McAfee - Možnosti konfigurace HIPS8.0

Z HelpDesk
Verze z 29. 1. 2024, 10:43, kterou vytvořil Beowulf (diskuse | příspěvky)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)

Stránka věnovaná možnostem nastavení modulu Host Intrusion Prevention System - HIPS8.0. Jsou zde popsány jednotlivé skupiny nastavení (tzv. policies), co jednotlivé položky znamenají a jaké je jejich doporučené nastavení. V lepších případech je i vysvětleno proč :-). Další informace naleznete také v anglickém návodu od společnosti McAfee.

Host Intrusion Prevention 8.0: General

Client UI (Windows)

General Settings

 • Display options
  • Účel: Možnosti zobrazení komponent McAfee
  • Nastavení: "Show Tray Icon", "Show products in Add/Remove Program list"
 • Upon intrusion event
  • Účel: Nastavení chování při detekci/zabránění průniku
  • Nastavení: "Flash tray icon"

Advanced Options

 • Advanced options - Product integrity check enabled
  • Účel: Ověřovat integritu svých součástí
  • Nastavení: zapnuto
 • Advanced options - Manual creation of client rules (for all features) enabled
  • Účel: Umožnit uživatelům přidávat vlastní pravidla
  • Nastavení: zapnuto
 • Administrator password to unlock the UI
  • Účel: Ochrana přístupu ke změně (nelze vypnout)
  • Nastavení: mcafee-zcu (raději bych měli vypnuto)
 • Client UI language setting
  • Účel: Výběr jazyka
  • Nastavení: "Automatic"
 • Disabling features
  • Účel: Umožnění dočasně vypnout jednotlivé kompotenty
  • Nastavení: zapnuto pro IPS i FW, vypnuto přenastavení při policy enforcement
 • Time-based password
  • Účel: Nastavení jednorázových hesel pro odemknutí GUI
  • Nastavení: vypnuto

Troubleshooting

 • Firewall logging
  • Účel: Nastavení úrovně logování firewallu
  • Nastavení: "Information"
 • IPS logging
  • Účel: Nastavení úrovně logování IPS
  • Nastavení: "Information", logovat "Security violations"
 • Activity log size (MB):
  • Účel: Omezení velikosti logu
  • Nastavení: 10 MB
 • Enable IPS engines
  • Účel: Nastavení aktivních součástí
  • Nastavení: všechn zapnuty

Trusted Application (All Platforms)

Seznam důvěryhodných aplikací od výrobce - nezměněno.

Trusted Networks (Windows)

 • Include local subnet automatically
  • Účel: Lokální podsíť je automaticky považována za důvěryhodnou.
  • Nastavení: zapnuto
 • Trusted networks
  • Účel: Doplnění dalších důvěryhodných CIDR
  • Nastavení: nedoplněno nic dalšího

Host Intrusion Prevention 8.0: Firewall

DNS Blocking (Windows)

 • Blocked Domains
  • Účel: Nastavení seznamu blokovaných domén (pro síťovou komunikaci)
  • Nastavení: prázdný seznam

Firewall Options (Windows)

 • Firewall status
  • Účel: Nastavení provozního režimu firewallu
  • Nastavení: Learn mode pro příchozí i odchozí spojení
 • Firewall status - Allow traffic for unsupported protocols
  • Účel: Možnost povolit komunikaci protokolů, které firewall neumí filtrovat
  • Nastavení: vypnuto
 • Firewall status - Allow bridged traffic
  • Účel: Povolení bridgovaného provozu (vrstva 2)
  • Nastavení: vypnuto
 • Firewall client rules
  • Účel: Ponechání uživatelem vytvořených pravidel i při vynucení politik.
  • Nastavení: zapnuto
 • Startup protection
  • Účel: Filtrovat veškerý příchozí provoz dokud není spuštěna komponenta HIPS
  • Nastavení: vypnuto
 • Protection options: - Enable IP spoof protection
  • Účel: Zapnutí ochrany proti podvržení IP adresy ve filtrované spojení
  • Nastavení: zapnuto
 • Protection options: - Send events to ePO for TrustedSource violations
  • Účel: Posílat provoz odpovídající databázi TrustedSource na ePO jako událost.
  • Nastavení: zapnuto
 • Protection options: - Incoming TrustedSource block threshold
  • Účel: Nastavení prahu pro blokování příchozích spojení s ohledem na databázi TrustedSource
  • Nastavení: vypnuto (např. ping je High Risk a nefungoval by)
 • Protection options: - Outgoing TrustedSource block threshold
  • Účel: Nastavení prahu pro blokování odchozích spojení s ohledem na databázi TrustedSource
  • Nastavení: vypnuto (odchozí je v zásadě "vždy" žádané)
 • Stateful firewall settings
  • Účel: Povolení stavového filtrování pro FTP
  • Nastavení: zapnuto, timeouty 30s

Firewall Rules (Windows)

V této konfigurační politice jsou specifikována jednotlivá pravidla pro filtrování síťové komunikace. Více o způsobu zádávání pravidel v modulu HIPS 8.0 se dočtete v dokumentu McAfee - Pravidla firewallu v HIPS 8.0.

Host Intrusion Prevention 8.0: IPS

IPS Options (All Platforms)

 • IPS options - Enable host IPS
  • Účel: Ativovat Intrusion Prevention System na stanicích
  • Nastavení: zapnuto
 • IPS options - Enable adaptive mode (rules are learned automatically)
  • Účel: Adaptivní mód - automatické přidávání pravidel IPS
  • Nastavení: vypnuto
 • IPS options - Retain existing client rules when this policy is enforced
  • Účel: Ponechat uživatelem vytvořená pravidla IPS na stanici při vynucení politik.
  • Nastavení: zapnuto
 • Windows only - Enable network IPS
  • Účel: Aktivovat IPS pro síťové rozhraní
  • Nastavení: zapnuto, automaticky blokovat útočníky na 10 minut,
 • Windows only - Retain blocked hosts
  • Účel: Ponechat útočníky zablokované i při vynucení politik.
  • Nastavení: zapnuto (tj. vynucení politik nesmaže seznam, útočník je odstraněn po 10 minutách dle předchozího nastavení)
 • Windows only - Automatically include network-facing and service-based applications in the application protection list
  • Účel: Povolit klientovi automaticky přidávat do seznamu chráněných aplikací všechny takové, které pracují se sítí nebo mají charakter služby.
  • Nastavení: zapnuto
 • Windows only - Startup IPS protection enabled
  • Účel: Povolit ochranu vybraných (společností McAfee) souborů a registrů než naběhne komponenta IPS
  • Nastavení: vypnuto

IPS Protection (All Platforms)

 • Reaction based on signature severity level:
  • Účel: Nastavení reakce systému na detekovaný průnik
  • Nastavení: High - Prevent, Medium - Log, Low - Log, Information - Ignore

IPS Rules (All Platforms)

Obsahuje seznam dostupných pravidel, ponecháno implicitní nastavení McAfee