查看: 71482|回复: 279
收起左侧

[技术原创] McAfee Host Intrusion Prevention 8.0 隐藏功能和设置

  [复制链接]
busihou
发表于 2010-12-25 10:08:17 | 显示全部楼层 |阅读模式
本帖最后由 busihou 于 2012-4-7 10:53 编辑

HIP8.0不好驾驭
难的地方在,没有ePO下,有的时候规则不能立刻生效,和不知几时规则不起作用
非IP协议,在日志中显示不全

20110503这两天闲来没事,说一下如何查开学习模式下防火墙规则失效(只发现防火墙失效)
20110501上传基于签名严重性等级的反应注册文件
20110306解决PPPOE虚拟拨号,不能联网
20110216解决Runtime Error错误
20110125更新图片,防火墙导入规则说明
还有未解决的问题希望共同探讨一下

本人阅读权限不够,下不了权限大型企业授权号
在这里感谢 lamour 同学,提供大型企业授权号
不然下载不到官方 HostIPS_Client800LML 文件

平台支持
在 32 位和 64 位 Windows 平台(Windows XP 除外)上功能完全对等

本人使用XP 32位,只提供32位的注册表文件.
如导入不起作用,请改一下注册表位置.
32位 注册表位置 HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP
64位 注册表位置 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\HIP (WIN7 64位,其他64位未验证,有条件的同学请验证后回复)










注意事项:导入注册表文件前先关闭Host IPS保护(初装IPS保护为关闭) 关闭HIP窗口 后再导入

20110503 ↓
还是发一下好,不知是不是HIP8.0缺陷,还是只能在EPO托管下运行
因为此原因好久没用HIP8.0了,情况如下图

跟适应模式差不多,原先的规则按照原先的通行
但开适应模式,规则会自动学习进来.此时规则没有增加,跟适应模式有所差别
关闭学习模式,原先规则生效
希望只是我个案
20110503 ↑

20110306 ↓
PPPOE虚拟拨号,不能联网,请添加以下两条规则
第一条规则
  1.常规:名称(个人喜欢),方向二选一,其他默认,下一步
  2.协议和地址:选 非IP协议 填8863,直接点完成
第二条规则
  1.同上
  2.同上 只是非IP协议 填8864
20110306 ↑

20110216 ↓
出现RUNTIME ERROR错误
请开启代-理图标,可以解决此问题
开启方法:
关闭McAfee监控
winXP32 找到X:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\Agent.ini

win 7 32 找到X:\ProgramData\McAfee\Common Framework\Agent.ini
打开Agent.ini 找到 ShowAgentUI=0 修改为 ShowAgentUI=1 保存退出
打开McAfee监控,重启
20110216 ↑

20110125 ↓
因有些麦友说导入防火墙注册表文件不起作用,以下方法70%可以解决,不是100%哟!
在这里我提供步骤,按照以下步骤操作,防火墙以导入或修改的规则运行
打开HIP8.0操作界面,密码,这个不用说了
一.关闭Host IPS保护,关闭防火墙策略,然后关闭操作界面(使防火墙缓存在内存的规则清空)
二.修改防火墙规则或导入规则
     修改规则有风险,不清楚的建议不要改,如要改,修改前导出防火墙注册表文件
三.开启Host IPS保护,开启防火墙策略,然后关闭操作界面

我估计大都数导入规则前没有关闭防火墙策或没有关闭操作界面
以上操作步聚也可以用其他方法实现
如有不正确之处,请指正
20110125 ↑

开启HIP8.0 IPS注册文件


开机自动开启IPS 网络IPS 防火墙注册文件


修改密码为十个0注册文件

默认密码注册文件


ePO默认-IPS保护程序保护列表注册文件


ePO默认-受信任程序保护列表注册文件


ePO默认-受信任程序保护列表+IPS保护程序保护列表+防火墙规则注册文件

有自建防火墙规则的请勿导入此文件

在启动 Host IPS 服务前仅允许出站通讯注册文件


允许桥接流量注册文件


启用 IP 欺骗保护注册文件


入站 TrustedSource 阻止阈值注册文件


出站 TrustedSource 阻止阈值注册文件


启动 IPS 保护已启用注册文件


基于签名严重性等级的反应注册文件


预备------------------------------
允许通过任务栏图标禁用功能注册文件(此功能在没有密码情况下,通过托盘禁用)
预备------------------------------

附上HIP8.0发行说明


其他未知功能,等待其他网友开发

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5技术 +1 经验 +50 魅力 +1 人气 +3 收起 理由
storyhare + 1 取消精华,技术补偿
墨池 + 1 精品文章,感谢分享!
大猫熊 + 20 + 1 + 1 原创加分,鼓励探索~
Johnkay.Young + 30 原创内容
波导的勇者 + 1 加分 加分 希望持续更新

查看全部评分

大猫熊
发表于 2010-12-25 10:17:40 | 显示全部楼层
本帖最后由 sandyyangjie 于 2010-12-25 10:19 编辑

感激涕零!!!!!!

我想问一下能否导入7.0自己积累的规则?谢谢!
zhang4079
发表于 2010-12-25 10:19:40 | 显示全部楼层
与8.7配合还会不会关闭缓冲区防护啊
hehe579
头像被屏蔽
发表于 2010-12-25 10:36:33 | 显示全部楼层
本帖最后由 hehe579 于 2010-12-25 10:37 编辑

额,我是路过的,话说原创....
rmykf
发表于 2010-12-25 10:46:25 | 显示全部楼层
good!
大猫熊
发表于 2010-12-25 10:48:43 | 显示全部楼层
报告:Win7 64位成功开启IPS!
72380656
发表于 2010-12-25 11:06:40 | 显示全部楼层
这个好啊,谢谢分享
busihou
 楼主| 发表于 2010-12-25 11:11:42 | 显示全部楼层
回复 2楼 sandyyangjie 的帖子

好像只有在EPO里能导入7.0的规则
大猫熊
发表于 2010-12-25 11:14:14 | 显示全部楼层
busihou 发表于 2010-12-25 11:11
回复 2楼 sandyyangjie 的帖子

好像只有在EPO里能导入7.0的规则

哦~~我发现application protection list里面一个程序也没有,是不是要epo来设置开启?另外启动时的IPS和FW是不是也要用EPO开启?能否共享下设置?谢谢!!
明月几时有
发表于 2010-12-25 11:25:57 | 显示全部楼层
谢谢分享
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 23:46 , Processed in 0.125003 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表