Articles techniques ID:
KB73399
Date de la dernière modification : 26/01/2021
Environnement
McAfee Host Intrusion Prevention (Host IPS) 8.0
Synthèse
Mises à jour récentes de cet article
Date
Mise à jour
6 mai, 2020
Détails de l’emplacement du Registre "rotation des fichiers journaux" de Host IPS mis à jour.
Sections extensibles ajoutées.
Cet article présente une liste consolidée des questions et réponses fréquentes. Il est destiné aux nouveaux utilisateurs du produit, mais peut être utilisé par tous les utilisateurs. :
Veuillez Cet article traite des questions d’ordre général concernant Host IPS.
Cliquez pour développer la section que vous souhaitez afficher :
IPS client et événements IPS
Les événements signature IPS sont l’un des principaux générateurs d’appels pour Host IPS. Normalement, ces recherches sont le résultat de déclencheurs d’événements de signature IPS. En général, Host IPS offre une protection IPS et par pare-feu pour les systèmes Endpoint dans le cadre d’une stratégie de protection multicouche. En plus de Host IPS, la stratégie de protection multicouche doit inclure les éléments suivants :
Pare-feu Network Gateway ou systèmes d’intrusion
Ou
Filtrage, applications antivirus pour terminaux et logiciels anti-malware pour terminaux
Le contenu de signature IPS hôte fournit une protection contre les attaques connues et inconnues (Zero-Day) vulnérabilités liées au système. Zero-Day représente l’écart entre les systèmes non corrigés et le application des mises à jour de sécurité publiées pour les vulnérabilités confirmées. Le contenu Host IPS contient un débordement de mémoire tampon générique et d’autres mécanismes de signature génériques pour protéger les systèmes au cours de cette période. Toutefois, McAfee vous recommande d’appliquer le système d’exploitation et les mises à jour de sécurité propres à application aussi rapidement que possible dans votre environnement. Cette action permet de réduire les détections de signature IPS fréquentes ou répétées.
McAfee conseille ce qui suit :
Suivez une méthode générale pour examiner les mises à jour de sécurité propres au système d’exploitation et au application.
Patcher les systèmes et les applications sur une base mensuelle ou régulière.
Passez en revue les mises à jour mensuelles des signature IPS d’hôtes pour obtenir une corrélation avec les mises à jour de sécurité fournisseur spécifiques qui sont publiées. Vous pouvez désactiver en toute sécurité la mise en correspondance des signatures Host IPS directement avec les mises à jour de sécurité disponibles sur le fournisseur sur les systèmes mis à jour.
Passez en revue les signature le contenu et les patchs système avec les mises à jour de sécurité disponibles tous les mois afin de réduire la probabilité de faux positifs excessifs sur les systèmes déjà mis à jour.
Utilisez la méthode générale suivante lorsque vous évaluez des événements signature IPS :
Identifiez le numéro de signature déclenché.
Passez en revue les informations de description de la signature IPS dans la stratégie règles IPS d’ePolicy Orchestrator (ePO).
Passez en revue les liens de description CVE de référence, le cas échéant, qui sont inclus dans les informations de description de cette signature.
Identifiez si des bulletins de sécurité TechNet Microsoft sont liés à la vulnérabilité concernée. De plus, identifiez si des mises à jour de sécurité Microsoft sont disponibles pour résoudre la vulnérabilité.
Vérifiez si des mises à jour de sécurité applicables Microsoft des systèmes signalant l’événement IPS sont appliquées, comme indiqué ci-dessus :
Si tel est le cas, la signature IPS applicable peut être désactivée sur les systèmes sur lesquels les mises à jour de sécurité Microsoft associées sont appliquées.
Si ce n’est pas le cas, McAfee vous recommande d’appliquer les mises à jour de sécurité Microsoft applicables aux systèmes concernés à votre convenance.
Si aucun lien de description CVE n’est noté pour le signature IPS de déclenchement, passez en revue tous les détails avancés de l’événement IPS reçu.
Identifiez si le déclenchement de l’événement est mis en corrélation avec un processus ou une utilisation commerciale normale.
Identifiez si les systèmes rencontrant l’événement ont les dernières mises à jour de sécurité Microsoft appliquées.
Déterminez si l’événement IPS est spécifique à un processus tiers tel qu’Adobe, un processus ou un autre outil. Si tel est le cas, passez en revue toutes les mises à jour de sécurité applicables auprès du fournisseur et assurez-vous qu’elles sont appliquées sur les systèmes.
Si le signature se déclenche toujours après l’application d’une mise à jour de sécurité du fournisseur applicable, considérez l’événement comme un faux positif. Désactivez le signature sur les systèmes mis à jour ou créez un exception IPS pour les systèmes mis à jour afin d’arrêter toutes les détections de signature.
Si aucune mise à jour de sécurité du fournisseur applicable n’est disponible, déterminez si les systèmes concernés disposent de définitions antivirus et Antimalware à jour pour VirusScan ou d’autres application Endpoint Protection installés. Effectuez une analyse complète sur les systèmes concernés.
Déterminez si les systèmes concernés sont protégés par d’autres mesures de sécurité du périmètre, telles que la détection des intrusions sur le réseau.
Activer la journalisation de débogage détaillée en activant Consigner les violations de sécurité pour Host IPS, vous pouvez collecter des informations avancées dans le HipShield.log. Voir KB54473 pour obtenir des informations utiles concernant les violations de sécurité IPS dans HipShield.log.
Contactez Support technique pour effectuer une analyse plus approfondie.
Pare-feu client et règles de pare-feu
Les questions de configuration de stratégie de pare-feu Partagés incluent les règles de pare-feu qui doivent être configurées sur les systèmes terminaux. Les stratégies standard de pare-feu pour les clients d’entreprise varient des jeux de règles simples qui utilisent des groupes sensibles à la connexion et à l’emplacement, aux stratégies de règles complexes qui définissent des hachages de processus exécutables, qui concernent des centaines de règles de pare-feu entrantes et sortantes. Les stratégies de pare-feu de grande envergure ajoutent de la complexité à la gestion et peuvent contribuer à diminuer les performances des systèmes de spécifications inférieurs. Les jeux de règles volumineux peuvent également ajouter une surcharge des performances sur le serveur ePO au cours des configurations de stratégie et des surcharges supplémentaires pour les McAfee Agent au cours des intervalles de mise en œuvre des stratégies.
Host IPS 8.0 Firewall inclut plusieurs fonctionnalités qui permettent de simplifier la configuration des stratégies :
Host IPS 8.0 inclut des modèles simplifiés de règles de stratégie de pare-feu par défaut, sur lesquels vous pouvez baser votre stratégie. McAfee recommande d’utiliser des jeux de règles simplifiés à l’aide du pare-feu avec état, des réseaux approuvés et des applications approuvées pour les stratégies réseau d’entreprise internes.
Le pare-feu est considéré comme un avec état pare-feu, ce qui réduit la nécessité de règles de pare-feu entrantes excessives. Les stratégies de règles peuvent être beaucoup plus simples. La table d’État du pare-feu stocke dynamiquement des informations sur les connexions de trafic sortant actives à partir du système. Les règles de tableau d’État du pare-feu filtrent et autorisent le trafic de retour associé, ce qui annule la définition de jeux de règles entrants complexes.
L’utilisation de groupes de reconnaissance d’emplacement définit plus en détail les jeux de règles pour les utilisateurs distants hors du réseau local normal. Vous pouvez configurer des jeux de règles simplifiés au sein d’un groupe de reconnaissance d’emplacement. Cette action permet aux utilisateurs distants de se connecter à l’aide d’un VPN d’entreprise, puis d’utiliser les règles de pare-feu normales.
Réseaux approuvés: Répertorie les adresses IP et les réseaux, y compris les exceptions TrustedSource, qui sont sûrs pour la communication. Les réseaux approuvés peuvent inclure des adresses IP individuelles ou des plages d’adresses IP. La liste des réseaux comme approuvés élimine ou réduit la nécessité d’exceptions IPS réseau et de règles de pare-feu supplémentaires. (Pour les clients Windows uniquement.)
Applications approuvées— Répertorie les applications sûres qui n’ont pas de vulnérabilité connue. Le marquage des applications comme approuvées élimine ou réduit la nécessité d’exceptions IPS et de règles de pare-feu supplémentaires. A l’instar de la stratégie règles IPS, cette catégorie de stratégies peut contenir plusieurs instances de stratégie. (Pour les clients sur les plates-formes Windows et non Windows.)
Mode adaptatif du pare-feu: Aide pour le réglage du pare-feu.
Veuillez Utiliser le mode adaptatif uniquement moment sur quelques systèmes pour le réglage des règles de pare-feu. Ce mode permet de créer de nombreuses règles client sur les systèmes finaux. Par conséquent, il peut également créer une surcharge importante pour le serveur ePO lors du traitement de règles adaptatives de pare-feu de pare-feu excessif. McAfee recommande de limiter le mode adaptatif pour les pare-feu à quelques systèmes, pour une période limitée, dans le cadre de l’optimisation de la stratégie de pare-feu.
Passez en revue les règles Adaptive client quotidiennement ou au moins une fois par semaine, tandis que le mode adaptatif est activé sur les systèmes cibles. Après avoir initialement déployé le mode adaptatif pour les pare-feu, désactivez le mode adaptatif sur les systèmes cibles à l’aide de la Conserver les règles client option désélectionnée. Cette action permet de s’assurer que toutes les règles client apprises sur le système cible sont purgées. Dans la console ePO, passez en revue les règles du client de pare-feu. Identifier les règles à appliquer à un stratégie de règles de pare-feu de réglage sur le système final avant de réactiver le pare-feu en mode adaptatif. Suivez ces étapes itératives pour obtenir un stratégie de règles de pare-feu final avant le déploiement sur tous les systèmes. Le mode adaptatif risque de ne pas reconnaître le trafic réseau lié aux applications, et il se peut que vous deviez configurer les règles de pare-feu manuellement. Contactez votre fournisseur application pour obtenir des informations sur les configurations de pare-feu spécifiques à application pour garantir la fonctionnalité.
Installation, configuration, désinstallation et déploiement à l’aide d’ePO
La plupart des appels pris en charge dans cette catégorie sont des questions qui sont résolues dans le Host Intrusion Prevention 8.0 Guide d’installation.
McAfee vous recommande de tester rigoureusement et de tester les nouvelles installations d’applications de sécurité de vos environnements de production avant de procéder au déploiement sur tous les systèmes. Bien que McAfee teste et valide minutieusement les produits de sécurité avant la publication, il en est de même pour le déploiement de Host IPS sur tous les nœuds d’un environnement d’entreprise. Les produits tiers et les infrastructures réseau adaptent les nouvelles fonctionnalités de sécurité à un rythme rapide en raison des avancées technologiques. L’interopérabilité des produits reste une cible mobile pour tous les fournisseurs, et les images de base des clients doivent être validées avec les modifications apportées à n’importe quel produit. Une fois que vous avez validé Host IPS dans des environnements de test ou pilotes, McAfee recommande une approche pilote de production ou une approche progressive du déploiement de la production d’entreprise.
Echec de la nouvelle installation
Host IPS est déployé avec les fonctionnalités IPS et de pare-feu désactivées par défaut. McAfee vous recommande de sélectionner les systèmes qui représentent les applications et configurations de tous les groupes de leur environnement. Si vous disposez d’images standardisées, il est plus facile de valider Host IPS pour votre environnement. Si vous disposez de systèmes dissemblables, vous pouvez être confronté à des difficultés lors de la validation de l’interopérabilité. Il est plus facile pour Support technique de résoudre les problèmes d’interopérabilité avant le déploiement à l’échelle de l’entreprise, plutôt que de résoudre les problèmes critiques que vous trouvez après ou au cours d’un déploiement à l’échelle de l’entreprise.
Que se passe-t-il si j’ai un problème avec un logiciel tiers ?
Les problèmes liés à des logiciels tiers peuvent se produire, en particulier lorsqu’ils impliquent une tierce partie sécurité sus. Reportez-vous aux articles suivants :
Pour plus d’informations sur la résolution des problèmes liés au réseau application ou au trafic bloqué par le pare-feu Host IPS, consultez l’article KB67055.
Pour plus d’informations sur les application tiers qui cessent de fonctionner ou sont compromises après l’installation d’Host IPS ou la mise à jour du contenu, voir KB67056.
FAUT Si vous contactez Support technique pour résoudre un problème que vous ne pouvez pas résoudre, vous devez également faire appel au fournisseur tiers pour analyse en parallèle avec McAfee. Un grand nombre de problèmes d’interopérabilité nécessitent une résolution par le fournisseur tiers et n’McAfee pas. McAfee s’engage à travailler en étroite collaboration avec des fournisseurs tiers pour résoudre des problèmes d’interopérabilité.
Qu’est-ce qui fait de Host IPS un produit 64 bits ?
Host IPS 8.0 installe les fichiers binaires 32 bits et 64 bits sur les systèmes x64. Les fichiers binaires du produit 64 bits sont installés dans un sous-dossier x64 à partir du chemin d’installation. Les autres fichiers binaires, tels que les pilotes, sont installés aux emplacements appropriés dans le système de fichiers Windows. Le produit n’est pas conforme aux directives d’installation des fichiers 64 bits dans le \program dossier fichiers, mais le produit prend en charge x64 en mode natif.
Qu’est-ce qui fonctionne en mode de compatibilité 32 bits sur les systèmes x64 ?
Certaines applications tierces s’exécutent en tant que 32 bits, de sorte que Host IPS 8.0 charge les moteurs IPS 32 bits appropriés pour ceux-ci.
Pourquoi dois-je installer McAfee Agent sur les ordinateurs portables qui se connectent rarement au réseau ?
McAfee Agent est un agent ePO qui assure la mise en œuvre de stratégie. Une fois que vous avez installé le agent et qu’il a reçu votre stratégie, qui est configurée sur le serveur ePO, la stratégie que vous avez définie est mise en œuvre à l’intervalle de mise en œuvre de stratégie que vous avez défini, que l’ordinateur portable soit connecté ou non au réseau. Cette action garantit que les paramètres de votre entreprise pour vos produits McAfee sont toujours en place.
Est-il possible d’utiliser Host IPS ? 8.0 bloquer l’accès aux équipements USB ?
Pas efficacement. Il est possible de bloquer l’accès aux équipements USB à l’aide d’un signature IPS personnalisé avec Host IPS 8.x. Toutefois, il existe des limitations de sécurité lors de l’utilisation d’une signature IPS.
Pour bloquer efficacement les équipements USB, McAfee vous recommande d’utiliser McAfee Data Loss Prevention.
Pour plus d’informations sur la procédure à suivre pour empêcher les utilisateurs de se connecter à un équipement de stockage USB, consultez l’article 823732 du support technique Microsoft à l’adresse support.microsoft.com/kb/823732.
Pourquoi Host IPS 8.0 packages de patchs incrémentiels (MSP) plus grands que l’installation Host IPS complète qui inclut le patch ?
Les packages MSP continuent de devenir plus volumineux, car chaque fois McAfee publie un nouveau patch, le MSP doit contenir les informations nécessaires à la mise à niveau de chaque patch précédemment publié, ainsi que la version de disponibilité générale du produit. En raison de cette exigence, il existe un fichier de transformation (MST) incorporé dans le fichier MSP pour chacune de ces versions précédentes, plutôt qu’une copie des nouveaux fichiers.
La transformation MST est fondamentalement une MSI diff qui prend une MSI précédemment connue et la met à jour avec la dernière MSI sur laquelle le patch était basé. Etant donné que les tableaux MSI contiennent des données binaires pour des choses telles que le code d’action personnalisé incorporé et certains de nos utilitaires de support (par exemple, clientcontrol.exe), ces différences de MSI peuvent être importantes, ce qui entraîne la croissance de chaque patch suivant.
Comment puis-je installation de Host IPS 8.0 localement ou à l’aide de solutions tierces ?
Extrayez les fichiers d’installation du fichier. zip dans un dossier temporaire, puis exécutez Setup.exe, puis terminez l’installation.Setup. exe prend en charge de nombreuses options de ligne de commande MSI.
Comment installer Host IPS à l’aide d’ePO ?
Ajoutez le package d’installation à votre référentiel, puis créez ou modifiez une tâche de déploiement. La tâche de déploiement vous permet également de spécifier des options de ligne de commande. Cette fonctionnalité vous permet d’apporter des modifications simples à l’installation, par exemple pas installation d’une fonctionnalité spécifique. Pour obtenir une liste complète des options, reportez-vous à la sectionHost Intrusion Prevention 8.0 Guide d’installation.
Pourquoi le produit est-il installé dans le dossier Program Files (x86) ?
Host IPS installe à la fois les fichiers binaires 32 et 64 bits sur les systèmes x64. Les fichiers binaires du produit 64 bits sont installés dans un sous-dossier x64 à partir du chemin d’installation. Les autres fichiers binaires, tels que les pilotes, sont installés aux emplacements appropriés dans le système de fichiers Windows. Le produit n’est pas conforme aux directives d’installation des fichiers 64 bits dans le \program dossier fichiers, mais le produit prend en charge x64 en mode natif.
Existe-t-il du contenu de signature Host IPS dans le package d’installation ?
Host IPS est livré avec du contenu signature 8.0.0.3709, qui permet à Host IPS de fonctionner après une installation si un serveur ePO ne peut pas être contacté pour les mises à jour signature. McAfee vous recommande de configurer une tâche de mise à jour planifiée régulièrement pour inclure le contenu de signature Host IPS pour les systèmes installés.
Quelle est la fréquence de mise à jour du contenu Host IPS ?
Host IPS est mis à jour dans le référentiel commun le deuxième mardi de chaque mois de 20 h. Tu. Le deuxième mardi de chaque mois est également le moment où les mises à jour de sécurité Microsoft Windows sont publiées (on parle également de patch Tuesday Microsoft).
Dois-je redémarrer l’ordinateur après l’installation ?
Pour les nouveaux systèmes, il n’est pas nécessaire de redémarrer pour commencer à utiliser Host IPS. 8.0. Mais McAfee vous recommande de redémarrer pour garantir un environnement Windows plus clair.
Veuillez Si vous mettez à niveau Host IPS 7.0 systèmes, vous devrez peut-être redémarrer en fonction de votre système d’exploitation. McAfee vous recommande d’effectuer la validation par rapport à vos images spécifiques.
Comment puis-je supprimer Host IPS ?
Vous pouvez supprimer Host IPS à l’aide d’une tâche de déploiement ePO ou en utilisant localement Programmes et fonctionnalités ou Applications & fonctionnalités, en fonction de votre version de Windows. Vous devez désactiver protection IPS sur le système avant de supprimer Host IPS localement.
Comment ajouter plusieurs adresses IP pour mes règles de pare-feu ?
Vous pouvez définir un nouvel élément « réseau » dans le catalogue Host IPS. Vous pouvez définir le conteneur d’objets réseau avec une ou plusieurs adresses IP, un sous-réseau, un sous-réseau local, un intervalle IP, un nom de domaine complet (FQDN), un serveur IPv4 local, un serveur IPv4 ou un protocole IPv6 comme approuvé. Une fois que vous avez défini un objet Catalogue réseau, vous pouvez utiliser cet objet Catalogue dans vos règles de pare-feu options de réseau en cliquant sur Ajouter depuis le catalogue Lorsque vous modifiez des règles de pare-feu. Si les adresses IP doivent être modifiées pour toute règle à l’aide de l’objet Catalogue, vous pouvez mettre à jour les adresses IP de votre objet Catalogue réseau à partir du catalogue Host IPS. Toutes les règles de pare-feu qui font référence à l’objet Catalogue reçoivent les adresses IP réseau mises à jour.
Comment puis-je arrêter le service Host IPS ?
Host IPS utilise un mécanisme d’autoprotection pour empêcher même les administrateurs d’arrêter le service. Il est contrôlé à l’aide de la stratégie IPS et l’autoprotection est désactivée lorsque IPS est désactivé. Vous pouvez également désactiver IPS localement à l’aide de l’icône de la barre d’interface utilisateur (IU) du client Host IPS. Vous avez besoin d’un mot de passe administrateur Host IPS pour déverrouiller l’interface utilisateur du client et désactiver l’IPS.
Comment configurer le blocage d’applications sur Host IPS ? 8.0?
La fonctionnalité de blocage d’application a été supprimée pour Host IPS 8.0, mais vous pouvez configurer application la protection contre le blocage et le raccordement à l’aide des signatures IPS 6010 et 6011. Pour plus d’informations, voir KB71794.
Comment puis-je rechercher les problèmes de performances ?
Plusieurs méthodes permettent d’identifier les problèmes de performances. Effectuez les actions ci-dessous de façon séquentielle pour faciliter l’identification du problème. Après avoir identifié le problème, vous pouvez prendre les mesures appropriées pour le résoudre. Les étapes suivantes sont destinées à des conseils plutôt qu’à des instructions complètes. D’autres outils sont répertoriés dans L’article KB72766.
Gestionnaire des tâches: Appuyez sur Ctrl + Maj + Echap pour ouvrir le gestionnaire des tâches. Triez en fonction de la colonne CPU pour voir quels processus utilisent le processeur. Veuillez Le nombre correspond à un pourcentage de tous les processeurs ou cœurs disponibles. Par conséquent, 25% sur un système à quatre PROCESSEURs signifie qu’un processus est à l’origine de l’origine de l’un des cœurs, ce qui indique généralement un problème. Vous pouvez effectuer des recherches plus approfondies après avoir identifié les processus incriminés.
Analyseur de performances: Permet d’utiliser l’analyseur de performances (PerfMon) pour transmettre les détails de la quantité d’UC utilisée et la durée de la période. Cette action vous permet d’obtenir des informations sur la manière dont le système ou les utilisateurs sont concernés. Utilisée PerfMon permet de surveiller le processus, le processeur et la mémoire de l’objet de performances et de capturer tous les compteurs et les instances. McAfee vous conseille d’utiliser un taux d’échantillonnage d’une seconde pour la plupart des problèmes survenant dans une courte période de temps ou qui sont prévisibles. Pour réduire la taille potentielle du journal généré, vous pouvez utiliser des compteurs plus nombreux et plus spécifiques au lieu de tout capturer. Cette approche permet d’exécuter la capture pendant une période de temps plus longue sans créer un fichier journal difficile à manier.
Windows outil de surveillance des performances (XPerf)— Sous Microsoft Vista et les systèmes d’exploitation plus récents, Microsoft fournit un outil puissant qui fournit des informations détaillées sur un problème de performances, y compris l’API qui est la plus appelée. Les fournisseurs utilisent généralement ces informations au niveau de l’ingénierie ou du développement, où les fichiers de symboles pour le code source sont accessibles. Ces informations permettent de clarifier les chemins d’accès de code en cours d’utilisation.
VSE Profiler (lorsque VSE est également en cours d’exécution sur un système): Le générateur de profils VSE offre une visibilité sur les actions effectuées par le produit, telles que les fichiers en cours d’analyse. Cet outil permet de générer des rapports, ce qui peut vous aider à comprendre les données collectées.
FAUT McAfee recommande d’utiliser Support technique si vos problèmes de performances ne sont pas résolus après avoir suivi les étapes ci-dessus.
Pourquoi le serveur ePO utilise-t-il beaucoup de PROCESSEURs lors de l’exécution de la tâche serveur Traducteur de propriétés ?
Par défaut, la tâche serveur Traducteur de propriétés ePO Host IPS s’exécute toutes les 15 minutes. Cette tâche convertit les propriétés du client système en règles client Adaptive qui s’affichent dans les onglets règles client de l’affichage du rapport d’événements Host IPS. Un traitement excessif des règles client peut entraîner une augmentation de la consommation processeur pour les processus liés à ePO. De plus, les propriétés malformées collectées à partir du système final peuvent provoquer des erreurs Traducteur de propriétés. Host IPS 8.0 Le patch 4 et les versions ultérieures extension affichent l’alerte suivante lorsque vous activez le mode adaptatif dans la stratégie options de pare-feu :
McAfee recommends that you enable Adaptive Mode on selected systems for a limited amount
of time only. Enabling Adaptive Mode on many systems for a long time can significantly
impact performance for the Host IPS Property Translator server task on ePolicy Orchestrator.
Pour plus d’informations, reportez-vous aux Articles connexes suivants :
KB80102— la console ePolicy Orchestrator cesse de répondre ou prend plusieurs minutes à s’ouvrir lors de la modification de Host Intrusion Prevention 8.0 Catalogué
KB71607— Chaîne de règle trop malformée détectée, date non analysable ou autres messages d’Traducteur de propriétés Host IPS (dans ePolicy Orchestrator 5.x Orion. log)
KB71520—Host Intrusion Prevention 8.0 Echec de l’erreur de traducteur de propriétés sur POSTALCODE
Comment empêcher le pare-feu de bloquer le trafic non-IP ?
Le pare-feu ne reconnaît pas certains types de trafic non IP. par conséquent, ils sont bloqués à moins qu’ils ne soient spécifiés dans une règle de pare-feu. En outre, les modes adaptatif et d’apprentissage ne détectent pas et ne créent pas dynamiquement des règles de pare-feu pour les protocoles non IP. Pour empêcher la suppression de protocoles non IP, sélectionnez Autoriser le trafic pour les protocoles non pris en charge dans la stratégie options de pare-feu, puis consultez le journal d’activité pour le protocole non IP entrant/sortant autorisé : 0xXXX, où 0xXXX indique le numéro Ethernet IANA du protocole (voir http://www.iana.org/assignments/ethernet-numbers). Utilisez ces informations pour déterminer le trafic non IP nécessaire et créer une règle de pare-feu qui l’autorise.
Comment le protection IPS de l’hôte fonctionne-t-il ?
L’hôte protection IPS surveille les appels système exécutables effectués à l’aide d’interfaces de programmation d’application (API) sur le système protégé. Ces appels système sont effectués vers et depuis le noyau du système d’exploitation pour le traitement des ressources. La surveillance Host IPS détecte les anomalies dans les appels système et bloque ou consigne ces appels à des fins d’analyse. Host IPS utilise plusieurs moteurs de la classe monitoring pour atteindre cet objectif. Pour plus d’informations sur le débordement de mémoire tampon, les fichiers, le Hook, l’utilisation de l’API Contenu illicite, l’utilisation Contenu illicite, l’ISAPI, le programme, le registre, les services et les classes de moteur SQL, consultez la section Host Intrusion Prevention 8.0 Guide produit.
Exemple : protection contre les attaques par débordement de mémoire tampon sont?
La protection contre les attaques par débordement de mémoire tampon (B.O.P.) surveille les fichiers exécutables et les API sur le système protégé. Il vérifie l’exécution du code en cas de débordement de mémoire tampon ou de débordement de mémoire tampon. le protection contre les attaques par débordement de mémoire tampon ne bloque pas le dépassement, mais arrête l’exécution de code qui a lieu à partir de ce dépassement. Cette méthode exploit est courante et est utilisée par les logiciels malveillants (malwares) contre les applications vulnérables pour accéder aux données ou au système, et pour se propager.
La protection est assurée par le fait d’avoir des crochets au niveau du noyau, également appelés patch de noyau de diverses tables système, l’exécution de code à l’aide de nos tests de sécurité avant de revenir à la programmation planifiée précédemment. Cette fonctionnalité est limitée en matière de prise en charge sur les plates-formes 64 bits, car le noyau autorise un patch limité. Vous pouvez rendre ce B.O.P. redondant si la prévention de l’exécution des données est en place. Pour plus d’informations sur les détails de couverture pour les plates-formes Windows prises en charge, voir KB51504.
L'article référencé ci-dessus n'est disponible que pour les utilisateurs enregistrés du portail ServicePortal.
Saisissez l'identifiant de l'article dans le champ de recherche de la page d'accueil.
Cliquez sur Rechercher ou appuyez sur la touche Entrée.
Qu’est-ce que la protection IPS réseau ?
Le pilote de filtre de protection IPS réseau inspecte les données qui communiquent entre le système protégé et le réseau. Les paquets sont examinés par rapport aux profils d’attaque malveillants. Si une attaque est identifiée, les données malveillantes sont supprimées ou bloquées pour qu’elles passent par le système. Host IPS contient une liste par défaut des signatures IPS réseau pour les plates-formes Windows. Vous pouvez modifier le niveau de gravité, l’état des journaux et le paramètre de création de règles client de ces signatures. Toutefois, vous ne pouvez pas ajouter actuellement de signatures réseau personnalisées. Les signatures réseau permettent d’effectuer les opérations suivantes :
Protection des systèmes situés en aval dans un segment de réseau
Protéger les serveurs et les systèmes qui s’y connectent
Protection contre les attaques par déni de service réseau et les attaques orientées bande passante qui bloquent ou dégradent le trafic réseau
Le pare-feu Host IPS filtre------interface réseau Driver Interface (NDIS) 5.0 ou NDIS 6.0?
NDIS est l’API des adaptateurs réseau et des pilotes de filtre réseau fonctionnant sur des systèmes d’exploitation Microsoft. Microsoft et 3COM Corporation ont initialement développé cette spécification ensemble. Windows 7, Windows Vista, Windows Server 2008 et les systèmes d’exploitation les plus récents utilisent le NDIS 6.x MobileVBActiveX. Ces systèmes d’exploitation fournissent également une rétrocompatibilité pour la norme NDIS. 5.x filtrez les pilotes via une couche de compatibilité Microsoft.
Host IPS 8.0 inclut deux versions du pilote de pare-feu :
Un pilote de pare-feu est construit sur le NDIS 6.x spécification pour Vista et les systèmes d’exploitation les plus récents.
L’autre pilote de pare-feu est basé sur la norme NDIS. 5.x spécification pour Windows XP et Windows 2003.
Veuillez McAfee vous recommande d’exécuter Host IPS 8.0 sur Vista et les systèmes d’exploitation les plus récents lorsque cela est possible, car NDIS 6.x les pilotes exécutent l’interface de programmation mise à jour sur Vista et les systèmes d’exploitation les plus récents.
Microsoft a annoncé la fin de la prise en charge étendue de Windows XP SP3 le 8 avril 2014. Pour obtenir de meilleurs résultats et une sécurité optimale, effectuez une mise à niveau vers un système d'exploitation pris en charge. Reportez-vous à l'article KB78434 pour plus de détails.
Microsoft a mis fin à la prise en charge étendue de Windows Server 2003 SP2 le 14 juillet 2015. A compter de la fin de 2015, le seul produit McAfee pris en charge avec Windows Server 2003 SP2 est application and change Control.
Qu’est-ce que le moteur HTTP Host IPS ?
Host IPS 8.0 Le moteur HTTP se compose de deux composants : un stub et un moteur. Le stub est un wrapper mince qui IIS chargé, qui charge ensuite le moteur HTTP principal en fonction des valeurs de contrôle stockées dans le registre. Le moteur HTTP utilise un stub pour que les modifications de stratégie liées au moteur HTTP ne requièrent pas le redémarrage de IIS. Lorsque le moteur HTTP est désactivé du dépannage IPS, il supprime l’entrée de IIS. Le moteur génère des requêtes à partir de la demande HTTP et les transmet au client HIP pour la concordance. Selon que la demande est bloquée ou non, elle autorise ensuite la reprise de la demande HTTP. Aucune donnée de publication n’est incluse dans la section des données brutes. La section données brutes contient les variables d’en-tête pour toutes les versions de IIS.
Quels services Host IPS doit utiliser un client pour que le logiciel fonctionne correctement ?
Assurez-vous que les services suivants sont actifs pour fournir une protection contre les intrusions avec IPS et pare-feu, ou les deux :
Service McAfee Host Intrusion Prevention (FireSvc.exe)
McAfee pare-feu-service central (mfefire.exe): non démarré automatiquement avec Host IPS 8.0 Patch 6 et versions ultérieures. Voir KB85374.
McAfee du service de protection de la confiance de validation (mfevtps.exe)
McAfee Host Intrusion Prevention Service d’appel de procédure locale (LPC) (HipMgmt.exe)— ajouté avec Host IPS 8.0 Patch 3 et versions ultérieures. Voir KB81474.
Les services suivants sont actifs lorsqu’ils sont appelés :
McAfee Host Intrusion Prevention notification de l’icône service de zone (FireTray.exe)
Console du client McAfee Host Intrusion Prevention (McAfeeFire.exe)
Où se trouvent les fichiers journaux ?
Tous les fichiers journaux se trouvent dans le C:\ProgramData\McAfee\Host Intrusion Prevention\ Répertoire sur le système client.
Quels fichiers journaux sont associés au composant Host IPS ?
Le fichier journal principal du composant Host IPS est HipShield.log. Ce fichier journal croît jusqu’à 128 Mo et tourne en une seule sauvegarde. Cette DWORD entr log_rotate_size_kbet log_rotate_countcontrôle de la rotation des fichiers journaux. Les entrées se trouvent dans les rubriques suivantes :
Cette log_rotate_count clé détermine le nombre de fichiers journaux de sauvegarde à conserver, ainsi que le DWORD mention log_rotate_size_kb est la taille approximative en Ko d’un fichier journal de sauvegarde, où 0 signifie que la rotation des journaux est désactivée. Lorsque la log_rotate_size_kb la taille spécifiée est dépassée, le fichier est fermé et renommé avec le suffixe peine. S’il existe un fichier portant le même nom, le suffixe est incrémenté d’une unité. Lorsque le nombre spécifié de fichiers de sauvegarde est atteint, le plus ancien est supprimé.
Quels sont les éléments à rechercher dans HipShield.log?
Une exécution du composant Host IPS commence par une instruction Banner qui identifie la build exécuter, ainsi que la date et l’heure de la session. Chaque entrée de la HipShield log affiche un horodatage, suivi d’une indication précisant si ces données sont d’information, de débogage ou d’erreur. Les données contenues dans le HipShield est ad hoc et diffère d’une partie du composant Host IPS. Domaines d’intérêt principaux :
Lignes commençant par In install modules new Décrivez la copie des fichiers dans le cadre du démarrage du composant Host IPS. L’échec de la copie de ces fichiers empêche le démarrage du composant Host IPS.
Une ligne commençant par Scrutinizer initialized successfully indique que le composant Host IPS a été chargé avec succès lors de l’initialisation de Scrutinizer. Cette action dépend des fichiers mentionnés ci-dessus qui ont été copiés correctement.
Une ligne commençant par New Process: PID = indique que le composant Host IPS peut surveiller la création de processus.
Une ligne commençant parIIS - Startindique que la surveillance de la IIS commence.
Une ligne commençant par Scrutinizer started successfully ACTIVATED status indique que le Scrutinizer a démarré correctement.
Une ligne commençant par Hooking xxx indique que l’accrochage de processus se poursuit. Le nombre xxx indique le PID (ID de processus) du processus en cours de raccordement.
Une série de lignes commençant par Processing Buffer xxx.scn signale les résultats du traitement de l’analyseur de scanfile xxx.scn, où xxx est un nom tel que EnterceptMgmtServer, comme indiqué ci-dessus. Les erreurs dans le traitement des fichiers d’analyse par les analyseurs sont signalées ici.
Lignes au format signature=111 level=2, log=True signaler qu’un signature individuel a été chargé. L’ID et le niveau du signature sont inclus pour indiquer si la journalisation est activée pour ce signature.
Veuillez Cette Shield.dbet except.dbles fichiers sont créés dans le même répertoire que les journaux uniquement lorsque le débogage est activé. Ces fichiers contiennent un vidage des règles et des exceptions qui sont envoyées au noyau après la AgentNT.dll a traité le contenu.
Quels fichiers journaux sont associés au composant pare-feu ?
FireSvc.log
(Journal de service principal)
Journalisation de niveau de débogage
Sortie de correspondance d’emplacement
Sortie de l’évaluation de la connexion TrustedSource
Erreurs/avertissements
HipMgtPlugin.log
(Journal de plug-in McAfee Agent)
Journalisation de niveau de débogage
Statistiques de minutage de la mise en œuvre de stratégie
Erreurs/avertissements
FireTray.log / McTrayHip.log
(Journal de la barre d’État)
Journalisation de niveau de débogage
Erreurs/avertissements
FireUI.log
(Journal de l’interface utilisateur du client)
Journalisation de niveau de débogage
Erreurs/avertissements
Ces fichiers journaux augmentent jusqu’à atteindre la taille maximale par défaut de 100 Mo. Si vous avez besoin de fichiers journaux plus volumineux ou plus petits, vous pouvez contrôler la taille en ajoutant la valeur de Registre suivante : [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]
Pour définir la taille du journal, reportez-vous à la section « quels fichiers journaux sont associés à la composante pare-feu ? » de la section Host Intrusion Prevention 8.0 Guide produit.
Qu’est-ce que l’utilitaire de ligne de commande ClientControl ?
Cet utilitaire de ligne de commande permet d’automatiser les mises à niveau et les autres tâches de maintenance si vous utilisez un logiciel tiers pour déployer Host IPS sur les clients. Vous pouvez l’inclure dans les scripts d’installation et de maintenance pour désactiver temporairement protection IPS et activer les fonctions de journalisation. Pour plus d’informations, reportez-vous à la section Host IPS 8.0 Utilitaire ClientControl. exe document.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.