查看: 25337|回复: 103
收起左侧

[技术原创] McAfee Host Intrusion Prevention 8.0修改后的应用

  [复制链接]
jxfaiu
发表于 2013-3-16 17:06:42 | 显示全部楼层 |阅读模式
本帖最后由 jxfaiu 于 2013-4-6 18:10 编辑

前有我发帖:迈克菲在高级威胁防护方面居领先地位
McAfee Host Intrusion Prevention 8.0由于官方一条默认规则允许所有出站,导致程序连网只要是在官方白名单之内无提示,而不在官方白名单之内连不了网,须创建规则才能连网的问题;以至大多用户放弃使用McAfee Host Intrusion Prevention 8.0;下面就以我的拙作使之在任何程序连网前弹窗提示供用户选择及添加几条自定义规则供个人用户之方便:在此感谢版区前辈大牛们。请至:McAfee Host Intrusion Prevention 8.0使用感受说明
说明:
官方下载的McAfee Host Intrusion Prevention 8.0p2pdf文档:
解压运行下图1:McAfeeHIP_ClientSetup.msi  32位系统,2: McAfeeHIP_ClientSetup_X64.msi 64位系统;

必须双击:McAfeeHIP_ClientSetup.msi,桌面才有以下安装显示界面:

待桌面安装显示界面消失后安装才完成后,分别双击开启McAfee_HIP_8.0功能注册表文件共计5个(ePO默认-IPS保护程序保护列表.reg,开机自动开启IPS 网络IPS 防火墙.reg,开启HIP8.0 IPS.reg,启动 IPS 保护已启用.reg,启用 IP 欺骗保护.reg),个人建议最好不要导入(出、入站 TrustedSource 阻止阈值注册文件)不是出、入站 TrustedSource 阻止阈值不好,而是阻止:高危卡网、中危有些程序不能连网;
McAfee_HIP_8.0功能XP系统注册表文件压缩包:其它windows版本根据注册表途径做相应的更改。
双击安装目录下的McAfeeFire.exe文件如:C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe,McAfee Host Intrusion Prevention 8.0全功能界面:点左上任务-解锁用户界面,在密码框中输入:abcde12345:确定

点编辑-选项,勾选显示任务栏图标,确定

右下托盘:

点帮助-故障排除,勾选在添加删除程序列表中显示产品,点功能


保护应用程序列表:


重启,测试是否开机已自动启用所有功能;
完全启动后,默认除系统进程:svchost.exe、SYSTCM连网有提示外,其它程序无弹窗:如谷歌浏览器自动能连网,防火墙界面无谷歌浏览器连网规则:


下面我就用修改注册表方法使其弹窗:切记须关闭访问保护及去除McAfee Host Intrusion Prevention 8.0HIP界面与防火墙的所有勾选XP系统将:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Firewall\Rules\0]第一默认值修改为:1,11f632b4-4610-443d-ab59-521919b8bcc2,,允许所有出站,false,false,true,1321944339,1321944339,确定,使允许所有出站这条规则前面的勾选已去除,可以自定义停用或删除:


运行谷歌浏览器连网弹窗提示,你选择吧,不管任意程序包括系统及咖啡本身进程:

以前用过McAfee Host Intrusion Prevention 7的是弹窗太多,McAfee Host Intrusion Prevention 8.0的程序连网弹窗,勾选为所有的端口和协议创建防火墙程序规则,点允许;
连迅雷与TM聊天工具只弹两次。何来弹窗太多呀。

由于防火墙默认规则有点卡网,个人用户可定制McAfee Host Intrusion Prevention 8.0防火墙以下规则:

默认规则:灰色无法修改、停用、删除;

1,允许ARP规则,方向:二选一,操作:允许,协议与地址:非IP:806;

2,Allow EAPOL,方向:二选一,操作:允许,协议与地址:非IP:888E;

3,受信任的应用程序(防火墙可信任),方向:出站,操作:允许,协议与地址:任何协议,协议与端口:全部协议;应用程序:
%Program Files%\Network Associates\Common Framework\*
%Program Files%\McAfee\Common Framework\*,包含了咖啡企业版所有更新进程

4,VM桥接流量-入站,方向:入站,操作:允许,协议与地址:任何协议,协议与端口:全部协议;

5,VM桥接流量-出站,方向:出站,操作:允许,协议与地址:任何协议,协议与端口:全部协议;

6,允许不受支持的协议,方向:二选一,操作:允许:协议与地址:非IP;输:0;

7,TrustedSource-允许Host IPS,方向:出站,操作:阻止,,协议与地址:所有协议,协议与端口:全部协议;应用程序:
C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe

8,TrustedSource-获取评级,方向:入站,操作:阻止,协议与地址:IPV4、IPV6;远程IP地址:
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
192.254.0.0-192.254.255.255,
0000:0000:0000:0000:0000:FFFF:0A00:0000:0000:0000:0000:0000
0000:0000:0000:0000:0000:FFFF:AC10:0000:0000:0000:0000:0000
0000:0000:0000:0000:0000:FFFF:C0A8:0000:0000:0000:0000:0000
0000:0000:0000:0000:0000:FFFF:A9FE:0000:0000:0000:0000:0000
本地子网:224.0.0.0-239.255.255.255
255.255.255.255
0000:0000:0000:0000:0000:FFFF:E000:0000:0000:0000:0000:0000
0000:0000:0000:0000:0000:FFFF:FFFF:FFFF;协议与端口:TCP;

9,IP欺骗,方向:出站,操作:阻止,,协议与地址:IP协议,选IPV4、IPV6,协议与端口:全部协议;


自定义规则:

1,Block IPv6 over IPv4 (ISATAP),方向:二选一,操作:阻止,协议与地址:非IP;输:41;

2,Block IP,方向:二选一,操作:阻止,协议与地址:任何协议,远程IP地址添加:
范围:224.0.0.0-224.0.0.255
单个:0.0.0.0
单个:95.163.88.209,协议与端口:全部协议;

3,Block incoming pings,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Echo request;

4,Block ICMP Timestamp,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Timestamp;

5,Block ICMP Addr Mask,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Address Mask Requst;

6,Block ICMP Info Req,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Information Requst ;

7,Block ICMP Router Solicit,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Router Solicitation;

8,Block ICMP Redirect,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Redirect;

9,Allow all ICMP,方向:二选一,操作:允许,IP协议,选IP4、IPV6;任何协议;协议与端口:ICMPv4,消息类型:全部;

3-9规则为:ICMPv4协议规则,使用ICMPv6协议的可参照上面ICMPv4协议规则,只需在协议与端口改为:ICMPv6,消息类型:参照上面;

10,Block 原始帧中继 (0x6559),方向:二选一,操作:阻止,协议与地址:非IP;输:6559;

11,Block TCP Local port,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:TCP,本地端口:分6次输入以下端口号至本地端口用户自定义下框中,每次输入后点添加;
0-1030,1033,1042,1045,1057,1090,1095,1097,1098,1099,1158,1170,1234,1243,1245,1345,1349,1433,1434,1492,1521,1524,1560,1600,1807,1831,1981,1999,2000,2001,2002,2003,2004,2005,2023,2100,2115,2140,2565,2583,2701,2702,2703,2704,2773,2774,2800,2801,2869,3000

3024,3128,3129,3150,3389,3700,4092,4267,4567,4590,4899,5000,5001,5168,5321,5333,5357,5358,5400,5401,5402,5151,5550,5554,5555,5556,5557,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,6939,6969,6970,7000,7001,7080,7215,7300,7301,7306,7307,7308,7410,7597,7626

7789,8080,8081,9080,9090,9400,9401,9402,9408,9535,9872,9873,9874,9875,9898,9989,10067,10167,10168,10520,10528,10607,11000,11051,11223,12076,12223,12345,12346,12348,12349,12361,12362,12363,12631,13000,14500,14501,14502,14503,15000,15094,15382,16484,16772,16969

17027,17072,17166,17569,19191,19864,20000,20001,20002,20023,20034,21544,22222,23005,23006,23023,23032,23456,23476,23477,25685,25686,25982,26274,27374,29104,30001,30003,30029,30100,30101,30102,30103,30133,30303,30947,30999,31337,31338,31339,31666,31785,31787

31788,31789,31791,31792,32100,32418,33333,33577,33777,33911,34324,34555,35555,40421,40422,40423,40424,40425,40426,41337,41666,43210,44445,47262,49301,50130,50505,50766,51996,53001,54283,54320,54321,55165,57341,58339,60000,60411,61348,61466,61603,63485,65000

65390,65432 远程端口:0-65535;

12,Allow TCP Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:TCP,本地端口:1024-65535,远程端口:1024-65535;

13,Allow bootp,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:68,远程端口:67;(此规则适合局域网,如下面有阻止UDP本地低端口0-1024出入站的规则,请放至Block DUP Local port规则上)

14,Block UDP Local port,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:UDP,本地端口:分4次输入以下端口号至本地端口用户自定义下框中,每次输入后点添加
0-1025,1027,1033,1042,1170,1234,1243,1245,1434,1492,1560,1561,1600

1807,1981,1999,2000,2001,2023,2115,2140,2583,2701,2702,2703,2704,2801,2989,3129,3024,3072,3150,3333,3700,3996,4006,4011,4060,4092,4321,4500,4590,5000,5001,5151,5168,5321,5355,5357,5358,5400,5401,5402,5550,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883

7000,7028,7300,7301,7306,7307,7410,7626,7789,8225,9400,9401,9402,9696,9872,9873,9874,9875,9989,10067,10167,11000,11223,12076,12223,12345,12346,12348,12349,12361,15094,16969,17569,19191,20000,20001,20034,21554,22222,22226,23456,26274,27374,30100,30303,30999

31237,31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,33333,33390,34324,34555,40412,40421,40422,40423,40425,40426,43210,44445,47262,50766,54320,54321,60000,61466,65000 远程端口:0-65535;

15,Allow DNS,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:1024-65535,远程端口:53;


16,Block csrss.exe,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:全部协议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\csrss.exe

17,Block explorer.exe,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:全部协议;在应用程序浏览到安装目录下的C:\WINDOWS\explorer.exe

18,Block ntoskrnl.exe,方向:入站,操作:阻止;协议与地址:任何协议;协议与端口:全部协议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\ntoskrnl.exe

19,Allow McAfee VSE Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:1024-65535,远程端口:53;在应用程序浏览到安装目录下的
C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe    咖啡企业版的监控进程;
下面创建规则:规则名称输入:禁止IP0.0.0.0出、入站,方向:二选一,操作:阻止,如果想记录日志可勾选记录匹配通讯;

协议与地址:任何协议,

本地IP地址点添加:单个:输入:0.0.0.0,确定


协议与端口:全部协议;如应用于所有程序及不使用规则计划,点完成。

规则名称输入:禁止IP224.0.0.0-224.0.0.255出、入站,方向:二选一,操作:阻止

协议与地址:任何协议,本地IP地址添加:范围输入:源:224.0.0.0,目标:224.0.0.255,确定

协议与端口:全部协议;如应用于所有程序及不使用规则计划,点完成。同上

规则名称输入:禁止TCP本地端口出、入站,方向:阻止,二选一

协议与地址:任何协议;

协议与端口:TCP,本地端口:分6次输入端口号至本地端口用户自定义下框中,每次输入后点添加;


如应用于所有程序及不使用规则计划,点完成。同上
创建禁止UDP本地端口出、入站规则同于创建禁止TCP本地端口出、入站方法,所不同的是在协议与端口选UDP而已;

规则名称输入:禁止UDP远程端口135,137,138,445出、入站,方向:阻止,二选一

协议与地址:任何协议;

协议与端口:UDP,远程端口:135,137,138,445点添加;

如应用于所有程序及不使用规则计划,点完成。同上

点住自定义某条规则,按住左键不放拖至IP欺骗规则之下:

拦截的日志:如你不需要日志可去除记录所有阻止项的勾选。


我是无线网,如PPPOE虚拟拨号,不能联网请参阅:McAfee Host Intrusion Prevention 8.0 隐藏功能和设置

官方McAfee Host Intrusion Prevention 8.0p2版使用以上设置及防火墙规则任何程序绝无重复弹窗提示,禁止UDP远程端口135,137,138,445出、入站这条规则阻止了系统进程:SYSTEM连接UDP远程端口:137,138。

以上适合惰人及一般用户,下面可以通过程序弹窗不勾选为所有的端口和协议创建防火墙程序规则,仅点允许,再查看程序连网设置程序连网详细规则,当然懂任意程序连网所需的TCP、UDP端口规则更快捷。
防火墙开启学习模式,通过程序连网弹窗后点允许,再修改规则方便:
允许系统svchost.exe UDP本地端口1024-65535远程端口53,67,1900出站,方向:允许,出站,协议与地址:任何协议,本地、远程IP地址空,协议与端口:UDP,本地端口1024-65535点添加;,远程端口53,67,1900点添加;






再创建一条阻止系统svchost.exe 所有出、入站,方向:二选一,操作:阻止,协议与地址:任何协议,本地、远程IP地址为空,协议与端口:全部协议;
为了创建快捷方便HIP防火墙提供了复制规则功能,鼠标选中:允许系统svchost.exe UDP本地端口1024-65535远程端口53,67,1900出站,点界面下复制:界面有2条允许系统svchost.exe UDP本地端口1024-65535远程端口53,67,1900出站的规则:

修改其中的一条规则,鼠标选中,点属性:规则更改为:阻止系统svchost.exe 所有出、入站,方向:二选一,操作:阻止,协议与地址:任何协议,本地、远程IP地址为空,协议与端口:全部协议;




完成2条规则的创建后,分别拖至顶(全局规则之下),千万注意:阻止系统svchost.exe 所有出、入站允许系统svchost.exe UDP本地端口1024-65535远程端口53,67,1900出站的规则之下。

用同样方法分别为所有程序创建允许、阻止所规则:

所有需连网程序创建程序定义规则完成后,检查是否有多余的规则。去除学习模式出、入站的勾选安静;注意:一定要自定义一条规则:允许McAfee HIP 8.0出、入站,方向:允许,二选一,协议与地址:任何协议,本地、远程IP地址空,协议与端口:全部协议;在应用程序浏览到安装目录下的FireSvc.exe,如:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe;否则重启McAfee Host Intrusion Prevention 8.0无法启用。





每个人使用的程序不同,以上仅供参考,如有影响使用,请勾选记录所有阻止项,根据防火墙日志作相应的规则修改;

McAfee HIP 8.0XP系统规则McAfee Host Intrusion Prevention 8.0全功能版防火墙规则
McAfee HIP 8.0XP系统规则说明
McAfee HIP 8.0XP系统规则包含McAfee Host Intrusion Prevention 8.0p2所有设置及以下规则,安装完成后XP系可双击导入;



以上不对之处烦请指正,为了不影响使用,有些程序规则端口范围设置有些偏大。

其它版本windows系统创建或修改系统注册表键值:先打开系统注册表项如XP系[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP]:以开机自动开启IPS 网络IPS 防火墙为例

打开开机自动开启IPS 网络IPS 防火墙文件


对照开机自动开启IPS 网络IPS 防火墙文件的键值:如果系统注册表没有此三项键值,对照开机自动开启IPS 网络IPS 防火墙文件的键值,在系统注册表项中如XP[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP]创建三个键值:
1,“LastEnabledStateHips"=dword:00000001,
2,"LastEnabledStateNips"=dword:00000001,
3,"LastEnabledStateFirewall"=dword:00000001
1,数值名称:LastEnabledStateHips,数值数椐:1
2,数值名称:LastEnabledStateNips,数值数椐:1
3,数值名称:LastEnabledStateFirewall,数值数椐:1
空白处右键新建DWORD值:

右键重命名,输入:LastEnabledStateHips,如提无法重名就是此注册表项中已有此键值:

双击刚建的:键值名:LastEnabledStateHips,数值数椐:输入1,确定

这种方法修改比较稳妥。


或者根据你的系统途径修改注册表类文件:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5魅力 +1 人气 +4 收起 理由
大猫熊 + 1 这帖子滚了好久没到头~
墨池 + 1
笑红尘自古多情 + 1 版区有你更精彩: )
threatfire + 1 版区有你更精彩: )
心跳回忆 + 1 J大,请搬运至汇总贴哦~

查看全部评分

w99308702
发表于 2013-3-16 17:19:17 | 显示全部楼层
本帖最后由 w99308702 于 2013-3-16 17:37 编辑

那是不是比sep墙更兼容,使用效果和流畅性能和sep墙一样吗?期待定制的HIP规则,最好有win7 32位的操作步骤
jxfaiu
 楼主| 发表于 2013-3-16 17:37:34 | 显示全部楼层
w99308702 发表于 2013-3-16 17:19
那是不是比sep墙更兼容,使用效果和流畅性能和sep墙一样吗?期待定制的HIP规则

定制McAfee Host Intrusion Prevention 8.0防火墙规则
w99308702
发表于 2013-3-16 17:39:24 | 显示全部楼层
jxfaiu 发表于 2013-3-16 17:37
定制McAfee Host Intrusion Prevention 8.0防火墙规则

等待你的定制规则,最好能在win7下32位中也能用
shiyuelaohu
发表于 2013-3-16 18:18:56 | 显示全部楼层
在没有epo的情况下,规则容易失效,而且弹窗也太多了些,用了两个星期就不用了。
w99308702
发表于 2013-3-16 18:28:57 | 显示全部楼层
shiyuelaohu 发表于 2013-3-16 18:18
在没有epo的情况下,规则容易失效,而且弹窗也太多了些,用了两个星期就不用了。

这个会失效?那还是不试了,换来换去麻烦
shiyuelaohu
发表于 2013-3-16 18:29:52 | 显示全部楼层
w99308702 发表于 2013-3-16 18:28
这个会失效?那还是不试了,换来换去麻烦

嗯,没有epo的情况下容易抽风。
w99308702
发表于 2013-3-16 18:31:20 | 显示全部楼层
shiyuelaohu 发表于 2013-3-16 18:29
嗯,没有epo的情况下容易抽风。

谢谢提醒。稳定才是王道,抽的话就不装了,不当小白鼠!
qpzmggg999
发表于 2013-3-16 18:32:20 | 显示全部楼层
我早说 vse+hip是王道 调出agent后 hip不抽疯了
zixiang5288
发表于 2013-3-16 18:33:52 | 显示全部楼层
请问win8兼容McAfee Host Intrusion Prevention 8.0不,支持,希望规则能增强普通用户的易用性,以前用过,门槛太高,用了几天就卸载了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:12 , Processed in 0.131253 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表