• Gateway di rete firewall o sistemi di intrusione
  Oppure
• Filtraggio, Endpoint Antivirus e applicazioni antimalware endpoint

McAfee consiglia quanto segue:

• Seguire un metodo generale per rivedere gli aggiornamenti della sicurezza del sistema operativo e delle applicazioni.
• Patch di sistemi e applicazioni su base mensile o regolare.
• Esaminare gli aggiornamenti mensili firma IPS host per la correlazione con gli aggiornamenti specifici della sicurezza dei fornitori rilasciati. È possibile disattivare in modo sicuro host le firme IPS che si mappano direttamente agli aggiornamenti di sicurezza disponibili per i fornitori nei sistemi aggiornati.
• Rivedere il contenuto delle firme attivato e le patch di sistema con gli aggiornamenti di sicurezza disponibili mensilmente per ridurre la probabilità di falsi positivi eccessivi sui sistemi già aggiornati.

Quando si valutano gli eventi firma IPS, utilizzare il seguente metodo generale:

1. Identifica il numero della firma che si sta attivando.
2. Esaminare le informazioni sulla descrizione del numero di firma IPS dalle regole IPS policy in ePolicy Orchestrator (ePO).
3. Esaminare i collegamenti di descrizione CVE di riferimento, se presenti nelle informazioni sulla descrizione di tale firma.
4. Indicare se Microsoft bollettini di sicurezza TechNet sono collegati per la vulnerabilità applicabile. E, indicare se sono disponibili Microsoft aggiornamenti della sicurezza per risolvere la vulnerabilità.
5. Verificare se i sistemi che segnalano l'evento IPS dispongono di tutti gli aggiornamenti di sicurezza applicabili Microsoft applicati, come sopra indicato:
   • In tal caso, la firma IPS applicabile potrebbe essere disattivata nei sistemi in cui sono stati applicati gli aggiornamenti di protezione Microsoft associati.
   • In caso contrario, McAfee consiglia di applicare gli aggiornamenti di protezione Microsoft applicabili ai sistemi interessati al più presto.
6. Se per il firma IPS di attivazione non sono indicati collegamenti per la descrizione CVE, esaminare tutti i dettagli avanzati per l'evento IPS ricevuto.
7. Consente di identificare se i trigger di evento sono correlati al normale utilizzo o processo aziendale.
8. Identificare se i sistemi che si verificano nell'evento presentano gli aggiornamenti di sicurezza più recenti Microsoft applicati.
9. Consente di stabilire se l'evento IPS è specifico per un processo di terze parti, ad esempio Adobe, un processo o un altro strumento. In tal caso, esaminare tutti gli aggiornamenti di sicurezza applicabili dal fornitore e assicurarsi che vengano applicati sui sistemi.
10. Se la firma continua a essere attivata dopo l'applicazione di un aggiornamento di sicurezza del fornitore applicabile, considerare l'evento come falso positivo. Disattivare la firma nei sistemi aggiornati oppure creare una eccezione IPS per consentire ai sistemi aggiornati di arrestare tutti i rilevamenti delle firme.
11. Se non è disponibile alcun aggiornamento per la sicurezza del fornitore applicabile, determinare se i sistemi interessati dispongono di definizioni antivirus e antimalware correnti per VirusScan o altra applicazione di protezione endpoint installata. Eseguire una scansione completa sui sistemi interessati.
12. Determinare se i sistemi interessati sono protetti da altre misure di sicurezza perimetrali, ad esempio il rilevamento delle intrusioni di rete.
13. Attiva registrazione di debug dettagliata attivando Violazioni della sicurezza del registro per host IPS in modo che sia possibile raccogliere informazioni avanzate nel HipShield.log. Vedere KB54473 per informazioni rilevanti relative alle violazioni della sicurezza IPS nel HipShield.log.
14. Contatta Assistenza tecnica per ulteriori analisi.

• Host IPS 8.0 include modelli di regole di firewall policy predefiniti semplificati su cui è possibile basare il policy. McAfee consiglia di utilizzare set di regole semplificati utilizzando le firewall stateful, le reti affidabili e le applicazioni affidabili per le policy di rete aziendali interne.
• Il firewall è considerato un stateful firewall, che riduce la necessità di regole di firewall in ingresso eccessive. Le policy delle regole possono essere molto più semplificate. La tabella di stato firewall memorizza in modo dinamico le informazioni sulle connessioni di traffico in uscita attive dal sistema. Le regole della tabella di stato firewall filtrano e consentono il traffico di ritorno associato, che nega la necessità di definire insiemi di regole in ingresso complessi.
• L'utilizzo dei gruppi di rilevamento della posizione definisce ulteriormente i set di regole per gli utenti remoti dalla normale LAN. È possibile configurare set di regole semplificati all'interno di un gruppo con riconoscimento della posizione. Questa azione consente agli utenti remoti di connettersi utilizzando una VPN aziendale, quindi utilizzare le normali regole di firewall.
• Reti affidabili: Elenca gli indirizzi IP e le reti, incluse TrustedSource eccezioni, che sono sicure per la comunicazione. Le reti affidabili possono includere singoli indirizzi IP o intervalli di indirizzi IP. Elencare le reti come affidabili Elimina o riduce la necessità di IPS di rete eccezioni e di un numero maggiore di regole firewall. (solo per i client Windows.)
• Applicazioni affidabili: Elenca le applicazioni sicure e non presentano vulnerabilità note. Contrassegnare le applicazioni come affidabili Elimina o riduce la necessità di eccezioni IPS e di ulteriori regole di firewall. Analogamente alle regole IPS policy, questa categoria di policy può contenere più istanze di policy. (Per i client su piattaforme Windows e non Windows.)
• Modalità adattiva firewall— Un aiuto per la firewall tuning.
  
  Nota Utilizzare solo la modalità adattiva temporaneamente in alcuni sistemi per l'ottimizzazione delle regole di firewall. Questa modalità consente di creare molte regole client sui sistemi finali. Pertanto, può anche creare un sovraccarico significativo per il server ePO durante l'elaborazione di regole eccessive firewall client adattive. McAfee consiglia di limitare la modalità adattiva per i firewall a pochi sistemi per un periodo di tempo limitato come ausilio per firewall policy tuning.
  
  Esaminare le regole client adattive ogni giorno o almeno settimanalmente, mentre i sistemi di destinazione sono attivati in modalità adattiva. Dopo aver inizialmente implementato la modalità adattiva per i firewall, disattivare la modalità adattiva nei sistemi di destinazione con il Mantieni regole client opzione deselezionata. Questa azione garantisce che tutte le regole client apprese nel sistema di destinazione vengano eliminate. Dalla console ePO, esaminare le regole del firewall client. Identificazione delle regole da applicare a una policy regole firewall di ottimizzazione nel sistema finale prima di riattivare il firewall con la modalità adattiva. Eseguire questi passaggi iterativi per ottenere una policy regole firewall finale prima della distribuzione in tutti i sistemi. La modalità adattiva potrebbe non riconoscere il traffico di rete correlato alle applicazioni e potrebbe essere necessario configurare manualmente firewall regole. Per garantire la funzionalità, contattare il fornitore dell'applicazione per informazioni sulle configurazioni di firewall specifiche dell'applicazione.

Installazione, installazione, disinstallazione e distribuzione mediante ePO
La maggior parte delle chiamate di assistenza in questa categoria è costituita da domande indirizzate nel Host Intrusion Prevention 8.0 Guida all'installazione.

McAfee consiglia di testare e basare accuratamente tutte le nuove installazioni di applicazioni di sicurezza per gli ambienti di produzione prima di distribuirle a tutti i sistemi. Anche se McAfee verifica e convalida accuratamente i prodotti di sicurezza prima del rilascio, lo stesso vale prima di distribuire Host IPS a tutti i nodi in un ambiente aziendale. I prodotti di terze parti e le infrastrutture di rete adattano le nuove funzioni di sicurezza a una velocità rapida a causa dei progressi tecnologici. L'interoperabilità del prodotto rimane un obiettivo in movimento per tutti i fornitori e le immagini dei clienti di base devono essere convalidate con modifiche a qualsiasi prodotto. Dopo aver convalidato host IPS in ambienti di test o pilota, McAfee consiglia un pilota di produzione o un approccio graduale alla distribuzione di produzione Enterprise.


Nuova installazione non riuscita
Host IPS viene distribuito con le funzionalità IPS e firewall disattivate per impostazione predefinita. McAfee consiglia di selezionare i sistemi che rappresentano le applicazioni e le configurazioni per tutti i gruppi all'interno del proprio ambiente. Se si dispone di immagini standardizzate, è più semplice convalidare host IPS per l'ambiente. Se si dispone di sistemi dissimili, è possibile che si verifichino problemi quando si convalida l'interoperabilità. È più facile per Assistenza tecnica risolvere i problemi di interoperabilità prima della distribuzione a livello aziendale, piuttosto che risolvere i problemi critici che si trovano dopo o durante una distribuzione a livello aziendale.

Che cosa accade se si verifica un problema con il software di terze parti?
Possono verificarsi problemi che coinvolgono software di terze parti, in particolare quando si tratta di terze parti sicurezza software. Consultare i seguenti articoli:

• Per informazioni sulle modalità di risoluzione dei problemi di un'applicazione di rete o di un traffico che host IPS firewall blocca, consultare KB67055.
• Per informazioni su un'applicazione di terze parti che smette di funzionare o che non è stata compromessa dopo l'installazione di host IPS o di aggiornamento del contenuto, consultare KB67056.

Perché l'host IPS 8.0 pacchetti di patch incrementali (MSP) superiori all'installazione completa di host IPS che include la patch?
I pacchetti MSP continuano a diventare più grandi perché ogni volta che McAfee rilascia una nuova patch, l'MSP deve contenere le informazioni necessarie per effettuare l'upgrade di tutte le patch rilasciate in precedenza e la versione di disponibilità generale del prodotto. A causa di questo requisito, è presente una trasformazione (MST) incorporata nell'MSP per ciascuna di queste versioni precedenti, anziché solo una copia dei nuovi file.

La trasformazione MST è fondamentalmente un MSI diff che prende un MSI noto in precedenza e lo aggiorna al più recente MSI la patch è stata basata su. Poiché le tabelle di MSI contengono dati binari per elementi quali il codice azione personalizzato incorporato e alcune utility di supporto (ad esempio, clientcontrol.exe), queste MSI differenze possono essere di grandi dimensioni, che causano la crescita di ogni patch successiva.


Come si installazione di host IPS 8.0 in locale o con soluzioni di terze parti?
Estrarre i file di installazione da. zip in una cartella temporanea, eseguire Setup.exe, quindi completare l'installazione. Setup. exe supporta molte delle opzioni della riga di comando di MSI.


Come si installa Host IPS utilizzando ePO?
Aggiungere il pacchetto di installazione all'archivio, quindi creare o modificare un'attività di distribuzione. L'attività di distribuzione consente inoltre di specificare le opzioni della riga di comando. Questa capacità consente di apportare semplici modifiche all'installazione, ad esempio non installazione di una particolare funzione. Per un elenco completo delle opzioni, consultare la sezione Host Intrusion Prevention 8.0 Guida all'installazione.


Perché il prodotto viene installato nella cartella Program Files (x86)?
Host IPS installa i file binari a 32 bit e a 64 bit nei sistemi x64. I file binari del prodotto a 64 bit vengono installati in una sottocartella x64 dal percorso di installazione. Gli altri file binari, ad esempio i driver, vengono installati nelle rispettive posizioni nel sistema di Windows. Il prodotto non aderisce alle linee guida per l'installazione dei file a 64 bit nella \program cartella dei file, ma il prodotto supporta x64 in modo nativo.


Nel pacchetto di installazione sono presenti contenuti delle firme di host IPS?
Host IPS viene fornito con il contenuto delle firme 8.0.0.3709, che consente a host IPS di funzionare dopo un'installazione se non è possibile contattare un server ePO per gli aggiornamenti delle firme. McAfee consiglia di configurare un'attività di aggiornamento pianificata regolarmente per includere il contenuto delle firme host IPS per i sistemi installati.


Con quale frequenza viene aggiornato il contenuto di host IPS?
Host IPS viene aggiornato all'archivio comune il secondo martedì di ogni mese entro le 20.00. GMT. Il secondo martedì di ogni mese è anche quando vengono rilasciati Microsoft Windows aggiornamenti della sicurezza (noti anche come Microsoft patch martedì).


È necessario riavviare il computer dopo l'installazione?
Per i nuovi sistemi, non è necessario riavviare per iniziare a utilizzare host IPS 8.0. Ma McAfee consiglia di riavviare per garantire un ambiente di Windows più pulito.

Nota Se si effettua l'upgrade di host IPS 7.0 sistemi, potrebbe essere necessario riavviare, a seconda del sistema operativo in uso. McAfee consiglia di convalidare le immagini specifiche.


Come si rimuove host IPS?
È possibile rimuovere host IPS utilizzando un'attività di distribuzione ePO o localmente utilizzando Programmi e funzionalità o App e funzionalità, a seconda della versione di Windows. Prima di rimuovere host IPS in locale, è necessario disattivare protezione IPS nel sistema.


La versione del prodotto è supportata?
Per informazioni su End of Life (EOL), accedere a: www.mcafee.com/us/support/support-eol.aspx.

Come si aggiungono più indirizzi IP per le regole di firewall?
È possibile definire una nuova voce di "rete" nel catalogo host IPS. È possibile definire il contenitore di oggetti di rete con un indirizzo IP singolo o multiplo, sottorete, sottorete locale, intervallo IP, FQDN, qualsiasi locale, qualsiasi IPv4 o qualsiasi IPv6 come affidabile. Dopo aver definito un oggetto catalogo di rete, è possibile utilizzare questo oggetto catalogo nelle opzioni di rete di firewall regole facendo clic su Aggiungi da catalogo Quando si modificano le regole di firewall. Se è necessario modificare gli indirizzi IP per qualsiasi regola utilizzando l'oggetto Catalog, è possibile aggiornare gli indirizzi IP nell'oggetto catalogo di rete dal catalogo host IPS. Tutte le regole di firewall che fanno riferimento all'oggetto Catalogo ricevono gli indirizzi IP di rete aggiornati.


Come si interrompe il servizio host IPS?
Host IPS utilizza un meccanismo di autoprotezione per impedire anche agli amministratori di arrestare il servizio. Viene controllato utilizzando il policy IPS e la Autoprotezione viene disattivata quando IPS è disattivato. È inoltre possibile disattivare gli indirizzi IP in locale utilizzando l'icona della barra delle applicazioni dell'interfaccia utente (UI) del client Host IPS. È necessario un amministratore di host IPS password per sbloccare l'interfaccia utente client e disattivare l'IPS.


Come si configura il blocco delle applicazioni su host IPS 8.0?
La funzionalità di blocco delle applicazioni è stata rimossa per host IPS 8.0, ma è possibile configurare il blocco delle applicazioni e l'aggancio della protezione utilizzando le firme IPS 6010 e 6011. Per ulteriori informazioni, consultare KB71794.


In che modo è possibile esaminare I problemi di prestazioni?
Sono disponibili diversi approcci per l'analisi delle problematiche di prestazioni. Eseguire le azioni descritte di seguito in modo sequenziale per consentire l'identificazione del problema. Dopo aver identificato il problema, è possibile eseguire le operazioni appropriate per risolverlo. Di seguito sono riportate le direttive, piuttosto che le istruzioni complete. Altri strumenti sono elencati in KB72766.

1. Manager attività: Premere CTRL + MAIUSC + ESC per aprire l'attività Manager. Ordinare in base alla colonna CPU per verificare i processi che utilizzano la CPU.
   Nota Il numero è una percentuale di tutti i processori o core disponibili. Quindi, il 25% su un sistema a quattro CPU significherebbe che un processo è bloccando uno dei core, che di solito indica un problema. Dopo aver identificato i processi incriminati, è possibile eseguire ulteriori indagini.
   
2. Performance Monitor: Utilizzare Performance Monitor (PerfMon) per trasmettere le specifiche della quantità di CPU utilizzata e per quanto tempo. Questa azione fornisce informazioni su come il sistema o gli utenti sono interessati. Utilizzare PerfMon per monitorare il processo, il processore e la memoria dell'oggetto prestazioni e acquisire tutti i contatori e le istanze. McAfee consiglia di utilizzare una frequenza di campionamento di un secondo per la maggior parte dei problemi che si verificano in una breve finestra di tempo o che sono prevedibili. Per ridurre le dimensioni potenziali del registro generato, è possibile utilizzare contatori meno numerosi e più specifici anziché acquisire tutto. Questo approccio consente l'esecuzione dell'acquisizione per un periodo di tempo più lungo senza creare un file di registro non ingombrante.
   
3. Strumento di monitoraggio delle prestazioni Windows (XPerf)— In Microsoft Vista e i sistemi operativi più recenti, Microsoft fornisce un potente strumento che fornisce informazioni dettagliate su un problema di prestazioni, inclusa l'API che viene chiamata la più. I fornitori in genere utilizzano queste informazioni a livello ingegneristico o di sviluppo, in cui i file di simboli per il codice sorgente sono accessibili. Queste informazioni consentono di chiarire i percorsi di codice utilizzati.
   
4. VSE Profiler (quando VSE è in esecuzione anche sul sistema): VSE Profiler fornisce visibilità sulle operazioni eseguite dal prodotto, ad esempio i file sottoposti a scansione. Questo strumento consente di generare rapporti che consentono di comprendere i dati raccolti.
   
   Per scaricare il profiler VSE, accedere a: https://support.mcafee.com/webcenter/portal/supportportal/pages_tools/toolsMcAfeeProfiler. Potreste essere in grado di creare esclusioni o applicare i profili di scansione Hi/Low/default per creare una configurazione che migliori le prestazioni.

IMPORTANTE McAfee consiglia di utilizzare Assistenza tecnica se i problemi di prestazioni non vengono risolti dopo aver seguito la procedura descritta sopra.


Perché il server ePO utilizza una quantità di CPU tale quando l'attività del server di Traduttore proprietà è in esecuzione?
L'attività server Traduttore proprietà Host IPS ePO viene eseguita ogni 15 minuti per impostazione predefinita. Questa attività consente di convertire le proprietà del client di sistema in regole client adattive visualizzate nelle schede regole client della visualizzazione della reportistica degli eventi di host IPS. L'elaborazione eccessiva delle regole client può causare un aumento del consumo della CPU per i processi correlati a ePO. Inoltre, le proprietà non valide raccolte dal sistema finale potrebbero causare errori di Traduttore proprietà. Host IPS 8.0 Quando si attiva la modalità adattiva nelle opzioni del firewall policy, la patch 4 e l'estensione successiva visualizzano il seguente avviso:

• KB80102: la console di ePolicy Orchestrator smette di rispondere o richiede alcuni minuti per aprirsi durante la modifica di Host Intrusion Prevention 8.0 Catalogo
• KB71607— Viene rilevata una stringa di regola errata eccessiva, una data non analizzabile o altri messaggi Traduttore proprietà Host IPS (in ePolicy Orchestrator 5.x Orion. log)
• KB71520—Host Intrusion Prevention 8.0 errore del traduttore proprietà non riuscito su POSTALCODE

Come si impedisce al firewall di bloccare il traffico non IP?
Il firewall non riconosce alcuni tipi di traffico non IP, pertanto vengono bloccati a meno che non siano specificati in una regola di firewall. Inoltre, le modalità adattiva e di apprendimento non rilevano dinamicamente e creano regole di firewall per i protocolli non IP. Per evitare che i protocolli non IP vengano eliminati, selezionare Consenti traffico per protocolli non supportati nelle opzioni del firewall policy, quindi controllare il registro delle attività per il protocollo non IP in arrivo/in uscita consentito: 0xXXX, dove 0xXXX indica il numero di Ethernet IANA del protocollo (vedere http://www.iana.org/assignments/ethernet-numbers). Utilizzare queste informazioni per determinare il traffico non IP necessario e creare una regola di firewall che lo consenta.

Come funziona host protezione IPS?
Host protezione IPS esegue il monitoraggio delle chiamate di sistema eseguibili effettuate utilizzando le interfacce API (Application Programming Interface) sul sistema protetto. Queste chiamate di sistema vengono effettuate da e verso il sistema operativo kernel per l'elaborazione delle risorse. Il monitoraggio host IPS rileva anomalie nelle chiamate di sistema e blocca o registra le chiamate per l'analisi. Host IPS utilizza diversi motori di classe di monitoraggio per raggiungere questo obiettivo. Per informazioni sull'overflow del buffer, i file, l'hook, l'utilizzo dell'API Contenuti illegali, l'utilizzo Contenuti illegali, l'ISAPI, il programma, il registro di sistema, i servizi e le classi del motore SQL, consultare la Host Intrusion Prevention 8.0 Guida del prodotto. In che modo Protezione da overflow del buffer lavoro?
La protezione da overflow del buffer (BOP) monitora gli eseguibili e le API nel sistema protetto. Verifica l'esecuzione di codice da un buffer overflow o buffer sovraccarico. La funzionalità di protezione da BOP non impedisce l'esecuzione del sovraccarico, ma interrompe il codice che si verifica da tale sovraccarico. Questo metodo exploit è comune e viene utilizzato da malware contro le applicazioni vulnerabili per ottenere l'accesso ai dati o al sistema e per propagarsi ulteriormente.

La protezione si verifica mediante l'utilizzo di hook a livello di kernel, noti anche come patch del kernel di varie tabelle di sistema, l'esecuzione di un codice di deviazione tramite i test per la sicurezza, prima che torni alla programmazione pianificata in precedenza. Questa funzionalità è limitata al supporto delle piattaforme a 64 bit, in quanto il kernel consente di limitare le patch. È possibile rendere ridondante questo BOP se è in corso la prevenzione dell'esecuzione dei dati. Per informazioni sui dettagli di copertura per le piattaforme di Windows supportate, consultare KB51504.

Nota Il contenuto a cui si fa riferimento è disponibile solo per gli utenti che hanno effettuato l'accesso a ServicePortal. Per visualizzare il contenuto, fare clic sul collegamento e accedere quando richiesto.
Che cos'è la protezione IPS di rete?
Il driver del filtro di protezione IPS di rete esamina i dati che comunicano tra il sistema protetto e la rete. I pacchetti vengono esaminati contro i profili di attacco dannoso. Se viene identificato un attacco, i dati incriminati vengono ignorati o bloccati dal passaggio del sistema. Host IPS contiene un elenco predefinito di IPS di rete firme per Windows piattaforme. È possibile modificare il livello di gravità, lo stato del registro e l'impostazione di creazione delle regole client di queste firme. Tuttavia, non è possibile aggiungere firme di rete personalizzate. Le firme di rete eseguono le seguenti operazioni:

• Proteggi i sistemi situati a valle in un segmento di rete
• Proteggi i server e i sistemi che si connettono a loro
• Protegge dagli attacchi Denial-of-Service di rete e dagli attacchi basati sulla larghezza di banda che negano o degradano il traffico di rete

È la specifica di interfaccia driver di rete del driver del filtro firewall host IPS (NDIS) 5.0 o NDIS 6.0?
NDIS è l'API per gli adattatori di rete e i driver di filtro di rete che utilizzano sui sistemi operativi Microsoft. Microsoft e 3COM Corporation originariamente svilupparono questa specifica insieme. Windows 7, Windows Vista, Windows Server 2008 e i sistemi operativi più recenti utilizzano NDIS 6.x API. Questi sistemi operativi offrono anche la compatibilità con le versioni precedenti di NDIS 5.x filtrare i driver tramite un livello di compatibilità Microsoft.

• Servizio McAfee Host Intrusion Prevention (FireSvc.exe)
• McAfee Firewall Core Service (mfefire.exe): non avviato automaticamente con Host IPS 8.0 Patch 6 e versioni successive. Vedere KB85374.
• McAfee servizio di protezione dell'affidabilità di convalida (mfevtps.exe)
• McAfee Host Intrusion Prevention servizio di chiamata di procedura locale (LPC) (HipMgmt.exe)— aggiunta con Host IPS 8.0 Patch 3 e versioni successive. Vedere KB81474.

I seguenti servizi sono attivi quando vengono richiamati:

• Servizio dell'icona dell'area di notifica McAfee Host Intrusion Prevention (FireTray.exe)
• Console client McAfee Host Intrusion Prevention (McAfeeFire.exe)

Dove si trovano i file di registro?
Tutti i file di registro si trovano nella C:\ProgramData\McAfee\Host Intrusion Prevention\ Directory sul sistema client.


Quali file di registro sono associati al componente host IPS?
Il file di registro principale per il componente host IPS è HipShield.log. Questo file di registro cresce fino a 128 MB e ruota con un backup. Il DWORD voci log_rotate_size_kb e log_rotate_count rotazione del file di registro di controllo. Le voci si trovano nei seguenti modi:

• 32 bit: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP
• 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\McAfee\HIP

​Il log_rotate_count la chiave determina il numero di file di registro di backup da conservare e il DWORD voce log_rotate_size_kb è la dimensione approssimativa in KB di un file di registro di backup, dove 0 indica che la rotazione del registro è disattivata. Quando il log_rotate_size_kb la dimensione specificata viene superata, il file viene chiuso e rinominato con il suffisso .1. Se esiste un file con il nome specificato, il suffisso viene incrementato di uno. Quando viene raggiunto il numero di file di backup specificato, il valore più vecchio viene eliminato.


Quali sono le cose da cercare in HipShield.log?
Un'esecuzione del componente host IPS inizia con un'istruzione banner che identifica l'esecuzione di build e la data e l'ora della sessione. Ogni voce del HipShield il registro mostra un indicatore di data e ora, seguito da un'indicazione del fatto che questi dati siano informativi, di debug o di errore. I dati contenuti nel HipShield è ad hoc e differisce tra le parti del componente host IPS. Principali aree di interesse:

• Righe che iniziano con In install modules new descrivere la copia dei file come parte dell'inizio del componente host IPS. La mancata copia di questi file impedisce l'avvio del componente host IPS.
• Una riga che inizia con Scrutinizer initialized successfully indica che il componente host IPS è stato caricato correttamente attraverso l'inizializzazione di scrutatore. Questa azione dipende dai file sopra citati che sono stati copiati correttamente.
• Una riga che inizia con New Process: PID = indica che il componente host IPS è in grado di monitorare la creazione dei processi.
• Una riga che inizia con IIS - Start indica che il monitoraggio IIS sta iniziando.
• Una riga che inizia con Scrutinizer started successfully ACTIVATED status indica che il Scrutinizer è stato avviato correttamente.
• Una riga che inizia con Hooking xxx indica che l'hook del processo sta procedendo. Il numero xxx indica il PID (ID processo) del processo agganciato.
• Una serie di righe che iniziano con Processing Buffer xxx.scn segnala i risultati dell'elaborazione del programma di scansione scanfile xxx.scn, dove xxx è un nome come EnterceptMgmtServer, come indicato sopra. Di seguito sono riportati errori nell'elaborazione dei file di scansione degli scanner.
• Righe nel formato signature=111 level=2, log=True segnala che è stata caricata una singola firma. L'ID e il livello della firma sono inclusi con l'indicazione della possibilità di attivare la registrazione per questa firma.
  
  Nota Il Shield.db e except.db i file vengono creati nella stessa directory dei registri solo quando il debug è attivato. Questi file contengono un dump delle regole e delle eccezioni inviate al kernel dopo il AgentNT.dll ha elaborato il contenuto.
  

Quali file di registro sono associati al componente firewall?

FireSvc.log (Registro del servizio principale)	Registrazione a livello di debug Output corrispondenza posizione TrustedSource output della classificazione di connessione Errori/avvisi
HipMgtPlugin.log (McAfee Agent registro plug-in)	Registrazione a livello di debug Statistiche tempi di applicazione delle policy Errori/avvisi
FireTray.log / McTrayHip.log (Registro della barra delle applicazioni)	Registrazione a livello di debug Errori/avvisi
FireUI.log (Registro dell'interfaccia utente client)	Registrazione a livello di debug Errori/avvisi

Questi file di registro crescono fino a raggiungere la dimensione massima predefinita di 100 MB. Se si richiedono file di registro di dimensioni maggiori o minori, è possibile controllarne la dimensione aggiungendo il seguente valore di registro: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]

Per impostare le dimensioni del registro, consultare la sezione "quali file di registro sono associati al componente firewall?" della Host Intrusion Prevention 8.0 Guida del prodotto.


Che cos'è l'utilità della riga di comando ClientControl?
Questa utilità della riga di comando consente di automatizzare gli upgrade e altre attività di manutenzione se si utilizza un software di terze parti per distribuire Host IPS sui client. È possibile includerlo negli script di installazione e manutenzione per disattivare temporaneamente protezione IPS e attivare le funzioni di registrazione. Per ulteriori informazioni, consultare la sezione Host IPS 8.0 Utilità ClientControl. exe documento.