本帖最后由 jxfaiu 于 2013-10-3 19:59 编辑
在论坛看到好多会员说McAfee Host Intrusion Prevention 8.0没有epo的情况下会抽风,还有的说程序防护功能(IPS)没启用:本人不喜欢见风是雨,通过以下实践测试并非如此,请耐心往下看:
官方下载的p3安装解压包:双击对应系统的安装文件
支持的操作系统
(只适用于32位的Windows XP SP2,SP3)
•专业版
Vista SP1的Windows Vista中,(32 - 64位)
•商务版
•企业版
•终极版
的Windows 7(32 - 64位)
•专业版
•企业版
•终极版
2003 R2 SP2的Windows Server2003 SP2,2003 R2(32 - 64位)
•所有版本
Windows Server 2008中,2008 SP2,2008 SP1中,2008 R2(32 - 64位)
•所有版本
待安装界面消失后
XP32位系统直接导入注册表文件:次序分别是双击:1,ePO默认-IPS保护程序保护列表,2,开机自动开启IPS 网络IPS 防火墙,3,HIP8.0防火墙规则,4,开启HIP8.0设置功能(切记导入:HIP8.0防火墙规则一定是安装完成从未启用过防火墙)
(导入防火墙规则请自行替换DNS服务器IP地址,否则无法连网;指定程序规则请重新在规则编辑应用程序界面浏览至你所在目录的主程序文件(防火墙规则中含校验值及目录途径)
请参阅:McAfee Host Intrusion Prevention 8.0绑定DNS服务器IP地址
XP32位系统一键导入压缩包:(切记导入:McAfee HIP8.0规则一定是安装完成从未启用过防火墙)
也可选择不导入:HIP8.0防火墙规则,使用默认:允许白名单内所有进程连网,非白名单进程需自建连网规则,无弹窗
将IPS策略勾选适应模式重启:
重启后,右下托盘图标消失
测试IPS策略功能是否有效:
关闭VSE的访问保护,双击VSE规则注册表文件:
从安装目录双击McAfeeFire.exe调出HIP8.0界面,查看日志:勾选记录所有已阻止项:
有会员会说仅记录日志,其实功能未启用;下请看(因IE浏览器带各种插件未在HIP8.0白名单内,会有拦截)
运行IE浏览器待网页打开后关闭,再运行IE浏览器待网页打开后再关闭;
4个IE浏览器进程卡住无法终止
高入侵拦截日志
再测试防火墙,停用IE浏览器允许、阻止规则(去除IE浏览器允许、阻止规则的勾选)点应用
拦截TCP远程80端口的日志
我不知会员说McAfee Host Intrusion Prevention 8.0没有epo的情况下会抽风,所有功能正常,抽的是那门子疯;
解决启动右下无托盘图标,IPS策略勾选适应模式,会自动排除C:\WINDOWS\EXPLORER.EXE进程,下次重启就OK啦!
解决IE8浏览器卡住无法终止进程,手动排除
非XP32位系统安装参阅上面说明,安装完成后须将:1,ePO默认-IPS保护程序保护列表,2,开机自动开启IPS 网络IPS 防火墙,3,开启HIP8.0设置功能3个注册表文件用记事本打开替换成你当前系统的途径;
选将HJP8.0所在你当前系统的注册表途径导出:如(在这演示的是XP32位系统)
开始-运行,;输入:regedit,确定
1,ePO默认-IPS保护程序保护列表注册表途径:展开至HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\AppProtection(非XP32位系统不同,关键是要对应McAfee\HIP\Config\AppProtection的途径)
导出你当前系统的注册表途径为reg文件类型
用记事本分别打开:ePO默认-IPS保护程序保护列表注册表类文件,刚导出的你当前系统的注册表类文件(1.reg),将1.reg(你当前系统的注册表途径覆盖至ePO默认-IPS保护程序保护列表注册表)保存确定
按以上方法修改:2,开机自动开启IPS 网络IPS 防火墙,3,开启HIP8.0设置功能途径
2,开机自动开启IPS 网络IPS 防火墙途径:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP
3,开启HIP8.0设置功能途径:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Settings
完成后分别双击导入:1,ePO默认-IPS保护程序保护列表,2,开机自动开启IPS 网络IPS 防火墙,3,开启HIP8.0设置功能
右键右下托盘图标-配置-任务-解锁用户界面,输入(abcde12345)
默认防火墙规则,白名单内所有进程无弹窗连网
要是你能折腾,可以在注册表去除防火墙允许所有出站这条规则,靠弹窗建规则或烦弹窗的建议默认;停用IPS策略、防火墙,去除启用的勾选,应用;
展开注册表:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Firewall\Rules\0
双击默认,复制默认数值数椐:
1,77d36e26-b694-4d8f-990b-1a5f0975d7c5,,允许所有出站,true,true,false,1376793896,1376793896
修改为:(关键红色字符,其它不同的系统环境可能有所不同)
1,77d36e26-b694-4d8f-990b-1a5f0975d7c5,,允许所有出站,false,false,true,1376793896,1376793896确定
允许所有出站规则可以停用、删除
如果停用或删除允许所有出站规则,防火墙必须启用学习模式,任何进程连网会有弹窗提示;如果你一味点确定肯定会疯的,如果在弹窗界面勾选(为所有端口和协议创建防火墙应用程序规则,我认为太宽松);必须对连网进程建相应的允许连网规则,在允许规则下建1条阻止此进程所有协议规则,以便有新进程需连网开学习模式有多进程连网多弹窗;
防火墙规则文字说明:
默认规则:灰色无法修改、停用、删除;
1,允许ARP规则,方向:二选一,操作:允许,协议与地址:非IP:806;
2,Allow EAPOL,方向:二选一,操作:允许,协议与地址:非IP:888E;
3,IP欺骗,方向:出站,操作:阻止,,协议与地址:IP协议,选IPV4、IPV6,协议与端口:全部协议;
自定义规则:
1,Block IPv6 over IPv4 (ISATAP),方向:二选一,操作:阻止,协议与地址:非IP;输:41;
2,Block (0xF0F0),方向:二选一,操作:阻止,协议与地址:非IP;输:F0F0;
3,TrustedSource-获取评级,方向:入站,操作:阻止,协议与地址:IPV4、IPV6;远程IP地址添加范围:
10.0.0.0-10.255.255.255
112.95.139.0-112.95.139.255
113.207.0.0-113.207.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
192.254.0.0-192.254.255.255,
224.0.0.0-224.255.255.255
单个:
0.0.0.0
42.95.163.88
95.163.88.209
119.188.9.48
本地子网:224.0.0.0-239.255.255.255
255.255.255.255
协议与端口:全部协议;
4,Block NETBLT,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:netblt;
5,Block IGMP,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:IGMP;
6,Allow ICMP Echo request,方向:出站,操作:允许,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Echo request;
7,Allow ICMP Echo Reply,方向:入站,操作:允许,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Echo Reply;
8,Block all ICMP,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:ICMPv4,消息类型:全部;
9,Block TCP Local port,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:TCP,本地端口:分6次输入以下端口号至本地端口用户自定义下框中,每次输入后点添加;
0-1030,1033,1042,1045,1057,1090,1095,1097,1098,1099,1158,1170,1234,1243,1245,1345,1349,1433,1434,1492,1521,1524,1560,1600,1807,1831,1981,1999,2000,2001,2002,2003,2004,2005,2023,2100,2115,2140,2565,2583,2701,2702,2703,2704,2773,2774,2800,2801,2869,3000
3024,3128,3129,3150,3389,3700,3702,4092,4267,4567,4590,4899,5000,5001,5151,5168,5321,5333,5357,5358,5400,5401,5402,5355,5535,5550,5554,5555,5556,5557,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,6939,6969,6970,7000,7001,7080,7215,7300,7301,7306,7307,7308
7410,7597,7626,7789,8080,8081,9080,9090,9400,9401,9402,9408,9535,9872,9873,9874,9875,9898,9989,10067,10167,10168,10520,10528,10607,11000,11051,11223,12076,12223,12345,12346,12348,12349,12361,12362,12363,12631,13000,14500,14501,14502,14503,15000,15094,15382
16484,16772,16969,17027,17072,17166,17569,19191,19864,20000,20001,20002,20023,20034,21544,22222,23005,23006,23023,23032,23456,23476,23477,25685,25686,25982,26274,27374,29104,30001,30003,30029,30100,30101,30102,30103,30133,30303,30947,30999,31337,31338,31339
31666,31785,31787,31788,31789,31791,31792,32100,32418,33333,33577,33777,33911,34324,34555,35555,40421,40422,40423,40424,40425,40426,41337,41666,43210,44445,47262,49301,50130,50505,50766,51996,53001,54283,54320,54321,55165,57341,58339,60000,60411,61348,61466
61603,63485,65000,65390,65432
远程端口:0-65535;
10,Block TCP RemotePort,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:TCP,
本地端口:0-65535;远程端口:0-79,85-442,444-1030,1433,3702,5355,5535 ;
11,Block UDP Local port,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:UDP,本地端口:分4次输入以下端口号至本地端口用户自定义下框中,每次输入后点添加
0-67,69-1025,1027,1033,1042,1170,1234,1243,1245,1433,1492,1560,1561,1600,1807,1981,1999,2000,2001,2023,2115,2140,2583,2701,2702,2703,2704,2801,2989,3129,3024,3072,3150,3333,3700,3702,3996,4006,4011,4060,4092,4321,4500,4590,5000,5001,5151,5168,5321,5355,5357
5358,5400,5401,5402,5535,5550,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,7000,7028,7300,7301,7306,7307,7410,7626,7789,8225,9400,9401,9402,9696,9872,9873,9874,9875,9989,10067,10167,11000,11223,12076,12223,12345,12346,12348,12349,12361,15094,16969,17569
19191,20000,20001,20034,21554,22222,22226,23456,26274,27374,30100,30303,30999,31237,31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,33333,33390,34324,34555,40412,40421,40422,40423,40425,40426,43210,44445,47262,50766,54320,54321,60000,61466,65000 远程端口:0-65535;
12,Block UDP RemotePort,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:UDP,
本地端口:0-65535;远程端口:0-52,54-66,68-1023,1025-1029,1433,3702,5355,5535
13,Allow bootp,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:68,远程端口:67;在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe
14,Allow DNS,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:1024-1432,1434-3699,3703-5354,5356-5534,5536-65535,远程端口:53(1900为无线网端口);在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe
15,Block scvhost.exe,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:全部协议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe
16,TrustedSource-允许Host IPS,方向:出站,操作:阻止,,协议与地址:所有协议,协议与端口:全部协议;应用程序:
C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe
17,Allow McAfee VSE1 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:1024-65535,远程端口:53;在应用程序浏览到安装目录下的
C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe
18,Allow McAfee VSE2 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:全部协议;在应用程序浏览到安装目录下的
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
19,Allow McAfee VSE3 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:全部协议;在应用程序浏览到安装目录下的
C:\Program Files\McAfee\Common Framework\McScript_InUse.exe
使用IPV6协议网络,ICMP规则可以写成:
1,Block incoming pings,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Echo request;
2,Block ICMP Timestamp,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Timestamp;
3,Block ICMP Addr Mask,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Address Mask Requst;
4,Block ICMP Info Req,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Information Requst ;
5,Block ICMP Router Solicit,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Router Solicitation;
6,Block ICMP Redirect,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Redirect;
7,Allow all ICMP,方向:二选一,操作:允许,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:全部;
|
[复制链接]
发表于 2013-8-18 16:12:29
楼主
