McAfee HIP 8.0 最新默认防护规则解析

大猫熊

大家折腾了那么多McAfee企业版的规则，大概已经对McAfee强悍的防护有了一定了解，如果想进一步更智能地保护自己的电脑，就需要McAfee HIP的配合了。很长时间以来，对McAfee HIP的研究主要集中在防火墙的功能上，而对Host Intrusion Prevention不是特别重视，原因主要是客户端无法设置，只有通过EPO设置好了推送过来。那么，HIP默认的规则都有哪些呢？是否足够保护电脑呢？今天我们就来看看HIP默认规则都有哪些东西吧！

1. 防护范围

HIP的保护范围很广，包括缓冲区溢出、注册表、服务、文件、Host IPS API、非法使用、程序以及挂钩这八个部分。比McAfee企业版的规则更加细致。我现在不知道能否包含磁盘底层，还有待测试。

2. 防护平台

包括Windows、Solaris和Linux三大平台，这个不多说。

3. 防护类别

包括主机入侵防护和网络入侵防护两个类别。网络入侵防护主要是防止黑客利用各种漏洞攻击计算机，有防火墙的功能，主机入侵防护相当于主动防御。

4. 检测类型

包括基于签名的检测和行为检测，签名的检测类似于McAfee的规则，只要违反了就属于触犯规则。而行为监测则是通过分析程序的行为，智能判断是否属于已知或未知的威胁。

5. 防护级别

这个是McAfee HIP的一个亮点。McAfee HIP不同于McAfee企业版，也有别于大部分主防或者HIPS，它把威胁或者计算机上发生的所有事件分为四个等级，如下：

(1) 高级威胁

Signatures of clearly identifiable security threats or malicious actions. These signatures are specific to well-identified exploits and are mostly non-behavioral in nature. Prevent these signatures on every system.

我们可以把高级威胁看成是已知威胁，这类威胁一般都非常明显清晰，基于查证的漏洞，因此几乎不会有误报。比如，微软每个月第一个周五会发布安全公报，里面会包含很多漏洞信息，这时候McAfee就会分析这个报告，并且在HIP中加入新的威胁信息，通过自动更新推送给用户。也就是说，HIP能防止几乎所有基于系统漏洞的攻击，而且不需要人为进行任何操作。McAfee建议所有系统都开启这一级别的防护，在HIP 8.0中，这个级别的威胁已经被自动阻止（稍后我们会看看防护方式）。

(2) 中级威胁

Signatures of behavioral activity where applications operate outside their envelope. Prevent these signatures on critical systems, as well as on web servers and SQL servers.

中级威胁是指应用程序的行为超过了范围，这些行为不一定都是危险行为，不过大多都没有必要。这一级别的威胁大多是由行为检测识别的，如果对电脑有较高安全需求，可以考虑开启这一级别的防护。McAfee推荐在关键系统和服务器上开启这一级别防护。举一个例子，在中级威胁中，有一项是，IE浏览器不能修改任何可执行文件，在McAfee看来，浏览器没必要也不允许修改可执行文件，这一防护一开起，网马就伤不起了。

(3) 低级威胁

Signatures of behavioral activity where applications and system resources are locked and cannot be changed. Preventing these signatures increases the security of the underlying system, but additional fine-tuning is needed.

低级威胁通常不一定是威胁。如果开启这一级别的防护，很多系统工具和资源会被锁定，不能使用或者改变，极大提高安全性，但可能会对日常使用造成不便，需要额外加以排除。比如，开启这一级别防护后，我甚至不能运行注册表编辑器。McAfee不建议开启这一级别的防护，除非你需要保护的是ATM，或者对安全要求极高的主机。我们大概可以知道为什么美国国防部要采用HIP来防护了吧。

(4) 信息

Signatures of behavioral activity where applications and system resources are modified and might indicate a benign security risk or an attempt to access sensitive system information. Events at this level occur during normal system activity and generally are not evidence of an attack.

信息级别，已经不算真正意义上的威胁了，对于系统和应用程序资源的修改，对敏感系统信息的读取都属于此类。这类行为可以发生在正常系统活动中，不算是攻击。

了解了这四个级别的威胁，很多人可能会问，如何开启这些保护呢？如何知道这几个级别威胁的具体细节？

6. 防护方式

防护方式很简单，和McAfee企业版规则类似，包含三种，阻止、报告、不采取行为。值得注意的是，在有些规则里面，McAfee已经禁止了报告，主要包括一些自我保护的规则。一般来说都是可以在阻止的时候同时看到报告的。我个人建议防护方式如下：

高威胁：阻止
中威胁：阻止
低威胁：报告
信息：不采取行为

在McAfee HIP的默认设置中，是这样的：

高威胁：阻止
中威胁：不采取行为
低威胁：不采取行为
信息：不采取行为

在这种防护下，只有已知的进攻行为才会阻止，其他的均放行。当然，因为我们在客户端无法调整规则，增加排除，所以对中威胁和低威胁还是要考虑清楚，是报告还是阻止，取决于你自己的使用习惯和安全需求。不过，我们可以通过客户端设置信任程序，这些程序可以不受任何规则束缚，可以当排除来用，但仍然需要小心。

在HIP的设置里面，防护方式用以下值表示：
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\HIP\Config\Settings（64位系统）
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Settings（32位系统）

IPS_ReactionForHigh、IPS_ReactionForMedium、IPS_ReactionForLow、IPS_ReactionForInfo这四个键，

3=阻止，2=报告，1=不采取行为。

7. 具体防护规则（见附件）




引用文章

Host Intrusion Prevention Content Signature Query in ePO 4.x，https://kc.mcafee.com/corporate/index?page=content&;id=KB55119
McAfee Host Intrusion Prevention 8.0-Product Guide for use with ePolicy Orchestrator 4.5
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/22000/PD22894/en_US/Host%20Intrusion%20Prevention%20800%20Product%20Guide%20for%20ePO%20450.pdf



欢迎访问我的博客：http://www.alexyang.me

bmjp007

想请教下，我已经装有mvs 8.8
现在希望装上McAfee HIP 8.0，但是我的机子装有op防火墙了，只想要hip功能不要防火墙
请问能做到吗？

大猫熊

bmjp007 发表于 2011-5-1 11:50
想请教下，我已经装有mvs 8.8
现在希望装上McAfee HIP 8.0，但是我的机子装有op防火墙了，只想要hip功能不 ...

你可以装好后不开防火墙，但我不建议你这么做，因为驱动又可能和OP的冲突~~

bmjp007

恩，谢谢，那就要么放弃op，要么另外找单独的HIP了。

大猫熊

bmjp007 发表于 2011-5-1 11:57
恩，谢谢，那就要么放弃op，要么另外找单独的HIP了。

对的~~~

jml521m

[:26:]   非常感谢老大. 这个我先收着， 具体现在的机子还用不上以后研究吧.. 咖啡企业版的规则基本就够用了.. 呵呵

hanghuo

这个好

bighead

这个非常强大，谢谢版主

墨池

好东西！搞得我心里痒痒，有换回HIP的冲动！

大猫熊

墨池 发表于 2011-5-1 21:29
好东西！搞得我心里痒痒，有换回HIP的冲动！

用吧用吧~~~