本帖最后由 jxfaiu 于 2013-4-13 12:27 编辑
McAfee Host Intrusion Prevention 8.0在我使用的感受中,两字难弄,什么都搞好了,结果在第二天系统启动时想不到的意外来啦:要么就是McAfee Host Intrusion Prevention 8.0服务不启用,要么就是McAfee VSE8.8右下无托盘图标,心里没底呀,弃之可惜;心焦呀!这就是所谓的McAfee Host Intrusion Prevention 8.0在没有epo的情况下抽风吧;
McAfee Host Intrusion Prevention 8.0的功能启用通过注册表修改而实现,因为在McAfee VSE8.8修改注册表规则中需排除C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe这个进程,经我多次测试,手动修改以下McAfee Host Intrusion Prevention 8.0注册表键值方法解决了此问题;
McAfee Host Intrusion Prevention 8.0官方下载全功能版
解压后:双击:McAfeeHIP_ClientSetup 32位系统,McAfeeHIP_ClientSetup_X64 64位系统
桌面显示安装界面:
桌面安装界面消失后安装完成,双击C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire文件,启动为以下界面:HIPS未启用、防火墙未启用
McAfee Host Intrusion Prevention 8.0的功能通过修改注册表来启用的,不同的windows系统只是注册表项途径不同:HKEY_LOCAL_MACHINE\SOFTWARE,而McAfee的注册表项途径是相同的:如:McAfee\HIP或McAfee\HIP\Config\Settings;
任何windows系统都可以用以下方法通过修改注册表项下的键值:以XP系统为例:开始-运行,输:regedit,回车;浏览至:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP注册表项下的6个键值:分别是:
1,FireCoreLogThrottle
2,LanguageID
3,LastEnabledStateFirewall
4,LastEnabledStateHips
5,LastEnabledStateNips
6,State
分别双击上面带下划线6个键值为0修改为1:确定
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP注册表项下的6个键值完成修改:
用以上同样方法修改:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Settings注册表项下的以下键值分别是:
1,IPS_IsLicensed
2,IPS_BootTimeIpsEnabled
3,IPS_HipsEnabled
4,IPS_IsNipsHostBlocked
5,IPS_MergeRules
6,IPS_MonitorHighRiskApps
7,IPS_NipsEnabled
8,IPS_ReactionForInfo
9,FW_IpSpoofEnabled
10,FW_TrustedSourceEnabledIn
10个键值为0修改为1:确定
1,FW_TrustedSourceThresholdIn 键值为0修改为32:确定
2,IPS_NipsBlockInterval 键值为0修改为30:确定
3,IPS_ReactionForHigh 键值为0修改为3:确定
4,IPS_ReactionForLow 键值为0修改为2:确定
5,IPS_ReactionForMedium 键值为0修改为3:确定
以XP系统为例:开始-运行,输:regedit,回车;浏览至:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Settings注册表项:
通过修改注册表,允许所有出站规则能停用或删除,方便用户控制任何程序的出入站;因为允许所有出站这规则启用后,官方白名单中的任意程序连网不弹窗询问,不创建规则;而不在白名单中的程序须手动创建规则才能连网;
以XP系统为例:开始-运行,输:regedit,回车;浏览至:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Firewall\Rules\0注册表项:双击第一默认值:
将官方默认的:true,true,false,修改为:false,false,true,其它字符不动;
再导入:ePO默认-IPS保护程序保护列表此注册表项途径为XP系统:
按以上方法修改后,双击C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire文件,启动为以下界面:HIPS启用、防火墙启用;1,允许所有出站规则可停用或删除;2,McAfee Host Intrusion Prevention 8.0任何功能不存在不启动服务的问题;除非安全软件不兼容;
McAfee Host Intrusion Prevention 8.0未输入密码未解锁的界面
点任务-解锁用户界面,输:abcde12345
解锁后的界面
右下托盘图标:点编辑-选项,勾选显示任务栏图标,确定
点帮助-故障排除,勾选在添加删除程序列表中显示产品,确定
下面来说说解决弹窗多的问题:
运行:谷歌浏览器、svchost.exe弹窗:
勾选为所有端口和协议创建应用程序规则,点允许,防火墙界面已增加两条规则:分别是:通过学习模式动态创建:允许:Google Chrome、svchost.exe出入站,
将其修改为:允许出站:如程序再次连网重复弹窗按以下加一条阻止入站规则;
选中这条规则,点复制:此时防火墙界面有两条相同规则:允许scvhost.exe出站
选中允许scvhost.exe出站任一条规则,点属性,修改为:阻止scvhost.exe入站
将阻止scvhost.exe入站放至允许scvhost.exe出站之下:
任何程序用此方法,都不会重复弹窗,除非你的规则有更改过;任何程序只允许出站,阻止其入站不影响使用;
其实在我使用的感觉中McAfee Host Intrusion Prevention 8.0最为严谨,如端口号有误是无法输入、规则定制的不当严重影响使用:
下面是我再次修改的规则:
默认规则:灰色无法修改、停用、删除;
1,允许ARP规则,方向:二选一,操作:允许,协议与地址:非IP:806;
2,Allow EAPOL,方向:二选一,操作:允许,协议与地址:非IP:888E;
3,TrustedSource-允许Host IPS,方向:出站,操作:阻止,,协议与地址:所有协议,协议与端
口:全部协议;应用程序:
C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe
4,TrustedSource-获取评级,方向:入站,操作:阻止,协议与地址:IPV4、IPV6;远程IP地址添
加
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
192.254.0.0-192.254.255.255,
0000:0000:0000:0000:0000:FFFF:0A00:0000:0000:0000:0000:0000
0000:0000:0000:0000:0000:FFFF:AC10:0000:0000:0000:0000:0000
0000:0000:0000:0000:0000:FFFF:C0A8:0000:0000:0000:0000:0000
0000:0000:0000:0000:0000:FFFF:A9FE:0000:0000:0000:0000:0000
本地子网:224.0.0.0-239.255.255.255
255.255.255.255
0000:0000:0000:0000:0000:FFFF:E000:0000:0000:0000:0000:0000
0000:0000:0000:0000:0000:FFFF:FFFF:FFFF;协议与端口:TCP;
5,IP欺骗,方向:出站,操作:阻止,,协议与地址:IP协议,选IPV4、IPV6,协议与端口:全部
协议;
自定义规则:
1,Block IPv6 over IPv4 (ISATAP),方向:二选一,操作:阻止,协议与地址:非IP;输:41;
2,6,Block 原始帧中继 (0x6559),方向:二选一,操作:阻止,协议与地址:非IP;输:6559;
3,TrustedSource-获取评级,方向:入站,操作:阻止,协议与地址:IPV4、IPV6;远程IP地址添
加范围:
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
192.254.0.0-192.254.255.255,
224.0.0.0-224.0.0.255
单个:
0.0.0.0
95.163.88.209
本地子网:224.0.0.0-239.255.255.255
255.255.255.255
协议与端口:全部协议;
4,Allow ICMP Echo request,方向:出站,操作:允许,协议与地址:IP协议,选IP4、IPV6;协
议与端口:ICMPv4,消息类型:Echo request;
5,Allow ICMP Source Quench,方向:入站,操作:允许,协议与地址:IP协议,选IP4、IPV6;协
议与端口:ICMPv4,消息类型:Source Quench;
6,Block all ICMP,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:ICMPv4,
消息类型:全部;
7,Block TCP All Inbound,方向:入站,操作:阻止,协议与地址:任何协议;协议与端口:TCP
,本地端口:0-65535;远程端口:0-65535;
8,Block TCP Local port,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:TCP,
本地端口:分6次输入以下端口号至本地端口用户自定义下框中,每次输入后点添加;
0-
1030,1033,1042,1045,1057,1090,1095,1097,1098,1099,1158,1170,1234,1243,1245,1345,1349,1433,1434,1492,1521,1524,1560,1600,1807,1831,1981,1999,2000,2001,2002,2003,2004,2005,2023,2100,2115,2140,2565,2583,2701,2702,2703,2704,2773,2774,2800,2801,2869,3000
3024,3128,3129,3150,3389,3700,4092,4267,4567,4590,4899,5000,5001,5168,5321,5333,5357,5358,5400,5401,5402,5151,5550,5554,5555,5556,5557,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,6939,6969,6970,7000,7001,7080,7215,7300,7301,7306,7307,7308,7410,7597,7626
7789,8080,8081,9080,9090,9400,9401,9402,9408,9535,9872,9873,9874,9875,9898,9989,10067,10167,10168,10520,10528,10607,11000,11051,11223,12076,12223,12345,12346,12348,12349,12361,12362,12363,12631,13000,14500,14501,14502,14503,15000,15094,15382,16484,16772,16969
17027,17072,17166,17569,19191,19864,20000,20001,20002,20023,20034,21544,22222,23005,23006,23023,23032,23456,23476,23477,25685,25686,25982,26274,27374,29104,30001,30003,30029,30100,30101,30102,30103,30133,30303,30947,30999,31337,31338,31339,31666,31785,31787
31788,31789,31791,31792,32100,32418,33333,33577,33777,33911,34324,34555,35555,40421,40422,40423,40424,40425,40426,41337,41666,43210,44445,47262,49301,50130,50505,50766,51996,53001,54283,54320,54321,55165,57341,58339,60000,60411,61348,61466,61603,63485,65000
65390,65432 远程端口:0-65535;
9,Allow bootp,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端
口:68,远程端口:67;在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe(此规则适
合局域网,如下面有阻止UDP本地低端口0-1024出入站的规则,请放至Block DUP Local port规则上)
10,Block UDP All Inbound,方向:入站,操作:阻止,协议与地址:任何协议;协议与端口:
UDP,本地端口:0-65535;远程端口:0-65535;
11,Block UDP Local port,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:UDP,
本地端口:分4次输入以下端口号至本地端口用户自定义下框中,每次输入后点添加
0-67,69-1025,1027,1033,1042,1170,1234,1243,1245,1434,1492,1560,1561,1600
1807,1981,1999,2000,2001,2023,2115,2140,2583,2701,2702,2703,2704,2801,2989,3129,3024,3072,3150,3333,3700,3996,4006,4011,4060,4092,4321,4500,4590,5000,5001,5151,5168,5321,5355,5357,5358,5400,5401,5402,5550,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883
7000,7028,7300,7301,7306,7307,7410,7626,7789,8225,9400,9401,9402,9696,9872,9873,9874,9875,9989,10067,10167,11000,11223,12076,12223,12345,12346,12348,12349,12361,15094,16969,17569,19191,20000,20001,20034,21554,22222,22226,23456,26274,27374,30100,30303,30999
31237,31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,33333,33390,34324,34555,40412,40421,40422,40423,40425,40426,43210,44445,47262,50766,54320,54321,60000,61466,65000 远程端口:0-65535;
12,Allow DNS,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口
:1024-65535,远程端口:53;在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe
13,Block csrss.exe,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:全部协
议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\csrss.exe
14,Block explorer.exe,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:全部
协议;在应用程序浏览到安装目录下的C:\WINDOWS\explorer.exe
15,Block ntoskrnl.exe,方向:入站,操作:阻止;协议与地址:任何协议;协议与端口:全部协
议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\ntoskrnl.exe
16,Block rundll32.exe,方向:二选一,操作:阻止;协议与地址:任何协议;协议与端口:全部
协议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\rundll32.exe
17,Block services.exe,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:全部
协议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\services.exe
18,Block scvhost.exe,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:全部
协议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe
19,Allow McAfee VSE1 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端
口:UDP,本地端口:1024-65535,远程端口:53;在应用程序浏览到安装目录下的
C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe
20,Allow McAfee VSE2 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端
口:全部协议;在应用程序浏览到安装目录下的
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
21,Allow McAfee VSE3 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端
口:全部协议;在应用程序浏览到安装目录下的
C:\Program Files\McAfee\Common Framework\McScript_InUse.exe
另ICMPv4规则可以写成:
1,Block incoming pings,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与
端口:ICMPv4,消息类型:Echo request;
2,Block ICMP Timestamp,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与
端口:ICMPv4,消息类型:Timestamp;
3,Block ICMP Addr Mask,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与
端口:ICMPv4,消息类型:Address Mask Requst;
4,Block ICMP Info Req,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与
端口:ICMPv4,消息类型:Information Requst ;
5,Block ICMP Router Solicit,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;
协议与端口:ICMPv4,消息类型:Router Solicitation;
6,Block ICMP Redirect,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与
端口:ICMPv4,消息类型:Redirect;
7,Allow all ICMP,方向:二选一,操作:允许,协议与地址:IP协议,选IP4、IPV6;协议与端口
:ICMPv4,消息类型:全部;
1-7规则为:ICMPv4协议规则,使用ICMPv6协议的可参照上面ICMPv4协议规则,只需在协议与端口改为
:ICMPv6,消息类型:参照上面;
在定制规则时,看清每条规则:出、入站,允许、阻止,协议与地址,协议与端口;规则的应用程序界面不选为所有程序;如使用正常,最好不要勾选活动日志界面的记录所有已阻止项,以免点击活动日志界面时卡顿;
McAfee Host Intrusion Prevention 8.0规则及所有设置导出方法:以XP系统为例:开始-运行,输:regedit,回车;浏览至:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP右键再点显示框的导出;
导出后的注册表文件方便下次在相同系统安装McAfee Host Intrusion Prevention 8.0完成后双击导入。
添加以上规则后:
下面是McAfee Host Intrusion Prevention 8.0的卸载:
停用McAfee Host Intrusion Prevention 8.0所有功能就是去除HIPS、防火墙界面的所有勾选,分别点应用
用CCleaner卸载:选中McAfee Host Intrusion Prevention,点运行卸载程序;
开始-设置-控制面板-添加或删除应用程序:选中McAfee Host Intrusion Prevention,点删除;
|
[复制链接]
发表于 2013-3-29 10:54:40
好多图啊,差点没把我的小猫累断气。
楼主