McAfee HIP 8.0 的新功能之一——McAfee TrustedSource（附开启方法和注意事项）

显示全部楼层 · 发表于 2010-12-31 09:35:06

本帖最后由 sandyyangjie 于 2011-1-1 09:31 编辑

虽然HIP8.0在客户端操作方面存在种种弊端，但从功能上看，它的确实McAfee的一次进步。McAfee HIP8.0其实包含了云计算的特征，同VSE类似，HIP8.0可以实时联系McAfee的数据库，获取你所访问的网站的信誉程度信息，并采取适当措施。VSE的云计算是Artemis，而HIP的云计算是McAfee TrustedSource。
TrustedSource的官方网站：http://www.trustedsource.org/

TrustedSource是McAfee的Global Threat Intelligence Technology的组成部分，通过实时监测网站的邮件发送、网络活动、软件下载和系统间通讯等情况，计算网站的信誉指数。根据信誉指数，TrustedSource将网站分为四大类：

最小威胁或无威胁——网站是好的
不确定——网站可能是好的，但有待进一步分析
中级威胁——网站有可疑行为，需要细查
高级威胁——网站确认存在有害行为，比如发送垃圾邮件，存在木马等

HIP8可以设置阻挡具体哪一级别的网站。当然，这个设置也是需要EPO的。HIP8通过缓存机制，避免了重复和频繁获取TrustedSource信息，降低了延迟性。如果HIP8无法联系TrustedSource服务器，将放行通信。

我感觉和Site Advisor用的技术类似，说不定就是一个，不过现在应用到防火墙层面了。。。

建议不要开启：因为独特的网络环境，就算存在缓存，获取缓存的速度也十分慢，开启以后所有程序会有较长时间不能上网。。。

更新：在5楼busihou同学的帮助下，终于成功开启TrustedSource！！效果不错！开启后，可以尝试访问www.fileupyours.com，或者cliprex.com，如果无法访问，说明拦截成功。建议默认开启的防护级别是high risk，以减少误判。

开启方法：

1. 关闭HIP的所有防御，包括防火墙，然后关闭主界面。
2. 打开注册表编辑器，进入HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Settings
3. 找到FW_TrustedSourceEnabledIn和FW_TrustedSourceEnabledOut，将值改为1
4. 找到FW_TrustedSourceThresholdIn和FW_TrustedSourceThresholdOut，将值改为32（16进制）
5. 关闭注册表编辑器，打开主界面，启用所有功能。
6. 等待，等待，耐心地等待！可能有几分钟世界黑暗了，什么都上不去，不过渐渐就好了，然后一切正常了。。。

注意事项：和Site Advisor一样，TrustedSource服务也会发生误报现象，目前163.com的大部分IP和8.8.8.8（google dns）都在封锁之列，我已经提交了修改申请，过几天再看看。请大家权衡好，毕竟开启关闭这个服务都不容易。。。

更新：昨天上报误报后，今天已全部修正！！

最后建议刚安装的同学开适应模式，否则会疯掉的。。。

显示全部楼层 · 发表于 2010-12-31 10:52:53

回复 1楼 sandyyangjie 的帖子

技术不错，还是有些顾虑。

显示全部楼层 · 发表于 2010-12-31 12:05:14

回复 1楼 sandyyangjie 的帖子

也可以通过注册表修改
但改这个相对麻烦
总的分为入站和出站两大项值
出站入站又分为四小项值
要修改的话要大项小项同时改

显示全部楼层 · 发表于 2010-12-31 14:04:53

回复 3楼 busihou 的帖子

我想问一下。。FW_TrustedSourceThresholdIn/Out这两个值，具体的数值哪一个是对应high risk呀？我怕我自己设置错了所以上不成网，另外enable那个设置为1就是开启了吧？

显示全部楼层 · 发表于 2010-12-31 14:37:36

"FW_TrustedSourceEnabledIn"=dword:00000001
为开启
"FW_TrustedSourceThresholdIn"=dword:0000000?
?=16进制 f未验证 1e中风险 32高风险
HIP8.0有的不是1值为开启,是不是有点变态,还是特意弄的

显示全部楼层 · 发表于 2010-12-31 14:41:27

本帖最后由 sandyyangjie 于 2010-12-31 14:43 编辑

busihou 发表于 2010-12-31 14:37
"FW_TrustedSourceEnabledIn"=dword:00000001
为开启
"FW_TrustedSourceThresholdIn"=dword:0000000?

它赢了。。。难怪我老是不能联网。。。。。。多谢！

那还想问问boottimeenabled那个是1为开启吗？。。

显示全部楼层 · 发表于 2010-12-31 19:30:52

回复 1楼 sandyyangjie 的帖子

在本地安装epo 自己操作自己的电脑呢

显示全部楼层 · 发表于 2010-12-31 19:32:01

波导的勇者发表于 2010-12-31 19:30
回复 1楼 sandyyangjie 的帖子

在本地安装epo 自己操作自己的电脑呢

没有，我纯粹自己在试。。。注册表里面的名字和product guide里面的设置项进行对应，然后猜测可能的值。。。结果trustedsource那个就猜错了。。。

显示全部楼层 · 发表于 2010-12-31 19:33:41

回复 8楼 sandyyangjie 的帖子

在本地安装EPO可行吗

显示全部楼层 · 发表于 2010-12-31 19:35:30

波导的勇者发表于 2010-12-31 19:33
回复 8楼 sandyyangjie 的帖子

在本地安装EPO可行吗

没试过，服务器系统应该一点问题都没有，如果是win7或者xp就需要装一些sql server之类的组件，可以看看EPO的system requirement~

[资讯] McAfee HIP 8.0 的新功能之一——McAfee TrustedSource（附开启方法和注意事项）

评分