借东风，发布McAfee HIP一键初始设置【注意高亮部分】

显示全部楼层 · 发表于 2011-4-23 17:27:13

本帖最后由 sandyyangjie 于 2011-5-28 17:08 编辑

今天手痒，把COMODO卸了，重新装上HIP8.0

COMODO没有不好，不过还是喜欢McAfee一些。这次借着busihou同学强劲的东风，顺手了许多。

1. 安装的时候，记得把McAfee企业版的访问保护关掉，打开任务管理器，然后再运行安装程序（McAfeeHIP_ClientSetup.exe），这是因为安装时看不到任何提示和窗口，只能通过任务管理器查看安装进程是否结束来判断安装是否完成。

2. 安装完成后，导入各种注册表，完成初始设置，我的系统是Windows 7 64位，我把常见的设置合并在一个注册表文件里，方便导入。文件见后面说明。

3. 这个文件不仅包括busihou同学的诸多初始设置，还包括：(1) 禁用“允许一切出站”，让防火墙真正能够限制本机进程联网。(2) 允许在未解锁的状态下直接编辑规则，省去了不少输入密码的麻烦。(3) 默认设置显示托盘图标，如果是agent图标就集成在agent菜单中。

4. 对于Trusted Source，我本来想开出站过滤的，但是开启后网速非常慢，几乎为0，CPU占100%，就没有开，这个设置文件里，入站是高风险阻止，出站是不阻止，应该能达到性能和安全的平衡。

5. 对于防火墙规则，我建议开启学习模式，但要注意SYSTEM进程，因为允许是允许不完的，尽量找出规律，手动设置规则，不要设置包含的程序。

6. 对于浏览器类程序（指需要访问非常多的IP地址的程序），手动设置学习形成的规则，事半功倍。

7. 要有耐心。
现在防火墙很稳定，无弹窗。

现在发布HIP8.0一键初始设置注册表文件，帮助刚刚上手HIP的同学快速调校软件。

适用环境：Windows 2003/XP/Vista/7/2008/2008 R2 32位及64位，Host Intrusion Prevention 8.0
前提条件：刚刚安装Host Intrusion Prevention 8.0，还未积累和调整规则，一切都是初始状态
使用方法：见附件内README.TXT文件
达到效果：略，太多了，可以参考busihou同学的帖子

更新：同学们请注意看http://bbs.kafan.cn/thread-874469-1-1.html帖子，这个里面说的一些问题，这儿也会出现，比如：

20110306 ↓
PPPOE虚拟拨号,不能联网,请添加以下两条规则
第一条规则
  1.常规:名称(个人喜欢),方向二选一,其他默认,下一步
  2.协议和地址:选非IP协议填8863,直接点完成
第二条规则
  1.同上
  2.同上只是非IP协议填8864
20110306 ↑

20110216 ↓
出现RUNTIME ERROR错误
请开启代-理图标,可以解决此问题
开启方法:
关闭McAfee监控
winXP32 找到X:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\Agent.ini
win 7 32 找到X:\ProgramData\McAfee\Common Framework\Agent.ini
打开Agent.ini 找到 ShowAgentUI=0 修改为 ShowAgentUI=1 保存退出
打开McAfee监控,重启
20110216 ↑

请记得修改这个地方，不用PPPOE拨号的可以不用管第一个，但是第二个一定需要。
如果第二个修改出现拒绝访问，请关闭HIP和VSE的保护后，将文件复制到桌面再编辑，编辑完后再复制回原来位子覆盖源文件。

免责声明
1. 一键初始设置注册表文件不保证满足所有人需求，可能存在错误，可能引起程序不稳定。
2. 使用者须明白风险，谨慎操作，并承担一切由导入注册表文件产生的后果。

阅读、理解并同意以上所有内容，就可以往下看了

------------------------------------------------我来分割文章和附件------------------------------------------------------

显示全部楼层 · 发表于 2011-4-23 17:52:46

熊猫版主,8.0版本是不是只有防火墙啊,我以前装了貌似只有防火墙.

显示全部楼层 · 发表于 2011-4-23 20:26:58

回复 2楼 wzx3250259 的帖子

默认只激活了防火墙部分，你可以通过修改注册表激活IPS部分，见http://bbs.kafan.cn/thread-874469-1-1.html

显示全部楼层 · 发表于 2011-4-23 20:43:47

Sandy又勾的我心痒痒的，该如何是好。

显示全部楼层 · 发表于 2011-4-23 21:14:32

回复 4楼 xyq.dell.com 的帖子

来玩玩吧~~~~

显示全部楼层 · 发表于 2011-4-24 00:46:40

相对来说还是comodo方便控制

显示全部楼层 · 发表于 2011-4-24 01:47:53

sandyyangjie 发表于 2011-4-23 20:26
回复 2楼 wzx3250259 的帖子

默认只激活了防火墙部分，你可以通过修改注册表激活IPS部分，见http://bbs.ka ...

谢谢,请问一下占用如何啊,还有程序部份是不是可以像毛豆那样控制软件的行为,还是像'一刀切'.

显示全部楼层 · 发表于 2011-4-24 01:59:22

感觉没时间折腾还是继续用毛豆好了.

显示全部楼层 · 发表于 2011-4-24 08:55:06

本帖最后由 sandyyangjie 于 2011-4-24 08:57 编辑

回复 7楼 wzx3250259 的帖子

占用16M，几乎不占CPU，程序部分如果通过EPO是可以控制的，但是纯粹用户端就无法设置，另外mcafee也可以保护一些系统关键进程和常用用户进程不被入侵和中止。

另外，HIP和毛豆理念还是不太一样，HIP会根据微软和常用软件的漏洞不定期进行更新，防止利用漏洞进行入侵，主打的是“入侵防护”这个功能，而COMODO更像是用户自定义下的全局控制，而不是基于漏洞的入侵防护。

显示全部楼层 · 发表于 2011-4-24 08:58:07

回复 8楼青空之铃的帖子

是，我当初就是觉得HIP8.0太难折腾了才换毛豆的。。。。

[技术原创] 借东风，发布McAfee HIP一键初始设置【注意高亮部分】

本帖子中包含更多资源

评分