Detalhes de local de registro do "log arquivo de dados" do host IPS atualizados.
Seções expansíveis adicionadas.
Este artigo é uma lista consolidada de perguntas e respostas comuns. Ele é destinado a usuários que não são novos do produto, mas pode ser usado para todos os usuários. —
OBSERVAÇÃO: Este artigo trata de perguntas gerais sobre o host IPS.
Clique para expandir a seção que você deseja exibir:
Eventos IPS de cliente e IPS
Os eventos de assinatura do IPS são um dos principais geradores de chamadas para o host IPS. Normalmente, essas consultas são o resultado de disparadores de eventos de assinatura do IPS. Em geral, o host IPS oferece IPS e proteção de firewall para sistemas de ponto de extremidade como parte de uma estratégia de proteção em camadas. Além do host IPS, a estratégia de proteção em camadas deve incluir:
firewall de gateway de rede ou sistemas de intrusão
Ou
Filtragem, antivírus de terminal Antivirus e aplicativos antimalware de ponto de extremidade
O conteúdo de assinatura do IPS do host fornece segurança para proteger-se contra os conhecidos e desconhecidos (dia zero) vulnerabilidades do sistema. Zero-Day é a lacuna entre sistemas sem patches e a aplicação de atualizações de segurança lançadas para vulnerabilidades confirmadas. O conteúdo do host IPS contém estouro genérico de buffer e outros mecanismos de assinatura genéricos para proteger sistemas durante esse período. No entanto, McAfee recomenda que você aplique atualizações de segurança específicas do sistema operacional e do aplicativo da maneira mais rápida do que em seu ambiente. Essa ação pode reduzir detecções frequentes ou repetidas do assinatura do IPS.
McAfee aconselha o seguinte:
Siga um método geral para revisar as atualizações de segurança específicas do aplicativo e do sistema operacional.
Recorreções de sistemas e aplicativos de acordo com todo o mês ou regularmente.
Revise o host mensal assinatura do IPS atualizações para correlação com atualizações de segurança de fornecedor específicas que são liberadas. Você pode desativar com segurança host mapeamento de assinaturas do IPS diretamente para as atualizações de segurança disponíveis do fornecedor em sistemas atualizados.
Revise o conteúdo da assinatura ativado e os patches do sistema com as atualizações de segurança disponíveis mensalmente para reduzir a probabilidade de falsos positivos excessivos em sistemas já atualizados.
Use o método geral a seguir ao avaliar assinatura do IPS eventos:
Identifique o número de assinatura que está sendo disparado.
Revise as informações de descrição do número de assinatura do IPS da política de regras do IPS no ePolicy Orchestrator (ePO).
Revise os links de descrição da referência CVE, se algum estiver incluído nas informações de descrição da assinatura.
Identifique se há algum Microsoft boletins de segurança do TechNet vinculados à vulnerabilidade aplicável. E identifique se há Microsoft atualizações de segurança disponíveis que resolvam a vulnerabilidade.
Verifique se os sistemas que estão relatando o evento IPS têm todas as atualizações de segurança Microsoft aplicáveis aplicadas, como indicado acima:
Em caso afirmativo, a assinatura do IPS aplicável poderá ser desativada nos sistemas em que as atualizações de segurança do Microsoft associadas foram aplicadas.
Caso contrário, a McAfee recomenda que você aplique as atualizações de segurança Microsoft aplicáveis aos sistemas afetados assim que for conveniente.
Se nenhum link de descrição de CVE for observado para o assinatura do IPS disparador, revise todos os detalhes avançados para o evento de IPS recebido.
Identifique se o evento é disparado correlacionado ao uso ou ao processo de negócios normal.
Identifique se os sistemas que estão enfrentando o evento têm as atualizações de segurança do Microsoft mais recentes aplicadas.
Identifique se o evento do IPS é específico para um processo de terceiros, como Adobe, um processo ou outra ferramenta. Em caso afirmativo, revise todas as atualizações de segurança aplicáveis do fornecedor e certifique-se de que elas sejam aplicadas nos sistemas.
Se a assinatura ainda disparada após a aplicação de um atualização de segurança do fornecedor aplicável, considere o evento como falso positivo. Desative a assinatura dos sistemas atualizados ou crie um exceção do IPS para que os sistemas atualizados parem todas as detecções de assinaturas posteriores.
Se não houver atualização de segurança do fornecedor aplicável disponíveis, determine se os sistemas afetados possuem definições atuais de antivírus e antimalware para o VirusScan ou outro aplicativo de proteção de ponto de extremidade instalado. Execute uma varredura completa nos sistemas afetados.
Determine se os sistemas afetados estão protegidos por outras medidas de segurança de perímetro, como a detecção de invasão de rede.
Ativar registro detalhado de depuração ativando Registrar violações de segurança de log para o host IPS, para que você possa coletar informações avançadas no HipShield.log. Exibidas KB54473 para obter informações relevantes sobre as violações de segurança do IPS no HipShield.log.
Entre em contato com o Suporte técnico para análise mais detalhada.
Regras de firewall de cliente e firewall
Em Comum firewall perguntas de configuração de política incluem as regras de firewall que devem ser configuradas nos sistemas de ponto de extremidade. As políticas típicas de firewall de clientes corporativos variam de conjuntos de regras simples que usam grupos cientes de conexão e local, para políticas complexas de regras que definem hashes executáveis de processos, que englobam centenas de regras de firewall de entrada e de saída. Grandes políticas de firewall aumentam a complexidade do gerenciamento e podem contribuir para o desempenho reduzido em sistemas de especificações mais baixas. Grandes conjuntos de regras também podem adicionar sobrecarga de desempenho no servidor ePO durante as configurações de política e maior sobrecarga para o McAfee Agent durante intervalos de imposição de política.
O host IPS 8.0 a firewall inclui vários recursos que permitem configurações de política simplificadas:
IPS de host 8.0 inclui modelos de regras de política padrão firewall simplificados, nos quais você pode basear a sua política. A McAfee recomenda que você use conjuntos de regras simplificados usando o stateful firewall, redes confiáveis e aplicativos confiáveis para políticas de rede corporativa interna.
A firewall é considerada uma dinâmico firewall, o que reduz a necessidade de regras excessivas de firewall de entrada. As políticas de regras podem ser muito mais simplificadas. A tabela de estado do firewall armazena dinamicamente informações sobre conexões de tráfego de saída ativas do sistema. O firewall filtrar regras de tabela de estado e permitir o tráfego de retorno associado, o que anula a necessidade de definir conjuntos de regras de entrada complexos.
O uso de grupos com reconhecimento de local define ainda mais os conjuntos de regras para usuários remotos na LAN normal. Você pode configurar conjuntos de regras simplificados em um grupo com reconhecimento de local. Essa ação permite que usuários remotos se conectem usando uma VPN da empresa e, em seguida, utilizem regras de firewall normais.
Redes confiáveis— Lista endereços IP e redes, incluindo exceções de TrustedSource, que são seguras para comunicação. As redes confiáveis podem incluir endereços IP individuais ou faixas de endereços IP. Listar redes como confiáveis elimina ou reduz a necessidade de exceções de IPS de rede e mais regras de firewall. (Somente para clientes Windows.)
Aplicativos confiáveis— Lista os aplicativos que são seguros e não possuem vulnerabilidades conhecidas. A marcação de aplicativos como confiáveis elimina ou reduz a necessidade de exceções do IPS e regras mais firewall. Assim como a política de regras do IPS, essa categoria de política pode conter várias instâncias de política. (Para clientes em plataformas Windowss e não Windows.)
Firewall modo adaptável— Uma ajuda para o ajuste de firewall.
OBSERVAÇÃO: Usar somente o modo adaptável temporária em alguns sistemas para firewallr o ajuste de regras. Esse modo pode criar muitas regras de cliente em sistemas finais. Portanto, ele também pode criar uma sobrecarga significativa para o servidor ePO ao processar regras de adaptação de cliente excessivas do firewall. A McAfee recomenda limitar o modo adaptável para firewalls a alguns sistemas por um tempo limitado como um auxílio no ajuste de políticas de firewall.
Revise as regras adaptáveis do cliente diariamente ou no mínimo, semanalmente, enquanto os sistemas de destino têm o modo adaptável ativado. Depois de distribuir o modo adaptável para firewalls, desative o modo adaptável nos sistemas de destino com o Reter regras de cliente opção desmarcada. Essa ação garante que todas as regras de cliente aprendidas no sistema de destino sejam eliminadas. No console do ePO, revise as regras de cliente do firewall. Identificar regras a serem aplicadas a uma política de regras de firewall de ajuste no sistema final antes de reativar o firewall com o modo adaptável. Siga estas etapas iterativas para obter uma política de regras de firewall final antes da distribuição para todos os sistemas. O modo adaptável pode não reconhecer parte do tráfego de rede relacionado a aplicativos, e talvez você precise configurar regras de firewall manualmente. Entre em contato com o fornecedor do aplicativo para obter informações sobre configurações de firewall específicas do aplicativo, a fim de garantir a funcionalidade.
Instalação, instalação, desinstalação e distribuição usando o ePO
A maioria das chamadas de suporte nessa categoria consiste em perguntas que são abordadas no Host Intrusion Prevention 8.0 Guia de instalação.
A McAfee recomenda que você teste e faça a linha de base de todas as novas instalações de aplicativos de segurança para seus ambientes de produção antes de implantá-las em todos os sistemas. Embora McAfee teste e valide completamente os produtos de segurança antes do lançamento, o mesmo é verdadeiro antes de você distribuir o host IPS para todos os nós em um ambiente corporativo. Os produtos de terceiros e as infra-estruturas de rede adaptam novos recursos de segurança a uma taxa rápida, por causa de avanços tecnológicos. A interoperabilidade de produtos permanece como alvo de mudança para todos os fornecedores, e as imagens básicas dos clientes devem ser validadas com alterações em qualquer produto. Depois de validar o host IPS em ambientes de teste ou piloto, a McAfee recomenda um piloto de produção ou uma abordagem em fases para a implantação de produção empresarial.
Falha na nova instalação
O host IPS é distribuído com IPS e recursos de firewall desativados por padrão. A McAfee recomenda que você selecione sistemas que representem os aplicativos e as configurações de todos os grupos em seu ambiente. Se você tiver imagens padronizadas, será mais fácil validar o host IPS para o seu ambiente. Se você tiver sistemas diferentes, poderá ter desafios ao validar a interoperabilidade. É mais fácil para Suporte técnico resolver os problemas de interoperabilidade antes da distribuição em toda a empresa, em vez de resolver problemas críticos que você encontra após ou durante uma distribuição em toda a empresa.
E se eu tiver um problema com software de terceiros?
Os problemas que envolvem software de terceiros podem acontecer, especialmente quando envolvem terceiros Segurança antivírus. Consulte os artigos a seguir:
Para obter informações sobre como solucionar problemas de um aplicativo voltado para a rede ou do tráfego que o host IPS firewall bloqueia, consulte KB67055.
Para obter informações sobre um aplicativo de terceiros que para de funcionar ou que seja prejudicado após a instalação do host IPS ou do conteúdo de atualização, consulte KB67056.
IMPORTANTE: Se você entrar em contato com o Suporte técnico para um problema que não possa resolver, também deverá envolver o fornecedor de terceiros para análise em paralelo com a McAfee. Muitos problemas de interoperabilidade exigem a resolução pelo fornecedor terceirizado e nãa McAfee. A McAfee está comprometida a trabalhar em conjunto com fornecedores terceirizados para resolver qualquer problema de interoperabilidade.
O que torna o host IPS um produto de 64 bits?
IPS de host 8.0 instala os binários de 32 bits e 64 bits em sistemas x64. Os binários de produto de 64 bits são instalados em uma subpasta x64 do caminho de instalação. Outros binários, como drivers, são instalados em seus locais apropriados no sistema de arquivo do Windows. O produto não está de acordo com as diretrizes de instalação dos arquivos de 64 bits no \program pasta arquivos, mas o produto oferece suporte ao x64 de forma nativa.
O que é executado no modo de compatibilidade de 32 bits em sistemas x64?
Alguns aplicativos de terceiros são executados como 32 bits, de modo que o host IPS 8.0 carrega os mecanismos de IPS de 32 bits apropriados para eles.
Por que devo instalar o McAfee Agent em laptops que raramente se conectam à rede?
O McAfee Agent é um agente do ePO que fornece imposição de política. Depois que você instalar o agente e ele receber a política, que é configurada no servidor ePO, a política que você definiu será imposta no intervalo de imposição de política que você definiu se o laptop está ou desligado na rede. Essa ação garante que as configurações de sua empresa para os seus produtos McAfee estejam sempre no local.
Posso usar o host IPS 8.0 para bloquear o acesso a dispositivos USB?
Não efetivamente. É possível bloquear o acesso a dispositivos USB usando um assinatura do IPS personalizado com o host IPS 8.x. No entanto, existem limitações de segurança ao usar uma assinatura do IPS.
Para bloquear dispositivos USB de maneira eficiente, McAfee recomenda que você use McAfee Data Loss Prevention.
Para obter informações sobre como impedir que os usuários se conectem a um dispositivo de armazenamento USB, consulte a Microsoft artigo de suporte 823732 em support.microsoft.com/kb/823732.
Por que o host IPS 8.0 pacotes de patches incrementais (MSP) maiores do que a instalação completa do host IPS que inclui o patch?
Os pacotes MSP continuam a ficar maiores, pois cada vez que a McAfee libera um novo patch, o MSP deve conter as informações necessárias para upgrade cada patch lançado anteriormente e a versão de disponibilidade geral do produto. Devido a esse requisito, há uma transformação (MST) incorporada no MSP para cada uma dessas versões anteriores, em vez de apenas uma cópia dos novos arquivos.
A transformação MST é basicamente uma MSI diff Isso usa um MSI conhecido anteriormente e atualização-o para o MSI mais recente no qual o patch foi baseado. Como as tabelas do MSI contêm dados binários para coisas como o código de ação personalizado incorporado e alguns de nossos utilitários de suporte (por exemplo, clientcontrol.exe), essas diferenças MSI podem ser grandes, o que faz com que cada patch subsequente cresça.
Como faço para instalar o IPS do host 8.0 localmente ou com soluções de terceiros?
Extraia os arquivos de instalação do arquivo. zip para uma pasta temporária, execute Setup.exee, em seguida, conclua a instalação.O setup. exe oferece suporte a muitas das opções de linha de comando do MSI.
Como instalo o host IPS usando o ePO?
Adicione o pacote de instalação ao seu repositório e, em seguida, crie ou modifique uma tarefa de distribuição. A tarefa de distribuição também permite que você especifique opções de linha de comando. Essa capacidade permite que você faça alterações simples na instalação, como válida Instalando um recurso específico. Para obter uma lista completa de opções, consulte oHost Intrusion Prevention 8.0 Guia de instalação.
Por que o produto é instalado na pasta arquivos de programas (x86)?
O host IPS instala binários de 32 bits e de 64 bits em sistemas x64. Os binários de produto de 64 bits são instalados em uma subpasta x64 do caminho de instalação. Outros binários, como drivers, são instalados em seus locais apropriados no sistema de arquivo do Windows. O produto não está de acordo com as diretrizes de instalação dos arquivos de 64 bits no \program pasta arquivos, mas o produto oferece suporte ao x64 de forma nativa.
Existe algum conteúdo de assinatura do host IPS no pacote de instalação?
O host IPS é enviado com conteúdo de assinatura 8.0.0.3709, que permite que o host IPS funcione após uma instalação se um servidor ePO não puder ser contatado para atualizações de assinatura. A McAfee recomenda que você configure uma tarefa de atualização programada regularmente para incluir o conteúdo de assinatura do host IPS para os sistemas instalados.
Com que frequência o conteúdo do host IPS é atualizado?
O host IPS é atualizado para o repositório comum na segunda terça-feira de cada mês às 20h Horário. A segunda terça-feira de cada mês também é quando as atualizações de segurança Microsoft Windows são lançadas (também conhecidas como Microsoft Patch Tuesday).
Preciso reiniciar depois de instalar o?
Para novos sistemas, não é necessário reiniciar o computador para começar a usar o host IPS 8.0. Só McAfee a recomenda que você reinicie o para garantir um ambiente de Windows mais limpo.
OBSERVAÇÃO: Se você upgrade host IPS 7.0 os sistemas podem precisar ser reiniciados, dependendo do seu sistema operacional. McAfee a recomenda que você faça a validação com suas imagens específicas.
Como faço para remover o host IPS?
Você pode remover o host IPS usando uma tarefa de distribuição do ePO ou localmente usando Programas e recursos Quanto Aplicativos e recursos, dependendo da versão do Windows. Você deve desativar o proteção do IPS no sistema antes de remover o host IPS localmente.
Como adiciono vários endereços IP para minhas regras de firewall?
Você pode definir um novo item de "rede" no catálogo do host IPS. Você pode definir o contêiner de objetos de rede com um ou vários endereços IP, sub-rede, sub-rede local, faixa de IP, FQDN, qualquer endereço local, qualquer IPv4 ou IPv6 como confiável. Depois de definir um objeto de catálogo de rede, você pode usar esse objeto de catálogo em suas opções de rede de regras do firewall clicando em Adicionar do catálogo Quando você edita firewall regras. Se os endereços IP precisarem ser alterados para qualquer regra que use o objeto de catálogo, você poderá atualização os endereços IP no objeto de catálogo de rede do catálogo do host IPS. Todas as regras de firewall que se referem ao objeto de catálogo recebem os endereços IP de rede atualizados.
Como faço para interromper o serviço do host IPS?
O host IPS usa um mecanismo de autoproteção para impedir que até mesmo os administradores interrompam o serviço. Ele é controlado por meio da política do IPS, e a autoproteção é desativada quando o IPS é desativado. Você também pode desativar o IPS localmente usando o ícone da bandeja de interface de usuário do cliente do host IPS. Você precisa de uma senha de administrador do host IPS para desbloquear a interface do usuário do cliente e desativar o IPS.
Como configuro o bloqueio de aplicativos no host IPS 8.0?
O recurso de bloqueio de aplicativos foi removido para o host IPS 8.0, mas você pode configurar o bloqueio de aplicativos e a proteção contra interceptação usando as assinaturas do IPS 6010 e 6011. Para obter mais informações, consulte KB71794.
Como investigar problemas de desempenho?
Há várias abordagens para investigar problemas de desempenho. Execute as ações nas etapas a seguir de forma seqüencial para ajudar a identificar o problema. Depois de identificar o problema, você pode executar as etapas apropriadas para resolvê-lo. As etapas a seguir são pretendidas como diretrizes em vez de instruções abrangentes. Mais ferramentas estão listadas em KB72766.
Tarefa Manager— Pressione CTRL + SHIFT + ESC para abrir a tarefa Manager. Classifique pela coluna CPU para ver quais processos estão usando a CPU. OBSERVAÇÃO: O número é uma porcentagem de todos os processadores ou núcleos disponíveis. Portanto, 25% em um sistema com quatro CPUs significa que um processo está fazendo a vinculação de um dos núcleos, o que, em geral, indica um problema. Você pode investigar mais depois de identificar os processos incorretos.
Monitor de desempenho— Use o monitor de desempenho (PerfMon) para transmitir os detalhes específicos da quantidade de CPU que está sendo usada e por quanto tempo. Essa ação fornece informações sobre como o sistema ou os usuários são impactados. Utilização PerfMon para monitor o processo, o processador e a memória do objeto de desempenho, e capture todos os contadores e instâncias. McAfee aconselha você a usar uma taxa de amostragem de um segundo para a maioria dos problemas que ocorrem dentro de uma breve janela de tempo ou que são previsíveis. Para reduzir o tamanho potencial do registro gerado, você pode usar menos e mais contadores específicos em vez de capturar tudo. Essa abordagem permite que a captura seja executada por períodos de tempo mais longos sem a criação de um log de arquivo incômodo.
Ferramenta de monitoramento de desempenho do Windows (XPerf)— Em Microsoft Vista e sistemas operacionais mais recentes, o Microsoft fornece uma ferramenta poderosa que fornece informações detalhadas sobre um problema de desempenho, incluindo a API que está sendo mais chamada. Geralmente, os fornecedores usam essas informações em um nível de engenharia ou de desenvolvimento, onde os arquivos de símbolos para o código-fonte são acessíveis. Essas informações ajudam a esclarecer os caminhos de código que estão sendo usados.
VSE Profiler (quando o VSE também está sendo executado no sistema)— O criador de perfil do VSE fornece visibilidade sobre o que o produto está fazendo, como quais arquivos estão sendo varridos. Essa ferramenta oferece uma maneira de gerar relatórios, o que pode ajudá-lo a compreender os dados coletados.
IMPORTANTE: A McAfee recomenda o trabalho com Suporte técnico se os problemas de desempenho não forem resolvidos depois que você seguir as etapas acima.
Por que o servidor ePO está usando tanto CPU quando a tarefa do servidor Conversor de propriedade está em execução?
A tarefa de servidor Conversor de propriedade do host IPS do ePO é executada a cada 15 minutos por padrão. Essa tarefa converte as propriedades do cliente do sistema em regras de cliente adaptável que são exibidas nas guias das regras de cliente da exibição do relatório de eventos do host IPS. O processamento excessivo de regras de cliente pode causar aumento de consumo de CPU para processos relacionados ao ePO. Além disso, as propriedades malformadas coletadas no sistema final podem causar erros de Conversor de propriedade. O host IPS 8.0 A extensão do patch 4 e posterior exibe o seguinte alerta quando você ativa o modo adaptável na política de opções do Firewall:
McAfee recommends that you enable Adaptive Mode on selected systems for a limited amount
of time only. Enabling Adaptive Mode on many systems for a long time can significantly
impact performance for the Host IPS Property Translator server task on ePolicy Orchestrator.
Para obter mais informações, consulte os seguintes artigos relacionados:
KB80102— o console do ePolicy Orchestrator parade responder ou demora vários minutos para ser aberto ao editar o Host Intrusion Prevention 8.0 Catálogo
KB71607— Cadeia de caracteres com excesso de regras mal formada detectada, data não analisável ou outras mensagens de Conversor de propriedade IPS do host (no ePolicy Orchestrator 5.x Orion. log)
KB71520—Host Intrusion Prevention 8.0 erro de conversor de propriedades com falha em POSTALCODE
Como impedir que o firewall bloqueie o tráfego não IP?
O firewall não reconhece alguns tipos de tráfego não IP, portanto, eles são bloqueados, a menos que sejam especificados em uma regra de firewall. Além disso, os modos adaptável e de aprendizado não detectam e criam regras de firewall de forma dinâmica para protocolos não IP. Para evitar que protocolos não IP sejam descartados, selecione Permitir tráfego para protocolos incompatíveis na política opções de Firewall e, em seguida, verifique o registro de atividades para protocolo não IP de entrada/saída permitido: 0xXXX, em que 0xXXX indica o número da Ethernet IANA do protocolo (consulte http://www.iana.org/assignments/ethernet-numbers). Use estas informações para determinar o tráfego não IP que é necessário e criar uma regra de firewall que permita.
Como o host proteção do IPS funciona?
O host proteção do IPS monitora chamadas de sistemas executáveis feitas usando interfaces de programação de aplicativos (APIs) no sistema protegido. Essas chamadas do sistema são feitas de e para o sistema operacional kernel para processamento de recursos. O monitoramento do host IPS detecta anomalias em chamadas do sistema e bloqueia ou registra essas chamadas para análise. O host IPS usa vários mecanismos de classe de monitoramento para atingir essa meta. Para obter informações sobre o estouro de buffer, arquivos, gancho, Conteúdo ilegal uso de API, utilização de Conteúdo ilegal, ISAPI, programa, registro, serviços e classes de mecanismo do SQL, consulte a Host Intrusion Prevention 8.0 Guia de produto.
Como o Proteção contra estouro de buffer funcionam?
A proteção contra estouro de buffer (BOP) monitora executáveis e APIs no sistema protegido. Ele verifica a execução de código a partir de um estouro de buffer ou saturação de buffer. O BOP não impede que a saturação ocorra, mas interrompe a execução do código que ocorre a partir dessa saturação. Esse método de exploração é comum e é usado por malware de aplicativos vulneráveis para obter acesso aos dados ou ao sistema, bem como se propagar ainda mais.
A proteção ocorre por meio de ganchos de nível kernel, também conhecido como aplicação de patches de kernel de várias tabelas de sistema, retornam a execução de código através de nossos testes de segurança, antes que ele retorne à programação programada anteriormente. Esse recurso é limitado em plataformas de 64 bits, pois o kernel permite a aplicação de patches limitados. Você pode tornar esse BOP redundante se a prevenção de execução de dados estiver em vigor. Para obter informações sobre detalhes de cobertura para plataformas de Windows compatíveis, consulte KB51504.
O artigo mencionado está disponível apenas para usuários registrados no ServicePortal.
Digite a ID do artigo no campo de pesquisa, na página inicial.
Clique em Pesquisar ou pressione Enter.
O que é a proteção IPS de rede?
O driver de filtro de proteção do IPS de rede inspeciona os dados que se comunicam entre o sistema protegido e a rede. Os pacotes são examinados em relação a perfis de ataque maliciosos. Se um ataque for identificado, os dados ofensivos serão descartados ou impedidos de passar pelo sistema. O host IPS contém uma lista padrão de assinaturas de IPS de rede para plataformas Windows. Você pode editar o nível de gravidade, o status do registro e a configuração de criação de regras de cliente dessas assinaturas. No entanto, você não pode adicionar assinaturas de rede personalizadas. As assinaturas de rede fazem o seguinte:
Proteger sistemas localizados com o downstream em um segmento de rede
Proteger os servidores e os sistemas que se conectam a eles
Proteja-se contra ataques de negação de serviço de rede e ataques orientados a largura de banda que negam ou prejudicam o tráfego de rede
É o driver de filtro de Firewall do host IPS especificação de interface do driver de rede (NDIS) 5.0 ou NDIS 6.0?
A NDIS é a API para adaptadores de rede e drivers de filtro de rede que operam em Microsoft sistemas operacionais. A Microsoft e a 3COM Corporation desenvolveram essa especificação em conjunto. Windows 7, Windows Vista, Windows Server 2008 e sistemas operacionais mais recentes usam o NDIS 6.x APIs. Esses sistemas operacionais também oferecem compatibilidade com versões anteriores para o NDIS 5.x Filtre os drivers por meio de uma camada de compatibilidade de Microsoft.
IPS de host 8.0 inclui duas versões do driver de firewall:
Um driver de firewall baseia-se no NDIS 6.x especificação para o Vista e sistemas operacionais mais recentes.
O outro driver de firewall se baseia no NDIS 5.x especificação do Windows XP e do Windows 2003.
OBSERVAÇÃO: A McAfee recomenda que você execute o host IPS 8.0 em sistemas operacionais vista e mais novos quando práticos, porque a NDIS 6.x os drivers executam a interface de programação atualizada em sistemas operacionais vista e mais recentes.
A Microsoft encerrou o suporte estendido ao Windows XP SP3 em 8 de abril de 2014. Para obter os melhores resultados e a máxima segurança, faça upgrade para um sistema operacional suportado. Consulte o artigo KB78434 para obter detalhes.
A Microsoft encerrou o suporte estendido para o Windows Server 2003 SP2 em 14 de julho de 2015. A partir do final de 2015, o único produto da McAfee compatível com Windows Server 2003 SP2 é o Application and Change Control.
O que é o mecanismo HTTP do host IPS?
O host IPS 8.0 O mecanismo HTTP consiste em dois componentes: um stub e um mecanismo. O stub é um invólucro fino que IIS carrega, que, então, carrega o mecanismo HTTP principal dependendo dos valores de controle armazenados no registro. O mecanismo HTTP usa um stub, portanto, as alterações de política relacionadas ao mecanismo HTTP não exigem a reinicialização do IIS. Quando o mecanismo HTTP está desativado na solução de problemas do IPS, ele remove a entrada de IIS. O mecanismo cria consultas a partir da solicitação HTTP e as transmite para o cliente HIP para correspondência. Dependendo de se a solicitação for bloqueada, ela permitirá que a solicitação HTTP continue. Não há dados de POSTAgem incluídos na seção dados brutos. A seção dados brutos contém as variáveis de cabeçalho de todas as versões do IIS.
Quais serviços do host IPS devem usar um cliente para que o software funcione corretamente?
Verifique se os serviços a seguir estão ativos para fornecer proteção contra prevenção de intrusões com um ou ambos IPS e firewall:
Serviço de McAfee Host Intrusion Prevention (FireSvc.exe)
McAfee Firewall serviço principal (mfefire.exe)— Não iniciada automaticamente com o host IPS 8.0 Patch 6 e versões posteriores. Exibidas KB85374.
Serviço de proteção confiável de validação de McAfee (mfevtps.exe)
McAfee Host Intrusion Prevention serviço de chamada de procedimento local (LPC) (HipMgmt.exe)— adicionado com o host IPS 8.0 Patch 3 e versões posteriores. Exibidas KB81474.
Os serviços a seguir são ativados quando chamados:
Serviço de ícone da área de notificaçãa McAfee Host Intrusion Prevention (FireTray.exe)
McAfee Host Intrusion Prevention console do cliente (McAfeeFire.exe)
Onde os arquivos de registro estão localizados?
Todos os arquivos de registro estão localizados no C:\ProgramData\McAfee\Host Intrusion Prevention\ na pasta do sistema cliente.
Quais arquivos de registro estão associados ao componente host IPS?
O arquivo de registro primário para o componente do host IPS é HipShield.log. Esse arquivo de log é ampliado para 128 MB e gira com um backup. O DWORD nas log_rotate_size_kbem log_rotate_counto registro de controle arquivo rotação. As entradas estão localizadas no seguinte:
O log_rotate_count chave determina o número de arquivos de log de backup a serem preservados e o DWORD entrada log_rotate_size_kb é o tamanho aproximado em KB de um log de backup arquivo, em que 0 significa que a rotação de log está desativada. Quando o log_rotate_size_kb o tamanho especificado for excedido, o arquivo será fechado e renomeado com o sufixo 0,1. Se já existir um arquivo com esse nome, o sufixo é incrementado por um. Quando o número especificado de arquivos de backup for atingido, o mais antigo será excluído.
Quais são as considerações a serem observadas no HipShield.log?
Uma execução do componente host IPS começa com uma instrução banner que identifica a execução da compilação e o carimbo de data e hora da seção. Cada entrada do HipShield registro mostra um carimbo de data e hora, seguido de uma indicação se esses dados são informativos, de depuração ou de erro. Os dados contidos no HipShield é ad-hoc e difere entre partes do componente do host IPS. Principais áreas de interesse:
Linhas que começam com In install modules new Descreva a cópia dos arquivos como parte do início do componente do host IPS. A falha ao copiar esses arquivos impede que o componente do host IPS seja iniciado.
Uma linha que começa com Scrutinizer initialized successfully indica que o componente host IPS foi carregado com êxito através da inicialização do guia de limpeza. Essa ação depende dos arquivos mencionados acima que tiverem sido copiados corretamente.
Uma linha que começa com New Process: PID = indica que o componente host IPS pode monitor a criação de processos.
Uma linha que começa comIIS - Startindica que a monitoração de IIS está começando.
Uma linha que começa com Scrutinizer started successfully ACTIVATED status indica que o Scrutinizer foi iniciado com êxito.
Uma linha que começa com Hooking xxx indica que a interceptação de processos está prosseguindo. O número xxx indica o PID (ID do processo) do processo que está sendo interceptado.
Uma série de linhas que começam com Processing Buffer xxx.scn está relatando os resultados do processamento do mecanismo de varredura do scanfile xxx.scn, em que xxx é um nome como EnterceptMgmtServer, como mostrado acima. Erros nos mecanismos em que o processamento de arquivos de varredura são relatados aqui.
Linhas no formato signature=111 level=2, log=True relatar que uma assinatura individual foi carregada. A ID de assinatura e o nível são incluídos com uma indicação de que o registro está ativado para esta assinatura.
OBSERVAÇÃO: O Shield.dbem except.dbos arquivos são criados no mesmo diretório que os logs somente quando a depuração está ativada. Esses arquivos contêm uma descarga das regras e exceções que são enviadas para o kernel após a AgentNT.dll o processou o conteúdo.
Quais arquivos de registro estão associados ao componente firewall?
FireSvc.log
(Registro de serviço principal)
Registro em log de nível de depuração
Saída correspondente ao local
TrustedSource saída de classificação de conexão
Erros/avisos
HipMgtPlugin.log
(McAfee Agent registro de plug-in)
Registro em log de nível de depuração
Estatísticas de tempo para imposição de política
Erros/avisos
FireTray.log / McTrayHip.log
(Registro na bandeja)
Registro em log de nível de depuração
Erros/avisos
FireUI.log
(Log de interface do usuário do cliente)
Registro em log de nível de depuração
Erros/avisos
Esses arquivos de registro crescem até atingirem o tamanho máximo padrão de 100 MB. Se você precisar de arquivos de registro maiores ou menores, poderá controlar o tamanho adicionando o seguinte valor de registro: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]
Para definir o tamanho do log, consulte a seção "quais arquivos de log estão associados à firewall componente?" do Host Intrusion Prevention 8.0 Guia de produto.
O que é o utilitário de linha de comando ClientControl?
Esse utilitário de linha de comando ajuda a automatizar os upgrades e outras tarefas de manutenção se você usar um software de terceiros para distribuir o host IPS nos clientes. Você pode incluí-lo em scripts de instalação e manutenção para desativar temporariamente proteção do IPS e ativar as funções de registro. Para obter mais informações, consulte o IPS de host 8.0 Utilitário ClientControl. exe alimenta.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.