de depuración o de error. Los datos que contiene el archivo HipShield son ad hoc y son diferentes entre las partes del componente de Host IPS. Principales áreas de interés:

• Las líneas que comienzan por "In install modules new" describen la copia de archivos como parte del inicio del componente de Host IPS. Si se produce un error en la copia de estos archivos, no se iniciará el componente de Host IPS.
• Las líneas que comienzan por "Scrutinizer initialized successfully" indican se ha cargado correctamente el componente de Host IPS mediante la inicialización de Scrutinizer, que depende de que los archivos mencionados anteriormente se hayan copiado correctamente.
• Una línea que comience por New Process: PID = indica que el componente de Host IPS puede supervisar la creación del proceso.
• Una línea que comience por IIS - Start indica que se está iniciando la supervisión de IIS.
• Una línea que comience con el estado Scrutinizer started successfully ACTIVADO indica que se ha iniciado correctamente Scrutinizer.
• Una línea que comience por Hooking xxx indica que está en curso el proceso de enlace. El número xxx indica que el PID (ID del proceso) se está enlazando.
• Una serie de líneas que comienzan por Processing Buffer xxx.scn indican los resultados del procesamiento del Analizador del archivo de análisis xxx.scn, donde xxx es un nombre como EnterceptMgmtServer, como se muestra anteriormente. Aquí se informa de los errores en el procesamiento de los archivos de análisis por parte de los analizadores.
• Las líneas con el formato signature=111 level=2, log=True informan de que se ha cargado una firma individual. Se incluyen el ID y nivel de la firma, además de una indicación de si se ha activado el registro de la misma.
  
  NOTA: Shield.db y except.db se crean en el mismo directorio que los registros, pero solo cuando está activada la depuración. Estos archivos contienen un volcado de las reglas y excepciones que se envían al kernel después de que AgentNT.dll haya procesado el contenido.
   

¿Qué archivos de registro están asociados con el componente del firewall?

FireSvc.log (principal registro del servicio)	Registro del nivel de depuración Resultado del emparejamiento de ubicación Resultado de la valoración de conexión de TrustedSource Errores/advertencias
HipMgtPlugin.log (registro del complemento McAfee Agent)	Registro del nivel de depuración Estadísticas de intervalos de la implementación de directivas Errores/advertencias
FireTray.log / McTrayHip.log (Registro de la bandeja)	Registro del nivel de depuración Errores/advertencias
FireUI.log (Registro de IU del cliente)	Registro del nivel de depuración Errores/advertencias

Estos archivos de registro crecen hasta alcanzar el tamaño máximo predeterminado de 100 MB. Si necesita archivos de registro mayores o menores, puede controlar el tamaño añadiendo el siguiente valor del registro: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]

Para definir el tamaño del registro, consulte la sección "¿Qué archivos de registro están asociados con el componente del firewall?" de la guía del producto Host Intrusion Prevention 8.0 (PD22894).


¿Qué es la utilidad de la línea de comandos ClientControl?
Esta utilidad de la línea de comandos ayuda a automatizar las ampliaciones y otras tareas de mantenimiento si utiliza software de terceros para desplegar Host IPS en clientes. La puede incluir en la instalación y en las secuencias de comandos de mantenimiento para desactivar temporalmente la protección IPS y activar las funciones de registro. Para obtener más información, consulte el artículo del archivo Readme de la utilidad ClientControl.exe de Host Intrusion Prevention 8.0 (PD23014).

Volver a Contenidos