Domande frequenti per Host Intrusion Prevention 8.0
Articoli tecnici ID:
KB73399
Ultima modifica: 26/01/2021
Ambiente
McAfee Host Intrusion Prevention (host IPS) 8.0
Riepilogo
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
6 maggio 2020
Dettagli sulla posizione del registro di sistema host IPS "Rotation file" aggiornati.
Aggiunte sezioni espandibili.
Questo articolo è un elenco consolidato di domande e risposte frequenti. È intesa per gli utenti che sono nuovi al prodotto, ma possono essere utilizzati per tutti gli utenti. —
Nota Questo articolo riguarda le domande generali relative a host IPS.
Fare clic per espandere la sezione che si desidera visualizzare:
Eventi IPS client e IPS
Gli eventi firma IPS sono uno dei principali generatori di chiamate per host IPS. Normalmente, queste richieste sono il risultato di trigger di evento di firma IPS. In generale, host IPS offre la protezione IPS e firewall per i sistemi endpoint come parte di una strategia di protezione a più livelli. Oltre a host IPS, la strategia di protezione a più livelli dovrebbe includere:
Gateway di rete firewall o sistemi di intrusione
Oppure
Filtraggio, Endpoint Antivirus e applicazioni antimalware endpoint
Host firma IPS Content fornisce protezione per la protezione da note e sconosciute (giorno zero) vulnerabilità di sistema. Zero-Day è il divario tra i sistemi senza patch e l'applicazione degli aggiornamenti di sicurezza rilasciati per le vulnerabilità confermate. Il contenuto di host IPS contiene buffer di overflow generici e altri meccanismi di firma generica per proteggere i sistemi durante questo periodo. Tuttavia, McAfee consiglia di applicare gli aggiornamenti di sicurezza specifici del sistema operativo e delle applicazioni in modo rapido e pratico all'interno dell'ambiente. Questa azione può ridurre i rilevamenti di firma IPS frequenti o ripetuti.
McAfee consiglia quanto segue:
Seguire un metodo generale per rivedere gli aggiornamenti della sicurezza del sistema operativo e delle applicazioni.
Patch di sistemi e applicazioni su base mensile o regolare.
Esaminare gli aggiornamenti mensili firma IPS host per la correlazione con gli aggiornamenti specifici della sicurezza dei fornitori rilasciati. È possibile disattivare in modo sicuro host le firme IPS che si mappano direttamente agli aggiornamenti di sicurezza disponibili per i fornitori nei sistemi aggiornati.
Rivedere il contenuto delle firme attivato e le patch di sistema con gli aggiornamenti di sicurezza disponibili mensilmente per ridurre la probabilità di falsi positivi eccessivi sui sistemi già aggiornati.
Quando si valutano gli eventi firma IPS, utilizzare il seguente metodo generale:
Identifica il numero della firma che si sta attivando.
Esaminare le informazioni sulla descrizione del numero di firma IPS dalle regole IPS policy in ePolicy Orchestrator (ePO).
Esaminare i collegamenti di descrizione CVE di riferimento, se presenti nelle informazioni sulla descrizione di tale firma.
Indicare se Microsoft bollettini di sicurezza TechNet sono collegati per la vulnerabilità applicabile. E, indicare se sono disponibili Microsoft aggiornamenti della sicurezza per risolvere la vulnerabilità.
Verificare se i sistemi che segnalano l'evento IPS dispongono di tutti gli aggiornamenti di sicurezza applicabili Microsoft applicati, come sopra indicato:
In tal caso, la firma IPS applicabile potrebbe essere disattivata nei sistemi in cui sono stati applicati gli aggiornamenti di protezione Microsoft associati.
In caso contrario, McAfee consiglia di applicare gli aggiornamenti di protezione Microsoft applicabili ai sistemi interessati al più presto.
Se per il firma IPS di attivazione non sono indicati collegamenti per la descrizione CVE, esaminare tutti i dettagli avanzati per l'evento IPS ricevuto.
Consente di identificare se i trigger di evento sono correlati al normale utilizzo o processo aziendale.
Identificare se i sistemi che si verificano nell'evento presentano gli aggiornamenti di sicurezza più recenti Microsoft applicati.
Consente di stabilire se l'evento IPS è specifico per un processo di terze parti, ad esempio Adobe, un processo o un altro strumento. In tal caso, esaminare tutti gli aggiornamenti di sicurezza applicabili dal fornitore e assicurarsi che vengano applicati sui sistemi.
Se la firma continua a essere attivata dopo l'applicazione di un aggiornamento di sicurezza del fornitore applicabile, considerare l'evento come falso positivo. Disattivare la firma nei sistemi aggiornati oppure creare una eccezione IPS per consentire ai sistemi aggiornati di arrestare tutti i rilevamenti delle firme.
Se non è disponibile alcun aggiornamento per la sicurezza del fornitore applicabile, determinare se i sistemi interessati dispongono di definizioni antivirus e antimalware correnti per VirusScan o altra applicazione di protezione endpoint installata. Eseguire una scansione completa sui sistemi interessati.
Determinare se i sistemi interessati sono protetti da altre misure di sicurezza perimetrali, ad esempio il rilevamento delle intrusioni di rete.
Attiva registrazione di debug dettagliata attivando Violazioni della sicurezza del registro per host IPS in modo che sia possibile raccogliere informazioni avanzate nel HipShield.log. Vedere KB54473 per informazioni rilevanti relative alle violazioni della sicurezza IPS nel HipShield.log.
Contatta Assistenza tecnica per ulteriori analisi.
Regole firewall e firewall client
In comune firewall policy domande di configurazione includono le regole di firewall configurate nei sistemi endpoint. Le policy firewall clienti aziendali tipiche variano da semplici insiemi di regole che utilizzano gruppi di connessione e di localizzazione, a policy di regole complesse che definiscono gli hash eseguibili del processo, che comprendono centinaia di regole di firewall in ingresso e in uscita. Le grandi policy firewall aggiungono complessità per la gestione e possono contribuire a ridurre le prestazioni su sistemi di specifiche inferiori. I set di regole di grandi dimensioni possono inoltre aggiungere sovraccarico delle prestazioni sul server ePO durante policy configurazioni e maggiore overhead per il McAfee Agent durante policy intervalli di imposizione.
Host IPS 8.0 firewall include diverse funzionalità che consentono di semplificare le configurazioni di policy:
Host IPS 8.0 include modelli di regole di firewall policy predefiniti semplificati su cui è possibile basare il policy. McAfee consiglia di utilizzare set di regole semplificati utilizzando le firewall stateful, le reti affidabili e le applicazioni affidabili per le policy di rete aziendali interne.
Il firewall è considerato un stateful firewall, che riduce la necessità di regole di firewall in ingresso eccessive. Le policy delle regole possono essere molto più semplificate. La tabella di stato firewall memorizza in modo dinamico le informazioni sulle connessioni di traffico in uscita attive dal sistema. Le regole della tabella di stato firewall filtrano e consentono il traffico di ritorno associato, che nega la necessità di definire insiemi di regole in ingresso complessi.
L'utilizzo dei gruppi di rilevamento della posizione definisce ulteriormente i set di regole per gli utenti remoti dalla normale LAN. È possibile configurare set di regole semplificati all'interno di un gruppo con riconoscimento della posizione. Questa azione consente agli utenti remoti di connettersi utilizzando una VPN aziendale, quindi utilizzare le normali regole di firewall.
Reti affidabili: Elenca gli indirizzi IP e le reti, incluse TrustedSource eccezioni, che sono sicure per la comunicazione. Le reti affidabili possono includere singoli indirizzi IP o intervalli di indirizzi IP. Elencare le reti come affidabili Elimina o riduce la necessità di IPS di rete eccezioni e di un numero maggiore di regole firewall. (solo per i client Windows.)
Applicazioni affidabili: Elenca le applicazioni sicure e non presentano vulnerabilità note. Contrassegnare le applicazioni come affidabili Elimina o riduce la necessità di eccezioni IPS e di ulteriori regole di firewall. Analogamente alle regole IPS policy, questa categoria di policy può contenere più istanze di policy. (Per i client su piattaforme Windows e non Windows.)
Modalità adattiva firewall— Un aiuto per la firewall tuning.
Nota Utilizzare solo la modalità adattiva temporaneamente in alcuni sistemi per l'ottimizzazione delle regole di firewall. Questa modalità consente di creare molte regole client sui sistemi finali. Pertanto, può anche creare un sovraccarico significativo per il server ePO durante l'elaborazione di regole eccessive firewall client adattive. McAfee consiglia di limitare la modalità adattiva per i firewall a pochi sistemi per un periodo di tempo limitato come ausilio per firewall policy tuning.
Esaminare le regole client adattive ogni giorno o almeno settimanalmente, mentre i sistemi di destinazione sono attivati in modalità adattiva. Dopo aver inizialmente implementato la modalità adattiva per i firewall, disattivare la modalità adattiva nei sistemi di destinazione con il Mantieni regole client opzione deselezionata. Questa azione garantisce che tutte le regole client apprese nel sistema di destinazione vengano eliminate. Dalla console ePO, esaminare le regole del firewall client. Identificazione delle regole da applicare a una policy regole firewall di ottimizzazione nel sistema finale prima di riattivare il firewall con la modalità adattiva. Eseguire questi passaggi iterativi per ottenere una policy regole firewall finale prima della distribuzione in tutti i sistemi. La modalità adattiva potrebbe non riconoscere il traffico di rete correlato alle applicazioni e potrebbe essere necessario configurare manualmente firewall regole. Per garantire la funzionalità, contattare il fornitore dell'applicazione per informazioni sulle configurazioni di firewall specifiche dell'applicazione.
Installazione, installazione, disinstallazione e distribuzione mediante ePO
La maggior parte delle chiamate di assistenza in questa categoria è costituita da domande indirizzate nel Host Intrusion Prevention 8.0 Guida all'installazione.
McAfee consiglia di testare e basare accuratamente tutte le nuove installazioni di applicazioni di sicurezza per gli ambienti di produzione prima di distribuirle a tutti i sistemi. Anche se McAfee verifica e convalida accuratamente i prodotti di sicurezza prima del rilascio, lo stesso vale prima di distribuire Host IPS a tutti i nodi in un ambiente aziendale. I prodotti di terze parti e le infrastrutture di rete adattano le nuove funzioni di sicurezza a una velocità rapida a causa dei progressi tecnologici. L'interoperabilità del prodotto rimane un obiettivo in movimento per tutti i fornitori e le immagini dei clienti di base devono essere convalidate con modifiche a qualsiasi prodotto. Dopo aver convalidato host IPS in ambienti di test o pilota, McAfee consiglia un pilota di produzione o un approccio graduale alla distribuzione di produzione Enterprise.
Nuova installazione non riuscita
Host IPS viene distribuito con le funzionalità IPS e firewall disattivate per impostazione predefinita. McAfee consiglia di selezionare i sistemi che rappresentano le applicazioni e le configurazioni per tutti i gruppi all'interno del proprio ambiente. Se si dispone di immagini standardizzate, è più semplice convalidare host IPS per l'ambiente. Se si dispone di sistemi dissimili, è possibile che si verifichino problemi quando si convalida l'interoperabilità. È più facile per Assistenza tecnica risolvere i problemi di interoperabilità prima della distribuzione a livello aziendale, piuttosto che risolvere i problemi critici che si trovano dopo o durante una distribuzione a livello aziendale.
Che cosa accade se si verifica un problema con il software di terze parti?
Possono verificarsi problemi che coinvolgono software di terze parti, in particolare quando si tratta di terze parti sicurezza software. Consultare i seguenti articoli:
Per informazioni sulle modalità di risoluzione dei problemi di un'applicazione di rete o di un traffico che host IPS firewall blocca, consultare KB67055.
Per informazioni su un'applicazione di terze parti che smette di funzionare o che non è stata compromessa dopo l'installazione di host IPS o di aggiornamento del contenuto, consultare KB67056.
IMPORTANTE Se si Contatta Assistenza tecnica per un problema che non è possibile risolvere, è necessario coinvolgere anche il fornitore di terze parti per l'analisi in parallelo con McAfee. Molti problemi di interoperabilità richiedono la risoluzione da parte del fornitore di terze parti e non McAfee. McAfee si impegna a lavorare a stretto contatto con fornitori di terze parti per risolvere eventuali problemi di interoperabilità.
Cosa rende host IPS un prodotto a 64 bit?
Host IPS 8.0 installa sia i file binari a 32 bit che quelli a 64 bit nei sistemi x64. I file binari del prodotto a 64 bit vengono installati in una sottocartella x64 dal percorso di installazione. Gli altri file binari, ad esempio i driver, vengono installati nelle rispettive posizioni nel sistema di Windows. Il prodotto non aderisce alle linee guida per l'installazione dei file a 64 bit nella \program cartella dei file, ma il prodotto supporta x64 in modo nativo.
Cosa viene eseguito in modalità di compatibilità a 32 bit sui sistemi x64?
Alcune applicazioni di terze parti vengono eseguite come 32 bit, quindi host IPS 8.0 carica i motori IPS a 32 bit appropriati.
Perché dovrei installare McAfee Agent sui laptop che raramente si collegano alla rete?
McAfee Agent è un agent ePO che fornisce l'imposizione di policy. Dopo aver installato il agent e ricevuto il policy, configurato nel server ePO, l'policy definito viene applicato all'intervallo di imposizione policy definito se il laptop è attivo o disattivato dalla rete. Questa azione garantisce che le impostazioni aziendali per i prodotti di McAfee siano sempre disponibili.
Posso utilizzare host IPS 8.0 per bloccare l'accesso ai dispositivi USB?
Non in modo efficace. È possibile bloccare l'accesso ai dispositivi USB utilizzando un firma IPS personalizzato con Host IPS 8.x. Tuttavia, esistono limitazioni della sicurezza quando si utilizza un firma IPS.
Per bloccare in modo efficiente i dispositivi USB, McAfee consiglia di utilizzare McAfee Data Loss Prevention.
Per informazioni su come impedire agli utenti di connettersi a un dispositivo di storage USB, consultare Microsoft l'articolo 823732 dell'assistenza all'indirizzo support.microsoft.com/kb/823732.
Perché l'host IPS 8.0 pacchetti di patch incrementali (MSP) superiori all'installazione completa di host IPS che include la patch?
I pacchetti MSP continuano a diventare più grandi perché ogni volta che McAfee rilascia una nuova patch, l'MSP deve contenere le informazioni necessarie per effettuare l'upgrade di tutte le patch rilasciate in precedenza e la versione di disponibilità generale del prodotto. A causa di questo requisito, è presente una trasformazione (MST) incorporata nell'MSP per ciascuna di queste versioni precedenti, anziché solo una copia dei nuovi file.
La trasformazione MST è fondamentalmente un MSI diff che prende un MSI noto in precedenza e lo aggiorna al più recente MSI la patch è stata basata su. Poiché le tabelle di MSI contengono dati binari per elementi quali il codice azione personalizzato incorporato e alcune utility di supporto (ad esempio, clientcontrol.exe), queste MSI differenze possono essere di grandi dimensioni, che causano la crescita di ogni patch successiva.
Come si installazione di host IPS 8.0 in locale o con soluzioni di terze parti?
Estrarre i file di installazione da. zip in una cartella temporanea, eseguire Setup.exe, quindi completare l'installazione.Setup. exe supporta molte delle opzioni della riga di comando di MSI.
Come si installa Host IPS utilizzando ePO?
Aggiungere il pacchetto di installazione all'archivio, quindi creare o modificare un'attività di distribuzione. L'attività di distribuzione consente inoltre di specificare le opzioni della riga di comando. Questa capacità consente di apportare semplici modifiche all'installazione, ad esempio non installazione di una particolare funzione. Per un elenco completo delle opzioni, consultare la sezioneHost Intrusion Prevention 8.0 Guida all'installazione.
Perché il prodotto viene installato nella cartella Program Files (x86)?
Host IPS installa i file binari a 32 bit e a 64 bit nei sistemi x64. I file binari del prodotto a 64 bit vengono installati in una sottocartella x64 dal percorso di installazione. Gli altri file binari, ad esempio i driver, vengono installati nelle rispettive posizioni nel sistema di Windows. Il prodotto non aderisce alle linee guida per l'installazione dei file a 64 bit nella \program cartella dei file, ma il prodotto supporta x64 in modo nativo.
Nel pacchetto di installazione sono presenti contenuti delle firme di host IPS?
Host IPS viene fornito con il contenuto delle firme 8.0.0.3709, che consente a host IPS di funzionare dopo un'installazione se non è possibile contattare un server ePO per gli aggiornamenti delle firme. McAfee consiglia di configurare un'attività di aggiornamento pianificata regolarmente per includere il contenuto delle firme host IPS per i sistemi installati.
Con quale frequenza viene aggiornato il contenuto di host IPS?
Host IPS viene aggiornato all'archivio comune il secondo martedì di ogni mese entro le 20.00. GMT. Il secondo martedì di ogni mese è anche quando vengono rilasciati Microsoft Windows aggiornamenti della sicurezza (noti anche come Microsoft patch martedì).
È necessario riavviare il computer dopo l'installazione?
Per i nuovi sistemi, non è necessario riavviare per iniziare a utilizzare host IPS 8.0. Ma McAfee consiglia di riavviare per garantire un ambiente di Windows più pulito.
Nota Se si effettua l'upgrade di host IPS 7.0 sistemi, potrebbe essere necessario riavviare, a seconda del sistema operativo in uso. McAfee consiglia di convalidare le immagini specifiche.
Come si rimuove host IPS?
È possibile rimuovere host IPS utilizzando un'attività di distribuzione ePO o localmente utilizzando Programmi e funzionalità o App e funzionalità, a seconda della versione di Windows. Prima di rimuovere host IPS in locale, è necessario disattivare protezione IPS nel sistema.
Come si aggiungono più indirizzi IP per le regole di firewall?
È possibile definire una nuova voce di "rete" nel catalogo host IPS. È possibile definire il contenitore di oggetti di rete con un indirizzo IP singolo o multiplo, sottorete, sottorete locale, intervallo IP, FQDN, qualsiasi locale, qualsiasi IPv4 o qualsiasi IPv6 come affidabile. Dopo aver definito un oggetto catalogo di rete, è possibile utilizzare questo oggetto catalogo nelle opzioni di rete di firewall regole facendo clic su Aggiungi da catalogo Quando si modificano le regole di firewall. Se è necessario modificare gli indirizzi IP per qualsiasi regola utilizzando l'oggetto Catalog, è possibile aggiornare gli indirizzi IP nell'oggetto catalogo di rete dal catalogo host IPS. Tutte le regole di firewall che fanno riferimento all'oggetto Catalogo ricevono gli indirizzi IP di rete aggiornati.
Come si interrompe il servizio host IPS?
Host IPS utilizza un meccanismo di autoprotezione per impedire anche agli amministratori di arrestare il servizio. Viene controllato utilizzando il policy IPS e la Autoprotezione viene disattivata quando IPS è disattivato. È inoltre possibile disattivare gli indirizzi IP in locale utilizzando l'icona della barra delle applicazioni dell'interfaccia utente (UI) del client Host IPS. È necessario un amministratore di host IPS password per sbloccare l'interfaccia utente client e disattivare l'IPS.
Come si configura il blocco delle applicazioni su host IPS 8.0?
La funzionalità di blocco delle applicazioni è stata rimossa per host IPS 8.0, ma è possibile configurare il blocco delle applicazioni e l'aggancio della protezione utilizzando le firme IPS 6010 e 6011. Per ulteriori informazioni, consultare KB71794.
In che modo è possibile esaminare I problemi di prestazioni?
Sono disponibili diversi approcci per l'analisi delle problematiche di prestazioni. Eseguire le azioni descritte di seguito in modo sequenziale per consentire l'identificazione del problema. Dopo aver identificato il problema, è possibile eseguire le operazioni appropriate per risolverlo. Di seguito sono riportate le direttive, piuttosto che le istruzioni complete. Altri strumenti sono elencati in KB72766.
Manager attività: Premere CTRL + MAIUSC + ESC per aprire l'attività Manager. Ordinare in base alla colonna CPU per verificare i processi che utilizzano la CPU. Nota Il numero è una percentuale di tutti i processori o core disponibili. Quindi, il 25% su un sistema a quattro CPU significherebbe che un processo è bloccando uno dei core, che di solito indica un problema. Dopo aver identificato i processi incriminati, è possibile eseguire ulteriori indagini.
Performance Monitor: Utilizzare Performance Monitor (PerfMon) per trasmettere le specifiche della quantità di CPU utilizzata e per quanto tempo. Questa azione fornisce informazioni su come il sistema o gli utenti sono interessati. Utilizzare PerfMon per monitorare il processo, il processore e la memoria dell'oggetto prestazioni e acquisire tutti i contatori e le istanze. McAfee consiglia di utilizzare una frequenza di campionamento di un secondo per la maggior parte dei problemi che si verificano in una breve finestra di tempo o che sono prevedibili. Per ridurre le dimensioni potenziali del registro generato, è possibile utilizzare contatori meno numerosi e più specifici anziché acquisire tutto. Questo approccio consente l'esecuzione dell'acquisizione per un periodo di tempo più lungo senza creare un file di registro non ingombrante.
Strumento di monitoraggio delle prestazioni Windows (XPerf)— In Microsoft Vista e i sistemi operativi più recenti, Microsoft fornisce un potente strumento che fornisce informazioni dettagliate su un problema di prestazioni, inclusa l'API che viene chiamata la più. I fornitori in genere utilizzano queste informazioni a livello ingegneristico o di sviluppo, in cui i file di simboli per il codice sorgente sono accessibili. Queste informazioni consentono di chiarire i percorsi di codice utilizzati.
VSE Profiler (quando VSE è in esecuzione anche sul sistema): VSE Profiler fornisce visibilità sulle operazioni eseguite dal prodotto, ad esempio i file sottoposti a scansione. Questo strumento consente di generare rapporti che consentono di comprendere i dati raccolti.
IMPORTANTE McAfee consiglia di utilizzare Assistenza tecnica se i problemi di prestazioni non vengono risolti dopo aver seguito la procedura descritta sopra.
Perché il server ePO utilizza una quantità di CPU tale quando l'attività del server di Traduttore proprietà è in esecuzione?
L'attività server Traduttore proprietà Host IPS ePO viene eseguita ogni 15 minuti per impostazione predefinita. Questa attività consente di convertire le proprietà del client di sistema in regole client adattive visualizzate nelle schede regole client della visualizzazione della reportistica degli eventi di host IPS. L'elaborazione eccessiva delle regole client può causare un aumento del consumo della CPU per i processi correlati a ePO. Inoltre, le proprietà non valide raccolte dal sistema finale potrebbero causare errori di Traduttore proprietà. Host IPS 8.0 Quando si attiva la modalità adattiva nelle opzioni del firewall policy, la patch 4 e l'estensione successiva visualizzano il seguente avviso:
McAfee recommends that you enable Adaptive Mode on selected systems for a limited amount
of time only. Enabling Adaptive Mode on many systems for a long time can significantly
impact performance for the Host IPS Property Translator server task on ePolicy Orchestrator.
Per ulteriori informazioni, consultare i seguenti articoli correlati:
KB80102: la console di ePolicy Orchestrator smette di rispondere o richiede alcuni minuti per aprirsi durante la modifica di Host Intrusion Prevention 8.0 Catalogo
KB71607— Viene rilevata una stringa di regola errata eccessiva, una data non analizzabile o altri messaggi Traduttore proprietà Host IPS (in ePolicy Orchestrator 5.x Orion. log)
KB71520—Host Intrusion Prevention 8.0 errore del traduttore proprietà non riuscito su POSTALCODE
Come si impedisce al firewall di bloccare il traffico non IP?
Il firewall non riconosce alcuni tipi di traffico non IP, pertanto vengono bloccati a meno che non siano specificati in una regola di firewall. Inoltre, le modalità adattiva e di apprendimento non rilevano dinamicamente e creano regole di firewall per i protocolli non IP. Per evitare che i protocolli non IP vengano eliminati, selezionare Consenti traffico per protocolli non supportati nelle opzioni del firewall policy, quindi controllare il registro delle attività per il protocollo non IP in arrivo/in uscita consentito: 0xXXX, dove 0xXXX indica il numero di Ethernet IANA del protocollo (vedere http://www.iana.org/assignments/ethernet-numbers). Utilizzare queste informazioni per determinare il traffico non IP necessario e creare una regola di firewall che lo consenta.
Come funziona host protezione IPS?
Host protezione IPS esegue il monitoraggio delle chiamate di sistema eseguibili effettuate utilizzando le interfacce API (Application Programming Interface) sul sistema protetto. Queste chiamate di sistema vengono effettuate da e verso il sistema operativo kernel per l'elaborazione delle risorse. Il monitoraggio host IPS rileva anomalie nelle chiamate di sistema e blocca o registra le chiamate per l'analisi. Host IPS utilizza diversi motori di classe di monitoraggio per raggiungere questo obiettivo. Per informazioni sull'overflow del buffer, i file, l'hook, l'utilizzo dell'API Contenuti illegali, l'utilizzo Contenuti illegali, l'ISAPI, il programma, il registro di sistema, i servizi e le classi del motore SQL, consultare la Host Intrusion Prevention 8.0 Guida del prodotto.
In che modo Protezione da overflow del buffer lavoro?
La protezione da overflow del buffer (BOP) monitora gli eseguibili e le API nel sistema protetto. Verifica l'esecuzione di codice da un buffer overflow o buffer sovraccarico. La funzionalità di protezione da BOP non impedisce l'esecuzione del sovraccarico, ma interrompe il codice che si verifica da tale sovraccarico. Questo metodo exploit è comune e viene utilizzato da malware contro le applicazioni vulnerabili per ottenere l'accesso ai dati o al sistema e per propagarsi ulteriormente.
La protezione si verifica mediante l'utilizzo di hook a livello di kernel, noti anche come patch del kernel di varie tabelle di sistema, l'esecuzione di un codice di deviazione tramite i test per la sicurezza, prima che torni alla programmazione pianificata in precedenza. Questa funzionalità è limitata al supporto delle piattaforme a 64 bit, in quanto il kernel consente di limitare le patch. È possibile rendere ridondante questo BOP se è in corso la prevenzione dell'esecuzione dei dati. Per informazioni sui dettagli di copertura per le piattaforme di Windows supportate, consultare KB51504.
L'articolo indicato è disponibile solo per gli utenti registrati del ServicePortal.
Digitare l'ID articolo nel campo di ricerca della pagina iniziale.
Fare clic su Cerca o premere INVIO.
Che cos'è la protezione IPS di rete?
Il driver del filtro di protezione IPS di rete esamina i dati che comunicano tra il sistema protetto e la rete. I pacchetti vengono esaminati contro i profili di attacco dannoso. Se viene identificato un attacco, i dati incriminati vengono ignorati o bloccati dal passaggio del sistema. Host IPS contiene un elenco predefinito di IPS di rete firme per Windows piattaforme. È possibile modificare il livello di gravità, lo stato del registro e l'impostazione di creazione delle regole client di queste firme. Tuttavia, non è possibile aggiungere firme di rete personalizzate. Le firme di rete eseguono le seguenti operazioni:
Proteggi i sistemi situati a valle in un segmento di rete
Proteggi i server e i sistemi che si connettono a loro
Protegge dagli attacchi Denial-of-Service di rete e dagli attacchi basati sulla larghezza di banda che negano o degradano il traffico di rete
È la specifica di interfaccia driver di rete del driver del filtro firewall host IPS (NDIS) 5.0 o NDIS 6.0?
NDIS è l'API per gli adattatori di rete e i driver di filtro di rete che utilizzano sui sistemi operativi Microsoft. Microsoft e 3COM Corporation originariamente svilupparono questa specifica insieme. Windows 7, Windows Vista, Windows Server 2008 e i sistemi operativi più recenti utilizzano NDIS 6.x API. Questi sistemi operativi offrono anche la compatibilità con le versioni precedenti di NDIS 5.x filtrare i driver tramite un livello di compatibilità Microsoft.
Host IPS 8.0 include due versioni del driver firewall:
Un driver firewall è basato su NDIS 6.x specifiche per vista e i sistemi operativi più recenti.
L'altro driver firewall è basato su NDIS 5.x specifica per Windows XP e Windows 2003.
Nota McAfee consiglia di eseguire Host IPS 8.0 su Vista e sui sistemi operativi più recenti quando sono pratici perché NDIS 6.x i driver eseguono l'interfaccia di programmazione aggiornata su Vista e sui sistemi operativi più recenti.
Microsoft ha interrotto il supporto esteso per Windows XP SP3 l'8 aprile 2014. Per ottenere i migliori risultati e garantire una protezione efficace, effettuare l'upgrade a un sistema operativo supportato. Per informazioni dettagliate, consultare l'articolo KB78434.
Microsoft ha interrotto il supporto per Windows Server 2003 SP2 il 14 luglio 2015. A partire dalla fine del 2015, l'unico prodotto McAfee compatibile con Windows Server 2003 SP2 è Application and Change Control.
Che cos'è il motore HTTP Host IPS?
Host IPS 8.0 Il motore HTTP è costituito da due componenti: uno stub e un motore. Lo stub è un wrapper sottile che IIS carica, che quindi carica il motore HTTP principale in base ai valori di controllo memorizzati nel registro di sistema. Il motore HTTP utilizza uno stub in modo che policy modifiche correlate al motore HTTP non richiedano il riavvio di IIS. Quando il motore HTTP è disattivato dalla risoluzione dei problemi IPS, rimuove la voce da IIS. Il motore compila le query dalla richiesta HTTP e le passa al client di HIP per la corrispondenza. A seconda che la richiesta sia bloccata, consente di continuare la richiesta HTTP. Nella sezione dati non elaborati non sono inclusi dati POST. La sezione dati non elaborati contiene le variabili di intestazione per tutte le versioni di IIS.
Quali servizi host IPS devono utilizzare un client per il corretto funzionamento del software?
Assicurarsi che i seguenti servizi siano attivi per garantire la protezione dalle intrusioni con uno o entrambi gli indirizzi IP e firewall:
Servizio McAfee Host Intrusion Prevention (FireSvc.exe)
McAfee Firewall Core Service (mfefire.exe): non avviato automaticamente con Host IPS 8.0 Patch 6 e versioni successive. Vedere KB85374.
McAfee servizio di protezione dell'affidabilità di convalida (mfevtps.exe)
McAfee Host Intrusion Prevention servizio di chiamata di procedura locale (LPC) (HipMgmt.exe)— aggiunta con Host IPS 8.0 Patch 3 e versioni successive. Vedere KB81474.
I seguenti servizi sono attivi quando vengono richiamati:
Servizio dell'icona dell'area di notifica McAfee Host Intrusion Prevention (FireTray.exe)
Dove si trovano i file di registro?
Tutti i file di registro si trovano nella C:\ProgramData\McAfee\Host Intrusion Prevention\ Directory sul sistema client.
Quali file di registro sono associati al componente host IPS?
Il file di registro principale per il componente host IPS è HipShield.log. Questo file di registro cresce fino a 128 MB e ruota con un backup. Il DWORD voci log_rotate_size_kbe log_rotate_countrotazione del file di registro di controllo. Le voci si trovano nei seguenti modi:
Il log_rotate_count la chiave determina il numero di file di registro di backup da conservare e il DWORD voce log_rotate_size_kb è la dimensione approssimativa in KB di un file di registro di backup, dove 0 indica che la rotazione del registro è disattivata. Quando il log_rotate_size_kb la dimensione specificata viene superata, il file viene chiuso e rinominato con il suffisso .1. Se esiste un file con il nome specificato, il suffisso viene incrementato di uno. Quando viene raggiunto il numero di file di backup specificato, il valore più vecchio viene eliminato.
Quali sono le cose da cercare in HipShield.log?
Un'esecuzione del componente host IPS inizia con un'istruzione banner che identifica l'esecuzione di build e la data e l'ora della sessione. Ogni voce del HipShield il registro mostra un indicatore di data e ora, seguito da un'indicazione del fatto che questi dati siano informativi, di debug o di errore. I dati contenuti nel HipShield è ad hoc e differisce tra le parti del componente host IPS. Principali aree di interesse:
Righe che iniziano con In install modules new descrivere la copia dei file come parte dell'inizio del componente host IPS. La mancata copia di questi file impedisce l'avvio del componente host IPS.
Una riga che inizia con Scrutinizer initialized successfully indica che il componente host IPS è stato caricato correttamente attraverso l'inizializzazione di scrutatore. Questa azione dipende dai file sopra citati che sono stati copiati correttamente.
Una riga che inizia con New Process: PID = indica che il componente host IPS è in grado di monitorare la creazione dei processi.
Una riga che inizia conIIS - Startindica che il monitoraggio IIS sta iniziando.
Una riga che inizia con Scrutinizer started successfully ACTIVATED status indica che il Scrutinizer è stato avviato correttamente.
Una riga che inizia con Hooking xxx indica che l'hook del processo sta procedendo. Il numero xxx indica il PID (ID processo) del processo agganciato.
Una serie di righe che iniziano con Processing Buffer xxx.scn segnala i risultati dell'elaborazione del programma di scansione scanfile xxx.scn, dove xxx è un nome come EnterceptMgmtServer, come indicato sopra. Di seguito sono riportati errori nell'elaborazione dei file di scansione degli scanner.
Righe nel formato signature=111 level=2, log=True segnala che è stata caricata una singola firma. L'ID e il livello della firma sono inclusi con l'indicazione della possibilità di attivare la registrazione per questa firma.
Nota Il Shield.dbe except.dbi file vengono creati nella stessa directory dei registri solo quando il debug è attivato. Questi file contengono un dump delle regole e delle eccezioni inviate al kernel dopo il AgentNT.dll ha elaborato il contenuto.
Quali file di registro sono associati al componente firewall?
FireSvc.log
(Registro del servizio principale)
Registrazione a livello di debug
Output corrispondenza posizione
TrustedSource output della classificazione di connessione
Errori/avvisi
HipMgtPlugin.log
(McAfee Agent registro plug-in)
Registrazione a livello di debug
Statistiche tempi di applicazione delle policy
Errori/avvisi
FireTray.log / McTrayHip.log
(Registro della barra delle applicazioni)
Questi file di registro crescono fino a raggiungere la dimensione massima predefinita di 100 MB. Se si richiedono file di registro di dimensioni maggiori o minori, è possibile controllarne la dimensione aggiungendo il seguente valore di registro: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]
Per impostare le dimensioni del registro, consultare la sezione "quali file di registro sono associati al componente firewall?" della Host Intrusion Prevention 8.0 Guida del prodotto.
Che cos'è l'utilità della riga di comando ClientControl?
Questa utilità della riga di comando consente di automatizzare gli upgrade e altre attività di manutenzione se si utilizza un software di terze parti per distribuire Host IPS sui client. È possibile includerlo negli script di installazione e manutenzione per disattivare temporaneamente protezione IPS e attivare le funzioni di registrazione. Per ulteriori informazioni, consultare la sezione Host IPS 8.0 Utilità ClientControl. exe documento.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.