McAfeeHostIntrusionPrevention8b2b-download.mcafee.com/products/evaluation/host_intrusion... · Prevention-ClientsaufjedemHost(Server,DesktopsundNotebooks)imUnternehmen bereitgestelltwerdenkönnen,empfiehltsich,dassSiediesezunächstaufnurwenigen

McAfee Host Intrusion Prevention 8.0Produkthandbuch zur Verwendung mit ePolicy Orchestrator 4.0

COPYRIGHT

Copyright © 2010 McAfee, Inc. Alle Rechte vorbehalten.

Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten undangeschlossenen Unternehmen ganz oder teilweise reproduziert, übermittelt, übertragen, in einem Abrufsystem gespeichert oder in eine andereSprache übersetzt werden.

MARKEN

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCEEXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN,WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc. und/oder der Tochterunternehmen in den USA und/oder anderen Ländern.Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Markenin diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer.

INFORMATIONEN ZUR LIZENZ

Lizenzvereinbarung

HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ERENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHTWISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITERENUNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKETODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIEAUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTENBESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DASPRODUKT AN MCAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.

McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.02

InhaltsverzeichnisÜber Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Host IPS-Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Host IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Host IPS-Richtlinienverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Host IPS-Richtliniennachverfolgung und Abstimmung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Verwalten Ihres Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Informationsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Host IPS-Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Host IPS-Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Richtlinienverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Suchen von Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Konfigurieren von Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Standardschutz und Optimierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Host IPS-Richtlinienmigration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Systemverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Host IPS-Berechtigungssätze. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Host IPS-Server-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Host IPS-Ereignisbenachrichtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Aktualisierungen des Host IPS-Schutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Konfigurieren von IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

Übersicht der IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Verfahren zur Bereitstellung von IPS-Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Verhaltensregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Reaktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Ausnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Anwendungsschutzregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Ereignisse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Aktivieren des IPS-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Konfigurieren der Richtlinie für IPS-Optionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Festlegen der Reaktion auf IPS-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

3McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.0

Konfigurieren der Richtlinie für den IPS-Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Festlegen des IPS-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Konfigurieren der Richtlinie für IPS-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Zuweisen mehrerer Instanzen der Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Häufig gestellte Fragen: Richtlinien mit mehreren Instanzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Funktionsweise von IPS-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Funktionsweise von IPS-Anwendungsschutzregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Funktionsweise von IPS-Ausnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Überwachen von IPS-Ereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Verwalten von IPS-Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Erstellen von Ausnahmen anhand von Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Erstellen vertrauenswürdiger Anwendungen aus Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Überwachen von IPS-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Verwalten von IPS-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Konfigurieren von Firewall-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

Übersicht der Firewall-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Funktionsweise von Firewall-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Funktionsweise von Firewall-Regelgruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Funktionsweise des Host IPS-Katalogs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Statusbehaftete Firewall-Paketfilterung und -prüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Auswirkungen des Lernmodus und des adaptiven Modus auf die Firewall. . . . . . . . . . . . . . . . . . . . . 72

Firewall-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Aktivieren des Firewall-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Konfigurieren der Richtlinie für Firewall-Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Häufig gestellte Fragen – McAfee TrustedSource und die Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Definieren des Firewall-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Konfigurieren der Richtlinie für Firewall-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Erstellen und Bearbeiten von Firewall-Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Erstellen und Bearbeiten von Firewall-Regelgruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Erstellen von Konnektivitätsisolationsgruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Blockieren des DNS-Datenverkehrs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Verwenden des Host IPS-Katalogs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Verwalten von Firewall-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Häufig gestellte Fragen – Verwendung von Platzhaltern in Firewall-Regeln. . . . . . . . . . . . . . . . . . . . 83

Konfigurieren von allgemeinen Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85

Übersicht über allgemeine Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Definieren der Client-Funktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86


Inhaltsverzeichnis

Konfigurieren der Richtlinie "Client-Benutzeroberfläche". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Festlegen der allgemeinen Optionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . 87

Festlegen der erweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche. . . . . . . . . . 88

Festlegen der Fehlerbehebungsoptionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . 89

Definieren vertrauenswürdiger Netzwerke. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Konfigurieren der Richtlinie "Vertrauenswürdige Netzwerke". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Definieren vertrauenswürdiger Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen". . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Erstellen und Bearbeiten von Regeln für vertrauenswürdige Anwendungen. . . . . . . . . . . . . . . . . . . 93

Zuweisen mehrerer Instanzen der Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Arbeiten mit Host Intrusion Prevention-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

Übersicht Windows-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Taskleistenmenü. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Client-Konsole für Windows-Clients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Entsperren der Windows-Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Einstellen von Optionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Fehlerbehebung für den Windows-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Windows-Client-Warnungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Informationen zur Registerkarte "IPS-Richtlinie". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Informationen zur Registerkarte "Firewall-Richtlinie". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Informationen zur Registerkarte "Blockierte Hosts". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Bearbeiten der Liste "Blockierte Hosts". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Informationen zur Registerkarte "Anwendungsschutzliste". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Arbeiten mit der Registerkarte "Aktivitätsprotokoll". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Übersicht Solaris-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Richtlinienerzwingung mit dem Solaris-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Fehlerbehebung für den Solaris-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Übersicht Linux-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Richtlinienerzwingung mit dem Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Anmerkungen zum Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Fehlerbehebung für den Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen. . . .117

Regelstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Allgemeine Abschnitte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Optionale allgemeine Abschnitte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

Platzhalter und Variablen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Benutzerdefinierte Windows-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124


Inhaltsverzeichnis

Windows-Klasse "Buffer Overflow". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

Windows-Klasse "Files". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Windows-Klasse "Hook". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Windows-Klasse "Illegal Host IPS API Use". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Windows-Klasse "Illegal Use". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Windows-Klasse "Isapi" (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Windows-Klasse "Program". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Windows-Klasse "Registry". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Windows-Klasse "Services". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Windows-Klasse "SQL". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Klassen und Richtlinien für die einzelnen Windows-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Benutzerdefinierte Nicht-Windows-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Solaris/Linux-Klasse "UNIX_file". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Solaris/Linux-Klasse "UNIX_apache" (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Solaris/Linux-Klasse "UNIX_Misc". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Solaris-Klasse "UNIX_bo". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Solaris-Klasse "UNIX_map". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Solaris-Klasse "UNIX_GUID". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Klassen und Richtlinien für die einzelnen UNIX-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Anhang B: Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155

Allgemeine Probleme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Host IPS-Protokolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Dienstprogramm Clientcontrol.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164


Inhaltsverzeichnis

Über Host Intrusion PreventionMcAfee® Host Intrusion Prevention ist ein hostbasiertes Entdeckungs- und Präventionssystem,das Systemressourcen und Anwendungen sowohl vor externen als auch vor internen Angriffenschützt. Als verwaltbare und skalierbare Lösung schützt es Arbeitsstationen, Notebooks undunternehmenskritische Server, einschließlich Web- und Datenbankserver vor Eindringversuchen.Zero-Day-Angriffe und bekannte Angriffe werden mit patentierter Technologie blockiert.

Host Intrusion Prevention (hier auch als Host IPS oder HIP bezeichnet) schützt Daten und beugtder Manipulation von System- und Netzwerkressourcen sowie Anwendungen vor, mit denenInformationen gespeichert und bereitgestellt werden. Dies wird mit einerEndpunkt-Firewall-Funktion und einem System zum Schutz vor Eindringversuchen (IPS) erreicht.Die IPS-Funktion wird monatlich aktualisiert; Patches im Zusammenhang mit neuen Bedrohungensind somit weniger dringlich. Die Firewall-Funktion von Host Intrusion Prevention ist separatoder zusammen mit der IPS-Funktion von Host Intrusion Prevention erhältlich.

Host Intrusion Prevention ist vollständig in ePolicy Orchestrator integriert und verwendet zurÜbertragung und Erzwingung von Richtlinien dessen Framework. Dieser Ansatz bietet einevollständige Verwaltungslösung, mit der die unternehmensweite Bereitstellung auf bis zu100.000 Systemen in mehreren Sprachen möglich ist und die somit eine umfassende, globaleAbdeckung bietet.

Inhalt

Host IPS-Schutz

Host IPS-Richtlinien

Host IPS-Richtlinienverwaltung

Host IPS-Richtliniennachverfolgung und Abstimmung

Host IPS-SchutzNachdem alle für Host Intrusion Prevention erforderlichen Komponenten installiert sind undfunktionieren, können Sie die Schutzfunktion anwenden, Ereignisse überwachen und Richtlinienund Inhalte nach Bedarf aktualisieren.

Basisschutz

Host Intrusion Prevention wird mit einem Satz von Standardrichtlinien geliefert, die einengrundlegenden Schutz für Ihre Umgebung bieten. Diese Einstellungen umfassen:

• Für IPS-Schutz:

• Signaturen mit einem hohen Schweregrad werden verhindert und alle anderen Signaturenignoriert.

• McAfee-Anwendungen werden für alle Regeln außer IPS-Selbstschutzregeln alsvertrauenswürdige Anwendungen eingestuft.


• Vordefinierte Anwendungen und Prozesse werden geschützt.

• Für Firewall-Schutz:

• Basis-Netzwerkkonnektivität ist zulässig.

HINWEIS: Wenn Host Intrusion Prevention 8.0 zuerst installiert wird, ist der Schutz nicht aktiviert.Aktivieren Sie in der Richtlinie für IPS- oder Firewall-Optionen den Schutz, und wenden Sie dieRichtlinie auf dem Client an.

Erweiterter Schutz

Für den erweiterten Schutz können Sie von den standardmäßigen IPS-Richtlinien zu strengerenvordefinierten Richtlinien wechseln oder benutzerdefinierte Richtlinien erstellen.

Beginnen Sie mit einem Ausbringungstest, um die neuen Einstellungen zu überwachen und ihreOptimierung vorzunehmen. Bei der Optimierung geht es um das Gleichgewicht zwischenEindringungsschutz und dem Zugriff auf erforderliche Informationen und Anwendungen je nachGruppentyp.

Host IPS-RichtlinienEine Richtlinie ist eine Sammlung von Einstellungen, die Sie über die ePolicy Orchestrator-Konsolekonfigurieren und durchsetzen. Durch das Anwenden von Richtlinien wird sichergestellt, dassIhre Sicherheitsbedürfnisse im Hinblick auf verwaltete Systeme erfüllt werden. Mit Host IntrusionPrevention werden drei Richtlinienfunktionen bereitgestellt, wobei jede einzelne eine Reihe vonSicherheitsoptionen umfasst. Dies sind im Einzelnen: IPS, Firewall und Allgemein. Die IPS-und Firewall-Funktionen enthalten eine Richtlinie "Regeln", in der Regeln für Maßnahmenbestimmt werden, und eine Richtlinie "Optionen", mit der diese Regeln aktiviert oder deaktiviertwerden.

Die Eigentümerschaft an diesen Richtlinien wird im Richtlinienkatalog zugewiesen. Nachdemeine Richtlinie erstellt wurde, kann sie nur durch den Urheber dieser Richtlinie oder den globalenAdministrator bearbeitet oder gelöscht werden. Richtlinien können ausschließlich über denRichtlinienkatalog gelöscht werden.

IPS-Richtlinien

Die IPS-Funktion beinhaltet drei Richtlinien zum Schutz von Windows- undNicht-Windows-Computern. Sie enthält Details zu Ausnahmen, Signaturen,Anwendungsschutzregeln, Ereignissen und von Clients generierten Ausnahmen.

• IPS-Optionen (Alle Plattformen). Aktiviert oder deaktiviert den IPS-Schutz und dasAnwenden des adaptiven Modus für die Feineinstellung.

• IPS-Schutz (Alle Plattformen). Legt die Schutzreaktion auf Ereignisse fest, die von Signaturenerzeugt werden.

• IPS-Regeln (Alle Plattformen). Legt Ausnahmen, Signaturen und Anwendungsschutzregelnfest. Diese Richtlinie ist eine Richtlinie mit mehreren Instanzen und ermöglicht das Zuweisenmehrerer IPS-Regelrichtlinien statt nur einer einzelnen Richtlinie für ein System. Die geltendeRichtlinie stellt dann das Ergebnis der zusammengeführten Inhalte der Richtlinien dar. Fallszwischen den Einstellungen Konflikte auftreten, wird die explizite Einstellung mit dem höchstenSchutz angewendet.

Über Host Intrusion PreventionHost IPS-Richtlinien


Firewall-Richtlinien

Die Firewall-Funktion umfasst drei Richtlinien, mit denen nur Windows-Computer geschütztwerden. Die Richtlinien filtern den Netzwerkverkehr und lassen dabei legitimen Netzwerkverkehrdie Firewall passieren und blockieren den Rest.

• Firewall-Optionen (nur Windows). Aktiviert oder deaktiviert den Firewall-Schutz und dasAnwenden des adaptiven oder Lernmodus für die Feineinstellung.

• Firewall-Regeln (nur Windows). Legt die Firewall-Regeln fest.

• Firewall-DNS-Blockierung (nur Windows). Definiert die zu blockierendenDomänennamenserver.

Allgemeine Richtlinien

Die Funktion "Allgemein" enthält drei Richtlinien, die für IPS- und Firewall-Funktionen gelten.

• Client-UI (nur Windows). Definiert den Zugriff auf die Benutzeroberfläche von Host IntrusionPrevention auf Windows-Client-Systemen, einschließlich Fehlerbehebungsoptionen. Darüberhinaus wird ein Kennwortschutz aller Nicht-Windows-Client-Systeme ermöglicht.

• VertrauenswürdigeNetzwerke (nur Windows). Eine Liste der IP-Adressen und Netzwerke,über die eine sichere Kommunikation erfolgen kann. Wird mit den IPS- undFirewall-Funktionen verwendet.

• Vertrauenswürdige Anwendungen (Alle Plattformen). Eine Liste der Anwendungen, diefür die Ausführung der meisten Operationen vertrauenswürdig sind. Wird mit der IPS-Funktionverwendet. Diese Richtlinie ist ebenfalls eine Richtlinie mit mehreren Instanzen und ermöglichtdas Zuweisen mehrerer Regeln für vertrauenswürdige Anwendungen statt nur einer einzelnenRichtlinie für ein System. Die geltende Richtlinie stellt dann das Ergebnis derzusammengeführten Inhalte der Richtlinien dar. Falls zwischen den Einstellungen Konflikteauftreten, wird die Einstellung mit dem höchsten Schutz angewendet.

Host IPS-RichtlinienverwaltungÜber die ePolicy Orchestrator-Konsole können Sie die Host Intrusion Prevention-Richtlinien voneinem zentralen Standort aus konfigurieren.

Durchsetzen von Richtlinien

Wenn Sie Host Intrusion Prevention-Richtlinien über die Host Intrusion Prevention-Konsoleändern, werden die Änderungen auf den verwalteten Systemen während der nächstenKommunikation zwischen Agent und Server übernommen. Standardmäßig ist dieses Intervallauf einen Wert von 60 Minuten eingestellt. Um die Richtlinien mit sofortiger Wirkungdurchzusetzen, können Sie von der ePolicy Orchestrator-Konsole aus eine Agenten-Reaktivierungdurchführen.

Richtlinien und ihre Kategorien

Informationen zu Host Intrusion Prevention werden nach Funktion und Kategorie gruppiert.Jede Richtlinienkategorie bezieht sich auf eine bestimmte Untermenge von Richtlinien.

Eine Richtlinie ist eine für einen bestimmten Zweck konfigurierte Gruppe von Einstellungen. Siekönnen so viele Richtlinien wie nötig erstellen, ändern oder löschen.

Jede Richtlinie besitzt eine vordefinierteMcAfee-Standard-Richtlinie, die sich nicht bearbeitenoder löschen lässt. Mit Ausnahme von IPS-Regeln und vertrauenswürdigen Anwendungen

Über Host Intrusion PreventionHost IPS-Richtlinienverwaltung


besitzen alle Richtlinien auch die bearbeitbare Richtlinie Mein Standard, die auf derMcAfee-Standardrichtlinie basiert. Zu einigen Richtlinienkategorien gehören unveränderliche,vorkonfigurierte Richtlinien. Falls diese vorkonfigurierten Richtlinien Ihrem Bedarf entsprechen,können Sie direkt eingesetzt werden. Diese Richtlinien können nur gelesen werden, lassen sichaber wie alle Richtlinien duplizieren. Das Duplikat selbst kann dann je nach Bedarf angepasstwerden.

IPS-Regeln und Richtlinien für vertrauenswürdige Anwendungen sind Richtlinien mit mehrerenInstanzen, da Sie im Zusammenhang mit einer einzelnen Richtlinie mehrere Richtlinieninstanzenzuweisen können. Die Richtlinieninstanzen werden dabei automatisch in einer einzigen effektivenRichtlinie zusammengefasst.

TIPP: Die Richtlinien "McAfee-Standard" für "IPS-Regeln" und "Vertrauenswürdige Anwendungen"werden automatisch als Teil des Inhaltsaktualisierungsvorgangs aktualisiert. Es wird empfohlen,die Zuweisung dieser Richtlinien für alle Clients sowie das Erstellen zusätzlicherRichtlinieninstanzen, um das Verhalten der beiden Richtlinien anzupassen.

Anwenden von Richtlinien

Richtlinien werden auf beliebige Systeme oder Systemstrukturgruppen entweder durch Vererbungoder Zuweisung angewendet. Vererbung bestimmt, ob die Richtlinieneinstellungen für einSystem von dessen übergeordnetem Element übernommen werden. In der Standardeinstellungist die Vererbung für die gesamte Systemstruktur aktiviert. Sie können diese Vererbung durchdirekte Zuweisung von Richtlinien durchbrechen. Da Host Intrusion Prevention durch ePolicyOrchestrator verwaltet wird, haben Sie die Möglichkeit, Richtlinien zu erstellen und dieseunabhängig von der Vererbung zuzuweisen. Wenn Sie diesen Vererbungsmechanismus durchZuweisen einer neuen Richtlinie unterbrechen, erben alle untergeordneten Systeme diese neueRichtlinie.

Richtlinieneigentümerschaft

Jede Richtlinie muss einem Eigentümer zugewiesen sein. Die Eigentümerschaft stellt sicher,dass niemand außer dem globalen Administrator, dem Urheber der Richtlinie oder der alsEigentümer der Richtlinie angelegten Person die Richtlinie ändern kann. Jeder Administratorkann alle Richtlinien im Katalog verwenden; ändern kann sie jedoch nur der Urheber, derEigentümer oder der globale Administrator.

TIPP: Anstelle die Richtlinie eines anderen Administrators zu nutzen, empfiehlt es sich, dieRichtlinie zu kopieren und dann die Kopie zuzuweisen. Wenn Sie eine Richtlinie, deren Eigentümernicht Sie sind, einem Knoten der von Ihnen verwalteten Systemstruktur zuweisen und derEigentümer der Richtlinie diese ändert, gelten diese Änderungen für alle Systeme, denen dieseRichtlinie zugewiesen wurde.

Host IPS-Richtliniennachverfolgung undAbstimmung

Die Ausbringung und Verwaltung von Host Intrusion Prevention-Clients werden von ePolicyOrchestrator verarbeitet. In der ePO-Konsolenstruktur können Sie Systeme hierarchisch nachAttributen gruppieren. Sie können z. B. eine erste Ebene nach geografischem Standort und einezweite Ebene nach Betriebssystemplattform oder nach IP-Adresse gruppieren. Es wird empfohlen,Systeme in Gruppen – basierend auf Host Intrusion Prevention-Konfigurationskriterien –anzuordnen, beispielsweise nach Systemtyp (Server oder Desktop), Nutzung wichtigerAnwendungen (Web, Datenbank oder Mail-Server) oder strategischem Standort (DMZ oder

Über Host Intrusion PreventionHost IPS-Richtliniennachverfolgung und Abstimmung


Internet). Sie können Clients mit einem gemeinsamen Verwendungsprofil innerhalb derKonsolenstruktur in einer gemeinsame Gruppe platzieren. Sie können auch eine Gruppe nachdiesem Verwendungsprofil benennen, z. B. Web-Server.

Bei Verwendung der genannten Konsolenstruktur mit einer Gruppierung nach Typ, Funktionoder geografischem Standort können Sie die zugehörigen Verwaltungsfunktionen analog zudieser Gruppierung aufteilen. Mit Host Intrusion Prevention können Sie die Verwaltungsaufgabenbasierend auf Produktfunktionen, wie IPS oder Firewall, aufteilen.

Die Ausbringung von Host Intrusion Prevention auf Tausenden von Computern ist einfach zuverwalten, da die meisten Clients wenigen Anwendungsprofilen zugeordnet werden können.Die Verwaltung einer großen Ausbringung reduziert sich auf die Verwaltung einiger wenigerRichtlinienregeln. Mit der Erweiterung der Ausbringung sollten neu hinzugefügte Systeme einemoder mehreren vorhandenen Profilen zugeordnet werden. Sie können dann einfach unter denentsprechenden Gruppenknoten in der Konsolenstruktur platziert werden.

Vordefinierter Schutz

Host Intrusion Prevention bietet zwei Arten von Schutz:

• Der Basisschutz besteht bereits durch die Einstellungen der McAfee-Standardrichtlinie. Fürdiesen Schutz ist praktisch keine Optimierung erforderlich und er verursacht nur wenigeEreignisse. Dieser Basisschutz kann für viele Umgebungen bereits ausreichend sein.

• Auch ein erweiterter Schutz steht in Form vorkonfigurierter IPS- und Firewall-Richtlinien zurVerfügung, oder durch das Erstellen benutzerdefinierter Richtlinien. Server benötigen z. B.über den Basisschutz hinausgehende Schutzmechanismen.

In beiden Szenarien ist ein gewisser Grad an Optimierung der Schutzeinstellungen zur Anpassungan die tatsächliche Arbeitsumgebung erforderlich.

Adaptiver Modus

Um die Schutzeinstellungen noch feiner abzustimmen, können Host Intrusion Prevention-Clientsauf Client-Seite Ausnahmeregeln für Server-Richtlinien erstellen, die berechtigte Aktivitätenblockieren. Das Erstellen von Client-Regeln ist erlaubt, wenn Clients in den adaptiven Modusversetzt werden. Im adaptiven Modus werden Client-Regeln erstellt, ohne dass der Benutzereingreifen muss. Nach dem Erstellen der Client-Regeln prüfen Sie diese sorgsam, und entscheidenSie, welche der Regeln in Server-Richtlinien umgewandelt werden sollen.

In großen Unternehmen geht es häufig noch vor der Berücksichtigung von Sicherheitsbelangenvorrangig um einen störungsfreien Geschäftsablauf. Regelmäßig müssen z. B. neue Anwendungenauf bestimmten Client-Computern installiert werden, und Sie haben möglicherweise weder dieZeit, noch die Ressourcen, um umgehend eine Abstimmung vornehmen zu können. Mit HostIntrusion Prevention können bestimmte Clients für den IPS-Schutz in den adaptiven Modusversetzt werden. Diese Computer erstellen das Profil einer neu installierten Anwendung undleiten die erstellten Client-Regeln an den ePolicy Orchestrator-Server weiter. Der Administratorkann diese Client-Regeln auf vorhandene oder neue Richtlinien übertragen und dann die Richtlinieauf andere Computer anwenden, um die neue Software zu verwalten.

Systeme im adaptiven Modus verfügen über praktisch keinen Schutz, daher sollte der adaptiveModus nur zur Optimierung einer Umgebung genutzt werden und dann deaktiviert werden, umden Schutz des Systems zu erhöhen.

Optimierung

Als Teil der Ausbringung von Host Intrusion Prevention müssen Sie einige eindeutige Profilebestimmen und für sie Richtlinien erstellen. Dies erreichen Sie am besten, wenn Sie eine



Testausbringung einrichten und dann damit beginnen, die Zahl der falsch-positiven undgenerierten Ereignisse zu verringern. Dieser Vorgang wird Abstimmung oder Tuning genannt.

Striktere IPS-Regeln zielen auf eine Reihe von Verletzungen ab und generieren daher mehrEreignisse als in einer Basisumgebung auftreten würden. Wenn Sie den erweiterten Schutzanwenden, wird die Verwendung der IPS-Schutzrichtlinie empfohlen, um die Auswirkungen zustaffeln. Dazu gehört die Zuordnung jeder Sicherheitsebene (Hoch, Mittel, Niedrig undInformation) zu einer Reaktion (Verhindern, Protokollieren, Ignorieren). Indem zunächst alleSicherheitsebenen mit Ausnahme von "Hoch" auf "Ignorieren" gesetzt werden, werden nur dieSicherheitssignaturen von "Hoch" angewendet. Die anderen Ebenen können nach und nach beider Abstimmung erhöht werden.

Sie können die Zahl der falsch-positiven Ergebnisse verringern, indem Sie Ausnahmeregeln,vertrauenswürdige Anwendungen und Firewall-Regeln erstellen.

• Ausnahmeregeln sind Mechanismen für das Außerkraftsetzen einer IPS-Signatur unterbestimmten Umständen.

• Vertrauenswürdige Anwendungen sind Anwendungsprozesse, die alle IPS oder Firewall-Regelnumgehen.

• Firewall-Regeln bestimmen, ob Datenverkehr zulässig ist und ob die Paketübertragung erlaubtoder blockiert wird.

Dashboards und Abfragen

Dashboards ermöglichen es Ihnen, durch die simultane Anzeige mehrerer AbfrageergebnisseIhre Umgebung zu sichten. Diese Abfragen können fortlaufend aktualisiert werden oder miteiner bestimmten Häufigkeit ausgeführt werden.

Abfragen ermöglichen es Ihnen, Daten über ein bestimmtes Element abzurufen, die sich dannnach einer bestimmten Untermenge filtern lassen, z. B. Ereignisse der Ebene "Hoch", die vonbestimmten Clients für eine bestimmte Zeitspanne berichtet werden. Berichte können alsE-Mail-Nachrichten terminiert und gesendet werden.



Verwalten Ihres SchutzesZu den Verwaltungsaufgaben in Host Intrusion Prevention gehört das Überwachen undAnalysieren von Vorgängen, entsprechendes Reagieren, das Ändern und Aktualisieren vonRichtlinien sowie das Ausführen systematischer Aufgaben.

Inhalt

Informationsverwaltung

Richtlinienverwaltung

Systemverwaltung

InformationsverwaltungNach der Installation von Host Intrusion Prevention können Sie Sicherheitsprobleme aus derUmgebung nachverfolgen und dazu Berichte erstellen. Mit Dashboards erhalten Sie eine täglicheÜbersicht über die Sicherheitssituation und können mittels Abfragen Einzelheiten zu konkretenProblemen ermitteln.

Host IPS-DashboardsDashboards, eine Zusammenstellung von Monitoren, spielen bei der Verwaltung der Umgebungeine wichtige Rolle. Monitore umfassen Diagrammabfragen bis zu kleinen Web-Anwendungen,beispielsweise MyAvert Threat Service. Entsprechende Berechtigungen vorausgesetzt, könnenSie mehrere Dashboards erstellen und bearbeiten. Als Dashboard, das nach einer festgelegtenZeitspanne aktualisiert wird, lassen sich beliebige Diagrammabfragen verwenden. Solche"Live"-Dashboards sind daher für besonders nützliche Abfragen geeignet.

Host Intrusion Prevention beinhaltet zwei Standard-Dashboards mit folgenden Monitoren:

Tabelle 1: Dashboards und Monitore in Host IPSMonitoreDashboard

Host IPS • Firewall-Status

• Host IPS-Status

• Dienststatus

• Zähler für IPS-Client-Regeln

• Content-Versionen

• Top 10 der NIPS-Ereignisse nach Quell-IP

Ausgelöste Signaturen von Host IPS • Desktop, ausgelöste Signaturen (Hoch)

• Desktop, ausgelöste Signaturen (Mittel)

• Desktop, ausgelöste Signaturen (Niedrig)

• Server, ausgelöste Signaturen (Hoch)


MonitoreDashboard

• Server, ausgelöste Signaturen (Mittel)

• Server, ausgelöste Signaturen (Niedrig)

Weitere Informationen zur Erstellung und Nutzung von Dashboards erhalten Sie in derDokumentation zu ePolicy Orchestrator.

Host IPS-AbfragenHost Intrusion Prevention bietet Abfragefunktionen mittels ePolicy Orchestrator. NützlicheAbfragen lassen sich entweder aus Ereignissen und Eigenschaften erstellen, die in derePO-Datenbank gespeichert sind, oder Sie können vordefinierte Abfragen verwenden.

Sie können Abfragen für eine Gruppe ausgewählter Client-Systeme erstellen oder dieBerichtsergebnisse nach Produkt- oder Systemkriterien einschränken. Sie können Berichte indiversen Dateiformaten exportieren, auch in HTML- und Microsoft Excel-Dateien.

Abfrageoptionen:

• Festlegen eines Verzeichnisfilters, um nur ausgewählte Informationen zu sammeln. Auswählen,welche Gruppen oder Tags in den Bericht aufgenommen werden sollen.

• Festlegen eines Datenbankfilters, in dem Sie mithilfe logischer Operatoren präziseFilterkriterien für die Berichtsdaten definieren.

• Erstellen grafischer Berichte anhand von Informationen aus der Datenbank, Filtern, Druckenund Exportieren von Berichten in andere Softwareanwendungen.

• Ausführen von Abfragen nach Computern, Ereignissen und Installationen.

Vordefinierte und benutzerdefinierte Abfragen zur Analyse Ihres SchutzesDie Berichtsfunktion enthält vordefinierte Abfragen aus Host Intrusion Prevention und ermöglichtIhnen das Erstellen benutzerdefinierter Abfragen.

Diese können individuell verwaltet und angeordnet werden. Wenn Sie beispielsweise dieEinstellungen für einen Bericht anpassen, können Sie diese Einstellungen als Vorlage exportieren.Nachdem Sie eine benutzerdefinierte Vorlage erstellt haben, ordnen Sie diese so an, dass sieje nach Bedarf täglich, wöchentlich oder monatlich ausgeführt werden kann.

Nachdem ein Bericht generiert wurde, wird die in dem von Ihnen gegebenenfalls angegebenenFilter festgelegte Zusammenfassung angezeigt. Ausgehend von der Zusammenfassung könnenSie im gleichen Bericht auf die eine oder zwei Ebenen tiefer liegenden ausführlichenInformationen herunterbrechen.

Sie können die Sichtbarkeit von Berichtsinformationen für unterschiedliche Benutzer festlegen,beispielsweise für globale Administratoren gegenüber Site-Administratoren. Einige Benutzerkönnen nur auf Systemen, auf denen sie entsprechende Berechtigungen haben, Berichteeinsehen. Die Berichtsinformationen werden auch durch das Anwenden von Filtern gesteuert.

Benutzerdefinierte Abfragen

Mit dem Abfrage-Generator lassen sich vier Host IPS-Abfragen erstellen: Host IPS 8.0Firewall-Client-Regeln, Host IPS 8.0 Ausführbare Dateien für Firewall-Client-Regeln, Host IPS8.0 IPS-Client-Regeln und Host IPS 8.0 IPS-Ausnahmen.

Verwalten Ihres SchutzesInformationsverwaltung


Parameter für diese Abfragen sind:

Tabelle 2: Host IPS-Abfragen und -ParameterParameterAbfrage

Host IPS 8.0-Katalog-Firewall-Regeln undFirewall-Client-Regeln

HINWEIS: Diese Abfrage gibtIPS-Katalog-Firewall-Regeln,

• Aktion

• Richtung

• Aktiviert

• Letzte ÄnderungIPS-Katalog-Firewall-Gruppen undFirewall-Client-Regeln zurück. Mögliche • Zuletzt geändert vonAktionswerte sind zulassen, blockieren und • Endknoten-IDspringen. Springen gilt für Gruppen, die nicht über

• Lokale Dienstedie Aktion zum Zulassen bzw. Blockieren verfügen.Bei IPS-Katalogregeln und -gruppen ist der Filter • ProtokollstatusleafNodeId auf 0 gesetzt. Um nur

• IP-ProtokollFirewall-Client-Regeln anzuzeigen, setzen Sie denFilter auf > 0. • Intrusionsübereinstimmung

• Medientyp

• Name

• Hinweis

• Remote-Dienste

• Regel-ID

• Zeitplanende

• Zeitplanstart

• Wechseln bei Ablauf

• Transportprotokoll

Ausführbare Dateien für Host IPS8.0-Firewall-Client-Regeln

• Fingerabdruck

• Name

• Hinweis

• Pfad

• Regel-ID

• Name des Unterzeichnenden

Host IPS 8.0 IPS-Client-Regeln • Erstellt am

• Beschreibung

• Name der ausführbaren Datei

• Pfad der ausführbaren Datei

• Fingerabdruck

• Vollständiger Name der ausführbaren Datei

• Alle ausführbaren Dateien einschließen

• Alle Signaturen einschließen

• Alle Benutzer einschließen

• Datum der letzten Änderung

• Lokale Version

• Reaktion

• Signatur-ID

• Name des Unterzeichnenden

• Status

• Benutzername

Host IPS 8.0-IPS-Ausnahmen • IPS-Ausnahmeregeln



ParameterAbfrage

• Richtlinie für IPS-Regeln

Gemeinsame Host IPS-Eigenschaften

Folgende Host IPS-Eigenschaften können in benutzerdefinierte Abfragen von Host IPS undsonstige benutzerdefinierte Abfragen eingeschlossen werden:

• Status des adaptiven IPS-Modus• Agenten-Typ

• Blockierte Angreifer • Sprache

• Anzahl lokaler Ausnahmeregeln• Client-Version

• Content-Version • Netzwerk-IPS-Status

• Ausstehender Neustart• Status des adaptiven Firewall-Modus

• Firewall-Fehler (Fehler) • Plug-In-Version

• Produktstatus• Status des Firewall-Lernmodus (Eingehend)

• Status des Firewall-Lernmodus(Ausgehend)

• Ausgeführter Dienst

• Hotfix/Patch-Version• Anzahl Firewall-Regeln • Produktversion• Firewall-Status • Service Pack• Host IPS-Fehler (Fehler) • Host IPS-Ereignisinfo (ausgeblendet,

gelesen)• Host IPS-Status

•• SignaturnameInstallationsverzeichnis

Vordefinierte Abfragen

Neben benutzerdefinierten Abfragen gibt es eine Reihe bereits definierter Abfragen, die sie imOriginalzustand verwenden oder wunschweise bearbeiten können. Folgende vordefinierteAbfragen stehen in Host IPS zur Auswahl:

ZusammenfassungHIP-Abfrage

Zeigt Firewall-Client-Regeln nach Prozess an.Client-Regeln anhand vonProzessen

Zeigt Firewall-Client-Regeln nach Prozess und Port-Bereich an.Client-Regeln anhand vonProzessen/Port-Bereichen

Zeigt Firewall-Client-Regeln nach Prozess und Benutzer an.Client-Regeln anhand vonProzessen/Benutzern

Zeigt Firewall-Client-Regeln nach Protokoll- und Systemnamen an.Client-Regeln anhand vonProtokoll-/Systemnamen

Zeigt Firewall-Client-Regeln nach Protokoll und Port-Bereich an.Client-Regeln anhand vonProtokollen/Port-Bereichen

Zeigt Firewall-Client-Regeln nach Protokoll und Prozess an.Client-Regeln anhand vonProtokollen/Prozessen

Zeigt die obersten drei Client-Versionen mit einer einzelnen Kategorie für alle anderenVersionen an.

Client-Versionen

Zeigt verwaltete Systeme an, auf denen Host IPS bereitgestellt wurde und das Systemneu gestartet werden muss.

Ausstehende Client-Neustarts



ZusammenfassungHIP-Abfrage

Zeigt die obersten drei der Content-Versionen mit einer einzelnen Kategorie für alleanderen Versionen an.

Content-Versionen

Zeigt die Anzahl an Firewall-Client-Regeln an, die im Laufe der Zeit erstellt wurden.Zähler für FW-Client-Regeln

Zeigt die Anzahl an IPS-Client-Regeln an, die im Laufe der Zeit erstellt wurden.Zähler für IPS-Client-Regeln

Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit hohem Schweregrad(Kritisch) an

Desktop, ausgelösteSignaturen (Hoch)

Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit mittlerem Schweregrad(Warnung) an

Desktop, ausgelösteSignaturen (Mittel)

Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit niedrigem Schweregrad(Hinweis) an

Desktop, ausgelösteSignaturen (Niedrig)

Zeigt Ereignisse an, die von Systemen mit einem vertrauenswürdigen Netzwerk vonHost IPS generiert wurden.

Ereignisse vonvertrauenswürdigenNetzwerken von Host IPS

Zeigt die verwalteten Systeme an, bei denen die Firewall per Richtlinie aktiviert wurde,aber nicht ordnungsgemäß gestartet werden konnte.

Firewall-Fehler

Zeigt an, wo der Firewall-Schutz auf verwalteten Systemen aktiviert oder deaktiviertist.

Firewall-Status

Zeigt die verwalteten Systeme an, bei denen die IPS-Funktion per Richtlinie aktiviertwurde, aber nicht ordnungsgemäß gestartet werden konnte.

Host IPS-Fehler

Zeigt an, wo der IPS-Schutz auf verwalteten Systemen aktiviert oder deaktiviert ist.Host IPS-Status

Zeigt die Richtlinien der IPS-Regel an, die IPS-Ausnahmen verwenden.IPS-Ausnahmenbericht

Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit hohem Schweregrad(Kritisch) an

Server, ausgelöste Signaturen(Hoch)

Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit mittlerem Schweregrad(Warnung) an

Server, ausgelöste Signaturen(Mittel)

Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit niedrigem Schweregrad(Hinweis) an

Server, ausgelöste Signaturen(Niedrig)

Zeigt an, wo Host IPS installiert ist und ob die Anwendung auf verwalteten Systemausgeführt wird oder nicht.

Dienststatus

Zeigt die Top 10 der Systeme mit den meisten IPS-Ereignissen an.TOP 10 der IPS-Ereignissenach Ziel

Zeigt die Top 10 der Netzwerkangriffe nach Quell-IP-Adresse für die letzten dreiMonate an.

Top 10 der NIPS nach Quell-IP

Zeigt die Top 10 der am häufigsten ausgelösten IPS-Signaturen an.Top 10 der aufgerufenenSignaturen

RichtlinienverwaltungDie Verwaltung von Richtlinien besteht aus dem Konfigurieren und Anwenden von Richtlinienund der Optimierung des Schutzes hinsichtlich der Systemressourcen und -anwendungen. EinTeil dieses Vorgangs erfordert eine Analyse von Ereignissen und Client-Regeln.

Verwalten Ihres SchutzesRichtlinienverwaltung


Suchen von RichtlinienIn ePolicy Orchestrator werden Host Intrusion Prevention-Richtlinien an zwei Orten angezeigtund verwaltet: der Registerkarte Richtlinien (bei ausgewählten Gruppen in der Systemstrukturauf der Registerkarte Systeme | Systemstruktur | Richtlinien) und der RegisterkarteRichtlinienkatalog (Systeme | Richtlinienkatalog).

Im Hinblick auf eine ausgewählte Gruppe oder ein System sind auf der Registerkarte Richtlinienfolgende Vorgänge möglich:

• Die Richtlinien einer bestimmten Funktion des Produkts anzeigen

• Ausführliche Richtlinieninformationen anzeigen

• Informationen zur Vererbung einsehen

• Richtlinienzuweisungen bearbeiten

• Benutzerdefinierte Richtlinien bearbeiten

Auf der Registerkarte Richtlinienkatalog können Sie:

• Richtlinien erstellen

• Richtlinieninformationen anzeigen und bearbeiten

• Die Zuweisung einer Richtlinie ermitteln

• Einstellungen und Eigentümer einer Richtlinie anzeigen

• Zuweisungen mit deaktivierter Richtlinienerzwingung anzeigen

VorgehensweiseZweck

Klicken Sie auf Neue Richtlinie, geben Sie ihr einen Namen, und bearbeitenSie die Einstellungen.

Erstellen einer Richtlinie

Klicken Sie auf Bearbeiten (nur für Standard- oder vorkonfigurierte Richtlinienverfügbar).

Bearbeiten einer Richtlinie

Klicken Sie auf Ansicht (nur für McAfee-Standard- oder vorkonfigurierteRichtlinien verfügbar).

Anzeigen einer Richtlinie

Klicken Sie auf Umbenennen, und ändern Sie den Namen der Richtlinie(nicht verfügbar für Standard- oder vorkonfigurierte Richtlinien).

Umbenennen einer Richtlinie

Klicken Sie auf Duplizieren, bearbeiten Sie den Namen der Richtlinie undderen Einstellungen.

Duplizieren einer Richtlinie

Klicken Sie auf Löschen (nicht verfügbar für Standard- oder vorkonfigurierteRichtlinien).

HINWEIS: Wenn Sie eine Richtlinie löschen, dann übernehmen alle Gruppen,auf die diese Richtlinie aktuell angewendet wird, von ihrem übergeordneten

Löschen einer Richtlinie

Element die Richtlinie der betreffenden Kategorie. Wenn die Richtlinie desübergeordneten Elements nach dem Löschen nicht vererbt werden soll, prüfenSie vor dem Löschen einer Richtlinie sämtliche Systeme, denen diesezugewiesen ist, und weisen Sie den Systemen eine andere Richtlinie zu. WennSie eine Richtlinie löschen, die auf oberster Ebene angewendet wird, wirdanschließend die Standardrichtlinie der entsprechenden Kategorie angewendet.

Klicken Sie auf den Eigentümer der Richtlinie, und wählen Sie einen anderenEigentümer aus der Liste aus (nicht verfügbar für Standard- odervorkonfigurierte Richtlinien).

Zuweisen eines Richtlinieneigentümers

Klicken Sie auf Exportieren, geben Sie einen Namen ein, und speichern Siedie Richtlinie (eine XML-Datei) am gewünschten Speicherort.

Exportieren einer Richtlinie

Klicken Sie auf Alle Richtlinien exportieren, geben Sie einen Namen ein,und speichern Sie die XML-Richtliniendatei am gewünschten Speicherort.

Exportieren aller Richtlinien



VorgehensweiseZweck

Klicken Sie oben auf der Richtlinienkatalogseite auf Importieren, wählenSie die XML-Richtliniendatei aus, und klicken Sie auf OK.

Importieren von Richtlinien

Einzelheiten zu diesen Funktionen finden Sie in der Dokumentation von ePolicy Orchestrator.

Konfigurieren von RichtlinienNach der Installation der Software von Host Intrusion Prevention empfiehlt sich, diese so zukonfigurieren, dass sie ohne Beeinträchtigung täglicher Routineaufgaben den größtmöglichenSchutz bietet. Die Standardrichtlinien von Host Intrusion Prevention wurden für eine Vielzahlan Umgebungen konzipiert und erfüllen sicher auch Ihre Anforderungen. Um Richtlinienentsprechend den individuelle Einstellungen zu optimieren, empfehlen sich folgendeVorgehensweisen:

• Entwerfen Sie eine genaue Host Intrusion Prevention-Sicherheitskonfiguration. Schätzen Sieein, wer für die Konfiguration bestimmter Teile des Systems verantwortlich ist, und gewährenSie den entsprechenden Zugriff.

• Ändern Sie die standardmäßigen Richtlinien für den IPS-Schutz oder die Firewall-Regeln, diehöhere Ebenen voreingestellter Schutzmaßnahmen bieten.

• Ändern Sie den Schweregrad bestimmter Signaturen. Wenn beispielsweise eine Signaturdurch die tägliche Arbeit von Benutzern ausgelöst wird, verringern Sie den Schweregrad.

• Konfigurieren Sie Dashboards, um einen schnellen Überblick über Compliance und bestehendeProbleme zu erhalten.

• Konfigurieren Sie Benachrichtigungen, damit bei bestimmten Ereignissen zuständigeMitarbeiter benachrichtigt werden. Beispiel: Eine Benachrichtigung kann gesendet werden,wenn auf einem bestimmten Server eine Aktivität ein Ereignis der Stufe "Hoch" auslöst.

Erstellen einer neuen RichtlinieUm eine neue Richtlinie zu erstellen, kopieren Sie eine vorhandene Richtlinie, und geben derKopie einen anderen Namen. Dies kann im Richtlinienkatalog oder auf einer Richtlinienseiteerfolgen.

Task

Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken.

• Führen Sie im Richtlinienkatalog einen der folgenden Schritte aus:

• Klicken Sie auf Neue Richtlinie. Wählen Sie die Richtlinie aus, die Sie kopieren möchten,geben Sie den neuen Namen ein, und klicken Sie auf OK.

• Klicken Sie auf den Link Duplizieren einer Richtlinie. Geben Sie den Namen der neuenRichtlinie ein, und klicken Sie auf OK.

• Klicken Sie auf den Link Anzeigen oder Bearbeiten einer Richtlinie. Klicken Sie auf derRichtlinienseite dann auf Duplizieren. Geben Sie den Namen der neuen Richtlinie ein,und klicken Sie auf OK. Die kopierte Richtlinie wird angezeigt. Bearbeiten Sie sie, undklicken Sie auf Speichern.



Ändern der RichtlinienzuweisungMit diesem Task werden in Host Intrusion Prevention die Richtlinienzuweisungen einer Gruppeoder eines Einzelsystems aus der ePolicy Orchestrator-Struktur geändert.

Task


• Führen Sie einen der folgenden Vorgänge aus:

• Bei einer Gruppe wechseln Sie zu Systeme | Systemstruktur, und wählen Sie eineGruppe aus. Klicken Sie anschließend auf der Registerkarte Richtlinien auf Zuweisungbearbeiten.

• Bei einem System wechseln Sie zu Systeme | Systemstruktur, und wählen Sie eineGruppe aus, die das System enthält. Wählen Sie auf der Registerkarte System dasSystem und anschließend Weitere Aktionen | Richtlinien auf einem einzelnenSystem ändern aus.

Standardschutz und OptimierungHost Intrusion Prevention funktioniert mit Standardrichtlinien für einen Basisschutz. Mittelsbenutzerdefinierter Einstellungen durch manuelle oder automatische Optimierung lässt sich dieSchutzwirkung weiter erhöhen.

Standardschutz

Host Intrusion Prevention wird mit einem Satz an Standardrichtlinien geliefert, die einenBasisschutz für Ihre Umgebung bieten. Sowohl IPS- als auch Firewall-Schutz sind standardmäßigdeaktiviert und müssen zur Erzwingung von Standardregelrichtlinien aktiviert werden.

Für den erweiterten Schutz können Sie von den standardmäßigen IPS-Richtlinien zu strengerenvordefinierten Richtlinien wechseln oder benutzerdefinierte Richtlinien erstellen.

Beginnen Sie mit einem Ausbringungstest, um die neuen Einstellungen zu überwachen und zuoptimieren. Bei der Optimierung geht es um das Gleichgewicht zwischen Eindringungsschutzund dem Zugriff auf erforderliche Informationen und Anwendungen je nach Gruppentyp.

Manuelle Optimierung

Bei der manuellen Optimierung werden Ereignisse über einen bestimmten Zeitraum überwachtund Client-Regeln erstellt.

• Beim IPS-Schutz werden Ereignisse auf Falsch-Positiv-Meldungen überwacht und Regeln fürAusnahmen oder vertrauenswürdige Anwendungen erstellt, um zu verhindern, dass dieseEreignisse erneut auftreten.

• Beim Firewall-Schutz werden der Netzwerkverkehr überwacht und vertrauenswürdigeNetzwerke hinzugefügt, um legitimen Netzwerkverkehr zuzulassen.

• Überwachen Sie die Auswirkungen neuer Ausnahmen, vertrauenswürdiger Anwendungenund Netzwerke.

• Wenn diese Regeln Falsch-Positiv-Meldungen verhindern können und gleichzeitig denNetzwerkverkehr auf ein Minimum reduzieren und legitime Aktivitäten zulassen, sollten sieBestandteil einer neuen oder bestehenden Richtlinie werden.

• Wenden Sie die neue Richtlinie auf eine Reihe von Computern an, und kontrollieren Sie dieErgebnisse.



• Wiederholen Sie diesen Vorgang mit jedem Produktionsgruppentyp.

Automatische Optimierung

Durch die automatische Optimierung ist es nicht mehr erforderlich, alle Ereignisse und Aktivitätenfür alle Benutzer kontinuierlich zu überwachen.

• Nutzen Sie für IPS- und Firewall-Richtlinien den adaptiven Modus.

• Im adaptiven Modus werden IPS-Ereignisse nicht ausgelöst, und die Aktivitäten werden mitAusnahme schädlicher Exploits nicht blockiert. Client-Regeln werden automatisch erstellt,um legitime Aktivitäten zu erlauben.

• Prüfen Sie die Liste der Client-Regeln.

• Entwickeln Sie geeignete Client-Regeln zu Regeln für Verwaltungsrichtlinien.

• Deaktivieren Sie nach einigen Wochen den adaptiven Modus.

• Überwachen Sie die Testgruppe einige Tage lang, um sicherzugehen, dass dieRichtlinieneinstellungen angemessen sind und den gewünschten Schutz bieten.

• Wiederholen Sie diesen Vorgang mit jedem Produktionsgruppentyp.

Clients und Planen der AusbringungDer Host Intrusion Prevention-Client ist für den Schutz entscheidend. Zur Bereitstellung vonClients empfiehlt sich eine mehrphasige Vorgehensweise:

• Legen Sie einen ersten Client-Einführungsplan fest. Auch wenn die Host IntrusionPrevention-Clients auf jedem Host (Server, Desktops und Notebooks) im Unternehmenbereitgestellt werden können, empfiehlt sich, dass Sie diese zunächst auf nur wenigenrepräsentativen Systemen installieren und deren Konfiguration optimieren. Nach derOptimierung können Sie weitere Clients ausbringen und die in der ersten Phase erstelltenRichtlinien, Ausnahmen und Client-Regeln nutzen.

• Legen Sie für Ihre Clients eine Namenskonvention fest. Clients werden in derSystemstruktur, in bestimmten Berichten und in den durch Aktivitäten des Clients erzeugtenEreignisdaten anhand ihres Namens erkannt. Clients können die Namen der Hosts annehmen,auf denen sie installiert sind. Sie können ihnen aber auch während der Installation bestimmteClient-Namen zuweisen. Es wird empfohlen, für Clients eine Namenskonvention festzulegen,die von allen Benutzern, die mit Host Intrusion Prevention arbeiten, problemlos verstandenwird.

• Installieren Sie die Clients. Clients können zusammen mit einem Standardsatz an IPS-und Firewall-Richtlinien installiert werden. Neue Richtlinien mit aktualisierten Regeln könnenspäter vom Server per Push übertragen werden.

• Gruppieren Sie die Clients logisch. Clients können nach beliebigen Kriterien gruppiertwerden. Die Gruppierung muss allerdings zur Hierarchie der Systemstruktur passen. Beispiel:Sie können Clients nach ihrem geografischen Standort, ihrer Funktion im Unternehmen odernach den Systemmerkmalen gruppieren.

Client-Daten und ihre AuswertungNachdem Sie die Clients erstellt und gruppiert haben, ist die Bereitstellung abgeschlossen. Abdiesem Zeitpunkt sollten durch die Aktivität der Clients bedingt Ereignisse angezeigt werden.Wenn Sie Clients in den adaptiven Modus versetzt haben, werden Client-Regeln angezeigt, dieangeben, welche Client-Ausnahmeregeln erstellt werden. Die Analyse dieser Daten hilft Ihnenbei der Optimierung der Ausbringung.



Die Ereignisdaten werden unter Berichte auf der Registerkarte Host IPS auf der RegisterkarteEreignisse angezeigt. Sie können bis zur Detailansicht einzelner Ereignisse vordringen, umbeispielsweise herauszufinden, welcher Prozess durch das Ereignis ausgelöst wurde, wann dasEreignis eingetreten ist und auf welchem Client. Durch Analyse der Ereignisse und das Ergreifengeeigneter Maßnahmen können Sie die Tätigkeit von Host Intrusion Prevention optimieren undbesser auf Angriffe reagieren. Auf der Registerkarte Ereignisse werden alle Ereignisse in HostIPS angegeben, einschließlich NIPS, Angriffe auf die Firewall und TrustedSource-Blockierungen.

Zur Analyse von Client-Regeln dienen die Registerkarten IPS-Client-Regeln undFirewall-Client-Regeln. Sie erkennen dort erstellte Regeln, die dann aggregiert werdenkönnen, um so die am häufigsten auftretenden Regeln herauszustellen. Diese können danndirekt in eine Richtlinie zur Anwendung auf weitere Clients verschoben werden.

Darüber hinaus bietet Ihnen das Berichtsmodul von ePolicy Orchestrator detaillierte Berichteauf der Grundlage von Ereignissen, Client-Regeln und der Konfiguration von Host IntrusionPrevention. Mithilfe dieser Berichtsabfragen können Sie andere Mitglieder Ihres Teams undVorgesetzte über Aktivitäten in Ihrer Umgebung informieren.

Adaptiver ModusEin wichtiger Bestandteil bei der Optimierung besteht darin, Host Intrusion Prevention-Clientsfür IPS und Firewall in den adaptiven Modus zu setzen. So können ComputerClient-Ausnahmeregeln für Verwaltungsrichtlinien erstellen. Im adaptiven Modus erfolgt diesautomatisch und ohne Benutzereingaben.

In diesem Modus werden Ereignisse zuerst auf schwerwiegende Angriffe wie beispielsweisePufferüberläufe geprüft. Wenn die Aktivität als regulär und für das Unternehmen erforderlicheingestuft wird, werden Client-Ausnahmeregeln erstellt. Indem repräsentative Clients in denadaptiven Modus gesetzt werden, können Sie eine zugehörige Optimierungskonfigurationerstellen. Anschließend können eine beliebige, alle oder gar keine Client-Regeln in Host IntrusionPrevention ausgewählt und in Server-Richtlinien umgewandelt werden. Nach der Optimierungdeaktivieren Sie den adaptiven Modus, um den Schutz vor Systemeindringlingen zu verstärken.

• Führen Sie die Clients mindestens eine Woche im adaptiven Modus aus. Dieser Zeitraum istnotwendig, damit die Clients alle normalerweise auftretenden Aktivitäten erkennen. VersuchenSie, den Modus während geplanter Aktivitäten anzuwenden – beispielsweise während einerDatensicherung oder bei der Skriptverarbeitung.

• Während die einzelnen Aktivitäten stattfinden, werden IPS-Ereignisse erzeugt und Ausnahmenerstellt. Bei Ausnahmen handelt es sich um Aktivitäten, die als berechtigtes Verhalten gelten.Beispiel: eine Richtlinie betrachtet bestimmte Skriptverarbeitungsvorgänge als unzulässig,bestimmte Systeme Ihrer Entwicklungsabteilungen sind aber auf diese Vorgänge angewiesen.Durch das Erstellen von Ausnahmen für solche Systeme wird deren fortgesetzte Nutzungermöglicht, während die Richtlinie diese Aktivität auf anderen Systemen weiterhin verhindert.Nehmen Sie diese Ausnahmen in einer Server-Richtlinie auf, die nur für die Gruppe derEntwicklungsabteilung gilt.

• Möglicherweise benötigen Sie bestimmte Software-Anwendungen im Normalfall nur ingewissen Unternehmensbereichen, aber nicht in anderen. Beispiel: Sie lassen InstantMessaging für die Kundendienstabteilung zu, verhindern die Verwendung aber in derFinanzabteilung. Sie können die Anwendung auf den Systemen im Bereich technischerSupport als vertrauenswürdig einstufen, damit Benutzer vollständigen Zugriff darauf haben.

• Die Firewall-Funktion fungiert als Filter zwischen einem Computer und dem Netzwerk oderdem Internet. Die Firewall prüft sämtlichen eingehenden und ausgehenden Datenverkehrauf Paketebene. Beim Prüfen der einzelnen ein- oder ausgehenden Pakete kontrolliert dieFirewall die Liste der Firewall-Regeln, die einen Satz von Kriterien und zugehörigen Aktionen



enthält. Wenn ein Paket mit allen Kriterien einer Regel übereinstimmt, führt die Firewall dievon der Regel vorgegebene Aktion durch, d. h., sie lässt das Paket entweder passieren odersie blockiert es.

Häufig gestellte Fragen: Adaptiver ModusDer adaptive Modus ist eine Einstellung, die beim Testen neuer Richtlinien auf IPS- undFirewall-Funktionen angewendet werden kann. Mit ihm kann der Host Intrusion Prevention-Clientautomatisch Regeln zur Zulassung von Aktivitäten erstellen und dennoch einen minimalen Schutzvor Sicherheitslücken beibehalten. Folgende Fragen und Antworten illustrieren die Verwendungder Funktion.

Wie wird der adaptive Modus aktiviert?

Der adaptive Modus wird durch Aktivierung der zugehörigen Option in der Richtlinie fürIPS-Optionen oder Firewall-Optionen und durch Anwendung dieser Richtlinie auf dem HostIntrusion Prevention-Client aktiviert.

Wie funktioniert der adaptive Modus mit IPS und Firewall?

Im Zusammenhang mit IPS erstellt der adaptive Modus client-seitige Regeln, die für bestehendeIPS-Signaturen als Ausnahmen fungieren. Im Zusammenhang mit der Firewall erstellt deradaptive Modus client-seitige Regeln, mit denen Netzwerkpakete, für die es keine Firewall-Regelngibt, zugelassen werden.

IPS-Client-Ausnahmen werden pro Benutzer, Prozess und Signatur erstellt und sind pfadbasiert.Firewall-Client-Regeln werden pro Prozess erstellt. Die den Firewall-Client-Regeln zugewiesenenProzesse beruhen auf Pfad, Dateibeschreibung, digitaler Signatur und MD5-Hash.

Wann werden Regeln im adaptiven Modus nicht automatisch erstellt?

Mit IPS:

• Die Signatur in der geltenden Richtlinie für IPS-Regeln lässt keine Erstellung von Client-Regelnzu. (Bei den meisten IPS-Signaturen mit hohem Schweregrad ist dies die Standardeinstellung.Diese Signaturen werden so optimiert, dass die gefährlichsten Systembedrohungen entdecktund verhindert werden. Daher ist es unwahrscheinlich, dass für die reguläre Geschäftstätigkeiteine automatisierte Ausnahme erforderlich ist.)

• Die Reaktion auf die Signatur ist "Ignorieren."

• Die zugehörige Aktion löst eine Netzwerk-IPS-Signatur aus.

• Ein Benutzer versucht, den McAfee Host IPS-Dienst unabhängig von der Einstellung derClient-Regel für den Dienstselbstschutz in Signatur 1000 anzuhalten.

• Es gibt bereits eine Ausnahme in einer angewendeten Richtlinie für IPS-Regeln, mit der derVorgang ausgeschlossen wird.

• Der der Aktion zugewiesene Prozess wird in einer geltenden Richtlinie für vertrauenswürdigeAnwendungen als vertrauenswürdig für IPS angesehen. Die Signatur wird nicht aus denvertrauenswürdigen Anwendungen ausgeschlossen.

Mit der Firewall:

• Dem Paket wird bei Analyse im Client-Aktivitätsprotokoll keine Anwendung zugewiesen.Typische Beispiele:

• Eingehende Anforderungen hinsichtlich Diensten, die nicht ausgeführt werden, wiebeispielsweise das Dateiübertragungsprotokoll FTP oder Telnet.



• Eingehendes Internet Control Message Protocol (ICMP), wie beispielsweiseEchoanforderungen.

• Ein- oder ausgehendes ICMP unter Microsoft Windows Vista.

• Pakete des Transmission Control Protocol (TCP) an Port 139 (NetBIOS SSN) oder 445(MSDS), die mitunter für die Dateifreigabe in Windows benötigt werden.

• Pakete des Internet Protocol Security (IPsec), die im Zusammenhang mit Client-Lösungenfür virtuelle private Netzwerke (VPN) stehen.

• In der Richtlinie für Firewall-Regeln gibt es bereits eine Regel, mit der Pakete blockiert oderzugelassen werden.

• Die geltende Richtlinie umfasst eine standortabhängige Gruppe mit aktivierterKonnektivitätsisolation, die Gruppe stimmt mit einer aktiven Netzwerkschnittstellenkarte(NIC) überein, und das Paket wird an eine NIC gesendet oder von einer NIC empfangen,die nicht mit der Gruppe übereinstimmt.

• Das Paket ist weder ein TCP-, noch ein UDP- oder ICMP-Paket.

• Mehr als ein Benutzer ist im System angemeldet, oder kein Benutzer ist angemeldet.

Gibt es weitere Einschränkungen?

• Bei einigen Client-Regeln entdeckt IPS den diesen zugewiesenen Benutzer mitunter nicht(dies wird in ePolicy Orchestrator in der Client-Regel als "Domäne unbekannt/Benutzerunbekannt" angezeigt). Bei diesen Client-Regeln können nach wie vor Ausnahmen erstelltwerden; sie gelten dann aber für alle Benutzer.

• Bei einigen eingehenden TCP-Verbindungen wie "Remote Desktop" oder "Hypertext TransferProtocol over Secure Socket Layer" (HTTPS) sind zur Erstellung einer Firewall-Regelmöglicherweise mehrere Versuche erforderlich.

Host IPS-RichtlinienmigrationRichtlinien von McAfee Host Intrusion Prevention Version 6.1 oder 7.0 können erst dann mitClients der Version 8.0 verwendet werden, nachdem Version 6.1 oder 7.0 auf Version 8.0migriert wurde. In Host Intrusion Prevention 8.0 lassen sich Richtlinien mithilfe der unterAutomatisierung befindlichen Funktion Host IPS-Richtlinienmigration von ePolicyOrchestrator einfach migrieren. Bei der Migration werden die Richtlinie umgewandelt undverschoben. Nachdem eine Richtlinie migriert wurde, wird sie in der entsprechenden Funktionvon Host IPS 8.0 des Richtlinienkatalogs angezeigt. Der Name der Richtlinie weist am Ende dieErgänzung [6.1] oder [7.0] auf.

Mit Ausnahme folgender Richtlinien werden alle Richtlinien in Richtlinien von Version 8.0umgewandelt:

• Richtlinien für Optionen zur Anwendungsblockierungen werden nicht migriert (in Version 8.0wurden diese Richtlinien entfernt).

• Richtlinien für Anwendungsblockierregeln werden in Richtlinien für IPS-Regeln mit derBezeichnung "Schutz vor dem Einklinken von Anwendungen und Aufrufschutz <Name> [6.1oder 7.0]" migriert (in Version 8.0 wurden diese Richtlinien entfernt). Nach der Migration indie Richtlinien für IPS-Regeln sind die entsprechenden Listen der Anwendungsschutzregelnleer. Die Ausnahmeliste enthält Ausnahmen für alle standardmäßigen vertrauenswürdigenAnwendungen, die auf "Für Einklinken von Anwendungen vertrauenswürdig" gesetzt sind.Damit diese migrierte Richtlinie verwendet werden kann, muss außerdem die



IPS-Regelrichtlinie "Mein Standard" in einem Kontext mit mehreren Richtlinien zugewiesenwerden, da sie die neueste Anwendungsschutzliste enthält.

HINWEIS: Anwendungen, deren Einklinken in Richtlinien für Anwendungsblockierregelnblockiert wird, werden nicht migriert und müssen den in der IPS-Regelrichtlinie enthaltenenAnwendungsschutzregeln nach der Migration von Hand hinzugefügt werden. Wird eineRichtlinie für vertrauenswürdige Anwendungen mit der Kennzeichnung "Für Einklinken vonAnwendungen vertrauenswürdig" auf Version 8.0 migriert, muss für diese Anwendung inSignatur 6010 (Allgemeiner Schutz vor dem Einklinken von Anwendungen) einer Richtliniefür Host IPS-Regeln eine Ausnahme erstellt werden, um den Schutz vor dem Einklinken vonAnwendungen aufrecht zu erhalten.

• Richtlinien für Firewall-Quarantäne-Optionen werden nicht migriert (in Version 8.0 wurdendiese Richtlinien entfernt).

• Richtlinien für Firewall-Quarantäne-Regeln werden nicht migriert (in Version 8.0 wurdendiese Richtlinien entfernt).

• IPS-Client-Regeln und Firewall-Client-Regeln werden nicht migriert.

HINWEIS: Die Richtlinienzuweisungen werden bei der Migration übernommen. Wird die Vererbungan einem Punkt in der Systemstruktur unterbrochen, wird die Zuweisung zwar nichtüberschrieben, aber die Vererbung kann an einem anderen Punkt in der Systemstrukturunterbrochen werden, da migrierte Zuweisungen zusammengeführt werden. Prüfen Sie nacheiner Migration daher immer die Richtlinienzuweisung.

Direktes Migrieren von Richtlinien

Nach Installation der Erweiterung von Host Intrusion Prevention 8.0 lassen sich alle vorhandenenRichtlinien am einfachsten durch eine direkte Richtlinienmigration migrieren.

1 Klicken Sie auf Automatisierung | Host IPS-Richtlinienmigration.

2 Klicken Sie im ePO-Richtlinienkatalog unter Aktionen für Host IPS 6.1 oder 7.0 aufMigrieren.

3 Klicken Sie nach abgeschlossener Migration auf Schließen.Alle Richtlinien der Version 6.1/7.0 von IPS, Firewall und der Funktion "Allgemein" werden inVersion 8.0 umgewandelt und mit dem Zusatz [6.1] oder [7.0 ] hinter ihrem Namen angezeigt.

HINWEIS: Wird die Migration ein zweites Mal ausgeführt, werden sämtliche zuvor migrierteRichtlinien mit dem gleichen Namen überschrieben. Bei diesem Prozess gibt es keine Ausnahmen.Alle vorhandenen Richtlinien von Version 6.1 oder 7.0 werden migriert. Wenn Sie nur ausgewählteRichtlinien migrieren möchten, muss dies durch ein XML-Dateiverfahren erfolgen.

Migrieren von Richtlinien mit einer XML-Datei

Wenn die Erweiterung von Host Intrusion Prevention 6.1/7.0 nicht installiert ist und Sieausgewählte Richtlinien zuvor in eine XML-Datei exportiert haben, oder wenn Sie nicht alleRichtlinien der Version 6.1/7.0, sondern nur bestimmte Richtlinien migrieren möchten, erfolgtdie Migration mithilfe einer XML-Datei. Dabei werden einzelne Richtlinien von Host IntrusionPrevention 6.1/7.0 zuerst in das XML-Format exportiert, die Inhalte dann in Richtlinienversionenvon Host Intrusion Prevention 8.0 umgewandelt und die migrierten XML-Dateien dann in denePO-Richtlinienkatalog importiert.

1 Klicken Sie auf Automatisierung | Host IPS-Richtlinienmigration.

2 Klicken Sie in einer XML-Datei unter Aktionen für Host IPS 6.1 oder 7.0 auf Migrieren.

3 Wählen Sie die zuvor exportierte XML-Datei von Host IPS Version 6.1 oder 7.0 aus, undklicken Sie auf OK. Die XML-Datei wird in das Format 8.0 umgewandelt.



4 Klicken Sie mit der rechten Maustaste auf die umgewandelte Datei "MigratedPolicies.xml",und speichern Sie sie zu Importzwecken.

5 Importieren Sie die XML-Datei in den ePO-Richtlinienkatalog.

SystemverwaltungBeim Verwalten der Ausbringung von Host Intrusion Prevention sind gelegentlich systematischeAufgaben durchzuführen. Zu diesen gehört das Einrichten von Benutzerberechtigungen,Server-Tasks, Benachrichtigungen und Inhaltsaktualisierungen.

Host IPS-BerechtigungssätzeEin Berechtigungssatz ist eine Gruppe von Berechtigungen, die einem Benutzerkonto fürbestimmte Produkte oder Produktfunktionen zugewiesen werden. Berechtigungssätze könneneinzeln oder kombiniert zugewiesen werden. Globale Administratoren erhalten automatischsämtliche Berechtigungen für Produkte und Funktionen. Berechtigungssätze dienen nur derVergabe, nicht aber dem Entzug von Berechtigungen.

Globale Administratoren können bestehende Berechtigungssätze beim Erstellen oder Bearbeitenvon Benutzerkonten oder der Berechtigungssätze zuweisen.

Mithilfe der Host Intrusion Prevention-Erweiterung wird den Berechtigungssätzen ein weitererHost Intrusion Prevention-Abschnitt hinzugefügt, ohne dabei Berechtigungen anzuwenden. Dieglobalen Administratoren müssen für vorhandenen Berechtigungssätze Host IPS-Berechtigungengewähren oder neue Berechtigungssätze erstellen und hinzufügen.

Mit Host Intrusion Prevention lässt sich für jede Produktfunktion eine Berechtigung erteilen,und auch dafür, ob der Benutzer nur Leseberechtigung oder Schreib-/Leseberechtigung hat.Dies gilt sowohl für die unter den Berichten angegebenen Host IntrusionPrevention-Richtlinienseiten als auch die Host Intrusion Prevention-Ereignis- undClient-Regelseiten.

Verfügbare BerechtigungenHost IPS-Funktion

Keine, nur Einstellungen anzeigen oder Einstellungen anzeigen und ändern.IPS

Keine, nur Einstellungen anzeigen oder Einstellungen anzeigen und ändern.Firewall

Keine, nur Einstellungen anzeigen oder Einstellungen anzeigen und ändern.Allgemein

Der globale Administrator muss auch ePolicy Orchestrator-Berechtigungen für das Arbeiten mitanderen Objekten aus Host Intrusion Prevention vergeben, wie beispielsweise für Abfragen undDashboards. Um beispielsweise die auf den Host IPS-Seiten unter den Berichten stehendenFirewall-Client-Regeln zu analysieren und zu verwalten, braucht ein Benutzer die Berechtigung,das Ereignisprotokoll, das System und die Systemstruktur anzuzeigen sowie die Berechtigung,die Firewall-Funktion in Host Intrusion Prevention anzuzeigen und zu ändern.

Tabelle 3: Berechtigungen für das Arbeiten mit verschiedenen FunktionenErforderliche BerechtigungssätzeHost IPS-Funktion

Dashboards, AbfragenHost IPS-Dashboards

AbfragenHost IPS-Abfragen

Systeme, Zugriff auf Systemstruktur, EreignisprotokollHost IPS-Client-Ereignisse und Client-Regeln

Server-TasksHost IPS-Server-Tasks

Verwalten Ihres SchutzesSystemverwaltung


Erforderliche BerechtigungssätzeHost IPS-Funktion

SoftwareHost IPS-Pakete im Repository

BenachrichtigungenHost IPS-Benachrichtigungen

Weitere Informationen über Berechtigungssätze entnehmen Sie der Dokumentation zu ePolicyOrchestrator.

Zuweisen von BerechtigungssätzenMit dieser Vorgehensweise werden Host Intrusion Prevention-Funktionen auf dem ePO-ServerBerechtigungen zugewiesen.

Bevor Sie beginnen

Bestimmen Sie die Host Intrusion Prevention-Funktionen, die Zugriff haben sollen, sowie diezusätzlichen Berechtigungssätze, die zugewiesen werden müssen, damit auf alle Teile der HostIntrusion Prevention-Funktion zugegriffen werden kann. Um beispielsweise Client-Regelnanzuzeigen, muss ein Benutzer die Berechtigung für die Firewall-Funktion im Host IntrusionPrevention-Berechtigungssatz sowie für die Berechtigungssätze von Ereignisprotokoll, Systemenund Systemstruktur haben.

Task


1 Wechseln Sie zu Konfiguration | Berechtigungssätze.

2 Klicken Sie neben Host Intrusion Prevention auf Bearbeiten.

3 Wählen Sie für die einzelnen Funktionen die gewünschte Berechtigung aus.

• Keine

• Nur Einstellungen anzeigen

• Einstellungen anzeigen und ändern

4 Klicken Sie auf Speichern.

5 Weisen Sie nach Bedarf andere Berechtigungssätze zu.

Zuzuweisender BerechtigungssatzHost IPS-Funktion

Host Intrusion Prevention – IPS, Ereignisprotokoll,Systeme, Systemstrukturzugriff

Host IPS-Ereignisse

Host Intrusion Prevention – IPS, Ereignisprotokoll,Systeme, Systemstrukturzugriff

Host IPS-Client-IPS-Regeln

Host Intrusion Prevention – Firewall, Ereignisprotokoll,Systeme, Systemstrukturzugriff

Host IPS-Client-Firewall-Regeln

Dashboard, AbfragenHost IPS-Dashboards

AbfragenHost IPS-Abfragen

Host IPS-Server-TasksHost Intrusion Prevention enthält mehrere bereits konfigurierte und konfigurierbare Server-Tasks,die Sie nach einem Zeitplan oder sofort im Zusammenhang mit dem Schutz von Host Intrusion



Prevention ausführen können. Benutzerdefinierte Server-Tasks können in Host IntrusionPrevention im Generator für Server-Tasks auf der Registerkarte Aktionen durch Klicken aufNeuer Task und Auswahl mindestens einer Host IPS-Eigenschaften erstellt werden. WeitereInformationen über Verwendung und Erstellung von Server-Tasks entnehmen Sie derDokumentation zu ePolicy Orchestrator.

Um mit vorhandenen Server-Tasks zu arbeiten, gehen Sie zu Automatisierung |Server-Tasks, und klicken Sie unter Aktionen auf den gewünschten Befehl. Einenbenutzerdefinierten Server-Task erstellen Sie durch Klicken auf Neuer Task und Durchführungder Schritte im Assistenten für Server-Tasks.

Tabelle 4: Vorkonfigurierte und benutzerdefinierte Server-TasksBeschreibungServer-Task

Mit diesem Server-Task werden in der Datenbank vonePolicy Orchestrator gespeicherte Client-Regeln von Host

Host IPS-Eigenschaftenübersetzung (vorkonfiguriert)

Intrusion Prevention übersetzt, um damit Daten in HostIntrusion Prevention sortieren, anordnen und filtern zukönnen. Der Task wird automatisch alle 15 Minutenausgeführt und erfordert keinerlei Benutzereingaben. Sindsofort Ergebnisse zu Aktionen auf dem Client erforderlich,kann er auch von Hand ausgeführt werden.

Mit diesem Server-Task können Sie einenbenutzerdefinierten Task erstellen, um Pakete von einer

Repository-Abruf (benutzerdefiniert)

Quellsite zu empfangen und im Master-Repositoryabzulegen. Sollen Inhaltsaktualisierungen automatischempfangen werden, wählen Sie als Pakettyp HostIPS-Inhalt aus.

Dieser Server-Task dient zur Erstellung einesbenutzerdefinierten Tasks, mit dem vorkonfigurierte

Abfrage ausführen (benutzerdefiniert)

Abfragen in Host Intrusion Prevention entsprechend einemZeitplan ausgeführt werden können.

Mit diesem Server-Task können Sie einenbenutzerdefinierten Task zur Reinigung von

Ereignisprotokoll bereinigen (benutzerdefiniert)

Ereignisprotokollen auf Grundlage einer Host IntrusionPrevention-Abfrage erstellen. Wählen Sie eine aus demEreignisprotokoll zu löschende Abfrage für HostIPS-Ereignisse aus.

Host IPS-EreignisbenachrichtigungenMit Benachrichtigungen werden Sie über alle Ereignisse informiert, die auf Client-Systemen mitHost Intrusion Prevention auftreten. Sie können Regeln konfigurieren, mit denen E-Mails oderSNMP-Traps ausgelöst oder externe Befehle ausgeführt werden, wenn bestimmte Ereignisseauf dem ePolicy Orchestrator-Server empfangen und verarbeitet werden. Sie können dieEreigniskategorien angeben, die zur Erstellung einer Benachrichtigung führen, sowie dieHäufigkeit, mit der Benachrichtigungen gesendet werden. Ausführliche Informationen hierzufinden Sie in der Dokumentation von ePolicy Orchestrator 4.0.

Tipps zur Verwendung von BenachrichtigungenTreten in der Umgebung von Host Intrusion Prevention Ereignisse auf, werden sie an den Servervon ePolicy Orchestrator übertragen. Auf die Ereignisse werden Benachrichtigungsregelnangewendet, die der Gruppe oder dem Standort mit den betroffenen Systemen zugewiesensind. Wenn die Bedingungen einer Regel erfüllt sind, wird – abhängig von den in der Regel



enthaltenen Vorgaben – eine Benachrichtigungsmeldung gesendet oder ein externer Befehlausgeführt.

Sie können unabhängige Regeln auf verschiedenen Ebenen der Systemstruktur konfigurieren.Zudem können Sie konfigurieren, wann Benachrichtigungen gesendet werden, indem SieSchwellenwerte festlegen, die auf Aggregationen und Einschränkungen basieren.

Benachrichtigungsregeln

ePolicy Orchestrator beinhaltet Standardregeln, die Sie aktivieren und sofort verwenden können.Bevor Sie eine der Standardregeln aktivieren:

• Geben Sie den E-Mail-Server an, von dem die Benachrichtigungen gesendet werden.

• Prüfen Sie, ob die E-Mail-Adresse des Empfängers stimmt.

Alle Regeln werden auf die folgende Art erstellt:

1 Beschreiben der Regel

2 Festlegen der Filter für die Regel

3 Festlegen von Schwellenwerten für die Regel

4 Erstellen der zu sendenden Nachricht und Festlegen der Zustellungsart

Benachrichtigungskategorien

In Host Intrusion Prevention werden folgende produktspezifische Benachrichtigungskategorienunterstützt:

• Host-Eindringungsversuch entdeckt und verarbeitet

• Netzwerkeindringungsversuch entdeckt und verarbeitet

• Unbekannt

Benachrichtigungsparameter

Benachrichtigungen lassen sich für alle oder keine der Host-(oder Netzwerk-)IPS-Signaturenkonfigurieren. Host Intrusion Prevention unterstützt bei der Konfiguration einerBenachrichtigungsregel die Angabe einer einzelnen IPS-Signatur-ID als Bedrohungs- oderRegelname. Indem das Signatur-ID-Attribut eines Ereignisses intern einem Bedrohungsnamenzugeordnet wird, wird eine Regel zur eindeutigen Kennzeichnung einer IPS-Signatur erstellt.

Die spezifischen Zuordnungen der Parameter in Host Intrusion Prevention, die im Betreff/Texteiner Nachricht erlaubt sind, sind folgende:

Werte für Host- und Netzwerk-IPS-EreignisseParameter

Signatur-IDTatsächliche Bezeichnung derBedrohung oder Regel

Remote-IP-AdresseQuellsysteme

ProzessnameBetroffene Objekte

Zeit des VorfallsUhrzeit, zu der die Benachrichtigunggesendet wurde

ePO-Zuordnung der Ereignis-IDEreignis-IDs

Übersetzter Signaturname (eines Client-Computers)Zusätzliche Informationen



Aktualisierungen des Host IPS-SchutzesHost Intrusion Prevention unterstützt mehrere Versionen von Client-Inhalten und -Code, wobeider aktuell verfügbare Inhalt in der ePO-Konsole angezeigt wird. Neue Inhalte werden immerin aufeinander folgenden Versionen unterstützt, sodass Inhaltsaktualisierungen hauptsächlichneue Informationen oder geringfügige Änderungen an bestehenden Informationen enthalten.

Aktualisierungen werden mithilfe eines Pakets durchgeführt. Dieses Paket enthältInhaltsversionsinformationen und Skriptaktualisierungen. Beim Einchecken wird die Paketversionmit der Version der aktuellen Inhaltsinformationen in der Datenbank verglichen. Wenn dasPaket neuer ist, werden die Skripts aus diesem Paket extrahiert und ausgeführt. Diese neuenInhaltsinformationen werden anschließend bei der nächsten Kommunikation zwischen Agentund Server an Clients weitergeleitet.

Aktualisierungen beinhalten Daten, die sich auf die Richtlinie für IPS-Regeln (IPS-Signaturenund Anwendungsschutzregeln) und die Richtlinie für vertrauenswürdige Anwendungen(vertrauenswürdige Anwendungen) beziehen. Da diese Aktualisierungen in derMcAfee-Standardrichtlinie vorkommen, müssen die Richtlinien im Hinblick auf den aktualisiertenSchutz sowohl für IPS-Regeln als auch vertrauenswürdige Anwendungen zugewiesen werden.

Der grundlegende Prozess umfasst das Einchecken des Inhaltspakets in dasePO-Master-Repository und das anschließende Senden der aktualisierten Informationen an dieClients. Die Clients erhalten Aktualisierungen nur über die Kommunikation mit dem ePO-Serverund nicht direkt über FTP- oder HTTP-Protokolle.

TIPP: Um bestmöglich von Inhaltsaktualisierungen zu profitieren, weisen Sie stets dieMcAfee-Standardrichtlinien für IPS-Regeln und vertrauenswürdige Anwendungen zu. Werdendiese Standardrichtlinien geändert, werden die Änderungen nicht mit einer Aktualisierungüberschrieben, da Änderungen an den Einstellungen dieser Richtlinien Vorrang vorStandardeinstellungen haben.

Einchecken von AktualisierungspaketenSie können einen ePO-Pull-Task erstellen, mit dem Pakete zur Inhaltsaktualisierung automatischin das Master-Repository eincheckt werden. Durch diesen Task wird das Aktualisierungspaketso oft wie angegeben direkt von McAfee heruntergeladen. Das Paket wird anschließend demMaster-Repository hinzugefügt, wodurch die Datenbank mit neuen Host IntrusionPrevention-Inhalten aktualisiert wird.

Task

1 Öffnen Sie Software | Master-Repository, und klicken Sie dann auf Abrufen planen.

2 Benennen Sie den Task, beispielsweise HIP-Inhaltsaktualisierungen, und klicken Sieauf Weiter.

3 Wählen Sie als Tasktyp Repository-Abruf aus, dann die Paketquelle (McAfeeHttp oderMcAfeeFtp), den Zweig, für den das Paket bestimmt ist (Aktuell, Vorherig, Bewertung)und ein ausgewähltes Paket (Host Intrusion Prevention-Inhalt), und klicken Sie dannauf Weiter.

4 Planen Sie den Task wie erforderlich, und klicken Sie auf Weiter.

5 Prüfen Sie die Angaben, und klicken Sie auf Speichern.



Manuelles Einchecken von PaketenDurch diesen Task wird das Aktualisierungspaket so oft wie angegeben direkt von McAfeeheruntergeladen. Das Paket wird anschließend dem Master-Repository hinzugefügt, wodurchdie Datenbank mit neuen Host Intrusion Prevention-Inhalten aktualisiert wird.

Wenn Sie keinen automatischen Pull-Task nutzen möchten, können Aktualisierungspakete auchvon Hand heruntergeladen und eingecheckt werden.

Task

1 Laden Sie die Datei von McAfeeHttp oder McAfeeFtp herunter.

2 Öffnen Sie Software |Master-Repository, und klicken Sie dann auf Paket einchecken.

3 Wählen Sie den Typ und den Speicherort des Pakets aus, und klicken Sie auf Weiter.Daraufhin wird die Seite Paketoptionen angezeigt.

4 Wählen Sie den Zweig aus, wo das Paket installiert werden soll, und klicken Sie aufSpeichern. Das Paket wird auf der Registerkarte Master-Repository angezeigt.

Aktualisieren der Clients mit InhaltenNachdem das Aktualisierungspaket in das Master-Repository eingecheckt wurde, können SieAktualisierungen an den Client senden, indem Sie entweder einen Aktualisierungs-Task einrichtenoder zur umgehenden Aktualisierung eine Agenten-Reaktivierung senden.

Task

1 Öffnen Sie Systeme | Systemstruktur | Client-Tasks, und wählen Sie die Gruppe aus,die Inhaltsaktualisierungen erhalten soll. Klicken Sie anschließend auf Neuer Task.

2 Geben Sie einen Namen und eine Beschreibung für den Task ein, und wählen Sie als TasktypAktualisierung (McAfee Agent) aus. Klicken Sie dann auf Weiter.

3 Wählen Sie Ausgewählte Pakete und anschließend Host Intrusion Prevention-Inhaltaus, und klicken Sie dann auf Weiter.

4 Planen Sie den Task bedarfsgerecht ein, und klicken Sie auf Weiter.

5 Prüfen Sie die Angaben, und klicken Sie auf Speichern.

Aktualisieren von Inhalten auf einem ClientEin Client kann auch bei Bedarf Aktualisierungen anfordern, wenn ein McAfee Agent-Symbol inder Taskleiste des Clients angezeigt wird.

Task

• Klicken Sie mit der rechten Maustaste auf das Symbol für McAfee Agent in der Taskleiste,und wählen Sie Jetzt aktualisieren aus. Das Dialogfeld McAfee AutoUpdate-Statuswird angezeigt, und Inhaltsaktualisierungen werden abgerufen und auf den Clientangewendet.



Konfigurieren von IPS-RichtlinienIPS-Richtlinien aktivieren und deaktivieren den IPS-Schutz, legen die Reaktionsebene fürEreignisse fest und bieten Schutz durch Ausnahmen, Signaturen und Anwendungsschutzregeln.Damit der IPS-Schutz immer aktuell ist, gibt es monatliche Inhaltsaktualisierungen. Dieseenthalten neue und überarbeitete Signaturen und Anwendungsschutzregeln.

Inhalt

Übersicht der IPS-Richtlinien

Aktivieren des IPS-Schutzes

Festlegen der Reaktion auf IPS-Signaturen

Festlegen des IPS-Schutzes

Überwachen von IPS-Ereignissen

Überwachen von IPS-Client-Regeln

Übersicht der IPS-RichtlinienMit IPS (Intrusion Prevention System) werden alle Systemaufrufe (Kernel-Ebene) und API-Aufrufe(Benutzerebene) überwacht und potenziell gefährliche Aufrufe blockiert.

Host Intrusion Prevention bestimmt, welcher Prozess einen Aufruf verwendet, denSicherheitskontext, in dem der Prozess ausgeführt wird, und die Ressource, auf die zugegriffenwird. Ein Treiber auf Kernel-Ebene, der umgeleitete Einträge in der Systemaufruftabelle imBenutzermodus erhält, überwacht die Systemaufrufkette. Wenn Aufrufe erfolgen, vergleichtder Treiber die Aufrufanforderung mit einer Datenbank, die kombinierte Signaturen undVerhaltensregeln enthält, um zu bestimmen, ob eine Aktion erlaubt, blockiert oder protokolliertwerden soll. Diese Hybridmethode zur Identifikation von Angriffen entdeckt die bekanntestenAngriffe und auch zuvor unbekannte oder Zero-Day-Angriffe.

Der Schutz erfolgt auch über Ausnahmen, mit denen Signaturen überschrieben werden, diezulässige Aktivitäten blockieren. Ein weiterer Bestandteil sind Anwendungsschutzregeln, diebestimmen, welche Prozesse zu schützen sind.

Verfügbare Richtlinien

Es gibt drei IPS-Richtlinien:

IPS-Optionen: Ermöglicht IPS-Schutz, indem der Schutz von Host- und Netzwerk-IPS an- undausgeschaltet wird und speziell auf Windows zugeschnittene Optionen angewendet werden.

IPS-Schutz: Bestimmt, wie das System reagieren soll (blockieren, ignorieren, protokollieren),wenn Signaturen eines bestimmten Schweregrades (hoch, mittel, niedrig) ausgelöst werden.

IPS-Regeln: Bestimmt den IPS-Schutz, indem Signaturen und Verhaltensanalyse angewendetwerden, um das System vor bekannten Angriffen und Zero-Day-Angriffen zu schützen. Ergänztwerden die Signaturen durch Ausnahmen, mit denen Signaturen überschrieben werden, die


zulässige Aktivitäten blockieren, sowie durch Anwendungsschutzregeln, mit denen die zuschützenden Prozesse bestimmt werden. Diese Richtlinienkategorie kann ebenso wie die RichtlinieVertrauenswürdige Anwendungenmehrere Richtlinieninstanzen enthalten. Um den Schutzauf dem neuesten Stand zu halten, werden Inhaltsaktualisierungen mit neuen und aktualisiertenSignaturen und Anwendungsschutzregeln bereitgestellt.

Verfahren zur Bereitstellung von IPS-SchutzRealisiert wird der IPS-Schutz durch Abschirmung und Umhüllung, Abfangen von Systemaufrufenund die Installation bestimmter Module und Treiber.

Abschirmung und Umhüllung

Host Intrusion Prevention schützt Sie mit Abschirmungs- und Umhüllungssignaturen vor Angriffen.Die Umhüllungsstrategie sorgt dafür, dass Anwendungen außerhalb ihres eigenenAnwendungsbereichs nicht auf Dateien, Daten, Registrierungseinstellungen und Dienste zugreifenkönnen. Bei der Abschirmung wird verhindert, dass auf Anwendungsdateien, Daten,Registrierungseinstellungen und Dienste außerhalb ihres eigenen Anwendungsbereichsmissbräuchlich zugegriffen wird.

Abfang von Systemaufrufen

Mit Host Intrusion Prevention werden alle System- und API-Aufrufe überwacht und verdächtigeAktivitäten blockiert. Das Programm bestimmt den Prozess, den ein Aufruf verwendet, denSicherheitskontext, in dem der Prozess ausgeführt wird, und die Ressource, auf die zugegriffenwird. Ein Treiber für Host Intrusion Prevention auf Kernel-Ebene, der umgeleitete Einträge inder Systemaufruftabelle im Benutzermodus erhält, überwacht die Systemaufrufkette. WennAufrufe erfolgen, vergleicht der Treiber die Aufrufanforderung mit einer Datenbank, diekombinierte Signaturen und Verhaltensregeln enthält, um zu bestimmen, ob eine Aktion erlaubt,blockiert oder protokolliert werden soll.

Programme auf Benutzerebene greifen mit der Kernel-Funktion auf Festplattenlaufwerke,Netzwerkverbindungen und freigegebene Speicher zu. Da der Prozessor den direkten Zugriffauf die Funktionen auf Kernel-Ebene verhindert, werden in den Programmen auf BenutzerebeneSystemaufrufe verwendet, die eine Kommunikation zwischen Benutzer- und Kernel-Moduserlauben. Systemaufrufe haben alle Kernel-Funktionen, die für Programme auf Benutzerebeneerforderlich sind. Sie werden mithilfe einer Systemaufruftabelle im Betriebssystem implementiert.Host Intrusion Prevention wird in den Systemaufruf eingefügt, indem ein Treiber auf Kernel-Ebeneinstalliert und die Einträge der Systemaufruftabelle umgeleitet werden. Fordert eine Anwendungnun eine Datei an, wird diese an den Treiber von Host Intrusion Prevention weitergeleitet.Dieser prüft die Anforderung anhand seiner Signaturen und Verhaltensregeln und ermittelt so,ob die Anforderung zuzulassen oder zu blockieren ist.

HTTP-Modul für Web-Server

Host Intrusion Prevention schützt mit dem HTTP-Schutzmodul vor Angriffen aufWeb-Anwendungen und Systeme. Dazu wird der in eine Anwendung eingehendeHTTP-Datenstrom analysiert und anhand von Mustern in eingehenden HTTP-Anforderungenabgeglichen. Das HTTP-Schutzmodul wird zwischen dem SSL-Verschlüsselungs- undEntschlüsselungselement des Web-Servers, das Anfragen in reinen Text umwandelt und demWeb-Server Modul installiert. So wird gewährleistet, dass Anforderungen im Modul von HostIntrusion Prevention in Klartext angezeigt und bösartige Anforderungen schon vor derVerarbeitung blockiert werden. HTTP-Signaturen verhindern Directory-Traversal- undUnicode-Angriffe, Verunstaltungen von Webseiten, Datendiebstahl und Server-Hacks.

Konfigurieren von IPS-RichtlinienÜbersicht der IPS-Richtlinien


SQL-Modul für SQL-Server

Host Intrusion Prevention schützt mithilfe des SQL-Prüfmoduls vor Angriffen auf Datenbankserver.Das Prüfmodul wird zwischen den Netzwerkbibliotheken der Datenbank und dem Datenbankmodulinstalliert. Es dient der Untersuchung von SQL-Anforderungen und blockiert solche, die einEreignis auslösen könnten. Mithilfe von SQL-Schutzregeln, die je nach Benutzer verschiedensind, werden Ursprung und Gültigkeit einer Abfrage sowie andere Parameter abgefragt.

SQL-Datenbanksignaturen beruhen auf dem Kernschutz von Standardsignaturen sowiehinzugefügten datenbankspezifischen Abfang- und Schutzregeln. Mit dem SQL-Modul von HostIPS werden eingehende Datenbankabfragen vor ihrer Verarbeitung durch das Datenbankmodulabgefangen. Jede Abfrage wird mit bekannten Angriffssignaturen verglichen und auf eineordnungsgemäße Bildung sowie verdächtige Anzeichen einer SQL-Einschleusung geprüft.

Mit SQL-Datenbanksignaturen werden Datenbanken zum Schutz ihrer Dateien, Dienste undRessourcen abgeschirmt. Außerdem werden sie umhüllt, um eine ordnungsgemäße Funktionsicherzustellen.

SignaturenSignaturen sind Sammlungen von Eindringungsschutzregeln, die mit einem Datenstromabgeglichen werden können. Beispielsweise kann eine Signatur nach einer bestimmtenZeichenfolge in einer HTTP-Anforderung suchen. Wenn die Zeichenfolge mit einer Zeichenfolgeeines bekannten Angriffs übereinstimmt, werden bestimmte Maßnahmen getroffen. Diese Regelnbieten Schutz vor bekannten Angriffen.

Signaturen werden für bestimmte Anwendungen und bestimmte Betriebssysteme entworfen.Beispiele sind Web-Server, wie Apache und IIS. Die meisten Signaturen schützen das gesamteBetriebssystem. Einige schützen hingegen bestimmte Anwendungen.

Host IPS-Signaturen

Der Host Intrusion Prevention-Schutz befindet sich auf einzelnen Systemen wie Servern,Arbeitsstationen oder Notebooks. Der Host Intrusion Prevention-Client prüft den in ein Systemhinein- oder aus ihm hinausgehenden Datenverkehr und untersucht das Verhalten derAnwendungen und des Betriebssystems hinsichtlich möglicher Angriffe. Wenn ein Angriff entdecktwird, kann der Client diesen im Bereich der Netzwerksegmentverbindung blockieren oder Befehlezur Beendigung des durch den Angriff ausgelösten Verhaltens ausgeben. Ein Buffer Overflowwird beispielsweise verhindert, indem schädliche Programme blockiert werden, die in den voneinem Angriff ausgenutzten Adressraum eingefügt wurden. Die Installation vonHintertürprogrammen für Anwendungen wie Internet Explorer wird blockiert, indem der vonder Anwendung ausgegebene Befehl zum Schreiben einer Datei abgefangen und abgelehntwird.

Leistungsspektrum dieser Signaturen:

• Schützen vor Angriffen und deren Konsequenzen, beispielsweise vor dem Anlegen einerDatei.

• Schützen Laptops außerhalb des geschützten Netzwerks vor Angriffen.

• Schützen vor lokalen Angriffen über CDs oder USB-Geräte. Diese Angriffe sind häufig daraufausgelegt, die Berechtigungen des Benutzers auf Root oder Administrator heraufzusetzen,um andere Systeme des Netzwerks zu beeinträchtigen.

• Bilden die letzte Verteidigungslinie gegen Angriffe, die andere Sicherheitsmechanismenüberwunden haben.



• Verhindern interne Angriffe auf Geräte, die sich im selben Netzwerksegment befinden, oderderen Missbrauch.

• Schützen vor Angriffen, bei denen ein verschlüsselter Datenstrom im zu schützenden Systemendet und die entschlüsselten Daten und das Verhalten untersucht werden.

• Schützen Systeme in alten oder ungewöhnlichen Netzwerkarchitekturen wie beispielsweiseToken Ring oder FDDI.

Host Intrusion Prevention beinhaltet eine lange Standardliste mit Host IPS-Signaturen fürsämtliche Plattformen. Schweregrad, Protokollstatus und die Einstellungen für die Erstellungvon Client-Regeln dieser Signaturen können bearbeitet werden. Außerdem kann die Liste mitbenutzerdefinierten Signaturen ergänzt werden. Bei Installation einer Inhaltsaktualisierung wirdbei Bedarf auch die Signaturliste aktualisiert.

Netzwerk-IPS-Signaturen

Auch der NIPS-Schutz befindet sich auf einzelnen Systemen. Sämtliche Daten, die zwischendem geschützten System und dem restlichen Netzwerk ausgetauscht werden, werden auf einenAngriff untersucht. Wird ein Angriff entdeckt, werden die verdächtigen Daten gelöscht oder amPassieren des Systems gehindert.

Leistungsspektrum dieser Signaturen:

• Schützen Systeme, die sich nachgelagert in einem Netzwerksegment befinden.

• Schützen damit verbundene Server und Systeme.

• Schützen vor Denial of Service-Angriffen gegen das Netzwerk und gegenbandbreitenorientierte Angriffe, die den Netzwerkverkehr verhindern oder einschränken.

Host Intrusion Prevention beinhaltet eine Standardliste mit einigen wenigenNetzwerk-IPS-Signaturen für Windows-Plattformen. Schweregrad, Protokollstatus und dieEinstellung zur Erstellung von Client-Regeln dieser Signaturen können bearbeitet werden.Benutzerdefinierte Netzwerksignaturen können derzeit aber nicht hinzugefügt werden. BeiInstallation einer Inhaltsaktualisierung wird bei Bedarf auch die Signaturliste aktualisiert.

VerhaltensregelnVerhaltensregeln dienen zur Blockierung von Zero-Day-Angriffen und zur Erzwingung einesregelgerechten Verhaltens von Betriebssystem und Anwendungen. Heuristische Verhaltensregelndefinieren ein Profil mit legitimer Aktivität. Aktivitäten, die nicht mit diesen Regelnübereinstimmen, werden als verdächtig angesehen und lösen eine Reaktion aus. Beispielsweisekann eine Verhaltensregel besagen, dass nur ein Web-Server-Prozess auf HTML-Dateien zugreifendarf. Wenn ein anderer Prozess auf eine HTML-Datei zugreift, werden entsprechende Maßnahmenergriffen. Dieser als Abschirmung und Umhüllung von Anwendungen bezeichnete Schutz beugteiner missbräuchlichen Nutzung von Anwendungen und ihrer Daten vor und verhindert, dassmithilfe von Anwendungen andere Anwendungen angegriffen werden.

Daneben blockieren Verhaltensregeln die Ausnutzung von Pufferüberläufen und verhinderndamit eine durch Buffer Overflow-Angriffe ausgelöste Ausführung von Code. Auf diese Weisewerden Server und Desktops besonders häufig angegriffen.

ReaktionenEine Reaktion ist die Antwort eines Host Intrusion Prevention-Clients, wenn eine Signatur miteinem bestimmten Schweregrad ausgelöst wird.

Ein Client reagiert auf eine der drei folgenden Arten:



• Ignorieren: Keine Reaktion; das Ereignis wird nicht protokolliert, und der Vorgang wirdnicht verhindert.

• Protokollieren: Das Ereignis wird protokolliert, aber der Vorgang wird nicht verhindert.

• Verhindern: Das Ereignis wird protokolliert, und der Vorgang wird verhindert.

Eine Sicherheitsrichtlinie kann z. B. Folgendes besagen: wenn ein Client eine Signatur mit einemniedrigen Schweregrad erkennt, protokolliert er das Vorkommen dieser Signatur und erlaubtden Vorgang. Wenn er dagegen eine Signatur mit einem hohen Schweregrad erkennt, verhinderter den Vorgang.

HINWEIS: Die Protokollierung kann direkt für jede Signatur aktiviert werden. Mit der Richtliniefür den IPS-Schutz wird die Reaktion auf Signaturen automatisch anhand des Schweregradesfestgelegt.

AusnahmenMit einer Ausnahme werden Aktivitäten überschrieben, die von der Reaktion auf eine Signaturblockiert werden.

In einigen Fällen kann das als Angriff definierte Verhalten Teil einer normalen Arbeitsroutineeines Benutzers sein oder eine Aktivität, die für eine geschützte Anwendung unbedenklich ist.Um diese Signatur außer Kraft zu setzen, können Sie eine Ausnahme erstellen, die solcheausnahmsweisen Aktivitäten erlaubt. Eine Ausnahme kann z. B. besagen, dass für einenbestimmten Client ein Vorgang ignoriert wird.

Sie können Ausnahmen manuell erstellen oder Clients in den adaptiven Modus versetzen undihnen erlauben, Client-Ausnahmeregeln zu erstellen. Um zu gewährleisten, dass eine Signaturnie außer Kraft gesetzt wird, bearbeiten Sie die Signatur und deaktivieren Sie jeweils die OptionClient-Regeln zulassen. Sie können die Client-Ausnahmen in der ePolicy Orchestrator-Konsolenachverfolgen und sie in einer regulären, gefilterten oder aggregierten Ansicht anzeigen.Verwenden Sie diese Client-Regeln, um neue Richtlinien zu erstellen oder sie zu bestehendenRichtlinien hinzuzufügen, die Sie auf andere Clients anwenden können.

Host Intrusion Prevention-Clients verfügen über einen Satz von IPS-Signaturregeln, diebestimmen, ob eine Aktivität auf dem Client-Computer schädlich oder harmlos ist. Wennschädliche Aktivitäten entdeckt werden, erhält die ePO-Konsole Warnungen in Form so genannterEreignisse, die auf der Registerkarte Host IPS-Regeln unter Berichte angezeigt werden.

Die für Signaturen in der Richtlinie für den IPS-Schutz festgelegte Schutzebene bestimmt, welcheAktion ein Client ergreift, wenn ein Ereignis auftritt. Reaktionen umfassen das Ignorieren,Protokollieren oder Verhindern der Aktivität.

Ereignisse, die sich als falsch positiv herausstellen und aus einer legitimen Aktivität stammen,können durch das Erstellen einer Ausnahme zur Signaturregel oder durch das Einstufen vonAnwendungen als "vertrauenswürdig" überschrieben werden. Clients im adaptiven Moduserstellen automatisch Ausnahmen, so genannte Client-Regeln. Administratoren könnenAusnahmen jederzeit manuell erstellen.

Die Überwachung auftretender Ereignisse und von Client-Ausnahmeregeln hilft dabei, den durchIPS gewährten Schutz anzupassen.

AnwendungsschutzregelnAnwendungsschutzregeln dienen dem Schutz festgelegter und generierter Listen mit Prozessenvor Pufferüberläufen, indem API-Hooking auf Benutzerebene zugelassen oder verhindert wird.



Der Schutz vor Pufferüberläufen ist Teil von Host Intrusion Prevention und bezieht sich aufsämtliche Prozesse, die eingeklinkt werden. Die IPS-Richtlinie enthält eine Standardliste mitAnwendungsschutzregeln für Windows-Plattformen. Diese Liste wird bei Installation vonInhaltsaktualisierungen aktualisiert. Sie kann automatisch mit im Netzwerk aktiven unddienstbasierten Anwendungen erweitert werden. Dazu muss in der Richtlinie für IPS-Optionendie Option Netzwerkorientierte und dienstbasierte Anwendungen automatisch in dieAnwendungsschutzliste aufnehmen aktiviert werden.

EreignisseReagiert ein Client auf eine ausgelöste Signatur, wird ein IPS-Ereignis erstellt.

Ereignisse werden auf der Registerkarte Ereignisse der Registerkarte Host IPS unter Berichteprotokolliert. Administratoren können diese Ereignisse überwachen, um Verletzungen vonSystemregeln zu analysieren. Sie können dann die Reaktionen auf Ereignisse anpassen oderRegeln für Ausnahmen oder vertrauenswürdige Anwendungen erstellen, um die Anzahl anEreignissen zu senken und die Anpassung für die Schutzeinstellungen vorzunehmen.

HINWEIS: Auf dem Client von Host Intrusion Prevention werden Ereignisse aggregiert, damitnicht alle Ereignisse an den ePO-Server übertragen werden. So werden Ereignisse, die innerhalbvon 20 Sekunden nacheinander auftreten, nicht wiederholt an den Server übertragen. Tritt einEreignis nach 20 Sekunden erneut auf, wird ein weiteres Ereignis erfasst. Administratorenkönnen alle Ereignisse in der ePO-Konsole oder im Client-System auf der Registerkarte HostIPS unter Berichte einsehen.

Aktivieren des IPS-SchutzesMit der Richtlinie für IPS-Optionen wird bestimmt, wie der IPS-Schutz angewendet wird. Darinenthalten sind Optionen für Windows- und Nicht-Windows-Plattformen.

Für alle Plattformen

Folgende Optionen sind für Clients aller Plattformen verfügbar:

• Host IPS aktiviert: Aktivieren Sie auf Wunsch den IPS-Schutz durch die Erzwingung vonHost IPS-Regeln.

HINWEIS: Das Steuerelement steht auch direkt auf dem Client zur Verfügung.

• Adaptiver Modus aktiviert (Regeln werden automatisch erlernt): Hiermit wird deradaptive Modus aktiviert. In diesem erstellen Clients automatisch Ausnahmeregeln, umblockierte Vorgänge zuzulassen. Verwenden Sie diese Option nur bei der genauen Einstellungvon Ausbringungen.

HINWEIS: Das Steuerelement steht auch direkt auf dem Client zur Verfügung.

• Bestehende Client-Regeln speichern, wenn diese Richtlinie durchgesetzt wird:Wählen Sie diese Option aus, um Clients zu erlauben, auf dem Client erstellte Ausnahmeregelnwie folgt beizubehalten: im adaptiven Modus automatisch oder manuell auf einemWindows-Client, wenn diese Richtlinie erzwungen wird.

Nur bei Windows-Plattformen:

Folgende Optionen sind für Clients mit Windows-Plattformen verfügbar:

Konfigurieren von IPS-RichtlinienAktivieren des IPS-Schutzes


• Netzwerk-IPS aktiviert: Mit dieser Option lassen sich Netzwerk-IPS-Regeln erzwingen.Die Option kann unabhängig von der Anwendung von Host IPS-Regeln genutzt werden.

• Netzwerkeindringlinge automatisch blockieren: Blockieren Sie mit dieser Option aufeinem Host ein- und ausgehenden Datenverkehr, bis dieser für die angegebene Dauer(Minuten) auf dem Client manuell aus einer Liste mit blockierten Elementen entfernt wird.Nur verfügbar, wenn die Funktion Netzwerk-IPS aktiviert ist.

HINWEIS: Diese Steuerelemente stehen auch direkt auf dem Client zur Verfügung.

• Blockierte Hosts zurückhalten: Mit dieser Option können Sie zulassen, dass ein Clienteine Host-IP-Adresse so lange blockiert, bis die unterNetzwerkeindringlinge automatischblockieren festgelegten Parameter erfüllt sind. Wenn diese Option nicht ausgewählt ist,wird der Host nur bis zur nächsten Richtlinienerzwingung blockiert.

• Netzwerkorientierte und dienstbasierte Anwendungen automatisch in dieAnwendungsschutzliste aufnehmen: Mit dieser Option können Sie zulassen, dass einClient Anwendungen mit hohem Risiko automatisch der Liste der geschützten Anwendungenin der Richtlinie "IPS-Regen" hinzufügt.

• IPS-Schutz beim Start aktiviert: Mit dieser Option können Sie einen hartkodierten Satzan Dateien und Registrierungsregeln so lange anwenden, bis der Host IPS-Dienst auf demClient gestartet wurde.

Auswahlmöglichkeiten der Richtlinie

Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie und der bearbeitbarenRichtlinie "Mein Standard". Sie beruht auf der Standardrichtlinie von McAfee. VorkonfigurierteRichtlinien können angezeigt und dupliziert werden; benutzerdefinierte Richtlinien könnenerstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden.

Die vorkonfigurierte Richtlinie hat folgende Einstellungen:

McAfee-Standard

Host IPS- und Netzwerk-IPS-Schutz sind deaktiviert, und folgende Optionen werden beiAktivierung des IPS-Schutzes angewendet:

• Netzwerkeindringlinge automatisch für 10 Minuten blockieren (nur bei Windows)

• Blockierte Hosts zurückhalten (nur bei Windows)

• Client-Ausnahmen beibehalten

TIPP: Zur Aktivierung des IPS-Schutzes muss der für Host Intrusion Prevention zuständigeAdministrator zuerst die Optionen für Host IPS und Netzwerk-IPS in der Richtlinie aktivierenund die Richtlinie dann auf den Client-Systemen anwenden. Im Gegensatz zu älterenProduktversionen erfolgt der IPS-Schutz auf Client-Systemen nicht automatisch.

Konfigurieren der Richtlinie für IPS-OptionenMit den Einstellungen in dieser Richtlinie werden der IPS-Schutz ein- oder ausgeschaltet undder adaptive Modus angewendet.

Task


1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie in der Liste Produktden Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den EintragIPS-Optionen aus. Eine Liste mit Richtlinien wird geöffnet.

Konfigurieren von IPS-RichtlinienAktivieren des IPS-Schutzes


2 Um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern, klicken Sie in derRichtlinienliste IPS-Optionen unter Aktionen auf Bearbeiten.

HINWEIS: Für bearbeitbare Richtlinien sind folgende andere Optionen verfügbar:Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sindnur die Optionen "Anzeigen" und "Duplizieren" verfügbar.

3 Nehmen Sie auf der angezeigten Seite IPS-Optionen alle erforderlichen Änderungen(einschließlich der IPS-Einstellungen für Status, Start und Netzwerk) vor, und klicken Sieanschließend auf Speichern.

Festlegen der Reaktion auf IPS-SignaturenDie IPS-Schutz-Richtlinie legt die Schutzreaktion für die Schweregrade der Signaturen fest.Diese Einstellungen geben einem Client vor, was zu tun ist, wenn ein Angriff oder ein verdächtigesVerhalten entdeckt wird.

Jede Signatur besitzt einen von vier Schweregraden:

• Hoch: Signatur von eindeutig identifizierbaren Sicherheitsbedrohungen oder schädlichenAktionen. Diese Signaturen sind spezifisch für gut identifizierte Schwachstellen und sind inden meisten Fällen nicht verhaltensauffällig. Verhindern Sie diese Signaturen auf allenSystemen.

• Mittel: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen außerhalb ihresBereichs arbeiten. Verhindern Sie diese Signaturen auf kritischen Systemen sowie auf Web-und SQL-Servern.

• Gering: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen undSystemressourcen gesperrt werden und nicht geändert werden können. Wenn Sie dieseSignaturen verhindern, steigert dies die Sicherheit des zugrunde liegenden Systems, es istjedoch eine zusätzliche Einstellung erforderlich.

• Information: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen undSystemressourcen geändert werden, was auf ein Sicherheitsrisiko oder einen ungefährlichenVersuch hinweisen kann, auf sensible Systeminformationen zuzugreifen. Ereignisse dieserEbene treten im Laufe der normalen Systemaktivität auf und weisen in der Regel nicht aufeinen Angriff hin.

Der Schweregrade gibt die für ein System potentielle Gefahr an und dient zur Festlegungbestimmter Reaktionen für unterschiedliche Stufen potentieller Schäden. Sie können dieSchweregrade und die Reaktionen für alle Signaturen ändern. Wenn eine verdächtige Aktivitätbeispielsweise wahrscheinlich keinen Schaden anrichtet, können Sie als Reaktion Ignorierenauswählen. Wenn eine Aktivität wahrscheinlich Schaden anrichtet, können Sie als ReaktionVerhindern auswählen.


Diese Richtlinienkategorie besteht aus sechs vorkonfigurierten Richtlinien und der bearbeitbarenRichtlinie Mein Standard. Sie beruht auf der Standardrichtlinie von McAfee. VorkonfigurierteRichtlinien können angezeigt und dupliziert werden; benutzerdefinierte Richtlinien könnenerstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden.

Konfigurieren von IPS-RichtlinienFestlegen der Reaktion auf IPS-Signaturen


Zu den vorkonfigurierten Richtlinien gehören:

Tabelle 5: Richtlinien für den IPS-SchutzFunktionName

Verhindert Signaturen mit hohem Schweregrad undignoriert die anderen.

Basisschutz (McAfee-Standard)

Verhindert Signaturen mit hohem und mittleremSchweregrad und ignoriert die anderen.

Erweiterter Schutz

Verhindert Signaturen mit hohem, mittlerem und niedrigemSchweregrad und protokolliert die anderen.

Maximaler Schutz

Verhindert Signaturen mit hohem Schweregrad,protokolliert Signaturen mit mittlerem Schweregrad undignoriert die anderen.

Erweiterten Schutz vorbereiten

Verhindert Signaturen mit hohem und mittleremSchweregrad, protokolliert Signaturen mit niedrigemSchweregrad und ignoriert die anderen.

Maximalen Schutz vorbereiten

Protokolliert Signaturen mit hohem Schweregrad undignoriert die anderen.

Warnung

Konfigurieren der Richtlinie für den IPS-SchutzMit den Einstellungen in dieser Richtlinie werden für Signaturen mit einem bestimmtenSchweregrad entsprechende Reaktionsmaßnahmen festgelegt. Diese Einstellungen geben einemClient vor, was zu tun ist, wenn ein Angriff oder ein verdächtiges Verhalten entdeckt wird.

Task


1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie in der Liste Produktden Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den EintragIPS-Schutz aus.

2 Um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern, klicken Sie in derRichtlinienliste IPS-Schutz unter Aktionen auf Bearbeiten.

HINWEIS: Bei bearbeitbaren Richtlinien gibt es die Optionen Umbenennen, Duplizieren,Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind nur die Optionen"Anzeigen" und "Duplizieren" verfügbar.

3 Nehmen Sie auf der angezeigten Seite IPS-Schutz alle erforderlichen Änderungen vor,und klicken Sie anschließend auf Speichern.

Festlegen des IPS-SchutzesIn der Richtlinie für IPS-Regeln werden Sicherheitsvorkehrungen für den Eindringungsschutzgetroffen. Diese Richtlinie ist eine Richtlinie mit mehreren Instanzen, der mehrere Instanzenzugewiesen werden können.

Jede Richtlinie für IPS-Regeln beinhaltet konfigurierbare Eigenschaften bezüglich:

• Signaturen

• Anwendungsschutzregeln

Konfigurieren von IPS-RichtlinienFestlegen des IPS-Schutzes


• Ausnahmeregeln

Auf der Seite Host IPS unter Berichte finden Sie auch:

• IPS-Ereignisse

• IPS-Client-Regeln


Diese Richtlinienkategorie enthält eine vordefinierte Standardrichtlinie, die einen IPS-Basisschutzgewährleistet. Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden;benutzerdefinierte Richtlinien, die Sie erstellen, können bearbeitet, umbenannt, dupliziert,gelöscht und exportiert werden. Zudem können Sie einem Satz verschiedener Richtlinienregelnauch mehr als eine Instanz der Richtlinie zuweisen.

Konfigurieren der Richtlinie für IPS-RegelnMit den Einstellungen in dieser Richtlinie werden Signaturen, Anwendungsschutzregeln undAusnahmen festgelegt.

Task


1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie in der Liste Produktden Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den EintragIPS-Regeln aus. Eine Liste mit Richtlinien wird geöffnet.

2 Um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern, klicken Sie in derRichtlinienliste IPS-Regeln unter Aktionen auf Bearbeiten.

HINWEIS: Für bearbeitbare Richtlinien sind folgende andere Optionen verfügbar:Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sindnur die Optionen "Anzeigen" und "Duplizieren" verfügbar.

3 Nehmen Sie auf der angezeigten Seite IPS-Regeln alle erforderlichen Änderungen vor,und klicken Sie anschließend auf Speichern. Weitere Informationen finden Sie unterKonfigurieren von IPS-Signaturen, Konfigurieren von IPS-Anwendungsschutzregeln undKonfigurieren von IPS-Ausnahmen.

Zuweisen mehrerer Instanzen der RichtlinieMehrfachschutz mittels einer einzelnen Richtlinie ist möglich, indem einer Gruppe oder einemSystem in der Struktur von ePolicy Orchestrator eine oder mehrere Instanzen der Richtliniezugewiesen werden.

Die Richtlinie für IPS-Regeln und die Richtlinie für vertrauenswürdige Anwendungen habenbeide mehrere Instanzen, von denen auch mehrere zugewiesen werden können. Eine Richtliniemit mehreren Instanzen eignet sich beispielsweise für einen IIS-Server, wenn Sie eine allgemeineStandardrichtlinie, eine Server-Richtlinie und eine IIS-Richtlinie anwenden, wobei die beidenletzten speziell für Systeme konfiguriert sind, die als IIS-Server ausgeführt werden. BeimZuweisen mehrerer Instanzen wird quasi eine Zusammenfassung aller Elemente der einzelnenInstanzen zugewiesen.

HINWEIS: Die McAfee-Standardrichtlinie für IPS-Regeln und vertrauenswürdige Anwendungenwird im Rahmen von Inhaltsaktualisierungen aktualisiert. Es wird empfohlen, diese beiden



Richtlinien immer anzuwenden, um den Schutzmechanismus so auf dem neuesten Stand zuhalten.

Für Richtlinien mit mehreren Instanzen wird eine Verknüpfung zur gültigen Richtlinie angezeigt.Über diese können Sie die Daten der kombinierten Richtlinieninstanzen einsehen.

Task


1 Wechseln Sie zu Systeme | Systemstruktur, und wählen Sie dann in der Systemstruktureine Gruppe aus.

HINWEIS: Bei einem einzelnen System wählen Sie eine Gruppe aus, die das System enthält.Wählen Sie auf der Registerkarte System das System und anschließendWeitere Aktionen| Richtlinien auf einem einzelnen System ändern aus.

2 Wählen Sie unter Richtlinien in der Liste Produkt den Eintrag Host IntrusionPrevention 8.0: IPS/Allgemein aus, und klicken Sie fürIPS-Regeln/Vertrauenswürdige Anwendungen auf Zuweisungen bearbeiten.

3 Klicken Sie auf der Seite Richtlinienzuweisung auf Neue Richtlinieninstanz, undwählen Sie aus der Liste Zugewiesene Richtlinien eine Richtlinie für die zusätzlicheRichtlinieninstanz aus. Wenn Sie den gültigen oder kombinierten Instanzregelsatz anzeigenmöchten, klicken Sie auf Gültige Richtlinie anzeigen.

4 Speichern Sie die Änderungen mit Speichern.

Häufig gestellte Fragen: Richtlinien mit mehreren InstanzenHost Intrusion Prevention beinhaltet zwei Richtlinien mit mehreren Instanzen: IPS-Regeln undvertrauenswürdige Anwendungen. Diese Richtlinien erlauben die gleichzeitige Anwendungmehrerer Richtlinien auf einem Client. Alle anderen Richtlinien haben nur eine Instanz.

Die McAfee-Standardversionen dieser Richtlinien werden automatisch bei jederInhaltsaktualisierung von Host Intrusion Prevention aktualisiert. Damit Inhaltsaktualisierungenerfolgen können, müssen diese Richtlinien immer einem Client zugewiesen werden. Wird mehrals eine Instanz angewendet, kommt es zu einer Zusammenfassung aller Instanzen, der sogenannten gültigen Richtlinie.

Wie können Ausbringungen mit einer Richtlinienzuweisung mit mehreren Plätzenstrukturiert werden?

Bestimmen Sie zuerst Benutzergruppen für die Ausbringung, die eine wichtige Eigenschaftgemeinsam haben. Diese gibt an, welche Ressourcen zu schützen sind und welche für eineordnungsgemäße Funktion Ausnahmen benötigen. Mögliche Eigenschaften sind:

• Abteilung: In jeder Abteilung sind Ressourcen zu schützen, und für bestimmteGeschäftsaktivitäten werden Ausnahmen benötigt.

• Standort: Jeder Standort hat mitunter eigene Sicherheitsstandards oder bestimmteRessourcen, die geschützt werden müssen, sowie Ausnahmen, die für die Geschäftsaktivitäterforderlich sind.

• Computertyp: Jeder Computertyp (Laptops, Arbeitsstationen, Server) verfügt über eigeneAnwendungen, die zwar geschützt werden müssen, aber auch wichtige Geschäftsaktivitätenausführen sollen.

Schützen Sie als Nächstes die Ressourcen, und erstellen Sie für jede Gruppe Ausnahmen undvertrauenswürdige Anwendungen. Mithilfe des adaptiven Modus können Sie bestimmen, welche



Ressourcen für eine bestimmte Gruppe geschützt werden müssen bzw. vertrauenswürdig sind.Erstellen Sie danach für jede Benutzergruppe Instanzen von IPS-Regeln und Richtlinien fürvertrauenswürdige Anwendungen (eine Richtlinie für IPS-Regeln für eine bestimmte Abteilung,eine für einen bestimmten Standort und eine für einen bestimmten Computertyp). Wenden Siedann die jeweilige Instanz an. Ohne eine Richtlinie für IPS-Regeln mit mehreren Instanzenbedarf es bei einer Kombination von drei Abteilungen, drei Standorten und drei Computertypen27 Richtlinien. Mit dem Ansatz für mehrere Instanzen sind es nur neun.

Allerdings widersprechen sich Regeln aus verschieden zugewiesenen Richtlinien.Wie wird die gültige Richtlinie bestimmt?

Es kann vorkommen, dass eine Regel in einer Instanz Einstellungen aufweist, die denen dergleichen Regel aus einer anderen Richtlinieninstanz widersprechen. Für den Umgang mit solchenKonflikten und zur Bestimmung der gültigen Richtlinie verfügt Host IPS über Regeln.

Bei IPS-Regeln:

• Der gültige Schweregrad einer Signatur entspricht dem höchsten benutzerdefiniertenSchweregrad. Die Priorität lautet: Hoch, Mittel, Niedrig, Information, Deaktiviert. Wird derSchweregrad nicht angepasst, wird der Standardwert verwendet.

• Der gültige Protokollstatus einer Signatur entspricht dem benutzerdefinierten Protokollstatus.Liegt in zwei oder mehr angewendeten Richtlinien für IPS-Regeln eine benutzerdefinierteEinstellung vor, hat der aktivierte benutzerdefinierte Protokollstatus Vorrang vor dem nichtaktivierten. Ist der Protokollstatus nicht benutzerdefiniert eingestellt, wird der Standardwertverwendet.

• Die Einstellung für die gültigen Client-Regeln einer Signatur entspricht der benutzerdefiniertenEinstellung. Liegt in zwei oder mehr zugewiesenen Richtlinien für IPS-Regeln einebenutzerdefinierte Einstellung vor, hat die aktivierte Einstellung für benutzerdefinierteClient-Regeln Vorrang vor der nicht aktivierten. Ist die Einstellung für Client-Regeln nichtbenutzerdefiniert eingestellt, wird der Standardwert verwendet.

• Der gültige Satz an Ausnahmen entspricht einer Zusammenfassung aller angewendetenAusnahmen.

Bei vertrauenswürdigen Anwendungen:

• Der gültige Satz an vertrauenswürdigen Anwendungen entspricht einer Zusammenfassungaller vertrauenswürdigen Anwendungen.

• Wird eine Anwendung als für Firewall oder IPS vertraulich gekennzeichnet, hat dies auchdann Vorrang, wenn dieselbe Anwendung in einer anderen zugewiesenen Richtlinie fürvertrauenswürdige Anwendungen für dieses Element nicht als vertrauenswürdiggekennzeichnet ist.

Funktionsweise von IPS-SignaturenSignaturen beschreiben Sicherheitsbedrohungen, Angriffsmethoden und Eindringungsversuchein Netzwerke. Jede Signatur hat einen standardmäßigen Schweregrad, der die von einem Angriffausgehende potentielle Gefahr illustriert:

• Hoch: Signaturen, die vor eindeutig erkennbaren Sicherheitsbedrohungen oder schädlichenAktionen schützen. Die meisten dieser Signaturen sind spezifisch für gut identifizierteSchwachstellen und sind in den meisten Fällen nicht verhaltensauffällig. Diese Signaturensollten auf allen Hosts verhindert werden.

• Mittel: Signaturen, die stärker auf Verhaltensweisen ausgerichtet sind und verhindern, dassAnwendungen außerhalb ihrer Umgebung arbeiten (relevant für Clients beim Schutz von



Web-Servern und Microsoft SQL Server 2000). Bei wichtigen Servern sollten Sie dieseSignaturen mitunter nach der Einstellung verhindern.

• Gering: Stärker auf Verhaltensweisen ausgerichtete Signaturen undSchutzschildanwendungen. Diese sperren Anwendungs- und Systemressourcen gegenÄnderungen. Wenn Sie solche Signaturen verhindern, steigert dies die Sicherheit des zugrundeliegenden Systems, es ist jedoch eine gewisse zusätzliche Abstimmung erforderlich.

• Information: Zeigt eine Änderung der Systemkonfiguration an, was auf ein unwesentlichesSicherheitsrisiko oder einen Versuch hinweisen kann, auf sensible Systeminformationenzuzugreifen. Ereignisse dieser Ebene treten im Laufe der normalen Systemaktivität auf undweisen in der Regel nicht auf einen Angriff hin.

Signaturtypen

Die Richtlinie für IPS-Regeln kann drei verschiedene Signaturtypen enthalten:

• Host-Signaturen: Standardmäßige Signaturen von Host Intrusion Prevention.

• Benutzerdefinierte IPS-Signaturen: Von Ihnen erstellte, benutzerdefinierte Signaturenvon Host Intrusion Prevention.

• Netzwerk-IPS-Signaturen: Standardmäßige Signaturen von Network Intrusion Prevention.

Host IPS-Signaturen

Hostbasierte Intrusion Prevention-Signaturen entdecken und verhindern Angriffe durchSystemvorgänge und enthalten Regeln für die Bereiche Dateien, Registrierung, Dienste undHTTP. Sie werden von den Sicherheitsexperten von Host Intrusion Prevention entwickelt undmit dem Produkt sowie durch Inhaltsaktualisierungen bereitgestellt.

Jede Signatur besitzt eine Beschreibung und einen standardmäßigen Schweregrad.Administratoren mit entsprechenden Berechtigungen können den Schweregrad einer Signaturändern.

Wenn hostbasierte Signaturen ausgelöst werden, erzeugen diese ein IPS-Ereignis, das auf derRegisterkarte IPS-Ereignisse unter Berichte angezeigt wird.

Benutzerdefinierte IPS-Signaturen

Benutzerdefinierte Signaturen sind hostbasierte Signaturen, die Sie erstellen können, um einenzusätzlichen Schutz für besondere Anforderungen bereitzustellen. Beispiel: wenn Sie ein neuesVerzeichnis anlegen, das wichtige Dateien enthält, können Sie zu dessen Schutz einebenutzerdefinierte Signatur erstellen.

HINWEIS: Netzwerkbasierte benutzerdefinierte Signaturen können nicht erstellt werden.

Netzwerk-IPS-Signaturen

Netzwerkbasierte Intrusion Prevention-Signaturen (NIPS) entdecken und verhindern bekanntenetzwerkbasierte Angriffe auf das Host-System. Sie werden in derselben Signaturenliste wiehostbasierte Signaturen angezeigt.

Jede Signatur besitzt eine Beschreibung und einen standardmäßigen Schweregrad.Administratoren mit entsprechenden Berechtigungen können den Schweregrad einer Signaturändern.

Sie können für netzwerkbasierte Signaturen Ausnahmen erstellen, allerdings keine zusätzlichenParameterattribute angeben, wie den Betriebssystembenutzer und den Prozessnamen. Dieerweiterten Angaben enthalten netzwerkspezifische Parameter, wie beispielsweise dieIP-Adressen, die Sie angeben können.



Von netzwerkbasierten Signaturen generierte Ereignisse werden zusammen mit den hostbasiertenEreignissen auf der Registerkarte Ereignisse angezeigt. Sie zeigen dasselbe Verhalten wiehostbasierte Ereignisse.

Um mit Signaturen zu arbeiten, öffnen Sie in der Richtlinie IPS-Regeln die RegisterkarteSignaturen.

Konfigurieren von IPS-SignaturenAuf der Registerkarte Signaturen in der Richtlinie für IPS-Regeln können Standardsignaturenbearbeitet, benutzerdefinierte Signaturen hinzugefügt und Signaturen in eine andere Richtlinieverschoben werden.

Task



2 Um Änderungen auf der Seite IPS-Regeln vorzunehmen, klicken Sie unter Aktionen aufBearbeiten. Öffnen Sie dann die Registerkarte Signaturen.

3 Führen Sie einen der folgenden Schritte aus:

VorgehensweiseZweck

Verwenden Sie die Filter oben in der Signaturliste. Zuden Filtermöglichkeiten zählen Schweregrad der

Durchsuchen der Liste nach einer Signatur

Signatur, Typ, Plattform, Protokollstatus, obClient-Regeln erlaubt sind oder aber ein Textbestandteilvon Signaturnamen, Hinweisen oder Inhaltsversion.Klicken Sie auf Löschen, um Filtereinstellungen zuentfernen.

Klicken Sie unter Aktionen auf Bearbeiten.Bearbeiten einer Signatur

• Wenn es sich bei der Signatur um eineStandardsignatur handelt, ändern SieSchweregrad, Client-Regeln oderProtokollstatus, und dokumentieren Sie dieÄnderung im Feld Hinweis. Speichern Sie dieÄnderungen mit OK. BearbeiteteStandardsignaturen können auf ihreStandardeinstellungen zurückgesetzt werden, indemSie unter Aktionen auf Zurücksetzen klicken.

HINWEIS: Wurde eine Signatur bearbeitet und dieÄnderung gespeichert, wird die Signatur in der Listeneu angeordnet. Eventuell muss die Liste dann nachder bearbeiteten Signatur durchsucht werden.

• Wenn die Signatur benutzerdefiniert ist, ändern Siefalls nötig die Einstellungen für Schweregrad,Client-Regeln, Protokollstatus oderBeschreibung, und dokumentieren Sie dieÄnderung im Feld Hinweis. Speichern Sie dieÄnderungen mit OK.

HINWEIS: Sie können auch mehrere Signaturengleichzeitig ändern, indem Sie die gewünschtenSignaturen auswählen und auf Mehrere bearbeitenklicken. Wählen Sie auf der nun angezeigten Seite die



VorgehensweiseZweck

Einstellungen für die drei bearbeitbaren Elemente aus,und klicken Sie dann auf OK.

Klicken Sie auf Neu oder Neu (Assistent).Hinzufügen einer Signatur

Klicken Sie unter Aktionen auf Löschen.

HINWEIS: Nur benutzerdefinierte Signaturen könnengelöscht werden.

Löschen einer benutzerdefinierten Signatur

Um eine Signatur in eine andere Richtlinie zu kopieren,wählen Sie die gewünschte Signatur aus, und klicken

Kopieren einer Signatur in eine andere Richtlinie

Sie auf Kopieren nach. Geben Sie die Richtlinie an,in die die Signatur kopiert werden soll, und klicken Sieauf OK.

HINWEIS: Sie können mehrere Signaturen gleichzeitigkopieren, wenn Sie diese vor dem Klicken auf Kopierennach zusammen markieren.

4 Speichern Sie die Änderungen dann mit Speichern.

Erstellen benutzerdefinierter SignaturenUm Vorgänge zu schützen, die von Standardsignaturen nicht abgedeckt werden, erstellen Siein der Richtlinie für IPS-Regeln auf der Registerkarte Signaturen benutzerdefinierte HostIntrusion Prevention-Signaturen.

Task


1 Klicken Sie auf der Registerkarte Signaturen der IPS-Regel-Richtlinie auf Neu. Eine leereSeite Signatur wird angezeigt.

2 Geben Sie auf der Registerkarte IPS-Signatur der Signatur einen Namen (erforderlich)ein, und wählen Sie die Plattform, den Schweregrad und den Protokollstatus aus und obdie Erstellung von Client-Regeln erlaubt werden soll. Wenn Sie bei Schweregrad,Client-Regeln und Protokollstatus die Standardwerte ändern möchten, aktivieren Sie dasKontrollkästchen.

3 Geben Sie auf der Registerkarte Beschreibung ein, was von der Signatur geschützt wird.Diese Beschreibung wird im Dialogfeld IPS-Ereignis angezeigt, wenn die Signatur ausgelöstwird.

4 Wählen Sie zur Erstellung einer Regel auf der Registerkarte Untergeordnete Regelnentweder die Option Neue standardmäßige untergeordnete Regel oder Neueuntergeordnete Expertenregel aus.

ExpertenverfahrenStandardverfahren

Beim nur für erfahrene Benutzer empfohlenenExpertenverfahren können Sie die Regelsyntax ohne

Beim Standardverfahren ist die Anzahl der Typenbeschränkt, die in die Signaturregel aufgenommenwerden können. Einschränkung der Anzahl der Typen angeben, die in

die Signaturregel aufgenommen werden. Bevor Sie eineRegel schreiben, sollten Sie sich mit der Regelsyntaxvertraut machen.

1 Geben Sie die Regelsyntax der Signaturen ein.Diese kann einen Namen für die Regel enthalten.

1 Geben Sie einen Namen (erforderlich) für dieSignatur ein, und wählen Sie einen



ExpertenverfahrenStandardverfahren

Regelklassentyp aus. Folgende Optionen sindverfügbar: Dateien, Einklinken, HTTP,Programm, Registrierung, Dienste, SQL.

Verwenden Sie das ANSI-Format und dasTCL-Syntax.

2 Klicken Sie auf OK. Die Regel wird in der Listeoben auf der Registerkarte Untergeordnete2 Geben Sie die Klassenvorgänge an, die blockiert

werden und die Signatur auslösen. Regel angezeigt. Die Regel wird kompiliert, unddie Syntax wird geprüft. Wenn die Regel die

3 Geben Sie an, ob ein bestimmter Parameteraufgenommen wird oder nicht, und um welchen

Überprüfung nicht besteht, wird ein Dialogfeldmit einer Fehlerbeschreibung angezeigt.

Parameter es sich handelt, bzw. welchen Werter besitzt.

Beheben Sie den Fehler, und versuchen Sie eserneut.

4 Geben Sie als Parameter eine ausführbare Dateimit Informationen zu mindestens einem derfolgenden vier Werte an: Dateibeschreibung,Dateiname, MD5-Hash-Fingerabdruck oderUnterzeichner.

5 Klicken Sie auf OK. Die Regel wird in der Listeoben auf der Registerkarte UntergeordneteRegel angezeigt. Die Regel wird kompiliert, unddie Syntax wird geprüft. Wenn die Regel dieÜberprüfung nicht besteht, wird ein Dialogfeldmit einer Fehlerbeschreibung angezeigt.Beheben Sie den Fehler, und versuchen Sie eserneut.

Informationen zum Arbeiten mit Klassentypen, Vorgängen und Parametern erhalten Sieunter Schreiben benutzerdefinierter Signaturen und Ausnahmen im Abschnitt zu derjeweiligen Klasse.

5 Klicken Sie auf OK.

HINWEIS: Eine Signatur kann mehrere Regeln enthalten.

Erstellen benutzerdefinierter Signaturen mit einem AssistentenMithilfe des Assistenten für benutzerdefinierte Signaturen können neue Signaturen leicht erstelltwerden.

HINWEIS: Per Assistent erstellte Signaturen sind hinsichtlich der geschützten Vorgänge nichtflexibel, da Vorgänge nicht geändert, hinzugefügt oder gelöscht werden können.

Task


1 Klicken Sie auf der Registerkarte Signaturen der IPS-Regeln auf Neu (Assistent).

2 Geben Sie auf der Registerkarte Grundlegende Angaben einen Namen ein, und wählenSie die Plattform, den Schweregrad und den Protokollstatus aus sowie ob die Erstellungvon Client-Regeln erlaubt werden soll. Klicken Sie zum Fortzufahren auf Weiter.

3 Geben Sie auf der Registerkarte Beschreibung ein, was von der Signatur geschützt wird.Diese Beschreibung wird im Dialogfeld IPS-Ereignis angezeigt, wenn die Signatur ausgelöstwird.

4 Wählen Sie auf der Registerkarte Regeldefinition das gegen Veränderungen zu schützendeObjekt aus, und geben Sie Einzelheiten dazu an.




Häufig gestellte Fragen: Verwenden von Platzhaltern in IPS-RegelnIn Host IPS-Regeln dürfen bei der Eingabe von Werten in bestimmte Felder Platzhalter verwendetwerden.

Welche Platzhalter sind in Pfad- und Adresswerten zulässig?

Folgende Platzhalter dürfen in Dateipfaden, Registrierungsschlüsseln, ausführbaren Dateienund URLs verwendet werden:

DefinitionZeichen

Ein einzelnes Zeichen? (Fragezeichen)

Mehrere Zeichen mit Ausnahme von / und \. Wird alsEntsprechung der Stammebene eines Ordners ohneUnterordner verwendet.

* (Sternchen)

Mehrere Zeichen, einschließlich "/" und "\".** (zwei Sternchen)

Platzhalter-Escape-Zeichen

HINWEIS: Die Escape-Zeichenfolge für "**" lautet "|*|*".

| (Pipe-Zeichen)

Welche Platzhalter sind in sonstigen Werten zulässig?

Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgendePlatzhalter verwendet werden:

DefinitionZeichen


Mehrere Zeichen, einschließlich "/" und "\".* (Sternchen)

Platzhalter-Escape-Zeichen| (Pipe-Zeichen)

Welche Platzhalterz sind in den Werten untergeordneter Expertensignaturregelnzulässig?

Bei der Erstellung einer untergeordneten Regel mithilfe des Expertenverfahrens gilt für alleWerte:

DefinitionZeichen


Mehrere Zeichen, einschließlich "/" und "\". Beispiel: files{ Include “C:\*.txt” ” }

* (Sternchen)

Mehrere Zeichen mit Ausnahme von / und \. Wird alsEntsprechung der Stammebene eines Ordners mit

& (kaufmännisches "Und" [Ampersand])

Ausnahme der Unterordner verwendet. Beispiel: files {Include “C:\test\\&.txt” }

Platzhalter-Escape-Zeichen Beispiel: files { Include“C:\test\\yahoo!.txt” }

! (Ausrufezeichen)



Funktionsweise von IPS-AnwendungsschutzregelnAnwendungsschutzregeln dienen der Steuerung, welche Prozesse von Host Intrusion Preventioneinen generischen Schutz vor Pufferüberläufen erhalten. Die Regeln erlauben oder blockierendas API-Einklinken auf Benutzerebene für definierte und generierte Prozesslisten. Die Datei aufKernel-Ebene und das Registrierungseinklinken sind nicht betroffen. Nur Prozesse, die in derListe den Status Eingeschlossen aufweisen, werden vor Pufferüberläufen geschützt.

Host Intrusion Prevention bietet eine statische Liste mit Prozessen, die erlaubt oder blockiertwerden. Diese wird anhand von Inhaltsaktualisierungen für die Standardrichtlinie für IPS-Regelnvon McAfee aktualisiert. Darüber hinaus können bei aktivierter Prozessanalyse Prozesse, dieeingeklinkt werden dürfen, dynamisch der Prozessliste hinzugefügt werden. Die Analyse erfolgtunter folgenden Bedingungen:

• Jedes Mal, wenn der Client gestartet und die laufenden Prozesse durchgezählt werden.

• Jedes Mal, wenn ein Prozess gestartet wird.

• Jedes Mal, wenn die Anwendungsschutzliste durch den ePolicy Orchestrator-Server aktualisiertwird.

• Jedes Mal, wenn die Liste der Prozesse, die einen Netzwerk-Port überwachen, aktualisiertwird.

HINWEIS: Damit die Liste dynamisch aktualisiert werden kann, muss für die Richtlinie fürIPS-Optionen die Option "Netzwerkorientierte und dienstbasierte Anwendungen automatischin die Anwendungsschutzliste aufnehmen" ausgewählt werden. Diese Option umfasst implizitalle Anwendungen und Dienste von Windows, die Netzwerk-Ports überwachen.

Im Rahmen der Analyse wird zuerst geprüft, ob der Prozess von der Liste für denAnwendungsschutz ausgenommen ist. Wenn nicht, wird geprüft, ob der Prozess auf der Listefür den Anwendungsschutz steht. Wenn nicht, wird der Prozess analysiert, um herauszufinden,ob er einen Netzwerk-Port überwacht oder als Dienst ausgeführt wird. Wenn nicht, wird Einklinkenblockiert, und der Prozess wird nicht geschützt. Überwacht er einen Port oder wird als Dienstausgeführt, ist Einklinken zulässig, und der Prozess wird geschützt.



Abbildung 1: Analyse der Anwendungsschutzregeln

Die IPS-Komponente verwaltet einen Informations-Cache für laufende Prozesse, der dieInformationen zum Einklinken aufzeichnet. Die Firewall-Komponente ermittelt, ob ein Prozesseinen Netzwerk-Port überwacht, ruft eine von der IPS-Komponente exportierte API auf undübergibt die Informationen an die API, die diese der Überwachungsliste hinzufügt. Wenn dieAPI aufgerufen wird, sucht die IPS-Komponente in ihrer Liste der ausgeführten Prozesse nachdem entsprechenden Eintrag. Prozesse, die nicht schon eingeklinkt wurden und sich nicht inder statischen Blockierliste befinden, werden dann eingeklinkt. Die Firewall liefert die PID(Prozess-ID), die bei der Cache-Suche nach einem Prozess als Schlüssel dient.

Mit der von der IPS-Komponente exportierten API kann die Client-UI außerdem die Liste derderzeit eingeklinkten Prozesse abrufen. Diese wird immer dann aktualisiert, wenn ein Prozessein- oder ausgeklinkt wird. Ein eingeklinkter Prozess wird entfernt, wenn die Konsole eineaktualisierte Prozessliste sendet, aus der hervorgeht, dass der bereits eingeklinkte Prozess nicht



länger eingeklinkt sein soll. Wenn die Liste der eingeklinkten Prozesse aktualisiert wird, werdenalle im Informations-Cache der laufenden Prozesse enthaltenen Prozesse mit der aktualisiertenListe verglichen. Geht aus der Liste hervor, dass ein Prozess einzuklinken ist, dies aber nochnicht geschehen ist, erfolgt dies jetzt. Geht aus der Liste hervor, dass ein Prozess nicht eingeklinktwerden soll, aber bereits eingeklinkt ist, wird er entfernt.

Die Listen mit den eingeklinkten Prozessen werden auf der RegisterkarteAnwendungsschutzregeln angezeigt und bearbeitet. Anders als bei der Richtlinie fürIPS-Regeln wird in der Client-Benutzeroberfläche eine statische Liste aller eingeklinktenAnwendungsprozesse angezeigt.

HINWEIS: Um die Einschleusung einer DLL in eine ausführbare Datei bei der Verwendung von"hook:set_windows_hook" zu verhindern, müssen Sie die ausführbare Datei in dieAnwendungsschutzliste einbinden.

Konfigurieren von IPS-AnwendungsschutzregelnAuf der Registerkarte IPS-Anwendungsschutzregeln in der Richtlinie für IPS-Regeln könnenSie Regeln bearbeiten, hinzufügen, löschen und in eine andere Richtlinie verschieben.

Task



2 Um Änderungen auf der Seite IPS-Regeln vorzunehmen, klicken Sie unter Aktionen aufBearbeiten. Öffnen Sie dann die Registerkarte Anwendungsschutzregeln.


VorgehensweiseZweck

Verwenden Sie die Filter oben in der Anwendungsliste.Sie können über den Regelstatus filtern, über

Durchsuchen der Liste nach einer Anwendungsregel

Zugehörigkeit oder einen bestimmten Text, etwa denProzessnamen, den Prozesspfad oder denComputernamen. Klicken Sie auf Löschen, umFiltereinstellungen zu entfernen.

Klicken Sie unter Aktionen auf Bearbeiten.Bearbeiten einer Anwendungsregel

Klicken Sie auf Neu.Hinzufügen einer Anwendungsregel

Klicken Sie unter Aktionen auf Löschen.Löschen einer Anwendungsregel

Um eine Regel in eine andere Richtlinie zu kopieren,wählen Sie die gewünschte Regel aus, und klicken Sie

Kopieren einer Anwendungsregel in eine andereRichtlinie

auf Kopieren nach. Geben Sie die Richtlinie an, in diedie Regel kopiert werden soll, und klicken Sie auf OK.

HINWEIS: Sie können mehrere Regeln gleichzeitigkopieren. Dazu markieren Sie diese, bevor Sie aufKopieren nach klicken.

4 Speichern Sie die Änderungen dann mit Speichern.



Erstellen von AnwendungsschutzregelnWenn die Richtlinie für IPS-Regeln keine für Ihre Umgebung notwendige Anwendungsschutzregelbeinhaltet, können Sie eine erstellen.

Task


1 Führen Sie in der Richtlinie für IPS-Regeln auf der RegisterkarteAnwendungsschutzregeln einen der folgenden Vorgänge aus:

• Klicken Sie auf Neu. Eine leere Seite Anwendung wird angezeigt.

• Wählen Sie eine Regel aus, und klicken Sie auf Duplizieren. Klicken Sie nachUmbenennen und Speichern der neuen Regel auf Bearbeiten.

2 Geben Sie Namen (erforderlich) und Status der Regel ein und ob die Anwendungsregel indie Schutzliste aufgenommen wird sowie die ausführbaren Dateien, für die die Regel geltensoll.

HINWEIS: Ausführbare Dateien können aus dem Katalog von Host IPS durch Klicken aufAus Katalog hinzufügen übernommen werden. Informationen über den Katalog erhaltenSie in Funktionsweise des Host IPS-Katalogs unter Konfigurieren von Firewall-Richtlinien.


Funktionsweise von IPS-AusnahmenEs kann vorkommen, dass Verhaltensweisen, die normalerweise als Angriff interpretiert würden,zum normalen Arbeitsablauf eines Benutzers gehören. Diese Situation wird alsFalsch-Positiv-Warnung bezeichnet. Um Falsch-Positiv-Warnungen zu vermeiden, können Sieeine Ausnahme für dieses Verhalten erstellen.

Mit Ausnahmen verringern Sie die Anzahl von Falsch-Positiv-Warnungen, minimieren unnötigeDatenübertragungen an die Konsole und stellen sicher, dass sich Warnungen auf echteSicherheitsbedrohungen beziehen.

Beispiel: Während des Testens von Clients erkennt ein Client die Signatur Outlook-Umschlag– Anormale Änderung einer ausführbaren Datei. Diese Signatur bedeutet, dass dieE-Mail-Anwendung Outlook versucht, eine Anwendung außerhalb des üblichenRessourcenbereichs für Outlook zu ändern. Ein durch diese Signatur ausgelöstes Ereignis istalarmierend, da die Möglichkeit besteht, dass Outlook eine Anwendung verändert, dieüblicherweise nichts mit E-Mail-Vorgängen zu tun hat, wie z. B. "Notepad.exe". In diesem Fallliegt der Verdacht nahe, dass ein Trojaner ausgelegt wurde. Wenn allerdings der auslösendeProzess des Ereignisses normalerweise für das Senden von E-Mails verantwortlich ist (umbeispielsweise eine Datei mit "Outlook.exe" zu speichern), dann sollten Sie eine Ausnahmeerstellen, die diese Aktion zulässt.

TIPP: Wenn Sie eine benutzerdefinierte Signatur erstellen, mit der Änderungen an Dateien(Bearbeiten, Umbenennen, Löschen) in einem bestimmten Ordner verhindert werden, eineeinzige Anwendung aber Änderungen vornehmen können soll, erstellen Sie eine Ausnahme,gemäß der diese Anwendung die Dateien ändern darf. Alternativ könnten Sie die untergeordneteRegel der benutzerdefinierten Signatur mit dem Parameter ergänzen, wobei für die Anwendung"Ausschließen" festgelegt ist.



Konfigurieren von IPS-AusnahmenAuf der Registerkarte Ausnahmen für IPS-Regeln in der Richtlinie für IPS-Regeln können SieRegeln bearbeiten, hinzufügen, löschen und in eine andere Richtlinie verschieben.

Task



2 Um Änderungen auf der Seite IPS-Regeln vorzunehmen, klicken Sie unter Aktionen aufBearbeiten. Öffnen Sie dann die Registerkarte Ausnahmeregeln.


VorgehensweiseZweck

Verwenden Sie die Filter oben in der Ausnahmeliste.Als Filtermöglichkeiten stehen Regelstatus, Datum der

Durchsuchen der Liste nach einer Ausnahmeregel

letzten Änderung oder ein Textbestandteil von Regelnoder Hinweisen zur Verfügung. Klicken Sie aufLöschen, um Filtereinstellungen zu entfernen.

Klicken Sie unter Aktionen auf Bearbeiten.Bearbeiten einer Ausnahmeregel

Klicken Sie auf Neu.Hinzufügen einer Ausnahmeregel

Klicken Sie unter Aktionen auf Löschen.Löschen einer Ausnahmeregel

Um eine Regel in eine andere Richtlinie zu kopieren,wählen Sie die gewünschte Regel aus, und klicken Sie

Kopieren einer Ausnahmeregel in eine andere Richtlinie

auf Kopieren nach. Geben Sie die Richtlinie an, in diedie Regel kopiert werden soll, und klicken Sie auf OK.

HINWEIS: Sie können mehrere Regeln gleichzeitigkopieren. Dazu markieren Sie diese, bevor Sie aufKopieren nach klicken.

4 Klicken Sie auf Speichern, um die Änderungen zu speichern.

Erstellen von AusnahmeregelnSollen von einer Signatur blockierte Aktivitäten zugelassen werden, erstellen Sie für die Signatureine Ausnahme. Dabei müssen für die Ausnahme mitunter Parameter und Werte angegebenwerden. Informationen dazu finden Sie unter Schreiben von benutzerdefinierten Signaturenund Ausnahmen.

Task


1 Klicken Sie auf der Registerkarte Ausnahmeregeln der Richtlinie für IPS-Regeln auf Neu.

2 Benennen Sie die Ausnahme, stellen Sie sicher, dass sie aktiviert ist, und schließen Siedann die Signatur(en) ein, für welche die Ausnahme gilt.

3 Legen Sie die relevanten ausführbaren Dateien, Parameter oder Domänengruppen alsVerhaltensausnahme der Signatur fest.




Überwachen von IPS-EreignissenEin IPS-Ereignis wird ausgelöst, wenn ein von einer Signatur bestimmter Sicherheitsverstoßentdeckt und an den ePO-Server gemeldet wird.

Das IPS-Ereignis wird auf der Registerkarte Host IPS unter Ereignisse (oder auf derRegisterkarte Ereignisprotokoll zusammen mit allen anderen Ereignissen der von ePolicyOrchestrator verwalteten Produkte) mit einer von vier Sicherheitsstufen angezeigt: Hoch, Mittel,Niedrig und Information.

HINWEIS: Wenn derselbe Vorgang zwei Ereignisse auslöst, wird die höhere Reaktion ausgeführt.

Mithilfe der Liste der generierten Ereignisse können Sie bestimmen, welche Ereignisse zugelassenwerden können und welche auf ein verdächtiges Verhalten hinweisen. Um Ereignisse zuzulassen,müssen Sie das System wie folgt konfigurieren:

• Ausnahmen: Regeln, mit denen eine Signaturregel überschrieben wird.

• Vertrauenswürdige Anwendungen: Anwendungen, deren Vorgänge ansonsten durcheine Signatur blockiert werden könnten.

Durch eine solche Optimierung können Sie auftretende Ereignisse auf ein Minimum begrenzenund haben so mehr Zeit für die Analyse wichtiger Ereignisse.

Auf Ereignisse reagieren

Unter bestimmten Umständen kann es vorkommen, dass Verhaltensweisen, die als Angriffinterpretiert werden, zum normalen Arbeitsablauf eines Benutzers gehören. Wenn dies der Fallist, können Sie für dieses Verhalten eine Ausnahmeregel oder eine Regel für einevertrauenswürdige Anwendung erstellen.

Durch das Erstellen von Ausnahmen und vertrauenswürdigen Anwendungen können SieFalsch-Positiv-Warnungen vermeiden und sicherstellen, dass Sie nur aussagekräftigeBenachrichtigungen erhalten.

Beispielsweise stellen Sie beim Testen von Clients fest, dass ein Client die Signatur für denE-Mail-Zugriff erkennt. Ein von dieser Signatur ausgelöstes Ereignis kann unter bestimmtenUmständen alarmierend sein. Ein Hacker könnte eine Trojaner-Anwendung installieren, die denTCP/IP-Port 25 verwendet, der in der Regel für E-Mail-Anwendungen reserviert ist. Diese Aktionwürde durch die Signatur für TCP/IP-Port 25-Aktivitäten (SMTP) entdeckt. Andererseits kannauch normaler E-Mail-Datenverkehr mit dieser Signatur übereinstimmen. Wenn diese Signaturauftritt, muss untersucht werden, welcher Prozess das Ereignis ausgelöst hat. Handelt es sichbei dem Vorgang um einen Prozess, der normalerweise nicht im Zusammenhang mit E-Mailssteht, wie beispielsweise Notepad.exe, müssen Sie stark davon ausgehen, dass ein Trojanerplatziert wurde. Wenn der das Ereignis initiierende Prozess jedoch normalerweise für das Sendenvon E-Mails verantwortlich ist (beispielsweise Outlook), erstellen Sie für dieses Ereignis eineAusnahme.

Es kann auch vorkommen, dass Sie feststellen, dass eine bestimmte Anzahl Clients die Signaturfür Autostart auslösen, die darauf hinweist, dass in einem der folgenden Registrierungsschlüsselein Wert geändert oder erstellt wurde:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce

Da die in diesen Schlüsseln gespeicherten Werte Programme angeben, die beim Starten desComputers aufgerufen werden, kann das Erkennen dieser Signatur darauf hindeuten, dassjemand versucht, das System zu manipulieren. Es kann sich aber auch um einen harmlosenVorgang handeln, der beispielsweise daher rührt, dass einer der Mitarbeiter auf seinem Computer

Konfigurieren von IPS-RichtlinienÜberwachen von IPS-Ereignissen


"WinZip" installiert. Bei der Installation von "WinZip" wird dem Registrierungsschlüssel "Run"ein Wert zugewiesen.

Um zu verhindern, dass jedes Mal ein Ereignis ausgelöst wird, wenn jemand autorisierte Softwareinstalliert, müssen für diese Ereignisse Ausnahmen erstellt werden.

Filtern und Aggregieren von Ereignissen

Das Anwenden von Filtern erzeugt eine Liste mit Ereignissen, die den in den Filterkriteriengenannten Variablen entsprechen. Das Ergebnis ist eine Liste mit Ereignissen, die all dieseKriterien erfüllen. Beim Aggregieren von Ereignissen wird eine Liste mit Ereignissen erstellt, diejeweils nach dem Wert der im Dialogfeld Wählen Sie die zu aggregierenden Spalten ausausgewählten Variablen gruppiert sind. Das Ergebnis ist eine gruppiert dargestellte Liste mitEreignissen, die innerhalb der Gruppe nach dem Wert der jeweiligen Gruppenvariablen sortiertsind.

Verwalten von IPS-EreignissenDie Sicherheit kann optimiert und verschärft werden, indem Sie die von Clients gemeldetenIPS-Ereignisse anzeigen und dafür Ausnahmen oder vertrauenswürdige Anwendungen erstellen.

HINWEIS: IPS-Ereignisse werden zusammen mit sämtlichen Ereignissen aller Systeme auch aufder Registerkarte Ereignisprotokoll unter Berichte angezeigt. Für den Zugriff auf dieRegisterkarte Ereignisse unter Berichte sind zusätzliche Berechtigungen erforderlich, darunterLeseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur.

Task


1 Wechseln Sie zu Berichte | Host IPS 8.0, und klicken Sie dann auf Ereignisse.

2 Wählen Sie aus der Systemstruktur die Gruppe aus, für die IPS-Ereignisse angezeigt werdensollen. Alle mit der Gruppe verknüpften Ereignisse werden aufgeführt. Standardmäßigwerden nicht alle Ereignisse angezeigt. Nur Ereignisse der letzten 30 Tage werden angezeigt.

3 Legen Sie fest, in welcher Form die Liste der Ereignisse angezeigt werden soll:

VorgehensweiseZweck

Wählen Sie Optionen | Spalten auswählen aus. Aufder Seite Spalten auswählen können Sie

Auswählen der anzuzeigenden Spalten

anzuzeigende Spalten hinzufügen, entfernen und neuanordnen.

Klicken Sie auf die Spaltenüberschrift.Sortieren nach einer Spalte

Wählen Sie im Menü Filter die Option Nur dieseGruppe oder Diese Gruppe und alle Untergruppenaus.

Filtern nach Gruppen

Wählen Sie Ereignistyp, markierten Status (Gelesen,Ungelesen, Ausgeblendet, Eingeblendet), Schweregrad

Filtern nach Ereigniskriterien

oder Erstelldatum aus. Klicken Sie auf Löschen, umFiltereinstellungen zu entfernen.

Klicken Sie auf Aggregieren, wählen Sie die Kriterienaus, nach denen Ereignisse aggregiert werden sollen,

Aggregieren von Ausnahmen

und klicken Sie anschließend auf OK. Klicken Sie aufLöschen, um Aggregationseinstellungen zu entfernen.

Klicken Sie auf das Ereignis. Die Seite mit denEreignisprotokollinformationen wird geöffnet.

Anzeigen von Informationen zu Ereignissen



4 Zwecks einer einfachen Filterung und Nachverfolgung können Ereignisse markiert werden.Aktivieren Sie dazu das Kontrollkästchen eines oder mehrerer Ereignisse, und klicken Siedann auf den gewünschten Befehl.

HINWEIS: Die Option befindet sich eventuell im Menü Weitere Aktionen.

ZweckSchaltfläche

Das Ereignis wird als "Gelesen" markiert.Als "Gelesen" markieren

Das Ereignis wird als "Ungelesen" markiert.Als "Ungelesen" markieren

Das Ereignis wird ausgeblendet.Als "Ausgeblendet" markieren

Ausgeblendete Ereignisse werden angezeigt. Hinweis:Um ausgeblendete Ereignisse auswählen zu können,muss zuerst danach gefiltert werden.

Als "Eingeblendet" markieren

5 Erstellen Sie für eine Ausnahme oder vertrauenswürdige Anwendung eine Regel. ZumErstellen einer Ausnahme wählen Sie ein Ereignis aus, und klicken Sie aufNeue Ausnahme.Wenn Sie eine Anwendungsregel erstellen möchten, klicken Sie auf Neuevertrauenswürdige Anwendung. Informationen finden Sie unter Erstellen vonAusnahmen aus Ereignissen oder Erstellen vertrauenswürdiger Anwendungen ausEreignissen.

Erstellen von Ausnahmen anhand von EreignissenFür Ereignisse, die in Host IPS 8.0 auf der Registerkarte Ereignisse unter Berichte oder aufder Seite Ereignisprotokoll angezeigt werden, haben Sie die Möglichkeit, eine Ausnahme zuerstellen.

Task


1 Aktivieren Sie das Kontrollkästchen des Ereignisses, für das eine Ausnahme erstellt werdensoll.

2 Klicken Sie auf Neue Ausnahme.

HINWEIS: Die Option befindet sich eventuell im Menü Aktionen.

3 Wählen Sie im angezeigten Dialogfeld eine Zielrichtlinie für IPS-Regeln aus, und klickenSie auf OK. Die Ausnahme wird erstellt und automatisch am Ende der Ausnahmeliste derZielrichtlinie für IPS-Regeln eingefügt.

Erstellen vertrauenswürdiger Anwendungen aus EreignissenFür Ereignisse, die in Host IPS 8.0 auf der Registerkarte Ereignisse unter Berichte oder aufder Seite Ereignisprotokoll angezeigt werden, haben Sie die Möglichkeit, einevertrauenswürdige Anwendung zu erstellen.

Task


1 Aktivieren Sie das Kontrollkästchen des Ereignisses, für das eine vertrauenswürdigeAnwendung erstellt werden soll.



2 Klicken Sie auf Neue vertrauenswürdige Anwendung.

HINWEIS: Die Option befindet sich eventuell im Menü Weitere Aktionen.

3 Wählen Sie im angezeigten Dialogfeld eine Zielrichtlinie für vertrauenswürdige Anwendungenaus, und klicken Sie auf OK. Die Ausnahme wird erstellt und automatisch am Ende derAusnahmeliste der Zielrichtlinie für vertrauenswürdige Anwendungen eingefügt. Dort kanndie neue Anwendung aufgerufen oder bearbeitet werden.

Überwachen von IPS-Client-RegelnIPS-Client-Regeln, die von Clients im adaptiven Modus automatisch oder aber manuell auf denClients erzeugt werden, sofern in der Client-UI-Richtlinie die manuelle Erzeugung vonClient-Regeln per Option erlaubt wurde, müssen regelmäßig analysiert werden.

IPS-Client-Regeln sind Ausnahmen, die auf einem Client erstellt werden, um eine durch eineSignatur blockierte Funktion zuzulassen. Besonders zu beachten sind Ausnahmen bei Signaturenmit hohem Schweregrad, da diese auf ein ernstes Problem oder aber auch eine falsche positiveEntdeckung hinweisen können. Im Falle von Letzterem verschieben Sie die Ausnahme an eineIPS-Richtlinienregel, oder passen Sie den Schweregrad der Signatur an.

HINWEIS: Für den Zugriff auf IPS-Client-Regeln auf der Registerkarte Host IPS unter Berichtesind Berechtigungen erforderlich, die über diejenigen für Host Intrusion Prevention IPShinausgehen, beispielsweise Leseberechtigungen für das Ereignisprotokoll, für Systeme und dieSystemstruktur.

Ausnahmen lassen sich sortieren, filtern und aggregieren, die zugehörigen Informationenanzeigen. Anschließend können einige oder alle Client-Ausnahmen in eine geeigneteIPS-Regelrichtlinie umgewandelt werden, um die Anzahl der Falsch-Positiven für die gegebeneSystemumgebung weiter zu verringern.

Mit der Aggregierungsfunktion können Sie Ausnahmen kombinieren, die gleiche Attributebesitzen, damit lediglich eine aggregierte Ausnahme angezeigt wird, während Sie verfolgenkönnen, wie oft diese Ausnahme eintritt. Damit lassen sich Problemzonen beim IPS-Schutz desClients einfach auffinden.

Verwalten von IPS-Client-RegelnDer IPS-Schutz kann problemlos optimiert werden, indem Sie die im adaptiven Modus automatischoder manuell auf einem Client erstellten IPS-Client-Regeln anzeigen und in eine Richtlinie fürIPS-Regeln oder vertrauenswürdige Anwendungen verschieben.

HINWEIS: Für einen Zugriff auf IPS-Client-Regeln auf der RegisterkarteHost IPS unter Berichtesind Berechtigungen erforderlich, die über diejenigen für Host Intrusion Prevention hinausgehen,beispielsweise Leseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur.

Task


1 Wechseln Sie zu Berichte | Host IPS 8.0, und klicken Sie dann auf IPS-Client-Regeln.

2 Wählen Sie in der Systemstruktur die Gruppe aus, für die Client-Regeln angezeigt werdensollen.

3 Legen Sie fest, in welcher Form die Liste der Client-Regeln angezeigt werden soll:

Konfigurieren von IPS-RichtlinienÜberwachen von IPS-Client-Regeln


VorgehensweiseZweck




Wählen Sie die Zeitkriterien aus. Geben Sie Prozesspfad,Prozessnamen, Benutzernamen, Computernamen oder

Nach Ausnahmekriterien filtern

Signatur-ID in das Suchfeld ein, und drücken Sie dieEingabetaste. Klicken Sie auf Löschen, umAggregationseinstellungen zu entfernen.

Klicken Sie auf Aggregieren, wählen Sie die Kriterienaus, nach denen Ausnahmen aggregiert werden sollen,

Aggregieren von Ausnahmen

und klicken Sie anschließend auf OK. Klicken Sie aufLöschen, um Aggregationseinstellungen zu entfernen.

4 Wenn Sie Ausnahmen in eine Richtlinie verschieben möchten, wählen Sie eine oder mehrereAusnahmen aus der Liste aus, klicken Sie auf Ausnahme erstellen, und geben Sieanschließend die Richtlinie an, in welche die Ausnahmen verschoben werden sollen.

Konfigurieren von IPS-RichtlinienÜberwachen von IPS-Client-Regeln


Konfigurieren von Firewall-RichtlinienMit den Firewall-Richtlinien von Host Intrusion Prevention wird der Schutz aktiviert unddeaktiviert, und es werden Regeln zum Unterbinden von Eindringversuchen in das Netzwerkbereitgestellt, die Daten, Anwendungen oder das Betriebssystem negativ beeinträchtigen können.

Inhalt

Übersicht der Firewall-Richtlinien

Aktivieren des Firewall-Schutzes

Definieren des Firewall-Schutzes

Übersicht der Firewall-RichtlinienMit der Host Intrusion Prevention-Firewall-Funktion wird Sicherheit gewährleistet, indem derDatenverkehr in Netzwerksysteme, auf denen Windows ausgeführt wird, bzw. aus diesenSystemen herausgefiltert wird. Im Rahmen der statusbehafteten Paketfilterung und -prüfungwerden Pakete verschiedener Verbindungstypen erkannt und die Attribute vonNetzwerkverbindungen vom Anfang bis zum Ende der Übertragung im Speicher vorgehalten.

Mit dem Host IPS-Katalog wird die Erstellung von Regeln vereinfacht, indem Sie bestehendeRegeln, Gruppen, Netzwerkoptionen, Anwendungen, ausführbare Dateien und Standortdatenaus dem Katalog zu den neuen und bestehenden Firewall-Regeln und -Gruppen hinzufügenkönnen. Diese Elemente können dem Katalog entweder einzeln (elementbasiert) oder alsStapelprozess hinzugefügt werden.


Es gibt drei Firewall-Richtlinien:

Mit der Richtlinie Firewall-Optionen wird der Firewall-Schutz aktiviert. Damit werden derFirewall-Schutz aktiviert bzw. deaktiviert, die Einstellungen für die statusbehaftete Firewalldefiniert und ein spezifischer Firewall-Schutz ermöglicht, z. B. dass ausgehender Datenverkehrnur zugelassen wird, bis der Firewall-Dienst gestartet wird, oder dass IP-Spoofing und bösartigerDatenverkehr blockiert werden.

Mit der Richtlinie Firewall-Regeln wird der Firewall-Schutz bestimmt. Die Richtlinie umfassteinen Satz mit Regeln, in denen definiert wird, welche Art von Datenverkehr zulässig ist bzw.blockiert wird. Sie können diese Regeln allgemein definieren (z. B. für alle Arten von IP-basiertemDatenverkehr) oder spezifisch (z. B. durch Ermitteln einer spezifischen Anwendung oder einesspezifischen Dienstes) und dabei verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-und Zeitplanoptionen nutzen. Sie können Regeln zur einfacheren Verwaltung nach einer Funktion,einem Dienst oder einer Anwendung gruppieren. Für die Regelgruppen lassen sich – genau wiebei den Regeln – verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-, Zeitplan- undSpeicherortoptionen definieren.


Mit der Richtlinie Firewall-DNS-Blockierung wird ein Satz an Domänennamenmusternbestimmt, einschließlich Platzhaltern, die blockiert werden sollen. Wenn sie angewendet wird,fügt diese Richtlinie dynamisch eine Regel am Anfang der Firewall-Regelliste hinzu, durch dieeine Auflösung der IP-Adresse für die angegebene Domäne verhindert wird.

Funktionsweise von Firewall-RegelnFirewall-Regeln bestimmen, wie Netzwerkverkehr verarbeitet wird. Jede Regel bietet einen Satzan Bedingungen, die der Datenverkehr erfüllen muss, sowie eine Maßnahme, mit welcher derDatenverkehr zugelassen oder blockiert wird. Wenn Host Intrusion Prevention Datenverkehrfindet, der einer Regelbedingung entspricht, dann wird die verknüpfte Aktion durchgeführt.

Die Host Intrusion Prevention wendet Regeln nach Vorrang an: Die am Anfang derFirewall-Regelliste stehenden Regeln werden zuerst angewendet. Wenn der Datenverkehr dieBedingungen dieser Regel erfüllt, erlaubt Host Intrusion Prevention diesen Datenverkehr oderblockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln geprüft. Wenn derDatenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft Host Intrusion Preventiondie nächste in der Liste enthaltene Regel. So arbeitet das Programm die Firewall-Regellisteweiter ab, bis eine Regel gefunden wird, die der Datenverkehr erfüllt. Wenn keine Regel erfülltist, blockiert die Firewall den Datenverkehr automatisch. Im Lernmodus wird der Benutzeraufgefordert, einzuschreiten. Im adaptiven Modus wird für den Datenverkehr eineZulassungsregel erstellt. Es kann vorkommen, dass der abgefangene Datenverkehr mehr alseine Regel erfüllt. In diesem Fall sorgt die Vorrangfunktion dafür, dass Host Intrusion Preventionnur die erste in der Liste erfüllte Regel anwendet.

Empfohlene Vorgehensweisen

Wenn Sie eine Firewall-Regelrichtlinie erstellen oder anpassen, sollten Sie die spezifischerenRegeln an den Anfang der Liste stellen und die allgemeineren Regeln ans Ende. Dadurch wirdgewährleistet, dass Host Intrusion Prevention den Datenverkehr angemessen filtert.

Um beispielsweise alle HTTP-Anfragen zu blockieren, mit Ausnahme einer spezifischen IP-Adresse(z. B. 10.10.10.1), müssen Sie zwei Regeln erstellen:

• Mit Blockierungsregel wird HTTP-Datenverkehr von Adresse 10.10.10.1 blockiert. DieseRegel ist speziell.

• Mit Zulassungsregel wird sämtlicher Datenverkehr zugelassen, der den HTTP-Dienstverwendet. Diese Regel ist allgemein.

Sie müssen die spezifischere Blockierregel in der Firewall-Regelliste vor der allgemeinerenZulassungsregel platzieren. Damit stellen Sie sicher, dass die Firewall, wenn Sie eineHTTP-Anfrage von der Adresse 10.10.10.1 abfängt, zuerst feststellt, welche Regel denDatenverkehr durch die Firewall blockiert.

Würden Sie die allgemeinere Zulassungsregel vor der spezifischeren Blockierregel platzieren,dann würde Host Intrusion Prevention die HTTP-Anfrage mit der Zulassungsregel abgeglichenwerden, bevor die Blockierregel gefunden wird. Auf diese Weise würde der Datenverkehrzugelassen werden, obwohl Sie HTTP-Anfragen von dieser Adresse blockieren möchten.

Firewall-ProtokolleDer Firewall-Schutz funktioniert auf verschiedenen Schichten der Netzwerkarchitektur, wobeiverschiedene Kriterien angewendet werden, um den Netzwerkverkehr sinnvoll zu beschränken.Diese Netzwerkarchitektur basiert auf der TCP/IP-Suite (Transmission Control Protocol/InternetProtocol).

Konfigurieren von Firewall-RichtlinienÜbersicht der Firewall-Richtlinien


Verbindungsschicht

Im Verbindungsschichtprotokoll werden die MAC-Methode (Media Access Control) und einigeeinfachere Fehlerentdeckungsoptionen beschrieben.

In dieser Schicht befinden sich Ethernet LAN (802.3), drahtloses Wi-Fi (802.11x) und virtuellesLAN (VPN). Sowohl bei Firewall-Regeln als auch bei Firewall-Gruppen wird zwischenkabelgebundenen, drahtlosen und virtuellen Verbindungen unterschieden.

Netzwerkschicht

In den Netzwerkschichtprotokollen werden die Adressenschemas für das gesamte Netzwerksowie Routing- und Netzwerksteuerungsschemas definiert.

Es werden darüber hinaus auch beliebige Nicht-IP-Protokolle unterstützt; bei diesen könnenjedoch keine Parameter für die Netzwerk- bzw. Transportschicht ermittelt werden. Im bestenFall kann der Administrator auf diese Weise die Netzwerkschichtprotokolle blockieren oderzulassen. Die den Nicht-IP-Protokollen zugeordneten Zahlen basieren auf den Ethernet-Werten,die von der IANA (Internet Assigned Numbers Authority) definiert und unterhttp://www.iana.org/assignments/ethernet-numbers veröffentlicht werden.

Die Host IPS-Firewall unterstützt IPv4 und IPv6 auf Windows XP, Windows Vista, WindowsServer 2008 und Windows 7.

Transportschichten

IP kann als Netzwerkprotokoll für verschiedene Transportprotokolle verwendet werden. ImAllgemeinen finden vier Protokolle Anwendung: TCP, UDP (User Datagram Protocol) sowieICMPv4 und ICMPv6 (Internet Control Message Protocol, Version 4 und 6).

TCP

TCP ist ein verbindungsorientiertes zuverlässiges Transportprotokoll. Es stellt sicher, dass diein den Netzwerkpaketen enthaltenen Daten zuverlässig und in der richtigen Reihenfolge geliefertwerden. TCP steuert außerdem die Geschwindigkeit, mit der Daten übertragen und empfangenwerden. Dies erzeugt einen gewissen Aufwand und führt dazu, dass die zeitliche Steuerung fürTCP-Vorgänge bei suboptimalen Netzwerkbedingungen nicht vorhersagbar ist.

TCP ist die Transportschicht, die von der Mehrzahl der Anwendungsprotokolle genutzt wird:HTTP, FTP, SMTP, RDP, SSH, POP und IMAP verwenden allesamt TCP.

TCP wird zum Multiplexing zwischen Anwendungsschichtprotokollen verwendet und nutzt dazudas Konzept der "Ports". Jedes TCP-Paket enthält eine Quell- und eine Zielportnummer zwischen0 und 65535. Normalerweise hört die Serverseite einer TCP-Verbindung Verbindungen an einemfesten Port ab.

Die Ports 0 bis 1023 sind "bekannten Ports" vorbehalten. Die Zahlen in diesem Bereich sindnormalerweise Protokollen der IANA (www.iana.org/assignments/protocol-numbers) zugeordnet,und die meisten Betriebssysteme benötigen einen Vorgang für besondere Berechtigungen, umeinen dieser Ports abzuhören.

Firewall-Regeln sind im Allgemeinen so definiert, dass bestimmte Ports blockiert und anderezugelassen sind, und begrenzen auf diese Weise die Aktivitäten im Netzwerk.

UDP

Bei UDP handelt es sich um ein verbindungsloses Transportprotokoll auf der Basis der "bestenLeistung". Es kann keine Zuverlässigkeit und Paketreihenfolge sichergestellt werden, und essind keine Funktionen zur Durchflusssteuerung verfügbar. In der Praxis verfügt UDP über einigehöchst wünschenswerte Eigenschaften für bestimmte Datenverkehrklassen.



http://www.iana.org/assignments/ethernet-numbers

http://www.iana.org/assignments/protocol-numbers

UDP wird häufig als Transportprotokoll für Performance-intensive Anwendungen (diemöglicherweise die Zuverlässigkeit und Paketreihenfolge von TCP im Anwendungsprotokollteilweise implementieren) sowie in Echtzeit-Multimediaanwendungen genutzt, bei denen einverlorenes Paket nur zu einem vorübergehenden Fehler im Datenstrom führt und dies eherakzeptiert werden kann, als wenn der Datenstrom anhält, weil auf eine erneute Übertragunggewartet wird. In IP-Telefonie- und Videokonferenz-Software wird häufig UDP verwendet,ebenso wie in einigen Multiplayer-Videospielen.

Das Multiplexing-Schema in UDP entspricht dem von TCP: Jedes Datagramm enthält eine Quell-und eine Zielportnummer zwischen 0 und 65535.

ICMP

ICMP wird als Out-of-Band-Kommunikationskanal zwischen IP-Hosts verwendet. Dies ist beieiner Fehlerbehebung hilfreich. Darüber hinaus ist es für eine korrekte Funktionsweise einesIP-Netzwerks erforderlich, da es als Fehlerberichtsmechanismus genutzt wird.

IPv4 und IPv6 weisen unterschiedliche und voneinander unabhängige ICMP-Protokollvariantenauf. ICMPv4 wird häufig auch als "einfaches ICMP" bezeichnet.

ICMPv6 ist insbesondere in einem IPv6-Netzwerk wichtig, da es für verschiedene wichtigeAufgaben wie Neighbor Discovery verwendet wird (in einem IPv4-Netzwerk wird diese Aufgabevon ARP verarbeitet). Es wird unbedingt davon abgeraten, dass Benutzer denICMPv6-Datenverkehr blockieren, wenn IPv6 im Netzwerk unterstützt wird.

Anstelle von Portnummern wird bei beiden Versionen von ICMP eine bestimmte Anzahl von"Meldungstypen" definiert. Die Echo-Anforderung und die Echo-Antwort werden fürPing-Vorgänge genutzt. Mit der Meldung "Netzwerkziel nicht erreichbar" werden Routingfehlerangezeigt. ICMP implementiert außerdem eine Routenverfolgungsfunktion. UDP und TCP könnenjedoch ebenfalls für diesen Zweck verwendet werden.

Andere Transportprotokolle

IP unterstützt mehr als hundert andere Transportprotokolle, die meisten davon finden jedochselten Anwendung. Die vollständige Liste der von der IANA anerkannten Protokolle wirdzumindest minimal unterstützt. Es können Regeln erstellt werden, um Datenverkehr für sämtlicheIP-Transportprotokolle zuzulassen bzw. zu blockieren, auch wenn die Firewall keineMultiplexing-Vorgänge unterstützt, die möglicherweise bei diesen Protokollen genutzt werden.

Einige Protokolle werden verwendet, um andere Netzwerktypen über ein IP-Netzwerk zu legen(Network Tunneling). Einige davon (insbesondere GRE, AH und ESP) werden für dieIP-Verschlüsselung und für VPNs verwendet.

Die IP-Protokollnummern sind unter www.iana.org/assignments/protocol-numbers aufgeführt.

Häufig verwendete nicht unterstützte Protokolle

Es gibt verschiedene Netzwerkprotokolle, die von der Host IPS-Firewall nicht unterstützt werden.Der Datenverkehr dieser Protokolle, meist mit einem nicht analysierbaren EtherType, wirdentweder immer blockiert oder immer zugelassen, je nachdem, ob die entsprechende Option(Datenverkehr für nicht unterstützte Protokolle erlauben) in der Richtlinie "Firewall-Optionen"aktiviert ist.

Funktionsweise von Firewall-RegelgruppenZwecks einer einfachen Verwaltung können Firewall-Regeln in Gruppen angeordnet werden.Regelgruppen haben keine Auswirkung auf die Art und Weise, wie Host Intrusion Preventiondie darin enthaltenen Regeln behandelt, diese werden auch hier von oben nach untenabgearbeitet.



http://www.iana.org/assignments/protocol-numbers

Gruppen sind mit vielen Elementen verknüpft, die mit Regeln verknüpft sind, einschließlichNetzwerk- und Datenübertragungsoptionen, Anwendungen und Zeitplänen. Darüber hinausverfügen Gruppen über Standorteinstellungen, durch die Gruppen als "standortabhängig"festgelegt werden können und eine Konnektivitätsisolation erzeugt werden kann. DieEinstellungen für die Gruppe werden vor der Verarbeitung der Einstellungen für die darinenthaltenen Regeln verarbeitet. Falls zwischen beiden ein Konflikt besteht, haben dieEinstellungen für die Gruppe Vorrang.

HINWEIS: Wenn die Konnektivitätsisolation auf der Registerkarte "Ort" aktiviert ist, kann eineGruppe keine verknüpften Datenübertragungsoptionen und Anwendungen enthalten.

Festlegen von Gruppen als standortabhängige Gruppen

Mit Host Intrusion Prevention können Sie eine Gruppe und die darin enthaltenen Regeln als"standortabhängig" festlegen. Über die Registerkarten "Ort" und "Netzwerkoptionen" der Gruppekönnen Sie Gruppen so konfigurieren, dass Netzwerkadapter berücksichtigt werden. BeiComputern mit verschiedenen Netzwerkschnittstellen können damit adapterspezifische Regelnangewendet werden. Nachdem der Speicherortstatus aktiviert und der Speicherort benanntwurden, können die Parameter für zugelassene Verbindungen für jeden Netzwerkadapter einenbeliebigen oder alle der folgenden Parameter enthalten:

Registerkarte "Ort":

• Verbindungsspezifisches DNS-Suffix

• Gateway-IP

• DHCP-IP

• DNS-Server für die Auflösung von URLs

• Verwendeter WINS-Server

• Registrierungsschlüssel

Registerkarte "Netzwerkoptionen":

• Lokale IP-Adresse

• Medientyp

Wenn zwei standortabhängige Gruppen für eine Verbindung zutreffen, verwendet Host IntrusionPrevention den normalen Vorrang und verarbeitet die erste zutreffende Gruppe in der Regelliste.Wenn in der ersten Gruppe keine Regel übereinstimmt, wird die Regelverarbeitung fortgesetzt,und es kann eine Übereinstimmung mit einer Regel in der nächsten Gruppe vorliegen.

Wenn Host Intrusion Prevention die Parameter einer standortabhängigen Gruppe mit eineraktiven Verbindung abgleicht, werden die in der Gruppe enthaltenen Regeln angewendet. DieRegeln werden als kleine Regelmenge behandelt und der normale Vorrang eingehalten. Wennder abgefangene Datenverkehr einige Regeln nicht erfüllt, werden diese von der Firewall ignoriert.

Beachten Sie Folgendes:

• Bei Auswahl von Speicherortstatusmuss der Name eines Speicherorts eingegeben werden.

• Wenn Lokales Netzwerk ausgewählt ist, muss die IP-Adresse des Adapters mit einem derEinträge in der Liste übereinstimmen.

• Wenn DNS-Suffix ausgewählt ist, muss das DNS-Suffix des Adapters mit einem der Einträgein der Liste übereinstimmen.

• Wenn Standard-Gateway ausgewählt ist, muss die IP-Adresse desStandard-Gateway-Adapters mit mindestens einem der Listeneinträge übereinstimmen.

• Wenn DHCP-Server ausgewählt ist, muss die IP-Adresse des DHCP-Server-Adapters mitmindestens einem der Listeneinträge übereinstimmen.



• Wenn DNS-Server-Liste ausgewählt ist, muss die IP-Adresse des DNS-Server-Adaptersmit einem beliebigen der Listeneinträge übereinstimmen.

• Wenn Primärer WINS-Server ausgewählt ist, muss die IP-Adresse des primärenWINS-Server-Adapters mit mindestens einem der Listeneinträge übereinstimmen.

• Wenn Sekundärer WINS-Server ausgewählt ist, muss die IP-Adresse des sekundärenWINS-Server-Adapters mit mindestens einem der Listeneinträge übereinstimmen.

Konnektivitätsisolation für Firewall-RegelgruppeEine Konnektivitätsisolationsoption ist für Gruppen verfügbar, um unerwünschten Datenverkehrdaran zu hindern, auf ein ausgewiesenes Netzwerk zuzugreifen. Dies kann über andere aktiveNetzwerkschnittstellen eines Computers erfolgen (z. B. über einen Drahtlosadapter, der miteinem Wi-Fi-Hotspot verbunden ist, während ein verkabelter Adapter mit einem LAN verbundenist).

Wenn die Option Diese Verbindung isolieren in den Standorteinstellungen einer Gruppeausgewählt ist und eine aktive Netzwerkkarte (NIC) den Gruppenkriterien entspricht, dann wirdnur Datenverkehr verarbeitet, der mit Erlaubnisregeln oberhalb der Gruppe in derFirewall-Regelliste übereinstimmt, sowie Datenverkehr, der den Gruppenkriterien entspricht.Sonstiger Datenverkehr wird blockiert.

HINWEIS: Gruppen, für die die Konnektivitätsisolation aktiviert ist, können keine verknüpftenDatenübertragungsoptionen und Anwendungen enthalten.



Abbildung 2: Netzwerk-Konnektivitätsisolation

Als Anwendungsbeispiel für die Option Netzwerk-Konnektivitätsisolation betrachten wir zweiFälle: eine Unternehmensumgebung und ein Hotel. Die Liste aktiver Firewall-Regeln enthältRegeln und Gruppen in folgender Reihenfolge:

1 Grundlegende Verbindungsregeln

2 Verbindungsregeln für VPN

3 Gruppe mit Verbindungsregeln für Unternehmensnetzwerke

4 Gruppe mit VPN-Verbindungsregeln

Netzwerk-Konnektivitätsisolation im Unternehmensnetzwerk

Verbindungsregeln werden abgearbeitet, bis die Gruppe mit Verbindungsregeln fürUnternehmensnetzwerke erreicht wird. Diese Gruppe umfasst folgende Einstellungen:

• Medientyp = Kabelgebunden

• Verbindungsspezifisches DNS-Suffix = meinunternehmen.de

• Standard-Gateway-Adresse



• Diese Verbindung isolieren = ja

Der Computer verfügt sowohl über LAN- und Drahtlos-Netzwerkadapter und ist überNetzwerkkabel mit dem Unternehmensnetzwerk verbunden. Die Drahtlosschnittstelle ist abernoch aktiv und verbindet sich daher mit einem Hotspot außerhalb des Betriebsgeländes. DerComputer ist mit beiden Netzwerken verbunden, da die grundlegenden Verbindungsregeln obenan der Liste der Firewall-Regeln angeordnet sind. Die LAN-Kabelverbindung ist aktiv undentspricht den Kriterien der Verbindungsgruppe des Unternehmensnetzwerks. Die Firewallverarbeitet den Netzwerkverkehr durch das LAN, blockiert aber weiteren Netzwerkverkehraußerhalb des LAN aufgrund der aktivierten Netzwerk-Konnektivitätsisolation.

Netzwerk-Konnektivitätsisolation in einem Hotel

Verbindungsregeln werden abgearbeitet, bis die Gruppe mit VPN-Verbindungsregeln erreichtwird. Diese Gruppe umfasst folgende Einstellungen:

• Verbindungstyp = virtuell

• DNS-Suffix = vpn.meinunternehmen.de

• IP-Adresse = eine Adresse im Adressbereich des VPN-Konzentrators

• Diese Verbindung isolieren = ja

Über allgemeine Verbindungsregeln lässt sich ein zeitlich begrenztes Konto für denInternetzugang in einem Hotel einrichten. Die VPN-Verbindungsregeln ermöglichen dieVerbindung mit dem VPN-Tunnel und dessen Nutzung. Nach dem Aufbau des Tunnels erzeugtder VPN-Client einen virtuellen Netzwerkadapter, der den Kriterien der VPN-Gruppe entspricht.Die Firewall beschränkt den zugelassenen Netzwerkverkehr (mit Ausnahme des Basisverkehrsdes physischen Adapters selbst) auf den VPN-Tunnel. Versuche anderer Hotelgäste, drahtlosoder per Netzwerkkabel über das Netzwerk auf den Computer zuzugreifen, werden blockiert.

Funktionsweise des Host IPS-KatalogsMit dem Host IPS-Katalog wird die Erstellung von Firewall-Regeln und -Gruppen vereinfacht,indem Sie auf bestehende Regeln, Gruppen, Netzwerkadressen, Anwendungen, ausführbareDateien und Standortdaten von Gruppen verweisen können. Darüber hinaus können Sie aufausführbare Dateien für Anwendungen verweisen, die in den IPS-Schutz eingebunden sind.

Beim Verweis auf ein Katalogelement können Sie eine abhängige Verknüpfung zwischen diesemElement und einer Firewall-Regel oder -Gruppe erstellen. Eine Änderung des Elements im Katalogführt damit zu einer Änderung des Elements in allen Vorkommen. Wenn Sie die Abhängigkeitwieder entfernen möchten, können Sie die Verknüpfung zwischen dem Katalogelement undeiner Regel oder Gruppe wieder aufheben.

Der Host IPS-Katalog, der in ePolicy Orchestrator unter "Systeme" zu finden ist, umfasst sechsSeiten, in denen die zuvor platzierten Firewall-Regel- und -Gruppenelemente aufgelistet sind.Die Elemente können individuell im Katalog erstellt werden, durch Verknüpfung der Elementemit bereits erstellten in neuen Firewall-Regeln und -Gruppen hinzugefügt werden oder ausXML-Format-Exporten oder Firewall-Regelrichtlinien importiert werden.

Die Katalogseiten umfassen:

• Gruppe: Liste der Firewall-Gruppen und -Eigenschaften

• Regel: Liste der Firewall-Regeln und -Eigenschaften

• Anwendung: Liste der Anwendungen, auf die in einer Firewall-Gruppe oder -Regel verwiesenwird



• Ausführbare Datei: Liste der ausführbaren Dateien, die an Anwendungen angefügt werden,auf die in einer Firewall-Gruppe oder -Regel oder in IPS-bezogenen Anwendungen verwiesenwird

• Netzwerk: Liste der IP-Adressen, auf die in einer Firewall-Gruppe oder -Regel verwiesenwird

• Speicherort: Liste der standortspezifischen Informationen für Firewall-Gruppen

Tabelle 6: Host IPS-Katalog als Quelle für ElementeAbhängigkeitKatalogelementRichtlinienelementeRichtlinieFunktion

JaRegelFirewall-RegelFirewall-RegelnFirewall

JaGruppeFirewall-GruppeFirewall-RegelnFirewall

JaSpeicherortSpeicherort Firewall-GruppeFirewall-RegelnFirewall

JaNetzwerkFirewall-Regel/GruppeFirewall-RegelnFirewall

JaAnwendungFirewall-Regel/GruppeFirewall-RegelnFirewall

JaAusführbare DateiFirewall-Regel-/Gruppen-AnwendungFirewall-RegelnFirewall

NeinAusführbare DateiAnwendungsschutzregelIPS-RegelnIPS

NeinAusführbare DateiVertrauenswürdige AnwendungVertrauenswürdigeAnwendungen

Allgemein

Katalogfilter

Jede Katalogseite enthält einen Filter, um auf der Seite nach Elementen in der Liste zu suchen.Klicken Sie auf Filteroptionen ein-/ausblenden, um den Filter anzuzeigen oder auszublenden.Klicken Sie auf Filter festlegen, um nach den eingegebenen Kriterien zu suchen. Klicken Sieauf Löschen, um den Filter zurückzusetzen.

Kopieren aus dem Katalog

Klicken Sie bei der Verwendung des Firewall-Regelgenerators bzw. Firewall-Gruppengeneratorsauf die Schaltfläche Aus Katalog hinzufügen, um das entsprechende Element aus dem Kataloghinzuzufügen. Auf diese Weise wird eine Verknüpfung zwischen diesen Elementen erstellt, diebei Bedarf wieder aufgelöst werden kann.

Hinzufügen zum Katalog

Sie haben drei Möglichkeiten, um dem Katalog Elemente hinzuzufügen:

• Klicken Sie auf der Katalogseite auf Neu, geben Sie die Informationen ein, und speichernSie das Element.

• Klicken Sie neben dem Element auf Zu Katalog hinzufügen, wenn Sie Regeln oder Gruppenmithilfe des Firewall-Regelgenerators bzw. Firewall-Gruppengenerators erstellen oderbearbeiten.

• Klicken Sie auf Importieren, um zuvor exportierte Host IPS-Katalogdaten im XML-Formathinzuzufügen.

HINWEIS: Richtlinienkatalogexporte im XML-Format sind nicht kompatibel mit dem HostIPS-Katalog-XML-Format. Sie können also keine Richtlinie für Firewall-Regeln aus demRichtlinienkatalog exportieren und diese in den Host IPS-Katalog importieren, um sie mitFirewall-Regeldaten aus der Richtlinie aufzufüllen. Um Firewall-Richtliniendaten in den HostIPS-Katalog zu übernehmen, müssen Sie die Verknüpfung über Zu Katalog hinzufügennutzen.



Statusbehaftete Firewall-Paketfilterung und -prüfungDie Firewall in Host Intrusion Prevention bietet sowohl statusbehaftete Paketfilterung als auchstatusbehaftete Paketprüfung.

Die statusbehaftete Paketfilterung ist die statusbehaftete Nachverfolgung derTCP-/UDP-/ICMP-Protokollinformationen auf der Transportschicht (4) und darunter imOSI-Netzwerkstapel. Jedes Paket wird geprüft, und wenn das inspizierte Paket mit einerbestehenden Firewall-Regel übereinstimmt, wird das Paket erlaubt, und es wird ein Eintrag ineiner Statustabelle vorgenommen. Die Statustabelle verfolgt dynamisch Verbindungen, die zuvormit einem statischen Regelsatz abgeglichen wurden, und spiegelt den aktuellen Verbindungsstatusder TCP-/UDP-/ICMP-Protokolle wider. Wenn ein inspiziertes Paket mit einem bestehendenEintrag in der Statustabelle übereinstimmt, wird das Paket ohne weitere Analysen erlaubt. Wenneine Verbindung geschlossen wird oder ein Timeout vorliegt, wird der entsprechende Eintragaus der Statustabelle entfernt.

Die statusbehaftete Paketprüfung ist der Prozess der statusbehafteten Paketfilterung und desNachverfolgens von Befehlen auf der Anwendungsschicht (7) des Netzwerkstapels. DieseKombination bietet eine klare Definition des Verbindungsstatus des Computers. Der Zugriff aufdie Befehle der Anwendungsschicht bietet eine transparente Prüfung und Sicherung desFTP-Protokolls.

Firewall-StatustabelleEine statusbehaftete Firewall führt eine Statustabelle, die dynamisch Informationen zu aktivenVerbindungen speichert, die durch Erlaubnisregeln erstellt wurden.

Jeder Eintrag in der Tabelle definiert eine Verbindung auf Grundlage folgender Faktoren:

• Protokoll – Der vordefinierte Weg, wie ein Dienst mit einem anderen kommuniziert; diesumfasst TCP-, UDP- und ICMP-Protokolle.

• IP-Adressen lokaler und entfernter (Remote-) Computer – Jedem Computer ist eineeindeutige IP-Adresse zugewiesen. Der aktuelle Standard für IP-Adressen, IPv4, erlaubtAdresslängen bis zu 32 Bit. Der neuere Standard, IPv6, erweitert den Adressbereich auf 128Bit Adresslänge. IPv6 wird bereits von einigen Betriebssystemen unterstützt, beispielsweisevon Windows Vista und einigen Linux-Distributionen. Mit Host Intrusion Prevention werdenbeide Standards unterstützt.

• Portnummern lokaler und entfernter (Remote-) Computer – Ein Computer sendetund empfängt Dienstedaten über nummerierte Ports (logische Anschlüsse). Beispielsweisesteht der HTTP-Dienst typischerweise auf Port 80 zur Verfügung und der FTP-Dienst aufPort 21. Die Portnummern reichen von 0 bis 65535.

• Prozess-ID (PID) – Ein eindeutiges Erkennungsmerkmal für den Prozess, der mit demVerkehr einer Verbindung verknüpft ist.

• Zeitstempel – Die Zeit des letzten eingehenden oder ausgehenden Pakets, das mit derVerbindung verknüpft ist.

• Timeout: Die in der Richtlinie "Firewall-Optionen" festgelegte Zeitdauer (in Sekunden),nach der der Eintrag aus der Tabelle entfernt wird, wenn über die Verbindung kein Paketmehr empfangen wird. Das Timeout für TCP-Verbindungen wird nur erzwungen, wenn dieVerbindung nicht aktiv ist.

• Richtung – Die Richtung (eingehend oder ausgehend) des Verkehrs, der den Eintragausgelöst hat. Nachdem eine Verbindung eingerichtet wurde, wird selbst bidirektionalerVerkehr auch für unidirektionalen Regeln erlaubt, vorausgesetzt, der Eintrag stimmt mit denParametern der Verbindung in der Statustabelle überein.



Beachten Sie bitte folgende Informationen über die Statustabelle:

• Wenn die Firewall-Regeleinstellungen sich ändern, werden alle aktiven Verbindungen gegenden neuen Regelsatz geprüft. Wenn keine übereinstimmende Regel gefunden wird, wird derVerbindungseintrag aus der Statustabelle entfernt.

• Wenn ein Adapter eine neue IP-Adresse empfängt, erkennt die Firewall die neueIP-Konfiguration und verweigert alle Einträge in der Statustabelle aufgrund einer ungültigenlokalen IP-Adresse.

• Mit Beendigung des Prozesses werden alle mit diesem Prozess verknüpften Einträge in derStatustabelle gelöscht.

Funktionsweise der statusbehafteten FilterungDie statusbehaftete Filterung beinhaltet die Verarbeitung eines Pakets anhand von zweiRegelsätzen, einem konfigurierbaren Firewall-Regelsatz und einem dynamischenFirewall-Regelsatz bzw. einer Statustabelle.

Die konfigurierbaren Regeln haben zwei mögliche Aktionen:

• Zulassen – Das Paket wird erlaubt, und es wird ein Eintrag in der Statustabellevorgenommen.

• Blockieren – Das Paket wird blockiert, und es wird kein Eintrag in der Statustabellevorgenommen.

Die Einträge der Statustabelle stammen aus der Netzwerkaktivität und spiegeln den Status desNetzwerkstapels wider. Jede Regel der Statustabelle besitzt nur eine Aktion, Zulassen, wodurchPakete in Übereinstimmung mit einer Regel der Statustabelle automatisch erlaubt werden.

Der Filterprozess umfasst die folgenden Schritte:

1 Die Firewall vergleicht ein eingehendes Paket mit den Einträgen in der Statustabelle. Wenndas Paket einem beliebigen Eintrag in der Tabelle entspricht, wird es sofort erlaubt. Wennnicht, wird die Liste der konfigurierbaren Firewall-Regeln überprüft.

HINWEIS: Ein Eintrag in der Statustabelle wird als Übereinstimmung angesehen, wenn dasProtokoll, die lokale Adresse, der lokale Port, die Remote-Adresse und der Remote-Portdenen des Pakets entsprechen.

2 Wenn das Paket einer Erlauben-Regel entspricht, wird es erlaubt und ein Eintrag in derStatustabelle erstellt.

3 Wenn das Paket mit einer Blockierregel übereinstimmt, wird es blockiert.



4 Wenn das Paket mit keiner konfigurierbaren Regel übereinstimmt, wird es blockiert.

Abbildung 3: Statusbehafteter Filterprozess

Funktionsweise der statusbehafteten PaketprüfungDie statusbehaftete Paketprüfung kombiniert die statusbehaftete Filterung mit dem Zugriff aufBefehle der Anwendungsebene, wodurch Protokolle wie FTP gesichert werden.

FTP umfasst zwei Verbindungen: Steuerung für Befehle und Daten für die Information. Wennein Client eine Verbindung zu einem FTP-Server herstellt, wird der Steuerungskanal eingerichtet,der am FTP-Zielport 21 eingeht, und es wird ein Eintrag in der Statustabelle vorgenommen.Wenn die Firewall auf eine Verbindung stößt, die auf Port 21 geöffnet ist, führt sie einestatusbehaftete Paketprüfung auf den Paketen durch, die über den FTP-Steuerungskanaleingehen, wenn die Option für die FTP-Prüfung mit der Richtlinie "Firewall-Optionen" festgelegtwurde.

Wenn der Steuerungskanal geöffnet ist, kommuniziert der Client mit dem FTP-Server. DieFirewall interpretiert den PORT-Befehl des Paketes und erstellt einen zweiten Eintrag in derStatustabelle, um die Datenverbindung zu erlauben.

Wenn sich der FTP-Server im aktiven Modus befindet, öffnet der Server die Datenverbindung.Im passiven Modus initiiert der Client die Verbindung. Wenn der Server den erstenDatenübertragungsbefehl (LIST) empfängt, öffnet er die Datenverbindung in Richtung desClients und überträgt die Daten. Der Datenkanal wird geschlossen, nachdem die Übertragungabgeschlossen ist.



Die Kombination aus Steuerungsverbindung und einer oder mehrerer Datenverbindungen wirdals Sitzung bezeichnet, und die dynamischen FTP-Regeln werden gelegentlich als Sitzungsregelnbezeichnet. Die Sitzung wird aufrechterhalten, bis der Steuerungskanaleintrag aus derStatustabelle gelöscht wird. Während der regelmäßigen Bereinigung der Tabelle werden alleDatenverbindungen nacheinander gelöscht, wenn der Steuerungskanal einer Sitzung gelöschtwurde.

Statusbehaftete ProtokollverfolgungHier werden die durch die statusbehaftete Firewall überwachten Protokollverbindungstypen undderen Behandlung zusammengefasst.

Beschreibung der VerarbeitungProtokoll

Eine UDP-Verbindung wird der Statustabelle hinzugefügt, wenn eine übereinstimmende statischeRegel gefunden wird und die Aktion für die Regel "Erlauben" lautet. Generische UDP-Verbindungen,

UDP

die Protokolle auf der Anwendungsschicht befördern, die der Firewall unbekannt sind, verbleibenin der Statustabelle, sofern die Verbindung nicht länger im Ruhezustand ist als der angegebeneZeitraum für das Timeout.

Nur die Nachrichtentypen "ICMP Echo Request" und "Echo Reply" werden nachverfolgt.

HINWEIS: Im Gegensatz zu dem zuverlässigen, verbindungsorientierten TCP-Protokoll sind UDPund ICMPv4/v6 weniger verlässliche, verbindungslose Protokolle. Um diese Protokolle zu sichern,

ICMPv4/v6

sieht die Firewall generische UDP- und ICMP-Verbindungen als virtuelle Verbindungen an, die nurso lange gehalten werden, bis die Verbindung länger im Ruhezustand ist als der Zeitraum, der fürdas Timeout für diese Verbindung angegeben wurde. Das Timeout für virtuelle Verbindungen wirdmit der Richtlinie "Firewall-Optionen" festgelegt.

Bei Nutzung von IPv6 wird die statusbehaftete Firewall nur von Windows Vista und neuerenPlattformen unterstützt.

TCP-Protokolle arbeiten mit dem Drei-Wege-Handshake. Wenn ein Client-Computer eine neueVerbindung initiiert, sendet er ein Paket an das Ziel mit einem gesetzten SYN-Bit, was auf eine neue

TCP

Verbindung hinweist. Der Zielpunkt antwortet, indem er ein Paket an den Client mit einemSYN-ACK-Bit sendet. Der Client antwortet dann, indem er ein Paket mit einem gesetzten ACK-Bitsendet, und die statusbehaftete Verbindung wird eingerichtet. Alle ausgehenden Pakete werdenerlaubt, aber nur eingehenden Pakete, die Teil der eingerichteten Verbindung sind, werden erlaubt.Von einer Ausnahme ist die Rede, wenn die Firewall erst das TCP-Protokoll abfragt und alle zuvorbestehenden Verbindungen hinzufügt, die mit den statischen Regeln übereinstimmen. Zuvorbestehende Verbindungen ohne eine damit übereinstimmende statische Regel werden blockiert.Das in der Richtlinie "Firewall-Optionen" festgelegte Timeout für TCP-Verbindungen wird nurerzwungen, wenn die Verbindung nicht mehr aktiv ist. Ein zweites oder erzwungenes TCP-Timeoutgilt nur für eingerichtete TCP-Verbindungen. Dieses Timeout wird durch eine Registrierungseinstellunggesteuert und hat den Standardwert von einer Stunde. Alle vier Minuten fragt die Firewall denTCP-Stapel ab und schließt Verbindungen aus, die nicht durch TCP gemeldet werden.

Über einen Query-/Response-Abgleich wird gewährleistet, dass DNS-Antworten nur für den lokalenPort erlaubt werden, der die Anforderung initiiert hat, und nur von einer Remote-IP-Adresse

DNS

ausgehend, die innerhalb des virtuellen UDP-Verbindungs-Timeout-Intervalls abgefragt wurde.Eingehende DNS-Antworten werden unter folgenden Bedingungen erlaubt:

• Die Verbindung in der Statustabelle ist nicht abgelaufen.

• Die Antwort stammt von derselben Remote-IP-Adresse und dem Port, von dem aus dieAnforderung geschickt wurde.

Über einen Query-/Response-Abgleich wird gewährleistet, dass ausgegebene Pakete nur für legitimeAnforderungen erlaubt werden. Somit werden eingehende DHCP-Antworten unter folgendenBedingungen erlaubt:

DHCP

• Die Verbindung in der Statustabelle ist nicht abgelaufen.

• Die Transaktions-ID der Antwort entspricht derjenigen der Anfrage.



Beschreibung der VerarbeitungProtokoll

FTP • Die Firewall führt die statusbehaftete Paketprüfung auf TCP-Verbindungen durch, die auf Port21 geöffnet wurden. Die Prüfung findet nur im Steuerungskanal statt, die erste Verbindung, dieauf diesem Port geöffnet wurde.

• Die FTP-Prüfung findet nur für Pakete statt, die neue Informationen tragen. Erneut übertragenePakete werden ignoriert.

• Dynamische Regeln werden in Abhängigkeit der Richtung (Client/Server) und des Modus(aktiv/passiv) erstellt:

• Aktiver Client-FTP-Modus: Die Firewall erstellt eine dynamische Regel für eingehendenVerkehr, nachdem der eingehende PORT-Befehl erkannt und auf Compliance mit RFC 959geprüft wurde. Die Regel wird gelöscht, wenn der Server die Datenverbindung initiiert oderwenn die Regel abläuft.

• Aktiver Server-FTP-Modus: Die Firewall erstellt eine dynamische Regel für ausgehendenVerkehr, nachdem der eingehende PORT-Befehl erkannt wurde.

• Passiver Client-FTP-Modus: Die Firewall erstellt eine dynamische Regel für ausgehendenVerkehr, wenn sie die Antwort auf den PASV-Befehl liest, die vom FTP-Server gesendetwurde, vorausgesetzt, sie kennt den PASV-Befehl vom FTP-Client und der PASV-Befehl istmit RFC 959 konform. Die Regel wird gelöscht, wenn der Client die Datenverbindung initiiertoder wenn die Regel abläuft.

• Passiver Server-FTP-Modus: die Firewall erstellt eine dynamische Regel für eingehendenVerkehr.

Auswirkungen des Lernmodus und des adaptiven Modus auf dieFirewall

Wenn Sie die Firewall-Funktion aktivieren, überwacht Host Intrusion Prevention kontinuierlichden von einem Computer gesendeten und darauf empfangenen Netzwerkdatenverkehr. Auf derGrundlage der Firewall-Regelrichtlinie kann Datenverkehr zugelassen oder blockiert werden.Wenn der Datenverkehr keiner bestehenden Regel entspricht, wird er automatisch blockiert –sofern der Lernmodus oder der adaptive Modus der Firewall aktiviert ist.

Im Lernmodus zeigt Host Intrusion Prevention eine Lernmodus-Warnung an, wenn unbekannterNetzwerkverkehr abgefangen wird. In diesem Dialogfeld wird der Benutzer aufgefordert,Datenverkehr, der keiner der vorhandenen Regeln entspricht, zuzulassen oder zu blockieren.Dabei werden automatisch dynamische Regeln für nicht übereinstimmenden Datenverkehrerstellt. Den Lernmodus können Sie nur für die eingehende Kommunikation, nur für dieausgehende Kommunikation oder für beide Richtungen aktivieren.

Im adaptiven Modus erstellt die Host Intrusion Prevention automatisch eine Zulassungsregel,die jeden Datenverkehr zulässt, der mit keiner der vorhandenen Blockierregeln übereinstimmt.Dabei werden automatisch dynamische Zulassungsregeln für nicht übereinstimmendenDatenverkehr erstellt. Weitere Informationen zum Verwenden des adaptiven Modus mit derFirewall finden Sie unter Häufig gestellte Fragen – Adaptiver Modus unter Verwalten IhresSchutzes.

Aus Sicherheitsgründen werden jedoch in beiden Modi (Lernmodus und adaptiver Modus)eingehende Pings blockiert, sofern nicht eine explizite Zulassungsregel für eingehendenICMP-Datenverkehr erstellt wird. Außerdem wird eingehender Datenverkehr an einem Port, derauf dem Host nicht geöffnet ist, blockiert, sofern nicht für den Datenverkehr eine expliziteZulassungsregel erstellt wird. Beispiel: Wenn der Telnet-Dienst auf dem Host nicht gestartetist, dann wird eingehender TCP-Datenverkehr an Port 23 (Telnet) auch dann blockiert, wennkeine explizite Regel vorliegt, die diesen Datenverkehr blockiert. Sie können für jedenerwünschten Datenverkehr eine explizite Zulassungsregel erstellen.



Die Host Intrusion Prevention zeigt alle Regeln an, die im Lernmodus oder im adaptiven Modusauf Clients erstellt wurden, und ermöglicht das Speichern und Migrieren dieser Regeln inAdministratorregeln.

Statusbehaftete Filterung

Wenn der adaptive Modus oder der Lernmodus mit der statusbehafteten Firewall verwendetwird, erstellt der filternde Prozess eine neue Regel zur Behandlung des eingehendes Pakets.Beim Filtern geschieht Folgendes:

1 Die Firewall vergleicht ein eingehendes Paket mit den Einträgen in der Statustabelle undfindet keine Übereinstimmung. Anschließend überprüft die Firewall die Liste mit statischenRegeln und findet keine Übereinstimmung.

2 Es wird kein Eintrag in der Statustabelle vorgenommen, aber TCP-Pakete werden in eineausstehende Liste aufgenommen. Wenn nicht, wird das Paket entfernt.

3 Wenn neue Regeln erlaubt werden, wird eine unidirektionale statische Zulassungsregelerstellt. Wenn es sich um ein TCP-Paket handelt, wird ein Eintrag in der Statustabellevorgenommen.

4 Wenn eine neue Regel nicht erlaubt wird, wird das Paket entfernt.

Firewall-Client-RegelnFirewall-Client-Regeln zur Zulassung blockierter Vorgänge werden mit einem Client im adaptivenModus oder im Lernmodus erstellt. Regeln lassen sich auf dem Client-Computer auch manuellerstellen. Sie können die Client-Regeln zurückverfolgen und sie in der Standard- oder deraggregierten Ansicht anzeigen. Nutzen Sie diese Client-Regeln zum Erstellen neuer Richtlinienoder fügen Sie sie bestehenden Richtlinien hinzu.

Filtern und Aggregieren von Regeln

Das Anwenden von Filtern erzeugt eine Liste mit Regeln, die den in den Filterkriterien genanntenVariablen entsprechen. Das Ergebnis ist eine Liste mit Regeln, die all diese Kriterien erfüllen.Das Aggregieren von Regeln erzeugt eine Liste mit Regeln, die jeweils nach dem Wert der imDialogfeldWählen Sie die zu aggregierenden Spalten aus ausgewählten Variablen gruppiertsind. Das Ergebnis ist eine gruppiert dargestellte Liste mit Regeln, die innerhalb der Gruppenach dem Wert der jeweiligen Gruppenvariablen sortiert sind.

Aktivieren des Firewall-SchutzesMithilfe der Richtlinie "Firewall-Optionen" können Sie den Firewall-Schutz aktivieren. Zusätzlichwerden TrustedSource™ und Einstellungen für eine statusbehaftete Firewall bereitgestellt.

Allgemeine Einstellungen

Folgende allgemeine Optionen sind verfügbar:

• Aktiviert: Mit dieser Option aktivieren Sie die Firewall-Funktion. Wählen Sie anschließendden Schutztyp:

• Normal (Standard): Wenn Sie keine Bereitstellung optimieren, wählen Sie dieseEinstellung aus.

Konfigurieren von Firewall-RichtlinienAktivieren des Firewall-Schutzes


• Adaptiver Modus: Mit dieser Einstellung werden automatisch Regeln zur Zulassung vonDatenverkehr erstellt. Verwenden Sie diese Option nur vorübergehend für die Optimierungeiner Ausbringung.

• Lernmodus: Mit dieser Einstellung werden Regeln zur Zulassung von Datenverkehr nachBenutzereingabe erstellt. Wählen Sie bei dieser Option auch aus, ob der eingehende oderausgehende Datenverkehr oder beide betroffen sind. Verwenden Sie diese Option nurvorübergehend für die Optimierung einer Ausbringung.

• Datenverkehr für nicht unterstützte Protokolle erlauben: Diese Option dient zurZulassung von Datenverkehr, der nicht unterstützte Protokolle verwendet. Wenn diese Optiondeaktiviert ist, wird der Datenverkehr für nicht unterstützte Protokolle vollständig blockiert.

• Datenverkehr über Bridge zulassen: Bei Auswahl dieser Option wird Datenverkehrzugelassen, dessen lokale MAC-Adresse nicht der MAC-Adresse des lokalen Systems entspricht,sondern einer der MAC-Adressen in der Liste der VMs, welche die Firewall unterstützt. Mitdieser Option erlauben Sie den Datenverkehr über eine Bridge-Umgebung mit virtuellenMaschinen.

• Bestehende Client-Regeln speichern, wenn diese Richtlinie durchgesetzt wird:Wählen Sie diese Option aus, um Clients zu erlauben, auf dem Client erstellte Regeln wiefolgt beizubehalten: im adaptiven Modus automatisch, mit Benutzerinteraktion im Lernmodusoder manuell auf einem Client, wenn diese Richtlinie erzwungen wird.

Schutzeinstellungen

Mit diesen Einstellungen wird ein spezifischer Firewall-Schutz aktiviert:

• Bis zum Start des Host IPS-Dienstes nur ausgehenden Datenverkehr zulassen:Hiermit wird solange nur ausgehender Datenverkehr zugelassen, bis der HostIPS-Firewall-Dienst auf dem Client gestartet wurde.

• Schutz vor IP-Spoofing aktivieren: Wählen Sie diese Option aus, um Netzwerkverkehrvon nicht lokalen Host-IP-Adressen oder lokalen Prozessen, die versuchen, ihre IP-Adressezu fälschen, zu blockieren.

• Ereignisse bei TrustedSource-Verletzungen an ePO senden: Bei Auswahl dieserOption werden Ereignisse an den ePO-Server gesendet, wenn die Schwellenwerteinstellungzum Blockieren von TrustedSource für eingehenden oder ausgehenden Datenverkehr erreichtwird.

• Schwellenwert für die TrustedSource-Blockierung von eingehendemDatenverkehr:Wählen Sie in der Liste die TrustedSource-Bewertung aus, bei der eingehender Datenverkehreiner Netzwerkverbindung blockiert wird. Folgende Optionen sind verfügbar: Hohes Risiko,Mittleres Risiko, Ungeprüft und Nicht blockieren.

• Schwellenwert für die TrustedSource-Blockierungvon ausgehendemDatenverkehr:Wählen Sie in der Liste die TrustedSource-Bewertung aus, bei der ausgehender Datenverkehreiner Netzwerkverbindung blockiert wird. Folgende Optionen sind verfügbar: Hohes Risiko,Mittleres Risiko, Ungeprüft und Nicht blockieren.

Einstellungen für statusbehaftete Firewall

Für die statusbehaftete Firewall sind folgende Einstellungen verfügbar:

• FTP-Protokollprüfung: Eine statusbehaftete Firewall-Einstellung, mit der FTP-Verbindungennachverfolgt werden können, sodass nur eine Firewall-Regel für ausgehendenFTP-Client-Verkehr und eine für eingehenden FTP-Server-Verkehr erforderlich ist. Wenndiese Option nicht ausgewählt ist, erfordern FTP-Verbindungen eine zusätzliche Regel für



eingehenden FTP-Client-Verkehr und ausgehenden FTP-Server-Verkehr. Diese Option sollteimmer aktiviert sein.

• TCP-Verbindungs-Timeout: Die Zeit in Sekunden, während der eine nicht eingerichteteTCP-Verbindung aktiv bleibt, wenn keine weiteren mit der Verbindung übereinstimmendenPakete gesendet oder empfangen werden.

• UDP- und ICMP-Echo-Timeout für virtuelle Verbindungen: Die Zeit in Sekunden,während der eine virtuelle UDP- oder ICMP-Echo-Verbindung aktiv bleibt, wenn keine weiterenmit der Verbindung übereinstimmenden Pakete gesendet oder empfangen werden. Die Zeitwird jedes Mal auf den konfigurierten Wert zurückgesetzt, wenn ein Paket, das mit dervirtuellen Verbindung übereinstimmt, gesendet oder empfangen wird.


Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie und der bearbeitbarenRichtlinie "Mein Standard". Sie beruht auf der Standardrichtlinie von McAfee. VorkonfigurierteRichtlinien können angezeigt und dupliziert werden; benutzerdefinierte Richtlinien könnenerstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden.

Die vorkonfigurierte Richtlinie verfügt über drei Einstellungen:

McAfee-Standard

Der Firewall-Schutz ist deaktiviert, und die folgenden Optionen sind ausgewählt, um bei aktiverFirewall angewendet zu werden:

• Datenverkehr über Bridge zulassen

• Client-Ausnahmen beibehalten

• Schutz vor IP-Spoofing aktivieren

• FTP-Protokollprüfung verwenden

Konfigurieren der Richtlinie für Firewall-OptionenMit den Einstellungen in dieser Richtlinie werden der Firewall-Schutz ein- oder ausgeschaltetund der adaptive Modus oder der Lernmodus angewendet.

Task

Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?.

1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie Host IntrusionPrevention: Firewall aus der Liste Produkte und Firewall-Optionen aus der ListeKategorien. Eine Liste mit Richtlinien wird geöffnet.

2 Klicken Sie in der Richtlinienliste Firewall-Optionen unter Aktionen auf Bearbeiten,um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.


3 Ändern Sie auf der angezeigten Seite Firewall-Optionen die Standardeinstellungen nachBedarf, und klicken Sie anschließend auf Speichern.



Häufig gestellte Fragen –McAfee TrustedSource und die FirewallZwei Optionen in der Richtlinie "Firewall-Optionen" ermöglichen Ihnen das Blockieren deseingehenden und ausgehenden Datenverkehrs von einer Netzwerkverbindung, die von McAfeeTrustedSource™ mit der Sicherheitsstufe "Hohes Risiko" bewertet wurde. In dieser häufiggestellten Frage wird die Funktionsweise von TrustedSource erläutert und inwiefern sich dieseauf die Firewall auswirkt.

Was ist TrustedSource?

TrustedSource ist ein System zur globalen Reputationsanalyse von Internetseiten, mit demanhand von Echtzeitanalysen der verhaltensbasierten Muster und Versendemuster für E-Mails,von Malware, Internetaktivität und des Verhaltens der Systeme untereinander positives undnegatives Verhalten im Internet ermittelt wird. Mithilfe der Daten, die bei dieser Analyse ermitteltwerden, berechnet TrustedSource dynamisch die Reputationsbewertung, die die Risikostufedarstellt, mit der das Besuchen einer Website für Ihr Netzwerk eingeordnet wird. Das Ergebnisist eine Datenbank mit Reputationsbewertungen für IP-Adressen, Domänen, spezifischeMeldungen, URLs und Bilder.

Wie funktioniert TrustedSource?

Wenn die TrustedSource-Optionen ausgewählt sind, werden zwei Firewall-Regeln erstellt:"TrustedSource – Host IPS-Dienst zulassen" und "TrustedSource – Bewertung anzeigen". Dieerste Regel erlaubt eine Verbindung zu TrustedSource, und die zweite Regel blockiertDatenverkehr oder lässt ihn zu (auf der Grundlage der Reputation einer Verbindung und desfestgelegten Blockierungsschwellenwerts).

Was bedeutet "Reputation"?

TrustedSource berechnet für jede einzelne IP-Adresse im Internet einen Reputationswert aufder Grundlage des Sende- oder Hosting-Verhaltens und verschiedener Umgebungsdaten, dievon TrustedSource automatisch von Kunden und Partnern zum Zustand der Bedrohungslandschaftim Internet erfasst, aggregiert und korreliert werden. Die Reputation wird in vier Klassenangegeben:

• Minimales Risiko (Nicht blockieren): Laut unserer Analyse handelt es sich um einezulässige Quelle oder ein zulässiges Ziel für Inhalte/Datenverkehr.

• Ungeprüft: Laut unserer Analyse handelt es sich offenbar um eine zulässige Quelle oderein zulässiges Ziel für Inhalte/Datenverkehr, allerdings weisen mehrere Eigenschaften daraufhin, dass eine weitere Untersuchung erforderlich ist.

• Mittleres Risiko: Laut unserer Analyse weist diese Quelle bzw. dieses Ziel verdächtigeVerhaltensweisen auf. Inhalte oder Datenverkehr an oder von diesem Ziel bzw. dieser Quellesind genau zu prüfen.

• Hohes Risiko: Laut unserer Analyse gehen von dieser Quelle oder diesem Zielmöglicherweise schädliche Inhalte bzw. schädlicher Datenverkehr aus, und es handelt sichum ein ernsthaftes Sicherheitsrisiko.

Führt TrustedSource zu Wartezeiten (Latenz)? In welchem Umfang?

Wenn TrustedSource für die Reputationssuche verwendet wird, ist eine gewisse Latenzunvermeidlich. McAfee hat alle Maßnahmen ergriffen, um diese so gering wie möglich zu halten.

Eine Reputationsprüfung erfolgt nur, wenn diese Optionen ausgewählt sind. Zudem wird eineintelligente Caching-Architektur genutzt: Bei normalen Netzwerknutzungsmustern können die



meisten der gewünschten Verbindungen anhand des Caches gelöst werden, ohne dass einereale Reputationsabfrage erfolgen muss.

Was passiert, wenn die Firewall keine Verbindung mit TrustedSource-Servernherstellen kann? Wird der Verkehr gestoppt?

Wenn von der Firewall keine Verbindung mit TrustedSource-Servern hergestellt werden kann,werden alle anwendbaren Verbindungen automatisch einer zugelassenen Standardreputationzugeordnet und eine Analyse der Regeln wird im Anschluss fortgesetzt.

Definieren des Firewall-SchutzesFirewall-Regeln legen fest, wie ein System beim Abfangen von Netzwerkdatenverkehr arbeitet,indem der Datenverkehr entweder zugelassen oder blockiert wird. Das Erstellen und Verwaltenvon Firewall-Regeln realisieren Sie, indem Sie eine Richtlinie Firewall-Regeln und eine RichtlinieFirewall-DNS-Blockierung mit den entsprechenden Einstellungen anwenden.

Auswahlmöglichkeiten der Richtlinie "Firewall-Regeln"

Die Richtlinienkategorie "Firewall-Regeln" besteht aus zwei vorkonfigurierten Richtlinien undder bearbeitbaren RichtlinieMein Standard, die auf der McAfee-Standardrichtlinie basiert. Dievorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; benutzerdefinierte Richtlinienkönnen bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden.

Tabelle 7: Vorkonfigurierte Richtlinien "Firewall-Regeln"VerwendungRichtlinie

Diese Richtlinie bietet einen standardmäßigenMindestschutz und folgende Funktion:

Minimal (Standard)

• Blockiert den gesamten eingehendenICMP-Datenverkehr, der von einem Angreiferverwendet werden kann, um Informationen über IhrenComputer zu sammeln. Host IPS lässt den übrigenICMP-Datenverkehr zu.

• Anforderungen zur Dateifreigabe in Windows vonComputern desselben Subnetzes werden zugelassen;Anforderungen zur Dateifreigabe von anderen Quellenwerden blockiert (in der Richtlinie "VertrauenswürdigeNetzwerke" muss die Option Lokales Subnetzautomatisch einschließen ausgewählt sein).

• Erlaubt das Durchsuchen von Windows-Domänen,Arbeitsgruppen und Computern.

• Erlaubt den gesamten über hohe Ports eingehendenund ausgehenden UDP-Datenverkehr.

• Erlaubt Datenverkehr, der BOOTP-, DNS- und NetTime-UDP-Ports verwendet.

Verwenden Sie diese Richtlinie als Ausgangspunkt, undnutzen Sie die Ergebnisse des adaptiven Modus, um

Typische Unternehmensumgebung

zusätzliche Regeln anzuwenden und zu überprüfen. DieseRichtlinie sollte – im Vergleich zu vorhandenenstandardmäßigen Firewall-Richtlinien – weniger gelernteClient-Regeln im adaptiven Modus generieren.

Die Richtlinie enthält alle Funktionen und erfüllt dieAnforderungen der meisten Unternehmen.

Konfigurieren von Firewall-RichtlinienDefinieren des Firewall-Schutzes


Auswahlmöglichkeiten der Richtlinie "Firewall-DNS-Blockierung"

Die Richtlinie "Firewall-DNS-Blockierung" enthält eine vorkonfigurierte Richtlinie und diebearbeitbare Richtlinie Mein Standard. Diese basiert auf der Standardrichtlinie von McAfee.Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; benutzerdefinierte Richtlinienkönnen bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden.

Konfigurieren der Richtlinie für Firewall-RegelnMit den Einstellungen in dieser Richtlinie werden Regeln für den Firewall-Schutz bestimmt.

TIPP: Es empfiehlt sich nicht, eine Richtlinie vollständig neu zu erstellen. Duplizieren Siestattdessen eine vorhandene Richtlinie, und bearbeiten Sie dann die Regeln und Gruppen inder Richtlinie entsprechend Ihren Anforderungen.

Task


1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie Host IntrusionPrevention: Firewall aus der Liste Produkte und Firewall-Regeln aus der ListeKategorien. Eine Liste mit Richtlinien wird geöffnet.

2 Klicken Sie in der Richtlinienliste Firewall-Regeln unter Aktionen auf Bearbeiten, umdie Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.



VorgehensweiseZweck

Klicken Sie auf Neue Regel oder Regel aus Kataloghinzufügen. Weitere Details finden Sie unter Erstellen

Firewall-Regel hinzufügen

und Bearbeiten von Firewall-Regeln oder Verwendendes Host IPS-Katalogs.

Klicken Sie auf Neue Gruppe oder Gruppe ausKatalog hinzufügen. Weitere Details finden Sie unter

Firewall-Gruppe hinzufügen

Erstellen und Bearbeiten von Firewall-Regelgruppenoder Verwenden des Host IPS-Katalogs.

Aktion für eine einzelne Regel oder Gruppe ausführen • Wählen Sie die Regel oder Gruppe aus, um imrechten Teilfenster eine Zusammenfassung derEinstellungen für die Elemente anzuzeigen.

• Wählen Sie die Regel oder die Gruppe aus, undklicken Sie auf:

• Bearbeiten unter Aktionen, um ein Elementzu bearbeiten.

• Zu Katalog hinzufügen unter Aktionen, umdem Firewall-Katalog dieses Elementhinzuzufügen.

• Nach oben, um das Element in der Liste nachoben zu verschieben.

• Nach unten, um das Element in der Liste nachunten zu verschieben.

• Duplizieren, um eine Kopie des Elements zuerstellen.



VorgehensweiseZweck

• Löschen, um das Element zu löschen.

4 Um alle Regel- und Gruppeninformationen in der Richtlinie in eine XML-Datei zu exportieren,klicken Sie auf Exportieren. Diese Datei kann in den Firewall-Katalog oder in eine andereRichtlinie importiert werden.


Erstellen und Bearbeiten von Firewall-RegelnWenn bestimmte Vorgänge nicht in der Standardliste stehen, ergänzen Sie die Liste in derRichtlinie "Firewall-Regeln" mit einer neuen Firewall-Regel, oder bearbeiten Sie eine der Regeln.

Task


1 Klicken Sie auf der Richtlinienseite Firewall-Regeln auf Neue Regel, um eine neue Regelzu erstellen. Klicken Sie zum Bearbeiten einer bestehenden Regel unter Aktionen aufBearbeiten.

2 Geben Sie auf der jeweiligen Registerkarte die entsprechenden Informationen ein. Siekönnen überWeiter oder die Registerkartenverknüpfung auf die gewünschte Registerkartezugreifen.

OptionenRegisterkarte

Name (erforderlich), Aktion, Richtung, Status.Beschreibung

Netzwerkprotokoll, Medientyp, lokale und Remote-NetzwerkeNetzwerk

TransportprotokollTransport

Anwendungen und ausführbare DateienAnwendung

Status- und UhrzeiteinstellungenPlan

3 Überprüfen Sie auf der Registerkarte "Zusammenfassung" die Details für die Regel, undklicken Sie dann auf Speichern.

Erstellen und Bearbeiten von Firewall-RegelgruppenWenn Sie für einen bestimmten Zweck einen Satz an Regeln erstellen möchten, erstellen bzw.bearbeiten Sie eine Firewall-Gruppe für eine Richtlinie "Firewall-Regel".

Verwenden Sie beispielsweise eine Gruppe aus Regeln mit einem gemeinsamen Zweck, um eineVPN-Verbindung zuzulassen. Gruppen werden in der Regelliste mit einem vorangestellten Pfeilangezeigt, auf den Sie klicken können, um die Regeln in der Gruppe anzuzeigen oderauszublenden.

Task

1 Klicken Sie auf der Richtlinienseite Firewall-Regeln auf Neue Gruppe, um eine neueGruppe zu erstellen. Klicken Sie zum Bearbeiten einer bestehenden Gruppe unter Aktionenauf Bearbeiten.



2 Geben Sie auf der jeweiligen Registerkarte die entsprechenden Informationen ein. Siekönnen überWeiter oder die Registerkartenverknüpfung auf die gewünschte Registerkartezugreifen.

OptionenRegisterkarte

Name (erforderlich), Richtung, StatusBeschreibung

Standortabhängige Einstellungen, einschließlich KonnektivitätsisolationSpeicherort

Netzwerkprotokoll, Medientyp (kabelgebunden, drahtlos, virtuell), lokale undRemote-Netzwerke

Netzwerk

TransportprotokollTransport

Anwendungen und ausführbare DateienAnwendung

Status- und Uhrzeiteinstellungen, einschließlich Aktivierung zeitbeschränkter GruppenPlan

3 Überprüfen Sie auf der Registerkarte "Zusammenfassung" die Details für die Gruppe, undklicken Sie dann auf Speichern.

4 Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln ausder Firewall-Regelliste oder dem Host IPS-Katalog in die Gruppe.

Erstellen von KonnektivitätsisolationsgruppenUm einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmtenParametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Konnektivitätsisolation.

Task


1 Klicken Sie auf der Seite der Richtlinie Firewall-Regeln auf Neue Gruppe oder Gruppeaus Katalog hinzufügen.

2 Geben Sie auf der Registerkarte "Beschreibung" im Feld Name einen aussagekräftigenNamen ein.

3 Wählen Sie auf der Registerkarte "Ort" für Speicherortstatus undKonnektivitätsisolation die Option Aktiviert aus, geben Sie einen Namen für denSpeicherort ein, und wählen Sie dann ein DNS-Suffix, ein Standard-Gateway oder andereKriterien für die Übereinstimmung aus.

4 Wählen Sie auf der Registerkarte "Netzwerk" unterMedientypen den Typ der Verbindung(Kabelgebunden, Drahtlos, Virtuell) aus, für den die in dieser Gruppe enthaltenenRegeln angewendet werden sollen.

HINWEIS: Transportoptionen und Anwendungen sind fürKonnektivitätsisolationsgruppen nicht verfügbar.

5 Klicken Sie auf der Registerkarte "Zusammenfassung" auf Speichern.

6 Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln ausder Firewall-Regelliste oder dem Host IPS-Katalog in die Gruppe.



Blockieren des DNS-DatenverkehrsUm den Firewall-Schutz zu optimieren, erstellen Sie eine Liste mit Domänennamenservern, dievon Host IPS blockiert werden, indem die Auflösung ihrer IP-Adresse verhindert wird.

HINWEIS: Sie können diese Funktion nicht verwenden, um vollständige Domänen zu blockieren.Stattdessen müssen Sie die Remote-Adresse des vollständigen Domänennamens (FQDN) ineiner Firewall-Regel blockieren.

Task


1 Um eine neue Regel zu erstellen, klicken Sie auf der Seite der RichtlinieFirewall-DNS-Blockierung aufNeue Regel. Wenn Sie eine bestehende Regel bearbeitenmöchten, klicken Sie unter Aktionen auf Bearbeiten.

2 Klicken Sie auf Blockierte Domäne hinzufügen.

3 Geben Sie im Textfeld den Namen des Domänennamenservers ein, den Sie blockierenmöchten. Verwenden Sie die Platzhalter "*" und "?", z. B. "*domain.com". Nur ein Namepro Eintrag.

4 Klicken Sie auf die Schaltfläche Hinzufügen, um weitere Adressen hinzuzufügen; klickenSie auf die Schaltfläche Entfernen, um Adressen zu löschen.


Verwenden des Host IPS-KatalogsMit dem Host IPS-Katalog können Sie neue Elemente hinzufügen oder auf bestehende Elementeverweisen, die mit der Firewall verwendet werden. Mit diesem Task können Sie vorhandeneKatalogelemente suchen und bearbeiten sowie neue Katalogelemente erstellen, hinzufügen,importieren oder exportieren.

Task

Optionsbeschreibungen erhalten Sie indem Sie in der Benutzeroberfläche auf das ? klicken.

1 Wechseln Sie zu Systeme | Host IPS-Katalog.

2 Wählen Sie unter Elementtyp ein Katalogelement aus. Folgende Typen können ausgewähltwerden: Gruppe, Regel, Anwendung, Prozess, Netzwerk und Speicherort.

3 Führen Sie einen der folgenden Schritte auf der Katalogseite aus:

VorgehensweiseZweck

Geben Sie die Filterkriterien ein, und klicken Sie aufFilter festlegen. Klicken Sie auf Löschen, um zurStandardansicht zurückzukehren.

Element filtern

Wählen Sie Optionen | Spalten auswählen, undwählen Sie die Spalten aus, entfernen Sie sie, oder

Elementansicht ändern

ordnen Sie sie neu an, und klicken Sie dann aufSpeichern.

Klicken Sie auf die Verknüpfung, die dem Elementzugeordnet ist. Klicken Sie auf Bearbeiten, um das

Element bearbeiten

Element zu bearbeiten; klicken Sie auf Duplizieren,



VorgehensweiseZweck

um eine Kopie zu erstellen; klicken Sie auf Löschen,um es zu löschen.

HINWEIS: Wenn Sie ein Element löschen, das eineabhängige Verknüpfung aufweist, wird eine neueunabhängige Kopie des gelöschten Elements in derVerknüpfungsregel oder -gruppe platziert.

Klicken Sie auf Neu. Geben Sie auf der/den angezeigtenSeite(n) die entsprechenden Daten ein, und klicken Siedann auf Speichern.

Element erstellen und hinzufügen

Klicken Sie auf die Verknüpfung Exportieren, die demElement zugeordnet ist.

Einzelnes Element exportieren

Klicken Sie in der oberen rechten Ecke der Seite aufExportieren, benennen Sie die XML-Datei, undspeichern Sie sie.

Alle Elemente des Katalogtyps exportieren

Klicken Sie in der oberen rechten Ecke der Seite aufImportieren, suchen Sie die XML-Datei mit denKatalogdaten, und öffnen Sie sie.

Elemente des Katalogtyps importieren

HINWEIS: Wenn Sie beim Erstellen einer Firewall-Regel oder -Gruppe ein Element aus demKatalog hinzufügen möchten, klicken Sie unten auf der entsprechenden Generator-Seiteauf Aus Katalog hinzufügen. Wenn Sie ein Element hinzufügen möchten, das Sie beimArbeiten mit dem Firewall-Regel- oder -Gruppen-Generator erstellt haben, klicken Sie nebendem Element auf die Verknüpfung Zu Katalog hinzufügen. Wenn Sie ein Element ausdem Katalog hinzufügen bzw. dem Katalog ein Element hinzufügen, wird eine abhängigeVerknüpfung zwischen dem Element und dem Katalog mit der VerknüpfungKatalogreferenz unterbrechen erstellt. Wenn Sie auf diese Verknüpfung klicken, wirddie Abhängigkeit zwischen Element und Katalog aufgehoben und stattdessen ein neuesunabhängiges Element in der Verknüpfungsregel oder -gruppe erstellt.

Verwalten von Firewall-Client-RegelnDie Sicherheit kann optimiert werden, indem Sie die auf einem Client manuell oder automatischim adaptiven Modus oder im Lernmodus erstellten Firewall-Client-Regeln anzeigen und in eineRichtlinie "Firewall-Regeln" verschieben.

HINWEIS: Zugriff auf Firewall-Client-Regeln auf der Registerkarte "Host IPS" unter "Berichte"erfordert andere Berechtigungen als diejenigen für Host Intrusion Prevention, beispielsweiseLeseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur.

Task


1 Wechseln Sie zu Berichte | Host IPS, und klicken Sie dann auf Firewall-Client-Regeln.

2 Wählen Sie in der Systemstruktur die Gruppe aus, für die Client-Regeln angezeigt werdensollen.

3 Legen Sie fest, in welcher Form die Liste der Client-Regeln angezeigt werden soll:

VorgehensweiseZweck

Wählen Sie Spalten auswählen aus dem Menü"Optionen". Auf der Seite "Spalten auswählen" können

Auswählen der anzuzeigenden Spalten



VorgehensweiseZweck

Sie anzuzeigende Spalten hinzufügen, entfernen undneu anordnen.




Wählen Sie den Zeitpunkt aus, an dem die Regel erstelltwurde: Keiner, Seit oder Zwischen. Wenn Sie "Seit"

Filtern nach Erstellzeitpunkt

auswählen, geben Sie ein Startdatum ein. Wenn SieZwischen auswählen, geben Sie ein Start- und einEnddatum ein. Klicken Sie auf Löschen, umFiltereinstellungen zu entfernen.

Geben Sie den Prozesspfad, den Prozessnamen, denComputernamen oder die Signatur-ID ein, nach dem

Filtern nach einem Suchtext

bzw. nach der gefiltert werden soll. Klicken Sie aufLöschen, um Filtereinstellungen zu entfernen.

Klicken Sie auf Aggregieren, und wählen Sie dieKriterien, nach denen Regeln aggregiert werden sollen.

Regeln aggregieren

Klicken Sie anschließend auf OK. Klicken Sie aufLöschen, um Aggregationseinstellungen zu entfernen.

4 Wenn Sie Regeln in eine Richtlinie verschieben möchten, wählen Sie eine oder mehrereRegeln in der Liste aus, und klicken Sie auf Firewall-Regel erstellen. Geben Sie dannan, in welche Richtlinie Sie die Regeln verschieben möchten.

Häufig gestellte Fragen – Verwendung von Platzhaltern inFirewall-Regeln

Host IPS ermöglicht bei der Eingabe von Werten in bestimmten Feldern in Firewall-Regeln dieVerwendung von Platzhaltern.

Welche Platzhalter sind in Pfad- und Adresswerten zulässig?

Folgende Platzhalter dürfen in Dateipfaden Registrierungsschlüsseln ausführbaren Dateien undURLs verwendet werden:

DefinitionZeichen


Mehrere Zeichen mit Ausnahme von "/" und "\". Wird alsEntsprechung der Stammebene eines Ordners ohneUnterordner verwendet.

* (Sternchen)

Mehrere Zeichen, einschließlich "/" und "\".** (Zwei Sternchen)

Platzhalter-Escape-Zeichen

HINWEIS: Die Escape-Zeichenfolge für "**" lautet "|*|*".

| (Pipe-Zeichen)

HINWEIS: In Registrierungsschlüsselpfaden für Firewall-Gruppenspeicherorte werden keinePlatzhalterwerte erkannt.



Welche Platzhalter sind in sonstigen Werten zulässig?

Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgendePlatzhalter verwendet werden:

DefinitionZeichen


Mehrere Zeichen, einschließlich "/" und "\".* (Sternchen)




Konfigurieren von allgemeinen RichtlinienDie Funktion "Allgemein" von Host Intrusion Prevention ermöglicht den Zugriff auf Richtlinien,die allgemeiner Natur sind und nicht spezifisch für IPS oder die Firewall gelten.

Inhalt

Übersicht über allgemeine Richtlinien

Definieren der Client-Funktionen

Definieren vertrauenswürdiger Netzwerke

Definieren vertrauenswürdiger Anwendungen

Übersicht über allgemeine RichtlinienAllgemeine Richtlinien können sowohl für IPS- und Firewall-Funktionen als auch zur Steuerungdes Client-Zugriffs und vertrauenswürdiger Netzwerke und Anwendungen genutzt werden.

Alle Richtlinien und Optionen gelten für Windows-Betriebssysteme. Als Nicht-Windows-Systemegelten nur ausgewählte Richtlinien und Optionen. Weitere Details hierzu finden Sie unterRichtlinienerzwingung mit dem Solaris/Linux-Client unter Arbeiten mit Host IPS-Clients.


Es gibt drei allgemeine Richtlinien:

Die Richtlinie Client-Benutzeroberfläche bestimmt, welche Optionen auf einemWindows-Client-Computer verfügbar sind. Sie legt auch fest, ob das Host IPS-Client-Symbol inder Taskleiste angezeigt wird, welche Typen von Warnungen über Eindringversuche angezeigtwerden, mit welchen Kennwörtern der Zugriff auf die Client-Oberfläche möglich ist undFehlerbehebungsoptionen. Die Kennwortfunktion ist für Clients auf Windows- undNicht-Windows-Plattformen verfügbar.

Die Richtlinie Vertrauenswürdige Netzwerke listet die IP-Adressen und Netzwerke auf,einschließlich der TrustedSource-Ausnahmen, über die eine sichere Kommunikation erfolgenkann. Vertrauenswürdige Netzwerke können einzelne IP-Adressen oder ganze IP-Adressbereicheumfassen. Werden Netzwerke als "vertrauenswürdig" gekennzeichnet, sind weniger oder keineIPS-Ausnahmen und zusätzliche Firewall-Regeln erforderlich. Nur für Windows-Clients.

Die Richtlinie Vertrauenswürdige Anwendungen listet Anwendungen auf, die sicher sindund keine bekannten Schwachstellen haben. Durch das Markieren von Anwendungen als"vertrauenswürdig" sind weniger oder keine IPS-Ausnahmen und zusätzliche Firewall-Regelnmehr erforderlich. Diese Richtlinienkategorie kann ebenso wie die Richtlinie IPS-RegelnmehrereRichtlinieninstanzen enthalten. Für Clients auf Windows- und Nicht-Windows-Plattformen.

Mit Hilfe der Einstellungen für die Richtlinien Vertrauenswürdige Netzwerke undVertrauenswürdige Anwendungen können die Anzahl von Falsch-Positiv-Meldungen reduziertund damit das Tunen einer Ausbringung unterstützt werden.


Definieren der Client-FunktionenMit der Richtlinie "Client-Benutzeroberfläche" wird festgelegt, wie Host IPS-Clients angezeigtwerden und funktionieren. Dazu gehören für Windows-Clients die Einstellungen für dieSymbolanzeige, die Reaktionen auf Intrusionsereignisse und der Administrator- undClient-Benutzer-Zugriff. Für Nicht-Windows-Clients ist nur die Kennwortfunktion für denAdministratorzugriff gültig.

Mit den Optionen dieser Richtlinie können die Anforderungen von drei typischen Benutzerrollenerfüllt werden:

FunktionenBenutzertyp

Dies ist der durchschnittliche Benutzer, auf dessen PC oder Laptop der Host IntrusionPrevention-Client installiert ist. Die Richtlinie "Client-Benutzeroberfläche" ermöglicht diesemBenutzer, folgende Aktionen durchzuführen:

Normal

• Host Intrusion Prevention-Client-Symbol in der Taskleiste anzeigen und Client-Konsolestarten.

• Popup-Intrusionswarnungen anzeigen oder blockieren.

• IPS- und Firewall-Schutz vorübergehend deaktivieren.

Dies ist ein Benutzer, der eventuell mit einem Laptop arbeitet und dessen Verbindung mitdem Host Intrusion Prevention-Server für eine bestimmte Zeit getrennt ist. Dieser Benutzer

Getrennt

hat eventuell technische Probleme mit der Host Intrusion Prevention, oder er muss Vorgängeohne Interaktion mit der Host Intrusion Prevention durchführen. Mithilfe der Richtlinie"Client-Benutzeroberfläche" kann dieser Benutzer ein zeitbasiertes Kennwort erhalten, mitdem er Verwaltungs-Tasks durchführen oder Schutzfunktionen ein- oder ausschalten kann.

Dies ist ein IT-Administrator für alle Computer, der auf einem Client-Computer besondereVorgänge durchführen muss, bei denen alle administratorberechtigten Richtlinien außer

Administrator

Kraft gesetzt werden. Mithilfe der Richtlinie "Client-Benutzeroberfläche" kann dieser Benutzerein unbefristetes Administratorkennwort erhalten, mit dem er Verwaltungs-Tasks durchführenkann.

Zu den Verwaltungs-Tasks für getrennte Benutzer und Administratorbenutzer gehören:

• IPS- und Firewall-Richtlinien aktivieren oder deaktivieren.

• Zusätzliche IPS- und Firewall-Regeln für Fälle erstellen, in denen bestimmte legitimierteAktivitäten blockiert werden.

HINWEIS: Über die ePolicy Orchestrator-Konsole vorgenommene Änderungen derVerwaltungsrichtlinie werden erst durchgesetzt, wenn das Kennwort abgelaufen ist. Währenddieser Zeit erstellte Client-Regeln werden gespeichert, sofern dies durch Verwaltungsregelnzugelassen wird.

Die Richtlinie "Client-Benutzeroberfläche" besteht aus einer vorkonfigurierten Richtlinie und derbearbeitbaren Richtlinie "Mein Standard". Die vorkonfigurierte Richtlinie kann angezeigt unddupliziert werden; bearbeitbare, benutzerdefinierte Richtlinien können erstellt, bearbeitet,umbenannt, dupliziert, gelöscht und exportiert werden.

Konfigurieren der Richtlinie "Client-Benutzeroberfläche"Mit den Einstellungen in der Richtlinie wird bestimmt, ob Symbole angezeigt werden und wieauf Eindringversuche reagiert wird. Zudem werden bei Windows-Clients damit der Administrator-und Client-Benutzerzugriff und bei Nicht-Windows-Clients der Administratorzugriff konfiguriert.

Task


Konfigurieren von allgemeinen RichtlinienDefinieren der Client-Funktionen


1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie Host IntrusionPrevention: Allgemein aus der Liste Produkt und Client-Benutzeroberfläche ausder Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet.

2 Klicken Sie in der Richtlinienliste Client-Benutzeroberfläche unter Aktionen aufBearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.

3 Wählen Sie auf der Seite Client-Benutzeroberfläche eine Registerkarte (AllgemeineOptionen, Erweiterte Optionen, Fehlerbehebungsoptionen) aus, und nehmen Siedie erforderlichen Änderungen vor. Detaillierte Informationen finden Sie unter Festlegender allgemeinen Optionen für die Client-Benutzeroberfläche, Festlegen der erweitertenOptionen für die Client-Benutzeroberfläche oder Festlegen der Fehlerbehebungsoptionenfür die Client-Benutzeroberfläche.


Festlegen der allgemeinen Optionen für dieClient-Benutzeroberfläche

Mit den Einstellungen auf der Registerkarte Allgemeine Einstellungen der RichtlinieClient-Benutzeroberfläche wird bestimmt, ob Symbole angezeigt werden und wie aufEindringversuche reagiert wird. Sie gelten nur für Windows-Clients.

Auf dieser Registerkarte können Sie die Anzeigeoptionen für die Client-Benutzeroberflächefestlegen und angeben, wie der Client auf Intrusionsereignisse reagiert.

Task


1 Klicken Sie auf der Registerkarte Allgemeine Einstellungen der Richtlinie"Client-Benutzeroberfläche" auf Anzeigeoptionen, und wählen Sie die Option zum Anzeigendes Taskleistensymbols für den Menüzugriff auf die Client-Konsole oder zum Anzeigen derAnwendung in der Liste "Software" bzw. "Programme hinzufügen/entfernen".

HINWEIS: Wenn Benutzer gelegentlich eine Host Intrusion Prevention-Funktion deaktivierenmüssen, um auf eine legitime, aber blockierte Anwendung oder Netzwerk-Websitezuzugreifen, können sie mit dem Host Intrusion Prevention-Taskleistensymbol eine Funktiondeaktivieren, ohne die Client-Benutzeroberfläche zu öffnen. Die deaktivierte Funktion bleibtweiterhin deaktiviert, bis sie durch den Menübefehl oder eine neue Richtlinienerzwingungwiederhergestellt wird. Beachten Sie Folgendes:

• Durch Deaktivierung von IPS werden sowohl der Host IPS- als auch derNetzwerk-IPS-Schutz deaktiviert.

• Wenn die Client-Benutzeroberfläche offen ist, haben die Menübefehle keine Wirkung.

Wählen Sie für diese Funktion zum Anzeigen des Symbols auf der Registerkarte ErweiterteOptionen die Option Deaktivieren von Funktionen über das Taskleistenmenüzulassen aus, und wählen Sie anschließend eine oder alle Funktionen aus, um sie zudeaktivieren.

2 Wählen Sie unter Bei Intrusionsereignis die Optionen aus, mit denen die Reaktion derClients auf einen Eindringungsversuch gesteuert wird.



Festlegen der erweiterten Optionen und Kennwörter für dieClient-Benutzeroberfläche

Mit den Einstellungen auf der Registerkarte Erweiterte Optionen der RichtlinieClient-Benutzeroberflächewird der Kennwortzugriff auf Windows- und Nicht-Windows-Clientskonfiguriert.

Mit den Kennwörtern wird die Windows-Client-Konsole entsperrt und der Zugriff auf dieFehlerbehebungssteuerung auf Windows- und Nicht-Windows-Clients ermöglicht. Das Kennwortwird aktiviert, sobald die Richtlinie auf den Client angewendet wird.

Es sind zwei Kennworttypen verfügbar:

• Ein Administratorkennwort, das von einem Administrator konfiguriert werden kann und gültigist, solange die Richtlinie auf den Client angewendet wird. Die Client-Konsole bleibt solangeentsperrt, bis sie geschlossen wird. Um die Client-Konsole wieder zu öffnen, geben Sie dasAdministratorkennwort erneut ein.

• Ein zeitbasiertes Kennwort mit Ablaufdatum und -zeit. Dieses Kennwort wird automatischgeneriert. Sie können ein einzelnes System angeben, auf dem das Kennwort erstellt werdensoll, oder das Kennwort in der Richtlinie "Client-Benutzeroberfläche" für alle Systeme erstellen,auf die die Richtlinie angewendet werden soll. Die Client-Konsole bleibt solange entsperrt,bis sie geschlossen wird.

HINWEIS: Richtlinien werden nicht auf dem Client durchgesetzt, solange die Client-Konsoleentsperrt ist.

Ausführliche Informationen finden Sie unter Entsperren der Windows-Client-Benutzeroberfläche.

Task

1 Klicken Sie in der Richtlinie "Client-Benutzeroberfläche", die auf ein System oder eine Gruppeangewendet wird, auf die Registerkarte Erweiterte Optionen.

2 Legen Sie fest, welchen Kennworttyp Sie erstellen möchten.

VorgehensweiseFür diesen Kennworttyp...

Administrator • Geben Sie ein Kennwort in das Textfeld Kennwort ein. Es mussmindestens zehn Zeichen lang sein.

• Geben Sie das Kennwort erneut in das Textfeld Kennwortbestätigen ein.

• Klicken Sie auf Speichern.

Zeitbasiert • Wählen Sie Zeitbasiertes Kennwort aktivieren aus.

• Geben Sie das Datum und die Uhrzeit des Zeitpunkts ein, an demdas Kennwort abläuft, und klicken Sie anschließend aufZeitbasiertes Kennwort errechnen. Das Kennwort wirdzusammen mit Ablaufdatum und -zeit in einem Dialogfeldangezeigt.

• Klicken Sie auf Speichern.

Erstellen von Kennwörtern pro SystemSie können zeitbasierte Kennwörter pro System erstellen und zuweisen.



Task

1 Überprüfen Sie auf der Registerkarte "Erweitert" in der Richtlinie "Client-Benutzeroberfläche",dass die Option für zeitbasierte Kennwörter aktiviert ist.

2 Klicken Sie auf Speichern, wenn Sie irgendwelche Änderungen an der Richtlinievorgenommen haben.

3 Gehen Sie zu Systeme | Systemstruktur.

4 Wenden Sie die Richtlinie "Client-Benutzeroberfläche auf die Gruppe an, die das Systementhält, für das das Kennwort gelten soll.

5 Wählen Sie die Gruppe aus, und wählen Sie dann auf der Registerkarte Systeme eineinzelnes System aus.

6 Klicken Sie auf Zeitbasiertes Kennwort erstellen.

7 Richten Sie das Datum und die Uhrzeit des Zeitpunkts ein, an dem das Kennwort abläuftund klicken Sie anschließend auf Zeitbasiertes Kennwort errechnen. Das Kennwortwird im Dialogfeld angezeigt.

Festlegen der Fehlerbehebungsoptionen für dieClient-Benutzeroberfläche

Mit den Einstellungen auf der RegisterkarteFehlerbehebung der Richtlinie"Client-Benutzeroberfläche" können Sie Protokollierungsoptionen bestimmen und Module ein-bzw. ausschalten.

Statt die Fehlerbehebungsfunktion für einen einzelnen Client zu verwenden, können SieFehlerbehebungsoptionen auf Richtlinienebene anwenden, die die Protokollierung von IPS- undFirewall-Ereignissen auslösen und bestimmte IPS-Module deaktivieren. Deaktivierte Modulemüssen nach Durchführung der Fehlerbehebung wieder aktiviert werden.

Task

1 Klicken Sie in der Richtlinie "Client-Benutzeroberfläche" auf die RegisterkarteFehlerbehebung.

2 Wählen Sie die Richtlinieneinstellungen, die Sie anwenden möchten:

VorgehensweiseZweck

Wählen Sie den Nachrichtentyp aus der Liste aus, umdie Protokollierung von Firewall-Ereignissen auszulösen.

Firewall-Protokollierung aktivieren

• Mit Debug werden alle Meldungen protokolliert.

• Mit Informationen werden Informationen,Warnungen und Fehlermeldungen protokolliert.

• Mit Warnung werden Warnungen undFehlermeldungen protokolliert.

• Mit Fehler werden Fehlermeldungen protokolliert.

• Mit Deaktiviert werden keine Meldungenprotokolliert.

Bei Windows-Clients lautet der Pfad für dieProtokolldatei: C:\Dokumente und Einstellungen\AlleBenutzer\Anwendungsdaten\McAfee\Host IntrusionPrevention\FireSvc.log. Unter Windows Vista, Windows2008 und Windows 7 lautet der Pfad:C:\Programmdaten\McAfee\Host IntrusionPrevention\FireSvc.log.



VorgehensweiseZweck

Wählen Sie den Nachrichtentyp aus der Liste aus, umdie Protokollierung von IPS-Ereignissen auszulösen.

IPS-Protokollierung aktivieren


• Mit Informationen werden Informationen,Warnungen und Fehlermeldungen protokolliert.

• Mit Warnung werden Warnungen undFehlermeldungen protokolliert.


• Mit Deaktiviert werden keine Meldungenprotokolliert.

Bei Windows-Clients lautet der Pfad für dieProtokolldatei: C:\Dokumente und Einstellungen\AlleBenutzer\Anwendungsdaten\McAfee\Host IntrusionPrevention\HipShield.log. Unter Windows Vista,Windows 2008 und Windows 7 lautet der Pfad:C:\Programmdaten\McAfee\Host IntrusionPrevention\HipShield.log

Wählen Sie Sicherheitsverstöße protokollieren,damit Ereignisse mit Sicherheitsverstößen imIPS-Protokoll angezeigt werden.

Sicherheitsverstöße in das IPS-Protokoll aufnehmen

Ändern Sie die Größe des Ereignisprotokolls vomStandardwert "1 MB" auf einen höheren Wert.

Größe des Ereignisprotokolls (in MB) auf dem Clientfestlegen

Deaktivieren Sie das Kontrollkästchen, um ein Modulzu deaktivieren, und wählen Sie das Kontrollkästchenerneut aus, um das Modul erneut zu aktivieren.

Module aktivieren und deaktivieren

HINWEIS: Details über das direkte Arbeiten mit dem HIP-Client finden Sie unter Arbeitenmit Host Intrusion Prevention-Clients.

Definieren vertrauenswürdiger NetzwerkeMithilfe der Richtlinie "Vertrauenswürdige Netzwerke" können Sie eine Liste mit Netzwerkadressenund Subnetzen verwalten, die Sie für Clients unter Windows als vertrauenswürdig einstufenund auf Firewall-Regeln anwenden können, deren Remote-Adresse als vertrauenswürdig undauf Netzwerk-IPS-Ausnahmen festgelegt ist.

Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie, in der lokale Subnetzeautomatisch enthalten sind, Netzwerkadressen jedoch nicht auflistet werden, und derbearbeitbaren Richtlinie "Mein Standard". Die vorkonfigurierte Richtlinie kann angezeigt unddupliziert werden; bearbeitbare, benutzerdefinierte Richtlinien können erstellt, bearbeitet,umbenannt, dupliziert, gelöscht und exportiert werden.

Konfigurieren der Richtlinie "Vertrauenswürdige Netzwerke"Mit den Einstellungen in dieser Richtlinie werden die Optionen für vertrauenswürdige Netzwerkefestgelegt und eine Liste der Netzwerkadressen und Subnetze verwaltet, die für Windows-Clientsals "vertrauenswürdig" gekennzeichnet sind.

Sie haben folgende Möglichkeiten:

Konfigurieren von allgemeinen RichtlinienDefinieren vertrauenswürdiger Netzwerke


• Optionen für vertrauenswürdige Netzwerke einrichten, einschließlichTrustedSource-Ausnahmen.

• Adressen oder Subnetze zur Vertrauensliste hinzufügen oder daraus löschen.

HINWEIS: Für Firewall-Regeln müssen Sie die Remote-Adresse auf Vertrauenswürdigfestlegen, um die Vorteile dieser Funktion nutzen zu können.

Task


1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie Host IntrusionPrevention: Allgemein aus der Liste Produkt und Vertrauenswürdige Netzwerkeaus der Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet.

2 Klicken Sie in der Richtlinienliste Vertrauenswürdige Netzwerke unter Aktionen aufBearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.


VorgehensweiseZweck

Wählen Sie unter Lokales Subnetz automatischeinschließen die Option Aktiviert aus.

Alle Benutzer desselben Subnetzes automatisch alsvertrauenswürdig behandeln, auch wenn diese nicht inder Liste genannt werden.

Geben Sie im Testfeld VertrauenswürdigeNetzwerke eine vertrauenswürdige IP-Adresse, einenAdressbereich oder ein Subnetz ein.

Der Liste eine vertrauenswürdige Netzwerkadressehinzufügen.

Wählen Sie Vertrauensstellung für IPS aus.Das Netzwerk für Netzwerk-IPS-Signaturen oderHTTP-Host- und benutzerdefinierte IPS-Signaturen alsvertrauenswürdig markieren.

Klicken Sie auf die Schaltfläche Entfernen ( – ) oderHinzufügen ( + ).

Einen vertrauenswürdigen Netzwerkadresseintragentfernen oder hinzufügen.


Definieren vertrauenswürdiger AnwendungenDie Richtlinie "Vertrauenswürdige Anwendungen" stellt einen Mechanismus zum Erstellen einerListe von Anwendungen dar, die als vertrauenswürdig gelten und für die kein Ereignis erzeugtwerden sollte. Die Pflege einer solchen Liste sicherer Anwendungen für ein System reduziertfalsch-positive Ergebnisse bzw. kann diese vollständig verhindern.

Die Richtlinie "Vertrauenswürdige Anwendungen" ist eine Richtlinie mit mehreren Instanzen,sodass Sie mehrere Richtlinieninstanzen zuweisen können; dies ermöglicht ein detaillierteresProfil der Nutzung vertrauenswürdiger Anwendungen.

Beim Optimieren (Tunen) einer Ausbringung ist das Erstellen von IPS-Ausnahmeregeln eineMöglichkeit, um die Anzahl von Falsch-Positiv-Meldungen zu reduzieren. Dies ist nicht immerpraktisch, wenn es um mehrere tausend Clients geht oder nur ein begrenzter Zeitraum undbegrenzte Ressourcen zur Verfügung stehen. Die bessere Lösung besteht darin, eine Liste vonvertrauenswürdigen Anwendungen zu erstellen, die innerhalb einer bestimmten Umgebung alssichere Anwendungen gelten. Wenn Sie beispielsweise eine Datensicherungsanwendung

Konfigurieren von allgemeinen RichtlinienDefinieren vertrauenswürdiger Anwendungen


ausführen, löst dies eine Vielzahl von Falsch-Positiv-Meldungen aus. Um dies zu vermeiden,geben Sie die Datensicherungsanwendung als vertrauenswürdige Anwendung an.

HINWEIS: Auch eine vertrauenswürdige Anwendung kann von verbreiteten Schwachstellen,wie einem Buffer Overflow oder einer unbefugten Verwendung, betroffen sein. Aus diesemGrund wird auch eine vertrauenswürdige Anwendung überwacht und kann bestimmte Ereignisseauslösen, um Schwachstellen zu schützen.

Diese Richtlinienkategorie beinhaltet eine vorkonfigurierte Richtlinie, die eine Liste mit spezifischenMcAfee-Anwendungen und Windows-Prozessen bietet. Die vorkonfigurierte Richtlinie kannangezeigt und dupliziert werden; benutzerdefinierte Richtlinien können bearbeitet, umbenannt,dupliziert, gelöscht und exportiert werden.

Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen"Mit den Einstellungen in der Richtlinie werden die Anwendungen angegeben, die in einerbestimmten Umgebung als sicher gelten.

Task


1 Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie Host IntrusionPrevention: Allgemein aus der Liste Produkt und Vertrauenswürdige Anwendungenaus der Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet.

2 Klicken Sie in der Richtlinienliste Vertrauenswürdige Anwendungen unter Aktionenauf Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.


VorgehensweiseZweck

Klicken Sie auf Anwendung hinzufügen. Siehe"Erstellen und Bearbeiten von Regeln fürvertrauenswürdige Anwendungen" für weitere Details.

Hinzufügen einer Anwendung

Wählen Sie folgende Befehle aus und klicken Sie darauf:Gleichzeitiges Durchführen einer Aktion für eine odermehrere Anwendungen • Aktivieren, um eine deaktivierte Anwendung zu

aktivieren.

• Deaktivieren, um eine aktivierte Anwendung zudeaktivieren.

• Löschen, um Anwendungen zu löschen.

• Kopieren nach, um Anwendungen in eine andereRichtlinie zu kopieren. Sie werden aufgefordert,die Richtlinie anzugeben.

Schaltfläche:Durchführen einer Aktion für eine einzelne Anwendung

• Bearbeiten, um eine vorhandene Anwendungzu bearbeiten. Siehe "Erstellen und Bearbeitenvon Regeln für vertrauenswürdige Anwendungen"für weitere Details.

• Duplizieren, um eine Kopie der Anwendunginnerhalb der gleichen Richtlinie unter dem Namen"Kopie von" der Originalanwendung zu erstellen.

• Löschen, um die Anwendung aus der Liste zuentfernen.




Erstellen und Bearbeiten von Regeln für vertrauenswürdigeAnwendungen

Indem Sie vorhandene vertrauenswürdige Anwendungen bearbeiten oder neue erstellen, könnenSie eine Liste der für Ihre Umgebung als sicher geltenden Anwendungen anlegen.

Task


1 Um eine neue Regel zu erstellen, klicken Sie auf der Seite der RichtlinieVertrauenswürdige Anwendungen auf Neue vertrauenswürdige Anwendung.Wenn Sie eine vorhandene Regel bearbeiten möchten, klicken Sie unter Aktionen aufBearbeiten.

HINWEIS: Sie können auch vertrauenswürdige Anwendungen erstellen, die auf einemEreignis basieren. Detaillierte Informationen finden Sie unter Erstellen vertrauenswürdigerAnwendungen aus Ereignissen unter Konfigurieren von IPS-Richtlinien.

2 Schreiben oder bearbeiten Sie den Namen der Anwendung, und geben Sie den Status derAnwendung an, einschließlich der Angabe, ob sie für IPS, Firewall oder beide Optionen alsvertrauenswürdig eingestuft ist.

3 Klicken Sie auf Neu, um eine ausführbare Datei für die Anwendung hinzuzufügen.

HINWEIS: Sie können eine vorhandene ausführbare Datei aus dem Host IPS-Kataloghinzuzufügen, indem Sie auf Aus Katalog hinzufügen klicken. Informationen über denKatalog erhalten Sie in Funktionsweise des Host IPS-Katalogs unter Konfigurieren vonFirewall-Richtlinien.

4 Klicken Sie auf OK, um die Änderungen zu speichern.

Zuweisen mehrerer Instanzen der RichtlinieMehrfachschutz mittels einer einzelnen Richtlinie ist möglich, indem einer Gruppe oder einemSystem in der Struktur von ePolicy Orchestrator eine oder mehrere Instanzen der Richtliniezugewiesen werden.

Die Richtlinie für IPS-Regeln und die Richtlinie für vertrauenswürdige Anwendungen habenbeide mehrere Instanzen, von denen auch mehrere zugewiesen werden können. Eine Richtliniemit mehreren Instanzen eignet sich beispielsweise für einen IIS-Server, wenn Sie eine allgemeineStandardrichtlinie, eine Server-Richtlinie und eine IIS-Richtlinie anwenden, wobei die beidenletzten speziell für Systeme konfiguriert sind, die als IIS-Server ausgeführt werden. BeimZuweisen mehrerer Instanzen wird quasi eine Zusammenfassung aller Elemente der einzelnenInstanzen zugewiesen.

HINWEIS: Die McAfee-Standardrichtlinie für IPS-Regeln und vertrauenswürdige Anwendungenwird im Rahmen von Inhaltsaktualisierungen aktualisiert. Es wird empfohlen, diese beidenRichtlinien immer anzuwenden, um den Schutzmechanismus so auf dem neuesten Stand zuhalten.

Für Richtlinien mit mehreren Instanzen wird eine Verknüpfung zur gültigen Richtlinie angezeigt.Über diese können Sie die Daten der kombinierten Richtlinieninstanzen einsehen.



Task


1 Wechseln Sie zu Systeme | Systemstruktur, und wählen Sie dann in der Systemstruktureine Gruppe aus.

HINWEIS: Bei einem einzelnen System wählen Sie eine Gruppe aus, die das System enthält.Wählen Sie auf der Registerkarte System das System und anschließendWeitere Aktionen| Richtlinien auf einem einzelnen System ändern aus.

2 Wählen Sie unter Richtlinien in der Liste Produkt den Eintrag Host IntrusionPrevention 8.0: IPS/Allgemein aus, und klicken Sie fürIPS-Regeln/Vertrauenswürdige Anwendungen auf Zuweisungen bearbeiten.

3 Klicken Sie auf der Seite Richtlinienzuweisung auf Neue Richtlinieninstanz, undwählen Sie aus der Liste Zugewiesene Richtlinien eine Richtlinie für die zusätzlicheRichtlinieninstanz aus. Wenn Sie den gültigen oder kombinierten Instanzregelsatz anzeigenmöchten, klicken Sie auf Gültige Richtlinie anzeigen.

4 Speichern Sie die Änderungen mit Speichern.



Arbeitenmit Host Intrusion Prevention-ClientsDer Host Intrusion Prevention-Client kann auf Windows-, Solaris- und Linux-Plattformen installiertwerden. Nur die Windows-Version des Clients hat eine Benutzeroberfläche, aber alle Versionenverfügen über eine Funktion zur Fehlerbehebung. Die grundlegenden Funktionen der einzelnenClient-Versionen werden hier vorgestellt.

Inhalt

Übersicht Windows-Client

Übersicht Solaris-Client

Übersicht Linux-Client

Übersicht Windows-ClientÜber eine Client-Konsole ist die direkte clientseitige Verwaltung des Host Intrusion PreventionWindows-Clients verfügbar. Der Client wird mithilfe des McAfee-Symbols in der Taskleiste oderdurch Ausführung vonMcAfeeFire.exe unter "C:\Programme\McAfee\Host Intrusion Prevention"aufgerufen.

Beim ersten Anzeigen der Client-Konsole sind die Optionen gesperrt, und Sie können nur dieaktuellen Einstellungen anzeigen. Um Zugriff auf alle Einstellungen in der Konsole zu erhalten,muss die Sperre der Schnittstelle mit einem Kennwort aufgehoben werden. Einzelheiten überdas Erstellen und Verwenden von Kennwörtern finden Sie unter Festlegen der erweitertenOptionen und Kennwörter für die Client-Benutzeroberfläche unter "Konfigurieren von allgemeinenRichtlinien".

TaskleistenmenüWenn das McAfee-Symbol in der Taskleiste angezeigt wird, können Sie darüber auf die HostIPS-Client-Konsole zugreifen. Die verfügbaren Funktionen unterscheiden sich je nach der Versiondes auf dem Client installierten McAfee-Agenten.

Mit McAfee Agent 4.0

Klicken Sie mit der rechten Maustaste auf das McAfee Agent-Symbol, und wählen Sie HostIntrusion Prevention aus, um ein Kontextmenü anzuzeigen, über das Sie die Konsole öffnenkönnen.

Tabelle 8: Menü von McAfee Agent 4.0ZweckSchaltfläche

Öffnen Sie die Host Intrusion Prevention-Client-Konsole.Konfigurieren


ZweckSchaltfläche

Öffnen Sie das Dialogfeld Info zu Host IntrusionPrevention, das die Versionsnummer und andereProduktinformationen anzeigt.

Info...

Wenn die Option Deaktivieren von Funktionen über das Taskleistenmenü zulassenausgewählt und in einer Richtlinie Client-Benutzeroberfläche angewendet wird, sind diefolgenden zusätzlichen Befehle verfügbar:

Tabelle 9: Menü von McAfee Agent 4.0 mit Deaktivieren zulassenZweckSchaltfläche

Aktivieren aller deaktivierten Funktionen. Nur verfügbar,wenn eine Funktion deaktiviert ist.

Einstellungen wiederherstellen

Deaktivieren der IPS- und der Firewall-Funktion. Nurverfügbar, wenn beide Funktionen aktiviert sind.

Alle deaktivieren

Deaktivieren der IPS-Funktion. Dies umfasst sowohl dieHost IPS- als auch die Netzwerk-IPS-Funktionen. Nurverfügbar, wenn die Funktion aktiviert ist.

IPS deaktivieren

Deaktivieren der Firewall-Funktion. Nur verfügbar, wenndie Funktion aktiviert ist.

Firewall deaktivieren

Wenn die Option Zeitbeschränkte Gruppe über dasMcAfee-Taskleistenmenü aktivierenauf der Registerkarte Zeitplan für eine Firewall-Gruppe in einer angewendeten RichtlinieFirewall-Regeln ausgewählt ist, sind die folgenden zusätzlichen Befehle verfügbar:

Tabelle 10: Menü von McAfee Agent 4.0 mit Zeitbeschränkte Gruppe zulassenZweckSchaltfläche

Aktiviert zeitbeschränkte Firewall-Gruppen für einenfestgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf

Durch Host IPS zeitbeschränkte Firewall-Regelgruppenaktivieren

das Internet zuzulassen, bevor Regeln angewendetwerden, die den Zugriff beschränken. Bei jeder Auswahldieses Befehls wird die Zeit für die Gruppen zurückgesetzt.

Zeigt die Namen der zeitbeschränkten Gruppen und dieverbleibende Zeit, für die die einzelnen Gruppen aktiv sind,an.

Status der durch Host IPS zeitbeschränktenFirewall-Regelgruppen anzeigen

Mit McAfee Agent 4.5

Klicken Sie mit der rechten Maustaste auf das McAfee Agent-Symbol in der Taskleiste, undwählen Sie Funktionen verwalten | Host Intrusion Prevention aus, um die Konsole zuöffnen.

HINWEIS: Das Symbol muss dazu sowohl im McAfee-Agenten als auch auf dem Host IPS-Clientangezeigt werden, um diese Zugriffsoption nutzen zu können. Wenn der McAfee-Agent nichtin der Taskleiste angezeigt wird, ist kein Zugriff auf Host IPS über die Taskleiste möglich, selbstwenn für den Client das Anzeigen eines Symbols in der Taskleiste festgelegt wurde.

Unter Schnellkonfiguration sind die folgenden Host Intrusion Prevention-Optionen verfügbar,wenn die Option Deaktivieren von Funktionen über das Taskleistenmenü zulassen ineiner angewendeten Richtlinie Client-Benutzeroberfläche ausgewählt ist:

Tabelle 11: Menü von McAfee Agent 4.5 SchnellkonfigurationZweckSchaltfläche

Ein- und Ausschalten des Host IPS-Schutzes.Host IPS

Arbeiten mit Host Intrusion Prevention-ClientsÜbersicht Windows-Client


ZweckSchaltfläche

Ein- und Ausschalten des Netzwerk-IPS-Schutzes.Netzwerk-IPS

Ein- und Ausschalten des Firewall-Schutzes.Firewall

Wenn unter Schnellkonfiguration die Option Zeitbeschränkte Gruppe über dasMcAfee-Taskleistenmenü aktivieren auf der Registerkarte "Zeitplan" für eine Firewall-Gruppein einer angewendeten Richtlinie Firewall-Regeln ausgewählt ist, sind die folgendenzusätzlichen Befehle verfügbar:

Tabelle 12: Menü von McAfee Agent 4.5 mit Zeitbeschränkte Gruppe zulassenZweckSchaltfläche

Aktiviert zeitbeschränkte Firewall-Gruppen für einenfestgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf

Durch Host IPS zeitbeschränkte Firewall-Regelgruppenaktivieren

das Internet zuzulassen, bevor Regeln angewendetwerden, die den Zugriff beschränken. Bei jeder Auswahldieses Befehls wird die Zeit für die Gruppen zurückgesetzt.

Zeigt die Namen der zeitbeschränkten Gruppen und dieverbleibende Zeit, für die die einzelnen Gruppen aktiv sind,an.

Status der durch Host IPS zeitbeschränktenFirewall-Regelgruppen anzeigen

Client-Konsole für Windows-ClientsÜber die Host Intrusion Prevention-Client-Konsole können Sie auf verschiedeneKonfigurationsoptionen zugreifen. Führen Sie die folgenden Schritte aus, um die Konsole zuöffnen:

• In McAfee Agent 4.0 klicken Sie mit der rechten Maustaste auf das McAfee-Symbol, undwählen Sie Host Intrusion Prevention und dann Konfigurieren aus.

• In McAfee Agent 4.5 klicken Sie mit der rechten Maustaste auf das McAfee-Symbol, undwählen Sie Funktionen verwalten,Host Intrusion Prevention und dann Konfigurierenaus.

• Führen Sie im Ordner "C:\Programme\McAfee\Host Intrusion Prevention" die DateiMcAfeeFire.exe aus.

In der Konsole können Sie Informationen zu den Funktionen von Host Intrusion Preventionanzeigen und konfigurieren. Sie umfasst mehrere Registerkarten, die jeweils einer speziellenHost Intrusion Prevention-Funktion entsprechen.

Entsperren der Windows-Client-BenutzeroberflächeEin Administrator, der Host Intrusion Prevention mithilfe von ePolicy Orchestrator über denFernzugriff verwaltet, kann einen Kennwortschutz für die Benutzeroberfläche festlegen, umunbeabsichtigte Änderungen zu verhindern. Mit festen Kennwörtern, die nicht ablaufen, oderzeitbasierten Kennwörtern kann ein Administrator oder Benutzer die Sperrung derBenutzeroberfläche temporär aufheben und Änderungen vornehmen.

Bevor Sie beginnen

Stellen Sie sicher, dass die allgemeine Host IPS-Richtlinie "Client-Benutzeroberfläche", in derdie Kennworteinstellungen enthalten sind, auf den Client angewendet wird. Dies erfolgt beieiner geplanten Richtlinienaktualisierung oder durch Erzwingen einer sofortigenRichtlinienaktualisierung. Der Client erkennt das Kennwort erst nach der erfolgtenRichtlinienaktualisierung.



Task

1 Das Kennwort erhalten Sie vom zuständigen Host Intrusion Prevention-Administrator.

HINWEIS: Einzelheiten über das Erstellen von Kennwörtern finden Sie unter Festlegen dererweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche unter Konfigurierenvon allgemeinen Richtlinien.

2 Öffnen Sie die Client-Konsole, und wählen Sie Task | Sperrung der Benutzeroberflächeaufheben aus.

3 Geben Sie das Kennwort im Dialogfeld Anmeldung ein, und klicken Sie auf OK.

Einstellen von Optionen für die Client-BenutzeroberflächeDie Host Intrusion Prevention-Client-Konsole ermöglicht den Zugriff auf einige Einstellungen,die von der Richtlinie für die Client-Benutzeroberfläche zur Verfügung gestellt werden, undermöglicht Ihnen, diese für einzelne Clients anzupassen.

Bevor Sie beginnen

Um folgenden Task durchführen zu können, muss zuerst die Client-Konsole mit einem Kennwortentsperrt werden.

Task

1 Wählen Sie in der Client-Konsole Task | Sprache der Benutzeroberfläche festlegenaus.

2 Wählen Sie die Sprache für die Benutzeroberfläche der Client-Konsole aus, und klicken Sieauf OK. Folgende Optionen sind verfügbar: Deutsch, Chinesisch, Englisch, Französisch,Italienisch, Japanisch, Koreanisch, Portugiesisch, Russisch, Spanisch. Wenn SieAutomatisch auswählen wird die Benutzeroberfläche in der Sprache des Betriebssystemsangezeigt, auf dem der Client installiert ist.

3 Wählen Sie Bearbeiten | Optionen aus.

4 Im Dialogfeld Host Intrusion Prevention-Optionen aktivieren und deaktivieren Sie dieentsprechenden Optionen je nach Bedarf. Klicken Sie anschließend auf OK.

Tabelle 13: Optionen auf der Client-KonsoleGewünschtes ErgebnisOption

Im Falle eines Angriffs wird eine Warnung angezeigt(nur IPS).

Popup-Warnung anzeigen

Bei einem Angriff wird ein Ton ausgegeben (nur IPS).Ton ausgeben

Das Taskleistensymbol zeigt bei einem Angriff einenAngriffsstatus an (nur IPS).

Benachrichtigung in der Taskleiste anzeigen

Dem Aktivitätsprotokoll wird eine Ausgabespaltehinzugefügt, um anzuzeigen, dass

Sniffer-Entdeckung erstellen, falls verfügbar

Sniffer-Intrusionsdaten erfasst wurden. Es wird in derDatei "FirePacketX.cap" unter"C:\Programmdaten\McAfee\Host IntrusionPrevention\McAfee Fire Saved Events" oder"C:\Dokumente und Einstellungen\AlleBenutzer\Anwendungsdaten\McAfee\Host IntrusionPrevention\McAfee Fire Saved Events" gespeichert (nurIPS).



Gewünschtes ErgebnisOption

Unter dem Taskleistenmenü von McAfee Agent wird"Host Intrusion Prevention" angezeigt.

Taskleistensymbol anzeigen

Fehlerbehebung für den Windows-ClientHost Intrusion Prevention enthält die Funktion "Problembehandlung", die im Menü "Hilfe"verfügbar ist, wenn die Benutzeroberfläche entsperrt ist. Folgende Optionen sind verfügbar:

Tabelle 14: FehlerbehebungsoptionenDefinitionOption

Ermittelt, welche Firewall-Meldungstypen protokolliertwerden sollen.

Protokollierung: Firewall

Ermittelt, welche IPS-Meldungstypen protokolliert werdensollen.

Protokollierung: IPS *

Protokollierung der IPS-Sicherheitsverstöße imIPS-Protokoll aktivieren.

Sicherheitsverstöße protokollieren *

Host IPS kann in der Liste "Software" bzw. "Programmehinzufügen/entfernen" angezeigt und vom Client entferntwerden.

Produkt in der Liste "Software" bzw. "Programmehinzufügen/entfernen" anzeigen

Deaktiviert bzw. aktiviert Host IPS-Klassenmodule als Teilder Fehlerbehebung neu.

Funktionen *

* Diese Option steht nur mit IPS-Schutz zur Verfügung.

HINWEIS: McAfee bietet ein Dienstprogramm (ClientControl.exe), das die Automatisierung vonUpgrades und anderen Wartungsaufgaben unterstützt, wenn Host Intrusion Prevention mitSoftware von Drittherstellern auf Client-Computern installiert wird. DiesesBefehlszeilendienstprogramm, das sich in Installations- und Wartungsskripte einbinden lässt,um den IPS-Schutz vorübergehend zu deaktivieren und Protokollierungsfunktionen zu aktivieren,wird als Teil der Installation bereitgestellt und befindet sich auf dem Client unter "C:\Programme\McAfee\Host Intrusion Prevention". Informationen siehe Clientcontrol.exe utilityunter Anhang B – Fehlerbehebung.

Einstellen von Optionen für die IPS-ProtokollierungAls Teil der Fehlerbehebung können Sie IPS-Aktivitätsprotokolle erstellen, die auf dem Systemanalysiert oder an den Support von McAfee gesendet werden können, um Ihnen bei derBehebung möglicher Probleme zu helfen. Verwenden Sie diesen Task, um die IPS-Protokollierungzu aktivieren.

Task

1 Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus.

2 Wählen Sie den IPS-Meldungstyp aus:

• Fehlerbehebung

• Deaktiviert

• Fehler

• Informationen

• Warnung



Wenn der Meldungstyp auf Deaktiviert festgelegt ist, wird keine Meldung protokolliert.

3 Klicken Sie auf OK. Die Daten werden gespeichert in der Datei "HipShield.log" unter"C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host IntrusionPrevention\; bei Windows Vista und neueren Versionen unterC:\Programmdaten\McAfee\Host Intrusion Prevention\.

Einstellen von Optionen für die Firewall-ProtokollierungAls Teil der Fehlerbehebung können Sie IPS- und Firewall-Aktivitätsprotokolle erstellen, die aufdem System analysiert oder an den Support von McAfee gesendet werden können, um Ihnenbei der Behebung möglicher Probleme zu helfen. Aktivieren Sie mit diesem Task dieFirewall-Protokollierung.

Task

1 Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus.

2 Wählen Sie den Firewall-Meldungstyp aus:

• Fehlerbehebung

• Deaktiviert

• Fehler

• Informationen

• WarnungWenn der Meldungstyp auf Deaktiviert festgelegt ist, wird keine Meldung protokolliert.

3 Klicken Sie auf OK. Die Daten werden gespeichert in der Datei "FireSvc.log" unter"C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host IntrusionPrevention\; bei Windows Vista und neueren Versionen unterC:\Programmdaten\McAfee\Host Intrusion Prevention\. Wenn die Datei eine Größe von100 MB überschreitet, wird eine neue Datei erstellt.

Deaktivieren von Host IPS-ModulenAls Teil der Fehlerbehebung können Sie auch Klassenmodule deaktivieren, die einen Clientschützen. Es wird empfohlen, dass nur Administratoren, die mit dem McAfee-Support inVerbindung stehen, dieses Fehlerbehebungsverfahren verwenden. Eine detaillierte Erläuterungdazu, was von den einzelnen Klassen geschützt wird, finden Sie unter Schreiben vonbenutzerdefinierten Signaturen.

Task


1 Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus, und klicken Sie dannauf Funktion.

2 Deaktivieren Sie im Dialogfeld HIPS-Module mindestens ein Modul. Um alle Module zudeaktivieren, heben Sie die Aktivierung von Alle Module aktivieren/deaktivieren auf.

HINWEIS: SQL und HTTP werden in der Liste nur dann angezeigt, wenn der Client einServer-Betriebssystem ausführt.




4 Nach Lösung des Problems aktivieren Sie im Dialogfeld HIPS-Module die deaktiviertenModule erneut.

Windows-Client-WarnungenMehrere Arten von Warnmeldungen können angezeigt werden, auf die der Benutzerunterschiedlich reagieren muss. Dazu zählen Warnungen zu Intrusionsentdeckung, Firewall undSpoofing-Entdeckung. Firewall-Warnungen werden nur angezeigt, wenn sich der Client für dieseFunktionen im Lernmodus befindet.

Reagieren auf IntrusionswarnungenWenn Sie den IPS-Schutz und die Option Popup-Warnung anzeigen aktivieren, wirdautomatisch eine Warnung angezeigt, wenn Host Intrusion Prevention einen potenziellen Angriffentdeckt. Wenn sich der Client im adaptiven Modus befindet, wird diese Warnung nur dannangezeigt, wenn die Option Client-Regeln zulassen für die Signatur die das Ereignis verursachthat, aktiviert ist.

Auf der Registerkarte Intrusionsinformationen finden Sie Einzelheiten über den Angriff, derdie Warnung generiert hat, einschließlich einer Beschreibung des Angriffs, desBenutzer-/Client-Computers, der das Ziel des Angriffs war, des am Angriff beteiligten Prozessessowie Uhrzeit und Datum des Abfangens durch Host Intrusion Prevention. Darüber hinaus kanneine generische, vom Administrator angegebene Meldung angezeigt werden.

Sie können das Ereignis entweder ignorieren, indem Sie auf Ignorieren klicken, oder eineAusnahmeregel für das Ereignis erstellen, indem Sie auf Ausnahme erstellen klicken. DieSchaltfläche Ausnahme erstellen ist nur aktiv, wenn die Option Client-Regeln zulassenfür die Signatur, die das Ereignis verursacht hat, aktiviert ist.

Wenn die Warnung das Ergebnis einer HIP-Signatur ist, wird in das Dialogfeld für dieAusnahmeregel vorab der Name des Prozesses, des Benutzers und der Signatur eingetragen.Sie können entweder Alle Signaturen oder Alle Prozesse, nicht jedoch beide Optionenauswählen. Der Benutzername wird immer in die Ausnahme aufgenommen.

Wenn die Warnung das Ergebnis einer NIP-Signatur ist, werden in das Dialogfeld für dieAusnahmeregel vorab der Name der Signatur und die Host-IP-Adresse eingetragen. Sie könnenoptional Alle Hosts auswählen.

Darüber hinaus können Sie mit Admin benachrichtigen Informationen zum Ereignis an denHost Intrusion Prevention-Administrator senden. Diese Schaltfläche ist nur aktiv, wenn dieOption Dem Benutzer erlauben, den Administrator zu benachrichtigen in derangewendeten Richtlinie für die Client-Benutzeroberfläche aktiviert ist.

Wählen Sie die Option Keine Warnungen für IPS-Ereignisse anzeigen, um die Anzeigevon Warnungen bei IPS-Ereignissen anzuhalten. Wenn Sie nach Auswahl dieser Option dieWarnungen wieder anzeigen möchten, wählen Sie im Dialogfeld Optionen die OptionPopup-Warnung anzeigen aus.

HINWEIS: Diese Eindringversuchswarnung wird auch bei Eindringversuchen in die Firewallangezeigt, wenn eine Firewall-Regel gefunden wird, für die die Option Regelübereinstimmungals Eindringversuch behandeln ausgewählt ist.



Reagieren auf Firewall-WarnungenWenn Sie den Firewall-Schutz und den Lernmodus für den eingehenden oder ausgehendenDatenverkehr aktivieren, wird eine Firewall-Warnung angezeigt und der Benutzer muss daraufreagieren.

Im Abschnitt Anwendungsinformationenwerden Informationen zu der Anwendung angezeigt,die versucht, auf das Netzwerk zuzugreifen. Diese beinhalten den Namen der Anwendung, denPfad und die Version. Im Abschnitt Verbindungsinformationen werden Informationen zumProtokoll des Datenverkehrs, zur Adresse und den beteiligten Ports angezeigt.

HINWEIS: Wenn zusätzliche Protokoll- oder Portinformationen für eine Anwendung vorliegen,werden im Abschnitt Verbindungsinformationen die Schaltflächen Zurück und Weiterangezeigt. Wurde mehr als eine Warnmeldung gesendet, sind die Schaltflächen Zurück undWeiter unten im Dialogfeld verfügbar.

Task

1 Führen Sie im Warnmeldungsdialogfeld einen der folgenden Schritte aus:

• Klicken Sie auf Verweigern, um diesen und ähnlichen Datenverkehr zu blockieren.

• Klicken Sie auf Erlauben, um diesen und ähnlichen Datenverkehr zuzulassen.2 Optional: Wählen Sie Optionen für die neue Firewall-Regel aus:

ZweckOption

Erstellt eine Regel, die den gesamten Datenverkehreiner Anwendung über alle Ports und Dienste zulässt

Firewall-Anwendungsregel für alle Ports und Diensteerstellen

bzw. blockiert. Wenn Sie diese Option nicht auswählen,dann gilt die neue Firewall-Regel nur für bestimmtePorts:

• Wenn der abgefangene Datenverkehr einen Portunter 1024 verwendet, bezieht sich die neue Regelnur auf diesen Port.

• Wenn der Datenverkehr den Port 1024 oder einendarüberliegenden verwendet, dann bezieht sich dieneue Regel auf alle Ports zwischen 1024 und 65535.

Erstellt eine temporäre Zulassungs- oderBlockierungsregel, die beim Schließen der Anwendung

Diese Regel bei Beenden der Anwendung löschen

gelöscht wird. Wenn Sie diese Option nicht auswählen,dann wird die neue Firewall-Regel als permanenteClient-Regel erstellt.

Host Intrusion Prevention erstellt eine neue Firewall-Regel auf Grundlage der ausgewähltenOptionen, fügt diese zur Richtlinienliste Firewall-Regeln hinzu und wendet sie automatischauf ähnlichen Datenverkehr an.

Reagieren auf Warnungen bei erkanntem SpoofingNach Aktivierung des Firewall-Schutzes wird automatisch eine Spoof-Warnung angezeigt, wennHost Intrusion Prevention erkennt, dass eine Anwendung auf dem Computer gefälschteNetzwerkdaten sendet und ein Benutzer darauf reagieren muss.

Das bedeutet, dass die Anwendung versucht, den Datenverkehr als von Ihrem Computerausgehend zu tarnen; tatsächlich stammt er jedoch von einem anderen Computer. Hierzu wirddie IP-Adresse in den ausgehenden Paketen verändert. Spoofing ist stets eine verdächtige



Aktivität. Wenn dieses Dialogfeld angezeigt wird, sollten Sie die Anwendung, die den gefälschtenDatenverkehr erzeugt hat, sofort überprüfen.

HINWEIS: Das Dialogfeld Warnungen bei erkanntem Spoofing wird nur angezeigt, wenndie Option Popup-Warnung anzeigen ausgewählt ist. Wenn Sie diese Option nicht aktivieren,blockiert Host Intrusion Prevention automatisch den gefälschten Datenverkehr, ohne Siediesbezüglich zu benachrichtigen.

Das Dialogfeld Warnungen bei erkanntem Spoofing entspricht weitgehend der Warnungdurch die Firewall-Funktion für den Lernmodus. Es enthält in zwei Abschnitten Informationenüber den abgefangenen Datenverkehr – im Abschnitt Anwendungsinformationen und imAbschnitt Verbindungsinformationen.

Im Abschnitt Anwendungsinformationen wird Folgendes angezeigt:

• Die IP-Adresse, von der der Datenverkehr angeblich stammt.

• Informationen über das Programm, das den gefälschten Datenverkehr erzeugt hat.

• Datum und Uhrzeit, zu der der Datenverkehr durch Host Intrusion Prevention abfangenwurde.

Im Abschnitt Verbindungsinformationen werden weitere Netzwerkdaten angezeigt: LokaleAdresse zeigt die IP-Adresse an, die die Anwendung angeblich hat, während Remote-Adressedie tatsächliche IP-Adresse anzeigt.

Wenn Host Intrusion Prevention gefälschten Netzwerkdatenverkehr entdeckt, wird sowohl derDatenverkehr als auch die Anwendung blockiert, die ihn erzeugt hat.

Informationen zur Registerkarte "IPS-Richtlinie"Verwenden Sie die Registerkarte "IPS-Richtlinie", um die IPS-Funktion zu konfigurieren, dieeinen auf Signatur- und Verhaltensregeln basierenden Schutz vor Host-Intrusionsangriffenbietet. Über diese Registerkarte können Sie Funktionen aktivieren und deaktivieren undClient-Ausnahmeregeln konfigurieren. Weitere Einzelheiten zu IPS-Richtlinien finden Sie imAbschnitt Konfigurieren von IPS-Richtlinien.

Die Registerkarte "IPS-Richtlinie" zeigt Ausnahmeregeln an, die für den Client relevant sind,mit zusammengefassten und detaillierten Informationen über jede Regel.

Tabelle 15: Registerkarte "IPS-Richtlinie"Zeigt Folgendes an...Diese Spalte...

Name der Ausnahme.Ausnahme

Der Name der Signatur, für die die Ausnahme erstellt wird.Signatur

Die Anwendung, für die diese Regel gilt, einschließlich desProgrammnamens und des Namens der ausführbarenDatei.

Anwendung

Anpassen von Optionen für IPS-RichtlinienMit den Optionen oben auf der Registerkarte werden die Einstellungen gesteuert, die durchServer-seitige IPS-Richtlinien zur Verfügung gestellt werden, nachdem dieClient-Benutzeroberfläche entsperrt wurde.

Task

1 In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte IPS-Richtlinie.



2 Aktivieren und deaktivieren Sie die entsprechende Option je nach Bedarf.

ZweckOption

Aktivieren des Host Intrusion Prevention-Schutzes.Host IPS aktivieren

Aktivieren des Schutzes durch denNetzwerkeindringungsschutz.

Netzwerk-IPS aktivieren

Aktivieren des adaptiven Modus, um automatischAusnahmen für Eindringungsschutz-Signaturen zuerstellen.

Adaptiven Modus aktivieren

Automatisches Blockieren vonNetzwerkintrusions-Angriffen für einen bestimmten

Angreifer automatisch blockieren

Zeitraum. Gibt die Anzahl der Minuten imentsprechenden Feld an.

Erstellen und Bearbeiten von Ausnahmeregeln für IPS-RichtlinienIPS-Ausnahmeregeln können auf dem Client auf der Registerkarte IPS-Richtlinie angezeigt,erstellt und bearbeitet werden.

Task

1 Klicken Sie in der Registerkarte IPS-Richtlinie auf Hinzufügen, um eine Regelhinzuzufügen.

2 Geben Sie im Dialogfeld Ausnahmeregel eine Beschreibung für die Regel ein.

3 Wählen Sie in der Anwendungsliste die Anwendung aus, für die die Regel gilt, oder klickenSie auf Suchen, um nach der Anwendung zu suchen.

4 Wählen Sie Ausnahmeregel ist aktiv, um die Regel zu aktivieren. Die Ausnahme giltfür alle Signaturen ist laut Standardeinstellung nicht aktiviert und nicht ausgewählt;diese Option wendet die Ausnahme auf alle Signaturen an.


6 Führen Sie für andere Bearbeitungen einen der folgenden Schritte durch:

VorgehensweiseZweck

Doppelklicken Sie auf eine Regel oder wählen Sie eineRegel aus, und klicken Sie auf Eigenschaften. Das

Anzeigen der Einzelheiten einer Regel oder Bearbeiteneiner Regel

Dialogfeld Ausnahmeregel wird angezeigt, in demRegelinformationen angezeigt werden, die bearbeitetwerden können.

Aktivieren oder deaktivieren Sie das KontrollkästchenAusnahmeregel ist aktiv im Dialogfeld Ausnahmeregel.

Aktivieren/Deaktivieren einer Regel

Sie können auch das Kontrollkästchen neben demRegelsymbol in der Liste aktivieren oder deaktivieren.

Wählen Sie eine Regel aus, und klicken Sie aufEntfernen.

Löschen einer Regel

Klicken Sie auf Übernehmen. Wenn Sie nach denvorgenommenen Änderungen nicht auf diese

Sofortiges Übernehmen der Änderungen

Schaltfläche klicken, wird ein Dialogfeld mit derMitteilung angezeigt, ob die Änderungen gespeichertwerden sollen.



Informationen zur Registerkarte "Firewall-Richtlinie"Auf der Registerkarte Firewall-Richtlinie konfigurieren Sie die Firewall-Funktion, die auf Basisder von Ihnen bestimmten Regeln die Netzwerkkommunikation gestattet oder blockiert. Überdiese Registerkarte können Sie Funktionen aktivieren und deaktivieren und Client-Firewall-Regelnkonfigurieren. Weitere Einzelheiten zu Firewall-Richtlinien finden Sie im Abschnitt Konfigurierenvon Firewall-Richtlinien.

Die Firewall-Regelliste zeigt Regeln und Regelgruppen an, die für den Client relevant sind, mitzusammengefassten und detaillierten Informationen über jede Regel. Regeln in Kursivschriftkönnen nicht bearbeitet werden.

Tabelle 16: Registerkarte "Firewall-Richtlinie"BeschreibungElement

Gibt an, ob die Regel aktiviert (ausgewählt) oderdeaktiviert (nicht ausgewählt) ist. Regeln, die nicht in

Kontrollkästchen

Kursivschrift angezeigt werden, können über dasKontrollkästchen aktiviert oder deaktiviert werden.

Zeigt die Liste der enthaltenen Regeln an. Klicken Sie aufdas Feld mit dem Pluszeichen, um die Regeln anzuzeigen,Firewall-Gruppebzw. auf das Feld mit dem Minuszeichen, um sieauszublenden.

Zeigt die Gruppe als zeitbeschränkte Gruppe an.Zeitbeschränkte Gruppe

Zeigt die Gruppe als standortabhängige Gruppe an.Standortabhängige Gruppe

Zeigt die grundlegenden Eigenschaften der Regel an.Klicken Sie auf das Feld mit dem Pluszeichen, um dieFirewall-RegelEigenschaften anzuzeigen, bzw. auf das Feld mit demMinuszeichen, um sie auszublenden.

Gibt an, ob es sich um eine Regel handelt, die den

Datenverkehr gestattet ( ) oder blockiert ( ).

Regelaktion

Gibt an, ob die Regel für eingehenden Datenverkehr,

ausgehenden Datenverkehr oder beides gilt.

Regelrichtung

Anpassen von Optionen für Firewall-RichtlinienMit den Optionen oben auf der Registerkarte werden die Einstellungen gesteuert, die durchServer-seitige Firewall-Richtlinien zur Verfügung gestellt werden, nachdem dieClient-Benutzeroberfläche entsperrt wurde.

Task

1 In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte Firewall-Richtlinie.


OptionZweck

Firewall aktivierenAktivieren des Firewall-Richtlinienschutzes.

Lernmodus eingehendAktivieren des Lernmodus für den eingehendenDatenverkehr.



OptionZweck

Lernmodus ausgehendAktivieren des Lernmodus für den ausgehendenDatenverkehr.

Adaptiver ModusAktivieren des adaptiven Modus.

Vertrauenswürdige NetzwerkeAnzeigen der vertrauenswürdigen Netzwerke.

Erstellen und Bearbeiten von Firewall-RegelnFirewall-Regeln können auf dem Client auf der Registerkarte Firewall-Richtlinie angezeigt,erstellt und bearbeitet werden.

Task

1 Klicken Sie auf der Registerkarte Firewall-Richtlinie auf Hinzufügen, um eine Regelhinzuzufügen.

HINWEIS: In der Client-Konsole können Sie nur Regeln, keine Gruppen erstellen.

2 Geben Sie auf der Seite Allgemein den Namen der Regel ein, und wählen Sie dieInformationen für die Regelaktion und -richtung aus.

3 Klicken Sie auf Weiter, um zu den anderen Seiten zu wechseln und dieStandardeinstellungen zu ändern.

HINWEIS: Jede Seite des Regelgenerators entspricht einer Registerkarte desFirewall-Regelgenerators in der Richtlinie "Firewall-Regeln".

Einzugebende InformationenSeite

Name, Status, Aktion und Richtung der Regel.Allgemein

IP-Adresse, Subnetz, Domäne oder ein anderer spezieller Bezeichner fürdiese Regel.

Netzwerke

Das Protokoll und die lokale und Remote-Adressen, für die diese Regel gilt.Sie können eine spezifische Adresse, einen Adressbereich, eine Listespezifischer Adressen oder alle Adressen angeben.

Transport

Die Anwendung, für die diese Regel gilt, einschließlich des Namens derausführbaren Datei.

Anwendungen

Der Zeitplan für die Regel, sofern verfügbar.Plan

4 Klicken Sie auf Fertig stellen, um die neue Regel zu speichern.


VorgehensweiseZweck

Wählen Sie eine Regel aus, und klicken Sie auf Eigenschaften. DasFirewall-Regelgenerator-Dialogfeld mit den Regelinformationen wird angezeigt.Wenn die Regel nicht in Kursivschrift angezeigt wird, können Sie sie bearbeiten.

Anzeigen der Einzelheiten einerRegel oder Bearbeiten einerRegel

Aktivieren oder deaktivieren Sie das Kontrollkästchen neben "Aktiviert" auf derSeite Allgemein der Firewall-Regel. Sie können auch das Kontrollkästchenneben der Regel in der Liste aktivieren oder deaktivieren.

Aktivieren/Deaktivieren einerRegel

Wählen Sie die Regel aus, normalerweise eine Standardregel, die nicht bearbeitetwerden kann, und klicken Sie auf Duplizieren.

Erstellen einer Kopie einervorhandenen Regel

Wählen Sie eine Regel aus, und klicken Sie auf Entfernen.Löschen einer Regel



VorgehensweiseZweck

Klicken Sie auf Übernehmen. Wenn Sie nach den vorgenommenen Änderungennicht auf diese Schaltfläche klicken, wird ein Dialogfeld mit der Mitteilungangezeigt, ob die Änderungen gespeichert werden sollen.

Sofortiges Übernehmen derÄnderungen

Informationen zur Registerkarte "Blockierte Hosts"Verwenden Sie die Registerkarte Blockierte Hosts, um eine Liste von blockierten Hosts(IP-Adressen) zu überwachen, die automatisch erstellt wird, wenn der Netzwerk-IPS-Schutz(NIPS) aktiviert ist. Wenn die Option Client-Regeln erstellen in der Richtlinie "IPS-Optionen"in der ePolicy Orchestrator-Konsole ausgewählt ist, können Sie die Liste der blockierten Hostserweitern und bearbeiten.

Die Liste der blockierten Hosts zeigt alle Hosts an, die gegenwärtig durch Host IntrusionPrevention blockiert werden. Jede Zeile stellt einen einzelnen Host dar. Weitere Einzelheitenüber einzelne Hosts finden Sie in den Informationen in den einzelnen Spalten.

Tabelle 17: Registerkarte Blockierte HostsAnzeigeSpalte

Die durch Host Intrusion Prevention blockierte IP-Adresse.Quelle

Eine Erklärung, weshalb Host Intrusion Prevention dieseAdresse blockiert.

Hat Host Intrusion Prevention diese Adresse aufgrundeines Angriffs auf das System der Liste hinzugefügt, wird

Blockierungsgrund

die Art des Angriffs in dieser Spalte genauer beschrieben.Hat Host Intrusion Prevention diese Adresse hinzugefügt,weil eine der Firewall-Regeln die OptionRegelübereinstimmung als Intrusion behandelnverwendet hat, steht in dieser Spalte der Name derjeweiligen Firewall-Regel. Wurde die Adresse von Handhinzugefügt, steht in der Spalte nur die blockierteIP-Adresse.

Uhrzeit- und Datum des Zeitpunkts, an dem diese Adressevon Ihnen zur Liste der blockierten Adressen hinzugefügtwurde.

Uhrzeit

Dauer des Blockierens dieser Adresse durch Host IntrusionPrevention.

Haben Sie bei Blockierung dieser Adresse eine Ausnahmeangegeben, werden in dieser Spalte die Minuten

Verbleibende Zeit

angezeigt, nach deren Ablauf Host Intrusion Preventiondie Adresse aus der Liste löscht. Wurde angegeben, dassdie Adresse solange blockiert werden soll, bis sie manuellaus der Liste gelöscht wird, steht in dieser Spalte Biszur Entfernung.

Bearbeiten der Liste "Blockierte Hosts"Die Liste der blockierten Adressen kann bearbeitet werden, um blockierte Hosts hinzuzufügen,zu entfernen, zu ändern und aufzurufen.

Task

1 Klicken Sie auf Hinzufügen, um einen Host hinzuzufügen.



2 Geben Sie im Dialogfeld "Blockierter Host" die zu blockierende IP-Adresse ein. Um eineIPS-Adresse nach Domänenname zu suchen, klicken Sie auf DNS-Suche. Wenn Sie dengewünschten Hostnamen finden, klicken Sie auf Verwenden.

3 Geben Sie die Anzahl der Minuten ein (max. 60), für welche die IP-Adresse blockiert wird.


HINWEIS: Nachdem Sie eine blockierte Adresse erstellt haben, fügt Host Intrusion Preventioneinen neuen Eintrag zur Liste auf der Registerkarte Anwendungsschutz hinzu. Alle vondieser IP-Adresse ausgehenden Kommunikationsversuche werden blockiert, bis Sie dieAdresse aus der Liste der blockierten Adressen entfernen oder bis eine festgelegteZeitspanne verstrichen ist.


VorgehensweiseZweck

Doppelklicken Sie auf einen Host-Eintrag oder wählenSie einen Host aus, und klicken Sie auf Eigenschaften.

Anzeigen der Einzelheiten oder Bearbeiten einesblockierten Hosts

Im Dialogfeld Blockierte Hosts werden Informationenangezeigt, die bearbeitet werden können.

Wählen Sie einen Host aus, und klicken Sie aufEntfernen.

Löschen eines blockierten Hosts

Klicken Sie auf Übernehmen. Wenn Sie nach denvorgenommenen Änderungen nicht auf diese


Schaltfläche klicken, wird ein Dialogfeld mit derMitteilung angezeigt, ob die Änderungen gespeichertwerden sollen.

Informationen zur Registerkarte "Anwendungsschutzliste"Auf der Registerkarte Anwendungsschutzliste wird eine Liste von geschützten Anwendungenauf dem Client angezeigt. Hierbei handelt es sich um eine über eine administrative Richtlinieerstellte schreibgeschützte Liste und um eine heuristisch erstellte clientspezifischeAnwendungsliste.

In dieser Liste werden alle auf dem Client überwachten Prozesse angezeigt.

Tabelle 18: Registerkarte AnwendungsschutzAnzeigeSpalte

Der Anwendungsprozess.Prozess

Die Prozess-ID, die der Schlüssel für die Cache-Suche einesProzesses ist.

PID

Der vollständige Pfadname der ausführbaren Anwendung.Vollständiger Pfad der Anwendung

Arbeiten mit der Registerkarte "Aktivitätsprotokoll"Auf der Registerkarte Aktivitätsprotokoll werden die Protokollierungsfunktion konfiguriertund Host Intrusion Prevention-Aktionen nachverfolgt.

Das Aktivitätsprotokoll enthält ein laufendes Aktivitätsprotokoll. Die neuesten Aktivitäten werdenunten in der Liste angezeigt.



AnzeigeSpalte

Datum und Uhrzeit der Host Intrusion Prevention-Aktion.Uhrzeit

Die Funktion, die diese Aktion durchgeführt hat.Ereignis

• Verkehr weist auf eine Firewall-Aktion hin.

• Anwendung weist auf eine Anwendungsblockieraktion hin.

• Intrusion weist auf eine IPS-Aktion hin.

• System weist auf einen Ereignisbezug zu den internen Komponentender Software hin.

• Dienst weist auf einen Ereignisbezug zum Dienst oder den Treibernder Software hin.

Die Remote-Adresse, an die diese Kommunikation entweder gesendet odervon der sie empfangen wurde.

IP-Adresse/Benutzer

Dieses Symbol zeigt an, dass Host Intrusion Prevention die mit diesemAngriff verknüpften Paketdaten gespeichert hat (wird nur für

Intrusionsdaten

IPS-Protokolleinträge angezeigt). Sie können die mit diesem Protokolleintragverknüpften Paketdaten exportieren. Klicken Sie mit der rechten Maustasteauf den Protokolleintrag, um die Daten in einer Sniffer-Datei zu speichern.

HINWEIS: Diese Spalte wird nur angezeigt, wenn Sie Sniffer-Entdeckungerstellen... im Dialogfeld McAfee-Optionen wählen.

Das Programm, das die Aktion verursacht hat.Anwendung

Eine detaillierte Beschreibung der Aktion.Nachricht

Der Name der übereinstimmenden Regel.

HINWEIS: Diese Spalte befindet sich ganz rechts in der Anzeige, sodass Sieentweder einen Bildlauf ausführen oder die Größe der Spalten anpassenmüssen, um die Spalte und den Inhalt anzuzeigen.

Regelübereinstimmung

Anpassen von Optionen für das AktivitätsprotokollMit den Optionen oben auf der Registerkarte werden die Protokollierungseinstellungen gesteuert,die durch Server-seitige Client-UI-Richtlinien zur Verfügung gestellt werden, nachdem dieClient-Benutzeroberfläche entsperrt wurde.

Task

1 In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte Aktivitätsprotokoll.


ZweckOption

Protokollieren des gesamten blockiertenFirewall-Datenverkehrs.

Verkehrsprotokollierung – Alle Blockierungenprotokollieren

Protokollieren des gesamten zulässigenFirewall-Datenverkehrs.

Verkehrsprotokollierung – Alle Zulassungenprotokollieren

Filtern der Daten, um blockierten und zulässigenFirewall-Datenverkehr anzuzeigen.

Filteroptionen – Datenverkehr

Filtern der Daten, um Intrusionen anzuzeigen.Filteroptionen – Intrusionen

HINWEIS: Sie können die Protokollierung für den Firewall-Datenverkehr aktivieren unddeaktivieren, jedoch nicht für die IPS-Funktion. Sie können jedoch festlegen, dass dieseEreignisse im Protokoll durch Filterung ausgeblendet werden.



3 Führen Sie einen der folgenden Schritte aus, um die Anzeige zu ändern:

VorgehensweiseZweck

Klicken Sie auf Aktualisieren.Aktualisieren der Anzeige

Klicken Sie auf Löschen.Endgültiges Löschen der Protokollinhalte

Klicken Sie auf Exportieren. Benennen und speichern Siedie TXT-Datei im angezeigten Dialogfeld.

Speichern der Protokollinhalte und Löschen derListe aus der Registerkarte

Klicken Sie auf Übernehmen. Wenn Sie nach denvorgenommenen Änderungen nicht auf diese Schaltfläche


klicken, wird ein Dialogfeld mit der Mitteilung angezeigt, obdie Änderungen gespeichert werden sollen.

Übersicht Solaris-ClientDer Host Intrusion Prevention-Client für Solaris erkennt und blockiert schädliche Angriffe, mitdenen versucht wird, die Dateien und Anwendungen auf einem Solaris-Server zu schädigen.Der Client schützt das Betriebssystem des Servers sowie Apache- und Sun-Web-Server, wobeiverstärkt auf das Verhindern von Buffer Overflow-Angriffen geachtet wird.

Richtlinienerzwingung mit dem Solaris-ClientNicht alle Richtlinien, die einen Windows-Client schützen, stehen dem Solaris-Client zurVerfügung. Host Intrusion Prevention schützt also den Hostserver vor schädlichen Angriffen,bietet jedoch keinen Firewall-Schutz. Die gültigen Richtlinien sind hier aufgelistet.

Tabelle 19: Solaris-Client-RichtlinienVerfügbare OptionenRichtlinie

Host Intrusion Prevention 8.0 IPS

IPS-Optionen • HIPS aktivieren

• Adaptiven Modus aktivieren

• Bestehende Client-Regeln beibehalten

AlleIPS-Schutz

IPS-Regeln • Ausnahmeregeln

• Signaturen (nur standardmäßige undbenutzerdefinierte HIPS-Regeln)

HINWEIS: NIPS-Signaturen und Anwendungsschutzregelnsind nicht verfügbar.

Host Intrusion Prevention 8.0 IPS Allgemein

Das Tool zur Fehlerbehebung kann nur mit Administrator-oder zeitbasiertem Kennwort verwendet werden.

Client-Benutzeroberfläche

KeineVertrauenswürdige Netzwerke

Nur mit Für IPS als vertrauenswürdigmarkieren undNeuer Prozessname können vertrauenswürdigeAnwendungen hinzugefügt werden.

Vertrauenswürdige Anwendungen

KeineHost Intrusion Prevention 8.0 Firewall

Arbeiten mit Host Intrusion Prevention-ClientsÜbersicht Solaris-Client


Fehlerbehebung für den Solaris-ClientSollte während der Installation oder Deinstallation des Clients ein Problem aufgetreten sein,können verschiedene Sachen überprüft werden. Sie können beispielsweise prüfen, ob alleerforderlichen Dateien im richtigen Verzeichnis installiert wurden, den Client deinstallieren unddann erneut installieren und die Prozessprotokolle überprüfen. Darüber hinaus könnenmöglicherweise Probleme beim Client-Betrieb auftreten. Sie können prüfen, ob der Clientausgeführt wird, den Client anhalten und neu starten.

Der Solaris-Client verfügt nicht über eine Benutzerschnittstelle zur Behebung vonBetriebsproblemen. Er bietet jedoch ein Fehlerbehebungstool in der Befehlszeile, hipts, das sichim Verzeichnis /opt/McAfee/hip befindet. Um dieses Tool verwenden zu können, müssen Sie einHost Intrusion Prevention-Client-Kennwort eingeben. Verwenden Sie das Standardkennwort,das Sie mit dem Client erhalten haben (abcde12345), oder senden Sie eine Richtlinie für dieClient-Benutzeroberfläche an den Client, die entweder ein Administratorkennwort oder einzeitbasiertes Kennwort enthält, das mit der Richtlinie festgelegt wurde, und verwenden Siedieses Kennwort.

Verwenden Sie das Fehlerbehebungstool für Folgendes:

• Angeben der Protokollierungseinstellungen und des Modulstatus für den Client

• Aktivieren und Deaktivieren der Nachrichtenprotokollierung

• Aktivieren und Deaktivieren der Module

Melden Sie sich als Root-Benutzer an und führen Sie die folgenden Befehle aus, um bei derFehlerbehebung zu helfen.

AusführungZweck

hipts statusAbrufen des aktuellen Status des Clients, der angibt,welche Protokollierungsart aktiviert ist und welche Moduleausgeführt werden.

hipts logging onAktivieren der Protokollierung bestimmterNachrichtentypen.

hipts logging offDeaktivieren der Protokollierung für alle Nachrichtentypen.Die Protokollierung ist standardmäßig deaktiviert.

hipts message <Meldungsname>:onAnzeigen des angegebenen Nachrichtentyps, wenn dieProtokollierung auf "on" gesetzt ist. Die Meldungenumfassen Folgendes:

• Fehler

• Warnung

• Debug

• Info

• Verstöße

hipts message <Meldungsname>:offAnzeigen des angegebenen Nachrichtentyps, wenn dieProtokollierung auf "on" gesetzt ist. Die Fehlermeldung iststandardmäßig deaktiviert.

hipts message all:onAnzeigen aller Nachrichtentypen, wenn die Protokollierungauf "on" gesetzt ist.

hipts message all:offVerbergen aller Nachrichtentypen, wenn die Protokollierungauf "on" gesetzt ist.

hipts message <Meldungsname>:onAktivieren des angegebenen Moduls. Das Modul iststandardmäßig aktiviert. Die Module umfassen:

• MISC

• FILES



AusführungZweck

• GUID

• MMAP

• BO

• HTTP

hipts message <Meldungsname>:offDeaktivieren des angegebenen Moduls.

hipts engines all:onAktivieren aller Module.

hipts engines all:offDeaktivieren aller Module.

TIPP: Zusätzlich zur Verwendung des Fehlerbehebungstools können Sie mit Hilfe der DateienHIPShield.log und HIPClient.log im Verzeichnis /opt/McAfee/hip/log Vorgänge überprüfen oderProbleme nachverfolgen.

Überprüfen der Solaris-InstallationsdateienNach der Installation sollten Sie überprüfen, ob alle Dateien im richtigen Verzeichnis auf demClient installiert wurden. Das Verzeichnis opt/McAfee/hip sollte die folgenden grundlegendenDateien und Verzeichnisse enthalten:

BeschreibungDatei-/Verzeichnisname

Solaris-ClientHipClient; HipClient-bin

RichtlinienregelnHipClientPolicy.xml

Fehlerbehebungstoolhipts; hipts-bin

Gemeinsame Objektmodule von Host Intrusion Prevention und McAfeeAgent

*.so

Enthält Debug- und FehlerprotokolldateienProtokollverzeichnis

Der Installationsverlauf wird in die Datei /opt/McAfee/etc/hip-install.log geschrieben. Lesen Sie indieser Datei nach, wenn Sie Fragen zur Installation oder Entfernung des Host IntrusionPrevention-Clients haben.

Überprüfen, ob der Solaris-Client ausgeführt wirdAuch wenn der Client ordnungsgemäß installiert ist, können während des Betriebs Problemeauftreten. Wenn der Client beispielsweise nicht in der ePO-Konsole angezeigt wird, überprüfenSie mithilfe eines der folgenden Befehle, ob er ausgeführt wird:

• /etc/rc2.d/S99hip status

• ps –ef | grep Hip

Anhalten des Solaris-ClientsBei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartetwerden.

Task

1 Um einen ausgeführten Client anzuhalten, deaktivieren Sie zuerst den IPS-Schutz. VerwendenSie eine der folgenden Vorgehensweisen:



Stellen Sie die IPS-Optionen in der ePO-Konsole auf Aus, und wenden Sie die Richtlinieauf den Client an.

•

• Sie müssen im Stammverzeichnis angemeldet sein und folgenden Befehl ausführen:hipts engines MISC:off

2 Führen Sie folgenden Befehl aus: /sbin/rc2.d/S99hip stop.

Neustarten des Solaris-ClientsBei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartetwerden.

Task

1 Führen Sie folgenden Befehl aus: /etc/rc2.d/S99hip restart.

2 Aktivieren Sie den IPS-Schutz. Verwenden Sie eine der folgenden Vorgehensweisen, jenachdem, welche Sie zum Anhalten des Clients verwendet haben:

• Stellen Sie die IPS-Optionen in der ePO-Konsole auf Ein, und wenden Sie die Richtlinieauf den Client an.

• Sie müssen im Stammverzeichnis angemeldet sein und folgenden Befehl ausführen:hipts engines MISC:on

Übersicht Linux-ClientDer Host Intrusion Prevention-Client für Linux erkennt und blockiert schädliche Angriffe, mitdenen versucht wird, die Dateien und Anwendungen auf einem Linux-Server zu schädigen. DerClient schützt das Betriebssystem des Servers sowie Apache-Web-Server, wobei verstärkt aufdas Verhindern von Buffer Overflow-Angriffen geachtet wird.

Richtlinienerzwingung mit dem Linux-ClientNicht alle Richtlinien, die einen Windows-Client schützen, stehen dem Linux-Client zur Verfügung.Host Intrusion Prevention schützt also den Hostserver vor schädlichen Angriffen, bietet jedochkeinen Schutz vor Netzwerkintrusionen, einschließlich Buffer Overflow. Die gültigen Richtliniensind im Anschluss aufgeführt.

Tabelle 20: Linux-Client-RichtlinienVerfügbare OptionenRichtlinie

Host Intrusion Prevention 8.0 IPS

IPS-Optionen • HIPS aktivieren

• Adaptiven Modus aktivieren

• Bestehende Client-Regeln beibehalten

AlleIPS-Schutz

IPS-Regeln • Ausnahmeregeln

• Signaturen (nur standardmäßige undbenutzerdefinierte HIPS-Regeln)

HINWEIS: NIPS-Signaturen und Anwendungsschutzregelnsind nicht verfügbar.

Arbeiten mit Host Intrusion Prevention-ClientsÜbersicht Linux-Client


Verfügbare OptionenRichtlinie

Host Intrusion Prevention 8.0 IPS Allgemein

Das Tool zur Fehlerbehebung kann nur mit Administrator-oder zeitbasiertem Kennwort verwendet werden.

Client-Benutzeroberfläche

KeineVertrauenswürdige Netzwerke

Nur mit Für IPS als vertrauenswürdigmarkieren undNeuer Prozessname können vertrauenswürdigeAnwendungen hinzugefügt werden.

Vertrauenswürdige Anwendungen

KeineHost Intrusion Prevention 8.0 Firewall

Anmerkungen zum Linux-Client• Der Host IPS 8.0-Linux-Client ist nicht mit SELinux im Erzwingungsmodus kompatibel. Um

den Erzwingungsmodus zu deaktivieren, führen Sie folgenden Befehl aus:system-config-securitylevel. Ändern Sie die Einstellung auf "Deaktiviert", und starten Sie dasClient-System erneut.

• Wenn die Host IPS 8.0-Linux-Kernel-Module geladen werden, wird das SUSE-Kernel als"infiziert" gemeldet. Im Kernel-Protokoll wird folgende Markierung angegeben: schook:module not supported by Novell, setting U taint flag; hipsec: module not supported by Novell,setting U taint flag. Aufgrund der Novell-Anforderungen für Drittanbietermodule wird dasHost IPS-Kernel als infiziert gekennzeichnet. Da die Host IPS 8.0-Linux-Kernel-ModuleGPL-lizenziert sind, kann diese Meldung ignoriert werden. McAfee arbeitet gemeinsam mitNovell an einer Lösung dieses Problems.

Fehlerbehebung für den Linux-ClientSollte während der Installation oder Deinstallation des Clients ein Problem aufgetreten sein,können verschiedene Sachen überprüft werden. Sie können beispielsweise prüfen, ob alleerforderlichen Dateien im richtigen Verzeichnis installiert wurden, den Client deinstallieren unddann erneut installieren und die Prozessprotokolle prüfen. Darüber hinaus können möglicherweiseProbleme beim Client-Betrieb auftreten. Sie können prüfen, ob der Client ausgeführt wird, denClient anhalten und neu starten.

Der Linux-Client verfügt nicht über eine Benutzerschnittstelle zur Behebung vonBedienungsproblemen. Er bietet jedoch ein Fehlerbehebungstool in der Befehlszeile, hipts, dassich im Verzeichnis opt/McAfee/hip befindet. Um dieses Tool verwenden zu können, müssen Sieein Host Intrusion Prevention-Client-Kennwort eingeben. Verwenden Sie das Standardkennwort,das Sie mit dem Client erhalten haben (abcde12345), oder senden Sie eine Richtlinie für dieClient-Benutzeroberfläche an den Client, die entweder ein Administratorkennwort oder einzeitbasiertes Kennwort enthält, das mit der Richtlinie festgelegt wurde, und verwenden Siedieses Kennwort.

Verwenden Sie das Fehlerbehebungstool für Folgendes:

• Angeben der Protokollierungseinstellungen und des Modulstatus für den Client

• Aktivieren und Deaktivieren der Nachrichtenprotokollierung

• Aktivieren und Deaktivieren der Module

Melden Sie sich als Root-Benutzer an und führen Sie die folgenden Befehle aus, um bei derFehlerbehebung zu helfen.



AusführungZweck

hipts statusAbrufen des aktuellen Status des Clients, der angibt,welche Protokollierungsart aktiviert ist und welche Moduleausgeführt werden.

hipts logging onAktivieren der Protokollierung bestimmterNachrichtentypen.

hipts logging offDeaktivieren der Protokollierung für alle Nachrichtentypen.Die Protokollierung ist standardmäßig deaktiviert.

hipts message <Meldungsname>:onAnzeigen des angegebenen Nachrichtentyps, wenn dieProtokollierung auf "on" gesetzt ist. Die Meldungenumfassen Folgendes:

• Fehler

• Warnung

• Debug

• Info

• Verstöße

hipts message <Meldungsname>:offAnzeigen des angegebenen Nachrichtentyps, wenn dieProtokollierung auf "on" gesetzt ist. Die Fehlermeldung iststandardmäßig deaktiviert.

hipts message all:onAnzeigen aller Nachrichtentypen, wenn die Protokollierungauf "on" gesetzt ist.

hipts message all:offVerbergen aller Nachrichtentypen, wenn die Protokollierungauf "on" gesetzt ist.

hipts message <Meldungsname>:onAktivieren des angegebenen Moduls. Das Modul iststandardmäßig aktiviert. Die Module umfassen:

• MISC

• FILES

• HTTP

hipts message <Meldungsname>:offDeaktivieren des angegebenen Moduls.

hipts engines all:onAktivieren aller Module.

hipts engines all:offDeaktivieren aller Module.

TIPP: Zusätzlich zur Verwendung des Fehlerbehebungstools können Sie mit Hilfe der Dateien"HIPShield.log" und "HIPClient.log" im Verzeichnis "McAfee/hip/log" Vorgänge überprüfen oderProbleme nachverfolgen.

Überprüfen der Linux-InstallationsdateienNach der Installation sollten Sie überprüfen, ob alle Dateien im richtigen Verzeichnis auf demClient installiert wurden. Das Verzeichnis opt/McAfee/hip sollte die folgenden grundlegendenDateien und Verzeichnisse enthalten:

BeschreibungDateiname

Linux-ClientHipClient; HipClient-bin

RichtlinienregelnHipClientPolicy.xml

Fehlerbehebungstoolhipts; hipts-bin

Gemeinsame Objektmodule von Host Intrusion Prevention und McAfeeAgent

*.so



BeschreibungDateiname

Enthält Debug- und FehlerprotokolldateienProtokollverzeichnis

Der Installationsverlauf wird in die Datei /opt/McAfee/etc/hip-install.log geschrieben. Lesen Sie indieser Datei nach, wenn Sie Fragen zur Installation oder Entfernung des Host IntrusionPrevention-Clients haben.

Überprüfen, ob der Linux-Client ausgeführt wirdWenn der Client beispielsweise in der ePO-Konsole nicht angezeigt wird, überprüfen Sie, ob derClient ausgeführt wird. Führen Sie hierzu den folgenden Befehl aus:ps –ef | grep hip

Anhalten des Linux-ClientsBei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartetwerden.

Task

1 Um einen Client anzuhalten, deaktivieren Sie den IPS-Schutz. Verwenden Sie eine derfolgenden Vorgehensweisen:

• Stellen Sie die IPS-Optionen in der ePO-Konsole auf Aus, und wenden Sie die Richtlinieauf den Client an.

• Führen Sie folgenden Befehl aus: hipts engines MISC:off

2 Führen Sie folgenden Befehl aus: hipts agent off

Neustarten des Linux-ClientsBei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartetwerden.

Task

1 Führen Sie folgenden Befehl aus: hipts agent on.

2 Aktivieren Sie den IPS-Schutz. Verwenden Sie eine der folgenden Vorgehensweisen, jenachdem, welche Sie zum Anhalten des Clients verwendet haben:

• Stellen Sie die IPS-Optionen in der ePO-Konsole auf Ein, und wenden Sie die Richtlinieauf den Client an.

• Führen Sie folgenden Befehl aus: hipts engines MISC:on



Anhang A – Schreiben von benutzerdefiniertenSignaturen und Ausnahmen

In diesem Kapitel wird die Struktur von IPS-Signaturen beschrieben, einschließlich einer Listeder Klassen, Parameter und Richtlinien. Außerdem finden Sie hier Informationen zum Erstellenbenutzerdefinierter Signaturen für die verschiedenen Client-Plattformen. Diese Informationenkönnen auch verwendet werden, wenn Sie die Seite mit den erweiterten Details für Ausnahmennutzen.

Inhalt

Regelstruktur

Benutzerdefinierte Windows-Signaturen

Benutzerdefinierte Nicht-Windows-Signaturen

RegelstrukturJede Signatur umfasst eine oder mehrere Regeln, die in der Syntax der ANSI-TCL-Sprache (ToolCommand Language) geschrieben sind. Jede Regel enthält obligatorische und optionaleAbschnitte, wobei jede Zeile einen Abschnitt enthält. Optionale Abschnitte sind vomBetriebssystem und der Regelklasse abhängig. Jeder Abschnitt definiert eine Regelkategorieund einen Wert. Ein Abschnitt bezeichnet stets die Regelklasse, die das gesamte Verhalten derRegel definiert.

Die Grundstruktur einer Regel:

Rule {

AbschnittA Wert

AbschnittB Wert

AbschnittC Wert

...

}

HINWEIS: Beachten Sie unbedingt die Syntax für das Schreiben von Zeichenfolgen undEscape-Folgen in TCL, bevor Sie versuchen, benutzerdefinierte Regeln zu schreiben. Eine schnelleÜberprüfung sämtlicher Standardreferenzen auf TCL sollte gewährleisten, dass Sie die richtigenWerte ordnungsgemäß eingeben.

Eine Regel, die eine Anforderung an einen Web-Server verhindert, die "Betreff" in derHTTP-Anforderungsanfrage enthält, hat das folgende Format:

Rule {

Class Isapi

Id 4001


level 4

query { Include *subject* }

method { Include GET }

time { Include * }

Executable { Include * }

user_name { Include * }

directives isapi:request

}

Eine Erläuterung der verschiedenen Abschnitte und Werte finden Sie unter BenutzerdefinierteWindows-Signaturen und Benutzerdefinierte Nicht-Windows-Signaturen.

Allgemeine AbschnitteZu den häufigsten allgemeinen Abschnitten einer Regel und deren Werten gehören dienachfolgenden Elemente. Weitere Informationen zu den Abschnitten, die für den ausgewähltenKlassenabschnitt relevant sind, finden Sie im entsprechenden Klassenabschnitt unter denbenutzerdefinierten Windows- oder Nicht-Windows-Signaturen. Die Schlüsselwörter Includeund Exclude werden für alle Abschnitte mit Ausnahme von "tag", "Id", "level" und "directives"verwendet. "Include" bedeutet, dass der Abschnitt für den angegebenen Wert gilt, und "Exclude"bedeutet, dass der Abschnitt für alle Werte mit Ausnahme des angegebenen Werts gilt.

HINWEIS: Bei allen Abschnittsnamen auf allen Plattformen muss die Groß- und Kleinschreibungbeachtet werden. Bei Abschnittswerten muss die Groß- und Kleinschreibung nur aufNicht-Windows-Plattformen beachtet werden.

BeschreibungWertAbschnitt

Siehe Benutzerdefinierte Windows-Signaturenoder BenutzerdefinierteNicht-Windows-Signaturen.

Abhängig vom Betriebssystem.Gibt die Klasse an, für die dieseRegel gilt.

Class

Der Name der untergeordneten Regel.Name der Regel inAnführungszeichen ("...").

tag

Die einmalige ID-Nummer der Signatur. DieseNummern sind für benutzerdefinierte Regelnverfügbar.

4000 - 5999Id

Der Schweregrad der Signatur:

0 = Deaktiviert

0

1

level

1 = Protokoll2

2 = Niedrig3

3 = Mittel4

4 = Hoch

Die Benutzer, für die diese Regel gilt. Legen Siebestimmte oder alle Benutzer fest.

{Include/Exclude fürBenutzername oderSystemkonto}

user_name

Anmerkungen für Windows:

• Für lokale Benutzer: Verwenden Sie<computername>/<lokaler benutzername>.

• Für Domänenbenutzer: Verwenden Sie<domänenname>/<domänenbenutzername>.

• Für lokales System: Verwenden Sie"Lokal/System".

Anhang A – Schreiben von benutzerdefinierten Signaturen und AusnahmenRegelstruktur



• Einige extern initiierte Aktionen nennen nichtdie ID des externen Benutzers, sondernbenutzen den lokalen Dienst und dessenBenutzerkontext. Sie müssen beimEntwickeln von Regeln eine entsprechendePlanung vornehmen. Wenn ein Prozess imKontext einer "Nullsitzung" vorkommt, sindBenutzer und Domäne "anonym". Wenn eineRegel für alle Benutzer gilt, verwenden Sie*. Unter UNIX muss für diesen Abschnitt dieGroß- und Kleinschreibung beachtet werden.

Jede ausführbare Datei wird in den Klammernmithilfe von "-path", "-hash", "-sdn", "-desc"

{Include/Exclude fürDateinamenpfad, Fingerprint,

Ausführbare Datei

angegeben. Für jeden Abschnitt können mehrereUnterzeichner oderBeschreibung} Klammern verwendet werden und innerhalb der

Klammern können eine oder mehrere Optionenenthalten sein. Die Werte "-path"(Dateipfadname), "-sdn" (Dateiunterzeichner)und "-desc" (Dateibeschreibung) sindZeichenfolgen und müssen mit einerTCL-Escape-Zeichenfolge angegeben werden,wenn sie Leerzeichen enthalten, oder für TCLvorbehaltene Zeichen aufweisen. Bei dem Wert"-hash" (MD5-Hash) handelt es sich um eine32-stellige Hexbin-Zeichenfolge.

Beispiel: Executable {Include -path "C:\\ProgramFiles\\McAfee\\VirusScanEnterprise\\Mcshield.exe" -sdn"CN=\"mcafee,inc.\", OU=iss, OU=digital id class3 - microsoft software validation v2,O=\"mcafee, inc.\", L=santa clara,ST=california, C=us" -desc "On-Access Scannerservice"}

Wenn eine Regel für alle ausführbaren Dateiengilt, verwenden Sie *. Unter UNIX muss fürdiesen Abschnitt die Groß- und Kleinschreibungbeachtet werden.

Die Operationstypen sind klassenabhängig undwerden in den nachfolgenden Abschnitten für jedeKlasse aufgelistet.

Operationstypdirectives

HINWEIS: Sie können eine Signatur mit mehreren Regeln erstellen, indem Sie die Regelnnacheinander hinzufügen. Beachten Sie, dass jede Regel in derselben Signatur denselben Wertfür die Abschnitte "id" und "level" haben muss.

Verwendung von "Include" und "Exclude"

Wenn Sie einen Abschnittswert als "Include" markieren, gilt der Abschnitt für den angegebenenWert. Wenn Sie einen Abschnittswert als "Exclude" markieren, gilt der Abschnitt für alle Wertemit Ausnahme des angegebenen. Wenn Sie diese Schlüsselwörter verwenden, sind sie inKlammern eingeschlossen { ... }.

HINWEIS: Bei der untergeordneten Standardregel verwenden Sie für Dateipfade einen einfachenumgekehrten Schrägstrich; für die untergeordnete Exportregel müssen doppelte umgekehrteSchrägstriche verwendet werden. Bei der untergeordneten Standardregel werden die einfachenumgekehrten Schrägstriche in die erforderlichen doppelten umgekehrten Schrägstriche übersetzt.

Um z. B. alle Textdateien unter "C:\test\" zu überwachen:



files { Include C:\\test\\*.txt }

und um alle Dateien mit Ausnahme der Textdateien unter "C:\test\" zu überwachen:

files { Exclude C:\\test\\*.txt }

Kombinieren Sie die Schlüsselwörter, um Werte aus einem Satz von eingeschlossenen Wertenauszuschließen. Um alle Textdateien im Ordner "C:\test\" mit Ausnahme der Datei "abc.txt" zuüberwachen:


files { Exclude C:\\test\\abc.txt }

Bei jedem Hinzufügen desselben Abschnitts mit demselben Schlüsselwort fügen Sie eine Operationhinzu. Um beliebige Textdateien im Ordner "C:\test\" zu überwachen, deren Name mit derZeichenfolge "abc" beginnt:


files { Include C:\\test\\abc* }

HINWEIS: In der Rangfolge hat "exclude" Vorrang gegenüber "include". Hier sind drei Beispiele:

• Wenn eine untergeordnete Regel einen bestimmten Benutzer marketing\jjohns einschließtund denselben Benutzer marketing\jjohns ausschließt, wird die Signatur nicht ausgelöst,selbst wenn der Benutzer marketing\jjohns eine Aktion ausführt, mit der die Signatur ausgelöstwird.

• Wenn eine untergeordnete Regel alle Benutzer einschließt, den Benutzer marketing\jjohnsjedoch ausschließt, wird die Signatur ausgelöst, wenn der Benutzer NICHT marketing\jjohnslautet.

• Wenn eine untergeordnete Regel einen Benutzer marketing\* einschließt, den Benutzermarketing\jjohns jedoch ausschließt, wird die Signatur nur ausgelöst, wenn der Benutzermarketing\anyone lautet; bei marketing\jjohns wird sie nicht ausgelöst.

Optionale allgemeine AbschnitteZu den optionalen Abschnitten einer Regel und deren Werten gehören die nachfolgendenElemente. Weitere Informationen zu den optionalen Abschnitten, die für den ausgewähltenKlassenabschnitt relevant sind, finden Sie im entsprechenden Klassenabschnitt unter denbenutzerdefinierten Windows- oder Nicht-Windows-Signaturen. Die Schlüsselwörter Includeund Exclude werden sowohl für Abhängigkeiten als auch für Attribute verwendet. "Include"bedeutet, dass der Abschnitt für den angegebenen Wert gilt, und "Exclude" bedeutet, dass derAbschnitt für alle Werte mit Ausnahme des angegebenen Werts gilt.


Definiert Abhängigkeiten zwischen Regeln undverhindert das Auslösen von abhängigen Regeln.

{Include/Exclude "ID einerRegel"}

dependencies

Ereignisse der Signatur werden nicht an denePO-Server gesendet.

—no_logattributes

Es werden keine Ausnahmen für die Signaturerstellt, wenn der adaptive Modus angewendetwird.

—not_auditable

Die Liste der vertrauenswürdigen Anwendungengilt für diese Signatur nicht.

—no_trusted_apps

Die Signatur ist deaktiviert.—inactive



Verwenden des Abschnitts "dependencies"

Fügen Sie den optionalen Abschnitt "dependencies" hinzu, um zu verhindern, dass eineallgemeinere Regel zusammen mit einer spezifischeren Regel ausgelöst wird. Wenn esbeispielsweise nur eine zu überwachende Regel für eine einzelne Textdatei unter "C:\test\" gibt

files { Include C:\\test\\abc.txt }

sowie eine Regel zum Überwachen aller Textdateien unter "C:\test\"


Fügen Sie den Abschnitt "dependencies" der spezifischeren Regel hinzu. Dieser Abschnitt teiltdem System im Wesentlichen mit, dass keine allgemeinere Regel ausgelöst wird, wenn diespezifischere Regel ausgelöst wird.

files { Include C:\\test\\abc.txt }

dependencies "the general rule"

Platzhalter und VariablenPlatzhalter, Metasymbole und vordefinierte Variablen können als Wert in den verfügbarenAbschnitten verwendet werden.

Platzhalter

Sie können Platzhalter für die Abschnittswerte verwenden. Beachten Sie die geringfügig andereVerwendung von Sternchen für Pfade und Adressen, in denen normalerweise Schrägstricheoder umgekehrte Schrägstriche enthalten sind. Für untergeordnete Expertenregeln für Signaturenwird das TCL-Platzhalterschema verwendet.

Tabelle 21: PlatzhalterBedeutungZeichen


Mehrere Zeichen, einschließlich "/" und "\".

HINWEIS: Bei Pfaden und Adressen müssen Sie "**"(zwei Sternchen) verwenden, um "/" und "\"

* (Sternchen)

einzuschließen bzw. "*" (ein Sternchen) verwenden, um"/" und "\" auszuschließen.


Tabelle 22: TCL-PlatzhalterBedeutungZeichen


Mehrere Zeichen, einschließlich "/" und "\". Beispiel: files{ Include "C:\*.txt" " }

* (Sternchen)

Mehrere Zeichen mit Ausnahme von "/" und "\". Wird alsEntsprechung der Stammebene eines Ordners mit

& (kaufmännisches "Und" [Ampersand])

Ausnahme der Unterordner verwendet. Beispiel: files {Include "C:\test\\&.txt" }

Platzhalter-Escape-Zeichen Beispiel: files { Include"C:\test\\yahoo!.txt" }

! (Ausrufezeichen)



Verwenden von Umgebungsvariablen

Verwenden Sie Umgebungsvariablen und den Befehl "iEnv" mit einem Parameter (demVariablennamen) in eckigen Klammern [ ... ] als schnelle Möglichkeit, um Windows-Datei- und-Verzeichnispfadnamen einzugeben.

BedeutungUmgebungsvariable

"C:\winnt\", wobei "C" das Laufwerk mit demWindows-Systemordner ist. Beispiel: files {Include [iEnvSystemRoot]\\system32\\abc.txt }

iEnv SystemRoot

"C:\", wobei "C" das Laufwerk mit demWindows-Systemordner ist. Beispiel: files {Include [iEnvSystemDrive]\\system32\\abc.txt}

iEnv SystemDrive

Verwenden von vordefinierten Variablen

Host Intrusion Prevention enthält vordefinierte Variablen für das Schreiben von Regeln. DiesenVariablen wird "$" vorangestellt; sie sind nachfolgend aufgeführt.

Tabelle 23: Windows IIS Web ServerBeschreibungVariable

Verzeichnis, in dem sich die Datei "inetinfo.exe" befindetIIS_BinDir

Name des Computers, auf dem IIS ausgeführt wirdIIS_Computer

Beinhaltet alle Dateien, auf die IIS zugreifen kannIIS_Envelope

Virtuelle Verzeichnisse, die die Ausführung der Dateienzulassen, einschließlich des Systemstammverzeichnissesund des IIS-Stammverzeichnisses

IIS_Exe_Dirs

Stammverzeichnisse der FTP-SiteIIS_Ftp_Dir

Kontoname des anonymen Benutzers des lokalenFTP-Servers

IIS_FTP_USR

FTP-ProtokolldateienverzeichnisIIS_FtpLogDir

Kontoname des anonymen Benutzers des lokalenWeb-Servers

IIS_IUSR

Kontoname des anonymen Benutzers desDomänen-Web-Servers

IIS_IUSRD

Kontoname des IIS Web Application Manager-BenutzersIIS_IWAM

Web-ProtokolldateienverzeichnisIIS_LogFileDir

Alle virtuellen IIS-VerzeichnisseIIS_LVirt_Root

Prozesse mit Zugriffsrechten auf IIS-RessourcenIIS_Processes

Alle Dienste, die erforderlich sind, damit IISordnungsgemäß ausgeführt werden kann

IIS_Services

Tabelle 24: MS SQL-DatenbankserverBeschreibungVariable

Verzeichnisse, wie "\WINNT" und "\WINNT\System32",auf die zugegriffen werden kann

MSSQL_Allowed_Access_Paths

Verzeichnisse, wie "\WINNT" und "\WINNT\System32",die ausgeführt werden können

MSSQL_Allowed_Execution_Paths



BeschreibungVariable

Verzeichnisse, wie "\WINNT\Temp", die bearbeitet werdenkönnen

MSSQL_Allowed_Modification_Paths

Die zusätzlichen im System vorhandenen MS SQL-DiensteMSSQL_Auxiliary_Services

Die zentralen MS SQL-Dienste, die im System vorhandensind

MSSQL_Core_Services

Alle anderen Datendateien, die mit MS SQL in Verbindungstehen und sich außerhalb des Verzeichnisses"MSSQL_DataRoot_Path" befinden

MSSQL_Data_Paths

Der Pfad zu den jeweiligen MS SQL-Dateien für jedeInstanz

MSSQL_DataRoot_Paths

Der Name jeder installierten MS SQL-InstanzMSSQL_Instances

Alle Registrierungsverzeichnisse, die mit MS SQL verknüpftsind

MSSQL_Registry_Paths

Tabelle 25: Unix Apache und iPlanetBeschreibungVariable

Pfad zu den Apache-BinärdateienUAPACHE_Bins

Pfad zu den CGI-StammverzeichnissenUAPACHE_CgiRoots

Verzeichnisse, die die Apache-Konfigurationsdateienenthalten

UAPACHE_ConfDirs

Pfad zu den DokumentstammverzeichnissenUAPACHE_DocRoots

Apache-ProtokolldateienUAPACHE_Logs

ProtokolldateiverzeichnisUAPACHE_Logs_dir

Apache-Web-Stamm-DateienUAPACHE_Roots

Benutzer, die Apache ausführen alsUAPACHE_Users

Pfad zu den CGI-Stammverzeichnissen von virtuellenServern

UAPACHE_VcgiRoots

Virtuelle DokumentstammverzeichnisseUAPACHE_VdocRoots

Protokolldateien der virtuellen ServerUAPACHE_Vlogs

Verzeichnisse für die Protokolldateien der virtuellen ServerUAPACHE_Vlogs_dir

Pfad zu den iPlanet-BinärdateienUIPLANET_BinDirs

Pfad zu den CGI-VerzeichnissenUIPLANET_CgiDirs

Pfad zu den DokumentverzeichnissenUIPLANET_DocDirs

Pfad zur iPlanet ns-httpd-BinärdateiUIPLANET_Process

Pfad zu den iPlanet-StammverzeichnissenUIPLANET_Roots



Benutzerdefinierte Windows-SignaturenIn diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Signaturen für dieWindows-Plattform erstellen.

HINWEIS: Regeln in den Windows-Class-Dateien verwenden doppelte umgekehrte Schrägstrichefür Pfade, Regeln in der Nicht-Windows-Klasse "UNIX_file" verwenden einen einzelnenSchrägstrich.

Die von der Signatur verwendete Klasse hängt von der Art des Sicherheitsproblems ab und vomSchutz, den die Signatur bieten kann. Einige Klassen und Parameter werden in derBenutzeroberfläche der benutzerdefinierten Signatur angezeigt, andere hingegen nicht. AufKlassen und Parameter ohne Benutzeroberfläche kann nur mithilfe des Expertenverfahrens zurRegelerstellung zugegriffen werden. Für Windows sind die folgenden Klassen verfügbar:

VerwendungKlasse

Zum Schutz vor Buffer OverflowBuffer Overflow

Zum Schutz für Datei- oder VerzeichnisoperationenFiles

Zum Schutz für API-Prozess-HooksHook

Zum Schutz vor einer unbefugten Benutzung der HostIPS-API

Illegal API Use

Zum Schutz vor einer unbefugten Benutzung der APIIllegal Use

Für die Überwachung von HTTP-Anforderungen an IISIsapi

Zum Schutz für ProgrammvorgängeProgram

Zum Schutz von Registrierungsschlüssel undRegistrierungsschlüsselvorgängen

Registry

Zum Schutz für DienstvorgängeServices

Zum Schutz für SQL-OperationenSQL

Windows-Klasse "Buffer Overflow"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "BufferOverflow" aufgeführt:

HinweiseWerteAbschnitt

Buffer_OverflowClass

Siehe Allgemeine Abschnitte.Id

level

time

user_name

Executable

Optional. Siehe Hinweis 1.428dependencies

Pfad zu einem Modul (d. h. zueiner DLL), das von einer

caller module

ausführbaren Datei geladen wird,die einen Aufruf vornimmt, derzu einem Buffer Overflow führt.

Anhang A – Schreiben von benutzerdefinierten Signaturen und AusnahmenBenutzerdefinierte Windows-Signaturen



Ermittelt die Speicherposition, an der dieAusführung erfolgt, und ermittelt, ob diese auf

bo:stackdirectives

einem beschreibbaren Speicher ausgeführt wird,der Teil des aktuellen Thread-Stapels ist.


bo:heap

einem beschreibbaren Speicher ausgeführt wird,der Teil eines Heaps ist.


bo:writeable_memory

einem beschreibbaren Speicher ausgeführt wird,der nicht Teil des aktuellen Thread-Stapels odereines Heaps ist.

Überprüft, dass eine API über eine gültigeAufrufanweisung aufgerufen wird.

bo:invalid_call

Eine Hexadezimalzeichenfolge mit 32 BytesAnweisungen, mit denen eine Zielausnahme für

bo:target_bytes

einen falsch positiven Wert erstellt werden kann,ohne dass der Buffer Overflow für den gesamtenProzess deaktiviert werden muss.

Überprüft, dass die Codefolge vor derAdressrückgabe kein Aufruf ist.

bo:call_not_found

Überprüft, dass Rückgabeadresse kein lesbarerSpeicher ist.

bo:call_return_unreadable

Überprüft, dass Aufrufziel und Hook-Ziel nichtidentisch sind.

bo:call_different_target_address

Überprüft, ob die Rückgabeadresse einAPI-Einstiegspunkt ist.

bo:call_return_to_api

Hinweis 1

Signatur 428, Allgemeiner Buffer Overflow, ist eine generische Buffer Overflow-Regel. Um zuvermeiden, dass diese Regel ausgelöst wird, müssen Sie den Abschnitt "dependencies 428" indie benutzerdefinierte Signatur einbinden.

Windows-Klasse "Files"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Files"aufgeführt:


FilesClass


level

time

user_name

Executable (Verwenden Siediesen Parameter für dieUnterscheidung zwischen




Remote- und lokalemDateizugriff. Siehe Hinweis 3).

Einer der erforderlichen Parameter. Siehe Hinweise1 und 2.

An der Operation beteiligte Dateioder Ordner

files

Einer der erforderlichen Parameter. Wird nur mit"files:rename" und "files:hardlink" verwendet.Siehe Hinweise 1 und 2.

Zieldateien, wenn an derOperation Ursprungs- undZieldateien beteiligt sind.

dest_file

Ermöglicht die Erstellung von spezifischen für diejeweiligen Laufwerktypen geeignetenDateiklassenregeln.

drive_type • Network –Netzwerkdateizugriff

• Floppy –Diskettenlaufwerkzugriff

• CD – CD- oder DVD-Zugriff

• OtherRemovable – Zugriffüber USB- oder anderesWechsellaufwerk

• OtherFixed – Zugriff überlokales oder anderes festesFestplattenlaufwerk

Erstellt eine Datei in einem Verzeichnis oderverschiebt die Datei in ein anderes Verzeichnis.

files:createdirectives

Öffnet eine Datei mit schreibgeschütztem Zugriff.files:read

Öffnet eine Datei mit Lese- und Schreibzugriff.files:write

Führt die Datei aus (Ausführen einesVerzeichnisses bedeutet, dass dieses Verzeichniszum aktuellen Verzeichnis wird).

files:execute

Löscht die Datei aus einem Verzeichnis oderverschiebt sie in ein anderes Verzeichnis.

files:delete

Benennt eine Datei im selben Verzeichnis um.Siehe Hinweis 2.

files:rename

Ändert die Dateiattribute. Zu den überwachtenAttributen zählen:

files:attribute

• read-only

• hidden

• archive

• system

Erstellt einen festen Link.files:hardlink

Hinweis 1

Wenn der Abschnitt "files" verwendet wird, kann der Pfad zu einem überwachten Ordnerentweder ein vollständiger Pfad oder ein Platzhalter sein. Bei den folgenden Beispielen handeltes sich um gültige Pfaddarstellungen:

files { Include "C:\\test\\abc.txt" }

files { Include "*\\test\\abc.txt" }

files { Include "*\\abc.txt" }



Wenn der Abschnitt dest_files verwendet wird, kann der absolute Pfad nicht verwendet werdenund ein Platzhalter muss am Beginn des Pfades vorhanden sein, um das Laufwerk darzustellen.Bei den folgenden Beispielen handelt es sich um gültige Pfaddarstellungen:

dest_file { Include "*\\test\\abc.txt" }

dest_file { Include "*\\abc.txt" }

Hinweis 2

Die Richtlinie files:rename hat eine andere Bedeutung, wenn sie mit Abschnitt "files" undAbschnitt "dest_file" kombiniert wird.

In Kombination mit dem Abschnitt "files" bedeutet sie, dass die Umbenennung der Datei imAbschnitt "files" überwacht wird. Die folgende Regel überwacht z. B. das Umbenennen derDatei "C:\test\abc.txt" auf einen anderen Namen:

Rule {

tag "Sample1"

Class Files

Id 4001

level 4


Executable { Include "*" }

user_name { Include "*" }

directives files:rename

}

In Kombination mit dem Abschnitt "dest_file" bedeutet sie, dass keine Datei in die Datei imAbschnitt "dest_file" umbenannt werden kann. Die folgende Regel überwacht z. B. dasUmbenennen einer beliebigen Datei in "C:\test\abc.txt":

Rule {

tag "Sample2"

Class Files

Id 4001

level 4

dest_file { Include "*\\test\\abc.txt" }



directives files:rename

}

Der Abschnitt "files" ist nicht obligatorisch, wenn der Abschnitt "dest_file" verwendet wird. Wennder Abschnitt "files" verwendet wird, müssen die beiden Abschnitte "files" und "dest_file"übereinstimmen.

Hinweis 3

Für die Unterscheidung zwischen Remote- und lokalem Dateizugriff für die einzelnen Richtlinienmüssen Sie den Dateinamen für die ausführbare Datei auf "SystemRemoteClient" festlegen:Executable { Include -path "SystemRemoteClient" }



Damit wird die Ausführung der Richtlinie verhindert, wenn die ausführbare Datei nicht lokalvorliegt.

Erweiterte Details

Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" vonSicherheitsereignissen für die Klasse "Files" angezeigt. Die Werte dieser Parameter könnenverdeutlichen, weshalb eine Signatur ausgelöst wird.

ErklärungGUI-Name

Name der Datei, auf die ein Zugriff erfolgte.files

Gilt nur beim Umbenennen von Dateien. Neuer Name, aufden die Datei geändert wurde.

dest_file

Die folgende Regel würde verhindern, dass ein Benutzer oder ein Prozess die Datei abc.txt imOrdner "C:\test\" erstellt.

Rule {

tag "Sample3"

Class Files

Id 4001

level 4




directives files:create

}

Die verschiedenen Abschnitte dieser Regel haben die folgende Bedeutung:

• Class Files: Gibt an, dass diese Regel für die Dateioperationsklasse gilt.

• id 4001: Weist die ID 4001 dieser Regel zu. Wenn für eine benutzerdefinierte Signaturmehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden.

• level 4: Weist der Regel die Sicherheitsebene "Hoch" zu. Wenn für eine benutzerdefinierteSignatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe Ebene verwenden.

• files { Include "C:\\test\\abc.txt" }: Gibt an, dass diese Regel die bestimmte Datei und denPfad "C:\test\abc.txt" abdeckt. Wenn eine Regel mehrere Dateien abdecken soll, müsstensie in diesem Abschnitt in anderen Zeilen hinzugefügt werden. Beispiel: Zum Überwachender Dateien "C:\test\abc.txt" und "C:\test\xyz.txt" ändert sich der Abschnitt in: files { Include"C:\\test\\abc.txt" "C:\\test\\xyz.txt" }.

• Executable { Include "*" } Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie dieRegel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigenPfadnamen ausgedrückt werden.

• user_name { Include "*" }: Gibt an, dass diese Regel für alle Benutzer gilt (oder genauergesagt, den Sicherheitskontext, in dem ein Prozess ausgeführt wird). Wenn Sie die Regelauf bestimmte Benutzerkontexte beschränken möchten, müssen diese hier in der Form"Lokal/Benutzer" oder "Domäne/Benutzer" ausgedrückt werden. Informationen sieheAllgemeine Abschnitte.

• directives files:create Gibt an, dass diese Regel die Erstellung einer Datei abdeckt.



Windows-Klasse "Hook"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Hook"aufgeführt:


HookClass


level

time

user_name

Executable

Ein erforderlicher Parameter.Pfadname der ausführbarenDatei, die von einer anderen

handler module

ausführbaren Datei eingeklinktwird.

Um die Einschleusung einer DLL in eineausführbare Datei bei der Verwendung von

hook:set_windows_hookdirectives

"hook:set_windows_hook" zu verhindern, müssenSie die ausführbare Datei in dieAnwendungsschutzliste einbinden.

Windows-Klasse "Illegal Host IPS API Use"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "IllegalAPI Use" aufgeführt:


Illegal_API_UseClass


level

time

user_name

Executable

Name der Schwachstelle.vulnerability_name

Dies ist eine 128-Bit-Zahl, die eine eindeutige IDeiner Softwarekomponente darstellt.

Eine oder mehrere CLSIDs.detailed_event_info

Normalerweise wie folgt angezeigt:"{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}"

illegal_api_use:bad_parameterdirectives

illegal_api_use:invalid_call

Verwenden Sie diese Klasse, um eine benutzerdefinierte Killbit-Signatur zu erstellen. Das Killbitist ein Sicherheits-Feature in Web-Browser und anderen Anwendungen, die ActiveX verwenden.Mit dem Killbit wird die Objektklassenkennung (CLSID) für ActiveX-Software-Steuerelementeangegeben, die als Sicherheitslücken/Schwachstellen ermittelt werden. Anwendungen, die



ActiveX verwenden, laden keine angegebene ActiveX-Software mit einem entsprechendvorhandenen Killbit.

Der Hauptzweck eines Killbits besteht darin, Sicherheitslücken zu schließen. Killbit-Updates fürMicrosoft Windows-Betriebssysteme werden normalerweise über Windows-Sicherheitsupdatesbereitgestellt.

Im Folgenden sehen Sie ein Beispiel für eine Signatur:

Rule {

tag "Sample4"

Class Illegal_API_Use

Id 4001

level 4



vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"}

detailed_event_info { Include"0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"}

directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call

attributes -not_auditable

}

Windows-Klasse "Illegal Use"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "IllegalUse" aufgeführt:


Illegal_UseClass


level

time

user_name

Executable

Einer von drei möglichenWerten: LsarLookupNames,

name

LsarLookupSids oderADMCOMConnect

illegal:apidirectives

Windows-Klasse "Isapi" (HTTP)In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Isapi"mit IIS aufgeführt:




IsapiClass


level

time

user_name

Executable

Einer der erforderlichen Parameter. Wird mit demURL-Teil einer eingehenden Anforderungverglichen. Siehe Hinweise 1–4.

url

Einer der erforderlichen Parameter. Vergleicht mitdem Abfrageteil einer eingehenden Anforderung.Siehe Hinweise 1–4.

query

Einer der erforderlichen Parameter. Siehe Hinweis4.

GET, POST, INDEX bzw. jeglicheandere zulässige HTTP-Methode.

method

Für alle drei Typen eingehenderHTTP-Anforderungen.

isapi:requestdirectives

Für URL-Anforderungen.isapi:requrl

Für Abfrageanforderungen.isapi:reqquery

Für Rohdatenanforderungen.isapi:rawdata

Für Anforderungsantworten.isapi:response

Hinweis 1

Eine eingehende HTTP-Anforderung kann dargestellt werden als: http://www.eigenerserver.de/{url}?{query}. In diesem Dokument gilt {url} als der "URL"-Teil der HTTP-Anforderung und{query} als der "Query"-Teil der HTTP-Anforderung. Mit dieser Namenskonvention kann definiertwerden, dass der Abschnitt "URL" abgeglichen wird mit {url} und der Abschnitt "query"abgeglichen wird mit {query}. Beispielsweise würde die folgende Regel ausgelöst, wenn dieHTTP-Anforderung "http://www.eigenerserver.de/search/abc.exe?subject=wildlife&environment=ocean" durch IISempfangen würde:

Rule {

tag "Sample6"

Class Isapi

Id 4001

level 1

url { Include "*abc*" }




}

Diese Regel wird ausgelöst, weil {url} = /search/abc.exe ist, was dem Wert des Abschnitts "url"entspricht (d. h. abc).



Hinweis 2

Bevor der Abgleich durchgeführt wird, werden die Abschnitte "url" und "query" dekodiert undnormalisiert, sodass Anforderungen nicht mit Kodierungs- oder Escape-Folgen gefüllt werdenkönnen.

Hinweis 3

Eine Beschränkung für die maximale Länge kann für die Abschnitte "url" und "query" festgelegtwerden. Durch Hinzufügen von ";number-of-chars" zum Wert dieser Abschnitte kann dieseRegel nur abgeglichen werden, wenn {url} oder {query} aus mehr Zeichen besteht als"number-of-chars". Beispielsweise entspricht "abc*;500" Zeichenfolgen mit "abc", die mind.500 Zeichen umfassen; "*abc;xyz*;" entspricht einer beliebigen Zeichenfolge "mit abc;xyz",unabhängig von ihrer Länge.

Hinweis 4

Eine Regel muss mindestens eine der optionalen Abschnitte "url", "query" und "method"enthalten.

Erweiterte Details

Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" vonSicherheitsereignissen für die Klasse "Isapi" angezeigt. Die Werte dieser Parameter könnenverdeutlichen, weshalb eine Signatur ausgelöst wird.

ErklärungGUI-Name

Dekodierter und normalisierter Adressteil einereingehenden HTTP-Anforderung (der Teil vor dem "?").

url

Dekodierter und normalisierter Anforderungsteil einereingehenden HTTP-Anfrage (der Teil nach dem ersten"?").

query

Typ und Version der verwendeten Web-Server-Anwendung.web server type

Methode einer eingehenden HTTP-Anforderung (wie "Get","Put", "Post" und "Query").

method

Physischer Name der Datei, für die ein Abruf durch dieAnforderung durchgeführt oder versucht wird. Unter IISdekodiert und normalisiert.

local file

"Raw" (weder dekodierte noch normalisierte)Anforderungszeile der eingehenden HTTP-Anforderung.

raw url

Anforderungszeile ist "<Methode> <Adresse[?query]><HTTP-Version> CRLF".

Benutzername des Client, der die Anforderung durchführt;nur verfügbar, wenn die Anforderung authentifiziert ist.

user

Client-Name oder IP-Adresse des Computers, von dem dieHTTP-Anforderung stammt. Die Adresse enthält drei Teile:Host-Name: Adresse: Portnummer.

source

Daten über den Web-Server, auf dem das Ereignis erstelltwird (das Gerät, auf dem der Client installiert ist) in der

Server

Form "<Hostname>:<IP-Adresse>:<Port>". Der Hostnameist die Host-Variable aus der HTTP-Kopfzeile. Er bleibt leer,wenn er nicht verfügbar ist.

Anzahl der Bytes im Fließtext des Mitteilungsabschnittsder Anforderung.

content len



Die folgende Regel würde eine Anforderung an den Web-Server verhindern, die "subject"(Betreff) im Abfrageteil der HTTP-Anforderung enthält:

Rule {

tag "Sample7"

Class Isapi

Id 4001

level 1

query { Include "*subject*" }

method { Include "GET" }




}

Beispielsweise würde die GET-Anforderung "http://www.eigenerserver.de/test/abc.exe?subject=wildlife&environment=ocean" durch diese Regel verhindert.


• Class Isapi: Gibt an, dass diese Regel für die Isapi-Operationsklasse gilt.

• Id 4001: Weist dieser Regel die ID 4001 zu. Wenn für eine benutzerdefinierte Signaturmehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden.


• query { Include "*subject*" }: Gibt an, dass die Regel mit einer beliebigen (GET)-Anforderungübereinstimmt, die die Zeichenfolge "subject" im Abfrageteil der HTTP-Anforderung enthält.Wenn die Regel mehrere Anforderungsteildateien abdecken soll, müssen Sie diese in diesemAbschnitt in anderen Zeilen hinzufügen.

• method { Include "GET" }: Gibt an, dass die Regel nur GET-Anforderungen abgleichen kann.

• Executable { Include "*" } Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie dieRegel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigenPfadnamen ausgedrückt werden.


• directives isapi:request: Gibt an, dass diese Regel eine HTTP-Anforderung abdeckt.

Windows-Klasse "Program"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Program"aufgeführt:


ProgramClass





level

time

user_name

Executable

Einer der erforderlichen Parameter.Name des Prozesses in derOperation.

filename

Einer der erforderlichen Parameter.Pfadname des Prozesses.path

Auswählen, um die Ausführung einer ausführbarenZieldatei zu verhindern. (Ausführen derausführbaren Zieldatei in der Benutzeroberfläche)

program:rundirectives

Die Richtlinien "program:open_with_x" behandelndie Prozesszugriffsrechte, die mit "OpenProcess()"

program:open_with_any

erstellt wurden. Auswählen, um dieprozessspezifischen Zugriffsrechte zu verhindern:

• PROCESS_TERMINATE – Zum Beenden einesProzesses erforderlich.

• PROCESS_CREATE_THREAD – Zum Erstelleneines Threads erforderlich.

• PROCESS_VM_WRITE – Zum Schreiben in denSpeicher erforderlich.

• PROCESS_DUP_HANDLE – Zum Dupliziereneines Handles erforderlich.

• PROCESS_SET_INFORMATION – ZumFestlegen bestimmter Informationen zu einemProzess (z. B. der Prioritätsklasse)erforderlich.

• PROCESS_SUSPEND_RESUME – ZumAussetzen oder Fortsetzen eines Prozesseserforderlich.


• SYNCHRONIZE – Zum Warten auf dasBeenden eines Prozesses erforderlich.

(Mit sämtlichen Berechtigungen aufrufen, in derBenutzeroberfläche)

Auswählen, um das prozessspezifischeZugriffsrecht zu verhindern:

program:open_with_create_thread


(Mit Berechtigung zum Erstellen eines Threadsaufrufen, in der Benutzeroberfläche)

Auswählen, um die prozessspezifischenZugriffsrechte zu verhindern:

program:open_with_modify



• PROCESS_VM_WRITE – Zum Schreiben in denSpeicher erforderlich.




• PROCESS_DUP_HANDLE – Zum Dupliziereneines Handles erforderlich.

• PROCESS_SET_INFORMATION – ZumFestlegen bestimmter Informationen zu einemProzess (z. B. der Prioritätsklasse)erforderlich.


(Mit Berechtigung zum Ändern aufrufen, in derBenutzeroberfläche)

Auswählen, um die prozessspezifischenZugriffsrechte zu verhindern:

program:open_with_terminate



(Mit Berechtigung zum Beenden aufrufen, in derBenutzeroberfläche)

Auswählen, um das prozessspezifischeZugriffsrecht zu verhindern:

program:open_with_wait

• SYNCHRONIZE – Zum Warten auf dasBeenden eines Prozesses erforderlich.

(Mit Berechtigung zum Warten aufrufen, in derBenutzeroberfläche)

HINWEIS: Unter Microsoft Vista und jüngerenPlattformen nicht erhältlich.

Windows-Klasse "Registry"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Registry"aufgeführt:


RegistryClass


level

time

user_name

Executable

Einer der erforderlichen Parameter. Verwendungmit Schlüsseloperationen (create, delete, rename,

Registrierungsschlüsseloperation.keys

enumerate, monitor, restore, read, replace, load)Siehe Hinweis 1.

Optional. Nur für "registry:rename" bei derUmbenennung eines Schlüssels. Der Zielwert istder Name des Schlüssels.

Registrierungsschlüsseloperation.dest_keys




Einer der erforderlichen Parameter. Verwendungmit Registrierungsschlüsseloperationen (delete,read, modify, create).

Registrierungsschlüsselwert-Operation.values

Optional. Nur für "registry:modify" oder"registry:create". Siehe Hinweis 2.

Registrierungsschlüsselwert-Operation.Neue Daten des Werts.

new_data

Löscht einen Registrierungsschlüssel oder -wert.registry:deletedirectives

Ändert den Inhalt eines Registrierungswerts oderdie Daten eines Registrierungsschlüssels.

registry:modify

Ermöglicht die Erstellung einesRegistrierungsschlüssels.

registry:create

Ändert die Berechtigungen einesRegistrierungsschlüssels.

registry:permissions

Ruft Registrierungsschlüsseldaten (Nummer vonUnterschlüsseln usw.) oder den Inhalt einesRegistrierungswerts ab.

registry:read

Listet einen Registrierungsschlüssel auf, d. h.erhält eine Liste aller Unterschlüssel und Werteeines Schlüssels.

registry:enumerate

Stellt eine Anfrage für die Überwachung einesRegistrierungsschlüssels.

registry:monitor

Stellt einen Eintrag aus einer Datei wieder her,entspricht der"regedit32"-Wiederherstellungsfunktion.

registry:restore

Stellt eine Registrierungseinstellung wieder her(erst nach Neustart).

registry:replace

Lädt Registrierungsschlüssel oder -werte aus einerDatei.

registry:load

Öffnet einen vorhandenen Registrierungsschlüssel.registry:open_existing_key

Benennt einen Registrierungsschlüssel um.registry:rename

Hinweis 1

"HKEY_LOCAL_MACHINE" in einem Registrierungspfad wird durch "REGISTRY\MACHINE\"ersetzt und "CurrentControlSet" wird durch "ControlSet" ersetzt. Beispiel: Der Registrierungswert"abc" unter dem Registrierungsschlüssel"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" wird als"\REGISTRY\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" dargestellt.

Hinweis 2

Die Daten des Abschnitts "new data" müssen einen Hexadezimalwert darstellen. Beispiel: DieDatendefinition des Registrierungswertes"\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc" muss als "old_data {Include "%64%65%66"}" dargestellt werden.



Erweiterte Details

Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" vonSicherheitsereignissen für die Klasse "Registry" angezeigt. Die Werte dieser Parameter könnenverdeutlichen, weshalb eine Signatur ausgelöst wird.

ErklärungGUI-Name

Name des betroffenen Registrierungsschlüssels, einschließlich des Pfadnamens. BeachtenSie Folgendes:

Folgende Syntax verwendenFür diesen Schlüssel

Registry Key

\REGISTRY\MACHINE\HKEY_LOCAL_MACHINE\

\REGISTRY\CURRENT_USER\HKEY_CURRENT_USER\

\REGISTRY\MACHINE\SOFTWARE\CLASSES\HKEY_CLASSES_ROOT\

REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWAREPROFILES\0001\

HKEY_CURRENT_CONFIG\

\REGISTRY\USER\HKEY_USERS\

Name des Registrierungswerts, verkettet mit dem vollständigen Schlüsselnamen. BeachtenSie Folgendes:

Folgende Syntax verwendenFür Werte in diesemSchlüssel

Registry Values

\REGISTRY\MACHINE\Test\*HKEY_LOCAL_MACHINE\Test

\REGISTRY\CURRENT_USER\Test\*HKEY_CURRENT_USER\Test

\REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\*HKEY_CLASSES_ROOT\Test

REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWAREPROFILES\0001\Test\*

HKEY_CURRENT_CONFIG\Test

\REGISTRY\USER\Test\*HKEY_USERS\Test

Gilt nur für Änderungen des Registrierungswerts: Daten, die ein Registrierungswert enthielt,bevor er geändert oder ein Änderungsversuch durchgeführt wurde.

old data

Gilt nur für Änderungen des Registrierungswerts: Daten, die ein Registrierungswert enthält,nachdem er geändert wurde, oder die er enthalten würde, wenn die Änderungen akzeptiertwerden.

new data

Gilt nur für Änderungen des Registrierungswerts: Datentyp, den ein Registrierungswertenthält, bevor er geändert oder ein Änderungsversuch durchgeführt wird.

old data type

Gilt nur für Änderungen des Registrierungswerts: Datentyp, den ein Registrierungswert nacheiner Änderung enthalten würde oder den er enthalten würde, wenn die Änderung akzeptiertwürde.

new data type

Die folgende Regel würde verhindern, dass ein Benutzer oder ein Prozess den Registrierungswert"abc" unter dem Registrierungsschlüssel"\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" löscht.

Rule {

tag "Sample8"

Class Registry

Id 4001



level 4

values { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }

application { Include "*"}


directives registry:delete

}


• Class Registry: Gibt an, dass diese Regel für Anforderungen gilt, die an IIS gesendet werden.



• values { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }: Gibtan, dass die Regel den Registrierungswert "abc" unter dem Registrierungsschlüssel"\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" überwacht. Wenn dieRegel mehrere Werte abdeckt, fügen Sie diese in diesem Abschnitt in verschiedenen Zeilenhinzu.

• application { Include "*"}: Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie dieRegel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigenPfadnamen ausgedrückt werden.


• directives registry:delete: Gibt an, dass diese Regel das Löschen eines Registrierungsschlüsselsoder Werts abdeckt.

Windows-Klasse "Services"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Services"aufgeführt:


RegistryClass


level

time

user_name

Executable

Einer der erforderlichen Parameter. Der Nameeines Dienstes, der in der Registrierung unter

Name des Dienstes, der dasSubjekt der Operation ist, die dieInstanz erstellt.

services

"HKLM\SYSTEM\CurrentControlSet\Services\"gefunden wurde. Siehe Hinweis 1.




Einer der erforderlichen Parameter. Dieser Namewird im Dienste-Manager angezeigt. Siehe Hinweis1.

Angezeigter Name des Dienstes.display_names

Löscht einen Dienst.services:deletedirectives

Erstellt einen Dienst.services:create

Startet einen Dienst.services:start

Beendet einen Dienst.services:stop

Hält einen Dienst an.services:pause

Setzt einen Dienst nach dem Anhalten fort.services:continue

Ändert den Startmodus für einen Dienst.services:startup

Aktiviert ein Hardware-Profil.services:profile_enable

Deaktiviert ein Hardware-Profil.services:profile_disable

Ändert die Anmeldedaten eines Dienstes.services:logon

Hinweis 1

Der Abschnitt "service" muss den Namen des Dienstes des entsprechendenRegistrierungsschlüssels unter "HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"enthalten.

Der Abschnitt "display_names" muss den Anzeigenamen des Dienstes enthalten, d. h. den imDienste-Manager angezeigten Namen, der sich im folgenden Registrierungswert befindet:"HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Dienstname>\".

Erweiterte Details

Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" vonSicherheitsereignissen für die Klasse "Services" angezeigt. Die Werte dieser Parameter könnenverdeutlichen, weshalb eine Signatur ausgelöst wird.

Mögliche WerteErklärungGUI-Name

Name des Windows-Dienstes,der im Dienste-Managerangezeigt wird.

display names

Systemname desWindows-Dienstes in

services

"HKLM\CurrentControlSet\Services\".Dieser kann sich von dem imDienste-Manager angezeigtenNamen unterscheiden.

Gilt nur für das Starten einesDienstes: An den Dienst bei

params

Aktivierung übergebeneParameter.

Starten, System, Automatisch, Manuell, DeaktiviertGilt nur für das Erstellen oderÄndern des Startmodus eines

old startup

Dienstes: Gibt den Startmodusan, bevor er geändert bzw. einÄnderungsversuch unternommenwurde.



Mögliche WerteErklärungGUI-Name

Starten, System, Automatisch, Manuell, DeaktiviertGilt nur für das Ändern desStartmodus eines Dienstes: Gibt

new startup

den Startmodus an, der für einenDienst nach seiner Änderung giltbzw. den er hätte, wenn dieÄnderung akzeptiert wird.

Gilt nur für Änderungen desAnmeldemodus eines Dienstes:

logon

Anmeldedaten (System oderBenutzerkonto), die durch denDienst verwendet werden.

Die folgende Regel würde die Deaktivierung des Warndienstes verhindern.

Rule {

tag "Sample9"

Class Services

Id 4001

level 4

Service { Include "Alerter" }



directives service:stop

}


• Class Services: Gibt an, dass diese Regel für die Dateioperationsklasse gilt.



• Service { Include "Alerter" }: Gibt an, dass diese Regel den Dienst mit dem Namen "Alerter"abdeckt. Wenn die Regel mehrere Dienste abdeckt, fügen Sie diese in diesem Abschnitt inverschiedenen Zeilen hinzu.

• application { Include "*"}: Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie dieRegel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigenPfadnamen ausgedrückt werden.


• directives service:stop: Gibt an, dass diese Regel die Deaktivierung eines Dienstes abdeckt.

Windows-Klasse "SQL"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "SQL"aufgeführt:




MSSQLClass


level

time

user_name

Executable

Boolescher Wert, der angibt, obeine Windows-Authentifizierung

authentication_mode

(Wert = 1) oder eineSQL-Authentifizierung (Wert =0) verwendet wird.

Beispiel: OSQL-32, InternetinformationsdiensteName des Dienstprogramms, dasdie Anforderung auf demClient-System sendet.

client_agent

Beispiel: saName des Benutzers, wenn eineSQL-Authentifizierung verwendet

db_user_name

wird, und "VertrauenswürdigerBenutzer", wenn eineWindows-Authentifizierungverwendet wird.

Dieser sollte dem Namen der gespeichertenProzedur entsprechen. Eine gespeicherte Prozedur

Name des gespeichertenVorgangs

sp_name

wird anhand einer bereitgestellten Liste derProzedurennamen ermittelt, die in jederSQL-Agenten-Version enthalten ist (aktuell ist dies"SPList.txt" im Agenten-Verzeichnis).

Enthält die Länge desParameters als Anzahl anZeichen.

sp_param_char_len_one...

Enthält den Wert desParameters.

sp_param_one...

Enthält die Länge desParameters als Anzahl von Byte.

sp_param_orign_len-one...

Dieser Wert ist auf "1"festgelegt, wenn die Abfrage

sql_line_comment

einen Zeilenkommentar "-" miteinem einzelnenAnführungszeichen enthält.

Enthält die vollständigeSQL-Abfrage, wie sie empfangen

sql_original_query

wurde (einschließlichZeichenfolgen und Leerzeichen).

Die SQL-Abfragezeichenfolge,aus der Zeichenfolgenwerte,

sql_query

Leerzeichen und alle Inhaltenach den Kommentaren entferntwurden.

Für Nicht-SQL-Benutzer ist dieser Wert immer auf"0" festgelegt.

Dies ist auf "1" festgelegt, wenndas Kennwort "NULL" lautet,ansonsten ist der Wert 0.

sql_user_password




Unter MSSQL 2005/2008 istdieser Wert hartkodiert als:Freigegebener Speicher (LPC).

transport

Für eingehende SQL-Anforderungen.sql:request.directives

Klassen und Richtlinien für die einzelnenWindows-PlattformenEine Liste der gültigen Klassen und Richtlinien für die einzelnen Windows-Plattformen:

• Windows XP, SP2, SP3, 32 und 64 Bit (XP)

• Windows 2003, R2, R2 SP2, 32 und 64 Bit (2K3)

• Windows Vista (32 und 64 Bit) (V)

• Windows 2008 R2 (32 und 64 Bit) (2K8)

• Windows 7 (32 und 64 Bit) (7)

Klasse "Buffer Overflow"

64-Bit-Prozesse unter64-Bit-Windows-Betriebssystem(x64)



Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPbo:

xxxxxxxxxxstack

xxxxxxxxxxheap

xxxxxxxxxxwriteable_memory

xxxxxxxxxxinvalid_call

xxxxxxxxxxtarget_bytes

xxxxxxxxxxcall_not_found

xxxxxxxxxxcall_return_unreadable

xxxxxxxxxxcall_different_target

xxxxxxxxxxcall_return_to_api

Klasse "Files"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPfiles:

xxxxxxxxxxxxxxxcreate

xxxxxxxxxxxxxxxread

xxxxxxxxxxxxxxxwrite

xxxxxxxxxxxxxxxexecute

xxxxxxxxxxxxxxxdelete

xxxxxxxxxxxxxxxrename






Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPfiles:

xxxxxxxxxxxxxxxattribute

xxxxxxxxxxxxxxxwriteop

xxxxxxxxxxxxxxxhardlink

Klasse "Hook"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPhook:

xxxxxxxxxxxxxxxset_windows_hook

Klasse "Illegal API Use"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPillegal_api_use:

xxxxxxxxxxxxxxxbad_parameter

xxxxxxxxxxxxxxxinvalid_call

Klasse "Illegal Use"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPillegal:

xxxxxxxxxxxxxxxapi

Klasse "ISAPI"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPisapi:

xxxxxxrequest

xxxxxxrequrl

xxxxxxreqquery

xxxxxxrawdata

xxxxxxresponse



Klasse "Program"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPprogram:

xxxxxxxxxxxxxrun

xxxxxxxxxxxxxopen_with_any

xxxxxxxxxxxxxopen_with_create_thread

xxxxxxxxxxxxxopen_with_modify

xxxxxxxxxxxxxopen_with_terminate

xxxxopen_with_wait

Klasse "Registry"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPregistry:


xxxxxxxxxxxxxxxread

xxxxxxxxxxxxxxxdelete

xxxxxxxxxxxxxxxmodify

xxxpermissions

xxxxxxxxxxxxxxxenumerate

xxxmonitor

xxxrestore

xxxreplace

xxxxxxxxxload

xxxxxxxxxxxxxxxopen_existing_key

xxxxxxxxxrename

Klasse "Services"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPservices:

xxstart

xxstop

xxpause

xxcontinue

xxxxxxxxxxxxxxxstartup






Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPservices:

xxxxxxxxxxxxxxxprofile_enable

xxxxxxxxxxxxxxxprofile_disable

xxxxxxxxxxxxxxxlogon


xxxxdelete

Klasse "SQL"




Richtlinien

72K8V2K3XP72K8V2K3XP72K8V2K3XPsql:

xxxxxxxxxrequest

Benutzerdefinierte Nicht-Windows-SignaturenIn diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Signaturen für die PlattformenSolaris und Linux erstellen.

HINWEIS: Regeln in den Windows-Class-Dateien verwenden doppelte Schrägstriche, Regeln inder Nicht-Windows-Klasse "UNIX_file" verwenden einen einzelnen Schrägstrich.

Die Klasse der Signatur hängt von der Art des Sicherheitsproblems ab und vom Schutz, den dieSignatur bieten kann. Für Solaris und Linux sind folgende Klassen verfügbar:

VerwendungKlasse

Für Datei- oder Verzeichnisoperationen unter Solaris undLinux.

UNIX_file

Für HTTP-Anforderungen unter Solaris und Linux.UNIX_apache

Für den Zugriffsschutz unter Solaris und Linux.UNIX_Misc

Für den Buffer Overflow. Nur Solaris.UNIX_bo

Für die Zuordnung von Dateien oder Geräten imArbeitsspeicher. Nur Solaris.

UNIX_map

Um Benutzern die Möglichkeit zu bieten, ausführbareDateien mit den Berechtigungen des Eigentümers oder

UNIX_GUID

der Gruppe der ausführbaren Datei verwenden zu können.Nur Solaris.

Solaris/Linux-Klasse "UNIX_file"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der UNIX-basierten Klasse"UNIX_file" aufgeführt:

Anhang A – Schreiben von benutzerdefinierten Signaturen und AusnahmenBenutzerdefinierte Nicht-Windows-Signaturen



UNIX_fileClass


level

time

user_name

Executable

Einer der erforderlichen Parameter. Zu suchendeDateien. Siehe Hinweis 1.

An der Operation beteiligte Dateioder Ordner

files

Einer der erforderlichen Parameter. Siehe Hinweis1.

Zieldateinamensource

Nur Solaris. Optional. Siehe Hinweis 2.Liste der Berechtigungen fürQuelldateinamen

file

Nur Solaris. Optional. Siehe Hinweis 2.Berechtigungsmodus für neuerstellte Datei oder veränderteBerechtigung

new

Solaris 10 oder höher. Siehe Hinweis 5.Name der Zone, für die dieSignatur gilt.

zone

Ändert das Arbeitsverzeichnis.unixfile:chdirdirectives

Ändert die Berechtigungen für das Verzeichnisoder die Datei.

unixfile:chmod

Ändert die Eigentümerschaft für ein Verzeichnisoder eine Datei.

unixfile:chown

Erstellt eine Datei.unixfile:create

Erstellt einen festen Link. Siehe Hinweis 3.unixfile:link

Erstellt ein Verzeichnis.unixfile:mkdir

Öffnet eine Datei im Lesemodus.unixfile:read

Benennt eine Datei um. Siehe Hinweis 4.unixfile:rename

Entfernt ein Verzeichnis.unixfile:rmdir

Erstellt einen symbolischen Link.unixfile:symlink

Löscht eine Datei aus einem Verzeichnis oderlöscht ein Verzeichnis.

unixfile:unlink

Öffnet eine Datei im Lese-/Schreib-Modus.unixfile:write

Nur Linux. Ändert die Berechtigungen und dieEigentümerschaft für das Verzeichnis oder dieDatei.

unixfile:setattr

Erstellt einen Knoten.unixfile:mknod

Ändert die Dateiattribute. Überwachte Attributesind "Schreibgeschützt", "Verborgen", "Archiv"und "System".

unixfile:access

Nur Solaris. Dateiname weist 512 aufeinanderfolgende '/' auf.

unixfile:foolaccess




Nur Solaris. Zeigt Zeitplanparameter an oderlegt diese fest.

unixfile:priocntl

Hinweis 1

Relevante Richtlinien pro Abschnitt:

Neue BerechtigungDateiberechtigungQuelleDateiRichtlinie

XXchdir

XXXchmod

Xchown

XXXcreate

Xlink

Xmkdir

Xread

XXrename

Xrmdir

Xsetattr

XXXsymlink

Xunlink

Xwrite

Hinweis 2

Der Wert der Abschnitte "file permissions" (Dateiberechtigungen) und "new permissions" (NeueBerechtigungen) entspricht der Zugriffskontrollliste (Access Control List). Diese Abschnittekönnen nur die Werte "SUID" oder "SGID" haben.

Hinweis 3

Die Richtlinie "unixfile:link" hat eine andere Bedeutung, wenn sie mit Abschnitt "files" undAbschnitt "source" kombiniert wird:

• In Kombination mit dem Abschnitt "files" bedeutet sie, dass das Erstellen eines Links zurDatei im Abschnitt "files" überwacht wird.

• In Kombination mit Abschnitt "source" bedeutet dies, dass kein Link mit dem Namen erstelltwerden kann, der im Abschnitt "source" angegeben wurde.

Hinweis 4

Die Richtlinie "unixfile:rename" hat eine andere Bedeutung, wenn sie mit Abschnitt "files" undAbschnitt "source" kombiniert wird:

• In Kombination mit dem Abschnitt "files" bedeutet sie, dass die Umbenennung der Datei imAbschnitt "files" überwacht wird.

• In Kombination mit dem Abschnitt "source" bedeutet sie, dass keine Datei in die Datei imAbschnitt "source" umbenannt werden kann.



Hinweis 5

Standardmäßig sind alle Zonen durch die Signatur geschützt. Wenn Sie den Schutz auf einebestimmte Zone beschränken möchten, fügen Sie in der Signatur einen Zonenabschnitt hinzu,und binden Sie den Namen der Zone ein.

Wenn Sie beispielsweise eine Zone "app_zone" verwenden, deren Stammverzeichnis "/zones/app"lautet, dann gilt für die Regel Folgendes:

Rule {

...

file { Include "/tmp/test.log" }

zone { Include "app_zone" }

... }

Sie gilt nur für Dateien in der Zone "app_zone", nicht aber in der globalen Zone.

Beachten Sie, dass bei dieser Version der Web-Server-Schutz nicht auf eine bestimmte Zonebeschränkt werden kann.

Erweiterte Details

Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" vonSicherheitsereignissen für die Klasse "UNIX_file" angezeigt. Die Werte dieser Parameter könnenverdeutlichen, weshalb eine Signatur ausgelöst wird.

ErklärungGUI-Name

Die Namen der Datei, auf die zugegriffen wurde oder aufdie versucht wurde, zuzugreifen.

files

Trifft nur zu, wenn die Operation die Erstellung einessymbolischen Links zwischen Dateien ist: Name des neuen

source

Links; oder wenn die Operation die Umbenennung einerDatei ist: neuer Name der Datei.

Berechtigungen der Datei.file permission

Trifft nur zu, wenn die Operation die Erstellung einessymbolischen Links zwischen Dateien ist: Berechtigungen

source permission

für die Zieldatei (die Datei, auf die der Link verweist). NurSolaris.

Trifft nur zu, wenn eine neue Datei erstellt oder wenn einechmod-Operation durchgeführt wird: Berechtigungen fürdie neue Datei. Nur Solaris.

new permission

Solaris/Linux-Klasse "UNIX_apache" (HTTP)In der folgenden Tabelle sind die möglichen Abschnitte und Werte der UNIX-basierten Klasse"UNIX_apache" aufgeführt:


UNIX_apacheClass


level

time




user_name

Executable

Optional. Vergleicht mit dem URL-Teil einereingehenden Anforderung. Siehe Hinweise 1–4.

url

Optional. Vergleicht mit dem Abfrageteil einereingehenden Anforderung. Siehe Hinweise 1–4.

query

Optional. Siehe Hinweis 4."GET", "POST", "INDEX" und alleanderen erlaubtenHTTP-Methoden.

method


zone

Für URL-Anforderungen.apache:requrldirectives

Für Abfrageanforderungen.apache:reqquery

Für Rohdatenanforderungen.apache:rawdata

Hinweis 1

Eine eingehende HTTP-Anforderung kann dargestellt werden als: http://www.eigenerserver.de/{url}?{query}. In diesem Dokument gilt {url} als der "URL"-Teil der HTTP-Anforderung und{query} als der "Query"-Teil der HTTP-Anforderung. Mit dieser Namenskonvention kann definiertwerden, dass der Abschnitt "url" abgeglichen wird mit {url} und der Abschnitt "query" abgeglichenwird mit {query}.

Beispielsweise würde die folgende Regel ausgelöst, wenn die HTTP-Anforderung "http://www.eigenerserver.de/search/abc.exe?subject=wildlife&environment=ocean" durch IISempfangen würde:

Rule {

Class UNIX_apache

Id 4001

level 1

url { Include "*abc*" }

time { Include "*" }



directives apache:request

}

Diese Regel wird ausgelöst, weil "{url} = /search/abc.exe" ist, wodurch der Wert des Abschnitts"url" abgeglichen wird (d. h. abc).

Hinweis 2

Bevor der Abgleich durchgeführt wird, werden die Abschnitte "url" und "query" dekodiert undnormalisiert, sodass Anforderungen nicht mit Kodierungs- oder Escape-Folgen gefüllt werdenkönnen.



Hinweis 3

Eine Beschränkung für die maximale Länge kann für die Abschnitte "url" und "query" festgelegtwerden. Durch Hinzufügen von ";number-of-chars" zum Wert dieser Abschnitte kann dieseRegel nur abgeglichen werden, wenn {url} oder {query} aus mehr Zeichen besteht als"number-of-chars". Für die folgende Regel wird z. B. eine Übereinstimmung gefunden, wennder URL-Teil der Anforderung "abc" enthält und der URL-Teil der Anforderung mehr als500 Zeichen umfasst:

Rule {

Class UNIX_apache

Id 4001

level 1

url { Include "*abc*;500" }

time { Include "*" }



directives apache:request}

}

Hinweis 4

Eine Regel muss mindestens eine der optionalen Abschnitte "url", "query" und "method"enthalten.

Hinweis 5



Rule {

...



... }



Solaris/Linux-Klasse "UNIX_Misc"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris/Linux-Klasse"UNIX_misc" aufgeführt:


Eine nicht kategorisierbare Klasse für denZugriffsschutz.

UNIX_miscClass





level

time

user_name

Executable

Solaris 10 oder höher.Name der Zone, für die dieSignatur gilt.

zone

Das Signal "SIGKILL" wird nicht an den Clientgesendet.

unixmisc:killagentdirectives

Solaris-Klasse "UNIX_bo"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse "UNIX_bo"(Buffer Overflow) aufgeführt:


UNIX_boClass


level

time

user_name

Executable

Zu suchendes Programm.Programmnameprogram


zone

Binäre Argumente.unixbo:binargsdirectives

Ungültige Adresse, z. B. Ausführen einesProgramms aus dem Stapel.

unixbo:illegal_address

Programmausführung.unixbo:exec

Programmumgebung.unixbo:enrironment

Binäre Umgebung.unixbo:binenv

Wird verwendet, wenn die Rückgabeadresse füreine Funktion nicht im entsprechendenStapelframe liegt.

unixbo:libc

Hinweis 1





Rule {

...



... }



Solaris-Klasse "UNIX_map"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse "UNIX_map"aufgeführt:


Mit dieser Klasse können Sie UNIX-Dateien oder-Geräte im Arbeitsspeicher zuordnen.

UNIX_mapClass


level

time

user_name

Executable


zone

Legt den Zugriffsschutz für Speicherseiten fest.mmap:mprotectdirectives

Ordnet Dateien oder Geräte im Arbeitsspeicherzu.

mmap:mmap

Solaris-Klasse "UNIX_GUID"In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse"UNIX_GUID" aufgeführt:


Mit dieser Klasse können SieUnix-Benutzerzugriffs-Berechtigungsmarkierungen

UNIX_GUIDClass

festlegen, mit denen die Benutzer ausführbareDateien mit den Berechtigungen des Eigentümersoder der Gruppe der ausführbaren Dateiverwenden können.


level

time

user_name

Executable





zone

Legt eine Benutzer-ID fest, damit Benutzerausführbare Dateien mit den Berechtigungen des

guid:setuiddirectives

Eigentümers oder der Gruppe der ausführbarenDatei verwenden können.

Legt die gültige Benutzer-ID fest.guid:seteuid

Legt die tatsächliche und die gültige Benutzer-IDfest.

guid:setreuid

Legt eine Gruppen-ID fest, damit Gruppenausführbare Dateien mit den Berechtigungen des

guid:setgid

Eigentümers oder der Gruppe der ausführbarenDatei verwenden können.

Legt die gültige Gruppen-ID fest.guid:setegid

Legt die tatsächliche und die gültige Gruppen-IDfest.

guid:setregid

Klassen und Richtlinien für die einzelnen UNIX-PlattformenEine Liste der gültigen Klassen und Richtlinien für die einzelnen Nicht-Windows-Plattformen:

Klasse "UNIX_bo"

Solaris 10Solaris 9SuSE LinuxRedHat LinuxRichtlinien

XXunixbo:binargs

XXunixbo:illegal_address

XXunixbo:exec

XXunixbo:enrironment

XXunixbo:binenv

XXunixbo:libc

Klasse "UNIX_file"


XXXXunixfile:chdir

XXXXunixfile:chmod

XXXXunixfile:chown

XXXXunixfile:create

XXXXunixfile:link

XXXXunixfile:mkdir

XXXXunixfile:read

XXXXunixfile:rename

XXXXunixfile:rmhdir




XXunixfile:setattr

XXXXunixfile:symlink

XXXXunixfile:unlink

XXXXunixfile:write

XXXXunixfile:mknod

XXXXunixfile:access

XXunixfile:foolaccess

XXunixfile:priocntl

Klasse "UNIX_Misc"


XXXXunixmisc:killagent

Klasse "UNIX_apache"


XXXXapache:requrl

XXXXapache:reqquery

XXXXapache:rawdata

Klasse "UNIX_map"


XXmmap:mprotect

XXmmap:mmap

Klasse "UNIX_GUID"


XXguid:setuid

XXguid:seteuid

XXguid:setreuid

XXguid:setgid

XXguid:setegid

XXguid:setregid



Anhang B: FehlerbehebungIn den Knowledge Base-Artikeln auf der Support-Webseite von McAfee Support http://mcafee.comfinden Sie aktuelle Informationen zu Fehlern und deren Lösung. Die neuesten Informationenerhalten Sie in KB69184.

Inhalt

Allgemeine Probleme

Host IPS-Protokolle

Dienstprogramm Clientcontrol.exe

Allgemeine ProblemeWelche Dienste von Host Intrusion Prevention sollten auf dem Client installiert undausgeführt werden, damit die Software einwandfrei funktioniert?

Voraussetzung für einen Eindringungsschutz mit IPS oder Firewall oder beidem sind folgendeDienste:

• McAfee Host Intrusion Prevention Service (FireSvc.exe)

• McAfee Firewall Core Service (mfefire.exe)

• McAfee Validation Trust Protection Service (mfevtps.exe)

Beim Aufruf sollten folgende Dienste aktiviert sein:

• McAfee Host Intrusion Prevention system tray icon service (FireTray.exe).

• McAfee Host Intrusion Prevention client console (McAfeeFire.exe)

Wie lässt sich verhindern, dass die Firewall Nicht-IP-Datenverkehr blockiert?

Wenn nicht anders in einer Firewall-Regel angegeben, werden einige Arten vonNicht-IP-Datenverkehr von der Firewall nicht erkannt und daher blockiert. Außerdem werdenmit den adaptiven und lernfähigen Modi Firewall-Regeln für Nicht-IP-Protokolle nicht dynamischentdeckt und erstellt. Um zu verhindern, dass Nicht-IP-Protokolle unterbrochen werden, wählenSie in der Richtlinie Firewall-Optionen die Option Datenverkehr für nicht unterstützteProtokolle erlauben aus. Anschließend können Sie das Aktivitätsprotokoll auf Zulässigeseingehendes/ausgehendes Nicht-IP-Protokoll: mit dem Wert 0xXXX prüfen, wobei0xXXX der IANA-Ethernet-Nummer des Protokolls entspricht (siehehtttp://www.iana.org/assignments/ethernet-numbers). Ermitteln Sie anhand dieser Informationenden erforderlichen Nicht-IP-Datenverkehr, und erstellen Sie eine Firewall-Regel, die diesenzulässt.


http://mcafee.com

htttp://www.iana.org/assignments/ethernet-numbers

Wie ist vorzugehen, wenn eine Anwendung nach der Installation von Host IntrusionPrevention oder nach der Aktualisierung von Inhalten nichtmehr richtig funktioniert?

Ändert sich die Funktionsweise einer Anwendung nach der Installation oder Aktualisierung einesClients mit Host Intrusion Prevention oder nach Durchführung einer Inhaltsaktualisierung,ermitteln Sie, ob das Problem durch eine Signatur oder anderweitig ausgelöst wird.

Vorgehensweise, wenn eine IPS-Signatur die Problemursache ist:

1 Aktivieren Sie auf dem Client oder auf dem ePolicy Orchestrator-Server in der Richtlinie fürdie Client-Benutzeroberfläche die IPS- (in HipShield.log) und die Firewall-Protokollierung(in FireSvc.log), und reproduzieren Sie das Problem.

2 Suchen Sie in HipShield.log nach VERLETZUNG: nach Verletzungsinformationen zueinem beliebigen <Ereignis>.

3 Wird die Aktivität ereignisbedingt durch eine Signatur blockiert, öffnen Sie auf dem ePolicyOrchestrator-Server unter Berichte die Registerkarte Ereignisse, suchen Sie das Ereignis,und erstellen Sie eine Ausnahme. Die Ausnahme sollte mithilfe der erweitertenEreignisparameter so detailliert wie möglich formuliert werden.

4 Stehen für das Ereignis nur begrenzt Parameter zur Verfügung, zeigen Sie die zum Ereignisgehörige Signatur an. Wird in der Beschreibung der IPS-Signatur auf ein Element vonCommon Vulnerabilities and Exposures (CVE) verwiesen, bedeutet das, dass einsicherheitsbezogener Aktualisierungs-Patch vorliegt. Wenden Sie den Patch an, unddeaktivieren Sie die Signatur.

Vorgehensweise, wenn das Problem nicht mit einer IPS-Signatur zusammenhängt:

1 Deaktivieren Sie alle Module von Host Intrusion Prevention (IPS, Netzwerk-IPS und Firewall),und prüfen Sie, ob das Problem erneut auftritt.

2 Deaktivieren Sie IPS, und halten Sie den Host Intrusion Prevention-Client-Dienst(FireSvc.exe) an. Prüfen Sie dann, ob das Problem erneut auftritt.

3 Wenn das Problem nicht wieder auftritt, wählen Sie auf dem ePolicy Orchestrator-Serverin der Richtlinie Firewall-Optionen die Option Datenverkehr für nicht unterstützteProtokolle erlauben aus, und wenden Sie die Richtlinie auf dem Client an. Prüfen Siemit dieser Optionsauswahl, ob das Problem erneut auftritt. Hinweis: Auch bei deaktivierterFirewall kann der Datenverkehr dennoch unterbrochen werden, wenn Host IntrusionPrevention aktiviert ist.

4 Lässt sich das Problem so nicht beheben, deaktivieren Sie den McAfee NDIS IntermediateFilter Miniport-Adapter, und prüfen Sie, ob das Problem erneut auftritt.

5 Lässt sich das Problem so nicht beheben, deinstallieren Sie den McAfee NDIS IntermediateFilter Miniport-Adapter, und prüfen Sie, ob das Problem erneut auftritt. AusführlicheInformationen finden Sie im KnowledgeBase-Artikel 51676 unterhttp://knowledge.mcafee.com.

6 Wenn das Problem nach der Deinstallation von NDIS nicht auftritt, lesen SieKnowledgeBase-Artikel 68557 unter http://knowledge.mcafee.com, und prüfen Sie beideinstalliertem NDIS und installiertem Microsoft PassThru-Treiber.

Vorgehensweise, wenn das Problem nur auftritt, wenn das IPS-Modul aktiviert ist und keine<Ereignis>-Verletzungen in HipShield.log erfasst sind:

1 Ermitteln Sie die zur Anwendung gehörigen ausführbaren Dateien.

2 Schließen Sie diese in der Anwendungsschutzliste von Host IPS aus dem Schutz aus.

3 Prüfen Sie die Funktionsweise der Anwendung erneut. Notieren Sie die Ergebnisse.

4 Schließen Sie die in Schritt 2 ausgeschlossenen ausführbaren Dateien ein.

Anhang B: FehlerbehebungAllgemeine Probleme


http://knowledge.mcafee.com



5 Ermitteln Sie das möglicherweise fehlerverursachende IPS-Modul. Ausführliche Informationenfinden Sie im KnowledgeBase-Artikel 54960 unter http://knowledge.mcafee.com.

6 Ermitteln Sie das IPS-Modul, das das Problem möglicherweise verursacht.

Wie werden Komponenten in Host IPS zur Entdeckung problemverursachenderModule isoliert?

HINWEIS: Im Rahmen der folgenden Vorgehensweisen sind u. U. wiederholt Neustarts,Anmeldungen oder die Reproduktion von Problemen erforderlich. Die Schritte werden auf demlokalen Client-System ausgeführt, auf dem sich die Host IPS-Konsole befindet. Wenn Sie dieProblemursache feststellen, das Problem aber nicht lösen können, senden Sie die erhaltenenProtokolle an den Support von McAfee.

Deaktivieren Sie alle Komponenten, und prüfen Sie sie auf Fehler:

1 IPS deaktivieren: Klicken Sie auf die Registerkarte IPS-Richtlinie, und deaktivieren Siedie Kontrollkästchen Host IPS aktivieren und Netzwerk-IPS aktivieren.

2 Firewall deaktivieren: Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivierenSie das Kontrollkästchen Firewall aktivieren.

3 Liste Blockierte Hosts löschen: Klicken Sie auf die Registerkarte Blockierte Hosts, undlöschen Sie die Liste durch Auswahl der einzelnen Einträge und durch Klicken auf Entfernen.

4 Aktivitätsprotokollierung aktivieren: Klicken Sie auf die Registerkarte Aktivitätsprotokoll,und prüfen Sie, ob alle Kontrollkästchen für die Protokollierung von Datenverkehr sowieFilteroptionen aktiviert sind.

5 Prüfen Sie, ob das Problem im System erneut auftritt:

• Wenn ja, fahren Sie mit Schritt 6 fort.

• Wenn nein, gehen Sie zu Schritt 1 der Wiederholtestphase.

6 Prüfen Sie Folgendes:

• Halten Sie den McAfee Host IPS-Dienst an, und prüfen Sie das System erneut. Wenndas Problem nicht mehr auftritt, vermerken Sie, dass es direkt mit dem Dienstzusammenhängt.

• Deinstallieren Sie den Host IPS-Client vom lokalen System, und prüfen Sie das Systemerneut. Wenn das Problem nicht mehr auftritt, vermerken Sie, dass es mit deninstallierten Dateien und nicht mit einer bestimmten Komponente zusammenhängt.

Einzelne Komponenten wiederholt testen:

Host IPS testen

1 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll.

2 Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Host IPS aktivieren aus.

3 Prüfen Sie, ob das Problem im System erneut auftritt:

• Wenn das Problem nicht mehr auftritt, fahren Sie unter Netzwerk-IPS testen mitSchritt 5 fort.

• Wenn das Problem wieder auftritt:

1 Deaktivieren Sie die Option Host IPS aktivieren.

2 Prüfen Sie das System erneut. Wenn das Problem behoben wurde, kann Host IPSdamit zusammenhängen.

3 Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem NamenHost IPS-Aktivitätsprotokoll mit Fehler.




4 Aktivieren Sie das Kontrollkästchen Host IPS aktivieren, und prüfen Sie, ob dasProblem erneut auftritt.

Alle IPS-Module prüfen:

1 Klicken Sie auf Hilfe, und wählen Sie Fehlerbehebung aus.

2 Wählen Sie unter der IPS-Protokollierung die Berichte zu Fehler aus.

3 Wählen Sie Sicherheitsverstöße protokollieren aus.

4 Klicken Sie auf Funktionalität.

5 Deaktivieren Sie im Dialogfeld HIPS-Module das Kontrollkästchen Alle Moduleaktivieren/deaktivieren, und klicken Sie auf OK.

6 Prüfen Sie, ob das Problem im System erneut auftritt.

7 Führen Sie einen der folgenden Vorgänge aus:

• Wenn das Problem erneut auftritt, ermitteln Sie, ob es mit der IPS-Komponente, nichtaber mit bestimmten Modulen zusammenhängt. Prüfen Sie in hipshield.log, ob dieIPS-Komponente das Problem ist.

• Wenn das Problem nicht wieder auftritt, kann es mit einem bestimmten Modulzusammenhängen. Fahren Sie unter Alle IPS-Module testen mit dem nächsten Schrittfort.

Alle IPS-Module testen

1 Klicken Sie auf Hilfe, und wählen Sie Fehlerbehebung aus.

2 Wählen Sie unter der IPS-Protokollierung die Berichte zu Fehler aus.

3 Wählen Sie Sicherheitsverstöße protokollieren aus.

4 Klicken Sie auf Funktionalität.

5 Wählen Sie die Module der Reihe nach aus, und testen Sie sie.

6 Speichern Sie zur Berichterstattung an den Support nach jedem Test eine Kopie vonhipshield.log, und benennen Sie sie mit dem Namen des getesteten Moduls.

7 Aktivieren Sie nach dem Testen alle Module, und fahren Sie mit dem nächsten Schritt fort.

Adaptiven Modus von IPS testen


2 Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie AdaptivenModus aktivierenaus.



• Wenn das Problem erneut auftritt, deaktivieren Sie Adaptiven Modus aktivieren,und prüfen Sie das System erneut, um zu sehen, ob das Problem weiterhin besteht.Wenn ja, ist der adaptive Modus in Host IPS womöglich die Ursache. Speichern Sie fürden Support eine Kopie des Aktivitätsprotokolls unter dem Namen Host IPSAdaptive Aktivität mit Fehler.

• Tritt das Problem nicht mehr auf, deaktivieren Sie das Kontrollkästchen Host IPSaktivieren, und fahren Sie mit dem nächsten Schritt fort.

Netzwerk-IPS testen


2 Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Netzwerk-IPS aktivierenaus.





• Wenn das Problem erneut auftritt, deaktivieren Sie Netzwerk-IPS aktivieren, undprüfen Sie das System erneut, um zu sehen, ob das Problem weiterhin besteht. Wennja, ist Netzwerk-IPS womöglich die Ursache. Speichern Sie für den Support eine Kopiedes Aktivitätsprotokolls unter dem Namen Netzwerk-IPS-Aktivitätsprotokollmit Fehler.

• Tritt das Problem nicht mehr auf, aktivieren Sie das Kontrollkästchen Netzwerk-IPSaktivieren, und fahren Sie mit dem nächsten Schritt fort.

Automatische Blockierung von Netzwerk-IPS testen


2 Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Netzwerk-IPS aktivierenaus.

3 Aktivieren Sie das Kontrollkästchen Angreifer automatisch blockieren.

4 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn ja:

a Deaktivieren Sie das Kontrollkästchen Angreifer automatisch blockieren, undprüfen Sie, ob das Problem behoben wurde. Wenn ja, ist die Option Angreiferautomatisch blockieren von Netzwerk-IPS womöglich die Ursache.

b Öffnen Sie die Registerkarte Blockierte Hosts, suchen Sie nach Einträgen zublockierten Angreifern, und prüfen Sie auf fälschlicherweise positive Einträge.

c Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem NamenNetzwerk-IPS Adaptives Aktivitätsprotokoll mit Fehler.

5 Tritt das Problem nicht mehr auf, deaktivieren Sie das Kontrollkästchen Netzwerk-PSaktivieren, und fahren Sie mit dem nächsten Schritt fort.

Firewall-Richtlinie testen


2 Öffnen Sie die Registerkarte Firewall-Richtlinie, und aktivieren Sie das KontrollkästchenFirewall aktivieren.


a Deaktivieren Sie die Option Firewall aktivieren.

b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn das Problem behoben ist,ist Host IPS Firewall womöglich die Ursache.

c Speichern Sie eine Kopie des Aktivitätsprotokolls unter dem NamenFirewall-Aktivitätsprotokoll mit Fehler.

4 Tritt das Problem nicht mehr auf, aktivieren Sie das Kontrollkästchen Firewall aktivieren,und fahren Sie mit dem nächsten Schritt fort.

Lernmodus der Firewall testen


2 Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivieren Sie die KontrollkästchenLernmodus und Eingehend. Deaktivieren Sie das Kontrollkästchen Ausgehend.


a Deaktivieren Sie das Kontrollkästchen Eingehend.

b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der eingehendeLernmodus der Firewall womöglich die Ursache.



c Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem NamenFirewall-Aktivitätsprotokoll LernEIN mit Fehler.

d Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll.


5 Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivieren Sie die KontrollkästchenLernmodus und Ausgehend. Deaktivieren Sie das Kontrollkästchen Eingehend.


a Deaktivieren Sie das Kontrollkästchen Ausgehend.

b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der ausgehendeLernmodus der Firewall womöglich die Ursache.

c Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem NamenFirewall-Aktivitätsprotokoll LernAUS mit Fehler.

d Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll.

7 Suchen Sie die Registerkarte Firewall-Richtlinie.

8 Öffnen Sie die Registerkarte Firewall-Richtlinie, und aktivieren Sie die KontrollkästchenLernmodus sowie Eingehend und Ausgehend.


a Deaktivieren Sie die Kontrollkästchen Eingehend und Ausgehend.

b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der ein- undausgehende Lernmodus der Firewall womöglich die Ursache.

c Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem NamenFirewall-Aktivitätsprotokoll LernEINAUS mit Fehler.

Mit einer Firewall-Regel für den gesamten Datenverkehr testen:

HINWEIS: Dieser Schritt muss ggf. von der ePO-Managementkonsole konfiguriert werden, dadie beliebige Testregel die erste Regel in der Regelliste der Firewall sein muss. Wenn auf derKonsole andere Richtlinien konfiguriert wurden, haben diese Vorrang vor lokal erstellten Regeln.

1 Erstellen Sie eine neue Regel unter dem Namen Beliebig.

2 Wählen Sie unter Aktion den Eintrag Zulassen aus.

3 Wählen Sie für Protokoll die Option IP TCP aus.

4 Wählen Sie unter Richtung den Eintrag Beide aus.

5 Speichern Sie die Regel. Wird die Regel auf der ePO-Konsole in einer Richtlinie erstellt,verschieben Sie die Regel Beliebig in der Regelliste an die erste Stelle. Wird die Regellokal erstellt, sorgen Sie dafür, dass keine anderen Regeln vorrangig gehandhabt werden.


a Deaktivieren Sie die Regel Beliebig.

b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, liegt wahrscheinlich einRegelkonfigurationsfehler vor.

c Erstellen Sie einen Screenshot der Liste der Firewall-Regeln auf der RegisterkarteFirewall-Richtlinie.

d Speichern Sie eine Kopie des Aktivitätsprotokolls unter dem NamenFirewall-Aktivitätsprotokoll Test mit Beliebig.

e Exportieren Sie die Einstellungen für Host IPS-Richtlinie:

a Melden Sie sich an der ePO-Konsole an.



b Gehen Sie in der ePO-Struktur zum Objekt Richtlinienkatalog.

c Suchen Sie nach Host IPS, und erweitern Sie es.

d Klicken Sie auf Alle Richtlinien exportieren.

7 Öffnen Sie die Registerkarte Firewall-Richtlinie, deaktivieren Sie das KontrollkästchenFirewall aktivieren, und fahren Sie mit dem nächsten Schritt fort.

Richtlinie für blockierte Hosts testen


2 Öffnen Sie die Registerkarte Blockierte Hosts, und entfernen Sie alle blockierten Hostsaus der Liste.

3 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn nein, hängt es wahrscheinlichnicht mit den blockierten Hosts zusammen.

Wenn Sie die Problemursache nicht finden, wenden Sie sich an den Support von McAfee,schildern Sie die Umstände, und übermitteln Sie dem Support die erstellten Dateien.

Host IPS-ProtokolleWo befinden sich Protokolldateien?

Je nach Betriebssystem befinden sich alle Protokolldateien in einem der folgenden Verzeichnisseauf dem Client-System:

• Windows XP, Windows 2003: C:\Dokumente und Einstellungen\AlleBenutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention

• Windows Vista, Windows 2008, Windows 7: C:\Programmdaten\McAfee\Host IntrusionPrevention

Wie wird die Protokollierung aktiviert?

Die Protokollierung in Host IPS kann mithilfe der Host IPS-Client-Konsole oder der HostIPS-Client-UI-Richtlinie über die ePolicy Orchestrator-Konsole eingestellt werden.

So aktivieren Sie die Protokollierung über den Client:

1 Öffnen Sie über das Taskleistensymbol die Host IPS-Konsole. Entsperren Sie mit einemAdministratorkennwort oder einem zeitbasierten Kennwort die Benutzeroberfläche.

2 Wählen Sie Hilfe| Fehlerbehebung aus.

3 Legen Sie die erforderlichen Protokollierungseinstellungen fest:


• Mit Informationen werden Informationen, Warnungen und Fehlermeldungenprotokolliert.

• Mit Warnung werden Warnungen und Fehlermeldungen protokolliert.


• Mit Deaktiviert werden keine Meldungen protokolliert.

Anhang B: FehlerbehebungHost IPS-Protokolle


Die Firewall- und IPS-Protokollierung erfolgt unabhängig voneinander. DieseProtokollierungseinstellungen bleiben so lange gültig, bis die Client-Konsole gesperrt undeine nachfolgende Richtlinie erzwungen wird.

HINWEIS: Die Protokollierung kann auch lokal eingestellt werden, indem demRegistrierungsschlüsselHKLM\Software\McAfee\HIP der Wert DWORD 'debug_enabled'hinzugefügt wird. Mit dem Wert 1 wird die ausführliche Debug-Protokollierung aktiviert. Wirddie Debug-Protokollierung mit dem lokalen Registrierungsschlüssel aktiviert, werden sämtlichemithilfe von Policy Orchestrator festgelegten Richtlinien überschrieben.

So aktivieren Sie die Protokollierung mithilfe von ePolicy Orchestrator:

1 Bearbeiten Sie unter Host IPS: Allgemein die für einen Client geltende Richtlinie"Client-Benutzeroberfläche".

2 Klicken Sie auf die Registerkarte Fehlerbehebung.

3 Legen Sie die erforderlichen Protokollierungseinstellungen fest:


• Mit Informationen werden Informationen, Warnungen und Fehlermeldungenprotokolliert.

• Mit Warnung werden Warnungen und Fehlermeldungen protokolliert.


• Mit Deaktiviert werden keine Meldungen protokolliert.Die Firewall- und IPS-Protokollierung erfolgt unabhängig voneinander. DieseProtokollierungseinstellungen gelten bis zur nächsten Richtlinienerzwingung.

Welche Protokolldateien gehören zur Host IPS-Komponente?

Die Hauptprotokolldatei der Host IPS-Komponente ist HipShield.log. Sie kann bis zu 128 MBgroß werden und wird mit einer (1) Sicherung rotiert.

Die Rotation von Protokolldateien wird über die DWORD-Einträge log_rotate_size_kb undlog_rotate_count im RegistrierungsschlüsselHKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP gesteuert. Der Schlüssellog_rotate_count bestimmt die Anzahl der zu speichernden Sicherungsdateien. DerDWORD-Eintrag entrylog_rotate_size_kb gibt die ungefähre Größe einerSicherungsprotokolldatei in KB an, wobei 0 heißt, dass die Protokollrotation deaktiviert ist.

Wird die in log_rotate_size_kb angegebene Größe überschritten, wird die Datei geschlossen,und an den Namen wird .1 angehängt. Ist bereits eine Datei mit diesem Namen vorhanden,wird der Wert um eins erhöht. Sobald die festgelegte Anzahl an Sicherungsdateien erreicht ist,wird die älteste Datei gelöscht.

HINWEIS: Bei der Erfassung von Daten zu an den Support von McAfee eskalierten Vorfällenwird dringend empfohlen, den Registrierungswert debug_enabled einzurichten und auf 1 zusetzen. Damit werden alle Ereignisse von Host IPS und Netzwerk-IPS in HIPShield.logunabhängig von der Einstellung des Protokollstatus unter den Signatureigenschaften erfasst.Vergewissern Sie sich, dass Sie den Dienst anhalten, alte Protokolldateien löschen, den Dienstneu starten und die Reproduktion durchführen. So kann die Größe der Protokolldateien auf einMinimum beschränkt werden.

Was gibt es bei HipShield.log zu beachten?

Die Ausführung der Host IPS-Komponente beginnt mit einer Banneraussage, aus der derausgeführte Build und der Datums-/Zeitstempel der Sitzung hervorgehen. Jeder Eintrag imHipShield-Protokoll hat einen Datums-/Zeitstempel gefolgt von der Angabe, ob es sich bei den



Daten um Informationen, Debugging- oder Fehlerdaten handelt. Die in der Datei HipShield.logenthaltenen Daten sind Ad-hoc-Daten und variieren je nach Teil der Host IPS-Komponente.

Hauptaspekte:

• Zeilen, die mit In install modules new beginnen, dienen der Beschreibung der Kopie vonDateien beim Start der Host IPS-Komponente. Werden diese Dateien falsch kopiert, kanndie Host IPS-Komponente nicht gestartet werden.

• Eine mit Scrutinizer initialized successfully beginnende Zeile gibt an, dass die HostIPS-Komponente mit der Initialisierung von Scrutinizer ordnungsgemäß geladen wurde.Voraussetzung dafür ist, dass die oben erwähnten Dateien wie vorgegeben kopiert wurden.

• Eine mit New Process: Pid= beginnende Zeile weist darauf hin, dass die Prozesserstellungmit der Host IPS-Komponente überwacht werden kann.

• Eine mit IIS - Start beginnende Zeile bedeutet, dass die IIS-Überwachung beginnt.

• Eine mit Scrutinizer started successfully ACTIVATED status beginnende Zeile bedeutet,dass Scrutinizer erfolgreich gestartet wurde.

• Eine mit Hooking xxx beginnende Zeile gibt an, dass das Einklinken von Prozessenverarbeitet wird. Die Zahl xxx entspricht der PID (Prozess-ID) des Prozesses, der eingeklinktwird.

• Mit Processing Buffer xxx.scn beginnende Zeilen sind die Ergebnisse derScanner-Verarbeitung von Scan-Datei xxx.scn, wobei xxx wie oben einem Namen wieEnterceptMgmtServer entspricht. Fehler in der Scanner-Verarbeitung von Scan-Dateienwerden hier angegeben.

• Zeilen im Format signature=111 level=2, log=True bedeuten, dass eine individuelleSignatur geladen wurde. Signatur-ID und Ebene werden zusammen mit einem Hinweis, obdie Protokollierung für diese Signatur aktiviert ist, angegeben.

HINWEIS: Shield.db und except.db werden bei aktivierter Debug-Funktion im selbenVerzeichnis erstellt wie die Protokolle. Die Dateien enthalten eine Abbildung der Regeln undAusnahmen, die an den Kernel übertragen werden, nachdem AgentNT.dll den Inhalt verarbeitethat.

Welche Protokolldateien gehören zur Firewall?

Wichtigste Protokolldateien der Firewall und ihr Inhalt:

InhaltBeschreibungName

HauptdienstprotokollFireSvc.log • Protokollierung auf Debug-Ebene

• Ausgabe zur Speicherortübereinstimmung

• Ausgabe zur TrustedSource-Verbindungsauswertung

• Fehler/Warnungen

McAfeeAgent-Plug-In-Protokoll

HipMgtPlugin.log • Protokollierung auf Debug-Ebene

• Zeitbezogene Statistikwerte zur Richtlinienerzwingung


Tray-ProtokollFireTray.log/McTrayHip.log • Protokollierung auf Debug-Ebene


Client-UI-ProtokollFireUI.log • Protokollierung auf Debug-Ebene




Diese Protokolldateien können maximal 100 MB groß werden. Sind größere oder kleinere Dateiengewünscht, kann die Größe durch Einrichten des folgenden Registrierungswerts bestimmtwerden: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize.

So legen Sie die Protokollgröße fest:

1 Wählen Sie den RegistrierungsschlüsselHKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP aus, klicken Sie mit der rechtenMaustaste rechts im Fenster auf eine freie Stelle, und wählen Sie dann Neu, Dword-Wertaus.

2 Benennen Sie den neuen Wert mit MaxFwLogSize.

3 Klicken Sie mit der rechten Maustaste auf MaxFwLogSize, und wählen Sie Ändern aus.

4 Ändern Sie den Wert auf die gewünschte Protokollgröße. Die Maßeinheit sind KB.

5 Klicken Sie auf OK, und schließen Sie dann den Registrierungs-Editor.

HINWEIS: Mit dem Registrierungsschlüssel MaxFwLogSize wird die Größe folgender Dateienbestimmt: FireSvc.log, HipMgtPlugin.log, FireTray.log, FireUI.log. Durch Erstellung desRegistrierungsschlüssels und Festlegung eines Werts wird die maximale Größe aller dieserProtokolldateien festgelegt.

Dienstprogramm Clientcontrol.exeDieses befehlszeilenbasierte Dienstprogramm unterstützt die Automatisierung von Upgradesund anderen Wartungsaufgaben, wenn Host Intrusion Prevention mithilfe von Software vonDrittherstellern auf Client-Computern bereitgestellt wird. Es kann in Skripts zur Installation undWartung eingebettet werden, um den IPS-Schutz vorübergehend zu deaktivieren undProtokollierungsfunktionen zu aktivieren.

Funktionsweise und Einrichtung

Mit diesem Dienstprogramm können Administratoren folgende Vorgänge auf dem McAfee HostIPS-Client durchführen:

• Host IPS-Dienst starten

• Host IPS-Dienst anhalten (Administratorkennwort oder zeitbasiertes Kennwort erforderlich)

• Protokollierungseinstellungen ändern (Administratorkennwort oder zeitbasiertes Kennworterforderlich)

• Host IPS-Module starten/anhalten (Administratorkennwort oder zeitbasiertes Kennworterforderlich)

• Aktivitätsprotokoll in formatierte Textdatei exportieren

• NaiLite-Lizenzinformationen aus der Registrierung auf dem Client-Computer anzeigen

• Konfigurationseinstellungen in formatierte Textdatei exportieren

• Konfigurationseinstellungen durch Standardrichtlinieneinstellungen ersetzen

• Schutzregeln beim Start von IPS aus der Registrierung exportieren

Die Aktivitäten des Dienstprogramms werden in der Datei ClientControl.log erfasst. Dieseliegt unter: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\HostIntrusion Prevention; oder C:\Programmdaten\McAfee\Host Intrusion Prevention (WindowsVista, Windows 2008, Windows 7).

Anhang B: FehlerbehebungDienstprogramm Clientcontrol.exe


Zum Aktivieren der Protokollierung ändern Sie in der Registrierung den EintragHKLM\Software\McAfee\HIP durch Hinzufügen des Eintrags FwLogLevel, Typ DWORDmit einem Wert von 0x7.

Anhalten von Host IPS-Diensten

Mit dem Parameter /stop werden Host IPS-Dienste angehalten. Voraussetzung ist, dass derBenutzer Administratorrechte hat. Darf der Benutzer Dienste auf dem Computer anhalten,geschieht Folgendes:

• Die Host IPS-Dienste werden deaktiviert. Das Kontrollkästchen "Host IPS" auf derRegisterkarte "IPS-Richtlinie" wird automatisch deaktiviert.

• Die Host IPS-Dienste werden nicht angehalten. In der Datei ClientControl.log wird einEintrag erfasst.

• McAfee Agent erzwingt die Richtlinien beim nächsten Intervall.

• Werden Richtlinien von McAfee Agent erzwungen, während der Schutz deaktiviert ist (z. B.bei der Anwendung von Patches in Windows), kann der entsprechende Vorgang durch dieRichtlinien blockiert werden.

Auch wenn die Host IPS-Dienste erfolgreich angehalten werden, kann es aufgrund vonRichtlinieneinstellungen sein, dass McAfee Agent die Dienste beim nächstenKommunikationsintervall zwischen Agent und Server (ASCI) wieder startet. Dies kann wie folgtverhindert werden:

1 Öffnen Sie in ePolicy Orchestrator die Richtlinie Host Intrusion Prevention: Allgemein.

2 Wählen Sie die Registerkarte Erweitert aus.

3 Deaktivieren Sie Produktintegritätsprüfung durchführen.

4 Führen Sie eine Agenten-Reaktivierung durch.

Befehlszeilensyntax

Konventionen:

• [ ] bedeutet erforderlich.

• [xxx, ...] bedeutet mindestens eine(r, s).

• < > bedeutet vom Benutzer eingegebene Daten.

Hauptargumente:

Pro Aufruf ist nur eines der folgenden Hauptargumente zulässig:

• /help

• /start

• /stop

• /log

• /engine

• /export

Beim Ändern von Protokollierungseinstellungen können Sie aber mehrere Protokolloptionenangeben.

Wird das Dienstprogramm mit dem Befehl /help ausgeführt, erhalten Sie die aktuelle Hilfesowie Hinweise.

Verwendung:

clientcontrol [arg]



Definition von Argumenten:

• /help

Zeigt die Befehlszeilensyntax und Hinweise an.

• /start

Startet den Dienst.

• /stop <Kennwort>

Hält den Dienst an.

• /log <Kennwort> [Protokolltyp] [Protokolloptionen]

Generiert Protokolle. Die Protokolloptionen werden der Reihe nach verarbeitet.

Definitionen von Protokolltypen:

• 0 = HIPS (erstellt HipShield.log)

• 1 = Firewall (erstellt FireSvc.log)

Definitionen für Protokolloptionen:

• 0 = Aus

• 1 = Fehler

• 2 = Warnung

• 3 = Info

• 4 = Debug

• 5 = Sicherheitsverstoß (nur IPS)

• /engine <Kennwort> [Modultyp] [Moduloption]

Deaktiviert und aktiviert die Module.

Definitionen von Modultypen:

• 0 = Alle

• 1 = Buffer Overflow

• 2 = SQL (nur Server)

• 3 = Registrierung

• 4 = Dienste

• 5 = Dateien

• 6 = HTTP (nur Server)

• 7 = Host IPS API

• 8 = Unzulässige Nutzung

• 9 = Programm

• 10= Einklinken

Definitionen von Moduloptionen:

• 0 = Aus

• 1 = Ein

• /export /s <Pfad der Exportquelldatei><Pfad der Ereignisprotokollexportdatei>

Exportiert das Ereignisprotokoll in eine formatierte Textdatei. Der Pfad der Quelldatei mussnicht eingegeben werden. Wenn es keine Quelldatei gibt, geben Sie /s nicht ein.

• /readNaiLic



Zeigt die NaiLite-Lizenzinformationen an.

• /exportConfig <Pfad der Exportdatei> <Konfigurationstyp>

Exportiert Konfigurationseinstellungen in eine formatierte Textdatei.

Definitionen von Konfigurationstypen:

• 0 = Alle

• 1 = Anwendungsschutz

• 2 = Blockierte Hosts

• 3 = Firewall

• 4 = Benutzerdefinierte Signaturen in Host IPS

• 5 = IPS-Ausnahmen

• 6 = Einstellungen

• 7 = Vertrauenswürdige Anwendungen

• 8 = Vertrauenswürdige Netzwerke

• 9 = Netzwerk-IPS-Signaturen

• 10 = Host IPS-Signaturen

• 11 = Host IPS-Module

• 12 = Anmeldesitzungen

• 13 = DNS-Blockierregeln

• /defConfig <Kennwort>

Ersetzt im Zusammenhang mit den Einstellungen für Anwendungsschutz, Firewall undvertrauenswürdige Anwendungen die Konfigurationseinstellungen durch standardmäßigeClient-Richtlinien.

• /bootTimeRules <Kennwort> <Pfad der Exportdatei>

Exportiert Regeln beim Start von IPS in eine formatierte Textdatei.

HINWEIS:

• Zwischen Argument, Kennwort und anderen erforderlichen Parametern muss mindestensein Leerzeichen sein.

Beispielarbeitsabläufe

Anwenden eines Patches auf einen Computer mit McAfee Host IPS

1 Öffnen Sie die Eingabeaufforderung.

2 Führen Sie clientcontrol.exe /stop <Kennwort> aus.

3 Warten Sie das System.

4 Führen Sie clientcontrol.exe /start aus (zwecks Neustart der Host IPS-Dienste).

Exportieren des Aktivitätsprotokolls von Host IPS in eine Textdatei


2 Führen Sie clientcontrol.exe /export <Pfad der Exportdatei> aus.

3 Kopieren Sie die exportierte Protokolldatei zu Erfassungs-, Analyse- oder sonstigen Zweckenauf einen anderen Computer.

Aktivieren der Protokollierung bei der Fehlerbehebung




2 Führen Sie clientcontrol.exe /log <Kennwort> [Protokolltyp] [Protokolloption, ...] aus.

3 Generieren Sie Protokolleinträge.

4 Prüfen Sie HipShield.log oder FireSvc.log auf wichtige Informationen.

Deaktivieren bestimmter Host IPS-Module bei der Fehlerbehebung


2 Führen Sie clientcontrol.exe /log <Kennwort> [Modultyp] [Moduloption] aus.

3 Erzeugen Sie mithilfe von Vorgängen Reaktionen und Protokolleinträge.

4 Prüfen Sie HipShield.log oder FireSvc.log auf wichtige Informationen.



Index

AAbfang von Systemaufrufen 33Abfragen, Host IPS

Benutzerdefiniert, Parameter für 14Berichte 10Nachverfolgung von Aktivitäten 14Verwalten von Informationen 13Vordefiniert und benutzerdefiniert 14

Abschirmen und UmhüllenIPS-Verhaltensregeln und 35

Abschirmung und Umhüllung 33Adaptiver Modus

Anwenden 23Häufig gestellte Fragen 23In IPS im Vergleich zur Firewall 23Regeln nicht automatisch erstellt 23Ausnahme und 36Automatische Optimierung 20Firewall-Regeln, Richtlinien 77Informationen 10Richtlinie für IPS-Optionen 38Richtlinien für Firewall-Optionen 73Versetzen von Host IPS-Clients in 22, 37

Aktivitätsprotokolle, Host IPSAnpassen von Optionen 109Anzeigen 108Arbeiten mit der Registerkarte "Aktivitätsprotokoll" 108Firewall-Protokollierungsoptionen 100IPS-Protokollierungsoptionen 99Löschen von Einträgen 108

AktualisierenEinchecken von Host IPS-Paketen 30Host IPS-Inhaltspaket 30Host IPS-Methoden 31Signaturen, Host IPS 30

Allgemeine Richtlinien, Host IPSBerechtigungen für 26Funktionsübersicht 85Richtlinienseite "Vertrauenswürdige Anwendungen" 93

AnwendungsschutzregelnArbeiten mit 49Erstellen 52Informationen 36Konfigurieren 51Prozesse, erlaubt oder blockiert 49Richtlinie für IPS-Regeln 36, 40, 52Überblick 49

AusbringungErsteinführung von Host IPS-Clients 21Host IPS-Richtlinien und 10Nutzungsprofile in Host IPS 10Server-Tasks für Host IPS 26

AusnahmeregelnAggregierung und Client-Regeln 57

Ausnahmeregeln (Fortsetzung)Arbeiten mit 52Ausnahme erstellen 101Automatische Optimierung 22Bearbeiten von IPS-Richtlinien 104Definition 10Ereignisse und 54Erstellen 53Erstellung basierend auf einem Ereignis 54Informationen 36Konfigurieren der Richtlinie für IPS-Regeln 53Liste, Windows-Client und 103Richtlinie für IPS-Regeln 40, 52

BBasisschutz

Host IPS 7Host IPS-Standardrichtlinien 20

BefehlszeilenoptionenAnhalten des Solaris-Clients 112Anhalten und Neustarten des Linux-Clients 116ClientControl.exe, automatische Upgrades 99Solaris-Client, Neustarten 113Überprüfen, ob der Linux-Client ausgeführt wird 116Überprüfen, ob der Solaris-Client ausgeführt wird 112

Benachrichtigungen, Host IPSInformationen 28Konfigurieren 19Regeln und Ereignisse 28Unterstützte, produktspezifische Kategorien 28

Benutzerdefinierte SignaturenAbschnittswertvariablen 121Allgemeine Abschnitte 118Gültige Richtlinien für Linux 153Gültige Richtlinien für Solaris 153Gültige Richtlinien für Windows 142Linux 145Linux, UNIX_apache (HTTP) 148Linux, UNIX_file (Dateien) 145Linux, UNIX_misc 150Optionale Abschnitte 120Platzhalter 121Regelstruktur 117Solaris 145Solaris, UNIX_apache (HTTP) 148Solaris, UNIX_bo 151Solaris, UNIX_file (Dateien) 145Solaris, UNIX_GUID 152Solaris, UNIX_map 152Solaris, UNIX_misc 150Überblick für Linux und Solaris 145Überblick für Windows 124Windows, Buffer Overflow 124Windows, Files 125Windows, Hook 129


Benutzerdefinierte Signaturen (Fortsetzung)Windows, Illegal 130Windows, Illegal API Use 129Windows, Isapi 130Windows, Program 133Windows, Registry 135Windows, Richtlinien für Plattform 142Windows, Services 138Windows, SQL 140

BerechtigungssätzeHost IPS-Berechtigungen 26Verwalten einer Host IPS-Ausbringung 26Wer konfiguriert das System 19Zuweisen 27

Buffer OverflowIPS-Verhaltensregeln und 35Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen"91Verhindern auf Solaris-Client 110

CClient-Regeln

Firewall 73, 82Erstellen, mit adaptiven und Lernmodi 10Erzeugen von Ausnahmen 36Firewall 73, 82Host IPS-Abfragen 14IPS 40Richtlinie für IPS-Regeln, Übersicht 57

ClientsAbfragen für Gruppen von 14Aktualisierung durch Task- oder Agenten-Reaktivierung 31Analysieren von Daten auf Host IPS-Clients 21Arbeiten mit, in Host IPS 21Linux (siehe Linux-Client) 113Namenskonventionen in Host IPS 21Optimieren von Host IPS 21Solaris (siehe Solaris-Client) 110Windows (siehe Windows-Client) 95

ComplianceKonfigurieren anzuzeigender Host IPS-Dashboards 19

DDashboards

Abfragen und Host Intrusion Prevention 10Anzeigen von Compliance- und Host IPS-Problemen 19Standardmäßige Host IPS-Monitore 13Verwalten von Informationen in Host IPS 13

Dienstprogramm ClientControlAnhalten von Diensten 164Befehlszeilensyntax 164Funktionsweise und Einrichtung 164Verwenden zur Fehlerbehebung 164

DienstprogrammeClientControl.exe, automatische Upgrades 99

DNS-BlockierungsregelnErstellen und Bearbeiten 81

EEffektive Richtlinie

Mit Richtlinien mit mehreren Instanzen 42Eindringungsschutz (IPS)

Abfang von Systemaufrufen 33Abschirmung und Umhüllung 33

Eindringungsschutz (IPS) (Fortsetzung)Adaptiver Modus und Ausnahmen 36Anpassen von Optionen 103Ausnahmen 36Bearbeiten von Ausnahmeregeln 104Bereitstellungsmethoden 33Client-Regeln 14Client-Regeln, Übersicht 57Firewall-Protokollierungsoptionen 100HIPS, über 34Module und Treiber 33NIPS, Info 34Protokollierungsoptionen 99Reaktionen 35Richtlinie für den IPS-Schutz 39Signaturen, definiert 34Überblick 32Verhaltensregeln 35

EmpfehlungenEinsatz von IPS-Schutz zur Staffelung der Auswirkungen vonEreignissen 10Host IPS-Ausbringung in mehreren Phasen 21Logisches Gruppieren von Host IPS-Clients 21McAfee-Support kontaktieren, um HIPS-Module zu deaktivieren100Optimieren von Host IPS-Standardrichtlinien 19Systeme durch Host IPS-Kriterien gruppieren 10

Ereignisse, Host IPSAnalysieren und Optimieren 10Arbeiten mit 54Ausnahmen 36Benachrichtigungen 28Firewall, Aktivitätsprotokolle 108Intrusionswarnungen, reagieren auf 101Protokollierung und IPS-Ereignisse, Registerkarte 37Richtlinie für IPS-Regeln 40Signaturverletzungen 37Verhaltensregeln 35Verwalten 55

FFalsch-Positive

Ausnahmen und Richtlinie für IPS-Regeln 52Optimieren von Host IPS-Richtlinien 10Richtlinie "Vertrauenswürdige Anwendungen", reduzieren 91

Fehlerbehebung, Host IPSAnwendungsfehler nach Installation von Host Intrusion Prevention155Blockieren von Nicht-IP-Datenverkehr 155Client-Benutzeroberfläche 89Deaktivieren von Host IPS-Modulen 100Ermitteln der fehlerverursachenden Komponente 155Firewall-Protokollierung, Einstellen von Optionen 100Linux-Client 113, 114Optionen 99Prüfen, ob Dienste ausgeführt werden 155Solaris-Client 111Tool hipts 111, 114Verwenden des Dienstprogramms ClientControl 164Verwenden von Protokollen 161Windows-Client 99

FilterAbfrage von Host IPS-Aktivitäten 14Firewall, Funktionsweise der statusbehafteten Filterung 69Host IPS-Ereignisse und Abfragen 10


Index

Firewall-RegelnErstellen und Bearbeiten 79

Firewall-Richtlinien, Host IPSFunktionsübersicht 59

Firewall-SchutzAktivieren 73Deaktivieren 73

Firewall, Host IPSStatusbehaftete Paketprüfung 68, 70Abfragen 14Adaptiver und Lernmodus 72Aktionen, Zulassen oder Blockieren 69Anpassen von Optionen 105Berechtigungen für 26Client-Regeln 14, 73DNS-Blockierungsregeln 81Firewall Optionen, konfigurieren 75Firewall-Regelgruppen, erstellen 79Firewall-Regelliste, Reihenfolge 60Firewall-Regeln 10, 77, 79Firewall-Regeln, Funktionsweise 60Firewall-Regeln, konfigurieren 78Informationen 8Liste von Regeln 78, 105, 106Protokollierungsoptionen 100Regelgruppen 62Regelgruppen, standortabhängig 62Regeln, Zulassen oder Blockieren 60Standortabhängige Gruppen 80Statusbehaftete Filterung, Funktionsweise 69Statusbehaftete Paketfilterung 68Statusbehaftete Paketprüfung 68, 70Statusbehaftete Protokollverfolgung 71Statustabelle 68Überblick 59Warnungen 102

GGlobale Administratoren

Berechtigungssätze zuweisen 26Gruppen, Host IPS

Anwenden von Richtlinien 9Benachrichtigungen und 28Firewall-standortabhängig, erstellen 80Konfigurationskriterien 10Löschen von Richtlinien und Vererbung für 18Richtlinienzuweisung an 9und Vererbung 9

HHäufig gestellte Fragen

Adaptiver Modus 23Richtlinien mit mehreren Instanzen 42

Host Intrusion Prevention-Signaturen 34Host IPS

Aktivitäten und Dashboards 13Basisschutz und erweiterter Schutz 7Berechtigungssätze 26Einrichten und Optimieren des Schutzes 20Funktionen und Kategorien 9Funktionsweise 7Reagieren auf Warnungen 101Registerkarte "Intrusionsinformationen" 101Richtlinien und ihre Kategorien 9Richtlinientypen 8

Host IPS-Eigenschaftenübersetzung 27Host IPS-Katalog

Abhängigkeiten 66Bearbeiten 81Erklärung 66Exportieren aus 81Exportieren nach 81Filtern 81Hinzufügen zu 81Inhalt 66Verwenden 81

IInformationsmanagement

Analysieren von Host IPS-Client-Daten 21Dashboards und Abfragen für Host IPS 13Vordefinierte und benutzerdefinierte Abfragen für Host IPS 14

IP-AdresseFirewall-Regeln und 105Host IPS-Benachrichtigungen und Parameter 28Konfigurieren von vertrauenswürdigen Netzwerken 90Regelgruppen 62Standortabhängige Gruppen 62Statusbehaftete Firewall, IPv4 im Vergleich zu IPv6 68Überwachen blockierter Hosts 107

IPS-EreignisseArbeiten mit 54Ausnahmen erstellen 54Informationen 37Überblick 54Vertrauenswürdige Anwendungen erstellen 54Verwalten 55

IPS-SchutzAktivieren 37Deaktivieren 37

IPS, Host IPSBerechtigungen für 26

KKennwörter

Entsperren der Windows-Client-Konsole 97für Richtlinie "Client-Benutzeroberfläche" 88Verwenden des Fehlerbehebungstools hipts 111

LLernmodus

Firewall-Regeln 72Firewall-Regeln, Richtlinien 77Informationen 10Richtlinien für Firewall-Optionen 73Versetzen von Host IPS-Clients in 22

Linux-Client 113, 114, 115, 116Anhalten und Neustarten 116Aspekte 114Fehlerbehebung 114, 116Richtlinienerzwingung 113Überblick 113Überprüfen der Installationsdateien 115

MMigration

Richtlinien 24Richtlinienversion 7 auf 8 24

Index


NNetwork Intrusion Prevention-Signaturen 34Netzwerkadapter

Bedingungen zum Erlauben einer Verbindung 62NIPS (Network Intrusion Prevention-Signaturen) 107Nutzungsprofile

Gruppieren von Host IPS-Systemen 10Optimieren von Host IPS-Richtlinien 10

OOptimieren von Host IPS

Adaptiver Modus und Lernmodus 22Analysieren von Ereignissen 17Manuell und automatisch 20Nutzungsprofile 10Richtlinien "Vertrauenswürdige Anwendungen" 91Richtlinienverwaltung 10Standardrichtlinien und 19

PPakete

Aktualisieren des Host IPS-Inhaltes 30Platzhalter

Firewall-Regeln 83IPS-Regeln 48Benutzerdefinierte Signaturen 121

PortsBlockierter Datenverkehr und Firewall-Regeln 72Firewall und Einträge der Statustabelle 68FTP-Verbindungen und statusbehaftete Paketprüfung 70Verbindungen und Firewall-Warnungen 102

Protokolldateien, Host IPSFehlerbehebung 111, 114Fehlerbehebung für die Client-Benutzeroberfläche 89Firewall-Aktivität 100IPS-Aktivität 99Linux-Client, Installationsverlauf 115Solaris-Client, Installationsverlauf 112

ProtokolleAktivieren 161FireSvc.log 161Für Firewall-Funktion 161Für IPS-Funktion 161HipShield.log 161Statusbehaftete Firewall, Nachverfolgung 71Verwenden zur Fehlerbehebung 161

RReaktionen

Einstellung, für Signaturschweregrade 40Firewall-Warnungen, Reagieren auf 102Informationen 35Intrusionswarnungen, reagieren auf 101IPS-Schutz konfigurieren 39Typen 35Warnungen bei erkanntem Spoofing, reagieren auf 102Zuordnung zu IPS-Schweregrad 10

ReaktivierungenAktualisieren von Host IPS-Clients 31

Regelgruppen, Host IPSFirewall-Regelgruppen, erstellen 79

RegellistenAusnahmen für Host IPS 103Firewall-Regeln für Host IPS 106

RegelstrukturBenutzerdefinierte Signaturen 117

Registerkarte "Blockierte Hosts", Arbeiten mit 107Richtlinie "Client-Benutzeroberfläche"

Definieren 86Fehlerbehebung 89Informationen 8Kennwörter 88Konfigurieren 86Optionen 98Registerkarte "Allgemein", konfigurieren 87Taskleistensteuerung, konfigurieren 87Überblick 85

Richtlinie "Firewall-DNS-Blockierung"Definieren 77Informationen 8Überblick 59

Richtlinie "Firewall-Optionen"TrustedSource 76Arbeiten mit 73Informationen 8Konfigurieren 75Überblick 59

Richtlinie "Firewall-Regeln"Platzhalter 83Client-Regeln, verwalten 82Definieren 77Gruppen, erstellen 79Informationen 8Konfigurieren 78Überblick 59

Richtlinie "McAfee-Standard"Client-Benutzeroberfläche 86DNS-Blockierung 77Firewall-Optionen 73Firewall-Regeln 77Host IPS 9IPS-Optionen 37IPS-Regeln 40IPS-Schutz 39Vertrauenswürdige Anwendungen 91Vertrauenswürdige Netzwerke 90

Richtlinie "Mein Standard"Client-Benutzeroberfläche 86DNS-Blockierung 77Firewall-Optionen 73Firewall-Regeln 77Host IPS 9IPS-Optionen 37IPS-Regeln 40IPS-Schutz 39Vertrauenswürdige Anwendungen 91Vertrauenswürdige Netzwerke 90

Richtlinie "Vertrauenswürdige Anwendungen"Definieren 91Erstellen und Bearbeiten 93False-Positives, reduzieren 85Informationen 8Überblick 85

Richtlinie "Vertrauenswürdige Netzwerke"Definieren 90False-Positives, reduzieren 85Informationen 8Konfigurieren 90Überblick 85Vorrang und 90


Index

Richtlinie für den IPS-SchutzArbeiten mit 39Informationen 8Konfigurieren 40Reaktionen, einstellen 40Schweregrade, Einstellung 39Überblick 32

Richtlinie für IPS-OptionenAdaptiver Modus 37Arbeiten mit 37Informationen 8Konfigurieren 38Überblick 32Vordefinierte Richtlinien 38

Richtlinie für IPS-RegelnPlatzhalter 48Anwendungsschutzregeln 36, 49, 51Anwendungsschutzregeln, konfigurieren 41Arbeiten mit Signaturen 43Ausnahmen, konfigurieren 41Ausnahmeregeln 52Definieren 40Ereignisprotokollierung 37Ereignisse, arbeiten mit 54Informationen 8Konfigurieren 41, 51Signaturen, konfigurieren 41Überblick 32Verwalten von Ausnahmen 53

Richtlinien mit mehreren InstanzenBei der Ausbringung verwenden 42Effektive Richtlinie 42Häufig gestellte Fragen 42Zuweisen 41, 93

Richtlinien, Host IPSMigration 24Anwenden von Richtlinien 9Anzeigen von Richtlinien 18außer Kraft setzen, durch Client-Ausnahmen 10Client-Regeln, Erstellen von Ausnahmen 10Definition 9Firewall (siehe Firewall, Host IPS) 8Firewall-DNS-Blockierung 77Firewall-Optionen 73, 75Firewall-Regeln 77, 78Funktionsübersicht 8, 32Konfigurieren von IPS-Optionen 38Mehrere Instanzen 41, 93Neu erstellen 19Nutzungsprofile und Optimierung 10Optimieren von Standards 19Reagieren auf Warnungen 102Richtlinienkatalog 18Standardwerte, Basisschutz 7Suchen 18und ihre Kategorien 9Vererbung 10Verwalten 18vordefinierter Schutz 10Zugewiesener Eigentümer 9Zuweisen 20

RichtlinienerzwingungHost IPS 9Host IPS-Client und ePO 7Linux-Client und 113Solaris-Client und 110

RichtlinienkatalogBenutzerdefinierte Firewall-Richtlinien, erstellen 73, 77Client-Benutzeroberfläche 86Eigentümerschaft für Host IPS-Richtlinien 8Vertrauenswürdige Anwendungen 91Vertrauenswürdige Netzwerke 90Verwalten von Host IPS-Richtlinien 18

RichtlinienverwaltungAnalysieren von Host IPS-Ereignissen und Client-Regeln 17Linux-Client und 113Nachverfolgung von Host IPS-Richtlinien 10Optimieren von Host IPS 10, 20Registerkarte "Richtlinien", Host IPS 18Zugriff auf Host IPS-Richtlinien 18

RichtlinienzuweisungAktivieren des Firewall-Schutzes 73Ändern 20Host IPS 9

SSchweregrade, IPS

Arbeiten mit Signaturen 43Einrichten und Optimieren des Schutzes 20Ereignisse und 54Optimieren 10, 19Reaktionen einstellen für 40Richtlinie für den IPS-Schutz 39Zuordnung zu einer Reaktion 10

Server-Tasks, Host IPSAbfrage ausführen 27Abfragen exportieren 27Bedrohungsereignisprotokoll bereinigen 27Eigenschaftenübersetzung 27Einchecken von Aktualisierungen 30Ereignisprotokoll bereinigen 27Repository-Abruf 27Richtlinien exportieren 27Verwalten von Ausbringungen 26, 27

SignaturenArbeiten mit 43Ausnahmen 36Ausnahmeregelliste 103Benutzerdefiniert 43Definition 34Erstellen mit dem Expertenverfahren 46Erstellen mit dem Standardverfahren 46Erstellen von benutzerdefinierten Host IPS 46HIPS, über 34Host 43Host IPS und Ausnahmen 101Host- und Netzwerk-IPS 28Konfigurieren der Richtlinie für IPS-Regeln 45Mithilfe des Assistenten erstellen 47Netzwerk 43NIPS, Info 34Optimieren von Host IPS-Richtlinien 10Richtlinie für IPS-Regeln 40Schweregrade 43Schweregrade für 39Standard-Host IPS 43Typen 43Warnungen und NIPS-Signaturen 101

SignatursicherheitsstufenTypen 43

Index


Solaris-ClientAnhalten und Neustarten 112, 113Fehlerbehebung 111Installationsdateien 112Richtlinienerzwingung 110Überblick 110Überprüfen, ob der Client ausgeführt wird 112Verhindern von Pufferüberläufen 110

Sprache, Host IPSEinstellen von Optionen für Clients 98

Standortabhängige GruppenErstellen 80Konnektivitätsisolation 64

Statusbehaftete FirewallFunktionsweise der statusbehafteten Filterung 69Paketprüfung, Funktionsweise 70Protokollverfolgung 71

Statustabelle, FirewallFunktionalität 68Überblick 68

SystemverwaltungAktualisieren des Host IPS-Schutzes 30Benachrichtigungen für Host IPS-Ereignisse 28Server-Tasks für Host IPS 26, 27

TTaskleistensymbol

Deaktivieren einer Host IPS-Funktion 87Einstellen von Client-Optionen 98

TippsVerwenden von Benachrichtigungen 28

TrustedSourceDefinition 76Funktionsweise 76Häufig gestellte Fragen 76Richtlinie "Host IPS-Firewall-Optionen" 76

UÜberwachte Prozesse, anzeigen 108

VVerhaltensregeln

Abschirmen und Umhüllen 35Legitime Host IPS-Aktivität definieren 35

Vertrauenswürdige AnwendungenDefinition 10Erstellen einer Liste im Host IPS 91Erstellen und Bearbeiten, im Host IPS 93Erstellung basierend auf einem Ereignis 54Konfigurieren, im Host IPS 92

Vertrauenswürdige Anwendungen (Fortsetzung)Richtlinie für IPS-Regeln 54

Vorkonfigurierte RichtlinienClient-Benutzeroberfläche 86Firewall-Regeln 77IPS-Optionen 37IPS-Schutz 39Vertrauenswürdige Anwendungen 91Vertrauenswürdige Netzwerke 90

VorrangAllgemeine Richtlinien, Host IPS und 85Firewall-Regelliste 60Netzwerk-IPS und IP-Adressen 90Richtlinie "Vertrauenswürdige Netzwerke" 90

WWarnungen bei erkanntem Spoofing 102Warnungen, Host IPS

Einstellen von Optionen für Clients 98Firewall 102Intrusionswarnungen 101Lernmodus und unbekannter Netzwerkverkehr 72Reagieren auf 101, 102Spoofing erkannt 102Windows-Clients 101

Windows-ClientAusnahmeregeln für IPS-Richtlinien 103, 104Fehlerbehebung 99, 100Firewall-Regelliste 105Firewall-Regeln, erstellen und bearbeiten 106IPS-Richtlinien, Arbeiten mit 103IPS-Richtlinien, bearbeiten 104Registerkarte "Aktivitätsprotokoll" 108, 109Registerkarte "Anwendungsschutz" 108Registerkarte "Blockierte Hosts" 107Registerkarte "Firewall-Richtlinie" 105Registerkarte "IPS-Richtlinie" 103Überblick 95Warnungen 101

Windows-Client-KonsoleAnpassen je Client 98Entsperren der Benutzeroberfläche 97Methoden zum Öffnen 97Taskleistenmenü 95Überblick 95

ZZulassen oder Blockieren von Aktionen

Netzwerk-Kommunikationen, Firewall-Richtlinie 105Statusbehaftete Firewall-Filterung 69


Index

Documents

McAfeeHostIntrusionPrevention8b2b-download.mcafee.com/products/evaluation/host_intrusion... · Prevention-ClientsaufjedemHost(Server,DesktopsundNotebooks)imUnternehmen bereitgestelltwerdenkönnen,empfiehltsich,dassSiediesezunächstaufnurwenigen