查看: 12004|回复: 22
收起左侧

[技术原创] McAfee HIP 8.0 最新默认防护规则解析

  [复制链接]
大猫熊
发表于 2011-5-1 11:45:18 | 显示全部楼层 |阅读模式
本帖最后由 大猫熊 于 2013-7-29 18:09 编辑

大家折腾了那么多McAfee企业版的规则,大概已经对McAfee强悍的防护有了一定了解,如果想进一步更智能地保护自己的电脑,就需要McAfee HIP的配合了。很长时间以来,对McAfee HIP的研究主要集中在防火墙的功能上,而对Host Intrusion Prevention不是特别重视,原因主要是客户端无法设置,只有通过EPO设置好了推送过来。那么,HIP默认的规则都有哪些呢?是否足够保护电脑呢?今天我们就来看看HIP默认规则都有哪些东西吧!

1. 防护范围

HIP的保护范围很广,包括缓冲区溢出、注册表、服务、文件、Host IPS API、非法使用、程序以及挂钩这八个部分。比McAfee企业版的规则更加细致。我现在不知道能否包含磁盘底层,还有待测试。

2. 防护平台

包括Windows、Solaris和Linux三大平台,这个不多说。

3. 防护类别

包括主机入侵防护和网络入侵防护两个类别。网络入侵防护主要是防止黑客利用各种漏洞攻击计算机,有防火墙的功能,主机入侵防护相当于主动防御。

4. 检测类型

包括基于签名的检测和行为检测,签名的检测类似于McAfee的规则,只要违反了就属于触犯规则。而行为监测则是通过分析程序的行为,智能判断是否属于已知或未知的威胁。

5. 防护级别

这个是McAfee HIP的一个亮点。McAfee HIP不同于McAfee企业版,也有别于大部分主防或者HIPS,它把威胁或者计算机上发生的所有事件分为四个等级,如下:

(1) 高级威胁

Signatures of clearly identifiable security threats or malicious actions. These signatures are specific to well-identified exploits and are mostly non-behavioral in nature. Prevent these signatures on every system.

我们可以把高级威胁看成是已知威胁,这类威胁一般都非常明显清晰,基于查证的漏洞,因此几乎不会有误报。比如,微软每个月第一个周五会发布安全公报,里面会包含很多漏洞信息,这时候McAfee就会分析这个报告,并且在HIP中加入新的威胁信息,通过自动更新推送给用户。也就是说,HIP能防止几乎所有基于系统漏洞的攻击,而且不需要人为进行任何操作。McAfee建议所有系统都开启这一级别的防护,在HIP 8.0中,这个级别的威胁已经被自动阻止(稍后我们会看看防护方式)。

(2) 中级威胁

Signatures of behavioral activity where applications operate outside their envelope. Prevent these signatures on critical systems, as well as on web servers and SQL servers.

中级威胁是指应用程序的行为超过了范围,这些行为不一定都是危险行为,不过大多都没有必要。这一级别的威胁大多是由行为检测识别的,如果对电脑有较高安全需求,可以考虑开启这一级别的防护。McAfee推荐在关键系统和服务器上开启这一级别防护。举一个例子,在中级威胁中,有一项是,IE浏览器不能修改任何可执行文件,在McAfee看来,浏览器没必要也不允许修改可执行文件,这一防护一开起,网马就伤不起了。

(3) 低级威胁

Signatures of behavioral activity where applications and system resources are locked and cannot be changed. Preventing these signatures increases the security of the underlying system, but additional fine-tuning is needed.

低级威胁通常不一定是威胁。如果开启这一级别的防护,很多系统工具和资源会被锁定,不能使用或者改变,极大提高安全性,但可能会对日常使用造成不便,需要额外加以排除。比如,开启这一级别防护后,我甚至不能运行注册表编辑器。McAfee不建议开启这一级别的防护,除非你需要保护的是ATM,或者对安全要求极高的主机。我们大概可以知道为什么美国国防部要采用HIP来防护了吧。

(4) 信息


Signatures of behavioral activity where applications and system resources are modified and might indicate a benign security risk or an attempt to access sensitive system information. Events at this level occur during normal system activity and generally are not evidence of an attack.

信息级别,已经不算真正意义上的威胁了,对于系统和应用程序资源的修改,对敏感系统信息的读取都属于此类。这类行为可以发生在正常系统活动中,不算是攻击。

了解了这四个级别的威胁,很多人可能会问,如何开启这些保护呢?如何知道这几个级别威胁的具体细节?

6. 防护方式

防护方式很简单,和McAfee企业版规则类似,包含三种,阻止、报告、不采取行为。值得注意的是,在有些规则里面,McAfee已经禁止了报告,主要包括一些自我保护的规则。一般来说都是可以在阻止的时候同时看到报告的。我个人建议防护方式如下:

高威胁:阻止
中威胁:阻止
低威胁:报告
信息:不采取行为

在McAfee HIP的默认设置中,是这样的:

高威胁:阻止
中威胁:不采取行为
低威胁:不采取行为
信息:不采取行为

在这种防护下,只有已知的进攻行为才会阻止,其他的均放行。当然,因为我们在客户端无法调整规则,增加排除,所以对中威胁和低威胁还是要考虑清楚,是报告还是阻止,取决于你自己的使用习惯和安全需求。不过,我们可以通过客户端设置信任程序,这些程序可以不受任何规则束缚,可以当排除来用,但仍然需要小心。

在HIP的设置里面,防护方式用以下值表示:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\HIP\Config\Settings(64位系统)
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Settings(32位系统)

IPS_ReactionForHigh、IPS_ReactionForMedium、IPS_ReactionForLow、IPS_ReactionForInfo这四个键,

3=阻止,2=报告,1=不采取行为

7. 具体防护规则(见附件)




引用文章

Host Intrusion Prevention Content Signature Query in ePO 4.x,https://kc.mcafee.com/corporate/index?page=content&;id=KB55119
McAfee Host Intrusion Prevention 8.0-Product Guide for use with ePolicy Orchestrator 4.5
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/22000/PD22894/en_US/Host%20Intrusion%20Prevention%20800%20Product%20Guide%20for%20ePO%20450.pdf



欢迎访问我的博客:http://www.alexyang.me

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3魅力 +1 人气 +2 收起 理由
鲁路修 + 1
猫大叔 + 1 版区有你更精彩: )
墨池 + 1 精品文章,感谢分享!

查看全部评分

bmjp007
发表于 2011-5-1 11:50:33 | 显示全部楼层
想请教下,我已经装有mvs 8.8
现在希望装上McAfee HIP 8.0,但是我的机子装有op防火墙了,只想要hip功能不要防火墙
请问能做到吗?
大猫熊
 楼主| 发表于 2011-5-1 11:53:58 | 显示全部楼层
bmjp007 发表于 2011-5-1 11:50
想请教下,我已经装有mvs 8.8
现在希望装上McAfee HIP 8.0,但是我的机子装有op防火墙了,只想要hip功能不 ...

你可以装好后不开防火墙,但我不建议你这么做,因为驱动又可能和OP的冲突~~
bmjp007
发表于 2011-5-1 11:57:04 | 显示全部楼层
恩,谢谢,那就要么放弃op,要么另外找单独的HIP了。
大猫熊
 楼主| 发表于 2011-5-1 12:02:00 | 显示全部楼层
bmjp007 发表于 2011-5-1 11:57
恩,谢谢,那就要么放弃op,要么另外找单独的HIP了。

对的~~~
jml521m
发表于 2011-5-1 12:59:17 | 显示全部楼层
[:26:]   非常感谢老大. 这个我先收着, 具体现在的机子还用不上以后研究吧.. 咖啡企业版的规则基本就够用了.. 呵呵
hanghuo
发表于 2011-5-1 14:18:28 | 显示全部楼层
这个好
bighead
发表于 2011-5-1 17:25:01 | 显示全部楼层
这个非常强大,谢谢版主
墨池
发表于 2011-5-1 21:29:09 | 显示全部楼层
好东西!搞得我心里痒痒,有换回HIP的冲动!
大猫熊
 楼主| 发表于 2011-5-1 22:07:36 | 显示全部楼层
墨池 发表于 2011-5-1 21:29
好东西!搞得我心里痒痒,有换回HIP的冲动!

用吧用吧~~~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 00:21 , Processed in 0.126939 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表