查看: 36705|回复: 66
收起左侧

[讨论] McAfee Host Intrusion Prevention 8.0p3没有epo正常的用法

  [复制链接]
jxfaiu
发表于 2013-8-18 16:12:29 | 显示全部楼层 |阅读模式
本帖最后由 jxfaiu 于 2013-10-3 19:59 编辑

在论坛看到好多会员说McAfee Host Intrusion Prevention 8.0没有epo的情况下会抽风,还有的说程序防护功能(IPS)没启用:本人不喜欢见风是雨,通过以下实践测试并非如此,请耐心往下看:
官方下载的p3安装解压包:双击对应系统的安装文件
支持的操作系统
(只适用于32位的Windows XP SP2,SP3)
•专业版
Vista SP1的Windows Vista中,(32 - 64位)
•商务版
•企业版
•终极版
的Windows 7(32 - 64位)
•专业版
•企业版
•终极版
2003 R2 SP2的Windows Server2003 SP2,2003 R2(32 - 64位)
•所有版本
Windows Server 2008中,2008 SP2,2008 SP1中,2008 R2(32 - 64位)
•所有版本


待安装界面消失后

XP32位系统直接导入注册表文件:次序分别是双击:1,ePO默认-IPS保护程序保护列表,2,开机自动开启IPS 网络IPS 防火墙,3,HIP8.0防火墙规则,4,开启HIP8.0设置功能(切记导入:HIP8.0防火墙规则一定是安装完成从未启用过防火墙)
(导入防火墙规则请自行替换DNS服务器IP地址,否则无法连网;指定程序规则请重新在规则编辑应用程序界面浏览至你所在目录的主程序文件(防火墙规则中含校验值及目录途径)


请参阅:McAfee Host Intrusion Prevention 8.0绑定DNS服务器IP地址


XP32位系统一键导入压缩包:(切记导入:McAfee HIP8.0规则一定是安装完成从未启用过防火墙)
也可选择不导入:HIP8.0防火墙规则,使用默认:允许白名单内所有进程连网,非白名单进程需自建连网规则,无弹窗

将IPS策略勾选适应模式重启:
重启后,右下托盘图标消失


测试IPS策略功能是否有效:
关闭VSE的访问保护,双击VSE规则注册表文件:


从安装目录双击McAfeeFire.exe调出HIP8.0界面,查看日志:勾选记录所有已阻止项:

有会员会说仅记录日志,其实功能未启用;下请看(因IE浏览器带各种插件未在HIP8.0白名单内,会有拦截)
运行IE浏览器待网页打开后关闭,再运行IE浏览器待网页打开后再关闭;
4个IE浏览器进程卡住无法终止



高入侵拦截日志

再测试防火墙,停用IE浏览器允许、阻止规则(去除IE浏览器允许、阻止规则的勾选)点应用



拦截TCP远程80端口的日志

我不知会员说McAfee Host Intrusion Prevention 8.0没有epo的情况下会抽风,所有功能正常,抽的是那门子疯;

解决启动右下无托盘图标,IPS策略勾选适应模式,会自动排除C:\WINDOWS\EXPLORER.EXE进程,下次重启就OK啦!

解决IE8浏览器卡住无法终止进程,手动排除


非XP32位系统安装参阅上面说明,安装完成后须将:1,ePO默认-IPS保护程序保护列表,2,开机自动开启IPS 网络IPS 防火墙,3,开启HIP8.0设置功能3个注册表文件用记事本打开替换成你当前系统的途径;

选将HJP8.0所在你当前系统的注册表途径导出:如(在这演示的是XP32位系统)
开始-运行,;输入:regedit,确定
1,ePO默认-IPS保护程序保护列表注册表途径:展开至HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\AppProtection(非XP32位系统不同,关键是要对应McAfee\HIP\Config\AppProtection的途径)


导出你当前系统的注册表途径为reg文件类型

用记事本分别打开:ePO默认-IPS保护程序保护列表注册表类文件,刚导出的你当前系统的注册表类文件(1.reg),将1.reg(你当前系统的注册表途径覆盖至ePO默认-IPS保护程序保护列表注册表)保存确定

按以上方法修改:2,开机自动开启IPS 网络IPS 防火墙,3,开启HIP8.0设置功能途径
2,开机自动开启IPS 网络IPS 防火墙途径:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP
3,开启HIP8.0设置功能途径:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Settings
完成后分别双击导入:1,ePO默认-IPS保护程序保护列表,2,开机自动开启IPS 网络IPS 防火墙,3,开启HIP8.0设置功能
右键右下托盘图标-配置-任务-解锁用户界面,输入(abcde12345)





默认防火墙规则,白名单内所有进程无弹窗连网

要是你能折腾,可以在注册表去除防火墙允许所有出站这条规则,靠弹窗建规则或烦弹窗的建议默认;停用IPS策略、防火墙,去除启用的勾选,应用;

展开注册表:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Firewall\Rules\0
双击默认,复制默认数值数椐:
1,77d36e26-b694-4d8f-990b-1a5f0975d7c5,,允许所有出站,true,true,false,1376793896,1376793896
修改为:(关键红色字符,其它不同的系统环境可能有所不同)
1,77d36e26-b694-4d8f-990b-1a5f0975d7c5,,允许所有出站,false,false,true,1376793896,1376793896
确定

允许所有出站规则可以停用、删除

如果停用或删除允许所有出站规则,防火墙必须启用学习模式,任何进程连网会有弹窗提示;如果你一味点确定肯定会疯的,如果在弹窗界面勾选(为所有端口和协议创建防火墙应用程序规则,我认为太宽松);必须对连网进程建相应的允许连网规则,在允许规则下建1条阻止此进程所有协议规则,以便有新进程需连网开学习模式有多进程连网多弹窗;

防火墙规则文字说明:
默认规则:灰色无法修改、停用、删除;

1,允许ARP规则,方向:二选一,操作:允许,协议与地址:非IP:806;

2,Allow EAPOL,方向:二选一,操作:允许,协议与地址:非IP:888E;

3,IP欺骗,方向:出站,操作:阻止,,协议与地址:IP协议,选IPV4、IPV6,协议与端口:全部协议;


自定义规则:

1,Block IPv6 over IPv4 (ISATAP),方向:二选一,操作:阻止,协议与地址:非IP;输:41;

2,Block (0xF0F0),方向:二选一,操作:阻止,协议与地址:非IP;输:F0F0;

3,TrustedSource-获取评级,方向:入站,操作:阻止,协议与地址:IPV4、IPV6;远程IP地址添加范围:
10.0.0.0-10.255.255.255
112.95.139.0-112.95.139.255
113.207.0.0-113.207.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
192.254.0.0-192.254.255.255,
224.0.0.0-224.255.255.255
单个:
0.0.0.0
42.95.163.88
95.163.88.209
119.188.9.48
本地子网:224.0.0.0-239.255.255.255
255.255.255.255
协议与端口:全部协议;

4,Block NETBLT,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:netblt;

5,Block IGMP,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:IGMP;

6,Allow ICMP Echo request,方向:出站,操作:允许,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Echo request;

7,Allow ICMP Echo Reply,方向:入站,操作:允许,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv4,消息类型:Echo Reply;

8,Block all ICMP,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:ICMPv4,消息类型:全部;

9,Block TCP Local port,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:TCP,本地端口:分6次输入以下端口号至本地端口用户自定义下框中,每次输入后点添加;
0-1030,1033,1042,1045,1057,1090,1095,1097,1098,1099,1158,1170,1234,1243,1245,1345,1349,1433,1434,1492,1521,1524,1560,1600,1807,1831,1981,1999,2000,2001,2002,2003,2004,2005,2023,2100,2115,2140,2565,2583,2701,2702,2703,2704,2773,2774,2800,2801,2869,3000

3024,3128,3129,3150,3389,3700,3702,4092,4267,4567,4590,4899,5000,5001,5151,5168,5321,5333,5357,5358,5400,5401,5402,5355,5535,5550,5554,5555,5556,5557,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,6939,6969,6970,7000,7001,7080,7215,7300,7301,7306,7307,7308

7410,7597,7626,7789,8080,8081,9080,9090,9400,9401,9402,9408,9535,9872,9873,9874,9875,9898,9989,10067,10167,10168,10520,10528,10607,11000,11051,11223,12076,12223,12345,12346,12348,12349,12361,12362,12363,12631,13000,14500,14501,14502,14503,15000,15094,15382

16484,16772,16969,17027,17072,17166,17569,19191,19864,20000,20001,20002,20023,20034,21544,22222,23005,23006,23023,23032,23456,23476,23477,25685,25686,25982,26274,27374,29104,30001,30003,30029,30100,30101,30102,30103,30133,30303,30947,30999,31337,31338,31339

31666,31785,31787,31788,31789,31791,31792,32100,32418,33333,33577,33777,33911,34324,34555,35555,40421,40422,40423,40424,40425,40426,41337,41666,43210,44445,47262,49301,50130,50505,50766,51996,53001,54283,54320,54321,55165,57341,58339,60000,60411,61348,61466

61603,63485,65000,65390,65432
远程端口:0-65535;

10,Block TCP RemotePort,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:TCP,
本地端口:0-65535;远程端口:0-79,85-442,444-1030,1433,3702,5355,5535 ;

11,Block UDP Local port,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:UDP,本地端口:分4次输入以下端口号至本地端口用户自定义下框中,每次输入后点添加
0-67,69-1025,1027,1033,1042,1170,1234,1243,1245,1433,1492,1560,1561,1600,1807,1981,1999,2000,2001,2023,2115,2140,2583,2701,2702,2703,2704,2801,2989,3129,3024,3072,3150,3333,3700,3702,3996,4006,4011,4060,4092,4321,4500,4590,5000,5001,5151,5168,5321,5355,5357

5358,5400,5401,5402,5535,5550,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,7000,7028,7300,7301,7306,7307,7410,7626,7789,8225,9400,9401,9402,9696,9872,9873,9874,9875,9989,10067,10167,11000,11223,12076,12223,12345,12346,12348,12349,12361,15094,16969,17569

19191,20000,20001,20034,21554,22222,22226,23456,26274,27374,30100,30303,30999,31237,31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,33333,33390,34324,34555,40412,40421,40422,40423,40425,40426,43210,44445,47262,50766,54320,54321,60000,61466,65000 远程端口:0-65535;


12,Block UDP RemotePort,方向:出站,操作:阻止,协议与地址:任何协议;协议与端口:UDP,
本地端口:0-65535;远程端口:0-52,54-66,68-1023,1025-1029,1433,3702,5355,5535  


13,Allow bootp,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:68,远程端口:67;在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe

14,Allow DNS,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:1024-1432,1434-3699,3703-5354,5356-5534,5536-65535,远程端口:53(1900为无线网端口);在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe

15,Block scvhost.exe,方向:二选一,操作:阻止,协议与地址:任何协议;协议与端口:全部协议;在应用程序浏览到安装目录下的C:\WINDOWS\system32\svchost.exe

16,TrustedSource-允许Host IPS,方向:出站,操作:阻止,,协议与地址:所有协议,协议与端口:全部协议;应用程序:
C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe

17,Allow McAfee VSE1 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:UDP,本地端口:1024-65535,远程端口:53;在应用程序浏览到安装目录下的
C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe

18,Allow McAfee VSE2 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:全部协议;在应用程序浏览到安装目录下的
C:\Program Files\McAfee\Common Framework\FrameworkService.exe

19,Allow McAfee VSE3 Outbound,方向:出站,操作:允许,协议与地址:IPV4、IPV6;协议与端口:全部协议;在应用程序浏览到安装目录下的
C:\Program Files\McAfee\Common Framework\McScript_InUse.exe

使用IPV6协议网络,ICMP规则可以写成:

1,Block incoming pings,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Echo request;

2,Block ICMP Timestamp,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Timestamp;

3,Block ICMP Addr Mask,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Address Mask Requst;

4,Block ICMP Info Req,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Information Requst ;

5,Block ICMP Router Solicit,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Router Solicitation;

6,Block ICMP Redirect,方向:入站,操作:阻止,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:Redirect;

7,Allow all ICMP,方向:二选一,操作:允许,协议与地址:IP协议,选IP4、IPV6;协议与端口:ICMPv6,消息类型:全部;


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2魅力 +1 人气 +1 收起 理由
心跳回忆 + 1 感谢提供分享
一晴空 + 1 版区有你更精彩: )

查看全部评分

1007
发表于 2013-8-18 17:00:02 | 显示全部楼层
一般系统有还原点功能,配置完好的系统,如果异常崩溃,会自动恢复到某个点。

如果那个时间点没有设置好HIP,系统会工作在备份当天的状态下。
jxfaiu
 楼主| 发表于 2013-8-18 17:34:19 | 显示全部楼层
1007 发表于 2013-8-18 17:00
一般系统有还原点功能,配置完好的系统,如果异常崩溃,会自动恢复到某个点。

如果那个时间点没有设置好 ...

你未曾导入注册表文件前,IPS是处于停用状态;
siuweh 该用户已被删除
发表于 2013-8-19 10:58:26 | 显示全部楼层
非常感谢!准备尝试一下 hip。
freesoft00
发表于 2013-8-20 14:10:42 | 显示全部楼层
开启McAfee_HIP_8.0功能注册表文件.rarMcAfee HIP8.0规则.rar
里面都有xp的规则,有不同吗,还是前者包括后者,另外,页面中有两个开启McAfee_HIP_8.0功能注册表文件.rar的下载包,不知道下载哪个,如果是旧的请保留最新的,以免下载的时候造成困惑。其他的几个帖子中也有这个问题。
jxfaiu
 楼主| 发表于 2013-8-20 15:25:20 | 显示全部楼层
本帖最后由 jxfaiu 于 2013-8-20 16:27 编辑
freesoft00 发表于 2013-8-20 14:10
开启McAfee_HIP_8.0功能注册表文件.rar 和McAfee HIP8.0规则.rar
里面都有xp的规则,有不同吗,还是前者包 ...


McAfee HIP8.0规则为XP正版系统一键导入包含所有,开启McAfee_HIP_8.0功能注册表文件是分类为4个文件;非XP系统开启McAfee_HIP_8.0功能注册表文件是分类为3个文件,方便修改注册表途径;
萧观澜
发表于 2013-8-20 20:59:35 | 显示全部楼层
路过支持了……实在是懒得折腾
dicky9055
发表于 2013-8-23 19:06:03 | 显示全部楼层
來學習一下
謝謝分享
462588842
发表于 2013-8-25 09:52:45 | 显示全部楼层
神器难架驭
freesoft00
发表于 2013-8-26 11:27:35 | 显示全部楼层
哦,我这样理解对不对
xp系统的话使用McAfee HIP8.0规则和使用开启McAfee_HIP_8.0功能注册表文件一样的,使用前者一次性导入,后者是单独各个导入。
非xp系统使用 开启McAfee_HIP_8.0功能注册表 方便修改

另外,hip是不是需要安装上mcafee的杀毒软件之后才可以安装,单独安装是不是不可以,我单独安装发现运行安装程序没有任何反应和变化
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:56 , Processed in 0.134377 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表