Informazioni generali	Sistemi operativi supportati e informazioni inerenti a diversi argomenti.
Problemi principali	Domande e problemi principali segnalati dai clienti. Definiti per area e area secondaria.
Principali domande o problemi del mese sulle richieste di assistenza	Principali domande o problemi del mese segnalati dai clienti sulle richieste di assistenza. Definiti per area e area secondaria.
Compatibilità	Interazione tra altri prodotti e il software.
Installazione/upgrade	Informazioni sull'installazione, la rimozione o l'upgrade.
Configurazione	Include procedure consigliate, ottimizzazione e configurazione.
Funzionalità	Funzioni e funzionalità del prodotto, inclusi overflow del buffer, protezione di Host IPS, IPS di rete e Firewall.

Quali sono gli ambienti supportati da Host IPS 8.0?
Per informazioni dettagliate sugli ambienti supportati, consultare l’articolo KB70778.


Con quale frequenza viene aggiornato il contenuto di Host IPS?
Host IPS viene aggiornato nell'archivio comune il secondo martedì di ogni mese entro le 20:00 GMT.
Il secondo martedì di ogni mese è anche il Patch Tuesday di Microsoft, ovvero il giorno in cui vengono rilasciati gli aggiornamenti per la sicurezza di Microsoft Windows.


Perché i pacchetti delle patch incrementali (MSP) di Host IPS 8.0 hanno dimensioni superiori all’installazione di Host IPS che include la patch?
I pacchetti MSP hanno dimensioni superiori per un ottimo motivo. Ogni volta che Intel Security rilascia una nuova patch, il pacchetto MSP deve contenere le informazioni necessarie per l’upgrade di tutte le patch rilasciate in precedenza e il rilascio base (RTW) del prodotto. A causa di questo requisito, nel pacchetto MSP è presente una trasformazione (MST) per ciascuna delle versioni precedenti, non solo una copia dei nuovi file.

In sostanza, la trasformazione MST è un diff MSI che aggiorna una versione precedente di MSI alla versione più recente di MSI sulla quale si basa la patch. Poiché nelle tabelle MSI sono presenti dati binari per elementi come il codice azione personalizzato integrato e per alcune delle utilità supportate (ad esempio clientcontrol.exe), le differenze MSI possono essere di dimensioni significative, aumentando pertanto le dimensioni delle patch successive.


Torna al sommario

Client IPS/Domande frequenti - Eventi IPS
Gli eventi di firma IPS sono uno dei principali generatori di chiamate di Host IPS. Normalmente queste richieste sono il risultato di attivazioni di eventi di firma IPS. In generale Host IPS offre la protezione firewall e IPS per i sistemi endpoint nell'ambito di una strategia di protezione a livelli. Tale strategia prevede, oltre a Host IPS, il filtraggio o sistemi di intrusione/firewall per il gateway di rete, applicazioni antimalware e antivirus endpoint.

Il contenuto della firma Host IPS offre protezione contro le vulnerabilità di sistema note e contro quelle non note (0-day). L'attacco di tipo 0-day viene lanciato quando ancora non è stata distribuita alcuna patch e prima che vengano applicati gli aggiornamenti per la sicurezza rilasciati per le vulnerabilità confermate. Il contenuto di Host IPS include overflow del buffer generico e altri meccanismi di firma generici che proteggono i sistemi durante l'intervallo di tempo in cui si insinua l'attacco 0-day. Intel Security consiglia tuttavia di applicare tutti gli aggiornamenti per la sicurezza specifici del sistema operativo e dell'applicazione appena si acquisisce familiarità con l'ambiente in uso allo scopo di ridurre il rischio che venga rilevata con frequenza o ripetutamente la firma IPS.  

Intel Security consiglia di seguire una metodologia generale per esaminare gli aggiornamenti per la sicurezza specifici del sistema operativo e dell'applicazione, nonché di applicare le patch a sistemi e applicazioni ogni mese o a intervalli regolari. Consiglia inoltre di esaminare gli aggiornamenti mensili della firma Host IPS per rilevare eventuali correlazioni con gli aggiornamenti per la sicurezza specifici del fornitore che vengono rilasciati. L'associazione diretta delle firme Host IPS agli aggiornamenti per la sicurezza disponibili per i fornitori può essere disattivata senza problemi nei sistemi aggiornati. Intel Security consiglia di esaminare con frequenza mensile il contenuto della firma attivata e l'applicazione di patch al sistema insieme agli aggiornamenti per la sicurezza disponibili per ridurre la probabilità di falsi positivi nei sistemi già aggiornati.

Seguire la metodologia generale illustrata di seguito quando si valutano gli eventi di firma IPS:

1. Identificare il numero di firma attivato.
2. Esaminare le informazioni sulla descrizione relativa al numero di firma IPS nella policy Regole IPS di ePolicy Orchestrator (ePO).
3. Esaminare i link di descrizione sui riferimenti CVE eventualmente inclusi nelle informazioni relative alla descrizione della firma.
4. Verificare se sono presenti link a bollettini di sicurezza Microsoft Technet per la vulnerabilità applicabile e se sono stati rilasciati aggiornamenti per la sicurezza Microsoft in grado di risolvere la vulnerabilità.
5. Verificare se ai sistemi in cui si è verificato l'evento IPS è applicato un aggiornamento per la sicurezza Microsoft (come indicato sopra):
   • In caso affermativo, è possibile disattivare la firma IPS applicabile nei sistemi a cui sono applicati gli aggiornamenti per la sicurezza Microsoft associati.
   • In caso contrario, Intel Security consiglia di applicare appena possibile ai sistemi interessati gli aggiornamenti per la sicurezza Microsoft applicabili.
6. Se per la firma IPS che attiva l'evento non sono presenti link di descrizione CVE, analizzare tutti i dettagli avanzati per l'evento IPS ricevuto.
7. Scoprire se gli attivatori di evento sono correlati al normale svolgimento delle attività aziendali.
8. Verificare se ai sistemi nei quali si è verificato l'evento sono applicati tutti gli aggiornamenti per la sicurezza Microsoft Security più recenti.
9. Controllare se l'evento IPS è specifico di un processo di terze parti, come Adobe o un altro strumento, un altro processo o un'altra applicazione non Microsoft. In caso affermativo, esaminare tutti gli aggiornamenti per la sicurezza applicabili del fornitore e verificare che siano applicati ai sistemi.
10. Se la firma continua ad attivare l'evento anche dopo che è stato applicato un aggiornamento per la sicurezza del fornitore, considerare l'evento come falso positivo e disattivare la firma nel sistema aggiornato, oppure creare un'eccezione IPS per i sistemi aggiornati per impedire ulteriori rilevamenti di firma.
11. Se non è disponibile nessun aggiornamento applicabile del fornitore, verificare se nei sistemi interessati sono presenti definizioni antivirus e antimalware per VirusScan o un'altra applicazione di protezione endpoint installata. Esegui una scansione completa nei sistemi interessati.
12. Controllare se i sistemi interessati sono protetti da altre misure di sicurezza perimetrale, come il rilevamento delle intrusioni di rete.
13. Attivare la registrazione di debug dettagliata attivando Violazioni sicurezza registro per Host IPS in modo da raccogliere le informazioni avanzate nel file HipShield.log. Per informazioni sulle violazioni della sicurezza per IPS nel file HipShield.log, consultare l’articolo KB54473.
14. Contattare l'assistenza tecnica McAfee per un’analisi approfondita.

Client Firewall/Domande frequenti - Assistenza per le regole firewall
Le domande sulla configurazione delle policy firewall sono frequenti e includono anche domande relative al tipo di regole firewall che devono essere configurate nei sistemi endpoint. Le policy firewall dei clienti aziendali generalmente spaziano da insiemi di regole molto semplici, che sfruttano i gruppi che rilevano il tipo di connessione/percorso, a policy di regole estremamente complesse che definiscono hash eseguibili di processo che comprendono centinaia di regole firewall in entrata/uscita. Policy firewall estese rendono più complessa la gestione e possono contribuire a una riduzione delle prestazioni nei sistemi con specifiche inferiori. Insiemi di grandi dimensioni di regole possono inoltre comportare un sovraccarico delle prestazioni nel server ePO durante le configurazioni delle policy, nonché un aumento del sovraccarico per McAfee Agent durante gli intervalli di applicazione delle policy.

Il firewall di Host IPS 8.0 include un numero di funzionalità che consentono configurazioni di policy semplificate:

• Host IPS 8.0 include modelli di regole di policy firewall predefinite semplificate su cui basare le proprie policy. Intel Security consiglia di utilizzare insiemi di regole semplificate che sfruttano, tutte le volte che ciò è possibile, firewall a stati, reti affidabili e applicazioni affidabili per le policy della rete aziendale interna.
• Il firewall viene considerato un firewall a stati , in questo modo si riduce la quantità di regole firewall in entrata necessarie. Le policy delle regole possono essere semplificate ulteriormente. La tabella dello stato del firewall memorizza dinamicamente le informazioni sulle connessioni attive del traffico in uscita dal sistema. Le regole della tabella sullo stato del firewall filtrano e consentono il traffico di ritorno associato. In questo modo si elimina la necessità di definire insiemi complessi ed estesi di regole in entrata.
• L'uso di gruppi che rilevano la posizione definisce ulteriormente insiemi di regole per gli utenti remoti esterni alla LAN normale. Gli insiemi di regole semplificati possono essere configurati all'interno di un gruppo che rileva la posizione. In questo modo si consente agli utenti remoti di connettersi mediante la rete VPN (Virtual Private Network) della società e di utilizzare regole firewall normali.
• Reti affidabili - elenca le reti e gli indirizzi IP, incluse le eccezioni TrustedSource, sicuri per la comunicazione. Le reti affidabili possono includere indirizzi IP singoli o intervalli di indirizzi IP. Contrassegnare le reti come affidabili elimina o riduce la necessità di eccezioni IPS di rete e di altre regole firewall. (Solo per i client Windows).
• Applicazioni affidabili - elenca le applicazioni sicure che non presentano vulnerabilità note. Contrassegnare le applicazioni come affidabili elimina o riduce la necessità di eccezioni IPS di rete e di altre regole firewall. Analogamente alla policy IPS Rules, questa categoria di policy può includere più istanze di policy. (Per i client delle piattaforme Windows e non Windows).
• Modalità adattiva firewall - supporto per la regolazione del firewall.
  NOTA: utilizzare la modalità adattiva solo temporaneamente in un numero ridotto di sistemi può agevolare l’adattamento delle regole firewall. Questa modalità consente di creare un numero elevato di regole client nei sistemi finali e può inoltre determinare un sovraccarico significativo per il server ePO se viene elaborato un numero eccessivo di regole client adattive del firewall. Intel Security consiglia di limitare a un numero ridotto di sistemi e per un periodo di tempo limitato l'uso della modalità adattiva per i firewall come aiuto per la regolazione delle policy.
  
  Esaminare ogni giorno, o almeno ogni settimana, le regole client adattive per tutto il periodo in cui la modalità adattiva è attivata nei sistemi di destinazione. Dopo la distribuzione iniziale della modalità adattiva per i firewall, disattivare tale modalità nei sistemi di destinazione con l’opzione Mantieni regole client deselezionata per assicurare che tutte le regole client acquisite nel sistema di destinazione siano state eliminate. Dalla console di ePO, esaminare le regole client del firewall e identificare le regole da applicare a una policy di adattamento delle regole firewall nel sistema finale prima di attivare nuovamente la modalità adattiva per il firewall. Eseguire i passaggi iterativi indicati per ottenere una policy regole firewall finale prima della distribuzione in tutti i sistemi. Parte del traffico di rete correlato alle applicazioni potrebbe non essere riconosciuto dalla modalità adattiva e potrebbe essere necessario configurare le regole firewall manualmente. Consultare il fornitore di applicazioni per informazioni sulle configurazioni del firewall specifiche dell'applicazione per garantirne la funzionalità completa.

Installazione, configurazione, disinstallazione/Domande frequenti - Distribuzione mediante ePO
La maggior parte delle chiamate all’assistenza che rientrano in questa categoria riguarda domande che trovano risposta nella Guida all’installazione di Host Intrusion Prevention 8.0 (PD22891).

Intel Security consiglia di verificare ed eventualmente modificare eventuali nuove installazioni di applicazioni di sicurezza per gli ambienti di produzione prima di effettuare la distribuzione in tutti i sistemi. Intel Security verifica e convalida i prodotti di sicurezza prima del rilascio e lo stesso accade prima della distribuzione di Host IPS in tutti i nodi di un ambiente aziendale. I prodotti e le infrastrutture di rete di terze parti stanno rapidamente adattando le nuove funzionalità di sicurezza ai progressi del mondo tecnologico. L'interoperabilità dei prodotti continua a essere il difficile obiettivo di tutti i fornitori ed è fondamentale che le immagini dei clienti di base siano convalidate con le modifiche apportate ai prodotti. Dopo avere convalidato Host IPS in ambienti di test o pilota, Intel Security consiglia di adottare un approccio incrementale o pilota di produzione alla distribuzione della produzione aziendale.


Firewall client/Regole firewall non funzionanti
Vedere la sezione relativa al software di terze parti per informazioni sulla risoluzione dei problemi.


Installazione, configurazione, disinstallazione/NUOVA installazione - Non riuscita
Host IPS viene distribuito con IPS e le funzionalità firewall disattivati per impostazione predefinita. Intel Security consiglia di selezionare sistemi che rappresentano le applicazioni e le configurazioni per tutti i gruppi dell'ambiente. Se sono presenti immagini standardizzate, è più semplice convalidare Host IPS per l'ambiente in uso. In presenza di sistemi diversi, la convalida dell'interoperabilità diventa più complessa. Per l'assistenza tecnica è più facile risolvere i problemi di interoperabilità prima della distribuzione a livello aziendale anziché risolvere i problemi critici che vengono rilevati dopo o durante questo tipo di distribuzione.

Torna al sommario

Cosa si deve fare in caso di problemi con software di terze parti?
Possono verificarsi problemi con software di terze parti, soprattutto con i software di sicurezza. Per risolverli, consultare i seguenti articoli:

• KB67055 - Risoluzione dei problemi relativi a un’applicazione di rete o al traffico bloccato dal firewall di Host Intrusion Prevention
• KB67056 - Un’applicazione di terze parti viene interrotta o ne viene impedito il funzionamento dopo l’installazione di Host Intrusion Prevention o dopo l’aggiornamento del contenuto

Se è necessario inoltrare un problema non risolvibile, è importante coinvolgere nell'analisi insieme a Intel Security anche il fornitore di terze parti. Per la risoluzione di molti problemi di interoperabilità, infatti, è necessario l'intervento del fornitore di terze parti e non di Intel Security. Intel Security ha stabilito un vincolo di collaborazione con i fornitori di terze parti per la risoluzione dei problemi di interoperabilità.


Quando sarà disponibile la versione a 64 bit?
Host IPS 8.0 è completamente supportato nei sistemi operativi a 64 bit supportati.


Cosa rende Host IPS un prodotto a 64 bit?
Host IPS 8.0 prevede l'installazione di file binari sia a 32 bit che a 64 bit nei sistemi x64. I file binari del prodotto a 64 bit vengono installati in una sottocartella x64 nel percorso di installazione. Gli altri file binari, come i driver, vengono installati nella posizione appropriata nel file system di Windows. Il prodotto non segue le indicazioni di installazione per i file a 64 bit nella cartella \programmi, tuttavia supporta x64 in modo nativo.


Cosa viene eseguito in modalità di compatibilità a 32 bit sui sistemi x64?
Alcune applicazioni di terze parti vengono eseguite come sistemi a 32-bit. Per queste applicazioni Host IPS 8.0 carica i motori IPS a 32 bit appropriati.


Quali piattaforme virtualizzate sono supportate da Host IPS 8.0?
Consultare l'articolo KB70778 - Piattaforme, ambienti e sistemi operativi supportati da Host Intrusion Prevention 8.0.


Quali versioni di VPN sono supportate da Host IPS 8.0?
Consultare l’articolo KB70778 - Piattaforme, ambienti e sistemi operativi supportati da Host Intrusion Prevention 8.0.


Perché occorre installare McAfee (ePO) Agent nei laptop che si connettono alla rete solo raramente?
L’agent ePO consente di imporre le policy. Dopo avere installato l'agent e dopo che l'agent ha ricevuto la policy ed è stato configurato nel server ePO, la policy definita verrà applicata nell'intervallo di applicazione delle policy definito, indipendentemente dal fatto che il laptop sia connesso alla rete. Questo garantisce che vengano applicate le impostazioni aziendali per i prodotti McAfee ovunque si esegua il roaming.

 

Si può usare Host IPS 8.0 per bloccare l'accesso ai dispositivi USB?
Non in modo efficace. È possibile bloccare l'accesso ai dispositivi USB utilizzando una firma IPS personalizzata con Host IPS 8.x. Esistono tuttavia limitazioni di sicurezza correnti quando si utilizza una firma IPS.

Per bloccare in modo efficace i dispositivi USB, Intel Security consiglia McAfee Data Loss Prevention (http://www.mcafee.com/it/products/data-protection/index.aspx).

Per informazioni su come impedire agli utenti di connettersi a un dispositivo di archiviazione USB, consultare l’articolo dell'assistenza Microsoft 823732 alla pagina support.microsoft.com/kb/823732.

Torna al sommario

 

Perché effettuare l'upgrade da Host IPS 7.0 a Host IPS 8.0?
Per consultare novità e miglioramenti di Host IPS 8.0, consultare l’articolo PD22892. Per i problemi noti, consultare l'articolo KB72749.


Come scaricare Host IPS 8.0
Per dettagli sul download dei prodotti McAfee, sugli aggiornamenti di sicurezza, sulle patch o sugli hotfix, consultare l’articolo KB56057.


Come installare Host IPS 8.0 in locale o con soluzioni di terze parti
Estrai i file di installazione dal file .zip in una cartella temporanea, esegui Setup.exe e completa l'installazione.

NOTA: Setup.exe supporta molte opzioni della riga di comando MSI. Per ulteriori informazioni, consultare l'articolo KB51689.


Come installare Host IPS tramite ePO
Aggiungi il pacchetto di installazione all'archivio, quindi crea/modifica un'Attività Distribuzione. Per ulteriori informazioni, consultare la Guida del prodotto di ePolicy Orchestrator 5.3.0 (PD25504).

NOTA: l'Attività Distribuzione consente anche di specificare le opzioni della riga di comando. Ciò consente di apportare semplici modifiche all’installazione, ad esempio scegliere di non installare una determinata funzionalità. L’elenco completo delle opzioni è disponibile nella, Guida all’installazione di Host Intrusion Prevention 8.0 (PD22891).


Perché il prodotto viene installato nella cartella Programmi (x86)?
Host IPS prevede l'installazione di file binari sia a 32 bit che a 64 bit nei sistemi x64. I file binari del prodotto a 64 bit vengono installati in una sottocartella x64 nel percorso di installazione. Gli altri file binari, come i driver, vengono installati nella posizione appropriata nel file system di Windows. Il prodotto non segue le indicazioni di installazione per i file a 64 bit nella cartella \programmi, tuttavia supporta x64 in modo nativo.


È disponibile contenuto della firma Host IPS nel pacchetto di installazione?
Host IPS viene fornito con contenuto della firma 8.0.0.3709. Ciò consente a Host IPS di funzionare dopo l'installazione nel caso in cui non sia possibile contattare un server ePO per gli aggiornamenti della firma. Intel Security consiglia di configurare un'attività di aggiornamento in base a una pianificazione regolare per includere il contenuto della firma Host IPS per i sistemi installati.


È necessario riavviare il sistema dopo l'installazione?
Nei nuovi sistemi, per iniziare a utilizzare le funzionalità di Host IPS 8.0 il riavvio non è necessario. Tuttavia Intel Security consiglia di riavviare il sistema per ottenere un ambiente Windows più pulito. 

A seconda del sistema operativo, per effettuare l'upgrade dei sistemi Host IPS 7.0, potrebbe essere necessario riavviare il sistema. Intel Security consiglia di eseguire la convalida rispetto alle proprie immagini specifiche.


Come si rimuove il prodotto?
Host IPS può essere rimosso con un’attività Distribuzione di ePO o in locale, con Programmi e funzionalità o App e funzionalità (in base alla versione di Windows). È necessario disattivare la protezione IPS nel sistema prima di rimuovere Host IPS in locale. 


Come si esegue il rollback del contenuto della firma Host IPS?
Per informazioni su come eseguire il rollback del contenuto della firma Host IPS, consultare l'articolo KB53092.


La mia versione del prodotto è supportata?
Per informazioni relative all’End of Life e all’End of Support, visitare il sito: www.mcafee.com/it/support/support-eol.aspx

Torna al sommario

 

Come funziona la protezione Host IPS?
La protezione Host IPS monitora le chiamate di sistema eseguibili effettuate utilizzando le API (Application Programming Interface) nel sistema protetto. Queste chiamate di sistema vengono effettuate al/dal kernel del sistema operativo per l'elaborazione delle risorse. Il monitoraggio di Host IPS rileva le anomalie nelle chiamate di sistema e blocca o registra tali chiamate per l'analisi. A questo scopo, Host IPS utilizza diversi motori di monitoraggio delle classi. Per informazioni su overflow del buffer, file, hooking, utilizzo illecito di API, utilizzo illecito, ISAPI, programma, registro, servizi e classi del motore SQL, consultare il documento PD22525 - Host Intrusion Prevention - Scrittura di firme personalizzate.

 

Come funziona la protezione da overflow del buffer?
La protezione da overflow del buffer prevede il monitoraggio degli eseguibili e delle API nel sistema protetto e il controllo dell'esecuzione del codice che deriva da un sovraccarico o un overflow del buffer. Questo tipo di protezione non impedisce che si verifichi il sovraccarico ma impedisce l'esecuzione del codice che deriva dal sovraccarico. Si tratta di un metodo di exploit comune, utilizzato dal malware nei confronti delle applicazioni vulnerabili per ottenere accesso ai dati o al sistema e/o per diffondersi ulteriormente.

La protezione si ottiene con la deviazione dell'esecuzione del codice da parte delle associazioni del livello kernel (note anche come applicazione di "patch al kernel" per varie tabelle di sistema) mediante i test di sicurezza prima di tornare alla programmazione pianificata precedente. Il supporto di questa funzionalità è limitato nelle piattaforme a 64 bit, in quanto il kernel consente un'applicazione di patch limitata. Per informazioni sui dettagli di copertura per le piattaforme Windows supportate, consultare l’articolo KB51504. È possibile rendere ridondante questa protezione da overflow del buffer, se è applicata la Protezione esecuzione programmi.

L'articolo indicato è disponibile solo per gli utenti registrati del ServicePortal.

Per visualizzare gli articoli registrati:

1. Accedere al ServicePortal all'indirizzo http://support.mcafee.com.
2. Digitare l'ID articolo nel campo di ricerca della pagina iniziale.
3. Fare clic su Cerca o premere INVIO.

Che cos'è la protezione IPS di rete?
Il driver di filtro della protezione IPS di rete controlla i dati di comunicazione tra il sistema protetto e la rete. I pacchetti vengono esaminati rispetto ai profili degli attacchi dannosi. Se viene identificato un attacco, i dati che hanno causato il problema vengono eliminati o bloccati. Host IPS include un elenco predefinito di firme IPS di rete per le piattaforme Windows. È possibile modificare il livello di gravità, lo stato del registro e l'impostazione di creazione delle regole client di queste firme ma attualmente non è possibile aggiungere firme di rete personalizzate. Le firme di rete:

• Proteggono i sistemi che si trovano downstream in un segmento di rete
• Proteggono i server e i sistemi che si connettono a essi
• Proteggono contro gli attacchi DoS (denial of service) e gli attacchi orientati alla larghezza di banda che negano o danneggiano il traffico di rete

Il driver di filtro del firewall di Host IPS è NDIS 5.0 o NDIS 6.0?
La specifica dell'interfaccia del driver di rete rappresenta l'API per gli adattatori di rete e i driver di filtro di rete che agiscono nei sistemi operativi Microsoft. Tale specifica è stata originariamente sviluppata congiuntamente da Microsoft e 3COM Corporation. Windows 7, Windows Vista, Windows Server 2008 e i sistemi operativi più recenti utilizzano l'API NDIS 6.x (tali sistemi operativi offrono inoltre compatibilità retroattiva per i driver di filtro NDIS 5.x mediante un livello di compatibilità Microsoft).
 

Host IPS 8.0 include due versioni del driver firewall:

• Un driver firewall si basa sulla specifica NDIS 6.x per Vista e i sistemi operativi più recenti
• L'altro si basa sulla specifica NDIS 5.x per Windows XP e Windows 2003
  
  NOTA: Intel Security consiglia, quando si acquisisce familiarità, di eseguire Host IPS 8.0 su Vista e sui sistemi operativi più recenti, in quanto i driver NDIS 6.x eseguono l'interfaccia di programmazione aggiornata su questi sistemi operativi.
  

  Microsoft ha interrotto il supporto esteso per Windows XP SP3 l'8 aprile 2014. Per ottenere i migliori risultati e garantire una protezione efficace, effettuare l'upgrade a un sistema operativo supportato. Per informazioni dettagliate, consultare l'articolo KB78434.

   
  

  Microsoft ha interrotto il supporto esteso per Windows Server 2003 SP2 il 14 luglio 2015. Alla fine del 2015, l'unico prodotto McAfee supportato da Windows Server 2003 SP2 è Application and Change Control. Per informazioni dettagliate, consultare l'articolo KB81563.

Cos’è il motore HTTP di Host IPS?
Il motore HTTP di Host IPS 8.0 è formato da due componenti: uno stub e un motore. Lo stub è un wrapper sottile caricato da IIS che in seguito carica il motore HTTP principale in base ai valori di controllo archiviati nel registro. Il motore HTTP utilizza uno stub in modo da non dover riavviare IIS in caso di modifiche alle policy relative al motore HTTP. Se si disattiva il motore HTTP dalla risoluzione dei problemi IPS, la voce viene rimossa da IIS. Il motore realizza query dalla richiesta HTTP e le trasmette al client HIP per verificare la corrispondenza, quindi, se la richiesta è bloccata, consente il passaggio della richiesta HTTP. Nessun dato POST incluso nella sezione dei dati non elaborati. La sezione dei dati non elaborati contiene tutte le variabili di intestazione per tutte le versioni di IIS.


Che cos'è TrustedSource nella policy Firewall Options?
TrustedSource è un processo di reputazione Internet globale che determina il comportamento appropriato e quello non appropriato in Internet mediante analisi in tempo reale. Per ulteriori informazioni su TrustedSource, consultare l’articolo KB74925.


Quali servizi Host IPS devono essere utilizzati su un client per consentire il corretto funzionamento del software?
Assicurarsi che i servizi elencati di seguito siano attivi per garantire la protezione della prevenzione delle intrusioni con il servizio IPS, il firewall o entrambi:

• Servizio McAfee Host Intrusion Prevention (FireSvc.exe)
• Servizio McAfee Firewall Core (mfefire.exe) - non viene avviato automaticamente con Host IPS 8.0 Patch 6 (e versioni successive). Consultare l’articolo KB85374.
• Servizio McAfee Validation Trust Protection (mfevtps.exe)
• Servizio McAfee Host Intrusion Prevention Local Procedure Call (LPC) (HipMgmt.exe) - aggiunto con Host IPS 8.0 Patch 3 (e versioni successive). Consultare l’articolo KB81474.

Di seguito sono elencati i servizi che sono attivi quando vengono chiamati:

• Servizio icone della barra delle applicazioni di sistema di McAfee Host Intrusion Prevention (FireTray.exe)
• Console client di McAfee Host Intrusion Prevention (McAfeeFire.exe)

Come si può impedire al firewall di bloccare il traffico non IP?
Se non indicato in modo specifico in una regola firewall, alcuni tipi di traffico non IP non vengono riconosciuti dal firewall, pertanto vengono bloccati. Inoltre, le modalità adattiva e di apprendimento non prevedono il rilevamento e la creazione dinamici di regole firewall per protocolli non IP. Per impedire l'eliminazione dei protocolli non IP, selezionare Allow traffic for unsupported protocols nella policy Firewall Options. Controllare quindi il registro attività per il protocollo non IP in entrata/uscita consentito: 0xXXX, dove 0xXXX indica il numero Ethernet IANA del protocollo (vedere http://www.iana.org/assignments/ethernet-numbers). Utilizzare queste informazioni per stabilire il traffico non IP necessario e creare una regola firewall che lo consenta.


Dove si trovano i file di registro?
Tutti i file di registro si trovano nella directory C:\Programmi\McAfee\Host Intrusion Prevention\ del sistema client.

Quali sono i file di registro associati al componente Host IPS?
Il file di registro principale per il componente Host IPS è HipShield.log. Tale file raggiunge la dimensione di 128 MB e ruota con un solo backup. La rotazione del file di registro è controllata dalle voci DWORD log_rotate_size_kb e log_rotate_count nella chiave di registro [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP].

La chiave log_rotate_count determina il numero di file di registro di backup da preservare, mentre la voce DWORD log_rotate_size_kb rappresenta la dimensione approssimativa in KB di un file di registro di backup, dove 0 indica che la rotazione del registro è disattivata.

Quando la dimensione log_rotate_size_kb specificata viene superata, il file viene chiuso e ridenominato con il suffisso '.1'. Se esiste già un file con il nome indicato, il suffisso viene aumentato di uno. Quando viene raggiunto il numero specificato di file di backup, viene eliminato quello meno recente.


Cosa bisogna osservare nel file HipShield.log?
Un'esecuzione del componente Host IPS inizia con un'istruzione banner che identifica l'esecuzione della build e l'indicatore di data e ora della sessione. Ogni voce del registro HipShield mostra un indicatore di data e ora, seguito dall'indicazione che definisce di che tipo di dati si tratta, ovvero informativi, di debug o di errore. I dati inclusi nel registro HipShield sono specifici e si differenziano per le varie parti del componente Host IPS. Aree principali di interesse:

• Le righe che iniziano con In install modules new descrivono la copia dei file come parte dell'avvio del componente Host IPS. Se la copia di questi file non riesce, il componente Host IPS non viene avviato.
• La riga che inizia con Scrutinizer initialized successfully indica che il componente Host IPS è stato caricato correttamente attraverso l'inizializzazione di Scrutinizer. Questo dipende dalla corretta esecuzione della copia dei file sopra citati.
• La riga che inizia con New Process: PID = indica che il componente Host IPS è in grado di monitorare la creazione del processo.
• La riga che inizia con IIS - Start indica che sta iniziando il monitoraggio IIS.
• La riga che inizia con Scrutinizer started successfully ACTIVATED status indica che Scrutinizer è stato avviato correttamente.
• La riga che inizia con Hooking xxx indica che l'hook del processo sta procedendo. Il numero xxx indica il PID (ID di processo) del processo di cui viene eseguito l'hook.
• Una serie di righe che iniziano con Processing Buffer xxx.scn riporta il risultato dell'elaborazione del programma di scansione del file scan xxx.scn, dove xxx è un nome come EnterceptMgmtServer, come mostrato sopra. Qui vengono riportati gli errori nell'elaborazione dei file scan da parte del programma di scansione.
• Le righe nel formato signature=111 level=2, log=True segnalano che è stata caricata una firma singola. Sono inclusi il livello e l'ID di firma e viene anche indicato se la registrazione è attivata per questa firma.
  
  NOTA: Shield.db e except.db vengono creati nella stessa directory dei registri solo quando il debug è attivato. Tali file includono un dump delle regole e delle eccezioni inviate al kernel dopo che AgentNT.dll ha elaborato il contenuto.
   

Quali sono i file di registro associati al componente firewall?

FireSvc.log (Registro del servizio principale)	Registrazione del livello di debug Output di corrispondenza della posizione Output di classificazione della connessione TrustedSource Errori e avvisi
HipMgtPlugin.log (Registro plug-in McAfee Agent)	Registrazione del livello di debug Statistiche degli intervalli di applicazione delle policy Errori e avvisi
FireTray.log / McTrayHip.log (Registro barra delle applicazioni)	Registrazione del livello di debug Errori e avvisi
FireUI.log (Registro interfaccia utente client)	Registrazione del livello di debug Errori e avvisi

Questi file di registro aumentano di dimensioni fino a raggiungere la dimensione massima predefinita di 100 MB. Se sono richiesti file di registro di dimensioni maggiori o minori, è possibile controllare le dimensioni aggiungendo il valore di registro seguente: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]

Per impostare le dimensioni del registro, vedere la sezione "Quali sono i file di registro associati al componente firewall?" nella Guida del prodotto di Host Intrusion Prevention 8.0 (PD22894).


Che cos'è l'utilità da riga di comando ClientControl?
Questa utilità da riga di comando consente di automatizzare gli upgrade e altre attività di manutenzione, se si utilizza software di terze parti per distribuire Host IPS nei client. È possibile includerla negli script di installazione e manutenzione per disattivare temporaneamente la protezione IPS e attivare le funzioni di registrazione. Per ulteriori informazioni, vedere il readme dell’utilità ClientControl.exe di Host Intrusion Prevention 8.0 (PD23014).

Torna al sommario