Généralités	Systèmes d'exploitation pris en charge et informations couvrant plusieurs sujets.
Problèmes principaux	Problèmes principaux ou questions signalés par des clients. Définis par domaine/sous-domaine.
Questions ou problèmes principaux signalés dans les demandes de service du mois	Principales questions ou principaux problèmes signalés ce mois-ci par les clients dans les demandes de service. Définis par domaine/sous-domaine.
Compatibilité	Interaction entre les autres produits et logiciels.
Installation/Mise à niveau	Informations relatives à la procédure d'installation, de suppression ou de mise à niveau.
Configuration	Inclut les meilleures pratiques, l'optimisation et la configuration.
Fonctionnalité	Fonctions et fonctionnalités des produits, notamment Buffer Overflow, la protection Host IPS, la protection IPS réseau et le pare-feu.

Quels environnements le produit Host IPS 8.0 prend-il en charge ?
Pour plus d'informations sur les environnements pris en charge par , consultez l'article KB70778.


A quelle fréquence le contenu de Host IPS est-il mis à jour ?
Host IPS est mis à jour dans le référentiel commun le deuxième mardi de chaque mois, à 20 h (GMT).
La publication des mises à jour de sécurité de Microsoft Windows s'effectue également le deuxième mardi de chaque mois (également appelé Microsoft Patch Tuesday).


Pourquoi les packages du patch incrémental (MSP) de Host IPS 8.0 sont-ils plus gros que l'installation complète du produit Host IPS, qui inclut le patch ?
Les packages MSP sont de plus en plus gros, et ce, pour une bonne raison. Chaque fois qu'Intel Security publie un nouveau patch, le MSP doit contenir les informations nécessaires pour mettre à niveau tous les patchs précédemment publiés et la version RTW du produit. Pour cette raison, une conversion MST est intégrée au MSP pour chacune de ces versions précédentes, et pas seulement une copie des nouveaux fichiers.

La conversion MST est en fait une différence MSI qui prend un produit MSI déjà connu et qui le met à jour vers le dernier MSI, sur lequel le patch est construit. Etant donné que les tables MSI contiennent des données binaires pour des éléments comme le code d'action personnalisé intégré et certains de nos utilitaires de prise en charge (par exemple, clientcontrol.exe), ces différences MSI peuvent être relativement volumineuses et entraîner des patchs de plus en plus gros.


Retour au sommaire

IPS client/FAQ - Evénements IPS
Les événements de signature IPS sont l'une des principales raisons des appels relatifs à Host IPS. En règle générale, ces questions résultent du déclenchement d'un événement de signature IPS. En principe, Host IPS offre une protection IPS et par pare-feu pour les postes clients dans le cadre d'une stratégie de protection multicouche. Cette stratégie de protection multicouche doit inclure un pare-feu de passerelle réseau/des systèmes contre les intrusions ou des applications de filtrage, antivirus et antimalware, en plus de Host IPS.

Le contenu de signature Host IPS offre une protection contre les vulnérabilités de système connues et les vulnérabilités inconnues (« jour zéro »). Les vulnérabilités « jour zéro » correspondent à l'écart entre les systèmes non corrigés par un patch et les mises à jour de sécurité à appliquer ultérieurement pour les vulnérabilités confirmées. Le contenu Host IPS comprend une protection générique contre le débordement de mémoire tampon et d'autres mécanismes de signatures génériques pour protéger les systèmes lors de cette période « jour zéro ». Toutefois, Intel Security vous recommande d'appliquer toutes les mises à jour de sécurité propres aux applications et au système d'exploitation dès que possible dans votre environnement afin de réduire les détections fréquentes et répétées de signatures IPS.  

Intel Security vous conseille de suivre une méthodologie générale pour examiner, régulièrement ou une fois par mois, les mises à jour de sécurité propres aux applications et au système d'exploitation, ainsi que les applications et systèmes de patchs. Intel Security vous recommande également de vérifier une fois par mois les mises à jour de signatures Host IPS à des fins de corrélation avec des mises à jour de sécurité de fournisseurs spécifiques publiées. Sur les systèmes mis à jour, il est possible de désactiver en toute sécurité la mise en correspondance directe des signatures Host IPS avec les mises à jour de sécurité disponibles auprès des fournisseurs. Intel Security vous recommande de vérifier une fois par mois le contenu de signature activé et l'application de patchs au système avec les mises à jour de sécurité disponibles afin de réduire la probabilité de faux positifs excessifs sur les systèmes déjà mis à jour.

Utilisez la méthodologie générale suivante lors de l'évaluation d'événements de signature IPS :

1. Identifiez le nombre de signatures déclenchées.
2. Consultez les informations de description relatives au nombre de signatures IPS dans la stratégie Règles IPS dans ePolicy Orchestrator (ePO).
3. Consultez les liens de description Références CVE, s'il en figure dans les informations de description pour la signature en question.
4. Déterminez si des bulletins de sécurité Microsoft Technet sont associés à la vulnérabilité applicable et si des mises à jour de sécurité Microsoft résolvant la vulnérabilité ont été publiées.
5. Vérifiez si des mises à jour de sécurité Microsoft applicables sont appliquées sur les systèmes signalant l'événement IPS (comme noté ci-dessus) :
   • Si tel est le cas, il est possible de désactiver la signature IPS applicable sur les systèmes sur lesquels les mises à jour de sécurité Microsoft associées sont appliquées.
   • Dans le cas contraire, Intel Security vous recommande d'appliquer les mises à jour de sécurité Microsoft applicables aux systèmes concernés le plus rapidement possible.
6. Si aucun lien de description CVE n'est noté pour le déclenchement de signature IPS, vérifiez tous les détails avancés relatifs à l'événement IPS reçu.
7. Identifiez si le déclenchement de l'événement est lié à une utilisation ou un processus métier classique.
8. Identifiez si toutes les mises à jour de sécurité Microsoft les plus récentes sont appliquées sur les systèmes confrontés à l'événement.
9. Déterminez si l'événement IPS est propre à un processus tiers (une application Adobe ou autre que Microsoft, un processus ou tout autre outil, par exemple). Si tel est le cas, vérifiez toutes les mises à jour de sécurité applicables disponibles auprès du fournisseur et assurez-vous qu'elles sont appliquées sur les systèmes.
10. Si la signature se déclenche toujours après l'application d'une mise à jour de sécurité du fournisseur, considérez l'événement comme un faux positif, puis désactivez la signature sur les systèmes mis à jour ou créez une exception IPS pour les systèmes mis à jour afin d'empêcher toute autre détection de signature.
11. Si aucune mise à jour de sécurité n'est mise à disposition par le fournisseur, déterminez si les systèmes concernés disposent des définitions antivirus et antimalware actuelles pour VirusScan ou toute autre application Endpoint Protection Suite installée. Exécutez une analyse complète sur les systèmes concernés.
12. Déterminez si les systèmes concernés sont protégés par d'autres mesures de sécurité de périmètre, telles que la détection des intrusions sur le réseau.
13. Activez la journalisation de débogage détaillée en activant l'option Consigner les violations de sécurité pour Host IPS de sorte que des informations avancées puissent être collectées dans le fichier HipShield.log. Pour obtenir des informations pertinentes sur les violations de sécurité IPS figurant dans le fichier HipShield.log, consultez l'article KB54473.
14. Contactez le support technique pour bénéficier d'une analyse plus poussée.

Pare-feu client/FAQ - Assistance relative aux règles de pare-feu
Certaines questions relatives à la configuration de stratégies de pare-feu reviennent fréquemment, notamment concernant les règles de pare-feu devant être configurées sur les postes clients. Les stratégies classiques de pare-feu d'entreprise vont de simples jeux de règles exploitant les groupes selon la connexion/l'emplacement à des stratégies de règles extrêmement complexes qui définissent des hachages de fichiers exécutables comprenant des centaines de règles de pare-feu entrantes/sortantes. Les stratégies de pare-feu volumineuses rendent la gestion encore plus complexe et peuvent contribuer à la réduction des performances sur les systèmes de spécification inférieure. Les jeux de règles volumineux peuvent également avoir un impact sur les performances du serveur ePO lors des configurations de stratégie et entraîner une surcharge sur McAfee Agent lors des intervalles de mise en œuvre de stratégie.

Le pare-feu Host IPS 8.0 inclut plusieurs fonctionnalités permettant de simplifier les configurations de stratégie :

• Host IPS 8.0 inclut des modèles simplifiés de règle de stratégie de pare-feu par défaut sur lesquels fonder votre stratégie. Dans la mesure du possible, Intel Security vous recommande d'utiliser des jeux de règles simplifiés, exploitant le pare-feu avec état, les réseaux approuvés et les applications approuvées pour les stratégies de réseaux d'entreprise internes.
• Le pare-feu est considéré comme un pare-feu à états, ce qui évite d'avoir recours à un trop grand nombre de règles de pare-feu entrantes. Il est possible de simplifier considérablement les stratégies à règles. La table d'état du pare-feu stocke de façon dynamique des informations sur les connexions de trafic sortant actives à partir du système. Les règles de la table d'état du pare-feu filtrent et autorisent le trafic de retour associé. Il n'est alors pas nécessaire de définir des jeux de règles de trafic entrant volumineux et complexes.
• L'utilisation de groupes selon l'emplacement définit des jeux de règles pour les utilisateurs distants non connectés au réseau local classique. Il est possible de configurer des jeux de règles simplifiés dans un groupe selon l'emplacement, ce qui permet aux utilisateurs distants de se connecter via le réseau privé virtuel (VPN) de l'entreprise et d'utiliser les règles de pare-feu classiques.
• Réseaux approuvés : répertorie les adresses IP et les réseaux, y compris les exceptions TrustedSource, jugés comme sûrs pour la communication. Les réseaux approuvés peuvent inclure des adresses IP individuelles ou des plages d'adresses IP. Le marquage des réseaux comme approuvés élimine ou réduit la nécessité d'exceptions IPS réseau et de règles de pare-feu supplémentaires. (Pour les clients Windows uniquement.)
• Applications approuvées : répertorie les applications sûres et dépourvues de toute vulnérabilité connue. Le marquage des applications comme approuvées élimine ou réduit la nécessité d'exceptions IPS et de règles de pare-feu supplémentaires. A l'instar de la stratégie Règles IPS, cette catégorie de stratégies peut contenir plusieurs instances de stratégie. (Pour des clients sur des plates-formes Windows et non-Windows.)
• Mode adaptatif du pare-feu : permet de faciliter le réglage du pare-feu.
  REMARQUE : utilisez le mode adaptatif temporairement sur un petit nombre de systèmes afin de faciliter le réglage des règles de pare-feu. Ce mode peut créer un grand nombre de règles de client sur les postes clients et peut également créer une surcharge importante pour le serveur ePO à cause du traitement d'un nombre excessif de règles de pare-feu pour le client en mode adaptatif. Intel Security recommande de limiter l'utilisation du mode adaptatif pour les pare-feu à un petit nombre de systèmes et pour une période limitée, afin de faciliter le réglage de la stratégie de pare-feu.
  
  Vérifiez les règles pour le client en mode adaptatif une fois par jour, ou au moins une fois par semaine, lorsque le mode adaptatif est activé sur les systèmes cible. Après avoir déployé le mode adaptatif pour les pare-feu pour la première fois, désactivez le mode adaptatif sur les systèmes cible en désélectionnant l'option Conserver les règles du client afin de vous assurer que toutes les règles de client apprises sur le système cible sont purgées. Dans la console ePO, vérifiez les règles de pare-feu pour le client, puis déterminez les règles à appliquer pour une stratégie de règles de pare-feu de réglage sur le poste client avant de réactiver le pare-feu en mode adaptatif. Suivez les étapes itératives suivantes pour finaliser votre stratégie de règles de pare-feu avant d'effectuer le déploiement sur tous les systèmes. Il est possible qu'une partie du trafic réseau associé aux applications ne soit pas reconnu par le mode adaptatif. Il se peut que vous deviez configurer manuellement les règles de pare-feu. Pour plus d'informations sur les configurations de pare-feu propres aux applications afin de garantir qu'elles fonctionnent, contactez le fournisseur de l'application.

Installation, configuration, désinstallation/FAQ - Déploiement à l'aide d'ePO
La plupart des appels au support relevant de cette catégorie correspondent à des questions traitées dans le guide d'installation de Host Intrusion Prevention 8.0 (PD22891).

Avant d'effectuer le déploiement sur tous les systèmes, Intel Security vous recommande de procéder à des comparaisons et à des tests approfondis sur les nouvelles installations d'applications de sécurité pour vos environnements de production. Bien que Intel Security effectue des tests approfondis et valide tous ses produits de sécurité avant leur sortie, il en va de même avant de déployer Host IPS sur tous les nœuds d'un environnement d'entreprise. Les infrastructures réseau et les produits tiers adaptent de nouvelles fonctionnalités de sécurité en raison des avancées technologiques. L'interopérabilité des produits est un souci constant pour tous les fournisseurs, et il est essentiel que les images des clients de base soient validées avec les modifications apportées aux produits. Après la validation de Host IPS dans des environnements pilotes ou de test, Intel Security recommande d'utiliser un pilote de production ou une approche graduelle pour le déploiement à des fins de production dans l'entreprise.


Dysfonctionnement du pare-feu du client/des règles de pare-feu
Pour plus d'informations de dépannage, reportez-vous à la section Logiciels tiers.


Installation, configuration, désinstallation/NOUVELLE installation - Echec
Host IPS est déployé avec les fonctionnalités IPS et de pare-feu désactivées par défaut. Intel Security vous recommande de sélectionner les systèmes représentant les applications et configurations pour tous les groupes de leur environnement. Si vous disposez d'images normalisées, il est plus facile de valider Host IPS pour votre environnement. Si vos systèmes sont hétérogènes, la validation de l'interopérabilité s'avère plus difficile. Il est plus facile pour le support technique de résoudre les problèmes d'interopérabilité avant tout déploiement à l'échelle de l'entreprise que de résoudre les problèmes critiques détectés après ou lors d'un déploiement à l'échelle de l'entreprise.

Retour au sommaire

Que faire en cas de problème avec d'autres logiciels tiers ?
Des problèmes impliquant d'autres logiciels tiers peuvent survenir, en particulier ceux associés à d'autres logiciels de sécurité tiers. Pour obtenir de l'aide, consultez les articles suivants :

• KB67055 - Dépannage d'une application de réseau ou d'un blocage du trafic par le pare-feu Host Intrusion Prevention
• KB67056 - Dysfonctionnement ou altération de l'application tierce suite à l'installation de Host Intrusion Prevention ou à la mise à jour du contenu

Si vous devez faire remonter un problème insoluble, il est important que vous incitiez le fournisseur tiers à effectuer une analyse en même temps qu'Intel Security. De nombreux problèmes d'interopérabilité nécessitent une solution de la part du fournisseur tiers, et non d'Intel Security. Intel Security s'engage à travailler en étroite collaboration avec les fournisseurs tiers pour résoudre les problèmes d'interopérabilité.


Quand une version 64 bits sera-t-elle disponible ?
Host IPS 8.0 est entièrement pris en charge sur les systèmes d'exploitation 64 bits pris en charge.


Qu'est-ce qui fait de Host IPS un produit 64 bits ?
Host IPS 8.0 installe des fichiers binaires 32 et 64 bits sur des systèmes x64. Les fichiers binaires des produits 64 bits sont installés dans un sous-dossier x64 du chemin d'installation. Les autres fichiers binaires, tels que les pilotes, sont installés aux emplacements appropriés dans le système de fichiers Windows. Le produit ne suit pas les directives d'installation relatives aux fichiers 64 bits du dossier \program files, mais prend en charge les systèmes x64 de façon native.


Quels produits s'exécutent en mode de compatibilité 32 bits sur des systèmes x64 ?
Certaines applications tierces s'exécutent comme des produits 32 bits. Par conséquent, Host IPS 8.0 charge les moteurs IPS 32 bits appropriés.


Quelles plates-formes virtualisées sont prises en charge par Host IPS 8.0 ?
Consultez l'article KB70778 - Plates-formes, environnements et systèmes d'exploitation pris en charge par Host Intrusion Prevention 8.0.


Quelles versions de réseaux privés virtuels sont prises en charge par Host IPS 8.0 ?
Consultez l'article KB70778 - Plates-formes, environnements et systèmes d'exploitation pris en charge par Host Intrusion Prevention 8.0.


Pourquoi dois-je installer McAfee (ePO) Agent sur les ordinateurs portables se connectant rarement au réseau ?
ePO Agent permet une mise en œuvre de stratégie. Après avoir installé l'agent et après qu'il ait reçu votre stratégie, cette dernière ayant été configurée sur le serveur ePO, la stratégie que vous avez définie est mise en œuvre selon l'intervalle que vous avez défini, que l'ordinateur portable soit connecté ou non au réseau. Cela garantit que les paramètres de votre entreprise pour vos produits McAfee sont définis, peu importe l'endroit où vous utilisez le service d'itinérance (roaming).

 

Puis-je utiliser Host IPS 8.0 pour bloquer l'accès aux équipements USB ?
Non, pas de manière efficace. Il est possible de bloquer l'accès aux équipements USB en utilisant une signature IPS personnalisée avec Host IPS 8.x. Toutefois, il existe des limites de sécurité lors de l'utilisation d'une signature IPS.

Pour bloquer efficacement les équipements USB, Intel Security recommande McAfee Data Loss Prevention (http://www.mcafee.com/us/products/data-protection/index.aspx).

Pour plus d'informations sur la façon d'empêcher les utilisateurs de se connecter à un périphérique de stockage USB, reportez-vous à l'article Microsoft 823732 sur la page support.microsoft.com/kb/823732.

Retour au sommaire

 

Pourquoi dois-je effectuer une mise à niveau de Host IPS 7.0 vers Host IPS 8.0 ?
Pour en savoir plus sur les nouveautés et améliorations de Host IPS 8.0, consultez l'article PD22892. Pour connaître les problèmes connus, consultez l'article KB72749.


Comment télécharger Host IPS 8.0 ?
Pour plus d'informations sur le téléchargement de HotFix, de patchs, de mises à jour de sécurité ou de produits Intel Security, consultez l'article KB56057.


Comment installer Host IPS 8.0 localement ou à l'aide de solutions tierces ?
Procédez à l'extraction des fichiers d'installation du dossier .zip vers un dossier temporaire, exécutez le fichier Setup.exe, puis procédez à l'installation.

REMARQUE : Setup.exe prend en charge la plupart des options de ligne de commande MSI. Pour plus d'informations, consultez l'article KB51689.


Comment installer Host IPS via ePO ?
Ajoutez le package d'installation à votre référentiel, puis créez/modifiez une tâche de déploiement. Pour plus d'informations, reportez-vous au Guide produit d'ePolicy Orchestrator 5.3.0 (PD25504).

REMARQUE : la tâche de déploiement permet également de spécifier les options de ligne de commande. Cela vous permet d'apporter des modifications simples à l'installation, par exemple pour ne pas installer une fonctionnalité spécifique. Pour obtenir la liste complète des options, consultez le guide d'installation de Host Intrusion Prevention 8.0 (PD22891).


Pourquoi installer le produit dans le dossier Program Files (x86) ?
Host IPS installe des fichiers binaires 32 et 64 bits sur des systèmes x64. Les fichiers binaires des produits 64 bits sont installés dans un sous-dossier x64 du chemin d'installation. Les autres fichiers binaires, tels que les pilotes, sont installés aux emplacements appropriés dans le système de fichiers Windows. Le produit ne suit pas les directives d'installation relatives aux fichiers 64 bits du dossier \program files, mais prend en charge les systèmes x64 de façon native.


Le package d'installation comporte-t-il du contenu de signature Host IPS ?
Host IPS est fourni avec le contenu de signature 8.0.0.3709. Cela permet à Host IPS de fonctionner après une installation au cas où un serveur ePO ne peut pas être contacté pour des mises à jour de signatures. Intel Security vous recommande de configurer une tâche de mise à jour planifiée régulière pour inclure le contenu de signature Host IPS pour les systèmes installés.


Une fois l'installation terminée, un redémarrage est-il nécessaire ?
Pour les nouveaux systèmes, vous n'avez pas besoin de procéder à un redémarrage pour commencer à profiter des fonctionnalités de Host IPS 8.0. Toutefois, Intel Security vous recommande de procéder à un redémarrage pour nettoyer votre environnement Windows. 

Pour mettre à niveau les systèmes Host IPS 7.0, vous devrez peut-être procéder à un redémarrage, selon votre système d'exploitation. Intel Security vous recommande de procéder à une validation par rapport à vos images spécifiques.


Comment supprimer le produit ?
Vous pouvez supprimer Host IPS à l'aide d'une tâche de déploiement ePO, ou localement dans Programmes et fonctionnalités ou dans Applications et fonctionnalités (selon votre version de Windows). Vous devez désactiver la protection IPS sur le système avant de supprimer localement Host IPS.


Comment restaurer le contenu de signature Host IPS ?
Pour plus d'informations sur la procédure de restauration du contenu de signature Host IPS, consultez l'article KB53092.


La version de mon produit est-elle prise en charge ?
Pour plus d'informations sur la fin de vie et la fin de support, accédez à la page suivante : www.mcafee.com/us/support/support-eol.aspx

Retour au sommaire

 

Comment la protection Host IPS fonctionne-t-elle ?
La protection Host IPS surveille les appels système exécutables passés à l'aide des API sur le système protégé. Ces appels système sont émis vers/depuis le noyau du système d'exploitation en vue du traitement des ressources. La surveillance Host IPS détecte des anomalies dans les appels système et bloque ou consigne ces appels à des fins d'analyse. Host IPS utilise plusieurs moteurs à classes de surveillance pour atteindre cet objectif. Pour plus d'informations sur les classes des moteurs Buffer Overflow, Files, Hook, Illegal API Use, Illegal Use, ISAPI, Program, Registry, Services et SQL, consultez l'article PD22525 - Host Intrusion Prevention - Ecriture des signatures personnalisées.

 

Comment la protection contre les attaques par débordement de mémoire tampon fonctionne-t-elle ?
La protection contre les attaques par débordement de mémoire tampon surveille les fichiers exécutables et les API sur le système protégé, vérifiant ainsi l'exécution de code à partir d'une vulnérabilité de type débordement ou saturation de mémoire tampon. La protection contre les attaques par débordement de mémoire tampon n'empêche pas la saturation, mais elle arrête l'exécution du code qu'elle génère. Il s'agit d'une méthode d'exploit courante, utilisée par les logiciels malveillants (malware) contre les applications vulnérables pour accéder aux données ou au système et/ou pour se propager.

La protection est assurée ainsi : des accroches au niveau du noyau (on parle également de « patchs de noyau » de diverses tables système) détournent l'exécution de code via nos tests de sécurité avant de retourner à leur programmation précédemment planifiée. Cette fonctionnalité n'est prise en charge que sur les plates-formes 64 bits sur lesquelles le noyau autorise une application de patchs limitée. Pour plus d'informations sur les plates-formes Windows prises en charge, consultez l'article KB51504. Vous pouvez rendre cette protection contre les attaques par débordement de mémoire tampon redondante si Data Execution Prevention est configuré.

L'article référencé ci-dessus n'est disponible que pour les utilisateurs enregistrés du portail ServicePortal.

Pour voir les articles enregistrés :

1. Connectez-vous au portail ServicePortal à l'adresse http://support.mcafee.com.
2. Saisissez l'identifiant de l'article dans le champ de recherche de la page d'accueil.
3. Cliquez sur Rechercher ou appuyez sur la touche Entrée.

Qu'est-ce que la protection IPS réseau ?
Le pilote de filtrage de la protection IPS réseau inspecte les données communiquant entre le système protégé et le réseau. Les paquets sont comparés à des profils d'attaques malveillantes. Si une attaque est identifiée, les données malveillantes sont supprimées ou bloquées pour les empêcher de pénétrer dans le système. Host IPS contient une liste par défaut de signatures IPS réseau pour les plates-formes Windows. Vous pouvez modifier les paramètres de niveau de gravité, de statut du journal et de création de règles de client de ces signatures, mais vous ne pouvez actuellement pas ajouter de signatures réseau personnalisées. Les signatures réseau offrent les avantages suivants :

• Protection des systèmes situés en aval dans un segment de réseau
• Protection des serveurs et des systèmes qui y sont connectés
• Protection contre les attaques réseau par déni de service et les attaques orientées bande passante bloquant ou altérant le trafic réseau

Le pare-feu Host IPS utilise-t-il NDIS 5.0 ou NDIS 6.0 comme pilote de filtrage ?
Network Driver Interface Specification (NDIS, Spécification de l'interface du pilote réseau) est l'API destinée aux adaptateurs réseau et aux pilotes de filtrage réseau fonctionnant sur les systèmes d'exploitation Microsoft. A l'origine, cette spécification a été développée conjointement par Microsoft et 3COM Corporation. Windows 7, Windows Vista, Windows Server 2008 et tout autre système d'exploitation plus récent utilisent l'API NDIS 6.x (ces systèmes d'exploitation offrent également une rétrocompatibilité pour les pilotes de filtrage NDIS 5.x via une couche de compatibilité Microsoft).
 

Host IPS 8.0 inclut deux versions du pilote de pare-feu :

• L'un repose sur la spécification NDIS 6.x pour Vista et tout autre système d'exploitation plus récent.
• L'autre repose sur NDIS 5.x pour Windows XP et Windows 2003.
  
  REMARQUE : Intel Security vous recommande d'exécuter Host IPS 8.0 sous Vista et tout autre système d'exploitation plus récent, dans la mesure du possible, car les pilotes NDIS 6.x exécutent l'interface de programmation mise à jour sous Vista et tout autre système d'exploitation plus récent.
  

  Microsoft a annoncé la fin de la prise en charge étendue de Windows XP SP3 le 8 avril 2014. Pour obtenir de meilleurs résultats et une sécurité optimale, effectuez une mise à niveau vers un système d'exploitation pris en charge. Reportez-vous à l'article KB78434 pour plus de détails.

  
  

  Microsoft a mis fin à la prise en charge étendue de Windows Server 2003 SP2 le 14 juillet 2015. Dès la fin de l'année 2015, les seuls produits McAfee pris en charge par Windows Server 2003 SP2 sont Application Control et Change Control. Reportez-vous à l'article KB81563 pour plus de détails.

Qu'est-ce que le moteur HTTP Host IPS ?
Le moteur HTTP Host IPS 8.0 est constitué de deux composants : un stub et un moteur. Le stub est un wrapper mince chargé par IIS qui charge ensuite le moteur HTTP principal en fonction des valeurs de contrôle stockées dans le registre. Le moteur HTTP utilise un stub afin que les modifications qui y sont apportées ne nécessitent pas le redémarrage d'IIS. La désactivation du moteur HTTP à partir du dépannage IPS supprime l'entrée d'IIS. Le moteur crée des requêtes à partir de la demande HTTP et les transmet au client HIP à des fins d'adaptation, puis, selon que la demande est bloquée ou non, autorise la demande HTTP à continuer. Aucune donnée POST n'est incluse dans la section de données brutes. La section de données brutes contient toutes les variables d'en-tête pour toutes les versions d'IIS.


Qu'est-ce que TrustedSource dans la stratégie Options de pare-feu ?
TrustedSource est un système de renseignement mondial axé sur la réputation Internet qui distingue les bons des mauvais comportements sur Internet via une analyse en temps réel. Pour plus d'informations sur TrustedSource, consultez l'article KB74925.


Quels services Host IPS dois-je utiliser pour que le logiciel fonctionne correctement ?
Assurez-vous que les services suivants sont actifs afin de fournir une protection de prévention des intrusions avec la protection IPS et/ou le pare-feu :

• Service McAfee Host Intrusion Prevention (FireSvc.exe)
• Service McAfee Firewall Core (mfefire.exe) - N'est pas démarré automatiquement avec Host IPS 8.0 Patch 6 (et versions ultérieures). Consultez l'article KB85374.
• Service McAfee Validation Trust Protection (mfevtps.exe)
• Service Appel de procédure locale (LPC) de McAfee Host Intrusion Prevention (HipMgmt.exe) - ajouté avec Host IPS 8.0 Patch 3 (et versions ultérieures). Consultez l'article KB81474.

Les services suivants sont actifs lors des appels :

• Service de l'icône de la barre d'état système McAfee Host Intrusion Prevention (FireTray.exe)
• Console client McAfee Host Intrusion Prevention (McAfeeFire.exe)

Comment empêcher le pare-feu de bloquer le trafic non-IP ?
Lorsqu'aucune règle de pare-feu ne l'indique spécifiquement, certains types de trafics non IP ne sont pas reconnus par le pare-feu et sont par conséquent bloqués. En outre, les modes adaptatif et d'apprentissage ne détectent ni ne créent dynamiquement de règles de pare-feu pour les protocoles non-IP. Pour empêcher le rejet des protocoles non-IP, sélectionnez Autoriser le trafic associé à des protocoles non pris en charge dans la stratégie Options de pare-feu. Consultez ensuite, dans le journal d'activité, la section Protocole non-IP entrant/sortant autorisé : 0xXXX, où 0xXXX désigne le numéro Ethernet IANA du protocole (voir http://www.iana.org/assignments/ethernet-numbers). Utilisez ces informations pour déterminer le trafic non-IP nécessaire et créez une règle de pare-feu autorisant ce dernier.


Où se trouvent les fichiers journaux ?
Tous les fichiers journaux se trouvent dans le répertoire C:\ProgramData\McAfee\Host Intrusion Prevention\ du système client.

Quels fichiers journaux sont associés au composant Host IPS ?
Le fichier journal principal du composant Host IPS est HipShield.log. Ce fichier journal atteint une taille de 128 Mo et sa rotation s'effectue sur la base d'une sauvegarde. La rotation du fichier journal est contrôlée par les entrées DWORD log_rotate_size_kb et log_rotate_count dans la clé de Registre [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP].

La clé log_rotate_count détermine le nombre de fichiers journaux de sauvegarde à conserver et l'entrée DWORD log_rotate_size_kb représente la taille approximative en Ko d'un fichier journal de sauvegarde, où 0 signifie que la rotation de fichiers journaux est désactivée.

Lorsque la taille indiquée dans l'entrée log_rotate_size_kb est atteinte, le fichier est fermé et renommé avec le suffixe 1. Si un fichier portant ce nom existe déjà, le suffixe est incrémenté d'une unité. Lorsque le nombre spécifié de fichiers de sauvegarde est atteint, le plus ancien est supprimé.


Quels sont les éléments à rechercher dans le fichier HipShield.log ?
Lorsque vous l'exécutez, le composant Host IPS affiche d'abord une bannière qui vous indique le build exécuté et l'horodatage de la session. Chaque entrée du journal HipShield affiche un horodatage suivi d'une indication concernant la nature des données : informations, débogage ou erreur. Les données contenues dans le journal HipShield sont des données ad hoc et sont différentes en fonction des segments du composant Host IPS. Domaines d'intérêt principaux :

• Les lignes débutant par In install modules new décrivent la copie des fichiers comme faisant partie du démarrage du composant Host IPS. L'échec de la copie de ces fichiers empêche le composant Host IPS de démarrer.
• Une ligne débutant par Scrutinizer initialized successfully indique que le chargement du composant Host IPS a abouti jusqu'à l'initialisation de Scrutinizer. La réussite de cette étape dépend de la réussite de la procédure de copie des fichiers mentionnée ci-dessus.
• Une ligne débutant par New Process: PID = indique que le composant Host IPS peut surveiller la création des processus.
• Une ligne débutant par IIS - Start indique que la surveillance IIS a commencé.
• Une ligne démarrant par Scrutinizer started successfully ACTIVATED status indique que Scrutinizer a démarré correctement.
• Une ligne débutant par Hooking xxx indique que l'accrochage des processus se poursuit. Le numéro xxx indique le PID (ID de processus) du processus faisant l'objet de l'accroche.
• Une série de lignes débutant par Processing Buffer xxx.scn rapporte les résultats du traitement du fichier d'analyse xxx.scn par l'analyseur, où xxx est remplacé par un nom tel que EnterceptMgmtServer, comme indiqué ci-dessus. Les erreurs dans le traitement des fichiers d'analyse par les analyseurs sont reportées ici.
• Les lignes au format signature=111 level=2, log=True indiquent qu'une signature individuelle a été chargée. L'ID et le niveau de signature sont inclus avec une indication précisant si la journalisation est activée pour cette signature.
  
  REMARQUE : Shield.db et except.db sont créés dans le même répertoire que les journaux uniquement lorsque le débogage est activé. Ces fichiers contiennent un vidage des règles et exceptions envoyées au noyau après le traitement du contenu par AgentNT.dll.
   

Quels fichiers journaux sont associés au composant de pare-feu ?

FireSvc.log (journal de service principal)	Journalisation de niveau débogage Sortie correspondant à l'emplacement Sortie d'évaluation de connexion TrustedSource Erreurs/avertissements
HipMgtPlugin.log (journal du plug-in McAfee Agent)	Journalisation de niveau débogage Statistiques de délai de mise en œuvre de stratégie Erreurs/avertissements
FireTray.log/McTrayHip.log (journal de la barre d'état)	Journalisation de niveau débogage Erreurs/avertissements
FireUI.log (journal de l'interface utilisateur client)	Journalisation de niveau débogage Erreurs/avertissements

La taille de ces fichiers journaux augmente jusqu'à atteindre la taille maximale par défaut de 100 Mo. Si vous souhaitez des fichiers journaux plus ou moins volumineux, vous pouvez contrôler la taille en ajoutant la valeur de Registre suivante : [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]

Pour définir la taille du journal, reportez-vous à la section « Quels fichiers journaux sont associés au composant de pare-feu ? » du Guide produit Host Intrusion Prevention 8.0 (PD22894).


Qu'est-ce que l'utilitaire de ligne de commande ClientControl ?
Cet utilitaire de ligne de commande permet d'automatiser les mises à niveau et toutes autres tâches de maintenance si vous utilisez un logiciel tiers pour déployer Host IPS sur des ordinateurs clients. Vous pouvez l'inclure dans les scripts d'installation et de maintenance pour désactiver temporairement la protection IPS et activer les fonctions de journalisation. Pour plus d'informations, consultez le fichier Readme de l'utilitaire ClientControl.exe de Host Intrusion Prevention 8.0 (PD23014).

Retour au sommaire