Come creare o modificare una regola di protezione dell'accesso da un VSE 8.x o ePO 5.x Console
Ultima modifica: 06/11/2020
Ambiente
McAfee ePolicy Orchestrator (ePO) 5.x
McAfee VirusScan Enterprise (VSE) 8.8
Per informazioni dettagliate su VSE 8.x ambienti supportati, consultare L'articolo KB51111.
Riepilogo
Contenuto
Come creare una regola di protezione dell'accesso definita dall'utente per:
- Blocco delle porte da un VSE 8.x o ePO 5.x Console
- Blocco di file/cartelle da un VSE 8.x o ePO 5.x Console
- Blocco del registro di sistema da un VSE 8.x o ePO 5.x Console
IMPORTANTE Quando si specificano i processi da escludere, è necessario specificare solo un nome di processo e non il percorso completo del processo. Non è supportato per specificare percorsi completi per i processi. In tal caso, non è garantito che l'esclusione funzioni. Alcune regole di McAfee predefinite contengono esclusioni di percorso complete per i processi. Tuttavia, queste regole sono scenari speciali che sono hardcoded per funzionare correttamente. I tentativi di replicare questa regola in una policy AP non riescono. Per una soluzione più flessibile e completa per il monitoraggio e l'enforcement dei processi, prendere in considerazione l'utilizzo di McAfee Host Intrusion Prevention o McAfee Application Control.
Soluzione 1
Come creare una regola di protezione dell'accesso definita dall'utente per il blocco delle porte
VSE 8.x Console
- Fare clic su Avvia, Programmi, McAfee, Console di VirusScan.
- Fare doppio clic su Protezione dell'accesso.
- In categorie, selezionare Regole definite dall'utente, quindi Nuovo.
- Selezionare Regola di blocco delle porte e fare clic su OK.
- Nel campo porta di rete regola di protezione dell'accesso, modificare quanto segue:
- Nome regola. Specificare un nome per la regola (ad esempio: blocca la porta 1234)
- Processo da includere. Se necessario, è possibile specificare un processo specifico. Esempio: example123. exe. Se si desidera applicare questa regola a tutti i processi, utilizzare una Wild Card (*). È necessario disporre di una wild card perché il nome di un percorso completo non funziona.
- Processo da escludere. Lasciarlo vuoto o, se necessario, specificare anche un processo specifico da escludere.
- Porte da bloccare. Digitare la porta o l'intervallo di porte che si desidera bloccare. Ad esempio, per bloccare solo la porta 65, digitare la porta 65 per l'intervallo.
- Direzione. Se si desidera che la regola venga applicata sia in ingresso che in uscita, selezionare entrambe le opzioni.
- Fare clic su OK. La regola viene salvate.
- Fare clic su Applicare. La regola viene salvata nel sistema locale.
Dopo aver salvato la regola, selezionare Blocca e segnala o Rapporto, come richiesto. - Fare clic su Applicare, quindi OK.
ePO 5.x Console
Nota Prima di modificare una regola di protezione dell'accesso in una policy di VSE, verificare che VSE sia installato anche nel server ePO. Alcune Policy di VSE vengono visualizzate dinamicamente utilizzando le informazioni rilevate nell'installazione di VSE locale (ad esempio, informazioni sul percorso). Se VSE non è installato, è possibile che le policy facciano riferimento ai nomi dei processi con una (\:::), che danneggia il policy se si modifica e si applica la modifica. Per informazioni dettagliate su questo problema, consultare KB81980.
- Accedere alla console di ePO.
- Fare clic su Menu, Catalogo delle policy.
- Nell'elenco a discesa prodotto, selezionare VirusScan Enterprise 8.8 o VirusScan Enterprise 8.7.
- Nell'elenco a discesa categoria, selezionare Policy di protezione dell'accesso.
- Fare clic sul policy in cui si desidera aggiungere la nuova regola di protezione dell'accesso definita dall'utente.
- Nella parte superiore, selezionare Workstation o Server dall'elenco a discesa.
- In categorie, selezionare Regole definite dall'utente, quindi fare clic su Nuovo.
- Selezionare Regola di blocco delle porte e fare clic su OK.
- Nel campo porta di rete regola di protezione dell'accesso, modificare le seguenti sezioni:
- Nome regola. Specificare un nome per la regola (ad esempio: blocca la porta 1234)
- Processo da includere. Se necessario, è possibile specificare un processo specifico. Esempio: example123. exe. Se si desidera applicare questa regola a tutti i processi, utilizzare una Wild Card (*). È necessario disporre di una wild card perché il nome di un percorso completo non funziona.
- Processo da escludere. Lasciarlo vuoto o, se necessario, specificare anche un processo specifico da escludere.
- Porte da bloccare. Digitare la porta o l'intervallo di porte che si desidera bloccare. Ad esempio, per bloccare solo la porta 65, digitare la porta 65 per l'intervallo.
- Direzione. Se si desidera che la regola venga applicata sia in ingresso che in uscita, selezionare entrambe le opzioni.
- Fare clic su OK. La regola definita dall'utente viene salvata.
- Fare clic su Applicare. La regola viene salvata.
Dopo aver salvato la regola, selezionare Blocca e segnala o Rapporto, come richiesto. - Fare clic su Applicare, quindi OK.
Soluzione 2
Come creare una regola di protezione dell'accesso definita dall'utente per il blocco di file/cartelle
VSE 8.x Console
- Fare clic su Avvia, Programmi, McAfee, Console di VirusScan.
- Fare doppio clic su Protezione dell'accesso.
- In categorie, fare clic su Regole definite dall'utente, quindi Nuovo.
- Selezionare Regola di blocco di file/cartelle, quindi fare clic su OK.
- Nel campo regola di blocco di file/cartelle, modificare quanto segue:
- Nome regola. Digitare il nome della regola.
- Processi da includere. Digitare un asterisco (*) a meno che non si desideri impedire solo processi specifici. Un asterisco (*) indica tutti i processi.
- Processi da escludere. Digitare il processo da escludere. Separare ogni processo con una virgola e uno spazio.
- Nome file o cartella da bloccare. Digitare o individuare il nome del file o il nome del percorso che si desidera proteggere. Per ulteriori informazioni sull'utilizzo dei caratteri jolly, consultare KB54812.
- Nella parte inferiore, selezionare le azioni che si desidera impedire.
- Fare clic su OK.
Dopo aver salvato la regola, selezionare Blocca e segnala o Rapporto, come richiesto - Fare clic su Applicare, quindi OK.
ePO 5.x Console
Nota Prima di modificare le regole di protezione dell'accesso per le policy di VirusScan Enterprise, assicurarsi che VirusScan Enterprise sia installato nel server ePO. Alcune Policy di VirusScan vengono visualizzate dinamicamente utilizzando le informazioni rilevate nell'installazione VirusScan locale, ad esempio le informazioni sul percorso. Se VirusScan non è installato, è possibile che le policy facciano riferimento ai nomi dei processi con un prefisso "\:::", che danneggia il policy se si modifica e si applica la modifica.
- Accedere alla console di ePO.
- Fare clic su Menu, Catalogo delle policy.
- Nell'elenco a discesa prodotto, selezionare VirusScan Enterprise 8.8 o VirusScan Enterprise 8.7.
- Nell'elenco a discesa categoria, selezionare Policy di protezione dell'accesso.
- Fare clic sul policy in cui si desidera aggiungere la nuova regola di protezione dell'accesso definita dall'utente.
- Nell'elenco a discesa nella parte superiore della pagina, selezionare Workstation o Server.
- In categorie, fare clic su Regole definite dall'utente, quindi Nuovo.
- Selezionare Regola di blocco di file/cartelle, quindi fare clic su OK.
- Nel campo regola di blocco di file/cartelle, modificare quanto segue:
- Nome regola. Digitare il nome della regola.
- Processi da includere. Digitare un asterisco (*) a meno che non si desideri impedire solo processi specifici. Un asterisco (*) indica tutti i processi.
- Processi da escludere. Digitare il processo da escludere. Separare ogni processo con una virgola e uno spazio.
- Nome file o cartella da bloccare. Digitare o individuare il nome del file o il nome del percorso che si desidera proteggere. Per ulteriori informazioni sull'utilizzo dei caratteri jolly, consultare KB54812.
- Nella parte inferiore, selezionare le azioni che si desidera impedire.
- Fare clic su OK.
Dopo aver salvato la regola, selezionare Blocca e segnala o Rapporto, in base alle esigenze - Fare clic su Applicare, quindi OK.
Soluzione 3
Come creare una regola di protezione dell'accesso definita dall'utente per il blocco del registro di sistema
VSE 8.x Console
- Fare clic su Avvia, Programmi, McAfee, Console di VirusScan.
- Fare doppio clic su Protezione dell'accesso.
- In categorie, selezionare Regole definite dall'utente, quindi Nuovo.
- Selezionare Regola di blocco del registro, quindi fare clic su OK.
- Nella sezione regola di blocco del registro di sistema, modificare i seguenti campi:
- Nome regola. Digitare il nome della regola.
- Processi da includere. Digitare un asterisco (*) a meno che non si desideri impedire solo processi specifici. Un asterisco (*) indica tutti i processi.
- Processi da escludere. Digitare il processo da escludere. Separare ogni processo con una virgola e uno spazio.
- Chiave di registro o valore da proteggere. Selezionare il registro di sistema appropriato e nel campo adiacente digitare il percorso del registro di sistema. Per esempio:
/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableRegistryTools - Tipo di regola. Selezionare Chiave o Valore.
In cui- Chiave è un'intera cartella.
- Valore è una voce visualizzata sul lato destro quando si utilizza l'editor del registro di sistema.
- Azioni di registro da bloccare. Selezionare una delle opzioni che si desidera bloccare.
- Fare clic su OK.
Dopo aver salvato la regola, selezionare Blocca e segnala o Rapporto, in base alle esigenze - Fare clic su Applicare, quindi OK.
ePO 5.x Console
Nota Prima di modificare una regola di protezione dell'accesso in una policy di VSE, assicurarsi che VSE sia installato anche nel server ePO. Alcune Policy di VSE vengono visualizzate dinamicamente utilizzando le informazioni rilevate nell'installazione di VSE locale (ad esempio, informazioni sul percorso). Se VSE non è installato, è possibile che le policy facciano riferimento ai nomi dei processi con una (\:::), che danneggia il policy se si modifica e si applica la modifica. Per informazioni dettagliate su questo problema, consultare KB81980.
- Accedere alla console di ePO.
- Fare clic su Menu, Catalogo delle policy.
- Dal Prodotto elenco a discesa, selezionare VirusScan Enterprise 8.8 o VirusScan Enterprise 8.7.
- Dal Categoria elenco a discesa, selezionare Policy di protezione dell'accesso.
- Fare clic sul policy in cui si desidera aggiungere la nuova regola di protezione dell'accesso definita dall'utente.
- Nella parte superiore, selezionare Workstation o Server dall'elenco a discesa.
- In categorie, fare clic su Regole definite dall'utente, quindi Nuovo.
- Selezionare regola di blocco del registro, quindi fare clic su OK.
- Nella sezione regola di blocco del registro di sistema, modificare i seguenti campi:
- Nome regola. Digitare il nome della regola.
- Processi da includere. Digitare un asterisco (*) a meno che non si desideri impedire solo processi specifici. Un asterisco (*) indica tutti i processi.
- Processi da escludere. Digitare il processo da escludere. Separare ogni processo con una virgola e uno spazio.
- Chiave di registro o valore da proteggere. Selezionare il registro di sistema appropriato
hive e nel campo adiacente digitare il percorso del registro di sistema. Per esempio:/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableRegistryTools - Tipo di regola. Selezionare Chiave o Valore.
In cui- Chiave è un'intera cartella.
- Valore è una voce visualizzata sul lato destro quando si utilizza l'editor del registro di sistema.
- Azioni di registro da bloccare. Selezionare una delle opzioni che si desidera bloccare.
- Fare clic su OK.
Dopo aver salvato la regola, selezionare Blocca e segnala o Rapporto, in base alle esigenze - Fare clic su Applicare, quindi OK.
Dichiarazione di non responsabilità
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified