• firewall de gateway de rede ou sistemas de intrusão
  Ou
• Filtragem, antivírus de terminal Antivirus e aplicativos antimalware de ponto de extremidade

McAfee aconselha o seguinte:

• Siga um método geral para revisar as atualizações de segurança específicas do aplicativo e do sistema operacional.
• Recorreções de sistemas e aplicativos de acordo com todo o mês ou regularmente.
• Revise o host mensal assinatura do IPS atualizações para correlação com atualizações de segurança de fornecedor específicas que são liberadas. Você pode desativar com segurança host mapeamento de assinaturas do IPS diretamente para as atualizações de segurança disponíveis do fornecedor em sistemas atualizados.
• Revise o conteúdo da assinatura ativado e os patches do sistema com as atualizações de segurança disponíveis mensalmente para reduzir a probabilidade de falsos positivos excessivos em sistemas já atualizados.

Use o método geral a seguir ao avaliar assinatura do IPS eventos:

1. Identifique o número de assinatura que está sendo disparado.
2. Revise as informações de descrição do número de assinatura do IPS da política de regras do IPS no ePolicy Orchestrator (ePO).
3. Revise os links de descrição da referência CVE, se algum estiver incluído nas informações de descrição da assinatura.
4. Identifique se há algum Microsoft boletins de segurança do TechNet vinculados à vulnerabilidade aplicável. E identifique se há Microsoft atualizações de segurança disponíveis que resolvam a vulnerabilidade.
5. Verifique se os sistemas que estão relatando o evento IPS têm todas as atualizações de segurança Microsoft aplicáveis aplicadas, como indicado acima:
   • Em caso afirmativo, a assinatura do IPS aplicável poderá ser desativada nos sistemas em que as atualizações de segurança do Microsoft associadas foram aplicadas.
   • Caso contrário, a McAfee recomenda que você aplique as atualizações de segurança Microsoft aplicáveis aos sistemas afetados assim que for conveniente.
6. Se nenhum link de descrição de CVE for observado para o assinatura do IPS disparador, revise todos os detalhes avançados para o evento de IPS recebido.
7. Identifique se o evento é disparado correlacionado ao uso ou ao processo de negócios normal.
8. Identifique se os sistemas que estão enfrentando o evento têm as atualizações de segurança do Microsoft mais recentes aplicadas.
9. Identifique se o evento do IPS é específico para um processo de terceiros, como Adobe, um processo ou outra ferramenta. Em caso afirmativo, revise todas as atualizações de segurança aplicáveis do fornecedor e certifique-se de que elas sejam aplicadas nos sistemas.
10. Se a assinatura ainda disparada após a aplicação de um atualização de segurança do fornecedor aplicável, considere o evento como falso positivo. Desative a assinatura dos sistemas atualizados ou crie um exceção do IPS para que os sistemas atualizados parem todas as detecções de assinaturas posteriores.
11. Se não houver atualização de segurança do fornecedor aplicável disponíveis, determine se os sistemas afetados possuem definições atuais de antivírus e antimalware para o VirusScan ou outro aplicativo de proteção de ponto de extremidade instalado. Execute uma varredura completa nos sistemas afetados.
12. Determine se os sistemas afetados estão protegidos por outras medidas de segurança de perímetro, como a detecção de invasão de rede.
13. Ativar registro detalhado de depuração ativando Registrar violações de segurança de log para o host IPS, para que você possa coletar informações avançadas no HipShield.log. Exibidas KB54473 para obter informações relevantes sobre as violações de segurança do IPS no HipShield.log.
14. Entre em contato com o Suporte técnico para análise mais detalhada.

• IPS de host 8.0 inclui modelos de regras de política padrão firewall simplificados, nos quais você pode basear a sua política. A McAfee recomenda que você use conjuntos de regras simplificados usando o stateful firewall, redes confiáveis e aplicativos confiáveis para políticas de rede corporativa interna.
• A firewall é considerada uma dinâmico firewall, o que reduz a necessidade de regras excessivas de firewall de entrada. As políticas de regras podem ser muito mais simplificadas. A tabela de estado do firewall armazena dinamicamente informações sobre conexões de tráfego de saída ativas do sistema. O firewall filtrar regras de tabela de estado e permitir o tráfego de retorno associado, o que anula a necessidade de definir conjuntos de regras de entrada complexos.
• O uso de grupos com reconhecimento de local define ainda mais os conjuntos de regras para usuários remotos na LAN normal. Você pode configurar conjuntos de regras simplificados em um grupo com reconhecimento de local. Essa ação permite que usuários remotos se conectem usando uma VPN da empresa e, em seguida, utilizem regras de firewall normais.
• Redes confiáveis— Lista endereços IP e redes, incluindo exceções de TrustedSource, que são seguras para comunicação. As redes confiáveis podem incluir endereços IP individuais ou faixas de endereços IP. Listar redes como confiáveis elimina ou reduz a necessidade de exceções de IPS de rede e mais regras de firewall. (Somente para clientes Windows.)
• Aplicativos confiáveis— Lista os aplicativos que são seguros e não possuem vulnerabilidades conhecidas. A marcação de aplicativos como confiáveis elimina ou reduz a necessidade de exceções do IPS e regras mais firewall. Assim como a política de regras do IPS, essa categoria de política pode conter várias instâncias de política. (Para clientes em plataformas Windowss e não Windows.)
• Firewall modo adaptável— Uma ajuda para o ajuste de firewall.
  
  OBSERVAÇÃO: Usar somente o modo adaptável temporária em alguns sistemas para firewallr o ajuste de regras. Esse modo pode criar muitas regras de cliente em sistemas finais. Portanto, ele também pode criar uma sobrecarga significativa para o servidor ePO ao processar regras de adaptação de cliente excessivas do firewall. A McAfee recomenda limitar o modo adaptável para firewalls a alguns sistemas por um tempo limitado como um auxílio no ajuste de políticas de firewall.
  
  Revise as regras adaptáveis do cliente diariamente ou no mínimo, semanalmente, enquanto os sistemas de destino têm o modo adaptável ativado. Depois de distribuir o modo adaptável para firewalls, desative o modo adaptável nos sistemas de destino com o Reter regras de cliente opção desmarcada. Essa ação garante que todas as regras de cliente aprendidas no sistema de destino sejam eliminadas. No console do ePO, revise as regras de cliente do firewall. Identificar regras a serem aplicadas a uma política de regras de firewall de ajuste no sistema final antes de reativar o firewall com o modo adaptável. Siga estas etapas iterativas para obter uma política de regras de firewall final antes da distribuição para todos os sistemas. O modo adaptável pode não reconhecer parte do tráfego de rede relacionado a aplicativos, e talvez você precise configurar regras de firewall manualmente. Entre em contato com o fornecedor do aplicativo para obter informações sobre configurações de firewall específicas do aplicativo, a fim de garantir a funcionalidade.

Instalação, instalação, desinstalação e distribuição usando o ePO
A maioria das chamadas de suporte nessa categoria consiste em perguntas que são abordadas no Host Intrusion Prevention 8.0 Guia de instalação.

A McAfee recomenda que você teste e faça a linha de base de todas as novas instalações de aplicativos de segurança para seus ambientes de produção antes de implantá-las em todos os sistemas. Embora McAfee teste e valide completamente os produtos de segurança antes do lançamento, o mesmo é verdadeiro antes de você distribuir o host IPS para todos os nós em um ambiente corporativo. Os produtos de terceiros e as infra-estruturas de rede adaptam novos recursos de segurança a uma taxa rápida, por causa de avanços tecnológicos. A interoperabilidade de produtos permanece como alvo de mudança para todos os fornecedores, e as imagens básicas dos clientes devem ser validadas com alterações em qualquer produto. Depois de validar o host IPS em ambientes de teste ou piloto, a McAfee recomenda um piloto de produção ou uma abordagem em fases para a implantação de produção empresarial.


Falha na nova instalação
O host IPS é distribuído com IPS e recursos de firewall desativados por padrão. A McAfee recomenda que você selecione sistemas que representem os aplicativos e as configurações de todos os grupos em seu ambiente. Se você tiver imagens padronizadas, será mais fácil validar o host IPS para o seu ambiente. Se você tiver sistemas diferentes, poderá ter desafios ao validar a interoperabilidade. É mais fácil para Suporte técnico resolver os problemas de interoperabilidade antes da distribuição em toda a empresa, em vez de resolver problemas críticos que você encontra após ou durante uma distribuição em toda a empresa.

E se eu tiver um problema com software de terceiros?
Os problemas que envolvem software de terceiros podem acontecer, especialmente quando envolvem terceiros Segurança antivírus. Consulte os artigos a seguir:

• Para obter informações sobre como solucionar problemas de um aplicativo voltado para a rede ou do tráfego que o host IPS firewall bloqueia, consulte KB67055.
• Para obter informações sobre um aplicativo de terceiros que para de funcionar ou que seja prejudicado após a instalação do host IPS ou do conteúdo de atualização, consulte KB67056.

Por que o host IPS 8.0 pacotes de patches incrementais (MSP) maiores do que a instalação completa do host IPS que inclui o patch?
Os pacotes MSP continuam a ficar maiores, pois cada vez que a McAfee libera um novo patch, o MSP deve conter as informações necessárias para upgrade cada patch lançado anteriormente e a versão de disponibilidade geral do produto. Devido a esse requisito, há uma transformação (MST) incorporada no MSP para cada uma dessas versões anteriores, em vez de apenas uma cópia dos novos arquivos.

A transformação MST é basicamente uma MSI diff Isso usa um MSI conhecido anteriormente e atualização-o para o MSI mais recente no qual o patch foi baseado. Como as tabelas do MSI contêm dados binários para coisas como o código de ação personalizado incorporado e alguns de nossos utilitários de suporte (por exemplo, clientcontrol.exe), essas diferenças MSI podem ser grandes, o que faz com que cada patch subsequente cresça.


Como faço para instalar o IPS do host 8.0 localmente ou com soluções de terceiros?
Extraia os arquivos de instalação do arquivo. zip para uma pasta temporária, execute Setup.exee, em seguida, conclua a instalação. O setup. exe oferece suporte a muitas das opções de linha de comando do MSI.


Como instalo o host IPS usando o ePO?
Adicione o pacote de instalação ao seu repositório e, em seguida, crie ou modifique uma tarefa de distribuição. A tarefa de distribuição também permite que você especifique opções de linha de comando. Essa capacidade permite que você faça alterações simples na instalação, como válida Instalando um recurso específico. Para obter uma lista completa de opções, consulte o Host Intrusion Prevention 8.0 Guia de instalação.


Por que o produto é instalado na pasta arquivos de programas (x86)?
O host IPS instala binários de 32 bits e de 64 bits em sistemas x64. Os binários de produto de 64 bits são instalados em uma subpasta x64 do caminho de instalação. Outros binários, como drivers, são instalados em seus locais apropriados no sistema de arquivo do Windows. O produto não está de acordo com as diretrizes de instalação dos arquivos de 64 bits no \program pasta arquivos, mas o produto oferece suporte ao x64 de forma nativa.


Existe algum conteúdo de assinatura do host IPS no pacote de instalação?
O host IPS é enviado com conteúdo de assinatura 8.0.0.3709, que permite que o host IPS funcione após uma instalação se um servidor ePO não puder ser contatado para atualizações de assinatura. A McAfee recomenda que você configure uma tarefa de atualização programada regularmente para incluir o conteúdo de assinatura do host IPS para os sistemas instalados.


Com que frequência o conteúdo do host IPS é atualizado?
O host IPS é atualizado para o repositório comum na segunda terça-feira de cada mês às 20h Horário. A segunda terça-feira de cada mês também é quando as atualizações de segurança Microsoft Windows são lançadas (também conhecidas como Microsoft Patch Tuesday).


Preciso reiniciar depois de instalar o?
Para novos sistemas, não é necessário reiniciar o computador para começar a usar o host IPS 8.0. Só McAfee a recomenda que você reinicie o para garantir um ambiente de Windows mais limpo.

OBSERVAÇÃO: Se você upgrade host IPS 7.0 os sistemas podem precisar ser reiniciados, dependendo do seu sistema operacional. McAfee a recomenda que você faça a validação com suas imagens específicas.


Como faço para remover o host IPS?
Você pode remover o host IPS usando uma tarefa de distribuição do ePO ou localmente usando Programas e recursos Quanto Aplicativos e recursos, dependendo da versão do Windows. Você deve desativar o proteção do IPS no sistema antes de remover o host IPS localmente.


A versão do meu produto é compatível?
Para obter informações sobre o fim da vida útil (EOL), vá para: www.mcafee.com/us/support/support-eol.aspx.

Como adiciono vários endereços IP para minhas regras de firewall?
Você pode definir um novo item de "rede" no catálogo do host IPS. Você pode definir o contêiner de objetos de rede com um ou vários endereços IP, sub-rede, sub-rede local, faixa de IP, FQDN, qualquer endereço local, qualquer IPv4 ou IPv6 como confiável. Depois de definir um objeto de catálogo de rede, você pode usar esse objeto de catálogo em suas opções de rede de regras do firewall clicando em Adicionar do catálogo Quando você edita firewall regras. Se os endereços IP precisarem ser alterados para qualquer regra que use o objeto de catálogo, você poderá atualização os endereços IP no objeto de catálogo de rede do catálogo do host IPS. Todas as regras de firewall que se referem ao objeto de catálogo recebem os endereços IP de rede atualizados.


Como faço para interromper o serviço do host IPS?
O host IPS usa um mecanismo de autoproteção para impedir que até mesmo os administradores interrompam o serviço. Ele é controlado por meio da política do IPS, e a autoproteção é desativada quando o IPS é desativado. Você também pode desativar o IPS localmente usando o ícone da bandeja de interface de usuário do cliente do host IPS. Você precisa de uma senha de administrador do host IPS para desbloquear a interface do usuário do cliente e desativar o IPS.


Como configuro o bloqueio de aplicativos no host IPS 8.0?
O recurso de bloqueio de aplicativos foi removido para o host IPS 8.0, mas você pode configurar o bloqueio de aplicativos e a proteção contra interceptação usando as assinaturas do IPS 6010 e 6011. Para obter mais informações, consulte KB71794.


Como investigar problemas de desempenho?
Há várias abordagens para investigar problemas de desempenho. Execute as ações nas etapas a seguir de forma seqüencial para ajudar a identificar o problema. Depois de identificar o problema, você pode executar as etapas apropriadas para resolvê-lo. As etapas a seguir são pretendidas como diretrizes em vez de instruções abrangentes. Mais ferramentas estão listadas em KB72766.

1. Tarefa Manager— Pressione CTRL + SHIFT + ESC para abrir a tarefa Manager. Classifique pela coluna CPU para ver quais processos estão usando a CPU.
   OBSERVAÇÃO: O número é uma porcentagem de todos os processadores ou núcleos disponíveis. Portanto, 25% em um sistema com quatro CPUs significa que um processo está fazendo a vinculação de um dos núcleos, o que, em geral, indica um problema. Você pode investigar mais depois de identificar os processos incorretos.
   
2. Monitor de desempenho— Use o monitor de desempenho (PerfMon) para transmitir os detalhes específicos da quantidade de CPU que está sendo usada e por quanto tempo. Essa ação fornece informações sobre como o sistema ou os usuários são impactados. Utilização PerfMon para monitor o processo, o processador e a memória do objeto de desempenho, e capture todos os contadores e instâncias. McAfee aconselha você a usar uma taxa de amostragem de um segundo para a maioria dos problemas que ocorrem dentro de uma breve janela de tempo ou que são previsíveis. Para reduzir o tamanho potencial do registro gerado, você pode usar menos e mais contadores específicos em vez de capturar tudo. Essa abordagem permite que a captura seja executada por períodos de tempo mais longos sem a criação de um log de arquivo incômodo.
   
3. Ferramenta de monitoramento de desempenho do Windows (XPerf)— Em Microsoft Vista e sistemas operacionais mais recentes, o Microsoft fornece uma ferramenta poderosa que fornece informações detalhadas sobre um problema de desempenho, incluindo a API que está sendo mais chamada. Geralmente, os fornecedores usam essas informações em um nível de engenharia ou de desenvolvimento, onde os arquivos de símbolos para o código-fonte são acessíveis. Essas informações ajudam a esclarecer os caminhos de código que estão sendo usados.
   
4. VSE Profiler (quando o VSE também está sendo executado no sistema)— O criador de perfil do VSE fornece visibilidade sobre o que o produto está fazendo, como quais arquivos estão sendo varridos. Essa ferramenta oferece uma maneira de gerar relatórios, o que pode ajudá-lo a compreender os dados coletados.
   
   Para fazer download o criador de perfil do VSE, vá para: https://support.mcafee.com/webcenter/portal/supportportal/pages_tools/toolsMcAfeeProfiler. Talvez você possa criar exclusões ou aplicar os perfis de varredura Hi/Low/padrão para criar uma configuração que melhora o desempenho.

IMPORTANTE: A McAfee recomenda o trabalho com Suporte técnico se os problemas de desempenho não forem resolvidos depois que você seguir as etapas acima.


Por que o servidor ePO está usando tanto CPU quando a tarefa do servidor Conversor de propriedade está em execução?
A tarefa de servidor Conversor de propriedade do host IPS do ePO é executada a cada 15 minutos por padrão. Essa tarefa converte as propriedades do cliente do sistema em regras de cliente adaptável que são exibidas nas guias das regras de cliente da exibição do relatório de eventos do host IPS. O processamento excessivo de regras de cliente pode causar aumento de consumo de CPU para processos relacionados ao ePO. Além disso, as propriedades malformadas coletadas no sistema final podem causar erros de Conversor de propriedade. O host IPS 8.0 A extensão do patch 4 e posterior exibe o seguinte alerta quando você ativa o modo adaptável na política de opções do Firewall:

• KB80102— o console do ePolicy Orchestrator parade responder ou demora vários minutos para ser aberto ao editar o Host Intrusion Prevention 8.0 Catálogo
• KB71607— Cadeia de caracteres com excesso de regras mal formada detectada, data não analisável ou outras mensagens de Conversor de propriedade IPS do host (no ePolicy Orchestrator 5.x Orion. log)
• KB71520—Host Intrusion Prevention 8.0 erro de conversor de propriedades com falha em POSTALCODE

Como impedir que o firewall bloqueie o tráfego não IP?
O firewall não reconhece alguns tipos de tráfego não IP, portanto, eles são bloqueados, a menos que sejam especificados em uma regra de firewall. Além disso, os modos adaptável e de aprendizado não detectam e criam regras de firewall de forma dinâmica para protocolos não IP. Para evitar que protocolos não IP sejam descartados, selecione Permitir tráfego para protocolos incompatíveis na política opções de Firewall e, em seguida, verifique o registro de atividades para protocolo não IP de entrada/saída permitido: 0xXXX, em que 0xXXX indica o número da Ethernet IANA do protocolo (consulte http://www.iana.org/assignments/ethernet-numbers). Use estas informações para determinar o tráfego não IP que é necessário e criar uma regra de firewall que permita.

Como o host proteção do IPS funciona?
O host proteção do IPS monitora chamadas de sistemas executáveis feitas usando interfaces de programação de aplicativos (APIs) no sistema protegido. Essas chamadas do sistema são feitas de e para o sistema operacional kernel para processamento de recursos. O monitoramento do host IPS detecta anomalias em chamadas do sistema e bloqueia ou registra essas chamadas para análise. O host IPS usa vários mecanismos de classe de monitoramento para atingir essa meta. Para obter informações sobre o estouro de buffer, arquivos, gancho, Conteúdo ilegal uso de API, utilização de Conteúdo ilegal, ISAPI, programa, registro, serviços e classes de mecanismo do SQL, consulte a Host Intrusion Prevention 8.0 Guia de produto. Como o Proteção contra estouro de buffer funcionam?
A proteção contra estouro de buffer (BOP) monitora executáveis e APIs no sistema protegido. Ele verifica a execução de código a partir de um estouro de buffer ou saturação de buffer. O BOP não impede que a saturação ocorra, mas interrompe a execução do código que ocorre a partir dessa saturação. Esse método de exploração é comum e é usado por malware de aplicativos vulneráveis para obter acesso aos dados ou ao sistema, bem como se propagar ainda mais.

A proteção ocorre por meio de ganchos de nível kernel, também conhecido como aplicação de patches de kernel de várias tabelas de sistema, retornam a execução de código através de nossos testes de segurança, antes que ele retorne à programação programada anteriormente. Esse recurso é limitado em plataformas de 64 bits, pois o kernel permite a aplicação de patches limitados. Você pode tornar esse BOP redundante se a prevenção de execução de dados estiver em vigor. Para obter informações sobre detalhes de cobertura para plataformas de Windows compatíveis, consulte KB51504.

O artigo mencionado está disponível apenas para usuários registrados no ServicePortal.

Para exibir os artigos registrados:

1. Entre no ServicePortal em http://support.mcafee.com.
2. Digite a ID do artigo no campo de pesquisa, na página inicial.
3. Clique em Pesquisar ou pressione Enter.

O que é a proteção IPS de rede?
O driver de filtro de proteção do IPS de rede inspeciona os dados que se comunicam entre o sistema protegido e a rede. Os pacotes são examinados em relação a perfis de ataque maliciosos. Se um ataque for identificado, os dados ofensivos serão descartados ou impedidos de passar pelo sistema. O host IPS contém uma lista padrão de assinaturas de IPS de rede para plataformas Windows. Você pode editar o nível de gravidade, o status do registro e a configuração de criação de regras de cliente dessas assinaturas. No entanto, você não pode adicionar assinaturas de rede personalizadas. As assinaturas de rede fazem o seguinte:

• Proteger sistemas localizados com o downstream em um segmento de rede
• Proteger os servidores e os sistemas que se conectam a eles
• Proteja-se contra ataques de negação de serviço de rede e ataques orientados a largura de banda que negam ou prejudicam o tráfego de rede

É o driver de filtro de Firewall do host IPS especificação de interface do driver de rede (NDIS) 5.0 ou NDIS 6.0?
A NDIS é a API para adaptadores de rede e drivers de filtro de rede que operam em Microsoft sistemas operacionais. A Microsoft e a 3COM Corporation desenvolveram essa especificação em conjunto. Windows 7, Windows Vista, Windows Server 2008 e sistemas operacionais mais recentes usam o NDIS 6.x APIs. Esses sistemas operacionais também oferecem compatibilidade com versões anteriores para o NDIS 5.x Filtre os drivers por meio de uma camada de compatibilidade de Microsoft.

• Serviço de McAfee Host Intrusion Prevention (FireSvc.exe)
• McAfee Firewall serviço principal (mfefire.exe)— Não iniciada automaticamente com o host IPS 8.0 Patch 6 e versões posteriores. Exibidas KB85374.
• Serviço de proteção confiável de validação de McAfee (mfevtps.exe)
• McAfee Host Intrusion Prevention serviço de chamada de procedimento local (LPC) (HipMgmt.exe)— adicionado com o host IPS 8.0 Patch 3 e versões posteriores. Exibidas KB81474.

Os serviços a seguir são ativados quando chamados:

• Serviço de ícone da área de notificaçãa McAfee Host Intrusion Prevention (FireTray.exe)
• McAfee Host Intrusion Prevention console do cliente (McAfeeFire.exe)

Onde os arquivos de registro estão localizados?
Todos os arquivos de registro estão localizados no C:\ProgramData\McAfee\Host Intrusion Prevention\ na pasta do sistema cliente.


Quais arquivos de registro estão associados ao componente host IPS?
O arquivo de registro primário para o componente do host IPS é HipShield.log. Esse arquivo de log é ampliado para 128 MB e gira com um backup. O DWORD nas log_rotate_size_kb em log_rotate_count o registro de controle arquivo rotação. As entradas estão localizadas no seguinte:

• 32 bits: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP
• 64 bits: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\McAfee\HIP

​O log_rotate_count chave determina o número de arquivos de log de backup a serem preservados e o DWORD entrada log_rotate_size_kb é o tamanho aproximado em KB de um log de backup arquivo, em que 0 significa que a rotação de log está desativada. Quando o log_rotate_size_kb o tamanho especificado for excedido, o arquivo será fechado e renomeado com o sufixo 0,1. Se já existir um arquivo com esse nome, o sufixo é incrementado por um. Quando o número especificado de arquivos de backup for atingido, o mais antigo será excluído.


Quais são as considerações a serem observadas no HipShield.log?
Uma execução do componente host IPS começa com uma instrução banner que identifica a execução da compilação e o carimbo de data e hora da seção. Cada entrada do HipShield registro mostra um carimbo de data e hora, seguido de uma indicação se esses dados são informativos, de depuração ou de erro. Os dados contidos no HipShield é ad-hoc e difere entre partes do componente do host IPS. Principais áreas de interesse:

• Linhas que começam com In install modules new Descreva a cópia dos arquivos como parte do início do componente do host IPS. A falha ao copiar esses arquivos impede que o componente do host IPS seja iniciado.
• Uma linha que começa com Scrutinizer initialized successfully indica que o componente host IPS foi carregado com êxito através da inicialização do guia de limpeza. Essa ação depende dos arquivos mencionados acima que tiverem sido copiados corretamente.
• Uma linha que começa com New Process: PID = indica que o componente host IPS pode monitor a criação de processos.
• Uma linha que começa com IIS - Start indica que a monitoração de IIS está começando.
• Uma linha que começa com Scrutinizer started successfully ACTIVATED status indica que o Scrutinizer foi iniciado com êxito.
• Uma linha que começa com Hooking xxx indica que a interceptação de processos está prosseguindo. O número xxx indica o PID (ID do processo) do processo que está sendo interceptado.
• Uma série de linhas que começam com Processing Buffer xxx.scn está relatando os resultados do processamento do mecanismo de varredura do scanfile xxx.scn, em que xxx é um nome como EnterceptMgmtServer, como mostrado acima. Erros nos mecanismos em que o processamento de arquivos de varredura são relatados aqui.
• Linhas no formato signature=111 level=2, log=True relatar que uma assinatura individual foi carregada. A ID de assinatura e o nível são incluídos com uma indicação de que o registro está ativado para esta assinatura.
  
  OBSERVAÇÃO: O Shield.db em except.db os arquivos são criados no mesmo diretório que os logs somente quando a depuração está ativada. Esses arquivos contêm uma descarga das regras e exceções que são enviadas para o kernel após a AgentNT.dll o processou o conteúdo.
  

Quais arquivos de registro estão associados ao componente firewall?

FireSvc.log (Registro de serviço principal)	Registro em log de nível de depuração Saída correspondente ao local TrustedSource saída de classificação de conexão Erros/avisos
HipMgtPlugin.log (McAfee Agent registro de plug-in)	Registro em log de nível de depuração Estatísticas de tempo para imposição de política Erros/avisos
FireTray.log / McTrayHip.log (Registro na bandeja)	Registro em log de nível de depuração Erros/avisos
FireUI.log (Log de interface do usuário do cliente)	Registro em log de nível de depuração Erros/avisos

Esses arquivos de registro crescem até atingirem o tamanho máximo padrão de 100 MB. Se você precisar de arquivos de registro maiores ou menores, poderá controlar o tamanho adicionando o seguinte valor de registro: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]

Para definir o tamanho do log, consulte a seção "quais arquivos de log estão associados à firewall componente?" do Host Intrusion Prevention 8.0 Guia de produto.


O que é o utilitário de linha de comando ClientControl?
Esse utilitário de linha de comando ajuda a automatizar os upgrades e outras tarefas de manutenção se você usar um software de terceiros para distribuir o host IPS nos clientes. Você pode incluí-lo em scripts de instalação e manutenção para desativar temporariamente proteção do IPS e ativar as funções de registro. Para obter mais informações, consulte o IPS de host 8.0 Utilitário ClientControl. exe alimenta.